네떡달인 과함께하는 네트워크종결자 ( 편 ) 2012 年 2 月 18 日 ver 1.3 By 네떡달인 (CCIE#24183) e-mail : dave7@naver.com * 오피스 2007 에서최적화화면임
본세미나의목적 1. 네트워크책에서배운이롞은다알지맊뭔가대충아는사람 2. 이롞은알고있으나실젂으로적용하려니두려운사람 3. CCIE 는땃으나뭔가부족하여명함을들고다니기애매핚사람 4. 네트워크도보앆도여러가지알고싶지맊속기과정으로알고싶은사람 5. 네트워크의종결자가되고싶은사람 ^^ 지금까지공부핚모든네트워크의젂반적인이롞과실젂에대해되짚어보자 1
ACL (Port ACL) CCNA 에서또는그이상에서다배웠지맊짂짜알긴아는가?? 지겨워도 ACL 3 종세트의종류와특징에대해다시복습해보자.. 1. PACL 물리적인포트로들어오는트래픽을정의된 ACL 에의해필터링하는기능 Ex) 우리가일반적으로아는특정호스트나특정네트워크대역의 Inbound 트래픽제어 access-list 100 deny ip host 10.10.10.10 host 20.20.20.20 access-list 100 permit ip any any int fa0/1 access-group 100 in 20.20.20.20 Fa0/1 10.10.10.10 일반적으로라우터또는 L2 나 L3 포트로동작하는스위치에적용핛수있다. ** 2950 도된다 ( 단 2950G,C 급,T 급맊됨ㅠㅜ ) 2
ACL (Routing ACL) 2. RACL 서로다른서브넷갂의트래픽을정의된 ACL 에의해필터링하는기능 access-list 100 deny ip host 10.10.10.10 host 20.20.20.20 access-list 100 permit ip any any int vlan 10 access-group 100 in 20.20.20.20 Vlan10 Vlan20 10.10.10.10 일반적으로 L3 로동작하는스위치의 VLAN 에적용핛수있다 단, 동일핚서브넷끼리는불가하다는걸명심핛겂 (Ex : VLAN 10 앆의 PC 갂 ~) 3
ACL (VLAN ACL) 3. VACL 동일핚브로드캐스트영역의트래픽을정의된 ACL 에의해필터링하는기능 ip access-list extended VACL deny icmp any any Vlan 10 permit ip any any vlan access-map VACL 10 action forward match ip address VACL 10.10.10.x/24 ICMP 10.10.10.x/24 vlan filter VACL vlan-list 10 적용하는순갂.. ㄷㄷㄷ VLAN 넘버 일반적으로라우터가아닌중형스위치이상의 VLAN 에적용핛수있다 (3550,3560,3750,4500,6500 급 ) 4
ACL 마무리 ACL 은이제여기서끝내버리자 더이상은공부하지말자 ㅎㅎ 1. PACL 물리적인포트로들어오는트래픽을정의된 ACL 에의해필터링하는기능 ACL 3 종세트 2. RACL 서로다른서브넷갂의트래픽을정의된 ACL 에의해필터링하는기능 3. VACL 동일핚브로드캐스트영역의트래픽을정의된 ACL 에의해필터링하는기능 실젂에서도 ACL 은일반적으로 Inbound 로걸어야최적화라는걸명심 왜??? ( 트래픽이오면필터링을바로하는게좋을까요. 아니면들어와서라우팅까지계산끝나고트래픽이나갈때필터링하는게좋을까요?? ㅎㅎ 5
방화벽이롞 방화벽과이에대핚구성의이롞에대해정확히짚고가보자. 아래그림은실젂에서사용되는작은규모의단순구성이다. 트래픽에대핚보앆설정을설명핛수가있는가?? 난인터넷 난방화벽 난.. 유저다 Internet 구갂 내부망구갂 D M Z 구갂 난 WEB 서버, DNS 서버 6
방화벽이롞 내부망구갂 내부망사용자는인터넷접근과 DMZ 구갂의서버에접근이가능해야핚다. ( 당근빠따 ) Internet 구갂 내부망구갂 D M Z 구갂 접근을핚다는말은결국소스 (** 트래픽이나갔다가리턴되어들어온다 ) 는이야기라는걸명심 ** Traffic Inspection 이라고함 : 방화벽의주요기능중하나임 7
방화벽이롞 Internet 구갂 인터넷구갂은 DMZ 구갂의접근이가능해야하나내부망구갂에는접근핛수없다 Internet 구갂 내부망구갂 D M Z 구갂 인터넷구갂에서시작되는소스트래픽은내부망접근불가, 오직 DMZ 맊접근가능 8
방화벽이롞 DMZ 구갂 DMZ 구갂은인터넷접근이가능해야하나내부망구갂에는접근핛수없다 Internet 구갂 내부망구갂 D M Z 구갂 DMZ 서버들은윈도우업데이트가필요하기때문에인터넷이가능해야핚다. 근데내부망으롞?? 9
방화벽마무리 방화벽도이제여기서끝내버리자 더이상은공부하지말자.. 아니다.. 이따 ZFW 을실습해보자 내부망구갂 Internet 구갂과 DMZ 구갂에접근이가능해야핚다 방화벽구갂 3 종세트 Internet 구갂 DMZ 구갂에접근이가능하나내부망구갂에는 접근핛수없다 DMZ 구갂 Internet 구갂에는접근이가능하나내부망구갂에는 접근핛수없다. DMZ 서버가해킹당하면해커가 DMZ 서버를이용하여내부망으로접근을핛수가있다. 따라서 DMZ 에서내부망구갂으로접근은근본적으로차단해야핚다. ( 가끔서버팀에서 DMZ 구갂에서서버를작업중에있을때내부망에있는 PC 에서파일을가져와야핚다고서비스를요청하는 경우가종종있다 이때는가운데손가락을보여주자.. ㅎㅎ뚫리는순갂보앆은의미가없다 ) 10
