블로그 이미지
No pain, no gain!
lepoussin

Tag

Notice

Recent Post

Recent Comment

Recent Trackback

Archive

calendar

1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
  • total
  • today
  • yesterday
03-29 16:54

'Lecture/ICND'에 해당되는 글 16건

  1. 2009.07.08 [CCNA] ICND 강좌 16편
  2. 2009.07.08 [CCNA] ICND 강좌 15편
  3. 2009.07.08 [CCNA] ICND 강좌 14편
  4. 2009.07.08 [CCNA] ICND 강좌 13편
  5. 2009.07.08 [CCNA] ICND 강좌 12편
2009. 7. 8. 16:28 Lecture/ICND

포트 보안 설정 (Port Security Configuration)

포트 보안 설정만 마치면, 스위치 기본과정은 끝이 나겠네요. 관리자가 되면, 스위치의 특정 포트에 특정 장비만 접속할 수 있도록 제한할 수 있어요. 잘못된 장비가 특정 인터페이스로 접속을 시도하면, 스위치는 그 장비에서 보내는 프레임을 폐기하거나 포트 자체를 셧다운 시킵니다.

 

포트 보안을 구성하기 위해서는 몇 가지 설정이 필요합니다. switchport port-security 인터페이스 설정 명령으로 해당 포트에 보안을 활성화합니다.  2950 스위치 IOS 에서는 다른 스위치와 연결 되지 않은 포트만 보안 포트가 될 수 있습니다. (다른 스위치와 연결 되더라도 trunk로만 연결 시키지 않으면 상관 없다.) 스위치 포트 모드를 액세스 모드로만 지정하면 되겠죠. 설정을 하려면 switchport mode access 명령어를 사용하면 됩니다. 그런 다음, switchport port security mac-address mac-address 명령어로 MAC 주소를 정적으로 설정할 수 있습니다.

                

[포트 보안 구성 예시]

 

 

 

그림의 서버 1과 월급 서버는 fa0/1번 포트와 fa0/2번 포트에 연결 되어 있고, 이 포트에 해당 서버의 MAC 주소만 접속할 수 있도록 포트 보안을 설정 할 수 있습니다. 보안 포트를 설정하는 방법은 두 가지가 있습니다.  Fa0/1에 switchport port-security mac-address 0200.1111.1111 명령어로 서버의 MAC 주소를 설정하는 방법이 하나 있고, switchport mode access 명령으로 먼저 access 모드로 만든 후, switchport port-security 명령으로 원하는 MAC 주소를 설정하는 방법이 두 번째입니다. 이 때, 보안 포트로 만들고자 하는 인터페이스가 트렁크 모드이면 설정이 되지 않습니다.

 

[포트 보안 설정 예시]

 

s5(config)#int fa 0/23

s5(config-if)#sw port-security mac-address 0200.1111.1111

 

sh run

interface FastEthernet0/23

 switchport port-security mac-address 0200.1111.1111

 

interface FastEthernet0/23

 switchport mode access

 switchport port-security

!!

interface GigabitEthernet0/1

!

s5#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

s5(config)#int fa 0/23

s5(config-if)#sw mo tr

Command rejected: A Secure port can not be configured to 'trunk' mode

s5(config-if)#

 

포트 보안은 인터페이스 하나당 MAC 주소 한 개만 기본으로 사용할 수 있지만, switchport port-security maximum 명령으로 최대 132개까지 설정 할 수 있습니다. 기본적으로 다른 MAC 주소가 특정 인터페이스를 사용하려고 시도하면 그 인터페이스를 여지없이 셧다운시킵니다. switchport port-security violation 명령으로 기본 동작을 바꿀 수 있습니다.

 

s5(config-if)#sw port-security maximum ?   -> 최대 주소를 설정할 수 있습니다.

  <1-132>  Maximum addresses

s5(config-if)#sw port-security maximum 132 ?

 

 

s5(config-if)#sw port-security violation ?               -> 세 가지 모드가 보이죠.          

  protect   Security violation protect mode

  restrict  Security violation restrict mode

  shutdown  Security violation shutdown mode

                                                                  

s5(config-if)#switchport port-security violation shutdown

 

s5#sh port-security inter fa0/23

Port Security              : Enabled

Port Status                : Secure-down

Violation Mode             : Shutdown

Aging Time                 : 0 mins

Aging Type                 : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses      : 132

Total MAC Addresses        : 1

Configured MAC Addresses   : 1

Sticky MAC Addresses       : 0

Last Source Address        : 0000.0000.0000

Security Violation Count   : 0

 

 

switchport port-security mac-address sticky 명령은 스위치로 들어오는 첫 번째 프레임의 MAC 주소를 배워서 이 MAC 주소를 현재 설정 정보(running configuration)에 추가시킵니다.

