쏭쎡

- NAT

- Network address translation 

- 공인 IP <-> 사설IP 

   사설 IP <-> 공인IP

   (이것은 케이스다)

   (정석은 네트워크 주소를 바꾸어 주는 것이다.)

- 네트워크 대역대를 변경 

192.168.0.1 (사설 IP)

   -> 49.170.128.64 

1) NAT를 설정할때 

2) access-list로 내부 IP를 리스트로 작성 

3) ip NAT POOL로 POOL을 생성 

    START IP , END IP 

Network

static NAT늘 POOL이 필요없다. 그러나 내부 NAT를 사용하는 호스트는 

여러 대가 존재하기 때문에 1:1NAT는 거의 사용하지 않는다.

4) IP NAT inside source 

    list 번호 pool 이름 

    (overload : 내부의 여러 IP가 하나의 공인 IP를  사용할 때)

    시스코에서는 다른말로 part 라고 한다.

방화벽은 port별로 다르게 IP를 지정. 

하드웨어 NAT

소프트웨어 NAT

1) 라우터에서 사용하는 NAT는 대부분 소프트웨어 NAT 

    (OS에서 NAT 기능을 올린다.)

- resource를 많이 사용

   (메모리를 사용)

- 패킷을 CPU가 읽고 IP 변환 시켜서 보내고 

  하는 시간적 딜레이가 발생 

  (1G정도의 속도로 들어오면 900M정도로 흐름 = NAT 성능 90% )   

2) 하드웨어 NAT

: 공유기, 단말, 방화벽등에서 많이 사용.

: NAT 칩을 사용.

: resource를 적게 잡아먹고 

  딜레이도 적게 발생한다. 

3) port-frowarding 

   ->외부에서 내부로 접근불가능 

   -> 내부에 있는 서버등을 외부에서도 사용할 수 있게 하는 것 

   -> 서버가 있는데 8080 

   -> NAT에서 포트포워딩 

        내부 IP 가 210.1.1.1 서버 

외부 IP가  211.117.114.39 

포트포워딩 설정 

211.117.114.39:8080 

 -> 210.1.1.1:80

8080을 입력하면 내부분 210.1.1.1로 접근하게 됨. 

-> 다른 사람이 추론하지 못하도록 포트번호를 모르는 번호로 사용함. 

     8080은 사용하지 않는다. 3771과 같은 모르는 포트번호를 사용. 

DMZ - 모든 포트가 열려있는 영역 

alg - 특정 포트번호가 있는데 끈김없거나/차단을 하는 기능. NAT로 나가지 않는다. 

        방화벽이 생긴 이유로 사용하지 않는다. 

MPLS => lable 번호를 보고 packet forwarding. 라우팅 테이블 참조하지 않는다. 

nat 설정 명령어 

access-list 1 permit 192.168.1.0 0.0.0.255 

ip nat pool 10.1.1.1 10.1.1.1 255.255.255.252 

ip nat inside source list 1 pool nat_pool overload 

각  interface gi/01, interface gi 0/0에 각각 

ip nat inside

ip nat outside 

debug ip icmp 

=>  ping을 보낼 라우터에 위와 같이 설정. 

=> DST가 10.x.x.x로 나와야 한다. 

=> NAT는 사설IP를 공인 IP로 바꾸는 기술이다. 

=> 해당 라우터는 이미 바꾸어 나온 IP 

=> 따라서 10.대가 나온다. 그러나 192.168.대가 나온다면 잘못 설정하여 변환이 안되었다는 것을 의미 .

show ip nat translatin 

가운데 라우터 내부ip를 외부ip로 변경가능한 라우터에서 조회. 여기서는 가운데 라우터이다.

cmd 창을 관리자 모드로 실행한 뒤, 자신의 라우팅 테이블을 참고하여 게이트 웨이 주소를 확인한 뒤,

삭제해본다. 아래그림처럼 ping이 안간다. (8.8.8.8은 LG U+ )

인터넷도 안됨. 게이트웨이 주소가 라우팅 테이블에 없기 때문이다. 

다시 추가하자. 

전체 토폴로지 

제일위에 스위치를 아래와 같이 설정해야 된다.

DHCP relay와 각각의 vlan에 할당한 IP gateway를 할당한다.

그리고 vtp를 설정한다.

vtp란?

대빵 스위치(vtp server)

를 두어 여기서 생성된 vlan들은 trunk port로 

연결된 다른 client 스위치들도 동일하게 생성

되게 하는 프로토콜 --> VTP 

나머지 L3스위치는 vtp 모드를 클라이언트로 설정한다.

