탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 네트워크 인터페이스 및 네트워크 가상화 Oracle Solaris 11 Information Library (한국어) |
VLAN(가상 LAN)은 TCP/IP 프로토콜 스택의 데이터 링크 계층에서 LAN(Local Area Network)의 하위 분할입니다. 스위치 기술을 사용하는 LAN에 대해 VLAN을 만들 수 있습니다. VLAN에 사용자 그룹을 할당하면 전체 로컬 네트워크에 대한 네트워크 관리와 보안을 향상시킬 수 있습니다. 동일한 시스템의 인터페이스를 서로 다른 VLAN에 할당할 수도 있습니다.
다음을 수행해야 하는 경우 로컬 네트워크를 VLAN으로 분할해 보십시오.
작업 그룹의 논리적 분할을 만듭니다.
예를 들어, 건물 한 층의 모든 호스트가 스위치 기반 로컬 네트워크 한 개에 연결되어 있다고 가정합니다. 한 층의 각 작업 그룹에 대해 별도의 VLAN을 만들 수 있습니다.
작업 그룹에 대해 서로 다른 보안 정책을 적용합니다.
예를 들어, 재무 부서와 정보 기술 부서의 보안 요구는 완전히 다릅니다. 두 부서의 시스템이 동일한 로컬 네트워크를 공유하는 경우 각 부서에 대해 별도의 VLAN을 만들 수 있습니다. 그런 다음 VLAN별로 적절한 보안 정책을 적용할 수 있습니다.
작업 그룹을 관리 가능한 브로드캐스트 도메인으로 분할합니다.
VLAN을 사용하면 브로드캐스트 도메인의 크기가 감소하며 네트워크 효율성이 향상됩니다.
스위치 LAN 기술을 사용하면 로컬 네트워크의 시스템을 VLAN으로 구성할 수 있습니다. 로컬 네트워크를 VLAN으로 분할하려면 먼저 VLAN 기술을 지원하는 스위치를 구해야 합니다. VLAN 토폴로지 설계에 따라 스위치의 모든 포트가 단일 VLAN이나 여러 VLAN을 서비스하도록 구성할 수 있습니다. 각 스위치 제조업체에 따라 스위치 포트 구성 절차가 달라집니다.
다음 그림에서는 서브넷 주소가 192.168.84.0인 LAN을 보여줍니다. 이 LAN은 빨간색, 노란색 및 파란색인 세 개의 VLAN으로 분할됩니다.
그림 13-1 VLAN 세 개가 있는 LAN(Local Area Network)
LAN 192.168.84.0의 연결은 스위치 1과 2에 의해 처리됩니다. 빨간색 VLAN에는 Accounting 작업 그룹의 시스템이 있습니다. Human Resources 작업 그룹의 시스템은 노란색 VLAN에 있습니다. Information Technologies 작업 그룹의 시스템은 파란색 VLAN에 할당됩니다.
영역의 VLAN을 사용하면 스위치와 같은 단일 네트워크 장치 내에 여러 가상 네트워크를 구성할 수 있습니다. 물리적 NIC 세 개가 있는 시스템에 대한 다음 그림을 고려해 보십시오.
그림 13-2 여러 VLAN이 있는 시스템
VLAN을 사용하지 않을 경우 특정 기능을 수행하는 여러 시스템을 구성하고 이러한 시스템을 별도의 네트워크에 연결할 것입니다. 예를 들어, 웹 서버는 한 LAN에 연결되고, 인증 서버는 다른 LAN에 연결되고, 애플리케이션 서버는 세번째 네트워크에 연결됩니다. VLAN과 영역을 사용하면 모두 8개 시스템을 축소하여 단일 시스템의 영역으로 구성할 수 있습니다. 그런 다음 VLAN 태그 또는 VLAN ID(VID)를 사용하여 동일한 기능을 수행하는 각 영역 세트에 VLAN을 할당합니다. 그림에 제공된 정보를 다음과 같이 표로 작성할 수 있습니다.
|
그림에 표시된 구성을 만들려면 예 13-1을 참조하십시오.
Oracle Solaris에서는 VLAN 인터페이스에 의미 있는 이름을 지정할 수 있습니다. VLAN 이름은 링크 이름 및 VID(VLAN ID 번호)로 구성됩니다(예: sales0). VLAN을 만들 때 사용자 정의 이름을 지정해야 합니다. 사용자 정의 이름에 대한 자세한 내용은 네트워크 장치 및 데이터 링크 이름을 참조하십시오. 유효한 사용자 정의 이름에 대한 자세한 내용은 유효한 링크 이름 규칙을 참조하십시오.
