가상 LAN (VLAN)은 단일 물리적 네트워크가 여러 병렬 물리적 네트워크의 기능을 에뮬레이트 할 수 있도록하는 추상화입니다. 여러 병렬 물리적 네트워크의 기능이 필요한 상황이있을 수 있지만 병렬 하드웨어 구입에 돈을 쓰지 않기 때문에 편리합니다. 이 답변에서 이더넷 VLAN에 대해 이야기 할 것입니다 (다른 네트워킹 기술이 VLAN을 지원할 수 있음에도 불구하고).
고안된 예와 문제
순수하게 고안된 예제 시나리오로서, 임차인에게 임대하는 사무실 건물을 소유하고 있다고 가정하십시오. 임대의 이점으로, 각 테넌트는 사무실의 각 방에 라이브 이더넷 잭을 제공합니다. 각 층에 대한 이더넷 스위치를 구입하여 해당 층의 각 사무실에있는 잭에 연결하고 모든 스위치를 함께 연결하십시오.
처음에는 1 층과 2 층에 각각 다른 두 개의 테넌트 공간을 임대합니다.이 테넌트 각각은 정적 IPv4 주소를 사용하여 컴퓨터를 구성합니다. 두 테넌트는 서로 다른 TCP / IP 서브넷을 사용하며 모든 것이 제대로 작동하는 것 같습니다.
나중에 새 테넌트는 3 층의 절반을 임대하고이 새로운 DHCP 서버 중 하나를 제공합니다. 시간이 지나고 1 층 테넌트도 DHCP 악 대차를 타기로 결정합니다. 이것은 상황이 잘못되기 시작하는 시점입니다. 3 층 테넌트는 일부 컴퓨터가 DHCP 서버가 아닌 컴퓨터에서 "재미있는"IP 주소를 받고 있다고보고합니다. 곧 1 층 임차인도 같은 사실을보고합니다.
DHCP는 이더넷의 브로드 캐스트 기능을 활용하여 클라이언트 컴퓨터가 동적으로 IP 주소를 얻을 수 있도록하는 프로토콜입니다. 테넌트는 모두 동일한 물리적 이더넷 네트워크를 공유하므로 동일한 브로드 캐스트 도메인을 공유합니다. 네트워크의 모든 컴퓨터에서 전송 된 브로드 캐스트 패킷은 모든 스위치 포트를 다른 모든 컴퓨터로 플러딩합니다. 1 층과 3 층의 DHCP 서버는 IP 주소 임대에 대한 모든 요청을 받고 효과적으로 응답 할 수있는 사람을 먼저 확인할 수 있습니다. 이것은 임차인이 경험하려는 행동이 아닙니다. 그러나 이것은 VLAN이없는 "평평한"이더넷 네트워크의 동작입니다.
더 나쁘게도 2 층의 세입자는이 "Wireshark"소프트웨어를 구입하여 때때로 들어 본 적이없는 컴퓨터와 IP 주소를 참조하는 트래픽이 스위치에서 나오는 것을보고합니다. 직원 중 한 명이 자신의 PC에 할당 된 IP 주소를 192.168.1.38에서 192.168.0.38로 변경하여 다른 컴퓨터와 통신 할 수 있음을 알아 냈습니다! 아마도 그는 다른 테넌트 중 하나에 대해 "무단 프로 보노 시스템 관리 서비스"를 수행하는 데 몇 걸음 밖에 걸리지 않았을 것입니다. 안좋다.
잠재적 인 솔루션
해결책이 필요합니다! 바닥 사이에서 플러그를 뽑으면 원치 않는 모든 통신이 차단됩니다! 네! 그게 티켓이야 ..
지하 3 분의 1과 빈 층의 3 분의 1을 임대 할 새로운 임차인이 있다는 점 을 제외하고 는 효과가있을 수 있습니다. 3 층 스위치와 지하실 스위치 사이에 연결이 없으면 새 임차인은 두 층 모두에 퍼질 컴퓨터 간의 통신을 얻을 수 있습니다. 플러그를 당기는 것이 답이 아닙니다. 더 나쁜 것은, 새로운 테넌트가 또 다른 DHCP 서버 중 하나를 도입하고 있다는 것입니다!
