BigNetwork

Switchport의 동작모드 'Trunk'

Trunk는 다수의 VLAN 트래픽이 하나의 스위치 포트로 통신될 수 있도록 공유된 링크를 말한다.

만약 Access로만 설정할 수 있다고 하면, 서로 다른 스위치에 설정된 동일한 VLAN의 통신을 위해서 스위치간 연결 시 VLAN 개수만큼 케이블을 별도로 구성해야 할 것이다.  하지만 Trunk를 사용하면 스위치에 설정된 모든 VLAN의 프레임은 하나의 포트로만 전달될 수 있다.

위 그림에서 F0/1으로 각 VLAN 트래픽이 전달되고 있는데 여기에 문제가 하나 있다. 

바로 SW2이 수신한 프레임이 정확히 어느 VLAN 트래픽인지 구분하기가 어렵다는 것이다.

Access 설정은 포트에 직접 VLAN을 지정한 방식이기 때문에 프레임을 수신한 포트의 설정만으로 VLAN간 트랙픽 구분이 쉽지만, Trunk로 설정된 포트에는 특정 VLAN이 지정된 것이 아니기 때문에 해당 포트로 들어오는 프레임이 어디로 전달되어야 하는 것인지 경로 결정하기가 어렵다.

그래서 물리적 포트가 아닌 '데이터'에 VLAN을 표시해서 전달하고자 하는데 이를 Trunking Encapsulation이라고 한다.  아래 그림과 같이 프레임에 VLAN 정보를 꼬리표처럼 추가로 달아 전송한다.  

VLAN 정보를 추가하기 위해 사용하는 프로토콜로 '802.1Q'와 'ISL'이 있다.

802.1Q는 dot1q라고도 부르며, 표준프로토콜로 가장 대표적으로 사용하고 있다.

4Byte의 작은 크기로 오버헤드가 크지 않으며, 오리지널 프레임의 중간에 삽입되는 방식(tag)이다.

장비간 호환성도 뛰어난데, Native vlan이라는 기능으로 Trunk 구간에 허브가 있어도 문제가 생기지 않도록 동작한다.

ISL은 시스코에서 만든 프로토콜이라 장비간 호환성이 좋지 못하고 30Byte가 추가로 붙어 오버헤드가 커서 현재로는 거의 사용하지 않는 프로토콜이다.

헤더 내에 BPDU를 삽입하여 VLAN별로 STP를 동작시키는 PVST 기능이 있어 유용하였지만, 지금은 dot1q를 사용해도 PVST+를 사용할 수 있으므로 매리트가 없다.

Switchport의 동작모드 'Access'

Access 모드는 VLAN을 사용하여 Broadcast domain을 분할하기 위해 필요한 스위치포트의 동작 모드이다. 

스위치는 Frame을 전달하기 위해 MAC address 테이블의 정보를 확인하여 목적지에 대한 통신 경로를 결정하고, 경로가 결정되지 못한 Frame일지라도 내부통신이 이뤄지도록 하기 위해 Flooding한다. 

이러한 기본적인 Encapsulation & Decapsulation을 생각해보면 Broadcast 메시지를 차단할 수 있는 방법은 없다. 

하지만 스위치에서 VLAN이라는 기능을 사용하여 Broadcast domain을 분할할 수 있다. 

다음 그림과 같이 특정 인터페이스에 VLAN이라는 식별 값을 부여하고, 이 값이 동일한 포트끼리만 데이터 전달을 허용한다. 

번호가 달리 설정된 포트는 마치 연결되지 않은 서로 다른 장비처럼 통신이 차단되는 방식으로 Broadcast domain을 분할하고 있는 것이다. 

VLAN 번호가 10번으로 지정된 포트에서 들어오는 트래픽은 무조건 VLAN 10으로 설정된 포트로만 나갈 수 있고, VLAN 번호가 20번으로 지정된 포트에서 들어오는 트래픽은 VLAN 20으로 설정된 포트로만 전달된다.

[LAB 1]

[LAB 1]에 보여지는 것과 같이 두 개의 VLAN을 사용하여 Broadcast domain을 설정 한다면 어떻게 설정해야 할까?  대부분은 아마 모든 스위치에 VLAN을 설정할 것이다. 

