스위치 보안 중 트래픽의 출발지를 보고 차단하는 방법만 있는 것이 아니다. 트래픽의 종류, 트래픽의 양에 따라 차단하는 방법도 있다. 바로 포트 트래픽을 제어하는 것이다. 포트 트래픽에 대해 알아보자.
1. Storm Control (과다 트래픽 제어)
스위치의 포트로 Unicast / Multicast / Broadcast 트래픽이 1초 동안 사용자가 설정한 수준 이상으로 많이 수신되었을 때, 해당 트래픽을 모두 차단한다.
설정
예를 들어, SW2의 F0/3에서 Broadcast 패킷이 대역폭의 25% 이상을 차지할 경우 차단하는 것을 설정해보자.
SW2(config)# int fa0/3 SW2(config-if)# storm-control broadcast level 25
3: broadcast 대신 unicast, multicast로 설정할 수 있다. level 25는 대역폭의 25%를 의미하므로 적절한 값으로 변경하여 설정할 수 있다.
2. Protected Port (방어 포트)
하나의 스위치에서 Protected Port로 설정된 포트끼리 Unicast / Multicast / Broadcast를 차단한다. 서로 다른 스위치의 Protected Port끼리는 정상적으로 트래픽을 주고 받는다.
(단, 목적지가 없는 프레임은 Flooding 된다.)
Protected Port로 설정되지 않은 포트와는 정상적으로 트래픽을 주고 받을 수 있다.
설정
SW2의 F0/2, F0/3을 Protected Port로 설정해보자.
SW2(config)# int ran fa0/2 - 3 SW2(config-if)# switchport protected
이제 PC1과 PC2를 PING 테스트해보면 응답이 없는 것을 확인할 수 있다.
PC1 – PC3, PC2 – PC3 간의 PING은 정상적으로 나간다.
3. Port Blocking (포트 차단)
스위치가 수신한 프레임의 목적지가 MAC Table에 없다면, Flooding 되는 것을 차단한다. Unicast / Multicast 패킷에만 적용할 수 있다.
설정
SW2의 F0/4에 목적지가 없는 Multicast 프레임을 차단하도록 설정해보자.
SW2(config)# int fa0/4 SW2(config-if)# switchport block multicast
3: multicast 대신 unicast를 사용할 수 있다.