VLAN이란 무엇입니까?
VLAN은 "VPN"(가상 사설망)이 아닌 가상 근거리 통신망입니다. VLAN은 가상 작업 그룹을 구현하기 위해 LAN 장치를 논리적으로(물리적으로 아님) 세그먼트로 나누는 새로운 데이터 교환 기술입니다. 이 신흥 기술은 주로 스위치와 라우터에 사용되지만 주류 애플리케이션은 여전히 스위치에 있습니다. 그러나 모든 스위치에 이 기능이 있는 것은 아니며, 레이어 3 이상의 VLAN 프로토콜을 가진 스위치에만 이 기능이 있으며 해당 스위치의 설명서를 확인하면 알 수 있습니다.
IEEE는 VLAN 구현 체계를 표준화하기 위해 802.1년 초안 1999Q 프로토콜 표준을 발행했습니다. VLAN 기술의 등장으로 관리자는 실제 애플리케이션 요구 사항에 따라 동일한 물리적 LAN 내에서 서로 다른 사용자를 서로 다른 브로드캐스트 도메인으로 논리적으로 나눌 수 있습니다. 각 VLAN에는 동일한 요구 사항을 가진 컴퓨터 워크스테이션 그룹이 포함되어 있으며 물리적으로 구성된 LAN과 동일한 속성이 있습니다. 물리적으로가 아니라 논리적으로 나누어져 있기 때문입니다. 따라서 동일한 VLAN 내의 개별 워크스테이션은 동일한 물리적 범위로 제한되지 않습니다. 즉, 이러한 워크스테이션은 서로 다른 물리적 LAN 세그먼트에 있을 수 있습니다. VLAN의 특성상 VLAN 내의 브로드캐스트 및 유니캐스트 트래픽이 다른 VLAN으로 전달되지 않으므로 트래픽 제어, 장비 투자 절감, 네트워크 관리 단순화 및 네트워크 보안 향상에 도움이 됩니다.
스위칭 기술의 발전은 또한 새로운 스위칭 기술(VLAN)의 채택을 가속화했습니다. 기업 네트워크를 가상 네트워크 VLAN 세그먼트로 분할하여 네트워크 관리 및 네트워크 보안을 강화하고 불필요한 데이터 브로드캐스팅을 제어할 수 있습니다.
공유 네트워크에서 물리적 네트워크 세그먼트는 브로드캐스트 도메인입니다. 교환 네트워크에서 브로드캐스트 도메인은 임의의 선택된 레이어 2 네트워크 주소(MAC 주소) 집합이 있는 가상 세그먼트일 수 있습니다. 이러한 방식으로 네트워크의 작업 그룹 분할은 공유 네트워크의 지리적 제약을 극복하고 대신 전적으로 관리 기능을 기반으로 할 수 있습니다. 이 워크플로 기반 그룹화 모델은 네트워크 계획 및 재구성의 관리 기능을 크게 향상시킵니다.
동일한 VLAN에 있는 워크스테이션은 실제로 연결된 스위치에 관계없이 별도의 스위치에 있는 것처럼 서로 통신합니다. 동일한 VLAN의 브로드캐스트는 VLAN의 구성원만 들을 수 있으며 다른 VLAN으로 전송되지 않으므로 불필요한 브로드캐스트 스톰 생성을 잘 제어할 수 있습니다. 동시에 라우팅이 없으면 서로 다른 VLAN이 서로 통신할 수 없으므로 엔터프라이즈 네트워크의 서로 다른 부서 간의 보안이 향상됩니다.
네트워크 관리자는 VLAN 간의 경로를 구성하여 엔터프라이즈 내의 서로 다른 관리 장치 간의 정보 액세스를 완전히 관리할 수 있습니다. 스위치는 사용자 워크스테이션의 MAC 주소를 기반으로 VLAN으로 나뉩니다. 따라서 사용자는 자신의 off기업 네트워크에 얼음을 연결하고 스위칭 네트워크에 액세스하는 위치에 관계없이 VLAN의 다른 사용자와 자유롭게 통신할 수 있습니다.
VLAN 네트워크는 10M 이더넷, 100M 이더넷, 토큰 네트워크, FDDI, CDDI 등 네트워크 유형이 혼합된 장치로 구성될 수 있으며 워크스테이션, 서버, 허브, 네트워크 업링크 백본 등이 될 수 있습니다.
