Virtual LAN (VLAN)

📡 VLAN (가상 LAN)

• Q: LAN이 커지고 사용자가 자주 이동하게 되면, 기존의 단일 브로드캐스트 도메인 구조로는 어떤 문제가 생기는가?
  • 예를 들어 한 건물에 두 개의 학과(Computer Science, Electrical Engineering)가 있다고 가정하자.
  • 이들이 물리적으로 섞여 있지만, 논리적으로는 각 학과마다 별도 네트워크로 분리되어야 하는 요구가 있을 수 있다.
• 일반적인 이더넷 LAN 구성은 하나의 브로드캐스트 도메인을 형성한다.
  • 하나의 스위치 또는 여러 스위치가 연결된 환경에서 브로드캐스트 패킷은 모든 호스트에게 전달된다.
• 네트워크가 커지거나 사용자가 이동하면 다음과 같은 문제가 생긴다.
  • 스케일 확장 문제
    • 사용자가 많아질수록, 브로드캐스트 트래픽이 전체 네트워크에 부담을 준다.
    • 하나의 도메인 안에 너무 많은 장치가 있으면 성능 저하, 충돌, 보안 문제 발생 가능.
  • 유연성 부족
    • 사용자가 물리적으로 다른 곳으로 이동할 경우, 기존의 스위치 포트 기반 네트워크에서는 서브넷이나 보안 정책을 다시 설정해야 한다.

• 예를 들어 CS 사용자가 EE 건물로 사무실을 옮긴다고 하자.
  • 그 사용자는 물리적으로 EE 스위치에 연결되지만, 여전히 CS 네트워크 정책, 보안 설정, IP 서브넷을 유지하기 원한다.
• 기존 방식의 한계
  • 스위치는 기본적으로 물리적인 포트 단위로 네트워크를 구분한다.
  • 사용자가 이동하면 물리적으로 다른 네트워크에 속하게 되고, 기존 설정을 다시 해야한다.
    • IP 재설정, 방화벽 규칙 변경, …
  • 브로드캐스트 도메인 확장 문제
    • ARP 요청, DHCP 브로드캐스트, 알 수 없는 MAC 주소에 대한 flooding 등 모든 레이어 2 브로드캐스트가 전체 네트워크에 퍼진다.
  • 결과적으로 성능 저하, 보안 위험, 프라이버시 문제가 발생한다.
• LAN이 커지고, 사용자가 자주 이동하게 되면 VLAN을 사용해야 한다.
  • 사용자는 물리적으로 어디에 있든 논리적으로 같은 네트워크에 속할 수 있다.
  • 브로드캐스트 도메인은 논리적으로 분리되므로 보안성이 올라간다.
  • 네트워크 관리자는 구성 변경 없이 유연하게 사용자 이동을 지원할 수 있다.

포트 기반 VLAN

• VLAN은 물리적 구성과 상관없이 네트워크를 논리적으로 분할할 수 있는 기술이다.
  • 하나의 물리적 LAN 인프라 위에서 여러 개의 논리적 LAN을 동시에 구성할 수 있다.
• 포트 기반 VLAN
  • 스위치 관리자가 특정 포트들을 그룹으로 묶어 VLAN으로 정의한다.
    • ex, 포트 18은 EE 전용, 915는 CS 전용 VLAN
  • 이렇게 하면 하나의 스위치가 두 개의 논리적 스위치처럼 동작하게 된다.
• 동작 방식
  • 포트 1~8에 연결된 장치끼리는 통신 가능 (EE VLAN)
  • 포트 9~15에 연결된 장치끼리도 통신 가능 (CS VLAN)
  • 하지만 서로 다른 VLAN 간에는 직접 통신할 수 없음
    • 라우터 또는 레이어 3 스위치를 통해서만 가능

