1. 개 요
VLAN(Access)은 네트워크에서 가상 LAN(Virtual Local Area Network)을 구성하여 물리적인 네트워크를 여러 개의 가상 네트워크로 분할하는 기술입니다. VLAN Access는 이러한 VLAN을 사용하여 네트워크 트래픽을 관리하는 방법 중 하나입니다.
VLAN Access를 사용하면 네트워크 장비(스위치 등)를 사용하여 특정 VLAN에 대한 포트 접근을 제어할 수 있습니다. 즉, 특정 포트에 연결된 장치가 어떤 VLAN에 속하는지 결정하고, 해당 VLAN에 속하는 장치 간의 통신을 허용하거나 차단할 수 있습니다.
2. VLAN의 종류
정적 VLAN(Static VLAN) : 관리자가 수동으로 VLAN을 구성하고 관리합니다. 포트 기반 VLAN이나 MAC 주소 기반 VLAN과 같은 방법으로 구성됩니다. 변경이 필요할 때마다 관리자가 직접 설정해야 합니다.
동적 VLAN(Dynamic VLAN) :VLAN 멤버십을 자동으로 할당하는 방법입니다. 일반적으로 사용자가 로그인하는 위치에 따라 VLAN을 자동으로 할당하거나, 사용자가 속한 그룹에 따라 VLAN을 할당합니다. 이는 스위치나 인증 서버와 같은 장비를 사용하여 구현됩니다.
VLAN 트렁크(Trunk VLAN) : 여러 VLAN을 하나의 물리적인 링크 또는 포트에 전송하는 방법입니다. 이를 통해 물리적인 네트워크 링크를 효율적으로 활용할 수 있습니다.
Voice VLAN : 전화 기기와 같은 음성 장치를 위한 VLAN입니다. Voice VLAN은 음성 트래픽을 우선시하여 품질을 향상시키고, 음성 트래픽과 데이터 트래픽을 분리하여 네트워크 성능을 최적화합니다.
Native VLAN : 트렁크 링크에서 태그되지 않은 트래픽이 전송되는 VLAN입니다. 트렁크 링크 상에서 태그된 VLAN 트래픽과 구별하기 위해 사용됩니다.
Management VLAN : 네트워크 장비(스위치, 라우터 등)의 관리를 위한 VLAN입니다. 관리자가 네트워크 장비에 접근하고 관리할 수 있는 VLAN을 지정합니다.
Community VLAN : 여러 개의 VLAN을 묶어 하나의 그룹으로 관리하는 방법입니다. 하나의 그룹에 속한 VLAN은 서로 통신할 수 있지만, 다른 그룹의 VLAN과는 통신할 수 없습니다.
Private VLAN : 보안을 강화하기 위해 개별 포트 간의 통신을 제한하는 VLAN입니다. 일부 포트는 프라이빗 VLAN의 호스트로 제한되고, 다른 포트는 특정 프라이빗 VLAN에 연결할 수 있습니다.
이 외에도 다양한 환경과 요구에 맞추어 VLAN을 세분화하거나 확장하는 다양한 종류의 VLAN이 있을 수 있습니다.
3. 알아둬야 할 VALN
1) Access VLAN
Access VLAN은 스위치 포트에 연결된 장치가 속하는 VLAN입니다. 이것은 스위치 포트에 직접 연결된 장치가 속하는 VLAN으로, 해당 포트를 통해 전송되는 모든 트래픽은 지정된 Access VLAN으로 태그됩니다. 일반적으로 이는 단일 VLAN에 대한 단일 포트를 나타냅니다.
Access VLAN은 주로 말단 단말(컴퓨터, 프린터, IP 전화기 등)이 속하는 네트워크 세그먼트를 정의하는 데 사용됩니다. 이렇게 하면 호스트 간의 통신을 허용하고, 호스트와 네트워크의 다른 부분 간의 트래픽이 제한됩니다.
