VLAN에 대한 입문 수준 설명


21

VLAN의 기본 사용 사례는 무엇입니까?

기본 설계 원칙은 무엇입니까?

나는 2 단락 집행 요약 스타일 답변과 같은 것을 찾고 있으므로 VLAN을 구현하기 위해 VLAN에 대해 배울 필요가 있는지 결정할 수 있습니다.

답변:


23

VLAN (가상 LAN)은 하나의 물리적 스위치 내에 여러 가상 스위치를 만드는 방법입니다. 예를 들어 VLAN 10을 사용하도록 구성된 포트는 마치 동일한 스위치에 연결된 것처럼 작동합니다. VLAN 20의 포트는 VLAN 10의 포트와 직접 통신 할 수 없습니다. 두 포트 사이에 라우팅되어야합니다 (또는 두 VLAN을 연결하는 링크가 있어야 함).

VLAN을 구현해야하는 많은 이유가 있습니다. 일반적으로 이러한 이유 중 가장 작은 것은 네트워크 크기입니다. 몇 가지 이유를 글 머리 기호로 표시 한 다음 각각을 열겠습니다.

  • 보안
  • 링크 활용
  • 서비스 분리
  • 서비스 격리
  • 서브넷 크기

보안 : 보안 자체는 VLAN을 생성하여 달성되지 않습니다. 그러나 해당 VLAN을 다른 서브넷에 연결하면 해당 서브넷에 대한 액세스를 필터링 / 차단할 수 있습니다. 예를 들어 50 대의 컴퓨터와 5 대의 서버가있는 사무실 건물이있는 경우 서버용 VLAN과 컴퓨터 용 VLAN을 만들 수 있습니다. 컴퓨터가 서버와 통신하기 위해 방화벽을 사용하여 해당 트래픽을 라우팅하고 필터링 할 수 있습니다. 그러면 IPS / IDS, ACL 등을 적용 할 수 있습니다. 서버와 컴퓨터 사이의 연결.

링크 사용률 : 나는 이것을 처음으로 떠났다는 것을 믿을 수 없다. 내 생각 엔 뇌 방귀 링크 사용률은 VLAN을 사용하는 또 다른 큰 이유입니다. 기능별 스패닝 트리는 레이어 2 네트워크를 통해 단일 경로를 만들어 루프를 방지합니다 (오, 내!). 집계 장치에 대한 중복 링크가 여러 개인 경우 이러한 링크 중 일부는 사용되지 않습니다. 이를 해결하기 위해 서로 다른 VLAN으로 여러 STP 토폴로지를 구축 할 수 있습니다. 이는 Cisco Proprietary PVST, RPVST 또는 표준 기반 MST를 사용하여 수행됩니다. 이를 통해 이전에 사용하지 않은 링크를 활용하기 위해 여러 STP 유형을 사용할 수 있습니다. 예를 들어 50 개의 데스크톱이있는 경우 25 개를 VLAN 10에 배치하고 25 개를 VLAN 20에 배치 할 수 있습니다. 그런 다음 VLAN 10을 네트워크의 "왼쪽"쪽으로 가져오고 VLAN 20의 나머지 25 개는 네트워크의 "오른쪽".

서비스 분리 : 이것은 매우 간단합니다. IP 보안 카메라, IP 전화 및 데스크톱이 모두 동일한 스위치에 연결되어있는 경우 이러한 서비스를 자체 서브넷으로 분리하는 것이 더 쉬울 수 있습니다. 또한 일부 상위 계층 서비스 (예 : NBAR) 대신 VLAN을 기반으로 이러한 서비스에 QOS 표시를 적용 할 수 있습니다. L3 라우팅을 수행하는 장치에 ACL을 적용하여 원하지 않는 VLAN 간 통신을 방지 할 수도 있습니다. 예를 들어 데스크탑이 전화 / 보안 카메라에 직접 액세스하지 못하게 할 수 있습니다.

서비스 격리 : 몇 개의 VMWare 호스트와 SAN이있는 단일 랙에 TOR 스위치 쌍이있는 경우 라우팅되지 않은 iSCSI VLAN을 만들 수 있습니다. 이를 통해 다른 장치가 SAN에 액세스하거나 호스트와 SAN 간의 통신을 방해 할 수 없도록 완전히 격리 된 iSCSI 네트워크를 가질 수 있습니다. 이것은 단순히 서비스 격리의 한 예입니다.

서브넷 크기 : 단일 사이트가 너무 커지면 앞에서 언급 한 것처럼 해당 사이트를 다른 VLAN으로 분류하여 각 브로드 캐스트를 처리해야하는 호스트 수를 줄일 수 있습니다.

VLAN이 유용한 더 많은 방법이 있지만 (특히 인터넷 서비스 제공 업체로 사용하는 몇 가지를 생각할 수 있습니다), 이것이 가장 일반적이라고 생각하며 사용 방법 / 이유에 대한 좋은 아이디어를 제공해야합니다. 특정 사용 사례가 있으며 여기서 언급 할 가치가있는 프라이빗 VLAN도 있습니다.


