VLAN과 802.1Q Trunk, 제대로 이해하기

🤖 AI Assisted Content
이 글은 AI(Claude, Anthropic)의 도움을 받아 작성되었습니다.
작성자가 내용을 검토하고 편집했으나, AI가 초안 작성 및 구성에 참여했음을 밝힙니다.

들어가며

네트워크를 공부하다 보면 VLAN이라는 개념이 나온다. 그런데 막상 찾아보면 "Access 포트", "Trunk 포트", "802.1Q 태깅" 같은 용어들이 한꺼번에 쏟아져서 뭐가 뭔지 헷갈리기 쉽다. 이 글에서는 VLAN이 왜 필요한지부터 시작해서, 스위치 포트 모드와 태깅 동작 원리, 그리고 여러 스위치를 연결하는 방법까지 순서대로 정리해보려고 한다.

---

브로드캐스트 도메인 문제부터 시작

스위치는 연결된 모든 장비가 서로 통신할 수 있는 하나의 네트워크 세그먼트를 만든다.

[PC1] ─┐
[PC2] ─┤
[PC3] ─┼─── Switch ─── 모두 같은 네트워크
[PC4] ─┤
[PC5] ─┘

PC1이 "누가 192.168.1.2야?"라고 ARP 브로드캐스트를 보내면, 스위치에 연결된 모든 포트로 해당 메시지가 전달된다. 이 범위를 브로드캐스트 도메인이라고 한다.

장비가 많아질수록 두 가지 문제가 생긴다.

• 성능 저하: 브로드캐스트 트래픽이 늘어나 모든 장비가 불필요한 패킷을 처리해야 한다.
• 보안 문제: 같은 스위치에 연결된 장비끼리는 모두 같은 네트워크에 있으므로, 개발팀 PC와 회계팀 PC가 트래픽 수준에서 분리되지 않는다.

물리적으로 스위치를 여러 대 사서 분리하면 해결되지만, 비용과 관리 부담이 늘어난다.

---

VLAN: 하나의 스위치를 논리적으로 분리

VLAN(Virtual LAN)은 하나의 물리 스위치를 여러 개의 독립된 논리 네트워크로 분리하는 기술이다.

        ┌────────────────────────┐
        │        Switch          │
        │  ┌──────┐  ┌──────┐   │
        │  │VLAN10│  │VLAN20│   │
        │  └──────┘  └──────┘   │
        └────────────────────────┘
           │  │       │   │
          PC1 PC2    PC3 PC4

여기서 중요한 점이 있다.

VLAN은 "같은 네트워크 대역 안에서 부분적으로 나누는 것"이 아니다. VLAN = 브로드캐스트 도메인 분리 = 완전히 다른 별개의 네트워크다.

VLAN 10 → 192.168.10.0/24
VLAN 20 → 192.168.20.0/24

PC1(VLAN 10)과 PC3(VLAN 20)은 같은 스위치에 꽂혀 있어도, 라우터 없이는 통신이 불가능하다. 물리적으로 스위치가 2대인 것과 동일한 효과다.

💡 포인트: 스위치를 2대 살 필요 없이, 1대로 완전히 분리된 2개의 네트워크를 구성할 수 있다.

---

스위치 포트의 두 가지 모드

Access 포트

PC ──── [Access 포트: VLAN 10] ──── Switch

• PC, 프린터 등 일반 단말이 연결되는 포트
• 하나의 VLAN만 처리
• 단말은 VLAN이 뭔지 모른다. 그냥 평범한 이더넷 프레임을 주고받을 뿐이다.
• VLAN 소속은 스위치 포트 설정으로 결정한다.

실제 활용 예시:

포트 1번 → VLAN 10 (개발팀 PC)
포트 2번 → VLAN 10 (개발팀 PC)
포트 3번 → VLAN 20 (회계팀 PC)
포트 4번 → VLAN 20 (회계팀 PC)

개발팀 PC를 회계팀 자리로 옮겨 포트 3번에 꽂으면, PC 설정을 건드리지 않아도 자동으로 VLAN 20 소속이 된다.

