Aging, STP, VLAN 부하분산, RSTP
Ex. 동적, 정적, Sticky 보안
사진첨부
방법
Switch 0)
interface Fa0/2
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-seucrity violation protect
Switch 1)
interface Fa0/2
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address 0001.9734.9E3C
switchport port-security violation shutdown
Switch 2)
interface Fa0/2
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address stikcy
switchport port-security violation restrict
결과
Swich 0)
사진첨부 동적 보안이라 DynamicConfigured라 떴다.
사진첨부
10.2 PC는 ping이 안 되고,
protect되는 것을 확인할 수 있다.
Switch 1)
사진첨부 정적 보안이라 SecureConfigured라 떴다.
사진첨부
20.2에서 ping을 했을 경우,
사진첨부
shutdown된 것을 확인할 수 있다.
Switch 2)
사진첨부 Sticky 보안이라 SecureStkcky라 떴다.
사진첨부
30.3에서 ping이 안 되는 것을 확인할 수 있다.
사진첨부
그리고 명령어가 자동으로 생성되어진 것을 확인할 수 있다.
참고
Protect : 보안 침해시 해당 장비 접속만 차단하고, 접속이 허용된 장비들은 계속 포트를 사용할 수 있게 한다.
Restrict : Protect 옵션과 같으나 추가적인 Logging Message를 발생시키거나 보안 침해 카운터를 증가시킨다.
Shutdown(Default) : 보안 침해 시 해당 포트를 Shutdown시킨다.
Aging Type 구성
- Absolute : 지정 기간이 지나면 Secure address 포트에서 삭제된다.
- Inactivity : Inactive 상태로 지정 기간이 지나면 Secure address 포트에서 삭제된다.
Ex. Aging
사진첨부
Aging 명령어
Switch)
interface Gi0/0 switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security violation retrict
switchport port-security aging static
switchport port-security aging time 1
switchport port-security aging ytpe absolute
결과
사진첨부
10.1에서 먼저 ping이 가도록 해보자.
사진첨부
1분이 지나자 Secure address 포트에서 삭제된 것을 확인할 수 있다.
사진첨부
10.2에서 ping이 가능하고
10.1에서 ping이 안 되는 것을 확인할 수 있다.
사진첨부
Restrict으로 설정해서 보안 침해 횟수(SecurityViolation)가 늘어난 것을 확인할 수 있다.
STP
- STP (Spanning Tree Protocol) = IEEE 802.1D
- Layer 2 Loop를 방지하는 프로토콜
- 논리적으로 하나의 포트를 Block(차단)시켜서 루프를 방지
- L3 계층에서 사용하는 IP Packet은 Header에 TTL Field가 있어 Packet의 Lopping을 막아준다.
사진첨부
여기가 막혔다.
# show spanning-tree
사진첨부
사진첨부
사진첨부
사진첨부
사진첨부
STP Port 상태
Blocking(20초, MAX_AGE)Listening(15초, FORWARD_DELAY)Learning(15초, FORWARD_DELAY)Forwarding
Q. Looping을 방지하기 위한 단계?
-> Blocking
참고
- BPDU(Bridge Protocol Data Unit)
- 스위치(브리지)간 정보 교환을 위한 frame 데이터이다.
- BPDU(Bridge Protocol Data Unit)
VLAN 부하분산 (Load Balancing)
사진첨부
결과
Switch 3)
사진첨부
Gi0/1이 BLOCK된 것을 확인할 수 있다.
사진첨부
부하분산 01
방법 01 :
Bridge ID를 이용한 부하분산Root Port 선출 기준 : Bridge ID < Cost
Step 01. Cost = (비용거리) : 19
Step 02. Bridge ID(Sender) = (스위치 우선순위:32769) + (스위치 MAC 주소)
Step 03. Port ID(Sender) = (포트 우선순위:128) + (포트 번호)
Ex.
사진첨부
방법
Switch 2)
spanning-tree vlan 10 priority 4096
spanning-tree vlan 20 priority 32768
Switch 4)
spanning-tree vlan 10 priority 32768
spanning-tree vlan 20 priority 4096
결과
사진첨부
VLAN 10은 Gi0/1이 막혔다.
사진첨부
VLAN 20은 Gi0/0이 막혔다.
사진첨부
부하분산 02
- Root Port 선출 기준 : Bridge ID < Cost
Step 01. Cost = (비용거리) : 19
Step 02. Bridge ID(Sender) = (스위치 우선순위:32769) + (스위치 MAC 주소)
Step 03. Port ID(Sender) = (포트 우선순위:128) + (포트 번호)
- 방법 02 :
경로값을 이용한 부하 분산
사진첨부
방법
Switch 3)
interface Gi0/0
spanning-tree vlan 20 cost 2
interface Gi0/1
spanning-tree vlan 10 cost 2
결과
사진첨부
VLAN 10은 Gi0/0이 막혔다.
사진첨부
VLAN 20은 Gi0/1이 막혔다.
부하분산 03
- Root Port 선출 기준 : Bridge ID < Cost
Step 01. Cost = (비용거리) : 19
Step 02. Bridge ID(Sender) = (스위치 우선순위:32769) + (스위치 MAC 주소)
Step 03. Port ID(Sender) = (포트 우선순위:128) + (포트 번호)
- 방법 03 :
포트 ID를 이용한 부하 분산
사진첨부
방법
S1)
interface Gi0/1
spanning-tree vlan 10 port-priority 64
interface Gi0/0
spanning-tree vlan 20 port-priority 64
결과
S1)
사진첨부
VLAN 10은 Gi0/1이 우선 순위의 숫자가 더 낮은 것을 볼 수 있다.
S2)
사진첨부
그래서 Gi0/0은 막혔다.
사진첨부
VLAN 20은 Gi0/0이 우선 순위의 숫자가 더 낮은 것을 볼 수 있다.
사진첨부
그래서 Gi0/1은 막혔다.
Bridge ID에서 우선순위 변경 방법
- 방법 01
spanning-tree vlan 10,20 root primary
spanning-tree vlan 10,20 root secondary
- 방법 02
spanning-tree vlan 10,20 priority 0
RSTP
- Rapid STP = IEEE 802.1W
- STP의 단점인 convergence time을 획기적으로 단축시켜 준다.
- #spanning-tree mode rapid-pvst
RSTP 포트 상태
- Discarding -> Learning -> Forwarding