VLAN (r1)

VLAN의 핵심 기능은 논리적으로 독립된 브로드캐스트 도메인을 생성하여 물리적 네트워크 인프라를 효율적으로 분할하는 것이다. 전통적인 이더넷 네트워크에서는 동일한 스위치나 연결된 스위치들에 속한 모든 장치가 하나의 브로드캐스트 도메인을 공유한다. 이는 ARP 요청이나 일부 프로토콜의 발견 메시지와 같은 브로드캐스트 프레임이 해당 도메인 내 모든 포트로 전송됨을 의미한다.

브로드캐스트 트래픽이 과도해지면 네트워크 성능에 부정적인 영향을 미친다. 불필요한 프레임이 모든 장치의 네트워크 인터페이스를 처리하게 하여 대역폭을 낭비하고, 각 장치의 CPU가 관련 없는 브로드캐스트 패킷을 처리하도록 강제한다. VLAN을 도입하면 관리자는 단일 물리적 스위치를 여러 개의 논리적 서브네트워크로 분할할 수 있다. 각 VLAN은 자체적인 브로드캐스트 도메인이 되어, 해당 VLAN 내에서 발생한 브로드캐스트 트래픽은 동일한 VLAN에 속한 포트로만 전파된다.

이러한 분리는 네트워크의 확장성과 안정성을 크게 향상시킨다. 브로드캐스트 도메인의 크기를 제한함으로써 브로드캐스트 스톰[1]의 영향을 특정 VLAN 내로 격리시킬 수 있다. 또한, 논리적 그룹화는 물리적 배치에 구애받지 않고 장치를 구성할 수 있게 한다. 예를 들어, 다른 층이나 건물에 위치한 동일한 부서의 사용자들을 하나의 VLAN으로 묶어 단일 브로드캐스트 도메인을 형성할 수 있다.

IEEE 802.1Q는 VLAN 정보를 이더넷 프레임에 추가하기 위한 표준화된 태깅 방식을 정의한다. 이 표준이 도입되기 전에는 각 벤더별 독자적인 태깅 방식이 존재하여 호환성 문제가 있었다. IEEE 802.1Q는 이러한 호환성 문제를 해결하고, 서로 다른 제조사의 장비 간에 VLAN 정보를 일관되게 전송할 수 있는 공통된 방법을 제공한다.

태깅의 핵심은 기존의 이더넷 프레임 헤더와 데이터 사이에 4바이트의 802.1Q 태그 필드를 삽입하는 것이다. 이 태그 필드는 다음과 같은 주요 정보를 포함한다.

태그가 삽입된 프레임은 태그된 포트를 통해 전송되어, 수신 측 스위치가 해당 프레임이 어느 VLAN에 속하는지 정확히 식별할 수 있게 한다. 반면, 최종 호스트(예: 컴퓨터, IP 전화기)에 연결되는 태그되지 않은 포트에서는 이 4바이트 태그가 제거된 일반 이더넷 프레임이 전달된다. 이 방식은 네트워크 장비 간의 효율적인 VLAN 정보 공유와 호스트의 호환성을 동시에 보장한다.

IEEE 802.1Q 표준은 또한 네이티브 VLAN 개념을 정의한다. 네이티브 VLAN은 태그되지 않은 프레임이 트렁크 포트를 통과할 때 할당되는 기본 VLAN이다. 트렁크 링크 양쪽의 네이티브 VLAN 설정이 일치하지 않으면 VLAN 누수 등의 문제가 발생할 수 있다[2].

브로드캐스트 도메인을 분리함으로써 불필요한 네트워크 트래픽을 줄이고 대역폭을 효율적으로 사용할 수 있습니다. 스위치 하나에 여러 VLAN을 생성하면, 각 VLAN은 논리적으로 독립된 네트워크처럼 동작합니다. 브로드캐스트, 멀티캐스트, 알 수 없는 유니캐스트 프레임은 동일한 VLAN 내에서만 전파됩니다. 이로 인해 네트워크 세그먼트가 작아지고, 각 세그먼트의 장치 수가 줄어들어 브로드캐스트 트래픽의 영향을 받는 범위가 제한됩니다.

특히 대규모 플랫 네트워크에서는 브로드캐스트 스톰이 전체 네트워크 성능을 저하시키는 주요 원인이 될 수 있습니다. VLAN을 적용하면 이러한 브로드캐스트 트래픽이 특정 논리적 그룹 내에 갇히게 되어, 다른 VLAN에 속한 장치들의 성능에 영향을 주지 않습니다. 결과적으로 네트워크의 전반적인 처리량이 증가하고 지연 시간이 감소합니다.

또한, VLAN은 네트워크 트래픽의 흐름을 논리적으로 제어할 수 있는 기반을 제공합니다. 관리자는 업무 부서나 애플리케이션별로 VLAN을 구분하여, 중요한 트래픽이 다른 트래픽과 경쟁하지 않도록 할 수 있습니다. 예를 들어, VoIP 트래픽을 위한 전용 Voice VLAN을 구성하여 음성 통화의 품질을 보장할 수 있습니다. 이러한 세분화된 트래픽 관리 역시 네트워크 성능 최적화에 기여합니다.