* Configurations of ASWs

* Configurations of DSW

하지만 L2 스위치는 별도로 설정할 필요 없이 맨 위에 있는 DSW 장비 하나만 VLAN을 설정하면 된다. 

만약 아래 그림과 같은 상황에서 양 쪽 PC는 서로 통신할 수 있을까?

[LAB 2]

두 PC는 서로 통신할 수 있다!

스위치는 로컬에 설정된 VLAN만을 고려하여 통신 경로를 결정하지, 다른 장비에 설정된 VLAN까지 고려하지는 않는다.

그림을 보면서 왠지 통신이 되지 않을 것 같은 생각이 드는 것은 'ASW1에서 보내는 프레임이 VLAN1인데..' 라며 데이터에 VLAN이 설정된것으로 간주했기 때문이다. 하지만 DSW는 VLAN10으로 설정된 포트에 수신된 데이터는 동일한 VLAN10으로 설정된 포트로 전달할 뿐이고, ASW에 설정된 VLAN은 전혀 영향을 주지 않는다.

다시 정리해보면, Access port는 하나의 스위치가 가지고 있는 포트에 VLAN이라는 구역을 설정하는 것이다. 

VLAN-ID라는 식별값으로 각 포트를 구분하여 Unicast 및 Broadcast, Multicast 프레임이 동일한 VLAN으로 설정된 포트로만 전달될 수 있도록 통신 범위를 조정하는데 이용된다.

Port-Security 실습 설정

  ※ 패킷트레이서로 실습한다

실습 기본구성 설정

! R1

(config)# interface f0/0

(config-if)# ip address 10.1.1.1 255.255.255.0

(config-if)# mac-address 0000.0000.0001

(config-if)# no shutdown

! R2

(config)# interface f0/0

(config-if)# ip address 10.1.1.2 255.255.255.0

(config-if)# mac-address 0000.0000.0002

(config-if)# no shutdown

! R3

(config)# interface f0/0

(config-if)# ip address 10.1.1.3 255.255.255.0

(config-if)# no shutdown

1. Mac-address 학습방법 설정 및 Port-security 기능 활성화

ASW2(config-if)# switchport port-security maximum 3

 ⇒ 해당 포트에 학습될 수 있는 Mac-address의 최대 개수를 지정한다.

ASW2(config-if)# switchport port-security mac-address 0000.0000.0002

 ⇒ 수동으로 입력된 값은 시간이 지나도 지워지지 않으며 NVram에 저장할 수도 있다. 

    위에서 최대 개수를 3개로 설정했으니, 수동으로 설정한 하나를 제외한 2개의 주소는 동적으로 학습된다.

ASW2(config-if)# switchport port-security

 ⇒ 설정이 끝났으면 포트시큐리티 기능을 활성화 한다. 

2. 설정된 내용 확인하기

ASW2# show port-security interface fa0/1

Port Security  : Enabled
Port status  : Secure-Up
Violation mode  : Shutdown

Aging Time   : 60 mins

Aging Type  : Inactivity

SecureStatic address aging  : Enabled
Maximum MAC Addresses  : 3
Total MAC Addresses  : 1
Configured MAC Addresses  : 1
Sticky MAC Addresses  : 0

Last Source Address:VLAN  : 001b.d513.2ad2:5

Security Violation count  : 0

3. Violation이 Shutdown 이며, Port-security 보안정책을 위반한 경우

R1에 설정된 Mac-address : 0000.0000.0001

R1(config-if)# mac-address 0000.0000.1111

R1(config-if)# end

R1# ping 10.1.1.3

 ⇒ R1의 Mac주소를 변경하면, Port-security 정책에 의해 ASW2의 인터페이스가 err-disabled 상태가 된다.

    이런 경우에는 원인을 제거한 후, 해당 인터페이스에서 shutdown, no shutdown을 차례로 입력한다.

4. Violation이 Restrict 이며, Port-security 보안정책을 위반한 경우

ASW2(config)# interface f0/1

ASW2(config-if)# switchport port-security violation restrict

R1에 설정된 Mac-address : 0000.0000.0001

R1(config-if)# mac-address 0000.0000.1111

R1(config-if)# end

R1# ping 10.1.1.3

 ⇒ R1의 Mac주소를 변경하면, Port-security 정책에 의해 R1은 더 이상 R3와 통신이 될 수 없다. 

