pfSense와 관리형 스위치로 홈 네트워크 VLAN 분리 설정하기 – IoT, 업무용, 게스트 WiFi 완벽 가이드

pfSense와 관리형 스위치를 활용한 홈 네트워크 VLAN 세그멘테이션 가이드

IoT 기기, 업무용 컴퓨터, 게스트 WiFi를 하나의 네트워크에서 운영하면 보안 위험이 크게 증가합니다. VLAN(Virtual Local Area Network)을 활용하면 물리적으로 하나의 네트워크를 논리적으로 분리하여 각 용도별 트래픽을 격리할 수 있습니다. 이 가이드에서는 pfSense 방화벽과 관리형(Managed) 스위치를 사용하여 안전한 홈 네트워크를 구축하는 전 과정을 단계별로 안내합니다.

필요한 장비 및 사전 준비

• pfSense 방화벽 – 전용 하드웨어 또는 가상머신 (최소 2개 NIC 권장)- 관리형 스위치 – VLAN 태깅(802.1Q)을 지원하는 L2/L3 스위치 (예: TP-Link TL-SG108E, Netgear GS308E 등)- VLAN 지원 무선 AP – 다중 SSID 및 VLAN 태깅 지원 (예: TP-Link EAP245, Ubiquiti UniFi AP 등)- 이더넷 케이블 – CAT5e 이상- 네트워크 설계 계획 – IP 대역 및 VLAN ID 사전 할당

VLAN 네트워크 설계

1단계: pfSense 기본 설정 및 인터페이스 구성

• pfSense 웹 인터페이스(기본: 192.168.1.1)에 접속합니다.- Interfaces → Assignments → VLANs 탭으로 이동합니다.- LAN 인터페이스를 Parent Interface로 선택하고 VLAN 10, 20, 30을 각각 생성합니다.- Interfaces → Assignments에서 생성된 VLAN을 새 인터페이스로 추가하고, 각각 WORK, IOT, GUEST로 이름을 지정합니다.- 각 인터페이스를 활성화하고 위 표에 따라 고정 IP 주소를 게이트웨이로 설정합니다 (예: WORK 인터페이스 → 192.168.10.1/24).

2단계: pfSense DHCP 서버 구성

• Services → DHCP Server로 이동합니다.- 각 VLAN 인터페이스(WORK, IOT, GUEST)별로 DHCP를 활성화합니다.- 설계 표에 맞는 IP 범위를 설정합니다.- DNS 서버는 pfSense 자체(각 VLAN의 게이트웨이 IP) 또는 외부 DNS(1.1.1.1, 8.8.8.8)를 지정합니다.

3단계: pfSense 방화벽 규칙 설정

VLAN 간 트래픽을 제어하는 것이 보안의 핵심입니다. 각 VLAN 인터페이스에 다음 규칙을 적용합니다.

• WORK (VLAN 10): 인터넷 접근 허용, 필요 시 관리용 VLAN 접근 허용, IoT/게스트 VLAN 접근 차단- IOT (VLAN 20): 인터넷 접근 허용(필요한 포트만), 다른 모든 VLAN으로의 접근 차단 (RFC1918 대역 전체 Block 규칙 생성)- GUEST (VLAN 30): 인터넷 접근만 허용, 다른 모든 내부 네트워크 접근 차단, 대역폭 제한 적용(Limiters 활용)핵심 규칙 순서: pfSense는 규칙을 위에서 아래로 평가합니다. 반드시 차단 규칙을 허용 규칙보다 먼저 배치하세요.

4단계: 관리형 스위치 VLAN 설정

• 스위치 관리 페이지에 접속합니다(제조사별 기본 IP 확인).- 802.1Q VLAN 설정 메뉴에서 VLAN 10, 20, 30을 생성합니다.- 각 포트에 VLAN 멤버십을 할당합니다:
• pfSense 연결 포트(Trunk): VLAN 1, 10, 20, 30 모두 Tagged로 설정- 업무용 PC 포트: VLAN 10 Untagged, PVID 10으로 설정- IoT 기기 포트: VLAN 20 Untagged, PVID 20으로 설정- 무선 AP 포트(Trunk): VLAN 10, 20, 30 Tagged로 설정
- 설정을 저장하고 적용합니다.

