Layer 2 Switching - Virtual LAN (VLAN) 정의와 Switch Port

● Virtual LAN (VLAN)

 

VLAN은 IEEE 802.1Q 표준으로 정의 되어있고 프레임 헤더에 32bit, 4개의 필드로 구성 되어 있습니다. 1)

항목	길이	설명
Tag Progocol Identifier (TPID)	16 bit	0x8100 설정되고 802.1Q 패킷 식별자로 사용 됨
Priority code point (PCP)	3 bit	Layer 2계층 QoS 목적으로 사용 됨
Drop elgible indicator (DEI)	1 bit	대역폭이 문제가 있을 경우 패킷 폐기 여부를 결정
VLAN identifier (VLAN ID)	12 bit	VLAN ID 정보를 나타냅니다.

※ 12bit 이기 때문에 총 4094개의 VLAN을 사용 가능하지만 일부 VLAN은 예약되어 있습니다. 
  - VLAN 0 : 802.1P 트래픽용으로 예약되어 있어 수정 삭제 불가
  - VLAN 1 : 기본 VLAN, 수정 삭제 불가
  - VLAN 2 ~ 1001: 일반적인 VLAN이며 수정,삭제,추가 가능
  - VLAN 1002 ~ 1005 : 예약되어 있어 수정/삭제 불가
  - VLAN 1006 ~ 4094 : 확장 VLAN 수정/추가/삭제 가능

 

VLAN을 사용하는 방식은 인터페이스에 하나의 VLAN만 할당하여 사용하는 방식(Access Port)과 인터페이스에 여러개의 VLAN 데이터가 이동할 수 있도록 설정(Trunk Port)하는 방식으로 나눌 수 있습니다. 

 

 

  ○ Access Port

스위치 인터페이스 설정 시 switchport mode access로 설정하여 사용하며 해당 인터페이스는 단일 VLAN과 Mapping되어 동작합니다. 

 

Access Port로 프레임을 송/수신할 경우 802.1Q tag는 포함되지 않습니다. 그래서 서로 다른 스위치간 연결에서 VLAN이 다르더라도 정상적으로 통신이 되지만 VLAN_MISMATCH log가 발생합니다. 

 

  ○ Trunk Port

Trunk  Port로 설정된 인터페이스는 여러개의 VLAN 정보를 전달할 수 있습니다. Trunk Port로 프레임을 수신하면 헤더를 검사하고 802.1Q에서 VLAN ID를 확인 후 해당 VLAN으로 전달됩니다. 

 

  ○ Native VLAN

802.1Q VLAN Tag 정보 없이 Trunk port로 송/수신되는 프레임은 Native VLAN에 할당되어 전달 됩니다.

 

R1 ↔ PC1 (Trunk 구성)

R1 ↔ R2 (Access 구성)

R1 ↔ R3 (Access 구성)

 

 

 

 

 

 

R1의 fa1/0의 native vlan 설정을 10으로 변경하면 PC1과 R2, R3와 통신이 가능하게 되는 상황이 발생하기 때문에 의도치 않는 결과를 초래할 수 있으며, 스위치 간 Trunk 구성 시 Native VLAN 정보가 일치하지 않을 경우 Native VLAN MissMatch 이벤트를 발생 시킵니다. 

 

  ○ Allowed VLAN

Trunk Port로 전달 할 VLAN 정보를 제약할 수 있습니다. 그리고 VLAN 정보들을 제어하기 위해 [all, none, add, remove, except] 5 가지 옵션이 존재 하며 옵션 자체는 어렵지 않습니다. 

새로운 VLAN을 Trunk에 추가 할 때는 add 옵션을 사용해 주어야 합니다. 그렇지 않고 allowed vlan 명령어를 사용할 경우 설정값이 덮어써져 장애가 발생 합니다. 

