VLAN (Virtual LAN)

• L2 Switch부터 제공되는 가상의 LAN을 구성하는 기능

• 논리적인 네트워크(Broadcast Domain) 분리 기술
  • 물리적인 분할 -> 물리적인 장비(Router)를 통한 분리
• 식별자(Nuber)를 이용하여 Network이름을 지정한다.
• Switch Port에 VLAN에 대한 정보를 설정 한다.
  • 지정된 port로 전달되는 트래픽에 추가정보(VLAN)를 Tagging 한다.

VLAN 사용 목적

• 네트워크(Broadcast Domain) 분리
  • Broadcast Traffic 축소
• 보안
  • 네트워크가 분리되므로 정책을 통해 허용된 대상만 접근하게 한다.
• 유연성
  • 기존 topology의 큰 물리적인 변화가 없어도 네트워크 구조를 변경할 수 있다.

VLAN 기본 동작 방식

End to Ene VLANs

• 물리적인 위치와 관계없이 업무별 데이터 종류에 따라 VLAN을 할당하는 방식
• VLAN이 전체 스위치 네트워크에 걸쳐져 있는 것
• 사용자가 물리적인 위치를 이동하여도 동일한 네트워크(VLAN)에 소속될 수 있다.
  • 사용자의 물리적인 위치와 상관없이 동일한 정책을 적용할 수 있다.

Local VALNs

• Access Layer에 따라 모든 네트워크를 별도의 VLAN으로 분리하는 방식
• 사용자가 물리적으로 위치를 이동하면 다른 네트워크(VLAN)에 소속 된다.

Static VLAN

• 관리자가 직접 모든 포트에 VLAN에 관련된 정보를 설정
• 기본적이 설정 방식(권장)
• 장점 : 한 장비의 문제가 전체 네트워크에 영향을 미치지 않는다.
• 단점 : 모든 관리와 설정을 관리자가 직접 수행해야 한다.

Dynamic VLAN

• VLAN 할당을 수행하는 외부 장비(프로그램) 등을 사용하여 VLAN에 관련된 정보를 자동으로 설정
  • VMPS(VLAN Membership Policy Server)
  • 장비의 MAC 주소 기반으로 해당 포트에 할당할 VLAN정보를 미리 구성 한다.
• 장점
  • VLAN을 사용하는 장비가 접속되었을 때 자동으로 VLAN 정보가 설정 된다.
  • 이동이 잦은 업무 환경일 경우 효율적이다.
• 단점
  • VMPS에 장애가 발생하면 VLAN을 이용하는 모든 네트워크 서비스에 장애가 발생 한다.

VLAN PORT MODE

• VLAN이 설정되는 Switch port의 동작 방식을 결정한다.
• Access Port Mode
  • 하나의 VLAN 통신을 지원하는 port
    • access mode로 동작하는 port에 vlan 번호를 할당한다.
  • End device와 직접 연결되는 port
  • VLAN 정보를 제거하고 데이터 전송

• Trunk Port Mode
  • 여러 VLAN 트래픽이 전달될 수 있다.
    • 설정을 통해 허용하는 VLAN 트래픽을 제한할 수 있다.
  • Switch가/Router와 연결되는 port에 설정하는 mode
    • 동일한 Tagging Protocol이 설정되어야 한다.
  • VLAN 정보를 데이터와 함께 전송

• Dynamic Mode
  • Port의 Mode를 협상을 통해 동적으로 결정하는 방식
  • DTP(Dynamic Trunking Protocol)로 협상 메시지를 전달 한다.
  • Dynamic Mode 설정 시 Access Port로 설정 되어 있다가 DTP 를 전송 받으면 Mode 변경
• Mode 협상
  • Acess Mode : DTP를 전송하지 않으며, 상대방이 보낻 DTP를 무시
  • Dynamic(Auto) Mode : DTP를 먼저 전송하지 않으며, 상대방에게 DTP를 받은 경우 DTP를 전송
  • Dynamic(Desirable) Mode : DTP를 먼저 전송
  • Trunk Mode : DTP를 먼저 전송하며, 상대방이 보낸 DTP를 무시

