VLANs

레이어-2 스위치 문제점

1. 스위치에 연결된 장치마다 개별읠 충동 도메인 세그먼트를 만들기 때문에 이더넷의 거리제한을 없앨 수 있다. 따라서 보다 큰 네트워크로 확장할 수 있지만 사용자의 수와 장치의 수가 더 많아지면 많아질수록 더 많은 브로드캐스트와 패킷을 핸들링해야 한다.

2. 용자가 네트워크에 연결된 모든 장치를 볼 수 있기 때문에 보안이 또 하나의 문제가 된다. 장치를 브로드캐스트의 대상에서 떼어놓는다던가 사용자에 의한 브로드캐스트의 응답을 회피할 수는 없다. 사용 가능한 보안장치로는 서버와 다른 장치에 대한 패스워드를 이용하는 것이다.

 

레이어-2 스위칭과 관련된 문제 해결책 : Virtual LAN

 

Broadcast Control

- 모든 프로토콜에서 브로드캐스트가 생길 수 있지만 인터네트워크를 통한 응용프로그램과 프로토콜, 그리고 어떤 서비스가 사용되는가에 따라서 브로드캐스트 발생횟수가 달라진다. 간혹 대욕폭에 대한 부하를 줄이기 위해서 오래전에 만들어진 응용 프로그램을 새로 작성하기도 한다.

- 광 대역폭과 부하가 크게 걸리는 응용프로그램으로 멀티미디어 응용 프로그램 있음. 이는 과도한 대역폭을 요구하고 멀티 브로드캐스트를 사용. 고장난 장치, 부적절하게 나누어진 세그먼트, 잘못 설계된 방화벽으로 인해 대량의 브로드캐스트를 발생시키는 응용 프로그램에 대하여 새로운 문제를 일으키기도 한다. 브로드캐스트는 스위치형 네트워크 전체에 전달하는 가능성이 있다. 네트워크 설계 그 자체를 검토하여 새로운 수단을 강구할 필요가 있다. 디폴트에서는 데이터는 발신 네트워크 내에서 브로드캐스트를 발신한다. 한편, 스위치는 모든 세그먼트에 브로드캐스트를 전달한다. 브로드캐스트 도메인이 하나이기 때문에 플랫 네트워크(flat network)라고 한다.

- 네트워크 관리자는 한 세그먼트의 문제가 다른 인터네트워크로 퍼져나가는 것을 방지하기 위해 네트워크를 몇 개의 세그먼트로 적절히 분할해야 함. 이를 위한 가장 효율적인 방법은 스위칭과 라우팅을 이용하는 것. VLAN 내의 모든 장치는 같은 브로드캐스트 도메인에 속해 있는 구성원이며 모든 브로드캐스트를 수신함. 기본값으로 브로드캐스트는 별개의 VLAN에 속하는 스위치의 포트에는 일체 송신되지 않는다.

- 레이어-3 스위치에 있는 ㄹ우터 또는 라우터 스위치 모듈(RSM)은 VLAN과 같은 네트워크와 연결되는 스위치와 같이 사용되어야 하며 브로드캐스트가 인터네트워크 전체로 전파되는 것을 멈출 수 있게 된다.

 

Security

- flat 인터네트워크 문제점 : 허브와 스위치를 라우터와 같이 연결시켜서 보안을 구현한다는 점. 보안은 라웉에 의해 유지되는데 실제 네트워크에 접근하는 누구라도 네트워크 리소스에 접근할 수 있음. 또한, 사용자가 허브를 통하여 네트워크 분석기를 접속하게 되면 네트워크의 모든 흐름을 볼 수 있음

