[컴퓨터네트워크] 9주차: 2계층 스위치, 스위칭 개념, VLAN 개념

경희대학교 유인태 교수님의 컴퓨터네트워크 강의를 기반으로 정리한 글입니다.

2계층 스위치

L2 스위치 초기 구성

스위치 부팅 프로세스

1. ROM 내의 POST(Power On Self Test) 프로그램 로딩 후 CPU, DRAM, FLASH 장치 테스트
2. ROM 내의 부트 로더 소프트웨어 로딩
3. 부트 로더에 의한 CPU, 물리 메모리가 매핑되는 위치, 메모리 양, 속도를 제어하는 CPU 레지스터 초기화
4. 부트 로더에 의한 시스템 보드 상의 플래시 파일 시스템 초기화
5. 부트 로더는 디폴트 IOS 운영 시스템 소프트웨어 이미지를 찾아 메모리에 로딩 → 스위치에 대한 제어를 IOS에 넘겨줌

스위치 부팅 프로세스에 대한 추가 사항

• IOS 운영 시스템은 startup-config를 참조하여 인터페이스를 초기화(startup-config 파일은 config.text 파일로 플래시에 있음)
• 스위치는 BOOT 환경 변수 정보를 사용하여 자동으로 부팅 시도 → BOOT 환경 변수는 boot system 전역 모드 명령을 사용하여 설정 가능

스위치 LED 표시등

• 시스템 LED(SYST): 시스템 전원 작동 여부 표시
• 예비 전원 공급 장치 LED(RPS): Redundant Power Supply 상태 표시
• 포트 상태 LED(STAT): 녹색 → 포트 상태 모드(디폴트), 각 포트의 표시등으로 포트 상태 파악
• 포트 듀플렉스 LED(DUPLX): 녹색 → 포트 듀플렉스 모드, 각 포트의 표시등으로 포트 듀플렉스 파악
• 포트 속도 LED(SPEED): 녹색 → 포트 속도 모드, 각 포트의 표시등으로 포트 속도 파악
• 이더넷 전원 공급 장치 LED(PoE): PoE를 지원하는 경우 표시
• 모드 버튼: STAT, DUPLX, SPEED, PoE 모드 간 이동에 사용

스위치 관리 액세스

• 스위치에 대한 원격 관리 액세스 요구사항: IP 주소, 서브넷 마스크, 디폴트 게이트웨이 → 일반 호스트 장치와 유사
• L2 스위치는 2계층 장치 → SVI(Switch Virtual Interface): 가상 인터페이스

스위치 SVI 구성 예

1. 관리 인터페이스 구성: VLAN 인터페이스 구성 모드에서 IP 주소와 서브넷 마스크 설정(기본적으로 스위치는 VLAN 1이 관리 인터페이스)
   1. 보안을 위해, 관리용 VLAN은 VLAN 1이 아닌 VLAN을 사용하는 것이 모범
   2. ex) VLAN 99. 단, VLAN 99가 생성되고 VLAN 99로 지정된 스위치 포트에 장치가 연결될 때까지 이 인터페이스는 ‘up/up’으로 표시되지 않음
2. 기본 게이트웨이 구성: 직접 연결되지 않은 네트워크로부터 스위치를 원격 관리
3. 구성 확인 명령 show ip interface brief: 물리 인터페이스와 가상 인터페이스의 상태 확인 가능

주: SVI는 관리 접속을 위한 것일 뿐, 이 주소를 이용하여 패킷 라우팅은 할 수 없음

스위치 포트 구성

이중(duplex) 통신

1. 전 이중(full duplex) 통신은 연결의 양단이 동시에 데이터를 송수신 → 대역폭 효율성을 향상
2. 양방향 통신 → 마이크로세그먼테이션 필요 → 스위치 포트에 하나의 장치만이 연결되어 해당 포트가 전 이중 모드로 동작할 때 생성
3. 전 이중 모드로 동작하는 스위치 포트 → 충돌 영역 X
4. 반 이중(half duplex) 통신 → 단 방향 통신 → 충돌 발생 가능 → 성능 문제 발생
5. 기가비트 이더넷과 10Gb NIC를 위해서는 전 이중 연결이 필요
6. 전 이중 모드에서는 NIC의 충돌 감지 회로 비활성화

