VLAN: 네트워크 효율성과 보안을 극대화하는 가상 랜 기술 완벽 분석
🔹 VLAN이란?
1. VLAN(Virtual LAN)의 정의
VLAN(Virtual Local Area Network, 가상 LAN)은 하나의 물리적 네트워크를 여러 개의 논리적인 네트워크로 분할하는 기술입니다.
✅ VLAN의 주요 특징:
- 네트워크 분리 → 같은 스위치 내에서도 VLAN을 다르게 설정하여 분리 가능
- 보안 강화 → VLAN 간 트래픽이 격리되어 불필요한 접근 차단
- 네트워크 성능 향상 → 브로드캐스트 도메인(Broadcast Domain)을 축소하여 트래픽 감소
- 유연한 네트워크 구성 → 물리적인 위치와 관계없이 논리적으로 그룹 설정 가능
📌 VLAN은 기업, 데이터센터, ISP 환경에서 효율적인 네트워크 운영을 위해 필수적인 기술
🔹 VLAN의 주요 개념
✅ 1. 브로드캐스트 도메인(Broadcast Domain)과 VLAN
네트워크에서 브로드캐스트(Broadcast) 트래픽은 네트워크 성능에 영향을 미칠 수 있습니다.
✔️ VLAN을 사용하지 않는 경우:
- 네트워크 전체에 브로드캐스트 트래픽이 전달됨 → 네트워크 부하 증가
✔️ VLAN을 사용하는 경우: - VLAN별로 브로드캐스트 도메인이 분리됨 → 불필요한 트래픽 감소
📌 VLAN을 활용하면 브로드캐스트 트래픽을 제한하고, 네트워크 성능을 최적화 가능
✅ 2. VLAN ID 및 VLAN 태깅(Tagging)
✅ VLAN은 각 VLAN별로 VLAN ID(1~4094)를 사용하여 구분
- VLAN 1: 기본 VLAN (Default VLAN)
- VLAN 2~1001: 일반적으로 사용 가능한 VLAN
- VLAN 1002~1005: 예약된 VLAN (Cisco에서 사용)
- VLAN 1006~4094: 확장 VLAN
✔️ VLAN 태깅(VLAN Tagging) 기법:
| 태깅 방식 | 설명 | 사용 예 |
|-----------|------|------|
| Access 모드 | 단일 VLAN에 속하는 포트 | 일반 사용자 장치 (PC, 프린터) |
| Trunk 모드 | 여러 개의 VLAN을 하나의 링크로 전달 | 스위치 간 연결, 라우터 연결 |
| Native VLAN | 태깅 없이 기본 VLAN으로 전송 | 관리 VLAN (기본 VLAN 1) |
📌 트렁킹(Trunking)은 VLAN 간 데이터를 전송할 때 반드시 필요한 기술
🔹 VLAN 설정 방법 (Cisco 스위치 예제)
✅ 1. VLAN 생성 및 포트 할당 (Access 모드 설정)
✅ 각 포트를 특정 VLAN에 할당하는 방법
Switch(config)# vlan 10
Switch(config-vlan)# name SALES
Switch(config-vlan)# exit
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit📌 VLAN 10을 생성하고, FastEthernet 0/1 포트를 VLAN 10에 할당
✅ 2. VLAN 트렁킹(Trunk) 설정
✅ 여러 개의 VLAN을 스위치 간 연결하는 트렁크 포트 설정
Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# exit📌 트렁크 포트는 여러 VLAN의 트래픽을 하나의 링크로 전송 가능
✅ 3. Native VLAN 설정 (태깅 없이 전달되는 VLAN 지정)
✅ 트렁크 포트에서 기본 VLAN을 설정하여 태그 없는 트래픽을 전달
Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# exit📌 네이티브 VLAN을 변경하면 보안성이 향상됨 (기본 VLAN 1 사용 지양)
✅ 4. VLAN 간 라우팅 (Inter-VLAN Routing)
✅ 라우터 또는 L3 스위치를 사용하여 VLAN 간 통신 가능
✔️ 라우터에서 VLAN 라우팅 설정 예제 (Router-on-a-Stick 방식)
Router(config)# interface GigabitEthernet 0/1.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# exit📌 VLAN 10을 위한 서브인터페이스를 생성하여 라우팅 수행
🔹 VLAN의 장점과 단점
✅ 1. VLAN의 장점
✔️ 네트워크 트래픽 최적화 → 브로드캐스트 도메인을 분리하여 성능 향상
✔️ 보안 강화 → VLAN 간 격리로 불필요한 액세스 차단 가능
✔️ 유연한 네트워크 구성 → 장치의 물리적 위치와 관계없이 VLAN 그룹 설정 가능
✅ 2. VLAN의 단점
❌ VLAN 간 통신 불가 → 라우팅 장치(L3 스위치 또는 라우터)가 필요
❌ 잘못된 설정 시 보안 위험 존재 → VLAN 호핑 공격 가능
📌 적절한 VLAN 설정과 보안 정책을 통해 보안 위험을 줄일 수 있음
🔹 VLAN 관련 보안 이슈 및 해결 방법
✅ 1. VLAN 호핑(VLAN Hopping) 공격 방지
✅ 공격자가 트렁크 포트를 악용하여 VLAN 간 트래픽을 탈취할 가능성이 있음
✔️ 해결 방법:
- 사용하지 않는 포트는 비활성화 (
shutdown) - 트렁크 포트를 명시적으로 지정 (
switchport mode trunk) - 네이티브 VLAN을 변경하여 기본 VLAN 1 사용 방지
✔️ VLAN 보안 강화 설정 예제 (Cisco 스위치)
Switch(config)# interface GigabitEthernet 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport nonegotiate
Switch(config-if)# shutdown📌 이 설정을 적용하면 불필요한 포트를 비활성화하여 보안 강화 가능
📌 결론
✅ VLAN(Virtual LAN)은 네트워크를 논리적으로 분할하여 보안과 성능을 향상시키는 핵심 기술이다.
✅ VLAN을 사용하면 브로드캐스트 도메인을 줄이고, 네트워크를 효율적으로 운영할 수 있다.
✅ VLAN 간 통신을 위해서는 라우팅 장치(L3 스위치 또는 라우터)가 필요하다.
✅ 적절한 VLAN 보안 정책을 적용하여 네트워크 공격(VLAN 호핑 등)을 방지해야 한다.