[Network] 프로젝트 - 네트워크 전반을 구성해보자! Part 1

 첫 번째 프로젝트의 날이 밝았다. 비록 네트워크 공부를 전반적으로 돌아보기 위한 Semi-Project지만 화이팅해보자!

 

1. 요구 사항 정리 및 시나리오 구성

 

본사 캠퍼스 네트워크 구성

• 현황
  • 건물 3동 이상(7층, 10층, 5층 -> 총 22층 구성)
    • 본관(7층)
    • 동관(5층)
    • 서관(10층)
  • 층 당 1개 부서, 총 22개 부서
  • 11개의 부서는 10명, 11개의 부서는 40명이 있다고 가정(총 550명)
  • DHCP, TFTP 서버는 본관 지하 1층에 위치

• 3-Tier(Layer 3) 구조
  • Access 스위치
  • Aggregate 스위치 - SNAT 수행
  • Backborn 스위치

*일반적으로 3-Tier 구조에서 NAT은 Distribution 계층(Aggregation 스위치)에서 일어난다.

 

• 사설 IP 주소 현황
• 사내 네트워크 대역: 192.168.0.0/16
  • 본관 IP 현황

 

DHCP, TFTP 서버팜	192.168.0.0/24
(VLAN10) 인사팀	192.168.1.0/24
(VLAN20) 노사협력팀	192.168.2.0/24
(VLAN30) 총무팀	192.168.3.0/24
(VLAN40) 교육연수팀	192.168.4.0/24
(VLAN50) 경영기획팀	192.168.5.0/24
(VLAN60) 관제팀	192.168.6.0/24
(VLAN70) 내부감사팀	192.168.7.0/24

 

• • 동관 IP 현황

(VLAN100) 회계팀	192.168.10.0/24
(VLAN110) 자금팀	192.168.11.0/24
(VLAN120) 채권팀	192.168.12.0/24
(VLAN130) 전산실	192.168.13.0/24
(VLAN140) 마케팅팀	192.168.14.0/24

 

• • 서관 IP 현황

(VLAN200) 광고팀	192.168.20.0/24
(VLAN210) 상품계획팀	192.168.21.0/24
(VLAN220) 지원팀	192.168.22.0/24
(VLAN230) 대리점지원팀	192.168.23.0/24
(VLAN240) 프로젝트팀	192.168.24.0/24
(VLAN250) 직판팀	192.168.25.0/24
(VLAN260) e-Business팀	192.168.26.0/24
(VLAN270) 보안팀	192.168.27.0/24
(VLAN280) 경영전략팀	192.168.28.0/24
(VLAN290) 법무팀	192.168.29.0/24

 

• ISP로부터 공인 IP 받기
  • NAT를 수행할 백본 스위치 당 /30 씩 공인 IP 받기
    • 백본 스위치 8개(본관, 동관, 서관, 서버팜)
  • 웹 서버, DNS서버에 공인 IP 부여 받기
    • NAT 없이 단순 라우팅 통해 통신
    • Intranet 서버(DBMS 등)은 사설 IP로 설정

• 서브네팅, VLAN 설정 - 부서 별(층 별)
  • 브로드캐스트 도메인 줄임
  • 보안: 각 부서의 네트워크에 타 부서가 접근 불가하게 (ACL 설정)

• 라우팅 프로토콜
  • OSPF - area Num 10으로 통일

• 본사 네트워크 내부 서버 팜 구성
  • DHCP
    • 본사 각 부서 PC에 IP부여
    • 모든 부서가 다른 VLAN이기 때문에 Relay Agent(DHCP Relay) 설정
  • TFTP
    • 네트워크 장비 설정 백업

 

*DHCP Relay(Relay Agen)를 설정하는 이유

: DHCP 클라이언트(노드)가 DHCP 서버로 IP를 요청할 때, DHCP Discover 메세지를 브로드캐스트로 보냄. 하지만 VLAN이 다른 경우 L3 스위치 또는 라우터에서 브로드캐스트 메세지를 차단하기 떄문에 불가능하게 된다. 이를 해결하기 위해서 L3 스위치 또는 라우터에 DHCP Relay를 설정하게 되면, DHCP Discover 메세지를 브로드캐스트에서 유니캐스트 변환하여 DHCP 서버로 전송하게 된다(Backborn 스위치가 아닌 Aggregate 스위치에만 설정하면 된다). 그러므로 DHCP 서버가 해당 메세지를 받은 후, 유니캐스트 방식으로 DHCP Offer 메세지를 클라이언트로 보내 IP를 할당해준다.

