BigNetwork

Switch에 VLAN 만들기

+ Global Configuration Mode에서 설정

(config)# vlan 10

(config-vlan)# name <word>

** vlan 모드에 여러가지 설정을 할 수 있다

+ VLAN Database에서 설정

# vlan database

(vlan)# vlan 10 name <word>

** 이 모드에서 설정하는 방식은 추천하지 않는다

Switch port 설정하기

+ Access port 설정

(config)# interface fastEthernet 0/1

(config-if)# switchport mode access               : 스위치 포트의 모드를 access로 변경

(config-if)# switchport access vlan <vlan-id>  : access에 특정 vlan을 할당 해줌

+ Trunk port 설정

(config)# interface fastEthernet 0/5

(config-if)# switchport mode trunk                           : 스위치 포트의 모드를 trunk로 변경

(config-if)# switchport encapsulation {dot1q|isl}      : 트렁킹 인캡슐레이션 설정

(config-if)# switchport trunk allowed vlan <vlan-id>  : 트렁크에서 전송을 허용할 vlan설정 (1,1002-1005는 기본 vlan이라 꼭 포함해줘야함)

(config-if)# switchport native vlan <vlan-id>            : native vlan 사용안할거라면, 사용되지 않는 vlan번호로 변경해주는 것이 보안상 좋다

VLAN 정보 확인하기

show vlan brief

show vlan <vlan-id>

show interface <int> switchport

Cisco Switch 기본설정 

+ 장비이름설정 : hostname <ABC>

+ enable 비밀번호 설정 : enable password <cisco>

     enable secret <cisco>

+ 도메인 찾지않게 설정 : no ip domain-lookup

+ 도메인 찾도록 설정    : ip domain-lookup

+ local 계정 만들기 : username <ID> password <PW>

콘솔 설정

+ 콘솔모드 들어가기 : line console 0

+ 로그랑 명령어 분리 : logging synchronous

+ 로그아웃 시간 설정 : exec-timeout <분><초> -> 0 0 으로 설정하면 로그아웃 안되게 설정하겠다는 뜻

+ 패스워드 설정

비밀번호 인증

password <cisco>

login

--------------------

local 인증

login local

--------------------

no 인증

no password

no login

--------------------

가상터미널 설정 (Telnet..)

+ 가상터미널 모드 들어가기 : line vty 0 4  -> 0 4 는 터미널의 번호로 0번부터 4번까지 라는 뜻

+ 패스워드 설정

비밀번호 인증

password <cisco>

login

--------------------

local 인증

login local

--------------------

no 인증

no password

no login

--------------------

** 가상터미널 설정이 되어있지 않으면 다른 장비에서 telnet으로 해당 장비로 접속할 수 없다 **

인터페이스 설정

+ 스위치의 인터페이스는 기본적으로 모두 활성화 되어있다 (no shutdown 상태) 

+ 보안을 위해 사용하지 않는 포트는 shutdown 명령어를 사용하여 닫아두는 것이 좋다 

+ 다수의 포트를 한번에 설정하는 명령어 : range

switch(config)# interface range f0/1 - 5

switch(config-if-range)#

+ 관리 IP 설정 : Native VLAN (default 1번)

switch(config)# interface vlan 1

switch(config-if)# ip address 1.1.1.1 255.255.255.0

switch(config-if)# exit

Mac-address Table 관리

+ Mac-address table 확인

switch# show mac-address-table

+ Mac-address 수동으로 입력

switch(config)# mac-address-table static <MAC> vlan <vlan-id> interface <f0/1>

VTP란?

VLAN Trunking Protocol 의 약자로, 연결된 스위치들끼리 VLAN 정보를 주고 받아 자동으로 동기화하게 해주는 프로토콜이다.

관리해야 되는 스위치가 많은 경우에 유용하게 사용될 수 있지만, 보안상의 이유로 거의 사용되지 않는다.

VTP 사용 조건

<VTP Domain Name 설정>

스위치에 VTP는 기본적으로 동작이 되고 있는 상태이며 끌 수가 없는 프로토콜이다. 그러나 초기에 아무 설정도 하지 않으면 VLAN정보를 동기화 하지 않는데, 이는 스위치간 도메인 이름이 설정되어 있지 않기 때문이다. 따라서 VTP를 사용하여 VLAN정보를 동기화 하기 위해서는, 스위치들의 VTP 도메인 이름을 같도록 설정해야 한다.

