🤷VLAN이란?
2계층(데이터링크 계층) 상에서 LAN을 물리적 배치와 상관없이 논리적이고 유연한 망을 구성하게 하는 기술이다. 하나의 물리적인 네트워크 상에서 여러 개의 독립적인 네트워크를생성하고 관리할 수 있다. 물리적인 배선 구성에 제한을 받지 않기 때문에 네트워크내 구성 단말의 추가, 삭제, 변경이 용이하며, 물리적으로 떨어져있는 노드들을 그룹 단위로 묶을 수있다. (*LAN(Local Area Network): 다수의 컴퓨터 및 기타 주변 장치가 지리적으로 연결된 컴퓨터 네트워크)
VLAN 특징
-
보안성 및 안정성 강화
다수의 장비가 같은 LAN에 속해 있음은 곧 장비간 서로 통신이 가능하다는 것을 의미한다. 만약 같은 회사에서 서로 통신이 필요하지 않은 서로 다른 부서가 존재하는데 같은 LAN을사용하게 되면 브로드 캐스트 메세지로 인해 보안 상 문제가 발생한다. VLAN은 임의 세그먼트로의 접속을 제한함으로써 문제 발생요소의 확산을 방지하고 고립시킨다. -
네트워크 구성변경의 유연함
하나의 물리적 세그먼트를 다수의 논리적 세그먼트로 분리 운용 가능하다. 특정 노드의 다른 세그먼트로의 이동 시, 물리적 변경 대신에 소프트웨어적으로 간단히 재배치할 수 있으며, 부서별, 용도별, 그룹별로 VLAN을 각각 구분 가능하다. VLAN은 LAN을 크게 확장시켜 여러개의 LAN으로 보이도록 분할시키는 유연성을 준다. 여러 개의 LAN 스위치 장비에 걸 쳐 VLAN을 구현하며, 주로 스위치로 구성된 네트워크에서 사용한다. -
세분화 및 대역폭 관리
VLAN을 사용하면 네트워크를 더 작은 LAN으로 세분화하여 과부하를 감소시킬 수 있다. 이를 통해 효율적으로 대역폭 활용하고, Load Balancing 효과를 얻을 수 있으며, 브로드 캐스
트 트래픽을 제어할 수 있다.
VLAN 사용 목적
-
성능 이슈 해결
하나의 장비에서 브로드 캐스트 메시지를 전송하면 같은 LAN에 속한 모든 장비는 브로드캐스트 메시지를 받게 된다. 여기서 브로드 캐스트란 컴퓨터 네트워킹, 정보 통신 및 방송등 모든 수신자에게 동시에 메시지를 전송하는 방법이다. 만약 이 LAN에 많은 장비가 존재한다면 하나의 장비가 브로드 캐스트를 보내도 많은 브로드 캐스트가 발생하게 되는데 모든 장비가 서로 브로드 캐스트를 주고 받기 때문에 엄청난 양의 브로드 캐스트 메시지가 발생하게 된다 -
비용 절감
브로드 캐스트 도메인을 분할하기 위해서는 3계층 장비인 라우터가 필요하지만 VLAN은 라우터 없이도 스위치 만으로 브로드캐스트 도메인 분할이 가능하다. VLAN 기술을 사용하지않는다면 서로 차단된 LAN 환경을 구축할 때 필요한 만큼 장비가 있어야한다. 하지만 VLAN을 이용하면 장비를 추가하지 않아도 차단된 LAN 환경을 구축할 수 있다. 하나의 VLAN은 하나의 논리적인 브로드캐스트 도메인으로, VLAN 간에 통신을 하려면 라우터 또는 L3 스위치가 필요하다. -
불필요한 트래픽 감소
VLAN은 서로 다른 네트워크 망이기 때문에 브로드캐스트 통신시 다른 VLAN으로 전송되지 않는다. 브로드캐스트 도메인을 세분화하여 나눌 수 있기 때문에 불필요한 트래픽을 줄일 수 있다.
