Wireless Architecture

안녕하세요 계영수 강사입니다.

이번 포스팅에서는 지난 포스팅에 이이서 무선 LAN 기술에 대하여 살펴보겠습니다.

지난 포스팅에서 무선 네트워크의 기초개념을 공부했다면, 이번 포스팅에서는 무선 네트워크의 아키텍처, 즉 무선 네트워크가 유선 네트워크와 어떻게 연결되어 무선 통신이 구현되는지, 유선 인프라를 포함한 전체 네트워크 그림을 살펴보도록 하겠습니다.

이번 포스팅에서 다룰 내용은 다음과 같습니다.

1. 802.11 메시지와 프레임 형식: 무선 아키텍처를 다루기 전에 802.11 프레임이 802.3 유선 이더넷 프레임과 어떻게 다른지, 그리고 독특한 메시지 유형들을 간단히 살펴보겠습니다.
2. 무선 액세스 포인트(Access Point) 아키텍처: 자율형(Autonomous), 경량형(Lightweight), 클라우드 기반(Cloud-based) AP에 대해 알아봅니다.
3. 무선 LAN 컨트롤러(WLC, Wireless LAN Controller) 배포 방식: 대규모 네트워크에서 수백, 수천 개의 AP를 중앙에서 관리하는 데 필수적인 WLC의 다양한 배포 모델을 살펴봅니다.

이번 포스팅 역시 여러분들께 도움이 되기를 바랍니다.

802.11 프레임은 802.3 이더넷 프레임보다 구조가 훨씬 복잡합니다. 다행히 CCNA 수준에서는 (유선) 이더넷 프레임이나 IP 헤더의 구조만큼 상세하게 알 필요는 없기 때문에 전반적으로 흐름만 잡을 수 있도록 개요 수준에서 설명하겠습니다.

• 가변적인 필드: 802.11 의 버전과 메시지 유형에 따라 일부 필드는 상황에 따라 무선 데이터 프레임에 존재하지 않을 수도 있습니다. 예를 들어 주소 필드는 4개가 설명되지만, 모든 무선 데이터에서 이 4개의 필드를 모두 사용하지는 않습니다.

• Frame Control (2 bytes): 메시지의 유형(Type)과 하위 유형(SubType) 정보를 담고 있습니다.
• Duration/ID (2 bytes):
  • 프레임 전송을 위해 채널을 얼마나 점유할지 시간(마이크로초)을 나타내거나,
  • 무선 클라이언트와 AP 간의 가상의 연결(Association)을 식별하고 나타내는 식별자로 사용됩니다.
  • (이더넷의 Type/Length 필드처럼 2가지 목적을 가집니다.)
• Address 1 ~ 4: 802.11 프레임에는 최대 4개의 주소가 들어갈 수 있습니다.
  • DA (Destination Address): 최종 수신자
  • SA (Source Address): 최초의 발신자
  • RA (Receiver Address) : 프레임을 즉시 받는 수신자 (예: AP_
  • TA (Transmitter Address): 프레임을 즉시 보낸 송신자
  • 참고) 유선 네트워크와 달리 무선 네트워크는 데이터의 송/수신에 있어서 중간에 중계장비(예: AP)가 필요하기 때문에, 최초로 데이터의 전송이 시작된 곳과, 무선 전파 공간에서 무선 신호가 처음으로 쏘아는 곳이 다를 수 있기 때문에 4개의 주소가 필요합니다.
• Sequence Control: 조각난 프레임을 재조립하고 중복 프레임을 제거하는데 사용됩니다.
• QoS Control: 특정 트래픽의 우선 순위를 정하는 QoS(Quality of Service)에 사용됩니다.
• HT (High Through) Control: 802.11n (Wi-Fi 4) 이상에서 고속 처리를 위해 추가된 필드입니다.
  (802.11ac 는 VHT – Very High Throughput이라고도 부릅니다.)
• Frame Body: 802.11 프레임 안에 캡슐화된 실제 데이터 패킷입니다.
• FCS (Frame Check Sequence): 이더넷과 마찬가지로 프레임의 오류를 확인하는 트레일러 입니다.

