Skip to Content

VLAN(Virtual LAN) 소개 및 설정

VLAN(Virtual LAN)이 무엇이고 왜 필요한지 설명하고, Cisco Catalyst 스위치에서 VLAN을 생성하고 인터페이스를 할당하는 방법을 다룹니다.

핵심 요약

  • VLAN은 하나의 물리적 스위치를 여러 개의 가상 LAN으로 분리하는 기술
  • VLAN은 브로드캐스트 도메인을 분리하여 불필요한 트래픽을 줄임
  • 사용자를 물리적 위치와 무관하게 논리적으로 그룹화 가능
  • 같은 VLAN 내 사용자만 직접 통신 가능하며, VLAN 간 통신에는 라우터가 필요
  • 모든 인터페이스는 기본적으로 VLAN 1(default) 에 할당됨
  • VLAN 정보는 running-config가 아닌 vlan.dat 파일에 저장됨

VLAN이 필요한 이유

다음과 같은 네트워크를 생각해 보겠습니다. 여러 부서(Management, Helpdesk, Finance, Security, Engineering, Human Resource, Sales, Research)가 각각의 스위치에 물리적으로 연결되어 있습니다.

01_Introduction to VLANs_img_p02_01

이 네트워크 구성에 대해 몇 가지 질문을 생각해 보겠습니다:

  • Research 스위치에 연결된 컴퓨터가 ARP 요청 같은 브로드캐스트를 보내면 어떻게 될까?
  • Helpdesk 스위치에 장애가 발생하면 어떻게 될까?
  • Human Resource 스위치의 사용자들이 빠른 네트워크 연결을 가질 수 있을까?
  • 이 네트워크에서 보안을 어떻게 구현할 수 있을까?

이 구성이 나쁜 이유를 설명하겠습니다.

브로드캐스트 문제: 어떤 컴퓨터든 브로드캐스트를 보내면 스위치는 이를 플러딩(Flooding)합니다. 하나의 브로드캐스트 프레임이 전체 네트워크에 전파됩니다. 스위치가 특정 MAC 주소를 학습하지 못한 경우에도 마찬가지로 프레임이 플러딩됩니다.

단일 장애점 문제: Helpdesk 스위치에 장애가 발생하면 Human Resource 사용자는 다른 부서나 인터넷에 접근할 수 없게 됩니다. 모든 사용자가 Helpdesk 스위치를 거쳐야 하므로 대역폭을 공유하게 되어 성능 면에서도 좋지 않습니다.

보안 문제: 포트 보안(Port Security)을 구현하여 MAC 주소로 필터링할 수 있지만, MAC 주소는 쉽게 스푸핑(Spoofing)할 수 있으므로 안전하지 않습니다.

브로드캐스트 도메인

그렇다면 이 네트워크에는 몇 개의 브로드캐스트 도메인이 있을까요?

Sales 스위치의 컴퓨터가 브로드캐스트 프레임을 보내면, 다른 모든 스위치가 이를 전달합니다. 하지만 그림 상단의 라우터는 어떨까요? 라우터가 브로드캐스트 프레임을 전달할까요?

정답은 라우터는 브로드캐스트 프레임을 전달하지 않는다는 것입니다. 라우터는 브로드캐스트 도메인을 효과적으로 “제한”합니다. 라우터 오른쪽의 인터넷 연결은 또 다른 브로드캐스트 도메인이므로, 여기서는 총 2개의 브로드캐스트 도메인이 있습니다.

물리적 토폴로지 vs 논리적 토폴로지

스위치를 다룰 때는 물리적 토폴로지논리적 토폴로지의 차이를 기억해야 합니다. 물리적 토폴로지는 케이블이 연결된 방식이고, 논리적 토폴로지는 가상으로 설정한 구성입니다.

01_Introduction to VLANs_img_p03_01

위 예시에서는 4개의 스위치가 있고, Research, Engineering, Sales라는 3개의 VLAN을 생성했습니다. VLAN은 Virtual LAN으로, “스위치 안에 스위치”가 있는 것과 같습니다.

