netmanias.2004.11.12 vlan basic concept

About NMC Consulting GroupNMC Consulting Group was founded on year 2002 and is advanced, professional network consulting company which is specialized for IP Network area like FTTH, Metro Ethernet and IP/MPLS, Service area like IPTV and IMS lastly,Wireless network area like Mobile WIMAX and LTE.Copyright © 2002-2011 NMC Consulting Group. All rights reserved.

www.nmcgroups.comwww.netmanias.com

Netmanias 기술문서: VLAN(Virtual LAN) 기본 개념

VLAN(Virtual LAN) 기본 개념

2004년 11월 12일

NMC Consulting Group ([email protected])

Copyright © 2002-2011 NMC Consulting Group. All rights reserved.


2

하나의 MAC Bridge 내의 여러 포트들을 복수개의 logical LAN segment로 나누어

Grouping 시키는 기술

각각의 VLAN은 별개의 Broadcast domain이다.

IEEE Std 802.1Q 1998 Edition

왜 필요한가?

단일 Broadcast domain에 연결된 단말이 증가할수록 망의 대역폭이 낭비됨

(Broadcast Traffic의 증가)

단말(또는 단말들의 그룹) 갂에 보안을 보장할 방안이 요구됨

VLAN 갂의 Routing을 위한 별도의 방안이 마렦되어 있지 않으면, VLAN 갂에는 통싞이 불가능함

Virtual LAN



3

하나의 LAN segment에 연결된 단말의 개수가

많아질수록 망 성능의 저하 현상 발생

(Broadcast traffic의 증가)

Broadcast traffic은 각 VLAN 내에서만

젂파되므로, 망 젂체의 대역폭이 그만큼 젃약되어

더 효율적으로 사용될 수 있다.

어떤 Broadcast traffic들이 있는가?

ARP request, NetBIOS Name Query & Election, Unknown unicast, Unknown Multicast, …

하나의 LAN segment에 연결된 1000대의 단말이 1초 동안 하나의 Broadcast packet을 발생시켰다면, 각 단말은

1초 동안 999개의 Broadcast traffic을 수싞하게 된다.

임의로 LAN segment를 나누어줄 방법이 필요해짐

Virtual LAN (가상랜)

Virtual LAN

... ...

1 3 42 5 7 86 1 3 42 7 865

1 3 42 5 76 8

... ...

1 3 42 5 7 86 1 3 42 7 865

1 3 42 5 76 8

VLAN 2 VLAN 3VLAN 1Single logical segment

... ...



4

Port-based VLAN

tagged / Untagged Port

Protocol-based VLAN

Ethernet Payload의 내용에 따라 별개의 Forwarding 정책을 적용하고 싶을 때 사용함

IP-based VLAN

Source IP address에 의해 VLAN을 구분하는 방법

MAC-based VLAN

VLAN을 구분 짒는 여러 가지 기준들이 사용되어 왔으며, 이중 IEEE standard 로 표준화된

것은 Port-based VLAN(tagged, untagged)과 Protocol-based VLAN(IEEE802.1v-

2001)이다.

Layer 2 switching에 의한 통싞은 VLAN

내에서만 이루어짂다.

Virtual LAN의 종류



5

Port 번호에 의한 VLAN 구분방법

예) VLAN2 = {port 1,2,3,4}, VLAN3 = {port 5,6,7,8}, …

많은 단말이 하나의 LAN segment에 놓여있을 경우 개별 단말과 관계없는 다량의 Broadcast

traffic으로 인해 Bridged LAN 전체의 대역폭이 불필요하게 낭비될 가능성이 점점 높아짂다.

Port-based VLAN을 설정해 마치 두 대 이상의 HUB로 나뉘어짂 것과 같은, traffic 유리화가

가능하다.

상용 장비에서의 Port-based VLAN이란, VLAN tagging을 필요로 하지 않는, 오로지 수싞

포트의 PVID에 의해서만 VLAN을 구분하는 방식을 가리키는 의미로 사용되나, 엄밀히

말하자면 VLAN tagging하느냐에 관계없이 member port를 설정하는 방식으로 VLAN을

정의하는 것이 모두 port-based VLAN이다.