AP는 무선 스테이션(무선 단말)과 유선 네트워크 간의 트래픽을 브리징(Bridging)합니다. 트래픽을 보내려면 스테이션(무선 단말)은 AP와 연결(Assocation) 이 되어야 합니다.

1. 인증 안됨, 연결 안됨 (Unauthenticated, Unassociated): 초기 상태를 나타냄.
2. 인증됨, 연결 안됨 (Authenticated, Unassociated): 비밀번호 등으로 인증 단계는 통과하였으나, 무선이 아직 논리적 연결이 안 된 못한 상태.
3. 인증됨, 연결됨 (Authenticated, Associated): 무선으로 통신이 가능한 상태

1. 탐색 (Scanning):
   • 능동 스캐닝 (Active Scanning): 무선 클라이언트가 Probe Request를 보내고, AP가 Probe Response로 응답하여 자신의 존재를 알립니다.
   • 수동 스캐닝 (Passive Scanning): 무선 클라이언트는 AP가 주기적으로 보내는 Beacon 메시지를 듣고, AP를 찾습니다.
2. 인증 (Authentication): 클라이언트가 자격 증명(예: 비밀번호)을 보내고 AP가 이 정보를 인증합니다.
3. 연결 (Assocation): Association Request와 Response를 교환하여 최종적으로 연결(Assocation)을 맺습니다(성립합니다).

802.11 메시지는 크게 3가지로 나뉩니다.

1. 관리 프레임 (Management Frame): BSS(Basic Service Set)를 관리합니다.
   • 예: Beacon, Probe Request/Response, Authentication, Assocation 메시지 등.
2. 제어 프레임 (Control Frames): 매체(RF) 접근을 제어하고 관리(Management)/데이터 프레임의 전달을 돕습니다.
   • 예: RTS (Request To Send), CTS (Clear To Send), ACK (Acknowledgement).
3. 데이터 프레임 (Data Frames): 실제 데이터 패킷을 전송합니다.

AP를 배포하고 관리하는 방식에는 크게 3가지가 있습니다.

• 특징: WLC(Wireless LAN Controller) 없이 독립적으로 작동하는 자체 완결형 시스템입니다.
• 관리: 각 AP를 콘솔, 텔넷, SSH, 웹 브라우저(http/https) 등의 방법으로 접속하여 AP 마다 개별적으로 구성, 관리하는 방법입니다.
• 설정: IP 주소, 각종 RF관련 파라미터(채널, 전송 파워등), 보안 정책(ACL), QoS 등을 AP 마다 각각 개별적으로 일일이 설정해야 합니다.
• 단점: 소규모 네트워크에서는 괜찮지만, 수천개의 AP가 있는 대규모 네트워크에서는 관리가 불가능에 가깝습니다.
• 네트워크 연결: 자율형 AP는 스위치와 트렁크(Trunk) 링크로 연결해야 합니다.
• 트래픽 경로: 무선 클라이언트의 데이터는 AP를 거쳐 유선 네트워크로 직접 (WLC를 거치지 않고) 들어갑니다.
• VLAN 확장 문제: 로밍 등을 위해 동일한 VLAN을 네트워크 전체에 확장해야 하는 경우가 많은데, 이는 브로드캐스트 도메인을 넓히고 스패닝 트리(STP) 동작을 유발하여 대역폭 낭비를 초래하므로 좋지 않은 설계입니다.

• 개념: AP의 기능을 AP와 WLC(Wireless LAN Controller)로 나눕니다(Split). 이를 Split-MAC 아키텍처라고 합니다.
• 역할 분담:
  • Lightweight AP: 실시간 작업(RF 송수신, 암호화/복호화, 비콘 전송 등) 처리.
  • WLC: 관리 기능(RF 관리, 보안/QoS 정책, 클라이언트 인증, 로밍 등)을 중앙에서 처리.
• 통신 프로토콜 (CAPWAP): AP와 WLC는 CAPWAP (Control and Provisioning of Wireless Access Points) 프로토콜을 사용하여 통신합니다. (이전에는 LWAPP 기반)
• 인증: AP와 WLC는 X.509 디지털 인증서를 사용하여 서로를 인증합니다.

