유니파이 공유기 VLAN | VLAN이란? | Unifi VLAN을 세팅해보자
오늘은 유니파이 시스템으로 세팅할 수 있는 VLAN에 대해서 간단히 소개해 보고자 합니다.
목차
유니파이 1. VLAN이란 ?
VLAN 이란 Virtual Local Area Network의 약자로 하나의 물리적 네트워크를 여러 개의 논리적 네트워크로 분할할 수 있게 하는 기능입니다. VLAN을 통해 물리적으로 같은 네트워크 장비에 연결된 장치들도 서로 다른 네트워크에 속한 것처럼 동작할 수 있습니다.
가정 내 네트워크를 구성하거나 혹은 스마트홈을 구성하실 때 단일 네트워크의 구축이 필요하다는 얘기를 들어보셨을 겁니다.
보통은 인터넷을 공급하는 통신사 모뎀이나 벽 단자를 시작으로 하단에 사설 공유기를 연결하고 그 사설 공유기를 통해서 모든 네트워크 디바이스를 연결시켜 단일의 로컬 네트워크를 구축해야지 서로 통신이 가능해지며, 스마트홈에서도 내 휴대폰으로 스마트홈 허브에 접근하여 스마트 기기들을 직접 제어할 수 있게 됩니다.
5개의 포트가 있는 스위치가 있다고 가정하겠습니다. 일반적으로 이 스위치에 연결된 네트워크 디바이스들은 모두 같은 네트워크 속에서 운영이 됩니다.
그러나 VLAN을 활용한다면, 이 스위치 안에서도 각 포트를 다른 네트워크로 구분하여 사용할 수가 있습니다. 예를 들어 2,3포트에 연결된 디바이스와 4,5포트에 연결된 디바이스를 다른 네트워크로 운영을 할 수 있다는 뜻이죠.
저도 항상 단일 네트워크 구축이 필요하다는 얘기만 들었었는데 그럼 굳이 왜 VLAN을 활용하는 걸까요?
VLAN은 네트워크를 분리 운영함으로써 보안 측면이나 트래픽과 디바이스 관리에 유용할 수 있다고 말합니다.
사실 일반 가정 사용자 입장에서는 굳이 필요하지 않은 기능일 수 있습니다. 그럼에도 불구하고 제가 유니파이에 입문하게 된 주요 기능 중 이 VLAN 기능에 대해서 네트워크 전문가가 아닌 일반인 입장에서 소개해 보도록 하겠습니다.
유니파이 2. VLAN 구성 개념
VLAN을 활용하면 네트워크를 분리시켜 예를 들면 위 와 같이 기본 네트워크, IOT 네트워크, 게스트 네트워크, 카메라 네트워크 이런 식으로 분리해서 운영할 수 있게 되는데요. 각기 다른 네트워크와 다른 대역대를 운영하게 됩니다.
VLAN ID와 VLAN TAG는 이름표와 같습니다. 네트워크 디바이스가 어떤 VLAN ID를 가지고 있는지 이름표를 달아 놓는 것이지요. 일반적인 가정 내 환경에서 대다수의 네트워크 장치들은 VLAN ID가 없거나 설정할 수 없습니다. 그래서 VLAN ID를 가지고 있지 않은 장치들을 위해 Native 혹은 Untagged VLAN을 네트워크 스위치에서 설정하게 됩니다. 즉, 포트에 연결된 장치가 VLAN ID가 없을 때는 Untagged VLAN ID를 알려주게 됩니다.
2-1. VLAN IOT 네트워크
예를 들어 IOT 네트워크를 보겠습니다. 요즘 스마트홈을 운영하게 되면서 IOT 관련해서 연결되는 장치들도 점점 많아지고 있죠. 이런 IOT 디바이스들은 VLAN TAG를 설정할 수 없습니다. 그럼 연결되는 포트에 Untagged로 VLAN 100을 할당하고 이 포트에 VLAN TAG를 가지고 있지 않은 IOT 기기가 연결되면 VLAN 100에 해당하는 네트워크로 종속되게 됩니다.
2-2. VLAN Guest 네트워크
이번엔 게스트 네트워크를 보겠습니다. 역시 IOT 네트워크와 마찬가지로 게스트 네트워크에 해당하는 VLAN ID 150을 Guest Wifi에 할당해서 이 SSID에 연결되는 디바이스들은 모두 Guest 네트워크로 운영할 수 있습니다.
2-3. VLAN Camera 네트워크
요즘은 가정 내에서도 홈 카메라를 많이 사용하고 있죠. 카메라를 위한 네트워크도 동일하게 해당 포트에 홈 카메라가 연결되면 모두 VLAN ID 200에 해당하는 카메라 네트워크에 속하게끔 할당할 수 있습니다.
