0520, STP, port 정책, 토폴로지이해하기

@ STP 802.1D표준
장점 : loop방지
단점 : alternated port 생성
 alternated port가 FWD되는데 시간차 있음 === >>  convergence time 길다

스위치전원을 인가했을 때 상태변화 

Blocking (20sec) -->  listening (15sec) --> learning(15sec)

@STP convergence time 줄이기 :
1, portfast,
2. uplinkfast
3. backbonefast

---

1. portfast  : 스위치 입장에서 pc가 연결된 access port에 설정
   설정전  : listening (15sec) --> learning(15sec) -->Forwarding
   설정후  : 전원이 들어오자마자 FWD(forwarding)
   설정 방법 : int fa0/3    (pc연결포트)
     switchport access vlan 10
     switchport mode access
     spaning-tree portfast          --> 이것만 해줘도 된다.
     end
   확인  : fa0/3(pc연결된포트)에 pc전원을 off-->on..스위치 포트상태확인

<pc2는 portfast설정, pc3은 설정안하고 ,,, 둘다 전원을 껐다 켠 상태 > 

 
 2. uplinkfast  : blocking된 alternated port에 설정
   설정전 : blicking -->장애 --> listening (15sec) --> learning(15sec) -->Forwarding
   설정후  : blocking -->장애 -->FWD
   설정방법  :
     conf t
     int fa0/1
     spanning-tree uplinkfast         
      여기서 alternated port가 있는 스위치의 해당 포트에 설정

<Switch 2에 주황색 포트에 들어가서 셋팅하면된다  주황생 포트는 현재 alternated포트인데, Switch1이 Root Switch인 상태에서 Switch 1과 Switch2사이에 장애가 발생시  주황색 alternated포트가 활성화되는걸 바로 지정해준다.>


 3. backbonefast :  모든 스위치의 (스위치가 연결된) trunk port에 설정, 20초 단축
   설정전 : FWD-->장애 --> blocking(20sec)-->listening (15sec) --> learning(15sec) -->Forwarding
   설정후  : FWD-->장애 --> listening (15sec) --> learning(15sec) -->Forwarding
   설정방법  :
     conf t
     int fa0/1
     spanning-tree backbonefast enable
      여기서 alternated port가 있는 스위치의 해당 포트에 설정

@DTP, VTP   는 PC까지 전달되지 않음,,, STP는 PC에 전달됨.
 ===    스위치에서 show spanning-tree 한 정보를 볼 수 있음.

STP보안정책

  -bpdu guard : bpdu를 수신시 shutdown해서 사용하지 못하게 함,  스위치와 스위치는 하면안되니까 스위치와 PC사이에 즉, 스위치입장에서 PC가 연결된 port.
     : 공격이 들어올만한 포트에 걸고, 서버가 연결된 포트에는 걸지 않는다.
   설정방법   
     conf t
     int fa0/3
     switchport mode access
     spanning-tree bpduguard enable
     end
  -bpdu filter  : bpdu를 수신시 무시.  일반 data traffic은 제외,
   설정방법     
     conf t
     int fa0/3
     switchport mode access
     spanning-tree bpdufilter enable
     end
  -root guard :  특정 스위치가 root 스위치가 되지 않도록 거는거, 설정된 포트에 접속된 스위치들은 루트스위치가 될 수 없도록.
     ROOT ID가 가장 낮은 BPDU가 수신하면 shutdown함

<Root guard 적용시 정책을 걸어줄 포트이다. 여기서 Sw 2가 루트가 되면 안된다. 그래서 루트스위치가 안되게 하려고 현재 루트 스위치인  위쪽 2개에 그리고 pc가 공격할 수 있으므로 pc연결된쪽에 걸어준다>



@POrt-secutiry

PC가 연결되어 access port에 대한 보안정책 설정
정책을 어기면 해당 interface shutdown됨

 

show port-security int fa0/3          (PC가 연결된 포트)
 : 해당정보 확인하기,
 나오는 정보
  활성화여부, 
  어겼을때 처리 방법,
  최대 맥주소 허용갯수(자기거꺼 포함),
  서버가 연결된경우(주로) 스태틱한 맥주소 갯수
  및 설정 --> Sticky Mac Address (이거는 장비가 자동으로 맨처음 연결 시 등록)

 

적용시키기
  conf t
  int fa0/3
  switchport
  switchport mode access          (디폴트는 dynamic이므로
  switchport port-security ?
      mac-address  xxxx.xxxx.xxxx //// mac 주소를 정적으로 등록
      mac-address st
     
      maximum x  // 학습할 mac수 제한   default로 access port는 1 !!!
      violation  //정책 위반시
       위반시 행동사항
        1. 정책을 위반한 mac주소가 초기화된다.
        2. shutdown된다.

  switchport port-security       //활성화

 실습하기

  int fa0/3
  switchport mode access
  switchport portsecurity mac-address xxxx.xxxx.xxxx
  switchport port-security  //활성화
  
   show port-security int fa0/3
  show mac-address-table

  이후 다른 컴퓨터 연결
  IP주소 할당 (arp발생)

  show ip int brief에서 administra down이 아니라 down
  show int status err-disabled       // 에러port와 이유 확인가능
  show int fa0/3

 확인 

   show running-confg
   show mac-address-table
   show port-security int fa0/3

 

에러 복구
  show running-config 에서 shutdown 되어있는 상태에서만 no shutdown이 적용된다
  따라서
  원래대로 인터페이스 복구하고
  케이블을 빼거나 shutdown한다음에
  no shutdown   
  ( 클라이언트가 연결될 포트 에 정적으로 맥주소가 설정되어있는경우 no~~~~로 해제하고st
  *** 주의 위반 정책이 또 적용되면 다시 shutdown된다.

