무선랜의 종류와 특성
페이지 정보
작성자 서진네트웍스 댓글 0건 조회 22,223회 작성일 05-05-05 20:02본문
LAN 케이블 배선 공사가 필요하지 않다는 이점으로 사용자의 지지를 얻어 가정이나 SOHO(small office, home office)에서 도입이 활발하다. 그러나 기업에서 대규모로 사용하려는 경우에는 도입시 여러 가지 장애물이 있으며 제품구입, AP배치나 네트워크설계, 운용 각 부분에서 가정이나 SOHO에서 도입할 경우와는 달리 존재하지 않았던 많은 장애물이 나타나고 있다.
그 장애물은 크게 3가지로 분류할 수 있는데 첫째, 무선단말과 AP간의 통신속도를 확보하기 위해 무선의 특징을 바탕으로 한 네트워크 설계와 운용 노하우가 필요하다는 것이다. 둘째, 사내에서 사용하고 있는 무선LAN의 전파가 혼선되어 방수(傍受 )되거나 부정한 사용자가 무선네트워크에 엑세스하는 위험에 노출되는 것이다. IEEE802.11b 무선LAN제품이 갖춘 기본적인 보안기능만으로는 유선LAN과 동등한 보안을 유지하지 못한다. 셋째, 무선LAN기기의 관리기능이 유선 기기만큼 풍부하지 못하다는 것이다. 관리기능을 고려하지 않고 제품을 선택하면 결과적으로 큰 부담을 갖게 되는 것이다. 예를 들어 복수 AP설정 내용을 한번 수정하는 기능은 아직 일부 고가 기업용 AP에만 갖추어져 있다.
무선LAN은 현재, 운용역영이나 제품 선택의 폭, 운용노하우의 전환기를 맞이하고 있다. 도입·운용 시의 허점을 보완하고 무선LAN을 활용하기 위한 요점으로 Throughput, 보안, 운용관리의 노하우를 살펴본다.
1. Throughput
무선LAN구축에는 다양한 노하우가 있으나 그 중 가장 중심이 되는 것이 Throughput을 확보하는 방법이다. 전파의 상황에 따라 속도가 크게 변화하기 때문에 유선LAN과는 전혀 다른 노하우가 필요하다.
구체적으로 보면
①AP의 설치장소를 고안하여 전파간섭을 피함,
②효율적인 채널을 설계함,
③AP를 범장화한 트래픽 집중을 억제하는 것 등이다.
2002년에 등장한 최대 54M비트/초의 5㎓대 무선LAN 규격인 IEEE-802.11a 대응제품을 사용하는 경우에도 기본은 바뀌지 않는다. 단, 종래의 IEEE802.11b가 사용하는 2.4㎓대의 전파특성과 5㎓대의 전파특성의 차이는 매우 커, IEEE802.11a를 사용하여 Throughput을 확보한 네트워크를 구축하는 것은 더욱 어렵게 된다. 무선LAN구축은 우선 AP설치장소를 정하는 것부터 시작된다.
복수의 AP를 설치하는 경우, 너무 가까우면 간섭의 영향이 커지며, 멀면 이용할 수 없는 장소가 생기게 된다. 실제로 전파를 측정해 보면 계산대로 나오지 않는 경우가 대부분이며 운용하고 있는 동안에 사원이 무단으로 AP를 설치하는 경우로 인해 새로운 전파 간섭이 발생하는 경우도 많다. 따라서 설치장소 결정에는 전파환경 등의 측정툴이 꼭 필요하다. 단순히 전파 측정뿐만 아니라 저렴한 가격의 무선LAN제품 부속툴에도 맞는지 본격적인 툴을 사용하여 정보를 정기적으로 수집해 두면 Throughput 저하의 원인을 신속하게 해결할 수 있을 것이다.
AP를 선택할 경우에는 설치장소의 자유도가 높은 제품을 선택해야 무선LAN설계가 편하다. 우선 Ethernet으로부터의 직접적 전원공급이 가능해야 하며 이는 벽 등에 AP를 설치할 경우, 설치·이동시에 비용이 많이 발생하기 때문이다. 현재 Ethernet 전원공급 대응 AP는 모두 접속장소가 동일 제조업자의 LAN스위치나 전용 전원공급 장치가 아니면 전원 공급이 불가능하다. 외부 안테나에 접속 가능한 제품도 편리할 것이다.
