SharedIT | 묻고 답하기(AMP)

사내 네트워크 vlan 구성에 관하여 질문이 있습니다

안녕하세요 약 60여명 정도 되는 회사에 전산관련으로 입사하게 되었습니다.

그러다 제일먼저 하게 될 업무가 사내 네트워크 구성인데 
현재 약 4개층을 사용하고 있습니다

하여 각층별로 vlan 을 구성하여 각 층별 고정ip 및 dhcp 로 사용 하려 하였습니다 
그러다가 다른의견이 나온부분이 층별보다 부서별로 vlan 을 생성하여 하는게 더 좋다고 합니다 .

두개의 차이점이 있나요 ?? 

부서별로 vlan 을 생성하면 뭔가 관리해야되는 부분이 더 많아질것 같은데 말이죠..

 
Tags : 태그가 없습니다.

8개의 답변이 있습니다.

그저멍하니
  0 추천 | 5년 이하 전
IP를 부서별로 나눈다라...
굉장히 비 효율적이라고 생각합니다.

꼭 고정 IP를 사용하려고 하지 마시고
DHCP 구성하시는게 더 나을것 같습니다.
 
davidkim
  0 추천 | 5년 이하 전
반갑습니다.

모든 분들의 말씀에 격공합니다. ^^

다만, ISMS를 염두하신다면 관리나 편의성 보다는 보안에 무게를 더 두시는 것이 좋을듯 합니다.

Wansoo님의 의견대로,
서버설정이 손에 익으시면, IP 서브네팅이나, 다른 대역의 IP를 사용하여 나누는 것도 좋고요,
네트워크장비 설정이 손에 익으시면, VLAN 설정으로 가시면 될듯 합니다.

VLAN을 할당하시면, 없는것에 비해서 결함이나 감점은 아니지겠지만,
보안에 효율적인 할당으로 보여지려면 층별VLAN 보다는
회사의 전산자산 중요도에 따른 VLAN분할이 더 나아 보입니다.
즉, 규모가 적은 회사는 단순히,
경영관리본부(관리부+대표이사) 및 R&D만 VLAN으로 나눠 놓아도 보기에 좋습니다. ㅎㅎ
(VLAN 2개 또는 3개ㅎㅎ)

개인적인 의견이었습니다. ^^
 
차바라기
  0 추천 | 5년 이하 전
부서별로 VLAN을 설정해서 사용하는게 어떨까요? 저희도 부서별로 고정IP를 할당해서 적용을 하고 있기에 편하더라구요
 
wansoo
  0 추천 | 5년 이하 전
큰 규모의 네트워크에서는 떠돌아 다니는 트래픽들이 많기 때문에 이들 트래픽이 불필요하게 전달되지 않게 분리함으로 인해 네트워크 부하를 경감시키는 효과와 불필요하게 접근되는 것을 차단시켜 보안을 강화시키는 효과를 얻을 수 있게 되겠는데...
네트워크에 장비들 댓수가 많지 않다면 얻는 장점 보다는 불편하다는 단점이 더 클 수도 있겠네요.
60대 정도라면 한개 네트워크로 통합 관리하는게 더 나을 것 같다는 생각이 드네요.
같은 네트워크에도 ip를 고정할당해서 고정ip를 사용할 수도 있고, dhcp 서버를 운영해서 고정할당되지 않은 컴퓨터들은 유동으로 ip를 할당 받아 사용할 수 있게 운영할 수도 있고요.

