4조 3장 vlan
개요 VLAN의 개요 VLAN의 유형 VLAN 트렁킹 스위치가 포함된 네트워크 VLAN 을 설정 일반적인 문제 및 해결 방법
Vlan 이란? VLAN은 논리적으로 분리된 IP 서브네트워크이다. 만약 VLAN을 설정하게되면 두 대 이상의 컴퓨터가 물리적으로 같은 스위치에 연결되어 있다고 해서 서로 통신이 가능한 게 아니라, 같은 VLAN ID로 설정된 포트끼리 통신이 가능한 것입니다.
VLAN 이점 보안 비용절감 브로드캐스트 스톰 감소 이러한 VLAN을 사용하여 얻는 이점으로는 이러한 것들이 있습니다. 먼저 VLAN을 분리함으로써 VLAN ID 가 다른 장치와는 통신이 불가능 하므로 보안이 된다는 이점이 있습니다. 다음으로 VLAN을 사용하여 하나의 링크만을 이용해서도 여러 개의 네트워크 정보를 가질수 있기에 비용절감의 이점이 있습니다. 또 하나의 이점으로 브로드캐스트 스톰 감소 라는게 있는데 브로드캐스트 스톰이란 많은 양의 브로드 캐스트가 모든 네트워크 세그먼트를 통해 동시에 전송되는 올바르지 않은 네트워크 상태를 말합니다. 이렇게 VLAN은 네트워크 요구사항이 비슷한 사용자끼리 VLAN을 공유하기 때문에 네트워크 관리를 용이하게 합니다.
일반 범위 / 확장 범위 vlan 일반범위 VLAN 1 ~ 1005까지의 VLAN ID로 구분 1002~1005까지의 ID는 토큰 링과 FDDI VLAN 대하여 예약 플래시 메모리에 vlan.dat 파일로 저장됨 확장범위 VLAN 1006~4094까지의 VLAN ID로 구별된다. 일반 VLAN보다 적은 옵션을 가짐 running configuration file 저장됨 // 질문할시VLAN ID는 12비트로 0~4095까지 4096개의 ID가 있지만,// 사용하는 VLAN의 범위로는 다음과 같은 범위가 있습니다. 일반범위는 1~1005 까지 이지만, 1002~1005 까지의 ID는 토큰링과 FDDI VLAN에 대하여 이미 할당 되어있습니다. 그리고 1번과 1002~1005 까지의 ID 는 자동으로 할당되는 것으로 제거 할수 없습니다. 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default 일반범위 VLAN의 설정은 vlan.dat라 불리는 VLAN 데이터베이스 파일에 저장된다. vlan.dat 파일은 스위치의 플래시 메모리에 위치한다. --------------------------------- 확장범위는 1006~4094 까지이며 일반 범위 VLAN 보다 적은 VLAN 기능을 지원합니다. 확장범위의 설정은 실행 설정 파일 (running configuration file)에 저장된다.
데이터 vlan 사용자가 발생한 트래픽만을 전송하도록 설정되어진 VLAN 사용자 VLAN 이라고 불림 VLAN은 보이스-기반의 (voice-based) 트래픽이나 스위치를 관리하는 트래픽을 전송할 수도 있지만, 이 트래픽은 데이터 VLAN의 일부가 될 수는 없다. 사용자 VLAN 이라고 불림 VLAN은 보이스-기반의 (voice-based) 트래픽이나 스위치를 관리하는 트래픽을 전송할 수도 있지만, 이 트래픽은 데이터 VLAN의 일부가 될 수는 없다. 이것은 데이터 트래픽으로부터 음성과 관리 트래픽을 분리하는 일반적인 방법이다.