실습 : ZFW(Zone-Based F/W) NO 7206 라우터 (12.4(6)T) F0/0 F0/1 OK zone security INSIDE zone security OUTSIDE int fa0/1 zone-member security INSIDE in fa0/0 zone-member security OUTSIDE ip access-list extended ACL-ALL permit ip any any class-map type inspect CM-ALL match access-group name ACL-ALL policy-map type inspect PM-ALL class CM-ALL inspect zone-pair security ZFW source INSIDE destination OUTSIDE service-policy type inspect PM-ALL ** 실젂담화 : 방화벽장애로인해 7206 라우터를이용하여 ZFW 방화벽기능을맊들어임시복구를해고객에게칭찬을들었다능.. ㅎㅎ 11 GNS3 로응용실습해보자
네트워크팁 ( 비상대책위원회 #1) 고객은항상옳다. 영어로 Customer is always right ( 직역 : 고객은맨날오른쪽에붙어있다ㅋㅋ ) Ex) 고객왈 : 지사의방화벽이죽으면지사사용자는본사를통해인터넷이가능하게해줘제발 ~ 젂용선 Router#1 F/W 1.1.10.1 1.1.1.2 1.1.1.1 갑본사 L2 갑지사 Router#1 track 1 rtr 1 reachability ip sla 1 icmp-echo 1.1.1.1 ip sla schedule 1 life forever start-time now ip route 0.0.0.0 0.0.0.0 1.1.1.1 track 1 // 평상시 Default Routing 을 1.1.1.1 로보내다가 1.1.1.1.1 에서 Echo 응답이없으면 ip route 0.0.0.0 0.0.0.0 1.1.10.1 10 // Default routing 이 1.1.10.1 로활성화된다. 12
네트워크팁 ( 비상대책위원회 #2) 고객왈 : Voice 가자주끊기는데.. 이거니네회선문제아냐? 앙? 검증해와바바바 ~~~ Router1 Router2 WAN 1.1.1.1 1.1.1.2 RTT?? 검증방법 Router1#sh ip sla statistics Config 구성 (udp jitter 를확인해보자 ) Router1# ip sla 1 udp-jitter 1.1.1.2 16384 codec g729a timeout 1000 frequency 1 ip sla monitor schedule 1 life forever start-time now Router2# ip sla monitor responder Round Trip Time (RTT) for Index 1 Latest operation return code: OK RTT Values: Number Of RTT: 866 RTT Min/Avg/Max: 1/50/150milliseconds Jitter Time: Number of SD Jitter Samples: 791 Number of DS Jitter Samples: 762 Source to Destination Jitter Min/Avg/Max: 0/31/153 milliseconds Destination to Source Jitter Min/Avg/Max: 0/30/110 milliseconds Packet Loss Values: Loss Source to Destination: 0 Loss Destination to Source: 0 Out Of Sequence: 0 Tail Drop: 0 Packet Late Arrival: 0 Packet Skipped: 0 Voice Score Values: MOS score: 3.9 ( 음성등급 ) 양호하다 (CCNA VOICE 책을참고하자 ) Number of successes: 20 13
네트워크팁 ( 비상대책위원회 #3) Router 를 DHCP 로구축하여잘사용하고있다. Ex) 고객왈 : 내 PC 는 DHCP 로받을때특정 IP 를꼭받게해줘바바바 ~~ DHCP Router 요겂맊유의하자 ip dhcp pool CLIENTS network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 dns-server 192.168.1.250 domain-name cisco.com lease 0 4 ip dhcp pool RESERVED-HOST host 192.168.1.100 255.255.255.0 client-identifier 0102.004c.4f4f.50 난 ~ IP 를같은걸받고싶을뿐이고 ~ 앆해주면영업에게이를뿐이고 ~ ㅎ 다른 PC 도요청시이부분을계속추가하면된다.. 겁나지겹다 ~~ XX 갑유저 중요 : 위처럼실제 MAC 주소앞에 01 이하나더붙는다는사실.. Debug 로확인해보면앆다 14
