많은 프로토콜이 브로드캐스트 전송방식을 사용한다. PC, 서버, 라우터 등 네트워크로 연결된 장비들은 프로드캐스트 프레임을 수신하면
응답을 해줘야한다.
1. VLAN(Virtual LAN)
- VLAN 목적 : 논리적(가상으로) 네트워크 영역을 나누기 위함
브로드케스트 양 최소화
VLAN이 없으면 모든 스위치의 모든 포트로 브로드케스트 프레임이 전송된다. 이때 부하가 발생되어 성능이 저하된다.
VLAN을 사용하여 네트워크를 분할하면 VLAN에 접속된 장비에게만 브로드 캐스트 프레임이 전송된다.
VLAN에 소속된 포트가 없는 스위치로는 브로드케스트 프레임을 접속하지 않는다.
서로 다른 VLAN에 접속된 장비들은 라우터나 L3스위치와 같은 레이어 3 장비를 통해서만 가능하기때문에 보안성 강화를 위해 vlan을 사용된다.
동일한 VLAN에 속한 장비들간의 통신은 라우터를 통하지 않고 이루어진다.
vlan을 사용하지않으면 루프가 발생된다.
2. VLAN Database
- VLAN 정보는 VLAN Database로 관리한다.
- 모든 포트는 VLAN 1에 소속되어 있기 때문에, 브로드케스트를 전체 공유한다.
- vlan 1, vlan 1002~1005는 기본 VLAN ID라고 부르고 삭제 및 수정이 불가능하다.
SW1#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16 ------> 기본값이 1이며 처음에는 모든 포트가 모여있다.
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig0/1, Gig0/2
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
3. VLAN 생성
- SW1, SW2에서 vlan 11, vlan 12, vlan 13을 생성하도록 한다.
SW1#conf t
SW1(config)#vlan 11
SW1(config-vlan)#name VLAN_A
SW1(config-vlan)#
SW1(config-vlan)#vlan 12
SW1(config-vlan)#name VLAN_B
SW1(config-vlan)#
SW1(config-vlan)#vlan 13
SW1(config-vlan)#name VLAN_C
SW1(config-vlan)#end
SW1#show vlan brief
또는 vlan database
vlan 11 name VLAN_A
vlan 12 name VLAN_B
vlan 13 name VKAN_C
4. VLAN Access 설정
- SW1 VLAN Access 실시
vlan 11 - f0/1----> vlan 11을 f0/1포트로 설정
vlan 12 - f0/2----> vlan 12을 f0/2포트로 설정
SW1#conf t
SW1(config)#int fa0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 11---> fa0/1번포트가 vlan 11번에 속한다.
SW1(config-if)#
SW1(config-if)#int fa0/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 12-----> fa0/1번포트가 vlan 12번에 속한다.
SW1(config-if)#end
SW1#show run
SW1#show vlan brief
- SW2 VLAN Access 실시
vlan 11 - f0/3
vlan 12 - f0/4
vlan 13 - f0/5
SW2#conf t
SW2(config)#int fa0/3
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 11
SW2(config-if)#
SW2(config-if)#int fa0/4
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 12
SW2(config-if)#
SW2(config-if)#int fa0/5
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 13
SW2(config-if)#end
SW2#show run
SW2#show vlan brief
5. 트렁크 구성
- 트렁크란 하나의 링크를 이용하여 서로 다른 VLAN 프레임들을 전송 처리하는 구간을 의미한다.
- 트렁크를 구성하려면, IEEE 802.1q 트렁크 프로토콜을 사용해야 한다. LSL은 시스코 전용 프로토콜 L3에서 사용.... 802.1q가 더많이 사용됨
- 이때, 이더넷 프레임에 VLAN-ID 정보를 갖고 있는 dot1q Tag(4Byte)를 추가한다.
- 서로 스위치 끼리 연결되었을때 트렁크 모드로 프레임을 전송할때는 VLAN번호를 알려줘야한다.
dot1q 트렁크
SW1[F0/24]---------------------------------[F0/24]SW2
SW1(config)#int fa0/24
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW1(config-if)#end
SW2(config)#int fa0/24
SW2(config-if)#switchport trunk encapsulation dot1q
SW2(config-if)#switchport mode trunk
SW2(config-if)#end
SW1,SW2#show run
SW1,SW2#show int trunk
6. PC IP 주소 설정
- 서로 다른 VLAN이 같은 서브넷 IP 주소를 사용하면, 네트워크 이름이 중복된다.
- 서로 다른 VLAN은 서로 다른 서브넷 IP 주소를 사용해야 한다. 서로 다른 VLAN에 접속되어 있으면 ARP요청에 실패하기 때문이다.
즉, VLAN이 다르면 ARP요청이 전송되지 않는다.
윗그림 처럼 P0에서 PC1로 핑을 하게 되면 , P1은 해당 IP의 MAC주소를 알기위하여 ARP패킷을 브로드캐스트한다.
그러나 브로드캐스트프레임은 P0에 속한 VLAN1 영역에 넘어가지 못하므로 P2가 응답하지 않는다.