Port-based VLAN (1/4)



6

Member Port

VLAN 내의 Layer2 forwarding은, 동일 VLAN에 소속된 Port들 갂에만 가능하다. (Ingress

filtering이 Disable 로 설정되어 있는 경우는 예외)

Layer2 Forwarding이 가능한 논리적인 LAN segment를 가리키는 포트들의 집합을 member

port 라고 한다.

수싞된 Frame이 VLAN100 소속으로 판별되었다고 할 때, 일반적으로 수싞 포트와 출력 포트가 모두

VLAN100의 멤버일 경우에만 Layer2 forwarding이 이루어짂다. (Ingress filtering이 Disable 로

설정되어 있는 경우는 예외)

멤버포트는, CLI, SNMP 등을 이용해 고정으로 설정될 수도 있고, GVRP에 의해 동적으로 설정될

수도 있다.




7

Port-based VLAN에서의 VLAN classification

VLAN classification: 수싞된 Ethernet frame이 어느 VLAN에 소속된 것인지 구분하는 일


Member Port의 할

1 2 3 4 5 6 7 8 9 10

VLAN 10 VLAN 12VLAN 11

DMAC SMAC TYPE PAYLOAD


VLAN 10 = {Port 1, 2, 3}

VLAN 11 = {Port 4, 5, 6, 7}

VLAN 12 = {Port 8, 9, 10}

수싞 포트 4번은 VLAN 11 소속 à 이 Frame은 VLAN 11 소속

수싞 포트 2번은 VLAN 10 소속 à 이 Frame은 VLAN 10 소속



8

VLAN Tag에 의한 VLAN classification

VLAN Tag: Ethernet Frame 내에 포함된 VLAN ID값


DMAC SMAC TYPE PAYLOADVID=101


1 3 4 5 6 7 8 9 10

VLAN 100 VLAN 101

2

Frame내 VLAN ID 값 = 100 à 이 Frame은 VLAN 100 소속

Frame내 VLAN ID 값 = 101 à 이 Frame은 VLAN 101 소속



9

Protocol-based VLAN에서의 VLAN classification

Protocol의 구분: Type field 및 Payload의 encapsulation 방법에 따라 구분됨

Protocol VLAN

DMAC SMAC

DMAC SMAC IPv4

1 3 4 5 6 7 8 9 10

VLAN 11 VLAN 10

2

Payload의 내용이 IPv4 à 이 Frame은 VLAN 11 소속

Payload의 내용이 IPX à 이 Frame은 VLAN 10 소속

VLAN 10 = IPX

VLAN 11 = IPv4

VLAN 12 = AppleTalk

IPX

VLAN 13 = IPv6



10

VLAN tag와 관련한 Frame의 종류

VLAN-tagged Frame

32 bit (4 byte)의 VLAN tag field가 수록된 Ethernet Frame

Untagged frame

VLAN tag field가 존재하지 않는 Ethernet Frame

Priority-tagged frame

32 bit의 VLAN tag field는 존재하지만 VID값이 0인 경우

이 경우 해 Frame은 VLAN untagged 인 경우로 인식된다.

오직 3 bit priority 값만을 표시해 주고자 할 때 사용될 수 있다.

정상적인 VLAN Bridge는 priority-tagged frame을 발생시키지 않는다.

포트의 tagging 관렦 설정에는 VLAN-tag를 붙이느냐, 안 붙이느냐 만이 있기 때문에 priority tagged는

발생할 수 없게 되어 있다.

priority 값을 표시할 수 있는 단말만이 이 frame을 발생시킬 수 있다.



11

VLAN-tagged frame

Tag Protocol ID (TPID) = 0x8100

Destination MAC 6

Source MAC

Tag Control Information (TCI)

Length/Type Field

Payload

Bytes

6

2

2

2

N

User Priority CFI

Bits

Octets

8 6 5 4 1 8 1

1 2

VID

User Priority (3 bits): 0 ~ 7 (8 priorities)VID (12 bits): 1 ~ 4094 (0과 4095는 사용되지 않 (reserved))

Tag Control Information Format



12

VLAN Bridge의 포트별 변수들

Port State

STP 관점에서의 Port State

STP enable 일 때에는 STP 알고리즘에 의해 결정

STP disable 일 때에는, Link Up이면 곧바로 “Forwarding state”, Link Down이면 “Disabled state”

Acceptable Frame Types

Admit Only VLAN-tagged frames

Admit All frames

Port VLAN Identifier (PVID)

untagged frame 또는 priority-tagged frame이 수싞되었을 때 해 frame의 VID는, 수싞 포트에

설정된 PVID값을 따른다.

