Port Security

[L2 Port Security]

 

 

 

• spanning-tree bpduguard enable

설정한 인터페이스로 어떤 BPDU가 유입되어도 errdisable

실무에서 보통 포트패스트와 세트로 설정

BPDU를 받는 즉시 다운되기때문에 종단 고객장비가 스위치(메트로이더넷도 동일)일 경우 바로 다운된다.

확실히 확인하고 설정하기

 

 

• spanning-tree guard root

위와 비슷하나 설정된 인터페이스에 연결된 하단 스위치가 root bridge가 되지 

않도록 한다. (bpdu 유입시 다운되는건 같으나 priority 재조정시 즉시 업)

월등한 BPDU 유입시 다운된다.

위와 함께 종단장비포트는 가능한 대부분 설정한다.

 

 

• spanning-tree guard loop

메인(루트 스위치)와 하단 스위치가 플래핑등으로 잠시 불통일때 (장애는 아님)

다른 스위치가 메인이 되어 루핑상태가 되는것을 방지한다.

루트스위치 제외하고 다른 스위치들의 루트스위치 업링크 방향으로 설정

위 상황 발생시 루트스위치 방향 업링크가 LOOP_INC 상태로 잠시 블록되고

플래핑이 정상화되면 다시 원래 루트스위치로 메인 브리지 선정한다.

스위치가 3대이상 삼각형 형태로 구성시 보통 설정한다.

트렁크포트에 설정시 문제가 된 VLAN 만 작동한다. 나머지 VLAN은 변동 없음

 

 

• Spanning-tree uplinkfast

차단상태에 있는 하위 스위치에서 설정하며 루트스위치와 직접 링크 단절시의 

컨버젼스 시간을 줄여준다. (간접x) 인터페이스가 아닌 컨피그 모드에서 차단포트가 있는 하위

스위치에서만 설정. 설정시 priority가 자동으로 높게 설정되어 엑세스 스위치가 

되기때문에 루트스위치에서 절대 설정해선 안됨

 

 

• Spanning-tree backbone fast

직접링크가 아닌 간접링크 단절시의 맥스 에이지(20초)를 생략하여 컨버젼스를 줄여준다.

(50초->30초) 

루트스위치 포함 모든 스위치의 컨피그 모드에서 설정한다.

 

 

• udld enable 혹은

       udldport (인터페이스에서)

단방향 링크 장애를 감지한다. (송수신 케이블중 한개만 장애)

단방향 장애시 루프발생 확률이 높아서사용한다.

errdisable 바뀐다. (어그레시브 모드만) 복구시는 udld reset

 

 

• spanning-tree bpdufilter enable

아예 bpdu를 보내지 않는다. 종단장비 링크에만 신중히 설정한다.

포트패스트와 세트로 보통 넣는다.

 

 

• switchport protected

protected가 설정된 인터페이스끼리는 통신안됨

설정된 곳과 안된곳은 통신가능 (고객사 2곳 서로 통신 안되도록할때)

 

 

• switchport port-security

       switchport port-security max 3

       switchport port-securirt mac-address sticky

맥주소 3개까지만 동적허용하고 등록함

등록외 주소가 유입되거나 3개 넘어갈시 통신 불능

 

 

• ip dhcp snooping

       ip dhcp snooping vlan 1

       #if) ip dhcp snooping trust

트러스트 포트에만 DHCP 서버가 있다고 한정하고 그외에는 차단

(주소고갈공격, 인가된 서버 외에 DHCP offer 모두 차단)

 

 

• ip verify source 

소스가드. 보통 dhcp snooping과 같이 동일 인터페이스에 사용