::: ZOSEL ::: :: PVLAN 관련내용

1. Port Security.

Switch(config)# interface [interface name]

Switch(config-if)# shutdown

-> 이 다음에 나올 명령어를 치면 자동적으로 동적인 port security 가 적용이 되어버린다. 따라서 그 후의 이어지는 설정을 할 동안 만약 트래픽이 인터페이스로 들어왔을 경우 동적인 구성이 되어버리는 문제를 방지하기 위해 설정 이전에 인터페이스를 먼저 shutdown 해준다.

Switch(config-if)# switchport mode [trunk or access]

-> 적절한 모드를 설정해주시고,

Switch(config-if)# switchport port-security

-> 포트 보안 활성화. 동적인 포트보안이 실행된다.

Switch(config-if)# switchport port-security maximum [maximum address]

-> 포트 보안을 적용할 최대 주소 갯수를 설정하고,

Switch(config-if)# switchport port-security mac-address [MAC]

-> 포트 보안을 적용할 MAC 주소를 수동으로 지정한다.

Switch(config-if)# switchport port-security violation [restrict or protect or shutdown]

-> 포트 보안에 위반되는 트래픽 수신시 해당 인터페이스를 어떻게 할 것인지를 지정한다. 아무 옵션을 넣지 않을 경우에 기본은 shutdown이다.

2. PVLAN.

① Primary VLAN 설정

Switch(config)# vtp mode transparent

-> 이론에서 다루었듯이 PVLAN에서는 vtp 버전 2가 광고되지 않으므로 모드를 지정해준다.

Switch(config)# vlan [vlan-num]

Switch(config-vlan)# private-valn primary

-> 해당 vlan을 주 vlan으로 설정한다.

Switch(config-vlan)# private-vlan association [vlan-num]

-> 현재의 주 vlan 에 소속되는 secondary vlan 을 지정한다. 이 명령을 실행하기 전에 먼저 소속되는 secondary vlan 부터 정의해야만 한다.

② Secondary VLAN 설정

Switch(config)# vlan [vlan-num]

Switch(config-vlan)# private-vlan [community or isolated]

-> 해당 vlan 을 community 나 isolated 로 지정할 것인지를 결정한다. PVLAN은 오직 하나의 isolated 만 가질수 있다.

③ Promiscuous 포트 설정.

Switch(config)# interface [interface num]

Switch(config-if)# switchport mode private-vlan promiscuous

-> 해당 포트를 promiscuous 포트로 동작시킨다.

Switch(config-if)# switchport private-vlan mapping [pri vlan] [sec vlan]

-> 해당 포트가 사용할 primary vlan과 secondary vlan을 지정한다.

④ Host 포트 설정.

Switch(config)# interface [interface name]

Switch(config-if)# switchport mode private-vlan host

-> 해당 포트를 host 포트로 동작시킨다.

Switch(config-if)# switchport private-vlan host-association [pri vlan] [sec vlan]

-> 해당 포트에 primary vlan과 해당포트가 동작하는 secondary vlan을 소속시킨다.

Switch# show vlan private-vlan

-> PVLAN 설정 내용 확인.

3. VLAN Access Control List.

Swtich(config)# ip access-list extended [ACL name]

Switch(config-ext-nacl)# ~

-> VACL을 설정하기 위해 어느 ip 주소에 대하여 적용할 것인지 판단하기 위한 ACL을 설정한다. 라우트 맵에서 ACL을 설정하는 이유와 같다.

Switch(config)# vlan access-map [VACL name] [seq num]

-> VACL을 설정한다. 개념은 라우트 맵과 비슷하다.

Switch(config-access-map)# match ip address [ACL name]

Switch(config-access-map)# action [-]

Switch(config-access-map)# exit

-> 앞서 설정했던 ACL 에 대하여 매치가 일어났을때의 동작을 지정해준다.

Switch(config)# vlan access-map [VACL name] [seq num]

Switch(config-access-map)# action forward

Switch(config-access-map)# exit

-> VACL 또한 라우트 맵처럼 끝에 포워드 설정을 해주지 않으면 기본적으로 deny 되버리기 때문에 덧붙여 준다.

Switch(config)# vlan filter [VACL name] vlan-list [vlan-id]

-> 해당 VACL 을 어느 vlan 에 적용할 것인지를 결정해준다. 결국 VACL 은 VLAN 단위의 필터링이라 볼 수 있다.

4. 802.1x EAPoL Security.

Switch(config)# aaa new-model

-> 802.1x 인증을 실시하기 위해 AAA 기능을 시작해준다.

Switch(config)# aaa authentication dot1x default group radius

-> 802.1x 인증 서버와 RADIUS 를 사용하겠다는 설정이다.

Switch(config)# radius-server host [address] key [key string]

-> RADIUS 인증서버 주소를 지정 및 key 값을 설정한다.

Switch(config)# interface [interface num]

Switch(config-if)# dot1x port-control auto

-> 802.1x 인증을 실시할 포트에 들어가 802.1x 를 적용시킨다.

Switch(config-if)# dot1x host-mode multi-host

-> 만약 호스트와 스위치 사이에 무선랜 AP 가 연결되어 802.1x 인증을 실시하길 원한다면 다음과 같은 명령어를 추가해 줘야만 한다.

5. Switch Security Authentication.

- 일반적으로 Virtual-Line을 설정해야 외부에서 장비로 telnet 및 SSH 접속이 가능하다.

① Rx에서는 Telnet 계정 생성

Router(config)# enable secret cisco

Router(config)# line vty 0 4
Router(config-line)# login
Router(config-line)# password cisco

-> 이와 같은 설정이 없다면 원격에서 telnet으로 접속할 수 없다.

