JD Securtiry Expert

VLAN

오늘은 VLAN을 실제로 설정해 보는 실습을 진행하도록 하겠습니다.

글에 앞서 VLAN에 대해서 아직 잘 모르시겠다면 아래 글을 읽고 와주세요!

https://jdcyber.tistory.com/53

오늘 실습에 이용해 볼 소프트웨어는 패킷트레이서(Packet tracer)입니다.

패킷 트레이서(Packet Tracer)는 Cisco에서 개발한 네트워크 시뮬레이션 도구로,

네트워크 설계, 구성, 테스트 등을 가상 환경에서 실습할 수 있게 해주는 프로그램입니다.

이 도구에 대해 모르신다면 아래 글을 참조해 주세요!

(작성 중)

오늘 실습의 목적은 VLAN 생성 및 관리의 기본을 배우고,

네트워크의 논리적 분리를 이해하며, 보안과 관리 효율성을 향상시키는 방법을 학습하기 위함입니다.

VLAN 생성하기

1. VLAN 생성 명령어 입력:
   • #conf t 명령어로 글로벌 구성 모드에 진입합니다.
   • (config)#vlan 11 명령어로 VLAN 11을 생성합니다.
   • (config-vlan)#name VLAN_A 명령어로 생성된 VLAN에 이름을 지정합니다.
   • 동일한 방식으로 VLAN 12와 VLAN 13을 생성하고 각각 VLAN_B, VLAN_C라는 이름을 부여합니다.
2. 생성된 VLAN 확인:
   • #show vlan brief 명령어를 통해 현재 스위치에 구성된 VLAN 목록과 상태를 확인할 수 있습니다. 이때, VLAN 11, 12, 13이 성공적으로 생성되었는지 확인합니다.

VLAN Access 설정하기

VLAN을 생성한 후, 각 VLAN에 특정 포트를 할당하여 네트워크 장비들이 해당 VLAN에 속하도록 설정할 수 있습니다.

1. VLAN Access 포트 설정 명령어 입력:
   • #conf t 명령어로 다시 글로벌 구성 모드에 진입합니다.
   • (config)#int fa0/1 명령어로 인터페이스 FastEthernet 0/1을 선택합니다.
   • (config-if)#switchport mode access 명령어로 이 포트를 액세스 모드로 설정합니다.
   • (config-if)#switchport access vlan 11 명령어로 이 포트를 VLAN 11에 할당합니다.
   • 동일한 방식으로 fa0/2 포트를 VLAN 12에 할당합니다.
2. 설정 확인:
   • #show run 명령어를 사용하여 현재 구성을 확인합니다.
   • #show vlan brief 명령어로 각 VLAN에 할당된 포트들을 확인합니다.

명령어 모음

실습을 진행함에 있어 아래와 같은 실수를 많이 하셔서 남겨둡니다.

• VLAN 설정이 반영되지 않는 경우:
  • 해결 방법: show vlan brief 명령어를 사용하여 현재 VLAN 설정을 확인합니다. 설정이 올바르게 반영되지 않았다면, 설정 과정을 다시 한번 점검하고, 오타나 누락된 부분이 없는지 확인합니다.
• 특정 포트에서 트래픽이 통과하지 않는 경우:
  • 해결 방법: 포트가 올바른 VLAN에 할당되었는지, 그리고 해당 포트의 switchport mode access 설정이 올바르게 적용되었는지 확인합니다. 또한, 해당 포트의 상태가 활성화되어 있는지 show interface [interface-id] 명령어를 통해 확인합니다.
• VLAN 간 통신 문제:
  • 해결 방법: VLAN 간 통신이 필요한 경우, Layer 3 장비를 통한 라우팅 설정이 필요합니다. 이는 VLAN 설정과는 별도의 고급 설정이며, 관련 지식이 필요합니다. 기본적으로 VLAN은 네트워크를 논리적으로 분리하기 때문에, VLAN 간 통신을 위해서는 추가적인 설정이 요구됩니다.

