VLAN (Virtual LAN)

Overview

VLAN 에 대한 설명과 장점 등에 대한 사항을 기술한다.

 

출처 

https://velog.io/@kimyeji203/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EC%8A%A4%EC%9C%84%EC%B9%98%EC%9D%98-VLAN-94zb8tn7

[네트워크] 스위치의 VLAN

 

https://blog.naver.com/n7230f/149239152

IEEE 802.1q

 

 

VLAN(Virtual LAN) 이란?

가상 LAN은 물리적 배치와 상관없이 LAN을 논리적으로 분할, 구성하는 기술이다.

 

출처 : https://velog.io/@kimyeji203/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EC%8A%A4%EC%9C%84%EC%B9%98%EC%9D%98-VLAN-94zb8tn7

 

VLAN의 장점

네트워크 리소스 보안을 높인다.

• 네트워크 그룹 설정을 변경하거나 이동하게 되면 보안 문제가 발생할 우려가 있다. 하지만 VLAN을 이용하면 실제로 네트워크 그룹 이동 을 하지 않아도 되기 때문에 보안 문제에 대한 우려를 줄일 수 있다.

 

비용을 절감할 수 있다.

• VLAN 기술을 사용하지 않는다면 서로 차단된 LAN 환경을 구축할 때 필요한 만큼 장비가 있어야한다. 하지만 VLAN을 이용하면 장비를 추가하지 않아도 차단된 LAN 환경을 구축할 수 있다.

 

불필요한 트래픽을 줄여준다.

• VLAN은 서로 다른 네트워크 망이기 때문에 브로드캐스트 통신시 다른 VLAN으로 전송되지 않는다. 브로드캐스트 도메인을 세분화하여 나눌 수 있기 때문에 불필요한 트래픽을 줄일 수 있다.

 

관리자의 네트워크 설정 작업이 편리하다.

• 네트워크 관리자가 특정 장비의 네트워크 그룹을 옮겨야할 때 스위치 설정만으로도 할 수 있다.

 

VLAN의 종류

VLAN 할당 방식을 기준으로 Static VLAN과 Dynamic VLAN으로 분류할 수 있다.

출처 : https://velog.io/@kimyeji203/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EC%8A%A4%EC%9C%84%EC%B9%98%EC%9D%98-VLAN-94zb8tn7

 

정적 VLAN (포트별로 수동 할당)

• VLAN 할당을 관리자가 각 스위치에 직접 할당 (스위치 각 포트들을 원하는 VLAN으로 직접 설정하게됨)
• 해당 VLAN 프레임을 처리해야 하는 모든 스위치 마다 설정 필요

 

동적 VLAN (MAC 주소별로 자동 할당)

• VLAN 할당이 동적으로 자동화되어 할당 (MAC 주소등을 보고서, 관리 서버로부터 VLAN이 할당되어 자동으로 설정됨)
• MAC 주소와 VLAN ID 간의 매핑 테이블 관리가 필요하여 관리 서버 필요

 

VLAN 분류 방식

분류 방식
물리적 분류	물리적인 포트 기반 VLAN	- 1계층(물리계층)에서 포트 단위로 분류 - VLAN 수 만큼, 포트, 케이블 필요
논리적 분류	MAC 주소 기반 VLAN	- 2계층(데이터링크계층)의 MAC 주소에 의해 분류
	IP 주소 기반 VLAN	- 3계층(망계층)의 IP 주소에 의해 분류 - 하나의 스위치 상에서도 여러 논리적 IP 서브 네트워크 구분 가능
	프로토콜 기반 VLAN	- 1~3계층 기능들을 모두 사용하여 분류 - 프로토콜 종류 뿐만 아니라, MAC 주소 포트번호 모두 사용

 

 

VLAN Trunking

여러개의 VLAN이 존재하는 상황에서 스위치를 서로 연결해야 하는 경우 각 VLAN끼리 통신하려면 아래 사진처럼 VLAN의 개수만큼 통신 포트를 연결해야 한다.

출처 : https://velog.io/@kimyeji203/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EC%8A%A4%EC%9C%84%EC%B9%98%EC%9D%98-VLAN-94zb8tn7

 

만약 VLAN을 많이 사용하는 중.대형 네트워크인 경우 수백개의 VLAN이 있다면 수백개의 포트를 연결해야 하므로 포트 낭비 문제가 발생한다.

이러한 문제를 해결하기 위해 VLAN 태그 기능이 나와 VLAN이 N개여도 하나의 통합 링크를 통해 패킷을 보낼 수 있게 되었고 이 방식을 Trunking이라고 한다.

 

 

VLAN Tagging

VLAN 태그 기능은 하나의 포트에 여러 VLAN을 함께 전송할 수 있게 해주는 기능으로 이 포트를 Tagged Port또는 Trunk Port라고 한다.

출처 : https://velog.io/@kimyeji203/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EC%8A%A4%EC%9C%84%EC%B9%98%EC%9D%98-VLAN-94zb8tn7

• Tagged/Trunk Port vs Untagged/Access Port
  • Trunking 동작을 위해 존재하는 포트를 Tagged Port 또는 Trunk Port라고 하며, 그외 일반적인 포트를 Untagged Port 또는 Access Port라고 한다.
  • Untagged/Access Port는 하나의 VLAN에만 속해있다

한 포트로 여러 VLAN 데이터가 왔다갔다 하므로 패킷이 어느 VLAN에 속하는지 구분해야 하는데, 이때 VLAN ID 필드를 이용한다.

이더넷 프레임 중간에 VLAN ID 필드를 끼워 넣어 이 정보를 이용한다.

 

IEEE 802.1Q에 의한 VLAN 태깅 방식

4바이트 크기의 VLAN 태그를 이더넷 프레임 내에 삽입하는 방식

출처 : https://blog.naver.com/n7230f/149239152

 

 

12비트 크기의 VLAN ID

• 구분 가능한 VLAN 수 : 총 4,096개 중 0과 0xFF 제외하여 4,096개의 VLAN 구별이 가능
• 일반 범위 VLAN : 1 ~ 1005
• 연장 범위 VLAN : 1005 ~ 4094
• 보편적으로 VLAN 1(디폴트), 1002 ~ 1005 는 예약됨

태그 포트로 패킷을 보낼 때는 VLAN ID를 붙이고 -> 수신 측에서는 VLAN ID를 제거하면서 VLAN ID의 VLAN으로 패킷을 보낼수 있다.