8. 네트워크 종류와 구성 2
32. WAN: 넓은 범위를 연결하는 네트워크
WAN의 정의와 범위
WAN (Wide Area Network): 넓은 물리적 범위를 연결하는 네트워크, 또는 불특정 다수의 호스트나 디바이스가 연결되는 네트워크
지리적 범위로 본 네트워크:
[범위 확장] →
[PAN] (Personal Area Network)
수 미터 범위
↓
[LAN] (Local Area Network)
건물/캠퍼스 범위
↓
[MAN] (Metropolitan Area Network)
도시 범위
↓
[WAN] (Wide Area Network)
국가/대륙 범위
WAN의 특징:
├─ 장거리 통신
├─ 통신 사업자 활용
├─ 높은 비용
└─ 낮은 속도 (상대적)
통신 사업자의 WAN 서비스
전용선 (Leased Line):
전용선 (Leased Line) 연결:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[기업 A 본사] [기업 A 지사]
서울 부산
| |
| |
+-----[통신 사업자 망]------+
전용선 (KT/SKT 등)
전용선 특징:
├─ 전용 대역폭 보장
├─ 높은 안정성: QoS 보장
├─ 고비용
└─ 고정 연결 (Point-to-Point)
IX (Internet Exchange) 연결:
IX (Internet Exchange) 구조:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[ISP A] [ISP B]
AS 1000 AS 2000
\ /
\ /
\ /
\ /
\ /
[IX]
Internet Exchange
인터넷 교환 센터
/ \
/ \
/ \
/ \
/ \
[ISP C] [ISP D]
AS 3000 AS 4000
IX의 역할:
├─ ISP 간 효율적 상호 연결
├─ 트래픽 교환 (Peering)
├─ 지연시간 감소
└─ 비용 절감
IX 동작 원리:
IX 없이 통신 - 비효율적:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[사용자 A] → [ISP A] → (상위 ISP 경유, 우회, 지연 증가)
(ISP A 고객) ↓
[ISP B] → [사용자 B]
(ISP B 고객)
IX 활용 통신 - 효율적:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[사용자 A] → [ISP A] → [IX] → [ISP B] → [사용자 B]
(ISP A 고객) 직접 전달 피어링 직접 전달 (ISP B 고객)
경로
(빠르고 효율적)
LAN과 WAN의 현대적 의미
전통적 정의:
LAN = 좁은 범위 (건물 내)
WAN = 넓은 범위 (도시/국가)
물리적 거리 기준
현대적 정의 (상대적 개념):
홈 네트워크에서의 LAN/WAN:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[인터넷] ←→ [홈 라우터] ←→ [내부 LAN]
(WAN 측) | (PC, 스마트폰)
|
라우터 기준으로
|
+--------+--------+
| |
[WAN 포트] [LAN 포트]
상위 네트워크 하위 세그먼트
연결 연결
기업 네트워크에서의 LAN/WAN:
[WAN - 외부 연결]
├─ [인터넷]
└─ [타 지사]
↓ ↓
\ /
[경계 라우터]
WAN 인터페이스
|
↓
[코어 스위치]
|
+----+----+
| | |
↓ ↓ ↓
[부서A] [부서B] [서버팜]
서브넷 서브넷 서브넷
[LAN - 내부 네트워크]
경계 기준:
├─ WAN: 조직 외부
└─ LAN: 조직 내부
핵심 이해:
현대적 LAN/WAN 구분:
━━━━━━━━━━━━━━━━━━━━━━━
물리적 거리 < 논리적 경계
WAN 측 (Outside):
- 상위 라우터/ISP에 연결
- 인터넷, 타 거점
- 글로벌 IP 사용
- 외부 라우팅 프로토콜 (BGP)
LAN 측 (Inside):
- 하위 세그먼트로 분할
- 조직 내부 통신
- 프라이빗 IP 사용
- 내부 라우팅 프로토콜 (OSPF)
"로컬"의 범위에 따라 상대적으로 결정
WAN 기술의 종류
전용선 기반:
MPLS (Multi-Protocol Label Switching):
