회사에서의 LAN 구성
회사에서의 LAN 구성
1. 가정과 회사 네트워크의 차이점
주요 차이점
| 구분 | 가정 | 회사 (소규모/중규모) |
|---|---|---|
| 네트워크 규모 | 소규모 (10대 미만) | 중규모 이상 (10~수천 대) |
| 서버 운영 | 없음 | 웹, 메일, DNS 서버 운영 |
| 보안 영역 | 단일 영역 | DMZ, 내부망 분리 |
| 관리 | 개인 | 전문 IT 담당자 |
| 장비 | 공유기 1대 | 라우터, 스위치, 방화벽 등 |
회사 네트워크 구조도
┌─────────────────────────────────────┐
│ 인터넷 │
└─────────────────┬───────────────────┘
│
┌──────────┴──────────┐
│ 방화벽 │
└──────────┬──────────┘
│
┌──────────────────────────────┼──────────────────────────────┐
│ │ │
┌──────┴──────┐ ┌──────┴──────┐ ┌──────┴──────┐
│ DMZ │ │ 서버 팜 │ │ 내부망 │
│ │ │ │ │ │
│ [웹서버] │ │ [DB서버] │ │ [PC] │
│ [메일서버] │ │ [파일서버] │ │ [프린터] │
│ [DNS서버] │ │ [애플리케이션]│ │ [IP폰] │
└────────────┘ └─────────────┘ └────────────┘
외부 공개 내부 전용 사용자 영역2. DMZ (Demilitarized Zone)
DMZ란?
- 비무장 지대라는 뜻으로, 외부와 내부 네트워크 사이의 완충 영역
- 외부에 공개해야 하는 서버를 배치하는 네트워크 영역
- 내부 네트워크를 보호하면서 필요한 서비스는 외부에 제공
DMZ의 목적
- 보안 강화: 외부 공격이 DMZ에서 차단되어 내부망 보호
- 서비스 제공: 외부 사용자에게 필요한 서비스 공개
- 위험 격리: 공격받더라도 내부망으로 확산 방지
DMZ 구성 방식
단일 방화벽 구성 (3-Leg)
인터넷
│
┌──────┴──────┐
│ 방화벽 │
│ (3포트) │
└──┬───┬───┬──┘
│ │ │
┌───────┘ │ └───────┐
│ │ │
┌──┴──┐ ┌───┴───┐ ┌──┴──┐
│ DMZ │ │ LAN │ │ 서버 │
└─────┘ └───────┘ └─────┘이중 방화벽 구성 (권장)
인터넷
│
┌──────┴──────┐
│ 외부 방화벽 │ ← 1차 방어선
└──────┬──────┘
│
┌──┴──┐
│ DMZ │
└──┬──┘
│
┌──────┴──────┐
│ 내부 방화벽 │ ← 2차 방어선
└──────┬──────┘
│
┌──┴──┐
│ LAN │
└─────┘방화벽 정책 설정 원칙
| 트래픽 방향 | 허용 여부 | 설명 |
|---|---|---|
| 인터넷 → DMZ | 제한적 허용 | HTTP(80), HTTPS(443), SMTP(25) 등 |
| DMZ → 내부망 | 거부 | 보안상 차단 |
| 내부망 → DMZ | 허용 | 내부에서 서버 관리 가능 |
| 내부망 → 인터넷 | 제한적 허용 | 업무용 포트만 허용 |
3. DMZ에 배치하는 서버
웹 서버 (Web Server)
- 역할: 회사 홈페이지, 웹 애플리케이션 서비스 제공
- 프로토콜: HTTP (80), HTTPS (443)
- 예시: Apache, Nginx, IIS
외부 사용자 ─── [HTTPS:443] ──→ DMZ 웹 서버 ─── [내부 통신] ──→ DB 서버
│
┌─────┴─────┐
│ 웹 서버 │
│ - Apache │
│ - Nginx │
│ - Tomcat │
└───────────┘메일 서버 (Mail Server)
- 역할: 이메일 송수신 처리
- 프로토콜:
- SMTP (25, 587): 메일 전송
- POP3 (110): 메일 수신
- IMAP (143): 메일 동기화
