VLAN

VLAN
OSI 모델
층별로
7. 어플리케이션 레이어
6. 프레젠테이션 레이어
5. 세션 레이어
(4) 수송층
3. 네트워크층
2. 데이터 링크층
1. 물리층

Virtual Local Area Network(VLAN; 가상 로컬 영역 네트워크)는 데이터 링크 계층(OSI 계층 [2][3]2)에서 컴퓨터 네트워크 내에서 분할 및 격리된 브로드캐스트 도메인입니다.여기서 가상이란 로컬에리어 네트워크 내에서 추가 논리에 의해 재작성 및 변경된 물리 객체를 말합니다.VLAN은 네트워크 프레임에 태그를 적용하고 네트워킹시스템에서 이러한 태그를 처리함으로써 기능합니다.이러한 태그는 물리적으로는 단일 네트워크 상에 존재하지만 다른 네트워크 간에 분할된 것처럼 동작하는 네트워크트래픽의 외관과 기능을 만듭니다.이와 같이 VLAN은 같은 물리 네트워크에 접속되어 있어도 네트워크 애플리케이션을 분리하여 여러 세트의 케이블과 네트워킹 디바이스를 도입할 필요가 없습니다.

VLAN을 사용하면, 호스트가 같은 네트워크 스위치에 직접 접속되어 있지 않은 경우에서도, 네트워크 관리자는 호스트를 그룹화할 수 있습니다.VLAN 멤버십은 소프트웨어를 통해 설정할 수 있기 때문에 네트워크 설계와 도입을 대폭 간소화할 수 있습니다.VLAN이 없는 경우 호스트를 리소스에 따라 그룹화하려면 노드를 재배치하거나 데이터 링크를 다시 배선해야 합니다.VLAN을 사용하면 물리 네트워크의 케이블을 공유하면서 서로 직접 주고받는 것을 방지할 수 있습니다.이 관리형 공유는 단순성, 보안, 트래픽 관리 및 경제성을 향상시킵니다.예를 들어 VLAN을 사용하여 개별 사용자 또는 사용자 그룹 또는 사용자 역할(네트워크 관리자 등) 또는 트래픽 특성(네트워크의 나머지 기능에 영향을 미치지 않도록 우선 순위가 낮은 트래픽 등)에 따라 기업 내 트래픽을 분리할 수 있습니다.많은 인터넷 호스팅 서비스에서는 VLAN을 사용하여 고객의 프라이빗 존을 서로 분리하여 각 고객의 서버를 데이터센터 내의 각 위치에 관계없이 하나의 네트워크 세그먼트로 그룹화할 수 있습니다.VLAN 호핑이라고 불리는 부정 이용에 대해 특정 VLAN으로부터의 트래픽의 「회피」를 방지하기 위해서, 몇개의 주의가 필요합니다.

네트워크를 VLAN으로 분할하려면 네트워크 기기를 설정합니다.단순한 기기에서는 물리 포트(이러한 경우에도)만 파티셔닝할 수 있습니다.이 경우 각 VLAN은 전용 네트워크 케이블을 통해 실행됩니다.보다 고도의 디바이스에서는 VLAN 태깅을 통해 프레임을 마킹할 수 있기 때문에 단일 인터커넥트(트렁크)를 사용하여 여러 VLAN의 데이터를 전송할 수 있습니다.VLAN은 대역폭을 공유하기 때문에 VLAN 트렁크는 링크 집약, QoS(서비스 품질) 우선순위 부여 또는 둘 다 사용하여 데이터를 효율적으로 라우팅할 수 있습니다.

사용하다

VLAN은 확장성, 보안 및 네트워크 관리 등의 문제에 대처합니다.네트워크 설계자는 네트워크 세그멘테이션을 제공하기 위해 VLAN을 설정합니다.VLAN 간의 라우터는 브로드캐스트트래픽 필터링, 네트워크보안 강화, 주소 집약 실행 및 네트워크 폭주 완화를 실시합니다.

서비스 디스커버리, 주소 할당해결 및 기타 서비스를 위해 브로드캐스트를 이용하는 네트워크에서는 네트워크상의 피어 수가 증가함에 따라 브로드캐스트 빈도도 증가한다.VLAN은 여러 브로드캐스트도메인을 형성함으로써 브로드캐스트트래픽 관리에 도움이 됩니다.대규모 네트워크를 독립된 작은 세그먼트로 분할하면 각 네트워크 디바이스와 네트워크 세그먼트가 감당해야 하는 브로드캐스트트래픽의 양이 줄어듭니다.스위치는 VLAN 간에 네트워크트래픽을 브리지할 수 없습니다.브로드캐스트도메인의 정합성에 위반됩니다.

