VLAN(Virtual LAN)

• VLAN은 Ethernet Network에서 가상(Virtual)의 Network을 표현하기 위한 기술
• 하나의MAC Bridge 내의 여러포트들을 복수개의 logical LAN segment로 나누어
  Grouping 시키는기술
• 논리적인 Broadcast Domain
• 라우터(Router)가 물리적인 Broadcast Domain을 나누었다면,
  Ethernet Switch는 논리적으로 Broadcast Domain을 나눔
• Shared Media에서 Layer 2 VPN을 제공 (e.g. IGMP, IPTV망 )
• VLAN간 다양한 정책(보안, 필터)을 설정 가능
• IEEE Std 802.1Q 1998 Edition

왜 VLAN이 필요한가?

• 단일 Broadcast Domain 에 연결되는 단말이 증가할 수록 망의 대역폭이 낭비됨
  (Broadcast Traffic의 증가)

  * Braodcast e.g. ARP request, NetBIOS, Apple, etc...

• 단말(또는 단말들의 그룹) 간에 보안을 보장할 방안이 요구됨

  • VLAN간의 Routing을 위한 별도의 마련이 되어 있지 않다면, VLAN간에는 통신이 불가능

VLAN의 종류

• Layer 2 Switching에 의한 통신은 각 VLAN 내에서만 이루어진다

Port-based VLAN

• tagged / untagged
• e.g. VLAN그룹별(대역기반) trunk, hybrid 등에 사용

Protocol-based VLAN

• Ethernet Payload의 내용에 따라 별개의 Forwarding 정책을 적용하고 싶을 때 사용
• e.g. VLAN그룹(Protocol기반) trunk, hybrid 등에 사용

IP또는 MAC-based VLAN

• Source의 IP 또는 MAC 주소 기반으로 VLAN 구분

Port-based VLAN

• Port 번호에 의한 VLAN 구분
  • e.g. VLAN 10 = [port 1, port 2, port 3], VLAN 11 = [port 4, port 5, port 6, port 7] ...
• 하나의 switch에서 두 대 이상의 Hub를 구성한 것 같은 논리적 Broadcast Domian 구성 가능
• VLAN tag(VLAN ID값)에 의한 VLAN classification
• 같은 VLAN tag에서만 Layer 2 Forwarding

Protocol-based VLAN

• Type field 및 Payload의 encapsulation 방법에 따라 Protocol이 구분
  • e.g.. NetBios, AppleTalk 등 서로 Protocol이 다름
• Protocol에 의해 VLAN이 classification
• 같은 VLAN Tag에서만 Layer 2 Forwarding

VLAN tag와 Frame의 종류

VLAN-tagged Frame

• 32 bit(4 Byte)의 VLAN tag field가 수록된 Ethernet Frame

Untagged Frame

• VLAN tag field가 존재하지 않는 Ethernet Frame

Priority-tagged Frame

• 32 bit의 VLAN tag field는 존재하지만, VID값이 0인 경우
• VLAN은 untagged Frame 으로 인식
• 오직 3 bit priority 값만을 표시해 주고자 할 때 사용
• 정상적인 VLAN bridge는 priority-tagged frame을 발생하지 않음
  • 포트의 tagged 관련 설정은 VLAN-tag를 붙이느냐 안붙이느냐
• priority 값을 표시할 수 있는 단말만이 이 frame을 발생 시킬 수 있음

VLAN Bridge의 포트별 변수들

Port State

• STP(Spanning-Tree Protocol) 관점에서의 Port state
• STP enable 일 때에는, STP 알고리즘에 의해 결정
• STP disable 일 때에는,
  Link Up 이면 곧바로 Forwarding state , Link Down 이면 Disabled state

Acceptable Frame Types

• Admit Only VLAN-tagged Frames
• Admit All Frames
• PVID(Port VLAN Identifier)
  • untagged frame 또는 Priority-tagged frame이 수신되었을 때,
    해당 frame의 VID는 수신 포트에 설정된 PVID 값을 따른다.

