Layer By Layer

[Network] Port Mirroring - SPAN / RSPAN / ERSPAN

김슭삵 — Sun, 22 Feb 2026 16:09:02 +0900

들어가며

네트워크를 운영하다 보면 특정 트래픽을 분석하거나 보안 위협을 탐지해야 하는 상황이 생깁니다. 하지만 스위치는 기본적으로 목적지 포트에만 트래픽을 전달하기 때문에, 다른 포트에서 흐르는 트래픽을 직접 볼 수는 없습니다. 이때 사용하는 기술이 바로 Port Mirroring, 즉 포트 미러링입니다.

포트 미러링은 특정 포트 또는 VLAN을 흐르는 트래픽을 복사하여 분석 장비(패킷 분석기, IDS, 모니터링 서버 등)로 전달하는 기능입니다. Cisco 장비에서는 이를 SPAN(Switched Port Analyzer) 이라고 부르며, 구성 방식에 따라 SPAN, RSPAN, ERSPAN 세 가지로 나뉩니다.

1. Port Mirroring 개요

동작 원리

포트 미러링의 핵심은 트래픽을 복사한다는 점입니다. 원본 트래픽의 흐름은 그대로 유지되면서, 동일한 트래픽이 모니터링 장비 쪽으로도 함께 전달됩니다. 운영 중인 네트워크에 영향을 주지 않고 트래픽을 분석할 수 있는 것이 가장 큰 장점입니다.

트래픽을 복사하는 포트를 Source 포트, 복사된 트래픽을 수신하는 포트를 Destination 포트라고 합니다. Wireshark와 IDS 등과 같은 분석장비는 Destination 포트에 연결하여 트래픽을 캡처합니다.

주요 활용 목적

네트워크 트래픽 분석: Wireshark 같은 패킷 분석 도구로 트래픽 흐름을 파악
보안 모니터링: IDS/IPS 장비에 트래픽을 복사하여 침입 탐지 및 방지
장애 분석: 특정 구간의 트래픽을 캡처하여 네트워크 문제 원인 파악
성능 모니터링: 트래픽 패턴 분석을 통한 병목 구간 식별

주의사항

포트 미러링은 편리한 기술이지만 몇 가지 주의해야 할 점이 있습니다. 미러링 대상 트래픽이 많을수록 Destination 포트에 부하가 집중될 수 있으며, 경우에 따라 스위치 전체 성능에 영향을 줄 수 있습니다. 또한 Destination 포트는 미러링 트래픽 수신에만 사용되므로, 해당 포트를 통한 일반 통신은 불가능합니다. 대규모 트래픽을 미러링할 때는 Destination 포트의 대역폭이 충분한지 반드시 확인해야 합니다.

2. SPAN (Switched Port Analyzer)

SPAN이란?

SPAN은 동일한 스위치 내에서 특정 포트 또는 VLAN의 트래픽을 복사하여 모니터링 포트로 전달하는 기능입니다. 로컬 미러링이라고도 불리며, 가장 기본적인 형태의 포트 미러링입니다.

SPAN의 특징

같은 스위치 내에서만 동작하므로 구성이 단순합니다.
Source는 포트 단위 또는 VLAN 단위로 지정할 수 있습니다.
Source 방향을 ingress(수신), egress(송신), both(양방향) 중에서 선택할 수 있습니다.
Destination 포트는 일반 통신을 할 수 없으며, 오직 미러링 트래픽만 수신합니다.

SPAN 설정

conf t
monitor session 1 source interface GigabitEthernet0/1 both
monitor session 1 destination interface GigabitEthernet0/2
end

설정 확인은 아래 명령어로 할 수 있습니다.

show monitor session 1

SPAN의 한계

SPAN은 구성이 단순한 대신, 동일한 스위치 안에서만 사용 가능하다는 제약이 있습니다. 대규모 네트워크에서는 모니터링 장비를 모든 스위치에 직접 연결하기 어렵기 때문에, 이를 보완한 RSPAN이 등장했습니다.

3. RSPAN (Remote SPAN)

RSPAN이란?

RSPAN(Remote Switched Port Analyzer)은 SPAN을 원격으로 확장한 기술입니다. 트래픽을 복사한 뒤, 동일 스위치가 아닌 다른 스위치에 연결된 모니터링 장비로 전달할 수 있습니다. 미러링 트래픽은 전용 VLAN(RSPAN VLAN)을 통해 스위치 간에 전달됩니다.

RSPAN의 동작 방식

RSPAN은 다음과 같은 흐름으로 동작합니다.

Source 스위치에서 지정한 포트 또는 VLAN의 트래픽을 복사합니다.
복사된 트래픽을 RSPAN 전용 VLAN에 실어 트렁크 링크를 통해 전달합니다.
Destination 스위치에서 해당 RSPAN VLAN 트래픽을 수신하여 모니터링 포트로 내보냅니다.

RSPAN의 특징

여러 스위치에 걸쳐 미러링이 가능합니다.
RSPAN 전용 VLAN은 일반 데이터 트래픽과 분리되어야 합니다.
RSPAN VLAN은 반드시 remote-span 옵션으로 선언해야 합니다.
트래픽이 L2 네트워크를 통해 전달되기 때문에, 라우팅 경계를 넘을 수 없습니다.

RSPAN 설정

Source 스위치 설정

conf t
vlan 999
 remote-span
exit

monitor session 1 source interface GigabitEthernet0/1 both
monitor session 1 destination remote vlan 999
end

Destination 스위치 설정

conf t
vlan 999
 remote-span
exit

monitor session 1 source remote vlan 999
monitor session 1 destination interface GigabitEthernet0/2
end

RSPAN의 한계

RSPAN은 L2 도메인 안에서만 동작합니다. 즉, 라우터나 방화벽을 넘어서 트래픽을 전달하는 것은 불가능합니다. 데이터센터나 멀티사이트 환경에서 원격지의 트래픽을 중앙에서 분석하고 싶다면 ERSPAN이 필요합니다.

4. ERSPAN (Encapsulated Remote SPAN)

ERSPAN이란?

ERSPAN(Encapsulated Remote Switched Port Analyzer)은 미러링 트래픽을 GRE(Generic Routing Encapsulation) 터널로 캡슐화하여 L3 네트워크를 통해 원격지로 전달하는 기술입니다. 라우팅 경계를 넘을 수 있기 때문에, 물리적으로 멀리 떨어진 사이트(다른 대역 네트워크) 간에도 중앙 집중식 트래픽 분석이 가능합니다.

ERSPAN의 동작 방식

Source 장비에서 지정한 트래픽을 복사합니다.
복사된 트래픽을 GRE 헤더로 캡슐화하여 IP 패킷 형태로 만듭니다.
캡슐화된 패킷이 일반 IP 라우팅을 통해 Destination 장비까지 전달됩니다.
Destination 장비에서 캡슐화를 해제하고 원본 트래픽을 모니터링 포트로 내보냅니다.

ERSPAN 버전

ERSPAN에는 두 가지 버전이 있습니다.

Type I (Version 1): 기본적인 GRE 캡슐화. Sequence Number 없음
Type II (Version 2): ERSPAN 헤더에 Sequence Number, VID, 방향 정보 등 메타데이터 포함. 일반적으로 더 많이 사용

ERSPAN 설정

conf t
monitor session 1 type erspan-source
 source interface GigabitEthernet0/1 both
 destination
  erspan-id 1
  ip address 10.10.20.5
  origin ip address 10.10.10.1
 no shut
exit
end

erspan-id: ERSPAN 세션을 식별하는 ID로, Source와 Destination에서 동일하게 설정해야 합니다.
ip address: 미러링 트래픽을 수신할 Destination 장비의 IP 주소입니다.
origin ip address: Source 장비의 IP 주소입니다.

5. SPAN / RSPAN / ERSPAN 비교

구분	SPAN	RSPAN	ERSPAN
동작 범위	동일 스위치	동일 L2 도메인	L3 네트워크 전체
전달 방식	로컬 포트	RSPAN VLAN	GRE 터널
라우팅 경계 초과	불가	불가	가능
구성 복잡도	낮음	중간	높음
주요 사용 환경	소규모 / 단일 스위치	캠퍼스 / L2 네트워크	데이터센터 / 멀티사이트

세 방식은 동작 범위와 전달 메커니즘에서 명확한 차이가 있으며, 동작 범위가 넓어질수록 구성 복잡도와 오버헤드가 함께 증가하는 트레이드오프 관계에 있습니다.

SPAN : 단일 스위치 안에서 포트 간 트래픽을 직접 복사하기 때문에 구성이 가장 단순하고 오버헤드도 없습니다. 소규모 환경이나 특정 스위치의 트래픽만 분석하면 충분한 경우에 적합합니다.
RSPAN : RSPAN 전용 VLAN을 매개로 트래픽을 스위치 간에 전달합니다. 별도의 캡슐화 없이 L2 프레임 그대로 전달되기 때문에 캠퍼스 네트워크처럼 여러 스위치가 L2 도메인으로 연결된 환경에서 중앙 모니터링 장비를 운영할 때 유용합니다. 단, L2 도메인을 벗어나는 순간 사용할 수 없다는 한계가 있습니다.
ERSPAN : GRE 터널을 통해 트래픽을 캡슐화하여 전달하기 때문에 라우팅 경계를 자유롭게 넘을 수 있습니다. 데이터센터나 멀티사이트 환경에서 원격지 트래픽을 중앙 보안 장비로 집중시켜 분석하는 시나리오에 가장 적합합니다. 다만 GRE 캡슐화로 인한 추가 헤더 오버헤드가 발생하고, 설정 난이도도 가장 높습니다.

마무리 및 정리

Port Mirroring은 네트워크 트래픽을 비침투적으로 분석할 수 있는 핵심 기술입니다. 운영 중인 네트워크에 영향을 주지 않으면서 트래픽을 복사하여 IDS, 패킷 분석기, 모니터링 시스템 등에 전달할 수 있기 때문에, 보안 모니터링과 장애 분석에서 매우 중요하게 활용됩니다.

SPAN은 단일 스위치 환경에서 빠르고 간편하게 사용할 수 있고, RSPAN은 L2 도메인 내 여러 스위치에 걸쳐 미러링이 필요할 때 적합하며, ERSPAN은 라우팅 경계를 넘어 멀리 떨어진 원격지까지 트래픽을 전달해야 하는 대규모 환경에서 활용합니다. 환경에 맞는 방식을 선택하는 것이 중요합니다.

[Network] TWAMP와 OWAMP

김슭삵 — Tue, 13 Jan 2026 16:08:31 +0900

들어가며

현대의 네트워크 환경에서는 단순히 연결성을 확보하는 것을 넘어, 네트워크의 품질과 성능을 정량적으로 측정하고 관리하는 것이 매우 중요합니다. 특히 실시간 서비스(VoIP, 화상회의, 온라인 게임 등)가 증가하면서 지연시간(Latency), 지터(Jitter), 패킷 손실률(Packet Loss)과 같은 성능 지표를 정확하게 측정해야 할 필요성이 커졌습니다.

네트워크 성능을 측정하기 위해 전통적으로 ICMP 기반의 ping이나 traceroute 같은 도구들이 사용되어 왔지만, 이러한 방법들은 표준화되지 않았고, 일방향 성능 측정이 어렵다는 한계가 있었습니다. 이러한 문제를 해결하기 위해 IETF(Internet Engineering Task Force)에서는 OWAMP(One-Way Active Measurement Protocol)와 TWAMP(Two-Way Active Measurement Protocol)라는 표준 프로토콜을 개발했습니다.

1. OWAMP (One-Way Active Measurement Protocol)

OWAMP란?

OWAMP는 네트워크 경로의 일방향(One-Way) 성능 지표를 측정하기 위한 프로토콜입니다. OWAMP는 RFC 4656에 정의되어 있으며, 송신자에서 수신자로 가는 패킷의 지연시간과 손실률을 측정할 수 있습니다.

일반적인 RTT(Round-Trip Time) 측정과 달리, OWAMP는 단방향 지연을 측정하기 때문에 네트워크 경로의 비대칭성을 파악할 수 있습니다. 예를 들어, A에서 B로 가는 경로와 B에서 A로 돌아오는 경로의 지연시간이 다를 수 있는데, OWAMP를 사용하면 이러한 차이를 정확하게 측정할 수 있습니다.

OWAMP의 동작 원리

OWAMP는 클라이언트-서버 구조로 동작하며, 다음과 같은 과정을 거칩니다:

OWAMP-Control 연결 수립: 클라이언트와 서버가 TCP 포트 861을 통해 제어 연결을 수립합니다.
세션 협상: 측정할 파라미터(패킷 크기, 전송 간격, 측정 시간 등)를 협상합니다.
OWAMP-Test 실행: 실제 측정 패킷이 UDP를 통해 전송됩니다.
결과 수집 및 분석: 수신 측에서 타임스탬프를 기록하고, 지연시간과 손실률을 계산합니다.

OWAMP의 주요 특징

정밀한 시간 동기화 필요: 일방향 측정을 위해서는 송신자와 수신자의 시계가 정확하게 동기화되어야 합니다. 일반적으로 NTP(Network Time Protocol) 또는 PTP(Precision Time Protocol)를 사용합니다.
비대칭 경로 분석 가능: 네트워크의 송수신 경로가 다를 때 각 방향의 성능을 독립적으로 측정할 수 있습니다.
보안 기능: OWAMP는 인증 및 암호화 기능을 지원하여 안전한 측정 환경을 제공합니다.

OWAMP 사용 사례

ISP 네트워크 품질 모니터링: 인터넷 서비스 제공자가 네트워크 경로의 성능을 실시간으로 모니터링
SLA(Service Level Agreement) 검증: 계약된 네트워크 성능 지표를 확인하고 보장
데이터센터 간 연결 품질 측정: 클라우드 서비스에서 지역 간 네트워크 지연 분석

2. TWAMP (Two-Way Active Measurement Protocol)

TWAMP란?

TWAMP는 OWAMP를 기반으로 개발된 양방향(Two-Way) 성능 측정 프로토콜입니다. TWAMP는 RFC 5357에 정의되어 있으며, 송신자가 패킷을 보내고 다시 돌아오는 왕복 시간(RTT)을 측정할 수 있습니다.

