반응형
전파의 영향이 닿는 곳이라면 컴퓨터를 원하는 장소로 옮겨 사용할 수 있는 무선 LAN.
LAN 케이블 배선 공사가 필요하지 않다는 이점으로 사용자의 지지를 얻어 가정이나 SOHO(small office, home office)에서 도입이 활발하다. 그러나 기업에서 대규모로 사용하려는 경우에는 도입시 여러 가지 장애물이 있으며 제품구입, AP 배치나 네트워크설계, 운용 각 부분에서 가정이나 SOHO 에서 도입할 경우와는 달리 존재하지 않았던 많은 장애물이 나타나고 있다.
그 장애물은 크게 3 가지로 분류할 수 있는데
첫째, 무선단말과 AP 간의 통신속도를 확보하기 위해 무선의 특징을 바탕으로 한 네트워크 설계와 운용 노하우가 필요하다는 것이다.
둘째, 사내에서 사용하고 있는 무선 LAN 의 전파가 혼선되어 방수(傍受)되거나 부정한 사용자가 무선네트워크에 엑세스하는 위험에 노출되는 것이다. IEEE802.11b 무선 LAN 제품이 갖춘 기본적인 보안기능만으로는 유선 LAN 과 동등한 보안을 유지하지 못한다.
셋째, 무선 LAN 기기의 관리기능이 유선 기기만큼 풍부하지 못하다는 것이다. 관리기능을 고려하지 않고 제품을 선택하면 결과적으로 큰 부담을 갖게 되는 것이다. 예를 들어 복수 AP 설정 내용을 한번 수정하는 기능은 아직 일부 고가 기업용 AP 에만 갖추어져 있다.
무선 LAN 은 현재, 운용영역이나 제품 선택의 폭, 운용노하우의 전환기를 맞이하고 있다. 도입·운용 시의 허점을 보완하고 무선 LAN 을 활용하기 위한 요점으로 Throughput, 보안, 운용관리의 노하우를 살펴본다.
1. Throughput
무선 LAN 구축에는 다양한 노하우가 있으나 그 중 가장 중심이 되는 것이 Throughput 을 확보하는 방법이다. 전파의 상황에 따라 속도가 크게 변화하기 때문에 유선 LAN 과는 전혀 다른 노하우가 필요하다.
구체적으로 보면
①AP 의 설치장소를 고안하여 전파간섭을 피함,
②효율적인 채널을 설계함,
③AP 를 범장화한 트래픽 집중을 억제하는 것 등이다.
2002 년에 등장한 최대 54M 비트/초의 5 ㎓대 무선 LAN 규격인 IEEE-802.11a 대응제품을 사용하는 경우에도 기본은 바뀌지 않는다. 단, 종래의 IEEE802.11b 가 사용하는 2.4 ㎓대의 전파특성과 5 ㎓대의 전파특성의 차이는 매우 커, IEEE802.11a 를 사용하여 Throughput 을 확보한 네트워크를 구축하는 것은 더욱 어렵게 된다.
무선 LAN 구축은 우선 AP 설치장소를 정하는 것부터 시작된다.
복수의 AP 를 설치하는 경우, 너무 가까우면 간섭의 영향이 커지며, 멀면 이용할 수 없는 장소가 생기게 된다. 실제로 전파를 측정해 보면 계산대로 나오지 않는 경우가 대부분이며 운용하고 있는 동안에 사원이 무단으로 AP 를 설치하는 경우로 인해 새로운 전파 간섭이 발생하는 경우도 많다.
따라서 설치장소 결정에는 전파환경 등의 측정툴이 꼭 필요하다. 단순히 전파 측정뿐만 아니라 저렴한 가격의 무선 LAN 제품 부속툴에도 맞는지 본격적인 툴을 사용하여 정보를 정기적으로 수집해 두면 Throughput 저하의 원인을 신속하게 해결할 수 있을 것이다.
AP 를 선택할 경우에는 설치장소의 자유도가 높은 제품을 선택해야 무선 LAN 설계가 편하다.
우선 Ethernet 으로부터의 직접적 전원공급이 가능해야 하며 이는 벽 등에 AP 를 설치할 경우, 설치·이동시에 비용이 많이 발생하기 때문이다. 현재 Ethernet 전원공급 대응 AP 는 모두 접속장소가 동일 제조업자의 LAN 스위치나 전용 전원공급 장치가 아니면 전원 공급이 불가능하다. 외부 안테나에 접속 가능한 제품도 편리할 것이다.