<스위치간 Trunk Port 설정>

VLAN 정보를 공유하기 위해 VTP메시지를 보내는데, 이 메시지는 Trunk에서만 전달될 수 있다. 따라서 스위치간 링크가 만약 Access로 설정이 되어있거나, Trunk 설정이 아직 되지 않은 경우라면 VTP 메시지를 주고 받을 수 없다.

<VTP Password 일치>

VTP 프로토콜을 이용하여 무분별하게 정보를 받아올 수 있기 때문에 안전장치인 비밀번호를 설정해놓는 경우가 있다. 만약 도메인 이름은 동일한데 비밀번호가 같지 않다면 VTP메시지를 통한 동기화를 할 수가 없다. 따라서 비밀번호를 설정해놓은 경우에는 동기화를 할 모든 스위치에 비밀번호가 같도록 해야한다.

VTP MODE

1) VTP server mode

- Create/Delete VLANS

- Send Advertisements

- Forward Advertisements

- Synchronize

- Save

==> VLAN 설정을 직접 할 수 있고, 설정한 내용을 다른 스위치로 전송한다. 스위치 기본 모드로 설정되어 있다.

2) VTP client mode

- Just Resive and Synchronize

- Forward Advertisements

- Not Save

==> 서버로부터 받은 VLAN 정보로 동기화 하며, 스스로 VLAN을 설정할 수 없다.

3) VTP transparent mode

- Create/Delete VLANS

- Not Send Advertisements

- Not Synchronize

- Forward Advertisements

- Save

==> 스스로 VLAN을 설정할 수 있으나 다른 스위치로 전송하지 않으며, 받은 정보로도 동기화 하지 않는다.

VTP message

1) Summary Advertisement

VTP server가 자신과 연결된 스위치에게 5분 주기로 전달하는 메시지. 자신의 관리하는 VTP domain에 대한 Revision number를 전송한다.

각 스위치들은 이러한 Revision number를 보고 자신의 VLAN 정보가 최신인지 아닌지를 구분한다. 또한 VLAN 구성에 변화가 발생시에도 전송되는데 이 경우는 5분 주기가 아니라 변화 즉시 전송을 한다.

2) Subset Adverisement

VLAN 구성이 변경되었을 경우나 VTP client로부터 Advertisement Request를 수신했을때 전송한다. 실제 VLAN 정보를 담고 있는 메시지이다.

3) Advertisement Request

VTP client가 VTP server에게 Summary Advertisement 혹은 Subset Adverisement를 요청하는 경우 사용하는 메시지이다. client가 자신이 가지고 있는 Revision number보다 높은 Revision number를 가지고 있는 Summary Advertisement를 수신하거나 VTP domain 변경, 스위치 리셋 등 여러 변화가 생겼을 경우 이 메시지를 VTP server에 전송한다.

VTP의 동작

  - VTP server에서 VTP domain name은 VLAN을 새로 만들거나 변경하기 전에 먼저 설정해야 한다.

1. SW1, SW2, SW3이 있을경우 SW1이 VTP mode를 server로 하고 VTP domain name을 설정한다음 VLAN을 생성한다.
2. SW2의 VTP mode를 client로, SW3의 VTP mode를 transparent로 설정 (각 스위치는 trunk port로 연결돼 있어야만 서로 VTP message를 교환할 수 있다.)
3. VTP mode가 server인 SW1은 SW2와 SW3에게 Summary Advertisement (VTP domain name과 Revision number)를 전달한다.
4. Summary Advertisement를 수신한 SW2는 자신의 VTP domain name을 server와 동일하게 변경, 그 후 수신한 Revision number를 비교해보고 자신의 Revision number보다 더 높을 경우 VLAN 정보를 업데이트 해야하기 때문에 server인 SW1에게 Advertisement Request를 전송해서 상세한 VLAN 정보를 요청한다.
5. Advertisement Request을 수신한 SW1은 정보를 요청한 SW2에게 Summary Advertisement와 Subset Advertisement(VLAN 상세 정보)를 전송한다. SW2는 메시지를 수신하고  server와 동일하게 VLAN 정보를 일치화(Syncronization)시킨다. 즉, VTP client는 VTP server와 항상 정보를 일치시킨다. (Cofiguration Revision number를 보고 업데이트 여부를 결정) 
6. SW3도 server인 SW1에게 Summary Advertisement를 수신한다. 하지만 SW3는 transparent mode이기 때문에 server의 메시지를 자신의 VLAN 정보에 반영하지 않고 원상태를 유지한다. SW3가 새로운 VLAN을 생성하거나 삭제 혹은 수정을 해도 변경된 VLAN 정보를 어디에도 전송하지 않는다. 하지만 VTP가 동작하는 스위치에서 전달받은 VLAN 정보를 다른 스위치로 중계해주는 역할을 한다. 즉, VTP message의 정보를 사용하지는 않고 중간에서 전달은 해준다.

