8장. VLAN과 Inter-VLAN 라우팅 2012년 2학기 중부대학교 정보보호학과 이병천 교수

스위치 스위치란? 스위치의 구분 LAN 구간에서 주로 사용되는 네트워크 장치 L2 스위치: MAC 주소를 기반으로 프레임을 전달 L3 스위치: IP 주소를 기반으로 패킷을 전달 L4 스위치: TCP, UDP 등을 스위칭하면서 RTP(실시간 통 신용 프로토콜) 등의 헤더를 사용하여 어떤 프로토콜을 우선적으로 전달할 것인지 결정 가능. 서버나 네트워크의 트래픽에 대한 로드밸런싱에 이용. L7 스위치: URL, 이메일 제목 및 내용, 쿠키 등의 패턴을 분석해 패킷을 처리. 높은 보안성, QoS, 로드밸런싱 가능

스위치의 계층적 구조 스위치의 계층적인 구조를 이용해 네트워크를 구 성하면 안전성, 확장성, 성능 향상 가능 액세스(access) 계층: 장치가 직접 연결되는 계층. Port security, VLAN, PoE(Power of Ethernet), Link Aggregation, QoS 등의 기능을 설정 분산(distribution) 계층: 트래픽을 분리해내는 역할. ACL, IP 라우팅, 이중화 구성, QoS 등을 기능을 설정 코어(core) 계층: 패킷의 전달을 빠르고 정확하게 하는 것 이 주된 역할. 어떠한 정책도 선언되지 않음.

스위치의 MAC 테이블 생성 1. 스위치가 부팅되면 MAC 테이블은 비어있음 2. PC로부터 패킷을 받으면 연결되어 있는지 인지 3. 목적지 PC의 연결포트를 모르면 모든 포트에 프레임을 플러딩 4. 목적지 PC는 자신에게 전달된 프레임에 응답. 스위치는 연결포트와 PC의 관계를 인지 5. MAC 테이블이 완성되면 유니캐스트 통신. MAC 테이블은 기본 Aging time인 300초만 저장

완성된 MAC 테이블 Switch#show mac Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0003.e48b.297b DYNAMIC Fa0/3 1 0005.5e70.4557 DYNAMIC Fa0/4 1 000c.cfb2.e824 DYNAMIC Fa0/5 1 00d0.bc01.1d48 DYNAMIC Fa0/2 1 00e0.f9d8.7976 DYNAMIC Fa0/1

VLAN(가상랜) VLAN의 필요성 VLAN의 역할 네트워크의 크기가 커지면 플러딩 데이터가 커짐 내부에서 권한이 없는 사용자가 제약없이 특정 장치에 접 속 가능 VLAN의 역할 브로드캐스트 도메인을 분할하여 브로드캐스트 트래픽으 로 인한 장비들의 성능저하를 막고자 함 서로 다른 VLAN에 속한 장치들은 통신이 불가능하여 보 안에 도움 서로 다른 VLAN이 통신하려면 라우터나 L3 스위치가 필 요 스위치의 모든 포트는 기본 VLAN 1번에 속해 있음

VLAN 확인 기본 VLAN 1번 사용 가능한 VLAN 1~1001번 예약된 VLAN 1002~1005번 Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - - 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - - ibm - 0 0 기본 VLAN 1번 사용 가능한 VLAN 1~1001번 예약된 VLAN 1002~1005번

VLAN 설정과 Trunk 설정

VLAN 설정 VLAN 생성 각 포트에 VLAN 할당 SW1(config)#vlan 10 SW2(config)#vlan 10 SW1(config-vlan)#name VLAN_10 SW1(config-vlan)#exit SW1(config)#vlan 20 SW1(config-vlan)#name VLAN_20 SW1(config)#vlan 30 SW1(config-vlan)#name VLAN_30 SW1(config)#interface FastEthernet0/1 SW1(config-if)#switchport access vlan 20 SW1(config-if)#exit SW1(config)#interface FastEthernet0/2 SW1(config-if)#switchport access vlan 10 SW1(config)#interface FastEthernet0/3 SW1(config-if)#switchport access vlan 30 SW2(config)#vlan 10 SW2(config-vlan)#name VLAN_10 SW2(config-vlan)#exit SW2(config)#vlan 20 SW2(config-vlan)#name VLAN_20 SW2(config)#vlan 30 SW2(config-vlan)#name VLAN_30 SW2(config)#interface FastEthernet0/2 SW2(config-if)#switchport access vlan 10 SW2(config-if)#exit SW2(config)#interface FastEthernet0/3 SW2(config-if)#switchport access vlan 30 SW2(config)#interface FastEthernet0/4 VLAN 생성 각 포트에 VLAN 할당

