기업 네트워크 계층 구조 정리

 Cisco 3-Tier Hierarchy 기반

1. 핵심

규모가 커질수록 계층으로 나눠야 관리·효율·보안이 된다

Cisco가 정립한 3-Tier Hierarchy가 현재 기업 네트워크 설계의 표준.

왜 계층이 필요한가?

문제	계층 없을 때	계층 있을 때
장애 전파	한 곳 문제 → 전체 영향	해당 계층만 영향
트래픽 관리	모든 장비가 모든 트래픽 처리	계층마다 역할 분리
보안 정책	일괄 적용 불가	구간마다 다른 정책
확장성	장비 추가 시 전체 재설계	해당 계층만 확장

 

2. 3계층 구조 전체 그림

핵심 포인트: 보안 처리는 Core Layer가 아니라 그 앞단의 "Internet Edge"에서 담당한다.
Core는 최대한 단순하게 유지하는 것이 Cisco 공식 원칙.

 

3. Access Layer (접근 계층)

역할

• 직원 PC, 프린터, IP폰, IoT 단말이 처음 네트워크에 연결되는 지점
• "내 PC가 회사 네트워크에 붙는다" = Access Layer에 연결되는 것

주요 장비

장비	역할
L2 스위치	같은 VLAN 내 단말끼리 연결
무선 AP	Wi-Fi 단말 연결
IP폰 스위치	VoIP 단말 연결

여기서 작동하는 보안 기술

NAC (Network Access Control)
  → 인증 안 된 단말은 연결 자체를 차단
  → 802.1X 포트 기반 인증
  → 백신 설치 여부, 패치 상태 검사

포트 보안 (Port Security)
  → 특정 MAC 주소만 허용
  → 허가되지 않은 단말 연결 시 포트 차단

VLAN 분리
  → 개발팀, 인사팀, 재무팀 트래픽을 논리적으로 완전 분리
  → 같은 물리적 스위치라도 부서 간 직접 통신 불가

Access Layer의 핵심

PC가 스위치 포트에 케이블 꽂는 순간부터 NAC가 인증을 요구한다.
인증 통과 전에는 인터넷도, 내부망도 모두 차단.

 

4. Distribution Layer (분배 계층)

역할

• Access Layer에서 올라온 트래픽을 집계하고 Core로 전달
• 부서 간, 지점 간 라우팅 처리
• "스마트 레이어" — 네트워크 정책 대부분이 여기서 적용됨 (Cisco 공식 표현)

주요 장비

장비	역할
L3 스위치	VLAN 간 라우팅 (inter-VLAN routing)
분배 라우터	WAN 연결, 경로 결정
지점 방화벽	지점 단위 보안 정책 적용

여기서 작동하는 기술

VLAN 간 라우팅 (Inter-VLAN Routing)
  → 개발팀(VLAN 10)이 인사팀(VLAN 20)에 접근할 때
  → L3 스위치가 라우팅 허용/차단 정책 적용

ACL (Access Control List)
  → "개발팀은 DB 서버 직접 접근 가능"
  → "일반 직원은 서버팜 접근 불가"

지점 프록시 (로컬 캐시)
  → 자주 쓰는 파일 캐시 저장
  → WAN 회선 트래픽 절감
  → 지점 특화 사이트 차단 정책

QoS (Quality of Service)
  → 화상회의 트래픽 우선순위 높임
  → 파일 다운로드는 낮은 우선순위

Distribution Layer의 핵심

VLAN으로 분리된 부서들이 "필요한 것만" 서로 통신하도록 제어.
WAN 회선 사용량을 최적화하는 로컬 캐시/프록시가 여기 위치.

 

5. Core Layer (코어/백본 계층)

역할

• 전사 모든 트래픽이 거쳐가는 초고속 고속도로
• 핵심 원칙: 최대한 단순하게, 빠른 전달만 (Cisco 공식 권고)
• 복잡한 보안 처리, ACL, QoS 분류 등은 Core에서 하지 않는 것이 원칙

주요 장비

장비	역할
코어 라우터	고속 라우팅, BGP/OSPF 운용
코어 스위치	초고속 L3 스위칭 (10G/40G/100G)

Core Layer의 원칙 (Cisco 공식)

✅ 해야 할 것:
  - 고속 패킷 전달 (스위칭)
  - 이중화 / 고가용성 유지
  - 장애 격리

❌ 하지 말아야 할 것:
  - CPU 집약적 패킷 검사 (보안 필터링)
  - 복잡한 ACL 적용
  - QoS 분류 처리
  - 보안 인스펙션

Core가 죽으면 회사 전체 통신이 마비되기 때문에
단순하고 빠른 구성을 유지해 장애 가능성 자체를 최소화하는 것이 설계 원칙.