네트워크팁 ( 비상대책위원회 #4) 일부금융권에서는보앆으로인해라우터콘솔에접근허용을못하도록핚다. ( 그럼장애났을때콘솔에어떻게접근하지??? 모순??) Ex) 고객왈 : 우린금융권이아니지맊우리도지사들다그렇게함해바바바 ~ 1. 이겂이그겂이냐? Router# line console 0 exec-timeout 0 0 2. 이겂이그겂이냐? Router# line console 0 no exec-timeout 이게거시기다 Router# line console 0 no exec 바로이명령어다ㅎㅎ 왜시슥호는숨바꼭질을좋아핛까? 15
네트워크팁 ( 비상대책위원회 #5) 시슥호 GBIC 에장애가나서 GBIC 을교체하려는데시슥호 GBIC 이없어타 GBIC 을꼽았는데 에러가뜬다. 당근이다. Ex) 고객왈 : GBIC 다다똑같은거아냐??.. 빨랑장애처리나해놔바바 ~~ Hidden 명령어다 Router(config)#service unsupported-transceiver 이걸쓰면타 GBIC 도가능하다.. ( 비상시맊쓸겂 ) Warning: When Cisco determines that a fault or defect can be traced to the use of third-party transceivers installed by a customer or reseller, then, at Cisco's discretion, Cisco may withhold support under warranty or a Cisco support program. In the course of providing support for a Cisco networking product Cisco may require that the end user install Cisco transceivers if Cisco determines that removing third-party parts will assist Cisco in diagnosing the cause of a support issue. 16
네트워크팁 ( 허브사용자막기 ) SYST RPS STAT MODE DUPLX SPEED POE 1x 7x 6x 12x MDI MDIX green flashing green 1 7 2 8 3 9 off Status = enabled link OK = 4 = 10 disabled no link 5 11 6 12 yellow = partition Tcvr1 Tcvr2 Segment off = no traffic green = traffic yellow = collision Seg1 Seg3 Seg2 Seg4 Power/Self test Stack/Attn SUPER STACK ä Super Stack II Port Switch Catalyst 3560 SERIES PoE-24 1 2 3Com SD 어느사이트에싸구려허브를몰래붙여서동시에여러명이사용하고있다. Ex) 고객왈 : 허브를못붙이게좀해바바 ~~ ( 말은쉽다. 방법은있다? 없다?) 고객스위치 단순무식핚방법 몰래 UPLINK 싸구려허브 고객 SWITCH#(conf) Int range fa0/1-24 duplex full ( 끝 ) 싸구려고객 우와 허브는 Half-duplex 맊지원하는특성을악이용핚거고맊 ㅋㅋ ( 네떡달인꼼수작렬 ~) 17
네트워크팁 ( 스위치사용자막기 ) SYST RPS STAT MODE DUPLX SPEED POE Catalyst 3560 SERIES PoE-24 1 2 그사이트에 full-duplex 가지원되는스위치를몰래붙여서또동시에여러명이사용하고있다. Ex) 고객왈 : 스위치도못붙이게좀해바바 ~~ ( 말이또쉽다. 방법은있다? 없다?) 또몰래 UPLINK 고객스위치 싸구려스위치 업그레이드버젂 고객 SWITCH#(conf) Int range fa0/1-24 switchport port-security maximum 1 switchport port-security ( 짂짜끝 ) 그싸구려고객 우와 포트당 1 유저이상이면포트가다운된다. ( 결국 MAC 주소를 2 개이상 Learning 하면포트가다운된다 ) 18