각 테넌트에 대해 물리적으로 별도의 이더넷 스위치 세트를 구매한다는 아이디어에 시달리지 만 건물에 30 개의 층이있는 방법을보고, 최대 4 가지 방법으로 세분화 할 수 있습니다. 엄청난 수의 병렬 이더넷 스위치는 비싸지 않은 악몽 일 수 있습니다. 단일 물리적 이더넷 네트워크가 각각 고유 한 브로드 캐스트 도메인을 가진 다중 물리적 이더넷 네트워크처럼 작동하도록하는 방법 만 있다면
구조에 대한 VLAN
VLAN은이 복잡한 문제에 대한 해답입니다. VLAN을 사용하면 이더넷 스위치를 논리적으로 별개의 가상 이더넷 스위치로 세분 할 수 있습니다. 따라서 단일 이더넷 스위치가 여러 개의 물리적 이더넷 스위치 인 것처럼 작동 할 수 있습니다. 예를 들어 하위 계층 3의 경우 하위 24 개 포트가 지정된 VLAN에 있고 (VLAN 12라고 함) 상위 24 개 포트가 지정된 VLAN에 있도록 48 포트 스위치를 구성 할 수 있습니다 ( VLAN 13이라고 부릅니다). 스위치에서 VLAN을 생성 할 때 VLAN 이름 또는 번호 유형을 할당해야합니다. 여기에서 사용하는 숫자는 대부분 임의적이므로 어떤 숫자를 선택해도 걱정하지 마십시오.
3 층 스위치를 VLAN 12와 13으로 나누면 새 3 층 테넌트가 DHCP 서버를 VLAN 13에 할당 된 포트 중 하나에 꽂을 수 있고 PC가 VLAN 12에 할당 된 포트에 꽂아도 새 DHCP 서버에서 IP 주소를 얻지 마십시오. 우수한! 문제 해결됨!
아 잠깐만 .. 어떻게 VLAN 13 데이터를 지하실로 가져 가야합니까?
스위치 간 VLAN 통신
반층 3 및 반 지하 테넌트는 지하실의 컴퓨터를 3 층의 서버에 연결하려고합니다. 3 층의 VLAN에 할당 된 포트 중 하나에서 직접 지하실 및 수명으로 케이블을 연결할 수 있습니다. 좋을까요?
VLAN 초기 (802.1Q 이전 표준)에는 그렇게 할 수 있습니다. 지하실 스위치는 할당 된 3 층의 포트에 의해 "공급"되기 때문에 전체 지하실 스위치는 사실상 VLAN 13 (3 층과 지하실의 새 테넌트에 할당하기로 선택한 VLAN)의 일부가됩니다. VLAN 13으로
이 솔루션은 지하 1 층과 지하 1 층 컴퓨터 사이에 통신을 원하는 1 층 테넌트에게 지하실의 나머지 절반을 임대 할 때까지 작동합니다. VLAN (VLAN 2 및 13으로)을 사용하여 지하실 스위치를 분리하고 층 1에서 지하실의 VLAN 2에 할당 된 포트로 케이블을 연결할 수 있지만 더 나은 판단은 이것이 신속하게 쥐의 둥지가 될 수 있음을 알려줍니다 케이블 (그리고 더 나빠질 것입니다). VLAN을 사용하여 스위치를 분할하는 것은 좋지만 다른 스위치에서 다른 VLAN의 구성원 인 포트로 여러 케이블을 실행해야하는 것은 지저분합니다. 의심 할 여지없이, 높은 층에 공간이있는 테넌트 사이에 지하실 스위치를 4 가지 방법으로 나누어야한다면 지하실 스위치에 4 개의 포트를 사용하여 위층 VLAN에서 "피더"케이블을 종료합니다.
이제 단일 케이블의 스위치간에 여러 VLAN에서 트래픽을 이동하는 일부 유형의 일반화 된 방법이 필요하다는 것이 분명해졌습니다. 서로 다른 VLAN 간의 연결을 지원하기 위해 스위치 사이에 더 많은 케이블을 추가하는 것은 확장 가능한 전략이 아닙니다. 결국 충분한 VLAN이 있으면 이러한 VLAN 간 / 스위치 간 연결로 스위치의 모든 포트를 사용하게됩니다. 필요한 것은 스위치 사이의 "트렁크"연결 인 단일 연결을 통해 여러 VLAN의 패킷을 전달하는 방법입니다.
