Spanning Tree Protocol(STP) 2

 ## STP 경로 조정 ##  - Cisco Switch의 경우 기본적으로 PVST+로 동작한다. 즉, VLAN 마다 독립된 STP 프로세스가    동작한다.  - 하지만 관리자가 별도의 경로 조정 설정을 입력하지 않는다면 모든 VLAN은 동일한 Root    Bridge와 Block 포트를 사용하기 때문에 같은 경로를 사용하게 된다.    (MAC 주소를 기반으로 역할이 결정되기 때문이다)     => 결과적으로 트래픽이 분산되지 않는다  - 관리자는 상황에 따라서 각 VLAN 마다 다른 경로를 사용할 수 있도록 STP 경로를 조정하여    트래픽을 분산처리 할 수 있다.  - STP 경로 조정은 다음과 같은 방법으로 수행이 가능하다.    [1. Bridge-ID 변경]  - Bridge-ID는 다음과 같이 구성되어 있다.    <Bridge Priority(32,768)> + <MAC Address>  - Cisco Switch의 변경 가능한 Bridge Priority 값의 범위는 0 - 61,440이고, 4096의 배수로 변경이    가능하다. <IOU1 => VLAN10/VLAN20 Root Bridge> conf t spanning-tree vlan 10 priority 4096 spanning-tree vlan 20 priority 4096 <IOU2 => VLAN 20 Secondary Root> conf t spanning-tree vlan 20 priority 8192 <IOU3 => VLAN 10 Secondary Root> conf t spanning-tree vlan 10 priority 8192 [2. Path Cost 변경]  - 특정 VLAN이 전송되길 원하는 포트의 Path Cost를 반대편 포트의 Path Cost보다 낮게 설정    하면 해당 포트가 Root 포트로 선출되어 Forwarding 상태가

Spanning Tree Protocol(STP) 1

 ## Spanning Tree Protocol(STP) ##  - Switch Network에서 사용되는 Loop 방지 Solution  - '가용성(Availability)' 확보를 위해 Switch를 이중화하는 경우 Ring 구조의 형태로 연결하게    되면 Loop가 발생 할 수 있다. 때문에 관리자가 별도로 설정을 하지 않아도 Switch 스스로    STP가 활성화되어 있기 때문에 Loop를 방지할 수 있다. ------------------------------------------------------------------------------------------------------------ ** Configuration BPDU(설정 BPDU) **  - Switch는 기본적으로 2초 주기로 'Configuration BPDU'를 교환하여 'Root Bridge'와 각 Port의    역할을 결정하게 된다.  - Configuration BPDU의 다음 3가지 값을 기준으로 Switch의 역할과 포트의 역할을 결정한다. [1. Bridge ID]  => Switch(혹은 Bridge)가 갖고 있는 고유한 식별자(ID)를 의미       다음과 같이 구성된다.       [ Bridge Priority(기본값: 32,768) + MAC 주소 ]  => Bridge ID가 가장 낮은 Switch가 'Root Bridge'로 선출된다.     => 관리자가 임의적으로 Root Bridge를 변경할 경우, 해당 장비의 Bridge Priority 값을 낮게 조정하면 된다. [2. Path Cost]  => 해당 Switch에서 Root Bridge까지의 Link 속도를 값으로 변환한 값이다  => 16bit Path Cost는 다음과 같다.      -> 10Mbps : 100 / 100Mbps : 1

FHRP

이미지
 ## FHRP(First Hop Redundancy Protocol) ##  - 'Gateway 이중화 Protocol'이라고 표현하기도 한다.    물리적으로 Gateway Device를 이중화하여 내부에서 외부 네트워크로 전송되는 트래픽에 대    한 '가용성(Availability)'을 확보하는 것이 목적이다.  - FHRP가 설정되는 위치는 주로 End Device와 L3 Device(Gateway) 사이이다.    => 일반적으로 PC와 같은 End Device에서는 Routing Protocol을 구동하지 않기 때문에          Gateway 장비에 장애가 발생시 자동으로 경로 우회가 불가능하다.    => 위와 같은 문제를 해결하기 위해 Gateway 이중화 Protocol을 사용한다.    => L3 Device 사이에서는 Gateway 이중화 Protocol이 아니라 Routing Protocol로 경로 우회가         가능하다.  - FHRP 설정은 실제 IP 주소가 할당된 Interface에서 명령어를 입력한다.     => Gateway를 Routed 포트 방식으로 설정했을 경우에는 해당 Routed 포트 안에서 명령어를          입력.     => Gateway를 SVI 방식으로 설정했을 경우에는 해당 SVI 안에서 명령어를 입력.  - FHRP의 종류는 다음과 같다. [1. HSRP(Hot Standby Redundancy Protocol)]  -> Cisco 전용 / UDP 1985번 포트 / Active, Standby / Hello 주기: 3초, Hold Time: 10초  -> HSRP 버전은 다음과 같다.  1) Version 1 : Group 범위 => 0 - 255     (default)   Multicast  => 224.0.0.2                  ->Multica

