맨위로가기

가상 랜

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

가상 랜(VLAN)은 하나의 물리적 네트워크를 여러 개의 논리적인 네트워크로 분할하여 네트워크의 확장성, 보안, 트래픽 관리 효율성을 높이는 기술이다. 1980년대 W. 데이비드 신코스키가 이더넷 네트워크 확장을 위해 개발했으며, 각 이더넷 패킷에 태그를 추가하여 네트워크를 분할하는 방식을 사용한다. IEEE 802.1Q 표준이 널리 사용되며, 이더넷 프레임에 VLAN 태그를 추가하여 VLAN을 식별한다. VLAN은 기업, 학교, 데이터 센터, 클라우드 컴퓨팅 등 다양한 환경에서 활용되며, 네트워크를 부서별, 용도별로 분리하여 보안을 강화하고 트래픽을 효율적으로 관리하는 데 기여한다.

더 읽어볼만한 페이지

  • 근거리 통신망 - Open vSwitch
  • 근거리 통신망 - 스토리지 에어리어 네트워크
    스토리지 에어리어 네트워크(SAN)는 데이터 스토리지를 위한 전용 네트워크로서, 여러 스토리지 장치를 통합하여 서버 간에 리소스 공유를 목적으로 하며, 자동 백업 및 모니터링을 지원하고 파이버 채널, iSCSI 등의 프로토콜과 호스트, 패브릭, 스토리지의 세 계층으로 구성된다.
가상 랜
네트워크 기본 정보
이름가상 랜
다른 이름가상 근거리 통신망
설명데이터 링크 계층에서 분리된 네트워크 통신 도메인

2. 역사

W. 데이비드 신코스키 박사가 VLAN을 발명하고, 이후 표준화 과정을 거쳐 현대 네트워크에서 널리 사용되기까지의 과정을 요약하면 다음과 같다.

VLAN 기술은 이더넷 스위치를 이용한 네트워크 확장 과정에서 발생하는 병목 현상과 대역폭 제한 문제를 해결하기 위해 고안되었다. 신코스키 박사는 이더넷 프레임에 태그(색)를 추가하여 각 스위치가 특정 색의 패킷만 처리하도록 하는 방식으로 네트워크를 논리적으로 분할하는 VLAN 개념을 발명했다. 이는 네트워크 대역폭을 효율적으로 사용하고, 스패닝 트리 구성의 제약을 완화하는 데 기여했다.

IEEE 802.1Q 표준은 1998년에 처음 제정되어 이더넷 VLAN 기술 확산에 기여하였다.[9] 이후 지속적인 표준화와 기술 발전을 통해 VLAN은 현대 네트워크의 핵심 기술로 자리 잡았다.

2. 1. 초기 역사

W. 데이비드 신코스키 박사는 1983년부터 1984년까지 VoE(Voice over Ethernet) 실험을 성공적으로 마친 후 벨코어에 합류하여 이더넷 네트워크 확장 문제를 다루기 시작했다.[26] 당시 초당 의 이더넷은 대부분의 다른 대안들보다 빨랐지만, 브로드캐스트 네트워크였기 때문에 여러 이더넷 네트워크를 하나로 연결하기 어려웠다. 이더넷 네트워크의 전체 대역폭은 초당 로 제한되었고, 두 노드 간 최대 거리는 몇 백 피트에 불과했다.

반면, 기존 전화망의 개별 연결 최고 속도는 초당 (이더넷 속도의 1/100)였지만, 총 네트워크 대역은 초당 로 추산되었다.

IP 라우팅을 사용하여 여러 이더넷 네트워크를 묶을 수 있었지만, 당시 VAX-11/780 컴퓨터들은 대수마다 공통적으로 400000USD의 라우터를 사용했고, 전체 처리량은 이더넷 속도보다 상당히 낮았다. 신코스키 박사는 패킷 당 처리량을 덜 요구하는 대안을 찾기 시작했고, 이 과정에서 스스로 학습하는 이더넷 스위치를 독자적으로 재발명하였다.[26]

그러나 여러 이더넷 스위치를 연결하기 위해 스위치를 사용하면 네트워크를 통한 과잉 경로가 필요하므로 신장 트리 구성이 필요했다. 이는 어떠한 노드로부터 네트워크의 도착지에 이르기까지 하나의 활성화된 경로만 있어야 한다는 것을 의미했다. 이로 인해 중심에 위치한 스위치들은 병목 현상을 겪게 되어, 더 많은 네트워크가 상호 연결될수록 망의 크기 확장에 제약이 생겼다.

이 문제를 완화하기 위해 신코스키 박사는 각 이더넷 패킷에 태그를 추가하는 방식으로 VLAN을 발명했다. 이러한 태그는 빨강, 초록, 파랑과 같은 여러 색으로 간주할 수 있었다. 그 후 각 스위치는 하나의 색의 패킷을 처리하고 나머지는 무시하도록 할당되었다. 이 네트워크들은 세 개의 각기 다른 신장 트리(빨간 신장 트리, 초록 신장 트리, 파랑 신장 트리)와 상호 연결할 수 있었다. 여러 패킷 색을 송신함으로써 총 대역폭을 개선할 수 있었다. 신코스키 박사는 이를 다중 트리 브리지(multitree bridge)라고 불렀다. 그와 체이스 커튼(Chase Cotton)은 이 시스템을 편리하게 만드는 데 필수적인 알고리즘(대형 네트워크를 위한 확장된 브리지 알고리즘: Extended Bridge Algorithms for Large Networks)을 개발하고 개선했다.[27]

이 "색"은 현재 이더넷 프레임에서 IEEE 802.1Q 헤더, 즉 VLAN 태그로 알려져 있다. VLAN은 현대 이더넷 네트워크에서 일반적으로 사용되지만, 가상랜의 원래 취지로는 잘 사용되지 않는다.