VLAN을 도입하면 물리적 네트워크를 논리적으로 분할하여 서로 다른 브로드캐스트 도메인을 생성하게 된다. 이는 기본적으로 네트워크 트래픽의 분리를 의미하며, 이로 인해 보안상의 이점이 발생한다. 예를 들어, 재무부서의 VLAN과 일반 직원의 VLAN을 분리하면, 두 그룹 간의 직접적인 데이터 프레임 교환이 스위치 레벨에서 차단된다. 따라서 권한이 없는 사용자가 다른 부서의 네트워크 세그먼트에 접근하여 데이터를 엿보거나 패킷을 스니핑하는 것이 원천적으로 방지된다.

네트워크 접근 제어를 세밀하게 구성할 수 있는 것도 주요 장점이다. VLAN 멤버십은 포트, MAC 주소, 프로토콜 등 다양한 기준으로 할당될 수 있다. 이를 통해 특정 장치나 사용자 그룹만이 허용된 VLAN에 접속하도록 강제할 수 있다. 예를 들어, 게스트용 무선 네트워크를 별도의 VLAN으로 격리하면, 게스트 장비가 내부 중요한 자원에 접근하는 경로를 차단할 수 있다. 또한, PVLAN과 같은 고급 기술을 적용하면 동일한 VLAN 내에서도 장치 간의 통신을 제한하여 보안 계층을 더욱 강화할 수 있다.

VLAN은 네트워크 공격의 확산을 제한하는 데도 효과적이다. 만약 하나의 장치가 멀웨어에 감염되거나 무단으로 네트워크에 침입했을 때, 그 영향이 해당 장치가 속한 VLAN 내부로 국한될 가능성이 높아진다. 브로드캐스트 스톰이나 ARP 스푸핑과 같은 2계층 공격도 동일한 VLAN 내에서만 전파된다. 이는 보안 사고 발생 시 피해 범위를 최소화하고, 문제를 격리하여 신속하게 대응하는 데 유리한 환경을 제공한다.

물리적 배치와 무관하게 논리적 그룹을 구성할 수 있어 네트워크 관리가 단순해진다. 예를 들어, 재무팀과 마케팅팀의 구성원이 동일한 층에 분산되어 있어도, 각 팀을 별도의 VLAN으로 할당하면 관리자는 단일 논리적 엔터티로 관리할 수 있다. 이는 구성 변경, 정책 적용, 모니터링을 용이하게 한다.

사용자나 장비의 물리적 이동이 발생할 때 관리 부담이 크게 줄어든다. 전통적인 네트워크에서는 사용자가 다른 스위치 포트로 이동하면 해당 포트를 새로운 서브넷에 재할당해야 했다. 반면 VLAN 환경에서는 관리자가 단순히 사용자가 연결된 포트를 원하는 VLAN으로 재설정하기만 하면 된다. 네트워크 케이블을 재배선하거나 IP 주소를 변경할 필요가 없다.

네트워크 정책을 VLAN 단위로 일괄 적용할 수 있어 관리 효율성이 높아진다. 방화벽 규칙, QoS 정책, 접근 제어 목록 등을 각 VLAN에 적용함으로써, 동일한 VLAN 내의 모든 사용자에게 일관된 정책을 부여할 수 있다. 이는 세분화된 제어를 가능하게 하면서도 정책 관리의 복잡성을 낮춘다.

포트 기반 VLAN은 가장 일반적이고 기본적인 VLAN 구현 방식이다. 네트워크 관리자가 스위치의 물리적 포트를 특정 VLAN ID에 수동으로 할당하는 정적(Static) 구성 방식을 사용한다. 한 포트는 하나의 VLAN에만 속하며, 이 포트에 연결된 모든 장치는 해당 포트가 속한 VLAN의 구성원이 된다.

구성 방법은 직관적이다. 관리자는 스위치의 구성 모드(CLI 또는 GUI)에 접속하여 각 포트에 대해 원하는 VLAN 번호를 지정한다. 예를 들어, 1번부터 10번 포트를 VLAN 10(영업부)에, 11번부터 20번 포트를 VLAN 20(개발부)에 할당할 수 있다. 이렇게 구성된 포트를 Access Port라고 부르며, 이 포트를 통해 전송되는 모든 프레임은 태그가 없는 일반 이더넷 프레임이다.

포트 기반 VLAN의 주요 특징은 다음과 같다.

이 방식의 단점은 유연성이 부족하다는 점이다. 사용자가 자신의 장치를 다른 위치의 포트로 이동하면, 새 포트가 속한 VLAN으로 네트워크 접근 권한이 변경된다. 따라서 사용자나 장치의 물리적 이동이 빈번한 환경에서는 관리 부담이 커질 수 있다. 이러한 정적 특성 때문에 포트 기반 VLAN은 사무실 배치가 비교적 고정되어 있고, 부서별로 네트워크를 격리하는 전통적인 엔터프라이즈 환경에서 널리 사용된다.