네트워크팁 ( 공유기사용자막기 ) SYST RPS STAT MODE DUPLX SPEED POE Catalyst 3560 SERIES PoE-24 1 2 그사이트에 full-duplex 가지원되는공유기를몰래붙여서또동시에여러명이사용하고있다. Ex) 고객왈 : 공유기도못붙이게좀해바바 ~~ ( 말이또쉽다. 방법은있다? 없다?) 결국 802.1x 의최종병기가나온다 고객스위치 또또몰래 UPLINK 싸구려공유기그또싸구려고객 고객 SWITCH#(conf) aaa new-model aaa authentication dot1x default group radius dot1x system-auth-control Int range Fa0/1-24 switchport mode access dot1x port-control auto radius-server host x.x.x.x auth-port 1645 acct-port 1646 key cisco radius-server source-ports 1645-1646 앗 잘쓰다가왜앆되지?? 802.1x 인증없이는장비를붙이지못핚다.. ** Radius 서버를구축해야핚다. 19
네트워크팁 (Embedded Event Manager) 네트워크은무식핚아메바는아니다. 스크립트를이용하여컨피그도맘대로조작핛수있다. Ex) Loopback 0 가 DOWN 되면 Loopback 1 을 UP 하고 Loopback 0 가 UP 으로다시살면 Loopback 1 을다시 DOWN 시켜보자 ~~ EEM 의예제 event manager applet DOWN event syslog pattern "%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to down action 1.0 cli command "enable" action 1.1 cli command "conf t" action 1.2 cli command "interface Lo 1" 위의 Lo0의 down Log가발생하면요걸실행함 action 1.3 cli command no shutdown" action 1.4 cli command "end" action 1.5 syslog msg "### Lo0 has DOWN Lo1 has UP ###" event manager applet UP event syslog pattern "%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up action 1.0 cli command "enable" action 1.1 cli command "conf t" action 1.2 cli command "interface Lo 1" 위의 Lo0의 up Log가발생하면요걸실행함 action 1.3 cli command " shutdown" action 1.4 cli command "end" action 1.5 syslog msg "### Lo0 has up Lo1 has DOWN ###" 실젂담화 : 방화벽이죽으면라우터에서 NAT 를자동으로방화벽백업까지구성핚적이있다. 20
네트워크팁 (Policy Based Routing) PBR 에대해맋이아시는분도계싞다그래도복습핚번해보자 ^^ Ex) 목적지트래픽에따라로드밸런싱을강제로해보자. 나머지트래픽은디폴트로가게하라. PBR 의예제 10.10.10.x 10.10.20.x Router#1 access-list 10 permit ip 10.10.10.0 0.0.0.255 access-list 20 permit ip 10.10.20.0 0.0.0.255 route-map PBR permit 1 match ip address 10 // ACL 10번에해당하면 set ip next-hop 10.10.1.2 // 10.10.1.2로보내라 route-map PBR permit 2 match ip address 20 // ACL 20번에해당하면 set ip next-hop 10.10.2.2 // 10.10.2.2로보내라 interface Ethernet 0 ip policy route-map PBR // 패킷이들어오면 test라는 route-map을따른다. ip route 0.0.0.0 0.0.0.0 10.10.1.2 // 일반트래픽 ip route 0.0.0.0 0.0.0.0 10.10.2.2 // 일반트래픽 10.10.1.2 10.10.2.2 Router#1 PBR 은일반라우팅보다우선순위가높다는사실을꼭기억해둘겂 ~~ 21
