안녕하세요, 외부에서 내부망(해외 본사 망) 연결 시 속도 저하 문제로 내부에 자체 서버를 두고자 합니다.
현재 해외 본사와의 내부망 연결은 하기와 같습니다. 저희는 업종 상 영업분들의 내부망 접속이 잦아 Forti client를 이용해 직접 해외 본사 IDC 망의 네트워크 대역을 사용하는데 아무래도 거리가 직접 연결하는 SSL VPN 특성 상 속도가 굉장히 느려 불편함이 많이 나오고 있습니다.
하고자 외부에서 내부망 이용 필요 시 외부 IP등을 자체 서버와 맵핑하여 해외 본사와 연결 되어 있는 저희 자체 서버(한국 지사 사설 대역) 를 두고 이용 하고자 하는데 하기 가장 좋은 네트워크 구성 혹은 설계가 어떤 것일지 의견 부탁드리겠습니다.
6개의 답변이 있습니다.
CDN을 황용하시면 도움이 될것 같습니다.
VPN 접속을 본사에서 지사로 바꾸더라도
방화벽, VPN 설정 외에 크게 변경될 내용은 없어 보입니다.
좀 더 디테일한 부분은 네트워크 유지보수 업체가 있다고 가이드 받으시면 좋을것 같아요
특히 장거리에서 내부 네트워크에 대한 원격 액세스를 위한 네트워크 성능을 향상하려면, 설정 최적화를 위해 여러단계를 검토해봐야 할 것같습니다.
경험상 동남아 같은 개발도상국에 파견나가 있는 직원들, 현지인과의 협업 등을 할 때 현지 네트워크 상황이 너무 좋지않아 검토했던 내용은 공유하자면,
1. 한국<->해외 간 트래픽을 가속화 할 수 있도록 WAN 구축도 고려해 보세요. 특히, 대용량 파일 전송에 효과적 입니다.
2. FortiClient SSL VPN이 전체 터널링으로 구성된 경우 분할 터널링 구현을 고려해 보세요. 이렇게 하면 인터넷 트래픽이 로컬단 에서 종료되어 전반적인 성능이 향상됩니다.
3. SD-WAN 솔루션을 고려해 보세요. 대기 시간 및 대역폭 가용성과 같은 요소를 고려하여 가장 최적의 경로를 통해 트래픽을 동적으로 라우팅할 수 있습니다.
4. CDN을 활용해서 자주 액세스하는 콘텐츠를 캐시하고, 정적 리소스의 대기 시간을 줄이는 방안을 고려해보세요.
5. 한국지사에 프록시 서버를 두고 트래픽을 캐시하고 최적화하는 방안도 고려해보세요. 해외본사 네트웍 부하를 줄일 수 있을 것입니다.
6. SSL VPN이 아닌, 본사-지사간 IPSEC VPN을 고려해보세요.
7. 연결 특성에 따라 MTU, QoS 및 기타 관련 설정을 통해 네트워크 성능을 최적화하세요.
중요한건, 한방에 해결하기 어려운 부분이 이런 경우이니 하나씩 개선해 나간다 생각하고 적용해보고 모니터링을 꾸준히 하는게 중요합니다.
해외에서 자주 한국 본사와 통신을 해야 된다고 하면,
본사의 메인 방화벽 장비와 동일한 벤더사의 ipsec vpn용 작은 장비를 하나 사셔서 IPsec vpn으로 장비끼리 연동하여 내부망으로 접속하게 하는게 가장 베스트인거 같습니다.
IPSEC vpn 연동하게 되면 vpn연결 유지를 위한 udp 500 포트만 문제가 되지 않으면 sslvpn 보다는 빠르게 이용할수 있다고 생각됩니다.
해외라서 네트워크 속도 자체가 느려서 그런건 아닐까 하는 생각이 드는데요.
네트워크 속도 자체가 느려서 생기는 문제라면 개선을 위한 방안이 많이 제한될거라 생각되어 지고...
네트워크 속도는 어느정도 괜찮은데, SSLVPN 특성으로 인한 문제라면, IPsec VPN을 사용할 수 있는 방법도 검토해 볼 수 있지 않을까 하는 생각이 들고요.
서버에 VPN 솔루션 ( SoftEther VPN 등 )을 자체 구축해서 사용하는 방법도 검토해 볼 필요가 있어 보이고...
아니면, 서버에 원격 데스크 탑이나, VNC를 이용해서 원격 접속해서 사용하거나... 서버 대신 원격 접속용 컴퓨터를 두고서 원격 접속용 컴퓨터에 원격 접속한 후에 내부 네트워크를 사용하는 방법도 검토해 볼 필요가 있어 보이네요.
june4920 | 3달 전
네 우선 그림과 같이 사무실 쪽은 MPLS를 통한 FW TO FW 라우팅으로 구성이 되어 있고 SSLVPN FortiCliet 전용망의 경우 모든 RBU들이 (해외지사) 본사의 하나의 서버로 집중되어 트래픽 문제로 굉장히 불안정 합니다. 이렇게 구성한 이유는 일전 랜섬웨어 떄문이라고는 하나... 너무 불편함이 많이 보안적인 측면과 속도 두가지를 다 잡을 수 있는 구성을 여쭈어 보려고 했습니다 !
SSLVPN으로 본사 접속하신다고 하셨는데
아마 utm에 있는 sslvpn을 사용하지 않나 싶습니다. 소닉월같은 전문 sslvpn장비가 아닌 utm 장비의 ssl을 사용하면 방화벽에있는 최대 트래픽을 여러명이서 나눠쓸거에요
예전장비는 최대 sslvpn트래픽이 20m 였고 지금은 50m 이상 나온다고 하지만 공유 일테고
통신하는 데이터의 암호화까지하면 실제 데이터 통신은 절반도 안나올테니 해외에서 접속시 암울한 속도 나올거에요
영업사원등 개인이 외부에서 접속하는 sslvpn 장비를 도입하는것도 좋을거같구요
방화벽 한대로 다 처리하시는것 같은데 분리 하는것도 좋을거고
SITE TO SITE로 vpn 연결된 지사 같은곳은 웹압축기 같은것도 있고해서 속도를 높일수 있구요
회사 인터넷이 여러개인지 알수 없는데 ssl로 접속되는 망이 포화는 아닌지도 확인해야하고
방화벽 cpu가 넉넉히 처리중인지 로그가 30%이상 넘은 적이 있는지
만약 해외에서 한국본사 내부망에 접속해야한다면 서버를 클라우드로 넘기는게 더 효과적일수도 있어요
단순히 서버를 utm의 dmz에 연결하여 외부 공인ip 세팅하면 SSLVPN접속보다는 쾌적할것 같아요
june4920 | 3달 전
네 정확한 트래픽 정보는 본사 주관이라 알 수 없지만 본사의 다른 모든 해외 지사 (5000명이 넘는 인원)이 같은 Route로 사용하다 보니깐 트래픽 관련 문제 같긴 합니다. 그래서 이러한 방식을 검토 하려고 합니다 !