사설 VLAN

이번 포스팅에서는 사설 VLAN에 대해서 이야기 해 보겠습니다.


먼저 사설 VALN에 대해 정의를 하자면, 엔지니어가 설정(사용 혹은 이용)할 수 있는 VLAN의 수는 한정되어 있습니다.


이 한정된 VLAN들을 가지고 더 효율적으로 포트들간의 통신을 제한(통제)하기 위해 사용하는 기술입니다.


피터전 샘의 책을 보면 사설 VLAN은 3가지로 나와있죠.


크게 주 VLAN과 부 VLAN으로 나눌 수 있습니다.


주 VLAN (Primary VLAN) : Promiscuous port (프로미스큐어스 포트), 부 VLAN에 접속된 장비와 외부를 연결하는 포트에 설정하는 VLAN입니다.


부 VLAN (Secondary VLAN)은 2가지가 있죠.


1. 독립 포트 (isolated port) : 다른 포트와는 통신이 안되는 특징이 있습니다.


2. 커뮤니티 포트 (community port) : 같은 커뮤니티 포트들간에는 통신이 가능합니다.




......... 이것이 무슨 말이냐?







그림을 보면서 설명을 드리는게 편하겠네요.


SW1에는 하나의 라우터와 9개의 PC가 연결되어 있습니다.


PC1 - PC3 까지는 isolated port에 연결되어 있고


PC4 - PC9 까지는 각각 다른 community port에 연결되어 있는 구조네요.


fa0/24는 게이트웨이 역할을 하는 라우터와 연결되어 있군요.


아무튼, 이 그림을 보면 위에서 설명을 했던 주 VLAN (promiscuous port)와 부 VLAN (isolated, community port)이 있습니다.


isolated port에 속해있는 PC1, PC2, PC3은 R1을 통해 인터넷 사용이 가능합니다.


하지만 PC1은 PC2 - PC9와 서로 통신이 불가능합니다. isolated port에 연결되어 있으니깐요.


하물며 같은 VLAN에 속한 PC2, PC3과도 통신이 불가능해집니다. 


PC4 - PC6 (VLAN 102)와 PC7 - PC9 (VLAN 103)은 조금 다릅니다.


기본적인건 isolated port와 비슷합니다. 차이점은 community port에 속한 클라이언트들은 같은 커뮤니티끼리는 통신이 가능하다는 점입니다.


PC4를 예로 보면, PC4는 promiscuous port를 통해서 인터넷 연결도 가능하고, 같은 커뮤니티에 속해있는 PC5, PC6과도 서로 통신이 가능합니다.


하지만 isolated port에 속한 PC1 - PC3과는 통신이 불가능하고, 또 다른 VLAN이 할당된 community port PC7 - PC9와도 통신이 안되는 것이죠.


이렇게 하면 isolated port와 community port는 설명이 된 것 같습니다.


promiscuous port는 간단합니다. 이 부 VLAN들 (isolated port, community port)이 사설 VLAN이 아닌 외부와 통신을 하기위한 게이트웨이라고 생각하시면 됩니다.


이 주 VLAN은 복수개로 설정 할 수 있습니다. 피터전샘 책을 보면 실습할 수 있는 config들이 있죠. 한번 유심히 보시면 알 수 있을 겁니다.


위 그림대로 SW1을 설정하기 위한 Config를 예로 적어보겠습니다.