물리 계층 스위치 포트 구성

1. duplex 및 speed 명령을 이용하여 포트 모드 및 속도에 대한 수동 구성 가능
2. 일반 스위치의 경우 모드와 속도에 대한 기본 설정은 자동(auto)으로 되어 있음
3. mdix auto 인터페이스 구성 모드 명령으로 auto-MDIX 기능 활성화 가능
4. 10/100Mbps인 경우 반(또는 전) 이중 동작, 1Gbps인 경우 전 이중으로만 동작
5. 모드/속도 설정이 일치하지 않거나 자동 협상 실패 시 연결성 문제가 발생 가능

보안 원격 접속

Telnet 원격 접속 이슈와 SSH 보안 원격 접속 구성 방법

1. Telnet: TCP 포트 23 사용 → plain text를 주고 받아 안전하지 않음
2. SSH: TCP 포트 22 사용 → 원격 장치에 대한 보안 관리 연결
   1. SSH 지원 확인: show ip ssh 명령으로 스위치가 ssh를 지원하는지 확인
   2. 스위치 이름 및 IP 주소 구성: hostname 및 ip address
   3. IP 도메인 구성: ip domain-name domain-name 전역 모드 명령으로 도메인 정의
   4. RSA 키 쌍 생성: crypto key generate rsa 전역 모드 명령으로 SSH 서버 활성화
   5. 사용자 인증 구성: username username secret password 전역 모드 명령
   6. SSH 버전 2 활성화: ip ssh version 2 전역 모드 명령
   7. vty 라인 구성: transport input ssh 및 login local 라인 모드 명령으로 로컬 인증 설정

스위칭 개념

프레임 전달

네트워킹에서 스위칭

1. 인터페이스를 통하는 프레임과 관련된 2가지 용어
   1. Ingress: 외부 장치로부터 스위치 인터페이스로의 입력
   2. Egress: 스위치 인터페이스로부터 외부 장치로의 출력
2. 스위치는 목적지 MAC 주소를 기반으로 프레임의 출력 인터페이스를 결정
   1. 목적지 장치가 위치한 인터페이스를 파악
   2. 프레임의 출발지 MAC 주소를 해당 Ingress 포트 정보와 함께 MAC address table에 기록
3. 스위치는 트래픽을 수신한 인터페이스를 통해 해당 트래픽을 다시 전달하는 것은 절대로 허용하지 않음

스위치의 프레임 포워딩 방법

1. 스위치는 ASIC에 있는 소프트웨어를 사용하여 매우 빠른 결정을 함
2. 스위치는 프레임을 수신한 후 다음 2가지 방법 중 하나로 프레임을 전달
   1. Store-and-forwarding switching: 전체 프레임을 수신하여 프레임이 유효한지 확인 후 전달
      1. 특징: 프레임 오류 검사, 프레임 버퍼링
   2. Cut-through switching: 수신하는 프레임의 목적지 MAC 주소와 출력 포트가 파악되면 즉시 프레임 전달
      1. 특징: 레이턴시가 10마이크로초 미만이어야 하는 경우 사용, 서로 다른 속도를 갖는 입출력 포트는 지원 불가

Fragment Free 방식은 목적지 MAC 주소 확인하고 프레임이 64바이트 이상인지 확인 후 전달(runts 방지)

스위칭 도메인

충돌 영역(collision domain)

1. 스위치는 충돌 영역을 제거하고 혼잡을 감소
2. 링크가 전 이중 → 충돌 영역 발생 X
3. 하나 이상의 장치가 반 이중 → 대역폭에 대한 경쟁 발생, 충돌 현상 발생 가능
4. 오늘날 대부분의 장치는 이중 모드와 속도에 대한 기본 설정을 **자동 협상(auto-negotiation)**으로 사용