Tag

• Switch를 통해 전달되는 데이터(Frame)에 VLAN정보를 추가하는 동작
• 종류
  • 표준 -> IEEE 802.1q(dot1q)(권장)
  • cisco 전용 -> ISL

    802.1q

• 프레임 헤더의 Source Address 와 Type 필드 사이에 4byte VLAN정보 필드를 추가 한다.
• Native VLAN을 지원 한다. -> Tagging하지 않는 VLAN

ISL

• Cisco에서 개발한 Trunking Protocol
• 원본 프레임의 변형 없이 Encapsulation을 통해 VLAN정보를 덧붙임
  • Encapsulation 동작을 수행하는 전용의 chipset을 사용 -> ASIC(Application Specific Integrated Circuits)
• 확장 VLAN,Native VLAN을 지원하지 않는다.

Native VLAN

• VLAN 정보가 없는 프레임을 전송하는 VLAN
  • Tagging 되지 않은 모든 프레임을 Switch에 설정된 Native VLAN의 소속으로 간주 한다.
  • 프레임을 Tagging 하지 않고 Native VLAN으로 지정된 Port로 전달 한다.
• Tag없이 통신한는 VLAN
• VLAN을 구성한 모든 Switch의 Native VLAN의 번호가 일치해야 한다. -> Looping 발생

사용 목적

• Switch와 Hub가 같이 사용되는 통신 환경에서 호환성을 제공
  • Swith-Hub-Switch연결 구간에 Hub에 연결된 사용자는 Untag되지 않은 프레임을 전달 받는다.
  • VLAN tag를 인식하지 못하는 host는 Ethernet Frame의 형식오류라 인식하고 데이터를 폐기한다.
  • Tag없이 통신이 가능한 VLAN이 필요하게 된다.
• Voice 트래픽 전달
  • Tag,Untag의 작업의 부하를 줄여서 데이터 전달 속도를 향상 한다.

VLAN 설정 단계

• VLAN 생성
  • Switch에서 인식해야 하는 VLAN을 만들어 내는 단계
    • global Configuration Mode -> 생성 즉시 활성화, 확장 VLAN 사용 가능
    • VLAN Database Mode -> mode 종료 시 생성 된다. 확장 VLAN 사용 불가능
• VLAN 설정
  • VLAN 설정
    • Access port -> mode 지정, VLAN 할당, 추가 기능(portfast …)
    • Trunk port -> Trunking Protocol 설정, 협상(DTP) 비활성화, mode 지정, native vlan 변경, trunk port 통신에 허가할 vlan 설정(기본,통신,시스템,Native VLAN이 허가 되야 한다.)
• 확인
  • 설정된 VLAN 및 Trunk의 설정 확인

VLAN 설정

• 같은 VLAN 멤버 끼리만 통신 되도록 설정

VLAN 생성

Access port 설정

Trunk port 설정

VLAN 정보 확인

Trunk 정보 설정

Inter VLAN

• VLAN으로 분리된 Broadcast Domain간 통신을 가능하게 한다.
  • Multi Layer Switch 또는 Routing를 이용하여 VLAN을 Routing하는 기술
• 조건 -> Routing기능을 지원하는 장비가 필요 하다.

Inter VLAN 방식

• Router를 이용한 inter VLAN
  • 물리적인 인터페이스를 논리적으로 나눈 sub interface를 이용하여 설정
  • Sub interface 에는 Trunk 설정이 가능한다. -> 하나의 VLAN gateway 설정이 가능하다.
• Multilayer Switch를 이용한 Inter VLAN
  • L3 기능이 지원 가능한 Switch를 이용해 Routing 수행
  • SVI(Switch Virtual Interface)
    • VLAN에 논리적으로 연결되는 가상의 Interface를 생성하여 통신을 지원하는 방식
    • 내부 VLAN의 Gateway 설정에 사용된다.
  • Routed port
    • 물리적인 L2 Port에 L3 기능을 활성화 하여 통신을 지원하는 방식
    • Multilayer Switch간을 연결하거나 Router, 서버와의 연결에 사용된다.

Router Inter VLAN

Router Inter VLAN 설정

Switch Trunk port 설정