Cisco 스위치 Port Security 기본 설정
들어가며
기업 네트워크를 운영하다 보면 허가되지 않은 장비가 네트워크에 연결되는 상황을 종종 마주하게 된다. 사용자가 개인 노트북을 무단으로 연결하거나, 사설 공유기를 설치하거나, 외부인이 빈 랜 포트에 장비를 연결하는 경우도 있다.
이러한 문제는 단순히 네트워크 정책 위반에 그치지 않고 정보 유출, 악성코드 감염, 내부망 침입 등 심각한 보안 사고로 이어질 수 있다.
Cisco 스위치에서는 이러한 위협을 방지하기 위해 Port Security 기능을 제공한다. Port Security는 특정 포트에서 허용할 MAC 주소를 제한하여 승인된 장비만 네트워크를 사용할 수 있도록 하는 기능이다.
특히 중소기업, 공공기관, 제조공장, 학교, 병원 등에서 가장 기본적으로 적용하는 네트워크 보안 기능 중 하나이며, 설정도 비교적 간단해 초기 구축 시 함께 적용하는 경우가 많다.
이번 글에서는 Cisco 스위치 Port Security의 개념부터 동작 원리, 기본 설정 방법, Violation Mode, Sticky MAC 활용법, 확인 명령어 및 실무 운영 시 주의사항까지 자세히 알아보겠다.
Port Security란?
Port Security는 특정 스위치 포트에서 허용 가능한 MAC 주소를 제한하는 기능이다.
예를 들어 다음과 같은 환경을 가정해보자.
PC-A
MAC : 0011.2233.4455
│
Gi1/0/10
│
Cisco SwitchGi1/0/10 포트에는 PC-A만 연결되어야 한다.
하지만 사용자가 허브를 연결하거나 다른 장비를 연결하면 문제가 발생할 수 있다.
PC-A
│
HUB
├── PC-B
├── PC-C
└── PC-DPort Security를 적용하면 허용된 MAC 주소 외에는 통신을 차단할 수 있다.
Port Security가 필요한 이유
기업 네트워크에서는 생각보다 많은 보안 위협이 존재한다.
대표 사례
무단 노트북 연결
사설 공유기 설치
허브 추가 연결
내부 정보 유출
악성코드 감염 장비 연결Port Security는 이러한 문제를 사전에 차단할 수 있다.
Port Security 동작 원리
Port Security는 포트에서 학습되는 MAC 주소 수를 제한한다.
예시
허용 MAC 개수
1개설정
PC-A 연결↓
0011.2233.4455 학습↓
다른 MAC 연결↓
보안 위반 발생Port Security 적용 조건
Port Security는 일반적으로 Access Port에서 사용한다.
필수 조건
switchport mode access지원 환경
사용자 PC
프린터
IP Phone
CCTV
출입통제 장비비권장 환경
Trunk Port
Uplink Port
스위치 간 연결기본 Port Security 설정 방법
가장 기본적인 설정 예제이다.
configure terminal
interface GigabitEthernet1/0/10
switchport mode access
switchport port-security
end설정 확인
show port-security interface gigabitEthernet1/0/10허용 MAC 주소 개수 제한
기본값은 1개이다.
명시적으로 설정 가능
interface GigabitEthernet1/0/10
switchport port-security maximum 12개 허용
switchport port-security maximum 2예시
PC + IP Phone환경
3개 허용
switchport port-security maximum 3Static MAC 방식 설정
특정 MAC 주소만 허용
예시
interface GigabitEthernet1/0/10
switchport mode access
switchport port-security
switchport port-security mac-address 0011.2233.4455허용 장비
0011.2233.4455만 통신 가능
장점
보안성 높음
정확한 제어 가능단점
장비 교체 시 재설정 필요Sticky MAC 설정
실무에서 가장 많이 사용하는 방식이다.
장비가 처음 연결되면 자동으로 MAC 주소를 학습한다.