****

violation 차단정책은 shutdown이 default이다. 

하지만 

violation protect 는  정해진 mac이 아니면 셧다운을 하지않고 그냥 무시한다

violation restrict 는 정해진 mac이 아니면 셧다운을 하지않고 그냥 무시하고 log를 남긴다

---

@traffic control(트래픽제어)

- traffic 제어 (storm control)

유니캐스트 멀티캐스트 브로드캐스트 트래픽이 1초이상 특정 수준 이상으로 많이 수신되었을 때 일시적으로 차단함

설정

conf t

int fa0/3

storm-control broadcast level 30   //broadcast 30% 이상이면 차단

- protected port

protected port로 설정된 포트끼리 통신안됨,  스위치 아래 두 사용자가 연결된 포트 각각에 걸어주면 두 사용자 끼리 는 통신안된다.

unicast / muiltcast / broadcast

확인

- port-blocking

설정한 포트는 목적지 주소가 mac주소 table에 없는 프레임을 flooding.  스위치는 mac-table에 없으면 자기자신을 제외한 모든 포트에 flooding하므로 

스위치에 서버가 연결되어있을때, 스위치에서 서버에게는 mac-table에 없는 브로드나 유니캐스트를 전파하지않게 하기 위해서

설정

conf t

int fa0/3

switchport block unicast

switchport block broadcast

확인

show int fa0/3 switchport

여기서   Unknown unicast locked : enable

    Unknown broadcast locked : enabled                         이런 항목 확인

@  VLAN ACL 

명령어

access-list 'acl'qjsgh' permit '조건'

vlan access-map '이름'

match ip address ' acl번호'

action drop 

exit

vlan filter '이름' vlan-list 'vlanID'

--

---

L3스위치  구성

conf t이더채널묶기, 

ip routing  =====>>>  L3스위치로 활성화 시키기... 라우팅을 해라는 뜻.

L3스위치에서 

vlan추가

vlan 2

exit

vlan 3

exit

vlan 4

exit

가상 인터페이스 만들기

int vlan1

ip address 210.109.3.62 255.255.255.192

no shutdown

show ip int brief 에서 vlan에 셋팅된거 확인            

                        셋팅안되면, vlan이 생성안되었거나, trunk access포트가 없을시에 셋팅안됨

int vlan2

ip address 210.109.3.126 255.255.255.192

no shutdown

int vlan3

ip address 210.109.3.190 255.255.255.192

no shutdown

int vlan4

ip address 210.109.3.254 255.255.255.192

no shutdown

int vlan 1

ip address 210.109.4.2 255.255.255.0

exit

ip default 210.109.4.1

end

 확인

sh ip int brief

마지막에vlan1~ vlan4까지 ip셋팅확인

sh ip route

해서 라우팅 테이블에 설정된거 올라와있나 확인

그림 

VLAN-L2.jpg

 

위에 과정은 trunk port로 작동시킨것이므로 L2로 작동시킨것임

새로운 L2스위치 추가하고 

int vlan 1

ip address 210.109.4.2 255.255.255.0

exit

ip default 210.109.4.1

end

L3스위치에서 fa0/24포트에 210.109.4.1셋팅

int fa0/24

switchport

no switchport     ---->너는 L2가 아니야

iip address 210.109.4.1 255.255.255.0 셋팅    ----->> 라우티드 인터페이스 

show ip route 에 올라오는지 확인

210.109.4.0/24 

그림

VLAN-L3.jpg

문제가 주어지면, 각각의 스위치에 대한 설정을 한다

VLAN이 할당되어 있을때, VLAN이 할당되어 있으면 VLAN '번호' 을 셋팅.

conf t

vlan 100

name xx

VLAN interface 에 ip 가 할당되어 있으면 ip할당.(셋팅에 자신있으면 셋팅부터 하고 나중에 VLAN할당)

conf t

int vlan 100

ip x.x.x.x x.x.x.x

vlan 영역안에 있는 스위치 포트가 access/ trunk 이던지  해당 VLAN 에 속해 있다고 알려줘야한다

int range fa0/15-16

trunk port일때

switchport trunk encapsulation dotq1

switchport trunk allowed vlan x (  switchport trunk allowed vlan add, all, except, none, remove)  

                                                                          여러개가 있음 . 기존에 있을때 추가, 제거, 모두 등..

switchport mode trunk

access port일때

switchport access vlan x

switchport mode access

위 과정을 완료후 

  sh vlan

하면 해당 vlan 이나 sh int trunk 로 확인하면 access trunk 포트가 셋팅되어있는걸 확인 할 수 있다. 

정보확인중, 해당 포트가 우리가 원하는 vlan에 셋팅이 되어있어야 해당 vlan에서 해당 포트만이 통신이 가능하다.

만약, etherchannel로 묶고 싶으면, 해당 인터페이스에 들어가서 셋팅한다.

 channel-protocol lacp (pagp)

channel-group '번호' mode active

VLAN 안에 PC가 통신이 되는지 확인

코어계층 :빠른처리, 여러개 포트 묶기

분배계층 : 라우팅,이더채널묶기,   

ACC계층 : VTP, STP, port정책 

그림에서 192.168.100.2 를 PC에게 gateway로 알려줄까 3을 알려줄까.... 하는 문제점이 있다.