vtp mode client로 설정 

도메인 네임 설정

Access Control List를 설정하는 실습

1) 192.168.0.0대역과 192.168.1.0대역의 통신을 차단/허용

2) 192.168.1.0대역은 라우터와 스위치로  telnet불가

3) 모든 PC는 Server로 ping 불가

4) 192.168.0.0대역은 server로 웹 접속 불가

access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 23

access-list 101 deny icmp any 192.168.0.0 0.0.0.0

access-list 101 deny tcp 192.168.0.0 0.0.0.255 host 210.1.1.1 eq 80

access-list 101 permit ip any any

5) 210.1.1.2 PC에서 라우터로 telent 불가

6) 192.168.1.0대역은 DHCP 차단

7) 210.1.1.3 PC에서 192.168.0.0 대역으로 ping 불가 

8) 라우터에서 스위치로 telnet 불가 

access-list 101 deny tcp host 210.1.1.2 any eq 23

access-list 101 deny icmp host 210.1.1.3 192.168.0.0 0.0.0.255

access-list 101 deny tcp 10.1.1.0 0.0.0.3 any eq 23

access-list 101 permit ip any any 

int vlan 1

ip access-group 101 in

access-list 102 deny udp host 192.168.1.254 any eq 67 

access-list 102 permit ip any any

ip access-group 102 in

ip access-group 102 out

9) PC 2대에 대역대에서 나가는 IP를 10.1.1.2를 달게 하시오.

 NAT 

 1) 내부 IP를 access-list 로 만든다.

 2) 외부 IP를 NAT pool을 만든다.

 3) ACL과 NAT pool을 매칭 시킨다

 4) 내부에서 들어오는 포트에 NAT inside를 건다

 5) 외부로 나가는 포트에 NAT outside를 건다.

access-list 1 permit 192.168.0.0 0.0.1.255 

ip nat pool abc 10.1.1.2 10.1.1.2 netmask 255.255.255.252

ip nat inside list 1 pool abc

ip nat inside source list 1 pool abc overload 

7월 5일 L2-L3 스위치 구축

NAT

1) IP의 낭비를 줄이기 위해서 

   사용.(여러개의 사설 IP를 하나의 공인 IP로 사용 가능)

2) 보안이 강화됨( 외부에서 내부의 IP를 알 수 가 없다.)

3) IP는라는 것은 유한 0.0.0.0 ~ 255.255.255.255

   ->공인 IP / 사설 IP 

   -> subnetting / NAT (IP가 유한해서)

4) NAT 

   - software NAT

   - hardware NAT

   - 변환이 되어서 나감.

     ->  NAT 성능 : 속도 차

              : NAT 변환이후 속도/Full bandwidth

   - NAT table : 

    (사설 IP/ MAC / 변환 IP / 변환 MAC + port #)

    1:N NAT인 경우에는 이 Port #로 구별을 한다. (TCP/UDP)

   - NAT는 내부에서 외부로 트랙픽이 나가지 않는 이상 세션이

     세션이 생성되지 않아서, 외부에서 내부로 통신이 되지 않는다.    

   - ASA

   - port-forwarding / DMZ

     차후에 실습

   - 설정할 수 있는 장비나 디자인이 다르기때문에, CLI보다는 이론을 

     이해하시는게 더 좋음.

   - NAT/Debug 활용 

   - VPN(ISP - 인터넷 서비스 프로바이더 

     KT, LG, CNS, SK Broadband, CJ ehllovision 지역사업자

     ISP망을 통해서 전용회선처럼 사용)   

Control Plane    - ACL

Data Plane       - 데이터를 보내주는 역할 

Managament Plane - CLI 

1) DHCP는 가능

2) PC2는 router로 DHCP router telnet이 되면 안됨 

3) PC1은 DHCP router로 ping이 되면 안됨.

NAT 설정

망을 구성해서 ACL과 NAT를 활용

WAN/Serial-cable 사용(CCNA 덤프)

<실습2>

1) 모든 Router에 Telnet을 뚫어놓고 , OSPF쪽 라우터에서 EIGRP를 쓰는 Router로

   telnet이 불가능 하도록 ACL을 이용하여 막으시오.

2) 172.16.1.0/24 대역과 192.168.1.0/24 대역은 통신이 되지 않도록 하시요.

ip address 20.1.1.14 255.255.255.252 수정해

router 

default-information originate 

-> default router 를 설정해줘야 한다.

static router 

router2

access-list 123 deny tcp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq 23  

access-list 123 deny tcp 30.1.1.0 0.0.0.3 30.1.1.0 0.0.0.3 eq 23  

access-list 123 deny tcp 30.1.1.0 0.0.0.3 20.1.1.0 0.0.0.255 eq 23 

access-list 123 permit ip any any 

ip access-group 123 in

access-list 102 deny icmp 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq 2

access-list 102 permit ip any any 

ip access-group 102 in

sw tr en dot1q

sw mo tr

<debug 활용 실습>

해당 라우터에 ping을 디버깅 하고 싶다고 가정한다면 debug ip icmp를 입력한다. 그러면 라우터에 ping이 지나갈 때마다

ping에 대한 정보를 볼 수 있다. 장애 처리시 유용하다.

cutom-queue = QOS 관련 디버그 

frame-realy = 잘 안씀

ntp         = network time protocol (시간 동기화)

ppp         = 점 대 점 프로토콜 

<실습>아래와 같이 토폴로지를 구성하고 NAT를 설정해보자.

1. NAT를 올리는 순서

   1) Access-list를 생성(standard)

      : Access-list가 포함할 정보

    ->내부의 IP / 사설 IP

(밑에서 밖으로 나갈 사설 IP들의 

  IP list를 만들어 준다.)