네트워크를 여러 브로드캐스트 도메인으로 분할하여 브로드캐스트 스톰 발생을 효과적으로 제어하고 네트워크 토폴로지를 매우 유연하게 만드는 이점 외에도 VLAN을 사용하여 네트워크의 여러 부서와 사이트 간의 액세스를 제어할 수 있습니다.
VLAN은 이더넷의 브로드캐스팅 문제와 보안을 해결하기 위해 제안된 프로토콜입니다. 이더넷 프레임에 VLAN 헤더를 추가하고, 사용자를 VLAN ID로 더 작은 작업 그룹으로 나누고, 서로 다른 작업 그룹 간에 사용자가 서로 방문하는 것을 제한하며, 각 작업 그룹은 가상 LAN입니다. 가상 LAN의 장점은 브로드캐스트 범위를 제한할 수 있고 가상 작업 그룹을 구성하여 네트워크를 동적으로 관리할 수 있다는 것입니다.
VLAN 분할 방법
스위치에서 VLAN을 구현하는 방법은 XNUMX가지 범주로 나눌 수 있습니다.
1. 나누기 포트 기반 VLAN
이것은 가장 일반적으로 사용되는 VLAN 분할 방식이며 가장 널리 사용되고 효과적인 방식이며 대부분의 VLAN 프로토콜 스위치에서 이러한 VLAN 구성 방식을 제공합니다.
이 VLAN 분할 방법은 이더넷 스위치의 스위칭 포트를 기반으로 합니다. VLAN 스위치의 물리적인 포트와 VLAN 스위치 내부의 PVC(Permanent Virtual Circuit) 포트를 여러 그룹으로 나누고 각 그룹이 하나의 가상 네트워크를 구성하며 이는 독립적인 VLAN 스위치에 해당합니다.
서로 다른 부서가 서로 액세스해야 하는 경우 MAC 주소 기반 포트 필터링이 있는 라우터를 통해 포워딩할 수 있습니다. 통과 가능한 MAC 주소 집합은 사이트의 액세스 경로에서 사이트에 가장 가까운 스위치, 라우팅 스위치 또는 라우터의 해당 포트에 설정됩니다. 이는 불법 침입자가 내부에서 IP 주소를 훔쳐 다른 액세스 포인트에 침입할 가능성을 방지합니다.
이 분할 방법 자체에서 알 수 있듯이 이 방법의 장점은 모든 포트가 해당 VLAN 그룹으로 정의되는 한 VLAN 구성원을 정의하는 것이 매우 간단하다는 것입니다. 모든 규모의 네트워크에 적합합니다. 단점은 사용자가 원래 포트를 떠나 새 스위치의 포트로 이동하면 다시 정의해야 한다는 것입니다.
2. MAC 주소를 기준으로 VLAN 분할
이 VLAN 분할 방법은 각 호스트의 MAC 주소를 기반으로 합니다. 즉, MAC 주소를 가진 각 호스트는 자신이 속한 그룹으로 구성됩니다. 구현하는 메커니즘은 각 NIC가 고유한 MAC 주소에 해당하고 VLAN 스위치가 VLAN MAC에 속하는 주소를 추적한다는 것입니다. VLAN에 대한 이러한 접근 방식을 통해 네트워크 사용자는 한 물리적 위치에서 다른 위치로 이동할 때 자신이 속한 VLAN의 멤버십을 자동으로 유지할 수 있습니다.
이 분할 메커니즘에서 알 수 있듯이 이 VLAN 분할 방식의 가장 큰 장점은 사용자가 물리적 위치를 이동할 때, 즉 한 스위치에서 다른 스위치로 전환할 때 VLAN을 재구성할 필요가 없다는 것입니다. 이는 스위치의 포트가 아닌 사용자를 기준으로 하기 때문입니다. 이 방법의 단점은 초기화 중에 모든 사용자를 구성해야 한다는 것입니다. 수백 또는 수천 명의 사용자가 있는 경우 구성 프로세스가 오래 걸릴 수 있으므로 이 분할 방법은 일반적으로 소규모 LAN에 적합합니다.