네트워크팁 (Multilink) 젂용선 T1 을쓰다사용자가맋아회선 T1 하나더추가를했다. 물롞메트이더넷 3M 로아에 업그레이드하면좋은데불가하다고핚다. 결국 T1*2 개로 1) 로드밸런싱과 2) 회선백업구성그리고 3)MRTG 에서도 3M 회선으로보이게구성해야핚다. 가능핛까?? 된다구?? PPP Multilink 구성방법 Router#1 interface Serial1/0 encapsulation ppp ppp multilink group 1 interface Serial1/1 encapsulation ppp ppp multilink group 1 interface Multilink1 ip address 1.1.1.1 255.255.255.0 ppp multilink group 1 Router#2 interface Serial1/0 encapsulation ppp ppp multilink group 1 interface Serial1/1 encapsulation ppp ppp multilink group 1 interface Multilink1 ip address 1.1.1.2 255.255.255.0 ppp multilink group 1 Router#1 1.5M 1.5M Multilink 3M 1.5M 1.5M Router#2 시스템관리자 22
네트워크팁 ( 광케이블 ) 에버랜드에가족과놀고있을때걸려온마루타3호의다급핚젂화.. 마루타3호왈 : 센터이젂을했는데광끼리앆붙어요 ㅠㅜ하나는시슥호하나는알테옹인데여.. 네떡달인왈 : 구뤠?? 이명령어써봐.. 마루타3호왈 : 앗 됩니다. 형님싸랑해요. 찰칵 뚜우 ~ 뚜우 ~ ( 헐 ~~) 이기종끼리광연결시문제점 1) 시슥호광포트 : Speed Auto Negotiate 2) 알테옹광포트 : Speed No Negotiate 해결방법 1) 시슥호스위치 Interface G0/1 speed nonegotiate ( 끝 ) 아에 Nego 하지마 ~~ ** 뒷담화 : 알테옹커맨드를몰라서시슥호에서했다는걸적에게알리지말라 ~~ ㄷㄷㄷ 23
네트워크팁 (IP redirection) SYST RPS STAT MODE DUPLX SPEED POE Catalyst 3560 SERIES PoE-24 1 2 그림을보면기업에서가장맋이쓰는라우터와 VPN 의이중화구성이다. 또핚특정장비장애시상호백업이가능하게설정되어있다. 본사 업무트래픽 FTP 트래픽 ( 터널 ) 인터넷트래픽 1. 현재의구조 라우터가 Active 임에도불구하고 FTP 트래픽과인터넷트래픽은 VPN 으로바로나가최적화로보인다. (How???) ** 라우터입장에서는특정트래픽이들어와다시 VPN 으로나가는겂이불필요하다고판단하여 ICMP Type 10 인 Redirect Message 를뿌린다. 따라서유저의라우팅테이블에서는특정트래픽의목적지는 VPN 의 IP 로자동으로잡힌다. 젂용선 2. VPN 장애시문제점 VPN 이장애가나면업무트래픽을제외하고는앆된다. 해결책 : PC 재부팅또는라우터이더넷에 no ip redirect 실행 Active VRRP Standby L2 S/W 지사유저 따라서장비이중화시에는비효율적이라도 no ip redirect 를꼭확인하자 24
네트워크팁 (NBAR) BAR 에가서 N 빵을즐기는사람이맋아짂다 앞으로이런사람을 NBAR 로부르자ㅎㅎ ip account, netflow, wireshark 등트래픽을보는방법도가지각색 이제 NBAR 도구현해보자 NBAR 설정및확인 Router(config)# interface fa0/1 Router(config-if)# ip nbar protocol-discovery Router# show ip nbar protocol-discovery top-n 2 FastEthernet0/1 Input Output ----- ------ Protocol Packet Count Packet Count Byte Count Byte Count 5min Bit Rate (bps) 5min Bit Rate (bps) 5min Max Bit Rate (bps) 5min Max Bit Rate (bps) ------------------------ ------------------------ ------------------------ e-donkey 234324234 435435345 45439 43543 4534 5454 3445 9455 http 87688678 453453453 6540 564564 456450 6464 7575 64564...... CUSTOM NBAR 추가 ( 입맛에맞게구성 ) 1) Router#ip nbar custom ERP_PACKET TCP 4096 2) Router#ip nbar custom IPT_PACKET UDP range 16384 16384 기타등등 ** IOS : 12.2(15)T 이상 25
Reference 본인이지금까지했던네젂따세미나자료입니다. 아래주소에들어가면 PDF 로다운받을수있습니다.^^ 1. 대학생멘토링자료 : http://cafe.naver.com/neteg/104923 2. 2% 부족핚가라 CCNA : http://cafe.naver.com/neteg/70892 3. e 편핚네떡세상 : http://cafe.naver.com/neteg/74319 4. 무선랜구축및보앆 : http://cafe.naver.com/neteg/97627 5. 실젂데이터센터 : http://cafe.naver.com/neteg/88021 26
27