1) 개요
802.1Q Tunneling은 Q-in-Q Tunneling이라고도 하며, 802.1Q Tag가 붙은 트래픽을 추가 802.1Q Tag 내에 캡슐화(Encapsulation)하는 기술이다. 이를 통해 서비스 제공업체(Service Provider)는 고객용 VLAN을 위한 Tunnel을 생성하여 제공업체 네트워크 전체에서 하나의 VLAN으로 제공할 수 있다. 이에 따라, 고객 입장에서는 자신의 지점들이 Layer 2로 바로 연결된 것처럼 보인다.
2) 동작 방법
Dot1q Tunneling에서는 각 Frame에 추가적인 VLAN Tag가 추가되어 이중 Tag Frame(Q-in-Q)이 생성된다. 외부 Tag는 일반적으로 서비스 제공업체의 VLAN과 연결되며, 내부 Tag는 고객의 VLAN을 나타낸다.
3) 사용 사례
3-1) 서비스 제공업체 네트워크(메트로 이더넷)
목적 : 서비스 제공업체는 Q-in-Q를 사용하여 여러 고객의 VLAN을 전송한다.
시나리오 : 보통 여러 지역에 퍼져 있는 고객은 자신의 환경에 맞게 다양한 VLAN을 사용하고 있다. 서비스 제공업체는 이 모든 VLAN을 관리하는 것이 아니라 Q-in-Q를 사용하여 각 고객의 고유한 VLAN을 외부 VLAN Tag로 캡슐화하여 각 고객을 위한 “Tunnel”을 생성하여 서비스를 제공한다.
이점 : 공급자는 고객의 각 VLAN을 개별적으로 관리하는 것이 아닌 고객당 하나의 외부 VLAN만 할당하면 된다. 이렇게 하면 관리가 간소화되고 확장성이 향상되어 공급자가 각 내부 VLAN을 추적할 필요 없이 수천 명의 고객을 처리할 수 있다.
3-2) 다수의 지점을 보유하고 있는 기업 네트워크
목적 : 다수의 사업부, 테넌트 또는 부서가 있는 대기업은 각각의 개체에 대해 여러 개의 VLAN을 유지 관리해야 하지만 중앙에서 관리해야 할 수도 있다.
시나리오 : 대규모 조직에는 여러 부서가 연결되는 중앙 데이터 센터가 있을 수 있다. 각 부서에는 고유한 VLAN 구조가 있으며, 조직은 Q-in-Q를 사용하여 공유 데이터 센터 인프라를 통해 부서별 VLAN을 전송한다.
이점 : Q-in-Q를 사용하면 조직의 중앙 인프라 관리를 간소화하면서 각 부서의 VLAN을 격리하고 안전하게 유지할 수 있다. 데이터 센터는 외부의 VLAN 태그(각 부서별)만 확인하여 부서별로 구분된 VLAN 세부 정보를 숨길 수 있다.
4) Trunk 모드와 다른 점
4-1) Trunk 모드
목적 : Trunk 모드는 네트워크 스위치간의 단일 Link를 통해 여러 개의 VLAN을 전송하는 데 사용된다. 일반적으로 네트워크의 여러 스위치에 걸쳐 VLAN을 확장하는 데 사용된다.
동작 방법 : 스위치의 포트가 Trunk 모드로 구성되면 여러 개의 포트에서 전송되는 Traffic이 포트를 통과할 수 있다. 각 Frame에는 네이티브 VLAN의 트래픽을 제외하고는 해당 포트의 VLAN Membership을 나타내는 802.1Q VLAN Tag가 태그되어 있다.
사용 사례: :엔터프라이즈 네트워크에서 다수의 스위치를 연결하고 네트워크의 여러 부분에서 일관되게 사용할 수 있는 VLAN을 확보하는 데 일반적으로 사용된다.
태그 지정 : 802.1Q Tag가 Packet에 추가되어 Packet이 Trunk Link를 통해 이동할 때 Packet이 속한 VLAN을 식별한다.
4-2) 차이점 정리 표
| 구분 | Trunk 모드 | 802.1Q Tunneling |
| 목적 | 스위치 간 다수의 VLAN 허용 | 서비스 제공업자의 VLAN 내에서 고객의 VLAN 캡슐화 |
| Tagging 방법 | Frame 당 단일 802.1Q Tag(Single) | 두 개의 802.1Q Tags (Double) |
| 사용자 VLAN 관측 가능 여부 | 네트워크 내에서 관측 가능 | 고객 분리를 위한 캡슐화(Hidden) |
| 사용 사례 | 기업 네트워크 | 메트로 이더넷 환경 |
5) 테스트 과정
5-1) Trunk 모드
Trunk Link 구간 Packet 확인
=> 하나의 802.1Q Tag가 존재하며, VLAN ID 20이 Tag 되어 있다.
5-2) 802.1Q Tunneling
기본 Topology
=> CustomerA와 CustomerB는 각각 HQ(본사)와 Branch(지사)를 보유하고 있으며, 지리적으로 멀리 떨어져 있는 상태다.
=> SP(서비스 제공업자)는 고객의 VLAN ID를 변경할 수 없으며, 고객별 Traffic 분리를 위하여 802.1Q Tunneling을 사용하고자 한다.
1) SP-SP1 구간의 Packet 확인
=> CustomerA-Branch에서 CustomerA-HQ로 통신할 때, 내부 VLAN 100에 외부 VLAN 4000이 추가(Tag)되어 통신되었다.
2) SP-SP1 구간의 Packet 확인
=> CustomerB-Branch에서 CustomerB-HQ로 통신할 때, 내부 VLAN 200에 외부 VLAN 4000이 추가(Tag)되어 통신되었다.
6) 결론
802.1Q Tunneling은 공급업체가 지정한 단일 VLAN 내에 고객의 모든 VLAN을 캡슐화하여 'Tunneling' 기술을 가능하게 한다. 이를 통해 고객의 Traffic은 공급업체의 인프라를 통과할 때 격리되고 안전하다.
'IT > ㄴ Cisco' 카테고리의 다른 글
| [실패] OTV Simple Lab 시도 (0) | 2025.01.22 |
|---|---|
| [정리] OTV(Overlay Transport Virtualization) 기초 이론 (0) | 2025.01.22 |
| [Nexus] vPC Simple Lab (0) | 2025.01.18 |
| [정리] Cisco vPC (Virtual Port Channel) 정리 (0) | 2025.01.18 |
| [VxLAN] VxLAN Static 구성 Lab (0) | 2025.01.16 |