디폴트 VLAN 스위치 포트들은 스위치가 초기 시동을 시작한 후 디폴트 vlan에 속함
네이티브 VLAN 802.1Q 트렁크 포트에 할당 된다. 태그되지 않은 트래픽을 전송
매니지먼트 VLAN 스위치의 관리 기능에 접근하는 수단으로 정의한 VLAN 디폴트 매니지먼트 VLAN 은 1번
보이스 VLAN 음성 품질을 위해 보장된 대역폭 필요 다른 종류의 네트워크 트래픽보다 전송순위가 높아야 함 다른 종류의 네트워크 트래픽보다 전송순위가 높아야 함 150ms 보다 낮은 지연시간을 가져야함
보이스 VLAN
네트워크 트래픽 유형 1.Ip텔레포니 2. Ip멀티캐스트 3. 일반데이터 – 비즈니스에서 일반적으로 쓰이는 파일 생성과 저장 - 보이스 트래픽,시그널링 트래픽 2. Ip멀티캐스트 – 멀티캐스트 그룹으로 보내지는 트래픽 3. 일반데이터 – 비즈니스에서 일반적으로 쓰이는 파일 생성과 저장 4. 스캐빈저 클래스 – 특정 애플리케이션에 최선형 서비스보다는 낮은 수준의 서비스를 지원 IP 텔레포니 트래픽 유형은 시그널링 트래픽과 보이스 트래픽이다. *시그널링 : 통신을 목적으로 물리 매체 상으로 전송 신호를 전송하는 프로세스. 보이스트래픽은 보이스valn과 결합되어야한다. IP 멀티캐스트 트래픽은 하나의 특정 출발지 주소로부터, 또는 다수의 출발지로 부터 하나의 패킷을 목적지 멀티캐스트 그룹으로 보내집니다. //질문시 대답 -- 라우터는 멀티캐스트 트래픽이 요구하는 네트워크 지역으로만 멀티캐스트 트래픽이 전송되도록 설정되어야 한다.// 일반데이터는 일반적으로 쓰이는 파일 생성과 저장, 프린트 서비스, 이-메일 데이터베이스 접속, 그리고 그 밖의 공유 네트워크 애플리케이션과 관련되어 있다. VLAN을 이용하여 사용자의 특정한 요구를 보다 쉽게 관리하기 위해 기능이나 지역에 따라 분할할 수 있다. 다음으로 스캐빈저 클래스는 일부 특정 애플리케이션에 최선형 서비스보다는 낮은 수준의 서비스 (less-than-best-effort service)를 지원하도록 의도되어 있다. 이 클래스에 할당된 애플리케이션은 기업의 목표를 위해 기여하지 않는, 보통 오락 지향적인 경우가 많다.
정적 VLAN/동적 vlan 스위치에 있는 포트는 수동으로 VLAN이 할당 됩니다. 정적 VLAN은 CLI(명령어치는거)를 사용하여 설정합니다. 동적 VLAN이 있는데 이것은 직접 설정해주는것이아니라, 장치가 어느 스위치 포트에 연결되면 VMPS가 가지고있는 장치의 MAC주소를 확인하고 그 MAC 주소에 해당하는 VLAN을 할당하는 방식이다.
보이스 VLAN 포트 멤버쉽 모드 그림에서 VLAN 150은 보이스 VLAN이며, VLAN 20은 데이터 VLAN으로 설정됩니다. 명령어를 보시면 mls qos trust cos 라는게 있는데 이 명령어는 보이스 트래픽이 우선순위를 가지는 트래픽으로 여겨지도록 해줍니다. 결과창을 보시면 데이터 VLAN은 20 번이고, Voice VLAN 이 150 임을 볼수있습니다.
Vlan이 없는 네트워크 브로드 캐스트 프레임을 받으면 스위치의 다른 모든 포트로 브로드 캐스트 프레임을 모두 전송됨 네트워크는 하나의 브로드캐스트 도메인이 되는 것 VLAN이 없는 네트워크에서는 브로드 캐스트 프레임을 받게되면 다른 모든 포트로 브로드 캐스트 프레임을 전송하게 됩니다.
Vlan이 있는 네트워크 스위치에 VLAN이 설정되면, 특정한 VLAN에 있는 호스트로부터 발생된 유니캐스트, 멀티캐스트, 브로드캐스트 트래픽의 전송은 해당 VLAN 상에 있는 장치로만 한정된다. 그러나, VLAN을 이용하여 브로드캐스트 프레임을 전송하게되면 같은 VLAN ID상의 장치로만 전송이 됩니다.
