답변:
VLAN (가상 LAN)은 하나의 물리적 스위치 내에 여러 가상 스위치를 만드는 방법입니다. 예를 들어 VLAN 10을 사용하도록 구성된 포트는 마치 동일한 스위치에 연결된 것처럼 작동합니다. VLAN 20의 포트는 VLAN 10의 포트와 직접 통신 할 수 없습니다. 두 포트 사이에 라우팅되어야합니다 (또는 두 VLAN을 연결하는 링크가 있어야 함).
VLAN을 구현해야하는 많은 이유가 있습니다. 일반적으로 이러한 이유 중 가장 작은 것은 네트워크 크기입니다. 몇 가지 이유를 글 머리 기호로 표시 한 다음 각각을 열겠습니다.
보안 : 보안 자체는 VLAN을 생성하여 달성되지 않습니다. 그러나 해당 VLAN을 다른 서브넷에 연결하면 해당 서브넷에 대한 액세스를 필터링 / 차단할 수 있습니다. 예를 들어 50 대의 컴퓨터와 5 대의 서버가있는 사무실 건물이있는 경우 서버용 VLAN과 컴퓨터 용 VLAN을 만들 수 있습니다. 컴퓨터가 서버와 통신하기 위해 방화벽을 사용하여 해당 트래픽을 라우팅하고 필터링 할 수 있습니다. 그러면 IPS / IDS, ACL 등을 적용 할 수 있습니다. 서버와 컴퓨터 사이의 연결.
링크 사용률 : 나는 이것을 처음으로 떠났다는 것을 믿을 수 없다. 내 생각 엔 뇌 방귀 링크 사용률은 VLAN을 사용하는 또 다른 큰 이유입니다. 기능별 스패닝 트리는 레이어 2 네트워크를 통해 단일 경로를 만들어 루프를 방지합니다 (오, 내!). 집계 장치에 대한 중복 링크가 여러 개인 경우 이러한 링크 중 일부는 사용되지 않습니다. 이를 해결하기 위해 서로 다른 VLAN으로 여러 STP 토폴로지를 구축 할 수 있습니다. 이는 Cisco Proprietary PVST, RPVST 또는 표준 기반 MST를 사용하여 수행됩니다. 이를 통해 이전에 사용하지 않은 링크를 활용하기 위해 여러 STP 유형을 사용할 수 있습니다. 예를 들어 50 개의 데스크톱이있는 경우 25 개를 VLAN 10에 배치하고 25 개를 VLAN 20에 배치 할 수 있습니다. 그런 다음 VLAN 10을 네트워크의 "왼쪽"쪽으로 가져오고 VLAN 20의 나머지 25 개는 네트워크의 "오른쪽".
서비스 분리 : 이것은 매우 간단합니다. IP 보안 카메라, IP 전화 및 데스크톱이 모두 동일한 스위치에 연결되어있는 경우 이러한 서비스를 자체 서브넷으로 분리하는 것이 더 쉬울 수 있습니다. 또한 일부 상위 계층 서비스 (예 : NBAR) 대신 VLAN을 기반으로 이러한 서비스에 QOS 표시를 적용 할 수 있습니다. L3 라우팅을 수행하는 장치에 ACL을 적용하여 원하지 않는 VLAN 간 통신을 방지 할 수도 있습니다. 예를 들어 데스크탑이 전화 / 보안 카메라에 직접 액세스하지 못하게 할 수 있습니다.
서비스 격리 : 몇 개의 VMWare 호스트와 SAN이있는 단일 랙에 TOR 스위치 쌍이있는 경우 라우팅되지 않은 iSCSI VLAN을 만들 수 있습니다. 이를 통해 다른 장치가 SAN에 액세스하거나 호스트와 SAN 간의 통신을 방해 할 수 없도록 완전히 격리 된 iSCSI 네트워크를 가질 수 있습니다. 이것은 단순히 서비스 격리의 한 예입니다.
