그림으로 공부하는 TCP IP 구조 1장 요약

회선 교환 방식(circuit exchange method)

---

- 데이터를 교환하기 전에 일대일의 전송로를 생성하고 교환을 마칠 때까지 전송로를 계속 사용하는 방식
- 일대일의 전송로를 사용하기 때문에 접속하는 동안에는 다른 사용자와 통신이 불가능( = 통화중)
- 전화기의 통신 방식
- 안정적인 품질 유지 가능
- 데이터가 흐르지 않을 때에도 회선이 유지되기 때문에 회선 이용 효율이 낮아 데이터 교환에 적합한 통신 방식이 아니다.
 

패킷 교환 방식(packet exchange method)

---

- 데이터를 패킷이라는 작은 단위로 나누어 네트워크로 보내는 방식
- 송신 측 컴퓨터는 데이터에 헤더라는 정보를 붙여 패킷 교환 네트워크로 패킷을 보냄
- 헤더에는 수신 컴퓨터 정보, 데이터 중 몇 번째에 해당되는 패킷인지 등에 정보가 포함되어 있음
- 패킷 교환 네트워크는 헤더 정보를 통해 수신 컴퓨터로 패킷을 전달 -> 수신 컴퓨터의 헤더 정보를 보고 원 데이터로 복원
- 필요한 만큼만 회선을 사용할 수 있고, 같은 회선을 사용해 다른 사용자의 데이터도 전송할 수 있기 때문에 회선을 효율적으로 사용 가능
- 경로상에서 패킷이 사라지거나 손상되어도 해당 패킷만 다시 전송하면 곧바로 복구 가능
- 현대 인터넷 네트워크에서 사용하는 방식
 
 

프로토콜(Protocol)

---

- 패킷을 처리하기 위한 규칙
- 통신에 필요한 기능별로 명확하게 규정되어 있기 때문에 PC 제조사나 운영체제가 다르더라도, 유 무선에 관계없이 동일하게 패킷을 교환할 수 있음
 
 

프로토콜에 결정되어 있는 것

1.  물리적 사양
   1. LAN 케이블 소재, 커넥터 형태, 그 핀 할당에 이르기까지 네트워크에서 눈에 보이는 모든 것들은 프로토콜에 정의되어 있다
   2. 와이파이 환경에서 전파의 주파수, 패킷을 전파로 변환하는 방식
   3. PC의 NIC는 프로토콜에 정의된 내용에 기반하여 케이블이나 전파 드의 전송 매체에 패킷을 보냄
2. 송신 상대 특정
   1. IP 주소를 통해 송신 상대를 구별
3. 패킷 전송
   1. 헤더의 어디에서 어디까지 어떤 정보를 포함하고 어떤 순서로 교환하는지 등이 정의되어 있음
   2. 패킷 교환기는 헤더의 정보를 기반으로 릴레이처럼 패킷을 전송
4. 신뢰성 확립
   1. 패킷이 언제 어디서 어떤 상황에서 손사오디거나 사라지는지 알 수 없으므로 에러를 알리거나 데이터를 재전송하는 구조를 제공
5. 보안 확보
   1. 중요한 정보를 안심하고 교환할 수 있도록 올바른 통신 상대인지 인증하고 통신을 암호화하는 구조를 제공

TCP/IP 참조 모델

---

- 링크 계층, 인터넷 계층, 트랜스포트 계층, 애플리케이션 계층 으로 나뉨
- 링크 계층: 디지털 데이터를 물리적인 전송 매체로 보내는 변환/변조 및 그 신뢰성을 확보하는 처리를 수행
- 인터넷 계층: 수신지가 되는 컴퓨터 까지의 통신 경로를 확보하는 처리를 수행
- 트랜스포트 계층: 애플리케이션을 식별하고, 그에 따라 통신 제어
- 애플리케이션 계층: 사용자에게 애플리케이션을 제공
 

