"부서마다 스위치를 따로 사야 하나요?"
"인사팀이랑 개발팀이랑 서로 통신 안 되게 막아야 하는데, 스위치 허브 하나 더 사올까요?"
팀장님은 한숨을 쉬며 말씀하셨죠. "VLAN 나누면 되잖아."
물리적으로 스위치 장비를 여러 개 사지 않고도, 논리적으로 네트워크를 쪼개서 마치 별개의 장비처럼 쓰게 해주는 기술.
바로 VLAN(Virtual Local Area Network)입니다.
이 기술을 모르면 부서가 늘어날 때마다 장비 예산을 태워야 하고, 바이러스가 퍼지면 전 사내망이 동시에 마비되는 대참사를 겪게 됩니다.
오늘은 현업에서 가장 기본으로 세팅하는 VLAN의 정체와, 왜 우리가 이걸 꼭 써야 하는지 아주 쉽게 풀어드리겠습니다.
"사무실 유리 칸막이"
VLAN은 "거대한 오픈형 사무실에 방음 유리 칸막이를 치는 것"과 완벽하게 똑같습니다.
- 물리적 LAN (오픈형 사무실):
- 칸막이가 없습니다. 김 대리가 "아악!" 하고 소리치면(브로드캐스트 패킷), 사장님부터 말단 사원까지 사무실에 있는 모든 사람이 그 소리를 듣습니다. 시끄럽고 보안도 없죠.
- VLAN (유리 칸막이):
- 같은 건물(스위치) 안에 있지만, 투명한 방음벽을 세워 공간을 나눕니다.
- VLAN 10 (인사팀): 자기들끼리 떠드는 소리는 자기들 구역에서만 들립니다.
- VLAN 20 (개발팀): 바로 옆자리에 앉아 있어도, 인사팀이 무슨 이야기를 하는지 전혀 들리지 않습니다.
즉, VLAN은 "물리적으로는 한 대의 스위치에 연결되어 있지만, 논리적으로는 그룹을 나누어 서로 간섭하지 못하게 만드는 가상 네트워크 기술"입니다.
작동 원리 및 구조: 꼬리표(Tag) 붙이기
그럼 스위치는 들어온 데이터가 인사팀 건지 개발팀 건지 어떻게 알까요?
바로 데이터에 "색깔 스티커(Tag)"를 붙여서 구분합니다. 이를 기술 용어로 802.1Q 태깅(Tagging)이라고 합니다.
Step 1: 액세스 포트 (Access Port) - "스티커 붙이는 입구"
PC나 서버가 연결되는 일반 포트입니다.
- PC가 데이터를 보내면, 스위치는 "어? 1번 포트로 들어왔네? 넌 인사팀(VLAN 10)이구나"라고 인식하고, 데이터에 "VLAN 10"이라는 꼬리표를 붙입니다.
Step 2: 스위칭 (Switching) - "같은 색깔끼리 배달"
스위치 내부에서는 이 꼬리표를 확인합니다.
"VLAN 10" 꼬리표가 붙은 데이터는 똑같이 "VLAN 10"으로 설정된 포트로만 나갈 수 있습니다.
"VLAN 20" 포트로는 절대 보내주지 않습니다. (여기서 보안이 생깁니다.)
Step 3: 트렁크 포트 (Trunk Port) - "모든 색깔이 지나가는 고속도로"
스위치와 스위치 사이를 연결할 때는 어떻게 할까요?
이때는 꼬리표를 떼지 않고 그대로 보냅니다. 그래야 건너편 스위치도 "아, 이건 10번에서 왔구나"라고 알 수 있으니까요.
이렇게 여러 개의 VLAN 데이터가 한꺼번에 지나다니는 통로를 "트렁크(Trunk)"라고 부릅니다.