예를 들어, 스위치의 특정 포트에 연결된 컴퓨터가 이 포트를 통해 네트워크에 연결되고 해당 IP 대역으로 세팅되면, 해당 포트는 Access VLAN 10에 할당됩니다. 이 포트로 전송되는 모든 트래픽은 VLAN 10으로 태그되며, VLAN 10에 속한 다른 단말들과 통신할 수 있습니다.
Access VLAN은 트렁크 포트에서 사용되는 Native VLAN과 대비됩니다. 트렁크 포트는 여러 VLAN 트래픽을 전달하는 데 사용되는 포트이며, Native VLAN은 트렁크에서 태그되지 않은 트래픽이 속하는 VLAN입니다. Access VLAN은 일반적으로 단말과 스위치 간의 연결에 사용되며, 단말이 속하는 VLAN을 정의하는 데 사용됩니다.
※ 가상 네트워크 분할 : VLAN Access를 사용하면 네트워크를 가상적으로 여러 개의 독립된 LAN으로 분할할 수 있습니다. 각 VLAN은 다른 VLAN과 독립적으로 동작하며, 서로 다른 네트워크 관리 정책을 적용할 수 있습니다.
※ 트래픽 제어: VLAN Access를 사용하여 특정 VLAN에 대한 포트 접근을 제어할 수 있습니다. 이를 통해 VLAN에 속한 장치 간의 통신을 제한하거나 특정 VLAN에 속한 장치에 대한 네트워크 접근을 허용할 수 있습니다.
※ 보안 강화: VLAN을 사용하여 네트워크를 분할하고 트래픽을 제어함으로써 보안을 강화할 수 있습니다. 예를 들어, 중요한 데이터가 있는 VLAN에 접근할 수 있는 장치를 제한함으로써 네트워크 보안을 강화할 수 있습니다.
※ 네트워크 유연성: VLAN을 사용하면 물리적인 네트워크 구조를 변경하지 않고도 네트워크를 유연하게 구성할 수 있습니다. 새로운 VLAN을 추가하거나 VLAN 구성을 변경함으로써 네트워크를 더 효율적으로 관리할 수 있습니다.
따라서 VLAN Access는 네트워크 관리자가 네트워크 트래픽을 효율적으로 관리하고 보안을 강화하는 데 유용한 기술입니다.
2) Trunk VLAN (dot1q)
트렁크 VLAN(Trunk VLAN)은 여러 개의 VLAN을 하나의 물리적인 링크 또는 포트에 전송하는 VLAN입니다. 이를 통해 물리적인 네트워크 링크를 효율적으로 활용할 수 있습니다.
트렁크 VLAN은 주로 스위치 사이에 사용되며, 네트워크 장비 간에 모든 VLAN 태그된 프레임을 전송합니다. 이를 통해 하나의 트렁크 링크를 사용하여 다양한 VLAN 간의 트래픽을 전송할 수 있습니다. 스위치 간 전체 트래픽을 받을 수 있도록 설정하는 방식입니다.
※ 네이티브 VLAN(Native VLAN) 설정 : 트렁크 포트에서 태그되지 않은 트래픽이 속하는 VLAN을 정의합니다. 이는 트렁크 포트에서 전송되는 프레임 중에 태그가 없는 경우에 적용됩니다.
※ 태깅된(VLAN Tagged) VLAN 설정 : 트렁크 포트를 통해 전송되는 각 VLAN을 정의하고 해당 VLAN에 대한 태그를 설정합니다. 이는 트렁크 포트를 통해 전송되는 모든 프레임에 VLAN 태그가 포함되어 있는 경우에 적용됩니다.
트렁크 VLAN을 설정하면 하나의 물리적인 연결을 사용하여 다양한 VLAN 간의 트래픽을 효율적으로 전송할 수 있습니다. 이는 네트워크의 효율성을 높이고 대역폭을 효과적으로 활용할 수 있도록 도와줍니다.
