==VRRP== 

master 1(active) (tracking 기능 없음)
backup (standby)
224.0.0.18

interface vlan 10
ip address 172.16.10.32 255.255.255.0
vrrp 10 ip 10.1.10.1
vrrp 10 priority 150
vrrp 10 timers advertise 4 (default 1sec skew time) :

=vrrp skew time=
(256-priority/256)

ex) priority 200  -> (256-200)/256 = 0.2sec : total 3.2초후에 master 선언

==GLBP==
HSRP를 보완한 표준 프로토콜 : Gateway Loadbalancing routing protocol

===========================HSRP====================================
active  1
standby 1
224.0.0.2

show ip arp  (mac,ip address mapping table)
show standby brief
debug standby events

interface vlan 10
ip address 172.16.10.32 255.255.255.0
standby 1 priority 150   (default 100) (1 ~ 255)
standby 1 ip 172.16.10.110
standby 1 preempt  
standby 1 timers 5 15   (default hello 3sec hold 10 sec)
standby 1 track serial 0 50

standby 1 timers msec 200 msec 750
standby 1 preempt delay minimum 180

======multiple HSRP Group(on the same segment)===========
----sw1----
interface vlan 10
ip address 172.16.10.32 255.255.255.0
standby 1 priority 150
standby 1 ip 172.16.10.110
standby 2 priority 50
standby 2 ip 172.16.10.120

----sw2-----
interface vlan 10
ip address 172.16.10.33 255.255.255.0
standby 1 priority 50
standby 1 ip 172.16.10.110
standby 2 priority 150
standby 2 ip 172.16.10.120

=======multiple HSRP Group(different ip subnet)============

----sw1----
interface vlan 10
ip address 172.16.10.32 255.255.255.0
standby 1 priority 150
standby 1 ip 172.16.10.110

interface vlan 20
ip address 172.16.20.32 255.255.255.0
standby 1 priority 50
standby 1 ip 172.16.20.120

----sw2-----
interface vlan 10
ip address 172.16.10.33 255.255.255.0
standby 1 priority 50
standby 1 ip 172.16.10.110

interface vlan 20
ip address 172.16.20.33 255.255.255.0
standby 1 priority 150
standby 1 ip 172.16.20.120

===========================VRRP====================================
master
backup
224.0.0.18

interface vlan 10
ip address 172.16.10.32 255.255.255.0
vrrp 10 ip 10.1.10.1
vrrp 10 priority 150
vrrp 10 timers advertise 4 (default 1sec skew time)

=vrrp skew time=
(256-priority/256)

B의경우 (256-200)/256 = 0.2sec total 3.2
C의경우 (256-100)/256 = 0.6sec total 3.6

===========================GLBP====================================
HSRP와의 차이점 : 하나의 가상IP와 여러개의 가상 MAC을 가짐
별도의 설정을 하지 않아도 load balancing이 가능
모든 라우터의 리소스를 전부다 사용 가능
ARP를 요청하게 되면 응답할시 생성한 모든 가상 MAC을 전달

AVG=active virtual gateway  => Active, VMAC
AVF=active virtual forwarder  => VMAC
224.0.0.102

interface vlan 10
ip address 172.16.10.32 255.255.255.0
glbp 7 ip 10.1.7.1
glbp 7 priority 150  (default 100)
glbp 7 timers msec 250 msec 750 (default hello 3sec hold 10 sec)

P3R3#pingg
Protocol [ip]:
Target IP address: 200.1.1.1
Repeat count [5]: 1000
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]:

P3R4#traceroute 200.1.1.1

show standby brie

== Modul 8 ==
==MAC Flooding attack==
존재하지 않는 MAC address를 스위치에 보냄, 스위치의 Mac 테이블을 가득 채워서, 브로드캐스트 발생하게 함
==Port Security
허용된 MAC에서만 MAC테이블 기록하게 함
Port-security
interface fa0/1
  switchport mode access
  switch  switchport port-security
  switch  switchport port-security maximum 1
  switch  switchport port-security mac-address 0001.1111.1111
  switch  switchport port-security violation (protect, restrict, shut)
  -> protect : 사용불가, restrict : 사용불가+access log 기록,  shut : 사용불가+port shutdown(err-disable)

