본문 바로가기

네트워크/네트워크이론

[스위치] VLAN ( Virtual LAN )

VLAN 이란 ?
사용자의 증가로 인한 브로드케스트 트래픽 플러딩 범위를 최소화 하기 위한 기능
( 즉, 브로드케스트 도메인을 열러 개의 도메인으로 분리하는 기능 )

한 대의 스위치를 여러 개의 네트워크로 나누기 위해 사용
VLAN으로 나누어지면 나누어진 VLAN간의 통신은 오직 라우터를 통해서만 가능

< 브로드케스트 플러딩 범위 및 양이 증가되면 발생하는 문제점 >
1. 대역폭 부족
2. 전송 장비, 서버 부하가 높아짐

<VLAN 구성의 장점 >
- 브로드케스트 플러덩 범위와 브로드케스트 양이 줄어듬
- STP와 함께 사용하면 VLAN 로드 분산이 가능해짐
- 접근 제어 및 보안 관련 기능 수행
- 관리상 효율적이며, 위치적으로 제한이 없다.

< VLAN 구성 순서 >
1. 논리적인 브로드케스트 도메인 분할 및 설계 ( 디자인 설계 )
2. VLAN 생성 및 이름 선정
3. 스위치 포트를 단일 포트로 변경한 이후, 해당 VLAN에 소속 실시
4. 여러 대의 스위치와 연결할 경우 확장성 및 효율적인 관리를 하기 위한 트런크(Trunk) 구성
5. VLAN 도메인 당 서브넷 할당 ( 일반적으로 서로 다른 VLAN은 서로 다른 서브넷 사용 권장 )
6. 문서화

< VLAN 구성 확인 >


VLAN 1, 1002 ~ 1005 - 기본적으로 제공하는 VLAN 도메인 ( 삭제/수정 불가 )

1. VLAN 설정

  Switch(Config)# vlan11                               // vlan 정의 
  Switch(Config-vlan)# name temp                    // vlan을 관리하기 쉽게 이름을 부여
  Switch(Config-vlan)# no vlan 11                  // vlan 삭제

  TIP - VLAN 한번에 설정 및 삭제 ( 단, 이름은 기본이름으로 지정됨 )
  Switch(Config)# vlan 11-15                         // vlan 11에서 15까지 한 번에 설정
  Switch(Config-vlan)# no vlan 11-15
  Switch(Config)# vlan 11, 13, 15                    // vlan 11, 13, 15번을 설정
  Switch(Config-vlan)# no vlan 11, 13, 15
'VLAN Database'는 스위치 Flash 메모리에 별도로 저장하며 관리된다. ( vlan.dat )

2. 스위치 포트에 VLAN 설정 및 Access 포트 구성

  Switch(Config)# int fa0/1                                           
  Switch(Config-if)# switchport mode access                    // 기본적으로 모두 적용되어 있다
  Switch(Config-if)# switchport access vlan 11                // vlan id를 지정한다

 TIP - access 포트로 한 번에 결정
  Switch(Config)# interface range fa0/1 - fa0/24              // 한 번에 설정할 포트를 지정한다
  Switch(Config-if-range)# switchport mode access         // fa0/1 ~ fa0/24 까지 access 포트로 설정


3. 트렁크 ( Trunk ) 구성
- Cisco Catalyst Switch 2950에는 ISL트렁크 프로토콜이 지원되지 않는다.
- Cisco Catalyst Switch 3550에는 Dot1q/ISL 트렁크 프로토콜이 지원된다. 3560은 ISL만 지원

  Switch(Config)# int fa0/1                                         
  Switch(Config-if)# switchport trunk encapsulation [dot1q | isl]  
                                                   
// 트렁크의 dot1q나 isl을 선택한다.
  Switch(Config-if)# switchport mode trunk                      // 스위치 포트를 트렁크로 설정

4. Inter-VLAN 구성
- 라우터의 라우팅을 활용하여 서로 다른 VLAN간에 유니케스트 전송 구현
- 필요 사항 : 트렁크 구성 및 라우터 서브-인터페이스 활용
기본 라우터에서 설정 ( L2 스위치 : 1900, 2900xl, 3000xl, 2950, 2960 )

  Switch(Config)# int fa0/0                                         
  Switch(Config-if)# no sh                                            // fa0/0을 활성화 한다.
  Switch(Config)# int fa0/0.10                                        // 서브인터페이스 설정
  Switch(Config-subif)# ip add 192.168.10.254 255.255.255.0 // 각 vlan의 Default Gateway 설정
  Switch(Config-subif)# encapsulation dot1q 10                   // 트렁크 설정, dot1q나 isl로 선택
  Switch(Config)# int fa0/0.20                                        
  Switch(Config-subif)# ip add 102.168.20.254 255.255.255.0                                           
  Switch(Config-subif)# encapsulation dot1q 20                  

