반응형

6.4장 스위치 보안 설정 - 포트 보안, 가드 기능 설정

 

학습목표

- 포트 보안 및 가드 기능 설정을 통해 스위치 보안 설정을 할 수 있다.

 

 

2계층 스위치에서 설정할 수 있는 여러 보안 기능 중에서 포트 보안(Port Security)과 가드(Guard) 기능에 대해 알아보겠습니다. 

 

포트 보안은 특정 포트에 특정 MAC주소를 가진 장비만 접속할 수 있도록 하는 것으로 악의적 사용자가 스위치에 접근하는 것을 막아 맥 플러딩(Mac Flooding) 공격을 효과적으로 막을 수 있습니다. 접속을 허용하는 MAC주소는 동적(Dynamic), 정적(Static), 스티키(Sticky) 방식에 의해 스위치의 맥 테이블에 학습이 이루어지며 이러한 정책을 위반(Violation)했을 때 스위치의 포트를 Shutdown, Protect, Restrict 3가지 상태 중 하나로 상태 변경을 할 수 있는데 미 설정 시 Shutdown이 기본값이며 포트 자체를 비활성화하는 것으로 프레임을 전달하지 못하게 되는데 한 번 Shutdown된 포트는 (config-if)#shutdown (config-if)#no shutdown 명령어를 통해 활성화할 수 있습니다. Protect는 규칙을 위반한 장비는 접속이 불가하지만 허용된 장비는 통신이 가능한 상태이고 Restrict는 Protect와 동일한데 Log를 발생하게 되는 부분이 다릅니다.

 

패킷 트레이서를 통해 그림 6-4-1과 같이 간단하게 구성 후 스위치 X의 Fa0/2, Fa0/3 포트에 포트 보안 설정을 해보도록 하겠습니다.

 

[ 그림 6-4-1 - SW 실습 토폴로지 ] - 후티(출처)

 

포트 보안은 Dynamic 포트에서는(2960SW) 설정이 안되므로 우선 1. Fa0/2포트의 모드를 수동으로 Access모드로 변경한 후 2. 포트 보안 기능을 활성화합니다. 이 후 설정을 위해서 #switchport port-security ? 입력하여 나오는 4가지 옵션을 통해 설정이 가능합니다.

 

3 - mac-address : 정적 또는 Sticky 방식으로 MAC주소 등록

4 - maximum : 학습할 수 있는 최대 MAC주소의 수

5 - violation : 포트 보안에 위반했을 때의 규칙

6 - aging time : 포트 보안으로 학습한 맥 테이블의 주소가 삭제되는 시간으로 1~1440분 사이에서 설정

 

설정 확인은 #show port-security ? 

 

 

[ 그림 6-4-2. Port-Security 설정 명령어 ] - 후티(출처)

 

 

가드(Guard)기능은 BPDU Guard기능 및 Root Guard기능을 설정할 수 있는데 특정 포트에 BPDU를 수신했을 때 자동으로 포트를 Shutdown시켜 스위치나 허브를 무단으로 연결하지 못하도록 하는 것이며 STP에서 Root Bridge가 될 수 있는 조건을 충족한 스위치라도 Root Bridge가 될 수 없도록 하는 것을 Root Guard라고 합니다. 2가지 모두 내부 스위치 네트워크에 허가되지 않은 허브 및 스위치 장비가 연결되는 것을 차단하는 역활을 담당하고 있습니다.

 

그림 6-4-1 토폴로지의 스위치 Y에서 Guard기능을 설정을 해보도록 하겠습니다.

 

앞서 언급된 STP를 설정하기 위한 spanning-tree명령어로 시작을 하며 내용은 아래와 같습니다.

 

1 - bpduguard설정 : (config-if)#spanning-tree bpduguard enable

2 - root guard설정 : (config-if)#spanning-tree guard root

 

설정 확인은 #show spanning-tree ?

 

 

[ 그림 6-4-3. Guard기능 설정 명령어 ] - 후티(출처)

 

스위치에서 간단하게 설정할 수 있는 포트 보안과 가드 기능에 대해 유튜브 채널 '에듀쉐어 - 강좌공유'의 아래 동영상을 참고하여 같이 실습을 해보도록 합시다.

 

 

 

[ 랜 스위칭 설정 - Port Security(위) / BPDU Guard, Root Guard(아래) ] - 에듀쉐어 강좌공유 유튜브 채널

 

 

정리하기

- Port Security

- Guard

- 스위치의 보안 설정을 향상하는데 도움이 된다.

반응형
저작자표시 비영리 변경금지

'IT강좌 > 네트워크' 카테고리의 다른 글

'후티와 떠나는 네트워크 여행' - #. UTP 케이블링 실습하기  (0) 2019.08.07
'후티와 떠나는 네트워크 여행' - #. 랜 스위칭 실습  (1) 2019.07.26
'후티와 떠나는 네트워크 여행' - 6장. 랜 스위칭 설정(6.3 : 스패닝 트리 프로토콜(STP) 설정)  (0) 2019.06.30
'후티와 떠나는 네트워크 여행' - 6장. 랜 스위칭 설정(6.2 : VTP 및 VLAN설정)  (0) 2019.06.23
'후티와 떠나는 네트워크 여행' - 6장. 랜 스위칭 설정(6.2 : VTP 및 VLAN설정)  (0) 2019.06.21

+ Recent posts

티스토리툴바