245. 가상 랜 (VLAN, Virtual LAN) - 논리적 분할, 브로드캐스트 제어

핵심 인사이트 (3줄 요약)

본질: 가상 랜(VLAN)은 물리적으로 동일한 하나의 L2 스위치 장비를, 소프트웨어 설정을 통해 마치 물리적으로 분리된 여러 대의 독립적인 스위치인 것처럼 논리적으로 쪼개어 사용하는 기술이다.

브로드캐스트 제어: 스위치는 기본적으로 들어온 방송(Flooding)을 모든 포트로 뿌리지만, 포트들을 서로 다른 VLAN(예: 영업부 VLAN 10, 인사부 VLAN 20)으로 쪼개 놓으면 브로드캐스트 패킷이 서로의 영역으로 넘어가지 않아 네트워크 부하가 획기적으로 감소한다.

보안과 관리: 부서가 층이나 건물을 옮기더라도 케이블(랜선) 공사를 다시 할 필요 없이, 관리자가 앉은자리에서 스위치 포트의 소속 VLAN 번호만 톡톡 바꿔주면 부서 간 완벽한 보안 단절과 그룹화가 유지된다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

개념: VLAN (Virtual Local Area Network)은 하나의 물리적 근거리 통신망(LAN)을 여러 개의 논리적 네트워크 그룹으로 가상화하여 분할하는 기술이다. 포트 기반 VLAN이 가장 흔하게 사용된다.
필요성: 만약 회사에 영업부, 인사부, 개발부가 있다고 치자. 보안상 부서끼리 통신을 막아야 하고 각 부서의 ARP 브로드캐스트가 서로 간섭하지 않게 하려면, 부서마다 스위치 장비를 따로따로 사서 케이블을 쳐야 한다(장비 비용 폭발). 게다가 직원이 인사부에서 영업부로 자리를 옮기면 랜선을 뽑아서 저 멀리 있는 영업부 스위치까지 끌고 가야 한다. 이 돈과 노가다(공사)를 없애기 위해 탄생한 소프트웨어적 마법이 VLAN이다.
💡 비유: 물리적 스위치가 커다란 **"하나의 통짜 사무실"**이라면, VLAN은 사무실 안에 **"가벽(파티션)"**을 세우는 것과 같습니다. 가벽을 세워 영업부 방, 인사부 방을 만들면(논리적 분할), 영업부 사람이 소리를 질러도(브로드캐스트) 인사부 방에는 들리지 않습니다. 나중에 방 크기를 바꿀 때도 벽돌을 깰 필요 없이 파티션만 밀면 끝납니다.

📢 섹션 요약 비유: VLAN은 하드 디스크 하나를 사서 **"C드라이브와 D드라이브로 쪼개 쓰는 파티셔닝 기술"**의 네트워크 버전입니다. 물리적인 기계는 하나지만 윈도우(운영체제)는 완벽히 두 개인 것처럼 인식합니다.

Ⅱ. VLAN의 동작 원리와 라우터의 역할 (Deep Dive)

1. 포트 기반 VLAN (Port-based VLAN)

스위치 내부에 가상의 번호를 부여하고 각 포트를 할당하는 가장 직관적인 방식이다.

스위치의 1~10번 포트는 VLAN 10(영업부), 11~20번 포트는 VLAN 20(인사부)으로 설정한다.
1번 포트에 꽂힌 PC가 브로드캐스트 프레임을 날리면, 스위치는 VLAN 10에 속한 2~10번 포트로만 복사해서 뿌리고, 11번 포트(VLAN 20)로는 절대 데이터를 넘기지 않는다. (물리적으로 선을 자른 것과 똑같은 브로드캐스트 도메인 분할 효과)

2. 트렁크 포트 (Trunk Port)와 IEEE 802.1Q (태깅)

스위치가 여러 대일 때 VLAN을 어떻게 연결할까? 스위치 A의 VLAN 10과 스위치 B의 VLAN 10을 연결하려면 랜선을 각각 꽂아야 할까? (VLAN이 100개면 선이 100가닥 필요하다!)

이를 해결하기 위해 두 스위치를 연결하는 단 하나의 선로를 트렁크(Trunk) 포트로 묶는다.
트렁크 포트를 지나는 데이터는 이더넷 프레임 헤더에 **"이 데이터는 VLAN 10번 거다!"라는 꼬리표(VLAN Tag, 4바이트 802.1Q 헤더)**를 달아 보낸다. 수신 스위치는 태그를 떼어보고 정확히 VLAN 10 포트로만 뿌려준다. 다중화(Multiplexing)의 완벽한 예시다.

3. VLAN 간 통신은 어떻게 하나요? (Inter-VLAN Routing)

가벽(VLAN)을 철저히 세워 놨기 때문에, VLAN 10(영업부) PC가 VLAN 20(인사부) PC에게 직접 데이터를 보낼 방법은 스위치 내부에선 절대 없다. (MAC 주소 테이블도 VLAN별로 따로 관리된다)

따라서 반드시 3계층 장비인 라우터(Router)나 L3 스위치가 필요하다.
데이터를 스위치 밖의 라우터로 올려보내면, 라우터가 IP 주소를 보고 경로를 판단해 다시 스위치의 다른 VLAN으로 데이터를 내려꽂아 준다.

 ┌─────────────────────────────────────────────────────────────┐
 │                      VLAN의 분리 및 라우팅 구조               │
 ├─────────────────────────────────────────────────────────────┤
 │                                                             │
 │   [ 라우터 ] ◀── "VLAN 10에서 VLAN 20으로 가려면 나를 거쳐야 함!"   │
 │       │                                                     │
 │   (Trunk Port)  ◀── VLAN 10과 20 데이터가 섞여서 올라감         │
 │       │                                                     │
 │ ┌──[ L2 스위치 ]──────────────────────────────────┐         │
 │ │                 [ 논리적 가벽 (단절) ]              │         │
 │ │      VLAN 10                 │        VLAN 20     │         │
 │ │ (Port 1)  (Port 2)           │  (Port 11) (Port 12) │         │
 │ └────│─────────│───────────────┴──────│─────────│───┘         │
 │    PC A      PC B                   PC C      PC D          │
 │   (영업부)    (영업부)                 (인사부)   (인사부)         │
 │                                                             │
 │ * PC A와 PC B: 스위치 내부에서 L2 통신 가능.                    │
 │ * PC A와 PC C: 스위치 단절! 라우터까지 올라갔다 내려와야 통신 가능.  │
 └─────────────────────────────────────────────────────────────┘

📢 섹션 요약 비유: VLAN 설정은 마치 한 건물(스위치) 안에 있는 병원과 은행이 서로 내부 문을 벽돌로 틀어막은 것과 같습니다. 서로 물리적으로 한 건물에 있지만 왕래하려면 반드시 **건물 밖으로 나가 1층 로비(라우터)**를 거쳐 다른 출입문으로 들어가야만 합니다.