EtherSwitch Module / NAT

이미지
 ## EtherSwitch Module ##  - Module 형 Router에 EtherSwitch 모듈을 장착하게 되면 Router에서 Ethernet Switch 기능을 사   용할 수 있다  - Router에서 Switch 기능을 사용할 수 있지만 실제 Switch의 모든 기능을 지원하는 것은 아니    다. 또한 실제 Switch와 명령어의 차이도 존재한다.  - Switch와 EtherSwitch 모듈의 차이점은 다음과 같다. [1. VLAN 정보 확인 명령어 차이점]  1) Switch => [show vlan], [show vlan brief]  2) EtherSwitch 모듈 => [show vlan-switch], [show vlan-switch brief] [2. Trunk 설정시 allowed VLAN 명령어 차이점]  -> 실제 Switch와 다르게 EtherSwitch 모듈의 경우 Trunk 포트에 Allowed VLAN 명령어를 사용      할 경우 반드시 default VLAN 1, 1002-1005이 포함 되어야 한다.     <ex> [switchport trunk allowed vlan 1,10,20,1002-1005] [3. DTP 비활성화 명령어가 지원되지 않는다.]  -> DTP를 사용하지 않을 경우 'switchport nonegotiate' 명령어를 사용했지만, EtherSwitch 모듈      에서는 해당 명령어가 입력되지 않는다. [4. IP Routing 기능 활성화 차이점]  -> 실제 L3 Switch의 경우 IP Routing이 비활성화 되어 있는 경우 [ip routing] 명령어를 입력해      서 Routing 기능을 활성화시킨다.  -> 하지만 EtherSwitch 모듈의 경우 기본적으로 Router 기능이 사용되기 때문에 [ip routing] 명      령어를 입력하지 않아도

Telnet

이미지
 ## Telnet ##  - 원격지에 위치한 장비에 접속할 수 있는 Protocol    TCP 23번 사용한다.  - Telnet은 평문이기 때문에 보안적으로 주의해야 한다.  - 보안상 SSH(Secure Shell) 사용을 더 권장한다.  - Cisco Device의 경우 다음과 같은 방식으로 설정이 가능. [1. Password 확인] conf t line vty 0 4  password cisco123  login exit [2. Username과 Password(계정 확인)] Router2(config)#username admin password admin : 일반 Router2(config)#username admin15 privilege 15 password admin15 : 권한 15 Router2(config)#line vty 0 4 Router2(config-line)#login local [3. Password 확인 X] Router2(config)#line vty 0 4 Router2(config-line)#no login Router2(config-line)#exit -------------------------------------------------------------------------------------------------------------------------- <실습>   위와 같이 전 게시물에서 VLAN 설정이 끝난 실습에서 Admin을 추가한다 Admin은 VLAN250으로 설정하고 Telnet을 통해 원격으로 Switch에 접속이 되는지 확인한다.         L3 Router를 통해서 각 VLAN설정이 마쳐진 Switch를 서로 통신이 가능하도록 위와 같이 구현한다. 

Inter Vlan / SVI

이미지
 ## Inter-VLAN Routing ## [1. Router]  1) major Interface 사용 <Router> en conf t enable secret cisco123 lin con 0  exec-time 0 0  logging syn  password ccnp123  login exit int fa0/0  desc ##VLAN100_GW##  ip add 1.1.10.254 255.255.255.0  no shut ! int fa0/1  desc ##VLAN200_GW##  ip add 1.1.20.254 255.255.255.0  no shut !int fa1/0  desc ##VLAN300_GW##  ip add 1.1.30.254 255.255.255.0  no shut ! <BB> conf t  int fa 0/22  switchport mode access  switchport access vlan 100 ! int fa 0/23  sw mo ac  sw acc vlan 200 ! int fa 0/24  sw mo ac  sw acc vlan 300 !  2) sub Interface 사용 <BB> conf t int fa 0/20  sw trunk allowed vlan 100, 200, 300  sw trunk native vlan 888  sw mo trunk ! <Router> en conf t no ip domain loo ho GW line con 0  exec-time 0 0 logging syn ! int fa 0/0  no shut ! int fa 0/0.100  encapsulation dot1q 100  ip add 1.1.10.254 255.255.255.0 ! int fa 0/0.200  encapsulation dot1q 200  ip add 1.1.20.254 255.255.255.0 ! int fa 0/0.300  encapsulation dot

VLAN / DTP

이미지
 ## VLAN(Virtual LAN) ##  - Network(= Broadcast Domain)는 L3 Device가 구분해주는 하나의 공간을 의미하기도 한다.    기본적으로 L2 Device에 연결된 모든 장비는 공통된 Network(= Broadcast Domain)에 포함된    다.  - VLAN을 사용하게 되면 L3 Device가 아닌 L2 Device 포트마다 서로 다른 network(= Broadcast    Domain)로 구분해서 관리가 가능하다.    (VLAN = Broadcast Domain = Network)  - VLAN 필요성    1) Segmentation : Broadcast Domain 크기를 나눠서 관리할 수 있다.    2) Security : 동일 network 안에서 발생되는 보안 취약점들이 더 많기 때문에 VLAN으로                          network를 구분하여 보호할 수 있다.    3) 비용절감    4) Flexibility         ....  - Cisco Switch의 경우 관리자가 별도의 VLAN을 설정하지 않을 경우 모든 포트는 VLAN 1    (Default VLAN)에 할당되어 있다.    그리고 VLAN 1 외에도 VLAN 1002/1003/1004/1005이 기본적으로 존재하는 VLAN이다.  - Switch의 포트들은 서로 다른 VLAN에 할당이 될 경우 서로 다른 Network에 포함되기 때문    에 L3 Device를 통해서 Routing 되어야 서로 통신이 가능하다.        [ VLAN ] = [ Network ] = [ Broadcast Domain ]                         하나의 독립된  - VLAN은 VLAN ID로 구분한다. 범위는 0 - 4,095까지이다.     1) VLAN 0 : System 예약 (사용 X)     2) VLAN 1 : Cisco Default VLAN