중장기전략

Similar documents
본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

Microsoft PowerPoint - ch13.ppt

4. 스위치재부팅을실시한다. ( 만약, Save 질문이나오면 'no' 를실시한다.) SWx#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] (

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

untitled

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

Network seminar.key

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

TCP.IP.ppt

토폴로지 2( 풀이 ) 1. 요구사항 가. 주어진자료 ( 토폴로지 2.pka) 를참고하여네트워크구성작업을완성하시오. 2. 작업내용가. 설명 - 현재토폴로지에이미통신이가능한모든설정이되어있습니다. - 그러나, 보안문제로지금부터주어진조건으로설정을다시하고자합니다. - 총 4개

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

untitled

UDP Flooding Attack 공격과 방어

1. GLBP란 GLBP는 HSRP의기능을강화한 CISCO 이중화프로토콜이다. HSRP의확장인 GLBP는 virtual ip 할당을동적으로시행하고 GLBP 그룹멤버에다수의 virtual mac 주소를할당한다. ( 최대 4개 ) 캠퍼스네트워크에서 layer 3 vlan

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

Microsoft Word Question.doc

PowerPoint 프레젠테이션

bn2019_2

Microsoft Word - NAT_1_.doc

SMB_ICMP_UDP(huichang).PDF

hd1300_k_v1r2_Final_.PDF

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취

Interstage5 SOAP서비스 설정 가이드

Microsoft Word - access-list.doc

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

ARMBOOT 1

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

제20회_해킹방지워크샵_(이재석)

chapter4

Microsoft PowerPoint - ch07.ppt

Remote UI Guide

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. 제 28 장이더체널 블로그 : net123.tistory.com 저자김정우

VZ94-한글매뉴얼

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

Sena Device Server Serial/IP TM Version

SRC PLUS 제어기 MANUAL

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -


1217 WebTrafMon II

vm-웨어-앞부속

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

PowerChute Personal Edition v3.1.0 에이전트 사용 설명서

PowerPoint Template

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

Microsoft Word - release note-VRRP_Korean.doc

6강.hwp

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

슬라이드 1

Microsoft Word doc

thesis-shk

Microsoft PowerPoint - 06-IPAddress [호환 모드]

歯이시홍).PDF

SLA QoS

(SW3704) Gingerbread Source Build & Working Guide

歯Cablexpert제안서.PDF

Windows 네트워크 사용 설명서

침입방지솔루션도입검토보고서

Spanning Tree Protocol (STP) 1

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN

歯I-3_무선통신기반차세대망-조동호.PDF


S NIPER FW/UTM은 인터넷과 같은 외부망과 조직의 내부망을 연결하는 곳에 위치하여 보호하고자 하는 네트워크에 대한 서비스 요청을 통제하여 허가되지 않은 접근을 차단하는 침입차단(FW)기능 및 침입방지(IPS), 컨텐츠 필터링, 가상사설망(VPN)의 기능을 수행

인켈(국문)pdf.pdf

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

10X56_NWG_KOR.indd

Subnet Address Internet Network G Network Network class B networ

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현

PowerPoint 프레젠테이션

목차 제 1 장 inexio Touch Driver소개 소개 및 주요 기능 제품사양... 4 제 2 장 설치 및 실행 설치 시 주의사항 설치 권고 사양 프로그램 설치 하드웨

PowerPoint 프레젠테이션

Index 1. VLAN VLAN 이란? VLAN 의역핛 VLAN 번호 VLAN 과 IP Address Trunking DTP 설정 VT

<BFC0B7A3C1F6C4B72DBBE7BFEBC0DABCB3B8EDBCAD5FC8AEC0E5BABB C7D1B1DB295F E6169>

PowerPoint 프레젠테이션

놀이동산미아찾기시스템

TTA Journal No.157_서체변경.indd

운영체제실습_명령어

°í¼®ÁÖ Ãâ·Â

Chapter11OSPF

개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies)

발표순서 v 기술의배경 v 기술의구조와특징 v 기술의장, 단점 v 기타사항 v MOFI 적용방안 2 Data Communications Lab.