VLAN은 단일 물리 인프라스트럭처 상에 여러 레이어3 네트워크를 구축할 수도 있습니다.VLAN은 Internet Protocol(IP) 서브넷유사한 Data Link Layer(OSI 레이어 2) 구조입니다.이것은 네트워크층(OSI 레이어 3) 구조입니다.VLAN을 사용하는 환경에서는 VLAN과 IP 서브넷 간에1 대 1의 관계가 존재하는 경우가 많습니다만, 1개의 VLAN에 복수의 서브넷을 설정할 수도 있습니다.

VLAN 기능을 사용하지 않으면 사용자는 지리에 따라 네트워크에 할당되며 물리적 토폴로지 및 거리에 따라 제한됩니다.VLAN은 논리적으로 네트워크를 그룹화하여 사용자의 네트워크 로케이션을 물리적인 로케이션으로부터 분리할 수 있습니다.VLAN을 사용하면 트래픽 패턴을 제어하고 직원이나 기기의 재배치에 신속하게 대응할 수 있습니다.VLAN은 네트워크 요건 변경에 유연하게 대응하여 관리를 [3]단순화할 수 있습니다.

VLAN을 사용하여 로컬네트워크를 여러 개의 고유한 세그먼트로 분할할 수 있습니다.[4]다음은 예를 제시하겠습니다.

VLAN 트렁크 간에 공유되는 공통 인프라스트럭처는 비교적 저렴한 비용으로 뛰어난 유연성을 갖춘 보안 수단을 제공할 수 있습니다.QoS 스킴은 실시간(VoIP 등) 또는 저지연 요건(SAN 등)에 따라 트렁크링크상의 트래픽을 최적화할 수 있습니다.단,[5] 보안 솔루션으로서의 VLAN은 신중하게 구현하지 않으면 실패할 수 있으므로 신중하게 구현해야 합니다.

클라우드 컴퓨팅에서 클라우드 내의 VLAN, IP 주소 및 MAC 주소는 최종 사용자가 관리할 수 있는 리소스입니다.보안 문제를 완화하기 위해 인터넷에 [6]직접 배치하는 것보다 VLAN에 클라우드 기반 가상 시스템을 배치하는 것이 더 나을 수 있습니다.

VLAN 기능을 갖춘 네트워크 테크놀로지는 다음과 같습니다.[citation needed]

역사

1981년부터 1984년까지 Voice over Ethernet에 대한 실험에 성공한 후 W. David Sincoskie는 Bellcore에 입사하여 이더넷 네트워크 확장 문제에 대처하기 시작했습니다.이더넷은 10 Mbit/s로 당시 대부분의 대체 장치보다 더 빨랐습니다.그러나 이더넷은 브로드캐스트네트워크였기 때문에 여러 이더넷네트워크를 함께 접속하는 좋은 방법은 없었습니다.이로 인해 이더넷네트워크의 총 대역폭은 10 Mbit/s로 제한되고 노드 간 최대 거리는 수백 피트로 제한됩니다.

반면 기존 전화 네트워크의 개별 연결 속도는 56kbit/s(이더넷 속도의 100분의 1 미만)로 제한되었지만, 이 네트워크의 총 대역폭은 1 Tbit/s[citation needed](이더넷의 100,000배)로 추정되었습니다.

IP 루팅을 사용하여 여러 이더넷네트워크를 연결할 수 있었지만 비용이 많이 들고 비교적 느렸습니다.Syncoskie는 패킷당 처리량이 적은 대안을 찾기 시작했습니다.이 과정에서 그는 독립적으로 최신 이더넷 스위치에서 사용되는 [7]기술인 트랜스페어런트 브리징을 재창조했습니다.단, 스위치를 사용하여 여러 이더넷네트워크를 폴트 톨러런스 방식으로 접속하려면 해당 네트워크를 통과하는 다중 경로가 필요하며, 그 결과 스패닝트리 설정이 필요합니다이것에 의해, 네트워크상의 임의의 송신원노드에서 임의의 행선지에의 액티브 패스가 1개만 확보됩니다.이것에 의해, 중앙에 있는 스위치가 보틀 넥이 되어, 상호 접속하는 네트워크가 증가하면 scalability가 제한됩니다.