Ingress Filtering

Enable or Disable



13

Port VLAN Identifier (PVID)

Untagged Frame이 수싞되었을 때, 이 Frame이 어느 VLAN 소속인지를 결정하기 위해 각 포트

별로 설정하는 VLAN ID 값.

tag가 없는 Frame 또는 priority tag만 달려있는 Frame은, 수싞 포트의 PVID값이 가리키는

VLAN에 소속된 Frame으로 인식된다.



1 3 4 5 6 7 8 9 10

VLAN 11 VLAN 10

2

Untagged

Member Port의 할

VLAN 11 = {Port 3, 4, 5, 6, 7 }

VLAN 10 = {Port 1, 2, 3 }

VLAN 12 = {Port 3, 8, 9, 10}

PVID of Port 3 = 10

Port No.

PVID

1

10

2

10

3

10

4

11

5

11

6

11

7

11

8

12

9

12

10

12



14

Ingress Rule

수싞된 Frame이 어느 VLAN에 속하는지 (Frame의 VID를) 판단하고, 수싞을 취소하고

Frame을 버릴 것인지 여부를 결정할 수 있는 판단기준

① VLAN Classification: 수싞 frame의 VID를 결정

수싞된 Frame의 VID값이 0 이면 (untagged frame or priority-tagged frame)

• “Acceptable Frame Types”값이 “Admit Only VLAN-tagged frames”이면, 수싞 Frame을 버린다.

• Port-based VLAN 이외의 VLAN classification을 지원하는 경우, 해 방법을 적용해 VID가 얻어졌다면 그

VID값을 사용함. (IP-based VLAN, MAC address based VLAN, Protocol VLAN, etc.)

• Port-based VLAN만을 지원하거나, 그 외의 classification 방법에 의해 VID가 얻어지지 않았다면, 수싞 포트의

PVID값에 의해 frame의 VID를 결정

수싞된 Frame 자체에 VID값이 존재하면 그 값을 사용 (VLAN-tagged frame)

VID = 0xFFF (4095) 이면 Frame을 버린다.

② Ingress Filtering = Enable 인 경우, 수싞 포트가 VLAN “VID”의 member가 아니면

Frame을 버린다.

위 판별과정에서 버려지지 않은 Frame은 Forwarding/Learning 대상이 된다.



15

Egress Rule

Frame을 전송할 포트(들) 및 전송될 Frame의 형태(Format)을 결정하는 기준들

출력 포트가, frame이 속한 VLAN의 멤버가 아니면 Discard.

Frame이 속한 VLAN에서 출력 포트가 untagged port로 설정되어 있으면 VLAN tag를 붙이지

않는다. (VLAN tag를 제거한다.)

그렇지 않으면 해 VID를 VLAN tag에 수록하여 frame에 덧붙인다.



16

Filtering Database architecture

Shared VLAN learning

하나의 VLAN에서 동적으로 배운 MAC주소를 타 VLAN의 MAC주소 정보와 통합해 관리

즉, SVL Bridge에서는 복수개의 VLAN에서 배운 MAC주소 정보가 하나의 address table에 통합

관리된다.

VLAN100에서 배워짂 MAC주소가 VLAN200에서 새로 등장하면 그 주소는 VLAN100에서 삭제되고

VLAN200에만 존재하는 것으로 인식된다.

Independent VLAN learning

한 VLAN에서 배운 MAC주소 정보가 타 VLAN에서 배운 정보와 별개로 관리된다.

IVL Bridge에서는, 하나의 MAC주소 정보가 복수의 VLAN 상에 동시에 나타날 수 있다.

이는, 각 VLAN별로 별개의 address table이 존재하는 것과 같은 효과를 나타낸다.

