[Redundancy] 12. VLAN
카테고리: REDUNDANCY
태그: redundancy linux
12-1. 유연성 높은 네트워크의 조건
| 조건 | 설명 |
|---|---|
| 신규 서버 추가 용이성 | 새로운 서버를 네트워크에 통합하는 프로세스는 간단하고 빠르게 이루어져야 합니다. |
| 장애 대응 능력 | 서버에 장애가 발생했을 때, 즉시 대체 장비로 이행할 수 있어야 합니다. |
| 서버 역할 분리 | 특정 서버를 별도의 역할을 하는 서버로 분리하기 쉬워야 합니다. |
반대로, 네트워크 구성이 이러한 조건을 만족시키지 못하면 네트워크의 유연성이 낮아진다고 볼 수 있습니다.
예를 들어, 서버가 물리적으로 떨어져 있어 이동이 어렵거나, 케이블 작업이 복잡하면 위 조건을 만족시키기 어렵습니다. 또한, 데이터 센터와 같이 먼 거리에 위치한 서버를 유지 보수하려면 매번 현장에 가야 할 수도 있습니다.
이러한 문제를 해결하기 위해 VLAN(Virtual LAN)과 같은 기술을 활용할 수 있으며, 이를 통해 네트워크 구성의 변경을 간소화하고 물리적 작업을 최소화할 수 있습니다.
12-2. VLAN 도입 이점
| 이점 | 설명 |
|---|---|
| 다중 세그먼트 관리 | 한 대의 스위치로 여러 세그먼트(물리적인 네트워크를 논리적으로 분할하여 여러 개의 가상 네트워크를 만드는 것)를 관리할 수 있습니다. |
| 데이터 제어 | 설정만으로 포트를 지나는 데이터를 제어할 수 있습니다. 이는 서버를 추가하거나 변경할 때, 그리고 장애 발생 시 대체 장비로 복구를 용이하게 만들어줍니다. |
VLAN은 물리적인 LAN 케이블을 변경하지 않고도 네트워크의 논리적인 분할과 제어를 제공하여 네트워크 유연성을 향상시킵니다.
이를 통해 서버 관리와 네트워크 구성 변경이 더 효율적으로 이루어질 수 있으며, 장애 대응 및 복구도 빠르고 효율적으로 처리할 수 있게 됩니다.
12-3. VLAN
VLAN(가상 LAN)은 네트워크 장비나 서버의 설정을 통해 논리적으로 네트워크를 분리하는 네트워크 관리 기술이다. (브로드캐스팅 도메인을 논리적으로 분할하여 네트워크를 관리하고 효율적으로 운영할 수 있게 해주는 것이다.)
VLAN을 이용하면 동일한 스위치에 여러 세그먼트의 단말을 접속해도 설정에 의해 논리적으로 브로드캐스팅 도메인을 분할할 수 있어, 프레임은 설정에 따라 적절한 포트로만 전송됩니다. 이를 통해 대역폭을 효율적으로 활용하고, 보안상의 문제를 방지할 수 있습니다.
VLAN을 사용하지 않을 경우에도, 통상 1대의 스위치에 여러 세그먼트를 연결하더라도 통신은 할 수 있다. 그러나, VLAN이 설정되어 있지 않은 상태의 스위치에서는 멀티캐스트/브로드캐스트 프레임이나 스위치가 학습하지 않은 목적지 불명의 유니캐스트 프레임은 관계가 없는 세그머트로도 전송된다.
이렇게 되면 본래 관계없는 세그먼트의 브로드캐스팅 프레임 등도 각 포트로 흘러가 쓸데없이 대역폭을 소비하게 된다. 또한, 경우에 따라서는 본래 통신해서는 안되는 세그먼트에까지 통신할 수 있게 되어, 감청의 위험성도 생각할 수 있으므로 보안상으로도 바람직하지 않다.
12-4. VLAN 종류
■ 포트 VLAN
스위치의 포트마다 VLAN 식별자(VLAN ID)를 할당하는 방법으로 하나의 포트에 대해 하나의 VLAN ID를 부여하고, 그룹핑하고자하는 포트에 대해서는 동일한 식별자를 부여한다.
포트 VLAN을 이용할 때 이점은 스위치에 연결할 단말측에는 특별한 설정을 할 필요가 없다는 점과 포트마다 VLAN을 설정하는 것만으로 1대의 스위치 내에 설정을 마칠 수 있어서 비교적 간단하게 구성할 수 있다는 점이다. 결점으로는 여러 대의 스위치 간에 그룹핑을 할 수 없다는 점을 들 수 있다.