⚠️ 주의: Access 포트는 "PC 한 대만을 위한 것"이 아니다. VLAN을 모르는 일반 단말을 특정 VLAN에 배정하기 위한 스위치 측의 분류 장치다.

Trunk 포트 (Tagged 포트)

Switch A ──── [Trunk 포트] ──── Switch B
              VLAN 10, 20, 30
              모두 통과 가능

• 스위치 간 연결, 또는 VLAN을 직접 처리하는 서버와의 연결에 사용
• 여러 VLAN의 트래픽을 하나의 케이블로 동시에 전달
• 여기서 문제가 생긴다. 여러 VLAN 트래픽이 섞여 있을 때, 수신 측은 어느 프레임이 어느 VLAN 것인지 어떻게 구별할까?

---

핵심: 802.1Q 태깅

일반 이더넷 프레임에는 VLAN 정보가 없다.

일반 이더넷 프레임:
[ Dst MAC | Src MAC | EtherType | Payload | FCS ]
                         ↑
                  VLAN 정보 없음

이 문제를 해결하기 위해 IEEE 802.1Q 표준이 등장했다. Trunk 포트를 통과하는 프레임에 VLAN ID 정보를 담은 4바이트 태그를 삽입한다.

802.1Q 태그가 붙은 프레임:

[ Dst MAC | Src MAC | 0x8100 | PCP(3) | DEI(1) | VLAN ID(12) | EtherType | Payload | FCS ]
                     ←────────────── 4바이트 추가 ──────────────→

필드 크기 설명

0x8100	2바이트	802.1Q 태그임을 알리는 식별자
PCP	3비트	우선순위 (QoS)
DEI	1비트	폐기 우선순위
VLAN ID	12비트	04095, 실제 사용 14094

태그가 붙었다 떼졌다 하는 과정

중요한 점은 태그를 PC가 처리하지 않는다는 것이다. 스위치가 알아서 붙이고 떼낸다.

PC1(VLAN10)    Switch A                Switch B    PC3(VLAN10)
    │               │                      │             │
    │  일반 프레임   │                      │             │
    │──────────────▶│                      │             │
    │               │  Tag 삽입 [VLAN 10]  │             │
    │               │─────────────────────▶│             │
    │               │   Trunk 포트 통과     │  Tag 제거   │
    │               │   (Tagged 프레임)     │────────────▶│
    │               │                      │  일반 프레임  │

1. PC1이 일반 이더넷 프레임 전송
2. Switch A의 Access 포트 수신 → 해당 포트가 VLAN 10임을 알고 태그 삽입
3. Trunk 포트(Tagged)를 통해 Switch B로 전달
4. Switch B가 VLAN 10 태그 확인 후 태그 제거
5. VLAN 10에 속한 Access 포트(PC3)로만 전달
6. PC3는 일반 프레임으로 수신 (VLAN 모름)

---

하나의 포트로 여러 VLAN을 처리하는 법

서버가 802.1Q를 직접 처리하는 경우

단말이 802.1Q를 직접 이해할 수 있다면, Trunk 포트에 연결해 여러 VLAN을 하나의 물리 NIC으로 처리할 수 있다.

스위치 Trunk 포트 ──── 서버 NIC (802.1Q 지원)
                         │
                   OS에서 가상 인터페이스 생성
                   eth0.10 → VLAN 10 (192.168.10.x)
                   eth0.20 → VLAN 20 (192.168.20.x)

Linux에서는 이를 VLAN 서브인터페이스라고 한다.

# VLAN 서브인터페이스 생성
ip link add link eth0 name eth0.10 type vlan id 10
ip link add link eth0 name eth0.20 type vlan id 20

ip addr add 192.168.10.1/24 dev eth0.10
ip addr add 192.168.20.1/24 dev eth0.20

물리 NIC은 1개지만, OS 입장에서는 VLAN별로 분리된 네트워크 인터페이스가 2개 존재하는 것처럼 동작한다.

