✔ EtherChannel (이더채널, 포트 채널)

◾ EtherChannel
- 여러 개의 물리적인 인터페이스를 묶어서 하나의 논리적인 인터페이스로 만드는 방법
- 최대로 묶을 수 있는 수는 8개, LACP 경우 16개를 묶을 수 있지만 사용은 8개, 나머지는 백업
(1-10번까지 묶을 수는 있으나 활성화는 8개, 포트 priority 값이 낮은 것 부터 활성화)
- 대역폭 ↑, 신뢰성 ↑ (그룹에 속한 포트가 고장이 나도 나머지 포트들은 채널로 동작)
- L3의 경우 IP 부여 가능
 
▪ EtherChannel로 묶기 위한 조건
- 속도 동일
- 같은 VLAN
- duplex 타입
- STP 프로토콜
- Port Security 미사용
 
▪ 종류
1. LACP : 표준 프로토콜
Active : 상대 스위치와 협상하여 LACP 프로토콜로 동작
Passive : 상대방이 LACP일 경우 LACP로 동작
 
2. PAGP : 시스코 전용 프로토콜
Desirable : 상대 스위치와 협상하여 PAGP 프로토콜로 동작
Auto : 상대방이 PAGP일 경우 PAGP로 동작
 
3. ON : 상대 스위치와 협상 없이 이더채널에 속한 포트들을 활성화
 
▪ 설정 방법

1. LACP
SW(config)# int range f0/1-5
SW(config-if-range)# channel-protocol [lacp/pagp]
SW(config-if-range)# channel-group <1-6> mode <active/passive>
SW(config)# int portchannel <1-6>
SW(config-if)# switchport mode trunk

2. PAGP
SW(config)# int range f0/1-5
SW(config-if-range)# channel-protocol [lacp/pagp]
SW(config-if-range)# channel-group <1-6> mode <desirable/auto>
SW(config)# int portchannel <1-6>
SW(config-if)# switchport mode trunk

※ 확인
SW# show etherchannel
SW# show etherchannel portchannel
SW# show etherchannel summary
SW# show int etherchannel

 
◾ Port-Security
- 스위치 보안 중 하나
- 스위치 특정 포트에 특정 MAC 주소만 수신될 수 있도록 하는 기능
- 지정한 MAC 이외의 MAC 주소가 수신되면 해당 포트 차단 (동작 지정 가능)
- 정적 포트 보안과 동적 포트 보안, Port sticky 3가지 방식
- 포트 보안 설정 시 포트를 끄고 설정한 후 켜는 것이 좋다
 
▪ 포트 보안 종류 (MAC 등록 종류)
▫ 정적 포트 보안(Static Port Security)
- 관리자가 직접 통과시킬 MAC 주소 지정

SW(config)# int f0/2
SW(config-if)# switchport mode access //Dynamic 모드는 포트보안 X
SW(config-if)# switchport port-security // 포트 보안 선언
SW(config-if)# switchport port-security mac-address [MAC address] // 통과시킬 MAC 주소 등록

 
▫ 동적 포트 보안(Dynamic Port Security)
- MAC 최대 개수 설정만큼 수신한 MAC을 차례대로 자동 등록

SW(config-if)# switchport mode access
SW(config-if)# siwtchport port-security
SW(config-if)# switchport port-security maximum ?
<1-132> Maximum address

# show port-security
# show port-security address

# clear port-security dynamic

 
▫ Port-Sticky
- 동작 포트 보안 MAC 주소를 정적 보안 방식으로 변경
- 설정파일을 저장할 때 포트보안 MAC 주소도 같이 저장 → 전원을 다시 켜도 삭제 안됨
- 동시에 다수의 포트 보안 MAC 주소 설정시 관리하기 편리함

SW(config-if)# switchport mode access
SW(config-if)# switchport port-security
SW(config-if)# switchport port-security maximum 3
SW(config-if)# switchport port-security mac-address [MAC address] //정적으로 등록
SW(config-if)# switchport port-security mac-address sticky //남은 2개를 sticky 방식으로 등록

 
▪ 보안 위배 시 동작 설정

SW(config-if)# switchport port-security viloation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violoation shutdown mode

 
1. shutdown
- 기본 설정 값
- 정책에 위반되는 MAC이 수신되었을 경우 해당 포트를 shutdown
- err-disable로 설정되며 다시 동작시키기 위해선 shutdown 후 no shutdown
 
2. protect
- 정책에 위배되는 MAC은 차단하고, 허용하는 MAC의 데이터는 통과
- 안꺼짐
 
3. restrtic
- protect와 동작이 유사하나 침해 카운터가 증가하고, 로그 메세지 발생
 
◾ Port Mirroring (span)
- 특정 포트의 입출력 트래픽을 다른 포트로 보내는 것
- 소스로 지정한 트래픽이 목적지로 지정한 인터페이스로 보내짐
- 단, 목적지로 지정한 인터페이스에서는 데이터 통신이 안됨
 
▪ 소스 지정

(config)# monitor session [번호] source interface [범위] [both/rx/tx]
rx : 수신, tx : 송신, both : 양방향

 
▪ 목적지 지정

(config)# monitor session [번호] destination interface [지정]

 
▪ 확인

# show monitor session [번호]

 
 

'Network > Switch' 카테고리의 다른 글

VTP | STP  (0) 2024.09.26
Switch 보안  (0) 2024.08.13
Switch  (0) 2024.08.06

+ Recent posts

티스토리툴바