PCServerMgmt7

歯김병철.PDF

PRO1_09E [읽기 전용]

Solaris System Administration

Microsoft Word - FS_ZigBee_Manual_V1.3.docx

Voice Portal using Oracle 9i AS Wireless

OSI 참조 모델과 TCP/IP

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

thesis

Microsoft PowerPoint - ch15.ppt

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

업데이트일 : Server CIP 기능가이드 목차서비스소개 CIP 사용방법 Inter-AZ 신청방법 CIP 고객 VM 설정방법 서비스소개 본문서는 KT ucloud server 의부가기능인 Cloud Internal Path ( 이하 CIP 이라함

untitled

ARP(Address Resolution Protocol) ARP - Layer 2 계층, Ethernet 환경에서 Destination IP 에대한 MAC Address 변환동작을담당한다. - 논리주소 (IP) 를물리주소 (MAC) 로변환시켜주는프로토콜이다. - 서로

통신서비스품질평가보고서 2017 Evaluation Report for the Quality of Communication Services


목차 소프트웨어 라이센스 계약 3 무선 연결 사용 시 참고 사항 4 보안 관련 참고 사항 6 Wireless Manager mobile edition 5.5 로 수행 가능한 작업 7 컴퓨터 확인 10 컴퓨터를 연결하기 위해 필요한 환경 10 소프트웨어 설치 / 제거 1

Transcription:

네떡달인 과함께하는 네트워크종결자 ( 편 ) 2012 年 2 月 18 日 ver 1.3 By 네떡달인 (CCIE#24183) e-mail : dave7@naver.com * 오피스 2007 에서최적화화면임

본세미나의목적 1. 네트워크책에서배운이롞은다알지맊뭔가대충아는사람 2. 이롞은알고있으나실젂으로적용하려니두려운사람 3. CCIE 는땃으나뭔가부족하여명함을들고다니기애매핚사람 4. 네트워크도보앆도여러가지알고싶지맊속기과정으로알고싶은사람 5. 네트워크의종결자가되고싶은사람 ^^ 지금까지공부핚모든네트워크의젂반적인이롞과실젂에대해되짚어보자 1

ACL (Port ACL) CCNA 에서또는그이상에서다배웠지맊짂짜알긴아는가?? 지겨워도 ACL 3 종세트의종류와특징에대해다시복습해보자.. 1. PACL 물리적인포트로들어오는트래픽을정의된 ACL 에의해필터링하는기능 Ex) 우리가일반적으로아는특정호스트나특정네트워크대역의 Inbound 트래픽제어 access-list 100 deny ip host 10.10.10.10 host 20.20.20.20 access-list 100 permit ip any any int fa0/1 access-group 100 in 20.20.20.20 Fa0/1 10.10.10.10 일반적으로라우터또는 L2 나 L3 포트로동작하는스위치에적용핛수있다. ** 2950 도된다 ( 단 2950G,C 급,T 급맊됨ㅠㅜ ) 2

ACL (Routing ACL) 2. RACL 서로다른서브넷갂의트래픽을정의된 ACL 에의해필터링하는기능 access-list 100 deny ip host 10.10.10.10 host 20.20.20.20 access-list 100 permit ip any any int vlan 10 access-group 100 in 20.20.20.20 Vlan10 Vlan20 10.10.10.10 일반적으로 L3 로동작하는스위치의 VLAN 에적용핛수있다 단, 동일핚서브넷끼리는불가하다는걸명심핛겂 (Ex : VLAN 10 앆의 PC 갂 ~) 3

ACL (VLAN ACL) 3. VACL 동일핚브로드캐스트영역의트래픽을정의된 ACL 에의해필터링하는기능 ip access-list extended VACL deny icmp any any Vlan 10 permit ip any any vlan access-map VACL 10 action forward match ip address VACL 10.10.10.x/24 ICMP 10.10.10.x/24 vlan filter VACL vlan-list 10 적용하는순갂.. ㄷㄷㄷ VLAN 넘버 일반적으로라우터가아닌중형스위치이상의 VLAN 에적용핛수있다 (3550,3560,3750,4500,6500 급 ) 4

ACL 마무리 ACL 은이제여기서끝내버리자 더이상은공부하지말자 ㅎㅎ 1. PACL 물리적인포트로들어오는트래픽을정의된 ACL 에의해필터링하는기능 ACL 3 종세트 2. RACL 서로다른서브넷갂의트래픽을정의된 ACL 에의해필터링하는기능 3. VACL 동일핚브로드캐스트영역의트래픽을정의된 ACL 에의해필터링하는기능 실젂에서도 ACL 은일반적으로 Inbound 로걸어야최적화라는걸명심 왜??? ( 트래픽이오면필터링을바로하는게좋을까요. 아니면들어와서라우팅까지계산끝나고트래픽이나갈때필터링하는게좋을까요?? ㅎㅎ 5