2-4. Tagged VLAN
VLAN TAG가 있다면 해당 VLAN으로
위와 같이 Untagged뿐만 아니라 Tagged VLAN도 지정할 수 있습니다. 만약 어떤 포트에 Untagged로 기본 VLAN을 할당하고 Tagged로 IOT 네트워크를 할당했을 경우 만약 연결되는 장치가 VLAN TAG가 없다면 기본 VLAN으로 할당하게 되고 IOT VLAN에 해당하는 100을 가지고 있다면 IOT 네트워크로 할당할 수 있습니다.
만약 Tagged에 IOT VLAN을 지정했는데 VLAN 200을 가진 네트워크 장치를 연결하게 되면 해당 장치는 연결할 수 없게 됩니다. Tagged VLAN은 복수로 지정이 가능하니, IOT VLAN과 Camera VLAN을 모두 Tagged 지정하면 해당 포트는 VLAN 100, 200, 그리고 TAG가 없는 네트워크 장치를 연결할 수 있습니다.
유니파이 3. VLAN 구성 후 차이점과 역할
그럼 기존의 위와 같은 단일 네트워크의 모습으로 각 연결된 디바이스가 모두 192.168.0.X의 IP 대역대를 받아서 운영이 됐었다면…
VLAN 설정 이후엔 다양한 대역대를 가진 모습을 보실 수 있게 됩니다.
그럼 이렇게 네트워크를 나누어 운영하게 되면 어떤 것을 할 수 있을까요?
스마트홈을 운영하면서 점점 많아지고 있는 IOT 디바이스들은 WIFI나 이더넷을 사용한다면 보통은 클라우드를 통해서 제조사 서버 측과 통신하는 경우가 많습니다. 통신의 이유는 여러 가지가 있겠지만, IOT 네트워크를 사용자의 다른 신뢰할 수 있는 네트워크로부터 분리시켜 보안 측면을 좀 더 강화시킬 수 있습니다.
IOT 네트워크에 속한 디바이스들은 다른 네트워크로 통신을 못하지만 내가 신뢰할 수 있는 네트워크에서 IOT 네트워크 쪽으로 만 통신이 가능하게끔 네트워크를 분리시키고 관리하게 되는 거죠.
홈 카메라 같은 경우도 기본적으로 암호화가 되어있다고 하지만 사생활이 직접적으로 노출되는 장치이기 때문에 약간 불안한 면도 없지 않아 있습니다. 홈 카메라들을 모두 카메라 네트워크에 분리시켜서 카메라 네트워크로 들어오고 나가는 인터넷 트래픽을 모두 차단할 수도 있고 또 로컬 네트워크 내에서도 사용자가 지정한 디바이스만 카메라 네트워크에 접근할 수 있게 운영을 할 수도 있습니다.
만약 손님들에게 제공하는 공개 WIFI가 있는 업장이나 가정이라면, 게스트 네트워크를 분리시켜 해당 네트워크에서 신뢰할 수 있는 네트워크로의 접근도 막고 게스트 네트워크 내에서의 디바이스들 간에 통신도 막아서 보안 측면을 좀 더 강화시킬 수 있습니다. 네트워크를 분리시켜 라우터 스위치의 트래픽 관리를 좀 더 효율적으로 운영할 수 있는 부분도 장점으로 있겠죠.
VLAN은 일반적인 가정이라면 굳이 필요 없는 경우가 많습니다. 저도 유니파이 입문전에는 일반적인 국내 공유기로 아무 문제 없이 인터넷을 이용했기 때문에 VLAN을 적용해도 큰 쓸모가 있을까 싶기도 하고요. 오히려 기업 쪽이나 업장처럼 불특정 다수가 이용하는 네트워크라면 확실히 유용하게 사용할 수 있는 기능이죠.
유니파이 4. VLAN 세팅 방법
그럼 유니파이 관리 콘솔에서 네트워크를 생성해서 VLAN을 적용하는 방법에 대해서 간단히 알아보겠습니다.
4-1. 네트워크 생성
우선 설정에 Network로 가시면 네트워크를 생성할 수 있습니다. 위와 같이 게스트 네트워크를 만든다고 가정하고 아래쪽 Advanced에 원하는 VLAN ID를 기재해 주면 됩니다.
VLAN ID는 2부터 4096까지 지정할 수 있으며, 보통 서브넷 마스크의 세 번째 옥탯에 VLAN ID를 동일하게 설정한다고 하는데, 꼭 그럴 필요는 없는 것 같습니다. 예를 들어 게스트 네트워크로 VLAN ID 150을 할당한다면 서브넷은 10.0.150.0/24, 192.168.150.0/24 형태를 가지게 되는 거죠.