2. 2. 표준화 및 발전

IEEE 802.1Q 표준은 1998년에 처음 제정되어 이더넷 VLAN 기술 확산에 기여하였다.[9] 이 표준은 서로 다른 벤더 장비 간의 호환성을 제공하며, VLAN 태그를 사용하여 네트워크를 논리적으로 분할하는 방식을 정의한다. 여기서 '색'은 현재 이더넷 프레임에서 IEEE 802.1Q 헤더, 즉 VLAN 태그로 알려져 있다. VLAN은 현대 이더넷 네트워크에서 일반적으로 사용되지만, 가상랜의 원래 취지로는 잘 사용되지 않는다.

초창기에는 시스코의 ISL 등 독자적인 프로토콜도 있었지만, 현재는 802.1Q가 사실상의 표준으로 자리매김하였다. 이후 IEEE 802.1ad로 확장되어 중첩된 VLAN 태그를 허용하는 제공자 브리징 서비스를 지원하게 되었으며, 이 메커니즘은 IEEE 802.1ah-2008에서 더욱 개선되었다.

2. 3. 한국에서의 VLAN 도입 및 발전

한국에서는 1990년대 후반부터 기업 및 공공기관을 중심으로 VLAN 기술이 도입되기 시작했다. 초기에는 네트워크 트래픽 관리 및 보안 강화를 위해 주로 사용되었으며, 2000년대 이후 클라우드 컴퓨팅 환경이 확산되면서 가상 머신 간 네트워크 분리 및 보안 강화를 위해 VLAN의 활용이 더욱 확대되었다.

3. VLAN 도입의 동기

VLAN(가상 랜) 기술은 기존의 물리적인 네트워크 구성 방식의 한계를 극복하고, 네트워크 관리 효율성을 높이기 위해 도입되었다. VLAN은 다음과 같은 주요 목적을 갖는다.


  • 네트워크 대규모화에 따른 브로드캐스트 도메인 분할 및 통신 대역폭 확보.[12]
  • VLAN 간 액세스 제한을 통한 네트워크 보안 강화.[12]
  • LAN 구성에 필요한 네트워크 장비 수 감소.[12]


VLAN은 OSI 모델의 데이터 링크 계층에서 작동하며, 관리자는 VLAN을 IP 네트워크 또는 서브넷에 직접 매핑하도록 구성하여 네트워크 계층을 포함하는 것처럼 보이게 할 수 있다. 일반적으로 동일 조직 내 VLAN들은 서로 겹치지 않는 다른 네트워크 주소 범위를 할당받는다.

3. 1. 네트워크 확장성 및 유연성

VLAN은 물리적인 네트워크 토폴로지에 제약받지 않고 논리적으로 네트워크를 구성할 수 있게 해준다. 이를 통해 사용자의 위치 이동이나 네트워크 재구성에 따른 변경 작업을 최소화하고, 네트워크 확장성을 높일 수 있다.[3]

과거의 네트워크에서는 사용자들이 지리적 위치에 따라 네트워크에 할당되었으므로 물리적 토폴로지와 거리에 제약을 받았다. 그러나 VLAN을 사용하면 사용자의 네트워크 위치를 물리적 위치와 분리하여 네트워크를 논리적으로 그룹화할 수 있다. VLAN은 트래픽 패턴을 제어하고, 직원 또는 장비 이동에 빠르게 대응할 수 있도록 돕는다. 또한 네트워크 요구 사항 변화에 유연하게 대처하고 관리를 단순화하는 데 기여한다.[3]

VLAN을 지원하는 기술은 다음과 같다.

기술
비동기 전송 모드 (ATM)
광섬유 분산 데이터 인터페이스 (FDDI)
이더넷
하이퍼소켓
인피니밴드


3. 2. 보안 강화

VLAN은 네트워크를 논리적으로 분리하여 서로 다른 부서나 사용자 그룹 간의 트래픽을 격리한다. 이를 통해 불필요한 접근을 차단하고, 네트워크 보안을 강화할 수 있다.[25] 특히, 민감한 정보를 다루는 부서나 외부 네트워크와의 연결이 필요한 경우에는 VLAN을 통해 보안을 강화하는 것이 중요하다.[25]

VLAN은 확장성, 보안 및 네트워크 관리와 같은 문제를 해결하며[25], 네트워크 설계자는 네트워크 분할을 제공하기 위해 VLAN을 설정한다. VLAN 간의 라우터는 브로드캐스트 트래픽을 필터링하고, 네트워크 보안을 강화하며, 주소 요약을 수행하고, 네트워크 정체를 완화한다.[25]

VLAN은 학교나 작업 환경에서도 사용할 수 있으므로 근거리 통신망에 더 쉬운 접근과 관리를 가능하게 할 뿐만 아니라 네트워크의 붕괴를 방지한다.