OSI 참조 모델

---

• 물리 계층(physical layer): 디지털 데이터를 전기 신호나 광 신호, 전파로 변환해 네트워크로 전송
• 데이터링크 계층(datalink layer): 물리 계층의 신뢰성을 확보하고, 같은 네트워크에 있는 단말과의 연결성을 확보
• 네트워크 계층(network layer): 다른 네트워크에 있는 단말과의 연결성을 확보
• 트랜스포트 계층(transport layer): 애플리케이션 식별 및 그에 따라 통신 제어
• 세션 계층(Session layer): 애플리케이션 데이터를 송신하기 위한 논리적 통신로(세션)를 관리
• 프리젠테이션 계층(presentation layer): 애플리케이션 데이터를 통신 가능한 방식으로 변환
• 애플리케이션 계층(application layer): 사용자에게 애플리케이션을 제공

계층	계층 이름	PDU
7 Layer	애플리케이션 계층(application layer)	데이터, 메시지
6  Layer	프리젠테이션 계층(presentation layer)	데이터 , 메시지
5  Layer	세션 계층(Session layer):	데이터 , 메시지
4  Layer	트랜스포트 계층(transport layer)	세그먼트(TCP), 데이터그램(UDP)
3  Layer	네트워크 계층(network layer)	패킷
2  Layer	데이터링크 계층(datalink layer)	프레임
1  Layer	물리 계층(physical layer):	비트

 
- 캡슐화: 송신 단말은 애플리케이션 계층에서 순서대로 각 계층에서 페이로드에 헤더를 붙여 PDU로 만들어 한 단계 아래 계층으로 전달
- 비캡슐화: 대응하는 수신 단말은 물리 계층에서 순서대로, 각 계층에서 PDU로 부터 헤더를 제거하고 페이로드만들 한 단계 위 계층으로 전달
=> 각 계층의 PDU가 아래 계층으로 페이로드가 되고, 각 계층의 페이로드가 위 계층의 PDU가 되는 방식
 

물리 계층에서 동작하는 장비

---

•  NIC(Nework Interface Card)
  • 서버, 컴퓨터를 네트워크에 연결하기 위해 필요한 하드웨어
  • 모든 네트워크 단말은 애플리케이션과 운영체제가 처리한 패킷을 NIC를 통해 LAN 케이블이나 전파로 보냄
• 리피터
  • 파형을 한 번 더 증폭해서 정돈한 뒤 다른 쪽으로 전송해주는 장비
  • 전송 거리를 늘려 패킷이 더 멀리 도달 가능
• 리피터 허브
  • 전달받은 패킷의 복사본을 그대로 다른 모든 포트에 전송하는 장비
  • L2 스위치로 대체되어 더 이상 사용되지 않음
• 미디어 컨버터
  • 전기 신호와 광 신호를 서로 교환하는 기기
  • 광섬유 케이블을 연결하지 못하는 기기만 있는 상황에서 네트워크를 연장하고자 할 때 사용
• 엑세스 포인트
  • 패킷을 전파로 변조/복조하는 기기
  • 와이파이에 접속해 있을 때는 엑세스 포인트를 우선 경유해서 유선 네트워크로 들어가게 되는 방식
  • 가정에서 사용하는 라우터

데이터링크 계층에서 동작하는 기기

---

• 브리지
  • 포트와 포트 사이의 다리 역할을 담당
  • 단말에서 받아들인 MAC 주소를 MAC 주소 테이블로 관리하고 전송 처리
  • L2 스위치로 대체되어 더 이상 사용되지 않음
• L2스위치
  • 많은 포트를 가진 브리지
  • 단말에서 받아들인 프레임의 MAC주소를 MAC주소테이블로 관리하고 전송 처리