■ 태그 VLAN
태그 VLAN이란, VLAN ID를 포함한 VLAN 식별자정보(VLAN 태그)를 이더넷 프레임에 삽입해서 각 VLAN 그룹을 식별하는 방법으로 VLAN 태그는 단말이나 스위치로부터 이더넷 프레임이 전송될 때 삽입되도록 되어 있다. VLAN 그룹의 관리는 포트 단위로 그룹핑 하는 포트 VLAN과는 달리, 프레임 단위로 그룹핑이 된다.
태그 VLAN의 VLAN 태그가 포함된 이더넷 프레임은 통상적인 이더넷 프레임과 비교해서 VLAN 태그가 포함되는 만큼 헤더 정보 등이 다르다.
이는, VLAN 태그를 이해할 수 없는 단말, 네트워크 장비에서 보면 비정상적인 프레임으로 간주해버린다는 것을 의미한다.
그러므로, VLAN 태그가 붙은 이더넷 프레임이 흐르는 단말이나 네트워크 장비는 모두 VLAN 태그를 인식할 수 있어야 한다.
12-5. 구성
■ VLAN을 사용하지 않을 경우의 구성
모두 다중화된 구성의 문제점
| 구분 | 문제점 |
|---|---|
| (1) | WAN측 스위치는 각각 4포트만 이용 (남는 포트는 쓸모없음) |
| (2) | 준비되어 있는 대체장비가 WAN측 스위치에 연결되어 있지 않다는 물리적 문제로 로드밸런서의 대체 장비로 사용할 수 있음 |
| (3) | 로드밸런서만 하드웨어 구성이 특수함(NIC가 4개 필요) |
모두 동일한 스위치에 연결하는 구성의 문제점은 멀티캐스트/브로드캐스트 프레임은 모든 포트로 포워딩된다.
즉, 이 구성의 경우 서버의 세그먼트에서 발생한 멀티캐스트/브로드캐스트 프레임이 WAN측 세그먼트에 있는 상위 라우터에도 흘러 들어간다. 또한, 역으로 WAN측 세그먼트로부터도 마찬가지로 흘러 들어오게 된다. 나타난 상기 문제를 그대로 포함할 수밖에 없다.
■ 포트 VLAN을 이용한 구성
(1) 구성, 하나의 스위치 내에 VLAN 그룹을 2개를 생성해서 각각 WAN측 세그먼트용, 내부 세그먼트용으로 사용한다.
해당 구성은 대체장비가 연결되어 있는 포트의 VLAN 그룹을 변경하는 것만으로 WAN측 세그먼트로 전환할 수는 있지만, 로드밸런서에 장애가 났을 때를 고려해서 대체장비에도 4개의 NIC를 갖도록 구성해야 한다.
(2) 구성의 여러 스위치로 구성할 경우는 스위치 간 연결도 포함해서 고려해야만 한다.
■ 태그 VLAN을 이용한 구성
로대밸런서가 연결된 포트에 VLAN ID 1과 2를 처리하도록 설정함으로써, 로드밸런서의 NIC는 2개면 충분하다. (VLAN 태그가 부연된 프레임은 VLAN 태그를 인식할 수 있는 단말이 아니면 처리되지 않고 파기될 가능성이 있다.)
태그 VLAN(단말 제한)과 포트 VLAN(어떤 단말이라도 연결 가능)은 병행해서 사용할 수 있다. 즉, 모든 프레임에 VLAN 태그를 부여할 필요는 없으며, 여러 VLAN을 처리해야 하는 포트에서만 VLAN 태그를 부여하면 된다.
위 그림과 같은 경우라면 상위 라우터에 연결할 포트를 VLAN ID 1인 포트 VLAN으로 설정하고, 남은 포트는 VLAN ID 2의 포트 VLAN으로 설정한다. 그 다음, 여러 VLAN 그룹의 프레임을 전송할 필요가 있는 포트(로드밸런서의 포트)에 VLAN ID 1에 대해 VLAN 태그를 “있음”으로 설정한다.
“가장 많이 사용되고 있는 VLAN을 항상 VLAN 태그없는=포트 VLAN으로 이용한다”라는 규칙을 세워두면 설계할 때나 구축 또는 운용할 때 혼란을 쉽게 피할 수 있을 것이다.
이에 따라, VLAN 태그를 처리할 수 있는 로드밸런서만 해당되며 리눅스는 VLAN 태그를 처리할 수 있기 때문에 특별한 하드웨어는 필요 없이 설정만 하면 된다. 리눅스에서 VLAN 태그를 다룰 때는 커널의 지원과 설정 도구가 필요하다.
댓글 남기기