CLI를 통해 스위치에 프라이빗 VLAN 멤버십 설정 구성

소개

Virtual Local Area Network(VLAN)를 사용하면 Local Area Network(LAN)를 여러 브로드캐스트 도메인으로 논리적으로 분할할 수 있습니다. 민감한 데이터가 네트워크에서 브로드캐스트될 수 있는 시나리오에서 특정 VLAN에 브로드캐스트를 지정하여 VLAN을 생성하고 보안을 향상시킬 수 있습니다. VLAN에 속한 사용자만 해당 VLAN의 데이터에 액세스하고 해당 데이터를 조작할 수 있습니다. 또한 VLAN을 사용하여 브로드캐스트 및 멀티캐스트를 불필요한 대상으로 전송할 필요성을 줄여 성능을 높일 수 있습니다.

참고: 웹 기반 유틸리티를 통해 스위치의 VLAN 설정을 구성하는 방법을 알아보려면 여기를 클릭하십시오. CLI 기반 지침을 보려면 여기를 클릭하십시오.

프라이빗 VLAN 도메인은 하나 이상의 VLAN 쌍으로 구성됩니다. 기본 VLAN은 도메인을 구성하고 각 VLAN 쌍은 하위 도메인을 구성합니다. 쌍의 VLAN을 기본 VLAN과 보조 VLAN이라고 합니다. 프라이빗 VLAN 내의 모든 VLAN 쌍은 동일한 기본 VLAN을 갖습니다. 보조 VLAN ID는 하나의 하위 도메인을 다른 하위 도메인과 구별하는 것입니다.

프라이빗 VLAN 도메인에는 하나의 기본 VLAN만 있습니다. 프라이빗 VLAN 도메인의 각 포트는 기본 VLAN의 멤버입니다. 기본 VLAN은 전체 프라이빗 VLAN 도메인입니다.

보조 VLAN은 동일한 프라이빗 VLAN 도메인 내의 포트 간 격리를 제공합니다. 다음 두 가지 유형은 기본 VLAN 내의 보조 VLAN입니다.

• 격리 VLAN — 격리 VLAN 내의 포트는 레이어 2 레벨에서 서로 직접 통신할 수 없습니다.
• 커뮤니티 VLAN — 커뮤니티 VLAN 내의 포트는 서로 통신할 수 있지만 다른 커뮤니티 VLAN 또는 레이어 2 레벨의 격리된 VLAN의 포트와 통신할 수는 없습니다.

프라이빗 VLAN 도메인 내에는 세 가지 개별 포트 지정이 있습니다. 각 포트 지정에는 하나의 엔드포인트가 동일한 프라이빗 VLAN 도메인 내에서 연결된 다른 엔드포인트와 통신하는 기능을 제어하는 고유한 규칙 집합이 있습니다. 다음은 세 가지 포트 지정입니다.

• 프로미스큐어스 — 프로미스큐어스 포트는 동일한 프라이빗 VLAN의 모든 포트와 통신할 수 있습니다. 이러한 포트는 서버와 라우터를 연결합니다.
• 커뮤니티(호스트) — 커뮤니티 포트는 동일한 레이어 2 도메인에 속한 포트 그룹을 정의할 수 있습니다. 레이어 2에서 다른 커뮤니티와 격리된 포트에서 격리됩니다. 이러한 포트는 호스트 포트를 연결합니다.
• 격리(호스트) — 격리 포트는 동일한 프라이빗 VLAN 내의 다른 격리 및 커뮤니티 포트와 완전한 레이어 2 격리 기능을 갖습니다. 이러한 포트는 호스트 포트를 연결합니다.

호스트 트래픽은 격리된 커뮤니티 VLAN에서 전송되는 반면, 서버 및 라우터 트래픽은 기본 VLAN에서 전송됩니다.

목표

프라이빗 VLAN은 포트 간에 레이어 2 격리를 제공합니다. 즉, 브리징 트래픽 레벨에서 IP 라우팅과 달리 동일한 브로드캐스트 도메인을 공유하는 포트는 서로 통신할 수 없습니다. 프라이빗 VLAN의 포트는 레이어 2 네트워크의 어느 곳에나 위치할 수 있습니다. 즉, 동일한 스위치에 있을 필요가 없습니다. 프라이빗 VLAN은 태그되지 않은 트래픽 또는 우선 순위 태그된 트래픽을 수신하고 태그되지 않은 트래픽을 전송하도록 설계되었습니다.

이 문서에서는 스위치에서 프라이빗 VLAN 설정을 구성하는 방법에 대한 지침을 제공합니다.

참고: 스위치의 웹 기반 유틸리티를 사용하여 프라이빗 VLAN을 구성하려면 여기를 클릭하십시오.