메일 흐름:
발신자 → [SMTP] → 발신측 메일서버 → [SMTP] → 수신측 메일서버 → [POP3/IMAP] → 수신자
예시:
user@company-a.com → company-a 메일서버 → company-b 메일서버 → user@company-b.comDNS 서버 (Domain Name System)
- 역할: 도메인 이름을 IP 주소로 변환
- 프로토콜: DNS (53/UDP, 53/TCP)
DNS 조회 과정:
1. 사용자: www.mycompany.com 접속 요청
2. DNS 서버: www.mycompany.com → 211.100.50.10 변환
3. 사용자: 211.100.50.10으로 접속서버별 포트 정리
| 서버 유형 | 포트 번호 | 프로토콜 |
|---|---|---|
| 웹 서버 | 80, 443 | HTTP, HTTPS |
| 메일 서버 (발신) | 25, 587 | SMTP |
| 메일 서버 (수신) | 110, 143 | POP3, IMAP |
| DNS 서버 | 53 | DNS |
| FTP 서버 | 20, 21 | FTP |
| SSH 서버 | 22 | SSH |
4. 서버 운영 방식
온프레미스 (On-Premise)
정의
- 회사 내부 또는 데이터 센터에 직접 서버를 설치하여 운영
- 물리적 서버를 직접 소유하고 관리
구성 요소
서버 장비실 구성:
┌────────────────────────────────────┐
│ 서버 랙 (Rack) │
│ ┌──────────────────────────────┐ │
│ │ 서버 #1 (웹 서버) │ │
│ ├──────────────────────────────┤ │
│ │ 서버 #2 (DB 서버) │ │
│ ├──────────────────────────────┤ │
│ │ 서버 #3 (메일 서버) │ │
│ ├──────────────────────────────┤ │
│ │ 네트워크 스위치 │ │
│ ├──────────────────────────────┤ │
│ │ UPS (무정전 전원장치) │ │
│ └──────────────────────────────┘ │
└────────────────────────────────────┘장단점
| 장점 | 단점 |
|---|---|
| 데이터 직접 통제 | 초기 투자 비용 높음 |
| 보안성 높음 | 유지보수 인력 필요 |
| 커스터마이징 자유로움 | 확장에 시간 소요 |
| 네트워크 지연 최소화 | 재해 복구 어려움 |
클라우드 (Cloud)
정의
- 인터넷을 통해 IT 리소스를 필요한 만큼 빌려 사용
- 서버, 스토리지, 네트워크 등을 서비스로 이용
서비스 모델
┌─────────────────────────────────────────────────────────┐
│ 클라우드 서비스 모델 │
├─────────────┬─────────────────┬─────────────────────────┤
│ IaaS │ PaaS │ SaaS │
│ (인프라) │ (플랫폼) │ (소프트웨어) │
├─────────────┼─────────────────┼─────────────────────────┤
│ 가상 서버 │ 개발 환경 제공 │ 완성된 애플리케이션 │
│ 스토리지 │ DB 서비스 │ 이메일, 오피스 │
│ 네트워크 │ 미들웨어 │ CRM, ERP │
├─────────────┼─────────────────┼─────────────────────────┤
│ AWS EC2 │ AWS Elastic │ Microsoft 365 │
│ Azure VM │ Beanstalk │ Google Workspace │
│ GCP GCE │ Heroku │ Salesforce │
└─────────────┴─────────────────┴─────────────────────────┘
사용자 관리 범위:
