Обновено преди 1 месец
VLAN은 벽을 만들기 위해 존재합니다. VLAN 간 라우팅은 그 벽에 문이 필요하기 때문에 존재합니다.
이것이 VLAN 설계의 근본적인 딜레마입니다. 보안과 조직화를 위해 네트워크를 격리된 브로드캐스트 도메인으로 분할했다가, 곧바로 서로 다른 세그먼트의 장치들이 통신해야 하는 상황이 생깁니다. 직원들은 서버에 접근해야 하고, 서버는 데이터베이스에 접근해야 하며, 모두가 프린터를 사용해야 합니다.
해결책은 라우팅입니다. VLAN은 2계층 구조입니다—이더넷 수준에서 격리합니다. VLAN 간에 트래픽이 이동하려면 3계층으로 올라가서 라우팅 결정을 내리고, 목적지 VLAN의 2계층으로 다시 내려와야 합니다. 이를 통해 격리만으로는 얻을 수 없는 것을 얻게 됩니다. 어떤 트래픽이 어디로 흐르는지에 대한 정책이 적용된 통제된 통신입니다.
작동 방식
VLAN 10의 장치가 VLAN 20의 장치에 연결하려고 합니다. 목적지가 다른 서브넷에 있다는 것을 인식하고, VLAN 10에 위치한 라우터 또는 3계층 스위치인 기본 게이트웨이로 트래픽을 전송합니다.
라우팅 장치는 패킷을 받아 목적지 IP를 확인하고, 라우팅 테이블을 조회한 다음, VLAN 20의 인터페이스로 패킷을 전달합니다. 목적지 장치가 패킷을 수신합니다. 어떤 엔드포인트도 VLAN이 관여했다는 것을 알거나 신경 쓰지 않습니다—일반적인 라우팅 통신처럼 보입니다.
핵심 요건: 라우팅 장치는 각 VLAN에 인터페이스(물리적 또는 가상)를 가지고 있어야 하며, 해당 VLAN의 게이트웨이 역할을 하는 IP 주소가 있어야 합니다.
라우터-온-어-스틱
전통적인 방식은 트렁크 링크를 통해 스위치에 연결된 단일 물리적 라우터를 사용합니다.
각 서브인터페이스는 하나의 VLAN을 처리합니다. .10 서브인터페이스는 트래픽에 VLAN 10 태그를 붙이고, .20은 VLAN 20 태그를 붙입니다.
바로 여기서 다소 황당한 일이 벌어집니다. VLAN 10에서 VLAN 20으로 패킷이 이동할 때, 패킷은 트렁크 포트를 통해 스위치를 떠나 라우터로 이동하고, 라우터는 VLAN 10 태그를 제거한 다음 라우팅 결정을 내리고, VLAN 20 태그를 붙인 후 바로 같은 스위치로 돌려보냅니다. 패킷은 단순히 태그를 바꾸기 위해 왕복 여행을 하는 셈입니다.
이 방식은 작동합니다. 이해하고 구성하기도 간단합니다. 하지만 그 단일 트렁크 링크가 양방향으로 모든 VLAN 간 트래픽을 처리해야 하므로 자연스러운 병목이 됩니다. 그리고 모든 패킷은 외부 장치를 왕복하는 지연 비용을 치릅니다.
3계층 스위칭
현대 네트워크는 스위치 내부에서 VLAN 간 라우팅을 수행합니다.
SVI(Switch Virtual Interface, 스위치 가상 인터페이스)는 각 VLAN을 나타내는 논리적 인터페이스입니다. 3계층 스위치는 하드웨어에서 라우팅을 수행합니다—VLAN 내에서 회선 속도로 트래픽을 전달하는 동일한 ASIC이 VLAN 간 라우팅도 처리합니다.
외부 라우터도 없습니다. 트렁크 링크를 통한 왕복도 없습니다. 트래픽이 스위치에 들어오면 내부적으로 라우팅되어 목적지로 나갑니다. 이는 일반 스위칭과 동일한 속도로 이루어집니다—마이크로초 수준의 지연 시간으로 수 테라비트의 처리량을 제공합니다.
단점은 3계층 스위치가 2계층 스위치보다 비싸다는 것입니다. 하지만 VLAN 간 트래픽이 중요한 네트워크라면, 성능 차이 때문에 이것이 명백한 선택입니다.
라우티드 포트
3계층 스위치는 물리적 포트를 순수 라우터 인터페이스로 전환할 수도 있습니다.
no switchport 명령어는 해당 포트의 성격을 바꿉니다. 이 포트는 더 이상 VLAN이나 스패닝 트리에 참여하지 않으며, 라우터나 WAN 링크, 또는 다른 3계층 장치에 연결하기 위한 3계층 인터페이스로 동작합니다.
