k2hyun
VLAN (Virtual LAN) 본문
VLAN (Virtual LAN) 이란,
VLAN (Virtual LAN)이란 논리적으로 분할된 스위치 네트워크를 말한다.
VLAN은 '스위칭'이라는 LAN의 기술을 기반으로 물리적 시간만 고려되었던 LAN 분야에 가상(Virtual)이라는 개념을 도입한 것이다. VLAN은 네트워크 구성에 대한 지리적 제한을 최소화하면서 사용자가 원하는 최대한의 논리적인 네트워크를 구성할 수 있도록 수단을 제공한다. 즉, 공간이라는 지리적 위치가 아니라, 접속 포트나 MAC 주소, 프로토콜 단위등으로 가상 랜을 구성할 수 있다. 사용자가 이동하거나 바뀔 경우 동적인 조직에서 작업그룹을 구성할 수 있고, 브로드캐스트 패킷에 대한 효율적인 제어 등이 용이하다. 그 동안 제품표준화 문제로 사용 및 확산에 지장이 있었으나 가상랜에 관한 표준이 IEEE 802.1Q으로 규격화됨으로써 그 사용이 더욱 확산될 전망이다.
- 하나의 스위치에 연결된 장비들은 모두 같은 브로드캐스트 도메인 안에 있기 때문에 그 범위를 최소화하기 위한 기능
- 브로드캐스트 도메인을 여러개의 도메인으로 나눈다.
- 한 대의 스위치에서 VLAN을 설정하면 VLAN을 설정한 구역끼리만 통신이 가능하다. 즉, 네트워크 구간이 나누어진다.
- 위의 사진을 보면 VLAN 10번과 VLAN 20번으로 나누어져 있는데, VLAN 10번의 PC들끼리만 통신이 가능하며,
마찬가지로 VLAN 20번의 PC끼리 통신이 가능하다.
- 위의 나누어진 다른 네트워크 구간을 연결하기 위해서는 라우터가 필요하다.
VLAN (Virtual LAN)의 필요성
- 불필요한 브로드캐스트 트래픽을 차단하고 네트워크의 보안성 강화를 위하여 대부분의 Switch LAN에서 VLAN을 필수적으로 사용한다. VLAN으로 세그먼트를 분리할 경우 브로드캐스트 도메인이 분리되어 네트워크 대역폭을 보다 효율적으로 사용할 수 있다.
Broadcast의 문제점
- 네트워크와 관련된 많은 프로토콜들이 브로드캐스트를 사용한다. PC, 서버, 라우터 등 네트워크로 연결된 장비들은 브로드캐스트 프레임을 수신하면 일단 자신이 응답해야 하는 지를 해독해 보아야 한다. 따라서 브로드 캐스트 트래픽이 많으면 장비들의 성능이 저하된다.
* VLAN이 없으면 모든 스위치의 모든 포트로 브로드캐스트 프레임이 전송된다.
* VLAN을 사용하면 필요한 포트간에만 브로드캐스트 프레임이 전송된다.
Layer2 기반의 로드 밸런싱(Load Balancing)
- VLAN이 없으면 Layer2 기반의 로드 밸런싱이 불가능하다.
- VLAN을 사용하면 Layer2 기반의 로드 밸런싱이 가능하다.
VLAN (Virtual LAN)의 형태
① 하나의 라우터 포트 아래 연결된 하나의 스위치의 각 포트마다 VLAN이 할당되어 있는 형태
: 원래는 라우터 아래의 전체가 하나의 네트워크 주소안에 포함되어 있지만, VLAN을 위해서 서브넷팅을 이용하여 네트워크를 나눈다. 그리고 VLAN을 할당한다.단순히 서브넷만으로도 네트워크가 나누어지고 VLAN의 대표적 장점인 브로드캐스트 도메인도 나누어 지지만, 서브넷팅을 하게되어 네트워크가 나뉘면, 각 네트워크마다 Gateway를 할당해 주어야 한다. 즉, 라우터에서 인터페이스를 여러개를 써야 하는데, VLAN을 이용하면 하나의 인터페이스에 가상으로 서브인터페이스를 할당함으로 물리적인 인터페이스는 하나만 쓰게 되는 효과가 있다.
② 하나의 라우터 포트에 연결된 두 개 이상의 스위치
: 대표적으로 많이 쓰이는 형태이다. 두개 이상의 스위치가 라우터의 하나의 포트에 할당되어 있으며, 이러한 스위치는 층별로 스위치를 하나씩 두고, 각 스위치에는 서브넷팅된 호스트들이 네트워크 대역별로 몇개씩 나누어서 할당되어 있다. 즉, 아래 그림과 같은 구조이다.
: 회사에서 부서 끼리는 층이 다르더라도 같은 서브넷에 속하게 하고, VLAN으로 다시 한번 묶는 것이다. 이렇게 되면 VLAN끼리만 통신이 가능하게 되므로 업무상의 보안을 가능케하며, 1번 케이스의 장점 또한 모두 포함한다.
③ ②의 구조를 이루고 있는 라우터가 2개 이상인 경우. 즉, 라우터를 넘어가는 VLAN
: 이 경우 라우터 1 에서의 VLAN 100과 라우터 2 에서의 VLAN 100이 이름은 같지만 다른 VLAN 100이다. 왜냐하면 네트워크 주소가 다르기 때문이다.
: 실상 이런 경우는 거의 없다. 실제로 이렇게 VLAN을 구성하는 경우도 없고 사용하는 경우도 없다고 보면 된다.
: 녹색 영역의 VLAN 10,20,30과 노란색 영역의 VLAN 10,20,30이 있지만 이름은 같아도 다른 VLAN이다.
: 단지 헷갈려하지 않도록 하면 된다.
※ 즉, VLAN을 구성하기 위해서는 기본적으로 같은 네트워크에 속한 상태여야만 VLAN으로 묶어줄 수 있다. 같은 네트워크를 만들기 위해 하나의 큰 네트워크를 서브넷을 통해 작은 네트워크로 분할 하기도 하고, 기존에 서브넷팅 되어 쓰고 있던 PC들을 그냥 VLAN으로 바로 묶을 수 도 있다.
[출처] VLAN (Virtual LAN)|작성자 Just Blue