Network - VLAN

(참조 - https://m.blog.naver.com/PostView.nhn?blogId=nforce7050&logNo=140060824875&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F)

VLAN(Virtual Lan) 

- 같은 네트워크 대역에서 Switch를 이용한 트래픽 분산 목적

- 브로드캐스트 도메인 분리 가능 => ARP를 이용한다.

- VLAN별로 격리가 가능하기 때문에 보안성이 향상

(통상 하나의 네트워크에서 사용자의 갯수는 500개 이하로)

- VLAN 이 설정된 PORT는 자신이 속한 VLAN의 정보만 전달 가능

원리

1. SWICH에 가상의 LAN Swich를 여러개 만드는 원리이다

2. VLAN1 에는 1,2,3,4,5 port 

   VLAN2 에는 6,7,8,9,10 port를 설정한다

3. VLAN1 에 해당하는 1,2,3,4,5 port 에 연결된 PC에서 송신되는 Frame들에는 VLAN1에 대한 태그가 달려 나가게 되고

   VLAN1에 속하지 않는 PORT들은 수신을 하지 못하게된다

4. 결국 아래 그림처럼 통신이 이루어지게 된다

 5. 또한 스위치에서 FRAME이 나갈때에는 VLAN에 대한 태그정보를 떼고 나가게 된다

*VLAN 에서 서로다른 Switch간 통신

1. VLAN의 같은 포트 간 모두 연결

- 스위치에서 FRAME 나갈때에는 VLAN태그가 떼지고 다시 

  스위치에 들어올때 해당 포트에 설정된 VLAN의 태그를 가지고 들어온다 이를 이용하여

  두개의 스위치를 연결할때 같은 VLAN이 설정된 포트끼리 모두 연결하는 방법

2. Trunk Port 이용

   - 스위치에서 FRAME이 나갈때에 태그를 유지한채 내보내고

       어떤 VLAN에 속한 FRAME이던지 수신하는 Port

*Trunk Port

- 특정 VLan에 속해있지 않으면서 모든 VLAN의 Frame을 전송할 수 있는 port

IEEE802.1q (VLAN 표준)

Switch가 Frame에 VLAN관련 정보를 추가하는 것을 'Tagging'이라고 합니다. 

Switch에서 사용되는 Frame은 Tag가 달린 Frame과 Tag가 달리지 않은 Frame으로 나눌 수 있습니다.

Switch끼리의 연결이라 하더라도 Tag정보를 해석할 수 없는 장비에 Tag Frame을 보내면 에러가 발생합니다.

그래서 Switch간의 Tag를 추가하고 이를 해석하는 방법에 대한 표준이 정해져 있습니다.
Tagging과 관련된 표준 가운데 하나가 바로 IEEE의 802.1q방식입니다.

과정

1. PC0 , PC5 를 Port 1 ~ 5 중 하나로 물린다

2. PC1 , PC2 를 Port 6 ~ 10 중 하나로 물린다

3. PC3 , PC4 를 Port 11 ~ 15 중 하나로 물린다

4. switch1 , switch2 , switch3 에 Vlan을 생성한다 

*Switch1

*Switch2

Switch1 과 동일

*Switch3

Switch1 과 동일

확인

1. PC0 과 PC1 간의 통신 => 불가능 VLAN이 다르기 때문이다.

            2. PC1과 PC2 간의 통신 =>  같은 VLAN이지만 스위치를 넘어가야한다 이때 스위치간 연결된 포트가 같은 VLAN에 속하지                                                  않으므로 Frame이 넘어갈 수 없다. 

   해결

PC1과 PC2가 속한 VLAN에 해당하는 PORT로 스위치간 연결을 한다

통신이 잘됨을 볼 수 있다.

 문제점

1. VLAN 마다 모두 직접적으로 연결을 해주어야 한다

2. Port가 낭비

3. 새로운 VLAN을 생성하면 직접가서 연결을 해주어야 한다.

실습 - Trunk Port를 사용할 때의 VLAN

과정

a) 연결

1. Admin에 속한 그룹 PC들을 Port 1 ~ 5 중 하나로 물린다

2. Sales에 속한 그룹 PC들을 Port 6 ~ 10 중 하나로 물린다

3. Tech에 속한 그룹 PC들을 Port 11 ~ 15 중 하나로 물린다

4. Fin에 속한 그룹 PC들을 Port 16 ~ 20 중 하나로 물린다

5. Switch 간의 연결은 Port 21 ~ 24 중 하나로 물린다

b) 설정

1. Switch1

  VLAN 100 

  VLAN 200

  VLAN 300

  VLAN 400

2. Switch1 : Switch1과 동일

3. Switch1 : Switch1과 동일

4. Switch1 : Switch1과 동일

5. TrunkPort 설정

Switch1 

Switch2 ,Switch3 ,Switch4 : 모두 동일하게 설정

확인

1. Admin1 에서 Sales1 으로 통신 => 역시 다른 VLAN 대역이므로 통신이 불가능 하다.

2. Sales1에서 Sales2로 통신 => 스위치간의 연결이 Sales들이 연결된 VLAN과 같은 포트로 연결이 되지 않았지만 Trunk포트를 이용하므로 통신이 가능하다

*중간 스위치에는 VLAN10 을 할당할 필요가 없지만 VLAN10을 생성해야한다

=>중간 스위치에 Vlan이 생성 되어있지 않으면 다른 스위치에서 패킷을 구별하지 못한다

 따라서 통과되는 중간 switch에서 따로 배정하는 것이 없더라도 VALN을 생성해야한다

=> 어차피 다른 VLAN간의 통신이 되지 않는다면 Subnet MASK 또한 다른 네트워크로 인식이 될 수 있도록 해야 한다.

Switch 모드 

* 협상모드 : 반대편 스위치가 변하면 나도 따라 움직이게 된다