7

네트워크가 점점 커짐에 따라 확장 성이 문제가됩니다. 통신하려면 모든 장치가 브로드 캐스트 도메인의 모든 장치로 전송되는 브로드 캐스트를 보내야합니다. 더 많은 장치가 브로드 캐스트 도메인에 추가되면 더 많은 브로드 캐스트가 네트워크를 포화시키기 시작합니다. 이 시점에서 브로드 캐스트 트래픽의 대역폭 포화, 각 장치의 처리 증가 (CPU 사용량) 및 보안 문제 등 여러 가지 문제가 발생합니다. 이 큰 브로드 캐스트 도메인을 더 작은 브로드 캐스트 도메인으로 분할하는 것이 점점 더 필요 해지고 있습니다.

VLAN을 입력하십시오.

VLAN 또는 가상 LAN은 가상으로 별도의 브로드 캐스트 도메인을 생성하므로 대규모 브로드 캐스트 도메인 문제를 극복하기 위해 완전히 별도의 하드웨어 LAN을 생성 할 필요가 없습니다. 대신 스위치에는 많은 VLAN이 포함될 수 있으며 각 VLAN은 별도의 자율 브로드 캐스트 도메인으로 작동합니다. 실제로, 두 개의 VLAN은 라우터와 같은 계층 3 장치의 개입 없이는 서로 통신 할 수 없으며, 이는 계층 3 전환이 전부입니다.

요약하자면, 가장 기본적인 수준의 VLAN은 대규모 브로드 캐스트 도메인을보다 작고 관리하기 쉬운 브로드 캐스트 도메인으로 분할하여 확장 네트워크의 확장 성을 향상시킵니다.


5

VLAN은 물리적 네트워크 내에 생성 된 논리적 네트워크입니다. 이들의 주요 용도는 종종 네트워크 내에서 브로드 캐스트 도메인의 크기를 줄이기위한 수단으로 격리를 제공하는 것이지만 여러 다른 목적으로 사용될 수 있습니다.

그것들은 모든 네트워크 엔지니어가 친숙하고 모든 도구와 마찬가지로 잘못 사용하거나 잘못된 시간에 사용할 수있는 도구입니다. 모든 네트워크 및 모든 상황에서 올바른 도구가 하나도 없으므로 사용할 수있는 도구가 많을수록 더 많은 환경에서 작업 할 수 있습니다. VLAN에 대한 자세한 내용을 알고 있으면 필요할 때 VLAN을 사용하고 필요할 때 올바르게 사용할 수 있습니다.

그것들을 어떻게 사용할 수 있는지 한 가지 예를 들면서 현재 SCADA (감독 제어 및 데이터 수집) 장치가 널리 사용되는 환경에서 일하고 있습니다. SCADA 장치는 일반적으로 상당히 단순하고 별다른 소프트웨어 개발보다 오랜 역사를 가지고 있으며 종종 주요 보안 취약점을 제공합니다.

L3 게이트웨이가없는 별도의 VLAN에 SCADA 장치를 설정했습니다. 논리 네트워크에 대한 유일한 액세스는 통신하는 서버 (SCADA VLAN에 하나의 인터페이스가 두 개 있음)를 통해 자체 호스트 기반 보안으로 보호 할 수 있으며 SCADA 장치에서는 불가능합니다. SCADA 장치는 동일한 물리적 장치에 연결되어 있어도 나머지 네트워크와 격리되어 있으므로 모든 취약점이 완화됩니다.


3

설계 원칙의 관점에서 볼 때 가장 일반적인 구현은 VLAN을 조직 구조 (예 : 한 VLAN의 엔지니어링 담당자, 다른 마케팅의 마케팅, 다른 IP의 전화기) 등에 맞추는 것입니다. 다른 설계에는 VLAN을 별도의 네트워크의 "전송"으로 사용하는 것이 포함됩니다. 하나 이상의 코어에서 작동합니다. VLAN의 레이어 3 종료 (Cisco 언어의 경우 'SVI', Brocade의 경우 'VE'등)도 가능하므로 적용 가능한 경우 VLAN 간 통신을 수행하기 위해 별도의 하드웨어가 필요하지 않습니다.

이미 NESE에 관한 사례를 본 것처럼 VLAN은 대규모로 관리 및 유지 관리하기가 번거로워집니다. 서비스 제공 업체 영역에는 PB (공급자 브리징-일반적으로 "QinQ", 이중 태깅, 스택 태그 등으로 알려짐), PBB (공급자 백본 브리징- "MAC-in-MAC") 및 PBB-TE가 있습니다. 사용 가능한 VLAN ID 수의 제한을 완화 시키도록 설계되었습니다. PBB-TE는 동적 학습, 범람 및 스패닝 트리에 대한 필요성을 없애기 위해 더 많은 것을 목표로합니다. C-TAG / S-TAG (0x000 및 0xFFF는 예약 됨)에서 VLAN ID로 사용할 수있는 비트는 12 비트 뿐이며 4,094 제한이 있습니다.

VPLS 또는 PBB를 사용하여 PB와 관련된 기존의 스케일링 한도를 제거 할 수 있습니다.


