Hierarchical 3 Layer Model - 시행착오를통해안정성과효율성이검증된네트워크구조 - 네트워크디자인과정에서토폴로지, 용량, 장비를쉽게산정및선정할수있음 장점 - 단순하고간단한구조 - 범위가큰네트워크도만들수있고확장이쉬움 - 관리가쉬움 - 네트워크디자인이쉬움

Transcription

1

2 Hierarchical 3 Layer Model - 시행착오를통해안정성과효율성이검증된네트워크구조 - 네트워크디자인과정에서토폴로지, 용량, 장비를쉽게산정및선정할수있음 장점 - 단순하고간단한구조 - 범위가큰네트워크도만들수있고확장이쉬움 - 관리가쉬움 - 네트워크디자인이쉬움 Building Network - LAN 을구성하는장비중에 Router 가포함됨 Campus Network - LAN 을구성하는모든장비가 Switch Core Distribution Access 창의성 < 안정성

3 Access Layer - Endpoint System 이네트워크에연결되는계층 - 주장비 L2 Switch - UTP 의단일연결거리제한때문에보통 Access 장비는한층마다배치함 Distribution Layer - Access 계층의장비가연결되는계층 - 주장비 Router, L3 Switch - 각건물마다배치하며건물내전산실에위치함 Core Layer - Distribution 계층의장비가연결되는계층 - 한조직의중심이되는네트워크 트래픽집중화 - 주장비 고속 Switch - 다수의건물로이뤄진네트워크에서사용 건물이 1~2 개인경우없을수도있음 Core Distribution Access

4 INTERNET WAN( 전용선 ) 전산센터

5 [ 1 단계 ] 진단 / 분석 (Analysis) - 네트워크설계에대한기준을분석하는단계 - 고객의요구사항분석, 기존네트워크에대한기술적분석 ( 품질향상목표설립 ) 최종품질도출 - Output 품질보고서, 구축계획서 고객의요구사항분석 고객이제시하는 RFP(Request For Proposal) 을통해구축범위, 담당조직, 성능기준, 솔루션등을조사, 우수구축사례조사 고객의요구사항을실현가능한수준에서개선, 발전 1 차품질목표작성 고객의요구를분석해서문서화하여정리함 비기술적 납기, 비용, 회사의정책 기술적 응답시간, 오류발생률, 보안 기술적분석 네트워크의오동작이나문제점을발견하고고객에게다양한개선점및시사점도출 최종품질목표작성 프로젝트이후진단의척도가됨 품질목표 비기술적 기술적 투자조정, 구축일정 예산범위, 예산범위안에서산정할수있는최대장비, 대역폭, 성능, 적용솔루션, 프로토콜의단점, 유지 / 보수, 보안, 가용성 제약사항 구축계획확정 프로젝트진행에방해가되는요인제약사항에대해고객을제대로설득해야함 고객과의갈등을유발시키는프로젝트리스크 프로젝트의목적, 범위, 전략, 조직및역할, 일정, 품질목표, 테스트방안등이포함됨

6 [ 2 단계 ] 디자인 (Design) - 토폴로지의간략한그림도출 - 대역폭에대한용량산정, 장비, 솔루션에대한선정 주요고려목표 작업 속도, 가용성, 보안, 관리용이성, 투자효율성 토폴로지구조결정하드웨어 ( 장비 ) 결정대역폭결정적용할솔루션및프로토콜결정 IP 디자인 [ 3 단계 ] 설치 / 구축 (Implementation) - 디자인의결과와일정대로설치및구축을진행 - 구축후고객의요구사항및품질조건을만족하는지검증 [ 4 단계 ] 운용 (Operation) - 품질기준이유지되는지관리함

7

8 Switch 선택기준 - 연결매체 (cable) 의속도 - IOS 의기능 - Port 밀도 ( 확장성 ) Catalyst 2940 Series Catalyst 2950 Series Catalyst 2960 Series Catalyst 3550 Series Catalyst 3560/3750 Series Nexus 7000 Series Catalyst 6500 Series Catalyst 4500 Series Catalyst 2940 Series Catalyst Catalyst Catalyst 2960 Series 3560 Series Catalyst 4500 Series Nexus 6500 Series 7000 Series

9 Router 선택기준 - Routing 특성 - 확장의필요성 - Port 밀도 - 기능 - 사용자 Interface - 용량및성능 Cisco 800/850 Series Cisco 1700/1800 Series Cisco 2600 Series Cisco 10000/12000 GSR Series Cisco 2800 Series Cisco 3800 Series Cisco 7500/7600Series Cisco 7200/7300 Series Cisco 800/850 Series Cisco 1700/1800 Series Cisco 2600 Series Cisco 2800 Series Cisco 7500/7600Series Cisco 3800 Series Cisco 7200/7300 Series Cisco 10000/12000 GSR Series

10 Ethernet Port Console Port Serial Port Fast Ethernet Port Auxiliary Port Management Port 통신 interface Console port Auxiliary port Ethernet Interface Serial Interface PC를 console cable로직접연결 직접접근관리모뎀을통해연결 직접접근관리 LAN(UTP cable) 연결을위해사용되는 Interface WAN(Serial cable) 연결을위해사용되는 Interface

11 Fixed 형모델 Module 형모델 기본인터페이스만제공되고더이상확장할수없는장비 Slot이없는장비기본인터페이스와추가로인터페이스를확장할수있는 slot이제공되는장비 Module 추가인터페이스를확장할수있는장비 Slot Module을장착시키는빈공간

12 NM - 4 E Module Size - Slot 의크기에맞춰서선택해야함 - NM(Network Module) 크기가큰 Module - WIC(Wan Interface Card) 크기가작은 Module( 일반적으로 Serial Interface Module) 2 확장할수있는 Interface 개수 NM-1E NM-4E 3 Interface 의종류 - E Ethernet(10Mbps) Interface - FE Fast Ethernet(100Mbps) Interface - GE Gigabit Ethernet(1000Mbps=1Gbps) Interface - T Serial Interface WIC-2T NM-4T

13 FastEthernet 순서 : 0 번부터오른쪽 왼쪽, 아래 위 1 Interface 종류 - 연결할수있는네트워크종류 해당 interface 의 Layer 2 에서지원되는 Protocol - Ethernet, FastEthernet, GigabitEthernet, Serial 2 Slot 번호 - interface 가장착된 Slot 의번호 ( 위치 ) Slot 이없으면생략됨 3 Module 번호 - Module 내부에추가 slot 이제공되는경우내부 slot 의번호 ( 위치 ) 추가 Slot 이없으면생략됨 4 Interface 번호 - 해당 Module 에서의 interface 번호

14 cisco IOS - cisco 사에서개발한 Router, Switch 의운영체제 Software 기능 - 장비가제공하는다양한네트워킹기능을제공함 - Routing, Switching, Protocol, Qos, Security, Network Service - 장비가장착되어있는하드웨어를제어함 - CPU, Interface(NIC), ROM, RAM, NVRAM, Flash ROM RAM NVRAM Flash 읽기전용의저장공간부팅에필요한 Bootstrap 정보가저장되어있음 시스템에의해관리되는휘발성메모리 Running-config(Active Config) 내용이임시로저장되는공간 현재동작에관련된명령들이실시간기록됨 사용자에의해관리되는비휘발성메모리장비종료이후에도저장해야할설정내용이파일형태 (Startup-config) 로저장되는공간 HDD 역할의메모리 IOS 와같은큰용량의파일이저장되는공간

15 Running-config - 관리자모드 (Privileged Mode) 에서확인 - RAM 에저장된 Active Config - 장비에현재적용되고있는명령 - show running-config 로확인 Startup-config - 관리자모드 (Privileged Mode) 에서확인 - NVRAM 에저장된내용 - 장비의초기부팅단계에서읽어와서적용하는설정내용 - show startup-config 로확인 Router#show running-config Building configuration... Current configuration : 1117 bytes! version 12.3 service timestamps debug datetime msec... Router#show startup-config Using 1027 out of bytes! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption...

