VLAN

📌 VLAN

네트워크를 나눌때 물리적으로 나누는게 아니라, 논리적으로 나누는 방법

VLAN은 Virtual LAN의 약어입니다.

LAN은 집이나 회사에서 흔히 보는 컴퓨터 간의 연결입니다.

좁은 구역의 네트워크를 말하죠. 그 앞에 Virtual이 붙은게 VLAN입니다.

스위치에는 24개의 포트(인터페이스)가 있습니다.

VLAN이 있다면 스위치에서 네트워크를 여러개 만들 수 있습니다.

아래에 그림을 한번 보실까요?

VLAN을 잘 표현한 그림이에요

그림에서 10번포트 까지 있는 저 장치는 바로 스위치인데요.

원래는 1~10포트에 모두 PC가 연결되어있을때 10대의 PC는 모두 같은 네트워크에 속합니다.

왜냐? 1~10번 PC중 어떤 PC에서든 브로드 캐스트 패킷을 전송하면 모두 받을 수 있는 영역이 스위치 이기 때문입니다.

그게 스위치의 역할이기도 하고요.

하지만 위 그림은 VLAN10,11,12로 하나의 스위치에서 무려 3개의 네트워크가 생겼습니다.

그 방법이 물리적으로 하나의 스위치를 3개로 부셔버린건 아닐겁니다.

논리적으로 스위치 안에 설정을 통해서 나눌 수 있습니다.

이 같이 스위치를 이용해 논리적으로 네트워크를 분할하는 기술을 VLAN이라 합니다.

그럼 한번 VLAN을 만들고 상호 네트워크 간에 통신을 해보며 더 이해해 볼까요?

🌈 VLAN 토폴로지 실습

아래와 같은 토폴로지(네트워크가 선으로 연결된 전체적인 모양새)에서 VLAN을 만들고 4대의 PC모두 통신이 가능하도록 만들어 볼거에요!

위에 그림을 보시면 라우터가 각각 두대씩 입니다.

그렇다면 일반적으로는 네트워크가 2개가 형성되어야 합니다.

하지만 각각의 스위치에서 VLAN을 이용하여 총 4개의 네트워크가 생겼습니다.

위에 각각의 PC들은 아직 전혀 통신이 될 수 없습니다.

네트워크 주소가 모두 다르기 때문이죠.

그러면 통신이 가능하도록 하나하나 차근차근 구성해 나가 봅시다!

일단 4대의 PC에 IP주소와 서브넷 마스크 그리고 게이트웨이 주소를 설정해 주세요!

편의상 2대의 PC를 보여 드렸습니다.

왼쪽은 192.168.10.0/24 네트워크의 PC입니다.

그래서 PC에게는 10.2를 할당했습니다.

왜냐?

192.168.10.1 해당 네트워크의 PC들이 다른 네트워크로 가게 될 대문의 주소이기 때문이죠.

그 대문이 바로 게이트웨이 주소입니다.

게이트웨이 주소에 192.168.10.1 을 입력합니다.

서브넷 마스크는 C클래스로 부여합니다.

우리는 255개의 호스트를 사용하면 충분하기 때문이죠.

오른쪽 그림은 왼쪽 네트워크의 분홍색 VLAN 설정 화면입니다.

IP 주소는 B클래스 대역인 172.16.10.0/24를 사용했습니다.

B클래스를 사용한 이유는 일반 네트워크와 구별하기 위해서 별 의미없이 사용했어요.

그 다음 중요한것이 VLAN PC의 게이트웨이와 서브넷마스크 입니다.

일단 서브넷마스크는 255.255.255.0으로 바꿔주셔야합니다.

172번대의 IP주소를 입력하면 자동으로 B클래스의 디폴트 서브넷 마스크가 생성됩니다.

우리는 C클래스를 사용 할 것이기 때문에 255.255.255.0으로 바꿔주세요.

게이트웨이 주소는 172.16.10.1 입니다.

근데 라우터는 하나인데 라우터 아래에 네트워크가 2개이면...

