VLAN 분리

VLAN은 하나의 스위치를 여러 L2 영역으로 나눈다

같은 물리 스위치에 있어도 VLAN이 다르면 브로드캐스트 도메인이 분리된다. 통신 허용 여부는 L3 게이트웨이와 정책에서 결정한다.

VLAN 10, 20, 30은 서로 다른 L2 브로드캐스트 영역

ARP/DHCP 브로드캐스트는 같은 VLAN 안에서만 확산

VLAN 간 통신은 L3 게이트웨이 또는 방화벽 정책 필요

적용 전

하나의 브로드캐스트 도메인

Switch A모든 포트가 같은 L2 영역

P1개발 PC

P2개발 PC

P3재무 PC

P4재무 PC

P5관리 AP

P6서버

ARP브로드캐스트 발생한 단말의 요청이 모든 포트로 퍼짐

→

ALL전체 세그먼트 영향불필요한 트래픽과 노출 범위 증가

적용 후

Switch A포트별 VLAN 배정

P1VLAN 10 개발

P2VLAN 10 개발

P3VLAN 20 재무

P4VLAN 20 재무

P5VLAN 30 관리

P6VLAN 30 서버

10VLAN 10 내부 확산P1의 ARP는 P2까지만 전달

→

L3다른 VLAN은 게이트웨이 경유ACL, 방화벽, QoS 정책 적용 지점

핵심: VLAN은 2계층 경계를 만든다. 보안 정책은 이 경계를 지나가는 L3 라우팅 지점에서 명시적으로 적용해야 한다.