포트 보안 설정 (Port Security Configuration)
포트 보안 설정만 마치면, 스위치 기본과정은 끝이 나겠네요. 관리자가 되면, 스위치의 특정 포트에 특정 장비만 접속할 수 있도록 제한할 수 있어요. 잘못된 장비가 특정 인터페이스로 접속을 시도하면, 스위치는 그 장비에서 보내는 프레임을 폐기하거나 포트 자체를 셧다운 시킵니다.
포트 보안을 구성하기 위해서는 몇 가지 설정이 필요합니다. switchport port-security 인터페이스 설정 명령으로 해당 포트에 보안을 활성화합니다. 2950 스위치 IOS 에서는 다른 스위치와 연결 되지 않은 포트만 보안 포트가 될 수 있습니다. (다른 스위치와 연결 되더라도 trunk로만 연결 시키지 않으면 상관 없다.) 스위치 포트 모드를 액세스 모드로만 지정하면 되겠죠. 설정을 하려면 switchport mode access 명령어를 사용하면 됩니다. 그런 다음, switchport port security mac-address mac-address 명령어로 MAC 주소를 정적으로 설정할 수 있습니다.
[포트 보안 구성 예시]
그림의 서버 1과 월급 서버는 fa0/1번 포트와 fa0/2번 포트에 연결 되어 있고, 이 포트에 해당 서버의 MAC 주소만 접속할 수 있도록 포트 보안을 설정 할 수 있습니다. 보안 포트를 설정하는 방법은 두 가지가 있습니다. Fa0/1에 switchport port-security mac-address 0200.1111.1111 명령어로 서버의 MAC 주소를 설정하는 방법이 하나 있고, switchport mode access 명령으로 먼저 access 모드로 만든 후, switchport port-security 명령으로 원하는 MAC 주소를 설정하는 방법이 두 번째입니다. 이 때, 보안 포트로 만들고자 하는 인터페이스가 트렁크 모드이면 설정이 되지 않습니다.
[포트 보안 설정 예시]
s5(config)#int fa 0/23
s5(config-if)#sw port-security mac-address 0200.1111.1111
sh run
interface FastEthernet0/23
switchport port-security mac-address 0200.1111.1111
interface FastEthernet0/23
switchport mode access
switchport port-security
!!
interface GigabitEthernet0/1
!
s5#conf t
Enter configuration commands, one per line. End with CNTL/Z.
s5(config)#int fa 0/23
s5(config-if)#sw mo tr
Command rejected: A Secure port can not be configured to 'trunk' mode
s5(config-if)#
포트 보안은 인터페이스 하나당 MAC 주소 한 개만 기본으로 사용할 수 있지만, switchport port-security maximum 명령으로 최대 132개까지 설정 할 수 있습니다. 기본적으로 다른 MAC 주소가 특정 인터페이스를 사용하려고 시도하면 그 인터페이스를 여지없이 셧다운시킵니다. switchport port-security violation 명령으로 기본 동작을 바꿀 수 있습니다.
s5(config-if)#sw port-security maximum ? -> 최대 주소를 설정할 수 있습니다.
<1-132> Maximum addresses
s5(config-if)#sw port-security maximum 132 ?
s5(config-if)#sw port-security violation ? -> 세 가지 모드가 보이죠.
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
s5(config-if)#switchport port-security violation shutdown
s5#sh port-security inter fa0/23
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 132
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address : 0000.0000.0000
Security Violation Count : 0
switchport port-security mac-address sticky 명령은 스위치로 들어오는 첫 번째 프레임의 MAC 주소를 배워서 이 MAC 주소를 현재 설정 정보(running configuration)에 추가시킵니다.
예시에서 보이 듯이, 보안 위반(security violation)은 fa 0/1에서 보안 위반이 발생한 반면, fa 0/2에서는 정상적이죠. Show port-security interface fastethernet 0/1 명령어는 해당 인터페이스가 err-disabled 상태임을 보여주는데, 이것은 이 인터페이스가 비활성 상태라는 의미입니다. Fa0/1번에 연결 되어 있는 장비가 MAC 주소 0200.1111.1111를 사용하지 않죠. 따라서, fa0/1번 포트로 다른 MAC 주소가 들어오면 포트는 사용할 수 가 없습니다. 보안 위반의 기본 상태는 shutdown 상태입니다. 따라서, 지정한 MAC 주소 외에 다른 MAC 주소가 접속을 시도하면, 포트 제가 shutdown 상태로 들어가고 이렇게 되면, 기존 허용한 MAC 주소도 접속할 수 없겠죠.