SW1#conf t

SW1(config)#vtp mode transparent     //사설VLAN을 설정할 때는 transparent mode를 사용한다


SW1(config)#vlan 100

SW1(config-vlan)#name Primary(100)_for_101-103  //VLAN 이름 생성

SW1(config-vlan)#private-vlan primary                    //VLAN을 주 VALN(Primary VLAN)으로 지정

SW1(config-vlan)#private-vlan association 101-103 //주 VLAN에 속하는 부 VLAN들을 지정

SW1(config-vlan)#exit



SW1(config)#vlan 101

SW1(config-vlan)#name Isolated(101)_for_100

SW1(config-vlan)#private-vlan isolated                   //이 VLAN을 isolated VLAN으로 지정

SW1(config-vlan)#exit


SW1(config)#vlan 102

SW1(config-vlan)#name Community(102)_for_100

SW1(config-vlan)#private-vlan community              // 이 VLAN을 community VLAN으로 지정

SW1(config-vlan)#exit


SW1(config)#vlan 103

SW1(config-vlan)#name Community(103)_for_100

SW1(config-vlan)#private-vlan community

SW1(config-vlan)#exit



SW1(config)#interface fa0/24

SW1(config-if)#switchport mode private-vlan promiscuous       // 이 port를 사설 VLAN의 promiscuous mode로 지정

SW1(config-if)#switchport private-vlan mapping 100 101-103  // 주 VLAN과 부 VLAN을 맵핑한다

SW1(config-if)#exit


SW1(config)#interface range fa0/1 - 3

SW1(config-if-range)#switchport mode private-vlan host          // 이 port를 사설 VLAN의 부 VLAN 사용을 선언

SW1(config-if-range)#switchport private-vlan host-association 100 101   //사용될 주VLAN과 부VLAN 선언

SW1(config-if-range)#exit


SW1(config)#interface range fa0/4 - 6

SW1(config-if-range)#switchport mode private-vlan host

SW1(config-if-range)#switchport private-vlan host-association 100 102

SW1(config-if-range)#exit


SW1(config)#interfcae range fa0/7 - 9

SW1(config-if-range)#switchport mode private-vlan host

SW1(config-if-range)#switchport private-vlan host-association 100 103

SW1(config-if-range)#exit


사설VLAN을 설정할기 위한 config를 적어보았습니다.



사설 VLAN의 모드는 이미 vlan-config에서 선언을 하였기 때문에, 인터페이스 모드에서는 사용 될 VLAN mode를 선언하고 주 VLAN과 부 VLAN을 맵핑해주면 됩니다.


피터전샘의 책을 보면 사설VLAN에 대한 조건이나 특성들이 어렵게 적혀있습니다. 천천히 읽어보시길 권해드립니다.


저도 읽어보니 어려워서 잘...  -_-;;





이번 포스팅은 여기서 마치도록 하겠습니다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

ping 일반오류 (General failure)를 고쳐보자

이미지
시작 일반적으로 인터넷이 안될 때 "ping" 명령어를 이용한다 이때 보게 되는 문구가 PING 전송하지 못했습니다. General failure 일반오류 요청 시간이 만료되었습니다 이것을 구분하려면 icmp의 속성에 대해서 조금 이해가 필요하다 다음은 일반적으로 가정집에서의 네트워크 구조이다 셋탑박스나 IPTV등이 빠져있으나 이번에는 그게 중요한게 아니니 패스 가정집 뿐 아니고 대부분의 경우 가운데 검정색 장비 즉 공유기. 이 공유기가 gateway 역할을 하게 되는데 이 gateway가 가장 중요하다 그래서 보통 인터넷이 잘 안되면 본인의 IP주소를 확인하고 gateway로 ping 체크를 시도한다 여기서 ping이란게 컴퓨터에서 공유기로 뭔가 신호를 보내서 시도하는걸 말하는데 컴퓨터 -> 공유기...   이런 개념이 사실 아니다. 핑 체크가 정상적으로 성공하면 위 그림중에 "192.168.1.10의 응답 바이트=32 시간<1ms TTL=64" 이런식으로 결과가 나오는데 이 결과 한줄이 신호의 왕복을 이야기한다 단순해 보이지만 아주 중요한 개념이다 그럼 이 이야기를 왜 하느냐? 위의 3가지 문구는 크게 2개로 분류할 수 있다. 컴퓨터 -> 공유기로 ping 시도한다는 가정하에 1. 컴퓨터 자신의 문제 2. 공유기의 문제 (LAN 케이블의 문제) 2번은 컴픂터 자신의 문제가 아닌경우 라고 요약할 수 있다 PING 전송하지 못했습니다. General failure 일반오류 이 2가지는 컴퓨터의 문제. 즉 1번 요청 시간이 만료되었습니다 이건 랜케이블 혹은 공유기의 문제이다 여기서 '문제'는 워낙 다양하기 때문에 뭐다! 라고 특정할 수 없다 장애마다 그 원인이 다 다를 수 있다. 빈도의 차이는 있지만 워낙 다양하다 그럼 어떻게 해
Read more »