2002년이 되어 5㎓대의 IEEE802.11a대응 제품 발매가 계속되면서 기업이 제품 선택에 고심을 하는 경우가 증가하고 있다. IEEE802.11a는 사양상 1채널당 실효 통신속도가 18M∼200M비트/초로 11b제품의 4∼5배 정도에 달한다. 11b와 공용 가능한 듀얼 타입의 AP(CISCO)도 있다.
이미 11b를 사용하고 있더라도 11a를 병용하면 전체의 throughput를 상승시키기 때문에 향후 유력한 선택 사항이 되지만, 11a를 사용하는 경우에는 AP설치 장소 선정 등에서 종래의 11b대응제품에는 없는 노하우가 필요하게 된다. 5㎓대의 전파는 2.4㎓대 전파보다 도달 거리가 짧다. 높은 주파수일수록 직진성이 강해져 장애물에 의한 신호 감퇴도 심해진다. 11a의 최대 실효속도는 18M∼20M비트/초이지만 이것이 가능한 것은 AP로부터 7미터 전후이다. 그 이상이 되면 최대 통신속도를 억제하여 전파 도달 거리를 연장한 통신모드로 교체되기 때문에 속도가 떨어지게 된다.
따라서, 11a의 속도는 풀로 출력하면 11b와 비교하여 대부분은 AP나 무선 카드 자체의 가격이 11b보다 비싸므로 도입 비용은 11b보다 많이 든다. 5㎓대의 전파는 방향에도 민감하며 듀얼형 제품의 경우, AP설치장소 설계가 보다 복잡하다. 전파 도달거리가 다른 시스템을 같은 장소에 설치하게 되기 때문이다.
AP의 설치장소가 결정된 후에는 근접 AP간에 전파간섭이 일어나지 않도록 무선LAN의 ‘멀티채널 기능’을 활용해야 한다. 멀티채널 기능이란, 각 AP에서 다른 통신채널을 나누어 사용 서로 간섭하지 않고 동시에 통신하는 기능을 말한다. 현재, 일본에서는 주파수 할당 상 802.11b의 무선LAN에는 1∼14채널을 사용하고 있다. 이 중 서로 간섭하지 않는 무선채널은 최대 4채널까지 확보가 가능하며 설치하는 AP가 4대정도라면 이용채널 설정에서 전파간섭 문제를 회피할 수 있다. 전파가 간섭받지 않도록 하기 위해서는 1, 6, 11, 14 등 어느 정도 주파수대가 떨어진 채널을 선택해야 한다. 근접 채널은 주파수가 겹치므로 간섭을 회피할 수 없다.
IEEE802.11b의 경우, 실효속도는 하나의 무선채널 당 최대 4M∼5M비트/초이다. 이 대역을 AP로 연결하는 모든 컴퓨터가 공유하므로 컴퓨터수가 증가하면 1대당 Throughput은 당연히 떨어지게 된다. 따라서 1대의 AP에 엑세스하는 단말대수는 대부분 10BASE-T의 허브로 수용하는 단말수와 같은 정도로 설계하며 AP 1대당 컴퓨터 10∼30대로 하는 것이 일반적이다. 컴퓨터수가 증가하여 Throughput이 떨어진다면 AP수를 증가시켜 처리한다.
이때, 복수 AP에서 부하가 균등하도록 처리해야 한다. 가장 간편한 방법은 AP마다 각각의 ESS-ID를 설정해 두어 컴퓨터를 통해 엑세스하는 AP를 고정시키는 방법이다. 단, 각 컴퓨터에 ESS-ID를 설정하는 수고를 해야 하며 컴퓨터를 사내에서 옮겨 사용하는 경우에 설정을 바꾸지 않으면 안되는 결점이 있다. 이러한 불편을 덜고, 각 단말·AP의 Throughput향상에 도움을 주고 있는 것이 접속 단말의 할당을 자동적으로 바꾸는 자동부하분산기능이다. 복수 AP가 서로 제휴하여 단말대수나 신호강도, 비트오류률 등을 감안하여 각 단말의 접속AP를 작동 중에 교체하는 것으로 각 AP 트래픽 부하를 평준화 한다.
