VLAN( Virtual LAN )이란 Network Node들의 Physical Location와는 상관없이 다수의 Node들을 Broadcast Domain으로 Segment하는 방법으로 Group을 구성하는 것을 의미한다.
이로써 Network 상의 Resource와 User들을 여러 Workgroup으로 분리하여, Segment간의 Traffic을 현저하게 줄일수 있다.
VLAN은 Network Resource 사용을 오직 Authenticated User만이 이용할수 있도록 함으로써 Network Security를 향상시킨다.
결국. VLAN은 Network Resource Access를 제한함으로써 Security를 향상시키고, Broadcast Domain의 Size를 줄여서 Broadcast Traffic량을 줄이는 효과가 발생하고 결과적으로는 전체 Network Performance를 보다 향상시키게 되는 것이다.
( 그림1. Switch를 이용한 VLAN구현 )
VLAN을 구성하는 방법은 여러가지가 있다.
Switch의 Port를 기준, Device들의 MAC Address 기준 또는 사용자 지정 IP Address 그외 Protocol, Application별로 VLAN을 구성할 수 있다.
먼저 Switch Port를 기준으로 VLAN을 구성하는 Port-based VLAN에 대하여 살펴보자.
(표1. 6-port Switch를 이용한 Port-based VLAN 구성)
Port-based VLAN의 경우 [표 1]과 같이 Switch의 각 Port당 속할 VLAN Group을 지정해야된다.
만약 Computer가 Port 1에 연결되면, 영업(Sales) VLAN에 속하게 되고, Port 2에 연결되면, 관리자(Administration) VLAN에 속하게 된다.
만약 Port 4에 Hub를 연결하게되면, Hub에 연결된 모든 Station들은 동일한 Network Segment를 공유하기 때문에 Hub가 연결된 Port에 지정된 VLAN의 Member가 된다. (그림 2 참조 )
(그림2. Port-based VLAN )
모든 VLAN들이 공유해야하는 Resource가 있다면, Port-based VLAN에서는 Shared Resource에 대하여 VLAN를 중복하여 설정할 수 있다.
(표2. Overlapping VLAN 구성의 예)
결과적으로 Port 5에 연결된 Network Resource는 영업과 관리자 VLAN에 모두 속하는 Member가 되며, 양 VLAN에 속하는 다른 Member들이 Access할 수 있다.
이와 같이 Port-based VLAN은 VLAN 구성과 운영법을 쉽게 이해할 수 있다.
그러나 Administrator는 반드시 Switch Port에 지정된 VLAN Information을 관리하여, Network에 Computer가 추가, 이동시 동일한 VLAN의 Member가 될 수 있도록 Switch Port Connection에 주의해야 한다.
Port-based VLAN에서는 확장시 Port Management와 동일 Segment에서는 하나의 VLAN만이 구현되는 제한점이 있었다.
이러한 점을 보다 유연하게 관리하기 위한 방법으로 Network Device의 MAC Address-based VLAN 구성법이 있다.
(표 3. MAC Address-based VLAN )
[표 3]을 살펴보면, Switch Port-based VLAN에서 Port별로 해당 VLAN를 지정한 것과 같이 Network Device별로 해당 VLAN를 지정하는 방식으로 Port-based VLAN 구성과 크게 차이가 나지 않는다.
만약 Network 상에서 Computer가 추가, 삭제되어도 연결되는 Switch Port와는 무관하게 동일한 VLAN의 Member가 된다. 또한, Port에서 연결된 Hub로 구성한 Network Segment의 Computer들도 서로 다른 VLAN의 Member가 될 수 있다
(그림 3. MAC Address-based VLAN 구성)
하지만, MAC Address별로 해당되는 VLAN을 Administrator가 mapping하여 관리해야하기 때문에, Network Device가 많이 존재하는 Big Network에서는 다소 번거로울 것이다.
즉, NIC가 교체된다면, User의 VLAN이 변경될 수도 있고, Laptop과 같은 Mobile Computer를 사용하는 User에 대하여서도 추가적인 관리가 요구된다.
이처럼 MAC Address-base VLAN을 몇 백, 몇 천의 User로 구성된 Network에서 각각의 MAC Address를 Administrator가 수동으로 구성하는 방법은 현실적으로 어렵다.
사용자 지정 VLAN은 이러한 과정을 보다 쉽게 진행할수 있는 방법을 제공한다.
만약 TCP/IP Network Environment라면 구성된 Subnet별로 VLAN을 구성할 수 있다.
(표4. 사용자 지정 VLAN)
[표 4]를 살펴보면193.28.40.0과 193.28.41.0의 2개의 Subnet별로 영업과 관리자 VLAN으로 구성된다.
Small Network 또는 Network Member들의 이동이 빈번한 곳은 MAC Address-based VLAN이 적합하다.
그러나 사용자 지정 VLAN은 MAC Address 당 소속 VLAN을 표기한 DB를 구현하는데 보다 효율적이고, User의 NIC 교체에도 쉽게 대처할수 있지만, 각 Computer마다 Fixed IP Address를 사용해야 하는 단점이 있다. 즉, IP Address를 자동적으로 할당하는 DHCP는 사용하지 못한다.
[추가]
Protocol-based VLAN
- A switch is configured with a list of mapping layer 3 protocol types to VLAN membership - thereby filtering IP traffic from nearby end-stations using a particular protocol such as IPX.
- 이용하는 Protocol이 같으면 어디에 있든지 같은 VLAN을 이용할 수 있다.
- 대부분이 IP-based Network인 국내의 Network Environment에서는 그다지 큰 의미가 없다.
Multiple VLAN
- 두개 이상의 VLAN 구성방법을 동시에 사용한다.
댓글 없음:
댓글 쓰기