물리적 분리 vs 논리적 분리(VLAN)
"그냥 스위치 여러 개 사서 물리적으로 나누면 더 안전한 거 아니에요?"라고 묻는다면, 비용과 효율성 면에서 VLAN이 압승입니다.
| 비교 항목 | 물리적 LAN 분리 (Physical) | 가상 LAN 분리 (VLAN) |
| 장비 비용 | 매우 비쌈 (부서마다 스위치 구매) | 저렴함 (스위치 1대로 해결) |
| 공간 효율 | 스위치 랙 공간 부족, 전력 낭비 | 랙 공간 절약, 전력 효율 좋음 |
| 유연성 | 팀원이 자리 옮기면 선 공사 다시 해야 함 | 관리자 화면에서 설정만 바꾸면 끝 |
| 보안성 | 물리적 망분리라 가장 강력함 | 논리적 분리지만 충분히 강력함 |
| 브로드캐스트 | 장비 단위로 차단 | 포트/그룹 단위로 세밀하게 차단 |
"VLAN, 이래서 안 쓰면 안 됩니다"
실무에서 VLAN을 안 나누고 "Default VLAN 1" 하나로만 네트워크를 구성하는 건 시한폭탄을 안고 사는 것과 같습니다.
Tip 1. "브로드캐스트 스톰(Broadcast Storm)"을 막아야 합니다.
네트워크에는 수시로 "너 누구니?"라고 묻는 방송(Broadcast) 패킷이 돌아다닙니다.
PC가 100대, 200대 늘어나면 이 방송 소음 때문에 네트워크 전체가 느려지다가 멈춰버립니다.
VLAN을 나누면 이 소음이 "각자의 방(Broadcast Domain)" 안에서만 울리게 됩니다.
옆부서 PC가 바이러스에 걸려 트래픽 폭탄을 던져도, 우리 부서는 안전하게 인터넷을 쓸 수 있는 비결입니다.
Tip 2. 보안의 시작은 "망 분리"입니다.
요즘 랜섬웨어가 무섭죠? 회사에 외부 손님이 와서 와이파이 비번을 물어봅니다.
이때 사내망과 똑같은 네트워크를 내주면, 손님 노트북에 있던 바이러스가 우리 회사 서버로 침투할 수 있습니다.
- VLAN 10: 임직원 업무용 (보안 철저)
- VLAN 99: 외부 손님용 Guest Wi-Fi (인터넷만 가능)
이렇게 나눠두면 손님이 무슨 짓을 해도 우리 내부 서버에는 접근조차 못 합니다.
Tip 3. "IP 대역"과 짝을 맞추세요.
관리 편의를 위해 VLAN ID와 IP 서브넷을 직관적으로 맞추는 것이 국룰입니다.
- VLAN 10: 192.168.10.0/24
- VLAN 20: 192.168.20.0/24
이렇게 설정해두면 IP만 봐도 "아, 저 PC는 20번 대역이니까 개발팀 장비구나"라고 1초 만에 파악할 수 있습니다.
요약
- VLAN은 물리적인 스위치 한 대를 논리적으로 쪼개서, 마치 여러 대의 스위치를 쓰는 것처럼 네트워크를 격리하는 기술이다.
- 불필요한 브로드캐스트 트래픽을 차단하여 네트워크 성능을 최적화하고, 부서 간 보안을 강화하는 데 필수적이다.
- 스위치 간 연결은 "트렁크(Trunk)", 단말기 연결은 "액세스(Access)" 모드를 사용하며, 관리 효율을 위해 VLAN ID와 IP 대역을 일치시키는 것이 좋다.
'IT > 네트워크' 카테고리의 다른 글
| 네트워크 장애가 났을 때 어디부터 봐야 할까? OSI 7 계층 완벽 정리 (0) | 2026.03.26 |
|---|---|
| 랜선만 꽂으면 인터넷이 되나? NIC(랜카드)의 진짜 역할 (0) | 2026.02.15 |
| 네트워크 장애 해결사 Wireshark(와이어샤크), 패킷 뜯어보는 법 (0) | 2026.01.15 |
| 네트워크/인프라 L2, L3, L4 스위치 정리: 차이점부터 실제 구성 방식까지 (0) | 2026.01.08 |
| 로드 밸런싱(L4 vs L7): 서버가 죽어도 서비스는 계속된다. 트래픽 분산의 핵심, L4와 L7 스위치의 결정적 차이 (0) | 2026.01.03 |
