본 문서는 WorkSpace 이용 간 Client <-> WorkSpace region 간의 네트워크 속도에 관련된 내용을 기술한다.



Amazon WorkSpaces 사용자는 지원되는 디바이스 또는 웹 브라우저의 클라이언트 애플리케이션을 사용하여 WorkSpaces에 액세스합니다. 
WorkSpaces에 대한 좋은 경험을 사용자에게 제공하려면 클라이언트 디바이스가 다음 네트워크 요구 사항을 충족하는지 확인합니다. 


• 클라이언트 디바이스에 광대역 인터넷 연결이 있어야 합니다. 

• 클라이언트 디바이스가 연결되는 네트워크와 클라이언트 디바이스의 방화벽에서 다양한 AWS 서비스를 위한 IP 주소 범위에 대해 특정 포트가 개방되어 있어야 합니다. 
   자세한 내용은 Amazon WorkSpaces 포트 요구 사항 (p. 12) 단원을 참조하십시오. 

• 클라이언트 네트워크에서 WorkSpaces가 속한 리전까지의 왕복 시간(RTT)이 100ms보다 짧아야 합니다. 
  RTT가 100ms~250ms일 경우 사용자가 WorkSpaces에 액세스할 수 있지만 성능이 저하됩니다. 

• 사용자가 가상 사설 네트워크(VPN)를 통해 WorkSpaces에 액세스하는 경우 연결에서 1,200바이트 이상 의 최대 전송 단위(MTU)를 지원해야 합니다.

테스트를 해보진 않았는데, WorkSpace의 사용자 경험을 올리기 위해서는 PCoIP 프로토콜을 통해 
좀 더 부드러운 화면 전환 등 할 수 있을 것으로 보입니다.



  1. 현 위치(PC)에서 적절한 리전을 확인하는 방법








  1. WorkSpace Client 설치 후 Client에서 확인



AWS, WorkSpace, 워크스페이스, 워크스페이스 네트워크, 네트워크, workspace network


설정모드에서exec 명령어사용하기

 

exec 명령어: 이용자모드나관리자모드에서사용하는명령어

show, ping, debug 등동작확인또는장애처리용명령어가대부분임

설정모드에서exec 명령어를사용하려면do로시작함

도움말기능이나명령어완성기능동작하지않음

 

Router(config)#do show version

 

현단계사용가능명령어보기

 

물음표(?)를입력하면현재단계에서사용가능한모든명령어예시

물음표다음에엔터키를누르지않음

 

Router#?

Exec commands:

access-enable Create a temporary Access-List entry

access-profile Apply user-profile to interface

access-template Create a temporary Access-List entry

alps ALPS exec commands

 

 

 

특정글자로시작하는명령어보기

 

특정글자에연속하여물음표를치면해당글자로시작하는명령어예시

 

Router#e?

enable ephone-hunt erase event

Exit

Router#e

 

명령어옵션보기

 

명령어입력후스페이스다음물음표를치면사용가능한옵션예시

 

Router#erase ?

/all Erase all files(in NVRAM)

/no-squeeze-reserve-space Do not reserve space for squeeze operation

flash: Filesystem to be erased

nvram: Filesystem to be erased

pram: Filesystem to be erased

slot0: Filesystem to be erased

slot1: Filesystem to be erased

startup-config Erase contents of configuration memory

Router#erase

 

(Tab) 키를이용한명령어완성

 

명령어에연속하여탭(Tab) 키를치면명령어를완성시킨다

 

Router#en[Tab]

 

모호한명령어입력시의에러메시지

 

모호한명령어입력시‘Ambiguous command’메시지표시

현설정단계에서해당철자로시작하는명령어가2개이상있다는의미

 

Router(config)#i

% Ambiguous command: "i

미완성명령어입력시의에러메시지

 

명령어에필요한옵션미입력시‘Incomplete command’메시지표시

현재의명령어다음에필요한옵션을입력해야한다는의미

 

Router(config)#interface

% Incomplete command.

Router(config)#

 

잘못된명령어입력시의에러메시지

 

잘못된명령어입력시잘못된철자에^ 표시

‘^ 표시부분에Invalid (잘못된) 입력이발견되었다라는메시지표시

 

Router(config)#intreface

^

% Invalid input detected at '^' marker.