TWAMP는 OWAMP와 달리 엄격한 시간 동기화가 필요하지 않으며, 양방향 측정을 통해 전체 경로의 성능을 파악할 수 있습니다. TWAMP는 현재 많은 네트워크 장비에서 지원되며, 특히 서비스 품질(QoS) 모니터링에 널리 사용됩니다.

TWAMP의 동작 원리

TWAMP의 동작 과정은 다음과 같습니다.

TWAMP-Control 연결 수립: 클라이언트와 서버가 TCP 포트 862를 통해 제어 연결을 수립합니다.
세션 협상: 측정 파라미터를 협상하고 테스트 세션을 설정합니다.
TWAMP-Test 실행: 클라이언트가 UDP 패킷을 서버로 보내고, 서버는 해당 패킷을 그대로 반사(Reflect)하여 다시 클라이언트로 전송합니다.
RTT 계산: 클라이언트는 패킷이 왕복하는 데 걸린 시간을 측정하여 지연시간을 계산합니다.

TWAMP의 주요 특징

시간 동기화 불필요: 양방향 측정이므로 송수신 장비 간의 시간 동기화가 필요하지 않습니다.
간편한 배포: OWAMP에 비해 설정이 간단하고, 다양한 네트워크 환경에서 쉽게 적용 가능합니다.
표준화된 측정 방법: 벤더 중립적인 표준 프로토콜로, 다양한 장비 간 호환성이 보장됩니다.

TWAMP Light

TWAMP Light는 TWAMP의 간소화된 버전으로, 제어 연결 없이 바로 테스트 패킷을 전송하는 방식입니다. 이는 설정이 더욱 간단하며, Cisco, Juniper, Huawei 등 주요 네트워크 장비 제조사에서 지원합니다.

TWAMP 사용 사례

엔터프라이즈 네트워크 모니터링: 기업 네트워크의 지연시간 및 패킷 손실률 측정
통신사 망 품질 관리: 5G 백홀, MPLS 네트워크 등의 성능 검증
SD-WAN 성능 측정: 소프트웨어 정의 광역 네트워크(SD-WAN)에서 경로별 성능 비교 및 최적 경로 선택

3. OWAMP vs TWAMP 비교

구분	OWAMP	TWAMP
측정 방향	일방향 (One-Way)	양방향 (Two-Way)
시간 동기화	필수 (NTP/PTP 필요)	불필요
RFC 표준	RFC 4656	RFC 5357
제어 포트	TCP 861	TCP 862
테스트 프로토콜	UDP	UDP
주요 용도	비대칭 경로 분석, 정밀 측정	RTT 측정, 일반 네트워크 성능 모니터링
구현 복잡도	높음	낮음

4. OWAMP/TWAMP의 활용 및 최신 트렌드

5G 네트워크에서의 활용

5G 네트워크는 초저지연(URLLC) 서비스를 제공해야 하므로, 정밀한 지연시간 측정이 필수적입니다. TWAMP는 5G 백홀 및 프론트홀 네트워크의 성능을 검증하는 데 활용됩니다.

SD-WAN과 TWAMP

SD-WAN(Software-Defined WAN)에서는 여러 경로 중 최적의 경로를 동적으로 선택해야 합니다. TWAMP를 사용하여 각 경로의 지연시간, 지터, 패킷 손실률을 실시간으로 측정하고, 이를 기반으로 트래픽을 최적 경로로 전달할 수 있습니다.

클라우드 환경에서의 성능 측정

AWS, Azure, GCP와 같은 클라우드 환경에서는 리전 간 또는 가용 영역 간 네트워크 성능을 측정하기 위해 TWAMP를 활용합니다. 이를 통해 애플리케이션의 응답 시간을 최적화하고, 사용자 경험을 개선할 수 있습니다.

마무리 및 정리

OWAMP와 TWAMP는 네트워크 성능을 정량적으로 측정하고 관리하기 위한 표준 프로토콜입니다. OWAMP는 일방향 측정을 통해 비대칭 경로의 성능을 분석할 수 있으며, TWAMP는 양방향 측정을 통해 간편하게 RTT를 측정할 수 있습니다.

두 프로토콜 모두 현대 네트워크 환경에서 SLA 검증, 네트워크 품질 모니터링, 장애 진단 등에 필수적인 도구로 자리 잡고 있습니다. 특히 5G, SD-WAN, 클라우드와 같은 최신 기술 환경에서 그 중요성이 더욱 커지고 있습니다.

[#1] Header Structure - Ethernet, IP, TCP/UDP, ICMP, ARP

김슭삵 — Sat, 10 Jan 2026 22:32:43 +0900

왜 Header Structure를 공부해야 할까?

1. 네트워크 프로토콜들의 헤더 구조를 공부하는 것은 네트워크의 동작 원리를 이해하고, 문제를 해결하기 위함 입니다.

2. 네트워크라는 복잡한 시스템 내부에서 데이터가 어떻게, 왜 그렇게 움직이는지를 보다 직관적으로 이해할 수 있습니다.

3. 또한, WireShark를 활용해서 패킷을 분석하고, 문제 지점을 파악하여 트러블 슈팅을 원활히 할 수 있기 때문입니다.

Layer 2 Protocol

1. Ethernet Header 구조

1-1. Ethernet Frame의 역할

Ethernet은 데이터 링크 계층(Layer 2)에서 동작하며, 같은 네트워크 내에서 장치 간 통신을 담당합니다.

Ethernet 프레임은 MAC 주소를 기반으로 데이터를 전달하며, 네트워크의 가장 기본적인 전송 단위입니다.

1-2. Ethernet Header Structure

주요 필드 설명

Destination MAC Address (6 bytes): 목적지 장치의 MAC 주소를 나타냅니다.
Source MAC Address (6 bytes): 송신 장치의 MAC 주소입니다. 이를 통해 수신 측에서 응답을 보낼 수 있습니다.
Type/Length (2 bytes): 상위 계층 프로토콜을 식별합니다. 예를 들어 0x0800은 IPv4, 0x0806은 ARP, 0x86DD는 IPv6를 의미합니다.

1-3. Ethernet Frame 전체 구조

실제 Ethernet 프레임에는 헤더 외에도 Preamble(8 bytes), SFD(1 byte), User data(46-1500 bytes), FCS(4 bytes) 등이 포함됩니다. 전체 프레임 크기는 최소 64바이트에서 최대 1518바이트입니다.

Preamble (7 bytes): 프레임 시작을 알리는 신호입니다. 10101010 패턴이 7번 반복되며, 수신 측의 비트 동기화에 사용됩니다.
SFD (Start Frame Delimiter, 1 byte): 실제 프레임 데이터의 시작점을 표시합니다. 10101011 패턴을 사용합니다.
FCS (Frame Check Sequence, 4 bytes): CRC-32 알고리즘으로 생성된 오류 검출 값입니다. 전송 중 데이터 손상 여부를 확인하는 데 사용됩니다.

1-4. MTU (Maximum Transmission Unit, 최대 전송 단위)

네트워크에서 한 번에 전송할 수 있는 최대 패킷 크기를 의미합니다. 단위는 바이트(bytes)입니다.

여기서 Ethernet Frame의 최대 크기는 1518byte로 Header 14bytes + 데이터(MTU의 최댓값) 1500bytes + FCS 4bytes로 구성됩니다.

MTU가 크다면 많은 데이터를 보낼 수 있어 효율적이지만, 네트워크 장비 과부화가 발생할 수 있다는 단점이 존재합니다.

단편화 (Fragmentation): 전송할 데이터가 MTU보다 크면 여러 개의 작은 패킷으로 나누어 전송하고, 수신 측에서 데이터를 복원합니다.
Jumbo Frame: MTU를 1500바이트 이상으로 설정한 프레임을 의미합니다. 일반적으로 9000 bytes까지 지원하며, 대용량 데이터 전송 시 효율성을 높일 수 있습니다.

2. ARP Header Structure

2-1. ARP의 역할

ARP(Address Resolution Protocol)는 IP 주소를 MAC 주소로 변환하는 프로토콜입니다. 같은 네트워크 내에서 통신할 때, 목적지의 MAC 주소를 알아내기 위해 사용됩니다.

2-2. ARP Header Structure

주요 필드 설명

Hardware Type (16 bits): MAC 주소의 타입을 나타냅니다. ex) Ethernet은 1
Protocol Type (16 bits): IP 주소의 타입을 나타냅니다. ex) IPv4는 0x0800
Hardware Address Length (8 bits): MAC 주소의 길이입니다. ex) Ethernet은 6바이트
Protocol Address Length (8 bits): IP 주소의 길이입니다. ex) IPv4는 4바이트
Operation (16 bits): ARP 메시지의 타입을 나타냅니다.
- 1: ARP Request
- 2: ARP Reply
- 3: RARP Request
- 4: RARP Reply
Sender Hardware Address (6 bytes): 송신자의 MAC 주소입니다.
Sender Protocol Address (4 bytes): 송신자의 IP 주소입니다.
Target Hardware Address (6 bytes): 수신자의 MAC 주소입니다. ARP Request에서는 0으로 설정됩니다.
Target Protocol Address (4 bytes): 수신자의 IP 주소입니다.

2-3. ARP 동작 과정

ARP Request: 송신자가 목적지 IP에 해당하는 MAC 주소를 찾기 위해 브로드캐스트로 ARP Request를 전송합니다.
ARP Reply: 해당 IP를 가진 장치가 자신의 MAC 주소를 포함한 ARP Reply를 유니캐스트로 응답합니다.
ARP는 동일 네트워크에서만 동작하고, 다른 네트워크 ARP 진행 시에는 Router를 사용해야 합니다.
ARP 동작 후 ARP-Table에 IP주소와 MAC주소가 쌍으로 저장됩니다.

2-4. WireShark 테스트

ARP Request

ARP Reply

2-5. GARP (Gratuitous ARP)

GARP란, ARP 프로토콜의 특수한 형태로 송신자가 자신의 IP 주소를 Target IP로 설정하여 ARP Request 또는 Reply를 모든 장치에 브로드캐스트로 전송하는 프로토콜입니다.

이러한 GARP의 목적은 IP 중복 및 충돌 방지, 또는 ARP Table(ARP Cache)을 갱신하는데 있습니다.
사용자의 PC가 IP를 할당 받았을 때, 자신의 IP가 중복되는지를 알아보기위해 자신의 IP를 요청함으로써 중복 및 충돌을 방지를 할 수 있습니다. (ACD, Address Conflict Detection)
만약, IP 주소는 그대로이지만 MAC 주소가 변경 되었을 때 다른 장치들의 ARP 테이블을 강제로 업데이트 할 수도 있습니다.

2-6. GARP WireShark 테스트

GARP Reqeust

Layer 3 Protocol

1. IP Header Structure (IPv4)

1-1. IP 프로토콜의 역할

IP(Internet Protocol)는 네트워크 계층(Layer 3)에서 동작하며, 서로 다른 네트워크 간의 데이터 전송을 담당합니다. IP 헤더는 출발지와 목적지 IP 주소, 라우팅 정보 등을 포함합니다.

라우팅과 IP의 연관성 : IP 주소는 패킷이 어디로 가야 하는지 알려주는 주소를 뜻하고, 라우팅은 라우터가 해당 IP 주소를 보고 패킷을 어느 방향으로 보낼지 결정하는 과정으로 둘의 연관성이 매우 깊습니다.

1-2. IPv4 Header Structure

주요 필드 설명

Version (4 bits): IP 버전을 나타냅니다. IPv4는 4, IPv6는 6입니다.
IHL (Internet Header Length, 4 bits): IP 헤더의 길이를 32비트 단위로 표시합니다. 최소값은 5(20바이트)이며, 옵션이 있으면 증가합니다.
Type of Service (8 bits): QoS를 위한 필드로, 패킷의 우선순위와 처리 방식을 지정합니다. 현재는 DSCP(Differentiated Services Code Point)와 ECN(Explicit Congestion Notification)으로 세분화됩니다.
Total Length (16 bits): IP 헤더와 데이터를 포함한 전체 패킷의 길이입니다. 최대값은 65,535바이트입니다.
Identification (16 bits): 단편화된 패킷들을 재조립할 때 사용되는 고유 식별자입니다.
Flags (3 bits): 패킷 단편화 관련 플래그입니다.
- Bit 0: 예약(항상 0)
- Bit 1 (DF - Don't Fragment): 단편화 금지
- Bit 2 (MF - More Fragments): 추가 단편 존재 여부
Fragment Offset (13 bits): 단편화된 패킷의 위치를 8바이트 단위로 표시합니다.
Time to Live (8 bits): 패킷의 수명을 나타냅니다. 라우터를 거칠 때마다 1씩 감소하며, 0이 되면 패킷이 폐기됩니다. 라우팅 루프를 방지합니다.
Protocol (8 bits): 상위 계층 프로토콜을 식별합니다. TCP는 6, UDP는 17, ICMP는 1입니다.
Header Checksum (16 bits): IP 헤더의 오류 검출을 위한 체크섬입니다. 데이터는 검사하지 않습니다.
Source IP Address (32 bits): 송신자의 IP 주소입니다.
Destination IP Address (32 bits): 수신자의 IP 주소입니다.
Options (가변 길이): 보안, 라우팅, 타임스탬프 등의 추가 정보를 담을 수 있습니다. 실무에서는 거의 사용되지 않습니다.

1-3. WireShark 테스트

Internet Protocol Version 4

2. ICMP Header Structure

2-1. ICMP의 역할

ICMP(Internet Control Message Protocol)는 네트워크 진단과 오류 보고를 위한 네트워크 계층(Layer 3)의 프로토콜입니다. ping, traceroute 같은 도구에서 사용되며, 네트워크 상태를 확인하는 데 필수적입니다.

2-2. ICMP Header Structure

주요 필드 설명

Type (8 bits): ICMP 메시지의 종류를 나타냅니다.

ICMP 메시지 유형	설명
Type 8 / 0 - Echo Request / Echo Reply	네트워크 연결 상태 확인 (ping 명령어)
Type 3 - Destination Unreachable	목적지 IP에 도달할 수 없음
Type 5 - Redirect	더 나은 라우팅 경로 안내
Type 11 - Time Exceeded	TTL 초과로 패킷이 폐기됨 (traceroute에서 사용)

Code (8 bits): Type에 대한 세부 정보를 제공합니다. 예를 들어, Type 3 (Destination Unreachable)의 경우 Code 0은 네트워크 도달 불가, Code 1은 호스트 도달 불가를 의미합니다.
Checksum (16 bits): ICMP 메시지의 오류 검출을 위한 체크섬입니다.
Rest of Header - Unused (32 bits): Type과 Code에 따라 다른 정보를 담습니다. Echo Request/Reply의 경우 Identifier와 Sequence Number가 포함됩니다.