네트워크 계층에서 동작하는 기기

---

• 라우터
  • 단말로부터 받아들인 IP 패킷의 IP 주소를 확인하고 자신이 속한 네트워크를 넘은 범위에 잇는 단말로 전달하는 역할을 담당
  • IP 패킷을 릴레이하여 목적지까지 전송
  • 라우터의 다양한 기능
    • 라우팅 프로토콜: 라우터끼리 정보를 교환해, 라우팅 테이블을 동적으로 만드는 프로토콜(RIPv2, OSPF, BGP)
    • PPPoE: 거점 사이를 일대일로 연결하는 PPP(Point-to-Point Protocol)를 이더넷에서 캡슐화하는 프로토콜
    • IPsec VPN
      • 인터넷상에 가상저인 전용선을 만드는 프로토콜
      • 거점 사이를 연결하는 거점간 VPN과 사용자 단말을 연결하는 원격 엑세스 VPN의 2 종류가 있다.
    • DHCP: 단말의 IP 주소 등을 동적으로 설정하기 위한 프로토콜
• L3스위치
  • 라우터에 L2스위치를 추가한 장비
  • 여러 포트가 존재하여 여러 단말을 연결할 수 있으며, IP 패킷 라우팅도 가능
  • L3 스위치는 MAC 주소 테이블과 라우팅 테이블을 조합한 정보를 FPGA(Field Programmable Gate Array)나 ASIC(Application Specific Integrated Circuit) 등의 패킷 전송 처리 전용 하드웨어에 기록하고, 그 정보를 기반으로 스위칭 혹은 라우팅을 한다

트랜스포트 계층에서 동작하는 기기

---

• 방화벽
  • 단말 사이에서 교환되는 패킷의 IP 주소나 포트 번호를 보고, 통신을 허가하거나 차단하는 장비
  • 스테이트풀 인스펙션이라고도 부름

애플리케이션 계층에서 동작하는 기기

---

• 차세대 방화벽(next-generation firewall)
  • 스테이트풀 인스펙션과 함께 VPN이나 IDS(Intrusion Detection System, 침입 탐지 시스템), IPS(Intrusion Prevention System, 침입 차단 시스템) 등 다양한 보안 기능을 넣은 통합화를 추구
  • 다양한 정보를 애플리케이션 레벨에서 해석함에 따라, 전통적인 방확벽보다 높은 차원의 보안, 운용 관리성을 제공
• WAF(Web Application Firewall)
  • 클라이언트와 서버 사이에서 교환되는 정보의 움직임을 애플리케이션 레벨에서 하나하나 검사하고 필요에 따라 차단하는 장비
  • XSS(Cross-Site Scripting), SQL Injection 등 웹애플리케이션의 취약성을 이용한 교묘한 공격을 방어
• 부하분산장치(L7 스위치) / 로드벨런서
  • 클라이언트들로부터 받아들인 패킷을 부하 분산 방식이라는 방법에 근거해, 뒤쪽에 있는 여러 서버들로 나눔으로써 시스템 전체적으로 처리 가능한 트래픽양을 확정하는 것을 목표로 하는 장비
  • 헬스체크를 통해 정기적으로 서버를 감시함으로써, 장애가 발생한 서버를 부하 분산 대상에서 제외하여 가용성을 향상

물리 어플라이언스 / 가상 어플라이언스

---

1. 물리 어플라이언스

• 패킷을 처리하는 소프트웨어가 동작하기 위해 최적의 하드웨어로 구성
• 단순한 처리를 하거나, 반대로 복잡한 처리를 하는 것을 별도의 전용 하드웨어가 담당하게 함으로써 처리 효율과 성능을 향상하는 것을 목표로 함

2. 가상 어플라이언스

• 가상화 기술을 제공하는 소프트웨어 위에서 동작하는 네트워크 기기
• 물리 서버를 소프트웨어적으로 가상화한 여러 서버나 네트워크 기기로 나누어 이용하는 기술
• 가상화 소프트웨어를 사용해 하드웨어를 나누고, OS에 할당해 물리 서버를 나누는데 이러한 가상화 기술을 통해 만들어진 기기를 가상 머신이라고 부른다.

 

네트워크 형태

---

1. LAN (Local Area Network)

• 가정이나 기업 등 한정된 범위의 네트워크를 의미
• 가정 내 LAN 환경에서는 단말기가 브로드밴드 라우터를 통해 외부 인터넷과 연결되는 방식
• 기업 내 LAN 환경에서는 단말기가 엑세스 포인트나 에지 스위치(edge switch, L2 스위치) 등에 우선 연결되고, 에지 스위치를 집약하는 코어 스위치를 경유하여 인터넷이나 사내 서버에 연결되는 방식'