시스코 장비 접속방법

윈도우7사용자

1. 설치시디, 인터넷으로 RS232 Draver 다운받아서 설치                                      

2.  RS232케이블 연결 후 내컴퓨터-> 속성(마우스오른쪽버튼)-> 장치관리자(클릭)

 3.RS232드라이버가정상적으로인식되었는지확인

                                        

                 4. Secure CRT 실행 후 장치관리자에서 인식되어있는

해당 시리얼 포트넘버선택 후 확인(참고 시스코 기본 Baud rate : 9600)

              

5. 초기장비접속시 user모드(>)이므로 장비 설정상태를 변경하거나 확인하기위해선 명령어 : enable 입력한 후 프리빌리지 모드로 엑세스                                          <시스코(cisco2960)장비 접속화면>

 



스위치(CISCO) 장비점검에 필요한 명령어 리스트

명령어 

내용 

 show process cpu

CPU 상태 확인 

show process memory 

메모리 상태 확인 

 show environment all

H/W 상태 확인 

show log 

로그 확인 

show version 

IOS 버전 확인 

show interface status 

Interface 상태 확인 

show vlan 

VLAN 상태 확인 



1. CPU 상태 확인

   명령어 : show process cpu 

설명 

%는 스위치의 프로세스들이 처리하는데 소요되는 CPU 소요량

/이후에 나오는%는 인터럽트 발생으로 소비되는 CPU 소요량입니다.

switch#show process cpu

CPU utilization for five seconds: 6%/0%; one minute: 5%; five minutes: 6%

 

 

 



2. 메모리 상태 확인

   명령어 : show process memory

설명

Processor POOL Total : 보유한 메모리의 전체용량

I/O POOL Total : 보유한 메모리의 전체용량

Used : 사용한 메모리의 전체용량

Free : 사용가능한 메모리의 전체용량   

switch#show process memory

Processor Pool Total:  388645840  Used:   90185760  Free:  298460080

I/O Pool Total: 67108864          Used:   16487640  Free:   50621224

 

3. Fan상태, LED상태 및 파워모듈의 입출력 전압, 장비내부별 온도 및 전압 등 확인 

   명령어: show environment / show environment all

                 



4. 로그 상태 확인

   명령어 : show log



5. IOS 버전상태확인

   명령어 : show version




6. 인터페이스 상태확인 (명령어 : show interface status)

  설명

각 포트별 링크상태, 소속된 vlan 그룹 및 속도상태 표시

 

 

Cisco#show interface status

Port    Name               Status       Vlan       Duplex  Speed Type

Gi5/1                      connected    trunk         full   1000 1000BaseSX

Gi5/2                      connected    trunk         full   1000 1000BaseSX

Gi7/1                        disabled      1           full   1000 1000BaseSX

Gi7/2                      connected      1           full   1000 1000BaseSX

Gi7/3                      connected      1           full   1000 1000BaseSX

Gi7/4                      connected      1           full   1000 1000BaseSX

Gi7/5                      connected      1           full   1000 1000BaseSX

Gi7/6                      connected      1           full   1000 1000BaseSX

Gi7/7                      connected      1           full   1000 1000BaseSX

Gi7/8                      connected      1           full   1000 1000BaseSX

Gi7/9                      connected      1           full   1000 1000BaseSX

Gi7/10                     connected      1           full   1000 1000BaseSX

Gi7/11                     connected      1           full   1000 1000BaseSX

Gi7/12                     connected      1           full   1000 1000BaseSX

Gi7/13                     notconnect     1           full   1000 1000BaseSX

Gi7/14                     connected      1           full   1000 1000BaseSX

Gi7/15                     connected      1           full   1000 1000BaseSX

Gi7/16                     connected      1           full   1000 1000BaseSX

Gi7/17                     connected      1           full   1000 1000BaseSX

Gi7/18                     connected      1           full   1000 1000BaseSX

Gi7/19                     connected      1           full   1000 1000BaseSX

Gi7/20                     connected      1           full   1000 1000BaseSX

Gi7/21                     connected      1           full   1000 1000BaseSX

Gi7/22                     connected      1           full   1000 1000BaseSX

Gi7/23                     connected      1           full   1000 1000BaseSX

Gi7/24                     connected      1           full   1000 1000BaseSX

 

7. VLAN 설정상태확인 (명령어: show vlan)

※ 설명

각 포트별 소속되어있는 vlan 그룹 및 활성화상태확인

 -------- -------


서브넷팅(subnetting)

 

서브넷팅이란?

