04.23_Switch_VLAN

## VLAN(Virtual LAN) ##

 

- Network(= Broadcast Domain)는 L3 Device가 구분해주는 하나의 공간을

 의미하기도 한다.

 기본적으로 L2 Device에 연결된 모든 장비는 공통된

 Network(= Broadcast Domain)에 포함된다.

 

- VLAN을 사용하게 되면 L3 Device가 아닌 L2 Device 포트마다

 서로 다른 Network(= Broadcast Domain)로 구분해서 관리가

 가능하다.

 

- VLAN 필요성

1) Segmentation : Broadcast Domain 크기를 나눠서 관리할 수 있다.

2) security : 동일 네트워크 안에서 발생되는 보안 취약점들이 더 많기

                   때문에 VLAN으로 network를 구분하여 보호할 수 있다.

3) 비용절감

4) Flexibility

 

- Cisco Switch의 경우 관리자가 별도의 VLAN을 설정하지 않을

 경우 모든 포트는 VLAN 1(Default VLAN)에 할당되어 있다.

 그리고 VLAN 1외에도 VLAN 1002/1003/1004/1005이 기본적으로

 존재하는 VLAN이다.

 

- Switch의 포트들은 서로 다른 VLAN에 할당될 경우 서로 다른

 Network에 포함되기 때문에 L3 Device를 통해서 Routing 되어야

 서로 통신이 가능하다.

[ VLAN ]=[ Network ]=[ Broadcast Domain ]

 

- VLAN은 VLAN ID로 구분한다. 범위는 0~4.095까지이다.

1) VLAN 0 : System 예약 (사용 x)

2) VLAN 1 : Cisco Default VLAN

3) VLAN 2 -1001 : Ethernet 용도 VLAN

4) VLAN 1002 - 1005 : Token ring / FDDI 용도. (사용 X)

5) VLAN 1006 - 4094 : Ethernet 용도 Extended VLAN.

6) VLAN 4095 : System 예약(사용 X)

 

SW(config-line)#vlan 10 -> vlan 10 생성

SW(config-vlan)#name Sales -> vlan 10의 이름지정

SW(config-vlan)#vlan 20

SW(config-vlan)#name HR

SW(config-vlan)#exit

 

- VLAN Port는 다음과 같이 구분이 가능하다.

 

[ 1. Access 포트(= Untagged 포트) ]

=> 특정 VLAN에 하나에 포함되는 Switch 포트를 의미한다.

      해당 포트는 자신이 속해있는 VLAN 트래픽만 전송이

      가능하고 다른 VLAN 트래픽은 전송이 불가능하다.
 

SW(config)#int range f 0/3 - 4 => fastethernet 0/3~0/4을 한번에 설정!

SW(config-if-range)#switchport mode access -> access모드로 포트를 설정하겠다.

SW(config-if-range)#switchport access vlan 20 -> vlan 20에 f0/3과 f0/4를 할당하겠다.

SW(config-if-range)#do sh vlan brief -> vlan 설정정보 확인!

 

= > 스위치랑 종단장치에 물린 패스트 이더넷은

     access 모드를 주는게 합당하다!

    Trunk 모드를 주게되면 통신이 안된다!!!

 

[ 2. Trunk 포트(= Tagged 포트) ]

=> 다수의 VLAN 트래픽이 통과할 수 있는 Switch포트를

      의미한다.

=> 동일 VLAN이 다수의 Switch에 분산되어 있는 경우 사용이

      적합하다.주의점은 Trunk 포트를 사용하여 동일 VLAN에

      포함된 장비들 사이에서만 통신이 가능하고, 서로 다른

       VLAN에 포함된 장비들은 통신이 불가능하다.

       (서로 다른 VLAN 통신은 반드시 L3 Device가 필요하다.)

=> VLAN되어 있는 L2 Device에서 다른 VLAN되어있는 L2 Device에

      물려있는 종단 장치에 데이터를 보낼때 Tegged(꼬리표-내가누군지알리는 것)

      가 필요하다.

1) IEEE 802.1Q(= Dotlq)(***)

=> 표준(모든 벤더 장비에서 지원)

=> Original Frame에 4Byte의 VLAN TAG를 추가.

=> Extended(확장) VLAN(1,006~4,094) 지원.

=> Native VLAN 지원.

-> switchport trunk encapsulation dotlq -> 이건 2960에서 지원안함.

-> switchport mode trunk

 

2) ISL

=> Cisco 전용(Cisco 장비에서만 지원, Catalyst 2950/2960 지원 X)

=> Original Frame에 30Byte의 Over Header가 발생.

=> Extended(확장) VLAN(1,006~4,094) 지원 X.

=> Native VLAN 지원 X.

 

==================================================================

## DTP(Dynamic Trunk Protocol) ##

 

- Switchport는 ‘Dynamic Port’로 동작하는 경우 자신의 역할을

 상대방과 협상을 통해 결정할 수 있다.

 

- Switchport는 다음과 같이 구분된다.

 

[1.정적 포트(Static Port)]

=> 관리자가 [Switchport mode ~~] 명령어로 포트의 역할을 결정한다.

1) Access => 상대방 포트와 관계없이 무조건 Access 모드동작.

2) Trunk => 상대방 포트와 관계없이 무조건 Trunk 모드동작.

 

[2.동적 포트(Dynamic Port)]

=> 관리자가 포트의 역할을 별도로 설정하지 않았을 경우 다음 중

      하나의 동적 포트로 동작한다.

1. Dynamic Desirable

=> 상대방 포트의 역할이 Trunk/Desirable/Auto일 경우 Trunk로 동작.

=> 상대방 포트의 역할이 Access일 경우에서만 Access로 동작.

2. Dynamic Auto

=> 상대방 포트의 역할이 Trunk/Desirable일 경우 Trunk로 동작.

=> 상대방 포트의 역할이 Access/Auto일 경우에서만 Access로 동작.

- [ show interface <인터페이스 이름> switchport] 명령어로 확인 가능하다.

 

- DTP를 사용하여 협상을 통해 Switchport의 역할을 결정할 수도 있지만

 관리자가 수동으로 설정하는 것이 더 안정적이다.

 때문에 일반적으로 양쪽 포트에 수동으로 Trunk 설정을 입력하고,

 [switchport nonegotiate] 명령어로 DTP를 비활성화 시킨다.

 

==================================================================

** VLAN Configuration**

 

<공통>

en

conf t

no ip domain loo

lin con 0

exec-time 0 0

logging syn

password ccnp123

login

exit

 

vlan 100

name Students

vlan 200

name Office

vlan 300

name Professor

exit

 

<1F_SW/2F_SW/3F_SW>

conf t

int fa 0/1

description ##Students_PC##

switchport mode access

switchport access vlan 100

!

int fa 0/2

desc ##Office_PC##

switchport mode access

switchport access vlan 200

!

int fa 0/3

desc ##Profess_PC##

switchport mode access

switchport access vlan 300

!

vlan 888

name native

exit

 

int fa 0/10

shut

switchport mode trunk

switchport trunk allowed vlan 100,200,300

switchport trunk native vlan 888

switchport nonegotiate

no shut

!

 

<BB>

conf t

vlan 888

name native

exit

 

int range fa 0/1 - 3

shut

switchport mode trunk

switchport trunk allowed vlan 100,200,300

switchport trunk native vlan 888

switchport nonegotiate

no shut

!