Day 8: VLAN, Trunk, 802.1Q 태깅

1) 학습 요약

학습 내용	설명
VLAN ID	논리적으로 네트워크를 분리하기 위한 ID (범위: 1~4094)
Native VLAN	Trunk 포트에서 태그 없이 전송되는 기본 VLAN (보안 주의 필요)
Trunk	여러 VLAN 트래픽을 하나의 링크로 전달하는 방식
802.1Q 태깅	VLAN 식별을 위해 프레임에 태그를 삽입하는 표준 방식

 

2) 이론 설명

(1) VLAN (Virtual LAN)

기능 설명:

• 하나의 물리적 네트워크 장비(스위치)를 사용하면서도, 논리적으로 네트워크를 분리해 보안성과 효율을 높일 수 있음
• VLAN 간 통신은 기본적으로 차단되며, L3 스위치 또는 라우터를 통한 Inter-VLAN Routing이 필요함

목적: 부서별 또는 용도별로 네트워크를 나눠서 트래픽 분리 및 보안 강화

VLAN ID 범위: 0과 4095는 예약용, 1은 기본, 1002~1005는 Cisco 예약 VLAN

(2) Trunk

기능 설명:

• 스위치 간 또는 스위치-라우터 간 여러 VLAN의 데이터를 하나의 링크를 통해 전송
• Access 포트는 단일 VLAN만 허용하는 반면, Trunk 포트는 다중 VLAN을 태깅하여 전달함

목적: Access 포트들과 연결된 VLAN 정보를 상위 장비로 유지하며 전달

구성 요소:

• Encapsulation 방식: IEEE 802.1Q (현재 표준 방식), 과거 Cisco 전용 ISL은 폐지됨
• Allowed VLAN: Trunk를 통해 통과시킬 VLAN을 제한적으로 설정 가능 (지정하지 않으면 모든 VLAN이 통과됨)

(3) Native VLAN 이란?

Native VLAN은 802.1Q Trunk 포트에서 태그가 붙지 않은(un-tagged) 프레임이 속한 VLAN입니다.
즉, 태깅되지 않은 프레임이 수신되었을 때, 해당 트래픽이 자동으로 Native VLAN에 속하는 것으로 처리됩니다.

 

1. Legacy 장비 및 비태깅 장비와의 호환

• 구형 장비, 비관리형 스위치, 허브 등은 VLAN 태깅을 지원하지 않음
• 이들 장비로부터 전송된 태그 없는 프레임을 수신하려면, Trunk 포트는 어떤 VLAN으로 처리할지를 알아야 하며 → Native VLAN으로 수신

 

2. 관리 트래픽 또는 기본 VLAN 설정 용도

• 일부 Cisco 장비는 기본적으로 Native VLAN으로 VLAN 1을 사용하여 CDP, VTP, PAgP 등의 관리 트래픽을 처리
• Native VLAN을 관리 트래픽 전용 VLAN으로 분리 지정하여, 일반 사용자 트래픽과 구분 가능

3. 보안 강화용 분리 대상

• VLAN Hopping 공격 방지를 위해 Native VLAN을 사용자 VLAN과 다른 번호로 지정하는 것이 권장됨
• 예: 사용자 VLAN이 10, 20일 경우 → Native VLAN을 99 또는 999 등으로 설정

 

(4) 802.1Q 태깅 프레임 구조

태깅 위치:

• Ethernet 헤더와 데이터 사이에 4바이트 길이의 VLAN Tag 삽입
• Access 포트로 나가는 트래픽은 태그가 제거되어 전송되며(untagged), Trunk 포트만 태깅됨

프레임 구조:

주요 필드 설명:

• TPID (Tag Protocol Identifier): 항상 0x8100 → 해당 프레임이 VLAN Tag 포함을 나타냄
• Priority: 0~7까지 QoS(서비스 품질) 우선순위 설정
• CFI: Canonical Format Indicator. 이더넷에서는 보통 0으로 설정
• VLAN ID: 12비트로 구성되어 0~4095 범위의 VLAN 지정 가능 (단, 0과 4095는 예약)

 

참고:

Cisco 공식 문서 – Understanding VLANs and Trunking

• https://www.cisco.com/c/en/us/support/docs/lan-switching/8021q/17056-741-4.html