 

하나의네트워크주소를여러개로분할하는것

라우터인터페이스별로다른네트워크주소를사용해야함

사용인터페이스수보다네트워크수가부족할때서브넷팅을해야함

 

 

서브넷마스크(subnet mask)

 

이진수로표기한IP 주소중네트워크를나타내는숫자위에는1, 호스트를나타내는숫자위에는0을적은것

 

11111111.11111111.00000000.00000000(서브넷마스크)

10101100.00010000.00000110.00001010 (2진표기IP 주소)

172. 16. 6. 10 (10진표기IP 주소)

IP 주소중에서어디까지가네트워크주소인지를표시할때사용

 

 

 

서브넷마스크표현법

 

•IP 주소다음점으로구분된10진수사용172.16.6.10 255.255.0.0

서브넷마스크로사용된1의개수로표시172.16.6.10/16

 

 

서브넷팅

추가적으로네트워크로사용하려는비트위에1을표시

11111111.11111111.11111111.00000000 (서브넷마스크)

10101100.00010000.00000110.00001010 (2진표기IP 주소)

172.16.6.10 (10진표기IP 주소)

네트워크수: 추가마스크수(256) 만큼증가

네트워크당호스트수: 추가마스크수(256) 만큼감소

 

 

서브넷계산방법(1)

기존마스크에n을더하면2n개의서브넷이만들어짐

서브넷당호스트수는256/2n

192.168.1.0/242(21)로분할

1)서브넷마스크:25 (24+1)

2)서브넷당호스트수:128(256/2)

3)서브넷: 0, 128

4)192.168.1.0/25, 192.168.1.128/25

 

 

서브넷계산방법(2)

 

192.168.1.0/244(22)로분할

1)서브넷마스크:26 (24+2)

2)서브넷당호스트수:64(256/4)

3)서브넷: 0, 64, 128, 192

4)192.168.1.0/26, 192.168.1.64/26, 192.168.1.128/26 , 192.168.1.192/26

 

 

서브넷계산방법(3)

192.168.1.0/248(23)로분할

1)서브넷마스크:27 (24+3)

2)서브넷당호스트수:32(256/8)

3)서브넷: 0, 32, 64, 96, 128, 160, 192, 224

4)192.168.1.0/27, 192.168.1.32/27, 192.168.1.64/27, 192.168.1.96/27, 192.168.1.128/26, 192.168.1.160/27, 192.168.1.192/26, 192.168.1.224/27

 

IP 주소가소속된서브넷계산방법

 

192.168.1.50/27이속한네트워크주소

 

1)추가된서브넷마스크:27 (24+3)

2)서브넷당호스트수:32(256/8)

3)서브넷: 0, 32, 64, 96, 128, 160, 192, 224

4)192.168.1.0/27, 192.168.1.32/27, 192.168.1.64/27, 192.168.1.96/27, 192.168.1.128/26, 192.168.1.160/27, 192.168.1.192/26, 192.168.1.224/27

5)192.168.1.32 -192.168.1.63

서브넷마스크 10진수 표기

마스크 수

서브넷마스크

//IN 표기

 10진 표기

24+1

1000 0000

/25

255.255.255.128

24+2

1100 0000

/26

255.255.255.192

24+3

1110 0000

/27

255.255.255.224

24+4

11110000

/28

255.255.255.240

24+5

1111 1000

/29

255.255.255.248

24+6

1111 1100

/30

255.255.255.252

24+7

1111 1110

/31

255.255.255.254

24+8

1111 1111

/32

255.255.255.255

 

 

수퍼넷팅(supernetting)

 

수퍼넷팅이란?

 

여러개의네트워크를하나로표시하는것

네트워크축약(summary)

네트워크안정화

네트워크자원(메모리, CPU,대역폭) 절약

장애처리용이

루트서머라이제이션(route summarization), 수퍼넷팅(supernetting), CIDR (Classless Inter-Domain Routing)

 

서머리네트워크계산방법

 

서브넷마스크–n = 현재의마스크를가진네트워크2n

서머리시작수가2n의배수이면2n개까지동시서머리가능

 

192.168.0.0/24, 192.168.1.0/24 = 192.168.0.0/23 :2 (21)

192.168.0.0/24 -192.168.127.0/24 = 192.168.0.0/17 :128 (27)

