VLAN과 망 분리¶

왜 망을 분리하나?¶

같은 스위치에 다 꽂혀 있으면 물리적으론 한 네트워크.

[스위치]
  ├── 임원 PC
  ├── 일반 직원 PC
  ├── 서버
  ├── CCTV
  └── 손님 Wi-Fi

문제점: - 손님 Wi-Fi 연결 시 이론상 내부 서버까지 접근 가능 - CCTV 장비 해킹 → 내부망 전체 위험 - 부서 간 트래픽 분리 불가, 보안 정책 적용 불가

VLAN이란?¶

Virtual LAN — 물리적으로 같은 스위치에 꽂혀 있어도, 소프트웨어로 네트워크를 분리하는 기술

[스위치] (물리적으로 1대)
  ├── 포트 1~8   → VLAN 10 (업무망)   192.168.10.x
  ├── 포트 9~16  → VLAN 20 (서버망)   192.168.20.x
  └── 포트 17~24 → VLAN 30 (손님망)   192.168.30.x

• VLAN 10과 VLAN 30은 같은 스위치에 꽂혀 있어도 서로 통신 불가
• 완전히 다른 네트워크처럼 동작
• VLAN 번호(ID)는 1~4094 사용 가능

무선망 분리 = VLAN 적용¶

회사 Wi-Fi가 두 개 잡히는 경우:

SSID: Company-WiFi   → VLAN 10 (업무망) — 사내 서버 접근 가능
SSID: Company-Guest  → VLAN 30 (손님망) — 인터넷만 가능, 내부망 차단

• AP는 물리적으로 1대
• SSID별로 다른 VLAN에 연결되어 있음
• 이것이 "무선망 분리"의 실체

VLAN 간 통신 구조¶

VLAN 10 PC   ─┐
              ├─ [L2 스위치] ─ [방화벽/L3 스위치] ─ 인터넷
VLAN 20 서버 ─┘         ↑
                   VLAN 간 통신은
                   반드시 여기를 거쳐야 함
                   (방화벽 규칙으로 허용/차단)

• 같은 VLAN끼리: 스위치에서 직접 통신
• 다른 VLAN끼리: 반드시 라우터(또는 L3 스위치/방화벽) 경유
• Sophos 같은 UTM에서 "업무망 → 서버망 허용 / 손님망 → 서버망 차단" 설정

트렁크 포트 (Trunk Port)¶

스위치와 라우터(또는 스위치와 스위치) 사이에는 여러 VLAN 데이터가 동시에 지나감. 이 연결을 트렁크라고 부름.

[스위치] ──트렁크── [Sophos 방화벽]
  VLAN 10 ┐
  VLAN 20 ├── 한 케이블로 전부 통과 (VLAN 태그 붙여서 구분)
  VLAN 30 ┘

우리 회사 예시 구성¶

인터넷
  │
[Sophos UTM]           ← VLAN 간 라우팅 + 보안 정책
  │ (트렁크)
[L2 스위치 (서버실)]
  ├── VLAN 10: 업무 PC
  ├── VLAN 20: 서버/NAS
  └── VLAN 30: 무선 손님망 (AP)

Sophos가 L3 역할까지 겸하면 별도 L3 스위치 불필요

VLAN 설정 주체 — 스위치 vs UTM¶

비관리형 스위치(iptime 등) 사용 시: → 스위치는 케이블 연결만 담당 → Sophos가 VLAN 생성 + 라우팅 + 보안 정책 전부 처리

VLAN 망 분리 목적 vs 트래픽 쾌적함¶

망 분리의 주목적은 보안 격리. 트래픽 쾌적함은 별개.

VLAN 10 (업무망) ─┐
VLAN 20 (서버망) ─┼─ [Sophos] ─ 인터넷 회선
VLAN 30 (손님망) ─┘

• 망 분리를 해도 인터넷 출구는 한 곳 → 회선 대역폭은 공유
• 손님이 대용량 스트리밍 → 업무망 속도에 영향 가능

트래픽까지 제어하려면 QoS 설정 필요

QoS (Quality of Service)¶

트래픽에 우선순위 또는 대역폭 제한을 부여하는 기능

업무망 트래픽 → 우선순위 높음 (대역폭 보장)
손님망 트래픽 → 최대 10Mbps 제한

• Sophos 등 UTM에 QoS 기능 내장
• VLAN별로 대역폭 제한 설정 가능

다음 단계¶

→ 05_무선네트워크