MAC 주소 테이블 플러딩 방지를 위한 포트 보안 설정 가이드
스위치 네트워크에서 발생하는 MAC 주소 테이블 플러딩은 장비의 성능을 저하시키는 주요 원인입니다. 포트 보안 기능을 활성화하면 승인되지 않은 장치의 접속을 차단하고 네트워크 대역폭을 효율적으로 보호할 수 있습니다.
| 구분 | 설정 항목 | 상세 내용 |
|---|---|---|
| 제한 방식 | Sticky MAC | 학습된 MAC 주소를 설정 파일에 자동 저장 |
| 최대 개수 | Maximum | 포트당 허용 가능한 MAC 주소 개수 지정 |
| 위반 조치 | Violation | 제한 초과 시 포트 차단 또는 로그 전송 |
스위치 포트 보안의 핵심 원리
포트 보안은 스위치 인터페이스가 학습할 수 있는 MAC 주소의 개수를 물리적으로 제한하는 기술입니다. 기본 설정에서는 하나의 포트가 무제한으로 주소를 학습하여 테이블을 가득 채우지만, 보안 설정을 통해 이를 1개 혹은 특정 수치로 고정할 수 있습니다.
인터페이스 모드 전환 및 활성화
포트 보안을 적용하기 위해서는 먼저 해당 포트가 액세스 모드여야 합니다. 2960이나 3650 같은 일반적인 엔터프라이즈 스위치에서는 switchport mode access 명령을 입력한 후 switchport port-security 명령어를 통해 기능을 활성화합니다.
최대 MAC 주소 개수 및 스티키 설정
허용할 기기 수를 지정하는 것은 필수입니다. 일반적으로 PC 한 대만 연결하는 포트라면 switchport port-security maximum 1 명령을 사용합니다. 여기에 switchport port-security mac-address sticky 명령을 추가하면 장비가 최초로 학습한 주소를 설정 파일에 영구적으로 기록합니다.
💡 꿀팁! 포트 보안 정책의 실전 적용법
보안 위반 시 무조건 포트를 셧다운시키면 관리자가 직접 가서 복구해야 하는 번거로움이 있습니다. 이럴 때는 switchport port-security violation restrict 명령을 사용하십시오. 포트를 물리적으로 죽이지 않고, 정책 위반 패킷만 차단하며 관리자에게 SNMP 트랩을 전송하여 네트워크 단절 없이 보안 상태를 유지할 수 있습니다.
위반 조치 모드 상세 설정
위반 발생 시 취할 조치는 세 가지입니다. 가장 강력한 shutdown은 포트를 err-disable 상태로 만들어 완전히 차단하며, restrict는 패킷을 버리고 알림을 보냅니다. 마지막으로 protect는 설정된 수치 이상의 MAC 주소만 조용히 폐기합니다. 대부분의 사내망에서는 보안 사고 인지를 위해 restrict 모드를 권장합니다.
설정 내용 확인 및 검증 절차
모든 설정을 마친 후에는 show port-security interface [인터페이스명] 명령어로 현재 상태를 확인해야 합니다. 해당 명령어를 통해 보안 모드가 활성화되어 있는지, 현재 학습된 MAC 주소 개수가 설정한 수치 내에 있는지 0.5초 이내에 바로 파악할 수 있습니다.
맺음말
포트 보안은 네트워크 엔지니어가 수행할 수 있는 가장 기본적이면서도 강력한 물리 계층 보안 조치입니다. MAC 주소 플러딩을 원천 차단함으로써 전체 네트워크의 안정성을 높이고 예기치 못한 트래픽 과부하를 방지할 수 있습니다. 저는 실무에서 신규 사무실을 구축할 때 모든 단말 포트에 이 설정을 기본값으로 적용하여 관리 효율을 극대화하고 있습니다. 보안은 작은 설정의 습관에서 시작되니, 오늘 바로 장비에 적용해 보시기 바랍니다.
Q. 포트 보안을 설정해도 네트워크 속도가 느려지나요?
아니요, 포트 보안은 하드웨어 수준에서 처리되므로 실제 트래픽 전송 속도에는 영향을 미치지 않습니다.
Q. 스티키(Sticky) 설정을 하지 않으면 어떻게 되나요?
장비를 재부팅할 때마다 학습된 MAC 주소가 초기화되어 다시 처음부터 학습 과정을 거쳐야 합니다.
Q. 최대 MAC 개수를 0으로 설정할 수 있나요?
네, 0으로 설정하면 해당 포트를 통해 들어오는 모든 트래픽을 즉시 차단하겠다는 의미로 작동합니다.
Q. 위반 시 포트가 셧다운되면 어떻게 복구하나요?
해당 포트로 들어가서 shutdown 후 no shutdown 명령어를 입력하거나, errdisable recovery 설정을 통해 자동으로 복구할 수 있습니다.
Q. 모든 스위치 모델에서 지원하는 기능인가요?
대부분의 레이어 2 관리형 스위치에서 지원하지만, 초저가형 비관리형 스위치에서는 해당 명령어를 사용할 수 없습니다.
Q. 가상 머신이 연결된 포트는 어떻게 설정해야 하나요?
하나의 물리 포트에 여러 MAC 주소가 오가므로, maximum 값을 사용 중인 VM 개수보다 큰 5~10 정도로 설정해야 합니다.