[Network]VLAN

VLAN(Virtual LAN)

라우터가 생성하는 LAN과 유사하게 스위치가 생성하는 LAN을 VLAN이라고 한다. 

스위치는 브리지와 마찬가지로 충돌 도메인을 각 포트별로 한정시켜서 포트별로 분리시킬 수는 있지만

브로드캐스트와 멀티캐스트는 여전히 통과시키게 된다. 따라서 스위치에 붙어있는 모든 노드들은

기본적으로 VLAN 1(Default)에 소속되어 있으므로 브로드캐스트를 수신하게 되는데,

 

별도의 가상 네트워크 VLAN 2를 생상하게 되면 그들만의 브로드캐스트가 생성되므로

기존 브로드캐스트(VLAN 1)에서 분리되어 브로드캐스트의 영역이 나뉘어져

네트워크의 효율을 증진시킬 수 있다.

 

하지만 VLAN을 나누게 되면 하나의 스위치 장비에 서로 다른 네트워크로

논리적 분할이 된 상태이므로 ex) VLAN 1과 VLAN 2는 유니 / 브로드캐스트 통신이 불가하게 된다.

그러므로 3계층 장비(라우터)가 필요하다.

 

 

● VLAN의 두 가지 종류

- 포트 기반(Port Based VLAN) : 스위치를 논리적으로 분할하여 스위치의 특정 포트에 VLAN을 할당하는 방식

 

- MAC 기반(MAC Based VLAN) : 스위치에 연결되는 단말의 MAC 주소를 기반으로 해당 포트를 VLAN으로 변경하는 방식

** 동적 VLAN(Dynamic VLAN)이라고 부르기도 한다.

 

 

● VLAN 1과 VLAN 2의 원활한 통신을 위한 작업

1. VLAN들을 묶어주는 VTP(VLAN Trunking Protocol) 설정

2. VLAN 1과 VLAN 2가 혼재하는 회선에 두 VLAN이 통과할 수 있게끔 구별하여 Trunk(or Tag Port) 설정

3. VLAN 1과 VLAN2가 구별될 수 있게 프레임에 캡슐화(802.1Q, ISL .. 등) 설정

4. 관리목적의 IP를 VLAN 1에 할당

5. 라우터 연결과 게이트웨이를 지정

 

 

● 트렁크 구간(Trunk)

예를 들어 5개의 VLAN이 설정된 2대의 스위치가 있을 때 

이 2대의 스위치가 상호 통신이 가능해야 한다고 가정하면 

회선이 총 5개가 있어야 할 것이다(논리적으로 브로드캐스트 도메인을 나누었기 때문)

이렇게 되면 스위치의 포트도 낭비가 될 것이고 비용또한 낭비가 될 것이다.

 

이런 문제를 해결하기 위해 사용되는 회선을 트렁크라고 하며,

트렁크 모드를 적용한 회선은 VLAN ID를 구분하지 않고 VLAN Frame을 전송할 수 있다.

* 굳이 VLAN 하나 당 하나의 통신회선을 마련하지 않아도 된다는 것

 

 

● VTP(VLAN Trunking Protocol)

VLAN Trunking Protocol에는 대표적으로

802.1q, Native VLAN, ISL(CISCO 전용 프로토콜), Native(Untagged) 등이 사용되며,

스위치가 여러 개 있을 때 어느 하나가 Server가 되고 나머지는 Client나 Transparent Mode가 되어

스위치끼리 VLAN의 생성과 삭제 및 수정 등을 동기화하여 편리하게 관리하는 프로토콜이다.

* VTP 설정 시, 반드시 Server Mode인 스위치가 존재해야 한다.

 

▼ VTP에서 작동되는 세 가지 작동방식(Mode)

- Server Mode : 다른 스위치에서 받은 VLAN 정보 등을 일치시켜 전파해주는 역할을 하며,

VLAN을 생성하거나 삭제가 가능

 

- Client Mode :  서버로부터 VLAN의 정보를 얻어와 동기화를 진행하며, VLAN의 생성과 삭제 권한이 없음

 

- Transparent Mode : 서버로부터 VLAN의 정보를 얻어오기는 하지만, 자신에게 속한 노드들의 변경 등은 외부에 알리지 않으며,

VLAN 생성과 삭제가 가능

 

 

 

● 실습

간단한 설정을 통해 VLAN의 작동방식을 확인

시나리오는 Node끼리 VLAN 1 소속, Server 끼리 VLAN 2 소속이며,

내부 세그먼트를  VLAN으로 분할 하였고 상호간의 각각의 VLAN을 위한 게이트웨이는 

서브 인터페이스(Sub-Interface)를 사용하여 할당하였고

 

필자가 사용한 패킷 트레이서는 태깅 프로토콜이 기본적으로

802.1Q로 고정되어 있으며 해당 프로토콜로 인캡슐레이션된

프레임을 수신하기 위해서 라우터 각각의 서브 인터페이스에

인캡슐레이션 설정을 진행함

 

결과를 확인해보면 Node 2(.40)에서 같은 VLAN에 소속되어 있는 Node 1(.10)에게

icmp 통신을 요청하면 스위치를 통해서 직접 통신이 가능하지만,

같은 스위치에만 물려있고 VLAN은 다른 소속인 Ser 2(.30)과 통신하려면

라우터를 거쳐야만 통신이 가능한 것을 확인할 수 있음

 

 

● 설정 내용

- SW 1

SW1(config)#vtp domain TEST                       SW1(config)#vtp password 1234                    SW1(config)#vlan 2                                         SW1(config-vlan)#name Server SW1(config)#int fa1/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config)#int fa2/1 SW1(config-if)#switchport mode trunk SW1(config-if)#switchport trunk allowed vlan all SW1(config)#int fa3/1 SW1(config-if)#switchport mode trunk SW1(config-if)#switchport trunk allowed vlan all SW1(config)#int vlan 1 SW1(config-if)#ip address 192.168.100.2 255.255.255.0

 

- SW 2

SW2(config)#vtp domain TEST SW2(config)#vtp password 1234 SW2(config)#do sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa1/1, Fa3/1, Fa4/1Fa5/1 2 Server active SW2(config)#int fa0/1 SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 2

 

- RT

RT(config)#int fa0/0 RT(config-if)#no sh RT(config)#int fa0/0.1 RT(config-subif)#encapsulation dot1Q 1 native RT(config-subif)#ip address 192.168.100.1 255.255.255.0 RT(config-subif)#int fa0/0.2 RT(config-subif)#encapsulation dot1Q 2 RT(config-subif)#ip address 192.168.200.1 255.255.255.0