또한 이 분할 방법은 각 스위치 포트에 VLAN 그룹의 여러 구성원이 있을 수 있고 많은 사용자의 MAC 주소를 저장하여 쿼리하기 쉽지 않기 때문에 스위치 실행의 효율성도 감소시킵니다.
또한 노트북 사용자의 경우 네트워크 카드가 자주 변경될 수 있으므로 VLAN을 자주 구성해야 합니다.
3. 분할e네트워크 계층 프로토콜 기반 VLAN
VLAN은 네트워크 계층 프로토콜에 따라 구분되며 IP, IPX, DECnet, AppleTalk, Banyan 등과 같은 VLAN 네트워크로 분류될 수 있습니다. 네트워크 계층 프로토콜로 구성된 이러한 VLAN은 브로드캐스트 도메인이 여러 VLAN 스위치에 걸쳐 있을 수 있도록 합니다. 이는 특정 응용 프로그램 및 서비스에 대해 사용자를 구성하려는 네트워크 관리자에게 매우 매력적입니다. 또한 사용자는 네트워크 내에서 자유롭게 이동할 수 있지만 VLAN 구성원은 그대로 유지됩니다.
이 방법의 장점은 사용자가 속한 VLAN을 재구성하지 않고 사용자의 물리적 위치가 변경된다는 점과 네트워크 관리자에게 중요한 프로토콜 유형에 따라 VLAN을 분류할 수 있다는 것입니다. 또한 이 방법은 VLAN을 식별하기 위한 추가 프레임 태그가 필요하지 않으므로 네트워크의 트래픽 양을 줄일 수 있습니다. 이 접근 방식의 단점은 각 패킷의 네트워크 계층 주소를 확인하는 것이 처리하는 데 시간이 많이 걸리기 때문에 비효율적이라는 것입니다(이전 두 접근 방식에 비해). 일반적으로 스위치 칩은 네트워크에서 패킷의 이더넷 프레임 헤더를 자동으로 확인할 수 있지만 칩이 IP 프레임 헤더를 확인하려면 더 높은 수준의 기술이 필요하고 더 많은 시간이 소요됩니다. 물론 이는 각 벤더의 구현 방식과 관련이 있다.
4. IP 멀티캐스트 기반으로 VLAN 분할
IP 멀티캐스트는 실제로 VLAN의 정의입니다. 즉, IP 멀티캐스트 그룹은 VLAN입니다. 이 분할 방식은 VLAN을 WAN으로 확장하므로 이 방식이 유연성이 더 높고 라우터를 통해 쉽게 확장할 수 있습니다. VLAN을 형성하기 위해 동일한 지리적 범위에 있지 않은 LAN 사용자에게 주로 적합합니다. 효율적이지 않기 때문에 LAN에는 적합하지 않습니다.
5. VLAN을 정책별로 나누기
정책 기반 VLAN은 VLAN 스위치 포트, MAC 주소, IP 주소 및 네트워크 계층 프로토콜을 포함하여 다양한 방식으로 할당될 수 있습니다. 네트워크 관리자는 자체 관리 모드 및 장치 요구 사항에 따라 VLAN 유형을 결정할 수 있습니다.
6. 분할e사용자 정의 비사용자 인증에 의한 VLAN
사용자 정의 및 비사용자 인증에 기반한 VLAN 할당은 VLAN이 특수 VLAN 네트워크를 충족하기 위해 네트워크 사용자의 특수 요구 사항에 따라 정의되고 설계됨을 의미합니다. 또한 비 VLAN 사용자는 사용자 암호를 제공하여 VLAN 관리에 의해 인증된 후에만 VLAN에 액세스할 수 있습니다.
TVLAN의 장점
새로운 기술이 널리 지원되고 적용되려면 몇 가지 주요 이점이 있어야 하며 VLAN 기술도 마찬가지입니다. 그 이점은 주로 다음 측면에 반영됩니다.
- 네트워크 연결의 유연성 향상
VLAN 기술은 서로 다른 위치, 네트워크 및 사용자를 결합하여 로컬 LAN을 사용하는 것처럼 편리하고 유연하며 효율적인 가상 네트워크 환경을 형성합니다. VLAN은 특히 비즈니스 상황이 자주 변경되는 회사의 경우 워크스테이션 위치를 이동하거나 변경하는 오버헤드를 줄일 수 있습니다.
