VLAN(Virtual LAN) 기본 개념

 

  Virtual LAN

· 하나의 MAC Bridge 내의 여러 포트들을 복수개의 logical LAN segment로 나누어 Grouping 시키는 기술

· 각각의 VLAN은 별개의 Broadcast domain

· IEEE Std 802.1Q 1998 Edition

 

Why VLAN?

· 단일 Broadcast domain에 연결된 단말이 증가할수록 망의 대역폭이 낭비됨(Broadcast Traffic의증가)

· 단말(또는 단말들의 그룹) 간에 보안을 보장할 방안이 요구됨

    - VLAN 간의 Routing을 위한 별도의 방안이 마련되어있지않으면, VLAN 간에는 통신이 불가능함

 

 

 

· 하나의 LAN segment에 연결된 단말의 개수가 많아질수록 망성능의 저하현상발생(Broadcast traffic의증가)

→ Broadcast traffic은 각 VLAN 내에서만 전파되므로, 망전체의 대역폭이 그만큼 절약되어 더효율적으로 사용 가능

· 어떤 Broadcast traffic들이있는가?

  - ARP request, NetBIOS Name Query & Election, Unknown unicast, Unknown Multicast, …

· 하나의 LAN segment에 연결된 1000대의 단말이 1초 동안 하나의 Broadcast packet을 발생시켰다면, 각단말은 1초동안 999개의 Broadcast traffic 을 수신하게된다.

· 임의로 LAN segment를 나누어줄 방법이 필요해짐

· Virtual LAN (가상랜)

 

 

VLAN 종류

1) Port-based VLAN

  - tagged / Untagged Port

 

· Port 번호에 의한 VLAN 구분방법

  예) VLAN2 = {port 1,2,3,4}, VLAN3 = {port 5,6,7,8}, …

· 많은 단말이 하나의 LAN segment에 놓여있을 경우 개별 단말과 관계없는 다량의 Broadcast traffic으로 인해 Bridged LAN 전체의 대역폭이 불필요하게 낭비될 가능성이 점점 높아진다.

· Port-based VLAN을 설정해 마치 두대 이상의 HUB로 나뉘어진 것과 같은, traffic 유리화가 가능하다.

· 상용장비에서의 Port-based VLAN이란, VLAN tagging을 필요로 하지않는, 오로지 수신포트의 PVID에 의해서만 VLAN을 구분하는 방식을 가리키는 의미로 사용되나, 엄밀히 말하자면 VLAN tagging 하느냐에 관계없이 member port를 설정하는방식으로 VLAN을 정의하는 것이 모두 port-based VLAN이다.

 

※ Member Port

- VLAN 내의 Layer2 forwarding은, 동일 VLAN에 소속된 Port들 간에만 가능하다. (Ingress filtering이 Disable 로 설정되어있는 경우는 예외)

- Layer2 Forwarding이 가능한 논리적인 LAN segment를 가리키는 포트들의 집합을 member port 라고한다.

- 수신된 Frame이 VLAN100 소속으로 판별되었다고 할때, 일반적으로 수신포트와 출력포트가 모두 VLAN100의 멤버일 경우에만 Layer2 forwarding이 이루어진다. (Ingress filtering이 Disable로 설정되어 있는경우는 예외)

- 멤버포트는, CLI, SNMP 등을 이용해 고정으로 설정될 수도 있고, GVRP에 의해 동적으로 설정될 수도 있다.

 

· Port-based VLAN에서의 VLAN classification

- VLAN classification : 수신된 Ethernet frame이 어느 VLAN에 소속된 것인지 구분하는 일

 

· VLAN Tag에 의한 VLAN classification

- VLAN Tag : Ethernet Frame 내에 포함된 VLAN ID 값

 

2) Protocol-based VLAN

  - Ethernet Payload의 내용에 따라 별개의 Forwarding 정책을 적용하고 싶을때 사용함

 

·  Protocol-based VLAN에서의 VLAN classification

- Protocol의 구분 : Type field 및 Payload의 encapsulation 방법에 따라 구분됨

 

 

 

3) IP-based VLAN

  - Source IP address에 의해 VLAN을 구분하는 방법

 

4) MAC-based VLAN

 

▶ VLAN을 구분짓는 여러가지 기준들이 사용되어 왔으며, 이중 IEEE standard로 표준화된 것은 Port-based VLAN(tagged, untagged)과 Protocol-based VLAN(IEEE802.1v-2001)이다.

 

▶ Layer 2 switching에 의한 통신은 VLAN 내에서만 이루어진다.

 

 

 

VLAN tag와 관련한 Frame의 종류

· VLAN-tagged Frame

 - 32 bit (4 byte)의 VLAN tag field가 수록된 Ethernet Frame

 

· Untagged frame

 - VLAN tag field가 존재하지 않는 Ethernet Frame

 

· Priority-tagged frame

 - 32 bit의 VLAN tag field는 존재하지만 VID값이 0인 경우( 이 경우 해당 Frame은 VLAN untagged인 경우로 인식된다)

 - 오직3 bit priority 값만을 표시해 주고자 할때 사용될수있다.

 - 정상적인 VLAN Bridge는 priority-tagged frame을 발생시키지 않는다.

   - 포트의 tagging 관련 설정에는 VLAN-tag를 붙이느냐, 안붙이느냐만이 있기때문에 priority tagged는발생할 수 없게 되어있다.

 

 - priority 값을 표시할 수 있는 단말만이 이 frame을 발생시킬 수있다.

