CLI를 통해 스위치에 사설 VLAN 구성원 설정 구성

소개

VLAN(Virtual Local Area Network)을 사용하면 LAN(Local Area Network)을 서로 다른 브로드캐스트 도메인으로 논리적으로 분할할 수 있습니다. 네트워크에서 민감한 데이터를 브로드캐스트할 수 있는 시나리오에서는 특정 VLAN에 브로드캐스트를 지정하여 보안을 강화하기 위해 VLAN을 생성할 수 있습니다. VLAN에 속하는 사용자만 해당 VLAN의 데이터에 액세스하고 조작할 수 있습니다. 또한 VLAN을 사용하여 불필요한 대상으로 브로드캐스트 및 멀티캐스트를 보낼 필요가 없으므로 성능을 높일 수 있습니다.

참고: 웹 기반 유틸리티를 통해 스위치에서 VLAN 설정을 구성하는 방법을 알아보려면 여기를 클릭하십시오. CLI 기반 지침을 보려면 여기를 클릭하십시오.

프라이빗 VLAN 도메인은 하나 이상의 VLAN 쌍으로 구성됩니다. 기본 VLAN은 도메인을 구성합니다. 각 VLAN 쌍은 하위 도메인을 구성합니다. 쌍의 VLAN을 기본 VLAN과 보조 VLAN이라고 합니다. 프라이빗 VLAN 내의 모든 VLAN 쌍은 동일한 기본 VLAN을 갖습니다. 보조 VLAN ID는 하나의 하위 도메인과 다른 하위 도메인을 구별하는 것입니다.

프라이빗 VLAN 도메인에는 기본 VLAN이 하나만 있습니다. 프라이빗 VLAN 도메인의 각 포트는 기본 VLAN의 멤버입니다. 기본 VLAN은 전체 프라이빗 VLAN 도메인입니다.

보조 VLAN은 동일한 프라이빗 VLAN 도메인 내의 포트 간 격리를 제공합니다. 다음 두 가지 유형은 기본 VLAN 내의 보조 VLAN입니다.

• 격리된 VLAN — 격리된 VLAN 내의 포트는 레이어 2 레벨에서 서로 직접 통신할 수 없습니다.
• 커뮤니티 VLAN — 커뮤니티 VLAN 내의 포트는 서로 통신할 수 있지만 다른 커뮤니티 VLAN 또는 레이어 2 레벨의 격리된 VLAN의 포트와 통신할 수 없습니다.

프라이빗 VLAN 도메인에는 3개의 개별 포트 지정이 있습니다. 각 포트 지정에는 하나의 엔드포인트가 동일한 프라이빗 VLAN 도메인 내의 다른 연결된 엔드포인트와 통신할 수 있는 기능을 제어하는 고유한 규칙 집합이 있습니다. 다음은 세 가지 포트 지정입니다.

• 프로미스큐어스 — 프로미스큐어스 포트는 동일한 프라이빗 VLAN의 모든 포트와 통신할 수 있습니다. 이러한 포트는 서버와 라우터를 연결합니다.
• 커뮤니티(호스트) — 커뮤니티 포트는 동일한 레이어 2 도메인에 속한 포트 그룹을 정의할 수 있습니다. 레이어 2에서 다른 커뮤니티와 격리된 포트에서 격리됩니다. 이러한 포트는 호스트 포트를 연결합니다.
• 격리(호스트) — 격리된 포트는 동일한 프라이빗 VLAN 내의 다른 격리 및 커뮤니티 포트와 완전한 레이어 2 격리를 갖습니다. 이러한 포트는 호스트 포트를 연결합니다.

호스트 트래픽은 격리된 커뮤니티 VLAN에서 전송되며, 서버 및 라우터 트래픽은 기본 VLAN에서 전송됩니다.

목표

프라이빗 VLAN은 포트 간에 레이어 2 격리를 제공합니다. 즉, 브리징 트래픽의 레벨에서 IP 라우팅과 달리 동일한 브로드캐스트 도메인을 공유하는 포트는 서로 통신할 수 없습니다. 프라이빗 VLAN의 포트는 레이어 2 네트워크의 어느 위치에나 위치할 수 있으므로 동일한 스위치에 있을 필요가 없습니다. 프라이빗 VLAN은 태그되지 않았거나 우선 순위 태그가 지정된 트래픽을 수신하고 태그가 지정되지 않은 트래픽을 전송하도록 설계되었습니다.

이 문서에서는 스위치에서 사설 VLAN 설정을 구성하는 방법에 대한 지침을 제공합니다.

참고: 스위치의 웹 기반 유틸리티를 사용하여 프라이빗 VLAN을 구성하려면 여기를 클릭합니다.