적용 가능한 디바이스

• Sx300 시리즈
• Sx350 시리즈
• SG350X 시리즈
• Sx500 시리즈
• Sx550X 시리즈

소프트웨어 버전

• 1.4.7.06 — Sx300, Sx500
• 2.2.8.04 — Sx350, SG350X, Sx550X

CLI를 통해 스위치에 프라이빗 VLAN 설정 구성

프라이빗 기본 VLAN 생성

1단계. 스위치 콘솔에 로그인합니다. 기본 사용자 이름과 비밀번호는 cisco/cisco입니다. 새 사용자 이름 또는 비밀번호를 설정한 경우 대신 자격 증명을 입력합니다.

참고: 이 명령은 스위치의 정확한 모델에 따라 달라질 수 있습니다. 이 예에서는 Telnet을 통해 SG350X 스위치가 액세스됩니다.

2단계. 스위치의 특권 EXEC 모드에서 다음을 입력하여 글로벌 컨피그레이션 모드로 들어갑니다.

3단계. 글로벌 컨피그레이션 모드에서 다음을 입력하여 인터페이스 컨피그레이션 컨텍스트를 입력합니다.

• vlan-id — 구성할 VLAN ID를 지정합니다.

참고: 이 예에서는 VLAN 2가 사용됩니다.

4단계. Interface Configuration(인터페이스 컨피그레이션) 컨텍스트에서 다음을 입력하여 VLAN 인터페이스를 기본 프라이빗 VLAN으로 구성합니다.

참고: 기본적으로 스위치에는 프라이빗 VLAN이 구성되지 않습니다.

중요: 프라이빗 VLAN을 구성할 때 다음 지침을 기억해야 합니다.

• VLAN의 멤버인 프라이빗 VLAN 포트가 있는 경우 VLAN 유형을 변경할 수 없습니다.
• 다른 프라이빗 VLAN과 연결된 경우 VLAN 유형을 변경할 수 없습니다.
• VLAN을 삭제할 때 VLAN 유형은 VLAN의 속성으로 유지되지 않습니다.

5단계(선택 사항) VLAN을 일반 VLAN 컨피그레이션으로 되돌리려면 다음을 입력합니다.

6단계(선택 사항) 스위치의 특권 EXEC 모드로 돌아가려면 다음을 입력합니다.

7단계. (선택 사항) 스위치의 권한 EXEC 모드에서 다음을 입력하여 설정을 시작 설정 파일에 저장합니다.

8단계. (선택 사항) Overwrite file [startup-config]… 프롬프트가 표시되면 Y를 누르거나 N을 누릅니다.

이제 CLI를 통해 스위치에 기본 VLAN을 성공적으로 생성해야 합니다.

보조 VLAN 생성

1단계. 스위치의 특권 EXEC 모드에서 다음을 입력하여 글로벌 컨피그레이션 모드로 들어갑니다.

2단계. 글로벌 컨피그레이션 모드에서 다음을 입력하여 인터페이스 컨피그레이션 컨텍스트를 입력합니다.

참고: 이 예에서는 VLAN 10이 사용됩니다.

3단계. Interface Configuration(인터페이스 컨피그레이션) 컨텍스트에서 다음을 입력하여 VLAN 인터페이스를 보조 프라이빗 VLAN으로 구성합니다.

옵션은 다음과 같습니다.

• community — VLAN을 커뮤니티 VLAN으로 지정합니다.
• isolated(격리) — VLAN을 격리 VLAN으로 지정합니다.

참고: 이 예에서는 VLAN 10이 격리 VLAN으로 구성됩니다.

4단계. (선택 사항) 2단계와 3단계를 반복하여 프라이빗 VLAN에 대한 추가 보조 VLAN을 구성합니다.

참고: 이 예에서는 VLAN 20 및 VLAN 30이 커뮤니티 VLAN으로 구성됩니다.

5단계(선택 사항) VLAN을 일반 VLAN 컨피그레이션으로 되돌리려면 다음을 입력합니다.

6단계(선택 사항) 스위치의 특권 EXEC 모드로 돌아가려면 다음을 입력합니다.

이제 CLI를 통해 스위치에 보조 VLAN을 성공적으로 생성해야 합니다.

보조 VLAN을 기본 프라이빗 VLAN에 연결

1단계. 스위치의 특권 EXEC 모드에서 다음을 입력하여 글로벌 컨피그레이션 모드로 들어갑니다.

2단계. 다음을 입력하여 기본 VLAN의 VLAN 인터페이스 컨피그레이션 컨텍스트를 입력합니다.

참고: 이 예에서 기본 VLAN은 VLAN 2입니다.

3단계. 기본 VLAN과 보조 VLAN 간의 연결을 구성하려면 다음을 입력합니다.

옵션은 다음과 같습니다.

