04. VPN 전체 여정

이 섹션은 사이트 간(VPN) 암호화 채널을 다룹니다. IPsec의 기본 개념부터 시작해, 정적 IPsec 터널, 그리고 다수의 지사를 효율적으로 연결하는 **DMVPN(Dynamic Multipoint VPN)**의 단계별 진화까지 — 공개망 위에서 안전한 사설 네트워크를 구축하는 도구를 정리합니다.

전체 지도

1부. 🔐 IPsec 기초 (01–02)

질문: 인터넷처럼 신뢰할 수 없는 공개망 위로 본사·지사 사이 트래픽을 보내야 한다면, 어떻게 도청·변조를 방어할 것인가?

핵심 개념:

• IKE (Internet Key Exchange): 키 협상 (Phase 1: SA 설정 / Phase 2: 데이터 암호화 SA)
• ESP: 페이로드 암호화 + 인증 (현업 표준)
• AH: 인증만, 거의 안 씀
• Crypto Map: 전통적 IPsec 적용 방식 (인터페이스에 ACL+map 부착)

한계: 두 사이트면 OK인데, 지사가 N개면 풀 메시는 N² 터널. 운영 부담 폭증 → 2부 DMVPN으로.

2부. 🌐 DMVPN (03–06)

질문: 본사 + N개 지사 환경에서, 모든 지사 간 메시 통신을 효율적·동적으로 만들 수 없나?

DMVPN = Dynamic Multipoint VPN. mGRE + NHRP + IPsec의 결합으로 본사를 hub로 두고 지사들이 spoke로 동적으로 연결되는 구조.

스토리 흐름:

1. Phase 1: 가장 단순. 모든 spoke 트래픽이 hub를 거침. hub가 병목.
2. Phase 2: spoke끼리 직접 통신 가능해짐. 단 라우팅 프로토콜에서 next-hop을 보존해야 함 (no ip next-hop-self).
3. Phase 3: hub가 NHRP redirect로 spoke에게 “더 좋은 경로”를 알려줌. 라우팅 설정 단순화 + 확장성 ↑.

현업 비중: 신규 배치는 거의 다 Phase 3. Phase 1·2는 학습용 또는 레거시 환경.

DMVPN의 대안

DMVPN 외에도:

• GETVPN: 그룹 암호화. 사설망 위 다수 지사 (본사 통제). 04_VPN에서는 별도 다루지 않지만 알아둘 가치.
• FlexVPN: IKEv2 + DMVPN 진화. 신규 표준이지만 학습 곡선 있음.
• Static VTI (Virtual Tunnel Interface): 양사이트 사이 IPsec 한 묶음 — [[05_Security/22_IPSec Static Virtual Tunnel Interface]]에서 다룸.
• SD-WAN: Cisco SD-WAN, Velocloud 등 — VPN의 클라우드 매니지드 대안. 현대 트렌드.

다음 섹션으로

VPN 채널이 깔리면 그 위로 흐르는 트래픽을 어떻게 검증·필터링할 것인가가 다음 주제 — [[05_Security/01_Security Journey Overview]]의 ACL·방화벽 영역. CheckPoint 게이트웨이를 VPN 종단으로 쓰는 환경이라면 [[03_CheckPoint]] 섹션도 참조.

읽는 순서 권장

• 빠른 훑기: 01 → 06 (개념 + Phase 비교)
• DMVPN 실제 구축: 03 → 04 → 05 순차 (Phase 1·2·3 단계별 동작 차이를 직접 그려보기)
• 레거시 환경 운영: 02 (Crypto Map 정적 IPsec — 신규 배치엔 거의 안 쓰지만 운영 중인 사이트 많음)