박문형 2017-07

해당 회사 네트웍의 IP 플랜에 따라 틀려집니다..

IP를 C클래스 2개 이상 사용한다면 L3 스윗치나 라우터가 필요합니다..

IP가 0-255까지만 사용한다면 L2만으로 문제 없습니다..

UTM장비도 구하려면 한 가격 할텐데..

회원 K님이 판매하시는 임대형 솔류션도 확인해보세요..


http://www.2cpu.co.kr/ad_board/984

DHCP는 공유기 혹은 라우터에서
VLAN은 보통 메니지먼트 L2 스윗치나 L3 스윗치에서 담당합니다..

프라티사 2017-07

답변 감사합니다 =)

그럼 시큐아이 UTM를 두고 그 아래에 L2, 스위치만 두어도 문제가 없을까요?
아니면 각각 부서별 대역을 C클래스별로 구분한다면 L3 스위치까지 필요한건가요?

우앙뿌앙 2017-07

UTM 이나 요즘 나오는 방화벽은 왠만하면 L3 기능 포함되어 있습니다.

방화벽 하단에 L3를 두는것도 가능하지만, 소규모 환경에서는 딱히 필요가 없습니다.

오히려 소규모 환경에서는 L3 없이 구성하는걸 추천합니다.
(방화벽 사망시 패스쓰루 문제때문)

쉽게 말해서 방화벽 하단에 매니지먼트 L2 여러개로 VLAN 및 포트 분배하서 사용하면 되겠습니다.
(기본 라우팅도 방화벽에서 다 구성됩니다.)

프라티사 2017-07

앗 피시가 250대 정도면 L3는 필요없다는 건가요?
네트워크 업체에서 L3를 꼭 넣으라고 해서 넣다보니 가격이 많이 올라갔더라구요
(그런데 DHCP는 UTM에서 하는게 편하다고 해서 좀 이상해서 글을 남겨봤습니다)

인연 2017-07

250대가 하나의 대역을 사용한다면 L3가 별도로 필요치는 않으실것으로 보입니다..
근데 PC말고 프린터라던가 다른것도 포함하시면 250대가 넘지 않을까 보이는데요...
그리고 UTM이라고 하여도 메인역할이 방화벽이라면 각장비에서 지원하는 요소를 한번 확인하시기 바랍니다..
외산과 국산은 은근히 구현방식이나 지원기능이 갈리는 케이스가 있습니다.

프라티사 2017-07

아 네 프린트를 포함한 숫자가 250개 입니다
추후에는 추가될지도 모르겠네요
나중을 위해서는 이번에 L3를 구입하고 c클래스 구분하는게 좋을까요?

박문형 2017-07

네트워크 플랜은 항상 여유를 두고 해야 합니다..

네트웍 업체에서 L3를 권하는 것도 이유는 있을 것이고 스윗치 윗단에서 무슨 장비가 붙을 지 정확히 결정이 안나서 그럴수도 있습니다.

인터넷은 무엇을 사용하고

공유기나 라우터가 무엇을 사용하는지 (L3를 지원하는지)

UTM에서는 어던 기능까지 할지

이런 것들이 지금까지 질문에서는 애매 모호합니다..

전체적인 그림을 그려서 셋팅이 픽스 된 것과 바꿀수 있는 것을을 구분해두면

장비 선정에 좀 더 나을 것이라고 봅니다..

제 개인적인 회사라면 미크로틱으로 첨부터 끝까지 바르겠지만..(UTM방화벽 빼고)

회사의 직원으로 회사의 오너와도 협상을 해야 하니 여러 방법을 생각해봐야겠죠..
 
HP에 보면 100-200포트를 한꺼번에 수용하는 L3 스윗치(백본급)가 있습니다..

비싸긴 하지만 보통 저거 한방이면 스윗치에선 거의 모든게 끝납니다..


http://h17007.www1.hpe.com/kr/ko/networking/products/switches/switch-selector.aspx

https://www.hpe.com/us/en/product-catalog/networking/networking-switches/pip.specifications.aruba-5412r-zl2-switch.6635526.html

프라티사 2017-07

답변 감사합니다 조만간 지금 구성도와 예상 구성도를 그려보겠습니다

회원K 2017-07

UTM에 L3를 넣으면, UTM 장애가 발생하거나 부하가 있을 때 문제가 될 수 있습니다.
추천하는 구성은 아래와 같습니다.

- 외부모뎀 - HW firewall (미크로틱 등) + UTM (firewall + IPS + ... ) - 업무용 공유기 (cisco, asus, tenda 등) 여러대 - L2 스위치 - PC

UTM 앞에 firewall을 넣는 것은 저가형의 HW firewall이 UTM의 부하를 줄여주는 효과가 있기 때문이며
업종에 따라서 UTM을 생략하는 것도 가능은 하지만
IPS가 돌아가고 그것이 관제 된다는 것을 직원들에게 "인지" 시켜주는 것은 중요할 수 있습니다.