MAC 주소 기반 VLAN은 네트워크 장치의 MAC 주소를 기준으로 VLAN에 자동으로 할당하는 동적 방식을 말한다. 이 방식에서는 네트워크 관리자가 VLAN 관리 서버에 MAC 주소와 VLAN 매핑 정보를 미리 구성해 둔다. 스위치 포트에 장치가 연결되면, 스위치는 해당 장치의 MAC 주소를 확인하고 서버에 질의하여 적절한 VLAN을 결정한다. 이후 해당 포트는 자동으로 결정된 VLAN에 속하게 된다.

이 방식의 주요 장점은 사용자 장치의 물리적 위치에 구애받지 않고 VLAN 멤버십을 유지할 수 있다는 점이다. 예를 들어, 노트북 사용자가 사무실 내 다른 위치의 스위치 포트에 연결하더라도, 해당 장치의 MAC 주소가 동일하다면 항상 동일한 VLAN(예: '영업부 VLAN')에 자동으로 할당된다. 이는 사용자 이동성이 높은 환경에서 네트워크 관리의 유연성을 크게 향상시킨다.

하단은 포트 기반 VLAN과 MAC 주소 기반 VLAN의 주요 차이점을 비교한 표이다.

MAC 주소 기반 VLAN의 단점은 초기 설정과 유지 관리가 상대적으로 복잡할 수 있다는 점이다. 모든 허용된 장치의 MAC 주소를 데이터베이스에 등록하고 관리해야 하며, VLAN 관리 정책 서버의 가용성이 네트워크 운영에 중요해진다. 또한, 스위치가 포트에 연결될 때마다 MAC 주소를 확인하고 서버와 통신해야 하므로, 포트 기반 방식에 비해 초기 연결 설정에 약간의 지연이 발생할 수 있다.

프로토콜 기반 VLAN은 네트워크 프레임의 3계층 프로토콜 헤더 정보를 기준으로 가상 네트워크를 구분하는 방식이다. 이 방식은 주로 IPX나 AppleTalk과 같은 멀티프로토콜 네트워크 환경에서 특정 프로토콜 트래픽을 논리적으로 분리하기 위해 사용되었다. 스위치는 수신된 프레임의 이더넷 타입 필드를 검사하여, 예를 들어 0x0800은 IPv4, 0x86DD는 IPv6와 같이 프로토콜을 식별하고 미리 정의된 VLAN에 할당한다.

이 방식의 주요 장점은 네트워크 상의 다양한 프로토콜 트래픽을 자동으로 분류하여 관리할 수 있다는 점이다. 특정 프로토콜을 사용하는 호스트나 서비스를 물리적 위치와 무관하게 하나의 논리적 그룹으로 묶을 수 있어, 프로토콜별 정책 적용이나 트래픽 격리가 용이해진다. 그러나 현대 네트워크가 거의 대부분 TCP/IP 프로토콜 스위트에 수렴되면서, 프로토콜 종류가 극히 제한적이게 되었다. 이로 인해 프로토콜 기반 VLAN의 실용성은 현저히 낮아졌다.

현재는 IPv4와 IPv6 트래픽을 구분하는 등 제한된 용도로만 사용되거나, 레거시 환경을 제외하고는 거의 활용되지 않는다. 대부분의 현대적인 네트워크 구성에서는 호스트의 위치(포트)나 신원(MAC 주소)을 기준으로 하는 포트 기반 VLAN이나 MAC 주소 기반 VLAN이 훨씬 더 일반적으로 채택된다.

태그된 포트는 일반적으로 스위치 간 연결에 사용되며, 하나의 물리적 링크를 통해 여러 VLAN의 트래픽을 동시에 전송할 수 있게 해준다. 이 포트는 전송되는 이더넷 프레임에 VLAN 식별 정보를 담은 802.1Q 태그를 추가한다. 태그는 4바이트로 구성되며, 그중 12비트가 VLAN ID를 나타내는 필드로 사용된다. 이를 통해 수신 측 스위치는 프레임이 어느 VLAN에 속하는지 정확히 식별하고 해당 VLAN으로만 프레임을 전달할 수 있다.

태그된 포트의 구성은 네트워크 관리자가 수동으로 설정하는 것이 일반적이다. 대표적인 구성 프로토콜로는 Cisco 장비의 DTP가 있으며, 이 프로토콜을 통해 인접 장비와의 협상을 통해 트렁크 링크를 자동으로 형성할 수도 있다. 트렁크 포트는 기본적으로 모든 VLAN의 트래픽을 허용하지만, 관리자는 특정 VLAN만 트렁크를 통과하도록 허용 목록을 설정하여 트래픽 흐름과 대역폭을 제어할 수 있다.