VTP 유의사항

- 확장 VLAN인 1006~4094번은 VTP 버전 1,2 모두 지원하지 않기 때문에 Transparent 모드에서만 만들 수 있다.

- 스위치의 기본설정으로 Server로 되어 있으며 Domain은 비어있다.

 이 경우 공격자가 하나의 스위치에서 Domain을 설정하면 모든 스위치가 하나의 VTP로 묶이게 되어 마음대로 설정이 가능해진다.

- VTP 를 사용하고 싶지 않을 때에는 따로 끄는 기능이 없어 Transparent 모드로 변경해주어야 한다.

- 시스코에서도 VTP Transparent 모드를 권장하고 있다.

- 설정 순서로 인한 문제가 발생할 수도 있기 때문에 <패스워드→도메인이름→모드변경> 순으로 해줘야 한다.

  단, 12.2버전에서는 도메인이름 부터 설정해야 패스워드 설정이 되며, 12.3 이상부터는 패스워드설정부터 가능하다.

- 새 장비 또는 수리한 사용하던 장비를 네트워크에 추가 시키려고 할 경우, 리비전 넘버를 초기화 시킨 후 추가 해야 다른 장비의 VLAN정보에 영향을 미치지 않는다.

VTP pruning

- VLAN을 좀더 효율적으로 사용하기 위해 만든 응용 기법

- pruning의 뜻은 가지치기,

VLAN 트래픽이 이동할 때 갈 필요가 없는 trunk 방향으로 트래픽이 나갈 경우 그 부분을 가지치기처럼 잘라내는 기법이다. 즉, 자신과 상관없는 VLAN 정보에 대한 트래픽을 trunk 포트라 하더라도 수신하지 않겠다는 의미. (trunk 대역폭을 절약할 수 있다.)

모든 스위치 간에는 트렁크 포트로 연결되어 있고, SW1의 port 1, SW4의 port 2에 Red VLAN이 할당되어 있다

 (다른 스위치들은 Red VLAN이 생성되지 않았다)

SW1의 port 1에 연결된 A 호스트에서 브로드캐스트가 발생하면 모든 트렁크 링크를 통하여 전파되므로 SW3, SW5, SW6은 Red VLAN이 없음에도 불구하고 브로드캐스트 프레임이 플러딩된다

 (어떤 VLAN이던지 태깅된 프레임은 트렁크 포트로는 무조건 전달된다)

이 때 VTP 서버에서 VTP 프루닝 기능을 활성화시키면 전파되어 모든 스위치에 VTP 프루닝 기능이 활성화된다.

그러면 SW1으로부터의 브로드캐스트 프레임은 SW2의 port 5, SW4의 port 4에서 가지치기 되어 SW3, SW5, SW6으로 플러딩되지 않는다

이 후 SW6에 Red VLAN에 속하는 포트가 할당되면 SW4, SW5, SW6에서 Red VLAN 프루닝이 자동으로 Disabled된다

(SW4, SW5도 Red VLAN을 알고있어야 SW6까지 Red VLAN 프레임을 트렁크로 전달할 수 있으므로 SW4, SW5에도 Red VLAN이 생성될 것이다)

Native VLAN 이란

+ Native VLAN은 허브와 스위치를 함께 사용하던 환경에서 통신 호환성을 위하여 만들어졌다.