16 설정내용저장 - 실시간명령은 Running-config 에저장됨 - 현재적용되는명령을남겨놓으려면 startup-config 에저장해야함 - 부팅마지막단계에서 startup-config 의명령을불러와서재적용함 - copy running-config startup-config 또는 write memory 명령으로수행 Router#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] Router#write memory Building configuration... [OK]

17 설정초기화 - 현재장비의설정의초기상태로되돌림 공장초기화 - startup config 의내용삭제 재부팅 - 부팅단계에서적용할명령이없으므로초기상태로부팅됨 Router# erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram Router# reload Proceed with reload? [confirm] System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. Cisco 2620 (MPC860) processor (revision 0x200) with K/8192K bytes of memory Self decompressing the image : ##########

18 IOS 이름확인 Router#show flash System flash directory: File Length Name/status c2500-js-l_120-3.bin [ bytes used, available, total] 16384K bytes of processor board System flash (Read ONLY) C js - l bin C2500 장비의제조사및모델명제조사 cisco 의 2500 장비 2 js 기능코드 (Feature Set) j( 기업용 ), s( 확장기능 ) 3 l 파일실행위치및압축유무 l(relocatable) 파일실행위치를변경할수있음 버전및릴리즈 12(major).1(minor)-3(release) 5 bin 실행형식 bin(binary executable file)

19 Router IOS 의기본동작 - 사용자가직접초기구성을지정해야지사용가능함 Switch IOS 의기본동작 - 운영체제에서초기구성설정정보를제공하므로전원만제공되면사용가능함 장비관리를위한접근방식 - 초기관리는반드시직접접근방식을사용해야함 - 직접접근방식 - 장비와 PC 를직접케이블로연결하여접근하는방식 - Console port, Auxiliary Port - 간접접근방식 - 서비스를이용하여네트워크를통해접근하는방식 - Telnet, SSH, TFTP, HTTP, 전용의관리프로그램

20 POST 실행 ROM POST Preform POST Bootstrap Loader 실행 ROM Bootstrap Load bootstrap System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory

21 IOS 저장위치찾기및읽어오기 Flash TFTP Server IOS OS 를찾아서메모리에적재 System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory Self decompressing the image : ########################################################################## [OK]

22 초기설정파일찾기 실행또는 Setup Mode NVRAM TFTP Server 초기설정 Console 초기설정파일위치찾기또는 Setup mode 제공 Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec cisco Systems, Inc. 170 West Tasman Drive San Jose, California Copyright (c) by cisco Systems, Inc. Compiled Wed 27-Apr-04 19:01 by miwang Cisco 2621 (MPC860) processor (revision 0x200) with K/8192K bytes of memory. Processor board ID JAD05190MTZ ( ) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version FastEthernet/IEEE interface(s) 32K bytes of non-volatile configuration memory K bytes of ATA CompactFlash (Read/Write) --- System Configuration Dialog --- 하드웨어정보 Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5) Technical Support: IOS Versoin Continue with configuration dialog? [yes/no]: Press RETURN to get started! Router> Setup Mode User Mode

23 IOS CLI - IOS 에서제공되는기본사용자인터페이스 - 명령어를직접입력하는방식 - 장비종류및 IOS 기능에따라제공되는명령어가달라짐 - 장비에서제공받을기능에따라다양한 Mode 를통해명령어를입력함 IOS CLI 기본기능 - 명령어목록제공 - 지정된모드또는명령어조합마다사용할수있는목록만표시 - 에러메시지제공 - 장비에서발생한이벤트를표시하여문제를해결할수있도록도와줌 - History - 이전에사용한명령을기억하여재사용할수있음 - 단축키 Ctrl + A Ctrl + E Ctrl + U 커서를제일앞으로이동 커서를제일뒤로이동 한줄모두삭제

24 IOS CLI Mode - 특정기능또는동작을제어할수있는모드를따로제공함 - 지정된기능설정은지정된 Mode 에서만할수있음 - 현재의 Mode 를 Prompt 로확인함 User mode Privileged mode Global Configuration Mode Regional Setting Mode Router>enable Router#configure terminal Router(config)#interface serial 0 Router(config-if)# end or ctrl+z Router(config)#router rip Router(config-router)# Router(config)# exit Router(config)#line console 0 Router(config-line)#

25 User Mode - 장비의초기모드 - 기본적인정보확인가능 - 관리를위해서권한을가지고있는계정으로로그인해야함 - 초기설정전에는그냥로그인함 Privileged Mode - 장비의관리모드 - 시스템의기본설정및모든정보의관리를위한명령수행모드 - 기능설정은불가능함 - 권한이있어야함 Router> Router> enable Enter Password : ****** Router# Router# disable Router> Router> logout User Mode Privileged Mode

26 Global Configuration Mode - 장비의기능설정모드 - 장비전체에적용되는설정 Regional Setting Mode - 장비의부분적인기능설정모드 - interface, line, router, acl 등특정기능에대한명령이적용되는모드 Router# Router# configure terminal Router(config)# Router(config)# interface fastethernet 0/0 Router(config-if)# Router(config-if)# exit Router(config)# line console 0 Router(config-line)# Router(config-line)# exit Router(config)# Router(config-line)# end Router# Global Configuration Mode Interface Mode Iine Mode

27 Backup - 장비의현재설정내용및중요한파일 (IOS) 을외부저장소에보관 - 관리자모드 (Privileged Mode) 에서설정 - copy [ 원본 ] [ 대상 ] 명령으로수행 Router#copy flash(running-config or startup-config) tftp Source filename []? c2500-js-l_120-3.bin Address or name of remote host []? Destination filename [c2500-js-l_120-3.bin]?!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! <output omitted> bytes copied in secs (14223 bytes/sec) Router#

28 Restore or Upgrade - 외부저장소에보관된설정내용및중요파일을복구 - 관리자모드 (Privileged Mode) 에서설정 - copy [ 대상 ] [ 원본 ] 명령으로수행 - 원본이 running-config(ram) 이면 Merge 동작이일어남 Router#copy tftp flash(running-config or startup-config) Address or name of remote host [ ]? Source filename []? c2500-js-l_120-3.bin Destination filename [c2500-js-l_120-3.bin]? Accessing tftp:// /c2500-js-l_120-3.bin... Erase flash: before copying? [confirm] Erasing the flash filesystem will remove all files! Continue? [confirm] Erasing device... eeeee (output omitted)...erased Erase of flash: complete Loading c2500-js-l_120-3.bin from (via Ethernet0):!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! (output omitted) [OK / bytes] Verifying checksum... OK (0x9AA0) bytes copied in secs (32636 bytes/sec) Router#

29 장비의정보확인 - 정적정보및동적정보확인 - 관리자모드 (Privileged Mode) 에서확인 show - 미리설정되어있는각기능정보확인 - interface, protocols, performance, media Debug - 실시간장비가전달받는트래픽의정보및동작정보확인 - 트래픽의흐름파악및설정의문제점확인을위해사용함 - 전체 debug 해제 undebug all Show Static Low 상태정보확인 debug dynamic high 특정동작과정확인

30 설정단계 기본설정 Interface 설정 Routing ETC. 기본설정 - 장비관리를편리하게수행하기위한설정 - 장비이름, 비밀번호, 인증, 계정, 배너, 편리기능, 접근방식에따른설정등 Interface 설정 - 네트워크통신을위한기본설정 - encapsulation, bandwidth, clock rate, ip address 등 Routing - Routing 종류및종류에따른설정 ETC. - 그외통신을위해필요한추가설정 - acl, nat, 보안, 인증, 서비스등

