기업 네트워크 환경에는 수백 또는 수천대의 컴퓨터 기기가 각각 다른 네트워크 요소를 사용하여 디지털 통신을 실현합니다. 여기서 오늘 우리는 일반적으로 LAN Campus 네트워크에 배포되는 네트워크 장치를 얘기해볼까 합니다.
- Layer 2 스위치
- Layer 3 라우터
- 멀티-레이어 스위치
- 무선 액세스포인트(AP)
- 방화벽
- 서버
스위치
스위치는 여러 개의 포트를 통해서 하나 이상의 LAN 영역으로 컴퓨터 기기를 연결하는 장치입니다. PC, 프린터, CCTV, VoIP 전화기 등 네트워크 연결이 필요한 모든 컴퓨터 기기가 포함됩니다. 스위치는 8, 12, 24, 48개 등 다양한 포트의 수를 갖고 있습니다.
여기서 스위치는 각 엔드포인트 단말에 대해 “투명한 존재”로 동작한다는 것을 이해해야 합니다. 각 연결된 장치들은 중간 스위치의 존재를 인식하지 못하고 서로 직접 연결되어 있다고 생각합니다.
스위치는 목적지 MAC 주소를 기반으로 이더넷프레임을 전달하는 Layer 2 네트워크 장치입니다.
MAC주소는 데이터링크 계층의 일부이기 때문에 Layer 2 네트워크 장치로 간주됩니다.
위 그림을 보면 양 옆으로 뻗어 있는 화살표가 그려진 아이콘이 스위치를 나타내는 아이콘입니다. 그리고 실제 스위치의 그림도 확인할 수 있습니다. 그리고 스위치 메모리에 저장되어 있는 MAC주소 테이블을 통해서 01로 끝나는 MAC주소가 포트 1번에, 03으로 끝나는 MAC주소가 포트 2번에 연결되어 있다는 것도 확인할 수 있습니다.
스위치는 네트워크 성능, 안정성, 보안 등을 위해 사용하는 특수한 언어나 프로토콜이 있습니다. STP(Spanning Tree Protocol), LLDP(Link Layer Discovery Protocol), 802.1q 등이 있습니다.
이는 향후 포스팅에서 자세하게 다룰 예정입니다.
라우터
라우터는 목적지 IP주소를 기준으로 패킷을 전달하는 Layer 3 네트워크 장치입니다. IP주소는 네트워크 계층의 일부이기 때문에 라우터는 Layer 3 장치로 간주됩니다.
스위치는 컴퓨팅 기기를 하나 이상의 네트워크로 연결합니다. 하지만 이러한 각각 분리된 네트워크를 함께 연결하여 대규모 네트워크(Inter-network)를 만드는 것이 라우터의 역할입니다. 바로 우리가 사용하는 인터넷이 가장 큰 Inter-network의 좋은 예시가 될 것입니다. 그림을 보시면 5개의 네트워크를 상호 연결하기 위해서 3개의 라우터가 사용됩니다.
스위치에는 수십개 또는 수백개의 포트가 있지만 라우터는 상대적으로 적은 포트 수(일반적으로 2~6개)를 갖고 있으며, WAN 네트워크에 연결하는데 사용됩니다.
일반적으로 우리가 자동차를 가지고 여행을 할 때, 목적지까지 가기 위한 경로는 여러가지 있기 마련입니다. 그리고 그 경로 중에 가장 적합한 경로를 선택해서 가게 됩니다. 경로가 가장 짧은 거리, 가장 빠른 거리, 경치가 좋은 거리 등 내가 생각했을 때 중요한 몇 가지 기준에 따라 최상의 경로를 선택하게 됩니다.
마찬가지로 라우터 역시 사용 가능한 네트워크들 사이의 가능한 모든 경로를 파악하기 위해 그들 사이의 프로토콜을 돌리게 됩니다. 그런 다음 각 목적지에 대해 최적의 경로를 선택하고, 그 경로를 따라 패킷을 전달합니다. RIP(Routing Information Protocol), OSPF(Open Shortest Path First), BGP(Border Gateway Protocol) 등이 그런 프로토콜의 일부입니다.