2-3. ICMP Echo Request/Reply (Ping) 구조

Ping 명령어 실행 시, Identifier는 프로세스를 식별하고, Sequence Number는 각 요청을 구분합니다.

2-4. WireShark 테스트

ICMP Request

ICMP Reply

Layer 4 Protocol

1. TCP Header Structure

1-1. TCP의 역할

TCP(Transmission Control Protocol)는 전송 계층(Layer 4)에서 신뢰성 있는 연결 지향 통신을 제공합니다. 순서 보장, 흐름 제어, 오류 제어 기능을 제공하여 데이터의 정확한 전송을 보장합니다.

1-2. TCP Header Structure

주요 필드 설명

Source Port (16 bits): 송신 측 애플리케이션의 포트 번호입니다.
Destination Port (16 bits): 수신 측 애플리케이션의 포트 번호입니다.
Sequence Number (32 bits): 전송하는 데이터의 순서 번호입니다. 연결 설정 시 초기 시퀀스 번호(ISN)가 랜덤하게 결정됩니다.
- 0과 1같은 고정 값이 아니라 ISN(Initial Sequence Number)를 사용하는 이유는 시퀀스 예측을 통한 보안상의 공격을 예방하기 위해서 입니다.
Acknowledgment Number (32 bits): 다음에 받을 것으로 예상되는 시퀀스 번호입니다. ACK 플래그가 설정된 경우에만 유효합니다.
Data Offset (4 bits): TCP 헤더의 길이를 32비트 단위로 나타냅니다. 최소값은 5(20바이트)입니다.
Reserved (3 bits): 미래 사용을 위해 예약된 필드로 0으로 설정됩니다.
Flags (9 bits): TCP 연결 상태와 제어를 위한 플래그들입니다.
- URG: Urgent Pointer 필드 유효
- ACK: Acknowledgment 필드 유효
- PSH: 즉시 상위 계층으로 전달
- RST: 연결 강제 종료
- SYN: 연결 설정 요청
- FIN: 연결 종료 요청
Window (16 bits): 수신 가능한 데이터 크기를 바이트 단위로 나타냅니다. 흐름 제어에 사용됩니다.
Checksum (16 bits): TCP 헤더와 데이터의 오류 검출을 위한 체크섬입니다.
Urgent Pointer (16 bits): URG 플래그가 설정된 경우, 긴급 데이터의 위치를 나타냅니다.
Options (가변 길이): MSS(Maximum Segment Size), Window Scale, SACK(Selective Acknowledgment) 등의 여러가지 추가 정보를 담습니다.

1-3. TCP 3-Way Handshake와 헤더

TCP 연결 설정 과정에서 헤더의 플래그 필드가 중요한 역할을 합니다.

SYN: 클라이언트가 SYN 플래그를 설정하여 연결 요청
SYN-ACK: 서버가 SYN+ACK 플래그를 설정하여 응답
ACK: 클라이언트가 ACK 플래그를 설정하여 연결 확립

1-4. WireShark 테스트

Transmission Control Protocol

2. UDP Header Structure

2-1. UDP의 역할

UDP(User Datagram Protocol)는 TCP와 달리 비연결성 프로토콜로, 신뢰성보다는 속도와 효율성을 중시합니다. 실시간 스트리밍, DNS 조회, VoIP 등에 주로 사용됩니다.

2-2. UDP Header Structure

주요 필드 설명

Source Port (16 bits): 송신 측 포트 번호입니다. 필요 없는 경우 0으로 설정할 수 있습니다.
Destination Port (16 bits): 수신 측 포트 번호입니다.
Length (16 bits): UDP 헤더와 데이터를 포함한 전체 길이입니다. 최소값은 8바이트입니다.
Checksum (16 bits): 오류 검출을 위한 체크섬입니다. IPv4에서는 선택사항이지만, IPv6에서는 필수입니다.

2-3. WireShark 테스트

User Datagram Protocol

2-4. TCP vs UDP 헤더 비교

TCP	20 bytes	60 bytes (Options 포함)
UDP	8 bytes	8 bytes (고정)

TCP 헤더가 최소 20바이트인 반면, UDP 헤더는 단 8바이트로 매우 간단합니다.

이는 UDP가 연결 관리, 흐름 제어, 순서 보장 등의 기능을 제공하지 않기 때문입니다.

[Network] Backhaul과 Fronthaul이란 무엇일까?

김슭삵 — Tue, 30 Dec 2025 20:15:41 +0900

들어가며

5G 네트워크는 기존 4G LTE와는 다른 새로운 아키텍처를 채택하면서 네트워크 구성 방식에도 큰 변화를 가져왔습니다. 특히 Backhaul과 Fronthaul은 5G 네트워크의 핵심 구성요소로, 기지국과 코어 네트워크 간의 데이터 전송을 담당하는 중요한 연결 구간입니다.

5G는 초고속, 초저지연, 대규모 연결을 요구하기 때문에 이러한 전송 구간의 설계와 구현이 네트워크 성능에 직접적인 영향을 미칩니다. 이번 글에서는 5G 관점에서 Backhaul(백홀)과 Fronthaul(프론트홀)의 개념, 차이점, 그리고 기술적 특징을 살펴보겠습니다.

1. Backhaul과 Fronthaul 기본 개념

Backhaul이란?

Backhaul은 기지국(Base Station)과 코어 네트워크(Core Network) 간을 연결하는 전송 구간을 의미합니다. 쉽게 말해, 사용자 데이터가 기지국에서 인터넷이나 다른 네트워크로 전달되기 위해 거쳐야 하는 "백본 연결"입니다.

전통적인 이동통신 네트워크에서 Backhaul은 주로 유선 광케이블이나 마이크로파 무선 링크를 통해 구현되었으며, 기지국에서 수집된 모든 트래픽을 코어 네트워크로 전달하는 역할을 담당합니다.

Fronthaul이란?

Fronthaul은 5G 네트워크에서 새롭게 중요해진 개념으로, RRU(Remote Radio Unit)와 BBU(Baseband Unit) 간을 연결하는 전송 구간입니다.

5G에서는 기지국 기능이 분리되면서 안테나와 가까운 위치의 RRU와 중앙집중식으로 배치된 BBU 사이에 고속, 저지연 연결이 필요하게 되었습니다. 이 구간이 바로 Fronthaul입니다.

Backhaul vs Fronthaul 비교

구분	Backhaul	Fronthaul
연결 구간	기지국 ↔ 코어 네트워크	RRU ↔ BBU
주요 역할	사용자 트래픽 전달	무선 신호 처리 데이터 전달
지연 요구사항	상대적으로 관대	매우 낮은 지연 필요 (마이크로초 단위)
대역폭 요구사항	높음	매우 높음 (원시 데이터 전송)
프로토콜	IP 기반	CPRI, eCPRI 등

2. 5G 네트워크 아키텍처와 Fronthaul/Backhaul

C-RAN (Centralized Radio Access Network)

5G 네트워크는 C-RAN 아키텍처를 채택하여 기지국 기능을 물리적으로 분리했습니다. 이 구조에서는 다음과 같은 구성요소가 존재합니다.

RRU (Remote Radio Unit): 안테나 근처에 배치되어 무선 신호 송수신을 담당
BBU (Baseband Unit): 중앙집중식으로 배치되어 신호 처리를 담당
DU (Distributed Unit): 5G NR에서 BBU의 하위 계층 처리 담당
CU (Centralized Unit): 5G NR에서 BBU의 상위 계층 처리 담당

이러한 분리 구조에서 Fronthaul은 RRU와 DU 사이, Midhaul은 DU와 CU 사이, Backhaul은 CU와 코어 네트워크 사이를 연결합니다.

Functional Split 옵션

5G 표준에서는 기지국 기능을 어디서 분리할지에 따라 여러 옵션(Option 1~8)을 정의하고 있습니다. 분리 지점에 따라 Fronthaul의 대역폭 요구사항과 지연 허용치가 달라집니다.

Option 8: RRU ↔ DU (High Layer Split)
  - 가장 많은 대역폭 필요
  - 가장 낮은 지연 요구

Option 7: DU ↔ CU (Lower Layer Split)
  - 중간 수준의 대역폭
  - 비교적 관대한 지연 허용

Option 2: CU ↔ Core (Traditional Backhaul)
  - IP 기반 트래픽
  - 전통적인 Backhaul 개념

3. Fronthaul 기술과 프로토콜

CPRI (Common Public Radio Interface)

CPRI는 4G LTE 시대부터 사용되어 온 Fronthaul 프로토콜로, RRU와 BBU 간의 디지털 무선 신호를 전송하는 표준 인터페이스입니다.

CPRI의 주요 특징

고정된 대역폭을 사용하여 원시 I/Q 샘플 데이터 전송
매우 높은 대역폭 요구 (예: 20MHz LTE 채널 하나에 약 2.5Gbps 필요)
엄격한 지연 및 동기화 요구사항

eCPRI (Enhanced CPRI)

5G 시대에는 eCPRI가 등장했습니다. eCPRI는 CPRI의 비효율성을 개선하여 대역폭 요구사항을 줄이고, 이더넷 기반으로 구현할 수 있도록 설계되었습니다.

eCPRI의 장점

대역폭 효율성: 압축 및 처리를 통해 전송 데이터량 감소
유연한 분할: 기능 분할 옵션에 따라 다양한 구성 가능
이더넷 기반: 기존 네트워크 인프라 활용 가능
패킷 기반 전송: IP 네트워크와의 통합 용이

CPRI 전송 예시:
20MHz 5G 채널 → 약 10Gbps 필요

eCPRI 전송 예시:
20MHz 5G 채널 → 약 2-3Gbps 필요 (압축 및 최적화)

RoE (Radio over Ethernet)

RoE는 이더넷 프레임을 사용하여 무선 신호를 전송하는 방식으로, eCPRI와 유사하게 패킷 기반 Fronthaul을 구현합니다. 표준화된 이더넷 스위치와 라우터를 활용할 수 있어 비용 효율적입니다.

4. Backhaul 기술과 전송 방식

광케이블 (Fiber Optic)

5G Backhaul에서 가장 이상적인 전송 매체는 광케이블입니다. 광케이블은 높은 대역폭과 낮은 지연, 긴 전송 거리를 제공하여 5G의 성능 요구사항을 충족할 수 있습니다.

광케이블 Backhaul의 장점

초고속 전송 속도 (10Gbps ~ 100Gbps 이상)
낮은 지연 시간
외부 간섭에 강함
장거리 전송 가능

마이크로파 무선 (Microwave)

마이크로파 무선 링크는 광케이블을 설치하기 어려운 지역에서 Backhaul을 구현하는 대안입니다. 6GHz 이상의 고주파 대역을 사용하여 Point-to-Point 연결을 제공합니다.

마이크로파 Backhaul의 특징

빠른 구축 가능
광케이블 대비 저렴한 초기 비용
날씨 영향을 받을 수 있음
가시선(Line of Sight) 필요

mmWave (밀리미터파)

5G에서는 28GHz, 39GHz 등 밀리미터파 대역을 활용한 무선 Backhaul도 연구되고 있습니다. 매우 높은 대역폭을 제공하지만, 전파 도달 거리가 짧고 장애물에 취약한 특성이 있습니다.

5G NR 기반 Wireless Backhaul

5G에서는 Integrated Access and Backhaul (IAB)이라는 개념이 도입되어, 5G NR(New Radio) 무선 기술 자체를 Backhaul로 사용할 수 있게 되었습니다.

IAB의 특징

동일한 5G 무선 자원을 Access와 Backhaul에 공유
빠른 네트워크 확장 가능
광케이블 설치 불가 지역에 유용
무선 특성상 간섭 및 용량 제한 존재

5. 5G에서의 Fronthaul/Backhaul 요구사항

대역폭 요구사항

5G는 최대 20Gbps 이상의 사용자 속도를 목표로 하기 때문에, Fronthaul과 Backhaul 모두 매우 높은 대역폭이 필요합니다.

Fronthaul: 수십 Gbps (CPRI 사용 시 Option 8 기준)
Backhaul: 수 Gbps ~ 수십 Gbps

지연 요구사항

5G의 URLLC (Ultra-Reliable Low-Latency Communication) 서비스는 1ms 이하의 종단간 지연을 요구합니다. 이를 위해 Fronthaul과 Backhaul의 지연이 매우 중요합니다.

Fronthaul 지연: 100마이크로초 이하 (Option 8 기준)
Backhaul 지연: 수 밀리초 이하

동기화 요구사항

5G에서는 시간 동기화가 매우 중요합니다. TDD(Time Division Duplex) 방식과 Massive MIMO, Beamforming 등의 기술은 정확한 시간 동기화를 필요로 합니다.

마무리 및 정리

5G 네트워크에서 Fronthaul과 Backhaul은 단순한 전송 구간이 아니라, 네트워크 성능과 서비스 품질을 결정하는 핵심 요소입니다. Fronthaul은 RRU와 BBU 간의 고속, 저지연 연결을 담당하며, Backhaul은 기지국과 코어 네트워크를 연결하여 사용자 트래픽을 전달합니다.

5G의 초고속, 초저지연, 대규모 연결 요구사항을 충족하기 위해서는 광케이블, 마이크로파, mmWave 등 다양한 전송 기술을 적절히 조합하여 사용해야 하며, eCPRI, RoE와 같은 효율적인 프로토콜을 활용해야 합니다.

[Network] FTTH - Fiber To The Home

김슭삵 — Mon, 29 Dec 2025 14:58:17 +0900

들어가며

과거 인터넷 서비스는 전화선을 활용한 ADSL이나 동축 케이블을 이용한 케이블 인터넷이 주류였습니다. 하지만 4K/8K 영상 스트리밍, 클라우드 서비스, 재택근무 확산 등으로 인터넷 트래픽이 폭발적으로 증가하면서, 기존 구리선 기반의 통신 인프라로는 한계에 봉착했습니다.