태그된 포트를 사용하지 않으면 각 VLAN마다 별도의 물리적 링크가 필요하므로 케이블 비용과 포트 사용 효율이 매우 낮아진다. 따라서 중앙 집중식 네트워크 아키텍처에서 백본을 구성하거나 서버가 여러 VLAN에 서비스를 제공해야 하는 경우에 태그된 포트는 필수적인 요소가 된다.

태그되지 않은 포트, 일반적으로 액세스 포트(Access Port)라고 불리는 포트는 단일 VLAN에만 할당된 스위치 포트이다. 이 포트는 일반적으로 최종 사용자 장치(PC, IP 전화기, 프린터 등)나 서버와 같은 네트워크 종단 장비를 연결하는 데 사용된다. 액세스 포트는 오직 하나의 VLAN에 속하며, 해당 VLAN의 네트워크 트래픽만을 송수신한다.

액세스 포트의 핵심 특징은 이더넷 프레임에 VLAN 식별 정보를 추가하는 태깅(Tagging) 과정을 수행하지 않는다는 점이다. 포트에 설정된 기본 VLAN(Native VLAN, 일반적으로 VLAN 1)의 ID를 기준으로 프레임을 처리한다. 스위치는 액세스 포트로 들어오는 모든 프레임을 해당 포트가 속한 VLAN의 멤버로 간주하며, 프레임을 전송할 때는 VLAN 태그를 제거한 일반 이더넷 프레임 형태로 내보낸다. 따라서 태그를 이해하지 못하는 일반 호스트 장치와의 호환성을 보장한다.

액세스 포트와 트렁크 포트(Tagged Port)의 주요 차이점은 다음과 같이 정리할 수 있다.

구성 시 일반적으로 switchport mode access 명령어로 포트 모드를 지정한 후, switchport access vlan [VLAN_ID] 명령어를 통해 해당 포트를 특정 VLAN에 할당한다. 이렇게 구성된 포트는 할당된 VLAN의 브로드캐스트 도메인에만 참여하게 되어, 네트워크를 논리적으로 분할하고 불필요한 트래픽을 차단하는 기본 단위 역할을 한다.

VLAN ID는 12비트 필드로 구성되며, 0부터 4095까지의 숫자 값을 가질 수 있다. 그러나 실제로 사용 가능한 범위는 일반적으로 1부터 4094까지이다. VID 0은 우선순위 태그에 사용되며, VID 4095는 예약되어 사용되지 않는다.

VLAN ID는 논리적인 네트워크 분할의 식별자 역할을 한다. 동일한 VID를 할당받은 포트들은 하나의 브로드캐스트 도메인을 구성하며, 서로 2계층 통신이 가능하다. 반대로 서로 다른 VID를 가진 VLAN 간의 통신은 기본적으로 차단되며, 라우터나 Layer 3 스위치와 같은 3계층 장비를 통한 Inter-VLAN Routing이 필요하다.

일반적으로 VID는 다음과 같은 범위로 구분되어 사용된다.

네트워크 관리자는 조직 구조, 보안 정책, 물리적 위치에 따라 논리적 그룹을 정의하고 각 그룹에 고유한 VID를 할당한다. 예를 들어, '영업부'는 VID 10, '개발부'는 VID 20, '게스트 네트워크'는 VID 30과 같이 할당하여 관리 효율성을 높인다.

라우터를 이용한 인터-브이랜 라우팅은 서로 다른 브이랜 간에 통신을 가능하게 하는 전통적이고 기본적인 방식이다. 이 방식에서는 물리적 또는 논리적으로 라우터가 각 브이랜에 연결되어, 브이랜 간의 트래픽을 중계한다.

가장 일반적인 구성은 "라우터 온 어 스틱"(Router-on-a-Stick)이다. 이 방법에서는 하나의 라우터 물리적 인터페이스가 트렁크 포트로 구성된 스위치 포트에 연결된다. 라우터의 해당 인터페이스는 여러 개의 서브인터페이스(가상 인터페이스)로 논리적으로 분할된다. 각 서브인터페이스는 하나의 특정 브이랜에 할당되고, 해당 브이랜의 기본 게이트웨이 IP 주소를 갖는다. 라우터는 트래픽이 들어오면 IEEE 802.1Q 태그를 확인하여 어떤 브이랜에 속하는지 식별하고, 목적지 브이랜에 해당하는 서브인터페이스를 통해 적절히 태깅하여 패킷을 전달한다[4].

다중 물리적 인터페이스를 사용하는 방식도 있다. 이 경우 라우터의 각 물리적 인터페이스는 스위치의 액세스 포트에 연결되고, 각 인터페이스는 하나의 브이랜에 배정된다. 브이랜 간 통신이 필요할 때 패킷은 해당 브이랜의 인터페이스로 들어와 라우팅 테이블에 따라 적절한 목적지 브이랜의 인터페이스로 포워딩된다. 이 방식은 구성이 직관적이지만, 브이랜 개수만큼 라우터의 물리적 포트가 필요하므로 확장성에 제약이 따른다.