==port status==
1. admin down(shut)
2. up
3. notconnected
4. err-disable(원인 제거후 no shut => UP)

== 실습 ==
sw1
interface vlan 1
ip add 1.1.1.2 255.255.255.0
R1
interface fa0/
ip add 1.1.1.1 255.255.255.0

ping test

sw1
interface fa0/1
shut
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address 0001.0000.1111
switchport port-security violation restrict (log)
or
switchport port-security violation shutdown

↓dynamic하게 배운 mac을 static으로 설정한것처럼 처리
switchport port-security maximum 3
switchport port-security mac-address sticky
↑ 먼저 접속된 3개의 MAC만을 access 허용

===AAA(authentication, Authorization, Accounting===
: 접속한 유저를 인증하는 설정
RADIUS - 표준
TACACS - CISCO

aaa new-model (add enable)
aaa authentication login TELNETLOGIN(default로 대체 가능, 모든 라인에 적용) group tacacs+ local none // ?
tacacs-server host 1.1.1.100
line vty 0 4
  login authentication TELNETLOGIN

hostname cisco pri 15 password cisco

line con 0
password itbank
login

sh mac-address-table
sh int status
sh port-security
sh port-security address

sh line  // 접속된 라인

== 2장 ==
'사용하지 않는 포트는 access나 특정한 Vlan으로 설정

==============access-list======================
access-list 11 permit 10.1.1.0 0.0.0.255 (source)
 : 10.1.1.0네트워크만 허용해주겠다
access-list 111 permit tcp 10.1.1.0 0.0.0.255 any eq telnet
( source, destination, protocol, port)
 : 10.1.1.0네트워크중 tcp telnet 서비스만 허용해 주겠다.

===============prefix-list== : 가장 효과적인 방법
prefix 개별적으로 삭제 가능
ip prefix-list NET22 seq 3 permit 11.11.11.0/24
ip prefix-list NET22 seq 5 permit 22.22.22.0/24
 :같은 이름에 여러개를 seq로 나눠서 걸 수 있다.

==============named-access-list==================
ip access-list extended BGP_ROUTE_MAP
    permit tcp 10.1.1.0 0.0.0.255 any eq telnet
    deny   tcp 10.1.2.0 0.0.0.255 any eq telnet

ex) access-list 100 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

Multilayer switch
interface vlan10
ip access-group 100 in

==VACL==
// 같은 네트워크내에서 ACL 적용
Racl(1.1.1.1 => 2.2.2.2)
interface vlan 10
  ip access-group 100 in
access-list 100 deny ip host 1.1.1.1 host 2.2.2.2

vacl(1.1.1.1 => 2.2.2.2)
vlan access-map TEST 10
  match ip add 100
  action drop

vlan access-map TEST 20
  match ip add 101
  action drop

vlan filter TEST vlan-list 10

access-list 100 permit ip host 1.1.1.1 host 1.1.1.2
access-list 101 permit ip any any eq 5000

>> switching security <<

1. port-security 
 설정 위치 : access swtich
 옵션 : maximum , sticky , static mac 지정

2. port별 트래픽 제어
 설정 위치 : access switch
 종류 : storm control , prtected port , port blocking

3. STP 공격 차단
 설정 위치 : access / ditribute switch
 종류 : BPDU guard , Root guard

4. DHCP snooping          
 : DHCP에 대한 감시

5. ARP snooping
 : ARP spoofing감시 
6. IP Source guard

7. ACL : IP acl , mac acl (=vlan map)
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>Switch-security2.txt에

---------------------------------------------------------------------
1. port-security
 - mac address 정적 설정 : server와 연결된 port에 설정
 - 그외 access port : 학습 mac address 제한
 - client pc(hosts)연결시 : sticky로 mac address 학습하도록 설정

 @  [Router]fa0/0-------fa0/24 [switch] fa0/3------[server]

 Router fa0/0 ip : 10.10.10.1/24
 server ip : 10.10.10.10/24
 server mac : 0000.0000.0001

 switch 설정
 conf t
  int fa0/3
   switchport
   switchport mode access
   switchport port-security mac-address 0000.0000.0001 //정적mac주소 설정
   switchport port-security  //활성화
 end
 show port-security
 show port-security fa0/3
 show mac-address