   2) NAT pool을 생성 

       : 외부로 나갈 IP list를 만들어준다.

         (공인 IP 대역)

          명령어 입력시 start ip와 end ip를 지정.

          현 라우터 기준으로 외부와 연결된 IP는 10.1.1.2이므로 

           둘 다 10.1.1.2로 지정.

   3) 해당되는 내부 IP의 Access-list와 해당되는 외부 IP의 NAT pool을 

       매칭 시겨준다. ()

 .

아래 명령어를 치면 nat table에 등록된 정보를 조회 가능. 

*3 01, 00:54:47.5454: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

*3 01, 00:54:48.5454: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

*3 01, 00:54:49.5454: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

  4) 해당되는 Access-list를 걸 인터페이스에 

       ip nat inside라고 입력하고 

       외부로 나가는 공인 IP를 달 인터페이스에

       ip nat outside라고 입력한다

ACL을 활용하여 telnet 막기 

참고 - static default routing , static 재분배

default-information originate 

-> default router 를 설정해줘야 한다.

BGP : 대규모 네트워크에 사용하기 위해 만든  프로토콜의

(국가와 국간에 사용 )

: 우리나라는 ISP업체들이

  BGP AS #를 하나씩 기지고있다.

  SK 1000 번대, KT 9000 번대, LG 7000번대

  BGP AS #가 같은애들은  

  -> internal BGP

  BGP AS #가 다른애들은 

  -> external BGP(국가와 국가간은 AS number가 다르므로 )   

  # BGP 보통 넘어오는 routing table갯수 

    3만개 ~ 5만개

    -> 쌍용정보통신(cisco골파, KT 구로, 혜화)

    * show ip route -> 함부로 치면 안됟다.(50000개가 넘는 프로토콜이다 !!!!!!!)

-> neighbor를 맺는다.

   TCP packet을 쓴다.

   TCP port# 179

-> negithbor를 맺을 때 상대방 IP를 지정을 한다.

-> unicast routing이 올라가 있어야 한다.

    -> Next-hop을 알지 못하면 

       BGP 를 맺지 않는다.

BGP가 ㅏ정상적으로 맺어진것을 확인

show ip bgp neighbor

neighbor상태가 establish

    -> negithbor x.x.x.x remote-as #

       네이버를 맺는다.

    -> network x.x.x.x mask x.x.x.x

       자신이 가지고 있는 네트워크를 

       입력한다. (loopback)

아래 그림은 설정된 루프백으로 neighbor를 맺는 것.

<ACL 실습하기>

ACL(Access-Control List)

: 특정 패킷을 차단/허용 기술

: 굉장히 많이 쓰는 기술

  (네트워크 관리 및 보안)

: standard(#1-99) 

  extended(#100-199)

: 기준을 보는것

  1) standard

     -> 패킷의 구별 기준이 source IP 만 보고 판단

     -> 특정 host만 차단을 할 때

            특정 IP만 차단을 할 때  

  2)extended

    -> 패킷의 구별 기준 

   source IP, dest IP

   protocol

   TCP/UDP port# 도 구별 가능 

   -> 특정 서비스만 차단을 할 때

기술팀        192.168.1.0

총무팀        192.168.2.0

총무팀 서벅가 192.168.2.100

    기술팀 서벅가 192.168.1.100

source 192.168.1.0 dest 192.168.1.100 허용 

source 192.168.2.0 dest 192.168.2.100 차단 

ACL을 설정시 유의할 점

1) 순서대로 해야된다. 가장 중요!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

   source 192.168.1.0 허용 

   source 192.168.1.0 차단

   위의 설정을 하더라도 스탠다드는 무조건 허용한다. 

   그 이유는 source IP가 허용을 먼저 설정하였기 때문에

   차단은 먹히지 않는다.

2) 방화벽

3) access-list 10 permit any

4) access-list의 기본동작은 (default) deny 

5) access-list 1 permit 192.168.1.0 0.0.0.255

   => 192.168.1.0의 대역을 통과를 허락하고 나머지 대역은 전부 차단 

   permit any (마지막에 넣는다.)

   차단할 대역대를 다 입력하고

   마지막에 permit any를 넣는다.

설정한 ACL을 포트에 적용해야 한다. ip access-group 1 out은 해당 라우터에서 전송하는 ip를 차단하겠다는 것이다.

in과 out은 설정하는 라우터가 기준이다.  위그림에서 192.168.1.0/24를 deny 라고 Access control list를 지정하였기 때문에

router기준 192.168.1.0대에 ip를 전송하지 않음. 

아래 그림은 access list 를 보여준다. 

위 그림과는 달리 access-list 1 permit any 를 추가였다.

ACL은 받드시 순서가 중요하다!!!

나름 설명하자면, 192.168.1.0 대에 ip를 거부하고 나머지느 허용한다는 의미이다.

access-list 1 permit any 추가 시키지 않으면 모두 deny 함으로 반드시 추가해야 한다.

아래는 extended ACL을 설정하는 것. standard 와는 달리 source ip/subnet, dest IP/subent까지 입력해야 한다. 