- 네트워크에서 브로드캐스트 제어
VLAN은 스위칭 네트워크에서 과도한 브로드캐스팅을 방지하기 위해 방화벽 메커니즘을 제공합니다. VLAN을 사용하면 스위치 포트 또는 사용자를 특정 VLAN 그룹에 할당할 수 있습니다. 이 그룹은 스위치 네트워크 내에 있거나 여러 스위치에 걸쳐 있을 수 있으며 VLAN 내의 브로드캐스트는 VLAN 외부로 전송되지 않습니다. 마찬가지로 인접한 포트는 다른 VLAN에서 생성된 브로드캐스트를 수신하지 않습니다. 이는 브로드캐스트 트래픽을 줄이고 사용자 애플리케이션을 위한 대역폭을 해제하며 브로드캐스트 생성을 줄입니다.
- 네트워크 보안 향상
VLAN은 별도의 브로드캐스트 도메인이기 때문입니다. VLAN은 서로 격리되어 있어 네트워크 활용도가 향상되고 네트워크 보안과 기밀성이 보장됩니다. 사람들은 종종 LAN에서 기밀 및 중요한 데이터를 전송합니다. 기밀 데이터는 접근 통제와 같은 보안 수단과 함께 제공되어야 합니다. 효과적이고 구현하기 쉬운 방법은 네트워크를 여러 브로드캐스트 그룹으로 분할하는 것입니다. 여기서 네트워크 관리자는 VLAN의 사용자 수를 제한하고 허가 없이 VLAN의 애플리케이션에 대한 액세스를 금지합니다. 스위칭 포트는 애플리케이션 유형 및 액세스 권한에 따라 그룹화할 수 있으며 제한된 애플리케이션 및 리소스는 일반적으로 보안 VLAN에 배치됩니다.
VLAN 구성 사례 연구
회사에는 약 100 대의 컴퓨터가 있으며 네트워크를 주로 사용하는 주요 부서는 생산 부서 (20), 재무 부서 (15), 인사 부서 (8) 및 정보 센터 (12)입니다.
전체 네트워크는 1900개의 Catalyst 1 관리 스위치(각각 이름: Switch2, Switch3 및 Switch2514, 각 스위치는 필요에 따라 여러 허브에 연결되며 주로 관리 서류 작업, 임시 사용자 등과 같은 비 VLAN 사용자를 위해 연결됨)를 사용합니다. Cisco 2514 라우터는 네트워크의 중간 부분과 뒷부분에 있으며 전체 네트워크는 라우터를 통해 인터넷에 연결됩니다. Cisco XNUMX는 외부 인터넷에 연결됩니다.
연결된 사용자는 주로 생산 부서, 재무 부서, 정보 센터 및 인사 부서의 네 부분으로 분산됩니다. 이 네 부분은 주로 별도의 VLAN으로 구분되어 해당 부서 네트워크 리소스가 도난당하거나 손상되지 않도록 합니다.
네트워크 리소스의 보안을 보장하기 위해 특히 재무 및 인사와 같은 민감한 부서의 경우 너무 많은 사람들이 네트워크의 정보에 액세스할 수 없습니다. 따라서 회사에서는 위와 같은 문제점을 해결하기 위해 VLAN 방식을 채택하고 있습니다.
Vlans는 생산 부서, 재무 부서, 인사 부서 및 정보 센터로 나눌 수 있습니다. 해당 VLAN 그룹은 Prod, Fina, Huma 및 Info입니다. 표 1은 각 VLAN 그룹의 네트워크 세그먼트를 보여줍니다.
참고: 스위치의 VLAN ID가 "2"부터 시작하는 이유는 스위치에 기본 VLAN, 즉 스위치에 연결된 모든 사용자를 포함하는 VLAN "1"이 있기 때문입니다.
VLAN 구성 프로세스
VLAN 구성 프로세스는 실제로 매우 간단하며 두 단계만 필요합니다.
(1) 각 VLAN 그룹의 이름을 지정합니다.
(2) 해당 스위치 포트에 해당하는 VLAN에 해당합니다.
다음은 구체적인 구성 프로세스입니다.