31 Router 이름변경 Router(config)#hostname R1 R1(config)# 배너설정 - Router 에접근하는사용자에게보여줄메시지설정 - 불법접근시받게되는경고문구 법적처벌시근거자료 R1(config)#banner motd # 배너내용 # 관리자모드접근비밀번호 - User mode 에서 Privileged mode 로접근할때사용되는인증정보 ( 비밀번호 ) - password 비밀번호를평문으로저장함 - secret 비밀번호를암호화 (MD5) 하여저장함 R1(config)#enable password [ 비밀번호 ] R1(config)#enable secret [ 비밀번호 ]

32 이름해석기능비활성화 - 오타를도메인이름으로해석하는기능해제 R1(config)#no ip domain-lookup 직접 (Console) 접근시기능설정 - Console 을통한직접접근의대한설정 - Console 연결유지시간 (0 : 무한대 ), 인증, 로그동기화등 - 접근인증방식 - 인증없음 no login - 비밀번호인증 login(password [ 비밀번호 ]) - 계정인증 login local( 전역모드에서계정생성 ) R1(config)#line console 0 R1(config-line)#login R1(config-line)#password [ 비밀번호 ] R1(config-line)#exec-timeout [ 분 ] [ 초 ] R1(config-line)#logging synchronous R1(config)#username [ 계정명 ] privilidge [0~15] password/secrest [ 비밀번호 ] R1(config-line)#login local

33 간접 (telnet) 접근시기능설정 - telnet 을통한원격접근의대한설정 - 가상터미널 (Virtual Terminal) 을통한연결을제공함 - 기본적으로 5 개씩연결을제공함 - 접근인증방식 - 인증없음 no login - 비밀번호인증 login(password [ 비밀번호 ]) - 계정인증 login local( 전역모드에서계정생성 ) - 반드시관리자모드비밀번호 (enable [ 비밀번호 ]) 가설정되어야함 - 원격접근시 user mode 로접근됨 - 보안성이떨어지므로권장하지않음 R1(config)#line vty 0 4 R1(config-line)#login R1(config-line)#password [ 비밀번호 ]

34 간접 (SSH) 접근시기능설정 - SSH 을통한원격접근의대한설정 - 암호화를위한키생성 - 키의기본값 hostname, Domain Address - 키생성 - 키의 size 가 1024 이하 SSH version 1 지원 - 키의 size 가 1024 이상 SSH version 1,2 지원 Router(config)#hostname R1 R1(config)#ip domain-name [domain address] R1(config)#crypto key generate rsa The name for the keys will be: R1.router.r1.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[ok]

35 간접 (SSH) 접근시기능설정 - 가상터미널 (Virtual Terminal) 을통한연결을제공함 - 기본적으로 5 개씩연결을제공함 - SSH 를통한연결만허용 - 접근인증방식 - 계정인증 login local( 전역모드에서계정생성 ) R1(config)#line vty 0 4 *3 1 0:23:29.544: %SSH-5-ENABLED: SSH 1.99 has been enabled R1(config-line)#transport input ssh R1(config-line)#login local - SSH Version 2 만사용하도록변경 R1(config)#ip ssh version 2 - 원격접근시 privilege mode 로접근됨

36 설정정보확인 - 기본설정확인 - running-config 에서현재적용된명령확인 R1#show running-config Building configuration... Current configuration : 386 bytes! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption! hostname R1! --More-- - More - 추가정보가있음을표시함 - space bar 한페이지씩더보기 - enter 한줄씩더보기 - ETC. 종료

37 접근정보확인 - 현재직접 / 간접접근정보확인 - * 현재접근 line R1#show line Tty Line Typ Tx/Rx A Roty AccO AccI Uses Noise Overruns Int * 0 0 CTY /0 - - SSH key 정보확인 R1#show crypto key mypubkey rsa % Key pair was generated at: 0:23:19 UTC Key name: R1.router.r1.com - SSH 정보확인 R1#show ip ssh SSH Enabled - version 2.0 Authentication timeout: 120 secs; Authentication retries: 3

38 Interface 설정순서 - 각네트워크와연결하기위한기본정보 - interface mode 에서설정 - Layer2 정보설정 - 연결된네트워크환경 (protocol) 정보 encapsulation - 연결된네트워크속도정보 bandwidth - 비트간격정보 clock rate - DCE 에서만설정 - 장비가제공하는값중에서 bandwidth x 1000 의가장근사치 - Layer3 정보 - IP address - interface 활성화 - Router 의인터페이스는비활성화가기본값이므로명령을통해활성화해야함

39 Fa 0/ /24 R1 DTE S 0/ /30 PPP 512kbps S 0/ /30 R2 DCE LAN Interface 설정순서 - 한종류의네트워크만연결가능한인터페이스를사용함 - Layer2 정보가 NIC 에설정되어있음 - Layer3 정보 - IP address ip address [IP] [SUBNET MASK] R1(config)#interface fastethernet 0/0 R1(config-if)#ip address R1(config-if)#no shutdown

40 Fa 0/ /24 R1 DTE S 0/ /30 PPP 512kbps S 0/ /30 R2 DCE WAN Interface 설정순서 - 다양한종류의네트워크를연결할수있음 - Layer2 정보를상황에맞게직접설정함 - Layer3 정보 - IP address ip address [IP] [SUBNET MASK] R1(config)#interface serial 0/0 R1(config-if)#encapsulation ppp R1(config-if)#bandwidth 512 R1(config-if)#ip address R1(config-if)#no shudown R2(config)#interface serial 0/0 R2(config-if)#encapsulation ppp R2(config-if)#bandwidth 512 R2(config-if)#clock rate R2(config-if)#ip address R2(config-if)#no shudown

41 Interface 상태정보확인 - 인터페이스설정후활성화및오류여부확인 - 인터페이스설정단계후연결된상대장비의인터페이스까지통신이가능해야함 R1#show ip interface brief Interface IP-Address OK? Method Status Protocol fastethernet 0/ YES manual up up Serial 0/ YES manual up up Interface IP-Address OK? Method 인터페이스이름현재설정된 IP 동작상태 IP할당방식 Status Layer 1 동작상태 up up down Administratively down Protocol Layer 2 동작상태 up down down down 정상 Layer 2 오류 Layer 1 오류 shutdown

42 Interface 상세정보확인 - 특정인터페이스상세정보확인 - 이름, 동작상태, Layer 2 관련정보, IP Address, 통신상태등 - show interface [ 인터페이스이름 ] R1#show interface serial 0/0 Hardware is HD64570 Internet address is /30 MTU 1500 bytes, BW 512 Kbit, DLY usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec) LCP Open Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0 (size/max/drops); Total output drops: 0 Queueing strategy: weighted fair

43 Interface 하드웨어상세정보확인 - 인터페이스 Layer 2 의상세정보및상태정보확인 - clock rate 설정정보확인 - show controllers [ 인터페이스이름 ] R1#show controllers serial 0/0 Interface Serial0/0 Hardware is PowerQUICC MPC860 DTE V.35 TX and RX clocks detected idb at 0x81081AC4, driver data structure at 0x81084AC0 SCC Registers: General [GSMR]=0x2:0x , Protocol-specific [PSMR]=0x8 R2#show controllers serial 0/0 Interface Serial0/0 Hardware is PowerQUICC MPC860 DCE V.35, clock rate idb at 0x81081AC4, driver data structure at 0x81084AC0 SCC Registers: General [GSMR]=0x2:0x , Protocol-specific [PSMR]=0x8

44 Interface 기능상세정보확인 - 인터페이스 Layer 3 에대한상세정보및인터페이스별기능동작상태정보 - IP, Subnetmask, Routing - show ip interface [ 인터페이스이름 ] R1#show ip interface serial 0/0 Serial0/0 is up, line protocol is up (connected) Internet address is /30 Broadcast address is Address determined by setup command MTU is 1500 Helper address is not set

