네트워크 요구 사항 및 설계 개요
기업 내부의 안정적인 통신을 위해 핵심 계층과 액세스 계층으로 구성된 3 계층 아키텍처를 구축합니다. 이 구성은 장애 대비 기능(HA) 을 포함하며, 유선 PC, 무선 WiFi, 서버 영역을 통합 관리합니다.
- 유선 사용자: PC 단말 (VLAN 10, 20 대역)
- 무선 사용자: 모바일 및 노트북 단말 (VLAN 30 대역)
- 서버 영역: 비업무용 서버 (VLAN 40 대역), DMZ 공개 서버
- 인프라: AP 관리 (VLAN 70 대역), AC 관리 (VLAN 80 대역)
액세스 계층 스위치 설정
접속 스위치는 각 포트에 대해 특정 VLAN 을 할당하거나 트렁크로 처리하여 상위 코어 스위치와 연결합니다. 스패닝 트리 최적화를 위해 에지 포트를 활성화합니다.
ACC1 스위치 기본 설정
sysname ACC1-SW
#
vlan batch 10 20 30 70
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
stp edged-port enable
description Connect_PC_Group_A
#
interface GigabitEthernet0/0/22
port link-type trunk
port trunk allow-pass vlan 10 20 30 70
description Uplink_To_Core_A
#
interface GigabitEthernet0/0/23
# Hybrid 사용 시 태그 처리 예시
port link-type hybrid
port hybrid pvid vlan 70
port hybrid tagged vlan 30
port hybrid untagged vlan 70
#
interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 10 20 30 70
ACC2 및 ACC3 스위치 설정
비슷한 구조로 ACL 을 적용하되, 연결하는 VLAN 범위만 조절합니다.
# ACC2 Example
vlan batch 10
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/22
port link-type trunk
port trunk allow-pass vlan 10
# ACC3 Example (Server & Wireless)
vlan batch 20 30 40 70
interface GigabitEthernet0/0/23
port link-type access
port default vlan 40
코어 계층 연동 및 고가용성 구성
두 대의 코어 스위치는链路聚合 (Link Aggregation) 을 통해 백본 대역폭을 확보하고, VRRP 를 사용하여 게이트웨이 역할을 부하 분산합니다.
링크 어그리게이션 설정
sysname Core-SW-Primary
#
interface Eth-Trunk1
mode lacp-static
load-balance src-ip
#
trunkport GigabitEthernet0/0/22 23
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 70 80
MSTP(Multi Spanning Tree) 영역 정의
VLAN 트래픽 경로를 논리적으로 분리하여 브로드캐스트 폭풍을 방지하고 부하를 분산합니다.
stp region-configuration
region-name Enterprise_MST
revision-level 1
instance 1 vlan 10
instance 2 vlan 20
instance 3 vlan 30
instance 4 vlan 40
instance 7 vlan 70
active region-configuration
#
# Root Bridge Role Assignment
stp instance 1 root primary
stp instance 2 root secondary
stp instance 3 root primary
stp instance 4 root secondary
stp instance 7 root primary
DHCP 서비스 배포 전략
주 코어 스위치에서 DHCP 서버 기능을 수행하며, 보조 코어는 릴레이 에이전트로 동작하여 고장 발생 시에도 주소 할당이 가능합니다.
DHCP 풀 생성 및 인터페이스 설정
dhcp enable
#
ip pool pool_vip_users
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
excluded-ip-address 192.168.10.200 to 192.168.10.252
lease day 7
#
interface Vlanif10
ip address 192.168.10.251 255.255.255.0
dhcp select global
#
# AP Management Range
interface Vlanif70
ip address 192.168.70.251 255.255.255.0
dhcp select interface
dhcp server option 43 sub-option 2 ip-address 192.168.80.202
VRRP 백업 그룹 설정
특정 VLAN 은 주 기기가 처리하고, 나머지는 대기 기기로 처리하여 트래픽 흐름을 조절합니다.
interface Vlanif10
vrrp vrid 1 virtual-ip 192.168.10.254
vrrp vrid 1 priority 101
vrrp vrid 1 track interface GigabitEthernet0/0/24 reduced 5
#
# Secondary Router Configuration
interface Vlanif10
vrrp vrid 1 virtual-ip 192.168.10.254
vrrp vrid 1 priority 99
vrrp vrid 1 track interface GigabitEthernet0/0/24 reduced 5
무선 네트워크(AC-AP) 통합 구성
AC 와 AP 간三层(CAPWAP) 터널링을 설정하여 SSID 배치를 중앙에서 제어합니다.
SSID 및 보안 프로파일 등록
ssid-profile name Corp_WiFi
ssid Corporate_Net
#
security-profile name Secure_WPA2
security wpa-wpa2 psk pass-phrase strongPass@123 aes
#
vap-profile name AP_Config_Main
service-vlan vlan-id 30
ssid-profile Corp_WiFi
security-profile Secure_WPA2
forward-mode direct-forward
AP 인증 및 그룹 매핑
ac-group name Main_Floor
vap-profile AP_Config_Main wlan 1 radio all
#
ap auth-mode mac-auth
capwap source interface vlanif80
#
ap-id 1 ap-mac 00e0-fc31-5200
ap-name OFFICE_AP_01
ap-group Main_Floor
보안 정책 및 라우팅 프로토콜 동기화
파이어월과 코어 스위치 간 OSPF 영역을 나누고, 방화벽 정책을 적용하여 외부 네트워크로의 안전한 출구를 확보합니다.
Zone 정의 및 인터페이스 할당
# Firewall Side
firewall zone name INTERNET_ZONE set priority 5
firewall zone name INTERNAL_TRUST
add interface GigabitEthernet0/0/2
add interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/1
ip address 202.1.12.10 255.255.255.0
service-set policy interzone internal_trust INTERNET_ZONE outbound
action permit
OSPF 라우팅 교환
스태브(Area Stub) 모드를 활용하여 불필요한 LSDB 전파를 줄입니다.
# Core Switch Router ID Setup
ospf 1 router-id 1.1.1.1
area 0
network 192.168.127.0 0.0.0.255
area 1
network 192.168.10.0 0.0.0.255
stub no-summary
#
# Firewall Static Route Injection
ospf 1 router-id 3.3.3.3
default-route-advertise
area 0
network 3.3.3.0 0.0.0.255
NAT 정책 적용 및 상태 점검
내부私有 IPv4 주소를 변환하여 인터넷에 노출하고, 특정 서버에 대해서는 포트 포워딩을 설정합니다.
NAT 주소 풀 및 서버 매핑
nat address-group Global_Outside 202.1.12.10 202.1.12.15
#
nat-policy interzone internal_trust INTERNET_ZONE outbound
policy 0
action source-nat
address-group Global_Outside
#
# DMZ Web Server Port Map
nat server protocol tcp global current-interface 202.1.12.13 www inside 192.168.150.200 www
연결성 확인 명령어
다음 명령을 실행하여 OSPF 피어 상태와 경로 테이블이 정상적으로 형성되었는지 검증합니다.
<FW1> display ospf peer brief
[FW1] display ip routing-table protocol ospf
[Core1] display arp | include 192.168