VLAN(Virtual Local Area Network)
물리적 구성이 아닌 논리적인 가상의 LAN을 구성하는 기술
- 불필요한 데이터 차단 : 브로드캐스트 도메인 별로 나누어 관리
- 관리의 용이성과 보안 : 호스트의 물리적 이동 없이 LAN그룹 변경이 가능
- 비용 절감 : 새로운 LAN 추가시 물리적 스위치 구매 필요x
- Port 기반 VLAN
여러개의 VLAN을 설정하고 각각의 LAN에 물리적인 포트를 지정
VLAN 변경이 필요한 호스트는 물리적인 포트 or 스위치의 VLAN 설정을 변경
- 변경시 VLAN 그룹에 매핑되어 있는 포트 설정 정보만 변경 or 물리적인 케이블을 이동하여 연결
- MAC 주소 기반 VLAN
각 호스트 or 네트워크 장비의 MAC 주소를 각각의 VLAN에 정의
호스트가 이동되어도 VLAN 변경 필요x, 신규 호스트 연결시 설정 변경 필요
- VLAN 변경시 호스트의 MAC 주소를 다른 VLAN으로 이동
- 신규 호스트 연결시 MAC 주소를 확인하여 VLAN 그룹에 소속
- IP 주소 기반 VLAN
IP주소 서브넷 기반으로 VLAN을 나누는 방법
IP(Internet Protocol) : 3계층에서 사용하는 프로토콜
서브넷 : IP주소의 네트워크 영역의 크기를 나눈것
- VLAN 변경시 호스트의 IP 주소를 다른 VLAN으로 이동
- 신규 호스트 연결시 IP 주소를 확인하여 VLAN 그룹에 소속
Trunk
물리적 스위치간 VLAN 연결 시 하나의 물리적 연결로 VLAN 그룹들을 공유
- 많은 수의 VLAN 그룹들도 물리적 연결 케이블은 1개로 구성
Trunk Protocol
이더넷 프레임에 식별용 VLAN ID를 삽입하여 데이터를 구분하여 통신 및 제어 가능
IEEE 802.1q / VLAN Tagging : VLAN ID정보
802.1q tagged format
이더넷 프레임에 삽입되며 4바이트로 구성
- TPID(Tag Protocol Identifier) : 태그되지 않은 프레임과 태깅된 프레임을 구별
- TCI(Tag Control Information) : 태그 제어 정보
-1. PCP(Priority Code Point) : 프레임의 우선 순위
-2. DEI(Drop Eligible Indicator) : 트래픽 혼잡시 제거되기 적합한 프레임들을 가리키는 용도
-3. VID(VLAN Identifier) : VLAN이 어느 프레임에 속하는지를 결정
VLAN 구성
설계
- VLAN 그룹 정의 :
총무팀 : vlan 100
인사팀 : vlan 200
영업팀 : vlan 300 - VLAN 구성방법 정의 :
포트, MAC주소, IP주소. MAC이나 IP주소 방식의 경우 미리 사전 조사 필요 - Trunk Port 정의 :
대역폭 확인, 허가(Tagged)할 프레임 정의, 정의 되지 않은 Tag는 통신 불가
설정
(예시) 스위치 설정 방법은 각 제조사별로 다르므로 홈페이지에서 메뉴얼 다운로드로 확인
- VLAN 그룹 설정 :
# vlan 100
# vlan 200
# vlan 300- 액세스 모드 : 사용할 포트에 1개의 VLAN ID 설정
# interface GigabitEthernet1/0/1
# switchport mode access
# switchport access vlan 100- 트렁크 모드 : 사용할 포트에 여러개의 VLAN ID 설정
# interface GigabitEthernet1/0/2
# switchport mode trunk
# switchport trunk allowed vlan 100,200,300- 다이나믹 모드 : 연결된 포트들의 상태에 따라서 액세스 or 트렁크로 변경되는 모드
# interface GigabitEthernet1/0/3
# switchport mode dynamic desirable 또는 auto
공부 정리 블로그