네트워크 VLAN과 Trunk

네트워크를 구성할때 스위치에서 가상으로 LAN을 분리하는 기능을 VLAN(Virtual LAN)이라고 합니다. VLAN은 내부망분리로 사용되며 보안개념으로도 사용가능합니다 그리고 VLAN은 논리적으로 브로드케스트 도메인을 분할해서 브로드케스트 양을 최소화하고 서로 다른 VLAN 간에 ARP 요청이 안되기에 유니케스트 접근 제어가 가능하고 논리적인 방법으로 브로드케스트 도메인을 분할하기 떄문에 관리하기가 편합니다.

VLAN 데이터베이스에 대해 알아보겠습니다 VLAN정보는 VLAN 데이터베이스로 관리하는데 모든 포트는 VLAN 1에 소속되어 있고 브로드케스트를 전체 공유합니다 vlan 1과 vlan 1002~1005는 기본적인 VLAN이기에 삭제나 수정은 불가능합니다

스위치에서 show vlan brief를 입력하여 vlan 정보를 볼수있습니다.

VLAN은 실제 랜선을 안쓰기 때문에 명령어로 VLAN은 생성할수있습니다. 스위치에서 conf t입력하고 vlan 숫자를 입력하면 바로 생성됩니다. VLAN을 생성하고 해당 VLAN의 이름을 바꿀수있습니다 접속된 VLAN에서 name 원하는이름 을 입력하면 vlan brief에서 바뀐 이름으로 확인 가능합니다.

VLAN access 설정에 대해 알아보겠습니다.

1번 스위치와 2번 스위치가 있다는 가정하에 1번 스위치는 fa0/1,fa0/2 2번 스위치에서는 fa0/3, fa0/4, fa0/5로 설정한다면 먼저 1번 스위치에서 conf t입력하고int fa0/1, switchport mode access, switchport access vlan 51 , int fa0/2, switchport mode access, switchport access vlan 52를 입력하면 됩니다 적용되었는지 show run, show vlan brief에서 확인합니다 2번 스위치도 1번과 비슷하게 설정합니다.

Trunk에 대해 알아보겠습니다.

트렁크는 하나의 링크를 이용해서 서로 다른 VLAN 프레임들을 전송 처리하는 구간을 의미하는데 트렁크를 구성하려면 IEEE 802.1q 트렁크 프로토콜을 사용해야 합니다 만약 Ethernet 프레임에 VLAN-ID 정보를 가지고 있다면 dot1q Tag를 추가해야합니다.

트렁크를 설정하는 법은 간단합니다. int fa0/20, switchport trunk encapsulation dot1q, switchport mode trunk만 입력하면 됩니다.

제대로 설정이 되었는지 show run, show int trunk로 확인합니다.

Inter-VLAN 구성에 대해 간단히 알아보겠습니다.

스위치에서 트렁크를 구성하고 라우터에서 서브인터페이스와 트렁크를 구성합니다 각각의 VLAN에 대한 기본 게이트웨이를 라우터를 이용해서 구성합니다.

라우터에서 서브인터페이스를 이용해서 VLAN 게이트웨이 및 트렁크를 설정하는 법은 int fa0/0, no shutdown, int fa0/0.1, encapsulation dot1q 1, ip address ip와서브넷마스크 를 입력하면 됩니다.

Inter-VLAN을 구성하면 각각의 VLAN pc들이 인터넷이 가능해 집니다. 그리고 라우터 기능 덕분에 서로 다른 VLAN간의 유니케스트도 가능해지며 만약 서로 다른 VLAN간에 유니케스트를 차단하려면 라우터에서 ACL를 구성해야합니다.