멀티-레이어 스위치
OSI 모델에서 Layer 2 스위치와 Layer 3 라우터 사이의 명확한 차이를 나눴습니다. 하지만 네트워킹 전문가들은 라우터와 스위치 사이의 하이브리드라는 두 가지 기능을 모두 수행할 수 있는 단일 장치가 더 좋을 수 있다고 생각했습니다.
멀티-레이어 스위치는 Layer 2(L2) 스위치의 모든 기능을 갖고 있습니다. STP 및 LLDP, VLAN과 같은 일반적인 L2 기능을 지원합니다. 여러 개의 포트를 통해서 다양한 엔드포인트 단말을 하나 이상의 네트워크로 연결할 수 있습니다.
또한 멀티-레이어는 Layer 3(L3) 라우터의 기능을 전부 또는 대부분을 갖고 있습니다. 그래서 내부의 분리된 LAN들 사이로 라우팅 할 수 있습니다. 단일 물리 장치에서 Inter-network 환경을 만들 수 있는 것이죠. 그리고 다른 라우터와 마찬가지로 RIP, OSPF, BGP와 같은 라우팅 프로토콜을 지원합니다.
당연하게도 멀티-레이어 스위치는 Layer 1이 실제로 데이터를 전송하고 수신하는 것을 지원하고, 특정 보안 기능과 관련해서는 일부 Layer 4 기능을 수행할 수도 있습니다. 이러한 장치를 통해서 보다 안전하고 유연한 네트워크를 구축할 수 있습니다.
무선 액세스포인트(AP)
AP를 통해 무선 사용자는 유선 네트워크 리소스에 액세스할 수 있습니다. 이더넷 케이블에 얽메이지 않고 자유롭게 네트워크를 사용할 수 있게 됩니다.
AP는 변환 브릿지입니다. 엔드포인트에서 WI-FI 프레임을 받아 이더넷 프레임으로 변환한 다음 유선 리소스로 전달합니다. 회사 내부 서버, 스토리지, 애플리케이션, 또는 인터넷 리소스일 수도 있습니다. 이 유선 리소스가 응답하면 AP는 이더넷 프레임을 받아 들여 WI-FI 프레임으로 변환한 다음 그림과 같이 무선 호스트에 전달합니다.
기술이나 예산 요구사항에 따라 다양한 AP 모델이 있습니다. 내부 또는 외부에 있는 안테나와 하나 이상의 이더넷 포트를 함께 사용할 수도 있습니다. 어떤 것은 실내용으로만 사용할 수 있고, 실외에 설치할 수 있는 AP도 있습니다. 또한 Wi-Fi 시스템은 컨트롤러 기반 AP이나 컨트롤러 없는 독립형 AP 모드로 사용하도록 설계할 수 있습니다.
컨트롤러가 없는 독립형 또는 자율형 AP는 시스템을 만드는 데 필요한 모든 기능을 수행할 수 있습니다. 무선 및 이더넷 프레임을 처리하며 일정량의 관리 용이성과 컨트롤을 제공합니다. 이름에서 알 수 있듯이 어떤 외부 장치의 통제 없이 자율적으로 작동하게 됩니다. 비교적 구축이 간단하고 쉽지만 확장성이 높지 않기 때문에 작은 규모의 환경에서 많이 사용됩니다.
컨트롤러 기반의 AP 솔루션을 통해 AP는 독립형 AP와 같이 무선 및 이더넷 프레임을 주고 받습니다. 그러나 대부분의 처리 및 관리 기능은 하나 이상의 중앙 집중식 장치인 컨트롤러를 통해 수행됩니다. 이러한 중앙집중식 구성 및 제어는 초기 배치 때 복잡성을 증가시킬 수 있지만, 일단 구축되면 네트워크 상태에 대해 훨씬 뛰어난 가시성을 제공하고 보다 사전 예방적인 네트워크 관리 지원하고 매우 큰 규모로까지 확장할 수도 있습니다.
방화벽
방화벽은 보안 규칙을 기반으로 네트워크 트래픽을 모니터링하고 제어하는 보안 장치입니다.
적절한 트래픽은 허용되지만 의심스러운 트래픽은 차단됩니다. 보안 규칙에 따라 각 패킷의 허용 여부를 결정합니다.