이러한 배경에서 등장한 것이 바로 FTTH(Fiber To The Home) 기술입니다. FTTH는 통신사업자의 국사에서 가정까지 광섬유를 직접 연결하여, Gbps급 초고속 인터넷 서비스를 제공하는 차세대 통신 인프라입니다. 이번 글에서는 FTTH의 개념, 구성 방식, 기존 기술과의 차이점, 그리고 실제 구현 사례를 살펴보겠습니다.

1. FTTH의 개념과 등장 배경

FTTH란?

FTTH(Fiber To The Home)는 통신사업자의 중앙국(Central Office)에서 최종 사용자의 가정까지 광섬유 케이블을 직접 연결하는 초고속 인터넷 접속 방식입니다. 기존의 구리선이나 동축 케이블과 달리 광섬유를 사용하여 빛의 신호로 데이터를 전송하기 때문에, 훨씬 빠른 속도와 안정적인 통신이 가능합니다.

기존 인터넷 접속 방식의 한계

FTTH가 등장하기 전까지 사용되던 인터넷 접속 방식들은 다음과 같은 한계를 가지고 있었습니다.

ADSL (Asymmetric Digital Subscriber Line)

기존 전화선(구리선)을 활용한 방식
거리가 멀어질수록 속도 급격히 저하

케이블 인터넷

CATV용 동축 케이블을 활용한 방식
같은 구간을 사용하는 사용자들이 대역폭을 공유하여 피크 시간대 속도 저하

VDSL (Very high-bit-rate DSL)

구리선의 성능을 극대화한 방식
국사에서 500m 이내에서만 최대 속도 제공

이러한 기존 기술들은 증가하는 트래픽 수요를 감당하기 어려워졌고, 이에 따라 근본적으로 대역폭이 넓은 광섬유 기반의 FTTH가 차세대 인터넷 인프라로 자리잡게 되었습니다.

2. FTTx 계열과 FTTH의 위치

FTTx의 분류

FTTH는 FTTx(Fiber To The x) 계열의 한 종류입니다. FTTx는 광섬유가 어디까지 연결되는지에 따라 분류되며, x 위치에 따라 서비스 품질과 구축 비용이 달라집니다.

FTTN (Fiber To The Node/Neighborhood)

지역 노드까지만 광섬유 연결, 노드에서 가정까지는 기존 구리선 사용
최종 구간에서 속도 저하 발생, 구축 비용이 저렴하지만 성능 제한적

FTTC (Fiber To The Curb/Cabinet)

도로변 캐비닛(전신주 근처)까지 광섬유 연결
캐비닛에서 가정까지는 구리선 또는 동축 케이블 사용
일반적으로 100~300m 이내의 구리선 구간

FTTB (Fiber To The Building)

건물의 통신실(MDF/IDF)까지 광섬유 연결
아파트나 오피스 빌딩에 적합
1Gbps급 서비스 제공 가능

FTTH (Fiber To The Home)

각 가정의 실내까지 광섬유 직접 연결
최종 단말까지 광신호 전달
최고 수준의 속도와 안정성 제공

3. FTTH의 핵심 기술 요소

광섬유 케이블

FTTH의 핵심은 광섬유 케이블입니다. 광섬유는 매우 얇은 유리나 플라스틱 섬유로, 빛의 전반사 원리를 이용해 데이터를 전송합니다.

광섬유의 구조

코어(Core): 빛이 실제로 전달되는 중심부
클래딩(Cladding): 코어를 감싸며 빛의 전반사를 유도
코팅(Coating): 광섬유를 물리적으로 보호하는 외피

광섬유의 종류

단일모드(Single Mode): 장거리 전송에 적합, FTTH에 주로 사용
다중모드(Multi Mode): 단거리 전송용, 건물 내 배선에 사용

FTTH에서는 일반적으로 SM(Single Mode) 광섬유를 사용하며, 국제 표준인 ITU-T G.652 또는 G.657 규격을 따릅니다.

광 송수신 모듈

광섬유를 통해 데이터를 전송하려면 전기 신호를 빛으로, 빛을 다시 전기 신호로 변환하는 장치가 필요합니다.

레이저 다이오드(LD) / LED

전기 신호를 광신호로 변환
FTTH에서는 주로 1310nm 또는 1490nm, 1550nm 파장 사용

포토 다이오드(PD)

광신호를 전기 신호로 변환
수신된 빛의 세기를 전류로 변환

SFP/SFP+ 모듈

소형 플러그형 광 송수신기
장비에서 쉽게 교체 가능
다양한 속도 및 파장 지원

WDM (Wavelength Division Multiplexing)

FTTH에서는 하나의 광섬유로 양방향 통신을 하기 위해 WDM 기술을 사용합니다. 서로 다른 파장의 빛을 동시에 전송하여, 한 가닥의 광섬유로 여러 신호를 동시에 보낼 수 있습니다.

일반적인 파장 할당

1310nm: 상향(Upstream) 데이터 전송
1490nm: 하향(Downstream) 데이터 전송
1550nm: IPTV 방송 신호 전송

WDM 기술을 실제로 구현하기 위해서는 MUX(Multiplexer, 합파기)와 DEMUX(Demultiplexer, 분파기)가 필요합니다. MUX는 서로 다른 파장의 광신호들을 하나의 광섬유로 합치는 장치로, OLT 측에서 1490nm(데이터)와 1550nm(방송) 신호를 하나로 결합합니다. 반대로 DEMUX는 ONT 측에서 수신한 신호를 파장별로 분리하여, 각각의 수신 회로로 전달합니다.

이러한 MUX/DEMUX 장치는 전원이 필요 없는 수동 광소자로, 프리즘처럼 파장에 따라 빛을 분리하는 원리를 사용합니다. 이를 통해 하나의 광섬유로 인터넷과 IPTV 서비스를 동시에 제공할 수 있습니다.

4. FTTH 네트워크 구성

전체 아키텍처

FTTH 네트워크는 크게 세 구간으로 나뉩니다.

피더 구간 (Feeder Section)

전화국에서 광분배함(Splitter)까지
대용량 광케이블 사용 (24~144코어)
지하 관로나 전주를 통해 설치

분배 구간 (Distribution Section)

광분배함에서 각 건물 또는 지역까지
중소용량 광케이블 사용 (12~24코어)
광분배기(Optical Splitter)를 통해 신호 분기

인입 구간 (Drop Section)

건물 입구에서 각 세대까지
단심 또는 2심 광케이블 사용
실내 광 단자함(Optical Outlet)까지 연결

주요 구성 장비

OLT (Optical Line Terminal)

전화국에 위치
광신호 생성 및 관리
상위 네트워크(백본)와 연결

광분배기 (Optical Splitter)

광신호를 여러 갈래로 분기
전원이 필요 없는 수동 소자

ONT (Optical Network Terminal)

가입자 댁내에 설치되는 광 단말 장치
광신호를 전기 신호(이더넷)로 변환

PON (Passive Optical Network) 방식

FTTH 구축에서 가장 널리 사용되는 방식이 PON(Passive Optical Network)입니다. PON은 능동 장비 없이 수동 광분배기를 사용하여 하나의 광섬유를 여러 가입자가 공유하는 방식입니다.

PON의 주요 특징

중간에 전원 공급이 필요한 능동 장비가 없어 유지보수 비용 절감
하나의 OLT 포트에서 최대 32~128명의 가입자 수용
TDM(Time Division Multiplexing) 방식으로 대역폭 공유
브로드캐스트 하향 전송, TDMA 상향 전송

PON 표준 기술

EPON (Ethernet PON): IEEE 802.3ah, 1Gbps 대칭
GPON (Gigabit PON): ITU-T G.984, 하향 2.5Gbps/상향 1.25Gbps
XG-PON: ITU-T G.987, 하향 10Gbps/상향 2.5Gbps
XGS-PON: ITU-T G.9807, 10Gbps 대칭

국내에서는 GPON과 XG-PON이 주로 사용되며, 최근에는 10Gbps 대칭형 서비스를 위해 XGS-PON으로 전환하는 추세입니다.

5. FTTH의 장점과 단점

[장점]

초고속 전송 속도

FTTH의 가장 큰 장점은 압도적인 전송 속도입니다. 현재 상용화된 FTTH 서비스는 일반적으로 1Gbps를 기본으로 제공하며, 일부 지역에서는 10Gbps 서비스도 가능합니다.

낮은 신호 감쇠

구리선은 거리가 멀어질수록 신호가 급격히 약해지지만, 광섬유는 신호 감쇠가 매우 적습니다. 일반적으로 광섬유의 감쇠는 0.3~0.5dB/km 수준으로, 수십 km 거리에서도 안정적인 신호 전달이 가능합니다.

전자기 간섭 없음

광섬유는 빛으로 데이터를 전송하기 때문에 전자기파(EMI)의 영향을 받지 않습니다. 전력선, 전기 기기, 무선 통신 등에서 발생하는 전자기 간섭이 통신 품질에 영향을 주지 않아, 안정적이고 깨끗한 신호 전송이 가능합니다.

[단점]

높은 초기 구축 비용

FTTH의 가장 큰 단점은 초기 구축 비용입니다. 광섬유 케이블 포설, 광분배기 설치, 각 가정까지의 인입 공사 등에 상당한 비용이 소요됩니다. 특히 기존 건물에 FTTH를 구축하는 경우, 관로가 없어 외벽 공사가 필요하거나 건물 내부 배선이 어려운 경우가 많아 비용이 더욱 증가합니다.

전원 의존성

FTTH의 ONT는 전원이 필요합니다. 따라서 정전이 발생하면 인터넷뿐만 아니라 VoIP 기반 전화 서비스도 중단됩니다. 기존 구리선 기반 전화는 전화국에서 전원을 공급받아 정전 시에도 작동했지만, FTTH 환경에서는 별도의 UPS를 설치하지 않으면 정전 시 통신이 불가능합니다.

마무리 및 정리

FTTH는 전화국에서 가정까지 광섬유를 직접 연결하여 초고속 인터넷 서비스를 제공하는 차세대 통신 인프라입니다.

광섬유는 빛의 전반사 원리를 이용해 데이터를 전송하며, 낮은 신호 감쇠와 전자기 간섭 없음이라는 특성으로 기존 구리선 기반 기술 대비 월등한 성능을 제공합니다. FTTH 네트워크는 OLT, 광분배기, ONT로 구성되며, PON 방식을 통해 효율적으로 여러 가입자를 수용합니다. 현재 GPON과 XG-PON이 주로 사용되며, 향후 10Gbps 대칭형 서비스를 위한 XGS-PON으로 전환되고 있습니다.

높은 초기 구축 비용이 단점이지만, 한번 구축된 광섬유 인프라는 케이블 교체 없이 장비 업그레이드만으로 속도 증설이 가능하여 장기적으로 투자 대비 효율성이 우수합니다. FTTH는 단순한 인터넷 접속 수단을 넘어 5G/6G 백홀, 스마트홈, IoT 등 미래 디지털 사회의 핵심 인프라로 자리잡을 것입니다.

[GNS3] ACL 보안 정책 구현 (Standard, Extended, Named ACL)

김슭삵 — Thu, 25 Dec 2025 20:25:34 +0900

실습 목표

이번 실습에서는 ACL(Access Control List)을 활용하여 계층적 보안 정책을 구현할 예정이다. Standard ACL을 통해 관리 접근을 제어하고, Extended ACL을 통해 부서별 세밀한 트래픽 제어를 수행한다. 마지막으로 Named ACL의 Remark 기능을 활용하여 정책의 가독성과 유지보수성을 향상시킨다.

ACL은 네트워크 보안의 핵심 요소로, 출발지/목적지 IP 주소, 프로토콜, 포트 번호 등을 기반으로 트래픽을 허용하거나 차단하는 역할을 가진다. 적절한 ACL 설계는 내부 네트워크 보호, 정보 유출 방지, 그리고 규정 준수를 위한 필수 요소이다.

전체 토폴로지

네트워크 설계

VLAN 10 (Finance): 10.10.10.0/24
VLAN 20 (HR): 10.10.20.0/24
VLAN 30 (IT): 10.10.30.0/24
VLAN 40 (Guest): 10.10.40.0/24
VLAN 50 (Server): 10.10.50.0/24

보안 정책

Finance: 서버 HTTPS만 허용, 인터넷 차단
HR: 인터넷 허용, 내부 네트워크 차단
IT: 모든 접근 허용
Guest: 인터넷만 허용, 내부 완전 차단

1단계 : Standard ACL 구성 (VTY 접근 제어)

작업 대상

[HQ-R1] [Core-SW] [Dist-SW] [Acc-SW1~4]

Standard ACL은 출발지 IP 주소만을 기준으로 필터링한다. VTY 라인 접근 제어에 주로 사용되며, ACL 번호는 1-99 또는 1300-1999 범위를 사용한다.

1-1. Core-SW에 Standard ACL 적용

access-list 10: Standard ACL 번호를 10으로 지정한다. 1-99 범위가 Standard ACL에 할당되어 있다.

remark: ACL에 설명을 추가하여 가독성을 높인다. 나중에 다른 관리자가 봐도 ACL의 용도를 즉시 파악할 수 있다.

permit 10.10.30.0 0.0.0.255: IT 부서 네트워크(10.10.30.0/24)를 허용한다. 여기서 사용되는 0.0.0.255는 와일드카드 마스크로, 서브넷 마스크와 반대 개념이다. 0은 정확히 일치해야 하고, 255는 무시한다는 의미다.

deny any: 명시적으로 나머지 모든 트래픽을 거부한다. ACL은 기본적으로 암시적 deny any를 가지고 있지만, 명확성을 위해 추가하는 것이 좋은 습관이다.

access-class 10 in: VTY 라인에 ACL을 적용한다. in 방향은 VTY 라인으로 들어오는 연결을 의미한다.

1-2. 모든 네트워크 장비에 동일 ACL 적용

Dist-SW, Acc-SW1~4, HQ-R1에도 동일한 Standard ACL을 적용하여 IT 부서만 관리 접근이 가능하도록 한다.

Dist-SW 예시

나머지 장비(Acc-SW1, Acc-SW2, Acc-SW3, Acc-SW4, HQ-R1)에도 동일하게 설정한다.

