VLAN Reference

액세스 포트는 단일 VLAN에 속하며 해당 VLAN의 태그 없는 트래픽만 전달하고, 일반적으로 PC나 프린터 같은 엔드 디바이스를 연결합니다. 트렁크 포트는 802.1Q 태그를 사용하여 여러 VLAN의 트래픽을 동시에 전달하며, 스위치 간 또는 스위치-라우터 간 링크에 사용됩니다. "switchport mode access"와 "switchport access vlan X"로 액세스 포트를, "switchport mode trunk"로 트렁크를 설정합니다.

네이티브 VLAN은 트렁크 링크에서 태그 없는 트래픽을 전달합니다. 기본값인 VLAN 1로 두면 VLAN 호핑이라는 보안 위험이 생기는데, 공격자가 이중 태그된 802.1Q 프레임을 만들어 접근 권한이 없는 VLAN에 도달할 수 있습니다. "switchport trunk native vlan 99"로 사용하지 않는 VLAN을 네이티브 VLAN으로 설정하고 사용자 트래픽을 할당하지 않는 것이 모범 사례입니다.

VTP 서버 모드는 VLAN을 생성, 수정, 삭제할 수 있으며 변경 사항을 전체 VTP 도메인에 전파합니다. 클라이언트 모드는 서버로부터 VLAN 업데이트를 수신하고 적용하지만 로컬 VLAN 변경은 불가능합니다. 투명 모드는 VTP 동기화에 참여하지 않지만 VTP 광고를 전달하며, VLAN을 로컬에서 관리합니다. 대부분의 최신 네트워크에서는 안전을 위해 투명 모드나 VTP 버전 3을 사용합니다.

Router-on-a-Stick은 스위치의 트렁크 포트에 연결된 라우터의 서브인터페이스(예: GigabitEthernet0/0.10, encapsulation dot1q 10)를 사용합니다. 소규모 네트워크에 적합하지만 모든 인터VLAN 트래픽이 단일 물리 링크를 통과하여 대역폭 병목이 됩니다. L3 스위치의 SVI 기반 라우팅(interface vlan 10에 ip address, ip routing 활성화)은 와이어 스피드 라우팅을 제공하며 엔터프라이즈 네트워크에 권장됩니다.

Sticky MAC 학습은 포트에 연결된 MAC 주소를 동적으로 학습하고 running-config에 저장하여, config를 저장하면 리로드 후에도 유지됩니다. "switchport port-security mac-address sticky"로 설정하고 최대 MAC 수를 지정합니다. 제한 초과 시 위반 동작이 응답을 결정합니다: shutdown은 포트 비활성화, restrict는 위반 프레임 드롭 및 로깅, protect는 위반 프레임을 조용히 드롭합니다.

DHCP 스누핑은 신뢰/비신뢰 포트 모델을 만드는 Layer 2 보안 기능입니다. "ip dhcp snooping trust"로 표시된 포트(일반적으로 합법적인 DHCP 서버로의 업링크)만 DHCP 서버 응답을 보낼 수 있습니다. 다른 모든 포트는 비신뢰로, DHCP 클라이언트 요청만 보낼 수 있습니다. 불법 DHCP 서버의 잘못된 IP 설정 배포나 중간자 공격을 방지하며, Dynamic ARP Inspection이 사용하는 바인딩 테이블도 구축합니다.

프라이빗 VLAN은 같은 VLAN 내 포트 간 격리를 제공합니다. 기본(primary) VLAN은 격리(isolated, 포트 간 통신 불가)나 커뮤니티(community, 같은 커뮤니티 내 통신 가능) 유형의 보조 VLAN을 포함합니다. ISP 환경에서 여러 고객이 서브넷을 공유하면서 격리가 필요한 경우나, 서버 간 측면 통신을 차단해야 하는 DMZ 세그먼트에 사용합니다.

VTP 프루닝은 수신 스위치에 활성 포트가 없는 VLAN의 트래픽을 트렁크 링크에서 자동으로 차단하여 불필요한 브로드캐스트 트래픽을 줄이는 자동 메커니즘이며, "vtp pruning"으로 전역 활성화합니다. 수동 프루닝은 "switchport trunk allowed vlan"으로 트렁크가 전달하는 VLAN을 정적으로 정의합니다. 수동 프루닝이 더 많은 제어를 제공하며 VTP를 사용하지 않는 네트워크에서 선호되고, VTP 프루닝은 포트 VLAN 할당 변경에 따라 자동으로 적응합니다.