서브넷 크기 : 단일 사이트가 너무 커지면 앞에서 언급 한 것처럼 해당 사이트를 다른 VLAN으로 분류하여 각 브로드 캐스트를 처리해야하는 호스트 수를 줄일 수 있습니다.
VLAN이 유용한 더 많은 방법이 있지만 (특히 인터넷 서비스 제공 업체로 사용하는 몇 가지를 생각할 수 있습니다), 이것이 가장 일반적이라고 생각하며 사용 방법 / 이유에 대한 좋은 아이디어를 제공해야합니다. 특정 사용 사례가 있으며 여기서 언급 할 가치가있는 프라이빗 VLAN도 있습니다.
네트워크가 점점 커짐에 따라 확장 성이 문제가됩니다. 통신하려면 모든 장치가 브로드 캐스트 도메인의 모든 장치로 전송되는 브로드 캐스트를 보내야합니다. 더 많은 장치가 브로드 캐스트 도메인에 추가되면 더 많은 브로드 캐스트가 네트워크를 포화시키기 시작합니다. 이 시점에서 브로드 캐스트 트래픽의 대역폭 포화, 각 장치의 처리 증가 (CPU 사용량) 및 보안 문제 등 여러 가지 문제가 발생합니다. 이 큰 브로드 캐스트 도메인을 더 작은 브로드 캐스트 도메인으로 분할하는 것이 점점 더 필요 해지고 있습니다.
VLAN을 입력하십시오.
VLAN 또는 가상 LAN은 가상으로 별도의 브로드 캐스트 도메인을 생성하므로 대규모 브로드 캐스트 도메인 문제를 극복하기 위해 완전히 별도의 하드웨어 LAN을 생성 할 필요가 없습니다. 대신 스위치에는 많은 VLAN이 포함될 수 있으며 각 VLAN은 별도의 자율 브로드 캐스트 도메인으로 작동합니다. 실제로, 두 개의 VLAN은 라우터와 같은 계층 3 장치의 개입 없이는 서로 통신 할 수 없으며, 이는 계층 3 전환이 전부입니다.
요약하자면, 가장 기본적인 수준의 VLAN은 대규모 브로드 캐스트 도메인을보다 작고 관리하기 쉬운 브로드 캐스트 도메인으로 분할하여 확장 네트워크의 확장 성을 향상시킵니다.
VLAN은 물리적 네트워크 내에 생성 된 논리적 네트워크입니다. 이들의 주요 용도는 종종 네트워크 내에서 브로드 캐스트 도메인의 크기를 줄이기위한 수단으로 격리를 제공하는 것이지만 여러 다른 목적으로 사용될 수 있습니다.
그것들은 모든 네트워크 엔지니어가 친숙하고 모든 도구와 마찬가지로 잘못 사용하거나 잘못된 시간에 사용할 수있는 도구입니다. 모든 네트워크 및 모든 상황에서 올바른 도구가 하나도 없으므로 사용할 수있는 도구가 많을수록 더 많은 환경에서 작업 할 수 있습니다. VLAN에 대한 자세한 내용을 알고 있으면 필요할 때 VLAN을 사용하고 필요할 때 올바르게 사용할 수 있습니다.
그것들을 어떻게 사용할 수 있는지 한 가지 예를 들면서 현재 SCADA (감독 제어 및 데이터 수집) 장치가 널리 사용되는 환경에서 일하고 있습니다. SCADA 장치는 일반적으로 상당히 단순하고 별다른 소프트웨어 개발보다 오랜 역사를 가지고 있으며 종종 주요 보안 취약점을 제공합니다.
L3 게이트웨이가없는 별도의 VLAN에 SCADA 장치를 설정했습니다. 논리 네트워크에 대한 유일한 액세스는 통신하는 서버 (SCADA VLAN에 하나의 인터페이스가 두 개 있음)를 통해 자체 호스트 기반 보안으로 보호 할 수 있으며 SCADA 장치에서는 불가능합니다. SCADA 장치는 동일한 물리적 장치에 연결되어 있어도 나머지 네트워크와 격리되어 있으므로 모든 취약점이 완화됩니다.
