정보보안 스터디 - 5주차 1일 - SVI인터페이스

 

SVI인터페이스 설정

 

 

L3 스위치는 3레이어계층으로 설정해서 라우터와 같은 역할을 합니다.

장점은 라우터까지 가지 않아도 그전단계에서 처리해주기 때문에 빠른 처리가 가능합니다.

 

라우터에 했던 설정을 그대로 해준다고 생각하면 편합니다.

ip routing 활성화 > int vlan , ip address 가능하게됨

inter-vlan

core1
int vlan 1
ip address 192.168.100.254 255.255.255.0
int vlan 11~16
ip address 10.1.11~16.254 255.255.255.0

 

인터넷 연결

int e0/0
no switchport
ip address 192.168.2.251 255.255.255.0
no shutdown

정적경로 구성
ip route 0.0.0.0 0.0.0.0 192.168.2.254

NAT설정 : 아무나 접근 못하도록 허락/거부

access-list 10 permit 192.168.100.0 0.0.0.255
access-list 10 permit 10.1.0.0 0.0.255.255

ip nat inside source list 10 interface e0/0 overload

int e0/0
ip nat outside
int vlan 1
ip nat inside
int vlan 11~16
ip nat inside

KT ping테스트

 

 

외부>내부
DMZ_web 접근을 위한 nat설정

ip nat inside source static tcp 10.1.16.200 80 192.168.2.251 80
ip nat inside source static tcp 10.1.16.200 443 192.168.2.251 443

실제 PC에서 브라우저를 실행하여 http://192.168.2.251 접속 테스트

 

dhcp relay agent
브로드캐스트이기때문에 discover을 다른 네트워크에 줄 수 없습니다.
유니캐스트로 바꿔줘서 도달할 수 있도록 합니다.

core 1
int vlan 11~16
ip helper-address 10.1.3.200

 

 

 

 

 

 

ip phone 환경일 경우

 

 

 

그리고 ip phone이 있는 환경에서는

access 대신 trunk로 이렇게 설정합니다.

ASW3
int range f0/8-10
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 13
switchport voice vlan 100
spanning-tree portfast trunk

 

 

L3스위치를 DHCP로 설정

ip dhcp excluded-address 10.1.11~14.254
ip dhcp excluded-address 192.168.100.254

ip dhcp pool vlan11~14, vlan100
network 10.1.11.0 255.255.255.0
default-router 10.1.11.254
dns-server  192.168.200.253