[시스코 보안 아카데미 1기] PACLs, VACLs, Private Vlan

VACLs

ip access-list extended ALLOW
 permit tcp host 172.16.1.3 host 172.16.1.1 eq 23
 permit tcp host 172.16.1.1 eq 23 host 172.16.1.3 
 permit tcp host 172.16.1.3 host 172.16.1.2 eq 80
 permit tcp host 172.16.1.2 eq 80 host 172.16.1.3 

vlan access-map VACL_HTTP_TELNET 10
 match ip address ALLOW
 action forward

vlan filter VACL_HTTP_TELNET vlan-list 3

vACL 다 지운 후 스위치에서 gi0/0, gi0/1에 switchport protected 명령어를 입력하면 입력인터페이스끼리만 통신이 불가. → R1과 R2는 불가능. 반면 R1에서 R3 텔넷 접속 가능, R2에서 R3 접속 가능

 

Private Vlan

프라이빗 VLAN은 하나의 퍼블릭 VLAN을 여러 개의 서브 VLAN으로 분리하고, 각 서브 VLAN 간의 통신을 제어하여 보안을 강화하는 데 사용. PVLAN은 대체로 데이터 센터나 서비스 제공자 네트워크에서 여러 사용자가 하나의 큰 VLAN 내에서 격리된 네트워크를 제공하는 용도로 사용.

프라이빗 VLAN은 3가지 주요 포트 유형으로 구성

1. 프로미스큐어 포트 (Promiscuous Port):
   • 모든 VLAN(아이솔레이티드 및 커뮤니티 포함)과 통신할 수 있는 포트
   • 일반적으로 라우터, 게이트웨이, DHCP 서버 등과 연결.
2. 아이솔레이티드 포트 (Isolated Port):
   • 동일 VLAN 내 다른 장치와 통신하지 않고, 오직 프로미스큐어 포트와만 통신
3. 커뮤니티 포트 (Community Port):
   • 동일 커뮤니티 VLAN 내의 다른 포트와는 통신할 수 있으며, 프로미스큐어 포트와도 통신할 수 있다. 하지만, 다른 커뮤니티 VLAN이나 아이솔레이티드 포트와는 통신할 수 없음

vlan 20
private-vlan primary

vlan 501
private-vlan isolated 

vlan 502
private-vlan community 

vlan 503
private-vlan community 

vlan 20
private-vlan association 501,502,503

int gi0/1
switchport mode private-vlan promiscuous
switchport private-vlan mapping 20 add 501,503

interface ra GigabitEthernet0/1-2
switchport mode private-vlan host
switchport private-vlan host-association 20 501

interface ra GigabitEthernet1/0-1
switchport mode private-vlan host
switchport private-vlan host-association 20 502

interface ra GigabitEthernet1/2
switchport mode private-vlan host
switchport private-vlan host-association 20 503

Storm Control

Storm Control은 네트워크 스위치에서 사용되는 기능으로, 브로드캐스트, 멀티캐스트, 그리고 유니캐스트 트래픽 폭주를 감지하고 제한하여 네트워크 성능 저하와 장애를 방지하는 기능