 

예시에서 보이 듯이, 보안 위반(security violation)은 fa 0/1에서 보안 위반이 발생한 반면, fa 0/2에서는 정상적이죠. Show port-security interface fastethernet 0/1 명령어는 해당 인터페이스가 err-disabled 상태임을 보여주는데, 이것은 이 인터페이스가 비활성 상태라는 의미입니다. Fa0/1번에 연결 되어 있는 장비가 MAC 주소 0200.1111.1111를 사용하지 않죠. 따라서, fa0/1번 포트로 다른 MAC 주소가 들어오면 포트는 사용할 수 가 없습니다. 보안 위반의 기본 상태는 shutdown 상태입니다. 따라서, 지정한 MAC 주소 외에 다른 MAC 주소가 접속을 시도하면, 포트 제가 shutdown 상태로 들어가고 이렇게 되면, 기존 허용한 MAC 주소도 접속할 수 없겠죠.

 

Fa0/2번 포트는 secureup 상태입니다. show running-config 명령으로 보면 2번 서버의 MAC 주소(0200.2222.2222)이 학습되었고, switchport port-security mac-address sticky 0200.2222.2222 명령으로 현재 설정 정보에 추가 되었다는 것을 알 수 있습니다. fa0/2번 포트에서 0200.2222.2222만 사용하고 싶으면, copy running-config start-config 명령어로 저장만 하면 끝납니다. (저장하지 않고 재부팅 시키면, sticky 설정은 남아 있지만 설정한 MAC 주소는 날라가 버리죠.)

 

여기까지 교재에 있는 내용이고,

 

 

아래는 2950 설정 가이드입니다. 참고하시기 바랍니다.

 

[Catalyst 2950 Desktop Switch Software Configuration Guide]

스위치는 세가지 유형의 보안 MAC 주소를 지원합니다.

-         정적 보안 MAC 주소(static secure MAC address) switchport port-security mac-address mac-address 인터페이스 설정 명령으로 직접 수동으로 설정해서 맥주소 테이블에 들어가고 스위치의 현재 설정 정보(running-configuration)에 추가된다.

-         동적 보안 MAC 주소(dynamic secure MAC address)-동적으로 구성. 맥주소 테이블에만 저장되고 스위치가 다시 시작 될 때, 제거 된다.

-         스티키 보안 MAC 주소(sticky secure MAC address)-동적으로 구성. 맥주소 테이블에 저장되고, 현재 설정 정보에 추가된다. 이 주소가 설정 파일에 저장되면, 스위치가 다시 시작될 때, 해당 인터페이스를 동적으로 재구성 할 필요가 없다.

 

인터페이스의 보안 MAC 주소 유형에서 동적 MAC 주소를 스티키 보안 MAC 주소로 바꾸어 sticky learing을 활성화하여 현재 설정 정보에 추가할 수 있다. 스티키 러닝을 활성화 하기 위해, switchport port-security mac-address sticky 인터페이스 설정 명령을 입력한다. 이 명령을 입력하면 모든 인터페이스는 동적 보안 MAC 주소로 전환된다. 여기에는 스티키 러닝이 활성화 되기 전에 동적으로 배웠던 MAC 주소도 포함된다. 해당 인터페이스들은 모든 스티키 보안 MAC 주소를 현재 설정에 추가한다.

 

스티키 보안 MAC 주소는 동적으로 스위치가 재 시작할 때마다 사용하는 start-up 설정 정보에 들어가지 않는다. 스티키 보안 MAC 주소를 startup 설정 파일에 저장하면, 스위치가 다시 시작할 때 해당 인터페이스들이 MAC 주소를 다시 배울 필요가 없다. 스티키 보안 MAC 주소를 저장하지 않으면, 설정된 정보들이 모두 날라가 버린다.

 

포트 보안이 비 활성 상태가 되면, 스티키 보안 MAC 주소는 현재 설정 정보에 남아 있다. 스티키 러닝을 비 활성화하려면, no switchport port-security mac-address sticky 인터페이스 설정 명령을 입력하면 된다. 스티키 러닝이 비 활성화 되어 있거나 현재 설정 정보를 제거하면, 스티키 보안 MAC 주소는 현재 설정 정보의 일부로 남아 있지만 맥 주소 테이블에서는 제거 된다. 제거된 주소들이 동적으로 재구성될 수 도 있고 동적 주소로 맥 주소 테이블에 추가 될 수 있다.

 

주의) 스티키 러닝이 비 활성 상태면, 스위치가 다시 시작되거나 인터페이스가 셧다운 될 때, 동적으로 배운 모든 MAC 주소는 제거 된다.


참고 사항)

포트 보안 설정 지침 사항(Port Security Configuration Guidelines)

-         포트 보안은 정적 액세스 포트(static access-port)에서만 설정 할 수 있다.

-         보안 포트(port security)는 동적 액세스 포트나 트렁크 포트에서는 설정 할 수 없다.

-         보안 포트(port security)는 SPAN(Switch Port Analyzer)의 목적지 포트가 될 수 없다.

-         보안 포트(port security)는 패스트 이터채널(Fast EtherChannel)이나 기가 비트 이더채널(Gigabit EtherChannel) 포트 그룹이 될 수 없다.

