포트보안 학습방법
->동적 보안 : 자동학습, 어드레스테이블에만 저장 , 스위치가 재시작할 때 삭제
->정적 보안 : 사용자가 등록 ,어드레스테이블에 저장 ,running-config 에도 저장되기 때문에
startup-config에 저장하는게 가능하다!
->스틱키 보안 : 기본은 동적 running에도 저장된다 즉 학습은 동적이지만 재시작할 때 삭제안되게 startup에 저장 이 가능하다는 것
포트보안 기본은 동적으로 설정되어있다.
포트보안 위반모드
아래로 갈수록 강력하다.
range를 이용한 포트 설정
포트 보안을 하나씩 하기 힘들 때 한번에 하는방법
->config)# interface range fastethernet0/1-5
->config)# interface range fastethernet0/1 - fastethernet0/5
1번 인터페이스부터 5번 인터페이스까지 동시설정 둘중 아무거나 상관없다.
VLAN의 개념 및 특징
개념 : 하나의 LAN에서 논리적으로 망을 나눈다.
특징 : 네트워크 관리 용이(효울성 향상) , 정보의 보호를 위해 네트워크 분리(보안), 비용절감 ,
브로드캐스트 도메인이 분리되면 트레픽이 줄어 성능향상
VLAN 정보를 보여주는 명령들
->show vlan : 모든 vlan 정보 보여줌
->show vlan id : 해당 id의 vlan 정보 보여줌(근데 난 이 명령어 이상하게 안됨)
->show vlan brief : 모든 vlan을 요약해서 보여줌
->show interface fa0/1 switchport : 해당 포트의 정보를 보여줌
VLAN 생성 명령 (생성, 이름설정)
->config 모드에서 vlan 하고 뒤에 숫자를 붙히면 vlan 생성되면서
설정창으로 들어가짐 거기서 name 하고 이름 넣으면 된다.
VLAN의 기본 동작의 특징
->실제로는 다른 망이지만 논리적으로 같은 망으로 만든다.
->실제로는 같은 망이지만 논리적으로 다른 망으로 만든다.
->같은 망에있지만 논리적으로 다른망이되었을 때 통신을 위해서는 라우터가 필요하다.
VLAN의 포트 멤버쉽 설정 방법(정적/동적)
멤버쉽이라는 어려운말을쓰고있지만 그냥 vlan에 포트들을 설정하는걸말한다.
->정적 : int fa0/18 -> switchport mode access -> swinchport access vlan 10
인터페이스 fa 0/18 번 포트를 엑세스로 지정하고 vlan10 번에 속하게한다.
->동적 : 기업에서 많이사용하지않음 mac주소를 해당 vlan에 입력시키는방식 , 이렇게하면 자리를 이동해도 mac를 가지고 자동으로 원래의 vlan으로 정해주게 되는 방식인듯
->보이스 : 정적도 아닌 것이 동적도아님 ip폰은 CDP메시지를 이용하여 판단한다.
VLAN의 삭제시 주의할 점
->Vlan을 지우기 전에 소속 포트를 다른 vlan으로 할당이 필요
트렁크의 개념
->하나 이상의 vlan 을 전송하는 두개의 중계장치간 사이의 선로의 역할
->표준 프로토콜 IEEE 802.1Q를 지원
->Vlan 은 각각 다른 네트워크 이기 때문에 통신하기 위해서는 각각을 다른 장치로 연결해야하는 문제가있다. 이러한 문제를 트렁크를 사용하면 하나의 선으로 모든 vlan을 통신할수있어 해결할수있다.
VLAN 설정시 ARP트래픽의 전달 범위
->같은 VLAN에 속한 포트로만 트래픽 전송
VLAN과 트렁크의 동작
->VLAN 정보를 이더넷 프레임에 태그를 추가
->스위치는 정보를 받으면 태그를 보고 확인하여 보내준다
->마지막 스위치는 태그를 제거한후에 PC 에게 전달한다.
스위치와 트렁크의 설정시 고려 사항
->모든 포트는 기본으로 VLAN1 에 속해져있다.
->다른 VLAN으로 통신하기위해서는 라우터 , 3계층 스위치가 필요하다.
DTP에 의한 협상 규칙
->DTP : 시스코 고유 프로토콜 , 트렁킹 모드가 설정되면 자동으로 활성화
->Dynamic Auto(디폴트) : 상대가 트렁크 모드가 on이거나 desirable일경우 트렁킹 상태
->Dymanic Desirable: 상대가 on,desirable 혹은 auto 모드로 설정된 것을 확인하면 트렁킹
트렁크 포트의 비활성화 명령어
->트렁크에 설정된 vlan 리셋 Switch (config-if) # sw trunk allowed vlan
->네이티브 vlan도 1로 리셋 Switch (config-if) # no sw trunk native vlan
->트렁크를 액세스로 Switch (config-if) # sw mode access
Native VLAN의 개념
->트렁크로 설정된 라인에서 일반 트래픽을 처리하기 위해 사용
IEEE802.1Q 트렁킹 프로토콜 태그에 들어가는 내용
->16 비트 TPID (0x8100, 시그니쳐 같은거)
->16 비트 TCI (아래 것들로 이루어짐)
->3 비트 PCP (우선순위, 1은 가장 낮음)
->1 비트 DEI (트레픽이 혼잡해질 때 제거할지 말지 결정)
->12 비트 VID (vlan ID, 개수에 맞게 딱 12비트임)
VLAN을 사용하는 이유는 무엇인가?
->네트워크 관리 용이(효울성 향상) , 정보의 보호를 위해 네트워크 분리(보안), 비용절감 ,
브로드캐스트 도메인이 분리되면 트레픽이 줄어 성능향상
->배치와 상관없이 논리적으로 LAN을 구분할 수 있는 기술이다. VLAN의 주된 사용 이유는 트래픽을 줄이고, 여러 워크그룹과 리소스를 분리하고, 허용된 사용자만 접속하도록 제한함과 네트워크의 보안 강화이다.(출처 구글)
'네트워크' 카테고리의 다른 글
| 주요 프로토콜 해더 구조(이더넷 , IP) (0) | 2019.06.18 |
|---|