다만 VLAN이 같으면서 IP 서브넷 주소가 다른 경우에는 가능하다. 윗그림에서 통신하려면 VLAN 1, VLAN 1 처럼 똑같이 맞추어주면
통신할 수있다.
- 또한, 다른 VLAN은 다른 서브넷을 사용해야지만, 기본 게이트웨이를 각각 사용할 수 있다.
- VLAN 11 - 192.168.11.0/24
- VLAN 12 - 192.168.12.0/24
- VLAN 13 - 192.168.13.0/24
VLAN 11 - A 192.168.11.1/24 GW 192.168.11.254
- C 192.168.11.3/24 GW 192.168.11.254
VLAN 12 - B 192.168.12.2/24 GW 192.168.12.254
- D 192.168.12.4/24 GW 192.168.12.254
VLAN 13 - E 192.168.13.5/24 GW 192.168.13.254
- 같은 VLAN 간에 Ping 테스트
A>ping 192.168.11.3
A>arp -a
B>ping 192.168.12.4
B>arp -a
- 서로 다른 VLAN 간에 Ping 테스트
A>ping 192.168.12.4
A>ping 192.168.13.5
7. Inter-VLAN 구성
서로 다른 VLAN에 속한 PC가 서로 ping을 주고 받을려면 반드시 L3장치를 거쳐야 통신이 가능하다.
VLAN의 숫자만큼 라우터 인터페이스를 할당하는 방식은 적은 개수의 VLAN을 지원하는데는 문제가 없으나
많은 갯수라면 일일히 할당이 힘들기때문에 트렁크 설정이 필요하다.
- 각각 VLAN에 대한 기본 게이트웨이를 라우터를 이용하여 구성한다.
- 필요 사항 : 스위치 트렁크 구성, 라우터 서브-인터페이스 & 트렁크
(dot1q)
R1[F0/0]------------------------------------------------[F0/10]SW1
F0/0.11 (vlan 11 dot1q) 192.168.11.254
F0/0.12 (vlan 12 dot1q) 192.168.12.254
F0/0.13 (vlan 13 dot1q) 192.168.13.254
- SW1 F0/10 트렁크 설정
SW1(config)#int fa0/10
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW1(config-if)#end
SW1#show run
- R1 F0/0 서브-인터페이스를 이용한 VLAN 게이트웨이 및 트렁크 설정(라우터에설정해준다.)
R1#conf t
R1(config)#int fa0/0
R1(config-if)#no shutdown
R1(config-if)#
R1(config-if)#int fa0/0.11
R1(config-subif)#encapsulation dot1q 11
R1(config-subif)#ip address 192.168.11.254 255.255.255.0
R1(config-subif)#
R1(config-subif)#int fa0/0.12
R1(config-subif)#encapsulation dot1q 12
R1(config-subif)#ip address 192.168.12.254 255.255.255.0
R1(config-subif)#
R1(config-subif)#int fa0/0.13
R1(config-subif)#encapsulation dot1q 13
R1(config-subif)#ip address 192.168.13.254 255.255.255.0
R1(config-subif)#end
R1#show run
R1#show ip route
R1#show int fa0/0.11
R1#show int fa0/0.12
R1#show int fa0/0.13
SW1#show int trunk
8. Inter-VLAN 구성 확인
- Inter-VLAN을 구성하면, 각 VLAN PC들은 인터넷이 가능하다.
- 하지만, R1(라우터) 라우팅 기능때문에 서로 다른 VLAN 간에도 유니케스트가 가능해진다.
- 만약, 서로 다른 VLAN 간에 유니케스트를 차단하려면, R1에서 ACL를 구성해야 한다.
E>ping 192.168.11.1 <- A
E>ping 192.168.11.3 <- C
E>ping 192.168.12.2 <- B
E>ping 192.168.12.4 <- D
E>tracert 192.168.11.1
E>tracert 192.168.11.3
E>tracert 192.168.12.2
E>tracert 192.168.12.4
참고
DTP 프로토콜 : 시스코에서 개발한 프로토콜으로써 상대 스위치와 트렁크 협상 및 트렁크 캡슐화를 협상하기 위해 사용
기본명령어는 switch mode trunk이지만
▶ switch mode dynamic auto 명령어를 이용하면 트렁크 설정을 할 수 있지만 상대방 포트에 on이나 desirable로만 트렁크로 동작
두 스위치에 dynamic auto인경우 트렁크 동작이 안된다.
▶ switch mode dynamic desirable 명령어는 상대측 포트가 on,auto,desirable모드일때 가능
'네트워크/서버/모의해킹 > 랜스위칭' 카테고리의 다른 글
| 17.3.16 23일차(STP 확장) (501) | 2017.03.16 |
|---|---|
| 17.3.14 21일차 (STP) (498) | 2017.03.14 |
| 17.3.10 19일차(vtp,vlan & inter vlan실습) (507) | 2017.03.10 |
| 17.3.09 18일차(inter-vlan실습) (492) | 2017.03.09 |
| 17.3.07 16일차(스위치) (494) | 2017.03.07 |