이 문제를 완화하기 위해 Syncoskie는 각 이더넷프레임에 태그를 추가하여 VLAN을 개발했습니다.이 태그들은 빨간색, 녹색 또는 파란색으로 생각될 수 있습니다.이 방식에서는 각 스위치를 단일 색상의 프레임을 처리하고 나머지는 무시하도록 할당할 수 있습니다.네트워크는 컬러별로 1개씩 3개의 스패닝트리로 상호 접속할 수 있습니다.서로 다른 프레임 색상을 혼합하여 전송함으로써 집약 대역폭을 향상시킬 수 있습니다.Sincoskie는 이것을 멀티트리 브리지라고 불렀습니다.그와 체이스 코튼은 시스템을 [8]실현하기 위해 필요한 알고리즘을 만들고 개선했습니다. 색상은 현재 이더넷프레임에서는 IEEE 802로 알려져 있습니다.1Q 헤더 또는 VLAN 태그VLAN은 현대의 이더넷네트워크에서 일반적으로 사용되고 있습니다만,[clarification needed] 여기서 최초로 상정하고 있는 방식으로는 사용되지 않습니다.

1998년에 이더넷 VLAN은 IEEE 802.1Q-1998 표준[9]제1판에 기술되었습니다. 기능은 IEEE 802.1ad로 확장되어 공급자브리징의 서비스로서 네스트된 VLAN 태그를 사용할 수 있게 되었습니다. 메커니즘은 IEEE 802.1ah-2008에서 개선되었습니다.

구성 및 설계에 관한 고려사항

초기 네트워크 설계자들은 종종 이더넷 충돌 도메인의 크기를 줄이기 위해 물리 LAN을 세분화하여 성능을 향상시켰습니다.이더넷 스위치가 (각 스위치포트가 콜리젼 도메인이기 때문에) 이것을 문제가 되지 않게 했을 경우, 데이터 링크층 브로드캐스트도메인의 사이즈를 줄이는 것에 주목했습니다.VLAN은 1개의 물리 매체에 걸쳐 여러 브로드캐스트도메인을 분리하기 위해 최초로 채용되었습니다.VLAN은 네트워크의 [a]물리 토폴로지에 관계없이 네트워크리소스에 대한 접근을 제한하는 역할도 합니다.

VLAN은 OSI 모델의 데이터 링크층에서 동작합니다.관리자는 대부분의 경우 IP 네트워크(서브넷)에 직접 매핑하도록 VLAN을 설정합니다.이것에 의해, 네트워크 레이어가 관련하는 것처럼 보입니다.일반적으로 같은 조직 내의 VLAN에는 서로 다른 중복되지 않는 네트워크주소 범위가 할당됩니다.이것은 VLAN의 요건이 아닙니다.다른 VLAN에서 동일한 중복 주소 범위를 사용해도 문제가 없습니다(예를 들어 각각2개의 VLAN이 프라이빗네트워크 192.168.0.0/16 을 사용합니다).단, IP 재매핑이 정교하지 않으면 주소가 중복된2개의 네트워크 간에 데이터를 라우팅할 수 없습니다.따라서 VLAN의 목적이 대규모 조직 네트워크 전체의 세그먼트화일 경우 중복되지 않는 주소를 각 VLAN에서 사용해야 합니다.

VLAN용으로 설정되어 있지 않은 기본 스위치에서는 VLAN 기능이 디세이블 또는 영속적으로 네이블이 되어 디바이스 상의 [3]모든 포트가 멤버로 포함됩니다.디폴트 VLAN에서는 통상 VLAN ID 1이 사용됩니다.포트 중 하나에 연결된 모든 디바이스는 다른 포트로 패킷을 전송할 수 있습니다.VLAN 그룹별로 포트를 분리하면 각 그룹별로 고유 스위치를 사용하여 각 그룹을 연결하는 것과 마찬가지로 트래픽을 분리할 수 있습니다.

스위치의 리모트 관리를 실시하려면 , 1개 또는 복수의 설정이 끝난 VLAN 에 관리 기능을 관련지을 필요가 있습니다.

VLAN의 컨텍스트에서 트렁크라는 용어는 패킷에 삽입된 라벨(또는 태그)에 의해 식별되는 여러 VLAN을 전송하는 네트워크링크를 나타냅니다.이러한 트렁크는 VLAN 인식 디바이스의 태그 부착 포트 에 동작해야 합니다.따라서 대부분의 트렁크는 호스트에 대한 링크가 아니라 스위치 간 또는 스위치 간 링크입니다.('트렁크'라는 용어는 시스코가 '채널'이라고 부르는 링크 집약 또는 포트 트렁킹에도 사용됩니다).라우터(레이어 3 디바이스)는 다른 VLAN을 통과하는 네트워크트래픽의 백본으로서 기능합니다.태깅이 사용되는 것은 VLAN 포트 그룹이 다른 디바이스로 확장되는 경우뿐입니다.2개의 서로 다른 스위치 상의 포트 간 통신은 관련된 각 스위치의 업링크포트를 경유하여 전송되므로 이러한 포트를 포함하는 모든 VLAN에는 관련된 각 스위치의 업링크포트도 포함되어 이들 포트를 통과하는 트래픽에 태그를 붙여야 합니다.