스위치는 VLAN정보를 구분하기 위해 프레임에 Tag를 부착하여 전달한다. 

Tagging 방식은 ISL과 802.1Q 가 있다.

허브는 VLAN을 구분할 수 있는 기능이 없어 프레임을 그대로 PC에게 전달하게 되고, 일반적인 PC는 VLAN이 표시된 프레임을 인식하지 못하여 데이터를 잘못 인식하게 된다. 

그리고 허브로부터 받은 Tag가 붙지 않은 데이터는 스위치에서 버려지게 되므로, VLAN이 나눠져 있는 스위치와 허브간에 통신이 되지 못한다.

이런 통신환경에서 Tag가 붙지 않은 프레임도 통신될 수 있도록 하는 기능이 Native VLAN이다.

Native VLAN은 기본적으로 1번 멤버십 번호로 할당 되어있으며, VLAN멤버십이 표시된 Tag가 붙어있지 않은 프레임을 모두 Default인 VLAN 1번으로 취급하여 통신이 되도록 만들어준다.

Native VLAN의 또 다른 사용 구간

+ Native VLAN은 Voice 데이터를 전달할 경우 사용한다

Voice 데이터는 속도에 민감한 데이터로 빠르게 전달되어야 한다. 

그래서 VLAN에 소속되어 Tag를 붙였다 떼었다 하는 작업을 거치지 않도록 Native VLAN으로 전송하면 좋다.

+ Native VLAN은 WAN 구간을 연결할 때 사용한다

VLAN은 스위치에서 나눈 논리적인 네트워크이므로, 물리적으로 네트워크를 구분하는 라우터에서는 VLAN을 인식할 수가 없다. 

따라서 데이터가 WAN으로 나가야 하는 경우, Tag를 붙이지 않고 보낼 수 있는 Native VLAN을 사용한다.  단, 서브인터페이스에서는 VLAN구분이 가능하다.

Native VLAN의 취약점

+ Native VLAN의 Default Number가 1번으로 설정이 동일하다

기본적으로 Native VLAN은 1번으로 설정이 되어있기 때문에 따로 변경해주지 않으면 Native VLAN이 1번으로 설정된 연결된 모든 장비와 통신이 가능하다. 그렇기 때문에 외부에서 내부 접근에 성공한 공격자에 의해 내부 통신망으로 접근이 가능해진다

+ Native VLAN이 이중 Tagging을 이용한 공격에 사용된다

Native VLAN은 모든 스위치를 그냥 통과할 수 있기 때문에 보안설정이 되어있는 라우터를 거치지 않고 통신을 하고자 하는 공격이 있을 경우에 원래 통신을 하려는 VLAN Tag앞에 Native VLAN Tag를 덧붙여 사용한다.

이와 같은 Hopping 공격(이중 Tagging을 이용한 내부 공격)을 할 경우 가장 먼저 시도하는 번호가 기본 번호인 1번이기 때문에 Native VLAN의 번호는 반드시 바꾸어 주어야 한다.  

VLAN 이란?

VLAN이란 Virtual LAN 을 줄인 말로, 논리적으로 나눈 스위치 네트워크를 말한다.

스위치를 이용하여 네트워크를 나누면 다음과 같은 장점이 있다.

논리적으로 네트워크를 구분하기 때문에 네트워크 구성이 유연하다.

라우터를 사용하여 물리적으로 네트워크를 구성하면 네트워크 디자인이나 구조를 변경하려고 할 때, 설비를 다시 해야 된다는 단점이 있어 쉽게 바꾸지 못한다. 하지만 스위치를 이용하여 논리적으로 구분하면 네트워크의 구조를 유연하게 변경할 수 있다

VLAN을 사용하면 네트워크의 보안성이 강화된다.

서로 다른 VLAN에 속한 장비들은 라우터나 L3 스위치같은 레이어 3 장비를 통해야만 서로 통신이 가능하다. 장비들이 모두 동일한 VLAN에 속했을 경우 통신 내용을 훔쳐보는 것은 매우 쉽다. 하지만 장비들을 서로 다른 VLAN으로 구분했을 경우 라우터를 통해야만 통신이 이뤄지기 때문에 라우터에 다양한 보완정책을 적용해서 보안성을 강화시킬 수 있다.