왜 모든 장비에 적용하는가? 보안은 계층별로 적용되어야 한다. 하나의 장비만 보호하면 다른 경로로 침입이 가능하기 때문에, 모든 관리 접점에 동일한 정책을 적용하는 것이 중요하다.

2단계 : Extended ACL 구성 (부서별 트래픽 제어)

작업 대상

[Core-SW] - VLAN SVI에 ACL 적용

Extended ACL은 출발지 IP, 목적지 IP, 프로토콜, 포트 번호 등을 기준으로 세밀한 필터링이 가능하다. ACL 번호는 100-199 또는 2000-2699 범위를 사용한다.

2-1. Finance VLAN (10) ACL 구성

Finance 부서는 보안이 중요한 재무 데이터를 다루기 때문에 외부 인터넷 접근을 차단하고, 내부 서버에는 HTTPS만 허용한다.

ip access-list extended FINANCE-ACL: Named Extended ACL을 생성한다. 숫자 대신 의미 있는 이름을 사용하면 관리가 훨씬 쉽다.

permit tcp ... host 10.10.50.10 eq 443: Finance에서 내부 서버(10.10.50.10)로 TCP 포트 443(HTTPS)만 허용한다. host는 단일 IP를 의미하며, eq 443은 equal to 443, 즉 포트 443만 매칭한다.

permit ip ... 10.10.10.0 0.0.0.255: 같은 VLAN 내부 통신을 허용한다. 같은 부서 직원들 간의 통신은 허용되어야 한다.

permit icmp ... host 10.10.10.1: 게이트웨이로의 ICMP(ping)를 허용한다. 네트워크 연결 테스트를 위해 필요하다.

permit udp ... any eq 53: DNS 쿼리를 허용한다. 도메인 이름을 IP 주소로 변환하기 위해 필수적이다.

deny ip ... any log: 나머지 모든 트래픽을 차단하고 로그를 남긴다. log 키워드는 차단된 패킷의 정보를 시스템 로그에 기록한다.

ip access-group FINANCE-ACL out: VLAN 10 SVI의 아웃바운드 방향에 ACL을 적용한다. 아웃바운드는 VLAN에서 나가는 트래픽을 의미한다.

2-2. HR VLAN (20) ACL 구성

HR 부서는 인터넷 접근은 필요하지만, 다른 부서의 민감한 정보에는 접근할 수 없어야 한다.

deny ip ... 10.10.0.0 0.0.255.255: 모든 내부 네트워크(10.10.0.0/16)로의 접근을 차단한다. 와일드카드 마스크 0.0.255.255는 10.10.x.x 범위 전체를 의미한다.

permit ip ... any: 인터넷(내부가 아닌 모든 네트워크)으로의 접근을 허용한다.

ACL 순서의 중요성: ACL은 위에서 아래로 순차적으로 처리된다. 따라서 내부 네트워크 차단 규칙을 먼저 배치하고, 그 다음에 인터넷 허용 규칙을 배치해야 한다. 순서가 바뀌면 모든 트래픽이 permit ip any에 매칭되어 내부 네트워크 차단이 무효화된다.

2-3. IT VLAN (30) ACL 구성

IT 부서는 네트워크 관리를 위해 모든 네트워크에 접근할 수 있어야 한다.

permit ip ... any: IT 부서는 어떤 목적지로든 모든 트래픽을 전송할 수 있다. 관리자는 문제 해결을 위해 모든 네트워크 접근이 필요하다.

2-4. Guest VLAN (40) ACL 구성

Guest 네트워크는 인터넷만 허용하고 내부 네트워크는 완전히 차단해야 한다. 외부 방문자가 내부 시스템에 접근하는 것을 방지하기 위함이다.

Guest ACL은 HR ACL과 유사하지만, 내부 네트워크 접근 시도를 로그로 기록한다는 점이 다르다. 외부 방문자의 내부 접근 시도는 보안 사고의 징후일 수 있기 때문이다.

2-5. Server VLAN (50) ACL 구성

내부 서버는 Finance에서 HTTPS만, IT에서 모든 접근을 허용한다.

잘린 부분

permit tcp 10.10.10.0 0.0.0.255 10.10.50.0 0.0.0.255 eq 443

ip access-group SERVER-ACL in: 서버 보호를 위해 인바운드 방향에 ACL을 적용한다. 서버로 들어오는 트래픽을 필터링하여 허용되지 않은 접근을 차단한다.

permit ip 10.10.50.0 ... any: 서버에서 나가는 아웃바운드 트래픽은 허용한다. 서버가 업데이트나 외부 API 호출을 할 수 있어야 하기 때문이다.

인바운드 vs 아웃바운드: 서버 보호는 일반적으로 인바운드에 적용하고, 클라이언트 보호는 아웃바운드에 적용한다. 서버는 들어오는 연결을 제한해야 하고, 클라이언트는 나가는 연결을 제한해야 하기 때문이다.

3단계: Named ACL 재구성 및 최적화

작업 대상

[Core-SW] - 기존 ACL에 라인번호 추가

Named ACL의 가장 큰 장점은 가독성과 유연한 편집이다. 라인 번호를 활용하여 특정 규칙을 쉽게 추가/삭제할 수 있다.

3-1. FINANCE-ACL 최적화

잘린 부분

10 permit tcp 10.10.10.0 0.0.0.255 host 10.10.50.10 eq 443
20 permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255

no ip access-list extended FINANCE-ACL: 기존 ACL을 완전히 삭제한다. ACL을 재구성할 때는 이렇게 삭제 후 재생성하는 것이 안전하다.

라인 번호의 중요성: 10, 20, 30... 처럼 10 단위로 번호를 부여하면, 나중에 중간에 새로운 규칙을 삽입할 수 있다. 예를 들어 라인 10과 20 사이에 새 규칙이 필요하면 라인 15로 추가할 수 있다.

3-2. 나머지 ACL 최적화

HR-ACL, IT-ACL, GUEST-ACL, SERVER-ACL도 동일한 방식으로 진행한다.

HR-ACL 예시

잘린 부분

10 permit ip 10.10.20.0 0.0.0.255 10.10.20.0 0.0.0.255
30 deny ip 10.10.20.0 0.0.0.255 10.10.0.0 0.0.255.255 log

IT-ACL, GUEST-ACL, SERVER-ACL도 동일한 패턴으로 재구성한다.

3-3. ACL 편집 기법

Named ACL의 강력한 기능은 특정 라인만 수정할 수 있다는 점이다.

특정 라인 추가 예시

잘린 부분

15 permit tcp 10.10.10.0 0.0.0.255 host 10.10.50.10 eq 22

라인 10과 20 사이에 SSH(22) 허용 규칙을 삽입했다. 전체 ACL을 삭제하고 재작성할 필요가 없다.

특정 라인 삭제 예시

라인 40(DNS 허용)을 삭제했다. 다른 라인은 영향받지 않는다.

왜 라인 번호가 중요한가? 번호 없이 ACL을 작성하면 수정할 때마다 전체를 삭제하고 재작성해야 한다. 이 과정에서 일시적으로 ACL이 없는 상태가 되어 보안 취약점이 발생할 수 있다. 라인 번호를 사용하면 ACL이 활성화된 상태에서 안전하게 수정할 수 있다.

마무리

이번 실습을 통해 ACL을 활용한 계층적 보안 정책을 구현했다. Standard ACL로 관리 접근을 제어하고, Extended ACL로 부서별 세밀한 트래픽 제어를 수행했으며, Named ACL의 Remark 기능으로 정책의 가독성을 크게 향상시켰다.

배운 점

ACL은 네트워크 보안의 핵심이지만, 잘못 설계하면 정상 트래픽까지 차단하거나 오히려 보안 취약점을 만들 수 있다. ACL 순서, 와일드카드 마스크, 인바운드/아웃바운드 방향 등을 정확히 이해하고 적용해야 한다. 특히 Remark와 라인 번호를 활용한 문서화는 단순히 가독성뿐만 아니라 장기적인 운영과 트러블슈팅에 필수적이라는 점을 배웠다. 실제 운영 환경에서는 ACL 변경 시 항상 백업을 하고, 변경 사항을 문서화하며, 테스트 후 적용하는 것이 중요하다.

[AWS] Bastion Host - 베스천 호스트

김슭삵 — Mon, 22 Dec 2025 15:18:27 +0900

들어가며

네트워크 보안을 설계할 때 가장 중요한 원칙 중 하나는 외부에서 내부 시스템으로의 직접적인 접근을 차단하는 것입니다. 하지만 관리자는 원격에서 내부 서버를 관리해야 하는 상황이 빈번하게 발생합니다. 이러한 딜레마를 해결하기 위해 등장한 개념이 바로 Bastion Host입니다.

Bastion Host는 외부 네트워크와 내부 네트워크 사이에 위치하여, 안전하게 내부 시스템에 접근할 수 있도록 하는 특수한 목적의 서버입니다. 이번 글에서는 Bastion Host의 개념, 필요성, 아키텍처, 그리고 보안 강화 방안에 대해 살펴보겠습니다.

1. Bastion Host 개요

Bastion Host란?

Bastion Host는 외부 네트워크에서 내부 네트워크로 접근할 때 거쳐야 하는 중간 게이트웨이 역할을 수행하는 서버입니다. "Bastion"이라는 단어는 요새나 성벽을 의미하며, 마치 성문처럼 내부 시스템을 보호하면서도 허가된 사용자에게는 접근 경로를 제공합니다.

일반적으로 Bastion Host는 DMZ(Demilitarized Zone) 또는 퍼블릭 서브넷에 배치되며, 내부 네트워크의 서버들은 프라이빗 서브넷에 위치하여 외부로부터 직접적인 접근이 차단됩니다.

주요 특징

1. 단일 진입점 (Single Entry Point)
모든 외부 접근이 Bastion Host를 통해서만 이루어집니다. 여러 개의 진입점을 관리하는 것보다 하나의 강화된 진입점을 관리하는 것이 훨씬 효율적입니다.

2. 강화된 보안 설정
최소한의 서비스만 실행하며 엄격한 접근 제어가 적용됩니다. 불필요한 소프트웨어나 서비스는 일체 설치되지 않으며, 오직 접속 중계 기능에만 집중합니다.

3. 로깅 및 감사 기능
모든 접속 시도와 세션 활동이 상세하게 기록됩니다. 누가, 언제, 어떤 서버에 접속했는지 모든 기록이 남아있어 보안 사고 발생 시 추적과 분석이 가능합니다.

2. Bastion Host가 필요한 이유

직접 접근의 위험성

내부 서버를 인터넷에 직접 노출하면 다음과 같은 심각한 위험에 직면하게 됩니다.

무차별 대입 공격: 자동화된 도구로 24시간 비밀번호 추측 시도
제로데이 취약점 공격: 패치되지 않은 취약점을 통한 침투
DDoS 공격: 대량 트래픽으로 서비스 마비
광범위한 공격 표면: 모든 서버가 개별 공격 대상

Bastion Host의 이점

1. 공격 표면 축소
수십 대의 서버를 개별적으로 보호하는 대신, 단 하나의 Bastion Host만 인터넷에 노출시키고 나머지는 완전히 숨길 수 있습니다.

2. 집중화된 보안 관리
모든 내부 서버에 개별적으로 보안 정책을 적용하는 대신, Bastion Host 하나에만 최고 수준의 보안 설정을 집중할 수 있습니다.

3. 접근 제어 강화
다단계 인증, 특정 IP 대역 제한, 시간대 제한 등 다양한 접근 제어 정책을 적용할 수 있습니다.

4. 감사 추적 (Audit Trail)
누가 언제 어떤 서버에 접속했는지, 어떤 작업을 수행했는지 완벽하게 추적할 수 있어 규정 준수와 보안 분석에 필수적입니다.

3. Bastion Host 아키텍처

기본 구성 원리

Bastion Host의 네트워크 배치는 3단계 방어선으로 구성됩니다.

1단계: 외부 방어선
인터넷 게이트웨이와 외부 방화벽이 기본적인 트래픽 필터링을 수행합니다. Bastion Host로 향하는 관리 트래픽만 허용하고 나머지는 차단합니다.

2단계: DMZ/퍼블릭 서브넷
Bastion Host가 위치하는 중간 영역입니다. 인터넷과 통신할 수 있지만 내부 네트워크와는 분리되어 있습니다.

3단계: 내부 네트워크
실제 업무 서버들이 위치한 프라이빗 서브넷입니다. 인터넷과 직접 통신할 수 없으며, 오직 Bastion Host를 통해서만 관리 접속을 받습니다.

접속 흐름

관리자가 내부 서버에 접속하는 과정은 다단계로 이루어집니다.

1단계: Bastion Host 접속
관리자는 자신의 워크스테이션에서 Bastion Host로 첫 번째 SSH 연결을 시도합니다. 이때 SSH 키 인증, 다중 인증(MFA), IP 주소 확인 등 여러 보안 검증을 거칩니다.

2단계: 인증 및 검증
Bastion Host는 관리자의 신원을 엄격하게 확인하고, 접근 권한을 체크합니다.

3단계: 내부 서버 접속
인증이 성공하면 Bastion Host에서 다시 내부 서버로 두 번째 연결을 시도합니다. 이 과정을 SSH 점프(Jump) 또는 다중 홉(Multi-hop) 연결이라고 합니다.

4단계: 세션 기록
모든 접속 과정과 세션 활동이 로그로 기록됩니다.

4. Bastion Host 운영 전략

고가용성 구성

이중화된 Bastion Host
주 Bastion Host에 장애가 발생하면 관리자가 내부 시스템에 접근할 수 없게 됩니다. 서로 다른 가용 영역(Availability Zone)에 Bastion Host를 배치하고, 하나가 실패하면 다른 것으로 자동 전환되도록 구성합니다.

Auto Scaling 활용
클라우드 환경에서는 Bastion Host를 템플릿으로 저장하고, 장애 시 자동으로 새 인스턴스를 생성하도록 설정할 수 있습니다.

접근 정책 관리

체계적인 권한 관리
누가 어느 서버에 접근할 수 있는지 명확하게 정의하고 문서화합니다. 정기적으로 접근 권한을 검토하여 퇴사자나 역할이 변경된 직원의 권한을 즉시 회수합니다.

Just-In-Time (JIT) 접근
평소에는 접근할 수 없도록 하고, 필요할 때만 승인 프로세스를 거쳐 일시적으로 접근 권한을 부여합니다. 승인된 작업이 끝나면 자동으로 권한이 회수됩니다.