2.보안
IEEE802.11에 준거한 무선LAN제품은 기본적인 보안 기능을 3가지 갖추고 있다.
①AP에 설정한 ID(ESS-ID)에 의한 무선단말 엑세스 제한,
②MAC 어드레스에 근거한 무선단말 인증,
③MAC프레임을 암호화하는 WEP이다. 이 기능 모두 대부분 IEEE802.11 무선LAN제품의 표준장비이다.
추가 비용이 들더라도 ①∼③의 기능을 이용한다면 최저한의 보안은 확보된다고 할 수 있다. 그러나, 이 표준 보안 기능에는 다양한 약점이 있다. 우선 ①의 ESS-ID는 ‘인증 키로서는 대부분 효과가 없는 실정’이다. IEEE802.11방식의 사양 상 무선단말측에서 ESS-ID를 ‘ANY’ 또는 공백에서 지정하면, AP가 ESS-ID를 반답(返答)해버리기 때문이다. 또한, AP는 ESS-ID를 정기적으로 모든 단말에 전송한다. ②의 MAC어드레스 필터링은 WEP에서 암호화하더라도 MAC어드레스가 암호화되지 않으므로 간단히 도청된다.
도난당한 MAC어드레스를 위조하여 AP에서 접속을 허가받은 단말로 위장할 수도 있다. ③의 WEP에 대해서는 모든 무선단말에 같은 비밀 키를 수동으로 설정하지 않으면 안된다. 따라서 키가 누설될 위험성이 높다. 따라서 기업용 무선LAN 제품 제조업자는 보안 기능을 강화하기 시작하였으며 본격적인 사용자 인증을 실시하는 IEEE802.1x에 대응한 AP나 인증서버가 등장하고 있다.
이 제품에 공통적으로 사용되는 ESS-ID나 MAC어드레스 대신에 RADIUS서버를 사용하여 사용자를 인증하는 것이다. 또한, 암호키를 자동적으로 교환하는 구조를 갖추어 키의 자동갱신이나 사용자마다 별도의 키를 사용할 수 있게 하며 이는 IEEE802.11의 약점을 보완한 것이다. 단, 현재로는 IEEE802.1x 등을 사용한 무선LAN 시스템을 본격 운용하고 있는 사용자가 적다. 이는 단말이나 AP가 너무 비싸거나 RADIUS서버 도입 비용이 들기 때문이다.
도입 형태는 3가지로 나눌 수 있다.
①IEEE802.1x에 대응한 컴퓨터 OS의 표준 드라이버를 사용하는 것,
②시판 인증용 클라이언트/서버·소프트를 도입하는 것,
③무선LAN 제조업자의 단독 사양을 이용하는 것이다.
이 중 ①은 무선LAN카드를 선택하지 않고 사용할 수 있으나 IEEE802.1x대응 OS는 현재로는 Windows XP밖에 없다.
컴퓨터 OS를 Windows XP로 통일하기 위해서는 비용이 발생하게 된다. 이와 반면, ②의 대표적인 사례인 미국 펑크소프트웨어의 ‘Odyssey’의 경우, 컴퓨터 OS의 선택폭이 넓어지며 소프트 사용요금으로는 컴퓨터 1대당 50달러 정도이다. ③은 제조회사 단독 인증·암호화방식을 사용하므로 전용 무선LAN카드와 AP로 통일할 필요가 있다.
IEEE802.1x대응 인증·암호화시스템을 도입하기 위해서는 비용면에서 아직 부담이 많다. 이미 무선LAN을 도입 완료한 기업에서는 ‘법용 제품으로 사용할 수 있는 업계 표준이 정착되기까지 상황을 관찰하겠다는 곳이 많다. 따라서 현시점에서는 IEEE802.11의 인증·암호화 기능과 함께 운용 수준에서의 보안을 높이는 방법을 선택한 기업이 많다. 이 방법 중 하나가 ESS-ID의 누설을 막는 기능을 갖춘 AP제품을 선정, 간이 인증으로 사용하는 것과 어플리케이션 수준에서의 데이터를 암호화 하는 것이다.