설정
interface GigabitEthernet1/0/10
switchport mode access
switchport port-security
switchport port-security mac-address sticky동작 과정
PC 연결↓
MAC 자동 학습↓
Running Config 저장↓
허용 장비 등록 완료확인
show running-config interface gi1/0/10예시
switchport port-security mac-address sticky 0011.2233.4455Violation Mode 이해하기
Port Security 위반 발생 시 동작 방식이다.
3가지 모드가 존재한다.
Protect Mode
설정
switchport port-security violation protect동작
허용되지 않은 MAC 차단하지만 로그는 남지 않는다.
특징
조용히 차단Restrict Mode
설정
switchport port-security violation restrict동작
허용되지 않은 MAC 차단
로그 생성
SNMP Trap 전송실무 권장 모드
Shutdown Mode
기본값
switchport port-security violation shutdown동작
보안 위반 발생↓
포트 Error-Disabled↓
통신 중단로그 예시
%PORT_SECURITY-2-PSECURE_VIOLATIONPort Security 상태 확인
전체 확인
show port-security예시
Port Security Enabled
Violation Mode Shutdown
Maximum MAC Addresses 1특정 포트 확인
show port-security interface gi1/0/10학습된 MAC 확인
확인
show port-security address예시
Secure Mac Address
0011.2233.4455Sticky MAC 확인
show running-config interface gi1/0/10Violation 발생 확인
로그 확인
show logging예시
PORT_SECURITY
PSECURE_VIOLATION카운터 확인
show port-security interface gi1/0/10예시
Security Violation Count : 5Error-Disabled 상태 복구
Shutdown 모드에서 위반 발생 시 포트가 차단된다.
확인
show interfaces status예시
Gi1/0/10 err-disabled복구 방법
interface gi1/0/10
shutdown
no shutdown자동 복구 설정
errdisable recovery cause psecure-violation
errdisable recovery interval 300300초 후 자동 복구
실무 적용 사례
일반 사용자 PC
interface gi1/0/10
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation restrict가장 많이 사용하는 형태
IP Phone + PC
interface gi1/0/20
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security violation restrictCCTV
interface gi1/0/30
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address stickyPort Security와 MAC Address Table 차이
MAC Table
MAC → Port정보 저장
Port Security
허용 MAC 제어기능 제공
즉
MAC Table
= 학습Port Security
= 통제라고 이해하면 쉽다.
Port Security 운영 시 주의사항
Uplink 포트 적용 금지
스위치 간 연결 포트에 적용하면
대량 MAC 학습으로 장애 발생 가능
허브 사용 환경 확인
허브 연결 시
여러 MAC 발생가능
장비 교체 시 확인
PC 교체
NIC 교체
IP Phone 교체
시 기존 MAC 삭제 필요
삭제
clear port-security sticky interface gi1/0/10구축 후 점검 체크리스트
□ Access Port 설정 확인
□ Port Security 활성화 확인
□ Maximum 값 확인
□ Sticky MAC 확인
□ Violation Mode 확인
□ 로그 확인
□ Error-Disabled 확인
□ 학습 MAC 확인
□ 허용 장비 정상 통신 확인
□ 비허용 장비 차단 확인마무리
Cisco Port Security는 가장 간단하면서도 효과적인 네트워크 보안 기능 중 하나이다. 별도의 보안 장비 없이도 스위치 자체에서 허용된 MAC 주소를 제어할 수 있기 때문에 무단 장비 연결, 사설 공유기 설치, 허브 확장, 내부망 무단 접속 등을 효과적으로 방지할 수 있다.
실무에서는 일반 사용자 포트에 대해 Maximum 1, Sticky MAC, Violation Restrict 조합을 가장 많이 사용하며, 운영 편의성과 보안성을 동시에 확보할 수 있다.
특히 공공기관, 제조공장, 학교, 병원과 같이 단말 관리가 중요한 환경에서는 Port Security를 기본 정책으로 적용하는 것이 권장되며, 구축 후에는 반드시 Violation 로그와 Error-Disabled 상태를 주기적으로 점검해야 안정적인 네트워크 운영이 가능하다.