다음 표에서는 VLAN을 관리하는 여러 작업에 대한 링크를 제공합니다.
|
다음 절차를 사용하여 네트워크의 VLAN을 계획할 수 있습니다.
이러한 토폴로지의 기본 예는 그림 13-1을 참조하십시오.
주 - VLAN 번호 지정 체계가 네트워크에 이미 있을 수도 있습니다. 이 경우 기존 VLAN 번호 지정 체계에 VID를 만들어야 합니다.
# dladm show-link
각 인터페이스의 VID와 각 인터페이스가 연결된 스위치 포트를 확인합니다.
구성 지침은 스위치 제조업체의 설명서를 참조하십시오.
다음 절차에서는 VLAN을 만들고 구성하는 방법을 보여줍니다. Oracle Solaris에서는 모든 이더넷 장치가 VLAN을 지원할 수 있습니다. 하지만 특정 장치에는 몇 가지 제한 사항이 있습니다. 이러한 예외는 레거시 장치의 VLAN을 참조하십시오.
시작하기 전에
VLAN을 만들기 전에 시스템에 데이터 링크가 이미 구성되어 있어야 합니다. IP 인터페이스를 구성하는 방법을 참조하십시오.
자세한 내용은 Oracle Solaris 관리: 보안 서비스의 관리 권한을 얻는 방법을 참조하십시오.
# dladm show-link
# dladm create-vlan -l link -v VID vlan-link
VLAN 인터페이스를 만들 링크를 지정합니다.
VLAN ID 번호를 나타냅니다.
관리상 선택한 이름일 수도 있는 VLAN의 이름을 지정합니다.
# dladm show-vlan
# ipadm create-ip interface
여기서 interface는 VLAN 이름을 사용합니다.
# ipadm create-addr -T static -a IP-address addrobj
여기서 addrobj는 이름 지정 규약 interface/user-defined-string을 사용합니다.
예 13-1 VLAN 구성
이 예에서는 그림 13-2에 설명된 VLAN 구성을 만듭니다. 이 예는 시스템에 여러 영역을 이미 구성했다고 가정합니다. 영역 구성에 대한 자세한 내용은 Oracle Solaris 관리: Oracle Solaris Zones, Oracle Solaris 10 Zones 및 리소스 관리의 제II부, Oracle Solaris Zones을 참조하십시오.
global# dladm show-link LINK CLASS MTU STATE BRIDGE OVER e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- e1000g2 phys 1500 up -- -- global# dladm create-vlan -l e1000g0 -v 111 web1 global# dladm create-vlan -l e1000g0 -v 112 auth1 global# dladm create-vlan -l e1000g0 -v 113 app1 global# dladm create-vlan -l e1000g1 -v 111 web2 global# dladm create-vlan -l e1000g1 -v 112 auth2 global# dladm create-vlan -l e1000g1 -v 113 app2 global# dladm create-vlan -l e1000g2 -v 111 web3 global# dladm create-vlan -l e1000g2 -v 112 auth3 global# dladm show-vlan LINK VID OVER FLAGS web1 111 e1000g0 ---- auth1 112 e1000g0 ---- app1 113 e1000g0 ---- web2 111 e1000g1 ---- auth2 112 e1000g1 ---- app2 113 e1000g1 ---- web3 111 e1000g2 ---- auth3 113 e1000g2 ----
링크 정보가 표시되면 VLAN이 목록에 포함됩니다.
global# dladm show-link LINK CLASS MTU STATE BRIDGE OVER e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- e1000g2 phys 1500 up -- -- web1 vlan 1500 up -- e1000g0 auth1 vlan 1500 up -- e1000g0 app1 vlan 1500 up -- e1000g0 web2 vlan 1500 up -- e1000g1 auth2 vlan 1500 up -- e1000g1 app2 vlan 1500 up -- e1000g1 web3 vlan 1500 up -- e1000g2 auth3 vlan 1500 up -- e1000g2
해당 영역에 VLAN을 할당합니다. 예를 들어, 개별 영역에 대한 네트워크 정보를 확인하면 각 영역에 대해 다음과 유사한 데이터가 표시됩니다.
global# zonecfg -z webzone1 info net net: address not specified physical: web1 global# zonecfg -z authzone1 info net net: address not specified physical: auth1 global# zonecfg -z appzone2 info net net: address not specified physical: app2
physical 등록 정보의 값은 지정된 영역에 대해 설정된 VLAN을 나타냅니다.
