VLAN 분리 설계

현장에서는 스위치 포트만 연결되면 같은 네트워크로 운영해도 된다고 판단하는 경우가 많다. 그러나 업무용 PC, CCTV 카메라, NVR, NAS, 무선 AP, 관리용 장비가 한 망에 혼재하면 트래픽 성격이 달라지고, 장애 발생 시 원인 추적과 운영 구분이 어려워진다.

특히 장비망과 업무망이 분리되지 않으면 접근 권한이 불명확해지고, 유지보수 시에도 어떤 장비가 어떤 네트워크 정책을 따르는지 빠르게 판단하기 어려워진다.

VLAN 분리 설계는 장비 수량보다도 장비 성격과 운영 범위를 기준으로 판단해야 한다. 같은 사무실 환경이라도 단순 업무망, CCTV 포함 환경, NAS 포함 환경, 층별 스위치 분산 환경은 필요한 분리 수준이 서로 다르다.

• 업무용 PC와 프린터가 포함된 일반 사무망
• CCTV 카메라, NVR, 모니터링 장비가 포함된 감시망
• NAS, 백업 장비, 서버가 포함된 저장망
• 무선 AP와 게스트 무선이 함께 운영되는 무선망
• 스위치, 라우터, 컨트롤러 등 관리 장비 접근망

VLAN은 물리적으로 분리할 수 없는 환경에서 논리적으로 네트워크를 구분하는 기본 수단이다. 설계의 핵심은 장비를 단순히 수량으로 나누는 것이 아니라, 트래픽 성격, 접근 권한, 장애 영향 범위를 기준으로 그룹을 나누는 데 있다.

• 업무망과 장비망은 기본적으로 분리한다.
• CCTV 장비는 일반 업무 단말과 같은 VLAN에 두지 않는다.
• NAS와 백업 장비는 필요 시 별도 저장망으로 구분한다.
• 게스트 무선은 내부 업무망과 분리한다.
• 관리 장비 접근은 일반 사용자 망과 분리하는 것을 우선 검토한다.

VLAN 수를 과도하게 늘리는 것이 목적이 아니라, 운영 구분이 필요한 지점을 명확히 나누는 것이 목적이다.

실제 구현 단계에서는 먼저 장비군을 구분하고, 각 장비가 어느 스위치 포트와 업링크를 통해 연결되는지 정리한 뒤 VLAN ID, 포트 설정, 상위 스위치 전달 구조를 확정한다.

• 장비 목록을 업무망, CCTV망, 저장망, 무선망, 관리망으로 구분
• VLAN ID 체계와 사용 목적 정의
• 액세스 포트와 트렁크 포트 구분
• 상위 스위치 또는 라우터의 인터페이스 정책 확인
• 장비 간 통신이 필요한 경우 허용 범위만 별도로 검토

구현 전에는 어떤 장비가 어느 VLAN에 속하는지 표로 먼저 정리하는 것이 좋다. 이 단계가 없으면 설치 후 포트 정리와 장애 대응이 어려워진다.

VLAN 분리에서 가장 흔한 오류는 장비를 다른 VLAN으로 나누기만 하고, 실제 통신 경로와 운영 목적을 함께 검토하지 않는 것이다. 같은 장비망이라도 저장 장비, 카메라, 무선 장비는 요구하는 통신 범위가 다를 수 있으므로, 단순 분리보다 운영 목적을 먼저 정의해야 한다.

이 문서는 특정 벤더 설정 명령을 정리한 문서가 아니라, VLAN 구조를 어떤 기준으로 나누는지에 대한 설계 기준 문서이다.

관련 카테고리와 연관 문서, 전체 문서 목록으로 이동할 수 있다.

• 스위치 포트 설계 기준 Switch Port Design Standard
• 네트워크 업링크 설계 Network Uplink Design
• 네트워크 인프라 Network Infrastructure
• 전체 문서 목록 Documentation Index

업무망과 장비망, 무선망 구분 기준이 함께 고려된 오피스 네트워크 사례를 연결한다.

• 사무실 네트워크 신규 구축 CASE 001
• 오피스 무선 커버리지 재구성 CASE 006