적용 가능한 디바이스

• SX300 시리즈
• SX350 시리즈
• SG350X 시리즈
• SX500 시리즈
• SX550X 시리즈

소프트웨어 버전

• 1.4.7.06 — SX300, SX500
• 2.2.8.04 — SX350, SG350X, SX550X

CLI를 통해 스위치에 사설 VLAN 설정 구성

프라이빗 기본 VLAN 생성

1단계. 스위치 콘솔에 로그인합니다. 기본 사용자 이름 및 비밀번호는 cisco/cisco입니다. 새 사용자 이름 또는 비밀번호를 구성한 경우 대신 자격 증명을 입력합니다.

참고: 명령은 스위치의 정확한 모델에 따라 달라질 수 있습니다. 이 예에서는 텔넷을 통해 SG350X 스위치에 액세스합니다.

2단계. 스위치의 Privileged EXEC 모드에서 다음을 입력하여 Global Configuration 모드로 들어갑니다.

3단계. Global Configuration(전역 컨피그레이션) 모드에서 다음을 입력하여 인터페이스 컨피그레이션 컨텍스트를 입력합니다.

• vlan-id — 구성할 VLAN ID를 지정합니다.

참고: 이 예에서는 VLAN 2가 사용됩니다.

4단계. Interface Configuration(인터페이스 컨피그레이션) 컨텍스트에서 다음을 입력하여 VLAN 인터페이스를 기본 프라이빗 VLAN으로 구성합니다.

참고: 기본적으로 스위치에 구성된 프라이빗 VLAN은 없습니다.

중요: 프라이빗 VLAN을 구성할 때 다음 지침을 기억하십시오.

• VLAN에 멤버인 프라이빗 VLAN 포트가 있는 경우 VLAN 유형을 변경할 수 없습니다.
• VLAN 유형이 다른 프라이빗 VLAN과 연결된 경우 변경할 수 없습니다.
• VLAN 유형은 VLAN을 삭제할 때 VLAN의 속성으로 유지되지 않습니다.

5단계. (선택 사항) VLAN을 일반 VLAN 컨피그레이션으로 되돌리려면 다음을 입력합니다.

6단계. (선택 사항) 스위치의 특별 권한 EXEC 모드로 돌아가려면 다음을 입력합니다.

7단계. (선택 사항) 스위치의 Privileged EXEC 모드에서 다음을 입력하여 구성된 설정을 시작 구성 파일에 저장합니다.

8단계. (선택 사항) Overwrite file [startup-config]... 프롬프트가 나타나면 키보드에서 Y 또는 N을 누릅니다.

이제 CLI를 통해 스위치에 기본 VLAN을 성공적으로 생성했어야 합니다.

보조 VLAN 생성

1단계. 스위치의 Privileged EXEC 모드에서 다음을 입력하여 글로벌 컨피그레이션 모드로 들어갑니다.

2단계. Global Configuration(전역 컨피그레이션) 모드에서 다음을 입력하여 인터페이스 컨피그레이션 컨텍스트를 입력합니다.

참고: 이 예에서는 VLAN 10이 사용됩니다.

3단계. Interface Configuration(인터페이스 컨피그레이션) 컨텍스트에서 다음을 입력하여 VLAN 인터페이스를 보조 프라이빗 VLAN으로 구성합니다.

옵션은 다음과 같습니다.

• community — VLAN을 커뮤니티 VLAN으로 지정합니다.
• 격리 — VLAN을 격리 VLAN으로 지정합니다.

참고: 이 예에서 VLAN 10은 격리된 VLAN으로 구성됩니다.

4단계. (선택 사항) 2단계와 3단계를 반복하여 프라이빗 VLAN에 대한 추가 보조 VLAN을 구성합니다.

참고: 이 예에서는 VLAN 20 및 VLAN 30이 커뮤니티 VLAN으로 구성됩니다.

5단계. (선택 사항) VLAN을 일반 VLAN 컨피그레이션으로 되돌리려면 다음을 입력합니다.

6단계. (선택 사항) 스위치의 특별 권한 EXEC 모드로 돌아가려면 다음을 입력합니다.

이제 CLI를 통해 스위치에서 보조 VLAN을 성공적으로 생성해야 합니다.

보조 VLAN을 기본 프라이빗 VLAN에 연결

1단계. 스위치의 Privileged EXEC 모드에서 다음을 입력하여 글로벌 컨피그레이션 모드로 들어갑니다.

2단계. 다음을 입력하여 기본 VLAN의 VLAN 인터페이스 컨피그레이션 컨텍스트를 입력합니다.

참고: 이 예에서 기본 VLAN은 VLAN 2입니다.

3단계. 기본 VLAN과 보조 VLAN 간의 연결을 구성하려면 다음을 입력합니다.

옵션은 다음과 같습니다.