IaaS: 애플리케이션, 데이터, 런타임, 미들웨어, OS
PaaS: 애플리케이션, 데이터
SaaS: 데이터만주요 클라우드 제공자
| 제공자 | 서비스명 | 특징 |
|---|---|---|
| Amazon | AWS | 시장 점유율 1위, 가장 다양한 서비스 |
| Microsoft | Azure | Windows 환경 최적화, 기업용 강점 |
| GCP | 빅데이터, AI/ML 강점 | |
| Naver | NCP | 국내 데이터센터, 한국어 지원 |
장단점
| 장점 | 단점 |
|---|---|
| 초기 비용 낮음 | 장기적 비용 증가 가능 |
| 빠른 확장/축소 | 인터넷 의존성 |
| 글로벌 배포 용이 | 데이터 주권 문제 |
| 관리 부담 감소 | 벤더 종속성 |
하이브리드 클라우드
┌─────────────────────────────────────────────────────────┐
│ 하이브리드 클라우드 │
│ │
│ ┌──────────────────┐ ┌──────────────────┐ │
│ │ 온프레미스 │ ←──→ │ 클라우드 │ │
│ │ │ VPN │ │ │
│ │ [핵심 DB] │ 연결 │ [웹 서버] │ │
│ │ [기밀 데이터] │ │ [개발 환경] │ │
│ │ [레거시 시스템] │ │ [백업 스토리지] │ │
│ └──────────────────┘ └──────────────────┘ │
│ │
│ 보안이 중요한 데이터는 확장성이 필요한 서비스는 │
│ 온프레미스에 유지 클라우드에서 운영 │
└─────────────────────────────────────────────────────────┘5. 회사 네트워크 장비
엔터프라이즈급 장비 vs 가정용 장비
| 구분 | 가정용 | 엔터프라이즈급 |
|---|---|---|
| 라우터 | 공유기 내장 | 전용 라우터 (Cisco, Juniper) |
| 스위치 | 공유기 내장 (4포트) | 24/48포트 스위치 |
| 방화벽 | 공유기 내장 (기본) | 전용 방화벽 (UTM, NGFW) |
| 무선 AP | 공유기 내장 | 별도 무선 컨트롤러 + AP |
| 관리 | 웹 GUI | CLI + 중앙 관리 시스템 |
네트워크 장비 구성
┌─────────────┐
│ 라우터 │ ← 인터넷 연결
│ (Cisco ISR) │
└──────┬──────┘
│
┌──────┴──────┐
│ 방화벽 │ ← 보안 정책 적용
│ (Fortinet) │
└──────┬──────┘
│
┌───────────┼───────────┐
│ │ │
┌──────┴──────┐ ┌──┴──┐ ┌──────┴──────┐
│ L3 스위치 │ │ DMZ │ │ L3 스위치 │
│ (코어) │ └─────┘ │ (서버팜) │
└──────┬──────┘ └──────┬──────┘
│ │
┌──────────┼──────────┐ │
│ │ │ ┌────┴────┐
┌─────┴─────┐ ┌──┴──┐ ┌─────┴─────┐│ 서버들 │
│ L2 스위치 │ │ AP │ │ L2 스위치 ││ │
│ (1층) │ │ │ │ (2층) │└─────────┘
└─────┬─────┘ └────┘ └─────┬─────┘
│ │
[PC들] [PC들]주요 네트워크 장비 벤더
| 벤더 | 주력 분야 | 특징 |
|---|---|---|
| Cisco | 전체 네트워크 | 시장 점유율 1위, 업계 표준 |
| Juniper | 라우터, 스위치 | 통신사급 장비 |
| Fortinet | 보안 (UTM) | 통합 보안 솔루션 |
| Aruba (HPE) | 무선 네트워크 | 무선 AP 전문 |
| Palo Alto | 차세대 방화벽 | 애플리케이션 기반 보안 |
6. 사내 네트워크 설계
VLAN (Virtual LAN)
- 정의: 물리적 위치와 관계없이 논리적으로 네트워크를 분리
- 목적: 보안 강화, 브로드캐스트 도메인 분리, 관리 용이성