        


  topology


AP <-> Clinet 구간 vlan설정
AccessPoint#configure terminal
AccessPoint(config)#interface dot11radio 0 <-인터페이스 무선 설정 device
AccessPoint(config if)#ssid Admin <- ssid name 생성
AccessPoint(config if ssid)#vlan 20
AccessPoint(config if ssid)#authentication open .
AccessPoint(config if ssid)#end
AccessPoint(config)#interface fastethernet 0.20
AccessPoint(config subif)#encapsulation dot1Q 20 <- IEEE 802.1q 방식으로 캡슐화시켜서전송
AccessPoint(config subif)#bridge group 20
AccessPoint(config subif)#exit
AccessPoint(config)#interface dot11radio 0.20
AccessPoint(config subif)#encapsulation dot1Q 20 .
AccessPoint(config subif)#bridge group 20
AccessPoint#configure terminal
AccessPoint(config)#interface dot11radio 0
AccessPoint(config if)#ssid Guest <- SSID 활성화
AccessPoint(config if ssid)#vlan 30
AccessPoint(config if ssid)#authentication open
AccessPoint(config if ssid)#end
AccessPoint(config) # interface fastethernet 0.30
AccessPoint(config subif)# encapsulation dot1Q 30
AccessPoint(config subif)# bridge group 30
AccessPoint(config subif)# exit
AccessPoint(config) # interface dot11radio 0.30
AccessPoint(config subif)# encapsulation dot1Q 30
AccessPoint(config subif)# bridge group 30
AccessPoint(config subif)# exit




AP <-> Switch 구간 Trunk 설정
Switch#configure terminal
Switch<config>#interface fastethernet 0/5 .
Switch<config if>#switchport mode trunk
Switch<config if>#switchport trunk encapsulation dot1q
Switch<config if>#switchport trunk native vlan 2
Switch<config if>#switchport trunk allowed vlan add 2,20,30 .
Switch<config if>#switchport nonegotiate
Switch#configure terminal
Switch<config>#interface fastethernet 0/10
Switch<config if>#switchport mode trunk .
Switch<config if>#switchport trunk encapsulation dot1q .
Switch<config if>#switchport trunk native vlan 2
Switch<config if>#switchport trunk allowed vlan add 2,20,30


라우터 <-> 스위치 구간 Trunk 설정
Router#configure terminal
Router<config>#interface fastethernet 0/0.2
Router<config subif>#encapsulation dot1q 2 native
Router<config subif>#ip address 172.16.1.1 255.255.255.0
Router<config subif>#exit
Router<config>#interface fastethernet 0/0.20
Router<config subif>#encapsulation dot1q 20
Router<config subif>#ip address 172.16.2.1 255.255.255.0
Router<config subif>#exit
Router<config>#interface fastethernet 0/0.30
Router<config subif>#encapsulation dot1q 30
Router<config subif>#ip address 172.16.3.1 255.255.255.0
Router<config subif>#exit
DHCP Configuration starts here
Router<config>#ip dhcp excluded address 172.16.2.1
Router<config>#ip dhcp excluded address 172.16.3.1
Router<config>#ip dhcp pool pool1
router<dhcp config>#network 172.16.2.0 /24
router<dhcp config>#default router 172.16.2.1
Router<config>#ip dhcp pool pool2
router<dhcp config>#network 172.16.3.0 /24
router<dhcp config>#default router 172.16.3.1
Router#configure terminal
Router<config>#interface fastethernet 0/0.2
Router<config subif>#encapsulation dot1q 2 native <-태깅을하지않은 untag
Router<config subif>#ip address 172.16.1.1 255.255.255.0
Router<config subif>#exit
Router<config>#interface fastethernet 0/0.20
Router<config subif>#encapsulation dot1q 20
Router<config subif>#ip address 172.16.2.1 255.255.255.0
Router<config subif>#exit
Router<config>#interface fastethernet 0/0.30
Router<config subif>#encapsulation dot1q 30
Router<config subif>#ip address 172.16.3.1 255.255.255.0
Router<config subif>#exit
DHCP Configuration starts here
Router<config># ip dhcp excluded address 172.16.2.1 <-해당네트워크에서 제외되주소
Router<config># ip dhcp excluded address 172.16.3.1 .
Router<config># ip dhcp pool pool1  <-사용할주소 목록이름 
router<dhcp config>#network 172.16.2.0 /24  <-할당될 ip주소범위
router<dhcp config>#default router 172.16.2.1 <-게이트웨이 주소
Router<config>#ip dhcp pool pool2
router<dhcp config>#network 172.16.3.0 /24
router<dhcp config>#default router 172.16.3.1