2002 년이 되어 5 ㎓대의 IEEE802.11a 대응 제품 발매가 계속되면서 기업이 제품 선택에 고심을 하는 경우가 증가하고 있다. IEEE802.11a 는 사양상 1 채널당 실효 통신속도가 18M∼200M 비트/초로 11b 제품의 4∼5 배 정도에 달한다. 11b 와 공용 가능한 듀얼 타입의 AP 도 있다. 이미 11b 를 사용하고 있더라도 11a 를 병용하면 전체의 throughput 를 상승시키기 때문에 향후 유력한 선택 사항이 되지만, 11a 를 사용하는 경우에는 AP 설치 장소 선정 등에서 종래의 11b 대응제품에는 없는 노하우가 필요하게 된다. 5 ㎓대의 전파는 2.4 ㎓대 전파보다 도달 거리가 짧다.
높은 주파수일수록 직진성이 강해져 장애물에 의한 신호 감퇴도 심해진다. 11a 의 최대 실효속도는 18M∼20M 비트/초이지만 이것이 가능한 것은 AP 로부터 7 미터 전후이다. 그 이상이 되면 최대 통신속도를 억제하여 전파 도달 거리를 연장한 통신모드로 교체되기 때문에 속도가 떨어지게 된다.
따라서, 11a 의 속도는 풀로 출력하면 11b 와 비교하여 대부분은 AP 나 무선 카드 자체의 가격이 11b 보다 비싸므로 도입 비용은 11b 보다 많이 든다. 5 ㎓대의 전파는 방향에도 민감하며 듀얼형 제품의 경우, AP 설치장소 설계가 보다 복잡하다.
전파 도달거리가 다른 시스템을 같은 장소에 설치하게 되기 때문이다.
AP 의 설치장소가 결정된 후에는 근접 AP 간에 전파간섭이 일어나지 않도록 무선 LAN 의 ‘멀티채널 기능’을 활용해야 한다. 멀티채널 기능이란, 각 AP 에서 다른 통신채널을 나누어 사용 서로 간섭하지 않고 동시에 통신하는 기능을 말한다.
현재, 일본에서는 주파수 할당 상 802.11b 의 무선 LAN 에는 1∼14 채널을 사용하고 있다. 이 중 서로 간섭하지 않는 무선채널은 최대 4 채널까지 확보가 가능하며 설치하는 AP 가 4 대정도라면 이용채널 설정에서 전파간섭 문제를 회피할 수 있다. 전파가 간섭받지 않도록 하기 위해서는 1, 6, 11, 14 등 어느 정도 주파수대가 떨어진 채널을 선택해야 한다. 근접 채널은 주파수가 겹치므로 간섭을 회피할 수 없다.
IEEE802.11b 의 경우, 실효속도는 하나의 무선채널 당 최대 4M∼5M 비트/초이다.
이 대역을 AP 로 연결하는 모든 컴퓨터가 공유하므로 컴퓨터수가 증가하면 1 대당 Throughput 은 당연히 떨어지게 된다. 따라서 1 대의 AP 에 엑세스하는 단말대수는 대부분 10BASE-T 의 허브로 수용하는 단말수와 같은 정도로 설계하며 AP 1 대당 컴퓨터 10∼30 대로 하는 것이 일반적이다. 컴퓨터수가 증가하여 Throughput 이 떨어진다면 AP 수를 증가시켜 처리한다.
이때, 복수 AP 에서 부하가 균등하도록 처리해야 한다. 가장 간편한 방법은 AP 마다 각각의 ESS-ID3)를 설정해 두어 컴퓨터를 통해 엑세스하는 AP 를 고정시키는 방법이다. 단, 각 컴퓨터에 ESS-ID 를 설정하는 수고를 해야 하며 컴퓨터를 사내에서 옮겨 사용하는 경우에 설정을 바꾸지 않으면 안되는 결점이 있다. 이러한 불편을 덜고, 각 단말·AP 의 Throughput 향상에 도움을 주고 있는 것이 접속 단말의 할당을 자동적으로 바꾸는 자동부하분산기능이다.
복수 AP 가 서로 제휴하여 단말대수나 신호강도, 비트오류률 등을 감안하여 각 단말의 접속 AP 를 작동 중에 교체하는 것으로 각 AP 트래픽 부하를 평준화 한다.
2.보안
IEEE802.11 에 준거한 무선 LAN 제품은 기본적인 보안 기능을 3 가지 갖추고 있다.
①AP 에 설정한 ID(ESS-ID)에 의한 무선단말 엑세스 제한,
②MAC 어드레스에 근거한 무선단말 인증,
③MAC 프레임을 암호화하는 WEP 이다.