② TELNET Password 단계 없이 User mode로 접속하게 하는 구성

Router(config)# enable secret cisco

Router(config)# line vty 0 4
Router(config-line)# no login

-> password 묻는 단계를 지워주는 설정이다. 원래 telnet 의 경우에는 password 가 지정되지 않으면 아예 접속할 수 없으나 password 를 지정하고 login을 설정해주지 않으면 암호 없이 접근이 가능하다. 그래봐야 enable 암호를 모르면 막히긴 하겠지만...

Router(config-line)# password cisco

③ Level 5 계정을 생성 후 'Command' 를 제한하는 구성

Router(config)# enable secret level 5 cisco

-> level 5 계정을 생성한다.

Router(config)# privilege exec level 5 ping
-> 해당 계정은 특권 모드에서 ping 명령이 사용 가능하다.

Router(config)# privilege exec level 5 conf t

-> 헤딩 계정은 특권 모드에서 글로벌 전역 모드로 진입이 가능하다.
Router(config)# privilege configure level 5 interface

-> 해당 계정은 글로벌 전역 모드에서 인터페이스 진입이 가능하다.
Router(config)# privilege interface level 5 ip address

-> 해당 계정은 인터페이스 모드에서 ip 주소를 설정할 수 있다.

-> 위의 든 사항은 예일뿐이며 관리자 임의대로 해당 계정에 대한 권한 설정을 지정할 수 있다.

④ Level 5 계정을 생성 후 'Command' 를 제한하는 구성 및 ID와 Password 단계 구성, 로컬 인증 데이터베이스 사용

Router(config)# username admin privilege 15 password admin

-> 관리자의 레벨은 15이다. 사용자의 레벨은 이 15를 제외한 다른 수가 온다. 여기서 예로 설정한 것은 관리자의 이름은 admin 으로, 비밀번호 또한 admin으로 설정한 것이다.

Router(config)# username guest privilege 5 password guest

-> 사용자의 레벨은 15를 제외한 수가 온다. 여기서 예로 설정한 것은 사용자 이름은 guest 로, 비밀번호 또한 guest 로 설정한 것이다.

Router(config)# privilege exec level 5 ping
Router(config)# privilege exec level 5 conf t
Router(config)# privilege configure level 5 interface
Router(config)# privilege interface level 5 ip address

-> 해당 사용자 레벨에 대한 권한 설정이다. 앞서 설명한 바와 같다.

Router(config)# line vty 0 4
Router(config-line)# login local

-> 반드시 이설정을 해줘야만이 로그인시에 username 또한 물어보게 된다. username과 password 를 이용하여 로그인하면 관리자가 지정했던 해당 사용자 이름과 그 레벨에 매치되는 권한으로 동작하게 된다.

⑤ show ip route 정보 확인이 출력이 되면서 TELNET 연결이 자동 종료 되게 구성

Router(config)# username admin privilege 15 password admin

Router(config)# username guest privilege 5 password guest

Router(config)# username guest autocommand show ip route

-> 'show ip route' Command 실행시 자동 접속 종료하게 한다. 이 이후의 설정은 바로 앞과 동일하다.

Router(config)# privilege exec level 5 ping
Router(config)# privilege exec level 5 conf t
Router(config)# privilege configure level 5 interface
Router(config)# privilege interface level 5 ip address

Router(config)# line vty 0 4
Router(config-line)# login local

6. Switched Port Analyzer.

① Local SPAN 구성.

Switch(config)# monitor session [sess num] source interface [interface name] [in/out/both]

-> 해당 세션의 번호를 지정하고(모니터링하는 세션을 구분하기 위한), 어떤 인터페이스에서 rx, tx, 혹은 둘다 모니터링 할 것인지를 source interface로 지정한다.

Switch(config)# monitor session [sess num] destination interface [interface name]

-> 해당 세션의 번호를 지정하고 모니터링하는 인터페이스에 대한 트래픽을 모니터 포트로 보내준다. 여기서 모니터 포트에는 패킷 분석기가 연결되어 있게 된다.

② Remote SPAN 구성.

ㄱ. 원격 스위치.

Switch(config)# vlan [vlan-id]

-> Remote SPAN 에서는 포트로 소스와 데스티네이션을 지정하게 되어버릴 경우 패킷분석기가 연결되어 있는 스위치의 포트 이름과 포트를 감시하고자 하는 원격 스위치의 포트 이름이 중복되어 버리는 문제가 발생할 수도 있기 때문에 데스티네이션을 VLAN으로 지정해 줘버린다. 따라서 원격스위치와 패킷 분석기가 연결된 스위치는 동일한 VLAN 정보를 가지고 있어야만 한다.

Switch(config-vlan)# remote-span

-> 해당 VLAN에 RSPAN 을 적용한다.

Switch(config-vlan)# exit

Switch(config)# monitor session [sess num] source interface [int name] [in/out/both]

-> 모니터링할 소스 인터페이스를 지정하고 rx인지 tx인지, 혹은 둘 다인지를 설정한다.

Switch(config)# monitor session [sess num] destination remote vlan [vlan-id] reflector-port

[사용하지 않는 포트]

-> 여기가 중요하다. 앞서 설명했듯이 목적지를 반드시 VLAN으로 설정해 줘야만 한다. 뒤에 붙는 옵션인 refector-port 같은 경우는 3560 스위치에서는 지정해주지 않아도 상관없다.

ㄴ. 패킷 분석기가 연결된 스위치.

Switch(config)# vlan [vlan-id]

-> 여기서도 동일한 vlan 이 설정되야 한다.

Switch(config)# monitor session [sess num] source vlan 300 rx