ESW2-550X 스위치의 IP Source Guard 구성

다운로드 옵션

PDF (263.1 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (185.1 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (500.2 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2017년 8월 5일 (토)

문서 ID:SMB4219

번역에 관하여

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

ESW2-550X 스위치의 IP Source Guard 구성

목표

IP Source Guard는 호스트가 인접한 호스트의 IP 주소를 사용하려고 할 때 발생하는 트래픽 공격을 방지하는 데 사용할 수 있는 보안 기능입니다.IP Source Guard가 활성화된 경우 스위치는 클라이언트 IP 트래픽을 DHCP Snooping Binding 데이터베이스에 포함된 IP 주소로만 전송합니다.호스트가 전송하는 패킷이 데이터베이스의 항목과 일치하면 스위치는 패킷을 전달합니다.패킷이 데이터베이스의 항목과 일치하지 않으면 삭제됩니다.

실시간 시나리오에서 IP Source Guard는 신뢰할 수 없는 서드파티가 실제 사용자로 가장하려고 시도하는 중간자 공격을 방지하는 데 사용됩니다.IP 소스 가드 바인딩 데이터베이스에 구성된 주소를 기반으로, 해당 IP 주소를 가진 클라이언트의 트래픽만 허용되며 나머지 패킷은 삭제됩니다.

참고: IP Source Guard가 작동하려면 DHCP Snooping을 활성화해야 합니다.DHCP 스누핑을 활성화하는 방법에 대한 자세한 내용은 ESW2-550X 스위치의 DHCP 속성 구성 문서를 참조하십시오.허용되는 IP 주소를 지정하려면 바인딩 데이터베이스를 구성해야 합니다.이에 대한 자세한 내용은 ESW2-550X 스위치의 DHCP 스누핑 바인딩 데이터베이스 구성 문서에서 확인할 수 있습니다.

이 문서에서는 ESW2-550X 스택형 관리 스위치에서 IP Source Guard를 구성하는 방법에 대해 설명합니다.

적용 가능한 디바이스

· ESW2-550X
· ESW2-550X-DC

소프트웨어 버전

· v1.2.9.44

IP Source Guard 설정 전역 활성화

1단계. 웹 구성 유틸리티에 로그인하고 Security(보안) > IP Source Guard > Properties(속성)를 선택합니다.IP Source Guard Properties 페이지가 열립니다.

2단계. Enable(활성화) 확인란을 선택하여 IP Source Guard를 전역적으로 활성화합니다.

3단계. 적용을 클릭하여 설정을 적용합니다.

IP 소스 가드에 대한 인터페이스 설정 편집

IP Source Guard가 신뢰할 수 없는 포트 또는 LAG에서 활성화된 경우 전송된 DHCP 패킷은 DHCP Snooping 데이터베이스에서 허용됩니다.IP 주소가 필터와 함께 활성화되면 다음과 같이 패킷 전송이 허용됩니다.

· IPv4 트래픽 — 소스 IP 주소와 특정 포트와 연결된 IPv4 트래픽이 허용됩니다.

· 비 IPv4 트래픽 — 모든 비 IPv4 트래픽이 허용됩니다.

1단계. 웹 구성 유틸리티에 로그인하고 Security(보안) > IP Source Guard > Interface Settings(인터페이스 설정)를 선택합니다.Interface Settings 페이지가 열립니다.

인터페이스 설정 테이블은 다음 매개변수로 구성됩니다.

· Interface — IP Source Guard가 적용되는 인터페이스를 표시합니다.

· IP Source Guard — IP Source Guard가 활성화되었는지 여부를 표시합니다.개별 인터페이스에서 IP Source Guard를 활성화할 수 있습니다.

· DHCP Snooping Trusted Interface — DHCP 신뢰 인터페이스인지 여부를 표시합니다.신뢰할 수 있는 인터페이스는 네트워크 내에서만 트래픽을 수신할 수 있습니다. IP Source Guard는 일반적으로 신뢰할 수 없는 DHCP 인터페이스에 구성됩니다.신뢰할 수 없는 인터페이스는 네트워크 외부에서 메시지를 수신할 수 있도록 구성된 인터페이스입니다.

2단계. 페이지를 아래로 스크롤하고 편집할 인터페이스에 해당하는 라디오 버튼을 클릭합니다.페이지 하단의 Edit를 클릭합니다.Edit Interface Settings 창이 나타납니다.

3단계(선택 사항) 인터페이스를 선택하려면 Interface(인터페이스) 필드에서 라디오 버튼 중 하나를 클릭합니다.

· 유닛/슬롯 및 포트 — 유닛에서는 스위치가 활성 상태인지 아니면 스택의 멤버인지를 식별합니다.장치 1은 활성 상태이고 장치 2는 멤버입니다.사용된 용어에 익숙하지 않은 경우 Cisco Business를 확인하십시오.새 용어 용어집.슬롯은 스위치가 ESW2-550 또는 ESW2-550X인지 여부를 식별합니다.슬롯 1은 ESW2-550이고 슬롯 2는 ESW2-550X입니다.Unit/Slot 드롭다운 목록에서 원하는 옵션을 선택하고 Port 드롭다운 목록에서 원하는 포트를 선택합니다.

· LAG — LAG 드롭다운 목록에서 원하는 LAG를 선택합니다.LAG(Link Aggregate Group)는 여러 포트를 함께 연결하는 데 사용됩니다.LAG는 대역폭을 늘리고, 포트 유연성을 높이며, 포트 사용을 최적화하기 위해 두 디바이스 간의 링크 이중화를 제공합니다.