전통적 네트워크 설계의 관행

전통적 네트워크 설계의 관행이란, 가상화·클라우드·컨테이너가 보편화되기 이전에 물리 서버와 물리 네트워크 장비 중심으로 기업 데이터센터를 설계·운영하던 방식을 주로 가리킵니다. 이 시절의 설계 패턴은 계층적 네트워크 구조, VLAN을 통한 물리적·논리적 구분, 하드웨어 중심의 보안·로드밸런싱 등을 특징으로 합니다. 아래에서 좀 더 구체적으로 살펴보겠습니다.

---

1. 계층형(Hierarchical) 네트워크 아키텍처

과거(그리고 지금도 여전히 많이 쓰이는) 데이터센터 네트워크는 3계층 구조로 나누는 것이 전통적인 설계 관행이었습니다.

1. Access Layer (접속 계층)
   • 실제 서버(물리·가상), PC, 프린터 등 최종 단말들이 스위치 포트에 직접 접속하는 계층.
   • 일반적으로 **랙 스위치(Top of Rack Switch)**가 이 레이어를 담당합니다.
2. Distribution Layer (집중 계층)
   • Access Layer 스위치들을 묶어 상위로 올려 보내고, 라우팅(ACL, QoS, Policy) 등을 처리하는 중간 계층.
   • 중소 규모에서는 이 Distribution Layer가 Core Layer와 통합되어 2계층 구조가 되기도 합니다.
3. Core Layer (백본/코어 계층)
   • 네트워크의 백본(Backbone) 역할. 가장 빠르고 안정적인 링크·고성능 스위치를 배치해, Distribution Layer 간 트래픽을 고속으로 전송합니다.
   • 기업 전체(혹은 데이터센터 전체) 트래픽이 몰리는 구간이므로, 고가의 엔터프라이즈 스위치와 링크(10G~100G)를 사용합니다.

이 구조에서, 보통은 서버는 Access Layer(랙 스위치)에 연결되고, 트래픽이 Distribution → Core → Distribution → 다른 Access Layer 순으로 이동합니다.

- 참고: 최근 대규모 데이터센터(특히 클라우드)에서는 Spine-Leaf 구조가 더 보편화되고 있지만, 전통적 기업 데이터센터에서는 여전히 3계층 구조가 많이 남아 있습니다.

---

2. VLAN을 통한 네트워크 세분화

1. 기능별·조직별로 VLAN 구분
   • 예: “DMZ VLAN”, “웹 서버 VLAN”, “DB 서버 VLAN”, “내부 사용자 VLAN” 등.
   • 각 VLAN은 보통 독립된 IP 서브넷을 사용하고, 라우팅은 상위 레이어(Distribution Layer)에서 처리합니다.
2. 물리적·논리적 보안 영역 분리
   • VLAN 간 트래픽은 방화벽 또는 ACL을 통과하면서 제한할 수 있으므로, 보안 정책을 세분화하기가 쉽습니다.
   • 서버 간 동일 VLAN에서는 자유롭게 통신되지만, 다른 VLAN 간에는 포트·프로토콜을 제한하는 식입니다.
3. 전통적 베스트 프랙티스
   • “동일 업무나 비슷한 보안 레벨”을 지닌 서버들은 동일 VLAN에 묶고, 이질적인 영역(예: 개발/운영, 웹/DB, 내부망/외부망 등)은 분리하여 보안과 트래픽 관리를 단순화합니다.
   • 규모가 커지면 VLAN이 과도하게 늘어날 수 있으나, 그래도 이 방식이 과거에는 관리·모니터링 면에서 직관적이라는 이유로 선호되었습니다.

---

3. 물리 서버 중심, 하드웨어 장비 위주의 설계

1. 서버 = 물리 호스트
   • 과거에는 가상화(VM)도 제한적이었고, 한 서버에 한 OS만 깔려 있는 상황이 많았습니다.
   • 따라서 “서버 1대 = 네트워크 포트 1개(or 2개)”가 기본 가정이었고, 네트워크 설계도 물리적 포트·케이블 중심으로 이뤄졌습니다.
2. 하드웨어 로드밸런서, 방화벽, IDS/IPS
   • 고성능이 필요한 로드밸런싱(예: F5 BIG-IP, Citrix NetScaler 등)이나 방화벽/IPS 같은 보안 장비를 물리 어플라이언스 형태로 구매·배치해, 스위치 포트에 직접 연결.
   • 트래픽은 반드시 이 장비를 거쳐가도록 “인라인(In-line)” 구성을 하여, L4/L7 레벨에서 로드밸런싱하거나, 공격 트래픽을 차단했습니다.
3. 고정 IP·정적 라우트
   • “자동화”가 지금처럼 발전하지 않았던 시절, IP 할당과 라우트 설정은 상당 부분 수작업으로 진행되었습니다.
   • 소수의 관리자만 네트워크 장비 CLI(명령줄)로 접속해 설정을 바꾸는 것이 보편적 운영 방식이었습니다.