아래는 standard 와 extended의 번호를 나타냄. 

<실습 - 웹서버 막기>

dynamic routing protocol(동적)

- RIP/OSPF/EIGRP L3 스위치

- RIP 

  1) Algorithm : Distance Vector

                 (Distance = hop)

(hop = 지나가는 라우터 갯수)

  2) hop count max -> 15

     (사이에 15개의 라우터까지는 가능)

  3) neighbor를 맺지 않는다.

  4) 30초마다 자신이 가지고 있는 테이블을 광고 한다.

  5) 변화에 신속하게 반응하지 못한다.

  6) 작은 네트워크 망에 적합하다.

  7) 장점: 모든 장비의 호환성

            설정이 쉽다.

EIGRP

1) Cisco가 개발 ( Cisco 전용 프로토콜)

2) AS number를 쓴다. (같은 그룹을 만든다.)

3) neighbor를 맺는다.

4) hello (224.0.0.10) multicast

         (interval 5s)

         (dead inteval 15s)  

   Update

   query

   reply

   Ack

5) 장점 : 변화에 대해서 반응이 빠르다.

          중규모의 네트워크 망 구성에 적합하다.(router 255대 정도)

6) 단점 : Cisco 장비밖에 쓸 수 없다.

OSPF

1) Open Shorttest Path First

2) SPF라는 수학적 알고리즘 -> 네트워크에 접목 시킨것 

3) 최적 경로(best path)를 계산하는 

   알고리즘

   1) SPF

   2) Link-State

5) 224.0.0.5/224.0.0.6의 broadcast를 사용한다. (Hello)

6) neighbor를 맺는다.

7) Area를 사용한다.

   (area0는 백본 area)

7-1) Area마다 DR(반장)/BDR(부반장)

     Drother(학생)을 선출 하여 

LSA(Link-state 정보를 자지고 있는 패킷)

8) 장점 : 호환성 (어떤 네트워크 망에도 가능)

          중규모 네트워크에 적합.

9) 단점 : 리소르를 가장 많이 잡아먹는 

          동적 라우팅 프로토콜 

<L3 스위치 실습>

L3 스위치는 반드시 routing을 하기 위해서는 ip routing이라고 입력한다. 

L3 switch에서 vlan안에서 DHCP relay를 설정하였다. 이 부분은 라우터와 동일

L3 switch에서의 트렁크 설정이다. switchport mode access를 하기 전에 switchport trunk encapsulation

dot1q를 설정하여야 원하는 포트를 trunk포트로 설정이 가능하다.

RIP 프로토콜을 EIGRP프로토콜에서 재분배 설정이다. OSPF와 똑같다. EIGRP를 제외하고는 복잡한 설정이다.

전체 토폴로지

제일 위 EIGRP 10

중간     OSPF 1 

아래    EIGRP 30

으로 구성.

eigrp 재분배 명령어. 원래는 redistribute eigrp 30(지정번호)  subnets이다. 아래 그림은 급하게 하다가

빼먹었다.

OSPF 재분배 설정이 복잡하다. 

위 중앙 라우터에 ospf/eigrp 라우터 모두가 설정이 되어 있고 양 프로토콜에 인접해 있으므로 재분배를 설정한다.

아래 그림에서 밑줄 친 부분이 EIGRP담당 포트이므로 저 포트를 조회 한다.

위 그림에서 int fastEhternet 1/0,1/1이 eigrp포트이므로 둘중에 하나를 조회.

설정을 하기 위해서는 분배하고자 하는 포트의 정보중에 아래 커서 부분을 참고하여 명령어로 넣어줘야 한다.

명령어가 길다. redistribute ospf 1 metric bandwidth dly reliability load MTU 순으로 입력한다.

아래 부분은 ospf가 SPF알고리즘으로 계산해낸 경로 값이다. 위 명령어를 사용하여 link state를 계산하기

때문에 굉장히 복잡하고 지저분한 숫자가 나온다. 위 명령어에서 metric, bandwidth, dly ,reliability, load, MTU들을

정확히 입력안해도 통신하는데 문제가 없을 수도 있다. 그러나 나중에 망이 거대해지고 경로가 많아지면 

꼬여 버릴 수 있으니, 정확히 입력하는것이 중요하다. 만약 아래 숫자가 0으로 나오면 경로 계산이 잘못되도 한참을

잘못 된 것이니 정확히 입력하는 것이 중요.

RIP 재분배 설정. metric 뒤에 숫자는 router에 hop count 갯수.

L3스위치. 업링크는 Giga port로 잡혀있다. 

6월 19일 IP 라우팅 이론 

실기 -> UTP 제작

- UTP케이블과 광케이블(다음주)

■ 슈퍼넷팅

- 네트워크 대역대를 ㅎㅂ쳐서 IP를 

  효율적으로 사용하는것.

  예) 오른쪽에 있는 대역대가 

      192.168.0.0./24 192.168.1.0/24

      이렇게 있는 경우

  브로드캐스트 도메인등을 생각해 

  분제가 없다고 판단될 경우

  192.168.0.0/23 으로 통일시킨다.

  서브넷팅보다 활용을 적게 한다.