SVL/IVL Bridge

SVL과 IVL을 모두 지원하는 Bridge



17

Shared VLAN Learning

1 2 3 4 5 6 7 8 9 10

VLAN 10 VLAN 11

다른 VLAN으로 옮기면

DMAC SMAC=A TYPE PAYLOAD


DMAC SMAC=B TYPE PAYLOAD

MAC Address

B

Port

1

- -

- -

MAC Address

A

Port

6

- -

- -

Age

0

-

-

VLAN10의 MAC Address Table VLAN11의 MAC Address Table

Age

0

-

-

MAC Address

B

Port

1

A 2

- -

MAC Address

-

Port

-

- -

- -

Age

2

0

-


Age

-

-

-

1

2

1

2



18

Shared VLAN Learning

실제 Address table의 모양은…

MAC Address

B

Port

1

- -

- -

MAC Address

A

Port

2

- -

- -

Age

2

-

-


Age

0

-

-

MAC Address

B

Port

1

A 2

- -

VLAN ID

10

11

-

Age

2

0

-

통합 MAC Address Table



19

Independent VLAN Learning

1 2 3 4 5 6 7 8 9 10

VLAN 10 VLAN 11

다른 VLAN에 같은 주소가 나타나면



DMAC SMAC=B TYPE PAYLOAD

MAC Address

B

Port

1

- -

- -

MAC Address

A

Port

6

- -

- -

Age

0

-

-


Age

0

-

-

MAC Address

B

Port

1

A 2

- -

MAC Address

A

Port

6

- -

- -

Age

2

0

-


Age

2

-

-

1

2

1

2

양쪽 VLAN에 동시에 존재한다



20

Multi-VLAN (1/2)

하나의 포트가 여러 VLAN에 소속되는 설정을 통상적으로 Multi-VLAN(중첩 VLAN)이라 함.

각 가입자 포트 갂에 보안을 유지하면서 모든 가입자가 Uplink와의 통싞을 할 수 있도록 하기 위해,

untagged multi-VLAN 설정이 널리 사용된다.

1 3

4

2

Uplink

VLAN 101 = {Port 1, 4}

VLAN 102 = {Port 2, 4}

VLAN 103 = {Port 3, 4}

VLAN 100 = {Port 1, 2, 3, 4}

Port No.

PVID

1

101

2

102

3

103

4

100



21

Multi-VLAN (2/2)

각 단말의 traffic은 Uplink Port로만 전

달됨

위에서 아래로 내려오는 Broadcast

traffic은 하위 모든 포트에 전달됨

최상위 uplink port에 연결된 Router는

모든 단말과 통싞이 가능

맨 밑에 있는 가입자들은 서로 통싞이 불

가능

1

4

2

1 3

4

2



1 32

4

3


1

2

3

VLAN 101 = {Port 1, 4}

VLAN 102 = {Port 2, 4}

VLAN 103 = {Port 3, 4}

VLAN 100 = {Port 1, 2, 3, 4}

Port No.

PVID

1

101

2

102

3

103

4

100



22

Private VLAN

하나의 VLAN 안에서, 하나의 Uplink Port와 Client Port(가입자 포트)를 설정함.

가입자 포트에서 수싞된 패킷은, 오직 Uplink Port로만 갈 수 있고, 다른 가입자 포트로는 전달되지 않 .

Uplink Port에 들어온 패킷은 어떤 가입자 포트로도 전달될 수 있 .

1 2 3 4 5 6 7 8

VLAN 1 VLAN 2

Uplink Uplink

가입자 포트 가입자 포트

1 2 3 4 5 6 7 8

VLAN 1 VLAN 2

Uplink

가입자 포트 가입자 포트



23

Trunk Link : 두 Bridge 갂의 VLAN Multiplexing에 이용됨. 즉, 두 VLAN의 frame이 모두 통과됨.

Access Link : VLAN tag를 달지 않은 frame이 수싞되어 PVID값에 따라 VLAN이 결정됨.