AP와 WLC 사이에는 2개의 터널이 생성됩니다.

1. 제어 터널 (Control Tunnel): UDP 5246. AP 설정 및 관리에 사용되며 기본적으로 암호화됩니다.
2. 데이터 터널 (Data Tunnel): UDP 5247. 클라이언트의 트래픽이 이동합니다. 기본적으로 암호화되지 않으나 DTLS(Datagram TLS)로 암호화할 수 있습니다.

• 자율형: 클라이언트 -> AP -> 유선 네트워크 (직행).
• 경량형: 클라이언트 -> AP -> (터널) -> WLC -> 유선 네트워크.

• 확장성(Scalability): 수천 개의 AP를 중앙에서 쉽게 관리.
• 동적 채널 할당 & 전송 파워 조절: WLC가 자동으로 최적의 채널과 파워를 설정하여 간섭을 줄이고 커버리지를 최적화.
• 자기 치유(Self-healing): AP 고장 시 주변 AP의 파워를 높여 커버리지 구멍(Hole)을 메움.
• 원활한 로밍(Seamless Roaming): 끊김 없는 이동성 제공.
• 보안 및 QoS 중앙 관리.

1. Local (기본): BSS를 제공하고 트래픽을 WLC로 터널링함.
2. FlexConnect: WLC와의 연결이 끊겨도 AP가 **로컬에서 트래픽을 스위칭(전송)**할 수 있게 함. (지사/브랜치 오피스에서 중요).
3. Sniffer: BSS를 제공하지 않고, 패킷을 캡처하여 분석 도구(Wireshark 등)로 전송.
4. Monitor: BSS 제공 안 함. 로그(Rogue) 장치 탐지 전용.
5. Rogue Detector: 라디오를 끄고 유선 네트워크의 ARP 패킷을 감청하여 무선 로그 장치를 찾아냄.
6. SE-Connect: 스펙트럼 분석 전용 (Cisco Spectrum Expert 등과 연동).
7. Bridge / Mesh: 장거리 연결 또는 메쉬 네트워크 구성.
8. Flex + Bridge: FlexConnect 기능과 Bridge 기능을 합친 것.

개념: 자율형 AP와 유사하게 트래픽을 처리하지만, 관리는 클라우드(예: Cisco Meraki)에서 중앙 집중적으로 수행합니다.

특징:

• 관리 트래픽: 클라우드(Meraki Dashboard)로 전송 (설정, 모니터링).
• 데이터 트래픽: 클라우드를 거치지 않고 유선 네트워크로 직접 전송.

장점: 사용이 쉽고 대시보드를 통해 직관적인 모니터링 및 설정 가능. 자율형과 경량형의 중간 형태라고 볼 수 있습니다.

Split-MAC 아키텍처에서 WLC를 어디에, 어떻게 배치하느냐에 따른 4가지 모델입니다.

1. Unified WLC (통합형):
   • WLC가 별도의 하드웨어 장비(Appliance)로 네트워크 중심부에 위치.
   • 대규모 엔터프라이즈 캠퍼스에 적합 (최대 약 6,000개 AP 지원).
2. Cloud-based WLC (클라우드 기반):
   • WLC가 데이터 센터의 서버에서 가상 머신(VM) 형태로 실행 (Private Cloud).
   • 주의: 앞서 말한 ‘클라우드 기반 AP(Meraki)’와 다릅니다. 이건 경량형 AP를 VM 형태의 WLC로 관리하는 것입니다. (최대 약 3,000개 AP).
3. Embedded WLC (임베디드):
   • WLC 기능이 스위치(Switch) 내부에 통합됨 (예: Catalyst 9300).
   • 소규모 캠퍼스에 적합 (최대 약 200개 AP).
4. Cisco Mobility Express:
   • WLC 기능이 AP(Access Point) 내부에 통합됨.
   • 별도의 WLC 장비 없이 AP 중 하나가 마스터 역할을 함.
   • 소규모 지사에 적합 (최대 약 100개 AP).