[스위치] Switch란?

Switch

 

Switch 개요

• 2계층 장비
• 네트워크의 가장 핵심 장비
• MAC Address를 기반으로 동작

기본 스위치 개념

Switch 특징

• 스위치는 네트워크 중간에서 패킷을 받아 필요한 곳에만 보내주는 중재자
• 아무 설정 없이 네트워크에 연결해도 MAC Address를 기반으로 패킷을 전달하는 기본 동작 수행
• MAC Address를 인식, 패킷을 전달하는 스위치의 기본 동작
• 한 대 장비에서 논리적으로 네트워크를 분리할 수 있는 VLAN 기능
• 네트워크의 루프를 방지하는 스패닝 트리 프로토콜(STP)과 같은 기능

Switch 장비 동작

• 네트워크에서 통신 중재 
• 오래된 이더넷 네트워크에서는 패킷을 전송할 때 서로 경합, 그로 인해 네트워크 성능 저하
• 패킷을 동시에 여러 장비가 서로 간섭 없이 통신하도록 도와줌
• 여러 단말이 한꺼번에 통신이 가능, 통신을 위해 기다리거나 충돌 때문에 대기하는 문제가 해결 및 통신 효율성 향상

동작

• 핵심 역활은 누가 어느 위치에 있는지 파악, 실제 통신이 시작되면 자신이 알고 있는 위치로 패킷을 정확히 전송 
• 스위치가 2계층 주소를 이해하고 단말의 주소인 MAC Address와 단말이 위치하는 인터페이스 정보를 매핑한 MAC Address 테이블을 갖고 있어서 가능

MAC Address Table

• 스위치는 전송하려는 패킷의 헤더 안에 있는 2계층 목적지 주소를 확인
• MAC Address 테이블에서 해당 주소가 어느 포트에 있는지 확인해 해당 패킷을 그 포트로만 전송

switch 역활

• 스위치는 MAC Address와 포트가 매핑된 MAC Address 테이블이 필요함
• IF 테이블에 없는 도착지 주소를 가진 패킷이 스위치로 들어오면 스위치는 전체 포트로 패킷을 전송
• 패킷의 도착지 주소가 테이블에 있으면 해당 주소가 매핑된 포트로만 패킷을 전송, 다른 포트로는 전송하지 않음

Switch 동작 방식

• 플러딩(Flooding)
• 어드레스 러닝(Address Learning)
• 포워딩(Forwarding)
• 필터링(Filtering)
• 에이징(Aging)

플러딩

• 부팅하면 네트워크 관련 정보가 아무것도 없음
• 네트워크 통신을 중재하는 자신의 역활을 하지 못함
• 허브는 패킷이 들어온 포트를 제외하고 모든 포트로 패킷 전달
• 스위치가 허브와 같이 모든 포트로 패킷을 흘리는 동작 방식을 플러딩(Flooding)이라고 함

Flooding

• 스위치는 패킷이 들어오면 도착지 MAC Address를 확인하고 자신이 갖고 있는 MAC Address 테이블에서 해당 MAC Address가 있는지 확인
• MAC Address 테이블에 매칭되는 목적지 MAC Address가 없으면 모든 포트에 같은 내용의 패킷을 전송
• 스위치는 LAN에서 동작하므로 자신이 정보를 갖고 있지 않더라도 어딘가에 장비가 있을 수 있다고 가정하고 이와 같은 작업을 수행함

Flooding

어드레스 러닝(Address Learning)

• 스위치가 패킷의 도착지 MAC Address를 확인하여 원하는 포트로 포워딩하는 스위치의 동작을 정상적으로 수행하려면 MAC Address 테이블을 만들고 유지해야 함
• MAC Address 테이블은 어느 위치(포트)에 어떤 장비가 연결되었는지에 대한 정보가 저장되어 있는 임시 테이블
• 이런 MAC Address 테이블을 만들고 유지하는 과정을 어드레스 러닝(Address Learning)이라고 한다.
• 패킷의 출발지 MAC Address 정보를 이용
• 패킷이 특정 포트에 들어오면 스위치에는 해당 패킷의 출발지 MAC Address와 포트번호를 MAC Address 테이블에 기록함
• Address Learning은 출발지 MAC Address 정보를 사용하므로 브로드캐스트나 멀티캐스트에 대한 MAC Address 주소를 학습 불가
• 두 가지 모두 목적지 MAC Address 필드에서만 사용하기 때문

