2017의 게시물 표시

Spanning Tree Protocol(STP) 2

 ## STP 경로 조정 ##  - Cisco Switch의 경우 기본적으로 PVST+로 동작한다. 즉, VLAN 마다 독립된 STP 프로세스가    동작한다.  - 하지만 관리자가 별도의 경로 조정 설정을 입력하지 않는다면 모든 VLAN은 동일한 Root    Bridge와 Block 포트를 사용하기 때문에 같은 경로를 사용하게 된다.    (MAC 주소를 기반으로 역할이 결정되기 때문이다)     => 결과적으로 트래픽이 분산되지 않는다  - 관리자는 상황에 따라서 각 VLAN 마다 다른 경로를 사용할 수 있도록 STP 경로를 조정하여    트래픽을 분산처리 할 수 있다.  - STP 경로 조정은 다음과 같은 방법으로 수행이 가능하다.    [1. Bridge-ID 변경]  - Bridge-ID는 다음과 같이 구성되어 있다.    <Bridge Priority(32,768)> + <MAC Address>  - Cisco Switch의 변경 가능한 Bridge Priority 값의 범위는 0 - 61,440이고, 4096의 배수로 변경이    가능하다. <IOU1 => VLAN10/VLAN20 Root Bridge> conf t spanning-tree vlan 10 priority 4096 spanning-tree vlan 20 priority 4096 <IOU2 => VLAN 20 Secondary Root> conf t spanning-tree vlan 20 priority 8192 <IOU3 => VLAN 10 Secondary Root> conf t spanning-tree vlan 10 priority 8192 [2. Path Cost 변경]  - 특정 VLAN이 전송되길 원하는 포트의 Path Cost를 반대편 포트의 Path Cost보다 낮게 설정    하면 해당 포트가 Root 포트로 선출되어 Forwarding 상태가

Spanning Tree Protocol(STP) 1

 ## Spanning Tree Protocol(STP) ##  - Switch Network에서 사용되는 Loop 방지 Solution  - '가용성(Availability)' 확보를 위해 Switch를 이중화하는 경우 Ring 구조의 형태로 연결하게    되면 Loop가 발생 할 수 있다. 때문에 관리자가 별도로 설정을 하지 않아도 Switch 스스로    STP가 활성화되어 있기 때문에 Loop를 방지할 수 있다. ------------------------------------------------------------------------------------------------------------ ** Configuration BPDU(설정 BPDU) **  - Switch는 기본적으로 2초 주기로 'Configuration BPDU'를 교환하여 'Root Bridge'와 각 Port의    역할을 결정하게 된다.  - Configuration BPDU의 다음 3가지 값을 기준으로 Switch의 역할과 포트의 역할을 결정한다. [1. Bridge ID]  => Switch(혹은 Bridge)가 갖고 있는 고유한 식별자(ID)를 의미       다음과 같이 구성된다.       [ Bridge Priority(기본값: 32,768) + MAC 주소 ]  => Bridge ID가 가장 낮은 Switch가 'Root Bridge'로 선출된다.     => 관리자가 임의적으로 Root Bridge를 변경할 경우, 해당 장비의 Bridge Priority 값을 낮게 조정하면 된다. [2. Path Cost]  => 해당 Switch에서 Root Bridge까지의 Link 속도를 값으로 변환한 값이다  => 16bit Path Cost는 다음과 같다.      -> 10Mbps : 100 / 100Mbps : 1

FHRP

이미지
 ## FHRP(First Hop Redundancy Protocol) ##  - 'Gateway 이중화 Protocol'이라고 표현하기도 한다.    물리적으로 Gateway Device를 이중화하여 내부에서 외부 네트워크로 전송되는 트래픽에 대    한 '가용성(Availability)'을 확보하는 것이 목적이다.  - FHRP가 설정되는 위치는 주로 End Device와 L3 Device(Gateway) 사이이다.    => 일반적으로 PC와 같은 End Device에서는 Routing Protocol을 구동하지 않기 때문에          Gateway 장비에 장애가 발생시 자동으로 경로 우회가 불가능하다.    => 위와 같은 문제를 해결하기 위해 Gateway 이중화 Protocol을 사용한다.    => L3 Device 사이에서는 Gateway 이중화 Protocol이 아니라 Routing Protocol로 경로 우회가         가능하다.  - FHRP 설정은 실제 IP 주소가 할당된 Interface에서 명령어를 입력한다.     => Gateway를 Routed 포트 방식으로 설정했을 경우에는 해당 Routed 포트 안에서 명령어를          입력.     => Gateway를 SVI 방식으로 설정했을 경우에는 해당 SVI 안에서 명령어를 입력.  - FHRP의 종류는 다음과 같다. [1. HSRP(Hot Standby Redundancy Protocol)]  -> Cisco 전용 / UDP 1985번 포트 / Active, Standby / Hello 주기: 3초, Hold Time: 10초  -> HSRP 버전은 다음과 같다.  1) Version 1 : Group 범위 => 0 - 255     (default)   Multicast  => 224.0.0.2                  ->Multica