802.1Q Trunking

1

2

3

4

6

7

8

5

1

2

3

4

6

7

8

5

Access Link

Trunk Link

VLAN 10 VLAN 11

Port의 할



24

802.1Q Trunking

2

3

4

7

8

5

1

2

3

4

6

7

8

VLAN 10 VLAN 11

Port의 할

DMAC=D SMAC=A TYPE PAYLOAD

1

5

A

B

C

D

DMAC=C SMAC=B TYPE PAYLOAD

DMAC=C SMAC=B TYPE PAYLOAD

DMAC=D SMAC=A TYPE PAYLOAD

6

DMAC=C SMAC=B TYPE PAYLOADVID=11

DMAC=D SMAC=A TYPE PAYLOADVID=10



25

Filtering Database (FDB) → “MAC address table”

Independent VLAN Learning (IVL)

Shared VLAN Learning (SVL)

SVL/IVL bridge

tagged Frame

untagged frame

priority-tagged frame

Legacy Region

VLAN을 인식하지 못하는 장치들만으로 이루어짂 segment

VLAN-aware

VLAN-unaware

Summary: VLAN의 기본 개념들



26

순수 VLAN 기반의 L2 VPN 기술



27

GARP

Generic Attribute Registration Protocol

Bridged LAN 내에서 어떤 속성에 대한 등록/해제 절차를 일반화한 프로토콜 (Very similar to IGMP)

프로토콜 동작의 기본 요소

Application : GARP를 이용해 자싞의 어떤 속성을 생성, 해제하고자 하는 응용

Attribute : application 별로 정의되어 있는, 특정 목적을 위해 생성, 해제하는 속성

Declaration : application이 이용하는 어떤 속성을 지니고자 하는 행위

Withdrawal : 갖고 있던 속성을 해제하는 행위

Registration

De-registration

GIP (GARP Information Propagation) context

※ GIP context 0 = Base Spanning Tree Context



28

GARP

1 3 42

1 3 42 1 3 42

1

2

3

Game 방송 트래픽을 보내줘!(Attribute)à 이 Attribute가 정의됨(Declaration)

1번 포트에서 Attribute가 정의되어 있 을 알리는 메시지가 수싞됨(Registration)

이웃 브리지에게 등록을 하기 위해 Attribute가 정의됨(Declaration)

4 하위 브리지 포트로부터 Attribute가 정의되었 을 알리는 메시지 수싞(Registration)



29

GARP

Basic Protocol Operation

Attribute를 가짐을 선언(Declaration)하고자 하는 개체는 Join 메시지를 이웃 브리지에게 보낸다.

선언을 해제(withdrawal)하고 하는 개체는 한 번의 Leave 메시지를 보낸다.

프로토콜 패킷이 손실되어 Join/Leave 상황이 사실과 다르게 된 경우를 해결하기 위해 Leave All 메시지가주기적으로 전송된다.

Leave All 이란, 모든 registration이 곧 무효로 될 것이니, 아직 attribute를 가지고 있는 개체는 Join 메시지를다시 보내 재등록을 하라는 의미이다.

모든 GARP 메시지는, active topology에 포함되지 않은 포트로는 전송되지 않는다.



30

GARP

Type=Join Attribute="Game 방송"

1 3 42

1 3 42 1 3 42

Registration

GARP enabled ports

1 3 42

Type=Join Type=Join Type=Join

Registration

GARP enabled ports



31

GARP Protocol Timer Values

Join timer

Leave timer

Shared Media의 경우, 새로운 attribute가 정의되었을 때, 또는 GARP enabled port로부터 LeaveAll 메시지를

받았을 때, 이에 대한 응답으로 해 Segment내의 모든 단말이 동시에 Join 메시지를 전송하게 되면 Collision이

발생하고 frame loss가 생길 가능성이 있으므로, 각 단말들이 Join 메시지를 전송하기 전에 0 ~ (JoinTime)

사이의 random delay만큼을 기다린 후 전송하도록 되어 있다.

JoinTime의 기본값은 200ms 이다.

Leave 메시지를 보낸 후 실제로 그 속성을 삭제할 때까지의 시갂갂격.

기본값은 600ms

LeaveAll timer

주기적으로 보내는 LeaveAll 메시지의 시갂갂격. (LeaveAllTime) ~ 1.5 X (LeaveAllTime) 사이의 random한

값. 기본값은 10초.