VLAN 구축 방식
-
end-to-end 방식
네트워크에서의 VLAN 확장성을 위해 사용되는 방법으로, 여러 개의 스위치를 통해 VLAN을 연결하고 관리하는 것을 의미한다. 이를 통해 하나의 VLAN을 여러 개의 스위치로 확장하고, 서로 다른 스위치에 속한 장치들 간에도 같은 VLAN을 사용할 수 있다. 과거 인터넷이 많이 활성화 되지 않아 내부에서 통신을 많이 할 경우 사용되었고, 최근 내부 트래픽 20%, 외부 트래픽이 80%로 인터넷 환경이 바뀌게 되었고, 더 이상 이 방식의 효용이 떨어지게 되었다. -
local VLAN 방식
스위치 단위로 VLAN을 설정하며, 스위치 내부에서만 VLAN을 사용하고 구분한다. 다른 스위치와의 트래픽 분리나 확장을 위해서는 트렁크 연결을 통한 다른 VLAN과의 통신을 필요로한다.
VLAN 구성 요소 및 구분 방식
-
VLAN 구성 요소
여러개의 VLAN이 존재하는 상황에서 스위치를 연결해야 하는 경우 각 VLAN끼리 통신하려면 VLAN의 개수만큼 통신 포트를 연결해야 한다. 만약 VLAN을 많이 사용하는 중 대형 네트워크인 경우 수백개의 VLAN이 있다면 수백개의 VLAN 포트를 연결해야 하므로 포트 낭비 문제가 발생한다. 이러한 문제를 해결하기 위해 VLAN 태그 기능이 나와 VLAN이 N개여도 하나의 통합 링크를 통해 패킷을 보낼 수 있게 되었고 이 방식을 Trunking이라고 한다. -
VLAN 구분 방식
VLAN은 멤버쉽 구분 방식, 브로드캐스트 도메인 구분 방식, 스위치 포트 구분으로 나뉜다. 멤버쉽 구분 방식에서는 1계층 물리계층에서 포트 단위로 단말의 멤버쉽을 구분하고 관리하는 port-based VLAN, 2계층 데이터링크계층의 MAC 주소에 의해 단말의 멤버쉽을 구분하고 관리하는 MAC based VLAN, 3계층 망계층의 IP 주소에 의해 단말의 멤버쉽을 구분하고 관리하는 IP 주소에 의한 VLAN으로 나뉜다. 또한 1~3계층을 모두 사용하고, 프로토콜 종류 뿐만 아니라 MAC 주소나 포트번호를 모두 사용하는Protocol based VLAN도 있다. 브로드캐스트 도메인 구분 방식에서는 하나의 VLAN이 하나의 논리적 Broadcast domain,
하나의 논리적 네트워크, ip서브넷, 하나의 VLAN id를 가진다. 스위치 포트 구분에서는 일반 단말이 사용하는 포트와 VLAN 트렁크를 위한 포트로 나뉜다.
6. VLAN 할당 방식
VLAN 할당 방식을 기준으로 정적 VLAN(Static VLAN)과 동적 VLAN(Dynamic VLAN)으로 분류한다.
-
정적 VLAN
정적 VLAN은 관리자가 수동으로 VLAN을 구성하고 관리하는 방식이다. 스위치 각 포트들을 원하는 VLAN으로 직접 설정하고, 해당 VLAN 프레임이 통과하는 모든 스위치 마다 설정이 필요하다. 포트나 MAC 주소를 기반으로 VLAN 멤버십을 설정한다. -
동적 VLAN
동적 VLAN은 사용자나 장치가 네트워크에 연결되면 스위치가 VLAN을 할당하는 방식이다. MAC 주소 등을 보고 관리 서버로부터 VLAN이 할당되어 자동으로 설정되며, MAC 주소와 VLAN ID 간의 매핑 테이블 관리가 필요하여 관리 서버가 따로 필요하다.
🤼 VPN이란?
VPN은 Virtual Private Network(가상 사설망)의 약자이다. 이름에서 알 수 있듯이 VPN은 두개 이상의 물리적 네트워크(또는 장치) 사이의 인터넷/공용 네트워크를 통해 생성된 가상 네트워크로, 사용자/장치가 직접 연결된 하나의 개인 네트워크에 있는 것처럼 데이터를 보내고 받을 수 있도록 확장된 개인 네트워크를 만든다. 따라서 VPN에 연결된 애플리케이션은 동일한 기능을 실행할 수 있고 개인 네트워크에 연결되어 있는 것처럼 관리할 수 있다. 또한 사용자 IP 주소를 마스킹하고 데이터를 암호화하여 수신 권한이 없는 사람이 읽을 수 없도록 한다.
