port-security란 특정 포트에 mac주소를 교육시키거나 등록하여 해당 mac address만 통신하게 하는 설정입니다.
해당 기능은 사용자가 인가되지 않은 장비를 네트워크에 접속하는 것을 막을 때 사용합니다.
1.mac 주소 학습 설정
port-securiry는 mac주소를 학습하여 mac주소 기반으로 프로토콜이 동작합니다.
int gi1/0/10
switchport port-security mac-address "mac-address"
해당 명령어는 등록한 mac address만 접속을 허용하는 설정입니다.
int gi1/0/10
switchport port-security mac-address
dynamic 설정으로 동적으로 mac을 학습합니다. 학습한 mac은 장비 재부팅 시 저장되지 않습니다.
switchport port-security mac-address sticky
해당 설정을 하고 장비를 포트에 연결하면 연결된 mac address를 합습하여 등록합니다.해당 설정은 스위치를 리부팅
하여도 설정이 사라지지 않습니다
2. 허용 mac 숫자 설정
int gi1/0/10
switchport port-security max 1~6144
port-security의 맥 최대 등록 수를 설정합니다. 기본 설정은 1개로 되어있습니다.
3.허용되지 않은 mac에 대한 정책
허용되지 않은 mac주소에 대한 정책을 설정합니다.
int gi1/0/10
switchport port-security violation (protect / restrict / shutdown)
protect : 허용되지 않은 mac주소를 차단합니다. 허용된 mac주소만 통신이 가능합니다.
restrict : protect와 기능은 같으나 허용되지 않은 mac 접속 시 log를 남깁니다.
shutdown : 허용되지 않은 mac 주소로 통신 시도 시 해당 port를 err-disabled 상태로 전환시킵니다.
err-disabled 상태에서는 통신이 불가능하고 err-disabled 상태를 해제할려면 스위치에 접속하여
shutdown , no shutdown 을 진행해야 풀립니다.
'Technical > Network' 카테고리의 다른 글
| wireshark ( Dup Ack / Retransmission ) TCP 관련 패킷분석 (0) | 2021.10.26 |
|---|---|
| CISCO 네트워크 보안 취약점 조치 방법(3) (0) | 2021.10.26 |
| AlteonOS VMware slb 설정 (0) | 2021.10.05 |
| L4 스위치 DSR 및 Proxy 차이점 및 이론정리 (0) | 2021.09.30 |
| Cisco vrrp 설정방법 (0) | 2021.09.29 |
댓글