지금까지 논의한 모든 스위치 포트를 "액세스"포트라고합니다. 즉,이 포트는 단일 VLAN 액세스 전용입니다. 이 포트에 연결된 장치에는 특별한 구성이 없습니다. 이러한 장치는 VLAN이 존재한다는 것을 "인식"하지 않습니다. 클라이언트 장치가 전송하는 프레임은 스위치로 전달되고 프레임은 스위치에 입력 된 포트에 할당 된 VLAN의 구성원으로 할당 된 포트로만 전송됩니다. 프레임이 VLAN 12의 구성원으로 할당 된 포트의 스위치에 들어가면 스위치는 VLAN 12의 구성원 인 해당 프레임 출력 포트만 보냅니다. 스위치는 포트를 수신 한 포트에 할당 된 VLAN 번호를 "인식"합니다. 프레임과 어떻게 든 동일한 VLAN의이 프레임 출력 포트만 제공한다는 것을 알고 있습니다.
스위치가 주어진 프레임과 관련된 VLAN 번호를 다른 스위치와 공유 할 수있는 방법이 있다면 다른 스위치는 해당 대상 포트로만 해당 프레임을 전달하는 것을 올바르게 처리 할 수 있습니다. 이것이 802.1Q VLAN 태깅 프로토콜의 기능입니다. (802.1Q 이전에는 일부 공급 업체가 VLAN 태깅 및 스위치 간 트렁킹에 대한 자체 표준을 구성했음을 주목할 가치가 있습니다. 대부분의 경우 이러한 사전 표준 방법은 모두 802.1Q에 의해 대체되었습니다.)
두 개의 VLAN 인식 스위치가 서로 연결되어 있고 해당 스위치가 서로간에 적절한 VLAN으로 프레임을 전달하도록하려면 "트렁크"포트를 사용하여 해당 스위치를 연결하십시오. 여기에는 각 스위치의 포트 구성을 "액세스"모드에서 "트렁크"모드 (기본 구성)로 변경하는 작업이 포함됩니다.
포트가 트렁크 모드로 구성된 경우 스위치가 해당 포트를 전송하는 각 프레임에는 "VLAN 태그"가 프레임에 포함됩니다. 이 "VLAN 태그"는 클라이언트가 보낸 원래 프레임의 일부가 아닙니다. 오히려이 태그는 프레임을 트렁크 포트로 보내기 전에 송신 스위치에 의해 추가됩니다. 이 태그는 프레임이 시작된 포트와 관련된 VLAN 번호를 나타냅니다.
수신 스위치는 태그를보고 프레임이 시작된 VLAN을 결정하고 해당 정보에 따라 원래 VLAN에 할당 된 포트만 프레임을 전달합니다. "액세스"포트에 연결된 장치는 VLAN이 사용되고 있다는 것을 인식하지 못하므로 "태그"정보는 액세스 모드에서 구성된 포트를 보내기 전에 프레임에서 제거해야합니다. 이 태그 정보를 제거하면 수신 한 프레임에 VLAN 태그 정보가 없으므로 전체 VLAN 트렁킹 프로세스가 클라이언트 장치에서 숨겨집니다.
실제로 VLAN을 구성하기 전에 테스트 스위치에서 트렁크 모드 용 포트를 구성하고 스니퍼 (예 : Wireshark)를 사용하여 해당 포트로 전송되는 트래픽을 모니터링하는 것이 좋습니다. 다른 컴퓨터에서 일부 샘플 트래픽을 생성하고 액세스 포트에 연결하면 트렁크 포트를 떠나는 프레임이 실제로 테스트 컴퓨터에서 전송하는 프레임보다 클 수 있습니다. Wireshark의 프레임에 VLAN 태그 정보가 표시됩니다. 스니퍼에서 일어나는 일을 실제로 볼 가치가 있다는 것을 알았습니다. 802.1Q 태그 지정 표준을 읽는 것도이 시점에서해야 할 일입니다 (특히 "기본 VLAN"또는 이중 태그 지정에 대해 이야기하지 않기 때문에).