클라우드 컴퓨팅에서 VLAN, IP 주소, MAC 주소는 최종 사용자가 관리할 수 있는 리소스이다. 보안 문제를 피하기 위해서는 클라우드 기반 가상 머신을 인터넷보다는 VLAN에 위치시키는 것이 더 바람직하다.[25]

3. 3. 트래픽 관리 효율성 증대

VLAN은 브로드캐스트 도메인을 분할하여 불필요한 브로드캐스트 트래픽을 줄인다. 네트워크에서 서비스 검색에 브로드캐스트를 사용하면, 피어 수가 증가함에 따라 브로드캐스트 빈도도 증가한다. VLAN은 여러 개의 브로드캐스트 도메인을 형성하여 이러한 트래픽을 관리하는 데 도움을 준다.[3] 대규모 네트워크를 더 작고 독립적인 세그먼트로 나누면 각 장치와 세그먼트가 감당해야 하는 브로드캐스트 트래픽의 양이 줄어든다. 스위치는 VLAN 간의 네트워크 트래픽을 브리지하지 않을 수 있는데, 이는 VLAN 브로드캐스트 도메인의 무결성을 위반할 수 있기 때문이다.

VLAN을 사용하면 물리적인 연결을 변경하지 않고도 스위치 내부 처리를 통해 트래픽을 분할할 수 있다. 이를 통해 통신 대역을 확보하고, 네트워크 장비 수를 줄일 수 있다.[12]

3. 4. 클라우드 컴퓨팅 환경에서의 활용

클라우드 컴퓨팅 환경에서 가상 랜(VLAN)은 IP 주소, MAC 주소와 같이 최종 사용자가 관리할 수 있는 리소스이다.[6] 클라우드 기반 가상 머신을 인터넷에 직접 배치하는 것보다 VLAN에 배치하는 것이 보안 문제를 완화하는데 더 바람직하다.[6]

4. VLAN의 동작 방식 및 프로토콜

VLAN은 네트워크 설계자가 LAN 구성에서 라우터를 통해 세그멘테이션 서비스를 구축할 수 있게 한다. 라우터는 VLAN 토폴로지에서 브로드캐스트 필터링, 보안, 주소 축약, 트래픽 흐름 관리를 제공한다. 스위치는 VLAN 간 IP 트래픽을 브리지 처리하지 않아 VLAN 브로드캐스트 도메인의 무결성을 유지한다.[25]

VLAN은 2계층 구조이며, IP 서브넷(3계층 구조)과 비교된다. VLAN 환경에서는 VLAN과 IP 서브넷 사이에 일대일 관계가 존재하는 경우가 많으며, 이는 네트워크 설계에 유용하다.

VLAN을 사용하면 트래픽 패턴을 제어하고 재배치에 빠르게 대응할 수 있다. 또한 네트워크 요구 사항 변화에 대한 유연성을 제공하고 관리를 단순화한다. 학교나 회사 환경에서 VLAN을 사용하면 근거리 통신망 접근 및 관리가 용이해지고 네트워크 붕괴를 방지할 수 있다.

클라우드 컴퓨팅 환경에서 VLAN은 IP 주소, MAC 주소 등 최종 사용자가 관리하는 리소스를 포함한다. 보안을 위해 클라우드 기반 가상 머신은 인터넷보다는 VLAN에 위치하는 것이 좋다.[25]

VLAN은 1983년부터 1984년까지 VoE(Voice over Ethernet) 실험을 성공적으로 수행한 W. 데이비드 신코스키 박사가 발명했다. 당시 이더넷의 확장 문제를 해결하기 위해, 신코스키는 각 이더넷 패킷에 태그(VLAN 태그, 현재의 802.1Q 헤더)를 추가하는 방식을 고안했다. 이를 통해 여러 색깔(빨강, 초록, 파랑 등)로 패킷을 구분하여 스위치가 특정 색깔의 패킷만 처리하도록 할당할 수 있었다. 신코스키와 체이스 커튼은 이 시스템을 편리하게 만드는 알고리즘을 개발했다.[26][27]

VLAN 도입 기술에는 비동기 전송 방식(ATM), 섬유 분산 데이터 인터페이스(FDDI), 이더넷, 하이퍼소켓, 인피니밴드 등이 있다.

오늘날 VLAN 구성에 가장 널리 사용되는 프로토콜은 IEEE 802.1Q이다. 802.1Q 도입 이전에는 시스코의 ISL(인터-스위치 링크)과 3Com의 VLT (가상 랜 트렁크) 등 몇 가지 사유 프로토콜이 존재했다.[10] VLAN 멤버십 할당에는 정적 VLAN과 동적 VLAN 두 가지 접근 방식이 있다.


  • 정적 VLAN: 포트 기반 VLAN이라고도 하며, VLAN에 포트를 할당하여 만든다.
  • 동적 VLAN: 소프트웨어를 사용하여 만들어지며, VMPS(VLAN 관리 정책 서버)를 통해 MAC 주소나 사용자 이름 등의 정보에 기반하여 스위치 포트를 VLAN에 동적으로 할당할 수 있다.