- 레이블 기반 고속 라우팅
- VPN 구성 가능
- QoS 보장
- 기업 지사 간 연결
Metro Ethernet:
- 이더넷 기반 WAN
- 유연한 대역폭
- 도시 내 연결
인터넷 기반:
VPN (Virtual Private Network):
- IPsec VPN (Site-to-Site)
- SSL VPN (원격 접속)
- 저비용
- 인터넷 품질 의존
SD-WAN (Software-Defined WAN):
- 소프트웨어 기반 관리
- 다중 연결 활용
- 자동 경로 최적화
- 클라우드 친화적
33. VLAN: 세그먼트를 분할하거나 결합하는 기술
VLAN의 필요성
물리적 스위치의 한계:
물리적 스위치 구성 - 문제 상황:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[스위치 1 - 3층] [스위치 2 - 2층]
| | | |
| | | |
[개발팀PC] [영업팀PC] [개발팀PC] [영업팀PC]
(3층) (3층) (2층) (2층)
문제점:
├─ 물리적 위치로만 세그먼트 구성
├─ 부서별 분리 불가
├─ 보안 정책 적용 어려움
└─ 유연성 부족
VLAN의 해결책:
VLAN 구성 - 해결:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[VLAN 10 - 개발팀] [VLAN 20 - 영업팀]
| |
┌────┴────┐ ┌───┴────┐
| | | |
↓ ↓ ↓ ↓
[스위치 1 - 3층] ←─────────→ [스위치 2 - 2층]
| | | |
| └──────────┐ ┌───────┘ |
| | | |
[개발팀PC] [영업팀PC] [개발팀PC] [영업팀PC]
VLAN 10 VLAN 20 VLAN 10 VLAN 20
(3층) (3층) (2층) (2층)
해결책의 효과:
├─ 논리적 세그먼트 구성
├─ 물리적 위치 무관
└─ 유연한 네트워크 설계
VLAN 10: 3층 개발팀 + 2층 개발팀 → 하나의 논리적 네트워크
VLAN 20: 3층 영업팀 + 2층 영업팀 → 하나의 논리적 네트워크
VLAN의 동작 원리
VLAN ID (VID):
VLAN 식별자:
- 12비트 값 (1~4094)
- 각 포트에 VLAN ID 할당
- 같은 VLAN ID = 같은 세그먼트
VLAN 태깅 (802.1Q):
이더넷 프레임 구조 비교:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
일반 이더넷 프레임:
┌──────────┬──────────┬──────┬─────────┬─────┐
│ 목적지MAC │ 출발지MAC │ 타입 │페이로드│ FCS │
│ 6바이트 │ 6바이트 │2바이트│ │ │
└──────────┴──────────┴──────┴─────────┴─────┘
802.1Q 태그 프레임 (VLAN 지원):
┌──────────┬──────────┬──────┬─────┬──────┬─────────┬─────┐
│ 목적지MAC │ 출발지MAC │ TPID │ TCI │ 타입 │페이로드│ FCS │
│ 6바이트 │ 6바이트 │0x8100│VLAN │2바이트│ │ │
│ │ │ │ ID │ │ │ │
└──────────┴──────────┴──────┴─────┴──────┴─────────┴─────┘
└─────┬─────┘
802.1Q 태그
(4바이트 추가)
태그 추가 과정:
→ 출발지 MAC 뒤에 VLAN 정보 4바이트 삽입
→ TPID (0x8100): 태그 존재 표시
→ TCI: VLAN ID 및 우선순위 정보 포함
VLAN 태그 구조:
802.1Q Tag (4바이트):
┌──────────────────────────────────┐
│ TPID (2바이트): 0x8100 │ → 태그 존재 표시
├──────────────────────────────────┤
│ TCI (2바이트): │
│ - Priority (3비트) │ → QoS 우선순위
│ - CFI (1비트) │ → 형식 표시
│ - VLAN ID (12비트) │ → 1~4094
└──────────────────────────────────┘
VLAN 포트 타입
Access Port:
