224. VLAN (Virtual LAN)

⚠️ 이 문서는 회사 내부 네트워크에서 1대의 물리적인 스위치(Switch) 장비에 수십 대의 PC가 꽂혀있을 때, 소프트웨어적인 태그(Tag)를 붙여 스위치를 여러 대의 독립된 가상 스위치로 쪼개버림으로써, 브로드캐스트 폭풍을 잠재우고 부서 간의 트래픽을 완벽하게 논리적으로 격리(망 분리)하는 네트워크 통제 기술인 VLAN을 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: 물리적인 랜선 배선 공사와 스위치 하드웨어 추가 구매 없이, 스위치 내부의 논리적 설정을 통해 영업부, 회계부, 개발부 네트워크를 아예 남남으로 분리해 버리는 2계층(L2) 네트워크 가상화 기술이다.
  2. 가치: 쓸데없는 방송 패킷(브로드캐스트)이 전체 네트워크로 퍼지는 것을 막아 네트워크 성능(속도)을 쾌적하게 유지하며, 해커나 악성코드가 한 부서를 뚫어도 옆 부서로 감염이 번지지 못하게 하는 기본 방호벽 역할을 한다.
  3. 기술 체계: 스위치의 포트 자체에 번호를 매기는 포트 기반 VLAN이 가장 널리 쓰이며, 스위치 간 통신 시 패킷 엉덩이에 '난 VLAN 10번이야'라고 꼬리표(802.1Q)를 붙여 나르는 트렁크(Trunk) 포트 기술을 통해 수십 가닥의 랜선을 한 가닥으로 줄여준다.

Ⅰ. 스위치의 한계: 브로드캐스트 도메인의 재앙

통짜 네트워크는 시끄럽고 뚫리기 쉽다.

  1. 브로드캐스트(Broadcast)의 낭비:
    • 스위치 1대에 직원 PC 100대가 꽂혀 있다. A 직원의 PC가 "서버 IP 주소 아는 사람?" 하고 소리(ARP 브로드캐스트 패킷)를 친다.
    • 이 소리는 스위치에 꽂힌 99명의 PC에 모조리 전달된다. 100명이 동시에 이런 방송을 해대면 네트워크는 자기들끼리의 소음(트래픽)에 짓눌려 인터넷이 먹통이 되는 브로드캐스트 폭풍(Storm)이 일어난다.
  2. 보안의 취약성 (수평 확산):
    • 100대가 물리적으로 다 연결되어 있으므로, 신입사원 PC가 랜섬웨어에 감염되면 옆에 꽂혀있는 회계팀 장부 PC까지 1초 만에 감염되어 회사가 마비된다.
  3. 해결책: VLAN (가상 랜):
    • 스위치 내부에서 1~30번 포트는 영업팀(VLAN 10), 31~60번 포트는 회계팀(VLAN 20)으로 그룹을 갈라버린다.
    • 영업팀이 소리를 쳐도(방송) 회계팀 포트 쪽으로는 아예 소리가 넘어가지 않게 막아버려 시끄러움(트래픽)을 가두고 보안을 격리한다.

📢 섹션 요약 비유: 넓은 대강당(1대의 스위치)에 100명이 모여있을 때 한 명이 마이크로 떠들면 모두가 귀가 아픕니다. VLAN은 대강당 한가운데에 방음벽(논리적 격리)을 스윽 내려서 강당을 4개의 독립된 방으로 쪼개버리는 기술입니다. 방음벽이 쳐지면 1번 방에서 소리를 질러도 2번 방 사람들은 전혀 듣지 못해 평화를 되찾게 됩니다.

Ⅱ. 802.1Q 태그와 트렁크 (Trunk) 기술

층간 통신을 하려면 수많은 가닥의 랜선이 필요한 물리적 한계를 깬다.

