VLAN

VLAN(Virtual LAN)
  - L2 스위치에서 물리적인 LAN을 여러개의 논리적인 가상 LAN으로 분할하는 것

  - 더 작은 LAN으로 쪼개서 과부하 감소 가능

  - 보안성 강화 가능

 

     * broadcasting domain

       - broadcasting이 가능한 범위, 하나의 LAN, 하나의 Subnet(= 하나의 네트워크)

 

설정법
  (config)# vlan <num>
    - vlan 생성

  (config-vlan)# name <name>
    - vlan 이름 설정

  (config-if)# switchport mode access
    - 하나의 vlan에 속하는 모드

 

  (config-if)# switchport mode trunk
     - 스위치가 가지고 있는 모든 vlan에 속하는 모드

  (config-if)# switchport access vlan <num>
    - 스위치의 해당 port가 vlan <num>에 접근 가능하도록 설정(vlan 멤버 설정)

 

 

---

구성도

다음 과 같은 내부 네트워크에서  왼쪽 PC부터 10.0.0.1/24로 그림과 같이 ip를 할당 해줬다고 할 때

스위치에서 논리적으로 LAN을 분할함으로써 VLAN에 속한 port끼리만 통신할 수 있도록 하려고 한다

 

왼쪽 switch

(config)# vlan 10

(config-vlan)# exit

(config)# vlan 20

(config-vlan)# exit

(config)# int range fa0/1-2

(config-if-range)# switchport mode access

(config-if-range)# switchport access vlan 10

(config)# int range fa0/3-4

(config-if-range)# switchport mode access

(config-if-range)# switchport access vlan 20

 

오른쪽 switch

(config)# vlan 10

(config-vlan)# exit

(config)# vlan 20

(config-vlan)# exit

(config)# int range fa0/1-2

(config-if-range)# switchport mode access

(config-if-range)# switchport access vlan 10

(config)# int range fa0/3-4

(config-if-range)# switchport mode access

(config-if-range)# switchport access vlan 20

 

0번 노트북

VLAN 설정을 끝내고 ping test를 했을 때 vlan 10에 속한 0번 노트북(10.0.0.1)은 같은 vlan에 속해 있는

1번 노트북(10.0.0.02)과는 성공적으로 통신할 수 있었지만

vlan20 에 속해있는 2번 노트북(10.0.0.3)과는 통신이 불가능한 것을 확인할 수 있다

 

0번 노트북

하지만 분명히 같은 vlan 10에 속해있는 4,5번 노트북과도 통신이 불가능한 것 또한 확인할 수 있다

 

스위치끼리 연결한 port가 vlan10과는 다른 vlan에 속해 있기 때문에 통신이 불가능한 것이다

(모든 port는 기본적으로 vlan 1에 속해있다)

 

그렇기 때문에 스위치 사이를 연결한 포트 또한 vlan 10에 넣어주면 0,1번 노트북과 4,5번 노트북간의 통신이 가능 해진다

하지만 access mode는 port마다 속할 수 있는 vlan이 하나 뿐이기 때문에

vlan20 간의 통신을 가능하게 하려면 vlan 10에 속했던걸 vlan 20으로 바꾸거나

새로운 port를 연결해서 vlan20에 속하도록 설정해야 하고 이 방법은 VLAN의 수가 많을 수록 수행하기 힘들다

이 때 사용하는 것이 trunk mode이다

 

왼쪽 switch

(config)# int gi0/1

(config-if)# switchport mode trunk

 

오른쪽 switch

(config)# int gi0/1

(config-if)# switchport mode trunk

 

Trunk mode는  스위치가 가지고 있는 모든 vlan에 속할 수 있기 때문에

스위치끼리를 연결한 세그먼트는 기존에 존재했던 vlan 1과 새로 만든 vlan10, vlan 20에 모두 속하게 되고

그에 따라 모든 vlan끼리의 통신이 가능하다

 

0번, 2번 노트북 ping test

 

VLAN10 통신

0번 노트북 -> 4번, 5번 노트북

 

VLAN20 통신

2번 노트북 -> 6번, 7번 노트북