-         보안 포트(port security)는 802.1X 포트가 될 수 없다.

-         보이스 VLAN(voice VLAN)에 정적 보안 MAC 주소를 설정할 수 없다.

-         보이스 VLAN에 포트 보안을 활성화할 때, 해당 포트에 최소 두 개의 MAC 주소를 보안 주소로 허용하도록 설정 해야 한다. 포트가 Cisco IP 폰에 연결 될 때, IP 폰은 액세스 VLAN의 MAC 주소와 보이스 VLAN의 MAC 주소를 요구한다. 따라서, 최소 두 개의 MAC 주소를 설정해야 한다. PC를 IP 폰과 연결 할 때는 추가로 MAC 주소가 필요하다.


더 헷갈리게 한 건 아닌지 모르겠습니다.


Netguide CCNA 교육담당 배남이


※ 출처: Netguide

posted by lepoussin
2009. 7. 8. 16:26 Lecture/ICND

설정 정보들을 확인 하는 show 명령어들을 한 번 살펴 볼까요...

 

Show interface fastethernet 0/13 명령어는 인터페이스의 기본 상태와 설정 정보를 보여줍니다. 이 인터페이스가 동작하고 있는 PC와 연결되어 있으면, up, up상태를 보여줍니다. 인터페이스가 동작하지 않으면, 프로토콜 상태가 up이 안 되겠죠.

 

s5#show interfaces fastEthernet 0/13

FastEthernet0/24 is up, line protocol is up (connected)

  Hardware is Fast Ethernet, address is 000c.857b.a458 (bia 000c.857b.a458)

  MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,

     reliability 255/255, txload 1/255, rxload 1/255

  Encapsulation ARPA, loopback not set

  Keepalive set (10 sec)

  Half-duplex, 10Mb/s

  input flow-control is off, output flow-control is off

  ARP type: ARPA, ARP Timeout 04:00:00

  Last input 00:00:01, output 00:00:06, output hang never

  Last clearing of 'show interface' counters never

  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

 

 

모든 인터페이스를 한꺼번에 확인하려면 이 명령어를 쓰세요. 한 줄에 속도, 듀플렉스 타입, 네고형태를 확인할 수 있습니다.

 

s5#show interfaces status

PortName       Status       Vlan        Duplex   Speed Type

Fa0/1            notconnect   1            auto   auto 10/100BaseTX

Fa0/2            notconnect   1            auto   auto 10/100BaseTX

Fa0/3            notconnect   1            auto   auto 10/100BaseTX

Fa0/4            notconnect   1            auto   auto 10/100BaseTX

Fa0/5            notconnect   1            auto   auto 10/100BaseTX

Fa0/6            notconnect   1            auto   auto 10/100BaseTX

Fa0/24           connected    1          a-half   a-10 10/100BaseTX

Gi0/1            notconnect   1            auto   auto 10/100/1000BaseTX

Gi0/2            notconnect   1            auto   auto 10/100/1000BaseTX

 

 

브리지 테이블에서 동적으로 배운 맥주소를 확인하는 명령어는

show mac-address-table dynamic 입니다.

 

s5#show mac-address-table dynamic

          Mac Address Table

-------------------------------------------

Vlan    Mac Address       Type        Ports

----    -----------       --------    -----

   1    0000.0c92.d0c6    DYNAMIC     Fa0/24

   1    0000.0c92.d402    DYNAMIC     Fa0/24

   1    0000.0c92.d42e    DYNAMIC     Fa0/24

   1    0000.0c92.d5ae    DYNAMIC     Fa0/24

   1    0000.0c93.1fc5    DYNAMIC     Fa0/24

   1    0000.0c93.1fc8    DYNAMIC     Fa0/24

   1    0000.b494.f45b    DYNAMIC     Fa0/24

   1    0000.f06a.4e65    DYNAMIC     Fa0/24

   1    0010.7be8.5f7c    DYNAMIC     Fa0/24

   1    0050.bd78.f593    DYNAMIC     Fa0/24

   1    0060.5cf4.3b53    DYNAMIC     Fa0/24

   1    0090.8677.2900    DYNAMIC     Fa0/24

   1    00e0.4c39.02ad    DYNAMIC     Fa0/24

   1    00e0.4c99.5310    DYNAMIC     Fa0/24

Total Mac Addresses for this criterion: 14

s5#

 

아래 명령이랑 비슷하죠. Dynamic 옵션을 주면, 동적으로 배운 것만 나열하는 것을 제외하고는 동일합니다.


s5#show mac-address-table

          Mac Address Table

-------------------------------------------

 

