VLAN 정리

A. VLN 개요

what? 

VLAN이란 Virtual Local Area Network의 줄임말로 2계층의 기능이며 스위치에서 구현이 가능하다. 

 

how? 

- IP 서브넷과 VLAN에는 일대일 관계가 성립된다. 

- 브로드캐스트 도메인을 나눈다.

  따라서, 동일한 VLAN 내에서만 트래픽을 허용한다.

- VLAN 기본값은 VLAN 1 이다. 

- "1 - 4096"범위에서 할당가능

 

why?

불필요한 브로드캐스트 트래픽으로 인해 발생하는 보안 문제나 성능 저하를 해결해준다.

즉, LAN의 성능과 보안 향상을 위해서 사용하는 기술이다. 

 

 

B. 액세스 포트

What? 

- 종단 호스트가 연결된 스위치 인터페이스에서 구성한다. 

- 하나의 특정 VLAN을 할당한 포트

 

how?

<<vlan 생성 명령어>>

vlan "번호"

name "원하는 이름"

 

<<vlan 할당 명령어>>

interface Fastethernet 0/1

switchport mode access

switchport access vlan "할당을 원하는 번호"

interface range fastethernet "할당을 원하는 인터페이스 번호"  =>> ex) 0/3 - 5

switchport access vlan "할당을 원하는 번호"

 

<<vlan 검증 명령어>>

show vlan brief

 

why? 

-  할당한 하나의 특정 VLAN끼리만 트래픽이 흐를 수 있도록 하기위해서

 

 

C. 트렁크 포트

what? 

- 스위치들 사이의 링크를 모든 VLAN의 트래픽을 전송이 가능하다.

  그래서 다수의 VLAN 트래픽을 흘려야 하는 인터페이스에서 사용한다.

- Dot1Q(802.1Q)프로토콜을 사용한다.

 

**Dot1Q 동작 방식

스위치가 트렁크 포트를 통해 트래픽을 다른 스위치로 전송할 때,

이 트래픽이 어느 VLAN으로 향하고 있는지 명시하는 2계층 Dot1Q(802.1Q) 태그를 더한다.

(Dot1Q 태그에는 VLAN ID 정보가 포함됨)

엑세스 포트를 거치면 태그는 제거된다.

 

how? 

<<트렁크 포트 설정>>

interface "인터페이스 이름"

description "설명은 선택 옵션"

switchport trunk encapsulation dot1q

switchport mode trunk

 

<<전화를 포함한 포트 설정>>

interface "인터페이스 이름"

description "설명은 선택 옵션"

switchport mode access

switchport access vlan "번호"

switchport voice vlan "위랑 다른 번호"

=>> 실제로는 트렁크지만 구성만 엑세스로 함.

 

why?

- 하나의 스위치가 아닌 서로 다른 스위치 별로 같은 VLAN에 속해있는 호스트들이 흩어져 있을 때 엑세스 포트일 경우 하나의 VLAN만 통과가 가능하기 때문에

 

**일반적인 데스크탑 PC와 같은 종단 호스트들은 통상적으로 하나의 VLAN에 속해 있고 VLAN을 인식할 수 없다. 따라서 그런 호스트들에 대해서는 액세스 포트로 구성된다. 그러나 VMware나 Hyper V 같은 가상 호스트는 특별한 종류의 종단 호스트로 호스트의 서로 다른 IP 서브넷에 속한 가상 머신들은 트렁크 포트로 설정해야한다. (아래 그림 참조) 

가상화는 트렁크 포트로

 

또 다른 특수 케이스로는 IP 전화 설정시이다. IP 전화를 사용할 때, 스위치가 IP 전화에 물리적으로 연결되고 특정 사용자를 위해 PC 전화의 후면에 연결된다. 음성 트래픽은 지연에 민감하여 우선적으로 처리를 해야하는 것 처럼 두 가지를 다르게 처리를 해야 하기 때문에 두 가지를 구분해야 한다. 또한 보안상의 이유로도 다른 VLAN에 할당을 해야한다. (아래 그림 참조)

 

전화 연결시에도 트렁크 포트로

 

 

D. Native VLAN

what? 

- 임시로 붙이는 VLAN 번호

- 허브를 위해 사용될 목적으로 만들어진 VLAN

- 기본적으로 VLAN 1이 native VLAN이다.

  그러나 VLAN 1로 사용하면 보안상 문제가 있다. 

- 활성화를 위해 트렁크 양쪽 모두에서 일치해야 한다. 

 

how? 

<<vlan 생성>> 

vlan "안쓰던 Vlan 번호 추천"

name "이름" 

 

<<Trunk 포트를 Native vlan 설정>>

interface "인터페이스 이름"

description "설명은 선택 옵션"

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk native vlan "할당할 번호"

 

why?

- 스위치는 트렁크 포트로 오는 트래픽 중

  Dot1q 태그가 되지 않은 트래픽을 어디로 보낼지 알고 있어야한다.

 

***

<<허용한 VLAN만 트렁크 포트 통과>> 

interface "인터페이스 이름"

switchport trunk allowed vlan "번호 나열"  =>> ex) vlan 10,30,40,41,....

 

 

E. VTP 

what?

- VLAN Trunking Protocol

- VTP 서버로 구성된 스위치에서 VLAN을 추가, 편집, 삭제할 수 있게 해준다. 

- VTP 클라이언트로 구성된 스위치들은 VLAN 데이터베이스를 서버와 동기화한다.

- 하지만 인터페이스 단계의 VLAN 구성은 여전히 수동으로 진행해야 한다.

 

how?

- VTP Server, VTP Client, VTP Transparent로 구성되어 있다.

VTP Server : VLAN을 수정할 수 있으며 높은 개정번호가 서버가 된다. 

VTP Client : VLAN 수정이 불가능하며 서버로 부터 정보를 받기만 한다. 

VTP Transparent : VTP 도메인에 참여하지 않는다. 

 

<<VTP 명령어>>

vtp domain "이름" 

 

vtp mode server

or

vtp mode client

or

vtp mode transparent

 

후에 클라이언트 스위치를 제외한 다른 스위치에

필요한 vlan 할당해주면 된다.

 

<<VTP 검증 명령어>>

show btp status

 

why?

- 관리 및 운영의 편의성 증대를 위해

 

 

F. VLAN간 라우팅

첫 번째 옵션

각 VLAN 상의 기본 게이트웨이로서 작동하는 개별 인터페이스를 가진 라우터를 사용하는 방법 (아래 그림 참조)

첫 번째 옵션

 

두 번째 옵션

Router on a stick ( aka ROAS)

 

세번째 옵션

L3 스위치

스위치 자체에서 라우팅 함

물리적 인터페이스를 사용하지 않고 가상 인터페이스를 사용한다. 

SVI = Switch Virtual Interface(가상 인터페이스)

L3 스위치

L3 스위치

L3 스위치