이 기능 모두 대부분 IEEE802.11 무선 LAN 제품의 표준장비이다. 추가 비용이 들더라도 ①∼③의 기능을 이용한다면 최저한의 보안은 확보된다고 할 수 있다. 그러나, 이 표준 보안기능에는 다양한 약점이 있다. 우선 ①의 ESS-ID 는 ‘인증 키로서는 대부분 효과가 없는 실정’이다. IEEE802.11 방식의 사양 상 무선단말측에서 ESS-ID 를 ‘ANY’ 또는 공백에서 지정하면, AP 가 ESS-ID 를 반답(返答)해버리기 때문이다.
또한, AP 는 ESS-ID 를 정기적으로 모든 단말에 전송한다. ②의 MAC 어드레스 필터링은 WEP 에서 암호화하더라도 MAC 어드레스가 암호화되지 않으므로 간단히 도청된다.
도난당한 MAC 어드레스를 위조하여 AP 에서 접속을 허가받은 단말로 위장할 수도 있다.
③의 WEP 에 대해서는 모든 무선단말에 같은 비밀 키를 수동으로 설정하지 않으면 안된다. 따라서 키가 누설될 위험성이 높다. 따라서 기업용 무선 LAN 제품 제조업자는 보안 기능을 강화하기 시작하였으며 본격적인 사용자 인증을 실시하는 IEEE802.1x 에 대응한 AP 나 인증서버가 등장하고 있다.
이 제품에 공통적으로 사용되는 ESS-ID 나 MAC 어드레스 대신에 RADIUS 서버 4)를 사용하여 사용자를 인증하는 것이다. 또한, 암호키를 자동적으로 교환하는 구조를 갖추어 키의 자동갱신이나 사용자마다 별도의 키를 사용할 수 있게 하며 이는 IEEE802.11 의 약점을 보완한 것이다.
단, 현재로는 IEEE802.1x 등을 사용한 무선 LAN 시스템을 본격 운용하고 있는 사용자가 적다. 이는 단말이나 AP 가 너무 비싸거나 RADIUS 서버 도입 비용이 들기 때문이다. 도입 형태는 3 가지로 나눌 수 있다.
①IEEE802.1x 에 대응한 컴퓨터 OS 의 표준 드라이버를 사용하는 것,
②시판 인증용 클라이언트/서버·소프트를 도입하는 것,
③무선 LAN 제조업자의 단독 사양을 이용하는 것이다.
이 중 ①은 무선 LAN 카드를 선택하지 않고 사용할 수 있으나 IEEE802.1x 대응 OS 는 현재로는 Windows XP 밖에 없다.
컴퓨터 OS 를 Windows XP 로 통일하기 위해서는 비용이 발생하게 된다.
이와 반면, ②의 대표적인 사례인 미국 펑크소프트웨어의 ‘Odyssey’의 경우, 컴퓨터 OS 의 선택폭이 넓어지며 소프트 사용요금으로는 컴퓨터 1 대당 50 달러 정도이다.
③은 제조회사 단독 인증·암호화방식을 사용하므로 전용 무선 LAN 카드와 AP 로 통일할
필요가 있다. IEEE802.1x 대응 인증·암호화시스템을 도입하기 위해서는 비용면에서 아직 부담이 많다. 이미 무선 LAN 을 도입 완료한 기업에서는 ‘법용 제품으로 사용할 수 있는 업계 표준이 정착되기 까지 상황을 관찰하겠다는 곳이 많다. 따라서 현시점에서는 IEEE802.11 의 인증·암호화 기능과 함께 운용 수준에서의 보안을 높이는 방법을 선택한 기업이 많다. 이 방법 중 하나가 ESS-ID 의 누설을 막는 기능을 갖춘 AP 제품을 선정, 간이 인증으로 사용하는 것과 어플리케이션 수준에서의 데이터를 암호화 하는 것이다.
무선 LAN 은 호스트 컴퓨터에 의한 수발주 업무에도 사용하고 있다. 이와 같이 비용을 낮추면서 보안을 높이는 방법으로는 IP 레벨에서 모든 데이터를 암호화하는 IPsec5) 이용도 유효하다. LAN 상에서 VPN 게이트웨이를 설정, VPN 클라이언트인 무선 LAN 단말과의 사이에 암호화한 데이터만을 송신한다. 필요한 장치로는 본사 등에 설치한 VPN 게이트웨이만 있으면 된다. IPsec 클라이언트 소프트를 단말로 실장한다면 AP 나 무선카드는 저렴한 제품으로 이용할 수 있다. 또한, 회사 이외의 곳에서의 엑세스의 경우, 단말 설정을 바꾸지 않아도 된다는 이점이 있다. 단, 어플리케이션 레벨에서의 암호화는 VPN 도청을 막기는 하지만 AP 에의 동일 LAN 세그멘트에 무방비 서버를 두면 위험하다. 또한, 소규모 거점에서 무선 LAN 루터를 사용하여 문제가 발생한 경우도 있다.