    하지만 인터페이스가 다운된것이 아니기 때문에 이미 학습되어 있는 다른 주소들은 통신이 된다. 

ASW2# show port-security interface f0/1

Port Security  : Enabled
Port status  : Secure-Up
Violation mode  : Restrict

Aging Time   : 60 mins

Aging Type  : Inactivity

SecureStatic address aging  : Enabled
Maximum MAC Addresses  : 3
Total MAC Addresses  : 1
Configured MAC Addresses  : 1
Sticky MAC Addresses  : 0

Last Source Address:VLAN  : 001b.d513.2ad2:5

Security Violation count  : 3

 ⇒ 인터페이스가 아닌 정책에 위반된 트래픽만 차단하며, 위반된 트래픽이 얼마나 유입되는지 Counting된다.

실습을 위한 테스트 네트워크 구성

BPDU Guard

특정 포트를 통해 BPDU를 수신했을 때, 해당 포트를 자동으로 shutdown 시키는 기능이다.

스위치가 아닌 장비들이 BPDU를 보낼일이 없기 때문에, 일반적으로 PC나 서버와 같은 종단 장치가 접속된 포트에 설정한다.

종단장치가 접속된 포트가 BPDU를 수신한다는 것은 일반 사용자들이 무단으로 스위치에 개인의 스위치나 허브를 접속했거나, STP 관련 해킹 공격을 받고 있음을 의미하는 경우가 많다.

Configuration

@ Global configuration Mode

Switch(config)# spanning-tree portfast bpduguard default

@ Interface configuration Mode

Switch(config)# interface F0/13

Switch(config-if)# spanning-tree bpduguard enable

BPDU Guard 설정 실습

DP에 BPDU Guard 설정해보기

SW2(config)# interface f0/13

SW2(config-if)# spanning-tree bpduguard enable

→ SW2의 f0/13은 DP이기 때문에 BPDU를 송신만 하고 수신은 하지 않는다. 변화가 없는 것을 확인하고 제거한다.

BPDU를 수신하는 포트에 BPDU Guard 설정해보기

SW3(config)# interface f0/13

SW3(config-if)# spanning-tree bpduguard enable

에러가 발생된 인터페이스와 원인 확인하기

SW3# show interface f0/13

  FastEhternet0/13 is down, line protocol ids down (err-disabled)

SW3# show errdisable detect

 → 다양한 원인으로 인해 에러가 발생했을 경우 확인하는 명령어

SW3# show interface status err-disabled

 → 에러가 발생한 포트와 상태 및 원인을 알 수 있다.

에러난 포트 복구하기

인터페이스를 다운시켰다 활성화 시켜서 복구한다

SW3#(config)# interface f0/13

SW3#(config-if)# shutdown (and no shutdown)

Recovery 시간을 설정하여 자동으로 복구하도록 설정한다

SW3(config)# errdisable recovery cause bpduguard

SW3(config)# errdisable recovery interval 120 (Sec)

BPDU Filter

특정 포트로 BPDU를 보내거나 받지 않게 하는 기능이다. 이 기능을 통해 BPDU를 송신하지 않음으로써 스위치 및 포트에 접속된 종단 장치에 불필요한 부하가 걸리는 것을 방지할 수 있다.

전역 설정모드에서 설정하면 포트패스트가 설정된 포트에만 BPDU 필터 기능이 적용되며, 인터페이스에서 BPDU가 송신되는 것을 차단시키는 역할을 한다. 만약 BPDU 송신이 차단된 인터페이스에서 BPDU를 수신하게 되면 BPDU 필터링 기능이 해제되면서 수신한 BPDU에 따라 적절한 STP 포트상태로 변한다.

인터페이스 설정모드에서 설정하면 해당 인터페이스에서 BPDU 송수신 모두 필터링 시킨다. 수신도 차단하기 때문에 이 기능을 잘못 설정하게 되면 STP 차단포트가 사라지면서 루프가 발생될 수 있다.