1단계: HyperTerminal을 설정하고 1900 스위치에 연결하고 HyperTerminal을 통해 스위치의 VLAN을 구성합니다. 아래와 같이 성공적으로 연결되면 기본 구성 인터페이스가 나타납니다(이전에 스위치에 기본 정보가 구성됨).
참고: HyperTerminal은 Windows와 함께 제공되는 Hypertrm 프로그램을 사용하여 구현됩니다. 자세한 내용은 관련 문서를 참조하십시오.
2단계: "K"를 클릭하고 메인 메뉴에서 "[K] Command Line"을 선택하여 다음과 같은 명령줄 구성 인터페이스로 들어갑니다.
이 시점에서 우리는 라우터와 마찬가지로 스위치의 일반 사용자 모드로 들어갑니다. 이 모드는 현재 구성을 볼 수만 있고 구성을 변경할 수 없으며 매우 제한된 명령을 사용할 수 있습니다. 따라서 "특권 모드"로 들어가야 합니다.
3단계: 이전 단계의 ">" 프롬프트에서 "enable" 명령을 입력하여 권한 모드로 들어갑니다. 명령 형식은 ">활성화"이며 스위치가 표시됩니다.
4단계: 보안과 편의를 위해 3개의 Catalyst 1900 스위치 각각에 이름을 부여하고 특권 모드 로그인 암호를 설정합니다. 다음은 Switch1의 예입니다. 구성 코드는 다음과 같습니다.
참고: 특권 모드 암호는 4~8자여야 합니다. 입력한 비밀번호는 평문으로 표시되므로 기밀로 유지하십시오. 스위치는 수준을 사용하여 암호 권한을 결정합니다. 수준 1은 명령줄 인터페이스에 액세스하기 위한 암호입니다. 레벨 1의 암호를 설정한 후 다음에 스위치에 연결하고 K를 입력하면 레벨 1에 설정된 암호인 암호를 입력하라는 메시지가 표시됩니다. "활성화" 명령을 입력한 후 입력하라는 메시지가 표시됩니다.
5단계: VLAN 이름을 설정합니다. 1개의 VLAN이 서로 다른 스위치에 속해 있기 때문에 VLAN 명명 명령은 “VLAN, VLAN 번호, 이름, VLAN 이름입니다. Switch2, Switch3, Switch2에서 다음과 같이 VLAN 3, 4, 5, XNUMX의 코드를 구성합니다.
참고: 위의 구성은 표 1의 규칙에 따라 수행됩니다.
6단계: 이전 단계에서 각 스위치에 대한 VLAN 그룹을 구성했습니다. 이제 이러한 VLAN을 표 1에 지정된 스위치 포트 번호와 일치시켜야 합니다. 포트 번호에 해당하는 명령은 vlan-membership 정적/동적 VLAN 번호입니다. 이 명령에서는 "정적" 또는 "동적"을 선택해야 하지만 일반적으로 "정적"을 선택합니다.
VLAN 포트 번호 애플리케이션은 다음과 같이 구성됩니다.
(1) “Switch1”이라는 스위치의 VLAN 포트 번호는 다음과 같이 구성됩니다.
참고: "int"는 "interface" 명령의 약어입니다. e0/3″은 “ethernet 0/2”의 약자로 스위치 모듈 2의 포트 0를 나타냅니다.
(2) “Switch2”이라는 스위치의 VLAN 포트 번호는 다음과 같이 구성됩니다.
(3) "Switch3"라는 스위치의 VLAN 포트 번호는 다음과 같이 구성됩니다(두 개의 VLAN 그룹 구성 포함). 먼저 VLAN 4(Huma)의 구성 코드를 참조하십시오.
다음은 VLAN 5(정보)의 구성 코드입니다.
이제 표 1에서 요구하는 대로 스위치의 해당 포트에 VLAN을 정의했습니다. 구성을 확인하기 위해 권한 모드에서 "show vlan" 명령을 사용하여 구성이 올바른지 확인하기 위해 방금 만든 구성을 표시할 수 있습니다. .
위는 Cisco Catalyst 1900 스위치의 VLAN 구성에 대한 소개이며 다른 스위치의 VLAN 구성은 기본적으로 유사합니다. 관련 스위치 매뉴얼을 참조하십시오.