3. 관리·운용
무선 LAN 에서는 다양한 요인으로 인한 통신장애나 Throughput 저하가 발생한다.
또한 보안 설정이나 관리면에서도 유선의 네트워크와 비교하여 많은 신경을 써야 한다. 장애에 등을 미연에 방지하기 위해서는 AP 를 관리·감시가 꼭 필요하다. 단, AP 는 제품에 따라 관리·감시기능에 큰 차이가 있다. 저렴하다고 하여 관리 기능이 빈약한 제품을 채용한다면 나중에 더 많은 시간을 필요로 하게 될 것이다. 제품 선택 시에는 관리기능을 면밀하게 조사해야 한다. 또한, 무선 LAN 기기제조업자는 ‘관리자가 본사·지점의 AP 상태를 일원적으로 파악 가능할 것’과 같은 사용자의 욕구에 응답하기 위해 SNMP6)에의 대응이나 무선구간 감시가 가능한 통합관리툴 제공을 서두르고 있다.
무선 LAN 제품은 유선 LAN 과 같은 수준의 운용·관리기능을 갖추어가고 있다. 단, 네트워크 구축에 있어서 아직 유선 LAN 에는 미치지 못하는 부분도 남아 있으며 구체적으로 살펴보면 무선단말 단위에서 본격적인 가상 LAN7)(VLAN)을 구성 가능한 제품이 거의 없다. 무선 LAN 의 AP 가 VLAN 기능을 갖추게 되면 손님용으로 무선 LAN 엑세스를 통한 인터넷 접속을 제공하고 또한 인트라넷에의 엑세스는 금지하는 것이 가능해 진다.
무선 LAN 의 도입효과를 더욱 높이기 위해 잊어서는 안되는 것이 AP 통합관리와 함께 IP 수준도 무선 LAN 을 고려하여 구축·운용하는 것이다.
유선 LAN 과는 달리 단말이 이동하는 무선 LAN 의 네트워크에서는 IP 어드레스관리등 백엔드운용도 바뀌게 된다. 이외에도 무선 LAN 단말의 기능을 파악하여 엔드유저의 사용을 어떻게 향상시킬지도 무선 LAN 네트워크 운용에는 빠뜨릴 수 없는 포인트이다. 예를 들어, 단말의 무선 LAN 기능에 따라서는 이용 가능한 무선 채널의 종류가 제한된다는 점에 주의해야 할 필요가 있다. 또한, 엔드유저가 무선 LAN 을 사용하기 쉽게 하기 위한 구조도 실제 운용에는 매우 중요하다.
사내에서뿐만 아니라 자택 등에서 무선 LAN 을 사용하여 리모트 엑세스하는 경우에는 컴퓨터 설정을 하나하나 변경해야 하는 번거로움이 있다. Windows XP 의 경우, ESS-ID 나 WEP 의 비밀 키 등은 AP 마다 별도로 설정해 두는데 Web 브라우져인 프로키시서버나 DNS 까지는 취급하지 않는다. 이러한 불편함을 없애기 위해서는 엔드유저가 사용하는 컴퓨터에 ‘프로파일 교환 소프트’를 실장하고 있는 제품을 선택해야 한다. 주로 무선 LAN 내장형 컴퓨터가 이를 표준으로 갖추고 있다. 이러한 소프트는 다시 한번 무선 LAN 과 Web 브라우져 등의 어플리케이션과의 설정 내용을 조합하여 복수의 프로파일을 준비한다. 엔드유저는 접속 장소에 따라 임의의 프로파일을 선택하여 교체할 수 있다.
LAN 케이블 배선 공사가 필요하지 않다는 이점으로 사용자의 지지를 얻어 가정이나 SOHO(small office, home office)에서 도입이 활발하다. 그러나 기업에서 대규모로 사용하려는 경우에는 도입시 여러 가지 장애물이 있으며 제품구입, AP 배치나 네트워크설계, 운용 각 부분에서 가정이나 SOHO 에서 도입할 경우와는 달리 존재하지 않았던 많은 장애물이 나타나고 있다.