EtherSwitch Module / NAT

이미지
 ## EtherSwitch Module ##  - Module 형 Router에 EtherSwitch 모듈을 장착하게 되면 Router에서 Ethernet Switch 기능을 사   용할 수 있다  - Router에서 Switch 기능을 사용할 수 있지만 실제 Switch의 모든 기능을 지원하는 것은 아니    다. 또한 실제 Switch와 명령어의 차이도 존재한다.  - Switch와 EtherSwitch 모듈의 차이점은 다음과 같다. [1. VLAN 정보 확인 명령어 차이점]  1) Switch => [show vlan], [show vlan brief]  2) EtherSwitch 모듈 => [show vlan-switch], [show vlan-switch brief] [2. Trunk 설정시 allowed VLAN 명령어 차이점]  -> 실제 Switch와 다르게 EtherSwitch 모듈의 경우 Trunk 포트에 Allowed VLAN 명령어를 사용      할 경우 반드시 default VLAN 1, 1002-1005이 포함 되어야 한다.     <ex> [switchport trunk allowed vlan 1,10,20,1002-1005] [3. DTP 비활성화 명령어가 지원되지 않는다.]  -> DTP를 사용하지 않을 경우 'switchport nonegotiate' 명령어를 사용했지만, EtherSwitch 모듈      에서는 해당 명령어가 입력되지 않는다. [4. IP Routing 기능 활성화 차이점]  -> 실제 L3 Switch의 경우 IP Routing이 비활성화 되어 있는 경우 [ip routing] 명령어를 입력해      서 Routing 기능을 활성화시킨다.  -> 하지만 EtherSwitch 모듈의 경우 기본적으로 Router 기능이 사용되기 때문에 [ip routing] 명      령어를 입력하지 않아도

Telnet

이미지
 ## Telnet ##  - 원격지에 위치한 장비에 접속할 수 있는 Protocol    TCP 23번 사용한다.  - Telnet은 평문이기 때문에 보안적으로 주의해야 한다.  - 보안상 SSH(Secure Shell) 사용을 더 권장한다.  - Cisco Device의 경우 다음과 같은 방식으로 설정이 가능. [1. Password 확인] conf t line vty 0 4  password cisco123  login exit [2. Username과 Password(계정 확인)] Router2(config)#username admin password admin : 일반 Router2(config)#username admin15 privilege 15 password admin15 : 권한 15 Router2(config)#line vty 0 4 Router2(config-line)#login local [3. Password 확인 X] Router2(config)#line vty 0 4 Router2(config-line)#no login Router2(config-line)#exit -------------------------------------------------------------------------------------------------------------------------- <실습>   위와 같이 전 게시물에서 VLAN 설정이 끝난 실습에서 Admin을 추가한다 Admin은 VLAN250으로 설정하고 Telnet을 통해 원격으로 Switch에 접속이 되는지 확인한다.         L3 Router를 통해서 각 VLAN설정이 마쳐진 Switch를 서로 통신이 가능하도록 위와 같이 구현한다. 

Inter Vlan / SVI

이미지
 ## Inter-VLAN Routing ## [1. Router]  1) major Interface 사용 <Router> en conf t enable secret cisco123 lin con 0  exec-time 0 0  logging syn  password ccnp123  login exit int fa0/0  desc ##VLAN100_GW##  ip add 1.1.10.254 255.255.255.0  no shut ! int fa0/1  desc ##VLAN200_GW##  ip add 1.1.20.254 255.255.255.0  no shut !int fa1/0  desc ##VLAN300_GW##  ip add 1.1.30.254 255.255.255.0  no shut ! <BB> conf t  int fa 0/22  switchport mode access  switchport access vlan 100 ! int fa 0/23  sw mo ac  sw acc vlan 200 ! int fa 0/24  sw mo ac  sw acc vlan 300 !  2) sub Interface 사용 <BB> conf t int fa 0/20  sw trunk allowed vlan 100, 200, 300  sw trunk native vlan 888  sw mo trunk ! <Router> en conf t no ip domain loo ho GW line con 0  exec-time 0 0 logging syn ! int fa 0/0  no shut ! int fa 0/0.100  encapsulation dot1q 100  ip add 1.1.10.254 255.255.255.0 ! int fa 0/0.200  encapsulation dot1q 200  ip add 1.1.20.254 255.255.255.0 ! int fa 0/0.300  encapsulation dot

