VLAN 개념과 생성

 네트워크란 터미널과 터미널을 통신매체로 연결해서 자료를 전달하는 망이며, 연결 거리에 따라 WAN, LAN 등으로 구별된다. WAN은 터미널 간의 장거리로 연결해 주는 네트워크이며, LAN은 터미널 간의 단거리로 연결해 주는 네트워크이다.

 위의 LAN 1과 LAN 2는 물리적으로 터미널과 터미널을 연결시켜서 만든 서로 다른 LAN이다. 이렇게 네트워크는 물리적으로 터미널과 터미널을 연결시킨다. 하지만 터미널과 터미널이 통신을 하기 위해서는 물리적인 연결 뿐만 아니라 논리적인 연결이 형성되어 있어야 한다. 그리고 물리적으로 연결된 LAN을 논리적으로 분리할 수 있는데, 이를 VLAN이라고 한다. 

 

VLAN

 VLAN이란  하나의 LAN에서 여러 개의 broadcast 도메인을 사용하기 위한 기술로, 2계층 이상 기기의 포트를 그룹단위로 묶어 하나의 subnet으로 만드는 논리적인 네트워크이다. 즉, VLAN은 물리적인 LAN안에 논리적으로 존재하게 된다. 

 

 위의 그림은 LAN 1을 여러 VLAN으로 묶은 그림으로, 모든 터미널은 물리적으로 연결이 되어있지만 논리적으로 서로다른 네트워크를 조성하고 있다. 이는, 주황색의 터미널들은 초록색의 터미널들은 게이트웨이를 사용하지 않는 이상 서로 소통이 불가능하다는 것을 의미한다. 즉, 주황색과 초록색은 서로 네트워크가 다르기에, 사용하는 subnet IP가 다르며, 주황색의 broadcast 신호는 주황색에 있는 터미널에만 도달하게 된다. 

 즉, VLAN이 없으면, 같은 LAN에서의 모든 사용자가 정보를 공유를 하게 되기에 불필요한 트레픽이 발생하며, 보안상으로 취약하게 된다. 그래서 broadcast 도메인을 분리하여, broadcast신호가 필요한 사용자에게만 가도록 VLAN을 사용하는 것이다. 

 

Access모드와 Trunk모드

 물리적 LAN에서 데이터를 전송할 때 2계층에서 사용하는 프로토콜이 "Ethernet"이다. 하지만 VLAN을 이용해서 데이터를 전송할 경우, 2계층에서 사용하는 프로토콜이 "IEEE802.1Q"된다. "IEEE802.1Q"는 "Ethernet"의 헤더에 VLAN관련 정보인 VLAN TAG가 추가된 프로토콜로, VLAN을 이용해서 통신할 때 사용이 된다. 

 해당 태그는 데이터가 어떤 VLAN에서 적용되는지 알려준다. 그래서 데이터를 전송할 때, 태그와 함께 전송 해야 한다. 이때 태그랑 함께 데이터를 다른 기기로 전송하는 포트 모드를 Trunk모드라고 하며, 스위치들이 VLAN 정보를 포함한 데이터를 전송해야 할 때 "IEEE802.1Q"를 사용해서 전송한다.

 

 반대로, 태그를 제거하고 데이터를 다른기기로 전송하는 포트 모드가 있는데, 이 모드를 Access모드라고 한다. Access모드는 스위치에서 특정 VLAN에 해당되는 디바이스에게 데이터를 전송할 때 사용하는 모드로, "Ethernet"을 사용해서 전송한다.

 예시로, 그림처럼 빨간색의 컴퓨터끼리 전송한다고 할 때, 컴퓨터와 스위치 사이에선 "Ethernet"이, 스위치와 스위치 사이에선 "IEEE802.1Q"를 통해 전송이 된다. 그리고 해당 과정은 "P"단축키로 데이터를 전송한 뒤, 시뮬레이션으로 과정을 확인 할 수 있다.