45

46 Routing - 최적의경로를결정하여목적지까지전송하는일련의과정 - 최적의경로학습하여 Routing Table 에기록 경로 (route) 학습 - 전달받은 Packet 방향을결정하여 Switching 이수행됨 방향정보가없으면 packet 을폐기함 Routing 을위해필요한정보 - 목적지네트워크 - 입 / 출력인터페이스정보 - 가능성있는모든경로정보 - 최적의경로 - 지속적인경로정보유지

47 경로학습 - 목적지네트워크까지도달하기위해 packet 을전달할방향을 Routing table 에등록 - connected, static, dynamic, redistribution Connected Static Dynamic Redistribution 인터페이스에설정된정보를기반으로장비스스로학습하는경로정보 사용자의의해최적의조건이결정되고사용자에의해학습되는경로정보 장비에지정된 protocol 에의해장비간주고받은정보를기반으로학습 protocol 에서정의한최적의조건으로학습된경로정보 서로다른 Dynamic 방식으로학습된경로정보를교환하여학습된경로정보

48 Routing table - 최적으로결정된경로정보를저장하는공간 - 전달받은 packet 의목적지네트워크정보를비교하여지정된방향으로 packet 을 Switching 함 - show ip route 명령으로확인 R1#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set /8 is variably subnetted, 2 subnets, 2 masks C /30 is directly connected, Serial0/0 C /32 is directly connected, Serial0/ /24 is subnetted, 1 subnets R [120/1] via , 00:00:09, Serial0/0 Routing table 초기화 R1# clear ip route *

49 Static Routing - 관리자가경로정보를직접설정하는학습방식 - 최적의경로를관리자가직접결정함 - 네트워크변화에대해관리자가직접관리해야함 실시간관리가어려움 - 일반적으로 LAN 내부 Routing 을위해설정 내부 Router 8~10 대이하의환경에서사용함 Dynamic Routing - 장비스스로자신의정보를다른장비와교환하여경로정보를학습하는방식 - 지정된 Routing Protocol 에의해학습됨 - 네트워크변화에대해실시간으로반응함 - Background Traffic 의발생비율이높음 서비스에부하를줄수있음 - 일반적으로 WAN 또는 LAN 내부 Routing(8~10 대이상 ) 을위해설정

50 Router(config)# ip route [ 네트워크이름 ] [ 서브넷마스크 ] [ 방향 ] [Options] ip route 네트워크이름서브넷마스크방향 Option Static route 설정명령어학습시키고자하는네트워크이름학습시키고자하는네트워크의서브넷마스크지정된네트워크로향하는최적의전달방향 Interface name 장비자신의내보낼인터페이스이름 Next Hop IP Packet을전달받을다음장비의인터페이스 IP Static routing을수행하기위한추가설정 Distance 학습방식에따른우선순위조정 Permanent Routing table에등록된정보를고정함

51 Distance (=Administrative Distance=AD) - 학습방식에따라할당된경로의우선순위 - 동일한네트워크에대한경로를여러가지방식으로학습한경우우선순위가높은경로하나만 Routing Table 에등록함 - 방식에따른기본우선순위가정해져있음 설정으로조정가능 Connected 0 Static(interface) 0 Static(Next Hop IP) 1 EIGRP 90 OSPF 110 RIPv2 120 EGP 140 Unknown 255

52 Default Routing - Static Routing 의특수한형태 - Routing Table 에등록되어있지않는네트워크로향하는 packet 을전달할경로 - Stub Network 를연결하고있는경우설정함 - Static Routing 의한종류이지만우선순위가가장낮음 Stub Network - Next Hop 이하나만존재하는네트워크 - 다른네트워크로향하는방향이유일한네트워크 설정방법 - Default Network 로설정 - Default route 로설정

53 Default Network 로설정 - 임의의네트워크를 Default Network 로설정한후 Static Routing 으로 Gateway 를 Next-hop IP 로지정 - Default Network Routing Table 에명시되지않는모든네트워크로매칭시킬임의의네트워크 Router(config)# ip default-network [ 임의의네트워크이름 ] Router(config)# ip route [ 임의의네트워크이름 ] [ 임의의서브넷마스크 ] [Gateway IP] Default Route 로설정 네트워크 (Zero Network) 의방향을 Gateway 쪽으로 Next-hop IP 로지정 (Zero Network) IPv4 전체를대표하는네트워크이름 Router(config)# ip route [Gateway IP]

54 Dynamic Routing - 사용자에의해지정된 Protocol 로같은프로토콜이설정된장비간정보를주고받아서최적의경로를선택하고관리하는방식 - Routing Protocol 에의해학습된경로로 Routed Protocol 이전달됨 - Routing Protocol 경로를결정하는프로토콜 (RIP, EIGRP, OSPF ) - Routed Protocol 결정된경로로전달되는프로토콜 (IP, IPX, Apple Talk ) - Routing Protocol 의규칙에따라최적의경로를결정하는조건이달라짐 - Distance Vector 거리 - Link State 속도

55 AS 9659 (KT 망 ) Autonomous System(AS) - 단일관리영역으로운영되는네트워크의집합 - 관리번호를할당하여식별함 2byte - 하나의회사망 - KT Network LG U SK Broadband IGP(Interior Gateway Protocol) - AS 내부의장비간 Routing 정보를교환하는 Protocol IGP : RIP, EIGRP, OSPF EGP : BGP EGP(Exterior Gateway Protocol) - AS 간 Routing 정보를교환하는 Protocol IGP : RIP, EIGRP, OSPF AS (SK 망 )

56 Routing Protocol 종류 Unicast Routing IGP Distance Vector Classful RIPv1, IGRP Classless RIPv2 Link State OSPF, IS-IS Advance Distance Vector EIGRP EGP BGPV4 Multicast Routing DVMRP, MOSPF, PIM Dense & Sparse

57 Metric - 동일한방식에의해학습된경로에서최적의경로를결정하는조건값 - Routing Protocol 의종류에따라 Metric 의종류도달라짐 - 동일한네트워크의 Metric 이같으면 Load Balancing - 동일한네트워크의 Metric 이다르면 주 / 보조경로 Distance Vector Link State 거리연결상태 ( 인터페이스정보 ) Hop Count Reliability, Delay, Bandwidth, Load, Cost RIPv2 OSPF Cost (Bandwidth, 전송속도기반 ) Hop Count Reliability( 신뢰성 ) Delay( 지연시간 ) Bandwidth( 대역폭 ) Load( 부하 ) Cost 목적지네트워크에도달하기위해거쳐가는 Router 수링크의오류, 전송에러등전송을위해사용되는시간전송가능한용량가용자원에대한부하링크의특성정보를이용하여계산된링크의비용값

58 Dynamic Routing 설정순서 - Global Configuration Mode - routing Protocol 선택 - routing mode - 전달할정보설정 - 추가기능설정 R1(config)# Router rip R1(config-router)#network R1(config-router)# version 2 R1(config-router)# no auto-summary R1(config-router)# passive-interface fastethernet 0/0 R1(config)# Router ospf 1 R1(config-router)#network area 0 R1(config-router)# passive-interface fastethernet 0/0

59 RIP (Routing Information Protocol) (AD : 120) - IETF 표준 Routing Protocol - Distance Vector 계열의 Dynamic Routing Protocol - Metric Hop Count - 동일한 Protocol 을사용하는인접장비와 Connected Network 정보를교환함 - Multicast Group Version 1 - Classful Routing 네트워크와 Hop count 를전달함 - Version 2 - Classless Routing 네트워크와서브넷마스크와 Hop count 를함께전달함 - VLSM 지원함 - 비교적작은범위의네트워크에서사용함 - hop count Limit 16 - hop count 16 인네트워크 통신불가능한네트워크 - 경로정보교환주기 30 초 변화가적용되는속도 (Convergence Time) 가느림 - 경로계산알고리즘 Bellman-Ford(B-F) Algorithm - 네트워크정보를학습한인터페이스방향으로동일한네트워크정보를재전달하지않음 Split Horizon