5. Bastion Host의 한계와 대안

Bastion Host의 단점

1. 단일 장애점 (Single Point of Failure)
Bastion Host에 문제가 생기면 모든 관리 작업이 중단되므로, 이중화나 백업 계획이 반드시 필요합니다.

2. 복잡한 접속 과정
관리자는 두 번 인증하고 두 번 접속해야 하므로, 긴급 상황에서는 번거로울 수 있습니다.

3. 관리 부담
Bastion Host 자체를 패치하고, 모니터링하고, 보안을 유지하는 작업은 추가적인 관리 리소스를 요구합니다.

마무리 및 정리

Bastion Host는 외부에서 내부 시스템으로 안전하게 접근하기 위한 필수적인 보안 아키텍처 구성 요소입니다. 단일 진입점을 통해 접근을 통제하고, 강화된 보안 정책을 적용하며, 모든 접속 기록을 중앙에서 관리할 수 있습니다.

핵심은 공격 표면을 최소화하고, 집중화된 보안 관리를 통해 내부 시스템을 보호하는 것입니다. 하지만 Bastion Host 자체도 공격의 대상이 될 수 있으므로, 키 기반 인증, 다중 인증, IP 화이트리스트, 정기적인 패치 등의 보안 강화 조치를 반드시 적용해야 합니다.

최근에는 AWS Session Manager나 Zero Trust 기반의 접근 관리 솔루션 같은 대안 기술도 등장하고 있습니다. 조직의 환경과 요구사항에 맞는 최적의 방법을 선택하여, 안전하고 효율적인 원격 관리 체계를 구축하는 것이 중요합니다.

[GNS3] Port Security 및 스위치 보안

김슭삵 — Wed, 17 Dec 2025 20:21:12 +0900

실습 목표

이번 실습에서는 Access Layer의 보안을 강화하기 위한 다양한 기술을 구현할 예정이다. Port Security를 통해 MAC 주소 기반의 접근 제어를 수행하고, DHCP Snooping으로 불법 DHCP 서버를 차단하며, IP Source Guard를 통해 IP Spoofing 공격을 방지한다.

네트워크 보안은 계층적으로 접근해야 한다. 방화벽과 같은 경계 보안도 중요하지만, Access Layer에서의 보안 설정이 없다면 내부 네트워크에 침투한 공격자나 내부자의 악의적 행위를 막을 수 없다. 이번 실습에서 구현하는 기술들은 Layer 2 레벨에서 발생할 수 있는 다양한 보안 위협을 차단하는 첫 번째 방어선이다.

전체 토폴로지

네트워크 설계

VLAN 10 (Finance): 10.10.10.0/24
VLAN 20 (HR): 10.10.20.0/24
VLAN 30 (IT): 10.10.30.0/24
VLAN 99 (Management): 10.10.99.0/24

1단계 : 기본 설정 및 VLAN 구성

1. 기본 설정

작업 대상

[Core-SW] [Dist-SW] [Acc-SW1] [Acc-SW2] [Acc-SW3]

모든 스위치에 기본적인 설정을 적용한다. 이전 실습과 동일한 방식으로 hostname, no ip domain-lookup, logging synchronous 등을 설정한다.

2. VLAN 생성 및 SVI 설정

2-1. Core-SW 설정

Core-SW는 Layer 3 스위치로 동작하며 Inter-VLAN 라우팅을 수행한다.

ip routing명령어로 Layer 3 라우팅 기능(SVI)을 활성화한다.

Trunk 포트 설정

2-2. Dist-SW 설정

Distribution 스위치는 모든 VLAN을 인식하고 전달해야 한다.

Management VLAN에 IP 주소를 할당하여 원격 관리가 가능하도록 한다.

2-3. Access 스위치 설정

각 Access 스위치는 담당 VLAN과 Management VLAN만 생성한다.

Acc-SW1 (Finance)

Acc-SW2(HR), Acc-SW3(IT) 설정

Acc-SW2는 VLAN 20(10.10.99.12), Acc-SW3는 VLAN 30(10.10.99.13)으로 동일한 방식으로 설정한다.

3. PC IP 주소 설정

각 PC에 고정 IP를 할당한다.

PC1> ip 10.10.10.10 255.255.255.0 10.10.10.1
PC2> ip 10.10.10.20 255.255.255.0 10.10.10.1
PC3> ip 10.10.20.10 255.255.255.0 10.10.20.1
PC4> ip 10.10.20.20 255.255.255.0 10.10.20.1
PC5> ip 10.10.30.10 255.255.255.0 10.10.30.1
PC6> ip 10.10.30.20 255.255.255.0 10.10.30.1
Rogue-PC> ip 10.10.10.99 255.255.255.0 10.10.10.1

2단계 : Port Security 설정

Port Security는 각 포트에 연결할 수 있는 MAC 주소의 개수를 제한하여 MAC Flooding 공격과 불법 장비의 연결을 방지한다.

1. Port Security 기본 개념

동작 방식

스위치가 포트로 들어오는 프레임의 Source MAC 주소를 학습
학습한 MAC 주소 개수가 설정된 최대값을 초과하면 위반(Violation) 발생
위반 모드에 따라 포트 차단, 패킷 드롭, 로그 기록 등의 조치 수행

Violation 모드

Mode	포트 상태	트래픽 차단	로그/SNMP	Violation Counter
Shutdown	Err-disabled	✅	✅	✅
Restrict	정상 동작	✅	✅	✅
Protect	정상 동작	✅	❌	❌

Shutdown: 가장 엄격한 모드. 위반 발생 시 포트를 완전히 차단하며 수동 복구 필요
Restrict: 위반 트래픽만 드롭하고 포트는 계속 동작. 로그를 남겨 모니터링 가능
Protect: 조용히 위반 트래픽만 드롭. 로그도 남지 않아 보안팀이 인지하기 어려움

2. Acc-SW1 Port Security 설정

switchport port-security: Port Security 기능을 활성화한다. Access 모드 포트에서만 동작한다.

switchport port-security maximum 1: 포트당 최대 1개의 MAC 주소만 허용한다. 일반적으로 PC 1대가 연결되는 포트는 1로 설정한다.

switchport port-security violation shutdown: 위반 발생 시 포트를 err-disabled 상태로 전환한다. 보안이 중요한 환경에서는 shutdown 모드를 권장한다.

switchport port-security mac-address sticky: 동적으로 학습한 MAC 주소를 running-config에 자동으로 추가한다. 재부팅 후에도 저장하려면 write memory를 실행해야 한다.

Sticky MAC을 사용하는 이유는?

수동으로 MAC 주소를 입력할 필요가 없어 관리가 편리하다
PC 교체 시 자동으로 새로운 MAC을 학습한다
하지만 설정을 저장하지 않으면 재부팅 시 다시 학습해야 한다

3. Acc-SW2, Acc-SW3 Port Security 설정

동일한 방식으로 Acc-SW2(E0/1-2), Acc-SW3(E0/1-2)에 Port Security를 설정한다.

4. Port Security 동작 확인

Acc-SW1# show port-security

각 포트가 1개의 MAC 주소를 학습했고, 아직 위반이 발생하지 않았음을 확인할 수 있다.

특정 인터페이스 상세 확인

Acc-SW1# show port-security interface ethernet 0/1

Port Status가 Secure-up이면 정상 동작 중이며, Sticky MAC 주소가 1개 학습되었음을 알 수 있다.

Sticky MAC 주소 확인

Acc-SW1# show running-config interface ethernet 0/1

running-config에 switchport port-security mac-address sticky <MAC주소> 항목이 자동으로 추가된 것을 확인할 수 있다.

5. Violation 테스트

5-1. Restrict Mode 테스트

Restrict 모드에서는 위반 트래픽만 드롭하고 포트는 계속 동작한다. 로그와 SNMP Trap이 발생하며 Violation Counter가 증가한다.

3단계 : DHCP Snooping 및 IP Source Guard 설정

1. DHCP Snooping 기본 개념

DHCP Snooping은 네트워크에서 신뢰할 수 있는 DHCP 서버만 동작하도록 보장하는 보안 기능이다.

동작 방식

스위치의 모든 포트를 Trusted/Untrusted로 분류
Trusted 포트: DHCP 서버 응답(DHCP OFFER, DHCP ACK)을 허용
Untrusted 포트: DHCP 서버 응답을 차단, DHCP 클라이언트 요청(DHCP DISCOVER, DHCP REQUEST)만 허용
정상적인 DHCP 트랜잭션을 모니터링하여 DHCP Snooping Binding Table 구축

DHCP Snooping Binding Table

MAC 주소	IP 주소	VLAN	인터페이스	Lease 시간
aabb.cc00.1000	10.10.10.11	10	Et0/1	604800

이 테이블은 이후 DAI와 IP Source Guard에서 활용된다.

왜 DHCP Snooping이 필요한가?

공격자가 Rogue DHCP 서버를 설치하면

잘못된 게이트웨이(공격자의 IP)를 배포하여 Man-in-the-Middle 공격 수행
잘못된 DNS 서버를 배포하여 피싱 사이트로 유도
네트워크 서비스 거부 (존재하지 않는 게이트웨이 배포)

DHCP Snooping은 이러한 공격을 원천 차단한다.

2. Core-SW DHCP 서버 구성

먼저 정상적인 DHCP 서버를 Core-SW에 구성한다.

ip dhcp excluded-address: DHCP Pool에서 제외할 IP 범위를 지정한다. 게이트웨이, 서버 등 고정 IP를 사용하는 장비의 주소를 제외해야 IP 충돌을 방지할 수 있다.

lease 7: IP 주소 임대 기간을 7일로 설정한다.

3. Dist-SW DHCP Snooping 설정

ip dhcp snooping: DHCP Snooping을 전역적으로 활성화한다.

ip dhcp snooping vlan 10,20,30: 특정 VLAN에만 DHCP Snooping을 적용한다.

no ip dhcp snooping information option: Option 82(DHCP Relay Agent Information)를 비활성화한다. GNS3 환경이나 일부 DHCP 서버에서 Option 82를 지원하지 않으면 DHCP 트랜잭션이 실패할 수 있어 비활성화하는 것이 안전하다.

Trusted/Untrusted 포트 설정

Uplink(Core-SW 연결)는 Trusted로 설정하여 정상 DHCP 서버의 응답을 허용한다. Downlink는 Untrusted로 유지하여 하위 네트워크에서 발생하는 Rogue DHCP 서버를 차단한다.

4. Acc-SW1 DHCP Snooping 설정

ip dhcp snooping limit rate 10: 초당 10개의 DHCP 패킷만 허용한다. DHCP 기반 DoS 공격(대량의 DHCP DISCOVER 전송)을 방지한다.

Acc-SW2, Acc-SW3 설정

동일한 방식으로 각각 VLAN 20, 30에 대해 DHCP Snooping을 설정한다.

5. DHCP Snooping 동작 확인

PC1, PC2에서 DHCP로 IP 획득

Acc-SW1에서 Binding 테이블 확인

Acc-SW1# show ip dhcp snooping binding

PC1의 MAC 주소와 할당받은 IP, 인터페이스 정보가 Binding 테이블에 기록되었다.

6. IP Source Guard 설정

IP Source Guard는 DHCP Snooping Binding 테이블을 기반으로 IP Spoofing 공격을 방지한다.

동작 방식

포트로 들어오는 모든 IP 패킷의 Source IP를 Binding 테이블과 비교
Binding 테이블에 없는 IP 주소를 사용하는 패킷은 차단
DHCP를 통해 정상적으로 IP를 할당받은 장비만 통신 가능

Acc-SW1 설정

ip verify source: IP 주소만 검증한다. MAC 주소까지 검증하려면 ip verify source port-security 명령어를 사용하지만, 이는 Port Security와 함께 사용해야 한다.

Acc-SW2, Acc-SW3에도 동일하게 설정한다.

7. IP Source Guard 동작 확인

Acc-SW1# show ip verify source

E0/1: DHCP Binding이 있어 10.10.10.11만 허용
E0/2: DHCP Binding이 있어 10.10.10.12만 허용
E0/3: Binding이 없어 모든 IP 트래픽 차단 (deny-all)

IP Spoofing 테스트

Rogue-PC에 고정 IP를 설정하고 통신을 시도한다.

Ping이 실패한다. IP Source Guard가 DHCP Binding에 없는 IP 주소를 사용하는 트래픽을 차단했기 때문이다.

8. Dynamic ARP Inspection (DAI) 개요

DAI는 ARP Spoofing 공격을 방지하는 기능이다. DHCP Snooping Binding 테이블을 이용하여 ARP 패킷의 IP-MAC 매핑이 올바른지 검증한다.

동작 방식

ARP Request/Reply 패킷의 Sender IP와 Sender MAC을 Binding 테이블과 비교
일치하지 않으면 해당 ARP 패킷을 드롭
ARP Cache Poisoning 공격을 원천 차단

DAI 설정 예시

ip arp inspection vlan 10,20,30
ip arp inspection validate src-mac dst-mac ip

interface ethernet 0/0
 ip arp inspection trust

하지만 이번 실습에서 사용한 GNS3 IOS 이미지는 DAI를 지원하지 않아 실제 구성은 진행하지 않았다. DAI가 없어도 Port Security + DHCP Snooping + IP Source Guard 조합으로 대부분의 Layer 2 공격을 방어할 수 있다.

마무리

이번 실습을 통해 Access Layer에서 구현할 수 있는 핵심 보안 기능들을 학습했다.

배운 점

Layer 2 보안은 종종 간과되지만, 내부 네트워크의 안전을 위해서는 필수적이다. 방화벽과 같은 경계 보안만으로는 내부자 위협이나 이미 침투한 공격자를 막을 수 없다. Port Security, DHCP Snooping, IP Source Guard는 구성이 간단하면서도 효과적으로 다양한 Layer 2 공격을 방어할 수 있다.

특히 DHCP Snooping Binding 테이블이 여러 보안 기능의 중심 역할을 한다는 점이 인상적이었다. 하나의 기능으로 구축한 정보를 IP Source Guard, DAI 등 다른 기능에서도 활용하여 효율적인 보안 체계를 구축할 수 있다.