 

6. Internet Edge — 핵심 보안 구간

역할

• Core Layer와 인터넷 사이에 위치하는 별도의 보안 구간
• 실제 기업에서 모든 인터넷 보안 처리가 일어나는 곳
• Core가 처리하지 않는 CPU 집약적 보안 작업을 전담

주요 장비 및 솔루션

솔루션	역할
NGFW (차세대 방화벽)	애플리케이션 레벨 제어, 사용자 기반 정책
IPS	침입 탐지 및 차단
업스트림 프록시	SSL Inspection, 전사 URL 필터링, DLP
DDoS 방어 장비	대량 공격 트래픽 차단

Internet Edge의 핵심

[Core] → [Internet Edge] → [인터넷]
              ↑
  여기서 모든 보안 처리 집중:
  - HTTPS 복호화 (SSL Inspection)
  - 악성 사이트 차단
  - 데이터 유출 방지 (DLP)
  - 침입 탐지/차단 (IPS)
  - 애플리케이션 레벨 제어 (NGFW)

 

 

7. 각 구간별 보안 솔루션 배치

 

8. 백본(Backbone)

정의

각기 다른 LAN이나 부분망 간에 정보를 교환하기 위한 공통 경로를 제공하는 망

비유 — 지하철 환승역

2호선 ──┐
3호선 ──┤──▶ [ 환승역 = 백본 ] ──▶ 어디든 갈 수 있음
4호선 ──┘

각 LAN이 직접 연결하면:
  N개 LAN → N×(N-1)/2 개의 연결선 필요 (폭발적 증가)

백본을 거치면:
  N개 LAN → 각자 백본에만 연결 = N개 연결선으로 끝

백본의 스케일별 분류

1단계: 사내 백본
  건물 내 부서망들을 연결하는 코어 스위치/라우터

2단계: 캠퍼스 백본
  여러 건물을 연결하는 고속 광케이블 링

3단계: WAN 백본
  지점~본사를 연결하는 전용선/VPN

4단계: ISP 백본
  통신사(KT, SKT 등)의 국가급 고속망

5단계: 인터넷 백본 (IX)
  ISP끼리 연결되는 인터넷 교환소(KINX 등)

백본의 특징

• 고속·고대역폭: 10G/40G/100G 이상
• 이중화 필수: 백본 장애 = 전체 통신 마비 → OSPF, VRRP 등으로 이중화
• 단순하게 유지: 빠른 전달만, 복잡한 처리 배제

 

9. 실제 트래픽 흐름 — 단계별

시나리오: 직원 PC에서 외부 웹사이트 접속

① [직원 PC] 웹사이트 접속 시도
   └─ 브라우저가 PAC 파일 실행
      → "이 URL은 프록시 경유" 판단

② [Access Layer - L2 스위치]
   └─ 이미 NAC 인증 완료된 상태
   └─ 단순 패킷 전달 (MAC 주소 기반)

③ [Distribution Layer - L3 스위치]
   └─ VLAN 라우팅: 내 부서 VLAN → 프록시 서버 VLAN
   └─ ACL 확인: 이 트래픽 허용?
   └─ 지점 프록시로 전달

④ [지점 프록시 - Distribution Layer]
   └─ 캐시 확인: 있으면 바로 반환 (인터넷 안 나감)
   └─ 없으면 Internet Edge 업스트림 프록시로 포워딩

⑤ [Core Layer]
   └─ 단순 고속 전달만 (검사 없음)

⑥ [Internet Edge - 업스트림 프록시]
   └─ SSL Inspection 실행 (HTTPS 복호화)
   └─ 전사 보안 정책 확인
      → 차단 사이트? → 403 반환
      → 허용? → 다음 단계
   └─ 로그 기록 (누가, 언제, 어디에 접속)

