VLAN / DTP

 ## VLAN(Virtual LAN) ##


 - Network(= Broadcast Domain)는 L3 Device가 구분해주는 하나의 공간을 의미하기도 한다.
   기본적으로 L2 Device에 연결된 모든 장비는 공통된 Network(= Broadcast Domain)에 포함된
   다.

 - VLAN을 사용하게 되면 L3 Device가 아닌 L2 Device 포트마다 서로 다른 network(= Broadcast
   Domain)로 구분해서 관리가 가능하다.
   (VLAN = Broadcast Domain = Network)

 - VLAN 필요성
   1) Segmentation : Broadcast Domain 크기를 나눠서 관리할 수 있다.
   2) Security : 동일 network 안에서 발생되는 보안 취약점들이 더 많기 때문에 VLAN으로
                         network를 구분하여 보호할 수 있다.

   3) 비용절감
   4) Flexibility
        ....

 - Cisco Switch의 경우 관리자가 별도의 VLAN을 설정하지 않을 경우 모든 포트는 VLAN 1
   (Default VLAN)에 할당되어 있다.

   그리고 VLAN 1 외에도 VLAN 1002/1003/1004/1005이 기본적으로 존재하는 VLAN이다.

 - Switch의 포트들은 서로 다른 VLAN에 할당이 될 경우 서로 다른 Network에 포함되기 때문
   에 L3 Device를 통해서 Routing 되어야 서로 통신이 가능하다.

       [ VLAN ] = [ Network ] = [ Broadcast Domain ]
                        하나의 독립된

 - VLAN은 VLAN ID로 구분한다. 범위는 0 - 4,095까지이다.

    1) VLAN 0 : System 예약 (사용 X)
    2) VLAN 1 : Cisco Default VLAN
    3) VLAN 2 - 1001 : Ethernet 용도 VLAN
    4) VLAN 1002 - 1005 : Token ring / FDDI 용도. (사용 X)
    5) VLAN 1006 - 4094 : Ethernet 용도 Extended VLAN
    6) VLAN 4095 : System 예약 (사용 X)

 - VLAN Port는 다음과 같이 구분이 가능하다.

[1. Access 포트(= Untagged 포트)]


 => 특정 VLAN 하나에 포함되는 Switch 포트를 의미한다.
       해당 포트는 자신이 속해있는 VLAN 트래픽만 전송이 가능하고, 다른 VLAN 트래픽은 전
      송이 불가능하다.

ex)
int rage fa 0/1 - 10
switchport mode access
switchport access vlan 10
공통
en
conf t
no ip domain loo
enable secret cisco123
lin con 0
 exec-time 0 0
 logging syn
 password ccnp 123
 login
exit
<1F_SW/2F_SW/3F_SW>
vlan 888
 name native
exit
vlan 100
 name Student
exit
vlan 200
 name Office
exit
vlan 300
 name Professor
exit
int fa 0/1
switchport mode access
switchport access vlan 100
exit
int fa 0/2
switchport mode access
switchport access vlan 200
exit
int fa 0/3
switchport mode access
switchport access vlan 300
exit
int fa 0/1
desc ##Student_PC##
exit
int fa 0/2
desc ##Office_PC##
exit
int fa 0/3
desc ##Professor##
exit

[2. Trunk 포트(= Tagged 포트)]


  => 다수의 VLAN 트래픽이 통과할 수 있는 Switch 포트를 의미한다.
  => 동일 VLAN이 다수의 Switch에 분산되어 있는 경우 사용이 적합하다. 주의점은 Trunk 포
       트를 사용하여 동일 VLAN에 포함된 장비들 사이에서만 통신이 가능하고, 서로 다른
        VLAN에 포함된 장비들은 통신이 불가능하다.
       (서로 다른 VLAN 통신은 반드시 L3 Device가 필요하다.)

  1) IEEE 802.1Q (= Dot1q)

    => 표준(모든 벤더 장비에서 지원)
    => Original Frame에 4Byte의 VLAN TAG를 추가한다.
    => Extended(확장) VLAN(1,006 - 4,094) 지원
    => Native VLAN 지원

  2) ISL

    => Cisco 전용(Cisco 장비에서만 지원, Catalyst 2950/2960 지원 X)
    => Original Frame에 30Byte의 Over Header가 발생
    => Extended(확장) VLAN(1,006 - 4,094) 지원 X
    => Native VLAN 지원 X
============================================================================================================

## DTP(Dynamic Trunk Protocol) ##


 - Switchport는 'Dynamic Port'로 동작하는 경우 자신의 역할을 상대방과 협상을 통해 결정할 수
   있다.

 - Switchport는 다음과 같이 구분된다.

[1. 정적 포트(Static Port)]


 => 관리자가 [switchport mode ~~] 명령어로 포트의 역할을 결정한다.
    1) Access => 상대방 포트와 관계 없이 무조건 Access 포트 동작.
    2) Trunk => 상대방 포트와 관계 없이 무조건 Trunk 포트 동작.

[2. 동적 포트(Dynamic Port)]


 => 관리자가 포트의 역할을 별도로 설정하지 않았을 경우 다음 중 하나의 동적 포트로 동작한
      다.

    1) Dynamic Desirable

       => 상대방 포트의 역할이 Trunk/Desirable/Auto일 경우 Trunk 동작
       => 상대방 포트의 역할이 Access일 경우에만 Access로 동작   

    2) Dynamic Auto

       => 상대방 포트의 역할이 Trunk/Desirable일 경우 Trunk 동작
       => 상대방 포트의 역할이 Access/Auto일 경우에만 Access로 동작
 - [show interface <인터페이스 이름> switchport] 명령어로 확인이 가능하다.