5단계: 무선 AP에서 다중 SSID 구성

• 무선 AP 관리 페이지에 접속합니다.- SSID별 VLAN 매핑을 설정합니다:
• Home-Work (SSID) → VLAN 10 (WPA3/WPA2-Enterprise 또는 강력한 비밀번호)- Home-IoT (SSID) → VLAN 20 (WPA2-PSK)- Home-Guest (SSID) → VLAN 30 (WPA2-PSK, 별도 비밀번호)
- 게스트 SSID에는 클라이언트 격리(Client Isolation) 기능을 활성화합니다.

6단계: 연결 테스트 및 검증

• 각 VLAN에 연결된 기기에서 인터넷 접속을 확인합니다.- VLAN 간 통신 차단을 검증합니다: 게스트 기기에서 ping 192.168.10.1이 실패해야 합니다.- IoT 기기에서 업무용 네트워크로 접근이 불가능한지 확인합니다.- pfSense의 Diagnostics → Packet Capture를 활용해 트래픽 흐름을 분석합니다.

보안 강화 추가 팁

• pfBlockerNG 패키지를 설치하여 IoT VLAN에 DNS 기반 광고·추적 차단을 적용합니다.- IoT VLAN에 Snort 또는 Suricata IDS/IPS를 적용해 비정상 트래픽을 모니터링합니다.- 게스트 VLAN에는 Captive Portal을 설정하여 사용 약관 동의 후 접속하도록 구성할 수 있습니다.- 정기적으로 pfSense와 스위치 펌웨어를 업데이트하여 보안 취약점을 최소화합니다.

자주 묻는 질문 (FAQ)

Q1. 비관리형(Unmanaged) 스위치로도 VLAN 분리가 가능한가요?

아니요, 불가능합니다. VLAN 태깅(802.1Q)은 관리형(Managed) 또는 스마트 관리형(Smart Managed) 스위치에서만 지원됩니다. 비관리형 스위치는 모든 포트가 동일한 브로드캐스트 도메인에 속하므로 VLAN 기반 트래픽 분리를 수행할 수 없습니다. 예산이 제한적이라면 TP-Link Easy Smart 시리즈처럼 저렴한 스마트 스위치를 고려해보세요.

Q2. IoT 기기가 클라우드 서비스에 접속해야 하는데, 인터넷 접근을 어떻게 제한하나요?

pfSense 방화벽 규칙에서 IoT VLAN(VLAN 20)의 아웃바운드 트래픽을 특정 포트(TCP 443, TCP 80, UDP 53 등)만 허용하도록 설정합니다. 더 세밀한 제어가 필요하면 pfSense의 Alias 기능으로 특정 클라우드 서비스 IP 대역만 허용하는 화이트리스트 방식을 적용할 수 있습니다. 핵심은 IoT VLAN에서 다른 내부 네트워크(RFC1918 대역)로의 접근을 완전히 차단하는 것입니다.

Q3. VLAN 설정 후 일부 기기가 인터넷에 연결되지 않는 경우 어떻게 해결하나요?

다음 순서로 점검하세요: (1) 해당 기기가 올바른 VLAN 서브넷의 IP를 DHCP로 받았는지 확인합니다. (2) 스위치에서 해당 포트의 PVID가 올바른 VLAN ID로 설정되었는지 확인합니다. (3) pfSense에서 해당 VLAN 인터페이스의 방화벽 규칙이 인터넷 트래픽(WAN 방향)을 허용하고 있는지 확인합니다. (4) pfSense의 Status → System Logs → Firewall에서 차단된 로그를 확인하여 어떤 규칙이 트래픽을 막고 있는지 파악합니다.