VLAN 구성 예시:
물리적으로 같은 스위치에 연결되어 있지만 논리적으로 분리됨
┌───────────────────────────────────────────────────────────┐
│ L2 스위치 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ VLAN 10 │ │ VLAN 20 │ │ VLAN 30 │ │
│ │ (영업팀) │ │ (개발팀) │ │ (인사팀) │ │
│ │ │ │ │ │ │ │
│ │ 192.168.10.x│ │ 192.168.20.x│ │ 192.168.30.x│ │
│ └─────────────┘ └─────────────┘ └─────────────┘ │
└───────────────────────────────────────────────────────────┘IP 주소 체계 설계
회사 네트워크 IP 설계 예시:
10.0.0.0/8 전체 대역 사용
├── 10.10.0.0/16 : 본사
│ ├── 10.10.1.0/24 : 1층 사무실 (VLAN 10)
│ ├── 10.10.2.0/24 : 2층 사무실 (VLAN 20)
│ ├── 10.10.3.0/24 : 3층 사무실 (VLAN 30)
│ ├── 10.10.100.0/24 : 서버팜
│ └── 10.10.200.0/24 : DMZ
│
├── 10.20.0.0/16 : 지사 A
│ └── ...
│
└── 10.30.0.0/16 : 지사 B
└── ...이중화 구성 (High Availability)
┌─────────┐ ┌─────────┐
│ 라우터1 │ │ 라우터2 │ ← HSRP/VRRP
└────┬────┘ └────┬────┘
│ │
└─────┬─────┘
│
┌──────────┴──────────┐
│ │
┌────┴────┐ ┌────┴────┐
│ 스위치1 │ ──────── │ 스위치2 │ ← 링크 집합
└────┬────┘ └────┬────┘
│ │
┌───┴────────────────────┴───┐
│ 서버들 │
│ (이중 NIC 구성) │
└────────────────────────────┘7. 실제 회사 네트워크 예시
소규모 회사 (SOHO, 10인 미만)
[인터넷] ─── [방화벽/라우터] ─── [스위치] ─┬─ [PC 5대]
│ ├─ [프린터]
│ └─ [NAS]
└─── [Wi-Fi AP] ─── [노트북, 모바일]중규모 회사 (50~100인)
[인터넷] ─── [방화벽] ─┬─ [DMZ 스위치] ─── [웹서버, 메일서버]
│
└─ [코어 스위치] ─┬─ [서버팜 스위치] ─ [DB, 파일서버]
│
├─ [1층 스위치] ─ [PC 20대]
├─ [2층 스위치] ─ [PC 20대]
└─ [무선 컨트롤러] ─ [AP 10대]핵심 정리
| 구성 요소 | 역할 |
|---|---|
| DMZ | 외부에 공개하는 서버를 배치하는 완충 영역 |
| 웹 서버 | 홈페이지, 웹 애플리케이션 서비스 제공 |
| 메일 서버 | 이메일 송수신 처리 (SMTP, POP3, IMAP) |
| DNS 서버 | 도메인 이름을 IP 주소로 변환 |
| 온프레미스 | 사내/데이터센터에 서버를 직접 설치 운영 |
| 클라우드 | 인터넷으로 IT 리소스를 빌려 사용 |
| 방화벽 | 네트워크 보안 정책 적용 및 침입 차단 |
| VLAN | 논리적 네트워크 분리 |
용어 정리
- 소호 기업 (SOHO): Small Office/Home Office의 약어로 소규모 회사를 뜻한다
- DMZ: Demilitarized Zone의 약어로 비무장 지대라는 뜻
- 데이터 센터: 대량의 데이터를 보관하기 위해 서버나 네트워크 기기를 설치한 전용 시설
- 클라우드: 인터넷을 통해 컴퓨팅 서비스를 제공하는 것으로 언제 어디서든 이용 가능
- 온프레미스: 자체 시설에 서버를 직접 설치하여 운영하는 방식