<1F_SW/2F_SW/3F_SW>
conf t
 vlan 888
 name native
exit
conf t
int fa 0/10
 shut
 switchport mode trunk
 switchport trunk allowed vlan 100,200,300
 switchport trunk native vlan 888
 switchport nonegotiate(DTP 기능 사용 X)
 no shut

!
<BB>
conf t
int range fa 0/1 - 3
 shut
 switchport mode trunk
 switchport trunk allowed vlan 100,200,300
 switchport trunk native vlan 888
 switchport nonegotiate
 no shut
!
 - DTP를 사용하여 협상을 통해 Switchport의 역할을 결정할 수도 있지만 관리자가 수동으로
   설정하는 것이 더 안정적이다. 때문에 일반적으로 양쪽 포트에 수동으로 Trunk 설정을 입력
   하고, [switchport nonegotiate] 명령어로 DTP를 비활성화 시킨다.

--------------------------------------------------------------------------------------------------------------------------

<실습>


 
위와 같이 Switch를 구성한다.
각각 VLAN 구역을 나누어 100 / 200 / 300 으로 설정 trunk Port와 Access Port를 사용하여
1F / 2F / 3F 에서 통신이 되도록 구현한다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

TCP/IP Model(= DoD Model)과 OSI 7 Layer Model 1

## TCP/IP Model(= DoD Model)과 OSI 7 Layer Model ## [1. TCP/IP Model]  => 인터넷 표준 Protocol인 TCP/IP의 Model.  => Dod 4계층 Model이라고 표현하기도 한다.  => 실제 우리가 사용하는 Protocol에 대한 모델이다.   [2. OSI 7 Layer Model]  => Reference Model(참조 모델)  => ISO(국제 표준화 기구)에서 발표한 모델. -------------------------------------------------------------------------------------------------------------------------- ** OSI 7 Layer Model **   - 상위 계층 : Application -  7계층 : Application  6계층 : Presentation  5계층 : Session   - 하위 계층 : Data-Flow -  4계층 : Transport  3계층 : Network  2계층 : Data-Link  1계층 : Physical -------------------------------------------------------------------------------------------------------------------------- - Layer 4 : Transport(전송) -   1. L4 역할     => Port 번호를 사용하여 Service 식별.     => TCP의 경우 Segmentation, Flow-Control, Error-Control..   2. L4 Protocol  1) TCP : 연결 지향성, 신뢰성, Segmentation 수행 o  2) UDP : 비연결 지향성, 비 신뢰성, Segmentation 수행
자세한 내용 보기

Spanning Tree Protocol(STP) 1

 ## Spanning Tree Protocol(STP) ##  - Switch Network에서 사용되는 Loop 방지 Solution  - '가용성(Availability)' 확보를 위해 Switch를 이중화하는 경우 Ring 구조의 형태로 연결하게    되면 Loop가 발생 할 수 있다. 때문에 관리자가 별도로 설정을 하지 않아도 Switch 스스로    STP가 활성화되어 있기 때문에 Loop를 방지할 수 있다. ------------------------------------------------------------------------------------------------------------ ** Configuration BPDU(설정 BPDU) **  - Switch는 기본적으로 2초 주기로 'Configuration BPDU'를 교환하여 'Root Bridge'와 각 Port의    역할을 결정하게 된다.  - Configuration BPDU의 다음 3가지 값을 기준으로 Switch의 역할과 포트의 역할을 결정한다. [1. Bridge ID]  => Switch(혹은 Bridge)가 갖고 있는 고유한 식별자(ID)를 의미       다음과 같이 구성된다.       [ Bridge Priority(기본값: 32,768) + MAC 주소 ]  => Bridge ID가 가장 낮은 Switch가 'Root Bridge'로 선출된다.     => 관리자가 임의적으로 Root Bridge를 변경할 경우, 해당 장비의 Bridge Priority 값을 낮게 조정하면 된다. [2. Path Cost]  => 해당 Switch에서 Root Bridge까지의 Link 속도를 값으로 변환한 값이다  => 16bit Path Cost는 다음과 같다.      -> 10Mbps : 100 / 100Mbps : 1
자세한 내용 보기

Inter Vlan / SVI

이미지
 ## Inter-VLAN Routing ## [1. Router]  1) major Interface 사용 <Router> en conf t enable secret cisco123 lin con 0  exec-time 0 0  logging syn  password ccnp123  login exit int fa0/0  desc ##VLAN100_GW##  ip add 1.1.10.254 255.255.255.0  no shut ! int fa0/1  desc ##VLAN200_GW##  ip add 1.1.20.254 255.255.255.0  no shut !int fa1/0  desc ##VLAN300_GW##  ip add 1.1.30.254 255.255.255.0  no shut ! <BB> conf t  int fa 0/22  switchport mode access  switchport access vlan 100 ! int fa 0/23  sw mo ac  sw acc vlan 200 ! int fa 0/24  sw mo ac  sw acc vlan 300 !  2) sub Interface 사용 <BB> conf t int fa 0/20  sw trunk allowed vlan 100, 200, 300  sw trunk native vlan 888  sw mo trunk ! <Router> en conf t no ip domain loo ho GW line con 0  exec-time 0 0 logging syn ! int fa 0/0  no shut ! int fa 0/0.100  encapsulation dot1q 100  ip add 1.1.10.254 255.255.255.0 ! int fa 0/0.200  encapsulation dot1q 200  ip add 1.1.20.254 255.255.255.0 ! int fa 0/0.300  encapsulation dot
자세한 내용 보기