라우터 기반 방식의 주요 특징은 다음과 같이 정리할 수 있다.

이 방식은 레이어 3 스위치가 보편화되기 전에 널리 사용되었으며, 현재는 소규모 환경이나 특정 목적으로 여전히 활용된다.

Layer 3 스위치를 이용한 방식은 현대 네트워크에서 VLAN 간 통신을 구현하는 가장 일반적이고 효율적인 방법이다. 이 방식은 별도의 외부 라우터가 필요 없이, 하나의 스위치 장비 내에서 레이어 2 스위칭과 레이어 3 라우팅 기능을 통합하여 처리한다. 이는 종종 "라우트 온 어 스틱"(Router-on-a-Stick) 아키텍처에 비해 지연 시간을 줄이고 대역폭을 절약하며 구성의 복잡성을 낮춘다.

Layer 3 스위치의 내부 동작은 가상의 라우터 인터페이스를 생성하는 방식으로 이루어진다. 각 VLAN마다 하나의 SVI(Switched Virtual Interface)를 구성하고, 해당 SVI에 IP 주소를 할당한다. 이 IP 주소는 해당 VLAN에 속한 호스트들의 기본 게이트웨이 주소로 사용된다. 예를 들어, VLAN 10의 SVI에 192.168.10.1/24를, VLAN 20의 SVI에 192.168.20.1/24를 할당하면, 서로 다른 VLAN에 있는 호스트들은 자신의 VLAN SVI를 통해 패킷을 전송하여 통신하게 된다.

이 방식의 주요 장점은 하드웨어 기반의 고속 라우팅이다. Layer 3 스위치는 ASIC(Application-Specific Integrated Circuit)을 사용하여 라우팅 결정을 소프트웨어 처리보다 훨씬 빠르게 수행한다. 또한, 물리적 포트를 라우터에 연결하기 위한 별도의 트렁크 포트 케이블이 불필요하여 케이블링과 장비 공간을 절약할 수 있다. 관리 측면에서도 모든 스위칭 및 라우팅 구성을 단일 장비의 CLI 또는 관리 인터페이스에서 통합적으로 설정하고 모니터링할 수 있어 운영 효율성이 크게 향상된다.

VTP는 Cisco Systems가 개발한 사유 프로토콜로, 스위치 네트워크 내에서 VLAN 구성 정보(예: VLAN ID, 이름)를 중앙에서 관리하고 모든 연결된 스위치에 자동으로 전파하는 데 사용된다. 이 프로토콜의 주요 목적은 대규모 네트워크에서 VLAN을 일관되게 구성하고 관리하는 복잡성을 줄이는 것이다. VTP 도메인 내의 한 스위치에서 VLAN을 생성, 삭제 또는 이름 변경하면, 그 변경 사항이 도메인의 다른 모든 스위치로 자동 전파되어 수동 구성의 필요성을 크게 줄인다.

VTP는 서버(Server), 클라이언트(Client), 투명(Transparent)의 세 가지 모드로 동작한다. VTP 서버는 VLAN 구성을 생성, 수정, 삭제할 수 있으며, 변경 사항을 전체 도메인에 광고한다. VTP 클라이언트는 서버로부터 구성 정보를 수신하고 적용하지만, 자체적으로 VLAN 구성을 변경할 수 없다. VTP 투명 모드의 스위치는 VTP 광고를 다른 스위치로 전달(포워딩)만 할 뿐, 그 내용을 자신의 구성에 적용하지 않으며, 자신의 로컬 VLAN 구성을 독립적으로 관리한다.

VTP의 동작은 다음과 같은 주요 요소에 의존한다.

잘못된 구성 개정 번호를 가진 스위치가 네트워크에 연결되면, 그 스위치의 오래된 구성이 전체 도메인의 최신 구성을 덮어쓸 수 있어 네트워크 장애를 유발할 위험이 있다[6]. 또한 VTP는 암호를 설정하여 도메인 내에서 인증되지 않은 구성 변경을 방지할 수 있다.

DTP는 Cisco Systems가 개발한 전용 프로토콜로, 스위치나 라우터 간의 트렁크 포트 연결을 자동으로 협상하고 구성하는 역할을 한다. 이 프로토콜은 이더넷 포트가 액세스 포트와 트렁크 포트 중 어떤 모드로 동작할지, 그리고 트렁크 포트일 경우 사용할 캡슐화 방식을 결정한다. DTP 메시지는 주기적으로 교환되어 양쪽 장비의 설정을 비교하고 최적의 트렁크 모드를 합의한다.

DTP는 여러 가지 동작 모드를 지원한다. 주요 모드는 다음과 같다.

