안녕하세요.
L3스위치한개로 사내망을 구성하려고 합니다.
내부사용자대역 3개(192.168.10.0/24,192.168.20.0/24,192.168.30.0/24)와 서버대역 1개(192.168.100.0/24)이 있고 사용자대역사이에는 통신이 불가하고 사용자대역에서 서버대역으로는 통신이 가능해야 합니다.
물론 인터넷은 나갈수 있게 하여야 합니다.
L3스위치한개로 구성할수 있다고 하던데 잘 안되네요.VLAN을 3개로 만들고 내부사용자대역사이 통신은 안되게 하였는데 서버대역으로는 핑이 안갑니다.
도와주실분 부탁 드립니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
4개의 답변이 있습니다.
보통 이런경우 대역별로 물리 스위치를 설치한 후 방화벽 및 NAC로 접근관리를 하는데 하나로 대역을 나누고 대역간 접근을 차단해야 한다면 일일이 정책적용하고 확인하고 새로운 정책 적용하는데 너무 효율이 떨어진다 사료되니, 경험많은 전문엔지니어의 도움이 필요할 듯 합니다. 물론 스위치가 vlan 구성 등 가능하다는 전제하에 그렇습니다. 그리고 나중에 유지관리하기도 쉽지 않아보입니다. 지금의 작업에 대한 이력관리도 철저하게 기록되어야 할것입니다. 만약 남지 않는다면 글쓴이가 퇴사했을때 후임자는 멘붕이오고 또 같은 질문을 남기지도 모르니까요.
VLAN은 잘 구성하신 듯 하구요,
다른분이 설명 하셨듯이 VLAN 간의 통신 문제는 Gateway 설정가지고 제어를
하시면 될 듯 하네요.
VLAN 을 3개 만들었으면 VLAN 3개는 서로 통신이 안되는 것이 맞습니다.
VLAN 간 라우팅 inter Vlan Routing 을 해주면 VLAN 간 통신이 되지요
이를 제어하기 위해 ACL (Access List ) 로 Permit , 과 deny 설정을 해주면 되는데 L3 스위치 모델 마다
약간씩 상이할 수 있습니다.
또한 질문은 간단하나 또 다른 방식으로의 해결도 있습니다.
아울러 L3 상단의 장비(상단장비가 게이트웨이라면) 와 어우러진 구성도 할 수 있습니다.
데이터를 어느선에서 처리해주는지... 같은 것 같지만 약간 다른 구성입니다.
글의 한계가 있음을 양해바랍니다.
인터넷 게이트웨이도 서버 대역에 있는 건가요?
VLAN 간에 라우팅 설정을 해 주면 될 것 같네요.
192.168.40.x 가 서버 대역이기 때문에...
각각의 대역에서 192.168.40.X 대역으로만 라우팅되게 해 주면 각각의 클라이언트 대역들 간에는 라우팅이 되지 않게해서 서로 차단되게 해 주고, 서버 대역으로는 라우팅되게 해서 통신이 되게 해 주면 될 것 같네요.
각 클라이언트 컴퓨터의 게이트웨이를 인터넷이 연결되어 있는 게이트웨이( 인터넷 공유기, 방화벽 등 ) IP 주소를 넣어 주면 되지 않을까 싶고...
VLAN 간의 라우팅은 SVI ( Switched Virtual Interface ) 설정으로 해 주면 될 것 같고요.
SVI 설정은 아래 링크 자료를 참조하면 도움이 될것 같네요.
https://www.ciscopress.com/articles/article.asp?p=3089357&seqNum=6
bloggskhoi85 | 9달 전
제가 초보라 답변이 이해가 안돼는 부분이 있네요.
각각의 대역에서 192.168.40.X 대역으로만 라우팅되게 해 주면 각각의 클라이언트 대역들 간에는 라우팅이 되지 않게해서 서로 차단되게 해 주고, 서버 대역으로는 라우팅되게 해서 통신이 되게 해 주면 될 것 같네요.
라우팅이 되지 않게 해서 서로 차단해준다고 했는데 이는 L3에서 어떻게 설정하는지 알고싶네요. 디폴트로 스위치의 포트들간 통신이 가능한것같은데.
VLAN 간의 라우팅은 SVI ( Switched Virtual Interface ) 설정으로 해 주면 될 것 같고요.
SVI설정을 이용하면 VLAN간에 디폴트로 통신이 가능한것 같은데... 내부망대역사이 통신을 막을려고 하려고 합니다.
wansoo | 9달 전
라우팅 되게 하려면 라우팅 테이블을 등록해 주면 되는 것이고...
라우팅 안되게 하려면 라우팅 테이블을 등록해 주지 않으면 되는 것이고...
show ip route 명령으로 routing table 확인해 보고
원하는 목적지로 가는 라우팅이 등록되어 있지 않다면
ip route 목적지 서브넷 게이트웨이
명령 형식으로 라우팅 테이블을 등록해 주면 되겠고요.
만약에 불필요하게 라우팅이 안되어야할 목적지로 라우팅이 될 수 있게 라우팅 테이블이 등록되어 있을 경우라면
no ip route 목적지 서브넷 게이트웨이
명령 형식으로 등록되어 있는 라우팅 테이블을 제거해 주면 되겠고요.
예를 들어...
192.168.10.x에서 192.168.40.x로 라우팅이 가능하게 라우팅 테이블을 등록해 줄 경우라면,
ip route 192.168.40.0 255.255.255.0 192.168.10.1
와 같이 routing table을 등록해 주면 되겠고요.
(192.168.10.x 네트워크의 게이트웨이 주소가 192.168.10.1일 경우)