브로드캐스트 영역(broadcast domain)

1. 브로드캐스트 영역은 LAN 상의 1계층 및 2계층 장치를 모두 포함
2. 3계층 장치만이 브로드캐스트 영역을 분리
3. 2계층 스위치 장치는 브로드캐스트 트래픽 수신 시 이를 인그레스 인터페이스를 제외한 모든 인터페이스로 플러드 아웃
4. 브로드캐스트 증가 시 혼잡 발생 및 네트워크 성능 저하 가능
5. 1계층 또는 2계층 장치 증가 시 브로드캐스트 영역도 커짐

VLAN 개념

VLAN 개요

VLAN 정의

다른 유사한 장치와의 논리적 연결

• VLAN 구성 시 특징
  1. 동일한 스위치에 다양한 장치 그룹 세분화
  2. 조직을 보다 더 쉽게 관리 가능
  3. 브로드캐스트, 멀티캐스트, 유니캐스트가 개별 VLAN에서 분리됨
  4. 각각의 VLAN은 자신의 고유한 IP 네트워크 주소 범위를 가짐
  5. 브로드캐스트 영역을 더 작게 관리 가능

VLAN 설계의 이점

• 더 작은 브로드캐스트 도메인: LAN을 분할 → 브로드캐스트 영역의 수 감소
• 보안성 향상: 동일한 VLAN 상의 사용자 간에만 통신 가능
• IT 효율성 향상: VLAN은 요구 사항이 비슷한 장치(ex. 학생, 교직원) 그룹화 가능
• 비용 절감: 스위치 하나로 여러 그룹 또는 VLAN 지원 가능
• 더 나은 성능: 브로드캐스트 영역이 작으면 트래픽을 감소하여 대역폭 향상 효과 기대
• 관리 간소화: 유사한 그룹들은 유사한 애플리케이션과 네트워크 리소스를 필요로 함

VLAN 유형

기본 VLAN(Default VLAN)

• VLAN 1: 기본 VLAN, 기본 네이티브 VLAN, 기본 관리 VLAN, 삭제 또는 이름 변경 불가
• 위 기본 기능을 다른 VLAN에 할당하는 것이 권장

데이터 VLAN(Data VLAN)

• 사용자 생성 트래픽(이메일 및 웹 트래픽 등) 전용
• 모든 인터페이스가 이 VLAN에 할당 → VLAN 1은 기본 데이터 VLAN

네이티브 VLAN(Native VLAN)

• 트렁크 링크에만 사용
• 네이티브 VLAN 상의 VLAN을 제외한 모든 프레임은 802.1q 트렁크 링크에서 태그가 지정됨

관리 VLAN(Management VLAN)

• SSH/Telnet 등 관리/제어용 트래픽에 사용되며 사용자 트래픽과 섞이면 안됨
• 일반적으로 2계층 스위치의 SVI VLAN를 관리 VLAN으로 사용

음성 VLAN(Voice VLAN)

• 보장된 대역폭, 높은 QoS 우선순위, 혼잡 회피 능력, 150ms 미만의 지연시간이 요구 → 별도의 VLAN 필요
• 전체 네트워크가 음성을 지원하도록 설계되어야 함

다중 스위치 환경의 VLAN

VLAN 트렁크 정의

트렁크: 두 개의 네트워킹 장치 간의 포인트-투-포인트 링크

트렁크 링크의 기능

• 한 개 이상의 VLAN을 허용
• VLAN을 전체 네트워크로 확장/전개
• 기본적으로 모든 VLAN을 지원
• 802.1Q 트렁킹 지원

VLAN이 없는 네트워크

• VLAN이 없으면 스위치에 연결된 모든 장치가 유니캐스트, 멀티캐스트, 그리고 브로드캐스트 트래픽을 모두 수신

VLAN이 있는 네트워크

• VLAN이 있으면 유니캐스트, 멀티캐스트, 브로드캐스트 트래픽이 VLAN으로 제한
• 3계층 장치가 없으면 서로 다른 VLAN에 속한 장치 간에는 통신 불가능