일반적으로 스위치에는 배선 옷장에서 작업하는 사람에게 VLAN과 포트의 관련성을 나타내는 삽입 방식이 없습니다.기술자는 디바이스에 대한 관리 접근권을 가지고 디바이스의 설정을 표시하거나 VLAN 포트 할당 차트 또는 다이어그램을 각 배선 옷장의 스위치 옆에 보관해야 합니다.

프로토콜 및 설계

현재 VLAN 지원에 가장 일반적으로 사용되는 프로토콜은 IEEE 802.1Q입니다.IEEE 802.1 워킹그룹에서는 멀티벤더 VLAN 지원을 제공하기 위해 이 VLAN 다중화 방식을 정의하고 있습니다.802가 도입되기 전에1Q 표준에는 Cisco Inter-Switch Link(ISL; 스위치 간 링크) 및 3Com의 Virtual LAN Trunk(VLT; 가상 LAN 트렁크) 등 몇 가지 독자적인 프로토콜이 존재했습니다.또, 시스코에서는, IEEE 802.10 표준의 목적과는 달리, VLAN 정보를 IEEE 802.10 프레임헤더로 반송하는 것으로써, FDDI 를 개입시킨 VLAN 를 실장했습니다.

ISL과 IEEE 802의 양쪽 모두.1Q는 명시적 태깅을 수행합니다.프레임 자체에 VLAN ID 태그가 붙습니다.ISL은 802에 비해 이더넷프레임을 변경하지 않는 외부 태깅 프로세스를 사용합니다.1Q는 태그 부착에 frame-internal 필드를 사용하기 때문에 기본 이더넷프레임 구조를 변경합니다.이 내부 태깅에 의해, IEEE 802 를 사용할 수 있습니다.표준 이더넷하드웨어를 사용하여 액세스링크와 트렁크링크 양쪽에서 동작한다.1Q 。

IEEE 802.1q

주요 문서: IEEE 802.1질문

IEEE 802.1Q에서는 특정 이더넷네트워크상의 VLAN의 최대수는 4,094(12비트필드에서 제공되는 값에서 범위의 양 끝에 있는 예약된 값을 뺀 값, 0 및 4,095)입니다.1개의 VLAN에 복수의 IP 서브넷을 포함할 수 있기 때문에, 이러한 네트워크내의 IP 서브넷의 수에 같은 제한을 가하는 것은 아닙니다.IEEE 802.1ad 는, 복수의 네스트 VLAN 태그의 서포트를 추가해, 서포트되고 있는 VLAN 의 수를 확장합니다.IEEE 802.1aq(최단 패스 브리징)는 VLAN 제한을 1600만까지 확장합니다.양쪽 모두 IEEE 802에 포함되어 있습니다.1Q 표준

Cisco 스위치 간 링크

주요 기사:Cisco 스위치 간 링크

Inter-Switch Link(ISL; 스위치 간 링크)는 트렁크링크 상의 스위치 간에 트래픽이 이동할 때 스위치를 상호 접속하여 VLAN 정보를 유지하기 위해 사용되는 시스코만의 프로토콜입니다.ISL은 IEEE 802.1Q의 대체 수단으로서 제공되고 있습니다.ISL은 일부 시스코 기기에서만 사용할 수 있으며 [11]권장되지 않습니다.

Cisco VLAN 트렁킹프로토콜

주요 기사: VLAN 트렁킹프로토콜

VLAN Trunking Protocol(VTP)은 LAN 전체에 VLAN 정의를 전파하는 시스코만의 프로토콜입니다.VTP는 대부분의 Cisco Catalyst 패밀리 제품에서 사용할 수 있습니다.다른 제조원에 의해 사용되고 있는 동등한 IEEE 규격은 GARP VLAN Registration Protocol(GVRP) 또는 최신 Multiple VLAN Registration Protocol(MVRP)입니다.