Trunk 설정 하나의 회선으로 여러 개의 VLAN을 사용하기 위 해 Trunk 설정 필요 SW1은 3개의 VLAN을 가짐 SW2는 2개의 VLAN을 가짐 SW1과 SW2는 하나의 회선으로만 연결 Trunk 설정 후에는 같은 VLAN끼리 통신 가능 트렁크가 선언된 회선은 VLAN ID를 구분하지 않고 VLAN 프레임을 전송 SW1(config)#interface FastEthernet0/4 SW1(config-if)#switchport mode trunk SW2(config)#interface FastEthernet0/1 SW2(config-if)#switchport mode trunk

Trunk 확인 802.1q : 트렁크에 사용되는 프로토콜 SW1(config)#do show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/4 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/4 1-1005 Port Vlans allowed and active in management domain Fa0/4 1,10,20,30 Port Vlans in spanning tree forwarding state and not pruned 802.1q : 트렁크에 사용되는 프로토콜

Native VLAN 설정 VLAN의 3가지 프레임 형태 두가지 트렁크 프로토콜 VLAN 정보가 없는 프레임 우선순위 프레임 802.1q: L2, L3장치에서 모두 사용 가능 VLAN ID가 없는 프레임을 수신하면 네이티브 VLAN아이디 를 부여하여 전송 ISL(Inter-Switch Link): 시스코 전용 프로토콜로 L3장치 에서만 사용 가능 VLAN ID가 없는 프레임을 수신하면 프레임을 폐기

Native VLAN 변경 VLAN을 설정하지 않은 PC가 섞여있는 경우

Native VLAN 변경 기본 Native VLAN은 1번 기본 Native VLAN을 10번으로 변경하고자 함 SW1(config)#int fa0/4 SW1(config-if)#switchport trunk native vlan 10 SW2(config-if)#int fa0/1 SW2(config-if)#switchport trunk native vlan 10

DTP DTP(Dynamic Trunking Protocol) 트렁크 설정 명령어 상대 스위치와 트렁크 관련 협상 및 트렁크 캡슐화를 협상하기 위한 프로토콜 802.1q와 ISL 프로토콜을 모두 지원 트렁크 설정 명령어 Switchport mode trunk: 상대 포트가 어떠한 설정으로 되어 있든지 자신은 트렁크로 동작한다 Switchport mode dynamic auto: 상대방의 포트에 on, desirable일 경우에만 트렁크로 동작한다 Switchport mode dynamic desirable: 상대측 포트가 on, auto, desirable일 경우에만 트렁크 포트로 동작 Switchport nonegotiate: DTP 패킷을 전송하지 않도록 설정 Switchport trunk allowed vlan: 특정 VLAN만 트렁크를 사용 할 수 있도록 설정

Inter-VLAN 서로 다른 VLAN에 속한 PC가 서로 통신할 수 있도 록 설정하는 것. L3 장치(라우터)를 이용

Inter-VLAN VLAN의 개수만큼 라우터의 인터페이스를 할당하는 방식  더 효율적인 방식은? Switch(config)#vlan 10 Switch(config-vlan)#name Infocomm Switch(config-vlan)#exit Switch(config)#vlan 70 Switch(config-vlan)#name Security Switch(config)#interface FastEthernet0/1 Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#interface FastEthernet0/2 Switch(config-if)#switchport access vlan 70 Switch(config)#interface FastEthernet0/3 Switch(config)#interface FastEthernet0/4 Router(vlan)#vlan 10 name Infocomm VLAN 10 modified: Name: Infocomm Router(vlan)#vlan 70 name Security VLAN 70 modified: Name: Security Router(config)#interface FastEthernet0/0 Router(config-if)#ip address 1.1.1.1 255.255.255.0 Router(config-if)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#ip address 2.2.2.1 255.255.255.0 VLAN의 개수만큼 라우터의 인터페이스를 할당하는 방식  더 효율적인 방식은?

라우터-온-어-스틱 라우터-온-어-스틱(router-on-a-stick) 스위치와 라우터가 연결되어 있는 구간에 트렁크를 설정 하고 Inter-VLAN을 설정하여 한 개의 인터페이스만으로 통신이 가능하도록 하는 방식 VLAN별로 라우터 인터페이스를 할당하기 위해 서브인터 페이스라는 가상 인터페이스를 사용 SVI(Switch Virtual Interface)

라우터-온-어-스틱

라우터-온-어-스틱 스위치 1에 트렁크 설정 SW1(config)#interface FastEthernet0/5 SW1(config-if)#switchport mode trunk 라우터에 가상인터페이스 설정 Router(config)#interface FastEthernet0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#int fa0/0.10 Router(config-subif)#encapsulation dot1q 10 Router(config-subif)#ip add 1.1.1.1 255.255.255.0 Router(config-subif)#exit Router(config)#int fa0/0.20 Router(config-subif)#encapsulation dot1q 20 Router(config-subif)#ip add 2.2.2.1 255.255.255.0 Router(config)#int fa0/0.30 Router(config-subif)#encapsulation dot1q 30 Router(config-subif)#ip add 3.3.3.1 255.255.255.0