Vlan    Mac Address       Type        Ports

----    -----------       --------    -----

 All    000c.857b.a440    STATIC      CPU

 All    0100.0ccc.cccc    STATIC      CPU

 All    0100.0ccc.cccd    STATIC      CPU

 All    0100.0cdd.dddd    STATIC      CPU

   1    0000.0c92.d055    DYNAMIC     Fa0/24

   1    0000.0c92.d0c6    DYNAMIC     Fa0/24

   1    0000.0c92.d402    DYNAMIC     Fa0/24

   1    0000.0c92.d42e    DYNAMIC     Fa0/24

   1    0000.0c92.d5ae    DYNAMIC     Fa0/24

   1    0000.f06a.4e65    DYNAMIC     Fa0/24

   1    0010.7be8.5f7c    DYNAMIC     Fa0/24

   1    0050.bd78.f593    DYNAMIC     Fa0/24

   1    0060.5cf4.3b53    DYNAMIC     Fa0/24

   1    0090.8677.2900    DYNAMIC     Fa0/24

   1    00e0.4c39.02ad    DYNAMIC     Fa0/24

   1    00e0.4c99.5310    DYNAMIC     Fa0/24

Total Mac Addresses for this criterion: 21

s5#

 

show running-config 명령어는 기본 구성을 보여줍니다.

인터페이스 vlan 1에 설정되어 있는 IP 정보도 확인할 수 있습니다.

 

s5#sh running-config

Building configuration...

 

Current configuration : 1383 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname s5

!

enable secret 5 $1$aUuv$Fj9NqXUtBiFyYTTnHBoyr/

!

ip subnet-zero

!

no ip domain-lookup

!

spanning-tree mode pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

!

!

interface FastEthernet0/1

!

interface FastEthernet0/2

!

interface FastEthernet0/3

!

interface FastEthernet0/4

!

interface FastEthernet0/5

!

interface GigabitEthernet0/1

!

interface GigabitEthernet0/2

!

interface Vlan1

 ip address 192.168.1.99 255.255.255.0

 no ip route-cache

!

ip default-gateway 192.168.1.1

ip http server

!

!

line con 0

 exec-timeout 0 0

 password cisco

 logging synchronous

line vty 0 4

 password r

 login

line vty 5

 password cisco

 login

line vty 6 15

 login

!

end

 

s5#

 

현재 설정 정보를 copy running-config start-config 명령으로 저장하지 않고 스위치를 리로드 하면, 설정 정보가 모두 없어진 것을 확인할 것입니다. NVRAM에 저장이 되지 않았기 때문이죠. 설정 정보를 삭제하려면, erase startup-config 명령으로 NVRAM에 저장 되어 있는 startup-config 을 지우고 재시작(reload)하면 됩니다.

 

 

스위치 관리를 위한 기본적인 설정

 

특별히 다른 설정을 하지 않은 상태로 스위치가 부팅을 하면, VLAN 1에 있는 모든 포트가 살아나고 동작합니다. 뭔가 설정하고 싶으면, 다음과 같이 기본적인 사항을 설정해 주시면 됩니다.

 

s5(config)#hostname Netguide                스위치 이름 설정

Netguide(config)#enable secret cisco    enable secret 패스워드를 시스코로 설정

Netguide(config)#line con 0                

Netguide(config-line)#password sanfran 콘솔 패스워드 설정

Netguide(config-line)#login                  콘솔 접속시 패스워드 요구

Netguide(config-line)#line vty 0 15       

Netguide(config-line)#password sanfran 텔넷 패스워드 설정

Netguide(config-line)#login                  텔넷 접속시 패스워드 요구

** 콘솔 패스워드나 텔넷 패스워드는 사용자 모드에서 사용하는 패스워드이고, 관리자 모드로 들어가기 위해서는 enable 패스워드나 enable secret 패스워드를 입력해야 합니다. **

(주의!) enable 패스워드나 enable secret 모두 관리자 모드로 들어가기 위한 패스워드입니다. 둘 중 하나만 설정 되어 있으면 당연히 설정된 패스워드가 유효하겠죠. 그러나, 둘 다 설정 되어 있으면 enable secret 패스워드만 유효합니다. enable 패스워드는 암호화 되더라도 패스워드를 깨기가 쉽다고 합니다. 이에 비해, enable secret는 패스워드 값을 저장하기 위해 해쉬(hash) 알고리즘을 사용하기 때문에 패스워드 깨기가 좀 더 어렵고, 따라서 더 안전한 방법이 되겠죠.

 

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

!enable secret 5 $1$aUuv$Fj9NqXUtBiFyYTTnHBoyr/

enable password r     -> 암호화 되어 있지 않죠. 이것을 암호화 시키려면

                            service password-encryption 을 활성화시켜야 합니다.

 

다음을 한 번 볼까요

s5(config)#service password-encryption

s5(config)#^Z

s5#

s5#sh run

Building configuration...

 

Current configuration : 1458 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

enable secret 5 $1$aUuv$Fj9NqXUtBiFyYTTnHBoyr/

enable password 7 071D

!

!