각 비전역 영역에 로그인하여 IP 주소로 VLAN을 구성합니다.
webzone1:
webzone1# ipadm create-ip web1 webzone1# ipadm create-addr -T static -a 10.1.111.0/24 web1/v4
webzone2:
webzone2# ipadm create-ip web2 webzone2# ipadm create-addr -T static -a 10.1.111.0/24 web2/v4
webzone3:
webzone3# ipadm create-ip web3 webzone3# ipadm create-addr -T static -a 10.1.111.0/24 web3/v4
authzone1:
authzone1# ipadm create-ip auth1 authzone1# ipadm create-addr -T static -a 10.1.112.0/24 auth1/v4
authzone2:
authzone2# ipadm create-ip auth2 autzone2# ipadm create-addr -T static -a 10.1.112.0/24 auth2/v4
authzone3:
authzone3# ipadm create-ip auth3 authzone3# ipadm create-addr -T static -a 10.1.112.0/24 auth3/v4
appzone1:
appzone1# ipadm create-ip app1 appzone1# ipadm create-addr -T static -a 10.1.113.0/24 app1/v4
appzone2:
appzone2# ipadm create-ip app2 appzone2# ipadm create-addr -T static -a 10.1.113.0/24 app2/v4
인터페이스에 VLAN을 구성하는 것과 동일한 방식으로 링크 통합에 VLAN을 만들 수도 있습니다. 링크 통합은 12 장링크 통합 관리에서 설명합니다. 이 절에서는 VLAN과 링크 통합의 구성을 결합합니다.
시작하기 전에
먼저 링크 통합을 만들고 유효한 IP 주소로 구성합니다. 링크 통합을 만들려면 링크 통합을 만드는 방법을 참조하십시오.
# dladm show-link
# dladm create-vlan -l link -v VID vlan-link
구문 설명은 다음과 같습니다.
VLAN 인터페이스를 만들 링크를 지정합니다. 이 특정 경우에서 링크는 링크 통합을 나타냅니다.
VLAN ID 번호를 나타냅니다.
관리상 선택한 이름일 수도 있는 VLAN의 이름을 지정합니다.
# ipadm create-ip interface
여기서 interface는 VLAN 이름을 사용합니다.
# ipadm create-addr -T static -a IP-address addrobj
여기서 addrobj는 이름 지정 규약 vlan-int/user-defined-string을 따라야 합니다.
예 13-2 링크 통합에 여러 VLAN 구성
이 예에서는 링크 통합에 VLAN 두 개가 구성됩니다. VLAN에는 각각 VID 193과 194가 할당됩니다.
# dladm show-link LINK CLASS MTU STATE BRIDGE OVER subvideo0 phys 1500 up -- ---- subvideo1 phys 1500 up -- ---- video0 aggr 1500 up -- subvideo0, subvideo1 # dladm create-vlan -l video0 -v 193 salesregion1 # dladm create-vlan -l video0 -v 194 salesregion2 # ipadm create-ip salesregion1 # ipadm create-ip salesregion2 # ipadm create-addr -T static -a 192.168.10.5/24 salesregion1/v4static # ipadm create-addr -T static -a 192.168.10.25/24 salesregion2/v4static
특정 레거시 장치는 최대 프레임 크기가 1514바이트인 패킷만 처리합니다. 프레임 크기가 최대 제한을 초과하는 패킷은 삭제됩니다. 이 경우 VLAN을 구성하는 방법에 나열된 것과 동일한 절차를 따릅니다. 하지만 VLAN을 만들 때는 -f 옵션을 사용하여 VLAN을 강제로 만듭니다.
일반적인 수행 단계는 다음과 같습니다.
-f 옵션을 사용하여 VLAN을 만듭니다.
# dladm create-vlan -f -l link -v VID [vlan-link]
최대 전송 단위(MTU)에 대해 더 작은 크기를 설정합니다(예: 1496바이트).
# dladm set-linkprop -p default_mtu=1496 vlan-link
MTU 값이 작으면 링크 계층에서 전송 전에 VLAN 헤더를 삽입할 수 있는 공간이 허용됩니다.