VLAN 구성 악몽과 솔루션
건물에서 점점 더 많은 공간을 임대할수록 VLAN 수가 증가합니다. 새 VLAN을 추가 할 때마다 점점 더 많은 이더넷 스위치에 로그온하고 해당 VLAN을 목록에 추가해야합니다. 해당 VLAN을 단일 구성 매니페스트에 추가하고 각 스위치의 VLAN 구성을 자동으로 채울 수있는 방법이 있다면 좋지 않습니까?
Cisco의 독점적 인 "VLAN Trunking Protocol"(VTP) 또는 표준 기반 "Multiple VLAN Registration Protocol"(MVRP-- 이전에는 철자 GVRP)과 같은 프로토콜이이 기능을 수행합니다. 이러한 프로토콜을 사용하는 네트워크에서 단일 VLAN 생성 또는 삭제 항목으로 인해 프로토콜 메시지가 네트워크의 모든 스위치로 전송됩니다. 이 프로토콜 메시지는 VLAN 구성 변경 사항을 나머지 스위치와 통신하여 VLAN 구성을 수정합니다. VTP 및 MVRP는 특정 포트가 특정 VLAN에 대한 액세스 포트로 구성되는 것과 관련이 없으며 VLAN 생성 또는 삭제를 모든 스위치에 전달하는 데 유용합니다.
VLAN에 익숙해지면 VTP 및 MVRP와 같은 프로토콜과 관련된 "VLAN 프 루닝"에 대해 읽어보고 싶을 것입니다. 지금은 큰 걱정할 것이 없습니다. ( Wikipedia 의 VTP 기사 에는 VLAN 정리 및 그 이점을 설명하는 멋진 다이어그램이 있습니다.)
실제 생활에서 VLAN을 언제 사용합니까?
훨씬 더 나아 가기 전에 고려 된 예보다는 실제 생활에 대해 생각하는 것이 중요합니다. 여기에 다른 답변의 텍스트를 복제하는 대신 내 답변 re : VLAN 생성시기를 알려 드리겠습니다 . 반드시 "초보자 수준"일 필요는 없지만 고려 된 예제로 돌아 가기 전에 간단히 참조 할 것이기 때문에 지금 살펴볼 가치가 있습니다.
"tl; dr"크라우드 (어쨌든이 시점에서 모든 것이 읽히지 않았다)의 경우 위 링크의 요점은 다음과 같습니다. 브로드 캐스트 도메인을 더 작게 만들거나 특정 이유로 트래픽을 분리하려는 경우 (보안) , 정책 등). VLAN을 사용해야 할 다른 좋은 이유는 없습니다.
이 예에서는 VLAN을 사용하여 브로드 캐스트 도메인을 제한하고 (DHCP와 같은 프로토콜이 올바르게 작동하도록) 두 번째로, 다양한 테넌트 네트워크 간의 격리를 원하기 때문입니다.
참고 : IP 서브넷 및 VLAN
일반적으로 편의상, 격리를 용이하게하고, ARP 프로토콜의 작동 방식으로 인해 VLAN과 IP 서브넷간에 일대일 관계가 있습니다.
이 답변의 시작 부분에서 보았 듯이 두 개의 서로 다른 IP 서브넷을 동일한 물리적 이더넷에서 문제없이 사용할 수 있습니다. 브로드 캐스트 도메인을 축소하기 위해 VLAN을 사용하는 경우 ARP와 다른 브로드 캐스트 트래픽을 결합하므로 동일한 VLAN을 두 개의 다른 IP 서브넷과 공유하지 않을 것입니다.
보안 또는 정책상의 이유로 트래픽을 분리하기 위해 VLAN을 사용하는 경우 격리의 목적을 상실 할 수 있으므로 동일한 VLAN에 여러 서브넷을 결합하지 않을 것입니다.