 

*TFTP로 네트워크 장비 설정을 백업할 때, 되도록 같은 네트워크에 서버를 두는 이유

: TFTP는 UDP 기반으로 비 연결성, 비 신뢰성 덕분에 데이터 전송이 빠르지만, 인증과 암호과 기능을 지원하지 않기 떄문에 보안에 취약하다. 따라서 꼭 내부 네트워크에 둘 필요는 없지만 같은 네트워크 내에서는 패킷 손실이 적기 때문에 TFTP의 빠른 데이터 전송의 장점이 극대화되고, 외부로부터의 접근을 차단하여 보안 리스크를 줄일 수 있기 때문에 같은 네트워크에 설정하는 것이다.

 

• 이중화
  • Failover 대비를 위한 네트워크 이중화 설정
  • Aggregate 스위치 이중화
  • Backborn 스위치 이중화

 

*이중화의 목적

• 고가용성(High Availability) 확보: 이중화는 시스템이나 네트워크가 항상 정상적으로 동작하도록 보장하기 위해 사용됩니다. **단일 장애 지점(Single Point of Failure, SPOF)**이 없도록 함으로써, 하나의 장비나 경로에 문제가 생기더라도 다른 장비나 경로가 자동으로 서비스 운영을 이어받도록 설정하는 것입니다.
• Failover 대비: 이중화의 핵심은 Failover(장애 전환) 상황을 대비하는 것입니다. 장애가 발생하면 이중화된 장비나 경로가 자동으로 활성화되어, 서비스 중단 없이 계속 운영될 수 있도록 합니다. Failover는 라우터가 오작동할 수도, 한쪽 포트만 인식이 안되는 경우 등 다양한 상황이 있다.

 

 

사내 Datacenter 구성

• Intranet 서버 (사내 인트라넷 - 본사, 지점 모두 사용 가능)
  • 사설 IP 부여 (Aggregate 스위치에서 NAT을 통해 통신)
  • 서버 4대 배치
  • 세부 기능 구현은 아직 불가...

• 웹 서비스 서버 (고객이 이용하는 회사의 홈페이지)
  • 공인 IP 부여
  • DMZ 설정 (외부 접근이 가능하게)
  • 3대의 서버 배치

• DNS 서버
  • 공인 IP 부여
  • 서버 2대 배치

• WAS 서버
  • 2대 배치
  • 사설 IP 부여

• DBMS 서버
  • 1대 배치
  • 사설 IP 부여

• 이중화
  • Aggregate 스위치 이중화
  • Backborn 스위치 이중화

*WAS(Web Application Server)

: WAS는 웹 애플리케이션을 실행하고, 동적 웹 콘텐츠를 제공하는 서버이다. 클라이언트(ex. 웹 브라우저)로부터 요청을 받아 처리하고, 필요한 데이터를 DBMS에서 가져와 웹 페이지로 생성한 뒤 클라이언트에게 반환한다.

ex) Apache Tomcat, IBM WebSphere, Oracle WebLogic, JBoss EAP

 

*DBMS(Database Management System)

: DBMS는 데이터를 체계적으로 저장하고 관리하는 시스템이다. 데이터베이스에 저장된 데이터의 검색, 삽입, 삭제, 갱신 등의 작업을 수행하며, 사용자가 필요로 하는 데이터를 빠르고 효율적으로 제공하는 역할을 한다. 

ex) Oracle Database, Microsoft SQL Server, MySQL, PostgreSQL, MongoDB

 

 

지사 네트워크 구성

• 현황
  • 부산, 울산 지사
  • 각 지사 당 5층, 5개 부서
  • 각 부서에 10명이 있다고 가정

• 2-Tier(Layer 2) 구조
  • Access 스위치
  • Aggregate 스위치 (이중화) - NAT

• 서브네팅, VLAN 설정 - 부서 별
  • 브로드캐스트 도메인 줄임
  • 보안: 각 부서의 네트워크에 타 부서가 접근 불가하게 (ACL 설정)

