[Network] VLAN (Virtual Local Area Network)

📌 본 게시물은 자기 학습 목적으로 작성되어 일부 내용이 부정확하거나 최신 정보와는 다를 수 있습니다.
💬 잘못된 부분이나 보완할 점이 있다면 댓글로 공유하여 주시면 감사하겠습니다!

1️⃣ VLAN (Virtual Local Area Network)

• 하나의 물리적인 네트웨크에서 여러 개의 논리적인 네트워크를 생성하여 네트워크를 분리하고 효율성을 향상시키는 기술
• 서로 다른 VLAN에 속한 장치들은 기본적으로 서로 소통할 수 없어 네트워크 보안 및 성능을 강화함

- 주요 특징

1. 논리적 네트워크 분리 : VLAN을 사용하면 물리적 네트워크가 하나더라도 논리적으로 여러 네트워크로 나눌 수 있음
   • 예 : IT 부서, 마케팅 부서, 회계 부서가 각각 별도의 VLAN에 속하도록 구성
2. 보안 강화 : 서로 다른 VLAN에 속한 트래픽은 분리되어 있기 때문에 불필요한 접근 방지 가능
3. 브로드캐스트 도메인 감소 : 각 VLAN마다 별도의 브로드캐스트 도메인을 생성하여 트래픽 혼잡을 줄임

2️⃣ VLAN 종류

VLAN 유형	설명
Port Based VLAN	- 네트워크 장비의 특정 포트를 VLAN에 직접적으로 할당하는 방식 - 가장 널리 사용되며 물리적 관리가 용이 - Tagged 또는 Untagged 방식으로 동작
MAC Address Based VLAN	- 네트워크 장치의 MAC 주소를 기준으로 VLAN을 구성 - MAC 주소를 사전에 등록하고 관리해야 함
IP Subnet Based VLAN	- IP 주소 서브넷을 기반으로 VLAN을 구분하여 설정
Protocol Based VLAN	- 동일한 네트워크 프로토콜을 사용하는 장치들을 하나의 VLAN으로 묶음 - 특정 데이터 유형에 따라 차별화된 포워딩 정책을 적용 가능

---

3️⃣ VLAN 태그 (Tag)

• VLAN 태그는 이더넷 프레임에 추가되어 프레임이 속한 VLAN을 구분하기 위한 정보
• 스위치가 특정 VLAN에 속한 트래픽을 식별하고 관리하기 위해 사용
• 모든 상황에서 VLAN 태깅이 이루어지는 것이 아니며 네트워크 설정에 따라 태깅이 생략되기도 함

- IEEE 802.1Q

• VLAN 태깅을 지원하는 표준 프로토콜로 Trunk Port에서 주로 사용

• 이더넷 프레임의 Source MAC Address(SMAC)와 EtherType 필드 사이에 4바이트 크기의 VLAN 태그를 추가

• 802.1Q 태그 구성

필드	크기	설명
EtherType (TPID)	16 bits	현재 프레임이 802.1Q 프레임임을 나타냄 값은 항상 0x8100으로 고정
Priority (PCP)	3 bits	트래픽의 우선순위를 나타냄 값은 0~7 범위이며, 값이 클수록 우선순위가 높음
CFI (DEI)	1 bit	혼잡 시 제거 가능한 프레임 표시 Drop Eligible Indicator로도 불림
VLAN ID (VID)	12 bits	VLAN 번호를 나타냄 총 4096개(0~4095)의 VLAN ID 중 일부 예약됨

• VLAN 번호
  • 예약된 VLAN ID : 0: 시스템 예약 / 4095 : 시스템 예약 / 1002~1005 : 토큰링 및 FDDI 용도
  • 사용 가능한 VLAN ID : 2 ~ 1001 : Normal VLAN / 1006 ~ 4094 : Extended VLAN