AP접속된 클라이언트들 보기
AccessPoint#show dot11 associations <-AP접속된 클라이언트들 보기
802.11 Client Stations on Dot11Radio0:
SSID [Admin] :
MAC Address IP address Device Name Parent State
0040.96ac.e657 172.16.2.50 CB21AG/PI21AG Admin User self Assoc


VLAN 설정확인
AccessPoint#show vlan <- vlan 설정확인
Virtual LAN ID: 2 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.2
FastEthernet0.2
This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 1 1380 712
Other 0 63
0 packets, 0 bytes input
733 packets, 50641 bytes output
Bridging Bridge Group 1 1380 712
Other 0 63
1381 packets, 98016 bytes input
42 packets, 12517 bytes output
Virtual LAN ID: 20 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.20
FastEthernet0.20
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 20 798 622
Other 0 19
247 packets, 25608 bytes input
495 packets, 43585 bytes output
Bridging Bridge Group 20 798 622
Other 0 19
552 packets, 37536 bytes input
148 packets, 21660 bytes output
Virtual LAN ID: 30 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.30
FastEthernet0.30
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 30 693 609
Other 0 19
106 packets, 13373 bytes input
517 packets, 48029 bytes output
Bridging Bridge Group 30 693 609
Other 0 19
605 packets, 47531 bytes input
112 packets, 15749 bytes output
 

HOST에서 핑 테스트
D:\>ping 172.16.2.60
Pinging 172.16.2.60 with 32 bytes of data:
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Ping statistics for 172.16.2.60:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

D:\>ping 172.16.3.60
Pinging 172.16.3.60 with 32 bytes of data:
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Ping statistics for 172.16.3.60:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms




 

  Port-Security란?

Switch의 MAC 주소공간제약으로인해 장비의스펙에따라 MAC 주소가제한이된다. MAC
Flooding은 이러한점을이용하여 Switch의 MAC Address Table의 공간을 한계에도 달하게하여
Switch를마치 Hub처럼 동작을 시켜버린다. 보통 Switch의 Mac Address Table이 가득차게되면,
Hub와 동일하게들어온 포트를 제외한 다른모든포트로 Flooding한다. 이러한공격방법들이 증가함
에따라서나오게된 Solution이 Port-Security이다.
Port-Security는 각port마다 Mac-address를 제한시켜 MAC Flooding등의 공격을 방지할수있습니다.
이러한경우가 아니더라도 사내에서 User 임의대로 Hub를 사용하는것에대해 제한하기 위해서도

쓰인다.


Port-Security의3가지방식

1. Static Secure MAC-Address : 해당port에사용할User의MAC-Address를관리자가직접입력하여
설정하는방식으로관리자가지정한MAC-Address 이외에다른

MAC-Address를가진Device는해당포트를사용할수없다

Switch(config)# interface gigabitEthernet1/0/1
Switch(config-if)# switchportport-security mac-address 001F.1629.E6F8

->해당Interface에Static으로Mac-address를지정하여, Port-Security 적용


2. Dynamic Secure MAC-Address : 해당port에사용할User의MAC-Address를동적으로학습하여
Port-Security가적용이된다. Switch가Reboot이되면
Port-Security에등록된MAC-Address는삭제된다.

3. Stick Secure MAC-Address : 해당port에사용할User의MAC-Address를동적으로학습하여
Port-Security가적용이된다. Dynamic 방식과동일하지만, 다른점은
Dynamic은Switch가Reboot 될경우Port-Security에등록된
MAC-Address가삭제되지만, Sticky는NVRAM에저장하여Reboot된

후에도그대로해당MAC이Port-Security에저장된다.

Switch(config)# interface gigabitEthernet1/0/1
Switch(config-if)# switchportport-security mac-address sticky

->해당Interface를Port-Security Sticky 방식으로지정


Port-SecurityViolation


1. Violation Shutdown : Port-Security Default Violation이며, Port-Security가동작하는Interface에서

위반했을경우“Shutdown”되며, Err-Disable 상태로넘어간다.