3

VLAN에 대한 기본 사용 사례는 거의 정확하게 여러 데이터 링크 브로드 캐스트 도메인에 네트워크의 분할에 대한 기본적인 사용의 경우와 동일합니다. 주요 차이점은 실제 LAN을 사용하면 각 브로드 캐스트 도메인에 대해 하나 이상의 장치 (일반적으로 스위치)가 필요하지만 가상 LAN 브로드 캐스트 도메인 멤버 자격은 포트별로 결정되며 또는 추가하지 않고 재구성 할 수 있다는 것입니다 하드웨어 교체.

기본 응용 프로그램의 경우 PLAN과 동일한 설계 원칙을 VLAN에 적용하십시오. 이를 위해 알아야 할 세 가지 개념은 다음과 같습니다.

  1. 트렁킹 -둘 이상의 VLAN에 속하는 프레임을 전달하는 모든 링크는 트렁크 링크입니다. 일반적으로 스위치 간 및 스위치 간 라우터 링크는 트렁크 링크 로 구성됩니다 .
  2. 태깅 -트렁크 링크로 전송할 때 , 수신 장치가 올바른 브로드 캐스트 도메인으로 제한 할 수 있도록 장치는 각 프레임에 속한 숫자 VLAN ID로 각 프레임에 태그를 지정 해야 합니다. 일반적으로 호스트 연결 포트에는 태그 가 지정 되지 않은 반면 스위치 연결 포트 및 라우터 연결 포트에는 태그지정 됩니다. 태그는 데이터 링크 캡슐화의 추가 부분입니다.
  3. 가상 인터페이스 -하나 이상의 트렁크 링크 인터페이스가있는 장치에서는 논리적 의미에서 장치를 트렁크 내에있는 하나 이상의 개별 VLAN에 대한 링크 터미널로 연결해야하는 경우가 종종 있습니다. 이것은 특히 라우터에 해당됩니다. 이 논리적 링크 접속은 지정된 VLAN과 연관된 단일 브로드 캐스트 도메인에 연결된 포트 역할 을하는 가상 인터페이스 로 모델링됩니다 .

2

VLAN의 원래 사용은 네트워크의 브로드 캐스트 영역을 제한하는 것이 었습니다. 방송은 자신의 VLAN으로 제한됩니다. 나중에 추가 기능이 추가되었습니다. 그러나 VLAN은 예를 들어 시스코 스위치의 계층 2입니다. 스위치의 포트에 IP 주소를 할당하여 계층 2를 추가 할 수 있지만 필수는 아닙니다.

추가 기능 :

  • 트렁킹 (Trunking) : 하나의 물리적 연결을 통해 여러 VLAN을 사용합니다 (예 : 스위치 2 개 연결, 하나의 물리적 링크는 모든 VLAN에 연결하기에 충분하며 태그를 분리하여 VLAN을 분리하는 것은 참조 : cisco의 경우 dot1Q 참조)
  • 보안
  • 관리하기 쉬움 (예 : VLAN의 종료는 다른 VLAN의 연결에 영향을 미치지 않습니다 ...)
  • ...

1

정보를 하나 더 제공하면 도움이 될 수 있습니다.

VLAN을 이해하려면 두 가지 주요 개념도 이해해야합니다.

-서브넷-다양한 장치가 서로 통신 할 수 있다고 가정하면 (예 : 서버 및 클라이언트) 각 VLAN에 IP 서브넷이 할당되어야합니다. 이것은 위에서 언급 한 SVI입니다. 그러면 VLAN간에 라우팅을 시작할 수 있습니다.

-라우팅-각 VLAN을 생성하고 각 VLAN의 클라이언트에 서브넷을 할당하고 각 VLAN에 대해 SVI를 생성 한 후에는 라우팅을 활성화해야합니다. 라우팅은 인터넷에 대한 정적 기본 경로와 각 서브넷에 대한 EIGRP 또는 OSPF 네트워크 명령문을 사용하여 매우 간단한 설정이 될 수 있습니다.

모든 것이 어떻게 결합되는지 알면 실제로 매우 우아합니다.


감사! subn / rtn 나는 이제이 모든 VLAN 정보를 가지고있다. 그렇다. 그것은 완벽하게 이해된다. 이미 "뒷면"VLAN을 구축하고 사용되지 않는 두 번째 인터페이스가있는 시스템을 변경하려고합니다.
크레이그 콘스탄틴

1
VLAN에는 L3 정보, 라우팅 또는 SVI가 필요하지 않습니다. 이는 해당 VLAN의 호스트에 대해 L3 (IP) 이상의 기능을 원하는 경우에만 필요합니다.
YLearn

추가하면 ... 하나는 VLAN을 통해 IP 를 실행할 필요가 없습니다 . (또한 참조 : 프로토콜 기반 VLAN-포트 기반, 시간의 99 % 사용)
Ricky Beam

나는 당신의 두 진술에 동의합니다. L2 vlan은 확실히 사용합니다. 그러나 누군가가 기존 네트워크에 VLAN을 추가하려고 생각하는 경우 L3 측면을 설명하지 않는 것은 심각한 누락입니다.
Jonathan Davis
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.