게이트웨이가 2개가 되어야 하는데...

어떻게 해야 할까요?

일단 그 생각은 미뤄두고 VLAN에 게이트웨이 주소를 입력 해 줍니다.

이렇게 4대의 PC모두에 IP주소 입력을 완료합니다.

스위치에서 설정할 사항들 입니다

PC 4대의 IP주소를 모두 부여했다면 이제는 스위치에서 설정을 조금 해야해요.

우리가 스위치에서 할 설정은 총 3가지에요.

첫째, VLAN을 생성하기.

둘째, 생성한 VLAN에 해당 인터페이스를 추가하기.

세번째, 스위치와 라우터가 연결된 포트 트렁킹하기.

무슨말인지 어렵죠..

천천히 같이 살펴보아요!

스위치에 VLAN을 생성하는 명령어

위 그림은 스위치의 CLI(커맨드라인인터페이스, 명령 입력하는 곳)에서 명령어를 입력한 것 입니다.

vlan 100이라고 명령을 해주면 VLAN 100이라는 논리적인 공간이 생깁니다.

실제로는 존재하지않는, 가상의 공간이에요.

하지만 우리가 명령으로 컴퓨터에게 논리적으로 공간을 만들어라 하는 느낌입니다.

밑에 VLAN 200 명령어도 있습니다.

그러면 해당 스위치에는 VLAN 100과 VLAN 200의 가상공간이 생긴 것 입니다.

한번 확인 해 볼까요?

해당 스위치의 VLAN정보를 확인해 봅시다!

do sh vlan 이라는 명령어로 해당 스위치의 VLAN 설정 정보를 확인할 수 있습니다.

현재 저의 스위치에는 VLAN100,VLAN200 이라는 두개의 VLAN이 생성되어 있습니다.

또한 오른쪽을 보시면 포트번호들이 쭉 나와있습니다.
대부분의 포트들이 1번에 속해있는 것을 볼 수 있습니다.

여기서 설명할 것이 한가지 있는데요.

그것은 바로 스위치의 VLAN 1 입니다.

🌈 VLAN 1

스위치는 탄생과 동시에 VLAN 1에 속하게 됩니다. 이 말이 무엇이냐...

실제 스위치 사진입니다! 24개의 패스트이더넷(Fa)포트와
2개의 기가빗이더넷(Gig)포트로 구성되어 있네요!

위에 사진을 보시면 여러개의 포트들이 존재하죠.

물리적으로 실체가 있는 포트들이죠.

이 포트들이 논리적,내부적으로는 사실 모두 VLAN 1이라는 가상랜 소속이에요.

처음에는 모두 VLAN 1에 속하는 친구들 입니다.

애초에 기본값으로 설정이 그러합니다.

VLAN 1에 속해있다는 것이 무슨 의미인지 궁금하실 겁니다.

스위치의 모든 포트가 VLAN 설정을 해주지 않으면 VLAN 1 소속입니다.

스위치의 모든포트가 애초에 VLAN 1소속이므로 사실 VLAN1이라는 VLAN1은 물리적 인터페이스라고 불러도 됩니다.

(인터페이스란 일반적으로는 스위치에 있는 24개의 포트 하나하나를 말합니다.)

스위치는 태어날때 부터 모든 포트가 VLAN 1에 소속되어있다 이정도로 정리하면 좋을 듯 합니다!

돌아와서 VLAN100,200을 생성해주고 do sh vlan 명령을 통해 확인까지 했습니다.

그러면 이제 해당 PC를 VLAN 100 네트워크 속으로 편입시켜 볼까요?

VLAN PC쪽 스위치 포트에 VLAN 설정하기

1. fa0/2 인터페이스에 접근

Switch(config)#int fa0/2

맨위에 토포롤지를 보면 스위치의 fa0/2포트와 PC가 연결되어있었습니다.

그래서 일단 스위치의 fa0/2포트로 접근을 합니다.

2. 포트를 어세스 모드로 변환하기

Switch(config-if)#switchport mode access

그뒤에 switchport mode access라는 명령어가 있네요?