라우터-온-어-스틱 Router(config)#do show ip int brief Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset up up FastEthernet0/0.10 1.1.1.1 YES manual up up FastEthernet0/0.20 2.2.2.1 YES manual up up FastEthernet0/0.30 3.3.3.1 YES manual up up Router(config)#do show ip route Gateway of last resort is not set 1.0.0.0/24 is subnetted, 1 subnets C 1.1.1.0 is directly connected, FastEthernet0/0.10 2.0.0.0/24 is subnetted, 1 subnets C 2.2.2.0 is directly connected, FastEthernet0/0.20 3.0.0.0/24 is subnetted, 1 subnets C 3.3.3.0 is directly connected, FastEthernet0/0.30

Port-Security 설정 Port-Security란? L2보안 : 스위치에서 L2의 MAC주소를 기반으로 프레임 수신 여부를 설정하는 것 사례 스위치의 어떤 한 포트가 학습할 수 있는 맥주소의 개수를 제 한 가능 맥주소를 수동으로 입력한 후 해당 맥주소를 가지는 장치만 스위치를 통해 프레임을 전송할 수 있도록 설정 가능

Port-Security 설정 사례 1 스위치의 fa0/1의 맥주소 학습 개수를 1로 줄이고, 만일 1개 이상의 맥주소가 학습되면 fa0/1 포트가 다운되도록 설정해보자. Switch(config)#interface FastEthernet0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security violation shutdown

Port-Security 설정 사례 2 PC1의 맥주소를 수동으로 등록하고 PC1만 PC0와 통신 할 수 있도록 설정해보자 Switch(config-if)#int fa0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security mac-address 00E0.B0BD.828D Found duplicate mac-address 00e0.b0bd.828d. Switch(config-if)#switchport port-security violation shutdown

Port-Security 설정 Switchport port-security violation [restrict|protect|shutdown] Protect: 위반하더라도 현 상태를 유지 Restrict: protect 기능을 수행하면서 로그메시지를 출력 Shutdown: 포트 자체를 비활성화 맥주소는 쉽게 바꿀 수 있기 때문에 맥주소만을 이 용한 포트보안은 신뢰하기 어려움

요약 VLAN 생성 SW1(config)#vlan 10 SW1(config-vlan)#name VLAN_10 SW1(config-vlan)#exit SW1(config)#vlan 20 SW1(config-vlan)#name VLAN_20 SW1(config)#vlan 30 SW1(config-vlan)#name VLAN_30 트렁크 설정 SW1(config)#interface FastEthernet0/4 SW1(config-if)#switchport mode trunk Native VLAN을 변경 SW2(config-if)#int fa0/1 SW2(config-if)#switchport trunk native vlan 10 포트에 VLAN 할당 SW1(config)#interface FastEthernet0/1 SW1(config-if)#switchport access vlan 20 SW1(config-if)#exit SW1(config)#interface FastEthernet0/2 SW1(config-if)#switchport access vlan 10 SW1(config)#interface FastEthernet0/3 SW1(config-if)#switchport access vlan 30

요약 라우터에 Inter-VLAN 설정 Router(vlan)#vlan 10 name Infocomm VLAN 10 modified: Name: Infocomm Router(vlan)#vlan 70 name Security VLAN 70 modified: Name: Security Router(config)#interface FastEthernet0/0 Router(config-if)#ip address 1.1.1.1 255.255.255.0 Router(config-if)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#ip address 2.2.2.1 255.255.255.0 라우터에 가상인터페이스 설정 Router(config)#interface FastEthernet0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#int fa0/0.10 Router(config-subif)#encapsulation dot1q 10 Router(config-subif)#ip add 1.1.1.1 255.255.255.0 Router(config-subif)#exit Router(config)#int fa0/0.20 Router(config-subif)#encapsulation dot1q 20 Router(config-subif)#ip add 2.2.2.1 255.255.255.0 Router(config)#int fa0/0.30 Router(config-subif)#encapsulation dot1q 30 Router(config-subif)#ip add 3.3.3.1 255.255.255.0

8장 실습과제 실습1. 그림 8-4의 토폴로지에 VLAN을 설정하여 같은 VLAN끼리만 통신할 수 있도록 설정하시오. 실습2. 그림 8-12의 토폴로지에 VLAN간 라우팅 을 설정하여 모든 PC간에 통신이 가능하도록 설정 하시오. 실습3. 임의의 복잡한 토폴로지를 설정하고 복수 의 VLAN을 설정하고 라우터를 이용하여 VLAN간 에도 통신이 가능하도록 설정하시오.

8장 실습과제 실습 4. 다음 토폴로지와 같이 VLAN을 설정하고 모든 PC들간에 통신이 가능하도록 설정하시오.