💡 포인트: VMware ESXI가 바로 이 방식이다. pNIC이 Trunk 포트에 연결되어 태그된 프레임을 수신하고, 내부 vSwitch가 VLAN별로 분류해서 각 VM에 전달한다.

---

여러 스위치를 연결하는 이유와 방법

왜 스위치를 여러 대 연결하나?

스위치 한 대로는 한계가 있다.

• 포트 수 부족: 스위치 1대 = 24포트라면, PC 100대는 스위치 5대가 필요하다.
• 물리적 거리: 건물 1층과 3층에 각각 스위치를 두고 층간 케이블로 연결해야 한다.
• 계층 구조 설계: 성능과 관리 효율을 위해 Access → Distribution → Core 계층으로 구성한다.

어떻게 연결하나?

스위치 간 연결은 Trunk 포트를 사용한다. 이유는 단순하다.

두 스위치에 걸쳐 있는 같은 VLAN끼리 통신하려면, 스위치 간 케이블이 여러 VLAN 트래픽을 동시에 전달해야 하기 때문이다.

        스위치 A                    스위치 B
┌────────────────────┐      ┌────────────────────┐
│  PC1      PC3      │      │  PC2       PC4      │
│ VLAN10   VLAN20    │      │ VLAN10    VLAN20    │
│                    │      │                     │
│   [Trunk 포트] ────┼──────┼─── [Trunk 포트]    │
└────────────────────┘      └─────────────────────┘

Trunk 없이 연결하면 VLAN 개수만큼 케이블이 필요하다. Trunk는 이를 케이블 1개로 해결한다.

Trunk 없이:
스위치 A ──── VLAN10 전용 케이블 ──── 스위치 B
스위치 A ──── VLAN20 전용 케이블 ──── 스위치 B
스위치 A ──── VLAN30 전용 케이블 ──── 스위치 B

Trunk 사용:
스위치 A ──── 케이블 1개 (VLAN 10, 20, 30 Tagged) ──── 스위치 B

실제 사무실 환경 구조

                     Core 스위치
                   (Trunk 포트 연결)
                   ┌──────────┐
                   │          │
              Trunk│          │Trunk
                   │          │
          Distribution A    Distribution B
               │                  │
           Trunk│              Trunk│
               │                  │
        Access 스위치 1      Access 스위치 2
        │    │    │           │    │    │
      PC1  PC2  PC3         PC4  PC5  PC6
     V10  V10  V20          V10  V20  V20

• Access 스위치: 단말(PC)이 꽂히는 곳. Access 포트로 VLAN 배정.
• 스위치 간 연결: 모두 Trunk 포트. 여러 VLAN 트래픽이 하나의 케이블로 전달.
• 어느 스위치에 꽂혀 있든 같은 VLAN이면 통신 가능.

---

정리

개념 핵심 한 줄

VLAN	하나의 물리 스위치를 논리적으로 완전히 분리된 여러 네트워크로 나눔
Access 포트	단말 연결. 하나의 VLAN 배정. 단말은 VLAN 모름
Trunk 포트	스위치 간 연결. 여러 VLAN을 케이블 1개로 전달
802.1Q Tag	프레임에 VLAN ID를 표시하는 4바이트 헤더. 스위치가 자동으로 붙이고 뗌
VLAN 서브인터페이스	서버/하이퍼바이저처럼 OS가 직접 802.1Q를 처리할 때 사용

VLAN의 핵심은 결국 하나다. 물리 장비를 늘리지 않고, 소프트웨어 설정만으로 완전히 독립된 네트워크를 만드는 것. Access 포트는 단말을 특정 VLAN에 배정하는 경계선이고, Trunk 포트는 여러 VLAN 트래픽을 하나의 케이블로 묶어 전달하는 통로다. 이 두 가지 역할을 구분하면 VLAN의 전체 그림이 보인다.

다음 글에서는 이 개념이 VMware vSphere의 가상 스위치(vSwitch)에서 어떻게 동작하는지 이어서 정리한다.

---

참고 문서

• IEEE 802.1Q 표준
• Cisco - VLAN Configuration Guide
• Linux ip-link man page - VLAN