[🌐Network] VLAN을 통한 스위치 가상화(분리)

유니캐스트 : DDoS
브로드캐스트 : LAN Storm

현재장소에따라서 BroadCast 도메인이 나뉘고 있다.

a,b와 c, d가 같은 도메인에 속하므로 다른 집단에서 다른집단으로 브로드캐스트 공격을 할 수 있다. 즉, 취약하다.
고객의 요구사항은 다른 집단의 컴퓨터에서는 브로드캐스트를 통해서 공격할 수 없도록 하고 싶다.

어떻게 해야할까?

pc a, b, c, d가 전부 같은 네트워크 상이 있다.

유니캐스트 패킷이 라우터에 도착하게 되면
브로드캐스트와 다르게 통과시킵니다.

즉, 라우터에서 하는 일(라우팅, 프레임 리라이트, 증폭)을 그대로 수행하게 됩니다.

이를 a, b는 a, b에게 c, d는 c, d에게 보내려면 어떻게 해야할까?

해답

바로 스위치를 4개 더 추가하면 된다.
하지만, 이렇게 스위치를 4개더 박게되면 스위치 돈 많이 드는 문제가 발생한다.
지금은 6개로 분리할 수 있지만, 100팀이였으면 스위치가 총 300개가 되어야 할 것이다.

해결방법은? VLAN

VLAN을 통해서 스위치를 쪼개면 되는 것이다.

이를 실습과정을 통해서 바로 보도록 하자.

실습

0. 라우터간에 IP 주소할당
   주소할당 이후, 반드시 ro e 100 / network 10.0.0.0 을 해줘야함.

1. 선언
   vlan 10
   vlan 20

2. 각각의 엑세스 포트 설정
   in fa 0/1
   switchport access vlan 10
   in fa 0/1
   switchport access vlan 20

VLAN은 스위치를 분할하는 솔루션이다.
브로드캐스트 도메인을 분할하는 솔루션.

하지만..

브로드캐스트 공격은 차단할 수 있게 되었지만, 유니캐스트 공격에 대해서는 차단하지 못한다.
이러한 유니캐스트 공격을 차단하는 방법에 대해서는 다음에 알아보자.

Trunk

또한 VLAN은 1000개까지 되는데, 만약 1000개 필요한 경우, 한 스위치에 포트가 3000개의 포트가 있어야 할 것이다.
이를 해결하기 위한 방법이 Trunk이다.
Trunk는 도는 Vlan의 전송통로가 되므로 단, 하나의 선만있으면 된다.

그럼 구분을 어떻게 하냐고?

바로 패킷에 Vlan 번호를 추가하는 것이다.
이렇게되면 패킷의 Vlan 번호를 통해서 어느 곳으로 가는지를 알 수 있다.

in f 0/x
switchport mode trunk

그럼 vlan을 사용할 때만 Trunk를 사용할 수 있는것일까?

아니다. vlan은 스위치를 분할 하는 것이고, Trunk는 분할된 선을 합치는 것이다.

추가 주제 IP 할당해서 Ping 보내기

다음과 같이 스위치에 IP를 할당하여 핑을 보낼 수 있다.

int vlan 10
no sh
ip add 10.1.3.7 255.255.255.0
ip default-gateway 10.1.3.1

다음 주제

레이어 3 스위치는 라우터와 스위치의 기능을 동시에 하는 장비이다.
이를 VLAN에 적용시켜보도록 하자.