VLAN 생성과 포트 할당 과정을 통해,

각각의 VLAN에 특정 포트를 할당함으로써 네트워크의 논리적 분리를 실습해 보았습니다.

패킷 트레이서 같은 시뮬레이션 도구를 이용하면,

네트워크 구성과 관리 기술을 손쉽게 배우고 실습해 볼 수 있습니다.

Mac 주소?
IP 주소?

iP 주소, MAC 주소..
저희가 IT 업계로 들어오거나 인터넷 통신 혹은 게임을 할 때에도 간간히 들어봤던 이름일 겁니다.
여러분은 무엇인지 둘의 차이는 무엇인지 알고 계신가요?

먼저 인터넷에 검색해서 두 가지의 설명을 살펴봅시다.

IP 주소 (Internet Protocol address, IP address, 인터넷 규약 주소)는
컴퓨터 네트워크에서 장치들이 서로를 인식하고 통신을 하기 위해서 사용하는 특수한 번호이다.

MAC 주소(Media Access Control Address)는
네트워크 세그먼트의 데이터 링크 계층에서 통신을 위한 네트워크 인터페이스에 할당된 고유 식별자이다.

무슨 말인지 쉽게 좀 설명해 줄래?

우리가 MAC 주소에 대해 시작하기 전에 먼저 iP 주소에 대해서 아직 모르시는 분이 계시다면 아래 글을 한번 읽고 와주세요!
https://jdcyber.tistory.com/27

자 쉽게 설명을 시작해 보도록 하죠
우선 인터넷상에서 검색해 보니 두 가지다 컴퓨터 주소라고 합니다.
우리는 위의 글에서 iP가 주소다.
즉 iP를 할당해서 컴퓨터 너의 이름은 192.168.2.33 야라고 정해준다고 말했습니다.

네 맞습니다.
우리는 보통 한국에서 저 멀리 있는 미국과 컴퓨터로 통신하기 위해 IP 주소를 사용합니다.
실제로 통신을 주고받을 때 내부적으로 어떻게 동작하는지를 살짝 깊게 들여다보면,
IP 주소는 MAC 주소 즉 맥 어드레스로 바꿔서 사용되게 됩니다.
그렇기 때문에 IP 주소 사용한다는 말은 결국 맥 주소를 사용한다고 말할 수 있는 것이죠
쉽게 말해 IP 통신 내부에 맥 주소가 포함되어 있다고 생각하시면 됩니다.

그러면 여기서 질문 하나 생기실겁니다.

그럼 iP주소와 MAC 주소 둘 다 주소라면서
왜 두 개나 필요한 거죠?

우리는 데이터를 전송하기 위해서 수많은 스위치를 통과하여 목적지까지 도달하게 됩니다.
이때 우리는 해당 데이터를 포장하게 됩니다.
우리는 이전 글에서 이 행위를 인캡슐레이션이라고 한다고 말씀드렸고,
이 쌓여있는 포장지를 벗겨서 안에 내용물을 확인하는 과정을
디캡슐레이션이라고 했습니다.

인캡슐레이션, 디캡슐레이션의 내용은 아래 링크를 통해 확인해 주세요

https://jdcyber.tistory.com/28

이때 각 스위치에서 매번 나의 데이터의 포장을 벗겨버리면
내가 보내려던 데이터를 각 스위치에서 모두 열어보는 거잖아요?
이렇게 되면 보안상의 문제도 있고 다시 다음 스위치로 보내기 위해서
처음부터 데이터를 포장을 해야 한다는 번거로움과 과부하 느려짐이 발생하겠죠
그래서 한 장 한 장 포장을 순차적으로 벗겨 각 스위치에서 필요한 부분까지만 데이터를 들여다보게 되는데
데이터는 최종 목적지까지 도달할 때까지 즉 가장 아래부터 하나씩 벗겨지게 됩니다.