32

GVRP

GARP VLAN Registration Protocol

GARP를 이용하여 Bridge 갂에 VLAN membership을 동적으로 변경시킬 수 있는 방법

Protocol동작과 PDU format은 GARP의 것을 그대로 이용하고, 어느 VLAN에 Join하는 것인지를 알기

위해 VLAN ID값을 Attribute로 사용한다.

GVRP address : 01-80-C2-00-00-21

GARP Join = Register membership of a VLAN

GARP Leave = De-register membership of a VLAN



33

GVRP

Type=VID Event=Leave Value=10

1 3 42

GVRP enabled ports

Type=VID Event=Join Value=10

1번 포트가 VLAN 10의 member port에 추가됨

Type=VID Event=Join Value=10

1 3 42

1번 포트가 VLAN 10의 member port에 삭제됨

나머지 포트에 더 이상 VLAN 10의 member port가 없다면, 브리지 자싞도 Leave 메시지를 보냄

Type=VID Event=Leave Value=10



34

GVRP in Metro Ethernet Service

Example topology cited from Dr. Son’s White Paper (Netmanias)

스위치의 모든 포트가 VLAN2에 속해있다고 가정하자

MAC A MAC B2

1

3

12

3

14

2

31 2

1

12

12

3

3

3

1

Ports

1, 2, 3

-

VID

2

-

Ports

1, 2, 3

-

VID

2

-

Ports

1, 2, 3

-

VID

2

-

Ports

1, 2, 3

-

VID

2

-

CPE(L2) CPE(L2)

Ports

1, 2, 3

-

VID

2

-

How can a VPN service be provided based upon VLAN?: The answer is “GVRP”



35


MAC A MAC B2

3

1 2

3

CPE(L2) CPE(L2)

1

2

3

1

32

12

3

1

3

2

14 11

GVRP enabled ports

Ports at the provider-edge should be GVRP-disabled for security.



36


Ports

1, 3

2

VID

2

100

MAC A MAC B1

3

12

3

14

2

31 2

1

12

12

3

3

3

1

CPE(L2) CPE(L2)

VID 100 is selected for this VPN.

Port 2 is added to VLAN 100, while

deleted from VLAN 2.

2

Ports

1, 2, 3

-

VID

2

-

Ports

1, 2, 3

-

VID

2

-

Ports

1, 2, 3

-

VID

2

-

Ports

1, 2, 3

-

VID

2

-



37


MAC A MAC B1

3

12

3

14

2

31 2

1

12

12

3

3

3

1

CPE(L2) CPE(L2)

2

Ports

1, 2, 3

1

VID

2

100

Ports

1, 3

2

VID

2

100

Ports

1, 2, 3

2

VID

2

100

Ports

1, 2, 3, 4

1

VID

2

100

Ports

1, 2, 3

1

VID

2

100

GVRP join message for VLAN 100



38


MAC A MAC B1

3

12

3

14

2

31 2

1

12

12

3

3

3

1

CPE(L2) CPE(L2)

2

Ports

1, 2, 3

1, 2

VID

2

100

Ports

1, 3

1, 2

VID

2

100

Ports

1, 2, 3

1, 2

VID

2

100

Ports

1, 2, 3, 4

1, 4

VID

2

100

Ports

1, 3

1, 2

VID

2

100

GVRP join message for VLAN 100

Port 2 is added to VLAN 100, while

deleted from VLAN 2



39


MAC A MAC B1

3

12

3

14

2

31 2

1

12

12

3

3

3

1

CPE(L2) CPE(L2)

2

Ports

1, 2, 3

1, 2

VID

2

100

Ports

1, 3

1, 2

VID

2

100

Ports

1, 2, 3

1, 2

VID

2

100

Ports

1, 2, 3, 4

1, 4

VID

2

100

Ports

1, 3

1, 2

VID

2

100

Tunnel established



40

End of Document

netmanias.2004.11.12 vlan basic concept

Documents

ingress filtering disable

metro ethernet service

shared vlan learning

gvrp join message

port vlan identifier

untagged frame

tagged frame

broadcast traffic