그 장애물은 크게 3 가지로 분류할 수 있는데
첫째, 무선단말과 AP 간의 통신속도를 확보하기 위해 무선의 특징을 바탕으로 한 네트워크 설계와 운용 노하우가 필요하다는 것이다.
둘째, 사내에서 사용하고 있는 무선 LAN 의 전파가 혼선되어 방수(傍受)되거나 부정한 사용자가 무선네트워크에 엑세스하는 위험에 노출되는 것이다. IEEE802.11b 무선 LAN 제품이 갖춘 기본적인 보안기능만으로는 유선 LAN 과 동등한 보안을 유지하지 못한다.
셋째, 무선 LAN 기기의 관리기능이 유선 기기만큼 풍부하지 못하다는 것이다. 관리기능을 고려하지 않고 제품을 선택하면 결과적으로 큰 부담을 갖게 되는 것이다. 예를 들어 복수 AP 설정 내용을 한번 수정하는 기능은 아직 일부 고가 기업용 AP 에만 갖추어져 있다.
무선 LAN 은 현재, 운용영역이나 제품 선택의 폭, 운용노하우의 전환기를 맞이하고 있다. 도입·운용 시의 허점을 보완하고 무선 LAN 을 활용하기 위한 요점으로 Throughput, 보안, 운용관리의 노하우를 살펴본다.
1. Throughput
무선 LAN 구축에는 다양한 노하우가 있으나 그 중 가장 중심이 되는 것이 Throughput 을 확보하는 방법이다. 전파의 상황에 따라 속도가 크게 변화하기 때문에 유선 LAN 과는 전혀 다른 노하우가 필요하다.
구체적으로 보면
①AP 의 설치장소를 고안하여 전파간섭을 피함,
②효율적인 채널을 설계함,
③AP 를 범장화한 트래픽 집중을 억제하는 것 등이다.
2002 년에 등장한 최대 54M 비트/초의 5 ㎓대 무선 LAN 규격인 IEEE-802.11a 대응제품을 사용하는 경우에도 기본은 바뀌지 않는다. 단, 종래의 IEEE802.11b 가 사용하는 2.4 ㎓대의 전파특성과 5 ㎓대의 전파특성의 차이는 매우 커, IEEE802.11a 를 사용하여 Throughput 을 확보한 네트워크를 구축하는 것은 더욱 어렵게 된다.
무선 LAN 구축은 우선 AP 설치장소를 정하는 것부터 시작된다.
복수의 AP 를 설치하는 경우, 너무 가까우면 간섭의 영향이 커지며, 멀면 이용할 수 없는 장소가 생기게 된다. 실제로 전파를 측정해 보면 계산대로 나오지 않는 경우가 대부분이며 운용하고 있는 동안에 사원이 무단으로 AP 를 설치하는 경우로 인해 새로운 전파 간섭이 발생하는 경우도 많다.
따라서 설치장소 결정에는 전파환경 등의 측정툴이 꼭 필요하다. 단순히 전파 측정뿐만 아니라 저렴한 가격의 무선 LAN 제품 부속툴에도 맞는지 본격적인 툴을 사용하여 정보를 정기적으로 수집해 두면 Throughput 저하의 원인을 신속하게 해결할 수 있을 것이다.
AP 를 선택할 경우에는 설치장소의 자유도가 높은 제품을 선택해야 무선 LAN 설계가 편하다.
우선 Ethernet 으로부터의 직접적 전원공급이 가능해야 하며 이는 벽 등에 AP 를 설치할 경우, 설치·이동시에 비용이 많이 발생하기 때문이다. 현재 Ethernet 전원공급 대응 AP 는 모두 접속장소가 동일 제조업자의 LAN 스위치나 전용 전원공급 장치가 아니면 전원 공급이 불가능하다. 외부 안테나에 접속 가능한 제품도 편리할 것이다.
2002 년이 되어 5 ㎓대의 IEEE802.11a 대응 제품 발매가 계속되면서 기업이 제품 선택에 고심을 하는 경우가 증가하고 있다. IEEE802.11a 는 사양상 1 채널당 실효 통신속도가 18M∼200M 비트/초로 11b 제품의 4∼5 배 정도에 달한다. 11b 와 공용 가능한 듀얼 타입의 AP 도 있다. 이미 11b 를 사용하고 있더라도 11a 를 병용하면 전체의 throughput 를 상승시키기 때문에 향후 유력한 선택 사항이 되지만, 11a 를 사용하는 경우에는 AP 설치 장소 선정 등에서 종래의 11b 대응제품에는 없는 노하우가 필요하게 된다. 5 ㎓대의 전파는 2.4 ㎓대 전파보다 도달 거리가 짧다.