 -> 0000.0000.0001이 아닌 다른 server를 연결할경우, MAC address오류로
 자동으로 interface fa0/3이 shutdown 됨.
 확인: show int fa0/3
 show interface status err-disabled

 @ [Router]fa0/0----------------fa0/24[Switch]fa0/10----------[PC-hosts]

 switch 설정
 conf t
 int fa0/10
  switchport mode access
  switchport port-security maximum 1
 //fa0/10에 hub연결시 hub port수만큼 해줌
  //fa0/10에 다른 switch연결시 switch포트수+1(스위치자체mac)-> 수만큼 설정
  switchport port-security //활성화
 end
 show port-security
 show port-security address

2. port-별 트래픽 제어
 2-1. 과다트래픽 제어 storm-contrl : [switch] fa0/0 <-------(in X 제어-유니/멀티/브로드캐스트)
 2-2. 포트차단 port-blocking : [switch] fa0/24 --------->(out X 제어-유니/멀티캐스트)
 2-3. 방어포트 protect port : fa0/22 [switch] fa0/23 
    ↔ O       fa0/24 (↕X -유니/멀티/브로드캐스트)

 2-1 storm contrl
 : 유니캐스트 , 멀티캐스트 , 브로드캐스트 트래픽이 1초 이상 특정 수준 이상으로
   많이 수신되었을 때 일시적 차단,

  [Router]-----[switch]fa0/24-----[PC]

  스위치 설정
  conf t
  int fa0/24
    storm-control braodcast level 30 //30%이상의 broadcast 발생시 shutdown
    또는
    storm-control unicast level 10 //10%이상의 bradcast 발생시 shutdown
    또는
    storm-control multicast level 20 //20%이상의 bradcast 발생시 shutdown

 2-2. protected port 방어포트
 방어포트로 설정된 port끼리 차단됨 (nui/multi/braod)  ISP에서 사용자들끼리통신제한, 게이트와는가능
 show int fa0/10 swtichport
 .... 생략
 Protected : true
 .... 생략

 [Router]--------fa0/1[switch] fa0/10 (방어포트)-------------pc
    fa0/11(방어포트)-------------pc

  switch fa0/10  <---X---> fa0/11   방어포트끼리 통신안됨.
  switch fa0/10  <---O---> fa0/1   방어포트와 비방어포트끼리 통신가능
  switch fa0/10  <---O---> fa0/11  방어포트와 비방어포트끼리 통신가능

 2-3 포트차단 port-blocking
 : 목적지 주소가 MAC 주소 table에 없는 flooding 하는 것 차단.
 show int fa0/1 switchport
  .....생략
 Unknown unicast blocked : enabled
 Unknown multicast blocked : enabled

  [Router]--------fa0/1 [swtich] -------Host(보통서버)

  스위치 설정
  conf t
  int fa0/1
   switchport block unicast
   switchport block multicast
  end

3. STP 공격차단
 3-1 BPDU guard : PC와 같은 종단장치가 접속된 포트에서 BPUD를 수신하지 못하게 함
  스위치 설정
  conf t
  spanning-tree portfast bpduguard defualt //portfast가 설정된 포트에만 작동
  또는
  conf t
  int fa0/10
  spanning-tree bpduguard enable
  end

 3-2. 가드 루트  root guard
  특정 포트에 접속된 네트워크 스위치들은 로트스위치가 될수없도록
 [swtich1-루트스위치]fa0/1--------------fa0/24[switch2]

 분배계층간에
 Root sw Pri ------------Root sw Second
  -  ---- 
     ---- -sw(이거는 루트스위치가될일이없다)

  루트스위치에서 설정
  switch1#conf t
  int fa0/1
   spanning-tree guard root
   exit
  spanning-tree vlan 1 priority 0
  end
  show spanning-tree vlan 1
  show int fa0/1
 ... is down, line protcol is down (err-disabled)

  show int status err-disabled                                 >>>>>>> 에러원인까지 보여줌
 int  .....  Reason
 fa0/1   rootguard
 fa0/10   bpdu guard /확인

