[Network] VLAN

VLAN이란?

VLAN(Virtual Local Area Network)은 하나의 물리적인 네트워크를 논리적으로 분할하여 독립적인 네트워크를 구성하는 기술이다. 이는 보안성 강화, 네트워크 효율성 향상 및 트래픽 관리 용이성을 제공한다.

---

VLAN의 구성

VLAN은 스위치 포트를 논리적으로 그룹화하여 특정 네트워크 세그먼트로 지정한다. 기본적으로 다음과 같은 방식으로 VLAN을 구성할 수 있다.

1. Static VLAN (Port-based VLAN)
   • 각 포트를 특정 VLAN에 수동으로 할당한다.
   • 관리가 간편하며 보안성이 높다.
2. Dynamic VLAN (MAC-based VLAN, Protocol-based VLAN)
   • MAC 주소 또는 프로토콜에 따라 VLAN이 자동으로 할당된다.
   • 관리가 유연하지만 설정이 복잡할 수 있다.

---

VLAN의 역할

1. 네트워크 분할
   • 동일한 물리적 네트워크에서 여러 개의 논리적 네트워크를 구성하여 트래픽을 분리한다.
2. 보안 강화
   • 서로 다른 VLAN 간 트래픽은 기본적으로 차단되므로, 보안성이 높아진다.
3. 트래픽 감소
   • 브로드캐스트 도메인을 분리하여 네트워크 부하를 줄인다.
4. 유연한 네트워크 구성
   • 논리적으로 VLAN을 설정하여 다양한 네트워크 요구사항에 맞게 변경할 수 있다.

---

VLAN 간 트래픽 전달 차단

기본적으로 VLAN 간에는 트래픽이 전달되지 않는다. 이는 보안 강화 및 네트워크 세그먼테이션을 유지하는 역할을 한다. 하지만 특정 VLAN 간 통신이 필요할 경우, 라우터 (Layer 3 장비) 또는 Layer 3 스위치를 활용한 Inter-VLAN Routing을 설정해야 한다.

Inter-VLAN Routing 방식

1. Router-on-a-Stick (라우터를 통한 VLAN 라우팅)
   • 단일 라우터 포트를 사용하여 여러 VLAN 간의 트래픽을 처리한다.
   • 트렁크(Trunk) 포트를 사용하여 라우터와 스위치를 연결한다.
2. Layer 3 Switch Routing
   • Layer 3 스위치를 이용하여 VLAN 간 라우팅을 수행한다.
   • 보다 빠른 처리가 가능하며, 고성능 네트워크에서 주로 사용된다.

 

Native VLAN이란?

Native VLAN은 802.1Q 트렁킹(Trunking) 환경에서 태그 없이(untagged) 전송되는 트래픽이 속하는 VLAN을 의미한다. 일반적으로 스위치 포트가 802.1Q 트렁크(Trunk)로 설정되었을 때, VLAN 태그가 없는 트래픽을 어떤 VLAN으로 처리할지를 결정하는 역할을 한다.

---

 Native VLAN 동작 방식

• 802.1Q 트렁크 포트는 기본적으로 모든 VLAN 트래픽을 태그(tagged)하여 전송한다.
• 그러나, Native VLAN에 속한 트래픽은 태그 없이(untagged) 전송된다.
• 반대로, 트렁크 포트로 들어오는 태그 없는 프레임은 Native VLAN으로 인식된다.'

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 10 
Switch(config-if)# end

 

vlan 10은 태그없이 전송하도록 변경

---

실습

각 VLAN 10,20,30 에 해당하는 VLAN을 모두 연결하여라

 

 

 

#Vlan 지정

@SW-1

vlan 10
name ENG
vlan 20
name HR
vlan 20
name SALES

#vlan 지정

int range g0/0-1
switchport access vlan 10
switchport mod access

int range g0/2-3
switchport access vlan 20
switchport mod access

int range g1/0-1
switchport access vlan 30
switchport mod access

int g2/0
switchport trunk encapsulation dot1q
switchport trunk allow vlan 10,20,30
switchport mode trunk


int g2/1
switchport trunk encapsulation dot1q
switchport trunk allow vlan 10,20,30
switchport mode trunk

Router:
int g0/0.1
encapsulation dot1q 10
ip add 192.168.222.1 255.255.255.192
int g0/0.2
encapsulation dot1q 20
ip add 192.168.222.65 255.255.255.192
int g0/0.3
encapsulation dot1q 30
ip add 192.168.222.129 255.255.255.192 #게이트웨이 지정

출처: 따라하면서 마스터 하는 네트워크와 네트워크 보안 2/e

 

SVI를 적용시켜 각 PC 간 통신

Router 삭제:



#vlan 지정

int range g0/0-1
switchport access vlan 10
switchport mod access

int range g0/2-3
switchport access vlan 20
switchport mod access

int range g1/0-1
switchport access vlan 30
switchport mod access

int vlan 10
ip add 192.168.222.1/26 # 기존 라우터의 게이트웨이 주소
int vlan 20
ip add 192.168.222.65/26 #기존 라우터 게이트웨이 주소
int vlan 30 
192.168.222.129/26

int g1/2
switchport trunk encapsulation dot1q
switchport trunk allow vlan 10,20,30
switchport mode trunk