Ether channel?

여러개의 물리적 회선을 하나의 논리적 회선으로 묶는 것이다.
두 장비를 여러개의 회선으로 연결하면 링 형태가 되어서 루핑을 방지하기 위한 STP 가 하나의 회선을 제외한 나머지를 블로킹한다.
그러면 하나의 회선밖에 사용할 수 없어 불편해지는 것을 막기 위해 이더채널을 구성한다.
 

Ether channel 의 장점

여러 물리회선을 하나의 회선인 것처럼 받아들여서 STP가 돌지 않는다. 이에 따른 장점들이 여러개 존재한다.

• 대역폭 증가 : 여러 회선이 하나의 회선처럼 동작하면 대역폭이 증가해서 높은 대역폭이 필요한 장비들이 빠르게 통신할 수 있다.
• 로드 밸런싱 : 트래픽이 여러 회선 사이에서 분산되어 더 효율적으로 대역폭을 활용할 수 있다.
• 고가용성 : 하나의 회선을 사용할 수 없게 되어도 다른 회선들이 작동하기 때문에 가용성과 신뢰성을 높인다.
• 쉬운 관리 : 여러 회선 대신 하나의 논리적 회선을 관리하기 때문에 훨씬 단순하게 관리할 수 있다.
• 장애 복구 : 고가용성과 비슷하게 하나의 회선이 다운되어도 다른 회선으로 자동으로 장애를 복구한다.

Ether channel 프로토콜

LACP (Link Aggregaction Control Protocol) 

• IEEE 표준 방식이다.
• 최대 16개의 물리 회선을 묶을 수 있는데, 실제로 8개가 사용되고 나머지 8개는 백업용으로 사용된다.
• Active (능동) , Passive (수동) 협상모드가 있다.
• Active : 상대 스위치와 협상 후 활성화시킨다.
• Passive : 상대가 LACP를 사용하고 있는 경우에만 활성화시킨다. 

 
 PAgP (Port Aggregaction Protocol)

• Cisco 전용 프로토콜이다.
• Desirable (능동) , Auto (수동) 협상모드가 있다.
• Auto 끼리는 연결되지 않는다.
• Desirable : 상대 스위치와 협상 후 활성화시킨다.
• Auto : 상대가 PAgP를 사용하고 있는 경우에만 활성화시킨다. 

 
ON

• 강제적 이더채널 사용 모드이다.
• 상대 스위치와 협상 없이 모든 포트를 활성화시킨다.
• ON 끼리만 연결할 수 있다.
• 패킷 손실이나 프레임 루핑이 발생할 수 있다.

Ether channel 설정 조건

1. VLAN, Speed, STP 등의 설정값이 모두 동일해야 한다. (Access 포트)
2. Encapsulatioin 방식(dot1Q, ISL, NativeVlan, AllowedVlan 등)이 모두 동일해야 한다. (Trunk 포트)
3. port security 를 설정한 포트는 사용할 수 없다.
4. Fast, Gigabit Ethernet 에서는 구성 가능하지만 Ethernet(10Mbps)은 지원하지 않는다.

Ether channel 설정

(config)# interface port-channel [ 1 ~ 48 ]
포트 채널 인터페이스를 생성한다.
(config)# interface range [ 인터페이스 타입(f or g) ] [ range 포트 ]
실수를 줄이기 위해 range 방식이 권장된다.
(config-if)# channel-protocol [ 프로토콜 (lacp, pagp)
(config-if)# channel-group [ group 번호 ] mode [ 모드(active, passive, desirable, auto, on ]
 
(config-if)# lacp port-priority [ 0 ~ 65535 ] (lacp 일 경우에만)

(config-if)# pagp learn-method [ port-down / continuous ]
port-down : 포트가 다운될 때만 정보를 학습한다. 포트가 다운되면 학습정보를 삭제한다. (default)
continuous : 포트가 다운되어도 프레임을 수신한다. 포트가 다운되어도 학습정보를 유지한다.
(config-if)# pagp port-priority [ 1 ~ 32768 ] (default 128)
(config-if)# pagp rate [ slow / fast ]
slow : 30초에 한번 pagp 패킷을 전송한다.
fast : 1초에 한번 pagp 패킷을 전송한다. (default)
(config-if)# pagp timer [ 1000 ~ 10000 ] (default 3000)

Port security?

네트워크에 연결할 수 있는 장치와 연결 방법을 제한하여 네트워크에 대한 액세스를 제한하는 것이다.
특정 포트에 Port security 를 적용하면 포트에 학습할 수 있는 MAC 주소의 수를 제한하거나 허가된 MAC 주소만 접근할 수 있게 한다.
 
스위치에서 하나의 포트에 연결된 모든 장치의 MAC 주소가 학습되면 MAC 주소 테이블이 가득 차면 그 이후에 들어오는 패킷들을 학습할 수 없게 된다. 그러면 모두 플러딩시켜 스위치가 마치 허브처럼 동작하게 되는데, 이 문제를 유도하는 공격 기법은 MAC Flooding Attack 이다. 이를 방지하기 위해 Port security 를 설정해야 하는 것이다.
 

mac 주소 학습 방법

1. static : MAC주소를 직접 입력하여 설정하고 NVRAM에 저장할 수 있다.
2. dynamic : MAC주소를 동적으로 학습하고 삭제한다. 스위치가 재부팅되면 학습했던 MAC주소는 삭제된다. (default)
3. sticky : MAC주소를 동적으로 학습하고, 스위치가 재부팅되어도 Port-Security에 학습했던 MAC주소가 유지된다.

*nvram : 전원이 공급되지 않아도 저장된 정보를 계속 유지하는 컴퓨터 메모리
 

port security 보안 정책 (violation mode)

1. shutdown : 해당 포트가 Shutdown(비활성화)이 되며 err-disabled 상태로 넘어간다. (default)
2. restrict : 위반한 MAC주소를 가진 장비의 모든 Frame을 Drop(폐기)시킨다. Drop과 동시에 위반한 MAC주소에 대해서 Log가 남는다.
3. protect : restric와 동일하게 작동하지만 log가 남지 않는다.

유지 시간 (aging time)

port security를 설정하고 난 후 연결된 장비의 mac 주소에 대한 유지 시간이다.
0(default) ~ 1440분

1. absolute : 직접 입력해 설정한 시간이 지나면 만료된다.
2. Inactivity : 설정한 시간동안 데이터 트래픽이 없는 경우에 만료된다.

Port security 설정

포트에 port security를 설정하기 위해서는 포트가 dynamic 즉, trunk 모드이면 안된다. 
 

(config)# interface [ port security 적용할 인터페이스 ]
(config-if)# switchport mode access
(config-if)# switchport port-security
(config-if)# switchport port-security maximum [ 최대 학습 가능한 mac 주소 수 ] (default 1)
(config-if)# switchport port-security mac-address [ mac 주소 학습 방법 ]
(config-if)# switchport port-security violation [ 보안 정책 ]
(config-if)# switchport port-security aging time [ 유지 시간 ]
(config-if)# switchport port-security aging type [ 유지시간 타입 ]

 
확인 명령어

# show port-security interface [ 확인할 인터페이스 ]