개요
vEOS1스위치와DSW2사이 allowed vlan이 10밖에 존재 하지 않을 때
(pc)10.100->(pc)20.100ping이 나가는거에 대한 의문이 생김
"request는 vlan 10으로 나간다고 해도 response는 vlan 20에서 오는거니까 응답을 못받지 않을까?"
원인
DSW2(L3스위치)에서 라우팅이 일어날때 캡슐화/역캡슐화 과정을 통해 VLAN이 바껴 통신이 가능하게 된다.
프레임이 L3에서 라우팅 경로가 결정된 후 이더넷 프레임을 생성할 때 목적지 IP에 해당하는 VLAN으로 캡슐화 함.
위 사진은 DSW2의 gi0/1(왼) gi0/2(오)를 캡쳐한 화면임.
VLAN ID가 목적지 IP에 해당하는 VLAN으로 바뀐걸 확인 할 수 있음.
결론
L3 스위치는 서로 다른 네트워크(VLAN) 간의 통신을 가능하게 하는 것이 목적.
각 VLAN은 별도의 브로드캐스트 도메인이므로, 프레임이 올바른 VLAN으로 전달되려면 해당 VLAN 태그를 가져야 함.
L3 라우팅 후에는 목적지 네트워크에 맞는 새로운 Layer 2 프레임을 만들어야 하므로 VLAN 태그도 그에 맞게 변경됨.
VLAN간 통신을 막고싶으면 L3에서 ACL이용하기
IT Note