무선LAN은 호스트 컴퓨터에 의한 수발주 업무에도 사용하고 있다. 이와 같이 비용을 낮추면서 보안을 높이는 방법으로는 IP 레벨에서 모든 데이터를 암호화하는 IPsec이용도 유효하다. LAN상에서 VPN 게이트웨이를 설정, VPN클라이언트인 무선LAN 단말과의 사이에 암호화한 데이터만을 송신한다. 필요한 장치로는 본사 등에 설치한 VPN게이트웨이만 있으면 된다. IPsec클라이언트 소프트를 단말로 실장한다면 AP나 무선카드는 저렴한 제품으로 이용할 수 있다. 또한, 회사 이외의 곳에서의 엑세스의 경우, 단말 설정을 바꾸지 않아도 된다는 이점이 있다. 단, 어플리케이션 레벨에서의 암호화는 VPN도청을 막기는 하지만 AP에의 동일 LAN세그멘트에 무방비 서버를 두면 위험하다. 또한, 소규모 거점에서 무선LAN 루터를 사용하여 문제가 발생한 경우도 있다.
3. 관리·운용
무선LAN에서는 다양한 요인으로 인한 통신장애나 Throughput저하가 발생한다. 또한 보안 설정이나 관리면에서도 유선의 네트워크와 비교하여 많은 신경을 써야 한다. 장애에 등을 미연에 방지하기 위해서는 AP를 관리·감시가 꼭 필요하다. 단, AP는 제품에 따라 관리·감시기능에 큰 차이가 있다. 저렴하다고 하여 관리 기능이 빈약한 제품을 채용한다면 나중에 더 많은 시간을 필요로 하게 될 것이다. 제품 선택 시에는 관리기능을 면밀하게 조사해야 한다. 또한, 무선LAN 기기제조업자는 ‘관리자가 본사·지점의 AP상태를 일원적으로 파악 가능할 것’과 같은 사용자의 욕구에 응답하기 위해 SNMP에의 대응이나 무선구간 감시가 가능한 통합관리툴 제공을 서두르고 있다.
무선LAN 제품은 유선 LAN과 같은 수준의 운용·관리기능을 갖추어가고 있다. 단, 네트워크 구축에 있어서 아직 유선LAN에는 미치지 못하는 부분도 남아 있으며 구체적으로 살펴보면 무선단말 단위에서 본격적인 가상LAN(VLAN)을 구성 가능한 제품이 거의 없다. 무선LAN의 AP가 VLAN기능을 갖추게 되면 손님용으로 무선LAN 엑세스를 통한 인터넷 접속을 제공하고 또한 인트라넷에의 엑세스는 금지하는 것이 가능해 진다.
무선LAN의 도입효과를 더욱 높이기 위해 잊어서는 안되는 것이 AP통합관리와 함께 IP수준도 무선LAN을 고려하여 구축·운용하는 것이다.
유선LAN과는 달리 단말이 이동하는 무선LAN의 네트워크에서는 IP어드레스관리 등 백엔드운용도 바뀌게 된다. 이외에도 무선LAN단말의 기능을 파악하여 엔드유저의 사용을 어떻게 향상시킬지도 무선LAN 네트워크 운용에는 빠뜨릴 수 없는 포인트이다. 예를 들어, 단말의 무선LAN 기능에 따라서는 이용 가능한 무선 채널의 종류가 제한된다는 점에 주의해야 할 필요가 있다. 또한, 엔드유저가 무선LAN을 사용하기 쉽게 하기 위한 구조도 실제 운용에는 매우 중요하다. 사내에서뿐만 아니라 자택 등에서 무선LAN을 사용하여 리모트 엑세스하는 경우에는 컴퓨터 설정을 하나하나 변경해야 하는 번거로움이 있다.
Windows XP의 경우, ESS-ID나 WEP의 비밀 키 등은 AP마다 별도로 설정해 두는데 Web브라우져인 프로키시서버나 DNS까지는 취급하지 않는다. 이러한 불편함을 없애기 위해서는 엔드유저가 사용하는 컴퓨터에 ‘프로파일 교환 소프트’를 실장하고 있는 제품을 선택해야 한다. 주로 무선LAN 내장형 컴퓨터가 이를 표준으로 갖추고 있다. 이러한 소프트는 다시 한번 무선LAN과 Web 브라우져 등의 어플리케이션과의 설정 내용을 조합하여 복수의 프로파일을 준비한다. 엔드유저는 접속 장소에 따라 임의의 프로파일을 선택하여 교체할 수 있다.
www.bcpakr.net의 정보제공...