  VLSM(Variable Length Subnet Mask, 가변길이 서브넷 마스크)

  ->Classless

  1) mode : Access / Trunk / Hybrid

  2) 상대편이랑 나랑 switchport 모드를 동일하게 해주는 것.

     (기본동작 : Access)

  3) Access : switchprot의 VLAN이 한 개로 지정된 모드 untag

  Trunk:

   Swichport이 VLAN한개이상으로 지정된 모드

   TAG

   UnTag를 처리하는 Native Vlan이 존재한다.

1) RIP 

  - neighbor를 안맺는다.

    (30초마다 자기가 알고있는 길에대해 알려준다.)

  - Algorithm: Distance Vector

    (hop 수 : 라우터 수)

  - 라우터 16대 이상을 넘어가지 않는다.

    (내 앞에 15대까지남 넘어간다)

  - 대규모 네트워크에는 적합하지가 않다.

  - RIP v1은 Classful만 지원

  - RIP v2는 Classless  지원

  - AD값이 120

  -EIGRP

  => neighbor를 맺는다.

  - AS number를 붙인다.

  - Algorithm : Advance Distance Vector

                (거리 + 링크속도)기반은 distance vector이다.

  - hello(multicast 224.0.0.10)

    MAC address => 01:00:5E:00:00:0A

  - update

  - query 

  - reply

  - ack

  - cisco에서 만든 프로토콜

  - 장점 : 변화에 대해 반응이 빠르다.

  - AD값이 90

  - 자신이 변동이 생겼을때만 변동사항을 알린다.

  - 주기적으로 보내는 패킷은 hello packet을 5초마다 보낸다.

    15초동안 받지 못하면 neighbor를 끊어버린다.

최적경로 / 다음 경로까지 계산 

FD값이라고 부른다.

가장 최적인 경로를 successer

그 다음 최적 경로를 Feasible successer.

-  memory leak

   => 메모리 누수. 원래 익스플로러를 실행했다고 가정. 작업관리자 

      상에서 90% 메모리가 80%가 된다. 익스플로러가 off하였을 때

  다시 90%가 되어야 한다. 그러나 계속 반복하다보면 89.9..%가 된다.

  이것을 메모리 누수라고 한다. 어떤 장비에도 memory leak이 존재한다.

- Feasible successer

-    

OSPF(Open shortest path first)

  - SPF라는 알고리즘을 네트워크에

    접목시킨 프로토콜

  - SPF란 가장 최단거리 길만 기억

    나머지는 삭제 시키는것.

  - 최단거리가 끊어지면 다시 최단거리를 계산을 한다.

  - 계산할것이 많아진다.

    (CPU,meory를 많이 사용

-> resource를 많이 사용한다)

  Algorithm: link-state(LSA라는 패킷에 정보를 담아서 이용한다.)

  - AS number / Area를 사용

    -> Area를 두는 이유는 계산할것이 많은 단점을 보완하기 위해서 

- DR /BDR이라는 반장 부반장을 두어서

  LSA패킷을 DR만 중계하도록 하여 LSA라는

  패킷에 대한 트래픽양을 줄인다.

-  Area는 0번이 backbone

   (두 개이상의 사이에는  Area가 존재할때는 무조건 Area 0이 존재해야 한다.

 - 장점 : 호환성

          대규모 네트워크 구성 가능.

  계산이 끝나면 그 뒤에는 경로의 설정/변경이 빠르다.

  Area/DR/BDR같이 단점을 최소화시키는 장치가 되어있다.

area를 분류하는 이유는 

    area0에다가 라우터를 다 놓으면 

앞서 말했듯이 resource를 많이 잡아먹기 때문이다.

그거를 방지하고자 area를 나눠서 조금이라도 resource를 덜 잡아먹기

위해서이다. 

- AD값이 110 

 clear ip ospf process 

=> ospf reset 명령어

라우터의 ip-helper address, 즉 라우터 relay는 반드시 서버의 ip로 설정. 서버의 gateway ip가 아니다.

서버의 ip이다.

ospf는 반드시 loopback을 설정하고 루프백 또한 ospf로 설정한다.

R1(config)#int loopback 0

R1(config)#router ospf 1

R1(config-router)#router-id 1.1.1.1

R1(config-router)#network 10.1.1.0 0.0.0.3 area 0

R1(config-router)#network 1.1.1.1 0.0.0.0 area 0

area가 다르게 설정한다. 제일 왼쪽은 area 1로 설정하면 2번째 라우터의 gi 0/0에 해당하는 네트워크 대역인 

10.1.1.0은 area 1로 설정한다. 오른쪽 라우터는 area 2로 설정. 

다시 한 번 말하지만, area를 분류하는 이유는  area0에다가 라우터를 다 놓으면 

resource를 많이 잡아먹기 때문이다.

그거를 방지하고자 area를 나눠서 조금이라도 resource를 덜 잡아먹기 위해서이다.

<재분배 실습하기>

ABR  : OSPF에서 Area를 두 개 이상 가지고 있는 라우터.

ASBR : 라우팅 프로토콜을 두 개 이상 가지고 있는 라우터.