2. WAN(Wide Area Network)

• 거리상 멀리 떨어진 범위의 네트워크를 의미 / 인터넷과 VPN을 사용한 내부망으로 나눌 수 있음
• 인터넷
  • 공중 WAN을 의미하며 인터넷 서비스 제공자나 연구 기관, 기업 등이 가진 수많은 라우터가 연결되어 셀 수 없이 많은 패킷을 운반하여 통신
  • 각 ISP에는 AS number(Autonomous System/ 각 조직이 관리하는 범위)라는 인터넷상 일련의 관리 번호가 할당되고 인터넷에서는 몇 번과 몇 번의 AS 번호를 어떻게 연결하는가, 어떤 AS 번호에 대한 경로를 우선 사용하는가 등을 엄밀하게 규정하고 있으며, 패킷은 그 규칙을 따라 인터넷을 이동하는 방식
• 폐역 VPN망
  • LAN과 LAN을 연결하는 네트워크를 의미
  • 직접 구축하거나 통신 사업자가 제공하는 WAN 서비스를 계약해 구축 가능
  • 직접 구축할 때는 라우터나 방화벽의 거점 간 VPN 기능을 사용
  • VPN은 Virtual Private Network의 약자로 인터넷상에 가상의 전용선을 만드는 기능
  • IPsec이라는 프로토콜을 사용해 거점 사이를 일대일로 연결하고 해당 통신을 암호화

3. DMZ (DeMilitarized Zone)

• 인터넷에 공개하는 서버를 설치한 네트워크를 의미
• DMZ에서는 어떤 기기가 고장나더라도, 어떤 케이블이 끊어지더라도 경로가 즉시 전환되어 서비스를 계속 제공할 수 있도록 동일한 종류의 네트워크 기기를 병렬로 배치
• 일반적으로 L3 스위치로 ISP의 인터넷 회선을 받아 방화벽으로 방어하고, 부하 분산 장치로 여러 서버로 트래픽을 나누며 각 장비마다 스탠바이 장비가 존재한다.

새로운 네트워크 형태

---

1. SDN (Software Defined Network)

• 소프트웨어에 의해 관리 및 제어되는 가상적 네트워크, 또는 이를 구성하기 위한 기술을 의미
• 크게 오버레이 타입과 홉바이홉으로 나뉘며 현재는 오버레이 타입만 사용됨
• 오버레이 타입은 스위치 사이에 가상적인 터널을 만들고 패킷을 전송하는 방식으로 터널에는 VXLAN이라는 프로토콜을 사용

2. CDN (Content Delivery Network)

• 이미지, 동영상, HTML, CSS등 웹 콘텐츠로 사용되는 다양한 파일을 대량으로 송신하기 위해 최적화된 인터넷상의 서버 네트워크를 의미
• CDN은 오리지널 웹콘텐츠를 가진 오리진 서버와 그 캐시를 가지는 에지 서버로 구성되며, 사용자는 물리적으로 거리가 가까운 에지 서버에 접속하여 웹콘텐츠를 제공 받는 방식
• 에지 서버는 캐시를 가지고 있지 않거나 그 유효 기간이 만료되었을 때만 오리진 서버에 접속

3. IoT (Internet of Things)

•  주변에 있는 다양한 것들이 인터넷에 연결된 구조
• 가벼움, 빠른 속도 적은 전력이 공통적인 요건으로 그에 맞는 프로토콜로 CoAP(Contrained Application Protocol)와 MQTT(Message Queing Telemetry Transport) 가 있다.
• CoAP
  • 트랜스포트 계층의 UDP를 사용한 프로토콜로 빠르게 실시간 데이터를 전송할 수 있음
• MQTT
  • TCP 상에서 동작하는 브로커 타입 프로토콜로 퍼블리셔(Publisher), 브로커(Broker), 서브스크라이버(Subscriber)라는 3가지 요소로 구성
  • 퍼블리셔는 수집한 데이터를 송신하는 기기를 의미하며 토픽이라는 식별자를 붙여 브로커에게 데이터를 송신한다
  • 서브스크라이버는 토픽을 사용해 어떤 데이터를 원하는지를 브로커에게 등록

4. IaaS (Infrastructure as a Service)

• 서버나 네트워크 등의 인프라를, 인터넷상에서 구축하는 클라우드 서비스
• 대표적으로 AWS, Azure, GCP, NCP 등이 존재