VPN을 사용해야 하는 이유
- 안전한 퍼블릭 인터넷 액세스를 위해
- 검색 기록을 프라이빗으로 유지하기 위해
- 전 세계에서 스트리밍 서비스에 액세스하기 위해
- 신원을 보호하기 위해
VPN의 세가지 주요 기능
-
개인정보 처리방침
가상 사설 네트워크가 없으면 암호, 신용 카드 정보 및 검색 기록과 같은 개인 데이터가 기록되고 서드 파티에서 판매될 수 있다. VPN은 암호화를 사용하여 특히 퍼블릭 Wi-Fi 네트워크를 통해 연결할 때 이 기밀 정보를 프라이빗으로 유지한다. -
익명
IP 주소에는 사용자의 위치 및 검색 활동에 대한 정보가 포함되어 있다. 인터넷의 모든 웹 사이트는 쿠키와 유사한 기술을 사용하여 이 데이터를 추적한다. 사용자가 웹 사이트를 방문할때마다 웹 사이트에서 사용자를 식별할 수 있다. VPN 연결은 인터넷에서 익명을 유지하기 위해 IP 주소를 숨긴다. -
보안
VPN 서비스는 암호화를 사용하여 무단 액세스로부터 인터넷 연결을 보호한다. 또한, 의심스러운 인터넷 활동이 있을 경우 미리 선택된 프로그램을 끝내는 종료 메커니즘 역할을 할 수도있다. 이렇게 하면 데이터가 손상될 가능성이 줄어든다. 이러한 기능을 통해 회사는 비즈니스 네트워크를 통해 승인된 사용자에게 원격 액세스를 제공할 수 있다.
VPN 작동 원리
VPN은 보통 전 세계에 분산되어 있는 서버의 네트워크로 구성되며 VPN 업체가 이를 운영한다. 사용자가 VPN 서비스에 가입하고 기기를 연결하면 다음과 같은 두 가지 핵심 작용이 발생한다.
-
터널링 프로토콜
가상 사설 네트워크는 기본적으로 로컬 컴퓨터와 수천 마일 떨어진 위치에 있는 다른 VPN서버 사이에 보안 데이터 터널을 생성한다. 온라인 상태가 되면 이 VPN 서버가 모든 데이터의 소스가 된다. 인터넷 서비스 제공업체(ISP)와 기타 서드 파티는 더 이상 인터넷 트래픽의 콘텐츠를 볼 수 없다. -
암호화
IPSec과 같은 VPN 프로토콜은 데이터 터널을 통해 데이터를 전송하기 전에 데이터를 스크램블한다. IPsec은 데이터 스트림의 각 IP 패킷을 인증하고 암호화함으로써 인터넷 프로토콜(IP) 통신의 보안을 유지하는 프로토콜이다. VPN 서비스는 필터 역할을 하여 한쪽 끝에서는데이터를 읽을 수 없게 만들고 다른 쪽 끝에서는 디코딩만 한다. 이렇게 하면 네트워크 연결이 손상되더라도 개인 데이터 오용을 방지할 수 있다. 네트워크 트래픽이 더 이상 공격에 취약하지 않으며 인터넷 연결이 안전하다.
vpn에 접속방식에 따른 구현방식(IPSec VPN / SSL VPN)
IPSec VPN
- 주로Site to Site 방식으로 사용되어 기업의 본사 네트워크와 지사 네트워크를 연결하는 용
도로 주로 사용한다. - IPSec을 터널링 프로토콜로 사용하여 터널 생성과 패킷 암호화 방식을 협상한다.
- 모든 것은Layer 3인 Network Layer에서 실시한다.
- 인터넷 프로토콜의 약점, 패킷의 보안 취약성을 해결하는데 중점을 둔다.
SSL VPN
- Client to Site 방식으로 사용되어 사용자가 어느 장소에서든 VPN을 통해 기업의 사설네트워크로 접속이 가능하도록 지원하는 용도로 사용되며 주로 웹 브라우저를 통한 접속방식이 많이 사용된다.
- SSL(Secure Socket Layer)를 이용한 터널링을 실시하고 패킷 암호화 방식을 협상합니다.
- SSL를 터널링 프로토콜로 사용하는 만큼Layer 4인 Transport Layer 이상에서 실시한다.
- 인터넷 프로토콜의 약점, 패킷의 보안 취약성을 해결하는데 중점을 둔다.