       (재분배 설정을 해줘야한다.)

default-information 

->OSPF에서 내가 디폴트 설정을 아니까 모르는거 있으면 나한테 모두

  보내라고 광고를 하게하는 명령어.

  default-information originate

  -> 실제로 디폴트 설정이 있는 라우터가 디폴트 설정

     (있으니까 모르는거 나한테 보내.)

tracert IP

=> ip가 거친 흔적을 남기다. 

   패킷이 지나간 라우터의 IP를 출력함.

eigrp 재분배 받는것은 비교적 단순하다.

(config)#router ospf 1    

(config-router)#redistribute eigrp 50 subnets

이렇게만 하면 된다. 

subnets을 사용하지 않으면 classful하기 때문에 classless 하게 하기 위해서는

사용하는 것이 좋다.

그러나 ospf는 굉장히 머리가 아프다.

ospf 프로토콜을 재분배 받기 전에 show int gi 0/0으로 조회를 해보자.

ospf를 설정하기 전에 알아야 할 상황.

 MTU 1500 bytes, BW 1000,000 Kbit, DLY 10 usec,

     reliability 255/255, txload 1/255, rxload 1/255

  한번에 보낼 수 있는 최대 크기.

   -> 1518 

   ->1522바이트까지는 가능. (tag byte = 4)

   ->1526바이트까지는 가능.  (double tag byte =8)

   BW  = bandwidth: 대역폭 

   dly = Delay 지연시간 

   reliability 

   => 신뢰성: 255개의 패킷을 보내면 255개가 응답이 온다.

   txload 1/255

   => 보내는거

   rxload 1/255

   => 받는거 

(config)#router eigrp 50    

(config-router)#redistribute ospf 1 metric 100000 10 255 1 1500

이것을 입력해야 하므로 위의 내용을 알아야한다. 

순서대로 bandwidth, DLY, reliability, load, MTU가 된다. 

ospf만 가지고 있는 라우터가 eigrp를 재분배 받았을 경우 다음과 같이 뜬다.

metric-type이라는 건데 저거는 아래와 같이 변경 가능하다. 아래 그림은 2번으로 되어있으나, 2는 디폴트값이다.

위 그림과 동일. 

metric-type 1이라고 치면 E1으로 변경 가능.

아래는 eigrp 프로토콜을 가진 라우터가 ospf를 재분배 받고 show ip route를 입력한 모습이다.

multicast 225.0.0.10(01:00:5E:0:0:0A)을 사용한다.

01-00-5E(OUI, 멀티캐스트)

맨마지막 IP는 마지막 MAC주소와 일치한다. 

전체 토폴로지

연결되어 있는 모든 네트워크 대역대를 전부 route해야 한다. 필자는 PC와 연결된 192.168.0.0/24 

192.168.1.0/24를 설정하지 않아서 안됬었다 ㅜㅜ

인접 라우터 뿐만 아니라 PC와 연결하는 게이트웨이 또한 설정해야 한다.

(conifg)#int gi 0/2

(conifg-if)#route eigrp 100

(conifg-router)#network 30.1.1.0 0.0.0.3

(conifg-router)#network 40.1.1.0 0.0.0.3

(conifg-router)#network 192.168.0.0 

(conifg-router)#network 192.168.1.0 

Pc와 연결된 디폴트 게이트웨이 IP는 wildcard mask를 설정하지 않아도 된다. 

스위치 계정 설정

간단하게 PC와 스위치를 연결.

password 설정시 아래와 같은 번호가 뜬다.

0은 패스워드를 암호화 하지 않겠다는 것이다. 누구나 조회가 가능한 설정.

7은 패스워드 암호화.

username test, password = test라고 간단히 입력.

아래 그림과 같이 사용자가 설정한 패스워드로 됨. 

-> service password-encrytion (passwd 암호화)을 실행하면 아래 그림과 같이

패스워드가 암호화 되면서 조회됨.

아래 그림은 priviledge모드 패스워드 설정이다. 위 절차에서는 그냥 계정에 대한 ID와 패스워드라면, 

아래 enbable password는 telnet으로 접속시 priviliede 모드 접근을 가능하게 하는 패스워드이다.

그림은 생략되었으나, telnet접속시, 저 패스워드를 사용하면 priviledge모드 사용이 가능하다.

똑가이 telnet에서도 적용된 모습을 조회 가능하다. 

telnet으로 접속시 username을 입력하지 않고 그냥 접속한다. 그러나 이를 바뀌기 위해서는 아래와같이 

설정한다. 

line vty 0 4

login local을 설정한다. 

아래 show ruunning 을로 조회 하면 다음과 같이 된다. 

그러면 telnet 접속시 사용자 이름까지 입력해야 한다. 

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

OSPF(Open Shottetr Path First)

-> SPF라는 알고리즘을 접목시킴.

SPF

-> 최단 경로를 우선으로 생각하는 프로토콜

   최단 경로 말고는 경로는 다지운다.

   - 알고리즘 : Link-state

   (링크 상태를 보아서 가장 빠른 링크를 

    최적 경로로 정한다.)