INTRA-VLAN INTRA-VLAN은 같은 VLAN내의 통신을 뜻하며, 먼저 브로드캐스트 프레임으로 ARP 요청을 보내고, 이 응답은 PC4의 MAC주소를 포함하고 있습니다. PC1은 이제 PC4의 목적지 MAC 주소를 가지고 PC4의 MAC 주소를 목적지로 해서 유니캐스트 프레임을 전송합니다.
Inter-vlan 다른 VLAN에 있는 장치와 통신하는 것을 VLAN 간 (inter-VLAN)의 통신이라 부릅니다. VLAN 10에 있는 PC1이 VLAN 20에 있는 PC5와 통신하려고 한다. PC1은 디폴트 게이트웨이 R1의 MAC 주소를 위해 ARP 요청 (ARP request) 프레임을 전송합니다. 라우터 R1은 VLAN 10이 설정된 인터페이스에서 ARP 응답 (ARP reply) 프레임을 전송합니다. 이 ARP 응답 메시지는 디폴트 게이트웨이의 MAC 주소를 포함하고 있습니다. PC1은 디폴트 게이트웨이의 MAC 주소를 가지고 유니캐스트 프레임을 만들게 됩니다.
VLAN과 3 계층 브로드 캐스트 도메인 제어
트렁크란? 트렁크란 하나 이상의 VLAN을 서비스하는 두 개의 네트워크 장치 간의 점대점 링크 VLAN 트렁크는 스위치와 라우터 사이의 VLAN 선로로서 역할
VLAN 트렁크가 없을경우/있을경우
VLAN 상세 필드 이 그림은 VLAN 태그 필드 입니다. VLAN 태그 필드는 EtherType 필드와 태그 제어 정보 필드, 그리고 FCS필드로 구성되어 있습니다. 먼저 EtherType 필드는 16진수로, 현재의 프레임이 802.1Q 프레임이라는 것을 표시하며 항상 값이 0x8100입니다. 이필드를 TPID(Tag ProtocolIdentifier) 라고도 합니다. TPID로 설정된 EtherType 필드를 가지고, 프레임을 수신한 스위치는 태그 제어 정보 필드에 있는 정보를 살펴보게 됩니다. 태그 제어 정보 필드에는 사용자 우선순위와 CFI 비트, 12비트의 VID가 있습니다. 사용자 우선순위 – 프레임의 우선순위를 표시합니다. 이것을 802.1Q 우선순위 필드 또는 CoS 필드라고 합니다. 0에서 7사이의 값을 가지며 값이 클수록 우선순위가 높습니다. 음성이나 동영상 데이터를 전송할 때 이 값을 크게 지정하여 우선순위를 높이고 스위치에서 다른 프레임보다 빨리 처리되게 할 수 있습니다. CFI - Canonical format이란 한 바이트 내에서의 비트순서를 표시합니다. 이더넷에서는 canonical order(즉 little endian) 방식을 사용하고, token ring에서는 non-canonical 순서를 사용합니다. 이러한 비트순서는 ARP와 같은 데이터 영역에 목적지 하드웨어 주소 등의 MAC 주소가 포함되는데 이 MAC주소를 embedded MAC 주소라고 부릅니다. /////////물었을때 *CFI가 항상 embedded MAC 주소의 비트순서가 big-endian인지 little-endian인지를 표시하지는 않는다.*/////////////// CFI=0값이 canonical format이고, CFI = 1이 non-canonical format입니다. 이더넷의 경우 CFI=0 입니다. 스위치가 정적 VLAN의 액세스 모드에 설정된 포트로 프레임을 받을 때, 스위치는 프레임을 분석하고 VLAN 태그를 집어넣고, FCS를 다시 계산하여, 태그가 붙은 프레임을 트렁크 포트로 전송합니다.
네이티브 VLAN과 802.1Q 트렁킹 네이티브 VLAN으로 설정된 포트에 태그된 프레임이 전송되면 스위치에서 그 프레임을 폐기하게 됩니다. 트렁크 포트가 태그되지 않은 프레임을 받으면, 이 프레임을 네이티브 VLAN에 전송합니다. 디폴트 네이티브 VLAN은 VLAN 1 이고, 802.1Q 트렁크 포트를 설정할 때, 포트 VLAN ID (PVID)는 네이티브 VLAN ID의 값에 따라 할당됩니다. 예를 들어, VLAN 99가 네이티브 VLAN으로 설정되면, PVID는 99이고, 모든 태그되지 않은 트래픽은 VLAN 99로 전송됩니다. 네이티브 VLAN이 설정되지 않으면, PVID 값은 VLAN 1로 맞추어집니다. (그림 넘기기) 다음은 native VLAN을 99번으로 설정하는 명령어 입니다.