 

Netguide(config-line)#interface fastethernet 0/24        인터페이스 설정모드로 들어가는 명령어

Netguide(config-if)#speed 100                        오토네고 대신 속도를 100Mbps로 설정

Netguide(config-if)#duplex half                       오토네고 대신 듀플렉스 유형을 반이중                                                                           으로 설정

 

**속도와 듀플렉스을 바꾸고 나면, 잠시 동안 인터페이스가 다운됩니다. 상대편과 다시 네고를 하기 위해서죠. 네고가 성립되면, 다시 살아나고 이런 과정이 콘솔상에 나타납니다. 속도가 맞지 않으면 통신이 끊어집니다.

 

 

다음은 shutdown과 no shutdown 명령어를 볼까요.

shutdown 명령어는 관리자가 인위적으로 해당 포트를 죽여서 트래픽을 전송을 막는 것입니다. no shutdown 명령어로 다시 살릴 수 있고, 라우터에서도 마찬가지입니다. (참고하세요. IOS기반 명령어는 앞에 no를 추가하여 기존 명령을 쉽게 취소할 수 있습니다. 스위치나 라우터에서 no 한 칸 띄우고 ? 를 치면, 쭈루룩 no와 함께 쓸 수 있는 명령어가 나옵니다.)

 

스위치에 텔넷으로 접속해서 관리하기 위해서 IP 주소가 필요합니다. 또 일반 PC처럼, 원격과 통신하기 위해서 디폴트 게이트웨이(default gateway)를 알아야 합니다. 이 주소는 라우팅 기능이 있는 장비(라우터 또는 3계층 스위치)의 IP 주소입니다. 스위치는 IP 패킷을 라우터로 보내고, 라우터는 스위치와 다른 세그먼트에 있는 호스트에게 이 패킷들을 전송합니다. IP default-gateway 명령과 함께 주소만 입력하면 되죠.(서브넷 마스크는 필요없어요.) 

 

interface vlan 1 명령어로 인터페이스에 들어가서 IP 주소와 서브넷 마스크를 입력하면 됩니다.

 

자 그럼, 이제 기본 설정은 끝났군요. 애써 설정한 사항들이 날아가버리면 안 되니까, copy running-config startup-config 명령으로 저장합니다. (607 과정에 나왔던 1900 시리즈는 설정과 함께 NVRAM에 바로 저장 되기 때문에, 따로 저장할 필요가 없었죠. )

 

그리고, 항상 자신이 설정한 내용을 show 명령어로 확인하는 것이 중요합니다.

 

오늘은 몇 가지 명령어들을 살펴 보았습니다.

 

다음시간에 포트 보안(port security)에 대해서 살펴 보겠습니다.

 

Netguide CCNA 교육담당 배남이


※ 출처: Netguide

posted by lepoussin
2009. 7. 8. 16:25 Lecture/ICND

오늘은 unknown unicast, 브로드캐스트 포워딩, 스위치의 로직에 대해서

간단하게 살펴 보고 실제 catalyst 2950 스위치 명령어를 정리해 보겠습니다.

 

1. 목적지를 모르는 유니캐스트(Unknown Unicasts)와 브로드캐스트 포워딩

 

여기서 목적지를 모른다는 의미는 프레임 머리에 있는 목적지 맥 주소가 아직 맥주소 테이블 명단에 올라가지 않았다는 얘기입니다. 스위치는 이런 프레임을 받으면 비록 유니캐스트이지만 브로드캐스트와 똑같이 처리합니다. 어떻게 하냐고 물으시면, 이 프레임이 들어온 포트만 빼고 스위치의 모든 포트로 포워딩 시키는 거죠. 그런데 스위치가 이 프레임을 그냥 포워딩 시키는  건 아니고, 같은 LAN에 있는 이 목적지 맥주소의 주인인 장비가 대답을 해 줄거라는 희망을 안고^^ 포워딩시킵니다. 이 맥주소가 어느 포트에 있다는 것을 알려주면, 스위치는 자신의 맥주소 테이블에 한 줄 추가시키고 그 다음부터는 고민 하지 않고 바로 해당 포트로 보내면 끝납니다.

 

그냥 일반적으로 얘기하면, 스위치는 멀티캐스트 프레임도 브로드캐스트 프레임처럼 모든 포트로 포워딩합니다. 그러나, IGMP 스누핑과 같은 일부 특색 있는 멀티캐스트는 플러딩이 제한된다고 합니다.

 

 

2. LAN 스위치 로직 정리

 

지금까지 스위치 로직에 대해서 살펴봤는데, 간단하게 몇 마디로 정리를 한 번 해 보겠습니다.

1.       스위치가 프레임을 하나 받는다.

2.       프레임 머리에 있는 맥주소가 멀티캐스트나 브로드캐스트이면 해당 프레임을 받 은 포트를 제외한 모든 포트로 포워딩시킨다.

3.       목적지 맥주소가 맥주소 테이블에 없는 유니캐스트 프레임이 오면 이것도 해당 프레임을 받은 포트를 제외한 모든 포트로 포워딩시킨다.