Configuration

@ Global configuration Mode

Switch(config)# spanning-tree portfast bpdufilter default

@ Interface configuration Mode

Switch(config)# interface F0/13

Switch(config-if)# spanning-tree bpdufilter enable

BPDU Filter 설정 실습

전역설정모드에서 BPDU Filter 설정해보기

SW3(config)# spanning-tree portfast bpdufilter default

→ BPDU 필터링이 설정된 인터페이스로 BPDU를 수신하면 필터링 기능이 없어지면서 정상적으로 동작한다.

인터페이스 설정모드에서 BPDU Filter 설정해보기

SW3(config)# interface f0/8

SW3(config-if)# spanning-tree bpdufilter enable

→ 인터페이스에서 설정하면 BPDU 송수신이 모두 안되기 때문에 STP가 동작되지 않는 것과 같아서 주의해야한다.

차단포트에 BPDU Filter 설정해보기

SW3(config)# interface f0/13

SW3(config-if)# spanning-tree bpdufilter enable

→ BPDU를 수신하지 못한 SW3의 f0/13을 DP라고 여겨 전송상태로 변경한다. 결과적으로 루프가 발생한다.

Root Guard

Root Guard란 특정 포트에 접속된 네트워크에 있는 스위치들은 루트 스위치가 될 수 없도록 하는 기능이다.

루트 가드가 설정된 포트에서 현재 Root Bridge의 B-ID보다 낮은 값의 B-ID를 담은 BPDU를 수신하면 해당 포트를 다운시켜서 루트선출에 참여하지 못하도록 막아서 Root Bridge를 보호하는 기술이다.

Configuration

@ Interface configuration Mode

Switch(config)# interface F0/8

Switch(config-if)# spanning-tree guard root

Loop Guard

Loop Guard란 차단포트가 BPDU를 받지 못해도 전송상태로 변경되지 않도록 해주는 기능이다.

차단 상태에 있던 포트가 상대 포트(DP)로부터 BPDU를 받지 못하면, 상대 장비에 문제가 생긴 것으로 인식하여 자신의 포트를 DP로 역할을 변경하고 전송상태로 전환시킨다. 하지만 필터링 설정을 잘못하여 BPDU를 수신하지 못한 경우라면 차단포트가 전송상태로 변경되면서 루프가 발생될 수도 있다.

링크에 문제가 생긴 경우에 차단 상태가 변하지 않으면 어떻게 해야되는지 의아해할 수도 있겠지만, 루프 가드가 설정되어 있어도 네트워크에 문제가 생겨서 차단 포트가 전송 상태로 변경이 필요한 경우에는 정상적으로 동작된다.

Configuration

@ Global configuration Mode

Switch(config)# spanning-tree loopguard default

@ Interface configuration Mode

Switch(config)# interface F0/13

Switch(config-if)# spanning-tree guard loop

Loop Guard 설정 실습

Loop Guard 설정 상태에서 BPDU를 받지 못한 경우

SW3(config)# spanning-tree loopguard default

SW2(config)# interface f0/13

SW2(config-if)# spanning-tree bpdufilter enable

→ SW3에 Loop Guard 설정을 해두고 SW2에서 BPDU를 송신하지 않도록 설정하였다.

SW3# debug spanning-tree events

10:25:41: %SPANTREE-2-LOOPGUARD_BLOCK: Loop guard blocking port FastEthernet0/13 on VLAN0001

→ SW3에서 디버깅을 해보면 차단포트에서 BPDU를 수신하지 못하자 전송상태로 변경하지 않고 루프가드에 의해 차단상태로 유지한다. show spanning vlan 1로 확인해보면 해당 포트가 Loop Inconsistent (일종의 차단상태)로 되어있다.

SW2에서 필터링을 해제하면 포트상태가 정상적인 차단상태가 되는 것을 볼 수 있다.

Loop Guard 설정 상태에서 실제로 네트워크 문제 발생된 경우

SW2(config)# interface f0/11

SW2(config-if)# shutdown

→ 간접링크의 다운을 감지하는 후순위 BPDU를 만들어내기 위해 SW2의 인터페이스를 다운시켜본다.