VLAN을 사용하면 스위치 네트워크에서 load balancing이 가능하다.

VLAN을 사용하지 않으면 STP에 의해서 이중화 된 구간중 한 포트가 차단되고 결과적으로 하나의 경로로만 통신이 이뤄진다. 하지만 VLAN을 사용할 경우는 이중화된 구간의 경로별로 VLAN을 구분하면 load balancing이 가능하다.

이 기능을 PVST(Per VLAN Spanning-Tree) 라고 부른다.

단, 이는 128개 까지만 지원이 된다. (129번째 VLAN 부터는 STP 지원이 안됨)

VLAN Membership

<VLAN은 서로 번호(ID)로 구분한다>

VLAN Membership으로 사용가능한 VLAN 번호는 1 ~ 4094 이다.

1) 1 ~ 1005까지는 nomal(일반) VLAN 

- 1 ~ 1001까지가 이더넷에서 사용가능한 VLAN 번호

- 1002 ~ 1005는 토큰링과 FDDI용으로 사용.

2) 1006 ~ 4094까지는 extended(확장) VLAN

- 확장VLAN은 3500 이상의 스위치에서 사용가능하다

<VLAN Membership 할당방식>

Static

 : 스위치 포트 마다 VLAN을 할당하는 방법으로, 그 어떤 PC를 꼽던 해당 포트에 할당된 VLAN이 적용되어진다.

  일반적인 기업들이 가장 많이 사용하는 방식으로, 대부분의 스위치에서 Static하게 설정한다.

  Static 방식은 한번 스위치에 VLAN을 할당하면 바뀌는 사용자에 따라 관리할 필요가 없다는 것이 장점이다.

Dynamic

 : VMPS (VLAN Membership Policy Server)를 사용하여 VLAN을 관리한다.

  미리 VLAN과 PC의 MAC주소를 매칭시켜 저장해두고, 스위치에 접근했을 때 MAC주소를 확인하여 VLAN 할당하는 방식.

  이동이 자주 일어나거나, 사무실이 분산되어 있는 환경에서 사용한다.

<VLAN Link Mode 설정>

Access Mode

 : 특정 VLAN에 할당하여 해당 VLAN에 관련된 정보만 받을 수 있도록 설정하는 모드이다.

  예를 들어보면, VLAN 10에서 내보낸 Broadcast 메시지는 VLAN 10에 할당된 Access 포트만 받을 수 있다.

  주로 사용자 PC가 연결된 포트를 Access로 설정한다.

Trunk Mode

 : 스위치에서 설정된 여러 VLAN이 함께 지나다닐 수 있도록 설정하는 모드이다.

  여러 VLAN의 정보를 실어야 하므로 특정 VLAN으로 할당할 수 없고, 주로 스위치간 연결에서 설정된다.

VLAN Encapsulation

<Trunking 이란>

스위치의 하나의 인터페이스를 Trunk Link로 설정하여 다수의 VLAN을 전송할 수 있도록 하는 방식이다.

각 VLAN 별로 링크를 따로 만들어주면 너무 많은 케이블과 인터페이스가 필요하게 된다. 이 경우, 하나의 인터페이스를 여러 개의 VLAN이 지나다닐 수 있도록 설정해주면 되는데, 이를 Trunking이라고 한다.

<Trunking Encapsulation 이란>

VLAN은 한 스위치에서만 사용되는 것이 아니라 여러 스위치로 확장해서 사용할 수 있고, 각각의 스위치들이 메시지가 어떤 VLAN에서 보낸것인지를 확인하기 위해 Tag를 붙여서 사용한다. 이렇게 VLAN의 정보를 확인할 수 있도록 표시해주는 방식을 Trunking Encpasulation 이라고 한다.

IEEE 802.1Q

- 표준 프로토콜

- Native VLAN 사용 가능

- QoS 지원

- 4Byte의 작은 크기의 Tag를 사용하여 VLAN 표시

- 오리지널 프레임이 변형된다

ISL(Inter Switch Link)

- 시스코 전용 프로토콜

- Native VLAN 사용 불가능

- 헤더 26Byte, CRC(풋터) 4Byte 총 30Byte로 인캡슐레이션

- 오리지널 프레임이 변형되지 않는다

Switch가 가진 3가지 기능

1. Learning Address

스위치로 들어오는 프레임의 출발지 주소를 학습하여 스위치마다 가지고 있는 Mac address Table에 저장한다.  