• 라우팅 프로토콜
  • RIP v2/Static - 작은 규모니까 한번 사용해보자

• DHCP
  • L3 스위치를 통해서 구성 (작은 규모일 경우 가능)

 

*L3 스위치, 라우터에 DHCP 설정하는 방법

DHCP 설정
Switch(config)# ip dhcp pool <풀 이름>
Switch(dhcp-config)# network <네트워크 주소> <서브넷 마스크>
Switch(dhcp-config)# default-router <기본 게이트웨이>
Switch(dhcp-config)# dns-server <DNS 서버 주소> - 선택
Switch(dhcp-config)# exit

설정 확인 
Switch# show ip dhcp pool
Switch# show ip dhcp binding

VLAN들에 DHCP 해줄 때
! VLAN 10에 대한 DHCP 풀 설정
Switch(config)# ip dhcp pool VLAN10_POOL
Switch(dhcp-config)# network 192.168.10.0 255.255.255.0
Switch(dhcp-config)# default-router 192.168.10.1
Switch(dhcp-config)# dns-server 8.8.8.8
Switch(dhcp-config)# exit

! VLAN 20에 대한 DHCP 풀 설정
Switch(config)# ip dhcp pool VLAN20_POOL
Switch(dhcp-config)# network 192.168.20.0 255.255.255.0
Switch(dhcp-config)# default-router 192.168.20.1
Switch(dhcp-config)# dns-server 8.8.8.8
Switch(dhcp-config)# exit

! VLAN 10 포트 설정
Switch(config)# interface range fa0/1 - 10
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# exit

! VLAN 20 포트 설정
Switch(config)# interface range fa0/11 - 20
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20
Switch(config-if-range)# exit

 

 

 

본사, 지점, Intranet을 연결하는 WAN 구성

• 실제로는 ISP의 네트워크 망을 사용하되, 기업 별로 네트워크를 구분하는 기술이 있음
• 기술적인 한계로 이번 실습에서는 개별 라우터를 깔아 연결한다(인터넷 망과 물리적으로 분리)
  • 모든 라우터와 L3 스위치를 하나의 OSPF area로 묶어도 되는가?
  • WAN 라우터를 물리적으로 구분하고, 어차피 ISP 라우터에서 Bogon IP를 차단하니 괜찮을거 같다.

 

 

인터넷 구축해보기 (ISP의 역할)

• 라우팅 프로토콜
  • OSPF Single area (area Number를 하나로 통일) - 라우팅 프로토콜 포스트 참고
  • 일반적으로 AS 간 통신에는 BGP를 사용
  • Bogon IP 차단

• 가입자 망 구축
  • 라우터로 인터넷 망에 연결 (나중에 AP도 사용해보기)
  • 가정집 100세대
  • 사무실 20개 

Access, Aggregate, Backbone 스위치의 관계

• Access 스위치:
  • 위치: 엣지 계층(Edge Layer).
  • 역할: 사용자 장치(노드)와 직접 연결, VLAN 설정, 보안 제어, QoS 관리.
  • 특징: 네트워크의 말단 부분에 위치하며, 다수의 노드를 수용.

​

• Aggregate 스위치:
  • 위치: 디스트리뷰션 계층(Distribution Layer).
  • 역할: 여러 Access 스위치로부터 트래픽을 집계하고, VLAN 간 라우팅 및 보안을 관리하며, 트래픽을 Backbone 스위치로 전달.
  • 특징: 중간 단계에서 트래픽을 효율적으로 관리하고, 다양한 보안 및 QoS 정책을 적용.

​

• Backbone 스위치:
  • 위치: 코어 계층(Core Layer).
  • 역할: 네트워크의 중심에서 고속 트래픽 전송, 네트워크 안정성 및 고가용성 제공.
  • 특징: 매우 높은 대역폭과 성능을 제공하여 전체 네트워크의 트래픽을 처리.

​

​

(별첨) Access 스위치에 대한 설명

Access 스위치는 네트워크 아키텍처의 엣지(Edge) 계층에서 사용되며, 네트워크의 말단 부분에서 사용자 장치나 노드와 직접 연결되는 스위치를 말한다.