 

 

VLAN-tagged frame

 

 

VLAN Bridge의 포트별 변수들

 

· Port State

- STP 관점에서의 Port State

- STP enable 일 때에는 STP 알고리즘에 의해 결정

- STP disable 일 때에는, Link Up이면 곧바로 “Forwarding state”, Link Down이면 “Disabled state”

 

· Acceptable Frame Types

- Admit Only VLAN-tagged frames

- Admit All frames

 

· Port VLAN Identifier (PVID)

- untagged frame 또는 priority-tagged frame이 수신되었을때 해당 frame의 VID는, 수신 포트에 설정된PVID값을 따른다.

 

· Ingress Filtering

 - Enable or Disable

 

※Port VLAN Identifier (PVID)

· Untagged Frame이 수신되었을때, 이 Frame이 어느 VLAN 소속인지를 결정하기위해 각 포트별로 설정하는VLAN ID 값.

· tag가 없는 Frame 또는 priority tag만 달려있는Frame은, 수신포트의 PVID값이 가리키는 VLAN에 소속된Frame으로 인식된다.

 

 

※Ingress Rule

· 수신된 Frame이 어느 VLAN에 속하는지(Frame의 VID를) 판단하고, 수신을 취소하고 Frame을 버릴 것인지여부를 결정할 수 있는 판단기준

 

①VLAN Classification: 수신 frame의 VID를 결정

· 수신된 Frame의 VID값이 0이면(untagged frame or priority-tagged frame)

- “Acceptable Frame Types”값이“Admit Only VLAN-tagged frames”이면, 수신 Frame을 버린다.

- Port-based VLAN 이외의 VLAN classification을 지원하는 경우, 해당 방법을 적용해 VID가 얻어졌다면 그VID값을 사용함. (IP-based VLAN, MAC address based VLAN, Protocol VLAN, etc.)

- Port-based VLAN만을 지원하거나, 그외의 classification 방법에 의해 VID가 얻어지지 않았다면, 수신포트의 PVID값에 의해 frame의 VID를 결정

· 수신된 Frame 자체에 VID값이 존재하면 그값을 사용(VLAN-tagged frame)

· VID = 0xFFF (4095) 이면 Frame을 버린다.

 

②Ingress Filtering = Enable 인 경우, 수신포트가 VLAN “VID”의 member가 아니면 Frame을 버린다. 위 판별과정에서 버려지지않은 Frame은 Forwarding/Learning 대상이 된다.

 

 

※Egress Rule

· Frame을 전송할 포트(들) 및 전송될 Frame의 형태(Format)을 결정하는 기준들

 - 출력포트가, frame이 속한 VLAN의 멤버가 아니면 Discard.

 - Frame이 속한 VLAN에서 출력포트가 untagged port로 설정되어 있으면 VLAN tag를 붙이지않는다. (VLAN tag를 제거한다.)

 - 그렇지않으면 해당 VID를 VLAN tag에 수록하여 frame에 덧붙인다.

 

 

Filtering Database architecture

·Shared VLAN learning

 - 하나의 VLAN에서 동적으로 배운 MAC주소를 타VLAN의 MAC주소 정보와 통합해 관리

 - 즉, SVL Bridge에서는 복수개의 VLAN에서 배운 MAC주소 정보가 하나의 address table에 통합관리된다.

 - VLAN100에서 배워진 MAC주소가 VLAN200에서 새로 등장하면 그주소는 VLAN100에서 삭제되고 VLAN200에만 존재하는 것으로 인식된다.

 

· Independent VLAN learning

 - 한 VLAN에서 배운 MAC주소 정보가 타VLAN에서 배운 정보와 별개로 관리된다.

 - IVL Bridge에서는, 하나의 MAC주소 정보가 복수의 VLAN 상에 동시에나타날 수 있다.

 - 이는, 각 VLAN별로 별개의 address table이 존재하는 것과 같은 효과를 나타낸다.

 

· SVL/IVL Bridge

 

 - SVL과 IVL을 모두 지원하는 Bridge

 

1) Shared VLAN Learning

 

 · 실제 Address Table 모양

 

 

 

2) Independent VLAN Learning

 

Multi-VLAN

 · 하나의 포트가 여러 VLAN에 소속되는 설정을 통상적으로 Multi-VLAN(중첩VLAN)이라함

 

 · 각 가입자 포트간에 보안을 유지하면서 모든 가입자가 Uplink와의 통신을 할 수 있도록 하기위해, untagged multi-VLAN 설정이 널리 사용된다.

 

 

 

 

 · 각 단말의 traffic은 Uplink Port로만 전달됨

 · 위에서 아래로 내려오는 Broadcast traffic은 하위 모든 포트에 전달됨

 · 최상위 uplink port에 연결된 Router는 모든 단말과 통신이 가능

 

 · 맨밑에 있는 가입자들은 서로 통신이 불가능

 

 

Private VLAN

 · 하나의 VLAN 안에서, 하나의 Uplink Port와 Client Port(가입자포트)를 설정함

 · 가입자 포트에서 수신된 패킷은, 오직 Uplink Port로만 갈 수 있고, 다른 가입자포트로는 전달되지않음

 

 · Uplink Port에 들어온 패킷은 어떤 가입자포트로도 전달될수있음

 

 

 

802.1Q Trunking

 

 

Trunk Link : 두 Bridge의 VLAN Multiplexing에 이용됨. 즉, 두 VLAN의 frame이 모두 통과됨

Access Link : VLAN tag를 달지않은 frame이 수신되어 PVID값에 따라 VLAN이 결정됨

 

 

*출처 : 넷매니아즈

 

 

광고 수익은 기부 활동에 사용됩니다

정보를 얻으신 분들은 광고 클릭 부탁드려요 :)