위 사진처럼 맥 주소는 데이터 링크, 아이피는 네트워크 계층에서 사용되죠
그러다 보니 맥 주소는 아이피에 포함되어 있다고 말하는 겁니다.

이해가 좀 가시죠?

즉,
MAC 주소 (맥 주소, 맥 어드레스)는 컴퓨터 간 데이터를 전송하기 위한 컴퓨터의 물리적 주소로서
Data Link 계층인 2 계층에서 쓰이게 되고 iP는 네트워크 계층인 3 계층에서 쓰이게 됩니다.
조금은 이해가 되셨나요?

또한 검색을 하다 보면 아래의 내용을 확인해 볼 수 있습니다.
맥 주소를 물리적 주소, iP를 논리적 주소라고 합니다.

또 자기들만 알아듣는 한국어도 아닌 말로
하고 있다 그렇죠?

위 내용을 쉽게 표현해 보겠습니다.

교장 선생님이 강단에서 주민등록증을 확인하고 학생들을 한 명씩 불러서 졸업장을 나눠줍니다.
이때 주민등록증을 보고 한 명씩 부르는 행위를 물리적 방법이라고 해볼게요

이게 비효율적이라고 판단한 교장 선생님은 각 반의 선생님을 불러서
반 별로 선생님에게 학생들의 주민등록증을 나눠줍니다.
그리고 선생님은 아이들을 확인하고 졸업장을 주기 시작하죠 이걸 논리적 방법이라고 하겠습니다.

MAC = 물리적
iP = 논리적

맥 주소와 iP 주소를 물리적 논리적이라는 위 내용에 빗대어 생각해 볼게요
이제 iP 주소와 MAC 주소를 우리가 왜 사용하는지 조금은 이해가 되시죠?
(선생님은 계속해서 바뀔 수 있다고 가정하고 학생은 절대 바뀌지 않는다는 가정을 해보면 위의 내용이 잘 성립이 될 것 같습니다.)

맥 주소
pc가 가지고 있는 변하지 않는 자신의 고유한 번호

ip 주소
할당되어 가지고 있는 변동성 있는 주소

궁금하신 사항은 댓글에 남겨주세요
댓글에 남겨주신 내용은
추후 정리해서 올려드리겠습니다
이웃 신청하시면 업로드 시 알려드릴게요!
-
조금이라도 도움이 되셨다면
공감&댓글 부탁드리겠습니다
감사합니다!

ACL (Access Control List) 정의 및 개념

ACL (Access Control List) 은 네트워크 보안의 핵심 구성 요소로,

네트워크 장비에서 데이터 패킷의 흐름을 제어하는 데 사용되는 일련의 지침입니다.

이 규칙들은 특정 조건에 따라 네트워크 트래픽을 허용하거나 차단합니다.

ACL은 주로 라우터와 스위치와 같은 네트워크 장비에 구성되며,

네트워크 보안을 강화하고 데이터 흐름을 관리하는 데 중요한 역할을 합니다.

ACL 구성 시 고려해야 할 사항
네트워크 요구 사항 파악: ACL을 구성하기 전에, 네트워크의 요구 사항과 목적을 명확히 이해해야 합니다.
어떤 트래픽을 차단하거나 허용해야 하는지, 그리고 그 이유에 대해 정확히 알고 있어야 합니다.

최소 권한 원칙: 네트워크 보안에서 항상 최소 권한 원칙을 따르는 것이 중요합니다.
즉, 필요한 최소한의 트래픽만 허용하고, 나머지는 기본적으로 차단하는 방식으로 ACL을 구성합니다.

ACL 순서의 중요성: ACL 규칙은 순차적으로 처리되므로, 규칙의 순서가 매우 중요합니다.
더 구체적인 규칙을 먼저 배치하고, 더 일반적인 규칙을 나중에 배치해야 합니다.

테스트 및 검증: ACL을 적용하기 전에는 반드시 테스트를 거쳐야 합니다.
잘못 구성된 ACL은 네트워크 성능에 부정적인 영향을 미칠 수 있으며, 심지어 중요한 네트워크 트래픽을 차단할 수도 있습니다.

