Glacier

http://www.9tut.com/category/ccna-lab-sim

CCNA덤프에 ip default-network 0.0.0.0이라는 커맨드가 나와서 적잖이 당황했다.

원래 저 명령은 라우팅테이블에 없는 네트웍으로 가는 패킷이 들어왔을때 어느 네트웍으로 보낼지,

즉 Gateway of last resort를 정해주는 명령이다.

그런데 0.0.0.0이라는 네트웍으로 보내다니..?

여러 방면으로 구글링도 해보고 직접 랩도 돌려봤지만 도무지 쓸 이유가 없는 명령이었다.

그래서 네이버카페에 물어보니 내가 맞았다.

ip default-network 0.0.0.0이라는 명령이 굉장히 어색하고 이상한 명령이라는 것이고,

답변을 달아주신 분 또한 CCIE준비할 때만 사용한 명령으로 실제 상용망에는 적용해본적이 없으시다고 한다.

왜 이명령이 NA덤프에 나왔는지는 모르겠지만

드디어 깔끔하게 정리하고 넘어간다. 한 이틀 붙잡은듯 하다. 

- 임의의 IP network로의 route를 candidate default route로서 flag(*) 설정(표시)하기 위해 사용한다.

- 임의의 IP network는 반드시 Routing table에 class기반으로 존재하야 하며, 명령어 입력시에도 반드시 class기반으로 입력한다.

- candidate default route는 Routing table에서 '*'로 표시되며, "마지막으로 사용될 게이트웨이"로 간주한다.

- IGRP, EIGRP는 자동으로 전달한다. (단, 해당 network을 IGRP, EIGRP가 알아야 한다. - IGRP, EIGRP derived network)

- RIP도 자동으로 전달하나, 입력된 network이 아닌 0.0.0.0/0으로 전달한다.

1. 통신을 허용할 MAC주소를 관리자가 지정해줄 때

Switch(config-if)#switchport mode [access | trunk]

port-security를 적용하려면 dynamic이 아니라 access나 trunk가 설정되어있어야 한다.

아무런 설정을 하지 않았다면 default인 dynamic이 적용되어 있다.

Switch(config)#int range f 0/1 - 24

Switch(config-if-range)#spanning-tree portfast

빠른 Convergence를 위해 Port-fast를 적용한다.

Switch(config-if)#switchport port-security mac-address [MAC address]

통신을 허용할 MAC어드레스 지정하고..

Switch(config-if)#switchport port-security

port-security를 활성화 시키는 명령인데, 가장 마지막에 입력한다.

설정이 덜된 상황에서 활성화시키면 잠시나마 통신이 안될수 있기 때문..

Switch(config)#int f 0/1

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0000.0000.0001

Switch(config)#int f 0/2

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0000.0000.0002

설정을 적용하고 PC1의 MAC어드레스를 0000.0000.0003으로 바꾸면 Switch의 f0/2포트가 down된다.

다시 포트를 살리려면 포트를 죽였다가 다시 살려야 한다.

Switch(config)#int f 0/2

Switch(config-if)#shutdown

Switch(config-if)#no shutdown

2. 통신을 허용할 MAC주소를 장비가 동적으로 학습할 때

Switch(config-if)#switchport port-security

port-security를 활성화 시켜주면 끝.

Switch(config-if)#switchport port-security maximum [value]

허용할 MAC어드레스의 최대 개수를 지정할 수도 있다.

3. 동적으로 학습한 MAC주소를 장비 재부팅 후에도 유지해야 할 때 - Sticky

Switch(config-if)#switchport port-security sticky

동적으로 학습한 MAC어드레스를 running-config에 저장하므로 NVRAM에 write시키면 장비를 reload한 뒤에도 같은 MAC어드레스로 보안을 적용할 수 있다.

Switch(config-if)#switchport port-security maximum [value]

허용할 MAC어드레스의 최대 개수를 지정할 수도 있다.

Port-security 침해 대응 방법

- Protect : rule위반시 포트 접근 차단, 등록된 호스트는 허가

- Restrict : Protect와 동일하게 동작 +rule위반한 호스트에 대한 log를 남긴다. (권장)

- Shutdown : rule위반시 해당 포트를 닫아버린다. 모든 호스트의 포트 접근 차단. (기본값)

Switch(config-if)#switchport port-security violation [protect | restrict | shutdown]