스위치의 라우터 기능 ( L3 스위치 : 3550, 3560, 3750 )

  Switch(Config)# ip routing         // ip routing 활성화, no switchport 명령을 이용해도 ip port로 활성화 됨
  Switch(Config)# int vlan 11        // 기본적으로 모두 적용되어 있다
  Switch(Config-if)# ip address 192.168.11.254 255.255.255.0       // ip 정의
  Switch(Config)# int vlan 12
  Switch(Config-if)# ip address 192.168.11.254 255.255.255.0 


5. Native VLAN
- 스위치 간에 트렁킹을 시킬 때 ISL을 사용하면 Tagging이 안된 프레임을 수신했을 때 ( VLAN 정보가 없는
프레임을 수신했을 때 ) 해당 프레임을 폐기한다. 그러나 802.1q 방식의 트렁킹을 사용하면 기본적으로
Native VLAN과 같은 VLAN에 속하는 포트가 보내는 프레임은 VLAN 번호를 붙이지 않고 트렁크 포트로 보낸다.
이와 같이 VLAN 표시가 없는 프레임을 수신한 802.1q 트렁크 포트는 해당 프레임이 Native VLAN에 포함된
것으로 간주하여, 자신의 포트 중에서 Native VLAN과 같은 VLAN 번호를 가진 포트로 전송하거나, 다른 트렁크
포트로 태깅을 하지 않고 전송한다.

- 스위치 포트로 VLAN-ID가 태깅되지 않는 Untag 프레임을 수신하면, 스위치는 이 프레임을 Native VLAN으로
처리하여 프레임 전송을 실시한다.
- 스위치는 기본적으로 VLAN 1이 Native VLAN을 수행하며, 다음 명령어를 이용하여 변경할 수 있다.

  Switch(Config)# int fa0/10                           
  Switch(Config-if)# switchport trunk native vlan 20

1. PC1에서 PC2로 프레임을 전송할 경우, PC1에서 스위치로 나갈 때 일반적으로 Tagging을 하고 나가게 되있다.
하지만 Native VLAN 20으로 변경 시 Tagging을 하지 않고 바로 PC2로 보내진다. 결국 수 많은 VLAN 20이
Tagging을 하지 않기 때문에 스위치의 프래픽을 줄일 수 있다.

2. PC1에서 PC3으로 프레임을 전송할 때 트렁크에 인입시에는 VLAN 1으로 인지하고 Untagged하고 이동한다.
그러나 두 번째 스위치가 받을 때는 VLAN20으로 Tagged하고 PC3에 전송한다. 역시 PC3은 프레임을 받기 전에 다시
untagged하고 받게 된다. 결국 첫 번째 스위치가 Tagged를 하지 않기 때문에 스위치의 트래픽을 줄이는 효과를
볼 수 있다.

3. VLAN10은 Native VLAN이 아니기 때문에 프레임을 전달 시 당연히 Tagged를 하고 트렁크로 보내지게 되어 잇다.

단점 - 모든 트렁크 포트에 설정을 해야 하고 많은 스위치가 있으며, 다양한 VLAN이 있는 환경에서는 VLAN이
복잡해 질 수 있으니 Native VLAN 변경은 특별한 환경이 아니라면 잘 쓰이지 않는다. 위의 그림처럼 스위치에
특정한 VLAN이 모여 있을 때 쓰이는 경우가 많다.

< VLAN 설정 예제 >

 

  1. 다수의 VLAN 트래픽들이 SW1, SW2, SW3 구간에서 전송 가능하도록 IEEE 802.1q 트렁크를 구성하라.
  2. SW1을 VTP Server로 운영하며, 나머지 SW2, SW3은 SW1로부터 VLAN정보가 공유되도록 하라.
  3. 위의 구성도 및 다음 도표를 보고 스위치 포트를 각각의 VLAN에 Access하라.
  4. PC A~P, HTTP/DNS Server에 IP 주소를 설정하여라.
     각각의 VLAN에 할당할 서브넷은 다음과 같다.
      VLAN 11 -192.168.11.254 포트번호/24
      VLAN 11 -192.168.12.254 포트번호/24
      VLAN 11 -192.168.13.254 포트번호/24
      VLAN 11 -192.168.14.254 포트번호/24
  5. VLAN 11~14 사용자 PC, HTTP/DNS Server 간에 유니케스트 전송이 가능하도록 Inter-VLAN을 구성하라.
      VLAN 11 Default Gateway - 192.168.11.254/24
      VLAN 11 Default Gateway - 192.168.11.254/24
      VLAN 11 Default Gateway - 192.168.11.254/24
      VLAN 11 Default Gateway - 192.168.11.254/24
  6. Inter-VLAN 구현 시 사용하고 있는 VLAN 11 ~14만 트렁크를 사용할 수 있도록 하라.
  7. 구성이 완료되었다면, 서로 다른 VLAN간에 Ping 테스트를 점검하며, HTTP Server 접속도 점검하라.