DTP의 사용은 네트워크 관리의 편의성을 높이지만, 보안 측면에서 고려해야 할 사항이 있다. 무단 장비가 연결되어 DTP 협상을 통해 트렁크 포트로 자동 전환될 경우, 불필요한 VLAN 트래픽에 접근할 수 있는 위험이 존재한다. 따라서 보안이 중요한 환경에서는 switchport mode trunk와 switchport nonegotiate 명령어를 사용하여 DTP 협상을 비활성화하고 포트 모드를 수동으로 고정하는 것이 권장된다.

Cisco Catalyst 스위치에서 VLAN을 구성하는 기본적인 절차는 CLI를 통해 이루어진다. 전역 구성 모드(Global Configuration Mode)에서 VLAN을 생성하고, 인터페이스 구성 모드(Interface Configuration Mode)에서 포트를 특정 VLAN에 할당하는 것이 일반적인 방법이다.

먼저, VLAN을 생성하고 이름을 지정한다. 다음은 VLAN ID 10을 'Sales'라는 이름으로, VLAN ID 20을 'Engineering'이라는 이름으로 생성하는 예시이다.

```

Switch# configure terminal

Switch(config)# vlan 10

Switch(config-vlan)# name Sales

Switch(config-vlan)# exit

Switch(config)# vlan 20

Switch(config-vlan)# name Engineering

Switch(config-vlan)# exit

```

다음으로, 특정 포트를 액세스 포트로 설정하고 원하는 VLAN에 할당한다. 아래 예시는 인터페이스 GigabitEthernet0/1을 VLAN 10에, GigabitEthernet0/2를 VLAN 20에 할당한다.

```

Switch(config)# interface gigabitethernet 0/1

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 10

Switch(config-if)# exit

Switch(config)# interface gigabitethernet 0/2

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 20

Switch(config-if)# exit

```

다른 스위치와 VLAN 정보를 전송하기 위해 트렁크 포트를 구성할 수 있다. 다음은 인터페이스 GigabitEthernet0/24를 트렁크 포트로 설정하는 명령어이다. 기본적으로 모든 VLAN의 트래픽이 이 포트를 통해 전달되지만, switchport trunk allowed vlan 명령으로 허용할 VLAN 목록을 제한할 수 있다.

```

Switch(config)# interface gigabitethernet 0/24

Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk native vlan 99

Switch(config-if)# switchport trunk allowed vlan 10,20,99

Switch(config-if)# exit

```

구성을 확인하기 위해 show vlan brief, show interfaces trunk, show running-config interface 등의 명령어를 사용한다. 구성 변경 후에는 copy running-config startup-config 명령을 실행하여 설정을 저장해야 재부팅 후에도 구성이 유지된다.

다양한 네트워크 장비 벤더는 자사의 스위치에서 VLAN을 구성하고 관리하기 위한 고유한 명령어 인터페이스와 그래픽 사용자 인터페이스 도구를 제공한다.

Cisco Systems의 CLI 외에도, Juniper Networks는 Junos OS에서 set vlans 명령어 계층을 사용하며, Arista Networks는 EOS에서 vlan 명령어를 제공한다. HP(Hewlett Packard Enterprise) 스위치는 Comware OS 또는 ProVision OS에 따라 vlan 명령어 구문이 다르다. 이러한 벤더별 CLI는 기본적인 VLAN 생성, 포트 할당, 트렁크 포트 설정 개념은 유사하지만, 구체적인 명령어 형식과 하위 모드에서의 설정 방법은 차이를 보인다.

대부분의 현대적 엔터프라이즈 스위치는 웹 기반의 GUI 관리 도구를 내장하고 있다. 이 도구들은 네트워크 관리자가 명령어를 직접 입력하지 않고도 마우스 클릭과 폼 입력을 통해 VLAN을 생성하고 포트를 구성할 수 있게 한다. 일반적인 GUI 관리 절차는 다음과 같다.

1. 스위치의 관리 IP 주소로 웹 브라우저 접속

2. 관리자 자격 증명으로 로그인

3. 구성 메뉴에서 'VLAN 관리' 또는 유사한 항목 선택

4. 새 VLAN ID와 이름을 입력하여 VLAN 생성

5. 물리적 포트 목록에서 해당 VLAN에 속할 포트를 선택하고 모드(Access 또는 Trunk)를 지정

6. 변경 사항 저장 및 적용

또한, 중대형 규모의 네트워크에서는 단일 장비가 아닌 네트워크 전체를 통합 관리하는 소프트웨어 플랫폼이 널리 사용된다. 예를 들어, Cisco Prime Infrastructure, HPE Intelligent Management Center, Juniper Mist와 같은 네트워크 관리 시스템은 다수의 스위치에 걸친 VLAN 구성의 배포, 모니터링, 정책 일관성을 유지하는 중앙 집중식 관리 기능을 제공한다. 이러한 플랫폼은 GUI를 통해 네트워크 토폴로지 맵 상에서 VLAN을 시각적으로 구성하고, 템플릿을 사용하여 대량의 장비에 동일한 VLAN 설정을 효율적으로 적용할 수 있게 한다.

