본사/지사/재택/클라우드(VPC)까지 단일 네트워크 정책으로.
솔루션네트워킹
VPN / 전용선 설계
지사–본사–클라우드–IDC를 IPsec/SSL VPN과 L2/L3 전용선(MPLS/광 회선/DIA)으로 안정적으로 연결합니다. BGP/정책 기반 라우팅, 이중화, QoS까지 설계/구축/운영을 일괄 제공. 요금은 별도문의입니다.
IKEv2/IPsec, 인증서/PSK, 세분화(세그먼트), 디도스보호(프록시) 연동.
이중 회선/장비, Active-Standby/Active-Active, 헬스체크 기반 페일오버.
지연/손실/대역폭, 터널 상태 대시보드. 경보/자동 조치.
권장 토폴로지
| 유형 | 용도 | 장점 | 유의사항 |
|---|---|---|---|
| Site-to-Site IPsec | 본사–지사, IDC–클라우드 VPC | 표준/범용, 장비 호환 우수 | NAT-T 필요 시 MTU/DF 조정 |
| SSL VPN(클라이언트) | 재택/모바일 단말 접속 | 배포 용이, 포털/SSO 연동 | 동시 세션/라이선스 고려 |
| L2 전용선 | 동일 서브넷 확장/스택 | 레이어2 투명, 저지연 | 루프/스패닝트리 설계 필요 |
| L3 전용선/MPLS | 다지점 메쉬/허브앤스포크 | QoS/경로 제어 용이 | 사업자/AS 경계 정책 협의 |
| DIA + IPsec | 인터넷 전용회선+터널 | 비용 대비 유연성 | 공인IP/라우팅 정책 필수 |
암호/프로토콜 권장값
| 구분 | 권장 | 비고 |
|---|---|---|
| IKE | v2, Main Mode | DPD/재키 교환 |
| 암호 | AES-GCM-128/256 | 하드웨어 가속 활용 |
| 해시 | SHA2-256 | SHA1 지양 |
| DH 그룹 | 14/19(2048/256bit) | PFS 활성화 |
| 라이프타임 | 3600s(Phase2) | 트래픽에 따라 조정 |
| 라우팅 | BGP/정책 기반 | 헬스체크/우선순위 |
| NAT | NAT-T 자동 | MTU 1400± 점검 |
샘플: IPsec 설정 스니펫
conn branch-hq keyexchange=ikev2 left=%defaultroute leftid=203.0.113.10 leftsubnet=10.10.0.0/16 right=198.51.100.20 rightsubnet=10.20.0.0/16 ike=aes256gcm16-sha256-modp2048 esp=aes256gcm16-sha256 dpdaction=restart dpddelay=30s auto=start
샘플: BGP 페일오버 정책
router bgp 65010 neighbor 169.254.100.1 remote-as 65020 neighbor 169.254.200.1 remote-as 65020 ! 주회선 우선 neighbor 169.254.100.1 weight 200 neighbor 169.254.200.1 weight 100 ! 헬스 기반 트래킹(예시) track SLA_IPSEC reachability route-map PREFER_PRIMARY permit 10 set local-preference 200
이중화/라우팅 설계
장비 이중화 — VRRP/HSRP, 상태 동기화, 장비/라이선스 쌍 구성.
회선 이중화 — 서로 다른 통신사/경로, DIA+MPLS 혼합.
라우팅 — BGP ECMP/백업 경로, PBR로 앱별 경로 고정.
세그먼트 — 지점/업무별 VLAN/VXLAN, 보안그룹 연동.
디도스보호(프록시) — L3/4 유입 시 자동 경로 우회(스크러빙/프록시).
가시성 — 터널 SLA(지연/손실) 기반 경로 전환.
SLA & QoS 지표
| 지표 | 정의 | 권장 기준 |
|---|---|---|
| Latency | 왕복 지연(ms) | < 20ms(국내), < 80ms(해외 일부) |
| Jitter | 지연 편차 | < 10ms(실시간 트래픽) |
| Packet Loss | 손실율 | < 0.1% |
| Throughput | 실효 처리 | 암호화 오버헤드 포함 측정 |
| Availability | 월 가용성 | 99.9%~99.99% 목표 |
개통/운영 절차
① 요구사항 수집 → ② 고수준 설계(HLD) → ③ 상세 설계(LLD) → ④ 회선 발주/터널 사전 구성 → ⑤ PoC/파일럿 → ⑥ 본개통/컷오버 → ⑦ 모니터링/최적화
* 변경관리/백아웃 플랜 포함. 야간/주말 작업 협의 가능.
설계 체크리스트
- 지점 수 / 위치 / 예상 트래픽
- 필수 애플리케이션 포트/프로토콜
- 암호화 요구 (규정/컴플라이언스)
- 공인 IP, NAT 계획, 포트포워딩
- 라우팅 정책(BGP ASN, 대역 광고)
- 가용성 목표(RTO/RPO, 이중화 범위)
- QoS 대상(음성/화상/ERP 등)
- 감사/로깅 및 보존 기간
- 디도스보호(프록시) 필요 여부
- 운영 창구/알림 채널/권한 체계
[VPN/전용선 체크리스트] - 지점/위치/트래픽: - 애플리케이션/포트: - 암호화 요구: - 공인IP/NAT: - BGP ASN/대역: - 가용성 목표: - QoS 대상: - 로깅/보존: - 디도스보호(프록시): - 운영/알림/권한:
플랜/요금
| 플랜 | 범위 | 지원 | 요금 |
|---|---|---|---|
| Standard | Site-to-Site/SSL 기본, 단일 경로 | 평일 9-6 | 별도문의 |
| Advanced | 이중화+BGP, QoS/모니터링 대시보드 | 평일 9-6 + 긴급 | 별도문의 |
| Enterprise | 다사업자 전용선/메쉬, 자동화/플레이북 | 24/7 전담 | 별도문의 |
| * 실제 구성/회선/장비는 상담 후 확정됩니다. | |||
안정적인 연결, 예측 가능한 성능
지점 수/대역폭/보안 요건을 알려주시면 최적 경로와 예산을 설계해 드립니다.