스위치 VLAN
Switch와 연결된 모든 장비들은 하나의 Broadcast Domain에 포함된다. 스위치와 연결된 장비가 많아지면 많아질 수록 Broadcast의 발생이 점점 많아지기 때문에 Router를 사용해 물리적으로 Network 영역을 구분해야만 한다. 하지만 Router를 사용해 물리적으로 Network 영역을 구분하는 대신 VLAN 기술을 사용하면 논리적으로 Network (즉, Broadcast Domain)를 나눌 수 있다.
즉, 하나의 Switch에 연결된 장비들의 Network(Broadcast Domain) 영역을 나눌 수 있다.
- VLAN은 포트별로 구분할수도 있고 그룹으로 구성할 수 있다.
VLAN_A : Fa0/1, Fa0/2
VLAN_B : Fa0/3, Fa0/4
VLAN_C : Fa0/5, Fa0/6
* VLAN 설정을 하기 전에는 모든 포트들은 default VLAN인 VLAN 1에 속해 있다.
서로 다른 VLAN에 속한 장비들은 Router 혹은 L3 Switch 같은 Layer 3 장비를 통해야만 서로 통신이 가능.
<VLAN의 장점>
VLAN을 사용하면 Network의 보안성 강화된다.
- 장비들이 동일한 VLAN에 속했을 경우 통신 내용을 훔쳐보는 것이 매우 쉽다.
- 장비들을 서로 다른 VLAN으로 구분했을 경우 Router를 통해야만 통신이 이뤄지기 때문에 Router에 다양한 보안 정책을 적용해서 보안성을 강화시킬 수 있다.
- VLAN을 사용하면 Switch Network에서 Load balancing이 가능.
- VLAN을 사용하지 않으면 STP에 의해서 이중화 된 구간 중 한 Port가 차단되고 하나의 경로로만 통신이 이뤄진다.
- VLAN을 사용할 경우 이중화 된 구간의 경로별로 VLAN을 구분하면 Loadbalancing이 가능.
<VLAN의 번호>
- VLAN은 서로 번호(ID)로 구분.
- 사용 가능한 VLAN 번호는 1 ~ 4094
| VLAN 번호 | Range | Usage |
| 0 | Reserved | System Use only |
| 1 | Normal | Default(기본 설정) VLAN |
| 2 – 1001 | Normal | Ethernet에서 사용 할 수 있는 번호 |
| 1002 – 1005 | Normal | Token ring과 FDDI용으로 사용 |
| 1006 – 4094 | Extended | Extended(확장) VLAN 번호 |
| 4095 | Reserved | System Use only |
<VLAN 생성>
1) Config-VLAN
* VLAN 삭제는 'no vlan' 명령어로 삭제한다.
2) VLAN Database에서 생성
SW#vlan database
SW(vlan)#vlan 20 name VLAN_Yellow
VLAN 20 added:
Name: VLAN_Yellow
SW(vlan)#exit //exit 명령어를 사용. ctrl + z로 나올 경우
APPLY completed. vlan 설정이 변경되지 않으니 주의!!
Exiting....
<VLAN Port 종류>
1) Access Port
- 하나의 Port가 하나의 VLAN에 속하는 경우.
- 즉, 해당 포트는 자신이 속한 VLAN 네트워크 Frame만을 전송할 수 있다.
- 각 Interface를 생성한 VLAN에 할당. L3장비를 거치지 않을 경우 같은 VLAN에
할당된 Interface에 접속된 장비들끼리만 통신이 가능.
SW(config)#interface fastethernet 0/1 //생성한 VLAN에 소속될 인터페이스에서 설정
SW(config-if)#switchport mode access //현재의 인터페이스를 access port로 설정
SW(config-if)#switchport access vlan 10 //포트가 소속될 VLAN번호를 지정
SW(config)#interface fastethernet 0/2 //생성한 VLAN에 소속될 인터페이스에서 설정
SW(config-if)#switchport mode access //현재의 인터페이스를 access port로 설정
SW(config-if)#switchport access vlan 20 //포트가 소속될 VLAN 번호를 지정
설정 후 show vlan brief 명령어로 생성한 VLAN과 VLAN별로 소속된 Interface들을 확인 가능.
2) Trunk Port
- 하나의 Port에 여러 개의 VLAN Frame이 흘러다닐 수 있도록 하는 경우.
- Switch와 Switch가 하나의 port로 연결돼 있는 경우 해당 port에 Switch에 설정된 여러 개의 VLAN Frame이 모두 흘러다녀야 두 대의 Switch에 설정된 각 VLAN별로 통신이 가능 .
- 즉, 다수의 같은 VLAN이 여러개의 Switch에 존재할 경우 trunk port를 통해 각 Switch에 연결된 같은 VLAN에 속한 장비끼리 서로 통신이 가능.
- 이러한 통신은 같은 VLAN에 연결된 장비들 사이에만 통신만 가능하다.
서로 다른 VLAN에 속한 장비는 L3장비(ex. Router)를 통해야만 통신이 가능하다.
Trunk port #1
Trunk port #2
2) Trunk Port
- Trunking이란 여러개의 VLAN을 실어나르는 것.
- Switch에 다수의 VLAN이 존재할 경우 각 VLAN별로 각각의 Link를 만들어 주어야
하지만 그럴 경우 너무 많은 Link가 필요.
때문에 하나의 Link에 여러 개의 VLAN이 흘러다닐 수 있도록 Trunking을 구성.
- 이러한 Trunking에는 ISL과 IEEE802.1Q 방식이 있다.
(catalyst 2950의 경우는 IEEE802.1Q만 사용이 가능하다.)
1) ISL(Inter Switch Link)
- Cisco 전용으로 Cisco 장비간에만 사용하는 방식이다.
- native VLAN 사용 불가
2) IEEE802.1Q
- Trunking에 대한 표준 프로토콜.
- Native VLAN 사용 가
2) Trunk Port 설정
Switch(config)#interface fastethernet 0/10
-> trunk 포트로 지정할 인터페이스에서 설정
Switch(config-if)#switchport trunk encapsulation dot1q
-> trunk 포트의 Encapsulation 방식 설정 (ISL or IEEE802.1Q)
Switch(config-if)#switchport mode trunk
-> 해당포트를 trunk 포트로 설정
Switch(config-if)#switchport trunk allowed vlan 10,20
-> trunk를 사용할 수 있는 VLAN을 지정할 수 있다.
(지정하지 않을 경우에는 모든 Vlan이 Trunk를 사용할 수 있다.)
-> trunk port 설정은 'show interface switchport'와 'show interface trunk'에서 확인이 가능.