동일한 단계를 수행하여 VLAN에 있는 각 노드의 MTU 크기에 대해 더 작은 값을 동일하게 설정합니다.
링크 등록 정보 값 변경에 대한 자세한 내용은 데이터 링크 구성(작업)을 참조하십시오.
이 절에서는 기타 VLAN 작업의 새 하위 명령 dladm 사용에 대해 설명합니다. 이러한 dladm 명령은 링크 이름에서도 작동합니다.
자세한 내용은 Oracle Solaris 관리: 보안 서비스의 관리 권한을 얻는 방법을 참조하십시오.
# dladm show-vlan [vlan-link]
VLAN 링크를 지정하지 않으면 이 명령은 구성된 모든 VLAN에 대한 정보를 표시합니다.
예 13-3 VLAN 정보 표시
다음 예는 그림 13-2와 같이 여러 VLAN이 있는 시스템을 기반으로 하며, 시스템에서 사용 가능한 VLAN을 보여줍니다.
# dladm show-vlan LINK VID OVER FLAGS web1 111 e1000g0 ---- auth1 112 e1000g0 ---- app1 113 e1000g0 ---- web2 111 e1000g1 ---- auth2 112 e1000g1 ---- app2 113 e1000g1 ---- web3 111 e1000g2 ---- auth3 113 e1000g2 ----
구성된 VLAN은 dladm show-link 명령을 실행할 때도 표시됩니다. VLAN은 명령 출력 결과의 CLASS 열에서 적절하게 식별됩니다.
# dladm show-link LINK CLASS MTU STATE BRIDGE OVER e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- e1000g2 phys 1500 up -- -- web1 vlan 1500 up -- e1000g0 auth1 vlan 1500 up -- e1000g0 app1 vlan 1500 up -- e1000g0 web2 vlan 1500 up -- e1000g1 auth2 vlan 1500 up -- e1000g1 app2 vlan 1500 up -- e1000g1 web3 vlan 1500 up -- e1000g2 auth3 vlan 1500 up -- e1000g2
자세한 내용은 Oracle Solaris 관리: 보안 서비스의 관리 권한을 얻는 방법을 참조하십시오.
# dladm show-vlan
# ipadm delete-ip vlan-interface
여기서 vlan-interface는 VLAN에 구성된 IP 인터페이스입니다.
주 - 현재 사용 중인 VLAN은 제거할 수 없습니다.
일시적으로 VLAN을 삭제하려면 다음과 같이 -t 옵션을 사용합니다.
# dladm delete-vlan -t vlan
지속적으로 삭제하려면 다음을 수행합니다.
VLAN을 제거합니다.
# dladm delete-vlan vlan
예 13-4 VLAN 제거
# dladm show-vlan LINK VID OVER FLAGS web1 111 e1000g0 ---- auth1 112 e1000g0 ---- app1 113 e1000g0 ---- web2 111 e1000g1 ---- auth2 112 e1000g1 ---- app2 113 e1000g1 ---- web3 111 e1000g2 ---- auth3 113 e1000g2 ---- # ipadm delete-ip web1 # dladm delete-vlan web1
이 절에서는 사용자 정의 이름 사용 시 링크, 링크 통합 및 VLAN 구성에 대한 이전 장의 모든 절차를 결합하는 예를 제공합니다. 사용자 정의 이름을 사용하는 다른 네트워킹 시나리오에 대한 설명은 http://www.oracle.com/us/sun/index.htm의 문서를 참조하십시오.
예 13-5 링크, VLAN 및 링크 통합 구성
이 예에서는 NIC 4개를 사용하는 한 시스템을 8개의 개별 서브넷의 라우터로 구성해야 합니다. 이를 위해서 각 서브넷에 대해 하나씩 8개의 링크가 구성됩니다. 먼저 NIC 4개에서 모두 링크 통합이 생성됩니다. 이러한 태그 미지정된 링크는 기본 경로가 가리키는 네트워크에 대해 태그 미지정된 기본 서브넷이 됩니다.
그런 후에 다른 서브넷의 링크 통합에 VLAN 인터페이스가 구성됩니다. 색상으로 구분된 체계에 따라 서브넷의 이름이 지정됩니다. 마찬가지로 VLAN 이름은 해당 서브넷에 일치하도록 지정됩니다. 최종 구성은 8개 서브넷에 대한 8개 링크로 구성되며, 한 개는 태그 미지정된 링크이고 나머지 7개는 태그 지정된 VLAN 링크입니다.