60 RIPv2 의동작과정 R1 R2 R / / / / <R1 Routing Table> <R2 Routing Table> <R3 Routing Table> Network Interface Hop / / Network Interface Hop / / Network Interface Hop / /24 2 0

61 RIPv2 의동작과정 R1 R2 R / / / / <R1 Routing Table> <R2 Routing Table> <R3 Routing Table> Network Interface Hop / / Network Interface Hop / / / Network Interface Hop / /24 2 0

62 RIPv2 의동작과정 R1 R2 R / / / / <R1 Routing Table> <R2 Routing Table> <R3 Routing Table> Network Interface Hop / / Network Interface Hop / / Network Interface Hop / / / / / /24 1 2

63 RIPv2 의동작과정 R1 R2 R / / / / <R1 Routing Table> <R2 Routing Table> <R3 Routing Table> Network Interface Hop / / Network Interface Hop / / Network Interface Hop / / / / / / /24 1 2

64 RIPv2 의동작과정 R1 R2 R / / / / <R1 Routing Table> <R2 Routing Table> <R3 Routing Table> Network Interface Hop / / Network Interface Hop / / Network Interface Hop / / / / / / / /24 1 2

65 RIPv2 설정 - Routing Protocol 선택 R1(config)# router rip - 교환할네트워크정보설정 R1(config-router)# network [classful형식의네트워크이름 ] - 사용할 version 설정 version 2 R1(config-router)# version 2 - Classless Routing 설정 Network, Subnet mask, Hop Count R1(config-router)# no auto-summary - (Option) 정보를전달하지않을인터페이스설정 R1(config-router)# passive-interface [ 인터페이스이름 ]

66 RIPv2 설정확인 - Routing Table 확인 R1# show ip route (show ip route rip) Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set /8 is variably subnetted, 2 subnets, 2 masks C /30 is directly connected, Serial0/0 C /32 is directly connected, Serial0/ /24 is subnetted, 1 subnets R [120/1] via , 00:00:09, Serial0/0 R [120(AD)/1(Metric)] Via , 00:00:09 Serial 0/0

67 RIPv2 설정확인 - Routing Protocol 정보확인 R1# show ip protocols - 교환한정보 ( 경로 ) 관리 Database R1# show ip rip database - RIPv2 의동작상태확인 R1# debug ip rip

68 OSPF (Open Shortest Path First Protocol) (AD : 110) - IETF 표준 Routing Protocol - Link State 계열의 Dynamic Routing Protocol - Metric Cost(Bandwidth, 전송속도 ) 속도를기준으로경로를선택함 - 동일한 Protocol 을사용하는인접장비와 Link 상태정보 (interface 정보 ) 를교환함 - Multicast Group , (DR/BDR) - Classless Routing 만지원됨 - 큰범위의네트워크에서사용함 정보교환의거리제한이없음 - 경로정보교환주기 topology 에변화발생 변화가적용되는속도 (Convergence Time) 가빠름 - 경로계산알고리즘 Dijkstra 의 SPF - 계층적인구조를가짐

69 OSPF 의계층적인구조 - Routing 정보를교환할영역을구분 - Routing 동작을위해발생되는 back ground traffic 의부하를줄임 Area ABR DR BDR OSFP 정보를교환할장비로구성된영역반드시 back bone area(area 0) 를통해연결되어있어야함 (Area Border Router) back born 과다른 area 를연결하는역할의 Router 하나의 Area 영역의정보를다른 Area 와교환하는역할의 Router DR 의 backup Router Single Area OSPF - Back born area 만존재하는 OSPF Multi Area OSPF - Back born area 에하위 area 가계층적인구조로연결된 OSPF

70 OSPF 의계층적인구조 Area 2 AS 100 AS 200 ABR ASBR ASBR ABR ABR Backbone Area (Area 0) Area 1 Area 3

71 OSPF 의동작과정 - 각 Link 별 Metric(cost) 값계산 - SPF 알고리즘으로각 Link 별 Cost 값을계산함 Cost = /bandwidth(bps) - 계산된 cost 값을 Topology Database 에등록함 - 이웃관계맺기 - Hello Message 를서로교환한장비끼리이웃관계를맺음 Full 상태 ( 완벽한이웃 ) - 이웃정보를 Neighbor Table 에등록 (Default 10 초 ) - Interface 상태정보교환 - 등록된이웃과 Topology Database 의정보를 LSA(Link State Advertisement) 메시지로교환 - Topology Database 에 LSA 로획득한정보저장 - 해당장비를기준으로전체네트워크토폴로지를구성함 - 목적지에도달가능한전체경로의 Metric( 누적 cost) 계산 - 특정네트워크에도달할수있는모든경로의누적 cost 값을구하여제일낮은 cost 를가진경로를최적의경로로선택 - 최적의경로만 Routing Table 에등록 - 최적의경로만 Routing Table 에등록하고다음으로낮은 cost 를가진경로를백업경로로지정 - 선택된경로관리 - Topology Database 의정보가변경되면즉시이웃장비에게 LSA 를전달하여변경된 Link 정보를업데이트함

72 OSPF 의동작과정 R1 <Topology Database update> R1 16 R2 <Routing Table> (16) Network 방향 R R4 4.1 (5) 3.1 (14) /24 R (5) R4 R R3 Router ID : / / (16) 4.1 (5) <Topology Database> 2.1 Full 4.2 Full <Neighbor Table> Router ID OSPF 라우터의식별값 1. Static 2. Loopback interface IP 3. 제일큰 IP

73 OSPF 설정 - Routing Protocol 선택 - process-id 한 Router 에서 OSPF 를다중으로동작시킬때각 OSPF 를구별하기위한식별값 R1(config)# router ospf [process-id] - 교환할 Link(interface) 정보설정 R1(config-router)# network [ 광고할 interface IP] [Wildcard Mask] area [area-id] - (Option) 정보를전달하지않을인터페이스설정 R1(config-router)# passive-interface [ 인터페이스이름 ] - (Option) Default Gateway 광고 R1(config-router)# default-information originate [always]

74 Wildcard Mask - IP 범위를지정하기위해사용하는필터링값 - 조건으로설정하는 IP 값과실제 IP 를 Wildcard Mask 로비교하여필터링함 - 0 조건으로지정된 IP 의 bit 와일치해야됨 - 1 조건으로지정된 IP 와일치하지않아도됨 - Wildcard mask 의 bit 는연속되지않아도됨 8bit 8bit 8bit 8bit 조건 IP Wildcard Mask 실제 IP ~255 8bit 8bit 8bit 8bit 조건 IP Wildcard Mask Network x x x x x x x x

75 OSPF 설정확인 - Routing Table 확인 R1# show ip route (show ip route ospf) Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set /8 is variably subnetted, 2 subnets, 2 masks C /30 is directly connected, Serial0/0 C /32 is directly connected, Serial0/ /24 is subnetted, 1 subnets /29 is subnetted, 2 subnets O [110/487] via , 00:01:41, Serial0/3 O [110/194] via , 00:01:41, Serial0/3 O [110(AD)/487(Metric)] Via , 00:01:41 Serial 0/3

76 OSPF 설정확인 - Routing Protocol 정보확인 R1# show ip protocols - OSPF 기본정보확인 R1# show ip ospf [process-id] - Neighbor Table 정보확인 R1# show ip ospf neighbor - OSPF 의동작상태확인 R1# debug ip ospf events

