스위치 (VLAN)

[한창호]

L2 - MAC 주소를 기반으로 프레임 전달하는 장비

L3 - IP주소를 기반으로 패킷을 전달하는 장비

L4 - TCP, UDP 등을 스위칭 하면서 RTP 등의 헤더를 분석하여 응용 프로그램에서 사용하는 프로토콜 중 우선 전달 결정 또는 서버나 네트워크의 트래픽에 대한 로드 밸런싱

L7 - URL, email의 제목 및 내용, 쿠키 등의 패턴을 분석해 패킷을 처리하는 방식,  QoS 및 로드밸런싱을 설정

VLAN (Virtual LAN)

- 스위치는 브로드캐스트 프레임을 받으면 받은 포트를 제외한 모든 포트에게 트랙을 전달

- 내부 권한이 없는 사용자가 제약없이 특정 장치에 접속할 수 있는 문제점 해결

- 서로다른 VLAN에 속해 있는 장치들은 통신이 불가능하며, 해결하려면 L3 장치인 라우터나 스위치 필요

단계별	예제 코드	설명
PC IP 설정	PC0  ->  IP: 203.230.7.1  255.255.255.0 PC1  ->  IP: 203.230.8.1  255.255.255.0 PC2  ->  IP: 203.230.9.1  255.255.255.0 PC3  ->  IP: 203.230.7.2  255.255.255.0 PC4  ->  IP: 203.230.9.2  255.255.255.0
스위치 상태	Switch> en Switch# show mac-address-table Switch# show vlan	Mac 주소나 vlan 상태 출력
SW1 설정	Switch>en Switch# conf t Switch(config)# hostname SW1 SW1(config)# vlan 10 SW1(config-vlan)# name VLAN_10 SW1(config-vlan)# vlan 20 SW1(config-vlan)# name VLAN_20 SW1(config-vlan)# vlan 30 SW1(config-vlan)# name VLAN_30 SW1(config-vlan)# int fa0/1 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 SW1(config-if)# int fa0/2 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 20 SW1(config-if)# int fa0/3 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 30 SW1(config-if)# do show vlan SW1(config-if)# exit	VLAN 10, 20, 30 설정 Fa0/1 Fa0/2 Fa0/3
SW2 설정	Switch>en Switch# conf t Switch(config)# hostname SW2 SW2(config)# vlan 10 SW2(config-vlan)# name VLAN_10 SW2(config-vlan)# vlan 30 SW2(config-vlan)# name VLAN_30 SW2(config-vlan)# int fa0/2 SW2(config-if)# switchport mode access SW2(config-if)# switchport access vlan 10 SW2(config-if)# int fa0/3 SW2(config-if)# switchport mode access SW2(config-if)# switchport access vlan 30 SW2(config-if)# do show vlan SW2(config-if)# exit	VLAN 10, 30 설정
SW1 회선추가	SW1(config)# int fa0/5 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 SW1(config-if)# int fa0/4 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 30	2개 회선 추가
SW2 회선추가	SW2(config)# int fa0/4 SW2(config-if)# switchport mode access SW2(config-if)# switchport access vlan 10 SW2(config-if)# int fa0/1 SW2(config-if)# switchport mode access SW2(config-if)# switchport access vlan 30	2개 회선 추가
SW1에 트렁크 설정	SW1(config)# int fa0/4 SW1(config-if)# no switchport mode access SW1(config-if)# no switchport access vlan 30 SW1(config-if)# switchport mode trunk SW1(config-if)# ^Z SW1# show interface trunk	트렁크로 선언하면 1개 회선으로 가능하다.
SW2에 트렁크 설정	SW2(config)# int fa0/1 SW2(config-if)# no switchport mode access SW2(config-if)# no switchport access vlan 30 SW2(config-if)# switchport mode trunk SW2(config-if)# ^Z SW2# show interface trunk	SW1-SW2 사이에 회선을 1개만 연결하고 그 회선에 트렁크로 선언하면 회선을 줄일 수 있다.
Native VLAN 설정	SW1(config)# int fa0/4 SW1(config-if)# switchport trunk native vlan 10 SW2(config)# int fa0/1 SW2(config-if)# switchport trunk native vlan 10	native VLAN 1번에서 10번으로 변경
DTP (Dynamic Trunking Protocol) 설정	SW1(config)# int fa0/1 SW1(config-if)# switchport mode dynamic auto SW1(config-if)# ^Z SW1# show int trunk SW2(config)# int fa0/1 SW2(config-if)# switchport mode dynamic auto SW2(config-if)# ^Z SW2# show int trunk	DTP는 상대 스위치와 트렁크 관련 협상 및 트렁크 캡슐화(Trunk Encapsulation)을 협상하기 위한 시스코만의 프로토콜
DTP: 토폴로지의 SW1-SW2 트렁크를 VLAN ID 30번 데이터만 트렁크 링크를 사용	SW1(config)# int fa0/4 SW1(config-if)# switchport mode trunk   (명령삽입 필요)  SW1(config-if)# switchport trunk allowed vlan 30   SW1(config-if)# do show interface trunk Port Mode Encapsulation Status Native vlan Fa0/4 on 802.1q trunking  1 Port Vlans allowed on trunk Fa0/4 30     (VLAN 30번만 통신이 가능함)	핑 테스트를 해보면 30번 LAN만 ping을 주고 받을 수 있음

* switchport mode

The switchport mode command

https://4network.tistory.com/entry/switchport-mode%EC%9D%98-%EC%9D%B4%ED%95%B4

https://www.geeksforgeeks.org/dynamic-trunking-protocol-dtp/

위 표의 설명

- access port와 dynamic port는 DTP를 받지 못하기 때문에 access port를 유지한다.

