✅ Port-Security란?
Port-Security는 Cisco Catalyst 스위치에서 물리적 포트에 연결되는 MAC 주소를 제한하여 비인가된 장치의 네트워크 접근을 차단하는 기능이다. 일반적으로 Access 포트에 설정되며, MAC 주소 기반으로 보안을 적용한다.
주요 목적
- 불법 장비(허브, 스위치) 연결 방지
- BYOD 환경에서 사용자 단말 제어
- 내부 사용자 간의 무단 통신 제한
Port-Security 설정 방법
1. 기본 설정 (Sticky 방식)
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security mac-address sticky
2. 수동 MAC 주소 지정 (Static)
Switch(config)# interface FastEthernet0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address 0011.2233.4455
Switch(config-if)# switchport port-security violation restrict
3. 동적 MAC 주소 지정 (Dynamic)
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 3
Switch(config-if)# switchport port-security violation protect
설정 확인 방법
Switch# show running-config interface f0/1 #설정 확인
Switch# show port-security interface f0/1 #포트 시큐리티 상태 확인
Switch# show port-security # 전체 포트 보안 상태 확인
Switch# show port-security address # 보안 위반 로그 확인
| protect | 위반 MAC의 트래픽만 차단. 로그 없음 |
| restrict | protect + 로그 기록 및 SNMP 트랩 |
| shutdown | 포트를 에러디스에이블 상태로 전환 (기본값) |
✅ VLAN Filter란?
스위치 내부에서 VLAN 트래픽을 제어하는 고급 필터링 기법
개념 설명
VLAN Filter는 Catalyst 스위치에서 특정 VLAN에 속한 트래픽에 대해 ACL 기반으로 필터링을 적용하는 기능이다. 정확한 명칭은 **VLAN Access Map (VACL)**이며, 일반적인 포트 기반 필터링(Port ACL)과는 다르게 **스위치 내부를 통과하는 트래픽(즉, VLAN 내부 트래픽)**까지 제어할 수 있다.
📌 주요 특징
- VLAN 내에서 같은 VLAN에 속한 호스트 간 트래픽도 제어 가능
- 트래픽 흐름: Ingress ↔ VLAN ↔ Egress 전부 적용 가능
- 포트 ACL과 다르게, 스위치 패브릭 수준에서 동작
1. MAC 주소 ACL 생성 : ICMP 차단 , 나머지 허용
Switch(config)# ip access-list extended BLOCK_PING
Switch(config-ext-nacl)# deny icmp host 192.168.10.100 host 192.168.10.200
Switch(config-ext-nacl)# permit ip any any
2. VLAN Access Map 생성
Switch(config)# vlan access-map VACL1 10
Switch(config-access-map)# match ip address BLOCK_PING
Switch(config-access-map)# action drop
Switch(config)# vlan access-map VACL1 20
Switch(config-access-map)# action forward
3. VLAN에 필터 적용
Switch(config)# vlan filter VACL1 vlan-list 10
4. 확인 명령어
Switch# show vlan access-map
Switch# show vlan filter
Switch# show access-lists BLOCK_PING
VACL (VLAN Access Map) VS PACL (Port ACL)
| 항목 | VACL ( VLAN Access Map ) | PACL ( Port ACL ) |
| 적용 대상 | VLAN 단위 (스위치 전체 VLAN 트래픽) | 개별 포트 (인터페이스 입/출력 트래픽) |
| 위치 | 스위치 내부 패브릭 수준 (VLAN 간/내 트래픽) | 물리 인터페이스 입/출력 (Ingress/Egress) |
| 적용 방식 | vlan filter 명령으로 VLAN에 바인딩 | ip access-group 명령으로 포트에 바인딩 |
| 사용 목적 | VLAN 내부 통신 제어, 보안 격리, 특정 IP 차단 등 | 포트에 연결된 장비에서 들어오거나 나가는 트래픽 제어 |
| 트래픽 흐름 | 같은 VLAN 내 호스트 간 트래픽까지 필터링 가능 | 포트를 통과하는 트래픽만 필터링 |
| 지원 프로토콜 | IP, MAC 레벨 모두 가능 (match ip / match mac) | IP 기반만 가능 (Layer 3 ACL) |
| 예시 사용처 | DMZ VLAN에서 내부 서버 간 통신 차단 | 특정 사용자 포트에서 외부 IP 접속 제한 |
'네트워크' 카테고리의 다른 글
| [Network] 이더채널 (0) | 2025.05.09 |
|---|---|
| [Network] ASA (0) | 2025.03.25 |
| [Network] VTP, STP, DTP (0) | 2025.03.18 |
| [Network] VLAN (0) | 2025.03.12 |
| [Network] 동적라우팅 (0) | 2025.02.27 |