77

78 Router 의 ACL - Router 를경유하는트래픽을필터링함 - 정책에따른트래픽필터링, 식별, 분류, 암호화, 변환작업등을수행함 ACL 기본동작 - 순차적인동작 - 조건에명시되어있는정보와전달받은 packet 의정보를비교하여지정된 Action 을수행함 - Permit 허용, 사용됨 - Deny 거부, 사용되지않음 - 모든조건에해당되지않으면 ALL Deny - 항상조건의마지막에기본값으로 ALL Deny 정책이지정되어있음 Packet Deny Deny Deny Match Next Test(s)? Match Next Test? - 정책구성후필요한위치에서적용함 Deny Y Y Y Match First Test? N N N Y Permit Y Permit Y Permit All Deny Destination Interface(s) Bucket

79 Numbered 형 ACL - 숫자를식별값으로사용하는 ACL - 주로특정기능수행을위한트래픽분류를목적으로사용됨 - 조건항목의수정, 삭제가불가능함 - 하나의조건이라도삭제하면 ACL 자체가삭제됨 Named 형 ACL - 문자를식별값으로사용하는 ACL - 방화벽의보안정책구성및복잡한정책구성을할때사용됨 - 조건을원하는위치에추가및수정, 삭제가가능함 - ACL 을생성하고 ACL Mode 에서조건을지정함 종류식별값필수조건조건종류옵션 Standard 1~99 1 Source IP X Extended 100~199 3 Protocol, Source IP, Destination ID Port 주소, Protocol 조건에따라다름

80 Filtering 을위한 ACL - 정책에맞춰구성된조건 (ACL) 과실트래픽을필터링할지점설정 - 트래픽을필터링해야할인터페이스 - 종류 Inbound, outbound Inbound - 인터페이스로데이터가유입됐을때정책확인후전송 - ACL 확인 Routing Table 확인 (Routing) Switching outbound(default) - 인터페이스로데이터가전달되기직전에정책확인후전송 - Routing Table 확인 (Routing) ACL 확인 Switching 트래픽분류를위한 ACL - 데이터를분류해야하는기능설정시사용됨

81 정책에맞는조건계획 조건을설정하여 List 생성 - 같은번호로설정 조건추가 - 새로운번호로설정 새로운 ACL 생성 R1(config)# access-list [number] [action permit/deny] [ 조건 ] R1(config)# ip access-list [standard/extended] [string] R1(config-[std/ext])# [action permit/deny] [ 조건 ] 생성한 ACL 을이용할위치 (interface ) 에서적용 R1(config)# interface [ 필터링할트래픽이경유하는 interface] R1(config-if)# ip access-group [number/string] [in/out]

82 Standard ACL - 조건 source IP - Wildcard Mask 를이용하여조건에매치할 IP 의범위를지정할수있음 - 모든 IP( ) = any - 특정 IP 하나 ( ) = host Router(config)# access-list [1~99, 1300~1999] [permit/deny] [source IP] [wildcard mask] R1(config)# access-list 1 permit host R1(config)# interface fastethernet 0/0 R1(config-if)# ip access-group 1 in Router(config)# ip access-list standard [name] Router(config-std)# [permit/deny] [source IP] [wildcard mask] R1(config)# access-list standard TEST R1(config-std)# permit R1(config)# interface fastethernet 0/0 R1(config-if)# ip access-group TEST in

83 Extended ACL - 필수조건 Protocol(IP 헤더의 Protocol 필드와비교할값 ), Source IP, Destination IP - Option - 지정된 Protocol 의종류에따라다름 - 특정기능을수행하기위한조건을지원함 Log, Established( 상태추적 ), Qos - TCP/UDP 인경우 Source port, Destination port 를조건으로사용할수있음 eq neq lt gt range Operator Equal to Not Equal to Less than Greater than [ 트래픽 ] = [ 조건 ] [ 트래픽 ]!= [ 조건 ] [ 트래픽 ] < [ 조건 ] [ 트래픽 ] > [ 조건 ] First end Router(config)# access-list [100~199, 2000~2699] [permit/deny] [protocol] [source IP] [wildcard mask] [source port] [destination IP] [wildcard mask] [destination port] [option] R1(config)# access-list 100 permit tcp any eq 22 R1(config)# interface fastethernet 0/0 R1(config-if)# ip access-group 100 in

84 R1(config)# access-list 1 permit R1(config)# interface Fastethernet 0 R1(config-if)# ip access-group 1 out R1(config)# interface Fastethernet 1 R1(config-if)# ip access-group 1 out Internet Router(config)# access-list 1 deny Router(config)# access-list 1 permit Router(config)# interface fastethernet 0 Router(config-if)# ip access-group 1 out Fa0 S0 Fa / /24 Router(config)# access-list 1 deny Router(config)# access-list 1 permit any Router(config)# interface fastethernet 0 Router(config-if)# ip access-group 1 out

85 Internet S /24 Fa0 Fa /24 Router(config)# access-list 101 deny tcp eq 21 Router(config)# access-list 101 deny tcp eq 20 Router(config)# access-list 101 permit ip any any Router(config)# interface fastethernet 0 Router(config)# ip access-group 101 out Router(config)# access-list 101 deny tcp any eq 23 Router(config)# access-list 101 permit ip any any Router(config)# interface fastethernet 0 Router(config)# ip access-group 101 out

86 간접 ( 원격 ) 접근접속제어 - 허용되지않은사용자의접근을제어함 - vty 에서설정함 - 일반적으로 Standard 형 ACL 을사용함 Router(config)# access-list [1~99, 1300~1999] [permit] host [ 관리자시스템 IP] Router(config)# line vty 0 4 Router(config-line)# access-class [number] [in/out] R1(config)# access-list 1 permit host R1(config)# line vty 0 4 R1(config-line)# access-class 1 in

87 ACL 설정확인 - 설정한 ACL 의조건및조건에매치된트랙픽정보확인 R1# show ip access-lists [number/string] (=show access-lists) Extended IP access list 100 permit tcp any any range 22 smtp (11 match(es)) Standard IP access list 1 permit host ACL 적용확인 - ACL 이적용된인터페이스정보확인 R1# show ip interface fastethernet 0/0 Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 100 Proxy ARP is enabled

88

89 NAT (Network Address Translation) - 주소변환기술 - 공인 IP 부족현상을완화하기위해제안된기술 - 사설 IP 를지정하여 intranet 내부에서만임의의 IP 를사용할수있게함 - 중복된 IP 를사용할수있으므로사설 IP 를이용한공용네트워크통신을제한함 - intranet 에서공용네트워크에접근하기위해네트워크를연결하는 Router 에서사설 IP 를공인 IP 로변환시켜내보내야함 사설 IP 대역 ~ / ~ / ~ /16 NAT 사용목적 - IPv4 부족현상완화 - 공인 IP 사용비용감소 - 보안

90 조건정책설정 - 사설 IP 네트워크정보 ACL - 변환에사용할공인 IP 정보 Pool 또는 secondary IP 설정 NAT 정책설정 - 변환해야할사설 IP 를공인 IP 로연결함 - NAT 종류지정 Interface 역할결정 - NAT 동작에사용될 Interface mode 로이동 - Inside - 내부네트워크 ( 사설 ) 와연결하고인터페이스 - Inside 로전달되는 Packet 의 Source IP 와조건정책의사설 IP 범위와비교 일치하면 NAT 수행 - Outside - 외부네트워크 ( 공용 ) 와연결하고인터페이스 - outside 로전달되는 Packet 의 Destination IP 와 NAT 변환정보를비교 존재하면지정된 IP 로변환