트렁크 동작 방법 트렁크 링크를 통하는 프레임은 프레임이 도착하는 액세스 포트의 VLAN ID를 가지고 태그됩니다. 그림에서, VLAN 10에 있는 PC1과 VLAN 30에 있는 PC3은 스위치 S2로 브로드캐스트 프레임을 보냅니다. 스위치 S2는 적절한 VLAN ID를 가지고 이 프레임에 태그하고, 그 후 트렁크를 통해 스위치 S1로 이 프레임을 전송합니다. 스위치 S1은 프레임에서 VLAN ID를 읽어서 그것을 VLAN 10과 VLAN 30을 지원하도록 설정된 포트로 각각 브로드캐스트 합니다. 스위치 S3가 이 프레임들을 수신하여 VLAN ID를 떼어낸 후 VLAN 10 상의 PC4와 VLAN 30 상의 PC6로 태그되지 않은 프레임의 형태로 전달한다.
트렁킹 모드 먼저 DTP에대해 설명드리겠습니다. DTP란 상대 스위치와 트렁크에 관련된 사항을 협상할 때 사용 되는 프로토콜입니다, 또한 DTP신호는 주기적으로 광고되어집니다. 트렁킹 모드에 대해서 설명드리겠습니다. 처음에 다이나믹 오토는 스위치 포트의 DTP 모드가 다이내믹 오토이면 상대측 포트가 트렁크 또는 디자이어러블인 경우에만 트렁크로 동작합니다. 그 다음 다이내믹 디자이어러블 스위치 포트의 디폴트 DTP 모드입니다. 이 모드에서는 상대 포트를 트렁크로 동작시키시키기 위해 DTP패킷을 전송하지만, 상대측 포트가 트렁크, 디자이어러블, 오토인 경우에만 자신도 트렁크로 동작합니다. 상대방이 액세스모드일경우 자신도 액세스 모드로 동작되어 집니다. 그다음 트렁크모드에 대해 설명 드리겠습니다. 상대방 포트와 상관없이 자신은 트렁크 포트로 동작합니다. 상대 포트를 트렁크 포트로 동작시키기 위한 DTP패킷을 전송합니다. 더 이상 DTP 신호를 보내지 않기 위해 설정하는 명령어는 switchport nonegotiate 이고 또 스위치 포트가 트렁크 모드일때 상대에게 DTP 패킷을 전송하지 않게 하는 옵션입니다. 이 명령어는 다이나믹 모드에서는 사용할수없습니다. (오토.디자이어블) 다음표는 DTP 상호동작을 나타내는 표입니다. AUTO + AUTO = Access Desirable + AUTO = Trunk Trunk + Auto = Trunk Access + Auto = Access
VLAN과 트렁크 설정개요
Vlan 설정 다음의 명령어를 이용하여 VLAN을 추가할 수 있습니다.
Vlan추가 Show vlan brief = vlan.dat파일의 설정 요소를 보여주는 명령어 입니다.
Vlan설정-포트할당 Vlan을 생성한후 vlan에 하나 또는 그이상의 포트를 할당한다.
Vlan설정-포트할당
Vlan관리-명령어1 다음의 명령어들을 이용하여 VLAN에 관한 설명들을 확인할 수 있습니다.
Vlan관리-명령어1 Show VLAN name student명령어를 입력하니 vlan이름이 student인 vlan20이 표시 되었습니다. Show VLAN summary명령어는 설정된 모든 vlan의 수를 나타냅니다. 나와있는 결과는 1,1002~1005 예약되어있는 vlan과 student로 설정되어있는 vlan20의 개수인 6을 나타냅니다.
Vlan관리-명령어2 다음의 명령어들을 사용하여 인터페이스에 관한 설명들을 확인할 수 있습니다.