높은 주파수일수록 직진성이 강해져 장애물에 의한 신호 감퇴도 심해진다. 11a 의 최대 실효속도는 18M∼20M 비트/초이지만 이것이 가능한 것은 AP 로부터 7 미터 전후이다. 그 이상이 되면 최대 통신속도를 억제하여 전파 도달 거리를 연장한 통신모드로 교체되기 때문에 속도가 떨어지게 된다.
따라서, 11a 의 속도는 풀로 출력하면 11b 와 비교하여 대부분은 AP 나 무선 카드 자체의 가격이 11b 보다 비싸므로 도입 비용은 11b 보다 많이 든다. 5 ㎓대의 전파는 방향에도 민감하며 듀얼형 제품의 경우, AP 설치장소 설계가 보다 복잡하다.
전파 도달거리가 다른 시스템을 같은 장소에 설치하게 되기 때문이다.
AP 의 설치장소가 결정된 후에는 근접 AP 간에 전파간섭이 일어나지 않도록 무선 LAN 의 ‘멀티채널 기능’을 활용해야 한다. 멀티채널 기능이란, 각 AP 에서 다른 통신채널을 나누어 사용 서로 간섭하지 않고 동시에 통신하는 기능을 말한다.
현재, 일본에서는 주파수 할당 상 802.11b 의 무선 LAN 에는 1∼14 채널을 사용하고 있다. 이 중 서로 간섭하지 않는 무선채널은 최대 4 채널까지 확보가 가능하며 설치하는 AP 가 4 대정도라면 이용채널 설정에서 전파간섭 문제를 회피할 수 있다. 전파가 간섭받지 않도록 하기 위해서는 1, 6, 11, 14 등 어느 정도 주파수대가 떨어진 채널을 선택해야 한다. 근접 채널은 주파수가 겹치므로 간섭을 회피할 수 없다.
IEEE802.11b 의 경우, 실효속도는 하나의 무선채널 당 최대 4M∼5M 비트/초이다.
이 대역을 AP 로 연결하는 모든 컴퓨터가 공유하므로 컴퓨터수가 증가하면 1 대당 Throughput 은 당연히 떨어지게 된다. 따라서 1 대의 AP 에 엑세스하는 단말대수는 대부분 10BASE-T 의 허브로 수용하는 단말수와 같은 정도로 설계하며 AP 1 대당 컴퓨터 10∼30 대로 하는 것이 일반적이다. 컴퓨터수가 증가하여 Throughput 이 떨어진다면 AP 수를 증가시켜 처리한다.
이때, 복수 AP 에서 부하가 균등하도록 처리해야 한다. 가장 간편한 방법은 AP 마다 각각의 ESS-ID3)를 설정해 두어 컴퓨터를 통해 엑세스하는 AP 를 고정시키는 방법이다. 단, 각 컴퓨터에 ESS-ID 를 설정하는 수고를 해야 하며 컴퓨터를 사내에서 옮겨 사용하는 경우에 설정을 바꾸지 않으면 안되는 결점이 있다. 이러한 불편을 덜고, 각 단말·AP 의 Throughput 향상에 도움을 주고 있는 것이 접속 단말의 할당을 자동적으로 바꾸는 자동부하분산기능이다.
복수 AP 가 서로 제휴하여 단말대수나 신호강도, 비트오류률 등을 감안하여 각 단말의 접속 AP 를 작동 중에 교체하는 것으로 각 AP 트래픽 부하를 평준화 한다.
2.보안
IEEE802.11 에 준거한 무선 LAN 제품은 기본적인 보안 기능을 3 가지 갖추고 있다.
①AP 에 설정한 ID(ESS-ID)에 의한 무선단말 엑세스 제한,
②MAC 어드레스에 근거한 무선단말 인증,
③MAC 프레임을 암호화하는 WEP 이다.
이 기능 모두 대부분 IEEE802.11 무선 LAN 제품의 표준장비이다. 추가 비용이 들더라도 ①∼③의 기능을 이용한다면 최저한의 보안은 확보된다고 할 수 있다. 그러나, 이 표준 보안기능에는 다양한 약점이 있다. 우선 ①의 ESS-ID 는 ‘인증 키로서는 대부분 효과가 없는 실정’이다. IEEE802.11 방식의 사양 상 무선단말측에서 ESS-ID 를 ‘ANY’ 또는 공백에서 지정하면, AP 가 ESS-ID 를 반답(返答)해버리기 때문이다.
