[9월 18일] VLAN 설정하기

vlan 설정 실습을 위한 network topology

 

1단계: VLAN 생성 및 이름 지정

모든 스위치(ESW1, ESW2, ESW3)에서 다음 명령어를 실행하여 VLAN을 생성하고 이름을 지정합니다.

구역 내 모든 스위치에서 vlan 생성 및 이름 지정

 

2단계: 스위치 포트에 VLAN 할당

각 스위치에 연결된 VPC와 스위치 간의 링크, 그리고 라우터에 연결된 포트에 적절한 VLAN을 할당합니다.

ESW1에서 각 인터페이스 마다 VLAN 할당

 

ESW2에서 각 인터페이스 마다 VLAN 할당

ESW3에서 각 인터페이스 마다 VLAN 할당

 

 

 

3단계: R1 라우터 설정 (Router-on-a-Stick)

라우터(R1)에서 Router-on-a-Stick 설정을 통해 VLAN 간 통신을 위한 게이트웨이를 구성합니다. 이 단계는 이전과 동일하며, 각 VLAN에 맞는 서브 인터페이스를 생성하는 것이 핵심입니다.

 

라우터의 서브 인터페이스 설정을 제거하면, VLAN은 완벽하게 분리된 네트워크가 되어 같은 VLAN에 속한 장비들끼리만 통신이 가능하게 됩니다.

모든 장치 간 통신이 원활하도록 서브 인터페이스 설정

 

 

4단계: VPC IP 및 게이트웨이 재설정

마지막으로, 각 VPC의 IP 주소와 게이트웨이 주소를 VLAN 네트워크 대역에 맞게 다시 설정합니다.

 

VPC1

 

VPC2

VPC3

VPC4

Firefox1

 

 

5단계: 구축한 VLAN이 잘 작동되는지 테스트

 

vlan 10의 vpc1 → vlan 10의 vpc4, firefox

 

같은 vlan 내의 장치로 ping통신이 원활한것을 확인

vlan 10의 vpc1 → vlan 30의 vpc3, vlan20의 vpc5

 

다른 vlan 의 장치로도 ping통신이 원활한것을 확인

(Router-On-A-Stick 작업을 거치지않았다면 ping 송수신이 되지않는다)

vpc1 → vpc3, vpc5 패킷 추적(trace)

 

패킷 추적 결과 R1에서 설정했던 192.168.8.254 게이트웨이를 거쳐 가는것을 확인

R1 라우터가 여러 VLAN의 트래픽을 구분하고 라우팅할 수 있도록 설정했기 때문이다.

 

 

R1에서 서브인터페이스 f0/1.30을 제거한 결과

 

R1 라우터에서 설정했던 interface f0/1.30 서브인터페이스를 삭제한 결과, 위의 결과처럼 VPC1가 VPC3에게 보낸 패킷이 닿지 않는다는 것을 알 수 있다.

---

 

switchport mode access

switchport mode access는 스위치 포트를 단일 VLAN 전용으로 설정하는 명령어입니다.

• 역할: 이 포트는 하나의 VLAN에만 소속되며, VLAN 태그가 없는 패킷만 주고받습니다.
• 용도: 주로 PC, 프린터, 서버 등 최종 사용자 장비를 스위치에 연결할 때 사용합니다. 최종 장비는 VLAN 태그를 이해하지 못하므로, 태그가 없는 순수 데이터만 주고받아야 하기 때문입니다.

---

switchport mode trunk

switchport mode trunk는 스위치 포트를 여러 VLAN의 트래픽을 동시에 전송할 수 있도록 설정하는 명령어입니다.

• 역할: 이 포트를 통과하는 모든 패킷에는 **VLAN 식별을 위한 태그(tag)**가 추가됩니다. 이 태그를 통해 여러 VLAN의 패킷이 하나의 물리적 링크를 통해 섞이지 않고 구분되어 전송될 수 있습니다.
• 용도: 스위치와 스위치, 또는 스위치와 라우터를 연결할 때 사용합니다. 서로 다른 VLAN에 속한 장비들이 통신할 수 있도록 다리 역할을 합니다.

요약하자면, access는 최종 장비용 단일 통로이고, trunk는 스위치나 라우터 연결용 여러 통로가 포함된 고속도로라고 생각하면 이해하기 쉽습니다.

 

 

---

 

Router-on-a-Stick 적용 시

Router-on-a-Stick 방식을 적용하면, 서로 다른 VLAN에 속한 장비들 간에 통신이 가능합니다. 라우터가 VLAN 간 라우팅을 담당하기 때문입니다.

• 동작 방식: 스위치의 트렁크 포트에 연결된 라우터의 단일 물리적 인터페이스를 여러 개의 논리적 서브 인터페이스로 나눕니다. 각 서브 인터페이스는 각각의 VLAN에 대한 게이트웨이 역할을 수행하며, VLAN 간의 트래픽을 중계합니다.
• 통신 가능 여부: VLAN 10에 속한 장비와 VLAN 20에 속한 장비가 서로 통신할 수 있습니다.
• 주요 명령어: encapsulation dot1Q [VLAN ID], ip address

---

Router-on-a-Stick 미적용 시

Router-on-a-Stick 방식을 적용하지 않으면, 같은 VLAN에 속한 장비들끼리만 통신이 가능합니다. 서로 다른 VLAN은 완전히 분리된 네트워크가 됩니다.

• 동작 방식: 라우터가 VLAN 간 라우팅을 수행하지 않으므로, 패킷이 다른 VLAN으로 넘어갈 수 없습니다. 각 VLAN은 독립적인 브로드캐스트 도메인으로 유지됩니다.
• 통신 가능 여부: VLAN 10에 속한 장비는 VLAN 20에 속한 장비와 통신할 수 없습니다.
• 주요 특징: 이 방식은 네트워크 보안이나 트래픽 격리가 중요한 경우에 유용합니다.