91 S IP D IP S IP D IP LAN fa 0 inside se 0 outside Internet 사설 IP 공인 IP 정책 사설 IP 공인 IP / <NAT Table>

92 S IP D IP LAN fa 0 inside se 0 outside Internet 사설 IP 공인 IP 정책 사설 IP 공인 IP / <NAT Table>

93 S IP D IP S IP D IP LAN fa 0 inside se 0 outside Internet 사설 IP 공인 IP 정책 사설 IP 공인 IP / <NAT Table>

94 S IP D IP S IP D IP LAN fa 0 inside se 0 outside Internet 사설 IP 공인 IP 정책 사설 IP 공인 IP / <NAT Table>

95 S IP D IP LAN fa 0 inside se 0 outside Internet 사설 IP 공인 IP 정책 사설 IP 공인 IP / <NAT Table>

96 S IP D IP LAN fa 0 inside se 0 outside Internet 사설 IP 공인 IP 정책 사설 IP 공인 IP / <NAT Table>

97 Static NAT - NAT Table 의변환정보를관리자가직접지정하고관리함 정보가고정됨 - 사설 IP(1) : 공인 IP(1) - Server 에 Client 가접근할수있게함 Dynamic NAT - NAT Table 의변환정보를장비가직접생성하고관리함 - NAT 동작을수행해야하는조건에맞는 Packet 을전달받았을때변환됨 - 사설 IP(n) : 공인 IP(m) 동시에통신가능한장비가공인 IP 수로제한됨 - 내부호스트장비의공용네트워크통신을위해사용됨 NAT-PAT(Port Address Translation) - 일반 Dynamic NAT 의한계를극복 - NAT 동작이수행될때 Port 주소를변환정보식별용으로함께사용함 - 사설 IP(n) : 공인 IP(1) 하나의공인 IP 로다수의사설 IP 를이용한통신이지원됨 - 내부호스트장비의공용네트워크통신을위해사용됨

98 Static NAT - 공인 IP 로전달된 Client 의요청을내부 Server 로전달할수있도록목적지주소를변환하는기능 - Server 에할당된사설 IP 하나당공인 IP 를할당 1 : 1 LAN S IP D IP S IP D IP in 공인 IP out Internet <NAT Table> 사설 IP 공인 IP Network : /24

99 Static NAT - 공인 IP 로전달된 Client 의요청을내부 Server 로전달할수있도록목적지주소를변환하는기능 - Server 에할당된사설 IP 하나당공인 IP 를할당 1 : 1 LAN S IP D IP in 공인 IP out Internet <NAT Table> 사설 IP 공인 IP Network : /24

100 Static NAT - 공인 IP 로전달된 Client 의요청을내부 Server 로전달할수있도록목적지주소를변환하는기능 - Server 에할당된사설 IP 하나당공인 IP 를할당 1 : 1 S IP D IP LAN S IP D IP in 공인 IP out Internet <NAT Table> 사설 IP 공인 IP Network : /24

101 Static NAT - 공인 IP 로전달된 Client 의요청을내부 Server 로전달할수있도록목적지주소를변환하는기능 - Server 에할당된사설 IP 하나당공인 IP 를할당 1 : 1 LAN S IP D IP in 공인 IP out Internet <NAT Table> 사설 IP 공인 IP Network : /24

102 조건정책설정 - 사설 IP 네트워크정보 1:1 설정이기때문에설정할필요가없음 - 변환에사용할공인 IP 정보 Pool 또는 outside 인터페이스에서 secondary IP 로설정 R1(config)# ip nat pool [name] [start IP] [end IP] netmask [subnet mask] R1(config)# interface [outside interface] R1(config-if)# ip address [ 공인 IP] [subnet mask] secondary NAT 정책설정 R1(config)# ip nat inside source static [ 사설 IP] [ 공인 IP] Interface 역할결정 - 사설네트워크를연결하는인터페이스 inside R1(config)# interface [inside interface] R1(config-if)# ip nat inside - 공용네트워크를연결하는인터페이스 outside R1(config)# interface [outside interface] R1(config-if)# ip nat outside

103 Dynamic NAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의지정된개수의공인 IP 로변환 n : m ( 동시통신가능 m 대 ) S IP D IP LAN S IP D IP 사설 IP /24 in 공인 IP out Internet <NAT Table> 사설 IP 공인 IP Network : /24

104 Dynamic NAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의지정된개수의공인 IP 로변환 n : m ( 동시통신가능 m 대 ) LAN S IP D IP 사설 IP /24 in 공인 IP out Internet <NAT Table> 사설 IP 공인 IP Network : /24

105 Dynamic NAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의지정된개수의공인 IP 로변환 n : m ( 동시통신가능 m 대 ) LAN S IP D IP 사설 IP /24 in 공인 IP out Internet <NAT Table> 사설 IP 공인 IP Network : /24

106 Dynamic NAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의지정된개수의공인 IP 로변환 n : m ( 동시통신가능 m 대 ) LAN S IP D IP S IP D IP 사설 IP /24 in 공인 IP out Internet <NAT Table> 사설 IP 공인 IP Network : /24

107 Dynamic NAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의지정된개수의공인 IP 로변환 n : m ( 동시통신가능 m 대 ) LAN S IP D IP 사설 IP /24 in 공인 IP out Internet <NAT Table> 사설 IP 공인 IP Network : /24

108 조건정책설정 - 사설 IP 네트워크정보 ACL - 변환에사용할공인 IP 정보 Pool R1(config)# access-list 1 permit [ 사설 IP] [wildcard mask] R1(config)# ip nat pool [name] [start IP] [end IP] netmask [subnet mask] NAT 정책설정 R1(config)# ip nat inside source list [ACL number] pool [pool name] Interface 역할결정 - 사설네트워크를연결하는인터페이스 inside R1(config)# interface [inside interface] R1(config-if)# ip nat inside - 공용네트워크를연결하는인터페이스 outside R1(config)# interface [outside interface] R1(config-if)# ip nat outside

109 Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 S IP D IP LAN 사설 IP /24 S IP D IP 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP Network : /24

110 Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN 사설 IP /24 S IP D IP 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP Network : /24

111 Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN 사설 IP /24 S IP D IP 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP Network : /24

112 Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN 사설 IP /24 S IP D IP 공인 IP in out Internet <NAT Table> S IP D IP 사설 IP 공인 IP Network : /24

113 Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN 사설 IP /24 S IP D IP 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP Network : /24

114 Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN 사설 IP /24 S IP D IP 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP Network : /24

115 Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN S IP D IP S IP D IP 사설 IP /24 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP Network : /24

116 NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 S IP D IP LAN S IP D IP 사설 IP /24 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP port Network : /24

117 NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP (1024) D IP 사설 IP /24 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP port Network : /24

118 NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP (1024) D IP 사설 IP /24 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP port Network : /24

119 NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP D IP 사설 IP /24 공인 IP in out Internet <NAT Table> S IP D IP 사설 IP 공인 IP port Network : /24

120 NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP D IP (1025) 사설 IP /24 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP port Network : /24

121 NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP (1025) D IP 사설 IP /24 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP port Network : /24

122 NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP D IP (1024) S IP D IP (1024) 사설 IP /24 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP port Network : /24

123 NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP D IP 사설 IP /24 공인 IP in out Internet <NAT Table> 사설 IP 공인 IP port Network : /24

124 조건정책설정 - 사설 IP 네트워크정보 ACL - 변환에사용할공인 IP 정보 Pool, outside 인터페이스에서 secondary IP, outside 인터페이스 IP R1(config)# access-list 1 permit [ 사설 IP] [wildcard mask] R1(config)# ip nat pool [name] [start IP] [end IP] netmask [subnet mask] R1(config)# interface [outside interface] R1(config-if)# ip address [ 공인 IP] [subnet mask] secondary NAT 정책설정 R1(config)# ip nat inside source list [ACL number] pool [pool name] overload R1(config)# ip nat inside source list [ACL number] interface [outside interface] overload

125 Interface 역할결정 - 사설네트워크를연결하는인터페이스 inside R1(config)# interface [inside interface] R1(config-if)# ip nat inside - 공용네트워크를연결하는인터페이스 outside R1(config)# interface [outside interface] R1(config-if)# ip nat outside