4.       그럼, 목적지 맥주소가 맥주소 테이블에 있는 유니캐스트 프레임이 오면 당연히 맥주소 테이블에 있는 그 포트로 포워딩하겠죠.(단, 테이블에 있는 포트가 프레임이 들어온 포트가 아닐 때)

5.       위에 얘기하지 않은 프레임은 필터 되는 거구요.

 

 

3. Cisco 2950 스위치 기본 설정 명령어

 

여기 나오는 명령어들을 한 번 봐 두시면, 앞으로 배울 STP, VLAN, Trunking 공부할 때, 도움이 많이 될 겁니다.

 

 

[표 Catalyst 2950 스위치에 사용되는 명령어들]

 

명령어

설명

interface vlan 1

VLAN 인터페이스로 들어가기 위한 전역설정 모드 명령어

Ip address address subnet-mask

스위치 접속용으로 사용되는 IP 주소를 설정하는 인터페이스 설정 모드 명령어

Ip default-gateway address

관리용 인터페이스가 원격 네트워크에 접속하기 위해 설정하는 전역 설정 명령어

interface fastethernet 0/x

해당 인터페이스로 들어가기 위한 인터페이스 설정 모드 명령어

duplex {auto |full| half}

인터페이스의 듀플렉스 유형을 맞추기 위한 인터페이스 설정 모드 명령어

speed {10|100|1000|auto|nonegotiate}

인터페이스의 속도를 맞추기 위한 인터페이스 설정 모드 명령어

switchport port-security mac-address mac-address

특정 인터페이스에 특정 MAC 주소만 허용하기 위한 인터페이스 설정 모드 명령어

switchport port-security mac-address sticky

스위치가 해당 인터페이스의 맥주소를 배워서 그 맥 주소를 해당 인터페이스에 보안(secure) 맥주소로 설정하는 인터페이스 하위명령어(Subcommand)

switchport port-security maximum value

단일 인터페이스에 할당할 수 있는 정적 보안 맥 주소의 최대값을 설정하는 전역 설정 명령어

switchport port-security violation {protect | restrict | shutdown}

부적당한 MAC 주소가 secure 스위치 포트를 통해 네트워크에 접속을 시도할 때, 스위치가 어떻게 할 지를 알려주는 전역 설정 명령어

hostname name

스위치의 이름을 설정하는 명령어

line con 0

콘솔 설정 모드에서 사용자의 위치를 확인하는 전역 설정 모드 명령어

line vty 0 15

vty 설정 모드에서 사용자의 위치를 확인하는 전역 설정 모드 명령어

login

콘솔 사용자나 텔넷 사용자용 패스워드를 요구하도록 하는 콘솔 또는 vty 설정 모드 명령어

password password

패스워드를 설정하는 콘솔 또는 vty 설정 모드 명령어

enable secret password

스위치의 enable 패스워드를 설정 하는 전역 설정 명령어. 해쉬 형태로 저장되기 때문에 설정 정보를 보더라도 정확한 패스워드를 확인할 수 없다.

enable password

스위치의 enable 패스워드를 설정 하는 전역 설정 명령어. Enable secret 패스워드와 함께 설정할 수 있다.

configure terminal

설정모드로 들어가는 명령어

Show interface fastethernet 0/x

물리적인 10/100 인터페이스 상태를 나타내는 명령어

Show interface vlan 1

IP 설정 정보를 보여주는 명령어

show interface [interface-id | vlan vlan-id]

[description | etherchannel | pruning | stats | status [err-disabled] | switchport | trunk]

여러가지 옵션과 함께 특정 인터페이스 정보를 나타내는 포괄적인 명령어

 

Show running-config

현재 돌아가는 설정을 보여 주는 명령어

Show startup-config

스위치가 재부팅 된 후에 사용되는 start-config를 보여주는 명령어

show mac address-table [aging-time | count | dynamic | static ] [address gw-addr] [interface interface-id] [vlan vlan-id]

맥주소 테이블을 보여주는 명령어. 보안 옵션은 제한(restricted)또는 정적(static) 설정에 대한 정보를 보여준다.

show port-security [interface interface-id] [address]

인터페이스에 설정된 보안 옵션에 대한 정보를 보여주는 명령어

erase startup-config

startup-config 파일을 지우는 명령어

show version

스위치의 소프트웨어 버전에 관한 정보를 보여주는 명령어

reload

스위치의 모든 하드웨어와 소프트웨어를 재시작하는 명령어



다음 시간에는 이 명령어들을 사용해서 몇 가지 설정을 한 번 해 보겠습니다.


다음 시간에...


Netguide CCNA 교육담당 배남이


※ 출처: Netguide

posted by lepoussin
2009. 7. 8. 16:24 Lecture/ICND

어제에 이어 오늘 또 스위치에 대해서 한 번 알아볼까요?