Access Port 구성:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[최종 사용자 PC] ←────→ [Access Port] ──── [스위치]
VLAN 10
특징:
├─ 단일 VLAN 할당
├─ 태그 제거하여 전달 (PC로 나갈 때)
└─ 호스트는 VLAN 인식 불필요
동작:
수신 시: 태그 없는 프레임 수신 → VLAN 10 태그 추가
송신 시: VLAN 10 태그 제거 → 일반 프레임으로 PC에 전달
Trunk Port:
Trunk Port 구성:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[스위치 1] ←──→ [Trunk Port] ←──→ [Trunk Port] ←──→ [스위치 2]
VLAN 10,20,30 VLAN 10,20,30
특징:
├─ 다중 VLAN 동시 전송
├─ 태그 유지 (스위치 간 전송)
└─ VLAN 구분 가능
동작:
→ 여러 VLAN의 트래픽을 하나의 물리 포트로 전송
→ 802.1Q 태그를 유지하여 VLAN 식별
→ 스위치 간 연결, 라우터 연결 등에 사용
VLAN 통신 시나리오:
VLAN 통신 흐름 (같은 VLAN 10 내부):
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[PC 1] [스위치 1] [스위치 2] [PC 2]
VLAN 10 VLAN 10
│ │ │ │
│ 1. 프레임 전송 │ │ │
│ (태그 없음) │ │ │
├─────────────────→│ │ │
│ │ │ │
│ │ 2. Access Port │ │
│ │ VLAN 10 태그 │ │
│ │ 추가 │ │
│ │ │ │
│ │ 3. 태그 프레임 │ │
│ │ VLAN ID: 10 │ │
│ │ (Trunk Port) │ │
│ ├─────────────────→│ │
│ │ │ │
│ │ │ 4. VLAN 10 │
│ │ │ 확인 │
│ │ │ 해당 포트로 │
│ │ │ 만 전달 │
│ │ │ │
│ │ │ 5. 태그 제거 │
│ │ │ (Access Port) │
│ │ ├───────────────→│
│ │ │ │
핵심:
→ PC는 VLAN을 인식할 필요가 없음
→ Access Port: 태그 추가/제거
→ Trunk Port: 태그 유지하여 전송
VLAN과 브로드캐스트 도메인
브로드캐스트 도메인 정의:
브로드캐스트 패킷이 도달할 수 있는 범위
= 2계층 세그먼트
= VLAN
VLAN 분리 효과:
VLAN 분리 효과:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┌────────────────────────────┐ ┌────────────────────────────┐
│ VLAN 10 - 개발팀 │ │ VLAN 20 - 영업팀 │
│ │ │ │
│ [브로드캐스트] │ │ [브로드캐스트] │
│ ↑ │ │ ↑ │
│ ┌────┼────┐ │ │ ┌───┴───┐ │
│ │ │ │ │ │ │ │ │
│ [PC 1][PC 2][PC 3] │ │ [PC 4] [PC 5] │
│ │ │ │
└────────────────────────────┘ └────────────────────────────┘
브로드캐스트 격리
← VLAN 10의 브로드캐스트는 VLAN 20에 도달 안 함 →
VLAN 분리의 효과:
├─ 브로드캐스트 격리: 각 VLAN은 독립적인 브로드캐스트 도메인
├─ 트래픽 감소: 불필요한 브로드캐스트 차단
├─ 보안 강화: 부서 간 트래픽 분리
└─ 성능 향상: 네트워크 혼잡도 감소
VLAN 간 통신: 라우터/L3 스위치 필요
문제: VLAN 간 통신 불가
VLAN 간 통신 불가 문제:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[VLAN 10] [VLAN 20]
PC 1 PC 2
10.0.10.5 10.0.20.5
│ │
│ [L2 스위치] │
└────────────X────────────X────────┘
통신 불가
문제점:
├─ 2계층 분리: VLAN은 서로 다른 브로드캐스트 도메인
└─ 직접 통신 불가: 3계층 장비(라우터) 필요
해결: L3 장비 활용