일단 뜻은 해당포트,

그니까 fa0/2포트를 어세스 모드로 변경할 것 이다 라는 의미인데...

어세스 모드가 무엇일까요?

해당 인터페이스를 특정 VLAN에 포함시키는 작업 입니다.

예를들어 Fa0/0 포트가 어세스모드를 적용되고 VLAN 100을 할당 받았습니다.

그러면 스위치에는 "0번포트는 VLAN100의 포트이다" 라는 정보가 생깁니다.

그래서 0번포트에 전송되는 데이터를 VLAN100의 데이터라고 구별할 수 있게 되는거죠.

3. 포트에 VLAN 100을 할당하기

Switch(config-if)#switchport access vlan 100

위 코드 처럼 해당 포트에 VLAN 100을 할당했습니다.

이제 스위치에 0번포트는 VLAN100 이라는 정보가 스위치에 들어간겁니다.

아까 제가 표현하기를 "그러면 이제 해당 PC를 VLAN 100 네트워크 속으로 편입시켜 볼까요?" 라고 했습니다.

하지만 이제 우리는 알죠.

VLAN100을 설정 해준다의 정확한 의미는 조금 다르죠.

정확한 표현은

"스위치가 해당 인터페이스를 VLAN100이라 인지할 수 있게 하는 것"

이라고 표현하면 좋습니다.

스위치에서 할 마지막 과정인 트렁킹!

그동안 스위치에서 VLAN을 생성해주고,

포트에 VLAN을 할당했었습니다.

마지막으로 스위치와 라우터가 연결된 포트에 트렁킹 이라는 작업을 해줘야 합니다.

여기서 중요한 개념이 나오네요.

바로 태깅과 언태깅입니다.

🌈 태깅 언태깅

태깅과 언태깅은 VLAN통신때 나오는 용어입니다.

Tagging 말 그대로 꼬리표를 단다는 의미입니다.

VLAN태그란 통신시 여러개의 VLAN을 식별해주는 태그입니다.

트렁크 모드와 어세스 모드의 데이터 전송 형태입니다.

스위치의 포트에 트렁크와 어세스 모드를 설정할 수 있습니다.

어세스 모드는 한가지 VLAN만 지나다닐 수 있습니다.

트렁크 모드는 여러 VLAN이 지나다닐 수 있습니다.

어세스 모드에는 VLAN태그가 존재하지 않습니다.

그냥 이더넷 프레임인데 포트 자체가 스위치 내부에 설정한 특정 VLAN에 소속된 정보를 바탕으로 구별하여 통신을 하는 것 입니다.

트렁크 모드에는 VLAN태그가 존재합니다.

VLAN태그는 스위치의 트렁크 포트에서 인캡슐레이션 해서 생기는 것 입니다.

인캡슐레이션이란 태그를 생성해서 데이터에 붙여버리는 거에요.

스위치는 VLAN정보를 알고 있잖아요?

그래서 트렁크포트로 나갈때 라우터가 구별할 수 있게 트렁크 포트에서 인캡슐레이션으로 태그를 데이터에 붙여서 내보내는 겁니다.

트렁크 모드인 포트에서!!선이아니라 저 입구에서!!입구에서!! 정확히는 인터페이스의 랜카드에서!!! 인캡슐레이션을 합니다. 데이터에 VLAN태그를 붙여준다구요~

데이터에 VLAN100이다! 라는 태그같은 것 을 붙여줘서 여러개의 VLAN을 구별할 수 있습니다.

여러개의 VLAN이 지나다니는 포트에 설정해줘야겠죠?

그래야 여러 VLAN을 구별할 수 있으니까요.

그래서 트렁킹모드를 스위치와 라우터 사이에 해주는 것 입니다.

스위치와 라우터 사이에는 VLAN100이 지나갈 수 도있고,

VLAN200이 지나다닐 수 도 있으니까요.

반대로 PC와 스위치사이에는 하나의 VLAN만 지나다니니까 어세스 모드면 충분한 겁니다.

좋은 웹페이지 즐겨찾기