Switch(Config)# interface gigabitethernet1/0/1
Switch(Config-if)#switchportport-securit ymac-address001F.1629.E6F7
Switch(Config-if)# switchportport-security violation shutdown
->해당Interface를Port-Security Static으로지정하여001F.1629.E6F7 이외의다른Mac이학습되면, 해당포트를 Shutdown 상태로만든다.

 

%PM-4-ERR_DISABLE: psecure-violation error detected on Gi1/0/1, putting Gi1/0/1 in err-disable state%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001f.1629.e6f8 on port GigabitEthernet1/0/1.

->Port-Security 정책을위반하여발생하는Event Log


2. Violation restrict : Port-Security에서정책을위반한MAC-Address가연결되었을때, 위반한
MAC-address를가진Device의모든Frame은Drop된다. Drop됨과동시에

위반한MAC-Address에대해서Event log를발생한다.

Switch(Config)# interface gigabitethernet1/0/1
Switch(Config-if)# switchportport-security maximum 1
Switch(Config-if)# switchportport-security violation restrict

->해당Interface를Port-Security maximum-macaddress를지정하여1로지정하여이외의다른MAC이올라왔을경우위반한MAC-Address에대해서만모든Frame을폐기하며, Violation Event log를발생한다

%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001f.1629.e6f8 on port GigabitEthernet1/0/1.

->Port-Security Violation이발생하여,001f.1629.e6f8의MAC-Address를제한되었다는log


3. Violation Protect : restrict와동일하게동작하지만, Violation Event log를발생하지않는다.

Switch(Config)# interface gigabitethernet1/0/1
Switch(Config-if)# switchportport-security maximum 1
Switch(Config-if)# switchportport-security violation protect

->해당Interface를Port-Security maximum-macaddress를지정하여1로지정하여이외의다른MAC이올라왔을경우위반한MAC-Address에대해서만모든Frame을폐기하며, Violation Event log를발생하지않는다.


Port-Security Aging Time ?

Port-Security에는Port-Security에등록된MAC-Address에대한Aging Time이존재하는데Default로
Infinity 이다. Aging Time은Port-Security가Static or Dynamic으로적용된port에서만적용가능하다.
Aging Time은0-1440 Minute까지설정가능하며, 0=infinity로동작한다.

Port-Security Aging Time에는2가지방식이있다.


-Absolute :Port-Security에등록된MAC-Address가무조건해당

Aging Time이만료되어야Port-Security에등록된MAC-Address가삭제된다.

Switch(config)# interface gigabitEthernet1/0/1
Switch(config-if)# switchportport-security aging time 1
Switch(config-if)# switchportport-security aging type absolute


-Inactivity : Port-Security에등록된MAC-Address의Data Traffic이없는경우에무조건해당

Port-Security에등록된MAC-Address가삭제된다.

Switch(config)# interface gigabitEthernet1/0/1
Switch(config-if)# switchportport-security aging type inactivity
Switch(config-if)# switchportport-security aging time 1
Sample Configuration
ConfigurationSwitch(Config)# interface gigabitethernet1/0/1
Switch(Config-if)# switchportport-security ßPort-security enable
Switch(Config-if)# switchportport-security maximum 2 ß
->해당interface로학습될MAC-address 제한
Switch(Config-if)#switchportport-security mac-address[sticky,static]
->port-security type,default dynamic
Switch(Config-if)# switchportport-security violation [shutdown / restrict / protect]
Switch(Config-if)# switchportport-security aging static ß
->static으로지정한mac-address에대한aging time
Switch(Config-if)# switchportport-security aging time [0-1440 min] ß
->default 0sec, 0sec->infinity
Switch(Config-if)# switchportport-security aging type [absolute / inactivity] ß
->aging time type 결정


Show port-security interface [type_num]
Switch# show port-security interface gigabitethernet1/0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 1 mins
Aging Type : Absolute
SecureStaticAddress Aging : Enabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan: 001f.1629.e6f8:1
Security Violation Count : 0








Port-Security Configuration

Show port-security address
Switch# show port-security address
Switch# showport-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan  Mac Address      Type           Ports Remaining Age(mins)
------------------------------------------------------------------------
1   001f.1629.e6f8  SecureDynamic        Gi1/0/1 < 1
------------------------------------------------------------------------
Total Addresses in System (excluding one macper port) : 0Max Addresses limit in System (excluding one macper port) : 6144

 


->해당Interface에Static으로Mac-address를지정하여, Port-Security 적용

CLI기반의 초기 설정 모드

 

Pre-configure Firewall now through interactive prompts [yes]? Firewall Mode [Routed]:

->Routed Mode(Layer3) 또는Bridge(Transparent-Layer2) Mode 지정Routed Mode 시반드시NAT 구성을해야하며, Network 변경이필요하지만, Transparent 모드는네트워크구성이없음

 

Enable password [<use current password>]: cisco

->패스워드구성

Allow password recovery [yes]?