Ray 2017-07

무선 사용안하는 환경이면 유선공유기를 L3 로 사용하시고 하단은 L2스위치로 확장하여 사용하면 됩니다

비용이 저렴합니다

Ray 2017-07

만약 C클래스 초과하시면 UTM 에서 중요한 서버의 대역만 라우팅하여 관리하시고 나머지 일반 PC는 유선공유기로 돌리셔요

박문형 2017-07

보통 공유기(개인용)는 C클래스 1개까지가 셋팅 허용범위입니다..

여러개의 C클래스를 셋팅하려면 라우터가 필요하죠..

ASR9K 2017-07

UTM이 250개의 클라이언트들의
브로드캐스트를 감당할 수 있을지 고민이네요....

초기 구축해서 당장은 문제가 없을지 모르지만, 구축후에는 서비스 이슈가 있었던 사이트를 종종 보았습니다

UTM에게 L3역할까지 하라고 하면....
UTM에게 연봉을 높게줘야 합니다.^^

비용이 허락한다면 백본(L3)을 이중화 하는것도 생각해 보셔요.^^

비용/서비스 사이에서 갈등은 항상 생깁니다.^^

박주연 2017-07

장/단점이 있겠지만
L2 에서 나누면 간략한 구성이 되지만 세밀한 분리, 제어가 힘듭니다.(L3를 추천하는 이유)
또한 부하/부담을 UTM 장비에서 관리할것이냐 아니면 백본역활(L2/L3)에 나눌것이냐의 문제도 있습니다. (아무래도 UTM이 단가가 있다보니..........)
단일방법, 한곳에서 관리한다는 장미빛 환상이 있지만........ 현실은 그만큼의 예산이 없죠

P.S  보안장비 이중화 문제로  네트웍장비(L2~L7) 가 추가되는 경우가 있습니다.

강기용 2017-07

개인적 소견입니다.
1.네트워크 토플로지를 보시면 반드시 포함되는 장비가 L3입니다. vlan별 접근제한,dhcp,QoS,Netflow,Security,Voice vlan 설정 등등 다목적 기능과 장애발생시 좀 더 신속한 대처를 위함입니다.
2.가급적 장비들의 특성에 따라 역활 분담을 주는 것이 좋습니다. UTM(올인원)장애시 폭망합니다.
- 방화벽(차세대 포함:NAT/vpn/Policy
- 백본 스위치(전체 트래픽 관리 및 제어)
- L2 워크그룹 스위치(클라이언트 관리 및 제어)
- L4(서비스 로드 밸런싱)
3.근래에 이슈화 되고 있는 Ransomware를 포함한 보안 대책을 어떻게 가져 갈지도 중요합니다.
4.250명이면 적은 규모는 아닌데, 사용자 관리도 고민을 하셨어면 합니다. Active Directory를 구축하여 관리하시는 방법이 있습니다.
5.방화벽과 백본 스위치는 이중화를 권장하나 예산이 있을경우 하시면 되겠네요.
6.전산장비들에 대해서 NMS를 통해 관리가 필요하고
모든 시스템들에 대해 로그 수집을 해야 합니다.
NTP 서버 구축은 필수이고요,
7.필수는 아니지만 보안적 관점에서 SIEM도 운영하시면 좋을 것 같습니다.

이지영 2017-07

UTM이 L3 커버할만큼 퍼포먼스가 나오면 굳이 없어도 되고,
라우팅은 L3에 커버시키고, UTM은 말 그대로 방화벽만 하게 하고, 디자인 하기 나름이죠.
여건이 되면 L3 두는게 맘편합니다.

koal 2017-07

하나의 장비에서 다 가능하다고 하더라도 '부하' 와 '장애'는 항상 고려해서 설계하셔야 합니다.

세슘 2017-07

저도 C클래스 여러대역포함하여 UTM 에서 L3 까지 커버하며 사용하고있는중이긴 하지만,
기본적으로  L3 스위치는 따로 있는게 맞다고 봅니다.

1 point failure 라고 하나요? 하나고장나면 다 끝나는거..
UTM 장비 하드웨어적인 장애대비해서 고장이 잘나는 파워와 내부하드디스크는 미러링되어있고
네트웍은 상당히 많은량을 커버할수있는 장비로 지정하고
긴급장애시 시리얼 접속하여 다른네트웍에서 바로조치하게끔 하고, 관련 장비유지보수업체까지 끼고 했지만..

직접관리라면 위에분들말씀처럼 각각의 고유의 역할에 맞는 장비를 개별로 두는걸 권장합니다
혹시나 고장나면 그냥 제거하면 되니까요