Address Learning

포워딩/필터링

• 스위치의 동작은 매우 간단
• 패킷이 스위치에 들어온 경우 도착지 MAC Address를 확인, 자신이 가진 MAC 테이블과 비교해 맞는 정보가 있으면 매치되는 해당 포트로 패킷을 포워딩
• 이때 다른 포트로는 해당 패킷을 보내지 않음. 이 동작을 필터링이라함
• 스위치는 이런 포워딩과 필터링을 통해 목적지로만 패킷이 전달되도록 동작
• 포워딩과 필터링 작업이 여러 포트에서 동시 수행 가능
• 통신이 다른 포트에 영향을 미치지 않으므로 다른 포트에서 기존 통신작업으로부터 독립적으로 동작 가능

Forwording/ Filtering

에이징(Aging)

• 스위치 테이블은 일정시간(300초 이내) 동안 MAC Address를 저장함. 300초 동안 요청이 들어오지 않는 MAC Address는 스위치 테이블에서 지워지는데, 이를 에이징(Aging)이라고한다.

VLAN(Virtual Local Area Network)

 

VLAN 개요

• VLAN을 사용하면 물리적 구성과 상관없이 네트워크 분리 가능
• 물리적으로 다른 층에 있는 단말이 하나의 VLAN을 사용해 동일한 네트워크로 묶을 수 있음
• ex) 같은 층에서 부서별로 네트워크를 분리
• 일반 PC, IP 전화기, 무선 단말과 같이 서비스나 달말의 성격에 따라 네트워크를 분리할 수 있음
• 이렇게 분리된 단말 간에는 3계층 장비를 통해 통신함
• 기존 L2장비는 브로드캐스트 영역을 나눌 수 없지만, VLAN을 사용하면 브로드캐스트 영역을 나눌 수 있다. (네트워크를 한 대역안에서 다시 논리적 구분할 수 있다.)

VLAN

VLAN 특징

• 사용자들의 자리 이동이 많아지면서 MAC 기반 VLAN이 개발됨
• 스위치의 고정 포트에 VLAN을 할당하는 것이 아니라 스위치에 연결되는 단말의 MAC Address를 기반으로 VLAN을 할당하는 기술
• 단말이 연결되면 단말의 MAC Address를 인식한 스위치가 해당 포트를 지정된 VLAN으로 변경
• 단말에 따라 VLAN 정보가 바뀔 수 있어 Dynamic VLAN 이라고도 부름
• VLAN을 사용함으로써 불필요한 브로드캐스트 트래픽 차단 (가용성 확보, 서비스의 연속성 보장)
• 보안 강화 가능

VLAN 번호

• 번호(ID)로 구분함
• 사용가능한 VLAN 번호 : 1 ~ 4094 (2의 12제곱)
• 1 ~ 1005 : 일반(Nomal) VLAN
• 1002 ~ 1005 : 토큰링(802.5) 및 FDDI 용
• 1006 ~ 4094 : 확장(extended) VLAN

 

VLAN 역활

 

1. 브로드캐스트 도메인 분할

• PC, Server, Router 등 네트워크로 연결된 장비들은 브로드캐스트 프레임을 수신하면 일단 자신이 응답해야 하는지를 해독함
• 브로드캐스트 트래픽이 많아지면 장비성능이 저하됨 
• 기본적으로 스위치에서 MAC 테이블 정보를 채우기 위해서는 브로드캐스트를 전제로 함 (신규나 변경된 어떤 정보들이 발생되면 그것을 브로드캐스트를 통해 전체에 뿌려줌)
• VLAN을 사용하면 필요한 포트에만 브로드캐스트 프레임이 전송됨 (트래픽관리 목적)

2. 보안성 강화

• 서로 다른 VLAN에 접속된 장비들은 라우터 같은 L3 장비를 통해서만 통신 가능
• 라우터를 통과하는 트래픽에 대해 다양한 보안정책을 적용(ACL - MAC 주소 통제) 할 수 있으며, 이에 따라 VLAN 분리된 네트워크의 보안을 강화 가능

3. 부하분산

• VLAN을 사용하면 스위치 네트워크 트래픽을 분배하여 전달할 수 있음(Load Balancing)

 

VLAN 종류

• Port 기반 VLAN
• MAC Address 기반 VLAN

VLAN 모드(Trunk/Access) 동작 방식

• 포트 기반 VLAN에서는 스위치의 각 포트에 각각 사용할 VLAN을 설정, 한대의 스위치에 연결되더라도 서로 다른 VLAN이  설정된 포트 간에는 통신 불가
• VLAN이 다르면 별도의 분리된 스위치에 연결된 것과 같으므로 VLAN 간 통신이 불가능
• 서로 다른 VLAN간 통신을 위해서는 3계층 장비를 사용해야 함
• VLAN으로 구분된 네트워크에서는 브로드캐스트인 ARP 리퀘스트가 다른 VLAN으로 전달될 수 없으므로 3계층 장비를 이용해 통신해야 함

