17일차 실장비( storm,protect)

RAD에 접속해서 장비로 안들어가질시

접속 번호 뒤 2자리 (0이 들어갈시 0빼고)

clear line 8 을 계속 쳐 준다.

그리고 다시 접속

RAS#GW2

Translating "GW2"

Trying GW2 (1.1.1.1, 2014)... 

% Connection refused by remote host

RAS#clear line 14

\\\\\\\\\\\\\\\\

en

conf t

cdp time 5

cdp hold 10

no ip domain lookup

line con 0

exec-t 0 0

logging syn

exi

hostname XX

1. cdp disable, bpdufilter,

cdp, lldp 등은 네트워크 장비를 위한 것이 아니다.

pc 같은 호스트에게 넘겨줄 정보가 아니다.

pc 같은 호스트가 연결된 포트는 항상 차단

# int fa 0/1

# no cdp enable

# exi

bpdu 역시 스위치를 위한 메시지이므로 pc같은 호스트에게는 보내지 않는다.

# int fa 0/1

# spanning-tree bpdufilter enable

# exi

\\\\\\\\\\\\\\\\\\\\\\\\\\\

2. bpdu guard

DSW1_F0/x ---------------- f0/x_ser-sw

# DSW1/2

int rang fa 0/1 - 24

shut

exi

int fa 0/13

no shut

sw mo acc

spann portfast

exi

no spann portfast bpduguard

# ser-sw/ASW

int rang fa 0/1 - 24

shut

exi

int fa 0/13

sw tr en dot

sw mo tr

no shut

exi

제대로한지 확인

show int status

DSW2_f0/x ---------------- f0/x_ASW

3. root guard

dsw1_f0/x ----------------- f 0/x_ser-SW 

dsw2_f0/x ----------------- f 0/x_ASW

1.loop guard와 같이 못 쓴다.

2.uplinkfast 기능의 포트에 못 쓴다.

DSW1/2

int rang fa 0/1 - 24

shut

int fa 0/13

no shut

sw tr en dot

sw mo trunk

exi

Ser-sw/ASW

int rang fa 0/1 - 24

shut

exi

int fa 0/13

sw tr en dot

sw mo tr

no shut

exi

spann vlan 1 priority 0

DSW1/2에서

show spann vlan 1

show spanning-tree inconsistentports

// 해서보면 blunk가 됐고 root guard가 됐다는게 보인다

4. mac acl

// 다음과 같이 임력하면 피씨에서 안되던 핑이 된다!

pc

10.1.10.1

255.255.255.0

10.1.10.254

SW (ser-sw) 

vlan 10

exi

int fa 0/1

sw mo acc

sw acc vlan 10

no shut

exi

int vlan 10

ip add 10.1.10.254 255.255.255.0

exi

# 막는방법

conf t

mac access-list extend AA

deny host 001B.215E.903D any 0x806 0x0

permit any any

exi

int fa 0/13

mac access-group AA in

exi

##

no mac access-list extend AA

no deny host 001B.215E.903D any 0x806 0x0

no permit any any

exi

int fa 0/13

no mac access-group AA in

exi

// 날려놓고 mac에 학습된거 지운다. 그러면 핑이 안됨

clear mac add dy

# 다시 되도록

no mac access-list extend AA

int fa 0/13

no mac access-group AA in

exi

5. static mac

mac address-table static 001B.215E.903D vlan 10 drop

6. static mac drop

7. storm-control

PC -------- f0/y_ser-SW_f0/x -------- f0/x_dsw1

### storm shut

80-150 pps 일반적

Ser-SW / DSW1

int rang fa 0/1 - 24

shut

exi

Ser-SW

vlan 10

exi

int rang fa 0/1 , f 0/13

no shut

sw mo acc

sw acc vlan 10

spann portfast

storm-control action shut

storm-control unicast level pps 3 1

exi

DSW1

ip routing

int fa 0/13

no shut

no sw

ip add 10.1.10.254 255.255.255.0

exi

pc

ping 10.1.10.254 -l 1000 -t

다운되고나서 ser-sw에서 확인하면 다운됐다고 뜬다

# show interfaces status err-disabled 

\\\\\\\\\\\

1) protect

동일 스위치에 동일 vlan에 있으면 무조건 통신된다.

슬렘어 웜?

// 다운받을거  PROTECT

PC --------SW ----------DSW1

ser-SW

vlan 10

exi

int rang fa 0/1 , f 0/13

no shut

sw mo acc

sw acc vlan 10

spann portfast

shut

no shut

exi

clear mac address-table dynamic

DSW

ip routing

int fa 0/13

no shut

no sw

ip add 10.1.10.254 255.255.255.0

exi

clear mac address-table dynamic