VLAN

🔹 VLAN (Virtual LAN)이란?

VLAN(가상 LAN, Virtual Local Area Network)은 하나의 물리적 네트워크를 논리적으로 여러 개의 네트워크로 분리하는 기술이야.

쉽게 말해, 같은 스위치(Switch)에 연결된 장비들도 VLAN 설정을 통해 서로 다른 네트워크처럼 동작하도록 할 수 있어.

---

1️⃣ VLAN을 왜 사용할까?

VLAN을 사용하는 이유는 크게 트래픽 관리, 보안 강화, 네트워크 효율성 증가 때문이야.

✅ 1. 트래픽 분리로 네트워크 성능 향상

• 같은 스위치에 연결된 모든 장비가 브로드캐스트(예: ARP 요청)를 보내면 네트워크 트래픽이 증가함.
• VLAN을 설정하면 각 VLAN 내부에서만 브로드캐스트가 전달되므로, 트래픽을 분산시킬 수 있음.

✅ 2. 보안 강화

• 예를 들어, IT 부서와 회계 부서가 같은 네트워크를 사용하면, 회계 부서의 중요한 데이터가 IT 부서에서도 보일 수 있음.
• VLAN을 사용하면 부서별로 네트워크를 분리하여 불필요한 접근을 차단할 수 있음.

✅ 3. 유연한 네트워크 구성

• 같은 사무실에 있는 장비가 아니더라도, VLAN을 사용하면 서로 다른 지역에서도 같은 네트워크로 묶을 수 있음.
• 예를 들어, 서울과 부산에 있는 직원들이 같은 VLAN에 속하면 물리적으로 떨어져 있어도 같은 네트워크에 있는 것처럼 동작할 수 있음.

---

2️⃣ VLAN을 사용하지 않은 경우 vs VLAN을 적용한 경우

❌ VLAN 없이 하나의 네트워크만 있을 때

예시

• 한 회사에서 하나의 네트워크(192.168.1.0/24)를 사용하고, 모든 부서(IT, 영업, 회계, HR)가 같은 스위치에 연결됨.
• 문제점
  • 모든 부서의 PC가 같은 네트워크에 있음 → 불필요한 브로드캐스트 트래픽 증가
  • 회계 부서의 서버에 IT 부서 직원이 접근 가능 → 보안 문제 발생
  • 부서별로 트래픽을 분리할 방법이 없음

---

✅ VLAN을 적용한 경우

예시

• 같은 스위치를 사용하지만, 부서별로 VLAN을 설정해서 트래픽을 분리함.

부서 VLAN ID 네트워크 대역

IT 부서	VLAN 10	192.168.10.0/24
회계 부서	VLAN 20	192.168.20.0/24
영업 부서	VLAN 30	192.168.30.0/24
HR 부서	VLAN 40	192.168.40.0/24

개선점

✅ 각 부서가 서로 다른 네트워크로 분리됨 → 브로드캐스트 트래픽 감소
✅ 서로 다른 VLAN끼리는 기본적으로 통신 불가 → 보안 강화
✅ 필요한 경우 특정 VLAN만 통신 허용 가능 (예: IT 부서만 모든 VLAN과 통신 가능)

---

3️⃣ VLAN 구성 방식

VLAN을 적용하는 방식에는 포트 기반 VLAN(Static VLAN) 과 태그 기반 VLAN(802.1Q, Trunk) 이 있어.

🔹 1. 포트 기반 VLAN (Static VLAN)

• 스위치의 포트를 VLAN에 수동으로 할당하는 방식.
• 특정 포트에 연결된 장비는 고정된 VLAN에 속하게 됨.
• 예:
  • 1~10번 포트 → VLAN 10 (IT 부서)
  • 11~20번 포트 → VLAN 20 (회계 부서)
  • 21~30번 포트 → VLAN 30 (영업 부서)

✔️ 장점: 설정이 간단함
❌ 단점: 포트를 바꿀 때마다 설정을 다시 해야 함 (유연성이 낮음)

---

🔹 2. 태그 기반 VLAN (Trunk, 802.1Q)

• VLAN 태그(tag) 를 이용해서 한 개의 포트로 여러 개의 VLAN 트래픽을 전송하는 방식.
• 트렁크(Trunk) 포트를 사용하면 VLAN 간 통신이 가능해짐.

✔️ 장점: VLAN 구성이 유연함, 네트워크 확장성이 높음
❌ 단점: 설정이 다소 복잡함

예제

• PC → Access Port (VLAN 10, 20, 30)
• 스위치 간 연결 → Trunk Port (모든 VLAN 허용)
• 라우터에서 VLAN 간 라우팅 설정하여 특정 VLAN끼리만 통신 가능하도록 설정 가능

---

4️⃣ VLAN 간 통신 (Inter-VLAN Routing)

기본적으로 서로 다른 VLAN끼리는 통신이 불가능하지만, 라우터 또는 L3 스위치(Layer 3 Switch) 를 사용하면 VLAN 간 통신이 가능해.

🔹 Inter-VLAN 라우팅 방식

1️⃣ 라우터 + 여러 개의 인터페이스 (Router-on-a-Stick 방식)

• 하나의 라우터에 여러 개의 VLAN 서브인터페이스를 설정하여 VLAN 간 통신을 지원.
• 예) Router(config)# interface GigabitEthernet0/0.10 (VLAN 10), Router(config)# interface GigabitEthernet0/0.20 (VLAN 20)

2️⃣ L3 스위치 (Layer 3 Switch) 사용

• VLAN을 직접 라우팅할 수 있는 L3 스위치를 사용하면, 별도의 라우터 없이도 VLAN 간 통신이 가능함.
• 보통 기업에서는 L3 스위치를 사용하는 경우가 많음.

