업데이트됨 1개월 전
물리적 네트워크에서는 위치가 곧 정체성입니다. 스위치에 케이블을 꽂으면 그 스위치의 네트워크에 속하게 됩니다. 스위치에 연결된 모든 장치는 서로 통신할 수 있습니다. 위치가 운명을 결정합니다.
VLAN은 이것을 뒤집습니다. VLAN은 스위치가 다른 질문을 하도록 합니다: "어디에 연결되어 있나요?"가 아니라 "누구와 통신해야 하나요?"라는 질문입니다.
같은 물리적 스위치에 연결된 두 장치가 완전히 낯선 사이가 될 수 있습니다—단 하나의 패킷도 주고받을 수 없게 됩니다. 건물 양끝에 있는 두 장치가 이웃이 되어, 바로 옆에 있는 것처럼 같은 브로드캐스트 도메인을 공유할 수 있습니다. 물리적 토폴로지는 제약이 아니라 하나의 참고 사항이 됩니다.
VLAN이 실제로 하는 일
VLAN은 태그입니다. 그게 전부입니다.
프레임이 스위치 포트로 들어오면, 스위치는 그 프레임에 VLAN 번호를 찍습니다. 그 순간부터 프레임은 같은 VLAN 번호를 가진 포트로만 이동합니다. VLAN 10에 있는 장치는 VLAN 10의 다른 장치에만 접근할 수 있습니다. VLAN 20에 있는 장치는 다른 행성에 있는 것이나 마찬가지입니다.
이 태깅은 IEEE 802.1Q 표준을 따르며, 이 표준은 이더넷 프레임 헤더에 4바이트를 추가합니다. 그 4바이트에 VLAN ID가 담겨 있으며, 이것이 프레임이 네트워크를 통해 이동하는 방식을 완전히 바꿉니다.
액세스 포트는 컴퓨터, 전화기, 프린터 같은 단말 장치에 연결됩니다. 스위치는 들어오는 트래픽을 특정 VLAN에 할당하고, 나가는 트래픽에서는 태그를 제거합니다. 단말 장치는 VLAN의 존재를 전혀 알 수 없습니다.
트렁크 포트는 스위치끼리(또는 스위치와 라우터 사이)를 연결합니다. 여러 VLAN의 트래픽을 동시에 전달하며, 태그를 유지해 다음 스위치가 각 프레임이 어디에 속하는지 알 수 있게 합니다.
브로드캐스트—"누구 듣고 있나요?" 메시지—는 VLAN 경계에서 멈춥니다. VLAN 10의 브로드캐스트는 VLAN 10의 모든 장치에 도달하고, 그 외에는 누구에게도 전달되지 않습니다. 이것이 VLAN이 성능을 향상시키는 이유입니다: 절대로 통신할 일 없는 장치들의 브로드캐스트에 잠기지 않아도 됩니다.
세 부서 문제
엔지니어링, 영업, 경영진이 있는 사무실을 생각해 보겠습니다. VLAN 없이는 두 가지 선택지밖에 없습니다:
선택지 1: 모든 사람을 하나의 네트워크에 넣습니다. 엔지니어링의 파일 공유가 영업 직원들에게 보입니다. 경영진의 기밀 트래픽이 모든 사람과 같은 선을 타고 흐릅니다. 영업 부서의 오작동하는 장치가 브로드캐스트 스톰을 일으켜 엔지니어링의 네트워크 연결을 마비시킵니다.
선택지 2: 각 부서마다 별도의 물리적 인프라를 구매합니다. 스위치 세 세트. 케이블 세 세트. 비용은 세 배, 유지관리도 세 배.
VLAN은 세 번째 선택지를 제공합니다: 물리적 네트워크 하나, 논리적 네트워크 셋. 엔지니어링은 VLAN 10, 영업은 VLAN 20, 경영진은 VLAN 30. 같은 스위치, 같은 케이블, 완전한 분리.
3층에서 1층으로 엔지니어를 이동시키고 싶으신가요? 해당 포트의 VLAN 할당을 바꾸면 됩니다. 재배선 없이. 현장에 나갈 필요도 없이. 설정 변경만으로.
