그외/네트워크
각 Layer 별 장치, 혹은 AWS 서비스에 대한 정리
제이Lee
2025. 6. 12. 15:20
내가 주로 업무를 하는 곳은 L7이다 보니깐,
자꾸 그 밑 계층에 대한 부분들은 자꾸 까먹게 된다.
그래서 까먹을 때마다 보기 위해 정리해둔다.
1. L3 스위치 vs L4 스위치 vs L7 ADC
| OSI 계층 | L3 (Network) | L4 (Transport) | L7 (Application) |
| 기준 | IP 주소 기반 | IP + 포트 기반 | URL, 쿠키, HTTP 헤더 기반 |
| 라우팅 방식 | 라우터처럼 IP 기반 경로 지정 | TCP/UDP 연결 상태로 분산 | 콘텐츠에 따라 트래픽 분산 |
| 용도 | 라우팅 + VLAN + ACL | TCP/UDP 부하분산 | 웹 서비스 트래픽 최적화 |
| 예시 | 192.168.0.x → 10.0.0.x | TCP 80 → 서버1 or 서버2 | /login → A, /images → B |
- L3 스위치 : A 내부망에서 B 내부망으로 가기 위한 라우팅 제공
- L4 스위치 : 특정 포트로 접근 시 세션을 확인하여 트래픽 분산
- L7 ADC(스위치) : 웹 트래픽을 분석하여 특정 URL로 접근시 조건에 맞춰 라우팅 제공
2. 각 스위치들의 역할을 하는 AWS 서비스
| L3 (Network Layer) | VPC + Route Table + NAT Gateway | - IP 기반 라우팅 수행 - 서브넷 간 통신, 인터넷 게이트웨이, NAT 등 네트워크 경로 지정 |
| L4 (Transport Layer) | NLB (Network Load Balancer) | - TCP/UDP 포트 기반 로드밸런싱 - 고속 처리, 정적 IP 사용 가능, TLS pass-through 가능 |
| L7 (Application Layer) | ALB (Application Load Balancer) | - HTTP/HTTPS 트래픽 기반 라우팅 - Host/Path/Query 기반 정교한 라우팅 - SSL 종료, WAF 연동, WebSocket 지원 |
3. Interface와 gateway
| Interface | Gateway | |
| 의미 | 장비(서버, 라우터 등)에 연결된 네트워크 포트 | 다른 네트워크로 나가기 위한 경로 (라우터 역할) |
| 계층 | OSI Layer 1~2 (물리/데이터링크) + 일부 Layer 3 | OSI Layer 3 (네트워크 계층) |
| 예시 | eth0, ens160, 192.168.0.10 | 192.168.0.1 (라우터 주소) |
| 역할 | 통신을 위한 네트워크 연결 | 다른 네트워크로 패킷을 전달 |
| 실체 | 물리적(랜포트)/가상 인터페이스 | 보통은 라우터나 방화벽의 IP 주소 |
| AWS 기준 | EC2의 ENI (Elastic Network Interface) | VPC 내 Route Table의 0.0.0.0/0 → IGW 라우팅 등 |
4. VPN
이왕 하는거 이거 까지 다 정리해야 겠다.
| IPSec VPN | IP 계층 (L3) | 중간~빠름 | - 보안성 우수- 표준화되어 호환성 높음- Site-to-Site에 적합 | - 설정 복잡- NAT 환경에서 불편- L4 이상 제어 어려움 | 온프레미스 ↔ AWS / 기업 간 연동 |
| SSL VPN | 애플리케이션 계층 (L7) | 중간 | - 브라우저 기반 접근 가능- 사용자 개별 인증 용이- NAT 친화적 | - TCP 기반이라 속도 손실 가능- 전체 트래픽 라우팅 어려움 | 재택근무, SaaS 접근 등 |
| OpenVPN | SSL 기반 소프트웨어 VPN | 느림~중간 | - 오픈소스, 다양한 플랫폼 지원- 보안 강력- 커스터마이징 용이 | - 속도 느림 (암호화 부하 큼)- 설정 복잡 | 중소기업, 개인용, 개발자 환경 |
| WireGuard | 최신 커널 기반 터널링 | 매우 빠름 | - 경량/고속- 코드 간결 (보안성 높음)- 설정 간단 | - 아직 일부 플랫폼 지원 미흡- 정책 제어는 단순 | 스타트업, 고속 필요 시 |
| AWS Direct Connect | VPN 아님 (전용선) | 최고속도 (1~10Gbps) | - 물리 회선 기반 고신뢰성- SLA 보장- 지연/손실 최소 | - 고비용- 구축 시간 필요 | 금융, 엔터프라이즈, 대규모 트래픽 |
WireGuard는 나도 처음 들어본다.
다음은 AWS에서 제공하는 VPN 서비스이다.
| 1. Site-to-Site VPN | AWS VPN 연결 (Virtual Private Gateway 사용) | 온프레미스 네트워크와 AWS VPC를 IPSec 기반 VPN 터널로 연결 | IDC ↔ AWS, 본사 ↔ AWS 환경 |
| 2. AWS Client VPN | AWS Client VPN | OpenVPN 기반 원격 접속 서비스. 개별 사용자가 사내 VPC에 접속 | 재택근무, 원격 관리자 연결 |
| 3. Transit Gateway VPN | TGW + Site-to-Site VPN | 여러 VPC 또는 온프레미스를 Transit Gateway로 중앙 집중 연결 | 멀티 VPC / 리전 구성 시 |
| 4. AWS VPN CloudHub | VPN CloudHub | 서로 다른 리전/온프레미스 간 Site-to-Site VPN을 연결하여 허브처럼 연결 | 리전 간 전용선 대체 |
| 5. AWS Direct Connect + VPN Backup | DX 연결 시 VPN을 백업 경로로 구성 | 전용선 장애 대비 고가용성 구성 | 금융권, 미션크리티컬 서비스 |
이정도가 중요한 것 같다.