- OSPF v2

- OSPF v3(ipv6 지원 가능)

- LSA라는 패킷을 서로 보낸다.(링크상태를 광고해주는 패킷)

  LSA 참고해서 최단 경로를 계산해야 하기 때문에 자원(resource)을 가장 많이 잡아 먹는다

  router가 255개까지 수용.

- area라는 것을 두어 0은 백본

  나머지를 효율적으로 사용 가능.

- 책임을지고 LSA를 중계하는 router

   ->DR 

- DR이 죽었을때 DR이 되는 router -> BDR   

- DROHTER

  -> 서로 LSA를 주고 받지 않는다.

  루프백 -> 라우터의 ID로 둔다.

- (config)#router ospf 1

- (config-router)#network 1.1.1.1 wildcard mask area 0

- (config)int loppback0

- (config-if) ip address 1.1.1.1 255.255.255.255

CPLD(하드웨어적 프로그램밍이 되어있다. CPU들 대비해서 )

- CPU와 ping을 송수신한다. 하나라도 잃으면 스위치 장비를 reset한다.

  (그래서 루프백이 필요하다!!!)

ASIC - 데이터를 전송하는 일.(CPU가 힘드니깐 분담)

장비가 살아있는지 아닌지 확인하는 용도.

시스코는 0~9번 가능. 0번이 루프백을 많이 사용.

eigrp도 가능하다. 

CPLD/ASIC

-> 특정 동작에 대해서 CPU를 도와 주기 위해서 하드웨어적으로 

    프로그램이 되어있는 칩.

(auto reset 에 많이 사용)

ASIC -> (특정 목적을 위해서 만든 칩)

- L3 스위치에서 사용함.

- 라우터와 L3 스위치의 차이점 

   라우터는 소프트웨어적으로 트래픽을 처리하고 L3 스위치는 하드웨어적으로 

   트래픽을 처리한다. 

   포트에다가 ASIC를 달아서 IP를 관리하고 처리. 

   라우터는 CPU가 모든걸 직접 IP 관리.

neighbor란 무엇인가?

-> 인접한 장비가 연결되어있는것. 

-> 서로 연락을 주고 받는 이웃

-> 서로 가지고있는 라우팅테이블을 이야기하여, 

   라우팅 테이블을 최신화 시킨다.   

30초마다 떠d옴

듣는사람을 확인할 수 없음.

-> 동적라우팅에서 연락이란?

-> 내가 가지고 있는 네트워크대역에 대해서 이야기 하는것.

OSPF  간단한 실습 설정이다.

이제 일일이 그림을 캡쳐하는것은  무의미해서 명령어로 떼웠다.

router>en

router#config t

(config)#int loopback 0

(config-if)#ip address 1.1.1.1 255.255.255.255

(config-if)#exit

(config)#int gi 0/2

(config-if)#ip address 20.1.1.1 255.255.255.252

(config-if)#exit

(config)#int gi 0/1

(config-if)#ip address 10.1.1.1 255.255.255.252

(config-if)#exit

(config)#int gi 0/0

(config-if)#ip address 210.1.1.254 255.255.255.0

(config-if)#exit

(config)#router ospf 1

(config-router)#router-id 1.1.1.1 

(config-router)#network 10.1.1.0 0.0.0.3 area 0

(config-router)#network 20.1.1.1 0.0.0.3 area 0 

(config-router)#network 1.1.1.1  0.0.0.0 area 0 

(config-router)#network 210.1.1.0  0.0.0.255 area 0 

(config-router)#end

하나의 라우터 OSPF설정이다. 나머지도 자기가 가지고 있는 대역대만 설정함으로 방법과 명령어는 동일하다.

여기서 중요한것은 다음과 같다.

network 뒤에 area를 넣는것

loopback을 만들어서 넣는것

router-id를 입력해두는것만 주의하면 된다.

- BGP를 올릴때도 loopback주소를 

  사용하기 때문에 loopback을 만들어 주는 것이 중요하다.

show ip ospf neighbor 

ip 라우팅 이론

-Static

-Dynamic

라우팅을 사용하는 이유

-> 길을 찾아주기 위해서  

(패킷의 목적지로 정확하게 전달 하게 하기 위해서)

-> 라우팅은 IP를 보고 길을 찾아준다.

-> 스위치랑 다르게 다른 네트워크 대역대(장거리) 전송이다.

-> 스위치는 MAC L3 장비 IP

-> L4 스위치 -> Load balance

-> Static 엔지니어(사용자)가 직접 길은 설정해 주는 것.

   ip route 네트워크 대역 이름 subnetmask next-hop

route print => route 경로를 출려해준다.

PC는 동적 라우팅이 안됨.

Request 시에 ARP 요청

-> 할당 받을 IP를 사용하고 있는지 확인하는것.

RIP

동적 라우터의 시초

->Distance Vector  알고리즘으로 최상의 길을 찾는다.

(Best Path)

-> hop count 사용.

-> 16 hop 이상 사용 불가

-> V1은 Classful (서브넷 마스크 정보를 넘겨주지 않음)

   V2는 Classless(서브넷마스크 정보를 넘김)

-> neighbor를 맺지 않음

show ip route

 : routing table을 확인하는 명령어

 : routing table을 올라오지 않으면 해당 대역대랑 통신이 안된다.