초기 네트워크 설계자들은 이더넷 충돌 도메인 크기를 줄여 성능을 향상시키기 위해 물리적 LAN을 분할했다. 이더넷 스위치가 이를 해결하면서, 관심은 데이터 링크 계층 브로드캐스트 도메인 크기를 줄이는 것으로 옮겨졌다. VLAN은 하나의 물리적 매체에서 여러 브로드캐스트 도메인을 분리하고, 네트워크 리소스에 대한 접근을 제한하는 데 사용될 수 있다.

VLAN은 OSI 모델의 데이터 링크 계층에서 작동하며, 관리자는 종종 VLAN을 IP 네트워크 또는 서브넷에 직접 매핑하도록 구성한다. 일반적으로 동일 조직 내 VLAN은 서로 겹치지 않는 다른 네트워크 주소 범위를 할당받는다.

기본 스위치는 VLAN 기능이 비활성화되거나, 모든 포트가 멤버로 포함된 ''기본 VLAN''으로 영구 활성화된다.[3] 기본 VLAN은 일반적으로 VLAN 식별자 1을 사용한다. 스위치의 원격 관리를 위해서는 관리 기능이 구성된 하나 이상의 VLAN과 연결되어야 한다.

VLAN의 맥락에서 ''트렁크''는 여러 VLAN을 전송하는 네트워크 링크를 나타낸다. 이러한 트렁크는 VLAN 인식 장치의 ''태그 지정된 포트'' 간에 실행되므로, 스위치 대 스위치 또는 스위치 대 라우터 링크인 경우가 많다. 라우터(레이어 3 장치)는 서로 다른 VLAN을 통과하는 네트워크 트래픽의 인터넷 백본 역할을 한다.

현재 VLAN 지원을 위해 가장 일반적으로 사용되는 프로토콜은 IEEE 802.1Q이다. IEEE 802.1 워킹 그룹은 멀티벤더 VLAN 지원을 위해 이 VLAN 다중화 방식을 정의했다. 시스코는 IEEE 802.10 프레임 헤더에 VLAN 정보를 전달하여 FDDI를 통해 VLAN을 구현하기도 했다.

ISL과 IEEE 802.1Q는 모두 '명시적 태깅'을 수행한다. ISL은 외부 태깅 프로세스를 사용하는 반면, 802.1Q는 태깅을 위해 프레임 내부 필드를 사용하므로 기본 이더넷 프레임 구조를 수정한다. 이 내부 태깅을 통해 IEEE 802.1Q는 표준 이더넷 하드웨어를 사용하여 액세스 및 트렁크 링크 모두에서 작동할 수 있다.

4. 1. 포트 기반 VLAN

포트 기반 VLAN은 연결 포트에 따라 LAN 세그먼트를 분리하는 방식이다.[13] 예를 들어, 포트 1, 2 간과 포트 3, 4 간은 서로 통신할 수 있지만, 각 그룹 이외의 포트와는 분리되도록 구성할 수 있다.

포트 기반 VLAN의 구성 예. 포트 2·3·5와 포트 4·6·7이 그룹화되어 그룹 외부와의 통신은 불가능하다.


정적 VLAN은 스위치의 각 포트를 특정 VLAN에 할당하는 방식으로 만들어진다. 장치가 네트워크에 연결되면 해당 장치는 자동으로 할당된 포트의 VLAN을 상속받는다. 사용자가 포트를 변경하여 동일한 VLAN에 접근해야 하는 경우에는 네트워크 관리자가 새로운 연결에 대해 수동으로 포트-VLAN 할당을 해야 한다.

4. 2. 태그 기반 VLAN (IEEE 802.1Q)

태그 VLAN은 VLAN의 대표적인 구현 방식 중 하나로, 이더넷 프레임에 VLAN 태그를 추가하여 어떤 LAN에 속하는 통신인지 식별하는 방식이다. 1998년 IEEE 802.1Q에서 표준으로 정의되었으며, "Dot-1Q VLAN"이라고도 불린다.

태그 VLAN은 여러 스위치에 걸쳐 VLAN을 구성하며, 송신 측은 프레임에 태그를 삽입하고, 수신 측은 해당 태그를 보고 소속 LAN을 식별한다. 이를 통해 하나의 통신 포트에서 여러 VLAN을 혼합하여 통신할 수 있다. 태그 VLAN을 지원하는 스위치는 VLAN 혼합 여부에 따라 연결 포트를 다음과 같이 구분한다.[12]

  • 액세스 포트: 하나의 LAN에 속하는 포트로, 주로 단말 등을 연결한다.
  • 트렁크 포트: 여러 LAN을 혼합하는 포트로, 태그를 처리할 수 있는 스위치, 라우터, 서버 등을 연결한다.


IEEE 802.1Q는 이더넷 네트워크에서 최대 4,094개의 VLAN을 지원한다(12비트 VLAN 식별자(VID) 필드를 통해 4,096개의 값을 표현할 수 있지만, 범위 양 끝단의 0과 4,095는 예약된 값이다).[19][20]

4. 2. 1. IEEE 802.1Q 프레임 형식

IEEE 802.1Q에서 정의된 이더넷 프레임에 VLAN 태그를 삽입하는 방식은 다음과 같다. VLAN 태그는 송신 MAC 주소와 이더 타입 필드 사이에 4바이트(32비트) 크기로 삽입된다[19]

VLAN 태그 (4바이트) 형식
TPIDTCI (Tag Control Information)
16 비트3 비트1 비트12 비트
TPID
0x8100		PCP
0-7		DEI
0-1		VID
0-4094


  • TPID (Tag Protocol Identifier): 16비트 값으로, 0x8100으로 설정되어 VLAN 태그가 있는 프레임임을 나타낸다. 프레임 전체가 태그로 캡슐화되며, 형식상 이 값이 EtherType이고, 이후 데이터가 페이로드(Payload)가 된다.