• add secondary-vlan-list — 기본 VLAN에 추가할 secondary 유형의 VLAN ID 목록입니다. 쉼표로 공백 없이 비연속 VLAN ID를 구분합니다. ID 범위를 지정하려면 하이픈을 사용합니다. 이것이 기본 작업입니다.
• remove secondary-vlan-list — 기본 VLAN에서 연결을 제거할 보조 유형의 VLAN ID 목록입니다. 쉼표로 공백 없이 비연속 VLAN ID를 구분합니다. ID 범위를 지정하려면 하이픈을 사용합니다.

참고: 이 예에서는 보조 VLAN 10, 20 및 30이 기본 VLAN에 추가됩니다.

4단계. 스위치의 특별 권한 EXEC 모드로 돌아가려면 다음을 입력합니다.

이제 CLI를 통해 보조 VLAN을 스위치의 기본 프라이빗 VLAN에 성공적으로 연결해야 합니다.

기본 및 보조 프라이빗 VLAN에 대한 포트 구성

1단계. 스위치의 특권 EXEC 모드에서 다음을 입력하여 글로벌 컨피그레이션 모드로 들어갑니다.

2단계. 글로벌 컨피그레이션 모드에서 다음을 입력하여 인터페이스 컨피그레이션 컨텍스트를 입력합니다.

옵션은 다음과 같습니다.

• interface-id — 구성할 인터페이스 ID를 지정합니다.
• range vlan vlan-range — VLAN 목록을 지정합니다. 쉼표로 공백 없이 비연속 VLAN을 구분합니다. VLAN 범위를 지정하려면 하이픈을 사용합니다.

참고: 이 예에서는 인터페이스 ge1/0/10이 입력됩니다.

3단계. 인터페이스 컨피그레이션 컨텍스트에서 switchport mode 명령을 사용하여 VLAN 멤버십 모드를 구성합니다.

• promiscuous — 프라이빗 VLAN 프로미스큐어스 포트를 지정합니다. 이 옵션을 사용하는 경우 5단계로 건너뜁니다.
• host — 프라이빗 VLAN 호스트 포트를 지정합니다. 이 옵션을 사용하는 경우 6단계로 건너뜁니다.

참고: 이 예에서는 포트가 프로미스큐어스(promiscuous)로 정의됩니다.

4단계(선택 사항) 포트 또는 포트 범위를 기본 구성으로 되돌리려면 다음을 입력합니다.

5단계. 프로미스큐어스 포트를 프라이빗 VLAN의 기본 및 보조 VLAN과 연계하도록 구성하려면 다음을 입력합니다.

옵션은 다음과 같습니다.

• primary-vlan-id — 기본 VLAN의 VLAN ID를 지정합니다.
• secondary-vlan-id — 보조 VLAN의 VLAN ID를 지정합니다.

참고: 이 예에서는 프로미스큐어스 인터페이스가 기본 VLAN 2에 매핑되고 보조 VLAN 30에 추가됩니다.

6단계. 호스트 포트를 프라이빗 VLAN의 기본 및 보조 VLAN과 연결하려면 다음을 입력합니다.

옵션은 다음과 같습니다.

• primary-vlan-id — 기본 VLAN의 VLAN ID를 지정합니다.
• secondary-vlan-id — 보조 VLAN의 VLAN ID를 지정합니다.

참고: 이 예에서는 호스트 인터페이스 범위 40~45가 기본 VLAN 2에 매핑되고 보조 VLAN 20에 추가됩니다.

7단계. 인터페이스 컨피그레이션 컨텍스트를 종료하려면 다음을 입력합니다.

8단계. (선택 사항) 2~7단계를 반복하여 더 많은 프로미스큐어스 및 호스트 포트를 구성하고 해당 기본 및 보조 프라이빗 VLAN에 할당합니다.

참고: 이 예에서는 호스트 인터페이스 범위 36~39가 기본 VLAN 2에 매핑되고 보조 VLAN 10에 추가됩니다.

9단계. end 명령을 입력하여 특별 권한 EXEC 모드로 돌아갑니다.

10단계(선택 사항) 스위치에서 구성된 프라이빗 VLAN을 확인하려면 다음을 입력합니다.

11단계. (선택 사항) 스위치의 권한 EXEC 모드에서 다음을 입력하여 설정을 시작 설정 파일에 저장합니다.

12단계. (선택 사항) Overwrite file [startup-config]… 프롬프트가 표시되면 Y를 누르거나 N을 누릅니다.

이제 CLI를 통해 스위치의 기본 및 보조 프라이빗 VLAN과 호스트 및 프로미스큐어스 포트의 연결을 성공적으로 구성했어야 합니다.

개정 이력

개정	게시 날짜	의견
1.0	13-Dec-2018	최초 릴리스