부서별로 VLAN을 나누냐, 층별로 VLAN을 나누냐의 차이라면...
같은 층의 네트워크를 같은 네트워크 대역으로 할당하냐 아니면 부서별로만 같은 네트워크 대역으로 할당해서 다른 부서 네트워크에 접속되지 못하게 차단하냐는 정도의 차이라고 보면 될 것 같고요.
상황에 따라서는 같은 부서가 같은 층에 있지 않고 여러 층에 몇명씩 있는 경우라면 층별로 가상 네트워크를 분리 시키면 같은 부서라도 서로 접속하지 못하는 상황이 있을 수 있겠고요.
일반적인 관점에서 본다면 층별로 나누는 것보다 부서별로 나누는게 좀 더 세부적으로 분리시키게 되겠고, 업무 편의성을 고려한 분리라고 볼 수 있을 것 같네요.
werther.chan
  0 추천 | 5년 이하 전
각 부서별로 보안이 무척중요하다면 VLAN으로 나눠서 관리하시면 될것 같은데..
그것이 아니라면 그냥 통으로 관리하는것이 더 좋지 않을까요?
정말 나눈다면 서버단 1개와 클라이어트단1개.. 이렇게 2개만 나눠도 될것 같아보여집니다..
부산갈매기
  0 추천 | 5년 이하 전
저도 "빨간신발" 님 말씀대로, 60명 정도면 구지 VLAN을 나눌 필요가 없어보이네요. 

건물이 몇개가 있어서 건물별로 VLAN을 나누는건 괜찮은데 60명 정도에 한 건물이라면 구지 할 필요가 없을거같아요. 
danis78
  0 추천 | 5년 이하 전 | 제이컴즈 | 010-2871-8756
원래 부서별로 나누는 게 맞죠. 보안 측면에서 보자면 부설 연구소와 일반 부서에 망분리를 하는 게 맞습니다. 
VLAN 으로 ip 를 나누워서 망분리를 하는 거죠. 

층별로 하게 되면 장비별로 VLAN 구성을 하면 되니깐 관리 측면에서 쉽지만 부설 연구소 직원들과 
섞여 있다면 보안 측면에서는 부서 또는 직무와 상관 없이 ip 를 그냥 층별로 나눠서 쓰는 상황이 되겠죠. 
그렇게 되면 과연, ip 를 나눠야 하는 목적이 무엇인지 뚜렷하지 않다 라는 거죠. 

전산끙 | 5년 이하 전

조영훈님 답변 감사합니다 !! 말씀하신데로 관리측면에서 쉽게 하기 위해 .. 층별로vlan 을 나누고 보안측면에서는 사용자 계정과 접근권한으로 통제를 하려고 합니다.. !! (사실 지금 이렇게 하고 있어요.. 층별로 나누어지지는 않았지만..ㅎ ) 결국 보안때문인것 같은데..하하... 어떤 방법이 좀더 관리적인 부분에서 효율적인지를 모르겠습니다..ㅠ 부서별 vlan으로 하게되면 손이 꽤 많이 갈것 같아서요, 인사이동이라던지 부서이동이라던지 등등..
빨간신발
  0 추천 | 5년 이하 전
vlan을 나누어야 할 이유는 무엇인가요?
60명이면 그냥 사용하셔도 c클래스 반개면 충분할 듯 합니다
부서별 보안이나 기타문제로 꼭 나눠야 할 이유가 없으면 vlan 안나누는게 관리자나 사용자나 서로 편할 듯 합니다

전산끙 | 5년 이하 전

안녕하세요 빨간신발님!! 답변 감사합니다! 말씀하신데로 ip는 충분하다고 생각 합니다. 다만 이쪽에 대해 공부 하다보니 isms 의 인증에 기본이 대역 분리로 알고있습니다..+ 관리.. 보안적인 측면을 IP가 아닌 사용자 별 계정과 암호 그리고 접근 권한으로 통제하고자 합니다.. :) (차후 인원이 더 늘어날지도 몰라요..!! ) ㅎㅎ

빨간신발 | 5년 이하 전

저희는 isms 대상이 아니라서 잘 모르지만... 보통 네트워크를 분리할 때 내부/외부, 업무용/비업무용, 유선/무선 이런식으로 업무영역과 비업무영역을 분리하는 것으로 알고 있는데... 같은 업무영역을 vlan으로 나누는 것은 큰 의미가 있는가요? 나눠야 한다면 유선(업무용)/무선(비업무용 또는 방문객) 이런식으로 나누는 것은 어떨까요?