  • TCI (Tag Control Information): TPID에 이은 16비트 영역으로, PCP, DEI, VID 세 가지 필드로 구성된다.
  • PCP (Priority Code Point): 우선 순위(CoS; Class of Service)를 지정한다. 3비트 값으로 0 ~ 7 중 하나를 나타내며, 7이 최우선이다. 각종 트래픽(음성, 동영상, 데이터 등)의 우선 순위 지정에 사용한다.
  • DEI (Drop Eligible Indicator): 0 또는 1을 지정하며, 혼잡 발생 시 폐기해도 좋은 경우에 1을 나타낸다. PCP와 조합하여 판정에 사용할 수도 있다.
  • VID (VLAN Identifier): 12비트 값으로, 해당 프레임이 속하는 VLAN을 지정한다[20]
  • 1~4094 (0x001~0xFFE) 값은 VLAN 식별자로 사용할 수 있으며, 최대 4094개의 VLAN을 처리할 수 있다.
  • VID가 0이면 어떤 VLAN에도 속하지 않음을 의미하며, PCP, DEI를 통지하기 위한 우선 순위 태그로 사용된다.
  • VID가 1이면 무태그 프레임 수신 시 스위치 내부에서 처리되는 VID이며, 이를 PVID (포트 VLAN ID)라고 한다. PVID의 기본 설정 값으로 1이 규정되어 있지만, 변경도 가능하다.
  • VID가 2는 SRP (Stream Reservation Protocol) 용도의 PVID이며, 이 역시 기본값이므로 변경 가능하다.
  • VID가 4095 (0xFFF)이면 시스템 내부 항목 검색 등에 사용하는 예약 값이며, 프레임 전송에 사용할 수 없다.


VLAN 태그 삽입으로 최대 프레임 크기가 4바이트 증가하므로, 트렁크 포트에서 발행할 때는 프레임 전체의 FCS를 다시 계산해야 한다. 1998년 IEEE 802.3ac에서는 프레임 길이 최대값이 기존 1518바이트에서 태그만큼 증가한 1522바이트로 변경되었으며, 태그가 있는 프레임을 중계만 하는 장비라도 이 프레임 길이를 지원해야 한다.

DEI 영역은 초기에 CFI(Canonical Format Indicator, 표준 형식 지시자)라는 명칭으로 규정되었으며, 토큰 링 등 이더넷 프레임 형식이 아님을 나타내는 것이었다[21]。 이더넷 포트에서 CFI를 수신한 경우, 해당 프레임은 무태그 포트로 전송되지 않는다. 이후 개정에서 이더넷에서의 동작을 전제로 하게 되면서 DEI로 변경되었다.

IEEE 802.2의 SNAP 프레임을 통한 캡슐화에도 대응했다. 이 프레임에서 SNAP 헤더는 OUI와 프로토콜 ID 값으로 구성된다. OUI가 00-00-00인 경우 이더넷이 아닌 프레임이며, 이때 프로토콜 ID 값은 0x8100으로 설정되고, SNAP 헤더 뒤에 VLAN 태그의 4바이트가 배치되었다.

4. 2. 2. 이중 태그 (Q-in-Q)

IEEE 802.1ad 표준으로 정의된 방식으로, 이더넷 프레임 내에 VLAN 태그를 두 번 중첩하여 사용하는 방식이다. 이를 통해 지원되는 VLAN 수를 확장한다.[22] 주로 인터넷 서비스 제공업체(ISP)가 가입자 트래픽을 분리하고 관리하는 데 사용되며, "Q-in-Q VLAN" 또는 "VLAN 터널링"이라고도 불린다.[22]

이중 태그는 두 개의 태그를 사용하는데, 각각 서비스 태그(S-TAG)와 고객 태그(C-TAG)라고 부른다.[22] S-TAG는 서비스 제공자가 내부적으로 사용하는 VLAN 태그이며, C-TAG는 가입자의 VLAN 태그이다. S-TAG는 바깥쪽에, C-TAG는 안쪽에 위치한다. S-TAG의 TPID는 `0x88a8`, `0x88a7`이 규정되어 있지만,[24] `0x9100`, `0x9200`, `0x9300` 등의 값을 사용하는 경우도 있다.

이중 태그는 2005년에 IEEE 802.1ad에서 규정되었고, 2011년에 IEEE 802.1Q에 통합되었다.[23]

4. 3. MAC 기반 VLAN

MAC 기반 VLAN은 접속된 기기의 MAC 주소를 기준으로 LAN 세그먼트를 분리하는 방식이다. 수신 프레임의 송신자 MAC 주소를 보고 전송 대상 포트를 결정한다.[25]

VLAN 관리 정책 서버(VMPS)를 사용하면 관리자는 포트에 연결된 장치의 MAC 주소나, 장치에 로그인할 때 사용된 사용자 이름 등의 정보를 바탕으로 스위치 포트를 VLAN에 동적으로 할당할 수 있다. 장치가 네트워크에 연결되면 스위치는 데이터베이스를 조회하여 해당 장치가 연결된 포트의 VLAN 멤버십을 확인한다.