---

4. 보안 측면: Zone 기반 설계

1. DMZ, 내부망, 외부망(인터넷) 구분
   • DMZ(비무장 지대)에 웹 서버, FTP 서버 등 외부 공개 서비스를 두고, 내부망은 DB나 업무 시스템 등 민감 자산을 두어 외부에서 직접 접속하지 못하게 하는 구조.
   • DMZ ↔ 내부망, DMZ ↔ 외부망 간 트래픽은 각각 방화벽을 거치도록 해 이중·삼중 방어를 구현.
2. 온프레미스 중심 보안
   • “사무실/데이터센터 내부는 신뢰할 만한 ‘내부망’, 외부(인터넷)는 불신 영역”이라는 전제에서, 경계(Perimeter) 방어에 집중했습니다.
   • VLAN과 방화벽을 활용해, 내부 중요 시스템으로 들어오는 트래픽을 최대한 통제.
3. 정적인 정책과 ACL
   • IP·포트·프로토콜 별로 세세한 방화벽 규칙을 정의하고, 이것이 고정된 서버 구성에서 오랫동안 변동 없이 유지되는 경우가 많았습니다.
   • 지금처럼 서버가 “수시로 늘었다 줄었다” 하지 않았으므로, 정적인 관리가 가능했죠.

---

5. 트래픽 흐름(North-South vs East-West)

• North-South 트래픽:
  • 데이터센터 안-밖(즉, 내부망 ↔ 외부 인터넷)으로 오가는 트래픽.
  • 전통적 설계는 주로 North-South 트래픽 제어에 집중(방화벽, DMZ, 로드밸런서)하였습니다.
• East-West 트래픽:
  • 데이터센터 내부 서버-서버 간 통신. 같은 VLAN 내에서 자유롭게 통신되거나, 상위 레이어에서 라우팅되는 경우가 많았음.
  • 과거에는 이 부분이 크게 부각되지 않았으나, 마이크로서비스 등으로 내부 서버 간 통신이 폭발적으로 증가하면서, East-West 트래픽 제어(마이크로세그멘테이션 등)가 새롭게 강조되고 있습니다.

---

6. 운영 관행과 절차

1. 장비 중심의 변경 절차(Change Management)
   • 스위치·라우터·방화벽·로드밸런서 같은 각각의 물리 장비에 접속해 CLI/GUI로 설정 변경.
   • 변경 전후에 “네트워크 변경 요청서”, “승인 절차”, “야간 작업” 등을 거치는 전통적 운영이 주류였습니다.
2. 문서화와 트러블슈팅
   • VLAN, IP, 포트, 방화벽 규칙 등 모든 정보를 스프레드시트나 Visio 다이어그램에 기록해두고 참고.
   • 장애 시, 네트워크 담당자가 일일이 Ping/Traceroute 등을 통해 경로를 추적하며, 스위치 포트 상태, 방화벽 로그 등을 확인.
3. 오랫동안 ‘안정적’ 유지
   • 대규모 데이터센터에서는 한 번 정해진 네트워크 토폴로지가 수년간 거의 변하지 않고 운용되는 경우가 많았습니다.
   • 빈번한 변경이 없으므로, 인프라가 “안정적으로” 보이지만, 새로운 요구사항에 대응하거나 확장할 때는 대규모 재설계가 필요하기도 했습니다.

---

7. 현대 환경과의 비교

• 가상화·클라우드 시대
  • 서버(가상 머신), 컨테이너, Pod 등이 동적으로 생성·삭제되면서 IP·호스트 수가 크게 변동하므로, 전통적인 정적 VLAN/ACL만으로는 관리가 어려워졌습니다.
• 소프트웨어 정의 네트워킹(SDN)
  • OpenFlow, VXLAN, BGP EVPN 등 기술과 “Controller” 기반으로 네트워크를 프로그래밍 방식으로 제어하는 흐름이 강해지고 있습니다.
• 마이크로서비스, Zero-Trust
  • 내부망도 완전히 신뢰하지 않고, 각 애플리케이션 간에도 세밀한 접근 통제가 필요한 시대가 되면서, **전통적 설계(Perimeter 보안)**로는 한계를 느끼는 조직이 많아졌습니다.

---

8. 결론

정리하자면, 전통적 네트워크 설계의 관행은:

1. 계층형(3계층) 아키텍처로 스위치를 구분하고,
2. VLAN을 통해 서버·업무·보안영역을 물리적으로·논리적으로 분리,
3. 하드웨어 중심의 방화벽, 로드밸런서를 핵심 경로에 인라인 배치,
4. 정적 IP·라우팅·ACL을 기반으로 온프레미스 데이터센터를 안정적으로 운영,
5. “내부망은 신뢰, 외부망은 불신”이라는 Perimeter 보안 개념에 입각해 DMZ/내부망을 확실히 구분,

…하는 방식이었습니다.

이는 여전히 많은 기업의 데이터센터에서 기본 골격으로 남아 있으며, 장점도 있습니다(안정성과 명료한 관할, 비교적 쉬운 트러블슈팅 등). 하지만 클라우드·컨테이너 시대에는 동적 환경과 자동화가 필수이므로, SDN, Overlay 네트워크, 마이크로세그멘테이션 같은 새로운 설계·운영 기법으로 점차 전환하는 추세입니다. 결국 전통적 관행은 현재도 기저에서 활용되고 있으며, 점차 현대적인 네트워크 관리 툴과 결합해 하이브리드 형태로 발전해가는 중이라 할 수 있습니다.