실무에서는 이러한 기능들을 모든 Access 포트에 일관되게 적용하고, 로그를 중앙 집중식으로 수집하여 모니터링하는 것이 중요하다. 보안 정책은 설정하는 것도 중요하지만, 지속적으로 모니터링하고 위반 사항을 추적하는 것이 더욱 중요하다.

[GNS3] DHCP 서버구성 및 NAT/PAT 활용

김슭삵 — Mon, 8 Dec 2025 16:10:28 +0900

실습 목표

이번 실습에서는 엔터프라이즈 네트워크에서 필수적인 DHCP 서버를 구성하여 클라이언트에게 자동으로 IP 주소를 할당하고, NAT/PAT를 통해 내부 사설 IP 주소를 공인 IP 주소로 변환하여 인터넷 연결을 구현할 예정이다.

DHCP(Dynamic Host Configuration Protocol)는 네트워크 관리자가 각 PC마다 수동으로 IP를 할당하는 번거로움을 없애고, IP 주소 충돌을 방지하며, 중앙 집중식 관리를 가능하게 한다. NAT(Network Address Translation)는 제한된 공인 IP 자원을 효율적으로 사용하고, 내부 네트워크 구조를 외부로부터 숨겨 보안을 강화하는 핵심 기술이다.

전체 토폴로지

네트워크 설계

VLAN 10 (Sales): 10.10.10.0/24
VLAN 20 (Engineering): 10.10.20.0/24
VLAN 30 (HR): 10.10.30.0/24
VLAN 99 (Management): 10.10.99.0/24
WAN Link: 203.0.113.0/30
Internet: 8.8.8.0/24 (시뮬레이션)

1단계 : 기본 인프라 구성

1. ISP-R (인터넷 시뮬레이션 라우터) 설정

작업 대상

ISP-R은 인터넷 서비스 제공자를 시뮬레이션하는 라우터다. 실제 인터넷 연결을 테스트하기 위한 목적지 역할을 수행한다.

interface FastEthernet0/0: 인터넷을 시뮬레이션하는 인터페이스다. 실제 환경에서는 ISP 백본으로 연결되는 부분이다.

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0: 기본 라우트(Default Route)를 설정한다. 목적지를 모르는 모든 트래픽을 인터넷 방향으로 전달한다.

ip route 10.10.0.0 255.255.0.0 203.0.113.2: HQ-R1을 통해 내부 네트워크(10.10.0.0/16)로 돌아가는 라우트를 설정한다. 이것이 없으면 ISP-R이 응답 패킷을 내부로 전달할 수 없다.

2. HQ-R1 (NAT Gateway) 기본 설정

작업 대상

HQ-R1은 내부 네트워크와 외부 인터넷 사이의 경계 라우터(Edge Router)다. NAT 기능을 통해 내부 사설 IP를 공인 IP로 변환하는 핵심 역할을 수행한다.

interface FastEthernet0/0: Outside 인터페이스로, 인터넷(ISP) 방향을 향한다. 이 인터페이스의 IP 주소가 NAT 변환의 공인 IP로 사용될 것이다.

interface FastEthernet2/0: Inside 인터페이스로, 내부 네트워크를 향한다. 사설 IP 대역(10.10.0.0/16)의 트래픽이 들어오는 곳이다.

ip route 0.0.0.0 0.0.0.0 203.0.113.1: 인터넷으로 향하는 모든 트래픽을 ISP-R로 전달하는 기본 라우트다.

3. Core-SW (Layer 3 스위치, DHCP 서버) 설정

작업 대상

Core-SW는 L3 스위치로 Inter-VLAN 라우팅과 DHCP 서버 기능을 동시에 수행한다. 각 VLAN의 게이트웨이 역할도 담당한다.

ip routing: L3 스위치에서 라우팅 기능을 활성화한다. 이 명령어가 없으면 VLAN 간 통신이 불가능하다.

모든 인터페이스에서 switchport mode trunk로 변경 후 진행한다.

interface Vlan10: SVI(Switched Virtual Interface)를 생성한다. 이것이 VLAN 10의 기본 게이트웨이가 되며, DHCP 서버가 직접 응답할 수 있는 인터페이스다.

ip route 0.0.0.0 0.0.0.0 10.10.1.1: 인터넷으로 향하는 트래픽을 HQ-R1로 전달한다. Core-SW는 내부 네트워크(10.10.0.0/16)에 대해서는 직접 연결된 경로를 알고 있지만, 외부 네트워크는 HQ-R1을 통해야 한다.

왜 Core-SW에 DHCP 서버를 구성했을까? DHCP 서버는 각 VLAN의 게이트웨이와 같은 장비에 위치하는 것이 효율적이다. DHCP 요청은 브로드캐스트이므로 같은 서브넷 내에서만 전달되기 때문에, 각 VLAN의 SVI를 가진 Core-SW가 가장 적합하다.

4. Dist-SW (Distribution Layer) 설정

작업 대상

Dist-SW는 Core와 Access 계층 사이에서 트래픽을 집약하는 역할을 한다. 현재 토폴로지에서는 L2 스위치로 동작하며, 모든 VLAN 트래픽을 투명하게 전달한다.

ip default-gateway 10.10.1.2: L2 스위치에서 관리 트래픽(SSH, Telnet 등)이 다른 서브넷으로 나가기 위한 게이트웨이를 설정한다. ip route 명령어는 L3 기능이 활성화되어 있어야 사용할 수 있으므로, L2 스위치에서는 ip default-gateway를 사용한다.

5. Access 스위치 설정

작업 대상

Access 스위치는 엔드 디바이스(PC, 프린터 등)가 직접 연결되는 계층이다. 각 스위치는 담당하는 VLAN의 트래픽만 처리한다.

5-1. Acc-SW1 (VLAN 10)

Access-SW2, Access-SW3도 위와 같은 방법으로 진행하되, 각각 Vlan20, Vlan30으로 설정한다.

2단계 : DHCP 서버 구성

1. Core-SW DHCP 서버 설정

작업 대상

Core-SW에서 각 VLAN별로 DHCP Pool을 구성한다. DHCP 서버는 클라이언트에게 IP 주소뿐만 아니라 게이트웨이, DNS 서버, 도메인 이름 등의 네트워크 파라미터를 함께 제공한다.

ip dhcp excluded-address 10.10.10.1 10.10.10.10: DHCP 서버가 할당하지 않을 IP 주소 범위를 지정한다. .1은 게이트웨이로 사용되고 있으며, .2~.10은 서버, 프린터 등 고정 IP가 필요한 장비를 위해 예약한다. 이렇게 하면 DHCP 서버와 수동 할당 IP 간의 충돌을 방지할 수 있다.

network 10.10.10.0 255.255.255.0: 이 Pool이 담당할 네트워크 범위를 정의한다. DHCP 요청이 이 서브넷에서 들어오면 이 Pool에서 IP를 할당한다.

default-router 10.10.10.1: 클라이언트가 사용할 기본 게이트웨이 주소다. DHCP Option 3에 해당하며, 클라이언트는 다른 서브넷으로 통신할 때 이 주소로 패킷을 전달한다.

dns-server 8.8.8.8 8.8.4.4: DNS 서버 주소를 제공한다. 8.8.8.8과 8.8.4.4는 Google Public DNS 서버로, 실제 환경에서는 내부 DNS 서버를 우선 지정하고 외부 DNS를 보조로 설정하는 것이 일반적이다.

domain-name sales.beom.local: 도메인 접미사를 제공한다. 클라이언트가 "server1"에 접속하려 할 때 자동으로 "server1.sales.beom.local"로 확장한다.

lease 7: IP 주소 임대 기간을 7일로 설정한다. 기본값은 24시간(1일)이다. 임대 기간이 끝나면 클라이언트는 자동으로 갱신을 시도하며, 갱신에 실패하면 새로운 IP를 요청한다.

service dhcp: DHCP 서비스를 전역적으로 활성화한다. Cisco 장비는 기본적으로 활성화되어 있지만, 명시적으로 확인하는 것이 좋다.

2. DHCP 동작 원리

DHCP는 4단계 프로세스(DORA)를 통해 IP 주소를 할당한다:

Discover: 클라이언트가 브로드캐스트(255.255.255.255)로 DHCP 서버를 찾는다.
Offer: DHCP 서버가 사용 가능한 IP 주소를 제안한다.
Request: 클라이언트가 제안받은 IP 주소를 사용하겠다고 요청한다.
Acknowledge: DHCP 서버가 IP 주소 할당을 확정하고 네트워크 파라미터를 전달한다.

현재 토폴로지에서는 Core-SW가 각 VLAN의 게이트웨이이므로, DHCP 요청이 직접 Core-SW에 도달한다. 만약 DHCP 서버가 다른 서브넷에 있다면 DHCP Relay Agent(ip helper-address)를 설정해야 한다.

3. PC에서 DHCP IP 주소 획득

작업 대상

각 PC에서 DHCP를 통해 IP 주소를 자동으로 받아온다.

3-1. PC1 (VLAN 10)

DDORA: DHCP의 4단계(Discover, Offer, Request, Acknowledge) 프로세스가 모두 성공했음을 의미한다.

DHCP SERVER : 10.10.10.1: DHCP 서버의 IP 주소가 게이트웨이와 동일하다. 이는 Core-SW의 VLAN 10 SVI가 DHCP 서버 역할을 하고 있음을 나타낸다.

DHCP LEASE : 604791, 604800/302400/529200: 첫 번째 숫자는 남은 임대 시간(초), 두 번째는 전체 임대 시간(7일 = 604800초), 세 번째는 갱신 시간(Renewal Time, 50% = 302400초), 네 번째는 재바인딩 시간(Rebinding Time, 87.5% = 529200초)이다.

나머지 PC2 ~ PC6도 각자의 VLAN 범위 안에서 IP주소를 할당 받는다.

4. DHCP 서버 검증

4-1. DHCP Binding 테이블 확인

Core-SW에서

Core-SW# show ip dhcp binding

Client-ID: 클라이언트의 MAC 주소를 나타낸다. DHCP 서버는 이를 통해 같은 클라이언트가 다시 요청할 때 동일한 IP를 할당하려고 시도한다.

Type: Automatic: 동적으로 할당된 주소다. Manual은 고정 예약(MAC 주소 기반), Static은 수동 설정을 의미한다.

4-2. DHCP 서버 통계 확인

Core-SW# show ip dhcp server statistics

DHCPDISCOVER 12: 12개의 PC가 DHCP Discover를 보냈다.

DHCPOFFER 12: DHCP 서버가 12번 Offer를 보냈다.

DHCPREQUEST 6: 클라이언트가 6번 Request를 보냈다.

DHCPACK 6: DHCP 서버가 6번 Acknowledge로 확정했다.

모든 수치가 일치하면 DHCP 프로세스가 정상적으로 완료된 것이다.

4-3. DHCP Pool 상세 정보 확인

Core-SW# show ip dhcp pool VLAN10_SALES

Total addresses: 254: /24 네트워크에서 네트워크 주소(.0)와 브로드캐스트 주소(.255)를 제외한 사용 가능한 주소 수다.

Leased addresses: 2: 현재 2개의 주소가 할당되어 있다(PC1, PC2).

Current index 10.10.10.13: 다음에 할당될 IP 주소다. Excluded address(.1~.10)를 건너뛰고 .11, .12를 할당(PC1, PC2) 했으므로 다음은 .13이 된다.

5. 연결성 테스트

5-1. 같은 VLAN 내 통신 테스트

PC1에서 PC2로

같은 VLAN 내 통신은 L2 스위칭으로 직접 전달되므로 매우 빠르다. TTL이 64인 것은 라우터를 거치지 않았음을 의미한다.

5-2. 다른 VLAN 간 통신 테스트

PC1에서 PC3로

TTL이 63인 것은 Core-SW(L3)를 거치면서 1이 감소했음을 의미한다. 다른 VLAN 간 통신은 게이트웨이(Core-SW)를 통한 Inter-VLAN 라우팅이 필요하다.

5-3. 게이트웨이 통신 테스트

PC1에서 게이트웨이로

게이트웨이 응답의 TTL이 255인 것은 Cisco 장비의 기본 TTL 값이다.

3단계 : NAT/PAT 구성

1. NAT와 PAT의 차이

NAT (Network Address Translation):

1:1 매핑: 하나의 사설 IP를 하나의 공인 IP로 변환
Static NAT: 내부 서버를 외부에 공개할 때 사용
여러 사용자를 지원하려면 공인 IP가 사용자 수만큼 필요

PAT (Port Address Translation, NAT Overload):

N:1 매핑: 여러 사설 IP를 하나의 공인 IP로 변환
포트 번호를 이용하여 세션 구분
가정과 중소기업에서 가장 많이 사용
이론적으로 하나의 공인 IP로 65,000개 이상의 동시 연결 지원

2. HQ-R1 PAT 구성

작업 대상

[내부 네트워크] → [HQ-R1] → [ISP-R] → [Internet]

HQ-R1에서 PAT를 설정하여 모든 내부 트래픽이 하나의 공인 IP(203.0.113.2)로 변환되도록 한다.

access-list 1 permit 10.10.10.0 0.0.0.255: NAT 대상 네트워크를 정의한다. Wildcard mask 0.0.0.255는 마지막 옥텟(8비트)만 변할 수 있다는 의미로, 10.10.10.0/24와 동일하다.

remark NAT Inside Networks: Access List에 주석을 추가한다. 나중에 설정을 검토할 때 용도를 쉽게 파악할 수 있다.

ip nat inside source list 1 interface FastEthernet0/0 overload: 핵심 NAT 명령어다.

inside source: 내부에서 시작하는 트래픽의 출발지 주소를 변환
list 1: ACL 1에 정의된 네트워크만 변환 대상
interface FastEthernet0/0: 이 인터페이스의 IP 주소(203.0.113.2)를 공인 IP로 사용
overload: PAT 활성화, 포트 번호를 이용하여 여러 연결을 하나의 IP로 처리

ip nat outside/inside: 인터페이스의 역할을 지정한다. Outside는 공인 네트워크(인터넷) 방향, Inside는 사설 네트워크(내부) 방향이다. 이 설정이 없으면 NAT가 동작하지 않는다.

왜 ACL로 네트워크를 정의할까? 모든 내부 트래픽을 NAT하는 것이 아니라, 특정 네트워크만 선택적으로 NAT할 수 있다. 예를 들어 서버 VLAN은 NAT에서 제외하고 싶을 때 ACL에서 제거하면 된다.