이 정보 덕분에 특정 호스트로 전달되는 프레임을 정확한 포트로 전달해 줄 수 있게 된다. 

2. Forward/Filter Frames

스위치가 가지고 있는 Mac address Table에 있는 특정 목적지 주소로만 프레임을 전달해주는 것을 Forwarding,  

그와 동시에 다른 곳으로는 뿌려지지 않도록 막아주는 것을 Filtering이라고 한다. 

스위치는 목적지 주소를 확인하여 자신의 Mac Table에 정보가 없거나 Broadcast 메시지인 경우, 모든 포트로 Frame을 복사하여 전달하는데 이를 Flooding이라고 한다.

3. Loop Avoidance

스위치는 이중화 구성으로 인해 발생될 수 있는 Loop를 자동적으로 방지할 수 있는 기능이 있다.  

이 기능을 우리는 뒤에서 STP라는 기술로 배우게 된다. 

Switch의 Frame 전달

스위치가 Frame을 전달하는 방식은 세 가지가 있다.

Cut-Through : 목적지 주소만 확인하고 에러검출은 하지 않아 Switching 속도가 빠르다.

Store and Forward : Frame을 모두 검사하여 에러가 있는지 확인하여 정상이라면 전달하고 에러가

있으면 Drop시킨다. 속도가 느려질 수 있으나 장비의 성능이 좋으면 문제가 되지 않는다.

Fragment-Free : 가장 에러가 많이 발생하는 구간인 64byte까지만 에러검출을 한 후, 이상이 없는 경우

나머지 부분도 에러가 나지 않았을 가능성이 높다고 판단하고 Frame을 전달한다.

Switch의 Mac주소 학습

스위치가 호스트에게서 전달받은 프레임을 데이터화 하여 헤더를 확인한다.  

헤더의 내용 중에 출발지의 주소를 자신이 프레임을 전달 받은 포트번호와 연동하여 Mac table에 저장한다.  

저장된 정보는 300초 동안 유지되고 이를 Aging time이라고 한다.  

다른 호스트가 보낸 프레임안에 목적지주소로 적힌 Mac주소가 Mac table에 있는 경우, 해당 포트로 전달해주고 다른 포트로 전달되지 않도록 한다.  

그리고 목적지 주소로 사용되었던 정보의 Aging time은 다시 300초로 리셋된다. 

Switch의 충돌방지는 어떻게 일어나는가?

1. Mac-table을 이용한 Forwarding

스위치로 들어온 데이터의 헤더를 확인하여 목적지 주소를 자신의 Mac-table과 비교한다. 

목적지에 대한 정보가 있는경우, 해당 포트로만 전송하고 다른 포트로는 전송하지 않고, 그럴 경우 아래에 있는 그림과 같이 각각의 통신이 서로에게 영향을 미치지 않아 충돌이 발생하지 않는다.  

2. Buffer를 이용한 데이터 충돌 방지

위의 경우는 각각 다른포트로 통신이 일어나고 있으니 충돌이 발생하지 않았지만, 만약 같은 목적지 포트로 서로 다른 포트에서 데이터를 보낸경우, 받고 있는 데이터와 새로 보낸 데이터가 충돌이 일어나게 된다. 스위치는 이런 상황을 어떻게 처리하는지 알아보자.

3번 포트로 전송하려는 데이터가 2번에서도 들어오고 1번에서도 들어오는 경우,

먼저 전송된 2번포트의 데이터를 3번 포트로 전달해주고 뒤늦게 들어온 1번 포트의 데이터는 버퍼에 저장해둔다. 2번에서 전송된 데이터를 모두 받으면 버퍼에 저장되어 있던 데이터를 3번으로 전송하기 시작한다.

이처럼 스위치에서는 같은 포트로 여러 데이터가 전달될 경우에는 버퍼라는 저장공간을 이용하여 데이터의 충돌을 방지하고 있다.