Advanced의 또 다른 옵션으로 Guest Network가 있고 Isolate Network가 있습니다. 게스트 네트워크는 해당 네트워크가 다른 네트워크로부터 격리될 뿐만 아니라 게스트 네트워크 내에서도 각 디바이스들이 서로 통신이 안되게 격리가 되고 Isolate Network는 다른 네트워크로부터 격리는 되지만 해당 네트워크 내에서는 각 디바이스들이 통신이 가능한 네트워크로 설정해 줄 수 있습니다.
4-2. 스위치 포트 설정
VLAN ID를 할당하여 네트워크를 생성했다면 포트 설정에 가서 Untagged와 Tagged VLAN을 지정해 줍니다. 이렇게 되면 가장 기본적인 설정이 끝나게 됩니다. 여러 네트워크를 생성하여 각 포트들마다 각기 다르게 지정해 줄 수 있습니다.
4-3. WIFI 네트워크 설정
만약 WIFI에 적용한다고 한다면 왼쪽 사이드 메뉴에서 WIFI 설정 쪽으로 들어가셔서 새로운 SSID를 만들어 Guest 전용으로 위와 같이 네트워크를 지정할 수 있습니다. 이렇게 설정해서 SSID를 생성하면 해당 SSID로 접속하는 디바이스들은 모두 지정한 네트워크로 분리시킬 수 있게 됩니다.
4-4. 네트워크 간 방화벽/트래픽 룰 생성
원래 서로 다른 로컬 네트워크는 통신이 불가능해야 되는 게 맞지만, 유니파이는 각기 네트워크가 기본적으로 통신이 가능하게끔 세팅이 되어있는듯합니다. 그래서 Security 쪽에서 트래픽 룰을 통해서 격리 시키고자 하는 네트워크를 위와 같이 차단 규칙을 만들 수 있습니다.
Type은 LAN In으로 라우터를 기준으로 로컬 네트워크 내에서 라우터로 들어오는 트래픽 타입을 얘기하며, Source Network를 게스트 네트워크로 지정하고 Destination을 Any로 설정한다면 게스트 네트워크로부터 다른 모든 로컬 네트워크로 향하는 트래픽은 라우터로 유입되는 단계에서 모두 차단되게끔 설정할 수 있습니다.
마찬가지로 INTERNET In, Out을 통해서 외부 인터넷으로 들어오고 나가는 트래픽도 관리할 수 있습니다. 또는 간단하게 위의 네트워크 설정에서 Guest Network나 Isolate Network를 선택하시게 되면 방화벽 트래픽룰 없이 기본적으로 격리되어 트래픽이 차단되게 됩니다.
In과 Out에 대해서 추가 설명을 달아보자면, 모든 트래픽은 라우터를 기준으로 설명합니다. In은 라우터로 들어오는 트래픽이며, Out은 라우터에서 나가는 트래픽입니다.
만약 어떤 네트워크나 특정 장치의 외부 인터넷 또는 로컬 트래픽을 차단하고 싶을 때, In 타입으로 Source는 해당 네트워크나 장치를 설정하고 Destination은 Any로 설정한다면, 외부 인터넷이나 로컬 네트워크와 통신하기 위해 소스로부터 인터넷과 다른 네트워크로 나가기 전 라우터의 유입 단계에서 차단되므로 사실상 통신이 차단되는 것과 같습니다.
이건 차단하고 싶은 소스로부터 출발하는 트래픽을 차단할 뿐만 아니라, 다른 네트워크 디바이스로부터의 접근과 요청에 의해서 응답할 때도 동일하게 통신이 안되기 때문에 완전히 격리시키는 게 아니라면 별도의 허용룰도 설정이 필요합니다.
또 외부의 어떤 소스로부터 해당 네트워크나 장치의 접근을 막는 것 또한 In 타입으로 Source를 Any로 설정하고 Destination을 해당 네트워크나 장치로 지정하면 외부 인터넷으로부터 라우터로 유입되는 단계에 차단이 되게 됩니다.
그래서 보통 트래픽룰은 대부분 In 타입을 써서 유입 단계에서부터 차단하는 방식으로 관리를 하게 되고 Out은 특정한 사례에서 사용하는 것으로 보이는데 이 부분은 좀 더 공부를 해봐야 될 것 같습니다.
VLAN과 유니파이에서 VLAN을 설정하는 방법을 정말 간단하게 알아봤습니다.
사실 저는 네트워크 전문가가 아닌 일반 홈 사용자라서 네트워크에 관해서는 무지합니다. 유니파이를 입문하게 되면서도 아직 모르는 내용도 많고 위 설명도 부정확한 내용이 있을 수도 있습니다.
앞으로 유니파이 시스템을 좀 더 활용할 수 있는 방법에 대해서 저도 많이 공부하고 알아봐야 될 듯합니다 ㅎㅎ
당신이 좋아할 만한
샤오미 정밀드라이버 후기 | 갤럭시북2 360 분해 및 써멀작업
유니파이 공유기 | UCG-ULTRA | Unifi U6+ | 입문 추천