Windows 10. 공유폴더 쉽게 삭제하기 (feat. CMD)

이미지
시작 IT 자산관리나 보안쪽 이슈중 하나인 보안감사가 있다 말그대로 정보보안을 얼마나 잘 지키면서 근무를 하나 감사를 실시하는건데 사실, 거창하게 서류를 뒤지고 하는 행위보다는 기본적인 보안사항에 대해 초점을 맞추고 진행하는 경우가 대부분이다 그중 가장 취약한 항목이 Windows에서 사용하는 공유폴더 얼마전 내가 근무하는 곳 중 한곳에서도 이것때문에 큰 일을 치뤘다 그래서 오늘은 Windows에서 내 PC에 설정된 공유폴더 리스트 확인 그리고 삭제하는 법등에 대해서 포스팅을 해본다 탐색기보다 COMMAND를 이용하자 탐색기가 마우스를 이용하는 익숙한 환경에 초보자도 쉽게 이용할 수 있다는 이미지가 있지만 공유폴더를 만들때는 그렇다 하지만 지울때는 COMMAND창에서 하는게 더 쉽다는 이야기 1. 공유폴더 확인 CMD창을 불러오는 방법은 윈도우 키를 누른 후 "cmd"라고 입력하면 한글로 명령프롬프트 라는 프로그램이 리스트업된다 이걸 실행하거나 [윈도우키]+[R]을 누른 후 명렁어 창에 "cmd"라고 입력하고 엔터를 누르면 된다 cmd를 실행한 후 위 화면처럼 net share 라고 입력하면 현재 나에게 설정되어 있는 공유폴더 리스트가 나온다 위 화면은 default로 설정되어 있는 폴더들이다. IPC$는 특히 보안에 취약하다. 원격 컨트롤 시 사용하게 되는 폴더로 공유기능 사용시 파이프 역할을 하는 폴더라고 생각하면 된다 만약 본인의 컴퓨터가 원격 데스크탑 서비스를 해야한다면 (원격 허용) 삭제하지 말아야 한다 2. 공유폴더 삭제하기 명령어는 간단하다 net share "공유이름" /delete 해서 위에는 net share ADMIN$ /delete라고 입력했는데 엑세스가 거부되었다고 나온다 무엇? 바로
Read more »

Piolink TiFront Switch password recovery (파이오링크 스위치 비밀번호 초기화)

이미지
파이오링크 TiFront G24 Switch 패스워드 초기화 방법 방법 생각보다 쉽다 1. 우선 스위치의 전원을 켜기 전 Console 연결까지 준비한다음 전원을 올린다 2. 전원을 키자마자 !를 열나게 누른다 즉 Shift + 1을 누른다는 이야기 그럼 위 화면처럼 새로운 프롬프트가 생성되며 Cisco의 ROMMON모드처럼 긴급모드로 진입한다 3. 명령어 setenv default_passwd yes saveenv 이렇게 입력하면 패스워드를 초기 패스워드로 설정하고 flash에 저장하게 된다 4. 시스코에서는 "boot"라고 입력했지만 여기선 run bootcmd 라고 입력해야 긴급모드에서 바로 부팅을 시도하게 된다 5. 가장중요하다 Default ID & Password는 root admin 생각보다 쉽다.
Read more »