VLAN 태그와 트렁크 포트가 나누는 2계층 보안 경계

Access 포트

단말 포트는 하나의 VLAN에 속하고 프레임에는 태그가 없는 형태로 들어온다.

untagged

스위치 간 연결은 802.1Q 태그로 여러 VLAN 프레임을 한 링크에 실어 보낸다.

tagged

서로 다른 VLAN은 2계층으로 직접 통신하지 못하고 라우터나 L3 스위치를 거친다.

inter-VLAN

미사용 포트 차단, native VLAN 변경, trunk 허용 VLAN 제한으로 공격면을 줄인다.

hardening

Broadcast

VLAN은 broadcast 범위를 줄여 장애와 트래픽 확산을 제한한다. 같은 IP 대역 설계와 gateway 설정이 함께 맞아야 한다.

segmentation

Trunk

허용 VLAN 목록을 좁히지 않으면 불필요한 VLAN이 링크를 지난다. 스위치 간 trunk 협상과 native VLAN을 명확히 설정한다.

allowed list

Hopping

잘못된 trunk/native 설정은 VLAN hopping 공격의 조건이 된다. DTP 비활성화와 native VLAN 격리가 기본 방어다.

L2 attack

포트 모드 사용자 단말 포트가 trunk로 열려 있지 않다.

허용 목록 trunk allowed VLAN이 실제 필요한 VLAN으로 제한된다.

라우팅 VLAN 간 통신은 방화벽 정책과 L3 경계를 통과한다.

access port: untagged frame -> VLAN assigned
trunk port: 802.1Q tagged frame -> allowed VLAN check