다중 VLAN 등록 프로토콜

주요 기사:다중 등록 프로토콜

Multiple VLAN Registration Protocol은 Multiple Registration Protocol의 응용 프로그램으로 네트워크 스위치 상에서 VLAN 정보를 자동으로 설정할 수 있습니다.구체적으로는 VLAN 정보를 동적으로 공유하고 필요한 VLAN을 설정하는 방법을 제공합니다.

회원가입

VLAN 멤버십은 스태틱 또는 다이내믹하게 확립할 수 있습니다.

스태틱 VLAN은 포트 베이스 VLAN이라고도 불립니다.스태틱 VLAN 할당은 포트를 VLAN에 할당함으로써 생성됩니다.디바이스가 네트워크에 들어가면, 디바이스는 자동적으로 포토의 VLAN을 계승합니다.사용자가 포트를 변경하여 동일한 VLAN에 액세스해야 하는 경우 네트워크 관리자는 수동으로 새 연결에 대해 포트와 VLAN을 할당해야 합니다.

다이내믹 VLAN은 소프트웨어 또는 프로토콜을 사용하여 생성됩니다.VLAN Management Policy Server(VMPS; VLAN 관리 정책 서버)를 사용하면, 관리자는 포토에 접속되어 있는 디바이스의 송신원MAC 주소나 그 디바이스에의 로그인에 사용되는 유저명등의 정보에 근거해, 스위치포트를 VLAN 에 동적으로 할당할 수 있습니다.디바이스가 네트워크에 들어가면 스위치는 디바이스가 접속되어 있는 포트의 VLAN 멤버십을 데이터베이스에 문의합니다.프로토콜 방식에는 Multiple VLAN Registration Protocol(MVRP)과 다소 구식이 된 GARP VLAN Registration Protocol(GVRP)이 있습니다.

프로토콜 기반 VLAN

프로토콜 기반 VLAN을 지원하는 스위치에서는 트래픽을 프로토콜에 따라 처리할 수 있습니다.기본적으로는 트래픽의 특정 프로토콜에 따라 해당 포트에서 트래픽을 분리하거나 전송합니다. 다른 프로토콜의 트래픽은 해당 포트에서 전송되지 않습니다.이것에 의해, 예를 들면, IP 트래픽과 IPX 트래픽을 네트워크에 의해서 자동적으로 분리할 수 있습니다.

VLAN 크로스 커넥트

VLAN 크로스 커넥트(CC 또는 VLAN-XC)는 스위치드 VLAN 작성에 사용되는 메커니즘입니다.VLAN CC는 MPLS와 같이 라벨로서 S 태그가 사용되는 IEEE 802.1ad 프레임을 사용합니다.IEEE 802.1ad-2005 파트 6.11에서 이러한 메커니즘의 사용을 승인합니다.

「 」를 참조해 주세요.

메모들

  1. ^ VLAN 보안의 강도는 VLAN 호핑에 의해 저하될 수 있습니다.VLAN 호핑은 적절한 스위치 포트 [10]설정으로 경감할 수 있습니다.

레퍼런스

  1. ^ "X.225 : Information technology – Open Systems Interconnection – Connection-oriented Session protocol: Protocol specification". Archived from the original on 1 February 2021. Retrieved 24 November 2021.
  2. ^ IEEE 8022011년 1분기, 1 개요
  3. ^ a b c IEEE 8022011년 1분기, 1.4 VLAN의 목적과 이점
  4. ^ "VLAN & Its Implementation over ATM by using IP: a communication" (PDF). Discovery Institute. Archived from the original (PDF) on 2015-06-18.
  5. ^ "Virtual LAN Security: weaknesses and countermeasures", SANS Institute InfoSec Reading Room, SANS Institute, retrieved 2018-05-18
  6. ^ Amies A; Wu C F; Wang G C; Criveti M (21 June 2012), "Networking on the cloud" (PDF), IBM developerWorks, archived from the original (PDF) on 2013-11-01
  7. ^ Sincoskie, WD (2002) "광대역 패킷 교환: 개인적인 관점" IEEE Communic 40: 54-66
  8. ^ W. D. Syncoskie 및 C. J. Cotton, "대규모 네트워크를 위한 확장 브리지 알고리즘" IEEE Network, 1988년 1월
  9. ^ IEEE Std. 802.1Q-1998, Virtual Bridged Local Area Networks. 1998.
  10. ^ Rik Farrow. "VLAN Insecurity". Archived from the original on 2014-04-21.
  11. ^ CCNA 탐색 LAN 스위칭 및 무선 코스, v 4.0, 초 3.2.3

추가 정보