일반적으로 신뢰할 수 있는 네트워크(회사 내부 네트워크)와 인터넷과 같이 신뢰할 수 없는 네트워크 사이의 첫 번째 방어선으로 배치되어 필요한 연결한 허용합니다.
많은 방화벽들이 모든 OSI 계층을 검사할 수 있기 때문에, 엔지니어들은 애플리케이션 기반으로 정교한 규칙을 만들 수 있습니다. OSI 모델에서 Layer 4까지만 이해하는 레거시 방화벽들과 달리 최신의 방화벽은 Layer 7까지 패킷 헤더 깊숙히 들어 갈 수 있습니다. 이를 Deep Packet Inspection(DPI)라고 합니다.
일부 방화벽은 다음과 같은 기능을 포함하기도 합니다.
- 침입탐지시스템(IDS)
- 침입차단시스템(IPS)
- VPN Concentrator
- SSL 프록시
서버
서버는 클라이언트라고 불리는 다른 프로그램이나 장치에 대한 서비스를 제공하는 컴퓨팅 장치입니다. 즉, 서비스를 받는 자는 클라이언트, 서비스를 제공하는 자를 서버라고 부르게 됩니다.
기본적으로 스위치, 라우터, AP 및 방화벽은 이러한 클라이언트-서버 통신을 지원합니다.
클라이언트는 특정 서비스에 대해 묻기 위해 서버에 요청 메시지를 보내고, 서버는 해당 서비스를 제공하기 위해 응답 메시지를 통해서 응답합니다. 그리고 클리이언트가 언제든지 서버에 접속할 수 있도록 서버는 항상 사용 가능하도록 설계된 하드웨어와 소프트웨어를 사용합니다.
서버는 제공하는 서비스를 기준으로 분류되는 경우가 많습니다.
- 애플리케이션 서버
- 커뮤니케이션 서버
- 데이터베이스 서버
- 파일 서버
- 웹 서버
- 게임 서버
Operational Plane – Control(제어), Management(관리), Data(데이터)
네트워크 장치는 논리적으로 세 개의 Operational Plane으로 구성되며, 각 Plane은 특정 작업을 수행하게 됩니다.
데이터 평면(Data Plane)은 소프트웨어 사용보다 훨씬 빠른 ASIC(Application Specific Integrated Circuit)라는 특수 하드웨어를 사용여 프레임을 수신하고 전송합니다. ASIC은 데이터를 변조(Modulation/De-modulation)하고 프레임 전송 및 수신과 관련 기타 기능을 처리합니다.
제어 평면(Control Plane)은 수신한 데이터로 수행할 작업을 결정합니다. 이러한 결정은 라우팅, 스위칭, 보안 및 네트워크 흐름 최적화와 같은 내부 프로세스를 통해 이루어집니다. 데이터 평면과 제어 평면은 모든 데이터를 가능한 빨리 처리하기 위해 긴밀한 관계를 가지고 있습니다.
관리 평면(Management Plane)을 통해 장치를 모니터링하고 구성합니다. 보안 및 접근성을 위해 이 평면은 데이터 평면에서 분리되어야 합니다. 제어 및 데이터 평면에 오류가 발생하더라도 장치에 액세스 할 수 있어야 하고 최종 사용자(End-User)가 관리 평면에 액세스하지 못하도록 해야 합니다. 심각한 보안 문제로 이어질 수 있기 때문입니다.
※ 참고: ArubaOS-CX 장치에는 대역 외 관리에 사용되는 특정 VRF(Interface and Virtual Routing and Forwarding) 인스턴스가 있어 데이터 평면과의 완전한 분리를 유지합니다. 향후 포스팅에서 관련 내용을 다룰 예정입니다.
이렇게 오늘은 물리적 장치에 대해 알아보았습니다. 실제 네트워크 장치는 이보다 더 다양하고 많은 장치가 있지만 그 중에서도 Aruba 유무선과 관련된 장치만 살펴보았습니다. 엔드포인트 단말이 네트워크에 연결되기 위해 필요한 여러 물리적 장치와 함께 앞서 배웠던 OSI 모델과 연결해서 생각해보면 더욱 좋을 듯 합니다.
다음에는 일반적으로 사용되는 네트워크 서비스에 대해 알아보도록 하겠습니다.