가상랜 VLAN

보통 기업 내부망 접근제어를 위해 VLAN(Virtual Local Area Network)을 많이 사용합니다. 망과 노드에 대해서 네트워크 트래픽을 분리하고 접근통제하기 위해 모든 것을 물리적으로 적용하면 훨씬 좋겠지만, 비용과 시간이 많이 들겠죠. 가상으로, 즉 논리적으로 망을 재구성할 수 있게 하는 것이 VLAN입니다.

VLAN 개념

VLAN은 물리적으로 혼재된 네트워크 노드들을 논리적으로 구성하여 워크그룹단위로 묶는 네트워크 표준입니다.

예를 들어, 기업내에서 부서별로 네트워크를 묶거나, 특정 업무에 관련된 PC들만 별도로 네트워크를 구성하는 등 필요에 따라 네트워크를 구성하거나 접근통제를 해야하는데 이럴 때 사용할 수 있는 것이 가상랜입니다.

<출처 : http://www.learncisco.net>

위 그림에서 VLAN2, VLAN3... 과 같이 VLAN옆에 붙은 숫자가 VLAN ID입니다. 같은 ID로 묶인 PC들이 같은 네트워크상에 있는 것입니다. VLAN이 없다면 그냥 다들 2개의 스위치에 연결된 상태이겠죠. 스위치에서 VLAN을 지원한다면 논리적으로 다시 구성할 수 있는 것입니다.

그러면 조금 더 자세히 들어가보겠습니다.

 IEEE 802.1Q

VLAN을 위한 표준입니다. Inter-Switch Link(ISL)은 시스코 스위치에서 지원하는 방식이고, IEEE 802.1Q가 표준입니다. 아래 그림은 802.1Q 태그에 대한 그림입니다.

<출처 : https://ciscohite.wordpress.com>

이 그림은 L2의 프레임입니다. DA, SA는 L2의 MAC주소인 일반적인 이더넷프레임에 파란색의 802.1Q VLAN TAG(4bytes)가 추가된 것입니다. OSI 7계층으로 보면 L2와 L3사이에 VLAN 계층이 하나 추가된거죠.

VLAN태그는 4바이트 이고, 그 4바이트는 두번째 라인처럼 구성되어 있습니다. 그중에 마지막 12bits에 해당하는 부분이 VLAN ID이고 12bits가 할당되어 0~4095까지 설정할 수 있죠.

VLAN TAG

• TPID(16bits) : VLAN 프로토콜임을 나타내는 0x8100 값을 가집니다.
• UP(3bits) : 우선순위로서 QoS에 활용합니다.0~7(3bits)까지 표현가능합니다.
• CFI(1bit) : MAC주소가 Canonical Format인지 여부를 나타내는 플래그입니다. Non-Canonical format을 가지는 토큰링을 구분할 수 있습니다.
• VLAN ID(12bits) : 가장 중요한 VLAN ID입니다. ID가 같은 PC들만 통신할 수 있습니다. 0~4095(12bits)까지 표현할 수 있습니다.

VLAN Trunk

스위치와 스위치 사이에 VLAN 프레임을 주고 받기 위한 통로를 트렁크(Trunk)라고 합니다.

 

서로 다른 스위치에 연결된 PC들을 같은 VLAN으로 묶을수도 있지요. 스위치간에 VLAN 구성에 대한 정보를 주고받기 위한 프로토콜을 VTP(VLAN Trunking Protocol)라고 합니다.

VLAN 구성방식

VLAN을 구성하는 대표적인 방법 3가지를 비교해보겠습니다.

구분	포트기반	MAC주소기반	IP주소기반
개념	스위치의 각 포트별로 구성	MAC주소를 이용하여 구성	IP주소를 이용하여 구성
Layer	1계층	2계층	3계층
장점	구성하기가 쉬움	VLAN변경시 물리적 변경없이 작업 가능	PC의 물리적 위치와 관계없이 설정 가능
단점	VLAN변경시 물리적으로 포트를 변경하는 작업필요	NIC추가 또는 변경 등 MAC주소 변경시 재설정 필요	DHCP 사용 어려움

마무리

VLAN을 사용하면 논리적으로 네트워크를 재구성할 수 있기 때문에 비용이 절감되겠죠. 그리고 스위치 레벨에서 접근통제를 할 수 있어 보안성이 강화됩니다.

보안담당자로서는 보안성에 집중하면 될테구요. 시스템간에 접근제어를 해야할 때 VLAN 활용을 고려해보시고, 포트/MAC/IP 등 구성방식에 따라 보안성을 참고하여 선택하면 되겠습니다.