또한, AP 는 ESS-ID 를 정기적으로 모든 단말에 전송한다. ②의 MAC 어드레스 필터링은 WEP 에서 암호화하더라도 MAC 어드레스가 암호화되지 않으므로 간단히 도청된다.
도난당한 MAC 어드레스를 위조하여 AP 에서 접속을 허가받은 단말로 위장할 수도 있다.
③의 WEP 에 대해서는 모든 무선단말에 같은 비밀 키를 수동으로 설정하지 않으면 안된다. 따라서 키가 누설될 위험성이 높다. 따라서 기업용 무선 LAN 제품 제조업자는 보안 기능을 강화하기 시작하였으며 본격적인 사용자 인증을 실시하는 IEEE802.1x 에 대응한 AP 나 인증서버가 등장하고 있다.
이 제품에 공통적으로 사용되는 ESS-ID 나 MAC 어드레스 대신에 RADIUS 서버 4)를 사용하여 사용자를 인증하는 것이다. 또한, 암호키를 자동적으로 교환하는 구조를 갖추어 키의 자동갱신이나 사용자마다 별도의 키를 사용할 수 있게 하며 이는 IEEE802.11 의 약점을 보완한 것이다.
단, 현재로는 IEEE802.1x 등을 사용한 무선 LAN 시스템을 본격 운용하고 있는 사용자가 적다. 이는 단말이나 AP 가 너무 비싸거나 RADIUS 서버 도입 비용이 들기 때문이다. 도입 형태는 3 가지로 나눌 수 있다.
①IEEE802.1x 에 대응한 컴퓨터 OS 의 표준 드라이버를 사용하는 것,
②시판 인증용 클라이언트/서버·소프트를 도입하는 것,
③무선 LAN 제조업자의 단독 사양을 이용하는 것이다.
이 중 ①은 무선 LAN 카드를 선택하지 않고 사용할 수 있으나 IEEE802.1x 대응 OS 는 현재로는 Windows XP 밖에 없다.
컴퓨터 OS 를 Windows XP 로 통일하기 위해서는 비용이 발생하게 된다.
이와 반면, ②의 대표적인 사례인 미국 펑크소프트웨어의 ‘Odyssey’의 경우, 컴퓨터 OS 의 선택폭이 넓어지며 소프트 사용요금으로는 컴퓨터 1 대당 50 달러 정도이다.
③은 제조회사 단독 인증·암호화방식을 사용하므로 전용 무선 LAN 카드와 AP 로 통일할
필요가 있다. IEEE802.1x 대응 인증·암호화시스템을 도입하기 위해서는 비용면에서 아직 부담이 많다. 이미 무선 LAN 을 도입 완료한 기업에서는 ‘법용 제품으로 사용할 수 있는 업계 표준이 정착되기 까지 상황을 관찰하겠다는 곳이 많다. 따라서 현시점에서는 IEEE802.11 의 인증·암호화 기능과 함께 운용 수준에서의 보안을 높이는 방법을 선택한 기업이 많다. 이 방법 중 하나가 ESS-ID 의 누설을 막는 기능을 갖춘 AP 제품을 선정, 간이 인증으로 사용하는 것과 어플리케이션 수준에서의 데이터를 암호화 하는 것이다.
무선 LAN 은 호스트 컴퓨터에 의한 수발주 업무에도 사용하고 있다. 이와 같이 비용을 낮추면서 보안을 높이는 방법으로는 IP 레벨에서 모든 데이터를 암호화하는 IPsec5) 이용도 유효하다. LAN 상에서 VPN 게이트웨이를 설정, VPN 클라이언트인 무선 LAN 단말과의 사이에 암호화한 데이터만을 송신한다. 필요한 장치로는 본사 등에 설치한 VPN 게이트웨이만 있으면 된다. IPsec 클라이언트 소프트를 단말로 실장한다면 AP 나 무선카드는 저렴한 제품으로 이용할 수 있다. 또한, 회사 이외의 곳에서의 엑세스의 경우, 단말 설정을 바꾸지 않아도 된다는 이점이 있다. 단, 어플리케이션 레벨에서의 암호화는 VPN 도청을 막기는 하지만 AP 에의 동일 LAN 세그멘트에 무방비 서버를 두면 위험하다. 또한, 소규모 거점에서 무선 LAN 루터를 사용하여 문제가 발생한 경우도 있다.
3. 관리·운용
무선 LAN 에서는 다양한 요인으로 인한 통신장애나 Throughput 저하가 발생한다.
