Port security (11/22)

● Port security 사용법

1. Mac-Address 하나씩 등록하는 방법

 

● PC 1 ~ 4번에서 서버로 핑을 보내면 스위치에서 Mac Table을 확인해보면 hub는 포트가 없기 때문에 스위치가 연결되어있는 포트와 전부 연결되어있는 것처럼 보인다.

 

● 먼저 switchport mode access를 해준 다음 switchport port security를 PC1 1번에 걸어준다. (MAC Address 주소로)

 

● 관리자 직접 MAC-Address를 등록한거기 때문에 Static으로 표시된다. (이 상태가 되면, PC1번 외에 나머지 PC는 서버로 핑이 가지 않는다.)

 

● err-disabled라고 표시 되어있는 상태라면 no shutdown이 적용되지 않는다.

 

● 그래서 인터페이스를 먼저 shutdown 시킨 다음에 no shutdown을 해줘야 불이 켜진다.

 

● 일반적인 보호만 하려고 하면 protect, 정책이 위배되는것을 카운트 하고 로그를 남기고, 월말 보고서 같은 거를 올려야할 때는 restrict, 물리적으로 공격을 못하게끔 할 때는 shutdown이 제일 좋다.

 

● sh port-security로 확인해보면 Security 동작이 Protect로 바뀌어있는 것을 확인 가능하다.

 

2. 어느 정도 security를 설정하면 알아서 자동으로 더 추가 못하게끔 막는 방법 (dynamic mode = 동적 모드)

 

● 최대 두개까지 port-security를 적용되게끔 설정

 

● 그 이상 추가 하게 되면 셧다운 시키는 명령어

 

● PC 1번과 2번을 서버로 핑을 보냈을 때 Count가 2개 증가된다.

 

● 이미 최대 2개를 등록했기 때문에 나머지 PC에서 서버쪽으로 핑을 보내면 셧다운 된다.

 

● 하지만 reload를 하고, PC 3번과 4번에서 서버 쪽으로 핑을 보내면

 

● Mac-Table에 PC 3번과 4번이 등록되는 현상이 생긴다. (먼저 핑을 보내는 쪽이 먼저 등록되어 버림.)

 

3. port sticky 방식 dynamic과 static이 섞여있는 방식(학습 한 MAC Address를 기록한다.)

 

● PC 1번에서 핑을 보낸 후 sh run을 해보면 interface에 MAC Address가 등록되어 있는 것을 볼 수 있다.

 

● 다른 방식들은 reload를 하게 되면 MAC Address가 초기화 되지만, sticky 방식은 초기화 되지 않고 그대로 저장되어있다.