Switch 2	Switch 3	Switch 4

 

  즉, Access모드는 컴퓨터와 스위치 사이에서 통신하는 포트의 모드이며, Trunk모드는 스위치와 스위치 사이에서 통신하는 포트의 모드이다.

access 모드	trunk 모드
스위치가 VLAN정보를 기반으로 해당 디바이스에게 연결하기 위한 모드 (특정 VLAN만 이동시키는 모드)	스위치들이 여러 개의 VLAN정보를 가진 데이터를 통신하기 위한 모드 (모든 VLAN을 이동시킬 수 있는 모드)
VLAN 태그를 만들지 않고 전송하는 모드	VLAN 태그를 만들고 전송하는 모드

 

VLAN 생성방법

 VLAN은 2계층 이상 기기의 포트를 그룹화해서 로컬네트워크(LAN)를 논리적으로 분리하는 기술이다. 그렇다면 VLAN은 어떻게 구성되는 것일까? 

show vlan

 위의 VLAN 정보를 보면 VLAN 1에 포트가 그룹으로 묶여있는 것을 확인할 수 있다. 이는 디바이스가 만들어질 때, VLAN 1은 기본적으로 생성이 된다. 즉, 디바이스의 모든 포트는 하나의 물리적인 LAN으로 인식되고 VLAN으로 나누지 않을 경우 하나의  논리적인 VLAN에 속해져 있다. 그리고 하나의 물리적 LAN으로 인식되며, VLAN 1이 항상 적용되어 있을 경우, 같은 VLAN이여서 서로 통신이 가능한 것이다.

 

 VLAN은 4096개까지 생성가능하지만, 4096은 시스템에서 사용되기에 실질적으로는 4095개 까지만 생성 가능하다. 이때, "2~1001"을 일반 VLAN, "1006~4095"을 확장 VLAN이라고 한다. 

 

 VLAN을 구성하는 방법은 새로운 VLAN을 만들어서 포트를 해당 VLAN에 소속하면 된다. 이러한 구성을 Port기반 VLAN(정적 VLAN)이라고 하며,  이때 포트는 하나의 네트워크에만 소속할 수 있다. 그 외에도 IP기반 VLAN, 프로토콜 기반 VLAN(동적 VLAN)이 있다.

정적 VLAN	동적 VLAN
각각의 포트마다 원하는 VLAN정보를 할당하는 방식	서버(VMPS)에서 MAC주소나 IP주소를 기반으로 VLAN 정보를 배정 하는 방식

• VLAN 생성
  1. vlan [번호] : VLAN을 생성하고 해당 VLAN의 설정모드로 진입하는 명령어로, 전역설정모드와 그 하위 설정모드에서 진입할 수 있다.
  2. name [이름] : VLAN의 이름을 변경하는 명령어
• VLAN에 해당 포트 소속
  1. interface range Fa[포트번호] - [포트번호] : 해당 포트들의 인터페이스 설정 모드에 진입하는 명령어로, "interface range Fa0/1-2"는 포트번호 0/1~0/2의 인터페이스 설정모드에 진입
  2. switchport mode access  : 포트의 모드를 access모드로 변경하는 명령어
  3. switchport access vlan [번호] : 해당 포트들에게 access모드로 vlan 번호를 할당하는 명령어로, 같은 VLAN 번호를 가진 데이터만 사용 가능하도록 설정

//switch 3
Switch(config-if-range)#vl 100
Switch(config-vlan)#int ran fa0/1-2
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport mode vl 100
Switch(config-if-range)#vl 200
Switch(config-vlan)#int ran fa0/3-4
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vl 200
Switch(config-if)#do sh vl

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Gig0/1
                                                Gig0/2
100  VLAN0100                         active    Fa0/1, Fa0/2
200  VLAN0200                         active    Fa0/3, Fa0/4
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0
100  enet  100100     1500  -      -      -        -    -        0      0
200  enet  100200     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        0      0   
1003 tr    101003     1500  -      -      -        -    -        0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trnet 101005     1500  -      -      -        ibm  -        0      0   

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

Remote SPAN VLANs
------------------------------------------------------------------------------

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------
Switch(config)#interface fa0/23
Switch(config-if)#switchport mode trunk 
Switch(config)#do show run
Building configuration...

...

spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
 switchport access vlan 100
!
interface FastEthernet0/2
 switchport access vlan 100
!
interface FastEthernet0/3
 switchport access vlan 200
 switchport mode access
!
interface FastEthernet0/4
 switchport access vlan 200
 switchport mode access
!

...

interface FastEthernet0/22
!
interface FastEthernet0/23
 switchport mode trunk
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 no ip address
 shutdown

...

end

 위의 과정을 통해 Switch 3에만 VLAN을 생성하고 포트를 해당 VLAN에 소속한 것으로, 단축키 "P"를 통해 서로 연결 되어 있는지 확인 할 수 있다.