 
1. 다수의 VLAN 트래픽들이 SW1, SW2, SW3 구간에서 전송 가능하도록 IEEE 802.1q 트렁크를 구성하라

  SW1 ( SW2와 SW3 포트로 접속하여 설정한다. )

 SW1(config)#int fa0/3
 SW1(config-if)# switchport trunk encapsulation dot1q
 SW1(config-if)# switchport mode trunk


2. SW1을 VTP Server로 운영하며, 나머지 SW2, SW3은 SW1로부터 VLAN정보가 공유되도록 하라.

 SW1 ( Server )

 SW2, SW3 ( client ) 

 SW1 ( vlan 11 ~ 14 생성)

 SW1(config)# vtp domain 
       CCNP
 SW1(config)# vtp password
       cisco
 SW1(config)# vtp mode server

 SW2(config)# vtp domain
       CCNP
 SW2(config)# vtp password 
       cisco
 SW2(config)# vtp mode client

 SW1(config)# vlan 11
 SW1(config)# vlan 12
 SW1(config)# vlan 13
 SW1(config)# vlan 14


시뮬에서는 트렁크 설정 후 VTP 설정하면 VLAN 정보가 전달되지 않을 수 있으므로 VTP -> 트렁크 -> VLAN 생성
순으로 하면 된다.

정상적으로 VTP 설정이 되었다.

3. 위의 구성도 및 다음 도표를 보고 스위치 포트를 각각의 VLAN에 Access하라.

SW1

SW2

SW3

 SW1(config)# int range fa0/2, 
     fa0/4-5
 SW1(config-if-range)# 
    switchport 
mode access
 SW1(config-if-range)#
    switchport 
access vlan 11
 
SW1(config)# int range
    fa0/12 -13
 SW1(config-if-range)# 
    switchport 
mode access
 SW1(config-if-range)# 
    switchport 
access vlan 12

 SW2(config)# int range fa0/1,
 
     fa0/4, fa0/6)
 SW2(config-if-range)# 
     switchport 
mode access
 SW2(config-if-range)#
     switchport 
access vlan 11
 
SW2(config)# int range
     fa0/7 - 8
 SW2(config-if-range)#
     switchport 
mode access 
 SW2(config-if-range)#
     switchport 
access vlan 12
 
SW2(config)# int range
     fa0/14 - 15
 SW2(config-if-range)#
     switchport 
mode access
 SW2(config-if-range)#
     switchport 
access vland 13

 SW3(config)# int range
      fa0/1 - 2
 SW3(config-if-range)#
      switchport 
mode access
 SW3(config-if-range)#
      switchport 
access vlan 13
 SW3(config)# int range 
      fa0/3 - 5
 SW3(config-if-range)#
      switchport 
mode access
 
SW3(config-if-range)#
      switchport 
access vlan 14


range를 사용하여 한 번에 설정이 가능하다. 만약 시뮬에 한 번에 vlan 설정이 되지 않으면 하나씩 해주면 된다.

각 vlan에 포트를 설정한다.

4. PC A~P, HTTP/DNS Server에 IP 주소를 설정하여라.
- 각 PC에 위에 정의된 IP 번호를 할당한다.

5. VLAN 11~14 사용자 PC, HTTP/DNS Server 간에 유니케스트 전송이 가능하도록 Inter-VLAN을 구성하라.
- VLAN으로 나뉘어진 PC에 Default Gateway IP Address를 설정한다. 이후 라우터에서 Inter VLAN 설정한다.

  R1(config)# int fa0/0
  R1(config-if)# no sh
  R1(config)# int fa0/0.11
  R1(config-subif)# ip add 192.168.11.254 255.255.255.0        // 각 VLAN을 Default Gateway 설정
  R1(config-subif)# encapsulation dot1q 11                      // 트렁크 포트 사용 및 VLAN-ID 설정
  R1(config)# int fa0/0.12
  R1(config-subif)# ip add 192.168.12.254 255.255.255.0
  R1(config-subif)# encapsulation dot1q 12

int fa0/0.13과 int fa0/0.14도 같은 방법으로 설정하면 된다.

 

< 원본 http://blog.naver.com/cafca23?Redirect=Log&logNo=90075793363 >