 ****inteface down시 해결하는 방법
  -수동해결                        >>>>>원인제거 하고
 int fa0/1
  shutdown
  no shutdown
 end
 show ip int brief
 show int fa0/1
  -자동해결
 errdisable recovery cause root guard
 errdisable recovery cause bpdu guard
 errdisable recovery cause interval 120 //2분후 자동으로 up

@acess switch인 경우
 
access port :  int fax/x
  swtichport mode access
  spanning-tree portfast
  spanning-tree bpdugard enable
  port-security mac-address sticky
  port-security maximum 1
  port-security

trunk port :  int fax/x
  switchport mode trunk
  swtichport guard root   //root switch에서)
  exit
  spanning-tree vlan x root primary
  spanning-tree vlan x priority 0  //root primary switch에서)
  또는
  spanning-tree vlan x root secondary
  spanning-tree vlan x priority 4096 //root secondary switch에서)

sysctl 명령어

linux 커널 파라미터 환경설정
/proc/sys와 관련
/etc/sysctl.conf

#sysctl a
#sysctl net.ipv4.ip_forward
#sysctl -w net.ipv4.ip_forward=1
 == #echo "1" > /proc/sys/net/ipv4/ip_forward
#sysctl -p /etc/sysctl.conf

- ping 응답 차단
 #sysctl -w net.ipv4.icmp_echo_ignore_all=1

- Broadcast로 ping request 차단
 #sysctl -w net.ipv4.icmp_echo_broadcasts=1

- Source Routing 차단
 #sysctl -w net.ipv4.conf.all.accept_source_route=0

- Blacklog 와 syscookie 설정
 #sysctl -w net.ipv4.tcp_max_sys_backlog=1024
 #sysctl -w net.ipv4.tcp_syscookies=1

- ICMP redirect 차단
 #sysctl -w net.ipv4.conf.all.send_redirect=0
 #sysctl -w net.ipv4.conf.all.accept_redirects=0

-ICMP spoofing 차단
 #sysctl -w net.ipv4.conf.all.rp_filter=1
 #sysctl -w net.ipv4.conf.all.log_martians=1
 #vi /etc/hosts.conf
 nospoof on

-TCP 연결 종료 시간 줄이기 (FIN-WAIT-2)
 #sysctl -w net.ipv4.tcp_fin_timeout=30

-Keep alive 시간 줄이기
 #sysctl -w net.ipv4.tcp_keepalive-time=1800 (30분)

-임시포트 늘리기 (128B이하는 1024~4999)
 #vi /etc/sysctl.conf
net.ipv4.ip_local_port_range=32768 61000
 #sysctrl -p /etc/sysctl.conf

최대 open file 수 늘이기
 #vi /usr/src/linux/include/liux/fs.h
 #define INR_OPEN 8192

Dynamic Trunk Protocol (DTP)

 :  한쪽 포트가 이 트렁크로 셋팅했을때 반대 쪽도 트렁크 포트로 셋팅되게 끔 하는 프로토콜

다중 VLAN환경에서 사용하는 Protocol

트렁크 방식이 두가지 타입 :IEEE 820.1q Cisco ISL

*참고 
mode : 4가지

trunk

access

dynamic : auto 
desiable (default)

취약점 : 스위치 포트의 기본은 :access(VLAN1)    

하지만 한쪽포트에서 trunk포트가 설정되면 DTP 동작에 따라 반대쪽 편도 trunk포트가 된다

공격자가 포트를 임의로 트렁크로 바꾸게끔 할 수 있다.

Trunk포트로 자동설정된다면 문제점 :

STP 계산 : 기존의 루트 스위치가 변경 > 토포로지 변경 > blocking port 발생

VTP 전송 : 다중 Vlan 환경에서 Vlan정보를 전달함으로써 기존의 Vlan access port에 연결된 pc는 통신을 할 수 가 없다.

대응방법

그래서 수동으로 이 포트는 access port다!!!라고 설정
스위치 포트의 모드를 강제로 지정해준다. 

# switchport mode access

# switchport nonegotiate [협상을 비활성화]