VPN 2계층 vs 3계층 한눈에 정리
키워드: 전송 단위(프레임 vs 패킷) · 브로드캐스트 처리 · 라우팅 필요성 · 적합한 사용처 · 대표 기술
1) 핵심 비교 표
| 구분 | 전송 단위 | 주소 체계 | 브로드캐스트/멀티캐스트 | 라우팅 필요 | 대표 기술/프로토콜 | 주 사용처 | 장점 | 유의점 |
|---|---|---|---|---|---|---|---|---|
| 2계층 VPN (L2 VPN) | 이더넷 프레임 | MAC 중심 (L2) | 그대로 통과(동일 브로드캐스트 도메인) | 선택 | L2TPv2/v3, PPTP(레거시), EtherIP, MPLS L2VPN(VPLS/VPWS), OpenVPN TAP(브리지) | 레거시 L2 프로토콜 전송, 동일 서브넷 확장(DC 연장), 산업·OT 네트워크 | 단순한 L2 확장, L2만 쓰는 앱/프로토콜 호환 | 브로드캐스트 폭증 위험, 루프/스톰 주의, MTU 감소, WAN에서 L2 확장은 장애 도메인 확대 |
| 3계층 VPN (L3 VPN) | IP 패킷 | IP 중심 (L3) | 기본적으로 차단/제어 (라우팅에 따름) | 필수 | IPsec(터널/트랜스포트), GRE(+IPsec), DMVPN(mGRE+NHRP+IPsec), GETVPN, MPLS L3VPN(BGP VPNv4), OpenVPN TUN, WireGuard | 사이트-사이트, 원격접속, 대규모 허브-스포크/메시 | 라우팅 제어 용이, 브로드캐스트 억제, 확장성·정책화 우수 | 라우팅 설계 필요, NAT·MTU 고려, 이종 네트워크 통합 시 정책 복잡 |
포인트
L2 VPN은 “같은 스위치에 붙은 것처럼” 보이게 브리지(Bridge) 를 WAN 넘어 확장.
L3 VPN은 네트워크끼리 라우팅으로 묶는 형태. 브로드캐스트는 기본적으로 차단하거나 별도 멀티캐스트 설정이 필요.
2) 2계층 VPN 빠르게 이해하기
-
동작: 원격 지점의 L2 프레임(이더넷)을 캡슐화해 전송 → 반대편에서 디캡슐화 후 스위칭.
-
대표 기술
-
L2TPv2(UDP/1701): 보안은 없고, 일반적으로 IPsec과 결합(L2TP over IPsec)해 사용.
-
L2TPv3: L2 pseudowire 확장(프레임 릴레이/ATM/Ethernet 등) — 사업자망에서 점대점 L2 회선 대체.
-
MPLS L2VPN: 통신사 망에서 VPLS(멀티포인트), VPWS(포인트-포인트) 제공.
-
OpenVPN TAP 모드: 소프트웨어 기반 L2 브리지(동일 서브넷 필요할 때).
-
PPTP: MS-CHAPv2 취약 등으로 비권장(레거시).
-
-
적합한 경우
-
동일 서브넷이 꼭 필요(예: 브로드캐스트/ARP 의존 앱, 오래된 산업·제조 설비).
-
“L2만 아는” 레거시 프로토콜을 그대로 보내야 할 때.
-
-
주의
-
브로드캐스트 스톰/루프 방지(SPW/ERPS, STP구성), L2 도메인 최소화.
-
MTU/MSS 조정(캡슐화 오버헤드), 장애 도메인 확대에 주의.
-
3) 3계층 VPN 빠르게 이해하기
-
동작: 사이트 간 IP 패킷을 외부망(IP)로 캡슐화/암호화하여 전달, 수신측에서 라우팅으로 분배.
-
대표 기술
-
IPsec: 표준 L3 VPN. 터널 모드(사이트-사이트), 트랜스포트 모드(호스트-호스트).
-
GRE + IPsec: GRE로 멀티캐스트/라우팅 프로토콜 운반, IPsec로 암호화.
-
DMVPN: mGRE + NHRP + IPsec로 동적 허브-스포크/스포크-스포크 형성(규모 확장 용이).
-
GETVPN: 서비스 공급자 망 내 터널 없이 그룹 키로 암호화(엔터프라이즈 WAN).
-
MPLS L3VPN: 통신사가 BGP(VPNv4, RD/RT) 기반 가상 라우팅으로 고객망 분리.
-
OpenVPN TUN, WireGuard: 소프트웨어 기반 L3 VPN(원격접속/사이트-사이트).
-
-
적합한 경우
-
사이트 분산, 라우팅 정책/보안 정책 세분화, 대규모 스케일아웃.
-
클라우드/지사/원격근무 환경에서 IP 레벨 제어가 필요할 때.
-
-
주의
-
라우팅 설계(정적/동적: OSPF/BGP/EIGRP 등), NAT Traversal(UDP 4500),
-
암호화 오버헤드 → MTU/MSS Clamp, 하드웨어 오프로딩(AES-NI/암호화 가속) 고려.
-
4) 설계·운영 체크리스트
공통(2계층·3계층)
-
암호 스위트·키 길이 정책(기업 표준) 준수, IKEv2 선호, 재키 교환 주기 설정
-
HA(이중화) : 터널 모니터링·트래픽 분산, 데드피어 감지(DPD)
-
가시성: NetFlow/sFlow, Syslog, VPN 상태 트래킹, SLA(지연·손실) 모니터링
-
성능: 캡슐화 헤더 계산해 유효 MTU 산정, MSS Clamping 적용
2계층 VPN 추가
-
브리지 도메인 최소화, STP/Loop Guard, 브로드캐스트 제한(Storm Control)
-
OT/산업망 분리와 방화벽 L3 경계 설정
3계층 VPN 추가
-
라우팅 정책(접근 제어·경로 선호도), 분기 망(Split-Tunnel) vs 전구간(Full-Tunnel) 결정
-
멀티캐스트 필요 시 GRE/DMVPN 구사, QoS로 지연 민감 트래픽 우선순위
5) 실무 시나리오로 이해하기
-
“지사 PC들이 본사 DHCP/AD를 같은 L2처럼 써야 해요.”
→ L2 VPN(예: L2TPv3, VPLS, OpenVPN TAP). 브로드캐스트가 꼭 필요한 케이스. -
“지사 수십 곳을 메시에 가깝게 연결하고 라우팅 정책을 유연하게.”
→ L3 VPN(예: DMVPN, BGP 연동). 확장성과 정책성이 핵심. -
“통신사 망으로 전국 지사 네트워크를 논리 분리.”
→ MPLS L3VPN(운영/관리 부담을 통신사에 위임).
6) 시험에 잘 나오는 암기 포인트
-
L2 vs L3 전송 단위: 프레임 vs 패킷
-
브로드캐스트: L2는 전달, L3는 기본 차단(필요 시 멀티캐스트/라우팅으로)
-
L2TP는 보안X → 보통 IPsec과 결합(L2TP over IPsec)
-
PPTP: 레거시/취약 → 비권장
-
DMVPN 구성요소: mGRE + NHRP + IPsec
-
MPLS L3VPN: RD/RT, VRF로 고객망 분리
-
OpenVPN: TAP=L2, TUN=L3
-
WireGuard: 경량 L3 VPN
7) 초압축 결론
-
동일 서브넷, L2 의존 앱 → 2계층 VPN
-
확장성·정책·라우팅 제어 → 3계층 VPN
-
실무 기본값은 보통 L3(IPsec/DMVPN/WireGuard), L2는 필요할 때만 최소 범위로.