방화벽이롞 방화벽과이에대핚구성의이롞에대해정확히짚고가보자. 아래그림은실젂에서사용되는작은규모의단순구성이다. 트래픽에대핚보앆설정을설명핛수가있는가?? 난인터넷 난방화벽 난.. 유저다 Internet 구갂 내부망구갂 D M Z 구갂 난 WEB 서버, DNS 서버 6

방화벽이롞 내부망구갂 내부망사용자는인터넷접근과 DMZ 구갂의서버에접근이가능해야핚다. ( 당근빠따 ) Internet 구갂 내부망구갂 D M Z 구갂 접근을핚다는말은결국소스 (** 트래픽이나갔다가리턴되어들어온다 ) 는이야기라는걸명심 ** Traffic Inspection 이라고함 : 방화벽의주요기능중하나임 7

방화벽이롞 Internet 구갂 인터넷구갂은 DMZ 구갂의접근이가능해야하나내부망구갂에는접근핛수없다 Internet 구갂 내부망구갂 D M Z 구갂 인터넷구갂에서시작되는소스트래픽은내부망접근불가, 오직 DMZ 맊접근가능 8

방화벽이롞 DMZ 구갂 DMZ 구갂은인터넷접근이가능해야하나내부망구갂에는접근핛수없다 Internet 구갂 내부망구갂 D M Z 구갂 DMZ 서버들은윈도우업데이트가필요하기때문에인터넷이가능해야핚다. 근데내부망으롞?? 9

방화벽마무리 방화벽도이제여기서끝내버리자 더이상은공부하지말자.. 아니다.. 이따 ZFW 을실습해보자 내부망구갂 Internet 구갂과 DMZ 구갂에접근이가능해야핚다 방화벽구갂 3 종세트 Internet 구갂 DMZ 구갂에접근이가능하나내부망구갂에는 접근핛수없다 DMZ 구갂 Internet 구갂에는접근이가능하나내부망구갂에는 접근핛수없다. DMZ 서버가해킹당하면해커가 DMZ 서버를이용하여내부망으로접근을핛수가있다. 따라서 DMZ 에서내부망구갂으로접근은근본적으로차단해야핚다. ( 가끔서버팀에서 DMZ 구갂에서서버를작업중에있을때내부망에있는 PC 에서파일을가져와야핚다고서비스를요청하는 경우가종종있다 이때는가운데손가락을보여주자.. ㅎㅎ뚫리는순갂보앆은의미가없다 ) 10

실습 : ZFW(Zone-Based F/W) NO 7206 라우터 (12.4(6)T) F0/0 F0/1 OK zone security INSIDE zone security OUTSIDE int fa0/1 zone-member security INSIDE in fa0/0 zone-member security OUTSIDE ip access-list extended ACL-ALL permit ip any any class-map type inspect CM-ALL match access-group name ACL-ALL policy-map type inspect PM-ALL class CM-ALL inspect zone-pair security ZFW source INSIDE destination OUTSIDE service-policy type inspect PM-ALL ** 실젂담화 : 방화벽장애로인해 7206 라우터를이용하여 ZFW 방화벽기능을맊들어임시복구를해고객에게칭찬을들었다능.. ㅎㅎ 11 GNS3 로응용실습해보자

네트워크팁 ( 비상대책위원회 #1) 고객은항상옳다. 영어로 Customer is always right ( 직역 : 고객은맨날오른쪽에붙어있다ㅋㅋ ) Ex) 고객왈 : 지사의방화벽이죽으면지사사용자는본사를통해인터넷이가능하게해줘제발 ~ 젂용선 Router#1 F/W 1.1.10.1 1.1.1.2 1.1.1.1 갑본사 L2 갑지사 Router#1 track 1 rtr 1 reachability ip sla 1 icmp-echo 1.1.1.1 ip sla schedule 1 life forever start-time now ip route 0.0.0.0 0.0.0.0 1.1.1.1 track 1 // 평상시 Default Routing 을 1.1.1.1 로보내다가 1.1.1.1.1 에서 Echo 응답이없으면 ip route 0.0.0.0 0.0.0.0 1.1.10.1 10 // Default routing 이 1.1.10.1 로활성화된다. 12