PVLAN은 하나의 기본 VLAN을 여러 개의 보조 VLAN으로 세분화하여, 동일한 브로드캐스트 도메인 내에서도 장치 간 통신을 더욱 엄격하게 제한하는 기술이다. 일반적인 VLAN은 동일한 VLAN에 속한 모든 포트가 서로 통신할 수 있지만, PVLAN은 프롬미스큐어스 포트, 아이솔레이트드 포트, 커뮤니티 포트라는 세 가지 유형의 포트를 정의하여 통신 규칙을 세분화한다. 이는 주로 서비스 제공자 환경이나 호텔, 캠퍼스 네트워크처럼 여러 사용자가 동일한 IP 서브넷을 공유해야 하지만 서로 간의 직접적인 통신은 차단해야 하는 경우에 활용된다.

PVLAN의 구성 요소는 다음과 같다. 머신은 하나의 프라이머리 VLAN과 하나 이상의 세컨더리 VLAN으로 구성된다. 세컨더리 VLAN은 아이솔레이트드 VLAN과 커뮤니티 VLAN 두 종류로 나뉜다.

• 프롬미스큐어스 포트: 일반적으로 라우터나 게이트웨이와 같은 기본 게이트웨이 장치에 연결된다. 이 포트는 프라이머리 VLAN 및 모든 세컨더리 VLAN과 통신할 수 있다.

• 아이솔레이트드 포트: 각 포트가 완전히 고립된다. 아이솔레이트드 포트는 프롬미스큐어스 포트와만 통신할 수 있으며, 다른 아이솔레이트드 포트나 커뮤니티 포트와는 통신이 불가능하다.

• 커뮤니티 포트: 동일한 커뮤니티 VLAN에 속한 포트끼리, 그리고 프롬미스큐어스 포트와 통신할 수 있다. 그러나 다른 커뮤니티 VLAN이나 아이솔레이트드 포트와는 통신이 차단된다.

이 구조의 주요 장점은 보안 강화와 자원 효율성이다. 네트워크 관리자는 별도의 IP 서브넷이나 VLAN을 많이 생성하지 않고도, 단일 IP 서브넷과 브로드캐스트 도메인 내에서 장치들을 논리적으로 분리할 수 있다. 이를 통해 ARP 요청과 같은 불필요한 브로드캐스트 트래픽을 줄이면서도, 테넌트나 사용자 그룹 간의 불법적인 스니핑 또는 직접 공격을 효과적으로 차단한다. 구성은 벤더에 따라 다르지만, 일반적으로 스위치에서 프라이머리 VLAN과 세컨더리 VLAN을 매핑하고, 각 액세스 포트에 대한 포트 유형(아이솔레이트드 또는 커뮤니티)을 지정하는 방식으로 이루어진다.

Voice VLAN은 IP 전화와 같은 VoIP 장치를 위해 특별히 설계된 전용 VLAN이다. 이 기술의 주요 목적은 음성 트래픽에 우선순위를 부여하여 통화 품질을 보장하는 것이다. 음성 통신은 지연, 지터, 패킷 손실에 매우 민감하기 때문에, 일반 데이터 트래픽과 같은 네트워크 세그먼트에서 혼재될 경우 통화 품질이 저하될 수 있다. Voice VLAN은 이러한 음성 패킷을 식별하고 별도의 논리적 네트워크로 격리함으로써 QoS 정책을 효과적으로 적용할 수 있는 기반을 제공한다.

구성 방식은 일반적으로 스위치 포트가 하나의 액세스 포트에서 데이터 VLAN과 Voice VLAN을 동시에 수용하는 형태를 취한다. 이때 IP 전화기는 스위치 포트에 연결되고, 컴퓨터는 IP 전화기의 다운스트림 포트에 연결되는 것이 일반적인 배치 방식이다. 스위치는 IEEE 802.1Q 태깅을 사용하여 IP 전화기로부터 오는 트래픽에 Voice VLAN 태그를 부착하고, 컴퓨터로부터 오는 태그되지 않은 트래픽은 기본 데이터 VLAN으로 전달한다. 이를 통해 하나의 물리적 포트로 두 개의 논리적 네트워크를 효율적으로 지원할 수 있다.

Voice VLAN의 설정과 관리는 몇 가지 주요 메커니즘을 통해 이루어진다. 대표적인 방법은 CDP 또는 LLDP와 같은 레이어 2 검색 프로토콜을 사용하는 것이다. 스위치는 이러한 프로토콜을 통해 연결된 IP 전화기에 Voice VLAN ID와 관련된 QoS 설정 정보를 자동으로 전달할 수 있다. 또한, 많은 벤더 장비에서는 음성 트래픽을 식별하기 위해 IP 전화기의 MAC 주소 OUI를 미리 정의된 데이터베이스와 비교하는 방식을 지원한다.

적용 시 고려사항은 다음과 같다.