재부트 후에도 구성이 유지되게 하려면 이전 Oracle Solaris 릴리스와 동일한 절차가 적용됩니다. 예를 들어, /etc/inet/ndpd.conf와 같이 구성 파일에 IP 주소를 추가해야 합니다. 또는 인터페이스에 대한 필터 규칙을 규칙 파일에 포함해야 합니다. 이러한 최종 단계는 예에 포함되어 있지 않습니다. 이 단계는 Oracle Solaris 관리: IP 서비스의 해당 장, 특히 TCP/IP 관리 및 DHCP를 참조하십시오.
# dladm show-link LINK CLASS MTU STATE BRIDGE OVER nge0 phys 1500 up -- -- nge1 phys 1500 up -- -- e1000g0 phys 1500 up -- -- e1000g1 phys 1500 up -- -- # dladm show-phys LINK MEDIA STATE SPEED DUPLEX DEVICE nge0 Ethernet up 1000Mb full nge0 nge1 Ethernet up 1000Mb full nge1 e1000g0 Ethernet up 1000Mb full e1000g0 e1000g1 Ethernet up 1000Mb full e1000g1 # ipadm delete-ip nge0 # ipadm delete-ip nge1 # ipadm delete-ip e1000g0 # ipadm delete-ip e1000g1 # dladm rename-link nge0 net0 # dladm rename-link nge1 net1 # dladm rename-link e1000g0 net2 # dladm rename-link e1000g1 net3 # dladm show-link LINK CLASS MTU STATE BRIDGE OVER net0 phys 1500 up -- -- net1 phys 1500 up -- -- net2 phys 1500 up -- -- net3 phys 1500 up -- -- # dladm show-phys LINK MEDIA STATE SPEED DUPLEX DEVICE net0 Ethernet up 1000Mb full nge0 net1 Ethernet up 1000Mb full nge1 net2 Ethernet up 1000Mb full e1000g0 net3 Ethernet up 1000Mb full e1000g1 # dladm create-aggr -P L2,L3 -l net0 -l net1 -l net2 -l net3 default0 # dladm show-link LINK CLASS MTU STATE BRIDGE OVER net0 phys 1500 up -- -- net1 phys 1500 up -- -- net2 phys 1500 up -- -- net3 phys 1500 up -- -- default0 aggr 1500 up -- net0 net1 net2 net3 # dladm create-vlan -v 2 -l default0 orange0 # dladm create-vlan -v 3 -l default0 green0 # dladm create-vlan -v 4 -l default0 blue0 # dladm create-vlan -v 5 -l default0 white0 # dladm create-vlan -v 6 -l default0 yellow0 # dladm create-vlan -v 7 -l default0 red0 # dladm create-vlan -v 8 -l default0 cyan0 # dladm show-link LINK CLASS MTU STATE BRIDGE OVER net0 phys 1500 up -- -- net1 phys 1500 up -- -- net2 phys 1500 up -- -- net3 phys 1500 up -- -- default0 aggr 1500 up -- net0 net1 net2 net3 orange0 vlan 1500 up -- default0 green0 vlan 1500 up -- default0 blue0 vlan 1500 up -- default0 white0 vlan 1500 up -- default0 yellow0 vlan 1500 up -- default0 red0 vlan 1500 up -- default0 cyan0 vlan 1500 up -- default0 # dladm show-vlan LINK VID OVER FLAGS orange0 2 default0 ----- green0 3 default0 ----- blue0 4 default0 ----- white0 5 default0 ----- yellow0 6 default0 ----- red0 7 default0 ----- cyan0 8 default0 ----- # ipadm create-ip orange0 # ipadm create-ip green0 # ipadm create-ip blue0 # ipadm create-ip white0 # ipadm create-ip yellow0 # ipadm create-ip red0 # ipadm create-ip cyan0 # ipadm create-addr -T static -a IP-address orange0/v4 # ipadm create-addr -T static -a IP-address green0/v4 # ipadm create-addr -T static -a IP-address blue0/v4 # ipadm create-addr -T static -a IP-address white0/v4 # ipadm create-addr -T static -a IP-address yellow0/v4 # ipadm create-addr -T static -a IP-address red0/v4 # ipadm create-addr -T static -a IP-address cyan0/v4