IP는 브로드 캐스트 기반 프로토콜 인 ARP (Address Resolution Protocol)를 사용하여 IP 주소를 물리적 (이더넷 MAC) 주소에 매핑합니다. ARP는 브로드 캐스트 기반이므로 브로드 캐스트가 VLAN간에 전달되지 않기 때문에 한 VLAN의 호스트가 다른 VLAN의 호스트로부터 ARP 응답을 수신 할 수 없기 때문에 동일한 IP 서브넷의 다른 부분을 다른 VLAN에 할당하는 것은 문제가됩니다. proxy-ARP를 사용하여이 "문제"를 해결할 수는 있지만 궁극적으로 여러 VLAN에 걸쳐 IP 서브넷을 분할해야 할 이유가 없다면 그렇게하지 않는 것이 좋습니다.
마지막 한 가지 : VLAN 및 보안
마지막으로 VLAN은 훌륭한 보안 장치가 아니라는 점에 주목할 가치가 있습니다. 많은 이더넷 스위치에는 하나의 VLAN에서 나온 프레임을 다른 VLAN에 할당 된 포트로 보낼 수있는 버그가 있습니다. 이더넷 스위치 제조업체는 이러한 버그를 해결하기 위해 열심히 노력했지만 완전히 버그가없는 구현이 있을지는 의문입니다.
우리가 고안 한 사례의 경우, 다른 시스템에 무료 시스템 관리 "서비스"를 제공하는 순간에 떨어져있는 2 층 직원은 자신의 트래픽을 VLAN으로 격리하여 서비스를 중단 할 수 있습니다. 그러나 트래픽이 다른 테넌트의 VLAN으로 "누설"될 수 있도록 스위치 펌웨어의 버그를 악용하는 방법도 알아낼 수 있습니다.
메트로 이더넷 제공 업체는 점점 더 VLAN 태깅 기능과 스위치가 제공하는 격리에 의존하고 있습니다. VLAN을 사용하여 제공되는 보안 이 없다고 말하는 것은 불공평 합니다. 그러나 신뢰할 수없는 인터넷 연결 또는 DMZ 네트워크가있는 상황에서는 신뢰할 수있는 "방화벽 뒤"트래픽을 전달하는 스위치의 VLAN 대신 물리적으로 분리 된 스위치를 사용하여이 "터치"트래픽을 전달하는 것이 좋습니다.
레이어 3을 그림으로 가져 오기
지금까지이 답변에 대해 이야기 한 모든 내용은 계층 2- 이더넷 프레임과 관련이 있습니다. 레이어 3을 여기에 가져 오기 시작하면 어떻게됩니까?
고려 된 건물 예제로 돌아가 봅시다. 각 테넌트의 포트를 별도의 VLAN의 구성원으로 구성하도록 VLAN을 채택했습니다. 각 층의 스위치가 원래 VLAN 번호로 태그가 지정된 프레임을 위와 아래 층의 스위치로 교환 할 수 있도록 트렁크 포트를 구성했습니다. 한 테넌트는 여러 층으로 컴퓨터를 분산시킬 수 있지만 적절한 VLAN 구성 기술로 인해이 물리적으로 분산 된 컴퓨터는 모두 동일한 물리적 LAN의 일부인 것처럼 보일 수 있습니다.
IT 성과가 너무 많아 테넌트에게 인터넷 연결을 제공하기로 결정했습니다. 뚱뚱한 인터넷 파이프와 라우터를 구입하십시오. 아이디어를 모든 임차인에게 알리고 그 중 두 명은 즉시 구매합니다. 다행히 라우터에는 3 개의 이더넷 포트가 있습니다. 한 포트는 팻 인터넷 파이프에, 다른 포트는 첫 번째 테넌트 VLAN에 액세스하도록 할당 된 스위치 포트에 연결하고 다른 포트는 두 번째 테넌트 VLAN에 액세스하도록 할당 된 포트에 연결합니다. 각 테넌트 네트워크에서 IP 주소를 사용하여 라우터 포트를 구성하면 테넌트가 서비스를 통해 인터넷에 액세스하기 시작합니다! 수익이 증가하고 행복합니다.
그러나 곧 다른 임차인이 인터넷 서비스를 받기로 결정합니다. 그러나 라우터의 포트가 부족합니다. 무엇을해야합니까?