VLAN / DTP

이미지
 ## VLAN(Virtual LAN) ##  - Network(= Broadcast Domain)는 L3 Device가 구분해주는 하나의 공간을 의미하기도 한다.    기본적으로 L2 Device에 연결된 모든 장비는 공통된 Network(= Broadcast Domain)에 포함된    다.  - VLAN을 사용하게 되면 L3 Device가 아닌 L2 Device 포트마다 서로 다른 network(= Broadcast    Domain)로 구분해서 관리가 가능하다.    (VLAN = Broadcast Domain = Network)  - VLAN 필요성    1) Segmentation : Broadcast Domain 크기를 나눠서 관리할 수 있다.    2) Security : 동일 network 안에서 발생되는 보안 취약점들이 더 많기 때문에 VLAN으로                          network를 구분하여 보호할 수 있다.    3) 비용절감    4) Flexibility         ....  - Cisco Switch의 경우 관리자가 별도의 VLAN을 설정하지 않을 경우 모든 포트는 VLAN 1    (Default VLAN)에 할당되어 있다.    그리고 VLAN 1 외에도 VLAN 1002/1003/1004/1005이 기본적으로 존재하는 VLAN이다.  - Switch의 포트들은 서로 다른 VLAN에 할당이 될 경우 서로 다른 Network에 포함되기 때문    에 L3 Device를 통해서 Routing 되어야 서로 통신이 가능하다.        [ VLAN ] = [ Network ] = [ Broadcast Domain ]                         하나의 독립된  - VLAN은 VLAN ID로 구분한다. 범위는 0 - 4,095까지이다.     1) VLAN 0 : System 예약 (사용 X)     2) VLAN 1 : Cisco Default VLAN

Switch

 ## Switch ##  - Switch는 전통적인 'Layer 2 Switch'와 'Multi Layer Switch(MLS)'(L3/L4/L7 Switch)로 구분이    가능하다.  - Switch는 다시 다음과 같이 구분이 가능하다.    1) LAN Switch : Ethernet / Token ring / FDDI    2) WAN Switch : X.25 / Frame-relay / ATM  - Router와 L2 Switch(Ethernet)의 차이점.    1) Router의 경우 L3 헤더(IP헤더)의 목적지 IP주소와 Routing table을 비교하여 경로를 결정한        다.        Ethernet Switch의 경우 L2 헤더(Ethernet)의 목적지 MAC 주소와 MAC Address Table을 비       교하여 경로를 출구를 결정한다.    2) Router의 경우 Broadcast와 Unknown Unicast를 수신했을 경우 해당 Packet을 외부로 전송하        지 않는다. Ethernet Switch의 경우 Broadcast와 Unknown Unicast를 수신했을 경우 해당        Frame을 연결된 모든 포트로 Flooding 한다.    3) Router의 경우 관리자가 설정을 통해서 주소록인 Routing Table을 생성해야 통신이 가능하       다. Ethernet Switch의 경우 관리자가 별도로 설정하지 않아도 Switch가 자동으로 MAC        Address Table을 생성하고 통신을 수행한다. (Plug & Play)    4) Router의 경우 CPU 기반의 S/W장비이고, Switch의 경우 ASIC 기반의 H/W 장비이다. ==========================================================================================