- Native VLAN

• 태그가 없는(Untagged) 프레임을 처리하기 위해 설정된 VLAN
• VLAN 태그가 없는 프레임이 스위치에 도착하면 Native VLAN에 속한 프레임으로 간주
• 스위치는 VLAN 태그가 없는 프레임을 구분할 수 없기 때문에 Native VLAN은 단 하나만 설정 가능
• 기본적으로 Native VLAN은 VLAN ID 1로 설정되나 Native VLAN을 통해 태그가 없는 트래픽을 악용한 공격(VLAN Hopping)이 발생할 수 있음
• 따라서 보안상 기본 ID 1에서 변경하고 태그가 없는 트래픽의 수신을 최소화하는 것이 권장됨

---

4️⃣ Port-based VLAN

📌 1. Access Port Mode

• 물리적인 LAN 내부에서 VLAN 간(같은 VLAN ID를 가진)의 통신을 지원하는 방식
• 각 포트(Port)는 특정 VLAN ID(PVID, Port VLAN ID)와 매핑되어 VLAN을 식별
• 동일 VLAN ID를 가진 L2 장치 간 통신을 위해 추가적인 포트가 필요 -> 특정 VLAN ID로만 통신 가능하여 VLAN ID 개수에 비례하여 포트가 요구
• 프레임에 태그를 추가하지 않아도 스위치가 포트에 매핑된 VLAN ID를 통해 어떤 VLAN에 속하는지 파악

📌 2. Trunk Port Mode

• 물리적인 LAN 내부에서 여러 VLAN 간의 통신을 지원하는 방식
• Frame에 VLAN ID를 포함하는 추가 헤더(VLAN Tag)를 부착
  • VLAN 태그는 IEEE 802.1Q 또는 ISL 프로토콜에 의해 지원
  • L2 장치는 Frame의 VLAN ID 필드를 통해 해당 패킷이 어떤 VLAN에 속하는지 확인하고 Forwarding을 수행
• Access Port Mode와 달리 단일 회선을 통해 여러 VLAN 트래픽을 전달할 수 있어 회선 사용량을 줄일 수 있음

항목	Access Port Mode	Trunk Port Mode
VLAN 태그	태그 없음	태그 추가 (802.1Q/ISL 사용)
회선 효율성	VLAN ID별 별도 회선 필요	단일 회선으로 다중 VLAN 트래픽 처리
사용 사례	단일 VLAN 연결 장치 간 통신	여러 VLAN 및 L2 장치 간 트래픽 전달
헤더 처리	헤더 추가 없음	VLAN ID 태그 포함

📌 3. Dynamic Mode

• VLAN 포트 설정을 자동화하여 관리자의 작업량을 줄이기 위해 사용되는 모드
• 스위치가 DTP(Dynamic Trunking Protocol)을 사용하여 협상을 수행하고 포트 모드(Access/Trunk)를 자동으로 설정
• 공격자가 DTP 메시지를 악용하여 Trunk Port를 설정할 수 있음 -> VLAN 호핑 공격

- 동작 방식

1. 기본적으로 Access Mode 상태에서 시작
2. 연결된 상대방 포트로부터 DTP 메시지를 수신하면 협상(Negotiation)을 통해 포트 모드를 결정
3. 협상 결과에 따라 해당 포트가 Access Port 또는 Trunk Port로 설정

- DTP 협상 과정

모드	DTP 모드	설명
Static	Access Mode	DTP 메시지를 전송하지 않음 상대방 포트가 보낸 DTP 메시지를 무시 항상 Access Port로 동작
Trunk Mode	DTP 메시지를 먼저 전송하고 상대방 포트가 보낸 DTP 메시지를 무시 항상 Trunk Port로 동작
Dynamic	Dynamic Auto	DTP 메시지를 먼저 전송하지 않음 상대방 포트가 DTP 메시지를 전송했을 경우 Trunk Port로 설정
Dynamic Desirable	DTP 메시지를 먼저 전송 상대방 포트와 협상해 Trunk Port로 설정 가능

---

📝 참고

https://daengsik.tistory.com/35
https://pak-j.tistory.com/30