UniFi - 무선 사용자 타입: 기업 vs. 게스트

download at 2017-08-22T21:08:55Z origin

배경지식

레이어2 에서 엔터프라이즈 네트워크는 VLAN에 논리적으로 사용자 트래픽을 원하는 네트워크 공간에 분리하도록 하고 있습니다. 여기서 분리하는 네트워크 공간은 각 사용자가 다른 네트워크 접근을 수행하는 공간을 의미합니다. 엔터프라이즈 네트워킹에서 UniFi는 두개의 사용자 타입을 다르게 인식합니다. 각각 게스트와 기업 계정으로서 신뢰하는 네트워크 트래픽을 보내는지 여부에 따라서 각각 분리하여 구분합니다.

Note

사용자 타입에 관련 없이 대역폭 제어는 항상 무선 기기마다 설정되어야 합니다. 추가적으로 UniFi 사용자 그룹에도 설정합니다.

vlan-overview.png

Figure A - UniFi 장치의 엔터프라이즈 네트워크 토폴로지, 사용자 타입 (기업 & 게스트, 관리자(Admin)은 분리된 VLAN 10에 있는 '기업' 타입의 계정입니다.)

기업 사용자

기본적으로, UniFi는 '기업' 사용자 트래픽에 대하여 제한을 하지 않습니다. 이는 인증된 기업 사용자에 속한다고 가정하기 때문입니다. 예를 들면, 관리자 사용자는 MGMT VLAN으로 '기업' 네트워크 타입에 있기 때문에 비록 분리된 VLAN이라고 할 지라도 제한 없이 사용이 가능합니다. (그림에서는 VLAN 10입니다)

Note

기업 사용자가 기본값으로 제한이 없다고 하여도, Ubiquiti 심층 패킷 분석 엔진은 UniFi 네트워크를 사용하는 모든 사용자 트레픽에 대한 관리적인 인사이트를 제공합니다.

networks-fixed.png

Figure B - 다양한 사용자 타입의 목적을 고려한 UniFi 네트워크 (기업 = 신뢰하는 & 관리자/MGMT 사용자, 게스트 = 인증되지 않은 사용자)

게스트 사용자

인증된 기업 사용자 트래픽과 비교하여 게스트 사용자의 트래픽은 기본값으로 다음과 같은 몇가지 제약사항이 존재합니다:

  • 인증 이전과 이후 RFC 1918 사설 LAN IP 범위에 접근하는것을 포함한 다른 제약사항들은 Guest Control Settings 탭에서 설정합니다.
  • 클라이언트 분리는 로컬 트래픽, 레이어 2 브로드캐스트와 유니캐스트 메시지를 같은 로컬 상에 있는 게스트간에 통신하지 못하도록 제어하는 것을 의미합니다. 기본값으로, 이 방법은 게스트 트래픽이 오로지 의도한 업스트림 혹은 다운스트림 (인터넷 사용과 같은 트래픽으로)으로만 사용 가능하도록 합니다.

인증 이전/이후 엑세스 컨트롤은 게스트 사용자가 트래픽을 전송할 수 있는 네트워크 범위를 가리키거나 사용하고자 하는 네트워크의 이전 또는 이후의 범위를 지칭합니다. 게스트 포탈이 활성화되면, 게스트 인증은 자동적으로 관리자가 정의한 방법으로 반드시 수행하게 됩니다. 게스트 포탈이 비활성화되면, 게스트 인증이 자동적으로 다시 수행됩니다.

요약하자면, 기본 게스트 컨트롤을 설정하지 않았다면, UniFi 시스템은 게스트 사용자에게 인터넷 사용을 위한 트래픽만 허가합니다.

Screen_Shot_2017-06-02_at_15.21.35.png

Figure C - UniFi Guest Control Settings 패널에서 설정 가능한 인증 이전/이후 엑세스 컨트롤