경계 보안
VLAN 간 라우팅은 정책을 적용하는 지점입니다. VLAN 경계를 넘는 트래픽은 라우팅 결정을 통과하므로, 접근 제어를 위한 자연스러운 통제 지점이 됩니다.
이 설정은 직원들(VLAN 10)이 HTTPS와 RDP를 통해서만 서버(VLAN 20)에 접근할 수 있도록 허용합니다. 그 외 모든 트래픽은 차단되고 기록됩니다.
원칙: 기본적으로 차단하고, 명시적으로 허용합니다. VLAN이 벽을 만들었고, ACL이 어떤 문에 누가 열쇠를 가질지 결정합니다.
설계 패턴
중앙 집중식 라우팅: 모든 VLAN 간 라우팅은 코어 3계층 스위치에서 이루어집니다. 액세스 스위치는 2계층만 사용합니다. 관리하기 간단하지만, 라우팅된 모든 트래픽이 코어로 흐릅니다.
분산 라우팅: 네트워크 전반의 3계층 스위치가 각 구역에서 로컬로 라우팅합니다. 코어 트래픽을 줄이지만 구성 복잡성이 증가합니다.
통합 코어: 소규모 네트워크는 배포 계층과 코어 기능을 하나의 3계층 스위치 세트로 통합합니다. 대부분의 조직에서 일반적이고 실용적인 방식입니다.
문제 해결
VLAN 간 라우팅에 문제가 생기면 다음 순서대로 확인하세요.
라우팅이 활성화되어 있나요? 3계층 스위치는 ip routing이 명시적으로 활성화되어야 합니다. 활성화하지 않으면 비싼 2계층 스위치에 불과합니다.
SVI가 활성 상태인가요? 해당 VLAN에 활성 포트가 없으면 SVI는 비활성 상태를 유지합니다. show ip interface brief로 확인하세요.
라우팅 경로가 있나요? 라우팅 장치는 출발지 및 목적지 서브넷 모두에 대한 경로가 있어야 합니다. 라우팅 테이블을 확인하세요.
게이트웨이가 올바른가요? 최종 장치는 SVI의 IP 주소를 기본 게이트웨이로 사용해야 합니다. 게이트웨이가 잘못 설정되면 트래픽이 라우터에 도달하지 않습니다.
ACL이 차단하고 있나요? 액세스 리스트의 일치 횟수를 확인하세요. 지나치게 제한적인 규칙이 흔한 원인입니다.
ARP가 작동하고 있나요? 라우팅 장치는 목적지 MAC 주소를 확인할 수 있어야 합니다. 특정 호스트에 접근할 수 없는 경우 ARP 테이블을 확인하세요.
VLAN 간 라우팅에 관한 자주 묻는 질문
서로 다른 VLAN의 장치들이 직접 통신할 수 없는 이유는 무엇인가요?
VLAN은 별도의 브로드캐스트 도메인을 만드는 2계층 구조입니다. 서로 다른 VLAN의 장치들은 물리적으로 분리된 네트워크의 장치들만큼이나 격리되어 있으며, 서로 다른 두 IP 서브넷 사이에서처럼 트래픽을 전달하려면 라우터가 필요합니다.
라우터-온-어-스틱과 3계층 스위칭 중 어떤 것을 사용해야 하나요?
라우터-온-어-스틱은 VLAN 간 트래픽이 적고 기존 라우터가 있는 소규모 네트워크에 적합합니다. 3계층 스위칭은 VLAN 간 트래픽이 많은 경우에 더 적합합니다—회선 속도 성능과 트렁크 병목 제거가 대부분의 운영 환경에서 비용을 충분히 정당화합니다.
각 VLAN에 별도의 IP 서브넷이 필요한가요?
네, 필요합니다. 각 VLAN에는 자체 IP 서브넷이 있어야 하고, 라우팅 장치는 기본 게이트웨이로 동작하기 위해 각 서브넷에 IP 주소가 필요합니다. 이것이 VLAN 간 라우팅의 기본 원리입니다—서로 다른 VLAN은 서로 다른 서브넷을 의미하므로 라우팅이 반드시 필요합니다.
일부 VLAN이 다른 VLAN과 라우팅되지 않도록 할 수 있나요?
물론입니다. 완전히 격리하려는 VLAN에 대해 SVI나 서브인터페이스를 만들지 않으면 됩니다. 또는 인터페이스를 만들되 ACL을 사용하여 모든 트래픽을 차단할 수 있습니다. 이는 인터넷에는 접근해야 하지만 내부 리소스에는 접근하지 않아야 하는 게스트 네트워크나 격리 VLAN에서 흔히 사용하는 방식입니다.
Беше ли полезна тази страница?