VLAN의 장점

  • VLAN은 하나의 브로드캐스트 도메인입니다. Research VLAN의 사용자가 브로드캐스트 프레임을 보내면 같은 VLAN의 사용자만 수신합니다.
  • 사용자는 같은 VLAN 내에서만 통신할 수 있습니다. VLAN 간 통신에는 라우터가 필요합니다.
  • 사용자를 물리적으로 같은 위치에 모을 필요가 없습니다. 위 그림에서 Engineering VLAN의 사용자들이 1층, 2층, 3층에 분산되어 있는 것을 볼 수 있습니다.

VLAN 간 통신 조건

조건통신 가능 여부
같은 VLAN + 같은 서브넷통신 가능 (L2만으로 충분)
같은 VLAN + 다른 서브넷통신 불가 (라우터 필요)
다른 VLAN + 같은 서브넷통신 불가 (라우터 필요)
다른 VLAN + 다른 서브넷통신 불가 (라우터 필요)

VLAN이 같고 + 서브넷이 같을 때만 스위치만으로 통신 가능합니다.

VLAN 설정

토폴로지

02_VLAN Configuration on Cisco IOS Switch_img_p01_01

간단한 예시로 시작하겠습니다. H1과 H2가 SW1에 연결되어 있습니다.

  • H1: 192.168.1.1/24 — Fa0/1에 연결
  • H2: 192.168.1.2/24 — Fa0/2에 연결
  • SW1: Cisco 2950 스위치

기본 VLAN 설정 확인

먼저 SW1의 기본 VLAN 설정을 확인해 보겠습니다:

SW1#show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- ----------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/22
                                                Fa0/23, Fa0/24, Gi0/1, Gi0/2
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup

VLAN 1이 기본 LAN이며, 모든 활성 인터페이스가 VLAN 1에 할당되어 있는 것을 확인할 수 있습니다.

VLAN 정보는 running-config이나 startup-config에 저장되지 않고, 플래시 메모리의 vlan.dat 파일에 별도로 저장됩니다. VLAN 정보를 삭제하려면 delete flash:vlan.dat 명령을 사용합니다.

기본 설정 상태에서도 같은 서브넷에 있는 H1과 H2는 통신이 가능합니다:

C:\Documents and Settings\H1>ping 192.168.1.2

Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time<1ms TTL=128

Ping statistics for 192.168.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

VLAN 생성

새로운 VLAN을 생성해 보겠습니다:

SW1(config)#vlan 50
SW1(config-vlan)#name Computers
SW1(config-vlan)#exit

이것이 VLAN을 생성하는 방법입니다. 원한다면 이름을 지정할 수 있지만, 이것은 선택 사항입니다. 여기서는 “Computers”라는 이름을 지정했습니다.

인터페이스를 VLAN에 할당

SW1(config)#interface fa0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 50

SW1(config)#interface fa0/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 50

먼저 switchport mode access 명령으로 포트를 액세스 모드로 설정합니다. 그런 다음 switchport access vlan 명령으로 인터페이스를 다른 VLAN으로 이동합니다.

SW1#show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- ----------------------------
1    default                          active    Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15,
                                                Fa0/23, Fa0/24, Gi0/2
50   Computers                        active    Fa0/1, Fa0/2

두 컴퓨터가 이제 VLAN 50에 있습니다.

설정 확인

show interfaces switchport 명령으로 상세 정보를 확인할 수 있습니다:

SW1#show interfaces fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 50 (Computers)
Trunking Native Mode VLAN: 1 (default)

Operational Mode가 “static access”이므로 액세스 모드로 동작 중이며, Access Mode VLAN이 50(Computers)으로 할당된 것을 확인할 수 있습니다.

최종 설정

hostname SW1
!
vlan 50
  name Computers
!
interface FastEthernet0/1
  switchport mode access
  switchport access vlan 50
!
interface FastEthernet0/2
  switchport mode access
  switchport access vlan 50
!
end
VLAN 소개 및 설정