 

  ○ SVI(Switched Virtual Interface) & Routed Switch Ports

MultiLayer Switch는 IP 주소 할당과 관련해서는 첫째. VLAN 인터페이스에 IP 주소를 할당하는 방식과 둘째. 물리 인터페이스를 Routed Port로 변경하여 IP를 할당하는 방식 2가지 방식이 있습니다.

SVI를 이용하여 VLAN 인터페이스에 직접 IP를 입력하게 되면 라우터가 없더라도 L3 Swtich내부 라우팅을 통해 서로 다른 VLAN에 위치하더라도 통신이 가능하다는 장점이 있습니다. 

※ SVI 생성 후 물리 인터페이스를 할당해야만 SVI 상태가 up/up 으로 변경 됩니다.

Routed Switch Port는 스위치와 라우터 또는 방화벽을 Point-to-Point(1:1) 방식으로 연결할 때 주로 사용하는 방식입니다. SVI를 이용하여 연결 할 경우 Spanning-tree 동작으로 인한 불필요한 패킷생성 및 예상치 못한 영향이 생길 수 있기 때문에 Routed Switch Port를 사용합니다. 

※ 스위치의 물리 인터페이스에서 no switchport를 입력하면 Routed Switch Port로 변경 됩니다.

---

  ○ 스위치간 잘못된 Port Type 설정으로 인한 장애 발생 

두 스위치간 잘못된 switchport mode 로 인해 예기치 못한 장애가 발생할 수 있습니다. 한쪽은 access port 반대쪽은 trunk port 설정으로 인해 통신 장애가 발생할 수 있습니다. 

 

발생하는 증상은 송신측 서버의 트래픽은 수신측 서버로 전달되나 수신측에서 다시 송신측으로 응답하는 트래픽은 도달하지 않는 증상이 발생 합니다. 

 

IOU1 설정 및 확인

IOU1#show run interface e0/0 
Building configuration...

Current configuration : 93 bytes
!
interface Ethernet0/0
 switchport access vlan 10
 switchport mode access
 duplex auto
end


IOU1#show interface switchport 
Name: Et0/0
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 10 (VLAN0010)
Trunking Native Mode VLAN: 1 (default)

IOU2 설정 및 확인

IOU2#show run interface e0/0
Building configuration...

Current configuration : 163 bytes
!
interface Ethernet0/0
 switchport access vlan 20
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 20
 switchport mode trunk
 duplex auto
end


IOU2#show interface switch
IOU2#show interface switchport 
Name: Et0/0
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 20 (VLAN0020)
Trunking Native Mode VLAN: 20 (VLAN0020)

PC2 → PC1 PING 테스트 수행

 

PC1는 ARP Request을 수신하여 정상적으로 ARP Response으로 응답하였음. (패킷 정상 수신 확인)

PC1 패킷 덤프 내용

PC2는 ARP 응답이 없어 재차 ARP Request를 보낸 것을 확인.

PC2 패킷 덤프 내용

이러한 현상이 발생하는 원인은 Spannig-Tree에 의한 Blocking Port 발생에 따른 결과 입니다. Spanning-Tree에서 Port Type이 서로 다를 경우 Type_Inconsistency 위반으로 해당 Port를 Block 시킵니다. 

 

IOU1의 STP 정보

IOU1#show spanning-tree vlan 10 summary
... 중략 ...
Name                   Blocking Listening Learning Forwarding STP Active
---------------------- -------- --------- -------- ---------- ----------
VLAN0010                     1         0        0          1          2
IOU1#


IOU1#show spanning-tree detail
... 중략 ...
Port 1 (Ethernet0/0) of VLAN0010 is broken  (Port Type Inconsistent)

그리고 스위치에서 지속적으로 Native VLAN Missmatch 이벤트를 발생 시키기 때문에 쉽게 문제를 찾을 수 있습니다. 

 

---

1) TCI (Tag Control Information) 관련 상세 포스팅 - https://white-polarbear.tistory.com/52