Routing Protocol 5

이미지
 ## OSPF(Open Shortest Path First) ##  - OSPF는 Link-State 계열의 Routing Protocol이다.    다익스트라(SPF) 알고리즘을 사용한다.  - OSPF의 경우 IP Protocol 번호 89번을 사용한다.  - Multicast 방식으로 정보를 교환한다.     -> 224.0.0.5(All-OSPF-Router) / 224.0.0.6(DR, BDR 수신)  - AD는 110 / Metric은 Cost 사용.    Cost는 벤더(장비 제조사)마다 다르게 구현이 가능하다.    Cisco Device의 경우 [10^8/Bandwidth(bps)] 공식을 사용.     => 각 link(interface) 마다 Cost 값이 계산되어 있고, 해당 Cost값을 더한 것이 Metric이 된다. -------------------------------------------------------------------------------------------------------------------------- ** OSPF Packet **  1. Hello   => 인접 OSPF Device와 Hello 메시지를 교환하여 네이버 관계를 형성하고 유지(keepalive)한        다.   => OSPF의 경우 다음 조건이 일치해야만 Neighbor 관계를 형성한다.       => Area ID / Authentication(인증) / Subnet mask / Stub Flag /          Hello와 Dead interval ... (p21 *정보)   => OSPF의 경우 다음과 같이 neighbor를 구분한다.       -> 일반 Neighbor => 위의 조건이 일치하는 경우 일반 Neighbor 관계를 형성한다. Hello 메시           지는 주기적으로 교환하지만 실제 LSA 정보는 교환하지 않는다.

Routing Protocol 4

이미지
## DUAL(Diffusing Update Algorithm) ## - EIGRP가 사용하는 알고리즘. - Dual에서 사용되는 용어는 다음과 같다.  1) FD(Feasible Distance)   => 출발지에서 목적지 Network까지의 전체 Metric을 의미한다.   => FD 값이 가장 낮은 경로가 Best Path로 선출된다.  2) AD(Advertised Distance)   => 출발지 장비의 Next-hop 부터 목적지 Network 까지의 Metric을 의미한다.  3) Successor   => Best Path(최적 경로)상의 next-hop 라우터를 의미한다.      즉, FD가 가장 낮은 경로의 다음 Router를 의미한다.  4) Feasible Successor   => Loop가 없다고 확인된 Backup Path 상의 next-hop 라우터를 의미한다.   => 출발지 Router에서 다음 조건이 일치하는 Backup Path가 존재할 경우 Loop가 없다고 확신        할 수 있다.        [ Best Path(최적 경로)의 FD ] > [ Backup Path(후속 경로)의 AD ]   => 위의 조건이 만족되는 경로가 존재하는 경우 해당 경로는 Loop가 없는 Backup Path라는        것을 확신하고, 해당 경로 정보를 자신의 'EIGRP Topology Table'에 등록한다.   => 위의 조건에 만족이 되지 않는 Backup Path는 Topology Table에 등록되지 않고, Best Path        장애시 Query 패킷을 사용하여 확인 후 Loop가 없다면 Routing table에 등록한다. =================================================================================================

Routing Protocol 3 / GNS3

이미지
  ## EIGRP(Enhanced IGRP) ##  - EIGRP는 Cisco 전용 라우팅 프로토콜이었지만, 2016년 5월에 RFC 표준으로 등록되었다.    (RFC7868)  - IP Protocol 88번을 사용, IP 헤더 뒤에 EIGRP 메시지가 따라온다.    Multicast 주소 224.0.0.10을 사용하여 EIGRP Device만 정보를 수신할 수 있도록 한다.    (88 - EIGRP)    (6  - TCP)    (17 - UDP)     - EIGRP의 AD값은 다음과 같다.    => internal(내부) :  90         external(외부) : 170         summary (축약) :  5  - EIGRP의 Metric은 Composit Metric을 사용한다.    => Bandwidth(대역폭) / Delay(지연) / Reliability(신뢰성) / Load(부하)를 특정 공식에 대입한         값을 사용. ** EIGRP 특징 ** 1) PDM(Protocol Dependent Module)을 지원하기 때문에 IP 주소 뿐 아니라 다른 Network 계층     (L3)의 Protocol 정보도 교환이 가능하다. (ex. IPX/Apple talk ..)     => 각 network 계층 protocol 마다 독립된 모듈을 사용할 수 있다. 2) 인접 EIGRP Router와 hello 메시지를 교환하여 Neighbor 관계를 형성한다. 그 후 주기적      Update 대신 가벼운 hello 메시지를 반복적으로 교환하면서 keepalive 체크를 수행한다. 3) EIGRP는 AS로 구분하여 Bounded Update가 가능하다.     => 모든 Router를 EIGRP로 설정하여도 서로 AS 번호가 다른 경우 정보를 교환하지 않는다.     => 관리자가 의도적으로 AS 번호를 다르게 구성하여 EIGRP의 Update 범위를 제