MAC 기반 VLAN은 장치의 MAC 주소를 기반으로 VLAN을 할당하므로, 장치가 다른 포트로 이동해도 VLAN 설정이 자동으로 유지된다. 그러나 장치의 MAC 주소가 바뀌면 VLAN 설정을 다시 해야 한다.

4. 4. 서브넷 기반 VLAN

IP 주소의 서브넷을 기반으로 LAN 세그먼트를 분리하는 방식이다. 접속된 기기의 IP 주소 및 서브넷 마스크를 보고 전송 대상 포트를 결정한다. 네트워크 계층 정보를 사용하므로, 라우팅 설정과 연계하여 VLAN을 구성할 수 있다.[12]

4. 5. 프로토콜 기반 VLAN

스위치에서 프로토콜 기반 VLAN은 네트워크 프로토콜에 따라 LAN 세그먼트를 분리한다. 수신 프레임의 EtherType을 보고 IP, IPX, AppleTalk 등을 판별하여 트래픽을 처리, 즉 전송 대상 포트를 결정한다.[10] 이 방식은 특정 프로토콜에 따라 포트에서 트래픽을 분리하거나 전달하며, 다른 프로토콜의 트래픽은 해당 포트에서 전달되지 않는다. 예를 들어, IP 및 IPX 트래픽을 네트워크에서 자동으로 분리할 수 있다.

4. 6. 시스코 VLAN 트렁킹 프로토콜 (VTP)

VTP (VLAN Trunking Protocol)는 시스코 장비에서 네트워크 전체의 VLAN 구성을 일관성 있게 유지하도록 돕는 프로토콜이다. VTP는 2계층 트렁크 프레임을 사용하여 VTP 서버 모드의 핵심 스위치에서 네트워크에 있는 VLAN을 추가, 삭제, 이름 변경하는 작업을 관리한다.[27] VTP는 VTP 도메인 내의 VLAN 정보를 동기화하며, 각 스위치에 동일한 VLAN 정보를 구성해야 할 필요성을 줄여준다.[27]

VLAN 트렁킹 프로토콜(VTP)은 시스코의 독점 프로토콜로, 전체 근거리 통신망(LAN)에서 VLAN 정의를 전파한다.[27] VTP는 대부분의 시스코 카탈리스트 제품군에서 사용할 수 있다.[27] 다른 제조업체에서 사용하는 유사한 IEEE 표준으로는 GARP VLAN 등록 프로토콜(GVRP) 또는 다중 VLAN 등록 프로토콜(MVRP)이 있다.

5. VLAN의 활용 사례

VLAN은 다양한 실제 네트워크 환경에서 활용된다.
기업 네트워크: 기업에서 VLAN은 부서별 네트워크 분리, 게스트 네트워크 구성, VoIP 트래픽 우선 처리, SAN 구성 등에 사용되어 네트워크 관리, 보안 강화, 성능 최적화를 돕는다. VLAN은 네트워크 설계자가 네트워크 분할을 제공하기 위해 설정하며, VLAN 간 라우터는 브로드캐스트 트래픽 필터링, 네트워크 보안 강화, 주소 요약, 네트워크 정체 완화를 수행한다.[3]
학교 네트워크: 학교에서는 VLAN을 활용하여 교직원, 학생, 실습실 네트워크를 분리한다. 이는 관리 효율성을 높이고, 네트워크 붕괴를 방지하며, 접근 제어를 용이하게 한다.[4] VLAN은 물리적 연결에 제약받지 않고, 스위치 내부 처리를 통해 트래픽을 분할하여 브로드캐스트 도메인을 제한하고, 통신 가능한 단말을 소규모 그룹으로 나눈다.[12]
데이터 센터: 데이터 센터에서 VLAN은 운영, VoIP, 네트워크 관리, SAN, 게스트 인터넷 접속, 비무장 지대 (DMZ) 등 다양한 목적으로 네트워크를 분할하는 데 사용된다.[4] VLAN 트렁크에서 공유되는 인프라는 비교적 저렴한 비용으로 유연하고 안전한 네트워크 환경을 제공한다.[5]
클라우드 컴퓨팅: 클라우드 컴퓨팅 환경에서 VLAN은 가상 머신 간 네트워크 분리, 고객별 네트워크 격리 등을 가능하게 하여 보안 문제를 완화한다.[6][25]

VLAN은 VLAN 호핑[10], 관리 복잡성[3]과 같은 문제점도 가지고 있다.

5. 1. 기업 네트워크

VLAN은 기업 네트워크 환경에서 네트워크를 여러 개의 독립적인 세그먼트로 분할하여 관리하고, 보안을 강화하며, 성능을 최적화하는 데 사용된다.[4]

VLAN을 사용하면 다음과 같은 이점을 얻을 수 있다.