126 NAT 설정정보확인 R1# show ip nat statistics Total translations: 1 (1 static, 0 dynamic, 0 extended) Outside Interfaces: Serial0/3 Inside Interfaces: FastEthernet0/0 Hits: 29 Misses: 40 Expired translations: 30 Dynamic mappings: NAT 동작과정확인 R1# debug ip nat

127 NAT Table 변환정보확인 R1# show ip nat translations Pro Inside global Inside local Outside local Outside global icmp : : : :1 icmp : : : :2 icmp : : : :3 icmp : : : : Static NAT Pro Inside Outside NAT변환된트래픽종류 사설네트워크 Local Global 공인네트워크 Local Glocal 변환전변환후변환전변환후

128 NAT Table 변환정보초기화 R1# clear ip nat translation * NAT Table 한항목삭제 R1# clear ip nat translation inside [global IP] [local IP] outside [global IP] [local IP]

129

130 GNS3 - 가상화서비스를통한네트워크환경구축을기능을지원하는프로그램 - 가상네트워크를구축을지원하는 GUI - 실제가상화기능및추가기능을지원하기위한여러종류의 S/W 가포함된프로그램 회원가입을해야다운로드가능함 - 무료라이선스 Routing 기능만지원 - 유로라이선스 Routing & Switching 기능지원 GNS3 가제공하는 Software - GUI GNS3 - 가상화 dynamics - 모니터링 wireshark(winpcap), solawins

131 GNS3 설치 - GNS3 설치 - 관리용폴더생성 - 경로상한글이포함되지않도록생성해야함 - 환경설정 - 기본환경설정 interface type, project/ios 관리폴더경로, console 연결터미널 - IOS 이미지등록 가상환경에사용할장비의 OS 설치

132 GNS3 설치프로그램실행 - 관리자모드로실행 라이선스확인및동의

133 등록될이름지정 설치할프로그램지정 - winpcap, Wireshark, Dynamips, QEMU, VPCS, Cpulimit, GNS3, Superputty

134 설치경로지정

135 WinPcap 설치 - 이미설치된경우삭제후재설치

136 Wireshark download 및설치 - 이미설치된경우삭제후재설치

137 Wireshark download 및설치 - 이미설치된경우삭제후재설치

138 기본프로그램설치완료 solawinds 추가 toolset 설치 - 설치안함

139 GNS3 설치완료 GNS3 매뉴얼 - Documentation 에서온라인매뉴얼제공

140 GNS3 초기설정마법사 - 사용안함 Don t show this again 체크후 Cancle 프로젝트 ( 작업단위 ) 관리창

141 제어메뉴 빠른실행메뉴 사용가능한하드웨어선택목록 가상작업공간 가상네트워크구축에사용된장비의간단한상태정보 하드웨어메뉴 가상네트워크구축에사용된 Virtual Server 의상태정보 Dynamips CLI

142 GNS3 관리폴더 - 사용되는파일과폴더의이름에한글이포함되어있으면안됨 - GNS3 에서기본적으로제공하는관리폴더의경로가복잡함 - 최상위드라이브에서 GNS3 폴더생성후하위에관리폴더생성 - 편리한관리를위해직접폴더를생성하여환경설정으로경로를지정함 - Project 하나의작업단위를파일로저장할때사용할기본경로 - IOS GNS3 에서사용할 cisco IOS 가저장될기본경로 - Config 작업환경에서구성한설정내용이저장될기본경로 - Symbols Topology 구성에사용할장비의이미지가저장될기본경로 `

143 GNS3 환경설정창 - Edit Preferences 기본환경설정 - general general - 기본경로및 interface style 설정

144 기본환경설정 - general console application - console 연결터미널설정

145 기본환경설정 - general Topology view - 작업환경의크기및텍스트설정

146 IOS 이미지등록 - Dynamips IOS routers - GNS3 에서사용할장비의 OS 등록 - IOS 등록이된장비만작업환경에서이용할수있음 IOS 이미지등록순서 - 등록할이미지선택 - 이미지압축해제하지않음 - 압축해제를하면새로운폴더가생성되고.image 파일이새로생성됨 - 장비이름및장비종류설정 - 할당할메모리크기설정 - 추가모듈설정 - Idlc PC 설정 - CPU 할당량조절 - Host 의 CPU 의점유율을최적의상태로지정하여하용 부하가줄어듦 - 한모델당지정 - 수동으로설정 자동설정버그

147

148

149 수동으로 Idle PC 설정 - 작업환경에서 CPUlimit 의기능을이용하여직접설정 - 반드시작업환경에 Idle IP 설정을하려는장비만배치되어야함 - 한번에한모델씩설정 수동으로 Idle PC 설정순서 - 작업환경에장비추가 - 우클릭 시작 console 부팅완료확인 idle pc 선택 목록의값중 55 근사치인값선택 - Idle PC 값 [CPU 할당반환비율 ] - 뒷자리의숫자가클수록반환비율이높음 - 또는우클릭우클릭 시작 console 부팅완료확인 auto idle pc 선택

150 장비배치 - 하드웨어목록에서필요한장비를작업환경에배치함 장비이름지정 - 장비의역할에따라이름재설정 장비이미지 (symbol) 변경 - 장비의역할에따라이미지재설정 장비하드웨어설정 - 장비의설정항목에서필요한하드웨어추가 / 삭제및설정 연결 구성

151 프로젝트저장 - 작업환경에서구성한가상네트워크환경을저장함 - console 에서 running-config 를 startup-config 로저장 - 모든장비동작 stop - file save project as 프로젝트명입력 ( 한글사용금지 ) - 생성된프로젝트를다시저장할때는장비를 stop 할필요가없음 외부에설정내용가져오기 - 텍스트파일형태로저장한장비의설정내용복구 - file import/export device configs 현재설정및구성백업및복구 - snapshot 기능제공 - 백업 - 복구 - file manage snapshot create snapshot 이름지정 - file manage snapshot snapshot 이름선택 restore

152 GNS3 의가상화환경과 VMware(Virtual BOX) 환경연동 - 환경설정및 Cloud(host 의 NIC) 를이용하여연결 - 연결에사용되는 VMnet, Virtual adapter, cloud 는 Guest 장비와 GNS3 의장비를연결하는케이블역할을수행함 - cloud device configuration cloud 선택 Ethernet 탭 목록에서연결할 VMnet virtual adapter 선택 add ok

153 Physical Area memory HDD CPU NIC ( 이더넷 ) Guest A NIC Vmnet 0(B) Vmnet 1(H) Vmnet 2(H) Vmnet1 host only adapter NIO VMnet1 NETWORK Guest B VMware NIC Vmnet 8(N) Vmnet 9(H) Vmnet2 host only adapter NIO VMnet2 GNS3

154 GNS3 의가상화환경과실제네트워크환경연동 - Cloud(host 의 NIC) 를이용하여연결 - 연결에사용되는 cloud 는 GNS3 프로그램간특정장비끼리연결하는케이블역할을수행함 - cloud device configuration cloud 선택 UDP 탭 가상의인터페이스생성 add ok - Local port 설정중인 GNS3 의가상의인터페이스 (cloud) 식별값 - Remote host 연결할 GNS3 가설치된 host 에접근하기위한주소 - Remote port 연결할 GNS3 의가상의인터페이스 (cloud) 식별값

155 Class( /24) Host1 NIC NIC ( 이더넷 ) ( 이더넷 ) Host NETWORK NIO VMnet1 NIO VMnet GNS3 Host1 Cloud 20000: :30000 GNS3 Host2 Cloud 30000: :20000

156 Class ( /24) OSPF(area 0) BR Core CR Distribution Distribution Distribution Distribution Distribution DR Access Access Access Access Access