5월 31일 vpn, dhcp 실습

설정된 IP를 지우는 명령어. no ip address [ip주소] [서브넷]

vtp server 생성. 

확장성이 가장 뛰어난 스위치를 우선순위. ex)2층에는 혼자 있으면 빈 칸이 많다.

그러나 비슷하다면 중앙 스위치.

-> 반드시 trunk로 연결이 되어야 함. 

이유 = access 모드는 untag패킷이 오기 때문에 상대방의 vlan을 신경쓸 필요가 없음. 지원안함.

VTP 설정. 먼저 도메인 이름을 설정.

마찬가지로 vtp password [패스워드 입력]하면 도메인에 password가 설정된다.

패스워드 설정이유는 도메인 설정을 보호하기 위해서이다. 다른 스위치에서 도메인 설정을 원하지도 

않는데 설정이 된다. 그렇게 때문에 password를 설정한다.

서버 한 대를 더 붙여서 다른 도메인을 붙이면, 망을 망칠 수 있다. 

show vtp status = vtp 상태를 확인하는 명령어.

mode server로 되어있어 바꿀 필요가 없다.

vtp mode [server/client]으로 모드도 설정 가능하다

이 vtp가 설정이 되면, server로 설정된 스위치에 vlan을 설정하면 client 스위치에도 똑같이 설정이 된다. 이것이 VTP를 사용하는 이유이다.

transparent => 전달 모드 

위 그림에서 서버와 클라이언트가 2개가 있다. 클라이언트 1은 자동으로 설정이 된다. 

그러나 클라이언트2는 설정을 원하지만 중간에 아무것도 설정안되어있으며, 설정할 수 없다. 

따라서 중간에 있는 얘는 trasnparent 모드로 동작시켜서 클라이언트 2에 전달하여

서버가 설정한 vtp모드를 받게 된다. 이때, 중간에 있는 얘를 transparent 모드이다.

다른 용어로 

QinQ == double Q

DHCP 간단한 이론

DHCP 

-> Dynamic host configuration Protocol

-> IP 자동할당

-> IP 할당 실패시 

   ipconfig 

   169.

DHCP 기본 동작 방식 -> dora = (Discovery, Offer, Requeset, Ack)

-> Discovery = ip를 요청하는 것. 브로드 캐스트(UDP 68)

-> Offer      = 요청한 IP를 줄수있다고 말하는 것, 테이블에 등록하지는 않음.

               (브로드캐스트/유니캐스트)

1. IP를 할당 받기 전이다. 그래서 flooding

2. 같은 lan에 다른 서버에게 보냈으니 보내지 않음.

   

   

-> Request  = 수신한 IP를 써도 된다고 요청하는 것. 서버에서는 클라이언트가

               IP를 수신한것을 확인하고 테이블에 등록.(UDP 68)

       

-> Ack      = 서버가 클라이언트가 사용해도 된다고 허가, 확인.

UDP 서버는 67번을 사용. 클라이언트는 68번.

dora마다 패킷이 다르기 때문에 UDP를 사용.

클라이언트가 보내는 패킷

 = source udp port 68

서버가 보내는 패킷

 = source udp prot 67

Destination MAC address

-> FF:FF:FF:FF:FF (브로드캐스트)

kT DNS = 168.126.63.1

LG DNS = 8.8.8.8

SK DNS = 211.124.0.91(확인 필요)

1. router에서 dhcp pool   설정.

2. 서버에서 DHCP server   설정.

3. 공유기에서 DHCP server 설정.

4. 방화벽에서 DHCP server 설정.   

서버  설정. 

DHCP로 IP 자동 할당된 모습.

DHCP relay

서버가 라우터 뒤에 있다면 기본적으로 할당을 받을 수 없다. 그러나 그것을 가능하게 하는게

DHCP이다. 

즉, Server가 같은 네트워크 대역이 아닌 다른 네트워크 대역에 위치하고 있을때

그 server에서 DHCP로 IP를 할당받기 위해 사용하는 기술.

: DHCP packet은 Broadcast라서  L3장비(라우터)의 다른인터페이스로 넘어가지 못한다.

 

cisco 명령어 : ip helper-address [server IP]

DHCP 포맷의 UDP 패킷만 넘겨준다.

(Discovery, request)

-> relay 설정을 한 라우터는 discovery 패킷을 유니캐스트로 바꾸어 전송한다. 

유니캐스트의 목적지 IP

(ip helper-address에 넣어준 서버 IP)

유니캐스트의 목적지 MAC(ip helper-address에 넣어준 서버 mac 혹은, next-hop mac)

유니캐스트의 source ip

(ip helper-address를 설정한 - dhcp relay를 설정한 인터페이스의 IP(라우터))

유니캐스트의 source MAC

(ip helper-address를 설정한 - dhcp relay를 설정한 인터페이스의 IP(라우터))

저체 토폴로지. PC1와  PC2가 DHCP로 할당해보자. 라우터 뒤에 서버가 위치. 현재 아래에 서버는 dhcp가  off상태임.

서버2에는 다른대역대로 ip설정.

DHCP설정이다. service탭에서 아래 2개의 그림과 같이 설정.

유의할점은 subnet이 24비트라서 호스트 수가 252(GW포함)를 넘겨서는 안된다. 

vlan 10에 관한 대역 IP 설정.

vlan 20에 관한 대역 IP 설정.

라우터설정이다. 서버2에 대역대로 IP를 설정. 여기서는 192.168.3.254로 설정. 

위에서 설명했듯이 원래는 라우터가 브로드캐스트를 막아서 DHCP를 할당 받을 수 없다. 

그러나 그것이 가능하게 하는 것이 위와 같은 relay기술이다.

vlan에 관한 IP, 서버3dp 관한 IP 모두 다음과 같이 설정한다. 아래 그림은 vlan 10대역대에 관한 IP설정이다.

(다른 IP 설정은 생략함)

그러면 라우터는 유티캐스트로 서버2에게 해당 내용을 전달한다. 이 때, 192.168.1.254에 대한 MAC 주소를 전달.

자동할당 성공한 모습

#DHCP snooping : 훔쳐보다

sfooping : 속이다

dhcp snooping(스누핑)

#DHCP snooping을 하는 설정하는 이유.

-> 엔지니어가 DHCP의 과정을 보고 에러를 보다 효율적으로 처리하기 위해서임.

위에서 언급하였던 discovery, offer ,request, ack 과정이 각각의 스위치에 내장된 CPU에 기록이

남기 때문에 어디서 에러가 났거나 혹은 정상적으로 DHCP 동작이 잘 되었는지 확인 가능하다. 

dhcp snooping을 치고 반드시 엔터를 한번 친다.

그리고 dhcp snooping 해당 vlan 번호를 입력한다. 

show ip dhcp snooping binding 조회하는 것.

cisco는 ip를 받아와야 된다. 그래서 아래 그림에는 아무것도 안 보인다. 

아래 그림은 일단 무시.