• 트래픽 격리 (Traffic isolation)
  • 포트 18로 구성된 EE VLAN은 그들끼리만 통신할 수 있고, 포트 915로 구성된 CS VLAN과는 서로 프레임이 도달하지 않는다.
  • VLAN의 기본 기능으로, 실제로는 스위치가 프레임의 수신 포트 기준 같은 VLAN에 속하는지 판단해 그에 맞는 포트로만 전달하게 된다.
• 동적 VLAN (Dynamic membership)
  • 포트들은 VLAN 간에 유동적으로 할당될 수 있다.
    • ex, 포트 7이 평소에는 EE VLAN에 속해 있다가, 특정 시간이나 정책에 따라 CS VLAN으로 이동 가능
  • 중앙 VLAN 관리 시스템(VLAN Management Policy Server 등)이 지원하는 경우 가능
• VLAN 간 통신 (Inter-VLAN forwarding)
  • 서로 다른 VLAN끼리는 기본적으로 직접 통신 불가
  • VLAN 간의 통신은 라우터 또는 L3 스위치를 통해 수행
    • 이 과정을 Inter-VLAN Routing이라고 함
    • ex, CS VLAN의 호스트가 EE VLAN의 서버와 통신하려면 프레임은 먼저 라우터로 가서 다른 VLAN으로 라우팅되어야 한다
  • 요즘은 스위치와 라우터가 통합된 장비(Layer 3 Switch)가 많이 사용되어 빠른 속도와 통합된 관리 가능

• trunk port
  • VLAN이 단일 스위치에만 국한되지 않고, 스위치 여러 대에 걸쳐 논리적으로 확장될 수 있도록 한다.
  • 상황 설명
    • ex, EE VLAN은 포트 2, 3, 5, CS VLAN은 포트 4, 6, 7, 8에 분산되어 있고 이들 포트가 서로 다른 스위치들에 존재할 수 있다. 이렇게 되면 스위치 간에도 VLAN 정보를 공유하며 프레임을 전달해야 하는 상황이 발생한다.
    • 표준적인 802.1 Ethernet 프레임은 VLAN ID를 담을 필드가 없다. 따라서 스위치 간에 프레임을 전달할 때, 그 프레임이 어떤 VLAN에 속해 있었는지 알 수 없는 문제가 생긴다.
  • 해결: trunk port + 802.1Q VLAN 태깅
    • trunk port는 서로 다른 VLAN의 프레임을 하나의 링크로 전송할 수 있도록 설정된 스위치 포트다. 트렁크 포트는 보통 스위치와 스위치 간, 또는 스위치와 라우터 간 연결에 사용한다.
    • trunk port로 전달되는 프레임에는 VLAN ID가 포함된 태그 필드가 삽입되는데, 이를 VLAN 태깅이라 한다.
    • 802.1Q 프로토콜에 의해 추가된다. 수신 스위치는 이 태그를 보고 프레임이 어떤 VLAN에 속한 것인지 판단한다. 전송이 끝난 뒤에는 수신 측에서 태그를 제거(de-tagging)하고, 일반 포트로 전달한다.

• 복습 (802.1 Ethernet frame)
  • premable 수신자와 발신자의 클럭 동기화를 위한 8바이트
  • type 어떤 프로토콜이 상위 계층에 존재하는지 명시
  • crc 전송 오류 검출
  • 당연하지만 VLAN 관련 정보가 없다.
• 802.1Q는 기존 기존 Ethernet 프레임 구조에 VLAN 태그(4바이트)를 삽입한 형태다.
  • 삽입 위치는 source address와 type 사이다.
  • Tag 필드 구성 (4 bytes == 32 bits)
    • 2바이트 TPID (Tag Protocol Identifier)
      • 고정 값 0x8100
      • 수신 측이 ‘이 프레임은 VLAN 태그가 있다’고 인식하게 한다.
    • 2바이트 TCI (Tag Control Information)
      • VLAN ID (12비트): VLAN 그룹 식별
      • Priority (3비트): 우선순위(QoS) 설정 가능
      • CFI (1비트): Canonical Format Indicator (사용 빈도 낮음)
  • 프레임에 VLAN 태그가 삽입되면, 전체 프레임의 내용이 바뀌므로 CRC도 새롭게 계산되어야 한다.