VLAN (Virtual LAN)

1. VLAN이란?

📌 정의

VLAN(Virtual LAN)은 하나의 물리적인 네트워크 스위치를 논리적으로 여러 개의 네트워크(LAN)로 나눈 것입니다.

💡 VLAN = 가상의 네트워크 분리
동일한 스위치 내에서도 포트 그룹을 나누어 서로 다른 네트워크처럼 동작하게 함

2. VLAN이 필요한 이유

기존 LAN 문제점

• 스위치는 모든 포트를 하나의 브로드캐스트 도메인으로 묶음
• 트래픽이 많아지면 네트워크 혼잡 발생
• 보안 문제: 다른 팀이 서로의 트래픽을 볼 수 있음

VLAN 도입 효과

문제점	VLAN 도입 후
브로드캐스트 도메인 과대	VLAN별 도메인 분리
부서 간 데이터 격리 어려움	논리적으로 분리 가능
네트워크 구조 변경 어려움	유연한 포트 할당 가능

3. VLAN 구성 방식

📌 포트 기반 VLAN

• 가장 일반적
• 스위치 포트를 기준으로 VLAN ID 부여

plaintext복사편집포트 1~4: VLAN 10 (관리부서)  
포트 5~8: VLAN 20 (영업부서)

📌 MAC 주소 기반 VLAN (드뭄)

• 접속한 장비의 MAC 주소를 기반으로 VLAN 결정
• 유동적으로 장비를 연결할 수 있음 (이동성↑)

📌 프로토콜 기반 VLAN

• 특정 프로토콜(IP, IPX 등)에 따라 VLAN을 분리
• 일반적인 환경에서는 잘 사용되지 않음

4. VLAN Tagging (802.1Q)

📌 VLAN 태깅이란?

VLAN 정보는 Ethernet 프레임 안에 VLAN ID를 삽입해서 구분합니다.
이 방식을 IEEE 802.1Q 표준이라고 합니다.

📌 Tag 구조 (802.1Q 헤더 구조)

프레임 헤더에 다음과 같은 필드가 삽입됨:

필드	설명
TPID (Tag Protocol ID)	0x8100: VLAN Tag가 있음을 나타냄
Priority (3bit)	QoS 우선순위 지정
CFI (1bit)	Canonical Format Indicator (사용 빈도 낮음)
VLAN ID (12bit)	VLAN 번호 (0~4095) – 4096개 VLAN 가능

5. VLAN 포트 종류 (Access vs Trunk)

포트 타입	역할	태깅
Access Port	단일 VLAN에만 속함 (PC, 프린터 등 연결)	태깅 없음
Trunk Port	여러 VLAN 통과 가능 (스위치 ↔ 스위치)	802.1Q 태깅 사용
Hybrid Port	Access + Trunk 기능 혼합 (특정 장비에 사용)	필요에 따라 태깅

예시 구성

[PC] ─ Access Port (VLAN 10)
         │
      [스위치1] ──── Trunk Port ──── [스위치2]
                                        │
                                     Access Port (VLAN 10)

🔹 6. VLAN 간 통신 (Inter-VLAN Routing)

• 서로 다른 VLAN은 기본적으로 통신 불가
• VLAN 간 통신을 위해서는 IP주소기반의 라우팅이 필요하므로 라우팅 장비(L3 Switch or Router) 필요
• VLAN 자체는 2계층에서 동작하지만, VLAN 간 라우팅(Inter-VLAN Routing)은 3계층에서 동작

📌 방식 1: 라우터 방식 (Router-on-a-stick)

• 하나의 라우터 포트에 여러 개의 서브 인터페이스 할당

[스위치] ←→ [Router (VLAN 10/20 인터페이스)]

📌 방식 2: 3계층 스위치 방식

• 스위치 내부에서 IP 라우팅 처리 → 속도 빠름

🔹 7. VLAN의 장점과 단점

✅ 장점

항목	설명
보안	부서별로 논리적 네트워크 분리 가능
트래픽 관리	브로드캐스트 트래픽 분산
유연성	물리적 위치와 무관하게 포트 설정만으로 구성
관리 편의	부서 이동 시 케이블 재배선 없이 VLAN 변경 가능

❌ 단점

항목	설명
구성 복잡성	잘못된 설정 시 네트워크 장애 발생 가능
라우팅 필요	VLAN 간 통신 시 추가 장비 필요
태깅 관리	Trunk 포트 설정 실수 시 네트워크 충돌 가능

8. VLAN 설정 예시 (Cisco IOS 기준)

Access 포트 VLAN 설정

Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Trunk 포트 설정

Switch(config)# interface fastEthernet 0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20

🔹 9. VLAN 보안 팁

보안 기능	설명
VLAN Hopping 방지	기본 VLAN 1을 사용하지 않음
Unused 포트 비활성화	사용하지 않는 포트 shutdown 처리
Port Security	포트별 허용 MAC 주소 제한
Dynamic ARP Inspection	ARP 스푸핑 방지
Private VLAN	같은 VLAN 내 장비끼리 통신 차단 가능 (ISP 환경에서 사용)

10. 요약 정리

항목	내용
정의	스위치 내에서 논리적으로 네트워크를 분리하는 기술
동작 원리	포트에 VLAN ID를 할당하여 분리, Trunk 포트로 전달 시 VLAN Tag 추가
표준	IEEE 802.1Q
구성 요소	Access Port, Trunk Port, VLAN ID
통신 방식	VLAN 간 통신은 L3 장비 필요
장점	보안성, 유연성, 트래픽 분산
단점	설정 복잡, 라우팅 필요, 태깅 오류 가능성