오늘은 Forward 와 Filter 결정 과정 비교MAC 주소를 배우는 방법에 대해서 알아보겠습니다. 제목에서 알 수 있겠죠. 스위치가 자신의 맥주소 테이블을 확인하고 해당 프레임을 전송할 것인지 막을 것인지를 결정하는 데 어떤 차이가 있는 지를 알아보고 스위치가 MAC 주소를 어떻게 알게 되는지도 공부하겠습니다 

 

1. Forward 와 Filter 결정 과정 비교

 

우선 그림부터 보죠. 스위치는 맥주소 테이블을 확인하고 프레임을 보낼지 말지 또 어떤 인터페이스(포트)를 통해 보낼지를 결정한다는 건 이미 아실 테고, 이 내용을 그림으로 한 번 확인하겠습니다. 확인이 중요하죠^^

 

 

 

그림에서 PC A에서 0200.2222.2222로 가는 프레임이 E0 포트로 들어오면, 이 프레임은 그냥 FILTER 됩니다. 왜냐고 물으시면? 맥주소 테이블을 보세요. 스위치는 맥주소 테이블

정보를 보고 같은 포트에 있다는 걸 확인하고 전송할 필요가 없다는 걸 알고 막아버리죠.

 

그럼, 0200.3333.3333으로 가는 프레임이 E0 포트에 들어오면 역시 맥주소 테이블에서 E1 포트에 있음을 확인하고 해당 포트로 FORWARD 시킵니다.

(FILTER와 FORWARD)의 차이는 확실하게 구분하셨죠

 

 

 

2. 스위치가 MAC 주소를 배우는 방법

 

알고 계신 것처럼, 스위치는 네트워크에 있는 MAC 주소의 위치를 알고 있으면 Filter와 Forward가 제대로 동작합니다. 그런데 스위치들이 이 MAC 주소의 위치를 어떻게 알까요? 누가 가르쳐 줄까요? 음 누가 가르쳐 주는 건 아니고, 동적으로 MAC 주소를 배워서 맥주소 테이블을 채워나갑니다. 완전하면서 정확한 맥주소 테이블이 있으면, Forwarding 이나 Filtering 결정도 정확하게 할 수 있겠죠.

 

그렇다면, 스위치는 어떻게 맥주소 테이블을 채울까요? 스위치는 모든 포트로 들어오는 프레임에 귀를 기울이면서 들어오는 프레임의 머리를 검사합니다. 프레임 한 개가 스위치에 딱 들어왔을 때, 스위치는 이 프레임 머리에 있는 발신지 맥주소가 맥주소 테이블에 있는 지를 점검합니다. 있으면, 고민 할 것 없이 해당 포트로 내보내면 되죠. 없으면, 음 할 일이 생겼군 그러면서 맥주소 테이블에 명단을 올립니다. 맥주소와 들어온 포트를 한 줄 만드는 거죠. 간단하죠. 처음에는 맥주소 테이블이 텅 비어 있다가 프레임이 들락날락하면서 맥주소 테이블 명단이 점점 늘어나는 겁니다.  

 

이해가 되셨기를 바라면서 다음 시간에 뵙겠습니다

 

Netguide CCNA 교육담당 배남이


※ 출처 : Netguide

posted by lepoussin
2009. 7. 8. 16:20 Lecture/ICND

LAN Switching 맛보기

 

1. LAN 스위치가 어떤 일을 할까요?

이더넷 프레임을 forward(전송) 해야 때와 하지 말아야 때를 결정해서 프레임을 전송하는 장비라고 있겠죠. 이더넷 프레임은 LAN 통해 전달 되는데 프레임 머리(헤더라고들 하죠) 발신지와 목적지 MAC 주소가 들어 있습니다. 스위치들은 프레임 헤더에 들어 있는 MAC 주소를 확인하고 프레임을 전송하는 거죠. 그럼, MAC 주소 종류에 어떤 것이 있나 간단하게 살펴 볼까요.


우선 IEEE 이더넷상의 MAC 주소 유형을 세가지로 정의하고 있습니다.

-         Unicast 주소 : LAN 인터페이스 카드 하나만 확인하는 유일한 주소죠. 인터페이스에 찍혀 있고, 주민등록번호처럼 변경할 없는 주소라고 하네요.

-         Broadcast 주소 : 헥사값으로 FFFF.FFFF.FFFF이고, 프레임이 브로드캐스트 주소라는 것은 하나의 LAN 있는 모든 장비들이 프레임을 받고 브로드캐스트 주소로 프레임을 보내는 과정을 포함합니다. 식으로 생각하자면, 같은 LAN 세그먼트에 있는 모든 장비가 맥주소 FFFF.FFFF.FFFF 프레임은 받는다는 얘기입니다.

-         Multicast 주소 : 하나의 LAN 세그먼트에 장비 중에서 프레임에 관심이 있는 장비한테만 프레임을 전송하는 것인데, 관심이 있는 장비한테만 프레임을 날리니까, 프레임을 수신하는 장비가 대도 없을 수도 있고, 대일 수도 있어요. 일부 응용프로그램들을 사용하려면 여러 장비와 통신해야 경우가 있는데 이럴 멀티캐스트 주소를 사용합니다.    요약하면, 멀티캐스트 주소가 있는 프레임 하나를 보낼 , 데이터에 관심이 장비들만 프레임을 처리하고 나머지 관심 없는 장비들은 프레임을 무시한다는 얘기입니다.


