1. VLAN이란?
VLAN(Virtual Local Area Network)은 단일 네트워크 장비 내에서 네트워크를 논리적으로 나눠 관리와 보안, 확장성을 극대화하는 기술입니다.
VLAN의 주요 목적
- 효율적인 네트워크 트래픽 관리:** 브로드캐스트 도메인 분리로 불필요한 트래픽 차단.
- 보안 강화: 부서별로 VLAN을 나누면 내부 공격 시에도 피해를 최소화 가능.
- 확장성 확보: 물리적 변경 없이 논리적 분리로 네트워크 설계를 유연하게 변경.
- 비용 절감: 추가 장비 없이 기존 네트워크 인프라 최적화.
2. VLAN의 기본 구성 요소
2.1 VLAN ID
- VLAN ID는 1~4094 범위로 구성되며, 특정 VLAN ID는 특수 용도로 예약되어 있음.
- VLAN 1: 기본 VLAN (스위치 초기 설정 시 모든 포트가 이 VLAN에 포함)
- VLAN 1002~1005: Cisco 장비의 FDDI 및 Token Ring VLAN에 예약
- VLAN 4095: 허용되지 않는 VLAN.
2.2 포트 타입
- Dynamic 포트 (Optional): VTP와 같은 프로토콜을 사용해 자동으로 VLAN 할당 가능.
- Hybrid 포트 (Optional): Trunk와 Access 특성을 모두 가짐. (주로 스위치 간 연결에서 사용)
3. Access와 Trunk 포트의 이해
3.3 Native VLAN의 보안 중요성
- Native VLAN은 태그가 없는 트래픽(untagged traffic)을 처리하는 VLAN으로, 설정하지 않으면 기본 VLAN(1번 VLAN)으로 설정됨.
- Native VLAN을 활용할 때는 다음 사항을 반드시 고려:
- Unused VLAN 사용: Native VLAN으로 사용하지 않는 VLAN ID를 지정해 보안 사고 예방.
- 미사용 트래픽 관리: Native VLAN에 허용되지 않는 트래픽을 모니터링 및 차단.
3.4 DTP(Dynamic Trunking Protocol)의 이해
- Cisco 스위치에서 기본적으로 활성화되는 프로토콜로, 포트 간 trunk 상태를 자동 협상.
- 보안 강화 시 "switchport nonegotiate" 명령으로 비활성화 권장.
4. 실전 VLAN 구성 예시
4.6 VLAN 간 라우팅 설정
- 서로 다른 VLAN 간 통신은 Layer 3 장비(라우터 또는 Layer 3 스위치)가 필요.
- Router-on-a-Stick 구성 예시 (라우터의 단일 인터페이스 사용):
! 서브인터페이스 생성 및 VLAN 태깅
Router(config)# interface fa0/0.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config)# interface fa0/0.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
```
4.7 VTP 구성
- VTP 모드 종류:
-Server: VLAN 정보 생성 및 배포 가능.
- Client: VLAN 정보 수신만 가능.
- Transparent: VLAN 정보를 생성 및 유지하지만, VTP 정보를 전달하지 않음.
- VTP 구성 예시:
Switch(config)# vtp domain MYNETWORK
Switch(config)# vtp mode server
Switch(config)# vtp password securepass
5. VLAN 설계 시 추가 고려사항
5.5 VLAN 이름 관리
- VLAN 이름은 네트워크 문서화 및 관리의 핵심.
- 부서나 기능에 맞는 명명 규칙 설정:
- `ADMIN`: 관리 VLAN
- `SALES`: 영업 VLAN
- `DEV`: 개발 VLAN
5.6 VLAN 세그먼트와 IP 서브넷 일치
- 각 VLAN은 고유의 서브넷을 갖도록 설계.
- 예:
- VLAN 10: 192.168.10.0/24
- VLAN 20: 192.168.20.0/24
- VLAN ID와 IP 서브넷 번호를 매칭하면 관리 용이.
6. 추가 명령어 및 문제 해결 팁
6.1 VLAN 관련 문제 해결 명령어
! 트래픽 태깅 문제 확인
Switch# show interfaces trunk
! VLAN 할당된 포트 목록 확인
Switch# show vlan id 10
! 라우팅 문제 확인 (Layer 3)
Switch# show ip route
6.2 자주 발생하는 VLAN 문제 해결
1. VLAN 간 통신 불가:
- Layer 3 라우팅 설정 여부 확인.
- ACL(Access Control List)로 인한 트래픽 차단 여부 점검.
2. Trunk 연결 문제:
- VLAN 허용 여부 확인 (`switchport trunk allowed vlan`).
- Native VLAN 불일치 여부 확인 (`show interfaces trunk` 명령).
3. IP 충돌 문제:
- 각 VLAN 서브넷 내에서 IP 주소 중복 여부 점검.
VLAN은 네트워크를 효율적으로 관리하고 보안을 강화하는 강력한 기술입니다. 실무에서는 VLAN ID 체계, 문서화, 서브넷 설계, 트렁크 보안 등 다양한 요소를 고려해야 합니다. 체계적인 설계와 지속적인 모니터링을 통해 안정적이고 확장 가능한 네트워크를 구축하세요.
https://velog.io/@onenewarm/%EC%8A%A4%EC%9C%84%EC%B9%98%EC%99%80-VLAN
스위치와 VLAN
특별한 조치가 없는 네트워크에서는 네트워크의 모든 트래픽이 네트워크에 전달되어 불필요한 패킷이 네트워크를 차지하게 된다. 규모가 커질수록 많은 양을 차지하게 된다.Vlan이란 물리적인
velog.io
#네트워크 #네트워크관리 #네트워크설계 #네트워크보안 #VLAN #VirtualLAN #L2스위치 #L3스위치 #시스코 #시스코스위치 #CiscoSwitch #RouterOnStick #TrunkPort #AccessPort #네트워크분리 #브로드캐스트도메인 #기술블로그 #IT #IT인프라 #네트워크엔지니어 #시스템엔지니어 #NetworkEngineering #NetworkSecurity #NetworkDesign #CiscoNetworking #CCNA #NetworkInfrastructure #TechBlog #ITInfrastructure #VTP #DTP #802.1Q #STP #스패닝트리 #서브넷 #라우팅 #IPSubnet #네트워크토폴로지 #네트워크아키텍처 #네트워크최적화 #네트워크구성 #네트워크문제해결 #TroubleShooting
'Network tech > VLAN(Virtual Lan)' 카테고리의 다른 글
| [VLAN] VLAN(Virtual LAN)의 개념과 작동 원리: 네트워크 분할의 핵심 기술 (0) | 2024.08.07 |
|---|
