VLAN (Virtual LAN)
VLAN
- 데이터링크 계층 (2계층)에서 브로드캐스트 도메인(Broadcast Domain)을 나누기 위해 사용하는 기술
- 각 스위치들은 동일 브로드캐스트 그룹이 아닌 곳에는 프레임을 전달하지 않음
- VLAN 태그가 상이한 네트워크에서의 접근을 근본적으로 차단 => 보안성 유지
- 네트워크 관리자로 하여금 그룹단위 or 세그먼트 포트 단위 유용성 보장을 위해 논리적인 개별 스위칭 동작을 하게 함 (스위칭 LAN의 옵션 구성)
- 가상의 브로드캐스트 도메인 생성 -> 전체 브로드캐스트 트래픽 제한 (인증된 VLAN 구성원만이 접근 가능)
- VLAN은 관리자가 서로 다른 논리적 그룹에 대하여 서로 다른 보안 정책 적용 가능
종류
1) Port 기반 VLAN : 스위치 포트를 각 VLAN에 할당
- 같은 VLAN에 속한 포트에 연결된 호스트들 간에만 통신 ㄴ가능
2) MAC 기반 VLAN : 각 호스트들의 MAC 주소를 VLAN에 등록하여 같은 VLAN에 속한 MAC 주소의 호스트들 간에만 통신 가능
- 호스트들의 MAC 주소를 전부 등록하고 관리해야 함
3) 네트워크 주소 기반 VLAN : 네트워크 주소별로 VLAN 구성
- 주로 IP 네트워크 VLAN 사용
4) 프로토콜 기반 VLAN : 같은 통신 프로토콜 끼리 통신
port, mac, 네트워크 주소, 프로토콜
VLAN은 네트워크 자원 접근을 제한함으로써 보안을 높이고
브로드캐스트 도메인의 크기/범위를 줄여서 브로드캐스트 트래픽량을 줄이는 효과가 발생하고
결과적으로 전체 네트워크 서비스의 성능을 향상시킬 수 있다.
Tagging : 어떤 스위치가 특정 VLAN을 송신 장치로 정의했을 경우 전송되는 패킷이 어떤 VLAN에 소속되는지 다른 스위치에 알리는 기능
