Contents

VACL, SPAN(remote), Flooting Static + IP SLA

   Feb 20, 2023     4 min read

Ex. PVLAN

Untitled

방법

S2)

vlan 201
private-vlan community

vlan 100
private0vlan association 201,202,203



결과

모든 PC에서 192.168.20.1로 ping이 가면 된다.


VACL

  • VLAN에 설정하는 ACL을 의미 (VLAN 맵이라고도 함)
  • MAC, IP ACL을 모두 사용할 수 있음.

VLAN MAP 설정

Untitled (1)

필터링 전

Switch)

vlan 10

interface vlan 10
ip address 1.1.1.10 255.0.0.0
no shutdown

interface range g0/0 - 2
switchport mode access
switchport access vlan 10



결과

Untitled (2)

PC 간 ping도 다 된다.

01. IP 주소에 VACL 적용

Switch)

access-list 100 permit ip any host 1.1.1.1

vlan access-maip cisco 10
match ip address 100
action drop

vlan access-map cisco 20
action forward

vlan filter cisco vlan-list 10 (10은 VLAN 번호임)



필터링 결과

1.1.1.1 -> 1.1.1.2
1.1.1.1 -> 1.1.1.3
넘어갈 때는 잘 넘어가지만 올 때 막힌다.
결국, ping이 되지 않음.
즉, 1.1.1.1 PC는 그 어디와도 통신이 되지 않음.

Untitled (3)

02. MAC 주소에 VACL 적용 (L3)

Switch)

mac access-list extended mac1
permit host [mac주소-1/00:50:00:00:02:00] any

vlan access-map filter1 10
match mac address mac1
action drop

vlan access-maip filter1 20
action forward

vlan filter filter1 vlan-list 10



필터링 결과

Untitled (4)
ping이 역시 되지 않는 것을 확인할 수 있다.

03. L2에서의 MAC VACL

Switch)

interface vlan 10
no ip address 1.1.1.10 255.0.0.0

no ip routing



결과

Untitled (5)

역시 잘 적용되는 것을 확인할 수 있다.


SPAN

  • SPAN (Switched Port Analyer) = Port Mirroring
  • 스위치의 특정 포트에 분석 장비를 접속하고 다른 포트의 트래픽을 분석 장비로 자동 복사해 주는 기술을 SPAN이라고 한다. 다른 말로 포트 미러링(Port Mirroring)이라고도 부른다. (Sniffer)

Ex. SPAN

Untitled (6)

라우터 Telnet 서버 구성

#mount /dev/hdc /cdrom
#df -h

#yum -y install telnet-server

#vi /etc/xietd.d/telnet
yes -> no

#service xinetd restart




useradd user1
passwd user1



명령어 - SPAN 구성

Switch)

monitor session 1 source int g0/1
monitor session 1 destination int g0/2



결과

Untitled (7)
1.1.1.1 PC에서 telnet 1.1.1.2로 접근이 가능한 것을 확인할 수 있다.

Untitled (8)
WireShark 로 보면 아이디, 비밀번호를 볼 수 있다.

Untitled (9)
분석장비로는 ping이 되지 않는다.

Untitled (10)
Gi0/2는 down되어 있다.


REMOTE - SPAN

Untitled (11)

방법

Switch1)

vlan 500
remote-span

monitor session 1 source int g0/1
monitor session 1 destination remote vlan 500



S3)

vlan 500
remote-span

monitor session 1 source remote vlan 500
monitor session 1 destination int g0/1



결과

Untitled (12)

Untitled (13)


Ex. 03

Untitled (14)

방법

Switch2)

vlan 500
remote-span



결과

Untitled (15)

Untitled (16)


Flooting Static + IP SLA

Untitled (17)

명령어

vIOS2)

ip route 192.168.20.0 255.255.255.0 1.1.12.2 (1)
ip route 192.168.20.0 255.255.255.0 1.1.13.2 10



Untitled (18)

결과

Untitled (19)

Untitled (20)
1.1.13.2로 가는 것을 확인할 수 있다.

결과 02

Untitled (21)

Untitled (22)
ping X

IP SLA

Untitled (23)

vIOS2)

no ip route 192.168.20.0 255.255.255.0 1.1.12.2
no ip route 192.168.20.0 255.255.255.0 1.1.13.2 10



명령어

Untitled (24)

vIOS2)

ip sla 1
icmp-echo 1.1.24.1
frequency 5

ip sla schedule 1 life forever start-time now
track 10 ip sla 1 reachability

ip route 192.168.20.0 255.255.255.0 1.1.12.2 track 10
ip route 192.168.20.0 255.255.255.0 1.1.13.2 10

ip rotue 1.1.24.0 255.255.255.0 1.1.12.2



결과

Untitled (25)

Untitled (26)