Vlan관리-명령어3 Vlan을 만들고 vlan에 포트를 할당하는 명령어를 알아봤으면 이제 디폴트 vlan으로 재할당하는 방법을 알아보겠습니다.
Vlan관리-명령어3 Fa0/18인터페이스 모드로 들어가서 no switchport access vlan명령어를 사용하여 할당된 vlan을 디폴트 vlan1로 재할당하였습니다. Show vlan brief를 사용하여 확인할 수 있습니다. Vlan20에 할당된 포트 fa0/18이 사라진걸 볼수 있습니다.
Vlan관리-명령어3 Switchport access vlan번호를 사용하여 f0/11포트에 vlan20을 할당 시킨것을 볼수있다.
Vlan관리-명령어4 Vlan삭제 명령어 – no VLAN VLANID No vlan20을 사용하여 vlan20을 삭제한후 결과를 보면 vlan20이 사라진것을 볼수 있습니다.
802.1q 트렁크 설정 명령어 스위치 포트에 트렁크를 설정하려면 switchport mode trunk명령어를 사용한다. Switchport turnk native vlan은 네이티브 vlan으로 지정해주는 명령어이다 .
802.1q 트렁크 설정 명령어 위의 토폴로지에서 스위치 s1에 명령어를 주는 내용입니다. 스위치 s1의 포트 f0/1에 트렁크모드를 설정하고 트렁크된 링크에 네이티브 vlan을 99로 설정하는 내용 입니다.
802.1q 트렁크 설정 명령어1 이전의 토폴로지에서의 스위치 s1의 포트 f0/1의 정보를 보여준다 트렁크모드가 트렁크로 설정되어진것을 보여줍니다. 네이티브 vlan은 99이고 매니지먼트 vlan또한 99로 설정됨을 보여줍니다. 활성화된 트렁크 vlan은 10 20 30임을 보여준다.
802.1q 트렁크 설정 명령어2 No switchport trunk allowed vlan명령어는 트렁크 인터페이스에 설정되어있는 모든 vlan을 리셋시켜준다. No switchport trunk native vlan은 네이티브 vlan을 vlan1로 리셋시켜준다. Switchport mode access는 트렁크 포트인터페이스를 정적 액세스 모드 포트로 리셋시켜준다.
802.1q 트렁크 설정 명령어2 포트 f0/1에서 리셋 명령어를 통해 트렁크 설정이 리셋되어짐을 볼수 있다. 네이티브 vlan은 1로 리셋되었음을 볼수 있다.
802.1q 트렁크 설정 명령어2 Switchport mode access명령어를 통해 fa0/1포트를 정적 모드로 바꾸어 졌음을 볼수 있다. 트렁크 모드였을때는 administrative mode 가 trunk라고 적혀있었다.
3.4트렁크와 관련된 일반적인 문제 1.네이티브 VLAN 불일치 2. 트렁크 모드 불일치 3. 트렁크에 허용된 VLAN 4. 서로 다른 네트워크상 ip 스위치 인프라에 VLAN과 트렁크를 설정할때 생기는 문제에 관련해서 알아보겠습니다. 일반적으로 네이티브 vlan불일치, 트렁크 모드 불일치, vlan과 ip서브넷과 트렁크에 허용된 vlan등이 있습니다. 네이티브 vlan 불일치에 대한 경우 트렁크포트가 서로 다른 네이티브 vlan으로 설정되는 경우입니다. 예를 들어 하나의 포트는 vlan99로, 다른 포트는 vlan 100이 정해지는 경우입니다. 이 결과는 제어 트래픽과 관리 트래픽을 잘못된 방향으로 가게하고, 보안상의 취약점이 발생하게 됩니다. 트렁크 모드 불일치 다음은 vlan과 ip서브넷입니다. 종단 사용자 장치가 잘못된 ip 주소로 설정되어서 네트워크와의 연결이 끊어지게됩니다. vlan 내의 장치들은 ip 설정이 올바르게 되어 있어야합니다. 트렁크에 허용된 vlan은 트렁크에 허용된 vlan의 리스트가 현재의 vlan 트렁킹 요구사항에 맞지 않게 업데이트 되었을 경우입니다. 이 경우는 원하지 않는 트래픽이 트렁크를 통해 보내지거나 아무 트래픽도 보내지지않게됩니다.