⑦ [Internet Edge - NGFW / IPS]
   └─ 애플리케이션 레벨 검사
   └─ 외부 인터넷으로 패킷 전달

⑧ [인터넷 → 목적지 서버]
   └─ 응답이 역순으로 돌아옴

 

10. 규모별 네트워크 구조 비교

소규모 (직원 50명 이하)

[PC들] → [스위치] → [공유기/방화벽] → [인터넷]

- 계층 구분 없음 (1-Tier 또는 Flat)
- 방화벽이 Internet Edge 역할까지 겸임
- 프록시 없거나 1개

중규모 (직원 200~1000명, 단일 사무실)

[PC들] → [Access 스위치] → [L3 스위치]
       → [방화벽+프록시 (Internet Edge)] → [인터넷]

- Access + Core 2계층 (Collapsed Core)
- VLAN으로 부서 분리 시작
- Internet Edge에 방화벽+프록시 통합

대규모 (직원 1000명 이상, 지점 있음)

[PC] → [Access SW] → [Distribution SW + 지점프록시]
     → [Core 라우터] → [Internet Edge: NGFW + 업스트림프록시 + IPS]
     → [인터넷]

- 완전한 3계층 구조
- Internet Edge 별도 구간으로 분리
- SIEM으로 전체 로그 통합

엔터프라이즈 (금융, 통신사급)

[PC] → [NAC+802.1X] → [Access] → [Distribution + 지점FW]
     → [WAN/MPLS] → [Core] → [Internet Edge: NGFW+IPS+프록시+DDoS]
     → [DMZ] → [인터넷]

- NAC 필수 (금융감독원 등 컴플라이언스 요건)
- MPLS 전용 회선
- DMZ 구간 별도 운용
- SIEM + SOC (보안관제센터)

 

11. 프록시와의 연결 — 다음 공부 준비

각 구간과 프록시의 관계

Access Layer
  └─ NAC: "이 단말 네트워크 써도 돼?"

Distribution Layer
  └─ 지점 프록시: "자주 쓰는 건 여기서 캐시, 아니면 위로"

Core Layer
  └─ 단순 전달만 (프록시 없음)

Internet Edge
  └─ 업스트림 프록시: "인터넷 나가기 전 최종 검문소"
                      SSL Inspection, 전사 정책, DLP

프록시 공부할 때 기억할 것

개념	위치	역할
PAC 파일	클라이언트(Access)	어느 프록시로 갈지 결정
지점 프록시	Distribution	로컬 캐시, 1차 정책
업스트림 프록시	Internet Edge	SSL Inspection, 전사 정책
WPAD	DHCP/DNS (인프라)	PAC 파일 자동 배포

핵심

프록시는 독립된 장비가 아니라 네트워크 구간 구조 안에 녹아있는 요소다.

• 지점 프록시 = Distribution Layer의 캐시/정책 역할
• 업스트림 프록시 = Internet Edge의 인터넷 출구 보안 역할

구간 구조를 이해하면 "왜 프록시를 이렇게 배치하는가"가 자연스럽게 이해된다.

---

핵심 용어 정리

용어	설명
3-Tier Hierarchy	Cisco가 정립한 Core/Distribution/Access 3계층 네트워크 설계
L2 스위치	MAC 주소 기반 전달, 같은 VLAN 내 통신
L3 스위치	IP 주소 기반 라우팅, VLAN 간 통신
VLAN	물리적 구분 없이 논리적으로 네트워크 분리
NAC	단말이 네트워크 접근 전 인증/보안검사 수행
백본	여러 LAN을 연결하는 고속 공통 경로
Internet Edge	Core와 인터넷 사이의 보안 처리 전담 구간
NGFW	애플리케이션/사용자 레벨까지 제어하는 차세대 방화벽
IPS	알려진 공격 패턴을 실시간 탐지·차단
업스트림 프록시	하위 프록시가 인터넷 나가기 전 거치는 상위 프록시
SSL Inspection	HTTPS 트래픽을 복호화해서 내용 검사
DLP	민감 데이터의 외부 유출 탐지·차단
SIEM	전체 구간 로그를 수집·분석하는 통합 보안 플랫폼
Collapsed Core	Distribution + Core를 하나의 장비로 통합한 2계층 구조