논리적 격리 VLAN 기본 이해

논리적 격리 VLAN

네트워크 보안에서 많이 사용되는 용어 중에 ACL 다음이 VLAN이 될 것이다. 그럼 먼저 VLAN이 무엇인지 확인해보자

VLAN은 Virtual LAN(Local area network)의 약자로, 하나의 가상의 브리지 도메인(Domain)을 구성하여 Host 혹은 Router(Transparent Bridging 이 동작하는)와 브리지 같은 Network 장비들을 논리적인 하나의 도메인으로 구성하는 것이다.

이는 IEEE 802.10 와 ISL(Inter-Switch Link)같은 2 계층 브리지 프로토콜인 VLAN을 스위치(Switch)와 같은 여러 가지 장비들 상에 존재할 수 있어, 여러 장비를 통해서도 유연하게 사용할 수 있다.

VLAN은 관계되는 사용자들을 그들의 물리적인 접속에 관계 없이 그룹화하여 구성된다. 사용자들은 Network 전반에 걸쳐 존재할 수도 있고 지역적으로 떨어진 위치에 존재할 수도 있지만, 사용자들을 그룹화하는 방법으로 여러 가지가 사용될 수 있다. 예를 들어, VLAN을 통해 동일 장비에서도 부서에 따라 혹은 기능적인 팀에 따라 그룹화될 수 있다.

일반적으로 사용자들을 VLAN 안에 그룹화하여 그들의 traffic 이 VLAN 안에 존재하도록 하는 것이 목적이다. 만약 VLAN을 설정하면 네트워크에 생기는 장점은 크게 다음의 4 가지로 나눌 수 있다.

범위 제한(Broadcast control)

스위치가 자신에 연결된 Host에 대해 물리적으로 충돌 도메인(Collision domain)을 격리시키고 특정 포트로만 트래픽(Traffic)을 전송하듯, VLAN은 브로드캐스트(Broadcast)와 멀티캐스트(Multicast) 트래픽을 VLAN으로 구성한 도메인에 한정시키는 논리적인 충돌 도메인을 제공한다.

-박스시작-

충돌 도메인(Collision domain)

이더넷 네트워크에서 장치들이 프레임을 전송할 때 서로 충돌할 수 있는 하나의 구역을 의미하는 것으로 충돌 발생을 검출할 수 있는 브리지간 혹은 다른 계층2 장치간의 이더넷 세그먼트 범위를 말한다. 쉽게 말해 허브나 리피터의 경우 IP나 MAC 주소를 인식하지 못하고 무조건 자신을 제외한 모든 호스트에게 트래픽을 전송하기 때문에 충돌이 발생하게 된다. 하지만 2계층 이상인 브리지, 스위치, 라우터를 사용할 경우 IP와 MAC을 인식하여 해당 호스트에게만 전송해 충돌이 발생하지 않는다. 즉 큰 네트워크에 충돌 도메인이 적다면, 네트워크 성능은 저하된다고 봐야 한다.

[그림] 충돌 도메인의 구분

-박스종료-

보안(Security)

만약 VLAN안에 Router를 포함하지 않으면, VLAN안의 사용자와 밖의 사용자는 서로 통신할 수 없으므로, 결국 이를 통해 높은 보안성을 제공할 수 있다.

성능(Performance)

고도의 성능을 요구하는 사용자들을 그들 자신의 VLAN에 할당할 수 있다.

예를 들어, Multicast application을 테스트하는 엔지니어와 그들이 사용하는 서버들을 하나의 VLAN에 할당할 수 있다. 이런 엔지니어들은 Dedicated LAN에 존재함으로써 고도로 개선된 Network Performance를 얻을 수 있으며, 엔지니어 그룹 이외의 사용자들 또한 Network-intensive한 Application에 의한 Traffic이 다른 VLAN에 격리됨으로써 개선된 Network Performance를 얻을 수 있다.

관리(Network management)

스위치상의 소프트웨어는 사용자들을 VLAN에 할당하고 후에 그들을 또 다른 VLAN에 재할당할 수 있게 한다. Network 관리 도구가 LAN을 논리적으로 재설정할 수 있도록 하기 때문에 스위치L네트워크 환경에서 접속을 바꾸기 위한 케이블의 재 포설할 필요 없이 논리적으로 재 구성/추가하여 이용할 수 있다.

이처럼 VLAN은 보안과 성능 면에서 사용하기에 용의한 기술이므로 앞서 배운 ACL은 물리 인터페이스에 설정과 더불어 VLAN을 구성해 해당 VLAN에 ACL을 설정하는 것 역시 더욱 효과적이다(여러 VLAN을 구성할 때 이는 더욱 빛을 발한다).

단 VLAN에 ACL을 구성하다보면 ACL을 적용한 트래픽 인(In), 아웃(Out)이 서로 바뀌게 되는데, 그 이유에 대해서도 짚고 넘어가자.

가상 VLAN은 물리적 인터페이스와 달리 논리적인 위치에 존재하게 된다. 따라서 라우터 입장에서 바라본 VLAN은 물리적 인터페이스 이후에 위치하도록 되어있다. VLAN은 물리적 인터페이스의 인/아웃이 적용되지 않고, 물리적 인터페이스를 타고 라우터 안으로 패킷이 들어온 이후의 관점으로 트래픽을 바라보게 된다. 즉 어디에 ACL을 설정했는지에 따라 인과 아웃의 처리 위치가 결정되는 점을 주의해야 한다. 아래 그림은 VLAN에 ACL 설정시 트래픽의 흐름을 표시한 것이다.

논리적 격리 VLAN 기본 이해

논리적 격리 VLAN 기본 이해

[그림] VLAN ACL 정책의 흐름

위 그림과 같이, VLAN A에서 트래픽을 보내게 되면, 스위치 입장에서는 VLAN A에서 들어오는 패킷이므로 들어오는 패킷으로 처리되어, Input ACL에 적용된다.

그 후 물리적 인터페이스의 Inbound ACL을 거쳐 VLAN B는 나가는 위치이므로, VLAN B에 설정된 Output ACL에 의해 처리되게 된다.

단 동일 VLAN 안에서 발생한 패킷의 경우 해당 VLAN에서 들어오는 패킷으로 처리된다.

이와 같은 처리의 원리로 인해 VLAN의 경우 ACL을 설정하게 되면, Inbound와 Outbound를 바뀌어 처리됨을 알아두도록 하자.

//Vlan101로 들어오는 패킷에 ACL을 설정하고자 한다면, 아래와 같이 진행하면 된다.

Router(config)# interface Vlan101

Router(config-if)# ip access-group VLAN101_ACL out

//Vlan102로 VLAN을 만들어 Vlan101과 브로드캐스트 대역을 나눈다.

Router(config)# interface Vlan102

//각 대역별 사용할 인터페이스를 지정한다.

Router(config)# interface GigabitEthernet0/1

Router(config-if)# switchport access vlan 101

Router(config)# interface GigabitEthernet0/2

Router(config-if)# switchport access vlan 102

 

[실습] VLAN 설정 및 ACL 적용

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.