CCNA Port Security

Port Security

특정 포트에 학습할 수 있는 MAC 주소의 개수를 제한하여 보안성 강화

허가된 MAC만 접속 가능하도록 설정하는 프로토콜

 

하나의 포트에도 여러 MAC 주소를 학습할 수 있지만, 모든 주소를 학습하여

MAC-address table이 가득차는 순간 문제가 발생한다.

 

이후에 통신되는 프레임을 Flooding하여 허브처럼 모든 곳에 작동하게 될 수 있다

MAC 주소를 변경하여 다른 장비끼리의 통신 사이에 숨어서 공격하는 ARP Spoofing도

port security 설정 통해서 공격을 막을 수 있다.

 

 

 

설정 조건

다이나믹 포트 및 트렁크 포트에 설정 불가

SPAN 목적지 포트에 설정 불가

Etherchannel에 설정 불가

액세스 포트에서 설정 가능

 

 

스위치 모드 액세스 후 Security 설정 가능 -> static 설정

 

 

직접 MAC 주소 지정도 가능하다

 

 

 

최대 등록 MAC-address 수 3으로 설정되어있으며,

현재 등록 수와 위반 수까지 확인 가능하다

 

MAC address 학습 방식

1. Static - 명령어 수동 설정 / NVram 저장 가능

2. Dynamic - 명령어 사용하지 않고 자동 학습 / Nvram 저장 불가

3. Sticky - 동적 학습 가능 / 등록된 주소 저장 가능

 

 

 

Violation Mode

설정 조건 위반 경우 대응 방식

1. protect - 위반한 장비만 통신 차단 /허용된 호스트는 통신 가능 / 메시지 미팝업 / 위반 수 증가되지 않음

2. restrict - protect 와 log 발생하면서, 허용되지 않은 모든 Mac 주소 장비는 통신 차단/ 메시지 팝업 / 위반 수 증가

3. shutdown - 포트 차단 / error-disabled 표시 /