- 또다른 문제로 사용자가 허브를 통하여 자신의 컴퓨터를 네트워크에 접속하는 것만으로도 작업그룹에 포함되는 것

- VLAN을 사용하여 여러개의 브로드캐스트 그룹을 생성하므로써 현재 네트워크 관리자가 각각의 포트와 사용자 제어가능. 사용자가 더 이상 스위치 포트에 자신의 컴퓨터를 접속하는 것으로는 네트워크 리소스에 접근할 수 없음. 관리자가 각각의 포트에 대하여 제어할 수 있으며 어떠한 리소스의 경우에도 사용허가를 내줄 수 있음

- 그들은 사용자가 요구하는 네트워크의 리소스에 따라서 생성될 수 있기 때문에 스위치로 하여금 허가되지 않은 네트워크 리소스의 사용을 네트워크 관리자에게 얄려주도록 설정할 수 있다. 만약에 inter-VLAN을 사용하는 경우가 발생한다면 라우터에 대한 접근제한 또한 가능. 하드웨어 어드레스에 대한 접근방지도 가능할뿐만 아니라, 프로토콜 및 응용 프로그램에 대한 접근 제한 가능

 

Flexibility and Scalability

- 레이어-2 스위치는 필터링을 하기 위해 프레임을 읽기만 할 뿐 스위치가 네트워크 레이어 프로토콜을 확인하지 않는다. 때문에 이것은 모든 브로드캐스트를 스위치가 전달하게 한다. 그러나, VLAN을 생성하는 것은 브로드캐스트 도메인을 만드는 것이 꼭 필요하다. 하나의 VLAN의 노드로부터 보내진 브로드캐스트는 다른 VLAN에서 구성되어진 포트에는 전달되지 않을 것이다. 스위치 포트를 등록하거나 VLAN의 그룹에 사용자를 등록하거나 연결된 스위치의 그룹(switch fabric)을 등록함으로써 네트워크 관리자가 등록하고자 하는 사용자의 실제 물리적인 위치와는 관계없이 브로드캐스트 도메인에 등록할 수 있는 유연성을 가질 수 있다. 이는 고장난 네트워크 인터페이스카드(NIC)나 전체 인터네트워크 작업을 통하여 전해지는 응용프로그램이 야기할 수 있는 브로드캐스트 폭주를 멈출 수 있다.

- VLAN이 너무 커졌을 때 여러 개의 VLAN을 만들어 큰 대역폭을 줄여 브로드캐스트를 유지할 수 있다.

- 하나의 VLAN에서는 사용자가 작을수록 브로드캐스트에 의한 영향을 받는 사용자는 더욱 줄어든다.

 

VLAN 구성원

- static VLAN : 정적 VLAN은 VLAN을 생성하는 전형적인 방법으로 보안수준이 가장 높다. VLAN을 등록한 스위치 포트는 관리자가 포트의 등록을 바꾸기 전까지 계속 유지된다. 이러한 방식의 VLAN 구성은 만들기 쉽고 모니터링 하기도 쉽다. 또한 네트워크에서 사용자가 이동하는 경우에도 잘 작동된다. 포트를 설정하기 위하여 네트워크 관리 프로그램을 사용하여 포트를 구성하는 것이 도움은 될 수 있지만 반드시 그렇게 할 필요가 있는 것은 아니다.

- dynamic VLAN : 동적인 VLAN은 자동적으로 노드의 VLAN을 등록하며 지능적 관리 프로그램을 이용하여 사용자가 하드웨어 어드레스(MAC addres)나 프로토콜, 심지어 동적인 VLAN을 생ㅅ어하는 프로그램을 이용하여 동적 VLAN을 작성할 수 있다. 예를 들어, 어떤 MAC 어드레스가 중앙의 VLAN 관리 프로그램에 들어온 경우를 가정할 때, 만일 할당되지 않은 스위치 포트에 노드가 접속된다면 VLAN 관리 데이터베이스는 하드웨어 어드레스를 참조하여 스위치 포트를 적절한 VLAN에 할당하여 설정한다. 이렇게 함으로써 네트워크 관리자가 좀더 쉽게 관리와 구성을 할 수 있게 된다. 만약 사용자가 이동하게 되면 스위치가 자동적으로 등록을 변경하여 VLAN을 구서알 것이다. 그러나 초기에 데이터베이스를 만들기 위한 더 많은 노력이 필요하다.