태그(tag)를 이용한 VLAN 식별

• IEEE 802.1Q 헤더의 길이는 4바이트
• 태그 생성 시 FCS는 다시 계산
• 목적지 장치로 전송할 때, 태그 제거 후 FCS를 원래 값으로 다시 계산

• Src MAC과 Type/Length 사이에 Tag 추가
• Tag: Type field + TCI(Tag Control Information)
• Type: 16진수 0x8100인 2바이트 필드, TPID(Tag Protocol ID)라고 함
• User Priority: 우선 순위를 지원하는 3비트 값
• CFI(Canonical Format Identifier): 이더넷에서 토큰 링 프레임을 지원할 수 있는 1비트 값
• VID(VLAN ID): 최대 4096개의 VLAN을 지원할 수 있는 12비트 VLAN 식별자

네이티브 VLAN과 802.1Q 태깅

• 태깅은 일반적으로 모든 VLAN에 수행
• 네이티브 VLAN은 원래 그림의 허브의 예와 같이 레거시 LAN에서의 사용을 위해 설계
• 변경하지 않는 한, VLAN 1이 네이티브 VLAN
• 트렁크 링크 양단의 인터페이스는 동일한 네이티브 VLAN으로 구성되어야 함
• 각 트렁크는 개별적으로 구성되므로, 별도의 트렁크에 서로 다른 네이티브 VLAN을 사용하는 것이 가능

→ 허브가 연결된 경우 VLAN 지원 X → 네이티브 VLAN

음성 VLAN 태깅

• VoIP 전화기는 3-포트 스위치
• 스위치는 Cisco Discovery Protocol(CDP)를 사용하여 IP Phone에 음성 VLAN을 알림
• IP Phone은 자체 트래픽(음성)에 태깅을 하고 Class of Service(CoS)를 설정할 수 있음
• IP Phone은 PC로부터 프레임에 태깅을 할 수도 하지 않을 수도 있음

VLAN 구성

Catalyst 스위치의 VLAN 범위

• 스위치 2960과 3650 등은 4000개가 넘는 VLAN을 지원

VLAN 생성 명령

• VLAN은 전역 설정 모드에서 생성 가능, VLAN 세부 정보는 vlan.dat 파일에 저장

• 이름을 지정하지 않을 경우, IOS는 VLAN이라는 기본 이름에 4자리 숫자를 붙인 이름을 자동으로 지정(ex. VLAN 20 → vlan0020)

VLAN 포트 할당 명령

• VLAN을 생성한 후에는, 이를 원하는 인터페이스에 할당해야 함

• VLAN이 지정된 인터페이스에 연결된 엔드 디바이스에는 해당 VLAN에 대한 IP 주소 정보가 구성되어야 통신이 가능
• 액세스 모드 포트는 하나의 데이터 VLAN에만 할당될 수 있으나 IP Phone과 PC가 동일한 포트에 연결된 경우에는 또 다른 하나의 음성 VLAN에 결합 가능

VLAN 정보 확인

• show vlan [brief | id vlan-id | name vlan-name | summary]

VLAN 포트 멤버십 변경

• switchport access vlan vlan-id 명령 다시 입력
• no switchport access vlan 명령 사용하여 인터페이스를 VLAN 1에 다시 지정

VLAN 삭제

• VLAN을 삭제하기 전에, 모든 멤버 포트를 다른 VLAN에 재할당
• no vlan vlan-id 명령을 사용하여 VLAN을 삭제
  • delete flash:vlan.dat 또는 delete vlan.dat 명령을 사용하여 모든 VLAN을 삭제
  • 모든 VLAN을 삭제하는 경우에는 스위치를 재시작(reload)
• 스위치를 공장 기본 값으로 복구하기 위해서 다음 단계를 거침
  1. 스위치 포트에 연결된 모든 데이터 케이블 분리
  2. startup-config 삭제
  3. vlan.dat 파일 삭제
  4. 스위치 재시작