🔀 네트워크의 기초 공사: VLAN 분리와 루프 없는 스위치 설계 (Part 1-2)

네트워크를 구축할 때 가장 먼저 해야 할 일은 **”누구와 누구를 같은 구역에 묶을 것인가”**를 정하는 것입니다. 개발팀과 인사팀의 트래픽이 같은 선을 무분별하게 공유한다면, 보안도 성능도 보장할 수 없습니다.

Part 1-2에서는 이 물리적 네트워크를 논리적으로 분리하는 VLAN과, 분리된 네트워크에서 루프가 생기지 않도록 제어하는 STP, 그리고 대역폭과 이중화를 동시에 잡는 EtherChannel을 구성합니다.

---

Part 1: VLAN — 하나의 스위치를 여러 개로 나누기

VLAN이 필요한 이유

물리적으로는 같은 스위치에 연결되어 있어도, VLAN을 쓰면 마치 별개의 스위치처럼 완전히 격리된 네트워크를 만들 수 있습니다.

VLAN ID	이름	소속	용도
10	DEV_Development	개발팀	PC1, PC4
20	HR_HumanResource	인사팀	PC2, PC5
30	FIN_Finance	재무팀	PC3, Server1
99	MGMT_Management	관리용	스위치 관리

포트는 두 가지 모드로 동작합니다. Access Port는 PC처럼 단일 VLAN에만 속하는 장치를 연결할 때 쓰고, Trunk Port는 여러 VLAN의 트래픽을 하나의 링크로 함께 전달할 때(라우터·스위치 간 연결) 씁니다.

DIST-SW1 설정 (PC1, PC2, PC3 연결)

! VLAN 생성
vlan 10
 name DEV_Development
vlan 20
 name HR_HumanResource
vlan 30
 name FIN_Finance
vlan 99
 name MGMT_Management

! Access Port — PC 연결용
interface FastEthernet0/1
 description >> PC1_VLAN10_DEV <<
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast    ! 엔드 포인트이므로 STP 대기 없이 바로 연결
 no shutdown

! Trunk Port — 코어 라우터 연결용 (모든 VLAN 통과)
interface GigabitEthernet0/1
 description >> TRUNK_to_CORE-RTR1 <<
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99
 no shutdown

DIST-SW2(PC4, PC5, Server1 연결)도 동일한 구조로 설정하며, Trunk는 CORE-RTR2 방향으로 연결됩니다.

VLAN 분리 검증

• 같은 VLAN (PC1 → PC4): ping 성공 ✅ — 같은 브로드캐스트 도메인
• 다른 VLAN (PC1 → PC2): ping 실패 ✅ — 라우터 없이는 다른 VLAN 간 통신 불가

다른 VLAN 간 ping이 실패하는 것은 정상 동작입니다. 이게 VLAN 보안의 핵심입니다. 인사팀 연봉 파일에 개발팀이 접근할 수 없는 이유가 바로 여기에 있습니다.

---

Part 2: STP — 루프를 잡아라

왜 루프가 위험한가?

스위치 간에 경로가 두 개 이상 존재하면 브로드캐스트 스톰이 발생합니다. 패킷이 루프를 돌며 무한 복제되어 네트워크 전체가 마비됩니다. STP는 논리적으로 하나의 경로만 활성화하고 나머지를 차단해 루프를 방지합니다.

Rapid-PVST+ 모드를 사용합니다 — VLAN마다 별도의 STP 인스턴스를 운영하고, 포트 전환 속도가 빠릅니다.

Root Bridge 선출

STP는 네트워크에서 기준점인 Root Bridge를 선출합니다. Priority 값이 낮을수록 우선순위가 높습니다.

! DIST-SW1: Primary Root Bridge (낮은 Priority로 우선 선출)
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,30,99 root primary

! DIST-SW2: Secondary Root Bridge (Primary 장애 시 백업)
spanning-tree mode rapid-pvst
spanning-tree vlan 10,20,30,99 root secondary

---

Part 2: EtherChannel — 두 선을 하나로 묶어 속도와 안정성 동시에

EtherChannel의 두 가지 가치

1. 대역폭 확장: Fa0/23 + Fa0/24를 묶으면 100Mbps × 2 = 200Mbps
2. 이중화: 링크 하나가 끊겨도 나머지 링크로 서비스 유지

⚠️ PT 제한사항: Packet Tracer에서 LACP는 지원되지 않습니다. PAgP(desirable) 모드 또는 Static(on) 모드를 사용합니다.

DIST-SW1 EtherChannel 설정

! 중요: channel-group을 먼저 설정한 후 나머지 설정을 추가합니다
interface range FastEthernet0/23-24
 description >> EtherChannel_to_DIST-SW2 <<
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99
 channel-group 1 mode desirable    ! PAgP 협상 모드
 no shutdown

interface Port-channel1
 description >> Po1_to_DIST-SW2 <<
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99

DIST-SW2도 동일하게 설정합니다.

⚠️ 트러블슈팅: STP와 EtherChannel 충돌 경험

이 과제에서 가장 힘들었던 부분이 바로 여기였습니다. ping 성공률이 50% 미만으로 떨어지는 현상이 발생했습니다.

원인: Trunk Port 설정을 먼저 한 뒤 나중에 channel-group을 추가했더니, STP가 Po1과 물리 포트 Fa0/23-24를 별개의 중복 경로로 인식해서 물리 포트를 차단해버린 것이었습니다.

해결: 물리 인터페이스를 초기화(default)한 뒤, channel-group 설정을 가장 먼저 추가하는 순서로 재구성했습니다. 이렇게 하면 STP가 Po1 포트만 인식하여 물리 포트 중복 차단 문제가 사라졌습니다.

💡 핵심 교훈: L2 설정에서는 순서가 안정성을 결정합니다. EtherChannel을 구성할 때는 항상 channel-group을 먼저 만들고 그 위에 설정을 얹어야 합니다.

EtherChannel 검증

DIST-SW1# show etherchannel summary

결과:
Group  Port-channel  Protocol    Ports
1      Po1(SU)       PAgP        Fa0/23(P)    Fa0/24(P)

SU는 “In Use(S) + Layer 2(U)”, P는 “bundled in Port-channel”을 의미합니다.

링크 장애 테스트: Fa0/23 케이블을 제거해도 Po1이 Fa0/24로 유지되어 ping이 끊기지 않습니다. EtherChannel 이중화 성공 ✅