- Cisco 관리자는 VLAN 관리 정책 서버(VMPS : VLAN Management Policy Server)를 이용하여 동적 VLAN에 사용되는 MAC 어드레스의 데이터베이스를 생성할 수 있다. VMPS는 MAC 어드레스와 VLAN의 매핑 데이터베이스라고 할 수 있다

 

VLAN 식별

- VLAN은 연결된 다중 스위치를 확장할 수 있다. 이러한 스위치 그룹내의 스위치는 프레임을 추적해야 하며 그 프레임이 어떤 VLAN에 속하는가를 감시하여야 한다. frame tagging이 이러한 기능을 수행하여 스위치는 적절한 포트에 프레임을 지정할 수 있다.

- 엑세스 링크(Access link) : 하나의 VLAN에만 속하고 그 포트의 네이티브(native) VLAN으로 보이는 링크. 그러나 엑세스 링크에 부착된 어떤 장치도 VLAN의 구성원을 인식하지 못함. 이 장치는 실제 물리적 네트워크를 인식하는 것은 아니고 단지 브로드캐스트 도메인의 일부분인 것처럼 가정. 스위치가 액세스 링크 장치로 설정되기 전에 프레임에서 VLAN 정보를 제거함. 액세스 링크 장치는 라우터 전체에 패킷이 라우트 되지 않으면 자신의 VLAN 바깥의 장치와 통신할 수 없음

- 트렁크 링크(Trunk link) : 트렁크는 다중 VLAN을 전달할 수 있음. 원래 트렁크라는 용어는 다중통화를 처리할 수 있는 전화시스켐을 명명한 용어로서 그 이후에 트렁크 링크는 스위치와 다른 스위치를 연결하거나 스위치와 라우터 혹은 심지어 스위치와 서버를 연결하는데도 사용됨. 트렁크된 링크는 fast ethernet이나 gigabit ethernet에서만 지원된다.

- 프레임이 속한 VLAN을 ethernet 기술과 구분하기 위해서 cisco 스위치는 두 가지 다른 구분기법 ISL과 802.1q - 을 지원한다. 트렁크 링크는 장치 사이의 VLAN을 전달하고 모든 VLAN 또는 일부를 전달하는 것으로 구성할 수 있다. 트렁크 링크는 문제 발생시에 사용되는 네이티브 또는 디폴트로 VLAN을 갖는다.

 

Frame tagging

- 인터네트워크의 스위치에서는 스위치 망과 VLAN을 통과하는 사용자와 프레임에 대한 정보를 추적할 수 있는 방법이 필요하다. 스위치 망은 같은 VLAN의 정보를 공유하는 스위치의 그룹이다. 프레임 식별(frame tagging)은 사용자가 정의한 유일한 ID를 각각의 프레임에 등록한다. 이것은 때때로 VLAN ID 또는 color로 나타난다.

- cisco는 ethernet 프레임이 트렁크된 링크 사이를 움직일 때, frame tagging이 사용하도록 만들었다. VLAN 태그는 트렁크된 링크를 빠져나올 때 제거된다. 프레임이 도달하는 각각의 스위치는 VLAN ID를 식별하여야만 하고 필터 테이블에서 프레임을 어떻게 처리할 것인가를 결정하여야 한다. 만약 프레임이 또 다른 트렁크된 링크가 있는 스위치에 도달하게 되면 프레임이 트렁크 링크 포트에서 밀려나가게 될 것이다. 일단 프레임이 엑세스 링크에서 빠져나가게 되면 스위치가 VLAN 식별자를 제거할 것이다. 마지막 장치는 VLAN의 ID를 식별할 필요가 없고 이 프레임을 받아들인다.