  • 부서별 네트워크 분리: 개발 부서, 기획 부서 등 서로 다른 부서의 네트워크 트래픽을 분리하여 보안을 강화하고, 불필요한 트래픽 간섭을 줄일 수 있다. 예를 들어, 여러 층에 걸쳐 있는 사내 네트워크에서 각 층의 에지 스위치에 VLAN 설정을 하고, 스위치 간 연결 포트를 "트렁크 포트", 각 부서 내 연결 포트를 "액세스 포트"로 설정하여 부서별 논리 네트워크를 구성할 수 있다.[12]
  • 게스트 네트워크 구성: 방문자를 위한 별도의 게스트 네트워크를 구성하여 내부 네트워크와 분리함으로써 보안을 강화할 수 있다.[4]
  • VoIP 트래픽 우선 처리: VoIP 트래픽과 같이 실시간 통신이 필요한 서비스의 품질을 보장하기 위해 VLAN을 사용하여 우선순위를 지정할 수 있다.[5]
  • 스토리지 영역 네트워크 (SAN) 구성: SAN과 같이 낮은 지연 시간을 요구하는 네트워크 트래픽을 VLAN을 통해 최적화할 수 있다.[5]


VLAN은 네트워크 설계자가 네트워크 분할을 제공하기 위해 설정하며, VLAN 간의 라우터는 브로드캐스트 트래픽을 필터링하고, 네트워크 보안을 강화하며, 주소 요약을 수행하고, 네트워크 정체를 완화한다. 스위치는 VLAN 간의 네트워크 트래픽을 브리지하지 않을 수 있는데, 이는 VLAN 브로드캐스트 도메인의 무결성을 위반하기 때문이다.[3]

다음은 일반적인 VLAN 구성 예시이다.

태그 VLAN의 구성 예


위 그림에서 각 층의 에지 스위치에는 VLAN 설정이 되어 있으며, 스위치 간 연결은 "트렁크 포트", 각 부서 내 연결은 "액세스 포트"로 처리된다. 각 부서는 고유한 VLAN 번호(VLAN ID 또는 VID)를 할당받고, 트렁크 포트에는 각 부서에서 오는 모든 프레임에 적절한 VLAN 태그가 삽입된다. 태그가 붙은 프레임이 트렁크 포트에서 전송되면, 수신 측 층의 에지 스위치는 해당 태그를 보고 전송 대상을 결정하고, 부서 내로 전송할 때 VLAN 태그를 제거한다. 이러한 방식으로 각 부서는 상하층의 자기 부서만을 같은 LAN으로 취급할 수 있다.[12]

5. 2. 학교 네트워크

VLAN은 학교나 기업과 같은 환경에서 네트워크를 분리하여 관리하고 보안을 강화하는 데 사용된다.[4] 예를 들어, 학교에서는 네트워크를 다음과 같이 분리할 수 있다.

네트워크 종류설명
교직원 네트워크교직원들이 사용하는 네트워크로, 학생 네트워크와 분리하여 관리된다.
학생 네트워크학생들이 사용하는 네트워크로, 교직원 네트워크와 분리하여 관리된다.
실습실 네트워크특정 실습에 사용되는 네트워크로, 다른 네트워크와 분리하여 관리될 수 있다.



이렇게 네트워크를 분리하면 관리 효율성을 높이고, 네트워크 붕괴를 방지하며, 접근을 쉽게 제어할 수 있다. VLAN은 물리적인 연결에 제약받지 않고, 스위치 내부 처리를 통해 트래픽을 분할하여 브로드캐스트 도메인을 제한하고, 통신 가능한 단말을 소규모 그룹으로 나눌 수 있다.[12]

5. 3. 데이터 센터

VLAN은 데이터 센터와 같은 환경에서 네트워크를 여러 개의 고유한 세그먼트로 분할하는 데 사용될 수 있다.[4] 이러한 분할은 다음과 같은 목적을 가진다.

목적설명
운영일반적인 네트워크 운영을 위한 분할
VoIP음성 통신 트래픽을 위한 분할
네트워크 관리네트워크 장비 관리 및 모니터링을 위한 분할
SAN저장 장치 연결 및 데이터 전송을 위한 분할
게스트 인터넷 접속방문자에게 인터넷 접속을 제공하기 위한 분할
비무장 지대 (DMZ)외부 네트워크와 내부 네트워크 사이에 위치하여 보안을 강화하는 분할



VLAN 트렁크에서 공유되는 인프라는 비교적 저렴한 비용으로 유연하고 안전한 네트워크 환경을 제공한다. 서비스 품질 계획을 통해 VoIP와 같이 실시간 통신이 필요하거나 SAN과 같이 낮은 지연 시간을 요구하는 트래픽을 최적화할 수 있다. 그러나 VLAN을 보안 솔루션으로 활용할 때는 신중하게 구현해야 한다.[5]

클라우드 컴퓨팅 환경에서 VLAN, IP 주소, MAC 주소는 최종 사용자가 관리할 수 있는 리소스이다. 보안 문제를 방지하기 위해 클라우드 기반 가상 머신을 인터넷에 직접 연결하기보다는 VLAN에 배치하는 것이 좋다.[6]

5. 4. 클라우드 컴퓨팅

클라우드 컴퓨팅에서 가상 랜(VLAN), IP 주소, MAC 주소는 최종 사용자가 관리할 수 있는 리소스이다. 보안 문제를 완화하기 위해 클라우드 기반 가상 머신을 인터넷에 직접 배치하는 것보다 VLAN에 배치하는 것이 더 바람직할 수 있다.[6][25] 이는 가상 머신 간 네트워크 분리, 고객별 네트워크 격리 등을 가능하게 한다.