• 스위치 포트에 VLAN을 설정하여 네트워크를 분리하면 물리적으로 스위치를 분리할때보다 효율적으로 장비를 사용 가능

• 여러 개의 VLAN이 존재하는 상황에서 스위치를 서로 연결해야 하는 경우에는 각 VLAN끼리 통신하려면 VLAN의 개수만큼 포트를 연결해야 함
• VLAN으로 분할된 스위치는 물리적인 별도의 스위치처럼 취급

Trunk

NW 장비

 

L1 리피터(Repeater)

• 전기적인 신호를 증폭. 원래 신호의 세기로 다시 전송
• 디지털 신호를 받아 재생함으로써 신호의 왜곡이나 노이즈 제거. 원래 신호와 동일한 형태로 다시 전송하여 데이터의 정확성을 유지
• 네트워크 케이블의 최대 길이를 초과 가능

허브(Hub)

• LAN 전송거리 연장
• 여러 대의 장비를 LAN에 접속할 수 있도록 함
• 플로딩(Flooding): 한 장비에서 전송된 데이터 프레임을 허브로 연결된 모든 장비에 다 전송

L2 스위치(Switch)

• 프레임 충돌 감소
• 네트워크 성능 향상이 목적
• 장비(Node)가 많아지면 브로드캐스트 트래픽도 높아진다.
• 수신한 프레임을 목적지와 연결할 포트로만 전송
• MAC 주소를 학습하여 MAC 주소 테이블을 생성 (arp 로 확인 가능)
• 이러한 문제점 때문에 VLAN이 등장

L3 스위치(Switch)

• 라우터처럼 IP 주소를 기반으로 패킷 전달
• VLAN 간의 트래픽을 라우팅 가능
• 하드웨어 기반의 패킷 포워딩을 통해 고속으로 데이터 패킷 처리 가능
• 다양한 Routing Protocol 지원
• ACL을 사용하여 특정 트래픽을 필터링, 보안 정책 구현 가능
• 3계층 기능을 제공하는 네트워크 장치

* VLAN간의 라우팅을 위해서 일반적인 라우터를 사용하면, 병목현상이 발생, 전체 네트워크의 성능이 저하된다.

 

라우터(Router)

• 네트워크 주소가 서로 다른 장비들을 연결할 때 사용
• 사설 IP 주소를 공인 IP 주소로 변환하여 인터넷에 연결
• ACL을 사용하여 트래픽을 필터링, 보안 정책 구현 가능
• 다양한 Routing Protocol 지원

L2 Switch VS L3 Switch 차이점

• L2는 MAC 주소를 기반으로 프레임 전달 VLAN 간 라우팅 불가능 L3는 IP 주소를 기반으로 라우팅. VLAN 간 라우팅 가능 및 L2 스위치의 기능도 포함
• L2는 데이터링크 계층(2계층)에서 작동 L3는 네트워크 계층(3계층)에서 작동. 2계층의 기능도 포함

이더넷(Ethernet)

• LAN에서 사용하는 프로토콜
• 802.3: 연결된 이더넷에서, 물리계층 - 데이터 링크 계층의 매체 접근제어를 정의하는 * IEEE 표준집합
• CSMA/CD (Carrier Sense Multiple Access with Collision Detection) : 이더넷에서 사용하는 통신방식
• 버스에 연결된 여러 통신 주제들이 동시에 통신을 하게되었을 때 발생되는 충돌을 막기위해 사용되는 프로토콜

* IEEE(Institute of Electrical and Electronics Engineers): 국제 전기 및 전자 공학 분야에서 활동하는 학회

 

이더넷 프레임 포맷 

IEEE 802.3 이더넷 프레임

 

• Preamble: 수신측에 이더넷 프레임이 전송되었다는 것을 알림 (도착할 이더넷 프레임에서 0과 1을 구분할 수 있도록 동기신호 제공 역활 수행)
• SFD: 10101011값을 가지며 프레임의 시작을 알린다.
• 목적지 MAC: 이더넷 장비에 layer 2 주소를 나타낸다. 48 bit로 구성
• 출발지 MAC: 이더넷 프레임 전송되는 출발지 이더넷 포트 MAC주소가 표시 (고유주소로 식별된 하나의 네트워크 목적지에 1:1로 트래픽 또는 항상 유니캐스트)
• 길이/타입: 이더넷 프레임 데이터 길이 + MAC - Client 프로토콜 표시 
• 데이터: 46~ 1500 byte로 구성 
• FCS: 끝을 알린다. 오류 검출 필드임