VLAN과 트렁킹 — 가상 네트워크 분리 기법
VLAN은 하나의 물리 스위치를 여러 개의 논리 네트워크로 분리하는 기술입니다. 부서별 네트워크 분리, 보안 강화, 브로드캐스트 도메인 축소에 사용됩니다.
VLAN이란
VLAN(Virtual LAN) 은 물리적 네트워크 구성과 무관하게 논리적으로 네트워크를 분리 하는 기술입니다.
VLAN 없이:
스위치에 연결된 모든 장비 = 하나의 브로드캐스트 도메인
→ 브로드캐스트가 모든 장비에 전파
VLAN 있을 때:
VLAN 10 (개발팀): 포트 1, 2, 3
VLAN 20 (운영팀): 포트 4, 5, 6
→ VLAN 10의 브로드캐스트는 VLAN 20에 전파되지 않음
→ VLAN 간 통신은 라우터(L3) 필요
802.1Q 태깅
스위치 간 VLAN 정보를 전달하기 위해 이더넷 프레임에 VLAN 태그 를 추가합니다.
일반 이더넷 프레임:
│ 목적지MAC │ 출발지MAC │ Type │ Payload │ FCS │
802.1Q 태그 추가:
│ 목적지MAC │ 출발지MAC │ 0x8100 │ VLAN ID │ Type │ Payload │ FCS │
│ 4바이트 태그 │
│ VLAN ID: 12비트 │
│ (1~4094) │
포트 유형
| 유형 | 설명 | VLAN 태그 |
|---|---|---|
| Access 포트 | 하나의 VLAN에만 소속 | 태그 없이 전송 |
| Trunk 포트 | 여러 VLAN의 트래픽 전달 | 802.1Q 태그 포함 |
스위치 A 스위치 B
┌──────────┐ 트렁크 링크 ┌──────────┐
│ VLAN 10 │◄──────────►│ VLAN 10 │
│ VLAN 20 │ (태그 포함) │ VLAN 20 │
└──────────┘ └──────────┘
Access 포트 Access 포트
(태그 없음) (태그 없음)
Inter-VLAN 라우팅
VLAN 간 통신은 L3(라우터)가 필요합니다.
Router on a Stick: 하나의 라우터 인터페이스로 여러 VLAN 간 라우팅
라우터 (서브인터페이스)
├── eth0.10: 192.168.10.1/24 (VLAN 10 게이트웨이)
├── eth0.20: 192.168.20.1/24 (VLAN 20 게이트웨이)
│
트렁크 링크
│
스위치
├── VLAN 10: 192.168.10.x
└── VLAN 20: 192.168.20.x
핵심 포인트
- VLAN이 보안을 강화하는 이유: 브로드캐스트 도메인 분리 → ARP 스푸핑 범위 제한
- 트렁크 포트의 역할: 스위치 간 여러 VLAN 트래픽을 하나의 링크로 전달
- L3 스위치 vs 라우터: L3 스위치는 하드웨어로 Inter-VLAN 라우팅 → 더 빠름
정리
VLAN은 네트워크 설계의 기본입니다. 물리적 배선 변경 없이 논리적으로 네트워크를 분리하고, 보안과 성능을 향상시킵니다. 클라우드 VPC도 VLAN 개념의 확장이라고 볼 수 있습니다.