12일차-2 포트보안

포트보안의 종류

 ## Port Security ##

- 특정 포트에 지정된 MAC 주소를 가진 장비만 접속을 허용하는 기술. 

- 만약 지정된 MAC 주소가 아닌 다른 MAC을 가진 장비가 접속될 경우 자동으로 해당 포트를 down(err-disable)

  시킨다. (다운된 포트 확인은 [sh int status err-disabled] 명령어로 가능하다.)

  이렇게 다운된 포트는 문제를 해결한 후 관리자가 'shutdown'을 입력한 다음 다시 'no shutdown'을 입력해야 

  다시 활성화 된다.

- 특정 포트에 접속이 허용된 MAC 주소는 다른 포트에 접속할 수 없다.

- 포트 보안의 경우 static하게 설정된 access, trunk, tunnel 포트에서만 설정이 가능하다.

  (즉, 반드시 switchport의 모드를 수동으로 입력해야 한다.)

  L3포트(Routed 포트, SVI), Etherchannel 등에서는 설정이 불가능하다.

- 포트 보안에는 동적 포트 보안, 정적 포트 보안, 포트 sticky, 이렇게 3가지방식이 있다.

port-security 설정 내용.txt

1. 동적포트보안
끄면 사라진다.

##SW1

en
conf t
no ip domain lo
lin con 0
exec-t 0 0
logg sync
exit
ho SW1

int fa 0/1
switchport mo acc
switchport port-security
end
sh mac-address-table

//2초마다 교환하는 스위치끼리의 BPDU 때문에 SW2의 mac addr이 있다.

##router
en
p 10.10.10.3
//이러면 SW1의 mac테이블이 추가되었다.

##SW1
sh mac-addr-table
sh port-sec addr

##TEST_PC
en
conf t
int fa 0/0
mac-addr 0001.0001.0001

##SW1
sh port-sec
//침해한 Count가 1이 늘어났다.
포트를 차단시켰다.


int fa 0/1
shut
no shut
//보안으로 차단되었으므로
이것으로 복구할 수 있다.



//mac주소를 2개까지 늘린다.
conf t
int fa 0/1
switchport port-security maximum 2
end
sh port-security 


sh int fa 0/1


2. 정적포트보안

##SW1
en
conf t
int fa 0/2
switchport mode access
switchport port-security
switchport port-security mac-address 0004.9A39.3584
end
sh port-security address


int fa 0/2
switchport port-security maximum 3
switchport port-security mac-address 0001.0001.0001
switchport port-security mac-address 0002.0002.0002
end
sh port-security address




3. port-sticky

##SW1
conf t
int fa

##SW2
 
en
conf t
no ip domain lo
lin con 0
exec-t 0 0
logg sync
ho SW2
exit


en
conf t
int fa 0/10
switchport mode trunk
int fa 0/10
switchport port-security
switchport port-security mac-addr sticky 
switchport port-security maximum 4



##Test_PC, pc1,2
ping 10.10.10.100