Fa0/2번 포트는 “secureup” 상태입니다. show running-config 명령으로 보면 2번 서버의 MAC 주소(0200.2222.2222)이 학습되었고, switchport port-security mac-address sticky 0200.2222.2222 명령으로 현재 설정 정보에 추가 되었다는 것을 알 수 있습니다. fa0/2번 포트에서 0200.2222.2222만 사용하고 싶으면, copy running-config start-config 명령어로 저장만 하면 끝납니다. (저장하지 않고 재부팅 시키면, sticky 설정은 남아 있지만 설정한 MAC 주소는 날라가 버리죠.)
여기까지 교재에 있는 내용이고,
아래는 2950 설정 가이드입니다. 참고하시기 바랍니다.
[Catalyst 2950 Desktop Switch Software Configuration Guide]
스위치는 세가지 유형의 보안 MAC 주소를 지원합니다.
- 정적 보안 MAC 주소(static secure MAC address) – switchport port-security mac-address mac-address 인터페이스 설정 명령으로 직접 수동으로 설정해서 맥주소 테이블에 들어가고 스위치의 현재 설정 정보(running-configuration)에 추가된다.
- 동적 보안 MAC 주소(dynamic secure MAC address)-동적으로 구성. 맥주소 테이블에만 저장되고 스위치가 다시 시작 될 때, 제거 된다.
- 스티키 보안 MAC 주소(sticky secure MAC address)-동적으로 구성. 맥주소 테이블에 저장되고, 현재 설정 정보에 추가된다. 이 주소가 설정 파일에 저장되면, 스위치가 다시 시작될 때, 해당 인터페이스를 동적으로 재구성 할 필요가 없다.
인터페이스의 보안 MAC 주소 유형에서 동적 MAC 주소를 스티키 보안 MAC 주소로 바꾸어 sticky learing을 활성화하여 현재 설정 정보에 추가할 수 있다. 스티키 러닝을 활성화 하기 위해, switchport port-security mac-address sticky 인터페이스 설정 명령을 입력한다. 이 명령을 입력하면 모든 인터페이스는 동적 보안 MAC 주소로 전환된다. 여기에는 스티키 러닝이 활성화 되기 전에 동적으로 배웠던 MAC 주소도 포함된다. 해당 인터페이스들은 모든 스티키 보안 MAC 주소를 현재 설정에 추가한다.
스티키 보안 MAC 주소는 동적으로 스위치가 재 시작할 때마다 사용하는 start-up 설정 정보에 들어가지 않는다. 스티키 보안 MAC 주소를 startup 설정 파일에 저장하면, 스위치가 다시 시작할 때 해당 인터페이스들이 MAC 주소를 다시 배울 필요가 없다. 스티키 보안 MAC 주소를 저장하지 않으면, 설정된 정보들이 모두 날라가 버린다.
포트 보안이 비 활성 상태가 되면, 스티키 보안 MAC 주소는 현재 설정 정보에 남아 있다. 스티키 러닝을 비 활성화하려면, no switchport port-security mac-address sticky 인터페이스 설정 명령을 입력하면 된다. 스티키 러닝이 비 활성화 되어 있거나 현재 설정 정보를 제거하면, 스티키 보안 MAC 주소는 현재 설정 정보의 일부로 남아 있지만 맥 주소 테이블에서는 제거 된다. 제거된 주소들이 동적으로 재구성될 수 도 있고 동적 주소로 맥 주소 테이블에 추가 될 수 있다.
주의) 스티키 러닝이 비 활성 상태면, 스위치가 다시 시작되거나 인터페이스가 셧다운 될 때, 동적으로 배운 모든 MAC 주소는 제거 된다.
참고 사항)
포트 보안 설정 지침 사항(Port Security Configuration Guidelines)
- 포트 보안은 정적 액세스 포트(static access-port)에서만 설정 할 수 있다.
- 보안 포트(port security)는 동적 액세스 포트나 트렁크 포트에서는 설정 할 수 없다.
- 보안 포트(port security)는 SPAN(Switch Port Analyzer)의 목적지 포트가 될 수 없다.
- 보안 포트(port security)는 패스트 이터채널(Fast EtherChannel)이나 기가 비트 이더채널(Gigabit EtherChannel) 포트 그룹이 될 수 없다.
- 보안 포트(port security)는 802.1X 포트가 될 수 없다.
- 보이스 VLAN(voice VLAN)에 정적 보안 MAC 주소를 설정할 수 없다.
- 보이스 VLAN에 포트 보안을 활성화할 때, 해당 포트에 최소 두 개의 MAC 주소를 보안 주소로 허용하도록 설정 해야 한다. 포트가 Cisco IP 폰에 연결 될 때, IP 폰은 액세스 VLAN의 MAC 주소와 보이스 VLAN의 MAC 주소를 요구한다. 따라서, 최소 두 개의 MAC 주소를 설정해야 한다. PC를 IP 폰과 연결 할 때는 추가로 MAC 주소가 필요하다.
더 헷갈리게 한 건 아닌지 모르겠습니다.
Netguide CCNA 교육담당 배남이
※ 출처: Netguide