->패스워드복구기능을활성화시킬것인지정의

 

Clock (UTC):

Year [2005]:

Month [Nov]:

Day [2]:

Time [01:14:54]:17:48:00

->System Clock 정의

Inside IP address: 192.168.1.1

Inside network mask: 255.255.255.0

Host name: ASA

->Inside IP Address 정의및Host 이름정의

Use this configuration and write to flash? Yes

->Setup모드에서 구성한Config 저장여부

 

 

 

 

 

 

 

초기설치시에는Setup Setup 모드지정후Inside(Gigabit0/1) Inside 를통해ASDM으로바로접속가능

 

기본 환경 설정

Inside Interface or Management Interface 설정

 

ManagementInterface 설정하기

Interface Management0/0

no shutdown

description Interface for Management

nameifMgmt-Interface

management-only

->Management 용으로만사용할경우설정

ipaddress 1.1.1.1 255.255.255.0

->Mgmt IP Address 정의

 

외부접속용Interface(Outside) 정의

Interface GigabitEthernet0/0

no shutdown

nameifoutside

->Internet 접속용Interface 정의

security-level 0

->외부에서들어오는Interface 이므로보안등급이가장낮게정의0

ipaddress 10.10.10.1 255.255.255.0

->외부접속용IP Address 정의

 

내부접속용Interface(Inside) 정의

interface GigabitEthernet0/1

nameifinside

->내부Network을위한interface 정의

 

security-level 100

->내부Network 이므로가장높은보안등급정의100

ipaddress 192.168.1.1 255.255.255.0

interface GigabitEthernet0/2

description interface for LAN

nameifinside-2

->내부Network 가운데다른네트워크추가정의가능(보안등급0~100)

security-level 100

ipaddress 20.20.20.1 255.255.255.0

 

Same-Security-Level 정의

same-security-traffic permit inter-interface

->두개이상의서로다른nameif를가진물리적인터페이스가동일한보안등급

(Security-level)을가질경우Same-Security-level 정의를통한구성가능

 

ASA Firmware Upload 하기

ASA# copy ftp://anonymous@192.168.1.10/asa704-k8.bin disk0:   

  ->기본적으로장비에이미내장되어있음

 

ASA 운영을위한ASDM Upload 하기

ASA# copy ftp://anonymous@192.168.1.10/asdm504.bin disk0:   

->기본적으로장비에이미내장되어있음

 

다중Firmware 구성시Boot 환경설정

ASA(config)# boot system disk0:asa704-k8.bin

ASA# shbootvar

Current BOOT variable = disk0:/asa704-k8.bin

 

Disk0: 의정보확인

ASA# dirDirectory of disk0:/

2706 -rw-1589 00:06:14 Oct 10 2005 old_running.cfg

2707 -rw-1009 00:06:14 Oct 10 2005 admin.cfg

2709 -rw-1318 15:17:08 Jul 25 2005 c-a.cfg

2711 -rw-2167 00:30:14 Oct 16 2005 logo.gif

2712 -rw-5437440 19:07:04 Nov 02 2005 asa704-k8.bin

4040 -rw-5958324 19:08:22 Nov 02 2005 asdm504.bin

 

ASDM 접속을위한기본구성

ASA(config)# http server enable

->Web Service Enable

ASA(config)# http 192.168.0.0 255.255.0.0 inside

->웹서비스를접속할수있는Network 정의

 

ASA(config)# asdmimage disk0:/asdm504.bin

->ASDM image가있는디스크URL 정의

 

Telnet 접속을위한 기본구성

ASA(config)#telnet 0.0.0.0 0.0.0.0 inside

->Telnet 이가능한Network 정의

 

Inside Network 접속유무 Check를위한 ICMP허용

ASA(config)#icmp permit any inside

->inside Interface Ping Test 허용

 

 

 

 

 

 

+ Recent posts