VLAN 경계 넘기
VLAN은 벽을 만듭니다. 때로는 문도 필요합니다.
서로 다른 VLAN에 있는 장치들은 직접 통신할 수 없습니다—그것이 바로 핵심입니다. 하지만 엔지니어링에서 경영진 VLAN에 있는 서버에 접근해야 할 수도 있습니다. 영업 부서가 엔지니어링의 공유 자원에 접근해야 할 수도 있습니다.
이를 위해서는 라우터(또는 라우팅 기능을 갖춘 레이어 3 스위치)가 필요합니다. 라우터는 여러 VLAN에 인터페이스를 두고, 그 사이에서 트래픽을 전달하면서 접근 제어 규칙을 적용합니다. "엔지니어링은 경영진의 파일 서버에는 접근할 수 있지만, 인사 데이터베이스에는 접근할 수 없다."
이것을 VLAN 간 라우팅이라고 하며, 보안 정책이 적용되는 곳입니다. VLAN이 격리를 만들고, 라우팅이 통제된 예외를 만듭니다.
음성과 데이터: 이중 역할 포트
실용적인 문제가 있습니다: IP 전화기와 컴퓨터는 종종 같은 책상을 공유하지만, 음성 트래픽은 특별한 처리가 필요합니다—낮은 지연 시간, 높은 우선순위. 파일 다운로드 때문에 전화 통화가 물속에서 하는 것처럼 들리게 하고 싶지는 않을 겁니다.
해결책은 우아합니다. 하나의 스위치 포트가 두 개의 VLAN을 지원할 수 있습니다: 컴퓨터용 데이터 VLAN과 전화기용 음성 VLAN. 전화기를 스위치에 연결하고, 컴퓨터를 전화기에 연결합니다. 트래픽은 자동으로 분리됩니다.
그러면 스위치는 QoS 정책을 적용할 수 있습니다: 음성 VLAN 트래픽이 우선권을 가지고, 데이터 VLAN 트래픽은 순서를 기다립니다. 같은 물리적 포트지만, 논리적 소속에 따라 다른 처리를 받습니다.
트렁크: VLAN 고속도로
VLAN이 여러 스위치에 걸쳐 있을 때—그리고 대부분의 경우 그렇습니다—트렁크 링크가 스위치 사이의 트래픽을 전달합니다.
트렁크는 여러 VLAN의 프레임을 전달하는 단일 물리적 링크이며, 각 프레임에는 VLAN ID 태그가 붙어 있습니다. 프레임이 반대편에 도착하면, 수신 스위치는 태그를 읽고 프레임이 정확히 어디에 속하는지 알게 됩니다.
이것은 다음을 의미합니다: "이 포트는 트렁크입니다. VLAN 10, 20, 30의 트래픽을 전달하십시오. 나머지는 모두 버리십시오."
네이티브 VLAN은 트렁크에서 태그 없는 트래픽을 처리합니다. 태그 없이 프레임이 도착하면 네이티브 VLAN에 할당됩니다. 기본값은 VLAN 1이며, 이는 곧 다룰 보안 문제를 만들어냅니다.
VLAN 번호 체계
VLAN은 1에서 4094까지의 번호로 식별됩니다.
VLAN 1은 특별합니다—기본 VLAN이며, 특정 관리 트래픽을 전달합니다. 모범 사례: 운영 트래픽에는 사용하지 마십시오.
VLAN 2-1001은 표준 범위입니다. 대부분의 조직은 수십 개의 VLAN만 필요하므로 이 범위로 충분합니다.
VLAN 1006-4094는 대규모 배포를 위해 최신 스위치에서 사용할 수 있는 확장 범위입니다.
현명한 조직들은 번호 체계를 만들어 갑니다. VLAN 10-19는 A동, 20-29는 B동에 사용할 수 있습니다. VLAN 100은 항상 음성, VLAN 200은 항상 관리용으로 사용할 수 있습니다. 어떤 체계를 선택하느냐보다 하나를 정하고 일관성 있게 유지하는 것이 더 중요합니다.