또한 보안 설정이나 관리면에서도 유선의 네트워크와 비교하여 많은 신경을 써야 한다. 장애에 등을 미연에 방지하기 위해서는 AP 를 관리·감시가 꼭 필요하다. 단, AP 는 제품에 따라 관리·감시기능에 큰 차이가 있다. 저렴하다고 하여 관리 기능이 빈약한 제품을 채용한다면 나중에 더 많은 시간을 필요로 하게 될 것이다. 제품 선택 시에는 관리기능을 면밀하게 조사해야 한다. 또한, 무선 LAN 기기제조업자는 ‘관리자가 본사·지점의 AP 상태를 일원적으로 파악 가능할 것’과 같은 사용자의 욕구에 응답하기 위해 SNMP6)에의 대응이나 무선구간 감시가 가능한 통합관리툴 제공을 서두르고 있다.
무선 LAN 제품은 유선 LAN 과 같은 수준의 운용·관리기능을 갖추어가고 있다. 단, 네트워크 구축에 있어서 아직 유선 LAN 에는 미치지 못하는 부분도 남아 있으며 구체적으로 살펴보면 무선단말 단위에서 본격적인 가상 LAN7)(VLAN)을 구성 가능한 제품이 거의 없다. 무선 LAN 의 AP 가 VLAN 기능을 갖추게 되면 손님용으로 무선 LAN 엑세스를 통한 인터넷 접속을 제공하고 또한 인트라넷에의 엑세스는 금지하는 것이 가능해 진다.
무선 LAN 의 도입효과를 더욱 높이기 위해 잊어서는 안되는 것이 AP 통합관리와 함께 IP 수준도 무선 LAN 을 고려하여 구축·운용하는 것이다.
유선 LAN 과는 달리 단말이 이동하는 무선 LAN 의 네트워크에서는 IP 어드레스관리등 백엔드운용도 바뀌게 된다. 이외에도 무선 LAN 단말의 기능을 파악하여 엔드유저의 사용을 어떻게 향상시킬지도 무선 LAN 네트워크 운용에는 빠뜨릴 수 없는 포인트이다. 예를 들어, 단말의 무선 LAN 기능에 따라서는 이용 가능한 무선 채널의 종류가 제한된다는 점에 주의해야 할 필요가 있다. 또한, 엔드유저가 무선 LAN 을 사용하기 쉽게 하기 위한 구조도 실제 운용에는 매우 중요하다.
사내에서뿐만 아니라 자택 등에서 무선 LAN 을 사용하여 리모트 엑세스하는 경우에는 컴퓨터 설정을 하나하나 변경해야 하는 번거로움이 있다. Windows XP 의 경우, ESS-ID 나 WEP 의 비밀 키 등은 AP 마다 별도로 설정해 두는데 Web 브라우져인 프로키시서버나 DNS 까지는 취급하지 않는다. 이러한 불편함을 없애기 위해서는 엔드유저가 사용하는 컴퓨터에 ‘프로파일 교환 소프트’를 실장하고 있는 제품을 선택해야 한다. 주로 무선 LAN 내장형 컴퓨터가 이를 표준으로 갖추고 있다. 이러한 소프트는 다시 한번 무선 LAN 과 Web 브라우져 등의 어플리케이션과의 설정 내용을 조합하여 복수의 프로파일을 준비한다. 엔드유저는 접속 장소에 따라 임의의 프로파일을 선택하여 교체할 수 있다.
반응형
'하드웨어' 카테고리의 다른 글
| - 컴퓨터 S-VHS TV-OUT(영상+음성) 연결 설정방법 1 (0) | 2007.07.06 |
|---|---|
| - 컴퓨터 S-VHS TV-OUT(영상+음성) 연결 설정방법 2 (0) | 2007.07.06 |
| 초보를 위한 컴퓨터 그래픽 카드 구매 가이드 (0) | 2007.07.05 |
| 약 3천 원이면 (흑색)잉크 리필 가능. 1만 원(X). (1) | 2007.06.29 |
| PC 마우스 작동이 잘 안될 때 이렇게 하면 잘 된다. (0) | 2007.06.28 |
| 1대의 프린터로 여러대의 컴퓨터가 사용하는 방법 (0) | 2007.06.27 |
| 네트워크로 연결된 여러대의 pc에 한꺼번에 고스트 풀기 (0) | 2007.06.27 |
| 컴퓨터야~ 조용하고 깨끗해져라! (0) | 2007.06.20 |
| 컴퓨터 고르기10 계명 (0) | 2007.06.20 |
| 제조사별 CPU의 특징 (0) | 2007.06.20 |