• add secondary-vlan-list — 기본 VLAN에 추가할 secondary 유형의 VLAN ID 목록입니다. 연속되지 않은 VLAN ID는 쉼표 및 공백 없이 구분합니다. 하이픈을 사용하여 ID 범위를 지정합니다. 이것이 기본 작업입니다.
• remove secondary-vlan-list — 기본 VLAN에서 연결을 제거할 secondary 유형의 VLAN ID 목록입니다. 연속되지 않은 VLAN ID는 쉼표 및 공백 없이 구분합니다. 하이픈을 사용하여 ID 범위를 지정합니다.

참고: 이 예에서는 보조 VLAN 10, 20, 30이 기본 VLAN에 추가됩니다.

4단계. 스위치의 특별 권한 EXEC 모드로 돌아가려면 다음을 입력합니다.

이제 CLI를 통해 스위치의 기본 프라이빗 VLAN에 보조 VLAN을 성공적으로 연결했어야 합니다.

기본 및 보조 프라이빗 VLAN에 대한 포트 구성

1단계. 스위치의 Privileged EXEC 모드에서 다음을 입력하여 글로벌 컨피그레이션 모드로 들어갑니다.

2단계. Global Configuration(전역 컨피그레이션) 모드에서 다음을 입력하여 인터페이스 컨피그레이션 컨텍스트를 입력합니다.

옵션은 다음과 같습니다.

• interface-id — 구성할 인터페이스 ID를 지정합니다.
• range vlan-range — VLAN 목록을 지정합니다. 연속되지 않은 VLAN은 쉼표 및 공백 없이 구분합니다. VLAN 범위를 지정하려면 하이픈을 사용합니다.

참고: 이 예에서는 interface ge1/0/10이 입력됩니다.

3단계. Interface Configuration(인터페이스 컨피그레이션) 컨텍스트에서 switchport mode 명령을 사용하여 VLAN 멤버십 모드를 구성합니다.

• promiscuous — 프라이빗 VLAN 프로미스큐어스 포트를 지정합니다. 이 옵션을 사용하는 경우 5단계로 건너뜁니다.
• host — 프라이빗 VLAN 호스트 포트를 지정합니다. 이 옵션을 사용하는 경우 6단계로 건너뜁니다.

참고: 이 예에서는 포트가 프로미스큐어스로 정의됩니다.

4단계. (선택 사항) 포트 또는 포트 범위를 기본 구성으로 되돌리려면 다음을 입력합니다.

5단계. 전용 VLAN의 기본 및 보조 VLAN과 프로미스큐어스 포트의 연결을 구성하려면 다음을 입력합니다.

옵션은 다음과 같습니다.

• primary-vlan-id — 기본 VLAN의 VLAN ID를 지정합니다.
• secondary-vlan-id — 보조 VLAN의 VLAN ID를 지정합니다.

참고: 이 예에서는 프로미스큐어스 인터페이스가 기본 VLAN 2에 매핑되고 보조 VLAN 30에 추가됩니다.

6단계. 호스트 포트를 프라이빗 VLAN의 기본 및 보조 VLAN과 연결하도록 구성하려면 다음을 입력합니다.

옵션은 다음과 같습니다.

• primary-vlan-id — 기본 VLAN의 VLAN ID를 지정합니다.
• secondary-vlan-id — 보조 VLAN의 VLAN ID를 지정합니다.

참고: 이 예에서는 호스트 인터페이스 범위 40~45가 기본 VLAN 2에 매핑되고 보조 VLAN 20에 추가됩니다.

7단계. 인터페이스 컨피그레이션 컨텍스트를 종료하려면 다음을 입력합니다.

8단계. (선택 사항) 2~7단계를 반복하여 프로미스큐어스 및 호스트 포트를 더 구성하고 해당 기본 및 보조 프라이빗 VLAN에 할당합니다.

참고: 이 예에서는 호스트 인터페이스 범위 36~39가 기본 VLAN 2에 매핑되고 보조 VLAN 10에 추가됩니다.

9단계. end 명령을 입력하여 특별 권한 EXEC 모드로 돌아갑니다.

10단계(선택 사항) 스위치에서 구성된 프라이빗 VLAN을 확인하려면 다음을 입력합니다.

11단계. (선택 사항) 스위치의 Privileged EXEC 모드에서 다음을 입력하여 구성된 설정을 시작 구성 파일에 저장합니다.

12단계. (선택 사항) Overwrite file [startup-config]... 프롬프트가 나타나면 Y를 Yes 또는 N을 키보드에서 누릅니다.

이제 CLI를 통해 스위치의 기본 및 보조 프라이빗 VLAN과 호스트 및 프로미스큐어스 포트 연결을 성공적으로 구성했어야 합니다.