L3 장비를 이용한 VLAN 간 통신:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[L3 스위치 또는 라우터]
(Inter-VLAN Routing)
│
┌─────────┴─────────┐
│ │
↓ ↓
[VLAN 10] [VLAN 20]
10.0.10.0/24 10.0.20.0/24
기본 GW: 10.0.10.1 기본 GW: 10.0.20.1
L3 장비의 역할:
├─ VLAN 간 라우팅 (Inter-VLAN Routing)
├─ 서브넷 간 통신 지원
└─ 방화벽/ACL 적용 가능
동작 방식:
→ L3 스위치가 각 VLAN의 게이트웨이 역할
→ VLAN 10: 기본 GW 10.0.10.1
→ VLAN 20: 기본 GW 10.0.20.1
→ L3 스위치가 양쪽 서브넷 모두 관리
Inter-VLAN 라우팅 예시:
Inter-VLAN 라우팅 흐름:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[PC 1] [L3 스위치] [PC 2]
VLAN 10 VLAN 20
10.0.10.5 10.0.20.5
│ │ │
│ 목적지: 10.0.20.5 │ │
│ (다른 서브넷!) │ │
│ │ │
│ 1. 기본 GW로 전송 │ │
│ 목적: 10.0.20.5 │ │
├───────────────────────→│ │
│ │ │
│ │ 2. VLAN 10에서 수신 │
│ │ 3. 라우팅 테이블 검색 │
│ │ 4. VLAN 20으로 전달 결정│
│ │ │
│ │ 5. VLAN 20으로 라우팅 │
│ │ 목적: 10.0.20.5 │
│ ├───────────────────────→│
│ │ │
│ │ 6. 응답 패킷 │
│ │←───────────────────────┤
│ │ │
│ │ 7. 역방향 라우팅 │
│ │ │
│ 8. VLAN 10으로 전달 │ │
│←───────────────────────┤ │
│ │ │
핵심:
→ PC는 다른 서브넷으로 통신 시 기본 게이트웨이(L3 스위치)로 전송
→ L3 스위치가 라우팅 테이블을 확인하여 목적지 VLAN으로 전달
→ 양방향 라우팅 지원
VLAN 설계 베스트 프랙티스
실무 VLAN 할당 예시:
기업 네트워크 VLAN 구성:
━━━━━━━━━━━━━━━━━━━━━━━
VLAN 1 (기본) → 관리용 (사용 지양)
VLAN 10 (IT) → IT 부서 (10.0.10.0/24)
VLAN 20 (개발) → 개발팀 (10.0.20.0/24)
VLAN 30 (영업) → 영업팀 (10.0.30.0/24)
VLAN 40 (재무) → 재무팀 (10.0.40.0/24)
VLAN 100 (서버) → 서버 팜 (10.0.100.0/24)
VLAN 200 (게스트) → 방문자 WiFi (10.0.200.0/24)
VLAN 999 (관리) → 스위치 관리 (192.168.99.0/24)
설계 원칙:
VLAN 설계 원칙 및 주의사항:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[VLAN 설계 원칙]
├─ 1. 부서/기능별 분리
│ → 부서별 논리적 세그먼트 구성
│
├─ 2. 보안 수준별 격리
│ → 민감 데이터와 일반 네트워크 분리
│
├─ 3. 브로드캐스트 도메인 최소화
│ → 적절한 크기로 VLAN 분할
│
└─ 4. 확장성 고려
→ VLAN ID 여유 확보
[주의사항]
├─ VLAN 1 사용 금지
│ → 기본 VLAN은 보안 취약
│
├─ Native VLAN 변경
│ → VLAN hopping 공격 방지
│
└─ 문서화
→ VLAN 맵 유지 및 관리
핵심 이해:
VLAN의 핵심 가치:
━━━━━━━━━━━━━━━━━━━━━━━
물리적 제약 ❌ → 논리적 유연성 ✅
효과:
1. 네트워크 설계 유연성
→ 같은 스위치에 여러 세그먼트
→ 다른 스위치를 하나의 세그먼트로
2. 보안 강화
→ 브로드캐스트 격리
→ 부서별 트래픽 분리
3. 관리 편의성
→ 물리적 재배치 없이 VLAN 변경
→ 중앙 집중 관리
4. 성능 최적화
→ 브로드캐스트 도메인 축소
→ 불필요한 트래픽 차단
제약:
→ VLAN 간 통신은 L3 장비 필요
→ 추가 설정 및 관리 필요