[정보보안] IVR(Inter-VLAN Routing)의 모든 것
VLAN은 기본적으로 L2 스위치에서 동작하기 때문에 라우팅 기능이 없습니다. 따라서 서로 다른 VLAN에 속한 장치들이 통신하기 위해서는 반드시 Layer 3 장비(라우터 또는 L3 스위치)를 거쳐야 합니다. Layer 3 장비를 통해 VLAN 간 통신이 가능하게 하는 기술을 IVR(Inter-VLAN Routing)이라고 합니다. Cisco Packet Tracer를 사용해서 IVR 구성 실습을 해 보겠습니다.
- IVR(Inter-VLAN Routing)은 무엇인가?
- ROAS(Route on a Stick): 별도의 라우터 장비에서 구현된 IVR(과거 방식)
- SVI(Switched Virtual Interface): L3 스위치에서 구현된 IVR(최근 방식)
1. IVR(Inter-VLAN Routing)은 무엇인가?
IVR은 서로 다른 VLAN 간에 통신이 가능하도록 하는 라우팅 기술입니다. 이 기술이 왜 필요한지 이해하려면, 먼저 VLAN의 목적과 한계를 알아야 합니다.
- VLAN을 사용하는 이유 (효율적인 네트워크 사용)
VLAN을 사용하는 가장 큰 이유는 네트워크를 효율적으로 사용하고 성능을 향상시키기 위해서입니다.- 브로드캐스트 도메인 분리: VLAN은 하나의 물리적인 스위치를 논리적으로 여러 개의 독립된 네트워크(브로드캐스트 도메인)로 나눕니다.
- 성능 향상: 네트워크에서 불필요하게 모든 장치에 전달되는 브로드캐스트 트래픽의 범위를 특정 VLAN으로 제한하여, 전체 네트워크의 성능 저하를 방지합니다.
- 보안 강화: 부서별, 역할별로 네트워크를 분리하여 보안 사고가 전체 네트워크로 확산되는 것을 방지합니다.
- VLAN 사용의 문제점 (라우팅의 필요성)
VLAN을 사용했을 때 발생하는 필연적인 문제는 바로 서로 다른 VLAN끼리는 통신을 할 수 없게 된다는 점입니다.- L2 스위치와 라우팅: VLAN은 OSI 7계층 중 Layer 2(L2, 데이터 링크 계층)에서 작동하는 스위칭 기술입니다. L2 장비는 동일 네트워크(VLAN) 내에서만 데이터를 전달할 수 있습니다.
- 네트워크 분리: 서로 다른 VLAN은 논리적으로 별개의 IP 네트워크(서브넷)로 간주됩니다. 다른 네트워크 간의 통신은 Layer 3(L3, 네트워크 계층)의 라우팅 기능이 필수적입니다. L2 스위치는 이 라우팅 기능을 수행할 수 없습니다.
- IVR의 역할 (문제 해결)
IVR은 Layer 3 장비(라우터 또는 L3 스위치)를 사용하여 분리된 각 VLAN의 트래픽을 받아 목적지 VLAN으로 경로를 지정하고 전달(라우팅)해주는 역할을 합니다. 즉, 분리된 VLAN들이 서로 대화할 수 있도록 다리(Bridge) 역할을 하는 것입니다.
ROAS와 SVI 환경 구성 시 아래와 같은 네트워크 환경을 사용하겠습니다.
| Name | VLAN | Network | Default Gateway | 장비 |
|---|---|---|---|---|
| PC | 10 | 192.168.10.0/24 | 192.168.10.1 | PC1: 192.168.10.2 PC2: 192.168.10.3 |
| LAPTOP | 20 | 192.168.20.0/24 | 192.168.20.1 | LAPTOP1: 192.168.20.2 LAPTOP2: 192.168.20.3 |
| SERVER | 20 | 192.168.30.0/24 | 192.168.30.1 | LAPTOP1: 192.168.30.2 LAPTOP2: 192.168.30.3 |
IVR(Inter-VLAN Routing) 실습 환경(파일 다운로드)
| Switch0 Config | Switch1,2 Config |
|---|---|
|
Switch0 Fa0/23포트와 Switch1 Fa0/24포트와 연결 Switch0 Fa0/24포트와 Switch2 Fa0/24포트와 연결 |
PC는 Fa01 포트에 연결 LAPTOP은 Fa09 포트에 연결 SERVER는 Fa17 포트에 연결 |
|
enable conf t vlan 10 name PC vlan 20 name LAPTOP vlan 30 name SERVER exit int range Gig0/1,Fa0/23,Fa0/24 switchport mode trunk switchport trunk allowed vlan 10,20,30 exit exit copy running-config startup-config |
enable conf t vlan 10 name PC vlan 20 name LAPTOP vlan 30 name SERVER exit int range Fa0/1-8 switchport mode access switchport access vlan 10 exit int range Fa0/9-16 switchport mode access switchport access vlan 20 exit int range Fa0/17-23 switchport mode access switchport access vlan 30 exit int Fa0/24 switchport mode trunk switchport trunk allowed vlan 10,20,30 exit exit copy running-config startup-config |
2. ROAS(Route on a Stick)
라우터의 하나의 포트를 여러 VLAN의 문(subinterface)으로 나누어 사용하는 방식으로 병목 현상이 생길 수 있습니다.
- 원리: 라우터의 단 하나의 물리적 인터페이스를 여러 VLAN의 게이트웨이 역할을 하는 논리적 서브인터페이스로 분할하여 사용합니다.
- 한계: 모든 VLAN 간 트래픽이 이 단일 물리적 링크를 통과해야 하므로, 트래픽이 많을 때 성능 병목(Bottleneck) 현상이 발생할 수 있습니다.
ROAS(Route on a Stick)
| Router0 Config |
|---|
| Router0의 Gig0/0/1 포트를 Switch0의 Gig0/1 포트에 연결 |
|
enable conf t int Gig0/0/1 no shutdown exit int Gig0/0/1.10 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 exit int Gig0/0/1.20 encapsulation dot1Q 20 ip address 192.168.20.1 255.255.255.0 exit int Gig0/0/1.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 exit copy running-config startup-config |
3. SVI(Switched Virtual Interface)
L3 스위치 자체에 SVI라는 논리적 인터페이스를 만들어 문지기 역할을 내부적으로 수행하는 방식으로 매우 빠릅니다.
- 원리: 스위칭과 라우팅 기능을 통합한 L3 스위치를 사용합니다. 각 VLAN에 SVI(Switched Virtual Interface)라는 논리적 L3 인터페이스를 생성하고, 이 SVI가 해당 VLAN의 게이트웨이 역할을 수행하며 라우팅을 담당합니다.
- 장점: 라우팅 처리가 하드웨어(ASIC) 기반으로 이루어져 속도가 매우 빠르며(Wire-speed), RoAS의 병목 현상 문제를 근본적으로 해결하여 확장성이 뛰어납니다.
SVI(Switched Virtual Interface)
| Multilayer Switch0 Config |
|---|
| Multilayer Switch0의 Gig0/1 포트를 Switch0의 Gig0/1 포트에 연결 |
|
enable conf t vlan 10 name PC vlan 20 name LAPTOP vlan 30 name SERVER exit ip routing interface vlan 10 ip address 192.168.10.1 255.255.255.0 no shutdown exit interface vlan 20 ip address 192.168.20.1 255.255.255.0 no shutdown exit interface vlan 30 ip address 192.168.30.1 255.255.255.0 no shutdown exit exit copy running-config startup-config |