다행히도 이더넷 포트에서 "가상 하위 인터페이스"구성을 지원하는 라우터를 구입했습니다. 간단히 말해이 기능을 통해 라우터는 원래 VLAN 번호로 태그가 지정된 프레임을 수신하고 해석 할 수 있으며 통신 할 각 VLAN에 적합한 IP 주소로 구성된 가상 (물리적이지 않은) 인터페이스를 가질 수 있습니다. 실제로 이것은 라우터에서 단일 이더넷 포트를 "다중화"하여 다중 물리적 이더넷 포트로 작동하는 것처럼 보입니다.
라우터를 스위치 중 하나의 트렁크 포트에 연결하고 각 테넌트의 IP 주소 지정 체계에 해당하는 가상 하위 인터페이스를 구성합니다. 각 가상 하위 인터페이스는 각 고객에게 할당 된 VLAN 번호로 구성됩니다. 프레임이 스위치의 트렁크 포트를 떠나 라우터로 바운드되면 원래 VLAN 번호가있는 태그를 전달합니다 (트렁크 포트이므로). 라우터는이 태그를 해석하여 해당 VLAN에 해당하는 전용 물리적 인터페이스에 도착한 것처럼 패킷을 처리합니다. 마찬가지로, 라우터가 요청에 대한 응답으로 프레임을 스위치로 보낼 때 스위치는 응답 태그를 전달할 VLAN을 스위치가 알 수 있도록 VLAN 태그를 프레임에 추가합니다. 실제로 라우터가 "표시"되도록 구성했습니다
스틱 및 레이어 3 스위치의 라우터
가상 하위 인터페이스를 사용하면 25 개 이상의 이더넷 인터페이스가있는 라우터를 구입할 필요없이 모든 테넌트에 인터넷 연결을 판매 할 수있었습니다. IT 업적에 매우 만족하므로 테넌트 중 두 명이 새로운 요청으로 당신에게 올 때 긍정적으로 응답합니다.
이 테넌트는 프로젝트에서 "파트너"를 선택했으며 한 테넌트 사무실의 클라이언트 컴퓨터 (하나의 VLAN)에서 다른 테넌트 사무실의 서버 컴퓨터 (다른 VLAN)로 액세스를 허용하려고합니다. 둘 다 인터넷 서비스의 고객이므로 코어 인터넷 라우터 (이 테넌트 VLAN 각각에 대해 가상 하위 인터페이스가 구성되어 있음)에서 ACL을 상당히 간단하게 변경하여 트래픽을 VLAN간에 전달할 수 있습니다. VLAN에서 인터넷으로. 변경하고 임차인을 보내십시오.
다음 날 한 사무실의 클라이언트 컴퓨터와 두 번째 사무실의 서버간에 액세스하는 두 테넌트의 불만이 매우 느립니다. 서버와 클라이언트 컴퓨터는 모두 스위치에 기가비트 이더넷으로 연결되어 있지만 파일은 약 45Mbps로만 전송되며 이는 우연히 코어 라우터가 스위치에 연결하는 속도의 절반에 해당합니다. 소스 VLAN에서 라우터로, 라우터에서 대상 VLAN으로 다시 나가는 트래픽은 라우터의 스위치 연결로 인해 병목 현상이 발생합니다.
코어 라우터로 수행 한 작업을 VLAN간에 트래픽을 라우팅 할 수있게하는 것을 일반적으로 "스틱상의 라우터"(어리석게도 기발한 완곡 성)라고합니다. 이 전략은 잘 작동하지만 트래픽은 라우터와 스위치의 연결 용량까지 VLAN간에 만 전달 될 수 있습니다. 라우터가 이더넷 스위치 자체의 "게스트"와 결합 될 수 있다면 트래픽을 더 빠르게 라우팅 할 수 있습니다 (제조업체 사양서에 따라 이더넷 스위치 자체는 2Gbps의 트래픽을 전환 할 수 있기 때문에).
"계층 3 스위치"는 논리적으로 말하자면 내부에 매립 된 라우터를 포함하는 이더넷 스위치입니다. 레이어 3 스위치를 스위치 안에 작고 빠른 라우터가 숨겨져있는 것으로 생각하면 대단히 도움이됩니다. 또한 라우팅 기능을 계층 3 스위치가 제공하는 이더넷 스위칭 기능과는 별개의 기능으로 생각하는 것이 좋습니다. 계층 3 스위치는 모든 의도와 목적을 위해 단일 섀시에 싸인 두 개의 개별 장치입니다.