SW3# debug spanning-tree events

10:44:28: STP: VLAN0001 heard root 4097-001a.2fd4.0f80 on Fa0/13

10:44:28: STP: VLAN0001 Fa0/13 -> listening

10:44:38: STP: VLAN0001 Fa0/13 -> learning

10:44:48: STP: VLAN0001 Fa0/13 -> forwarding

SW3(config)# interface f0/1

SW3(config-if)# shutdown

→ 직접링크의 다운을 감지했을 때를 보기 위해 SW3의 f0/1 인터페이스를 다운시켜본다.

SW3# debug spanning-tree events

10:48:29: %SPANTREE FAST-7-PORT FWD UPLlNK: VLAN0001 FastEthernet0/13 moved to Forwarding

UDLD (Unidirectional Link Detection)

UDLD는 스위치간 단방향 링크가 생겼을 때 해당 포트를 셧다운 시키는 기능이다.

연결된 두 장비의 링크에 송신 또는 수신에 문제가 생겨서 트래픽을 못받는 경우, L2 Loop가 발생하거나 한 쪽이 송신한 프레임이 사라지는 블랙홀이 발생할 수 있다.

UDLD는 기본적인 정상모드 (normal mode) 와 적극모드(aggressive mode) 라는 두 가지 동작모드가 있다.

정상모드는 광케이블의 결선오류로 인한 단방향 링크를 감지할 수 있다. 적극모드에서는 추가적으로 광케이블과 UTP의 단방향 트래픽으로 인한 단방향 링크까지도 감지할 수 있다.

       - 정상모드 : Fiberoptic Cable에서 쓸 때 

       - 적극모드 : Ethernet Cable에서 쓸 떄

Configuration

@ Global configuration Mode

Switch(Config)# udld enable (정상모드)

Switch(Config)# udld aggressive (적극모드)

@ Interface configuration Mode

Switch(Config-if)# udld port (정상모드)

Switch(Config-if)# udld port aggressive (적극모드)

UDLD 동작 과정

• UDLD가 설정되어 있지 않은 상태에서 위 그림과 같이 단방향 링크가 만들어지게 되면 BPDU를 수신하지 못한 SW3의 차단포트가 DP로 설정되면서 전송상태로 변경되고 2계층 루프가 발생되게 된다.
• UDLD를 설정하게 되면 주기적으로 송신포트를 통하여 UDLD 패킷을 전송하고, 상대 장비에서는 다시 자신의 송신포트로 상대에게 재전달(echo)해줘서 양방향 링크가 동작중인 것을 확인한다.

Gateway 이중화구성의 문제점

스위치는 MAC테이블이 초기화 되기 전까지는 ARP를 하지 않고 MAC테이블을 참조하여 통신을 한다.

만약 게이트웨이 주소로 지정된 라우터가 고장이 나서 통신이 되지 않는다면, 스위치는 그 사실을 알지 못하고

MAC테이블이 초기화 되는 300초(5분)가 지날때까지 외부와 통신이 되지 않을 것이다.

물리적으로 이중화 구성을 하여도 이 부분이 해결되지 않는다면 진정한 이중화 구성이 아니다

HSRP (Hot Standby Router Protocol)

HSRP는 시스코에서 개발한 게이트웨이 이중화 프로토콜이다. 게이트웨이 역할을 하는 라우터 또는 L3 Switch에서 동작한다. PC에서는 HSRP에서 설정한 가상 IP를 게이트웨이로 설정하여 사용한다.

HSRP 장비 중에서 하나가 Active, 나머지가 Standby 가 되어 Active가 실제 게이트웨이 역할을 수행하고 Standby는 Active를 주시하고 있다가 장비에 문제가 생기면 Active 역할을 이어받아 수행한다.

HSRP Active/Standby Router

Active Router 선출 우선순위

  1. Priority 값이 높은 라우터

  2. IP 주소가 큰 라우터

Active Router 역할

- 사용자 PC가 보낸 ARP 요청에 Virtual Router의 가상 Mac주소를 넣어 응답해준다

- 패킷을 라우팅 하여 전달해준다

- Standby Router에게 주기적으로 Hello를 전달하여 자신의 상태를 알려준다

Standby Router 역할

- Active Router가 전달하는 Hello 패킷을 수신하여 Active Router의 상태를 체크한다

- 평소에는 라우터로의 기능을 하지 않고 Active Router에 문제가 생겼을때 역할을 넘겨 받는다

HSRP 상태변화

initial state

HSRP의 시작 상태이며 아직 동작하지 않음을 나타낸다.

