네트워크 망분리 구현 및 테스트
VLAN (Virtual LAN)
VLAN
- L2 Switch부터 제공되는 가상의 LAN을 구성하는 기눙
- 논리적인 네트워크 분리(Broadcast Domain) 기술
> 물리적인 분할 -> 물리적인 장비를 통한 분리
VLAN 사용 목적
- 네트워크 (Broadcast Domain) 분리
> Boradcast Traffic 축소
- 보안
> 네트워크가 분리되므로 정책을 통해 허용된 대상만 접근하게 함
- 유연성
> 기존 topology의 큰 물리적인 변화가 없어도 네트워크 구조를 변경할 수 있음
VLAN 구성 방식
End to End VLANs
- 물리적인 위치와 관계없이 업무별 데이터 종류에 따라 VLAN을 할당하는 방식
- VLAN이 전체 스위치 네트워크에 걸쳐져 있는 것
- 사용자가 물리적인 위치를 이동하여도 동일한 네트워크에 소속될 수 있음
Local VLANs
- Access Layer에 따라 모든 네트워크를 별도의 VLAN으로 분리하는 방식
- 사용자가 물리적인 위치를 이동하면 다른 네트워크에 소속 됨
VLAN 할당 방식
Static VLAN
- 관리자가 직업 모든 포트에 VLAN에 관련된 정보를 설정
- 기본적인 설정 방식
- 장점 : 한 장비의 문제가 전체 네트워크에 영향을 미치지 않음
- 단점 : 모든 관리와 설정을 관리자가 직접 수행해야 함
Dynamic VLAN
- VLAN 할당을 수행하는 외주 장비(프로그램) 등을 사용하여 VLAN에 관련된 정보를 자동으로 설정
- 장점 : VLAN을 사용하는 장비가 접속되었을 때 자동으로 VLAN 정보가 설절됨, 이동이 잦은 업무 환경일 경우 효율적임
- 단점 : VMPS에 장애가 발생하면 VLAN을 이용하는 모든 네트워크 서비스에 장애가 발생함
Native VLAN
Native VLAN
- VLAN 정보가 없는 프레임을 전송하는 VLAN
- VLAN을 구성한 모든 Switch의 Native VLAN의 번호가 일치해야 함 -> Looping 발생
사용 목적
- Switch와 Hub가 같이 사용되는 통신 환경에서 호환성을 제공
- Voice 트래픽 전달
VLAN 설정
VLAN 설정 단계
VLAN 생성
SW1(config)# vlan 10 //통신용 VLAN10 생성
SW1(config-vlan)# name v10 //별칭 v10 설정
SW1(config)# vlan 20 //통신용 VLAN20 생성
SW1(config-vlan)# name v20 //별칭 v20 설정
SW1(config)# vlan 77 //Native용 VLAN77 생성
SW1(config-vlan)# name native //별칭 native 설정Access port 설정
SW1(config)# int fa 1/0 //access port로 이동
SW1(config-if)# switchport mode access //access mode 설정
SW1(config-if)# switchport access vlan 10 //port에 VLAN 번호 설정
SW1(config)# int fa 1/2 //access port로 이동
SW1(config-if)# switchport mode access //access mode 설정
SW1(config-if)# switchport access vlan 20 //port에 VLAN 번호 설정Trunk port 설정
SW1(config)# int fa 1/10 //trunk port로 이동
SW1(config-if)# switchport mode trunk //trunk mode 설정
SW1(config-if)# switchport trunk encapsulation dot1q //802.1q 프로토콜 설정
SW1(config-if)# switchport trunk allowed vlan 1,10,20,1002-1005 //trunk port로 통신을 허용할 VLAN 설정
SW1(config-if)# switchport trunk native vlan 77 //native VLAN 변경
VLAN Routing
Inter VLAN
- VLAN으로 분리된 Broadcast Domain간 통신을 가능하게 함
> Multi Layer Switch 또는 Routing을 이용하여 VLAN을 Routing 하는 기술
- 조건 : Routing 기능을 지원하는 장비가 필요함
Router Inter VLAN 설정
R1(config)# int fa 0/0
R1(config-if)# no shutdown
R1(config)# int fa 0/0.10
R1(config-if)# encapsulation dot1q 10
R1(config-if)# ip addr 10.10.10.254 255.255.255.0
R1(config)# int fa 0/0.20
R1(config-if)# encapsulation dot1q 20
R1(config-if)# ip addr 10.10.20.254 255.255.255.0Switch Trunk port 설정
SW1(config)# int fa 1/15
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport trunk native vlan 77
SW1(config-if)# switchport trunk allowed vlan 1,10,20,77,1002-1005Multilayer Switch Inter VLAN 설정
L3SW(config)# vlan 10
L3SW(config-vlan)# name v10
L3SW(config)# vlan 20
L3SW(config-vlan)# name v20
L3SW(config)# vlan 77
L3SW(config-vlan)# name native
L3SW(config)# int fa 1/15
L3SW(config-if)# switchport mode trunk
L3SW(config-if)# switchport trunk encapsulation dot1q
L3SW(config-if)# switchport trunk native vlan 77
L3SW(config-if)# switchport trunk allow vlan 1,10,20,77,1002-1005
L3SW(config)# int vlan 10
L3SW(config)# ip addr 10.10.10.254 255.255.255.0
L3SW(config)# int vlan 20
L3SW(config)# ip addr 10.10.20.254 255.255.255.0Multilayer Switch 외부 통신용 인터페이스 설정
L3SW(config)# int fa 1/0
L3SW(config)# no switchport
L3SW(config)# ip addr 200.200.200.210 255.255.255.0L2 Switch Trunk port 설정
SW1(config)# int fa 1/15
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport trunk native vlan 77
SW1(config-if)# switchport trunk allowed vlan 1,10,20,77,1002-1005