설계 원칙의 관점에서 볼 때 가장 일반적인 구현은 VLAN을 조직 구조 (예 : 한 VLAN의 엔지니어링 담당자, 다른 마케팅의 마케팅, 다른 IP의 전화기) 등에 맞추는 것입니다. 다른 설계에는 VLAN을 별도의 네트워크의 "전송"으로 사용하는 것이 포함됩니다. 하나 이상의 코어에서 작동합니다. VLAN의 레이어 3 종료 (Cisco 언어의 경우 'SVI', Brocade의 경우 'VE'등)도 가능하므로 적용 가능한 경우 VLAN 간 통신을 수행하기 위해 별도의 하드웨어가 필요하지 않습니다.
이미 NESE에 관한 사례를 본 것처럼 VLAN은 대규모로 관리 및 유지 관리하기가 번거로워집니다. 서비스 제공 업체 영역에는 PB (공급자 브리징-일반적으로 "QinQ", 이중 태깅, 스택 태그 등으로 알려짐), PBB (공급자 백본 브리징- "MAC-in-MAC") 및 PBB-TE가 있습니다. 사용 가능한 VLAN ID 수의 제한을 완화 시키도록 설계되었습니다. PBB-TE는 동적 학습, 범람 및 스패닝 트리에 대한 필요성을 없애기 위해 더 많은 것을 목표로합니다. C-TAG / S-TAG (0x000 및 0xFFF는 예약 됨)에서 VLAN ID로 사용할 수있는 비트는 12 비트 뿐이며 4,094 제한이 있습니다.
VPLS 또는 PBB를 사용하여 PB와 관련된 기존의 스케일링 한도를 제거 할 수 있습니다.
VLAN에 대한 기본 사용 사례는 거의 정확하게 여러 데이터 링크 브로드 캐스트 도메인에 네트워크의 분할에 대한 기본적인 사용의 경우와 동일합니다. 주요 차이점은 실제 LAN을 사용하면 각 브로드 캐스트 도메인에 대해 하나 이상의 장치 (일반적으로 스위치)가 필요하지만 가상 LAN 브로드 캐스트 도메인 멤버 자격은 포트별로 결정되며 또는 추가하지 않고 재구성 할 수 있다는 것입니다 하드웨어 교체.
기본 응용 프로그램의 경우 PLAN과 동일한 설계 원칙을 VLAN에 적용하십시오. 이를 위해 알아야 할 세 가지 개념은 다음과 같습니다.
VLAN의 원래 사용은 네트워크의 브로드 캐스트 영역을 제한하는 것이 었습니다. 방송은 자신의 VLAN으로 제한됩니다. 나중에 추가 기능이 추가되었습니다. 그러나 VLAN은 예를 들어 시스코 스위치의 계층 2입니다. 스위치의 포트에 IP 주소를 할당하여 계층 2를 추가 할 수 있지만 필수는 아닙니다.
추가 기능 :
정보를 하나 더 제공하면 도움이 될 수 있습니다.
VLAN을 이해하려면 두 가지 주요 개념도 이해해야합니다.
-서브넷-다양한 장치가 서로 통신 할 수 있다고 가정하면 (예 : 서버 및 클라이언트) 각 VLAN에 IP 서브넷이 할당되어야합니다. 이것은 위에서 언급 한 SVI입니다. 그러면 VLAN간에 라우팅을 시작할 수 있습니다.
-라우팅-각 VLAN을 생성하고 각 VLAN의 클라이언트에 서브넷을 할당하고 각 VLAN에 대해 SVI를 생성 한 후에는 라우팅을 활성화해야합니다. 라우팅은 인터넷에 대한 정적 기본 경로와 각 서브넷에 대한 EIGRP 또는 OSPF 네트워크 명령문을 사용하여 매우 간단한 설정이 될 수 있습니다.
모든 것이 어떻게 결합되는지 알면 실제로 매우 우아합니다.