VLAN

VLAN 정의

2계층에서 스위치는 Broadcast Domain을 나눌 수 없다. Broadcast는 LAN 안에서의 모든 기기에게 패킷을 뿌리는 건데 스위치는 그 역할을 할 수 없기 때문이다. 하지만 라우팅이 필요 없는 상황에서 굳이 라우터를 구매해 Broadcast Domain을 나누려고만 사용 할 필요는 없다.

 

VLAN은 2계층에서 스위치가 Broadcast를 가상으로 나누기 위한 기술이다. 가상의 Broadcast Domain을 생성함으로써 전체 Broadcast Traffic을 제한 하고 이 논리적으로 나눈 그룹에 대해 서로 다른 보안정책을 적용 시킬 수 있어 보안성도 올라간다.

• A VLAN = A Broadcast Domain = Logical Network = A LAN
• L2계층에서 Broadcast를 나누기 위한 기술
• 가상의 Broadcast Domain을 생성함으로써 전체 Broadcast Traffic을 제한 할 수 있다.
• VLAN 하나하나가 하나의 Broadcast영역을 나타낸다.
• VLAN은 같은 네트워크 내에서만 사용되어지므로 다른 네트워크에는 영양을 주지 않는다. (구별 못한다)
• 논리적으로 네트워크 대역이 달라진 것이므로 VLAN간의 통신은 라우터나 L3스위치를 통해서만 가능하다.

VLAN 종류

• Port 기반 VLAN
• MAC 기반 VLAN
• Network 주소 기반 VLAN
• Protocol 기반 VLAN

실습1

VLAN 실습 1

---

<S1>

S1>en

S1# conf t

 

S1(config)# vlan 10                            //vlan 10번을 쓸 것이라 선언

S1(config-vlan)# vlan 20                     

S1(config-vlan)# exit

 

S1(config)# int f0/2

S1(config-if)# switchport mode access          //access모드 활성

S1(config-if)# switchport access vlan 10        // f0/2에 vlan 10만 올 수 있도록 선언

 

S1(config-if)# int f0/3

S1(config-if)# switchport mode access          //access 모드 활성

S1(config-if)# switchprort access vlan 20       //f0/3에 vlan 20만 올 수 있도록 선언

 

S1(config-if)# int f0/1

S1(config-if)# switchport mode trunk          // trunk 모드 활성. 모든 vlan은 이 포트를 지나갈 수 있다.

---

실습 1 결과

• 같은 vlan 번호끼리 통신이 된다.
• 모두 물리적인 네트워크 대역(192.168.10.0)은 같지만 서로 다른 vlan끼리 통신이 안된다.
• 논리적으로 서로 다른 LAN이기 때문이다. 이 둘이 통신이 되려면 라우터가 있어야 할 것이다.

 

실습2

VLAN 실습 2

---

<S1>

S1>en

S1#conf t

 

S1(config)# fa0/1

S1(config-if)# switchport mode trunk

 

S1(config-if)# fa0/2

S1(config-if)# switchport access vlan 10

S1(config-if)# switchport mode access

 

S1(config-if)# fa0/3

S1(config-if)# switchport access vlan 20

S1(config-if)# switchport mode access

 

S1(config-if)# fa0/4

S1(config-if)# switchport access vlan 30

S1(config-if)# switchport mode access

 

 

<R1>

R1>en

R1# conf t

 

R1(config)# fa0/0

R1(config-if)# no sh

 

R1(config-if)# fa0/0.10

R1(config-if)# encapsulation dot1Q 10

R1(config-if)# ip add 192.168.10.254 255.255.255.0

 

R1(config-if)# fa0/0.20

R1(config-if)# encapsulation dot1Q 20

R1(config-if)# ip add 192.168.20.254 255.255.255.0

 

R1(config-if)# fa0/0.30

R1(config-if)# encapsulation dot1Q 30

R1(config-if)# ip add 192.168.30.254 255.255.255.0

---

192.168.10.1 에서 다른 대역으로 통신을 추적해보면

192.168.10.1의 명령프롬프트

패킷이 바로 가는게 아니라 라우터를 한 번 거치는 것을 알 수 있다. 이처럼 서로 다른 네트워크 대역 취급 되는 것을 알 수 있다.