- trunk 와 dynamic (desirable)은 DTP를 받으므로 trunk port로 변경된다.

- access 와 trunk는 상호간에 negotation을 하지 않으므로 통신이 불가능하다.

- dynamic (auto)와 dynamic (auto)는 둘다 DTP를 기다리기만 하므로 access port를 유지한다.

* Navite VLAN

- 허브에 연결된 PC의 데이터는 VLAN ID를 부여 받지 못하고 스위치에 전달되는데, 기본 Native VLAN을 변경해야 통신 가능하다.

* Inter-VLAN

- 서로 다른 VLAN간에 통신을 하기 위해서는 L3 라우터 장치를 거쳐야 통신할 수 있다.

- VLAN의 기본 게이트웨이는 할당 가능한 IP 주소 대역에서 첫 번째 주소를 사용한다.  (VLAN10: gw: 203230.7.1/24, VLAN20: gw: 203.230.8.1/24)

단계별	예제 코드	설명
PC IP 설정	PC0  ->  IP: 203.230.7.2  255.255.255.0   GW: 203.230.7.1 PC1  ->  IP: 203.230.8.2  255.255.255.0   GW: 203.230.8.1 PC2  ->  IP: 203.230.9.2  255.255.255.0   GW: 203.230.9.1 PC3  ->  IP: 203.230.7.3  255.255.255.0   GW: 203.230.7.1 PC4  ->  IP: 203.230.9.3  255.255.255.0   GW: 203.230.9.1
SW1 설정	SW1(config)# vlan 10 SW1(config-vlan)# name VLAN_10 SW1(config-vlan)# vlan 20 SW1(config-vlan)# name VLAN_20 SW1(config-vlan)# vlan 30 SW1(config-vlan)# name VLAN_30 SW1(config-vlan)# int fa0/1 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 SW1(config-if)# int fa0/2 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 20 SW1(config-if)# int fa0/3 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 30 SW1(config-if)# int range fa0/4, fa0/5 SW1(config-if)# switchport mode trunk SW1(config-if)# ^Z SW1# wr	fa0/4, fa0/5에 트렁크 설정
SW2 설정	SW2>en SW2# conf t SW2(config)# vlan 10 SW2(config-vlan)# name VLAN_10 SW2(config-vlan)# vlan 30 SW2(config-vlan)# name VLAN_30 SW2(config-vlan)# int fa0/2 SW2(config-if)# switchport mode access SW2(config-if)# switchport access vlan 10 SW2(config-if)# int fa0/3 SW2(config-if)# switchport mode access SW2(config-if)# switchport access vlan 30 SW2(config-if)# exit SW2(config)# int fa0/1 SW2(config-if)# switchport mode trunk SW2(config-if)# exit	fa0/1에 트렁크 설정
R1에서 서브 인터페이스 설정	Router# conf t Router# hostname R1 R1(config)# int gi0/0 R1(config-if)# no shutdown     (먼저 활성화를 시킨다.) R1(config-if)# exit R1(config)# int gi0/0.10      (10은 임의의 VLAN ID) R1(config-subif)# encapsulation dot1q 10     (VLAN ID 사용) R1(config-subif)# ip add 203.230.7.1 255.255.255.0 R1(config-subif)# exit R1(config)# int gi0/0.20 R1(config-subif)# encapsulation dot1q 20 R1(config-subif)# ip add 203.230.8.1 255.255.255.0 R1(config-subif)# exit R1(config)# int gi0/0.30 R1(config-subif)# encapsulation dot1q 30 R1(config-subif)# ip add 203.230.9.1 255.255.255.0 R1(config-subif)# exit R1(config)# do show ip int brief	라우터 gi0/0에 서브 인터페이스를 설정한다.
모든 PC들 상호간에 핑 테스트	PC0 ⇒ Desktop ⇒ Command Prompt ⇒ > ping 203.230.7.3 > ping 203.230.8.2

* 스위치에서 Port-Security 설정 실습

단계별	예제 코드	설명
MAC 주소 학습 개수 제한 방식	SW1(config)# int fa0/1 SW1(config-if)# switchport mode access  SW1(config-if)# switchport port-security SW1(config-if)# switchport port-security maximum 1 SW1(config-if)# switchport port-security violation shutdown PC0> ping 203.230.7.3   (성공)	PC1에서 PC2로 ping을 보내면 성공하고 스위치 포트 Fa0/1은 아직   활성화를 유지함
핑테스트 실패	PC1> ping 203.230.7.3   (실패) SW1(config)# int fa0/1 SW1(config-if)# shut   SW1(config-if)# no shut	PC0->PC2는 실패 실패 후 포트를 다시 활성화 시킨다. (no shut)
허용 MAC 주소 수동 등록 방식	SW1(config)# int fa0/1 SW1(config-if)# switchport mode access  SW1(config-if)# switchport port-security SW1(config-if)# switchport port-security maximum 1 SW1(config-if)# switchport port-security mac-address 0090.2161.9794 SW1(config-if)# switchport port-security violation shutdown	MAC 주소(0090.2161.9794)는 PC0클릭->Config탭->INTERFACE->FastEthernet0에서 확인
L2 보안 설정정책 위반 시 대응 방법 설정	SW1(config-if)# switchport port-security violation [restrict | protect | shutdown]