문서화 및 관리: 구성된 ACL은 문서화하여 관리하는 것이 좋습니다.
이는 나중에 네트워크 변경이나 문제 해결 시 유용하게 사용될 수 있습니다.

ACL (Access Control List) 설정 예제

1. 표준 ACL 구성:
   • access-list 1 deny ip 192.168.1.100 : IP 주소가 192.168.1.100인 호스트의 모든 트래픽을 차단합니다.
   • access-list 1 permit any : 위 조건을 제외한 모든 트래픽을 허용합니다.
2. 라우터 인터페이스에 ACL 적용:
   • interface GigabitEthernet0/1
   • ip access-group 1 out : GigabitEthernet0/1 인터페이스에서 나가는 트래픽에 대해 ACL 1을 적용합니다.

확장 ACL 구성 예제:

외부 네트워크에서 특정 서버로의 SSH 접근을 차단하고자 할 때 확장 ACL을 사용할 수 있습니다.

1. 확장 ACL 구성:
   • access-list 100 deny tcp any host 192.168.1.200 eq 22 : 모든 출발지에서 IP 주소가 192.168.1.200인 서버로의 TCP 포트 22(SSH) 접근을 차단합니다.
   • access-list 100 permit ip any any : 위 조건을 제외한 모든 트래픽을 허용합니다.
2. 라우터 인터페이스에 ACL 적용:
   • interface GigabitEthernet0/0
   • ip access-group 100 in : GigabitEthernet0/0 인터페이스로 들어오는 트래픽에 대해 ACL 100을 적용합니다.

ACL 구성과 관련된 일반적인 실수 및 해결 방법

1. 규칙 순서 실수:
실수: ACL 규칙은 순차적으로 처리되므로, 순서를 잘못 설정하면 트래픽이 의도하지 않은 방식으로 필터링될 수 있습니다.
해결 방법: 규칙을 추가하기 전에, 각 규칙이 어떻게 트래픽을 처리할지 철저히 계획하고, 더 구체적인 규칙을 먼저 배치합니다.

2. 너무 광범위한 차단 규칙 설정:
실수: 너무 광범위한 트래픽을 차단하는 규칙을 설정함으로써 필요한 트래픽까지 차단하는 경우가 있습니다.
해결 방법: 필요한 트래픽과 차단해야 할 트래픽을 명확히 구분하고, 트래픽을 차단하기 전에 그 영향을 면밀히 고려합니다.

3. 테스트와 모니터링의 부족:
실수: 새로운 ACL을 적용한 후 적절한 테스트와 모니터링을 하지 않아 예상치 못한 문제가 발생하는 경우가 있습니다.
해결 방법: ACL을 네트워크에 적용한 후, 즉시 테스트를 실시하고 정기적으로 네트워크 트래픽을 모니터링하여, 필요한 조정을 즉시 수행합니다.

4. 문서화 및 업데이트 미흡:
실수: 구성된 ACL의 문서화를 소홀히 하여 나중에 설정을 이해하거나 변경하기 어려운 경우가 있습니다.
해결 방법: 모든 ACL 설정을 문서화하고, 변경사항이 있을 때마다 이를 업데이트하여 관리합니다.

ACL은 네트워크의 보안과 데이터 흐름 관리에 매우 중요합니다.

올바르게 구성되고 적용된 ACL은 네트워크를 보호하고,

불필요한 트래픽으로 인한 네트워크 성능 저하를 방지하는 데 도움이 됩니다.

하지만, 잘못 구성된 ACL은 네트워크의 정상적인 운영을 방해할 수 있으므로,

신중한 계획과 테스트가 필요합니다.

아래는 이해를 돕기 위하여 실습 내용을 담았으니 참고 해주세요

https://jdcyber.tistory.com/16

ACL 트래픽 필터링 실습 #2

ACL 트래픽 필터링 실습 #3

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!