3.4트렁크와 관련된 일반적인 문제 1 네이티브 VLAN 불일치 네이티브 vlan 불일치에 대하여 알아보도록 하겠습니다. 이 토폴로지에서는 스위치 s1과 새롭게 설정된 스위치 s3가 연결되어 올바르게 보이지만 PC4에서는 서버에 연결할수없다는 에러가 뜹니다. 이때 스위치 s3의 설정을 확인해보면
3.4트렁크와 관련된 일반적인 문제 1 네이티브 VLAN 불일치 show interfaces f0/3 switchport명령을 사용하여 인터페이스를 살펴봅니다. 이 때 네이티브 vlan이 vlan 100으로 설정되어 동작하지 않는다고 표시되어 있습니다. 아래쪽을 보시면 설정된 vlan이 10과 99라고 명시되어있습니다. 네이티브 vlan 불일치는 트렁크 포트가 서로다른 vlan으로 설정되어있는 경우이기 때문에 트렁크포트 f0/3에 네이티브 vlan을 vlan99로 재설정 하여야합니다. 그리고 확인을 해보면 네이티브 vlan이 99로 설정되었고, PC4가 통신이 됨을 보여줍니다.
3.4트렁크와 관련된 일반적인 문제 2 트렁크모드 불일치 다음은 트렁크 모드 불일치에 대하여 알아보도록 하겠습니다. 이 토폴로지에서는 스위치 s1과 s3가 트렁크모드가 on으로 설정되어있지만 PC4에서는 웹서버와 연결되지 않고있습니다 이 경우 각 스위치의 트렁크 포트상태를 확인하여야합니다.
3.4트렁크와 관련된 일반적인 문제 2 트렁크모드 불일치 show interfaces trunk명령을 사용하여 스위치 s1의 트렁크 포트상태를 확인합니다. 확인을 해보면 인터페이스 f0/3에 트렁크가 없음을 알수있습니다. f0/3을 확인해 보면 포트가 오토 모드임을 확인할수 있습니다. 스위치 s3 역시 트렁크포트가 없고 auto모드임을 확인할 수 있습니다.
3.4트렁크와 관련된 일반적인 문제 2 트렁크모드 불일치 이 경우 스위치 s1,s3의 패스트이더넷 f0/3포트에 트렁크모드를 재설정해야 합니다. 그 결과 인터페이스 f0/3이 트렁크로 재설정되어진 것을 확인할 수 있습니다.
3.4트렁크와 관련된 일반적인 문제 3 잘못된 vlan목록 잘못된 vlan 목록에 대하여 알아보도록 하겠습니다. 이 토폴로지에서는 PC5가 이메일 서버에 접속할 수 없다는 에러가 뜹니다. 문제 해결을 위해 스위치 설정을 확인해보면
3.4트렁크와 관련된 일반적인 문제 3 잘못된 vlan목록 스위치 s3에서 인터페이스 fa0/3이 vlan 10, 20, 99를 지원하도록 올바르게 설정되어있습니다. 하지만 스위치 s1의 인터페이스 f0/3에서는 인터페이스 f0/1과 f0/3이 vlan 10과 99만 사용하도록 되어 있습니다. 이 경우 트렁크를 통해 전송되는 트래픽을 트렁크에 사용하게 하는 명령어를 써서 vlan을 10, 20, 99로 포트를 재설정 해줍니다. 그리하여 PC5는 학생 이메일 서버연결이 가능하게 됩니다.
3.4트렁크와 관련된 일반적인 문제 4 Vlan과 ip서브넷 vlan과 ip서브넷에 대하여 알아보도록 하겠습니다. 이런 경우 오류가 있는 장치를 점검하여 서브넷 주소를 바르게 바꿔주면 됩니다. 토폴로지를 보면 PC1이 웹서버와 연결할 수 없는 에러가 뜹니다. PC1의 ip주소를 보면 172.172.10.21로 설정되어 있는것을 확인할 수 있습니다. 이때 PC1의 ip주소를 172.17.10.21로 올바르게 재설정해주면 통신이 되는것을 확인할 수 있습니다.
감사합니다.