정보보안 스터디 - 3주차 5일 - VLAN 설정

스위치

 

 스위치는 레이어 2 계층 장치로 ETH 안에서 내부 네트워크 끼리만 소통할 수 있습니다.

(그에 반해 라우터는 3레이어 계층 장치로 외부 네트워크인 IP까지 주고 받을 수 있습니다.)

 

    L2    L3   L4
 - ETH | IP | TCP | HTTP

 

 

스위치는 자동으로 이런 기능들을 수행합니다.

 - Learning : MAC 주소 자동 학습 기능

 - Flooding : 브로드케스트 프레임을 수신하여 전체 포트로 프레임을 복제하여 전송하는 기능

 - Forwarding : 'mac address-table'을 참조하여 해당 포트로만 프레임을 전송하는 기능

 - Aging : 'mac address-table'에 등록된 MAC 정보를 갱신 및 삭제하는 타이머

 - Filtering : 프레임을 수신한 포트로 다시 프레임이 송신되지 않도록 차단하는 루프 방지 기능

 

이렇게 관리자가 건들이지 않아도 자동으로 수행되는 것을

트랜스패런트 브리징 기능이라고 합니다.

 

스위치 설정은

라우터 명령어와 같으니 생략 하겠습니다.

 

 

 

참고로 telnet은 필수로 vty와 en권한에 비밀번호를 설정해야 작동됩니다.

SW1

conf t
enable secret cisco
!
line vty 0 4
password ciscovty
login

 

스위치는 내부 네트워크다보니 브로드캐스트로 보내게 됩니다.

학습을 해놓고 mac address-table에 저장해둔 뒤 그 PC와 통신 할 수 있습니다.

 

ping을 보내게 되면 arp 요청/응답을 먼저 주고받고 그다음 icmp를 주고받습니다.

 

라우터에서는 show arp 를 입력하고, 

스위치에서 show mac address-table을 하면

ping 으로 등록했던 네크워크들의 mac주소가 뜨게 됩니다.

이 mac 주소를 저장하고있다가 재부팅하면 없어집니다.

 

 

스위치나 라우터는 네트워크 관리자가 직접 물리적으로 설정할 필요 없이 텔넷을 이용해 원격으로 접속할 수 있습니다.

접속해서 인터페이스들을 종합적으로 관리하거나, MAC주소를 확인하거나 설정을 할 수 있습니다.

네트워크에 문제가 생겼을 때 이렇게 mac 주소를 통해 PC를 찾아 관리할 수 있습니다.

 

그러기 위해서는 스위치에서 관리자용 IP를 설정해야합니다. vlan 1 에 대한 ip를 추가합니다.

 

SW1

conf t
int vlan 1
ip address 13.13.10.101 255.255.255.0
no shutdown
!
ip default-gateway 13.13.10.254
(스위치가 다른 네트워크와 통신이 필요할 때나 핑테스트를 할 때는 게이트웨이를 지정합니다.)

 

 

 

 

 

 

VLAN

 

 

각 PC들이 내부 네트워크에 연결 되어있음에도 불구하고 호스트PC 가 너무 많아 과부하가 생길 경우 일부러 분리해야 합니다. 브로드캐스트의 양이 너무 많으면 성능이 저하되기 때문에 vlan으로 양을 최소화하는 것 입니다.

서로 다른 VLAN 간에 ARP 요청이 안되기 때문에 유니케스트 접근 제어 가능합니다.

 

 

예를들어 전교생을 각 반에 30명씩 두는 것과 같습니다.

물리적인 lan이 아니라 말그대로 가상의 lan을 만드는 것이기 때문에 관리가 편리합니다.

vlan1, vlan2 이런식으로 만들어서 vlan1에 있는 포트들을 나눠 넣습니다.

 

다른 vlan끼리는 다른 네트워크 취급을 받게 되기 때문에, ping 이 안됩니다.

물론 취소도 가능합니다. 취소하면 포트들은 원래대로 vlan1로 돌아옵니다.

 

 

 

일단 show vlan brief 로 VLAN 데이터베이스를 보면

기본설정으로 vlan1에 포트가 몰려있는 것을 볼 수 있습니다.

12bit = 약 4096개 정도 VLAN을 만들 수 있습니다.

 

 

 

vlan 2를 생성해서 포트를 분리한다면 이렇게 설정합니다.

 

SW1, SW2

vlan 2
name VLAN_A
!
int f0/0
switchport mode access
switchport access vlan 2

 

int  f0/11 - 15, f0/16 - 17, f0/21
으로 여러 포트 한번에 이동도 가능합니다.

 

 

 

Trunk

 

 

 하나의 링크를 이용하여 서로 다른 VLAN 프레임들을 전송 처리하는 구간을 의미합니다.

IEEE 802.1q 트렁크 프로토콜을 사용합니다.

 

원래 vlan 1, 2, 3 처럼 vlan들이 하나씩 선에 연결되어있습니다. 그렇게 될 경우 포트 낭비가 심해지기 때문에

지나다니는 통로를 하나로 만듭니다. 그것이 trunk를 사용하는 목적입니다.

 

예를 들어 1반만 지나다닐 수 있는 통로가 아니라 전교생이 지나다니는 복도 하나만 있는 것과 같습니다.

대신 패킷이 누가 누군지 모를 수 있기 때문에, 나는 1반(vlan 1)에서 왔다는 식별표를 붙입니다. 

 

 

dot1q 라는 선을 trunk로 설정한다면

 

SW1, SW2

int f0/24
switchport trunk encapsulation dot1q
switchport mode trunk

 

 

 

그리고 라우터와의 연결할 때 포트낭비 방지를 위해

f0/0 >>  f0/0.11, f0/0.12 등

서브 인터페이스도 많이 사용합니다.

 

각 PC의 게이트웨이 주소는 라우터 인터페이스 주소와 같습니다.

그러므로 PC IP 설정을 할때는 (외부 네트워크로 가기 전 단계인) 라우터의 게이트웨이에 IP 설정을 하고

셧다운을 해제 시켜줍니다.

 

설정이 되었다면

같은 vlan 끼리 ping 테스트를 하고

show vlan brief

show int trunk

해서 vlan 설정 / 트렁크 설정이 잘 되었는지 확인합니다.