VLAN에 대하여

양승현·2022년 7월 12일
0

network

목록 보기
9/13
post-thumbnail

VLAN(Virtual Local Area Network )이란?

  • 물리적 배치와 상관없이 논리적으로 LAN을 구성할 수 있는 기술이다.
  • 하나의 물리적인 네트워크에 있는 VLAN과 다른 물리적인 네트워크에 있는 VLAN은 서로 관계없다.
  • VLAN을 지원하는 네트워크 장비는 VLAN을 여러개 생성할 수 있고, VLAN을 통해 브로드캐스트 도메인을 나눌 수 있다.
  • 나누어진 브로드캐스트 도메인은 VLAN이 설정된 포트에 연결된 단말의 IP대역만 통신 가능하며 다른 VLAN과 통신하기 위해서는 3Layer 이상의 스위치나 라우터를 통해야만 가능하다.
  • VLAN은 1~4096개의 번호 사용(VLAN ID)

장점

1 . 네트워크 리소스 보안을 높인다.

  • 네트워크 그룹 설정을 변경하거나 이동하게 되면 보안상의 문제가 발생할 우려가 있지만 VLAN을 이용하면 실제적인 네트워크 그룹의 이동이 없어도 되어 보안상 문제를 쉽게 줄이기 가능

2.비용을 절감 효과

  • VLAN 기술을 쓰지 않는다면 서로 차단된 LAN 환경을 구축할 때 장비가 추가로 필요하게 된다. 하지만 VLAN을 이용한다면 장비의 추가 없이 차단된 LAN 환경을 구축할 수 있다.

3.불필요한 트래픽을 줄인다.

  • VLAN은 서로 다른 네트워크 그룹이기 때문에 브로드케스트 패킷이 다른 VLAN으로 전송되지 않는다.
  • 또한 세분화하여 Broadcat domain 을 나눌 수 있기 때문에 불필요한 트래픽을 현격히 줄일수 있다.

4.관리자의 네트워크 설정작업이 편리하다.

  • 네트워크 관리자가 특정 장비의 네트워크 그룹을 옮겨야할 때 실 장비를 옮기는 과정없이 스위치 설정만으로 네트워크 그룹을 옮길수 있으므로 편하다.

3. vlan을 디자인 하는 2가지 방법

  1. end-to-end vlan :
  • 물리적으로 떨어져 있는 구간을 하나의 vlan으로 연결하는 방법
  • 보통 각 층에 있는 동일 업무를 하는 사람들의 PC를 그룹화 하는것
  1. local vlan :
  • 한 지역에 있는 PC들을 하나의 vlan으로 그룹화 하는것 (주로 사용)
브로드캐스트 : 해당 네트워크의 모든 노드에게 소식을 전하는 것.
브로드캐스트 도메인 : LAN상 에서 브로드캐스트 패킷을 전송할 때, 이 패킷에 대하 그 패킷을 수신할 수 있는 단말들의 집

예)

VLAN 10 -> 10.10.10.x/24
VLAN 20 -> 10.10.20.x/24
  • VLAN의 기본 목적인 브로드캐스트 도메인 분할이다
  • 스위치는 포트에 설정된 각 VLAN을 보고 트래픽 전달 여부를 판단
  • PC1과 라우터 f0/0에서 전달되는 브로드 캐스터는 VLAN 10이 설정된 포트로만 전달된다.
  • PC2와 PC3은 라우터 f0/1 포트로 브로드캐스트를 전달할 수 있다. 즉 PC2와 PC3은 서로 직접적인 통신이 가능하다. (동일한 브로드캐스트 도메인에 속하기 때문)
  • VLAN을 사용함으로 10.10.10.x/24와 10.10.20.x/24는 IP 대역을 논리적으로 분할하여 사용한다.

Trunk(Tagging)

  • VLAN이 추가될 때마다 포트를 같이 추가 하는 것은 매우 비효율적이기 때문에 다수의 VLAN에 하나의 포트를 사용할 수 있도록 만든 기능
  • 스위치와 스위치의 프레임 전달시 하나의 포트에 다수의 VLAN이 지나갈 수 있도록 기능하는 링크
  • Trunk 설정이 적용된 양쪽 스위치 포트를 Trunk Port(Tagged port)라고 한다.
  • Trunk가 적용되지 않은 하나의 VLAN만이 설정되어 있는 포트는 Access Port라고 한다.

하나의 포트에 여러 VLAN에 소속된 프레임이 포트에 들어갔다 나올때 오떻게 구별할 수 있을까??

  • 이더넷 프레임에 태그를 삽입하여 트렁크 포트를 지나는 이더넷 프레임의 VLAN ID를 구별할 수 있도록 IEEE 802.1Q를 이용한다.

IEEE 802.1Q

  • 스위치와 스위치 사이의 트렁크 포트에서 VLAN ID 정보를 전달하기 위한 방법
  • 트렁크로 설정된 포트에 이더넷 프레임이 진입하게 되면 프레임의 VLAN ID가 기록된 태그를 이더넷 프레임의 내부에 끼워넣는다 (이더넷 프레임을 확장)
  • 이렇게되면 건너편 스위치에서 이 프레임을 받을 때 이더넷 프레임에 기록된 태그를 보고 이 이더넷 프레임이 어느 VLAN 소속인지를 구별한다.
profile
양승현
이전 포스트

ACL(access control list)에 대하여

다음 포스트

FHRP(first hop redundancy protocol)에 대하여

0개의 댓글