예를 들어 VLAN 10, 20, 30이 각 포트에 설정된 스위치가 있고, 스위치를 증설하여 사용할 경우 해당 VLAN 정보를 모두 넘겨주려면 Trunk 모드를 사용하여 연결합니다. 혹은 증설되는 스위치는 VLAN 20번 전용으로 사용하고 싶을 경우 Access VLAN 설정으로 해당 VLAN만을 넘겨줍니다.
2. VLAN 설정하기
VLAN을 설정하지 않으면 기본적으로 HUB 모드로 작동하게 되며 VLAN1이 기본적으로 자동설정된다.
VLAN 10과 VLAN 20을 생성하여 각각 2개의 부서에 사용할 포트를 설정하는 방법을 알아보도록 하겠습니다.
1) VLAN 생성
Itgoit_SW1# enable
password:
Itgoit_SW1# config terminal
Itgoit_SW1(config)# vlan 10 // vlan 10 생성 (그냥 vlan 뒤에 설정할 숫자를 입력. vlan 10이 생성)
Itgoit_SW1(config-vlan)# name ## sales ## // 영업팀 이름 지정
Itgoit_SW1(config-vlan)# exit // vlan 10 설정 나가기
Itgoit_SW1(config)# vlan 20 // vlan 12 생성 (그냥 vlan 뒤에 설정할 숫자를 입력. vlan 20이 생성)
Itgoit_SW1(config-vlan)# name ## tech ## // 기술팀 이름 지정
Itgoit_SW1(config-vlan)# exit // vlan 20 설정 나가기2) VLAN IP 지정 및 각 포트 MODE (Trunk, Access) 설정
Itgoit_SW1(config)# interface vlan 10 // 생성된 vlan 10번 설정진입
Itgoit_SW1(config)# no shutdown // 간혹 shutdown port 상태가 있으므로 활성화시킴
Itgoit_SW1(config)# ip address 192.168.200.254 255.255.255.0 // VLAN 10에 대한 IP 192.168.200.254/24 설정
Itgoit_SW1(config)# exit
Itgoit_SW1(config)# interface range gi0/1 - 12 // 포트 범위 gi0/1~12번 포트설정 진입 (혹은 단일 포트)
Itgoit_SW1(config-if-range)# switchport mode access // 해당 포트를 vlan으로 던질 준비
Itgoit_SW1(config-if-range)# switchport access vlan 10 // 해당 포트를 vlan 100으로 선언
Itgoit_SW1(config-if-range)# exit // 해당 포트(범위) 설정에서 나가기
Itgoit_SW1(config)# interface vlan 20 // 생성된 vlan 20번 설정진입
Itgoit_SW1(config-if)# no shutdown // 포트 활성화
Itgoit_SW1(config-if)# ip address 192.168.200.253 255.255.255.0 // VLAN 10에 대한 IP 192.168.200.253/24 설정
Itgoit_SW1(config-if)# exit
Itgoit_SW1(config)# interface range gi0/13 - 24 // 포트 범위 gi0/13~24번 포트설정 진입 (혹은 단일 포트)
Itgoit_SW1(config-if-range)# sw mo acc // 해당 포트를 vlan으로 던질 준비
Itgoit_SW1(config-if-range)# sw acc vlan 200 // 해당 포트를 vlan 100으로 선언
Itgoit_SW1(config-if-range)# exit
Itgoit_SW1(config)# exit
Itgoit_SW1# show interface trunk3) 주의사항
VLAN 생성 시 미쳐 vlan 10 이라는 명령어를 쓰지 않고 interface vlan10만 입력 후 진입하시는 분들이 계시는데 Vlan을 생성 시에는 꼭
“vlan 숫자” 엔터 치셔서 생성을 해야 vlan이 생성됩니다. show interface trunk 확인하여 vlan 생성 되었는지 확인 후 설정하기 바랍니다.
interface 지정 시 fastethernet인지 gigabitethernet인지 잘 구분하고, 범위지정 시 각 슬롯 시작 포트~마지막 포트 까지지정이 되니 참고