  1. 층간 분리의 문제:
    • 1층 스위치에 영업팀(V10), 회계팀(V20)이 있고, 2층 스위치에도 영업팀(V10), 회계팀(V20)이 있다.
    • 1층과 2층의 같은 팀끼리 통신하게 하려면, 영업팀 전용 랜선 1가닥, 회계팀 전용 랜선 1가닥을 각각 천장으로 뚫어서 스위치끼리 연결해 주어야 한다 (비효율의 극치).
  2. 802.1Q 태그 (Tagging)의 마법:
    • 국제 표준(IEEE 802.1Q)은 패킷이 스위치 안에서 움직일 때, 패킷 겉봉투 사이에 4바이트짜리 딱지(Tag)를 몰래 붙이게 했다. "이 패킷은 VLAN 10번 소속임"
  3. 트렁크(Trunk) 포트:
    • 1층과 2층 스위치 사이에 두꺼운 랜선 **단 1가닥(Trunk)**만 연결한다.
    • 1층의 영업팀과 회계팀 패킷이 이 1가닥의 통로로 뒤섞여 올라간다. 하지만 패킷마다 [10번], [20번] 딱지가 붙어있으므로, 2층 스위치는 그 딱지 색깔을 보고 "아, 넌 2층 영업팀 쪽으로 가라"라고 완벽하게 분류해서 뿌려준다.

📢 섹션 요약 비유: 1층 사람들과 2층 사람들을 팀별로 엘리베이터를 따로 태우려면(물리 랜선) 엘리베이터가 여러 대 필요합니다. 트렁크 포트는 커다란 엘리베이터 1대(1가닥 랜선)에 영업팀은 빨간 조끼, 회계팀은 파란 조끼(802.1Q 태그)를 입혀서 섞여 타게 한 뒤, 2층에 내릴 때 조끼 색깔을 보고 각자 방으로 밀어 넣는 지능형 고속 운송 시스템입니다.

Ⅲ. VLAN 간 통신 (Inter-VLAN Routing)

격리된 방 사이를 오가려면 반드시 윗선(라우터)의 허락을 받아야 한다.

  1. L2 단절의 한계:
    • VLAN 10(영업팀)과 VLAN 20(회계팀)은 같은 스위치 기계에 꽂혀 있어도, MAC 주소(L2 계층)만으로는 죽었다 깨어나도 서로 통신할 수 없다. 완전히 다른 세상이다.
    • 하지만 업무상 이메일을 보내는 등 부서 간 통신이 꼭 필요할 때가 있다.
  2. 라우터 (L3 계층)의 개입:
    • VLAN이라는 서로 다른 차원을 넘나들려면 3계층(IP) 장비인 라우터(Router)나 L3 스위치가 반드시 중간 문(Gateway) 역할을 해야 한다.
    • 1층 영업팀에서 보낸 패킷이 스위치를 타고 윗선의 '라우터'까지 올라갔다가, 라우터가 "아, 회계팀 쪽으로 가는 구나" 하고 길을 찾아 스위치로 다시 내려보내 주는 **'VLAN 간 라우팅(Inter-VLAN Routing)'**을 수행해야 비로소 대화가 성립된다.
  3. 보안적 이점 (ACL 필터링):
    • 통신이 라우터를 거쳐야 한다는 점이 오히려 완벽한 보안의 기회가 된다.
    • 라우터(방화벽)에서 "영업팀 VLAN에서 회계팀 VLAN으로 가는 패킷은 결재 시스템 포트(8080)만 허용하고 나머진 다 차단해!"라는 깐깐한 접근 제어 규칙(ACL)을 적용할 수 있기 때문이다.

📢 섹션 요약 비유: 빨간 방(영업팀)과 파란 방(회계팀)은 벽이 뚫려있지 않아 서로 대화할 수 없습니다. 대화를 하려면 방에서 복도로 나와 중앙 안내데스크(라우터)에 편지를 줘야 합니다. 안내데스크는 이 편지를 검사해서 수상한 물건이 없으면(ACL 통과) 비로소 파란 방으로 편지를 전달해 주는 철통 보안 연락망입니다.