발생할 수 있는 문제들
VLAN 불일치: 스위치 A의 트렁크는 VLAN 10, 20, 30을 허용합니다. 스위치 B의 트렁크는 VLAN 10, 20만 허용합니다. VLAN 30 트래픽이 스위치 B에서 사라져버립니다.
네이티브 VLAN 불일치: 연결된 두 스위치의 네이티브 VLAN이 다를 경우, 태그 없는 트래픽이 엉뚱한 곳에 도달하거나 아무 데도 가지 못합니다.
잘못된 VLAN의 액세스 포트: 장치가 포트 5에 연결되는데, 이 포트는 VLAN 20에 있습니다. 장치는 VLAN 10에 있어야 합니다. 잘못된 자원에는 접근할 수 있고, 올바른 자원에는 접근할 수 없게 됩니다. 이것은 마치 "네트워크 문제"처럼 보이지만 실제로는 설정 문제입니다.
액세스 포트로 잘못 설정된 트렁크: 두 스위치가 트렁크 대신 액세스 포트로 연결되어 있습니다. 하나의 VLAN만 작동하고, 나머지는 모두 아무런 경고 없이 버려집니다.
VLAN 호핑: 보안 위협
VLAN은 격리를 제공하지만, 그 격리는 공격받을 수 있습니다.
스위치 스푸핑: 공격자가 스위치를 속여 트렁크 연결을 맺게 합니다. 스위치 포트가 자동 협상 모드(많은 스위치에서 기본값)로 설정되어 있으면, 공격자는 "저도 스위치입니다, 트렁킹합시다"라고 선언하여 갑자기 그 트렁크의 모든 VLAN에 접근할 수 있게 됩니다.
이중 태깅: 이것은 교묘합니다. 네이티브 VLAN에 있는 공격자가 두 개의 VLAN 태그를 가진 프레임을 보냅니다—네이티브 VLAN과 일치하는 외부 태그와 목표 VLAN의 내부 태그. 첫 번째 스위치는 외부 태그를 벗겨냅니다(네이티브 VLAN 트래픽에 스위치가 하는 일). 내부 태그는 살아남습니다. 두 번째 스위치는 내부 태그를 보고 프레임을 목표 VLAN으로 전달합니다. 편지 속의 편지처럼—첫 번째 스위치가 겉봉투를 열고 자신의 역할이 끝났다고 생각합니다.
방어 방법:
- 포트를 자동 모드로 두지 마세요. 모든 포트를 명시적으로 액세스 또는 트렁크로 설정하세요.
- 네이티브 VLAN을 VLAN 1에서 사용하지 않는 VLAN으로 변경하세요.
- 사용하지 않는 포트를 비활성화하고 격리용 VLAN에 할당하세요.
- VLAN 내 트래픽을 필터링하기 위해 VLAN 접근 제어 목록을 사용하세요.
설계 원칙
목적이 있어서 VLAN을 만들어야지, 재미로 만들어서는 안 됩니다. 각 VLAN은 명확한 목적을 가져야 합니다: 보안 경계, 브로드캐스트 도메인, 공통 정책을 가진 장치 그룹. VLAN이 무분별하게 늘어나면—불명확한 목적을 가진 수십 개의 VLAN—네트워크 관리와 디버깅이 그만큼 더 어려워집니다.
VLAN 크기를 적절히 정하세요. /24 서브넷의 VLAN은 254개 장치를 지원합니다. 성장을 고려해 계획하되, "혹시 모르니까"라며 /16 VLAN을 만들지 마세요—브로드캐스트 트래픽이 후회를 안겨줄 겁니다.
모든 것을 문서화하세요. 누군가 "VLAN 47: B동 게스트 무선 네트워크"라고 기록해 두지 않으면, 6개월 후에는 VLAN 47이 무엇인지 아무도 모릅니다.
트렁크 용량을 계획하세요. 모든 VLAN의 스위치 간 트래픽이 트렁크 링크를 통해 흐릅니다. VLAN이 20개이고 1기가비트 트렁크 하나뿐이라면, 트렁크를 더 추가하거나 더 빠른 것으로 업그레이드해야 할 수도 있습니다.
