VLAN은 네트워크를 논리적으로 분리하여 트래픽을 관리하고 보안을 강화하는 데 매우 유용한 기능입니다. 하지만 VLAN만 구성해두었다고 해서 자동으로 보안이 완벽해지는 것은 아닙니다. VLAN 간 통신은 물론이고, 내부 공격이나 설정 실수에 의해 중요한 정보가 외부로 유출될 가능성도 존재합니다. 따라서 VLAN을 구성한 이후에는 반드시 몇 가지 핵심적인 보안 설정을 추가로 적용해야 합니다.
이 글에서는 VLAN 구성 이후 반드시 적용해야 하는 보안 강화 설정 중 실무에서 가장 효과적인 세 가지를 소개드리겠습니다. 각각의 설정은 실제 발생할 수 있는 보안 사고를 방지하거나 최소화하는 데 큰 도움이 됩니다.
Unused 포트 비활성화 및 기본 VLAN 변경
스위치에는 수많은 포트가 존재하며, 이 중 일부는 사용되지 않은 채 비어 있는 경우가 많습니다. 이러한 미사용 포트는 물리적인 접근만으로 내부망에 연결될 수 있는 잠재적 취약점입니다. 따라서 모든 미사용 포트는 비활성화하거나, 별도의 격리된 VLAN에 배정해 두는 것이 기본적인 보안 수칙입니다.
Switch# configure terminal
Switch(config)# interface range fa0/10 - 24
Switch(config-if-range)# shutdown
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 999
이때 VLAN 999는 외부와 통신되지 않는 격리 VLAN입니다. 또한, 기본 VLAN인 VLAN 1은 보안상 위험 요소가 될 수 있으므로, 가급적 사용하지 않는 것이 좋습니다.
Native VLAN 통일 및 허용 VLAN 제한
Trunk 포트는 여러 VLAN 트래픽을 동시에 전달하지만, Native VLAN에 대해서는 태그가 붙지 않은 채로 전달됩니다. 이로 인해 Native VLAN이 양쪽 스위치에서 다르게 설정되어 있으면 VLAN 간 데이터 혼선이나 보안 취약점이 발생할 수 있습니다.
따라서 모든 Trunk 포트는 동일한 Native VLAN을 사용하고, 허용할 VLAN만 명시적으로 지정하는 것이 안전합니다.
Switch# configure terminal
Switch(config)# interface gig0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# switchport trunk allowed vlan 10,20,30,99
이 설정을 통해 Native VLAN을 99번으로 통일하고, 허용 VLAN을 필요한 것만 명시함으로써 불필요한 VLAN 트래픽 전달을 방지할 수 있습니다.
포트 보안 설정 (Port Security)
포트 보안은 특정 포트에 연결될 수 있는 MAC 주소를 제한함으로써, 무단 접속이나 스위칭 허브 공격을 예방할 수 있는 강력한 기능입니다. 이 기능을 설정하면 등록되지 않은 장비가 포트에 연결될 경우 자동으로 포트를 차단하거나 경고 메시지를 발생시킬 수 있습니다.
Switch# configure terminal
Switch(config)# interface fa0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security mac-address sticky
위 명령어는 fa0/2 포트에 대해 하나의 MAC 주소만 허용하며, 새로운 장비가 연결되면 포트를 자동으로 차단합니다. Sticky 기능을 사용하면 현재 연결된 MAC 주소를 자동으로 학습하여 보안성을 높입니다.
추가 권장 사항
위에서 소개한 세 가지 설정 외에도 다음과 같은 추가적인 보안 설정도 함께 고려해보시기 바랍니다.
- 관리 VLAN과 사용자 VLAN을 분리하여 스위치 접근 제어
- Telnet 대신 SSH를 통한 원격 접속 적용
- SNMP 비활성화 또는 버전 제한
- 스위치 콘솔 비밀번호 설정 및 권한 분리
이러한 설정은 VLAN 보안만이 아니라 네트워크 전체의 안정성과 보안을 높이는 데 기여합니다.
VLAN은 논리적인 네트워크 분리를 가능하게 해주는 효과적인 기술이지만, 보안 설정이 함께 이루어지지 않으면 오히려 내부망의 위험 요소가 될 수 있습니다. 특히 물리적 접근이 쉬운 환경에서는 포트 보안이나 Native VLAN 설정 등이 매우 중요합니다.
이 글에서 소개한 세 가지 보안 설정은 기본이지만 매우 강력한 조치이며, 스위치와 VLAN 구성을 마친 후 반드시 함께 적용하실 것을 권장드립니다.
'네트워크 - L2,L3' 카테고리의 다른 글
| VLAN별 DHCP 분리 구성 - L3 스위치 기반 예시 (0) | 2025.07.09 |
|---|---|
| 내부 DHCP 서버와 공유기 DHCP 충돌 방지 설정법 (0) | 2025.07.09 |
| 소규모 사무실에 적합한 VLAN 설계 예시 (0) | 2025.07.08 |
| Trunk 포트 구성 실수 사례와 복구 방법 (0) | 2025.07.01 |
| L3 스위치에서 인터 VLAN 라우팅 설정법 (0) | 2025.07.01 |