VLAN(Virtual Local-Area Network)

VLAN(Virtual Local-Area Network)
물리적으로 단일한 네트워크에 연결되어 있으나 논리적으로 그룹을 지어서 패킷이나 데이터가 넘어가지
않도록 하는 것이다.
목적은 그룹을 지어서 좀더 빠른 네트워크를 사용하려는 목적이지만 응용되어서 그룹간 네트워크 환경에서
보이지 않게 하여서 간단한 해킹을 막는 목적도 있다.

VLAN을 사용하는 이유
VLAN은 기존의 LAN과 대비하여 여러 가지 장점을 가지며 이러한 이유 때문에 VLAN이 사용된다.
VLAN 장점으로는 향상된 네트워크 대역폭, 물리적 제약 해소, Broadcast제한, 보안의 강화 등이 있다.

향상된 네트워크 대역폭 : 스위치는 collision Domaon 을 줄임으로써 성능향상을 이룩한 장비다.
여기에 VLAN 사용자들은 논리적으로 그룹화 하는 기능은 Broadcast Domain 을 각각의 워크 그룹으로
제한함으로써 전체적인 Broadcast가 줄게 되어 VLAN을 구성하지 않았을때보다 더 많은 대역폭을
사용할 수 있도록 하여준다.

물리적 제약 해소 : VLAN은 같은 자원들을 공유하는 노드들의 집합이다. 기존의 스위치와는 다르게
이러한 자원들을 물리적으로 같은 장소에 위치할 필요가 없다. 예를 들면 다른 빌딩에 위치한 같은 마케팅
부서의 네트워크를 VLAN 으로 구성할 경우 마케팅 부서의 사람들은 자신의 위피에 관계없이 부서내의
공유된 서버에 LAN으로 접속이 가능하다.

Broadcast제한 : VLAN 정의에 의하면 VLAN은 Broadcast Domain 이다. 기존의 라우터에 의하여
Broadcast Domain을 구성하였던 것을 VLAN을 이용하면 저렴한 가격에 구성할 수 있다.

보안의 강화 : 일반 스위치에서는 모든 사람들은 Broadcast되는 정보를 공유한다. 이 Broadcast되는
정보 중에는 보안이 필요한 경우도 있을 수 있으며 이러한 정보를 인증되지 않은 사람이 사용 할 수 있다.
VLAN은 인증된 사람들만으로 VLAN 맴버를 수어하는 방법으로 제공함으로써 보안을 구현 할 수 있다.

VLAN방식

Static VLAN
각 포트들을 원하는 VLAN에 하나씩 배정해 주는 방법
대부분의 스위치에서 사용하는 방법

 

Dynamic VLAN
포트에 접속하는 장비의 MAC Address를 보고 그 주소에 따라 VLAN을 배정하는 방법
이동이 잦은 사무 환경에 적합
VMPS(Vlan membership Policy Server)이용
장비가 접속하면 그 장비의 MAC Address에 따라 VLAN 설정
주로 대형 스위치에서 이 기능을 제공

 

Switch Port Type
Access-link
하나에 VLAN에만 포함된 포트이고 해당 VLAN Traffic만 처리한다.

Trunk-link
어떠한 VLAN에도 포함되어 있지 않고 모든 VLAN에 Traffic을 전달하는 포트이다.
기본적으로 자동으로 구성된다. 즉 스위치와 스위치를 연결한 경우 두 스위치가 협상을 통해 자동 구성된다.

 

Preamble       D.A      S.A             TYPE                        DATA                              FCS
Preamble       D.A      S.A    TAG     TYPE                        DATA                              FCS
802.1q Frame TAG : 4byte = 2byte(TPID) + 2byte(TCI)
TPID(Tag Protocol ID) : 이 프레임 태그가 붙어 있으면 다음 2byte가 802.1q 정보용으로 사용된다고 인식한다.

TCI(Tag Control Information) Priority(3bit)QOS용도 CFI(1bit) 0인 경우 이더넷 1인 경우 토큰링을 의미함
CFI 마지막 12bit는 VLAN ID이다.

 

 

 

 

 

 

 

 

 

>> VLAN ?

> Static VALN ?
 ; 관리자가 직접 Switch에 VLAN Database를 구성하고 Port를 매핑한다.

> Dynamic VLAN ?
 ; VMPS(VLAN Management Policy Server) 를 구축한다. (VMPS는 Catalyst 45xx, 65xx등에서
  구현할 수 있고 Software는 "CiscoWorks 2000" 을 이용하면 PC 서버를 구축할 수 있다.)
  VMPS서버에 VLAN Database를 미리 구축해 놓고 Port를 Dynamic Port로 설정하면 PC를 Port에
  연결하면 스위치가 PC에 MAC Address를 학습한 후 VMPS서버에 Query를 해서 해당 MAC Address
  에 매핑되는 VLAN을 구분한다.

> Switch Port Type?
 - Access-link?
  ; 하나에 VLAN에만 포함된 포트이고, 해당 VLAN Traffic만 처리를 한다.