더 깊은 의미
VLAN은 제어에 관한 것입니다. VLAN은 네트워크 관리자에게 물리적 인프라와 무관하게 누가 누구와 통신할 수 있는지 정의할 수 있는 권한을 줍니다.
VLAN 이전에는 네트워크 아키텍처가 케이블과 스위치에 의해 제약받았습니다. 부서를 이동하려면 재배선이 필요했습니다. 민감한 시스템을 격리하려면 별도의 하드웨어가 필요했습니다. 모든 변경이 건설 프로젝트였습니다.
VLAN은 네트워크 아키텍처를 설정의 문제로 만들었습니다. 물리적 레이어는 인프라가 되었습니다—중요하지만 운명은 아닌. 논리적 레이어가 설계가 이루어지는 공간이 되었습니다.
이것은 어디서나 볼 수 있는 가상화의 패턴입니다: 논리를 물리로부터 분리하면, 갑자기 고정되어 있던 것들을 재구성할 수 있게 됩니다. VLAN은 가상 머신이 서버에 대해 이것을 실현하기 수십 년 전에 네트워크 세그먼트에서 먼저 이것을 해냈습니다.
VLAN을 이해하면, 네트워크가 어떻게 프로그래밍 가능해졌는지 이해하게 됩니다.
VLAN에 관해 자주 묻는 질문
서로 다른 VLAN에 있는 장치들이 전혀 통신할 수 없나요?
아니요, 라우터나 레이어 3 스위치를 통해서는 통신할 수 있습니다. 라우터는 VLAN 사이의 게이트웨이 역할을 하며, 트래픽을 전달하고 접근 제어 규칙을 적용합니다. 라우터 없이는 VLAN이 완전히 격리되어—장치들은 서로의 존재조차 감지할 수 없습니다.
VLAN과 서브넷의 차이점은 무엇인가요?
VLAN은 레이어 2(이더넷 프레임)에서 작동하고, 서브넷은 레이어 3(IP 주소)에서 작동합니다. 실제로는 보통 일대일로 매핑됩니다: VLAN 10은 서브넷 10.0.10.0/24를, VLAN 20은 10.0.20.0/24를 사용합니다. 하지만 이들은 서로 관련된 문제를 해결하는 다른 메커니즘입니다—VLAN은 스위치 수준에서 어떤 장치가 서로 도달할 수 있는지를 제어하고, 서브넷은 IP 라우팅을 제어합니다.
스위치는 몇 개의 VLAN을 지원할 수 있나요?
802.1Q 표준은 VLAN ID를 1에서 4094까지 허용합니다. 대부분의 엔터프라이즈 스위치는 이를 모두 지원합니다. 실제로 대부분의 조직은 수십 개 이상의 VLAN이 필요하지 않습니다—복잡성은 혜택보다 빠르게 증가하기 때문입니다.
소규모 네트워크에도 VLAN이 필요한가요?
반드시 필요한 것은 아닙니다. 스위치 하나와 장치 십여 개로 구성된 가정용 네트워크나 소규모 사무실은 VLAN에서 큰 혜택을 받지 못합니다. VLAN의 가치는 격리가 필요할 때(기업 네트워크와 분리된 게스트 네트워크), 보안 경계가 필요할 때(업무용 컴퓨터와 분리된 IoT 장치), 또는 대규모에서 체계적인 정리가 필요할 때(여러 위치에 걸친 수백 개의 장치) 나타납니다.
VLAN을 전혀 설정하지 않으면 어떻게 되나요?
모든 포트는 기본적으로 VLAN 1이 됩니다. 모든 장치가 다른 모든 장치에 접근할 수 있습니다. 어떤 장치의 브로드캐스트든 모든 장치에 도달합니다. 소규모의 신뢰할 수 있는 네트워크에서는 잘 작동하지만, 네트워크가 커질수록 문제가 됩니다.
이 페이지가 도움이 되었나요?