결과적으로, Voice VLAN의 도입은 네트워크 인프라에서 융합 통신을 성공적으로 구현하는 데 필수적인 요소이다. 이는 음성과 데이터라는 이질적인 트래픽 유형이 단일 네트워크를 공유하면서도 각각의 서비스 품질 요구사항을 충족할 수 있도록 한다.

VLAN 구성 시 발생하는 일반적인 오류는 네트워크 통신 단절이나 보안 취약점을 초래할 수 있다. 가장 흔한 오류 중 하나는 트렁크 포트와 액세스 포트의 설정을 혼동하는 것이다. 예를 들어, 트렁크 포트로 설정해야 할 스위치 간 연결 포트를 액세스 포트로 잘못 구성하면, 여러 VLAN ID 정보를 담은 태그된 프레임이 전송되지 않아 다른 VLAN의 트래픽이 차단된다. 반대로 최종 사용자 장비가 연결되는 포트를 트렁크 포트로 설정하면, 태그 정보를 이해하지 못하는 장비에서 통신 장애가 발생한다.

VLAN 간 통신을 위한 인터 VLAN 라우팅 설정 누락도 빈번한 오류이다. 서로 다른 VLAN에 속한 장치들이 통신하기 위해서는 라우터나 레이어 3 스위치를 통한 라우팅 경로가 필수적이다. 단순히 스위치에만 VLAN을 생성하고 라우팅 구성을 생략하면, 물리적으로는 동일한 스위치에 연결되어 있더라도 VLAN이 다른 호스트 간에 통신이 불가능해진다.

VLAN 할당 및 네이티브 VLAN 불일치 문제도 주의해야 한다. 한쪽 스위치의 트렁크 포트는 VLAN 10을 네이티브 VLAN으로 설정했는데, 연결된 상대 스위치의 트렁크 포트는 VLAN 1을 사용하도록 설정된 경우, 태그되지 않은 관리 트래픽이 잘못된 VLAN으로 전달되어 예상치 못한 동작을 보이거나 보안 문제를 일으킬 수 있다[8]. 또한, VTP 도메인 설정이 일치하지 않거나 모드가 잘못 구성되면, 한 스위치에서 변경한 VLAN 정보가 네트워크 내 다른 스위치들로 전파되지 않아 VLAN 데이터베이스의 불일치가 발생한다.

VLAN 구성의 문제를 진단하고 상태를 확인하기 위해 네트워크 장비(주로 스위치)의 명령줄 인터페이스(CLI)에서 사용되는 일반적인 명령어들이 존재합니다. 이 명령어들은 VLAN 구성의 정확성, 포트 상태, 트렁크 링크, 그리고 VLAN 간 통신 경로를 점검하는 데 필수적입니다.

Cisco IOS 기반 스위치에서의 주요 진단 명령어는 다음과 같습니다.

• show vlan: 스위치에 구성된 모든 VLAN과 각 VLAN에 할당된 액세스 포트 목록을 보여준다. VLAN의 이름, 상태, 그리고 해당 포트 번호를 한눈에 확인할 수 있다.

• show vlan brief: show vlan 명령의 간략한 버전으로, 주요 정보를 테이블 형태로 보여준다.

• show interfaces trunk: 스위치의 모든 트렁크 포트 상태를 보여준다. 포트 모드(트렁크/자동/희망 등), 캡슐화 방식(IEEE 802.1Q/ISL), 그리고 해당 트렁크를 통해 전달되는 VLAN 목록을 확인할 수 있다.

• show interfaces [interface-id] switchport: 특정 포트(예: GigabitEthernet0/1)의 상세한 스위치포트 구성을 보여준다. 관리 모드(트렁크/액세스), 운영 모드, 네이티브 VLAN, 허용되는 VLAN 목록 등 모든 설정값을 확인할 수 있어 구성 오류 파악에 유용하다.

• show mac address-table vlan [vlan-id]: 특정 VLAN ID에 속한 장치들의 MAC 주소와 해당 주소가 학습된 포트를 보여준다. 이 명령어는 특정 VLAN 내의 장치 연결 상태와 트래픽 경로를 추적하는 데 사용된다.

일반적인 문제 해결 절차는 이러한 명령어들을 조합하여 사용한다. 예를 들어, 특정 VLAN에 속한 장치가 통신이 되지 않는다면, 먼저 show vlan으로 해당 VLAN이 생성되어 있고 활성화 상태인지, 그리고 올바른 포트가 할당되었는지 확인한다. 다음으로 show interfaces trunk으로 트렁크 링크가 정상적으로 형성되었고, 문제의 VLAN이 트렁크를 통해 전달되도록 허용 목록에 포함되어 있는지 검사한다. 마지막으로 show interfaces [interface-id] switchport 명령어를 통해 문제 포트의 상세 설정(예: 잘못된 네이티브 VLAN 설정)을 점검한다. 이러한 체계적인 진단 과정을 통해 대부분의 VLAN 관련 구성 오류를 신속하게 식별하고 해결할 수 있다.