[UniFi] VLAN Network 분리 방법 (IoT, Guest)

Last Updated
2024/02/05
Tag
Tech
Network
UniFi
보안을 위해 네트워크를 VLAN으로 아래와 같이 분리하고, Traffic Rules 설정, 장치별 VLAN 할당 방법을 소개한다.
Default Network - 기본 Local 네트워크
Guest Network - 손님용, 인터넷 통신만 허용
IoT Network - IoT 기기용, 인터넷 및 Default → IoT Network 통신만 허용

1. VLAN Network 생성

VLAN 목적에 맞는 네트워크를 여러 개 생성해야 한다.
아래는 현재 내가 사용중인 설정 값이고, 홈/사내 네트워크 상황에 맞게 Custom 설정하면 된다.

UniFi 네트워크 콘솔

1.
Settings > Networks
2.
New Virtual Network

Guest Network 생성

Network Name : Guest
Gateway IP/Subnet : Auto-Scale Network 해제하고 Host Address에 10.0.90.1 입력
고급 구성을 수동(Manual)로 변경
VLAN ID : 90
Isolation : 활성화

IoT Network 생성

Network Name : IoT
Gateway IP/Subnet : Auto-Scale Network 해제하고 Host Address에 10.0.10.1 입력
고급 구성을 Manual로 변경
VLAN ID : 10
Multicast DNS(mDNS) : 활성화

2. Traffic Rules 설정

VLAN Network 간의 트래픽은 기본적으로 허용되어 있으므로, 이를 차단해주어야한다.
Traffic Rules / Firewall Rules 두가지 방법이 있으나, Traffic Rules 사용을 Ubiquiti에서 권장하고 있기도 하고 더 간편하므로 해당 방법을 사용한다.
Guest 네트워크는 Isolation 옵션을 활성화하였으므로 별도의 Rule을 생성하지 않는다.

Traffic Rules

Security > Traffic Rules

모든 VLAN 간 트래픽 차단

Action : Block
Category : Local Network
Local Network : All Local Networks
Traffic Direction : Traffic from all local networks
Device/Network : All Devices
Schedule: Always
Description: Block ALL to ANY

기본 네트워크 → IoT 네트워크 트래픽 허용

기본 네트워크에서 IoT 기기에 접근할 수 있어야 하므로 해당 Rule을 설정해준다.
Action : Allow
Category : Local Network
Local Network : IoT
Traffic Direction : Traffic to all local networks
Device/Network : Default
Schedule: Always
Description: Allow Default to IoT

3. 장치에 VLAN 네트워크 할당

무선 장치의 경우 SSID를 용도별로 생성한 후 VLAN을 할당해주고, 유선 장치의 경우 스위치 포트에 VLAN을 각각 할당해야 한다.

무선 장치를 위한 SSID 생성 후 VLAN 할당

유선 장치를 위한 스위치 포트 별 VLAN 할당

Disclaimer

본 사이트의 글은 개인적인 의견과 경험을 바탕으로 작성되었으며, 일반적인 참고용으로만 사용해야 합니다. 여기서 제공하는 정보를 바탕으로 한 결정이나 행동은 신중하게 고려해 주세요. 외부 사이트의 내용에 대해서는 책임지지 않으며, 외부 사이트의 정책과 조건에 따릅니다. 모든 콘텐츠는 저작권법에 의해 보호되며, 무단 복제나 도용을 금지합니다. 사용 시 사전 동의를 구해 주세요. 감사합니다.
2024 Hyeonho. All Rights Reserved.