네트워크/L2_L3 Packet_tracker 실습

7월 3일 bgp, ACL(access control list) 실습

송시혁 2018. 7. 3. 14:37

BGP : 대규모 네트워크에 사용하기 위해 만든  프로토콜의

(국가와 국간에 사용 )

: 우리나라는 ISP업체들이

  BGP AS #를 하나씩 기지고있다.

  SK 1000 번대, KT 9000 번대, LG 7000번대


  BGP AS #가 같은애들은  

  -> internal BGP

  BGP AS #가 다른애들은 

  -> external BGP(국가와 국가간은 AS number가 다르므로 )   

  

  # BGP 보통 넘어오는 routing table갯수 

    3만개 ~ 5만개

    -> 쌍용정보통신(cisco골파, KT 구로, 혜화)

    * show ip route -> 함부로 치면 안됟다.(50000개가 넘는 프로토콜이다 !!!!!!!)

-> neighbor를 맺는다.

   TCP packet을 쓴다.

   TCP port# 179

-> negithbor를 맺을 때 상대방 IP를 지정을 한다.

-> unicast routing이 올라가 있어야 한다.

    -> Next-hop을 알지 못하면 

       BGP 를 맺지 않는다.

BGP가 ㅏ정상적으로 맺어진것을 확인

 

show ip bgp neighbor

neighbor상태가 establish

 

    -> negithbor x.x.x.x remote-as #

       네이버를 맺는다.

    -> network x.x.x.x mask x.x.x.x

       자신이 가지고 있는 네트워크를 

       입력한다. (loopback)


아래 그림은 설정된 루프백으로 neighbor를 맺는 것.





<ACL 실습하기>


ACL(Access-Control List)

: 특정 패킷을 차단/허용 기술

: 굉장히 많이 쓰는 기술

  (네트워크 관리 및 보안)

: standard(#1-99) 

  extended(#100-199)

: 기준을 보는것

  1) standard

     -> 패킷의 구별 기준이 source IP 만 보고 판단

     -> 특정 host만 차단을 할 때

            특정 IP만 차단을 할 때  

  2)extended

    -> 패킷의 구별 기준 

   source IP, dest IP

   protocol

   TCP/UDP port# 도 구별 가능 

   -> 특정 서비스만 차단을 할 때


기술팀        192.168.1.0

총무팀        192.168.2.0

총무팀 서벅가 192.168.2.100

    기술팀 서벅가 192.168.1.100

source 192.168.1.0 dest 192.168.1.100 허용 

source 192.168.2.0 dest 192.168.2.100 차단 


ACL을 설정시 유의할 점

1) 순서대로 해야된다. 가장 중요!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

   source 192.168.1.0 허용 

   source 192.168.1.0 차단

   위의 설정을 하더라도 스탠다드는 무조건 허용한다. 

   그 이유는 source IP가 허용을 먼저 설정하였기 때문에

   차단은 먹히지 않는다.


2) 방화벽

3) access-list 10 permit any

4) access-list의 기본동작은 (default) deny 

5) access-list 1 permit 192.168.1.0 0.0.0.255

   => 192.168.1.0의 대역을 통과를 허락하고 나머지 대역은 전부 차단 

   permit any (마지막에 넣는다.)

   

   차단할 대역대를 다 입력하고

   마지막에 permit any를 넣는다.


standard ACL 설정. 아래 그림들은 그냥 명령어만 보여준다. 동작은 포스팅 안함


설정한 ACL을 포트에 적용해야 한다. ip access-group 1 out은 해당 라우터에서 전송하는 ip를 차단하겠다는 것이다.

in과 out은 설정하는 라우터가 기준이다.  위그림에서 192.168.1.0/24를 deny 라고 Access control list를 지정하였기 때문에

router기준 192.168.1.0대에 ip를 전송하지 않음. 



아래 그림은 access list 를 보여준다. 

위 그림과는 달리 access-list 1 permit any 를 추가였다.

ACL은 받드시 순서가 중요하다!!!


나름 설명하자면, 192.168.1.0 대에 ip를 거부하고 나머지느 허용한다는 의미이다.

access-list 1 permit any 추가 시키지 않으면 모두 deny 함으로 반드시 추가해야 한다.



아래는 extended ACL을 설정하는 것. standard 와는 달리 source ip/subnet, dest IP/subent까지 입력해야 한다. 

아래는 standard 와 extended의 번호를 나타냄. 


<실습 - 웹서버 막기>






저작자표시 (새창열림)