개요
VLAN(Virtual LAN)은 하나의 물리 스위치를 논리적으로 분리하는 기술이다. 부서별 트래픽을 격리하고 브로드캐스트 도메인을 줄이는 데 사용한다. 이번 실습에서는 EVE-NG 환경에서 VLAN을 직접 설계·구성하고, 격리 동작과 L2/L3 실패 구분까지 경험했다.
WHY — VLAN이 없으면 어떤 문제가 생기나?
VLAN이 없는 환경에서는 같은 스위치에 연결된 모든 장비가 하나의 브로드캐스트 도메인에 속한다. HR팀 PC 한 대가 ARP Request를 보내면 개발팀, 서버팀 PC까지 전부 받는다. 장비가 200대라면 200대 모두가 처리해야 한다.
보안 측면에서도 문제다. VLAN 없이는 같은 스위치에 연결된 장비 간 트래픽을 L2 레벨에서 막을 방법이 없다. HR팀에서 서버팀 서버로 ping을 보내도 막을 수 없다.
그렇다고 부서마다 물리 스위치를 따로 두는 건 비용과 확장성 측면에서 현실적이지 않다. VLAN = 소프트웨어로 물리 분리 효과를 낸다. 그것이 VLAN의 존재 이유다.
HOW — VLAN은 어떻게 동작하는가?
스위치는 각 포트에 VLAN ID(1~4094)를 부여한다. 같은 VLAN ID를 가진 포트끼리만 프레임을 주고받을 수 있고, 다른 VLAN 포트로는 프레임 전달 자체를 하지 않는다.
VLAN 10 포트끼리 → 통신 가능 VLAN 20 포트끼리 → 통신 가능 VLAN 10 ↔ VLAN 20 → L3 장비 없이는 차단
중요한 점은 MAC 테이블이 VLAN별로 완전히 분리된다는 것이다. VLAN 10의 MAC 테이블과 VLAN 20의 MAC 테이블은 별개로 관리된다. 스위치는 VLAN 경계를 넘어 프레임을 전달하지 않는다.
VLAN 종류
| 종류 | 용도 | 주의사항 |
|---|---|---|
| Data VLAN | 사용자 트래픽 | 가장 일반적 |
| Voice VLAN | VoIP 전화기 | QoS 설정 필요 |
| Management VLAN | 장비 SSH/Telnet 접근 | VLAN 1 절대 사용 금지 |
| Native VLAN | Trunk의 untagged 트래픽 | 양쪽 일치 필수 (Chapter 3) |
| Default VLAN | VLAN 1 — 공장 초기값 | 건드리지 마라 |
모든 포트의 기본값이 VLAN 1이다. CDP, STP, VTP 같은 관리 프로토콜도 VLAN 1로 흐른다. 공격자가 스위치에 케이블만 꽂아도 기본적으로 VLAN 1에 속하게 되고, 관리 프로토콜 트래픽을 수신하면서 네트워크 구조를 파악할 수 있다. Management VLAN은 반드시 별도 VLAN으로 분리해야 한다.
실습 토폴로지
[HR-PC, VLAN10]────e0/0──┐
│
[Dev-PC, VLAN20]───e0/1─[SW1]
│
[Mgmt-PC, VLAN30]──e0/2──┘
| 장비 | IP | 포트 | 비고 |
|---|---|---|---|
| SW1 | — | e0/0 / e0/1 / e0/2 | IOL L2 |
| HR-PC (VPC2) | 192.168.10.10/24 | e0/0 | VLAN 10 |
| Dev-PC (VPC3) | 192.168.20.10/24 | e0/1 | VLAN 20 |
| Mgmt-PC (VPC4) | 192.168.30.10/24 | e0/2 | VLAN 30 |
확인 명령어 및 결과
VLAN 생성 및 포트 할당
VLAN 3개를 생성하고 각 포트에 할당했다. show vlan brief로 결과를 확인한다.
SW1(config)# vlan 10 SW1(config-vlan)# name HR SW1(config)# vlan 20 SW1(config-vlan)# name Dev SW1(config)# vlan 30 SW1(config-vlan)# name Mgmt SW1(config)# interface e0/0 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 10 SW1(config)# interface e0/1 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 20 SW1(config)# interface e0/2 SW1(config-if)# switchport mode access SW1(config-if)# switchport access vlan 30
show vlan brief 결과
VLAN 10, 20, 30에 각 포트가 정상적으로 할당됐다. VLAN 1(default)에는 미사용 포트(Et0/3)만 남아 있는 것이 올바른 상태다.
VLAN Name Status Ports ---- ---------------- -------- -------------------- 1 default active Et0/3 10 HR active Et0/0 20 Dev active Et0/1 30 Mgmt active Et0/2
VLAN 간 격리 확인
HR-PC에서 Dev-PC, Mgmt-PC로 ping을 시도했다. 스위치가 VLAN 경계에서 프레임 전달 자체를 차단하므로 둘 다 실패한다.
VPCS> ping 192.168.20.10 host (255.255.255.0) not reachable VPCS> ping 192.168.30.10 host (255.255.255.0) not reachable
삽질 기록
삽질 1 — Mgmt-PC IP 설계 실수
삽질 2 — 같은 VLAN인데 ping이 안 된다?
면접 포인트
1단계:
show vlan brief — 포트가 올바른 VLAN에 할당됐는지 확인.2단계: IP 서브넷 확인 — 같은 VLAN이어도 서브넷이 다르면 PC가 게이트웨이로 보내려 하므로 L3 문제다.
3단계: 게이트웨이 설정 확인 — 게이트웨이가 없거나 잘못됐으면 라우팅 문제다.
스위치가 막는 L2 실패와 PC가 게이트웨이를 찾지 못하는 L3 실패는 증상이 같아 보이지만 원인이 완전히 다르다.
'Network > Switch' 카테고리의 다른 글
| [Switch] STP - 루프가 생기면 네트워크는 왜 마비되는가? (0) | 2026.03.20 |
|---|---|
| [Switch] Trunk / 802.1Q - VLAN 100개에 케이블 100개가 필요한가? (0) | 2026.03.20 |
| [Switch] 스위치는 어떻게 프레임을 전달하는가? - MAC 테이블의 모든 것 (0) | 2026.03.20 |