부서, 서버, 게스트망처럼 브로드캐스트 범위를 나누면 장애와 공격의 확산 범위를 줄일 수 있습니다.
VLAN과 신뢰 경계
VLAN은 하나의 물리 스위치에서도 논리적인 브로드캐스트 도메인을 나눕니다. 트렁크 허용 VLAN, 라우팅 위치, L2 보안 설정까지 봐야 장애 원인을 계층별로 좁힙니다.
트렁크 포트는 프레임에 VLAN 태그를 붙여 여러 VLAN을 한 링크로 운반합니다. native VLAN 설정은 주의해야 합니다.
서로 다른 VLAN 사이의 통신은 L3 장비나 L3 스위치의 SVI를 통해 라우팅되어야 합니다.
MAC 플러딩, ARP 스푸핑, 악성 DHCP 서버는 포트 보안, DAI, DHCP 스누핑으로 줄일 수 있습니다.
Access trunk
단말 포트와 스위치 간 링크의 VLAN 모드를 구분해 설정합니다.
DAI
ARP 패킷을 DHCP 스누핑 바인딩이나 정적 매핑으로 검증합니다.
Trusted DHCP
DHCP 서버가 연결된 포트만 trusted로 두고 클라이언트 포트 응답은 차단합니다.