Switch

Native VLAN 이란

SH.S 2014. 2. 26. 13:56

Native VLAN 이란

+ Native VLAN 허브와 스위치를 함께 사용하던 환경에서 통신 호환성을 위하여 만들어졌다.

스위치는 VLAN정보를 구분하기 위해 프레임에 Tag 부착하여 전달한다

Tagging 방식은 ISL 802.1Q 있다.


허브는 VLAN 구분할 있는 기능이 없어 프레임을 그대로 PC에게 전달하게 되고, 일반적인 PC VLAN 표시된 프레임을 인식하지 못하여 데이터를 잘못 인식하게 된다

그리고 허브로부터 받은 Tag 붙지 않은 데이터는 스위치에서 버려지게 되므로, VLAN 나눠져 있는 스위치와 허브간에 통신이 되지 못한다.

 

이런 통신환경에서 Tag 붙지 않은 프레임도 통신될 있도록 하는 기능이 Native VLAN이다.

Native VLAN 기본적으로 1 멤버십 번호로 할당 되어있으며, VLAN멤버십이 표시된 Tag 붙어있지 않은 프레임을 모두 Default VLAN 1번으로 취급하여 통신이 되도록 만들어준다.

 

 

Native VLAN 다른 사용 구간

+ Native VLAN Voice 데이터를 전달할 경우 사용한다

Voice 데이터는 속도에 민감한 데이터로 빠르게 전달되어야 한다

그래서 VLAN 소속되어 Tag 붙였다 떼었다 하는 작업을 거치지 않도록 Native VLAN으로 전송하면 좋다.

 

+ Native VLAN WAN 구간을 연결할 사용한다

VLAN 스위치에서 나눈 논리적인 네트워크이므로, 물리적으로 네트워크를 구분하는 라우터에서는 VLAN 인식할 수가 없다

따라서 데이터가 WAN으로 나가야 하는 경우, Tag 붙이지 않고 보낼 있는 Native VLAN 사용한다.  , 서브인터페이스에서는 VLAN구분이 가능하다.

 

 

Native VLAN 취약점

+ Native VLAN Default Number 1번으로 설정이 동일하다

기본적으로 Native VLAN 1번으로 설정이 되어있기 때문에 따로 변경해주지 않으면 Native VLAN 1번으로 설정된 연결된 모든 장비와 통신이 가능하다. 그렇기 때문에 외부에서 내부 접근에 성공한 공격자에 의해 내부 통신망으로 접근이 가능해진다

 

+ Native VLAN 이중 Tagging 이용한 공격에 사용된다

Native VLAN 모든 스위치를 그냥 통과할 있기 때문에 보안설정이 되어있는 라우터를 거치지 않고 통신을 하고자 하는 공격이 있을 경우에 원래 통신을 하려는 VLAN Tag앞에 Native VLAN Tag 덧붙여 사용한다.

이와 같은 Hopping 공격(이중 Tagging 이용한 내부 공격) 경우 가장 먼저 시도하는 번호가 기본 번호인 1번이기 때문에 Native VLAN 번호는 반드시 바꾸어 주어야 한다.