1. VLAN을 사용하는 이유
위의 그림에서 브로드 캐스트 도메인은 라우터에 의해 분할되므로 2개 입니다.
즉, 왼쪽의 검은 컴퓨터(호스트)에서 오른쪽의 빨간 컴퓨터(연구원)에게 브로드캐스트를 보낼 수 있습니다.
유니캐스트를 활용한 공격되 있지만, 브로드캐스트를 활용한 공격도 다양합니다.
예시로, 대량의 브로드캐스트를 들여보내 동일한 브로드캐스트 도메인 내에 속하는 모든 장치의 cpu를 고갈 시킬 수 있습니다.
같은 층에 근무하는 일반 직원들과 연구원들을 다른 브로드캐스트 도메인에 소속시키도록 하기 위해서, 즉 장소에 관계없이 마음대로 브로드캐스트 도메인을 나누기 위해서 VLAN을 사용합니다.
이와 같이 브로드캐스트 도메인을 일반 직원용, 연구원용 따로 나눌 수 있지만, 필요한 스위치의 갯수가 압도적으로 많아집니다.
비용문제를 해결하는것이 VLAN입니다.
VLAN은 1대의 스위치를 다수의 스위치로 분할하는 기술입니다.
그러나 위의 사진도 개선사항이 하나 있습니다.
VLAN을 1000개로 나누면, 스위치에 연결되는 링크도 1000개가 생깁니다. 1000개의 포트를 가진 스위치는 존재하지도 않을 뿐 아니라 비용이 매우 비쌀것입니다.
이 문제를 해결하는 것이 L3스위치와 트렁크(Trunk) 입니다.
2. Trunk
트렁크: 하나의 링크로 다수의 링크를 대체한다.
Question:트렁크를 통해서는 모든 VLAN에 속하는 프레임이 도착할 것입니다. 그러면 수신한 프레임이 몇 번 VLAN에 속하는지 어떻게 알 수 있을까?
Answer: 데이터+4계층 해더 +3계층 해더 + 2계층 해더가 있을때,
2계층 해더에 VLAN 번호 필드와 프레임의 중요도를 표시하는 priority필드를 포함한다.
3. 네트워크 도메인과 브로드캐스트 도메인의 범위?
만약 이 사진에서 VLAN기술을 사용 안했더라면, 브로드캐스트 도메인은 하나이다.
보안 때문에 브로드캐스트 범위를 1개->2개로 늘린 것인데, 그러면 네트워크 도메인의 범위도 1->2개가 되어야 한다.
패킷을 send할 때, 7계층~1계층 옷을 입혀서 전송하는데, 3계층(ip)는 DNS의 도움을 받아서 옷을 입히고, 2계층은 목적지 IP주소에 해당하는 MAC주소를 가져와서 입혀야 한다. ARP로 하게 되는데,브로드캐스트로 2계층 옷을 가져오기 때문에 네트워크 도메인과 브로드캐스트 도메인이 일치해야 한다.
그래서 네트워크 도메인과 브로드캐스트 도메인은 범위가 항상 같아야 한다.
4. VLAN 모델
왼쪽은 VLAN END-TO-END 방식이고, 오른쪽은 LOCAL VLAN이다.
왼쪽은 스위치랑 연결된 단말들이 서로 다른 VLAN을 사용하고, 오른쪽은 단말들이 서로 같은 VLAN을 사용하는 경우이다.
5. Switch stacking
VLAN은 하나의 스위치를 여러개로 쪼개는 기술이었다.
이와 반대로 Switch stacking은 다수의 스위치를 하나로 합하는 솔루션이다.
스택 마스터 역할을 하는 스위치를 통해 모든 스위치를 설정할 수 있다.
예를 들어, 90포트짜리 스위치 1대를 살 수도 있고, 30포트짜리 스위치 3대를 스위치 스태킹으로 연결 할 수도 있다. 비용측면에서 후자가 나은 경우가 많아서, 기존 스위치에 포트 추가를 위해 적용하는 솔루션이다.
6 . 정리