설정을 변경하거나 인터페이스가 살아날 때 이 상태가 된다

listen state

가상 IP주소가 결정된 상태이지만 Active, Standby 라우터가 선출되지 않은 상태이다.

이 상태에서는 다른 라우터로부터 헬로 패킷을 수신한다

speak state

주기적인 헬로 패킷을 전송하기 시작하며, Active, Standby 라우터 선출에 참여한다

standby state

이 상태는 Active 라우터 후보가 될 수 있음을 의미하며, 주기적으로 헬로 패킷을 전송한다.

동일한 HSRP 그룹내에는 1개의 Standby 라우터만 존재한다

active state

해당 HSRP 그룹의 가상 맥주소로 전송된 패킷을 수신하여 라우팅 시키는 역할을 하는 상태이다.

주기적으로 헬로 패킷을 전송하며 동일한 HSRP 그룹내에는 1개의 Active 라우터만 존재한다.

Multiple HSRP Groups

HSRP를 사용하면 하나의 Active Router만 동작하고 Standby Router는 대기하기 때문에 효율성이 떨어진다

Standby Group의 모든 라우터를 사용하기 위해 그룹별로 Active Router를 조절하여 주면

모든 라우터가 Active Router가 된다

VRRP (virtual Router Redundancy Protocol)

  - FHRP (first hop redundancy protocol - 게이트웨이 여분 프로토콜)의 한 종류로서 IEEE 표준프로토콜이다

  - HSRP는 시스코전용으로서 주로 VLAN에 설정하지만, 

    VRRP는 벤더마다 VLAN이 다르므로 주로 물리인터페이스에 설정하여 사용

  - 주라우터를 master라 지칭하고, 예비라우터를 backup라우터라 명한다.

  - VRRP Advertisement message -> Master만이 전송

  - Virtual IP Mac Address : 00-00-5e-00-01-XX를 사용한다.

VRRP 특징

  - 가상게이트웨이로 설정가능하고, 라우터가 사용하고 있는 실제 IP로도 게이트웨이 설정 가능하다.

  - 실제 IP로 게이트웨이 지정시, 해당 IP 소유라우터의 Priority가 255로 변경되어 Master로 지정된다.

  - Multicast 224.0.0.18, Hello 1초 Hold time 3초

  - Preempt 설정이 기본적으로 활성화 되어있으며, Default로 Delay 5초로 설정되어 있다

  - Master 라우터가 선출되는 기준은 Priority(default 100) → IP-address (Highest)

  - 기본 인증설정이 되어있지 않다

[LAB 01] SVI 를 이용한 Routing

위 토폴로지에서는 VLAN 10과 VLAN 20이 연결된 물리적 인터페이스가 하나이기 때문에 SVI를 만들어서 GW를 설정하는 것이 좋다. SVI는 라우팅을 해주고자 하는 DSW에서 설정한다.

DSW(config)# ip routing

DSW(config)# vlan 10

DSW(config)# vlan 20

DSW(config)# interface vlan 10

DSW(config-if)# ip address 1.1.10.254 255.255.255.0

DSW(config-if)# no shutdown

DSW(config)# interface vlan 20

DSW(config-if)# ip address 1.1.20.254 255.255.255.0

DSW(config-if)# no shutdown

DSW(config-if)# end

[LAB 02] Routed port 를 이용한 Routing

위 토폴로지는 각 VLAN이 개별적인 인터페이스에 연결되어 있기 때문에 각 인터페이스에 IP를 설정하는 것이 좋다.

Routed port를 사용하게 되면 VLAN을 만들고 설정할 필요가 없기 때문에 훨씬 간편하게 라우팅을 할 수 있다.

DSW(config)# ip routing

DSW(config)# interface f0/1

DSW(config-if)# no switchport

DSW(config-if)# ip address 1.1.10.254 255.255.255.0

DSW(config-if)# no shutdown

DSW(config)# interface f0/2

DSW(config-if)# no switchport

DSW(config-if)# ip address 1.1.20.254 255.255.255.0

DSW(config-if)# no shutdown

DSW(config-if)# end