---

✅ 정리

항목                                VLAN 없음                                                                VLAN 적용

네트워크 구조	하나의 네트워크에 모든 장비 연결	부서별로 VLAN을 나눠서 분리
보안	부서 간 자유롭게 접근 가능 (취약)	부서 간 접근 통제 가능
트래픽 관리	브로드캐스트 트래픽 많음	부서별로 트래픽 분산
유연성	부서 이동 시 네트워크 변경 필요	VLAN 변경만 하면 끝

---

✅ 결론

• VLAN을 사용하면 같은 스위치 안에서도 서로 다른 네트워크를 구성 가능.
• 보안 강화, 트래픽 분산, 유연한 네트워크 관리가 가능해짐.
• 기업에서는 포트 기반 VLAN 또는 태그 기반 VLAN(Trunk) 을 사용하여 네트워크를 효율적으로 관리함.

---

✅ 서브넷(Subnet)과 VLAN의 차이

서브넷(Subnet)과 VLAN은 서로 다른 개념이야!
서브넷은 IP 주소를 기준으로 네트워크를 나누는 3계층(Layer 3) 개념이고,
VLAN은 스위치에서 논리적으로 네트워크를 나누는 2계층(Layer 2) 개념이야.

---

1️⃣ 서브넷 vs VLAN 비교

항목                   서브넷(Subnet)                                                         VLAN (Virtual LAN)

계층	L3 (네트워크 계층)	L2 (데이터링크 계층)
기준	IP 주소를 기반으로 네트워크를 나눔	스위치 포트를 기반으로 논리적 네트워크를 나눔
장비	라우터(L3 스위치 포함) 필요	스위치(L2 또는 L3)에서 VLAN 설정
트래픽 분리	네트워크 주소(IP 주소 대역) 가 다르면 서로 통신 불가	같은 스위치에 있어도 VLAN이 다르면 통신 불가
브로드캐스트 범위	서브넷별로 브로드캐스트 도메인이 다름	VLAN별로 브로드캐스트 도메인이 다름
통신 방법	서로 다른 서브넷끼리는 라우터를 통해야 통신 가능	VLAN 간 통신하려면 라우터(L3 스위치) 필요
물리적 구성	여러 개의 네트워크가 있을 경우 물리적으로 다른 네트워크 구성 필요	같은 물리적 네트워크 내에서도 VLAN 설정으로 논리적으로 나눌 수 있음

---

2️⃣ 서브넷과 VLAN의 역할 차이

✅ 서브넷(Subnet) → IP 주소 기반으로 네트워크를 나누는 방식 (L3)

• 네트워크를 논리적으로 나누는 방식이지만, L3(네트워크 계층)에서 동작
• IP 주소 대역을 기준으로 네트워크를 구분함.
• 다른 서브넷 간 통신은 라우터(Router) 또는 L3 스위치를 거쳐야 함.

🔹 예제: 서브넷을 나눈 경우

IT 부서: 192.168.10.0/24  (서브넷 마스크: 255.255.255.0)
영업 부서: 192.168.20.0/24  (서브넷 마스크: 255.255.255.0)

• IT 부서와 영업 부서는 IP 대역이 다르므로 직접 통신할 수 없음.
• 통신하려면 라우터를 거쳐야 함.

---

✅ VLAN (Virtual LAN) → 같은 네트워크 내에서도 스위치 포트를 논리적으로 나누는 방식 (L2)

• 같은 물리적 네트워크 내에서도 VLAN을 이용하면 서로 다른 네트워크처럼 동작
• 같은 스위치 안에서도 VLAN을 다르게 설정하면 서로 통신 불가능
• VLAN 간 통신하려면 라우터(L3 스위치 포함) 필요

🔹 예제: VLAN을 나눈 경우

VLAN 10: IT 부서 (192.168.1.0/24) → 스위치 포트 1~10번
VLAN 20: 영업 부서 (192.168.1.0/24) → 스위치 포트 11~20번

• VLAN 10과 VLAN 20은 같은 서브넷(192.168.1.0/24)을 사용해도 서로 통신할 수 없음!
• VLAN 간 통신하려면 라우터 또는 L3 스위치 필요

---

3️⃣ 서브넷과 VLAN을 같이 사용할 수 있을까?

당연하지!
VLAN과 서브넷을 같이 사용하면 네트워크를 더 효율적으로 구성할 수 있음.

🔹 VLAN + 서브넷 조합 예시

1. 부서별로 VLAN을 나누고, 각 VLAN에 서브넷을 할당
   • VLAN 10 → 192.168.10.0/24 (IT 부서)
   • VLAN 20 → 192.168.20.0/24 (영업 부서)
   • VLAN 30 → 192.168.30.0/24 (회계 부서)
2. VLAN 간 통신은 L3 스위치 또는 라우터를 통해 수행
   • VLAN 10과 VLAN 20은 직접 통신할 수 없음
   • L3 스위치에서 Inter-VLAN 라우팅을 설정하면 VLAN 간 통신 가능

이렇게 하면 같은 스위치 내에서도 부서별 네트워크 분리 + 보안 강화 + 트래픽 최적화 가능!

---

4️⃣ 결론

• 서브넷: IP 주소를 기준으로 네트워크를 분리하는 Layer 3 기술
• VLAN: 스위치 포트를 기반으로 네트워크를 나누는 Layer 2 기술
• 서브넷을 나누면 브로드캐스트 도메인이 줄어들고, VLAN을 사용하면 같은 네트워크에서도 논리적으로 분리 가능
• VLAN과 서브넷을 함께 사용하면 보안 + 네트워크 최적화 + 트래픽 분리 효과 극대화!