Ingress Filtering

• Enable / Disable

PVID(Port VLAN Identifier)

• Untagged Frame이 수신되었을 때, 이 Frame이 어느 VLAN에 소속되어 있는지 결정하기 위해 각 포트별로 설정하는 VLAN ID 값
• tag가 없는 Frame 또는 Priority tag만 달려있는 Frame은 수신 포트의 PVID값이 가리키는 VLAN에 소속된 Frame으로 인식

Ingress Rule

• 수신된 Frame이 어느 VLAN에 속하는지(PVID가 무엇인지) 판단하고, 수신을 취소하고 Frame을 버릴것 인지 여부를 결정하는 판단기준
• 아래 해당할 경우 해당 Frame 을 버림

[ Frame을 버리는 경우 ]

• Vlan Classification : 수신 frame의 VID를 결정
  • 수신된 Frame의 VID값이 0 이면(untagged frame or priority-tagged frame)
    • Acceptable Frame Types 값이 Admit Only VLAN-tagged frames이면, 수신된Frame을 버림
    • Port-based VLAN 이외의 VLAN classification을 지원하는 경우,
      해당 방법을 적용해 VID가 얻어졌다면 그 VID 값을 사용함.
      (IP-based VLAN, MAC address based VLAN, Protocol VLAN, etc)
    • Port-based VLAN만을 지원하거나, 그 외의 classification 방법에 의해 VID가 얻어지지않았다면, 수신 포트의 PVID값에 의해 frame의 VID를 결정
  • 수신된 Frame 자체에 VID값이 존재하면 그 값을 사용 (VLAN-tagged Frame)
  • VID값이 0xFFF(4095)이면 Frame을 버림
• Ingress Filtering = Enable 인 경우,
  수신 포트가 VLAN VID의 Member가 아니면 Frame을 버림

Egress Rule

• Frame을 전송할 포트(들) 및 전송될 Frame의 형태(Format)을 결정하는 기준들
• 출력 포트가 frame이 속한 VLAN의 멤버가 아니면 Discard
• Frame이 속한 VLAND에서 출력 포트가 untagged port로 설정되어 있으면, VLAN tag를 붙이지 않음(VLAN tag 제거)
• 그렇지 않으면 해당 VID를 VLAN tag에 수록하여 frame에 덧붙임

Filtering Database Architecture

Shared VLAN learning

• 하나의 VLAN에서 동적으로 배운 MAC주소를 타 VLAN의 MAC주소 정보와 통합해 관리
• 즉, SVL Bridge에서 복수개의 VLAN에서 배운 MAC주소 정보가 하나의 address table에 통합관리

[ Example ]

• VLAN 100 에서 배운 MAC 주소가 VLAN 200 에서 새로 등장하면, 그 주소는 VLAN 100에서 삭제
• VLAN 200 에만 존재하는 것으로 인식

Independent VLAN learning

• 한 VLAN 에서 배운 MAC 주소 정보가 타 VLAN 에서 배운 정보와 별개로 관리
• IVL Bridge 에서는, 하나의 MAC 주소 정보가 복수의 VLAN 상에 동시에 나타날 수 있음
• 각 VLAN 별로 별개의 address table이 존재하는 것과 같은 효과

SVL/IVL Bridge

• SLV과 IVL을 모두 지원하는 Bridge

Multi-VLAN

• 하나의 포트가 여러 VLAN에 소속되는 설정
• 중첩 VLAN
• 각 가입자 포트 간에 보안을 유지하면서 모든 가입자가 Uplink와의 통신을 할 수 있도록 하기위해,
  untagged multi-VLAN 설정

Private VLAN

• 하나의 VLAN 안에서, 하나의 Uplink Port와 Client Port를 설정함
• 가입자 포트에서 수신된 패킷은, 오직 Uplink Port로만 전달가능,
  다른 가입자 포트로는 전달되지 않음
• Uplink Port에 들어온 패킷은 어떤 가입자 포트로도 전달될 수 있음

802.1Q Trunking

• Trunk Linke : 두 Bridge 간의 VLAN Multiplexing에 이용됨. 즉, 두 개 이상의 VLAN frame이 모두 전달
• Access Link : VLAN tag를 달지 않은 frame이 수신되어 PVID값에 따라 VLAN이 결정됨