Cisco Cisco Firepower Management Center 2000 Installationsanleitung
2-9
FireSIGHT 시스템 설치 가이드
2 장 구축 이해
구축 옵션
가상 스위치로 구축
라이센스:
제어
지원되는 기기:
Series 3
인라인 인터페이스를 스위칭된 인터페이스로 구성하여 관리되는 기기에 가상 스위치를 만들 수 있
습니다. 가상 스위치는 구축에 레이어 2 패킷 스위칭을 제공합니다. 고급 옵션으로는 정적 MAC 주
소 설정, STP(Spanning Tree Protocol) 활성화, 엄격한 TCP 적용, 도메인 레벨에서 BPDU(Bridge
Protocol Data Unit) 삭제 등이 있습니다. 스위칭된 인터페이스에 대한 자세한 내용은
습니다. 가상 스위치는 구축에 레이어 2 패킷 스위칭을 제공합니다. 고급 옵션으로는 정적 MAC 주
소 설정, STP(Spanning Tree Protocol) 활성화, 엄격한 TCP 적용, 도메인 레벨에서 BPDU(Bridge
Protocol Data Unit) 삭제 등이 있습니다. 스위칭된 인터페이스에 대한 자세한 내용은
를 참조하십시오.
가상 스위치에는 트래픽을 처리할 수 있도록 두 개 이상의 스위칭된 인터페이스가 포함되어야 합
니다. 각 가상 스위치의 경우 스위칭된 인터페이스로 구성된 포트 집합으로만 트래픽이 스위칭됩
니다. 예를 들어, 4개의 스위칭된 인터페이스를 포함하여 가상 스위치를 구성하는 경우 시스템에
서 한 포트를 통해 트래픽 패킷을 수신하면 스위치의 나머지 3개 포트로만 이러한 패킷이 브로드
캐스트됩니다.
니다. 각 가상 스위치의 경우 스위칭된 인터페이스로 구성된 포트 집합으로만 트래픽이 스위칭됩
니다. 예를 들어, 4개의 스위칭된 인터페이스를 포함하여 가상 스위치를 구성하는 경우 시스템에
서 한 포트를 통해 트래픽 패킷을 수신하면 스위치의 나머지 3개 포트로만 이러한 패킷이 브로드
캐스트됩니다.
트래픽을 허용하도록 가상 스위치를 구성하려면 물리적 포트에 두 개 이상의 스위칭된 인터페이
스를 구성하고 가상 스위치를 추가 및 구성한 다음 가상 스위치를 스위칭된 인터페이스로 할당합
니다. 스위칭된 인터페이스가 없는 외부 물리적 인터페이스에 수신된 트래픽은 삭제됩니다. VLAN
태그가 없는 패킷이 수신되고 해당 포트에 대한 물리적 스위칭된 인터페이스를 구성하지 않은 경
우 패킷이 삭제됩니다. VLAN 태그가 있는 패킷이 수신되었지만 논리적 스위칭된 인터페이스를 구
성하지 않은 경우에도 패킷이 삭제됩니다.
스를 구성하고 가상 스위치를 추가 및 구성한 다음 가상 스위치를 스위칭된 인터페이스로 할당합
니다. 스위칭된 인터페이스가 없는 외부 물리적 인터페이스에 수신된 트래픽은 삭제됩니다. VLAN
태그가 없는 패킷이 수신되고 해당 포트에 대한 물리적 스위칭된 인터페이스를 구성하지 않은 경
우 패킷이 삭제됩니다. VLAN 태그가 있는 패킷이 수신되었지만 논리적 스위칭된 인터페이스를 구
성하지 않은 경우에도 패킷이 삭제됩니다.
필요에 따라 물리적 포트에서 논리적 스위칭된 인터페이스를 추가로 정의할 수 있지만 트래픽을
처리하려면 논리적 스위칭된 인터페이스를 가상 스위치로 할당해야 합니다.
처리하려면 논리적 스위칭된 인터페이스를 가상 스위치로 할당해야 합니다.
가상 스위치에는 확장성의 이점이 있습니다. 물리적 스위치를 사용할 경우 스위치에서 사용 가능
한 포트 수로 제한됩니다. 물리적 스위치를 가상 스위치로 교체하는 경우에는 대역폭과 얼마나 복
잡한 구축을 원하는지에 따라서만 제한됩니다.
한 포트 수로 제한됩니다. 물리적 스위치를 가상 스위치로 교체하는 경우에는 대역폭과 얼마나 복
잡한 구축을 원하는지에 따라서만 제한됩니다.
레이어 2 스위치를 사용하려는 경우 작업 그룹 연결, 네트워크 세그먼테이션과 같은 가상 스위치
를 사용합니다. 레이어 2 스위치는 작업자가 대부분 로컬 세그먼트에 있는 경우 특히 효과적입니
다. 대규모 구축(예: 브로드캐스트 트래픽, VoIP(voice-over-IP), 복수 네트워크가 포함된 구축)은 구
축의 작은 네트워크 세그먼트에서 가상 스위치를 사용할 수 있습니다.
를 사용합니다. 레이어 2 스위치는 작업자가 대부분 로컬 세그먼트에 있는 경우 특히 효과적입니
다. 대규모 구축(예: 브로드캐스트 트래픽, VoIP(voice-over-IP), 복수 네트워크가 포함된 구축)은 구
축의 작은 네트워크 세그먼트에서 가상 스위치를 사용할 수 있습니다.
동일한 관리되는 기기에 복수의 가상 스위치를 구축할 경우 각 네트워크의 요구 사항에 따라 별도
의 보안 수준을 유지할 수 있습니다.
의 보안 수준을 유지할 수 있습니다.
그림
2-3
관리되는
기기의
가상
스위치
이 예제에서 관리되는 기기는 두 개의 별도 네트워크(172.16.1.0/20 및 192.168.1.0/24)의 트래픽을
모니터링합니다. 두 네트워크 모두 동일한 관리되는 기기에서 모니터링하지만 가상 스위치는 동
일한 네트워크에 있는 컴퓨터 또는 서버로만 트래픽을 전달합니다. 트래픽은 172.16.1.0/24 가상 스
위치를 통해 컴퓨터 A에서 컴퓨터 B로 이동할 수 있으며(파란색 선) 동일한 가상 스위치를 통해 컴
퓨터 B에서 컴퓨터 A로 이동할 수 있습니다(녹색 선). 마찬가지로, 트래픽은 192.168.1.0/24 가상 스
모니터링합니다. 두 네트워크 모두 동일한 관리되는 기기에서 모니터링하지만 가상 스위치는 동
일한 네트워크에 있는 컴퓨터 또는 서버로만 트래픽을 전달합니다. 트래픽은 172.16.1.0/24 가상 스
위치를 통해 컴퓨터 A에서 컴퓨터 B로 이동할 수 있으며(파란색 선) 동일한 가상 스위치를 통해 컴
퓨터 B에서 컴퓨터 A로 이동할 수 있습니다(녹색 선). 마찬가지로, 트래픽은 192.168.1.0/24 가상 스