​

Access 스위치의 역할

• 사용자 장치 연결: 사용자 컴퓨터, 프린터, IP 전화기, 무선 액세스 포인트(AP) 등 다양한 사용자 장치가 Access 스위치에 직접 연결된다.
• VLAN 구성 및 트래픽 관리: 트래픽을 VLAN(가상 랜)으로 분할하여 네트워크 트래픽을 효율적으로 관리하고, 보안 수준을 높인다.
• QoS (Quality of Service) 적용: 음성, 비디오, 데이터 트래픽의 우선순위를 지정하여 네트워크 트래픽 품질을 보장한다.
• 보안 제어: 포트 보안(Port Security) 및 MAC 주소 기반 인증을 통해 비인가된 장치의 네트워크 접근을 차단한다.

​

2. Aggregate 스위치 (집합 스위치)

Aggregate 스위치는 네트워크 아키텍처의 중간 계층에 위치하여 **액세스 스위치(Access Switch)**로부터 수집한 트래픽을 **백본 스위치(Backbone Switch)**로 전달하거나 반대로 백본 스위치로부터 받은 트래픽을 액세스 스위치로 분배하는 역할을 한다.

 

역할과 기능

​

• 트래픽 집계(Aggregation): 여러 액세스 스위치에서 오는 데이터를 모아 하나의 트래픽 흐름으로 통합한다. 이를 통해 네트워크 혼잡을 줄이고, 효율적으로 데이터를 상위 계층으로 전달할 수 있다
• VLAN 및 보안 관리: VLAN 트래픽을 관리하고, 다양한 보안 정책(예: Access Control Lists, VLAN ACL 등)을 통해 트래픽을 필터링한다.
• 레이어 2/3 기능: 주로 Layer 3 스위치로 구성되어 있으며, 라우팅과 스위칭 기능을 모두 수행할 수 있습니다. 즉, VLAN 간 라우팅과 트래픽 관리가 가능하다.
• 부하 분산: 다중 링크를 활용하여 트래픽을 분산시키고, 이중화된 네트워크 경로를 제공하여 가용성을 높인다.

사용 사례

• 중대형 기업 네트워크: 여러 층이나 건물에 걸쳐 다수의 액세스 스위치를 연결할 때 사용한다.
• 데이터센터 환경: 서버와 스토리지 시스템 사이의 트래픽을 집계하고 상위 계층의 네트워크로 전달하는 데 사용한다.

​

3. Backbone 스위치 (백본 스위치)

Backbone 스위치는 네트워크 아키텍처의 코어 계층에 위치하며, 전체 네트워크의 트래픽을 전송하고, 네트워크의 중심 역할을 담당하는 스위치이다.

​

역할과 기능

• 고속 트래픽 전송: 네트워크의 주요 경로에서 데이터 패킷을 고속으로 전달하며, 네트워크의 주요 백본을 형성합니다. 트래픽 용량이 매우 크고, 대역폭이 높다.
• 중앙 라우팅 및 스위칭: 네트워크의 모든 경로를 관리하고 최적화합니다. 주로 고성능 Layer 3 스위치로 구성되어 있으며, 여러 개의 Aggregate 스위치와 직접 연결된다.
• 이중화와 고가용성: 네트워크의 주요 경로에서 장비 고장 시 빠르게 대체할 수 있도록 이중화된 링크 및 장비 구성을 지원한다.
• 고성능 및 확장성: 대용량의 데이터 처리를 위해 고성능 하드웨어와 빠른 처리 능력을 갖추고 있습니다. 트래픽이 증가해도 네트워크 성능이 유지되도록 확장성이 뛰어나다.

사용 사례

• 대규모 엔터프라이즈 네트워크: 사무실, 건물, 캠퍼스 네트워크에서 여러 Aggregate 스위치들을 연결하는 중앙 네트워크 장비로 사용된다.
• 인터넷 서비스 제공자(ISP) 네트워크: 여러 네트워크를 연결하는 인터넷 백본의 중심에서 사용된다.
• 클라우드 데이터센터: 수많은 서버와 스토리지를 연결하여 내부와 외부 트래픽을 처리하는 데 사용된다.

 

 

 힘들지만 오늘도 해낸 나를 위한 한 마디,

" 어제보다 조금 더 나은 오늘을 보내는 것, 그리고 그것을 매일 하는 것. 그런 하루하루를 보내자. 오늘도 고생했다", 스스로에게