계층 3 스위치의 내장 라우터는 일반적으로 유선 속도 또는 거의 유선 속도로 VLAN간에 패킷을 라우팅 할 수있는 속도로 스위치의 내부 스위칭 패브릭에 연결됩니다. "스틱상의 라우터"에서 구성한 가상 하위 인터페이스와 유사하게 계층 3 스위치 내부에 내장 된이 라우터는 각 VLAN에 "접근"연결이되는 "인터페이스"로 표시되는 가상 인터페이스로 구성 할 수 있습니다. VLAN에서 계층 3 스위치 내부의 임베디드 라우터로의 논리적 연결을 가상 하위 인터페이스라고하는 대신 SVI (Switch Virtual Interface)라고합니다. 실제로 레이어 3 스위치 내부에 내장 된 라우터에는 스위치의 모든 VLAN에 "플러그인"될 수있는 "가상 포트"가 있습니다.
임베디드 라우터는 물리적 라우터와 동일한 방식으로 물리적 라우터와 동일한 동적 라우팅 프로토콜 또는 액세스 제어 목록 (ACL) 기능을 모두 가지고 있지 않다는 점을 제외하고는 물리적 라우터와 동일한 방식으로 작동합니다. 스위치). 그러나 내장 라우터는 플러그가 연결된 물리적 스위치 포트와 관련된 병목 현상이 없어 매우 빠르다는 장점이 있습니다.
여기에서 "파트너링"테넌트가있는 예제의 경우 계층 3 스위치를 선택하여 두 고객 VLAN의 트래픽이 도달하도록 트렁크 포트에 꽂은 다음 IP 주소 및 VLAN 멤버십으로 SVI를 구성하도록 선택할 수 있습니다. 두 고객 VLAN 모두에 "나타납니다". 일단 완료하면 코어 라우터의 라우팅 테이블과 레이어 3 스위치의 내장 라우터를 조정하면 테넌트 VLAN 사이의 트래픽이 레이어 3 스위치 내부의 내장 라우터에 의해 라우팅됩니다. "스틱에 라우터".
계층 3 스위치를 사용한다고해서 스위치를 상호 연결하는 트렁크 포트의 대역폭과 관련된 병목 현상이 발생하지는 않습니다. 그러나 이것은 VLAN이 다루는 것들과 직교하는 문제입니다. VLAN은 대역폭 문제와 관련이 없습니다. 일반적으로 대역폭 문제는 고속 스위치 간 연결을 얻거나 링크 집계 프로토콜을 사용하여 여러 저속 연결을 가상 고속 연결에 "결합"하여 해결됩니다. 이후 3 스위치 내부에 내장 된 라우터가 라우팅 할 프레임을 생성하는 모든 장치가 자체적으로 계층 3 스위치의 포트에 직접 연결되어 있지 않으면 스위치 사이의 트렁크 대역폭에 대해 여전히 걱정해야합니다. 레이어 3 스위치는 만병 통치약은 아니지만 일반적으로 "
동적 VLAN
마지막으로, 일부 스위치에는 동적 VLAN 멤버쉽을 제공하는 기능이 있습니다. 지정된 포트를 지정된 VLAN에 대한 액세스 포트로 지정하지 않고 장치가 연결될 때 포트 구성 (액세스 또는 트렁크 및 VLAN)을 동적으로 변경할 수 있습니다. 동적 VLAN은 고급 주제이지만 기능이 존재한다는 것을 아는 것이 도움이 될 수 있습니다.
기능은 공급 업체마다 다르지만 일반적으로 연결된 장치의 MAC 주소, 장치의 802.1X 인증 상태, 독점 및 표준 기반 프로토콜 (예 : CDP 및 LLDP)을 기반으로 IP 전화를 허용하도록 동적 VLAN 멤버십을 구성 할 수 있습니다. "음성 트래픽의 VLAN 번호", 클라이언트 장치에 할당 된 IP 서브넷 또는 이더넷 프로토콜 유형을 "발견"합니다.