 -> 해결책 : 통신하고 싶은 대역대를 라우팅 테이블에 올릴 방법을

             테이블에 올려야 된다. 

-> show ip interface brief

 : interface에 입력한 IP 확인하는

-> show interface status

 :  interface 상태 확인.(cisco packet tracer는 지원 안함 ㅜㅜ)

제일 오른쪽 router1에 RIP관한 설정이다. show ip route명령어로 확인 가능하면, R로 되어있는것이다.

절차는 다음과 같다.

1. router rip를 입력

연결되어 있는 network 대역대를 설정하면 된다.

분명 router rip는 1.1.1.0대역을 설정했지만 아래 보기와 같이 1.0.0.0으로 설정되어있음.

이것은 RIP(v1)에 classful이라는 특성 때문이다. 1.1.1.0은  IP class A에 해당한다.

따라서, 서브넷 마스크가 8비트만 사용함으로 아래에는 1.0.0.0으로 표시된다.

라우터를 한 개 더 연갤 했더니 1.1.1.0의 대역이 사라짐. 즉, RIP hop count가 최대 16개이므로

사라지게 된다. 

더이상 RIP는 설정하지 못하므로 디폴트 라우터 설정. 그러나 

라우터 테이블에 등록이 안되어있으면 가지 않는다.

17번대 뿐만 아니라 1번대 라우팅 테이블도 확인해야 된다.

1번 라우터에는 17번대가 빠져있다. 따라서 1번대 라우터에도 디폴트 라우터를 설정해야 된다. 

1번 라우터에 디폴트 라우터 설정.

ping이 가는것을 확인된다.

HELLO

■ Establsish neighbor relationships

■ Ack 번호를 0을 가지고 mulicast(224.0.0.10)

UPDATE

■ Send routing updates

■ New neighbor 발견 시 toplology table 동기화 : unicast

■ Topology Change 발견시 : mulicast

QUERY

■ Ask neighbor about routing informaiton : always mulicast

■ 질의 응답.

REPLY

■ Response to query about route informaiton: unicast

■ query에 대한 응답. 

ACK

■ Acknowledgemenbt of a reliable packet (update, query, reply)

■ Nonzero ack 번호를 가진 unicast

< Neighbor Table >

EIGRP router는 인접 router(직접 연결된 Neighbor router)에 대한 테이블을 보유하여

인접 router간의 양방향 통신을 확립한다. 

지원하는 프로토콜별로 각각의 Neighbor Table을 유지한다.

show int neighbor

< Topology Table >

-> EIGRP router는 정보교환에 의하여 알게 된 모든 네트워크에 대한 

   Topology Table을 유지한다. 지원하는 프로토콜 별로 각각의 Topology

   Table을 유지한다.

<Routing Table> 

-> EIGRP router는 Topology Table을 기초로 하여 Destination에 

   대한 최적의 경로를 routing table에 보유한다. 지원하는 프로

   토콜 별로 각각의 Routing table을 유지한다.

<Successor>

-> Destination에대한 Primary Route이다. routing Table에 유지된다.

  router간에 최적의 경로를 뜻함.

<Feasible Table>

-> Destination에대한 Backup router이다. Feasible Scuccesssor는 Scuccesssor와 동시에 

  선택되는데 Topology Table에 보유된다. 

  Destination에 대해서 여러 개의 Feasible Scuccesssor를 보유할 수 있다.

router eigrp autonomous-system(번호)

IP EIGRP Neighbor를 표시

-> show ip eigrp neighbor 

IP EIGRP topology를 표시 

-> show ip eigrp topology

routing table에 eigrp route정보를 표시

-> show ip route eigrp

현재 router에 구성된 Active Routing Protocol을 표시

-> show ip protocols

IP EIGRP 송수신 Packet에 수를 표시

-> show ip eigrp traffice

송수신되는  EIGRP Packet을 표시  

-> debug eigrp packet

EIGRP Advertisemnet  EIGRP rotuing Tblae

-> debug ip eigrp route 

EIGRP  rotuing Activity 의 간략한 정보 표시

-> debug ip eigrp summary

Route calculation을 포함한 다양한 EIGRP A  

-> 

리눅스 명령어

tcpdump 

약간의 실습

IP EIGRP Neighbor를 표시

-> show ip eigrp neighbor 

hello가 5초마다 나간다.

holdtime 그렇기 때문에 15초를 넘지않는다.

3번 나가서 응답없으면 neighbor를 맺지 않는다.

여기서는 neighbor가 맺음으로 15초를 넘지 않는다.

uptime은 neighbor를 맺은 시간대.

wild card mask

- 서브넷 마스크에 반대. 255.255.255.255에서 다빼버리면 된다.

255.255.255.252 -> 0.0.0.3

-> 사용이유(특정 IP에 대해서 필터링이 가능하다. 효과적으로 사용이 가능.)

중간에 1이 가능하다. 255.255.254.xxxxx도 

EIGRP, OSPF, ACL(Access Control List)

반대편 라우터도 설정하면 UP이 된다.