주소들을 문장으로만 표현하라면, 유니캐스트 주소는 장비 하나에 매인 ^^ 이고, 브로드캐스트 주소는 같은 LAN이라면 모든 장비를 돌아다닐 있는 free-address^^, 멀티캐스트 주소는 정해진 장비로만 있는 주소입니다.

 

그럼, 위의 세가지 주소를 기억하시면서 LAN 스위치(WAN 스위치와 구별하기 위해서 LAN 스위치라고 하는데 다음부터는 그냥 스위치로 하겠습니다.) 놈의 로직에 대해서 알아봅시다. 기본적으로 스위치는 자신의 인터페이스(포트) 들어오는 모든 프레임에 대해 귀를 기울입니다.(스위치에 귀가 있나여^^) ? 미국사람들은 Linsten 한다고 하더군요. 귀를 기울이고 있다가 프레임을 받은 후에 스위치는 프레임을 포워드할 말지를 결정하고 포워드한다면 어떤 포트로 보내야 지를 결정하기 위해 다음과 같이 가지 일을 합니다.(세가지만 하면 되니까 단순하져)

        -         Learning (배우기스위치가 받는  프레임의 발신지(source) 맥주소를 검사
               해서
 MAC 주소를 배웁니다 배운다는 말은 스위치 맥주소 테이블(MAC Address 
                    Table)
 어떤 맥주소가 어떤 포트를 통해 들어 왔다는 정보로 테이브를 채워나간다
               는
 의미입니다 일을 통해 스위치는  채워진 맥주소 테이블을 보고 제대로 프레
               임을
 전송할  있는 것이죠.

-         Forwarding or filtering(보내기 또는 걸러 막기) ? 스위치가 하는  번째 일은 프레임을 보내야   아니면 막아야  지를 결정하는 것입니다블락킹이란 표현을 쓰면 무조건  막는 다는의미지만 스위치는 filtering 걸러 막기를 합니다해당하지 않는 프레임만 막는 거죠그럼 보고 거르는 걸까요목적지 맥주소를 보고 판단합니다배우기(learning)에서는 발신지 주소를확인하지만여기서는 목적지  주소를 확인하는 거죠여기서 보내기나 걸러 막기를 결정 짓는맥주소는 배우기(learing) 단계를 거치면서 채워진 맥주소 테이블에 있는 것입니다.

-         Loop prevention(루프 예방스위치는 스패닝 트리 프로토콜(Spanning Tree Protocol) 사용해서 루프가 없는 환경을 만든다고 합니다. (혹시 헷갈리실  같아서 사족을 달자면물리적으로 이중화 구성이 아니라면 루프에 대해 걱정할 필요는 없습니다하지만 대부분 물리적으로 이중화 구성이죠이런 환경에서 STP 돌아가지 않으면  LAN 연결된 모든 스위치들이 주황색불을 깜빡 거리고전화 받느라고 정신 없겠죠빨리 해결 못하면 회사에서 잘리고,,, 등등 많은 문제들이 생깁니다.) 그러나 걱정 하지 않으셔도 되는  STP 모든 스위치에 기본(Default)이기때문에 스위치 박스를 열고 전원을 넣으면 특별한 설정 없이 그냥 돌아가서 루프 없는 좋은 LAN나라^^ 만든답니다. (STP 대해서는 따로  장을 떼서   자세히 다룰 예정입니다.)


,,, 스위치가 24시간 365 어떤 일을 하느라 정신 없는지  감을 잡으셨나요?

오늘은 제목이 ‘LAN 스위칭 맛보기’   정도만 하고,(Cisco2950 맥테이블이 이렇다 하는 것만 보시고)내일  부분에 대해서   자세하게 알아보시죠.

 

s5#sh mac-address-table 

 Mac Address Table

-------------------------------------------

 

Vlan    Mac Address       Type        Ports

----    -----------       --------    -----

 All    000c.857b.a440    STATIC      CPU

 All    0100.0ccc.cccc    STATIC      CPU

 All    0100.0ccc.cccd    STATIC      CPU

 All    0100.0cdd.dddd    STATIC      CPU

   1    0000.0c92.2ed7    DYNAMIC     Fa0/24

   1    0000.0c92.d42e    DYNAMIC     Fa0/24

   1    0000.0c93.1fc5    DYNAMIC     Fa0/24

   1    0050.bd78.f593    DYNAMIC     Fa0/24

   1    00e0.4c99.532c    DYNAMIC     Fa0/24

   1    00e0.4c99.5978    DYNAMIC     Fa0/24

Total Mac Addresses for this criterion: 10

s5#

 

Netguide CCNA 교육담당 배남이


※ 출처 : Netguide

posted by lepoussin