 - Trunk-link?
  ; 어떠한 VLAN에도 포함되어 있지 않고, 모든 VLAN에 Traffic을 전달하는 포트이다.
    기본적으로 자동으로 구성된다. 즉 스위치와 스위치를 연결한 경우 두 스위치가 협상을
    통해 자동 구성된다. (서버 연결이나 스위치 연결구간은 가급적이면 수동구성을 권장)

> VLAN Database 생성하기
SW1(config)# vlan 10
SW1(config-vlan)# name Sales

! VLAN 제거 하기
SW1(config)# no vlan 10

! VLAN 정보 확인하기
SW1# show vlan brief

 

> Port를 VLAN에 매핑하기 (Fa0/1 번 포트를 VLAN 10번에 매핑하기)
SW1(config)# int f0/1
SW1(config-if)# switchport mode access
SW1(config-if)# switchport access vlan 10

> 여러개의 Port를 하나의 VLAN에 할당하기
SW1(config)# int range fa0/1 - 5 , fa0/10 - 15
SW1(config-if-range)# switchport mode access
SW1(config-if-range)# switchport access vlan 10

> Static Trunk-link 설정
SW1(config)# int fa0/24
SW1(config-if)# speed 100
SW1(config-if)# duplex full
SW1(config-if)# description "to SW2 Fa0/24 Trunk Connection"
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk allowed  vlan all

** 참고 만약 스위치가 ISL, 802.1Q 둘다 지원하는 경우 encapsulation 을 선언해야 한다.
(switchport mode trunk 선언하기 전에 하면 된다.)
SW1(config-if)# switchport trunk encapsulation {isl|dot1q}

! 해당 포트에 대한 설명을 설정한다.
Switch(config-if)#description ?
  LINE  Up to 240 characters describing this interface

 

>> VTP (Vlan Trunk Protocol)?
 ; 스위치간 flash:vlan.dat 파일을 다른 스위치와 동기화 하는 Protocol이다.

> VTP Mode ?
 - Server  ; vlan을 생성/ 수정 / 삭제 할 수 있는 모드 이고 VLAN 정보를 Flash에 vlan.dat 파일로
    저장하며, 다른 스위치에 복제를 하는 모드이다. (기본값이다.)
 - Client ; vlan을 생성/ 수정/ 삭제할 수 없는 모드이고, Server로 부터 vlan 정보를 받아서 운영한다.
   
 - Transparent ; vlan을 생성/ 수정/ 삭제 할 수 있는 모드이다, 하지만 다른 스위치와 동기화 하지 않는다.
        독립형 모드이다.

> VTP 설정 순서
1. VTP Domain Name 할당 (같은 이름을 갖는 스위치가 VLAN 정보를 공유한다.)
SW1(config)# vtp domain <이름>

2. VTP Password 설정을 통해 인증된 스위치만 VLAN정보를 공유하게 한다.
SW1(config)# vtp password <암호>

3. VTP Mode 선언한다.
SW1(config)# vtp mode {Server|Client|Transparent}

! vtp 구성 정보를 확인하기
SW1# show vtp status

>> 기존 VTP Domain에 스위치를 추가하기

1. 먼저 VTP Counter 를 초기한다.
SW1# clear vtp counters

2. VTP Database를 삭제한다.
SW1# delete vlan.dat

3. 스위치를 Reload한 후 VTP Domain에 추가한다.
SW1# reload

 
실습랩 구성하기
VTP Mode 설정
sw1(config)# vtp domain cisco
sw1(config)# vtp password cisco
sw1(config)# vtp mode server

sw2(config)# vtp domain cisco
sw2(config)# vtp password cisco
sw2(config)# vtp mode client

sw3(config)# vtp domain cisco
sw3(config)# vtp password cisco
sw3(config)# vtp mode client

VTP Server Vlan 정보 만들기
sw1(config)# vlan 10
sw1(config-vlan)# name vlan 10
sw1(config)# vlan 20
sw1(config-vlan)# name vlan 20
sw1(config)# vlan 30
sw1(config-vlan)# name vlan 30
sw1(config)# vlan 40
sw1(config-vlan)# name vlan 40

 

>> VLAN 간 Routing (Cisco 2620에 IOS 12.3 Version 인 경우)

! Trunk-link에 연결된 라우터 포트 fa0/0번 구성..
FR1(config)# int fa0/0
FR1(config-if)# speed 100
FR1(config-if)# duplex full
FR1(config-if)# no shutdown

! vlan 1를 위한 gateway 구성
FR1(config)# int fa0/0.1
FR1(config-subif)# ip add 192.168.1.1 255.255.255.0
FR1(config-subif)# encapsulation dot1q 1 native

! vlan 2를 위한 gateway 구성
FR1(config)# int fa0/0.2
FR1(config-subif)# ip add 192.168.2.1 255.255.255.0
FR1(config-subif)# encapsulaton dot1q 2

>> 스위치 초기화 하기
1. Flash에 config.text 파일이 Router에 NVRAM에 해당된다. 이 파일을 지우면 Configuration이 초기화 된다.
SW1# erase startup-config
or
SW1# delete config.text

2. VLAN 정보 초기화
SW1# clear vtp counters
SW1# delete vlan.dat
SW1# reload