2020년 국비지원 교육 내용 정리 및 최근 테스트 결과 추가 중
[Switch 보안 및 사용자 차단 설정]
Storm-control
- Switch의 특정 Port로 입력되는 Uni, Bro, Multi Traffic에 대해서 임계치를 설정하는 기능
임계치 설정 후 임계치 이내의 Traffic은 처리
임계치 초과 Traffic은 수신하지않거나 해당 Port를 err-disable상태로 전환
* CPU 사용률이 30으로 이상 소모되면 처리X
* CPU 사용률이 40 이상 소모되면 처리X + 25개 이하로 떨어지면 처리
* Broadcast Traffic이 초당 300개이상 입력되면 처리 X + 100개 이하로 떨어지면 처리
* CPU 사용률이 30으로 이상 소모되면 해당 Switchport를 err-disable로 이전
- Mac-address-list
VLAN-map
- 동일한 Filtering 기능을 가진 동일 vlan 내부에서 트래픽을 제어 필터링하는 방법
* LAB - SW3은 VLAN 1에 포함된 PC3으로부터의 Telnet접속을 차단, 나머지 Traffic 허용
* PC에서 Telnet 접속 완료
* VLAN access-map command
* command 입력 후 PC에서 Telnet 접속 불가
* 나머지 Traffic은 허용 (Ping)
Protected Port
* 사용하는 경우
1. Switch Port에 연결된 PC, Application Server들이 Traffic을 교환하기를 원치 않을 때
2. 서로가 생성하는 Traffic이 서로에게 간섭(영향)을 주지 않아야 할 때
3. Switch Port간에 Traffic 교환을 제한하고자 할 때
* Protected Port Command
SW1(Config)# interface range fa0/23-24
SW1(Config-if-range)# swtichport protected
SPAN (Switched Port Analyzer)
- Switch에서 Monitoring을 하기 위해 Cisco에서 개발된 Protocol.
- Switch의 특정 Port를 감시하는 기능 (Mirroring기능)
- 관리자가 지정한 Port로 송/수신되는 모든 Traffic을 Monitoring 장비가 연결된 Port로 Copy하여 전송하는 기능
| Monitoring Traffic | 의미 |
| RX(수신) Traffic | Switch의 Port 또는 VLAN으로 수신한 Traffic을 Switch가 변경, 처리, 하기 전 복사 후 전송 |
| TX(송신) Traffic | Switch에 의해 변경 및 처리가 완료된 Traffic을 복사 & 전송 |
| Both (양방향) Traffic | span & rspan의 Default 설정 |
Local SPAN
- 동일 Switch 내에서 Monitoring을 할 경우에 사용한다.
* SPAN command (both는 양방향)
* show monitor session
* show interface status
* show vlan bri에서 f0/20이 없다
* PC1의 Wireshark에서 확인 가능하다. (Ping)
* PC1의 Wireshark에서 확인 가능하다. (Telnet)
* PC1의 Wireshark에서 확인 가능하다. (Telnet을 사용하지 않는 이유)
Remote SPAN
- 다른 Switch의 Traffic을 Monitoring 할 경우에 사용
- VLAN을 생성하여 사용하기 때문에, 현재에도, 향후에도 사용하지 않을 것을 사용해야한다.
* SPAN remote command
** reflector-port fastethernet 0/21 = fa 0/21의 cpu을 사용하는 것
(연결되어 있지 않아도 불이 들어온다. CPU를 사용하고 있기 때문. 때문에 이 Option을 사용하면 해당 Port를 사용해서는 안된다.)
Reflector-port
- CISCO Switch는 각 Port에 CPU를 별도로 할당하여 해당 Port로 송/수신하는 데이터에 대해서 Port의 CPU를 사용한다.
- Reflector-port는 Remote-SPAN구성시 Source-interface로 송/수신하는 데이터를 Copy하여 전송하는 과정을 사용하지 않는 Port의 CPU를 사용하여 처리하는 기능이다.
- Reflector-port는 해당 Switch에서 사용하지 않는 Port로 지정해야한다.
* show monitor session command
* PC1의 Wireshark에서 확인 가능하다. (Ping)
'IT > ㄴ Cisco' 카테고리의 다른 글
| [CISCO] Etherchannel PAgP / LACP정리 [GNS3] (0) | 2023.07.20 |
|---|---|
| [CISCO] Port-Security 기초 및 추가 옵션 [GNS3] (0) | 2023.07.20 |
| [CISCO] HSRP을 사용하여 Load Balancing 하기 [Packet Tracer] (0) | 2023.07.14 |
| [CISCO] Router / L3 Switch에서 DHCP 서버 구성하기 [Packet Tracer] (0) | 2023.07.13 |
| [CISCO] DHCP(Dynamic Host Configuration Protocol) 알아보기 [Packet Tracer] (0) | 2023.07.13 |