5. 5. VLAN 호핑 공격

VLAN 보안 취약점을 이용한 공격 방식인 VLAN 호핑은 특정 VLAN에 속한 사용자가 다른 VLAN의 트래픽에 접근할 수 있는 문제를 야기한다. 이는 적절한 스위치 포트 보안 설정을 통해 완화할 수 있다.[10]

5. 6. VLAN 관리 복잡성

VLAN은 OSI 모델의 데이터 링크 계층에서 작동하며, 관리자는 VLAN을 IP 네트워크 또는 서브넷에 직접 매핑하여 네트워크 계층을 포함하는 것처럼 보이게 할 수 있다. 일반적으로 동일 조직 내 VLAN은 서로 겹치지 않는 네트워크 주소 범위를 할당받는다.[3] VLAN에 대해 구성되지 않은 기본 스위치는 VLAN 기능이 비활성화되거나 장치의 모든 포트를 멤버로 포함하는 '기본 VLAN'으로 영구적으로 활성화된다. 기본 VLAN은 일반적으로 VLAN 식별자 1을 사용한다.[3]

스위치의 원격 관리를 위해서는 관리 기능이 구성된 하나 이상의 VLAN과 연결되어야 한다. VLAN의 맥락에서 ''트렁크''는 여러 VLAN을 전송하는 네트워크 링크를 나타내며, VLAN 인식 장치의 ''태그 지정된 포트'' 간에 실행된다.[10]

스위치에는 VLAN 대 포트 연결을 나타내는 내장된 방법이 없으므로, 기술자는 장치에 대한 관리자 권한이 있거나 VLAN 포트 할당 차트 또는 다이어그램을 보관해야 한다.

참조

[1] 웹사이트 X.225 : Information technology – Open Systems Interconnection – Connection-oriented Session protocol: Protocol specification https://www.itu.int/[...] 2023-03-10
[2] 간행물 IEEE 802.1Q-2011, 1. Overview
[3] 간행물 IEEE 802.1Q-2011, 1.4 VLAN aims and benefits
[4] 논문 VLAN & its implementation over ATM by using IP: a communication http://www.discovery[...] Discovery Publication 2024-01-06
[5] 간행물 Virtual LAN Security: weaknesses and countermeasures https://www.sans.org[...] SANS Institute 2018-05-18
[6] 간행물 Networking on the cloud http://www.ibm.com/d[...] 2012-06-21
[7] 논문 Broadband packet switching: a personal perspective. https://ieeexplore.i[...] IEEE Commun 2002
[8] 논문 Extended Bridge Algorithms for Large Networks https://ieeexplore.i[...] IEEE Network 1988-01
[9] 서적 IEEE Std. 802.1Q-1998, Virtual Bridged Local Area Networks https://standards.ie[...] 2021-01-14
[10] 웹사이트 VLAN Insecurity http://rikfarrow.com[...]
[11] 문서 CCNA Exploration LAN Switching and Wireless course, v 4.0, sec 3.2.3
[12] 서적 Foundations of modern networking : SDN, NFV, QoE, IoT, and Cloud https://www.worldcat[...] 2016
[13] 웹사이트 日経 xTECH: ポートVLANとタグVLANの違いとは? https://xtech.nikkei[...] 2023-11-14
[14] 웹사이트 IT用語辞典: マルチプルVLAN 【multiple VLAN】 https://e-words.jp/w[...] 2023-11-14
[15] 웹사이트 IT用語辞典: プライベートVLAN 【PVLAN】 https://e-words.jp/w[...] 2023-11-14
[16] 웹사이트 Private VLANs {{!}} Junos OS {{!}} Juniper Networks https://www.juniper.[...] 2023-11-08
[17] 웹사이트 Catalyst 4500 Series Switch Cisco IOS Software Configuration Guide, 12.2(25)EW - Configuring Private VLANs [Cisco Catalyst 4500 Series Switches] https://www.cisco.co[...] 2023-11-08
[18] 웹사이트 802.1X Task Group https://1.ieee802.or[...] 2023-11-14
[19] 간행물 IEEE 802.1Q-2022, Clause 9.4 TPID formats
[20] 간행물 IEEE 802.1Q-2022, Table 9-2
[21] 간행물 IEEE 802.1Q-2022, Clause 9.6, NOTE 2
[22] 간행물 IEEE 802.1Q-2022, Clause 9.5, Tag Protocol identification
[23] 웹사이트 IEEE 802.1Q-2011 https://standards.ie[...] 2023-11-14
[24] 간행물 IEEE 802.1Q-2022, Table 9-1
[25] 논문 Networking on the cloud http://www.ibm.com/d[...] IBM developerWorks 2012-06-21
[26] 논문 Broadband packet switching: a personal perspective. http://ieeexplore.ie[...] IEEE Commun 2002
[27] 논문 Extended Bridge Algorithms for Large Networks http://ieeexplore.ie[...] IEEE Network 1988-01


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com