3. NAT 동작 검증

3-1. PC에서 인터넷 연결 테스트

PC1에서 ISP-R로 ping

PC1> ping 203.0.113.1

84 bytes from 203.0.113.1 icmp_seq=1 ttl=254 time=1.845 ms
84 bytes from 203.0.113.1 icmp_seq=2 ttl=254 time=2.102 ms
84 bytes from 203.0.113.1 icmp_seq=3 ttl=254 time=2.089 ms

성공! PC1(10.10.10.100)이 공인 IP 대역(203.0.113.1)과 통신할 수 있다.

PC1에서 인터넷(8.8.8.1)로 ping

PC1> ping 8.8.8.1

84 bytes from 8.8.8.1 icmp_seq=1 ttl=253 time=2.347 ms
84 bytes from 8.8.8.1 icmp_seq=2 ttl=253 time=2.512 ms
84 bytes from 8.8.8.1 icmp_seq=3 ttl=253 time=2.489 ms

TTL이 253인 것은 2번의 홉(HQ-R1, ISP-R)을 거쳤음을 의미한다.

3-2. HQ-R1에서 NAT Translation 테이블 확인

HQ-R1# show ip nat translations

예상 출력

Pro Inside global      Inside local       Outside local      Outside global
icmp 203.0.113.2:1     10.10.10.100:1     8.8.8.1:1          8.8.8.1:1
icmp 203.0.113.2:2     10.10.10.100:2     203.0.113.1:2      203.0.113.1:2
icmp 203.0.113.2:3     10.10.20.100:3     8.8.8.1:3          8.8.8.1:3
icmp 203.0.113.2:4     10.10.30.100:4     203.0.113.1:4      203.0.113.1:4

Inside global: 변환된 주소(공인 IP + 포트)
Inside local: 원본 주소(사설 IP + 포트)
Outside local/global: 목적지 주소(일반적으로 동일)

주목할 점은 서로 다른 내부 IP(10.10.10.100, 10.10.20.100, 10.10.30.100)가 모두 같은 공인 IP(203.0.113.2)로 변환되지만, 포트 번호(1, 2, 3, 4)가 다르다는 것이다. 이것이 PAT의 핵심 메커니즘이다.

마무리

이번 실습을 통해 엔터프라이즈 네트워크의 필수 서비스인 DHCP와 NAT/PAT를 구성하고 검증했다.

배운 점

DHCP 서버를 Core-SW(L3 스위치)에 구성한 이유는 각 VLAN의 게이트웨이와 DHCP 서버가 같은 장비에 있으면 DHCP 요청이 직접 도달하기 때문이다. 만약 DHCP 서버가 다른 서브넷에 있다면 각 VLAN 인터페이스에 ip helper-address를 설정해야 한다.

NAT Translation Table은 세션이 종료되거나 타임아웃이 발생하면 자동으로 삭제된다. ICMP는 60초, TCP는 24시간, UDP는 5분이 기본 타임아웃이다. 이를 통해 포트 번호를 재사용할 수 있다.

실제 엔터프라이즈 환경에서는 내부 서버를 외부에 공개해야 하는 경우가 있다. 이때는 Static NAT를 사용하여 특정 공인 IP를 특정 내부 서버에 영구적으로 매핑한다. PAT는 동적 세션에만 적합하고, 서버는 Static NAT를 사용해야 외부에서 항상 동일한 공인 IP로 접속할 수 있다.

[Network] VXLAN과 EVPN은 무엇일까?

김슭삵 — Sun, 7 Dec 2025 15:31:13 +0900

들어가며

VXLAN은 기존 L3 네트워크 위에 L2 네트워크를 오버레이 방식으로 구성하여 물리적 제약을 넘어서는 유연한 네트워크를 제공합니다. 그리고 EVPN은 BGP 기반의 컨트롤 플레인을 통해 VXLAN 네트워크를 더욱 효율적이고 지능적으로 관리할 수 있게 해줍니다.

이번 글에서는 VXLAN과 EVPN의 기본 개념부터 실제 데이터센터에서 어떻게 구현되고 운영되는지까지 상세히 살펴보겠습니다. 특히 Spine-Leaf 아키텍처와의 결합, 멀티사이트 연결, 멀티호밍 같은 실무에서 중요한 개념들을 함께 다룰 예정입니다.

1. VXLAN의 등장 배경

전통적인 VLAN의 한계

전통적인 네트워크 환경에서는 VLAN(Virtual Local Area Network)을 사용하여 네트워크를 논리적으로 분리했습니다. 그러나 클라우드 컴퓨팅과 가상화 기술이 발전하면서 VLAN만으로는 해결하기 어려운 문제들이 나타나기 시작했습니다.

VLAN의 주요 한계점은 다음과 같습니다.

VLAN ID 개수 제한: 802.1Q 표준에서 VLAN은 12비트로 표현되어 최대 4,096개만 생성 가능합니다. 대규모 데이터센터나 멀티테넌트 환경에서는 이 숫자가 턱없이 부족합니다.
물리적 위치 제약: VLAN은 주로 단일 데이터센터 내에서 동작하도록 설계되어, 지리적으로 분산된 데이터센터 간 L2 확장이 어렵습니다.
STP의 비효율성: Spanning Tree Protocol은 루프 방지를 위해 일부 링크를 차단하므로, 대역폭을 효율적으로 활용하지 못합니다.

VXLAN의 필요성

이러한 문제를 해결하기 위해 VXLAN(Virtual Extensible LAN)이 등장했습니다. VXLAN은 기존 L3 네트워크 위에서 L2 네트워크를 가상으로 확장할 수 있는 오버레이 네트워크 기술입니다. 특히 대규모 가상화 환경과 클라우드 데이터센터에서 필수적인 기술로 자리잡았습니다.

2. VXLAN의 핵심 개념

VXLAN이란?

VXLAN은 L2 이더넷 프레임을 UDP 패킷으로 캡슐화하여 L3 네트워크를 통해 전송하는 오버레이 네트워크 프로토콜입니다. 이를 통해 물리적 네트워크 구성과 독립적으로 논리적 네트워크를 구성할 수 있습니다.

VNI (VXLAN Network Identifier)

VXLAN은 VNI(VXLAN Network Identifier)를 사용하여 각 VXLAN 세그먼트를 식별합니다. VNI는 24비트로 표현되어 최대 1,600만 개의 논리적 네트워크를 생성할 수 있습니다. 이는 VLAN의 4,096개 제한을 완전히 극복한 것입니다.

VXLAN 캡슐화 구조

VXLAN 프레임은 다음과 같은 구조로 캡슐화됩니다.

Outer Headers: 물리적 네트워크를 통한 전송을 위한 헤더
VXLAN Header: VNI를 포함하여 VXLAN 세그먼트를 식별
Original Frame: 실제 전송하려는 원본 L2 프레임

VTEP (VXLAN Tunnel Endpoint)

VTEP는 VXLAN Tunnel의 시작점과 종료점 역할을 하는 장치입니다. VTEP는 원본 L2 프레임을 VXLAN으로 캡슐화하고, 목적지 VTEP에서 다시 역캡슐화하여 원본 프레임을 복원합니다.

VTEP는 하드웨어 장비(스위치, 라우터)나 소프트웨어(하이퍼바이저, 가상 스위치)로 구현될 수 있습니다.

3. VXLAN의 동작 방식

유니캐스트 트래픽 처리

송신 호스트가 패킷을 전송하면, 로컬 VTEP가 목적지 MAC 주소를 확인합니다.
VTEP는 MAC 주소 테이블을 참조하여 목적지 VTEP의 IP 주소를 찾습니다.
원본 프레임을 VXLAN으로 캡슐화하고, 목적지 VTEP로 전송합니다.
목적지 VTEP는 패킷을 역캡슐화하여 원본 프레임을 복원하고, 해당 호스트에게 전달합니다.

브로드캐스트, 멀티캐스트 처리

VXLAN 환경에서 브로드캐스트나 멀티캐스트 트래픽은 멀티캐스트 그룹을 사용하거나 HER(Head-End Replication) 방식으로 처리됩니다.

멀티캐스트 방식: 언더레이 네트워크에서 멀티캐스트 그룹을 사용하여 브로드캐스트 트래픽을 효율적으로 전달합니다.
HER 방식: VTEP가 모든 원격 VTEP에 유니캐스트로 복제하여 전송합니다. 멀티캐스트 지원이 없는 환경에서 사용됩니다.

MAC Learning

VXLAN에서 MAC 주소 학습은 데이터 플레인 학습과 컨트롤 플레인 학습(EVPN) 두 가지 방식이 있습니다.

데이터 플레인 학습: 전통적인 방식으로, 트래픽을 통해 MAC 주소와 VTEP 매핑을 학습합니다. 브로드캐스트 트래픽이 많이 발생할 수 있습니다.
컨트롤 플레인 학습(EVPN): BGP를 사용하여 MAC 주소 정보를 사전에 배포합니다. 불필요한 플러딩을 줄일 수 있습니다.

4. EVPN의 등장과 필요성

EVPN이란?

EVPN(Ethernet VPN)은 BGP를 활용한 컨트롤 플레인 기술로, VXLAN과 결합하여 L2/L3 네트워크를 효율적으로 운영할 수 있게 해줍니다. EVPN은 RFC 7432에 정의되어 있으며, MPLS와 VXLAN 모두에서 사용될 수 있습니다.

EVPN의 핵심 장점

EVPN을 사용하면 다음과 같은 이점을 얻을 수 있습니다.

불필요한 플러딩 제거: BGP를 통해 MAC 주소 정보를 미리 배포하므로, 브로드캐스트 트래픽이 크게 감소합니다.
빠른 컨버전스: BGP의 빠른 업데이트 메커니즘을 활용하여 네트워크 변경 사항에 신속하게 대응합니다.
멀티테넌시 지원: VRF(Virtual Routing and Forwarding)와 결합하여 여러 고객의 네트워크를 안전하게 분리할 수 있습니다.
통합된 L2/L3 서비스: 단일 컨트롤 플레인으로 L2와 L3 네트워킹을 모두 제공합니다.

5. EVPN의 핵심 구성 요소

BGP Route Types

EVPN은 BGP를 확장하여 다양한 라우트 타입을 정의합니다.

Type 1 (Ethernet Auto-Discovery Route): Multi-Homing 환경에서 사용되며, 특정 이더넷 세그먼트의 접근 가능성을 알립니다.
Type 2 (MAC/IP Advertisement Route): MAC 주소와 IP 주소 정보를 함께 광고합니다. 가장 중요한 라우트 타입입니다.
Type 3 (Inclusive Multicast Ethernet Tag Route): 특정 VNI에 대한 멀티캐스트 트래픽을 처리하기 위한 정보를 배포합니다.
Type 4 (Ethernet Segment Route): Multi-Homing 환경에서 이더넷 세그먼트를 식별합니다.
Type 5 (IP Prefix Route): L3 라우팅 정보를 광고하여 서브넷 간 라우팅을 지원합니다.

RT (Route Target)와 RD (Route Distinguisher)

RT (Route Target): BGP 라우트를 특정 VRF로 가져오거나 내보낼 때 사용하는 필터 역할을 합니다.
RD (Route Distinguisher): 서로 다른 VPN에서 동일한 IP 주소를 구분하기 위해 사용됩니다.

6. VXLAN-EVPN

VXLAN-EVPN의 동작 흐름

VXLAN과 EVPN이 결합되면 다음과 같은 방식으로 동작합니다.

호스트 연결: 호스트가 네트워크에 연결되면 로컬 VTEP가 MAC 주소를 학습합니다.
BGP 광고: VTEP는 학습한 MAC 주소를 BGP Type 2 Route로 다른 VTEP들에게 광고합니다.
MAC 테이블 구성: 원격 VTEP들은 BGP 업데이트를 받아 MAC 테이블을 자동으로 구성합니다.
트래픽 전송: 트래픽 발생 시 브로드캐스트 없이 직접 유니캐스트로 목적지 VTEP에 전달합니다.

Spine-Leaf 아키텍처와 VXLAN-EVPN

현대 데이터센터는 Spine-Leaf 아키텍처를 사용하며, VXLAN-EVPN이 이 구조에서 핵심 역할을 합니다.

Leaf 스위치: VTEP 역할을 수행하며 서버와 직접 연결됩니다.
Spine 스위치: Leaf 스위치 간 트래픽을 중계하며, VXLAN 캡슐화된 패킷을 전달합니다.
BGP Underlay: Spine과 Leaf 간 IP 연결성을 제공합니다.
BGP EVPN Overlay: MAC/IP 정보를 배포하여 논리적 네트워크를 구성합니다.

7. VXLAN-EVPN의 Advanced 기능

Anycast Gateway

Anycast Gateway는 여러 Leaf 스위치가 동일한 가상 IP와 MAC 주소를 사용하여 게이트웨이 역할을 수행하는 기술입니다. 이를 통해 호스트는 어느 Leaf에 연결되든 동일한 게이트웨이를 사용할 수 있으며, 로컬 라우팅이 가능해져 성능이 향상됩니다.

Multi-Site EVPN

Multi-Site EVPN은 지리적으로 분산된 여러 데이터센터를 하나의 논리적 네트워크로 통합하는 기술입니다. DCI(Data Center Interconnect) 장비를 통해 서로 다른 사이트 간 EVPN 정보를 교환합니다.

EVPN Multihoming

EVPN Multihoming은 호스트나 네트워크 장비를 여러 Leaf 스위치에 동시에 연결하여 고가용성과 로드 밸런싱을 제공하는 기술입니다. Active-Active 방식으로 동작하여 모든 링크를 효율적으로 활용할 수 있습니다.

마무리 및 정리

클라우드 환경과 가상화 기술이 지배적인 현재, VXLAN-EVPN 조합은 사실상 표준으로 자리잡았습니다. Spine-Leaf 아키텍처와 결합하여 확장 가능하고 예측 가능한 성능을 제공하며, Multi-Tenancy와 네트워크 자동화를 가능하게 합니다.

네트워크 엔지니어라면 VXLAN-EVPN 기술에 대한 깊이 있는 이해가 필수적이며, 실무에서 설정과 트러블슈팅 경험을 쌓는 것이 중요합니다.