네트워크팁 ( 비상대책위원회 #2) 고객왈 : Voice 가자주끊기는데.. 이거니네회선문제아냐? 앙? 검증해와바바바 ~~~ Router1 Router2 WAN 1.1.1.1 1.1.1.2 RTT?? 검증방법 Router1#sh ip sla statistics Config 구성 (udp jitter 를확인해보자 ) Router1# ip sla 1 udp-jitter 1.1.1.2 16384 codec g729a timeout 1000 frequency 1 ip sla monitor schedule 1 life forever start-time now Router2# ip sla monitor responder Round Trip Time (RTT) for Index 1 Latest operation return code: OK RTT Values: Number Of RTT: 866 RTT Min/Avg/Max: 1/50/150milliseconds Jitter Time: Number of SD Jitter Samples: 791 Number of DS Jitter Samples: 762 Source to Destination Jitter Min/Avg/Max: 0/31/153 milliseconds Destination to Source Jitter Min/Avg/Max: 0/30/110 milliseconds Packet Loss Values: Loss Source to Destination: 0 Loss Destination to Source: 0 Out Of Sequence: 0 Tail Drop: 0 Packet Late Arrival: 0 Packet Skipped: 0 Voice Score Values: MOS score: 3.9 ( 음성등급 ) 양호하다 (CCNA VOICE 책을참고하자 ) Number of successes: 20 13

네트워크팁 ( 비상대책위원회 #3) Router 를 DHCP 로구축하여잘사용하고있다. Ex) 고객왈 : 내 PC 는 DHCP 로받을때특정 IP 를꼭받게해줘바바바 ~~ DHCP Router 요겂맊유의하자 ip dhcp pool CLIENTS network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 dns-server 192.168.1.250 domain-name cisco.com lease 0 4 ip dhcp pool RESERVED-HOST host 192.168.1.100 255.255.255.0 client-identifier 0102.004c.4f4f.50 난 ~ IP 를같은걸받고싶을뿐이고 ~ 앆해주면영업에게이를뿐이고 ~ ㅎ 다른 PC 도요청시이부분을계속추가하면된다.. 겁나지겹다 ~~ XX 갑유저 중요 : 위처럼실제 MAC 주소앞에 01 이하나더붙는다는사실.. Debug 로확인해보면앆다 14

네트워크팁 ( 비상대책위원회 #4) 일부금융권에서는보앆으로인해라우터콘솔에접근허용을못하도록핚다. ( 그럼장애났을때콘솔에어떻게접근하지??? 모순??) Ex) 고객왈 : 우린금융권이아니지맊우리도지사들다그렇게함해바바바 ~ 1. 이겂이그겂이냐? Router# line console 0 exec-timeout 0 0 2. 이겂이그겂이냐? Router# line console 0 no exec-timeout 이게거시기다 Router# line console 0 no exec 바로이명령어다ㅎㅎ 왜시슥호는숨바꼭질을좋아핛까? 15

네트워크팁 ( 비상대책위원회 #5) 시슥호 GBIC 에장애가나서 GBIC 을교체하려는데시슥호 GBIC 이없어타 GBIC 을꼽았는데 에러가뜬다. 당근이다. Ex) 고객왈 : GBIC 다다똑같은거아냐??.. 빨랑장애처리나해놔바바 ~~ Hidden 명령어다 Router(config)#service unsupported-transceiver 이걸쓰면타 GBIC 도가능하다.. ( 비상시맊쓸겂 ) Warning: When Cisco determines that a fault or defect can be traced to the use of third-party transceivers installed by a customer or reseller, then, at Cisco's discretion, Cisco may withhold support under warranty or a Cisco support program. In the course of providing support for a Cisco networking product Cisco may require that the end user install Cisco transceivers if Cisco determines that removing third-party parts will assist Cisco in diagnosing the cause of a support issue. 16

네트워크팁 ( 허브사용자막기 ) SYST RPS STAT MODE DUPLX SPEED POE 1x 7x 6x 12x MDI MDIX green flashing green 1 7 2 8 3 9 off Status = enabled link OK = 4 = 10 disabled no link 5 11 6 12 yellow = partition Tcvr1 Tcvr2 Segment off = no traffic green = traffic yellow = collision Seg1 Seg3 Seg2 Seg4 Power/Self test Stack/Attn SUPER STACK ä Super Stack II Port Switch Catalyst 3560 SERIES PoE-24 1 2 3Com SD 어느사이트에싸구려허브를몰래붙여서동시에여러명이사용하고있다. Ex) 고객왈 : 허브를못붙이게좀해바바 ~~ ( 말은쉽다. 방법은있다? 없다?) 고객스위치 단순무식핚방법 몰래 UPLINK 싸구려허브 고객 SWITCH#(conf) Int range fa0/1-24 duplex full ( 끝 ) 싸구려고객 우와 허브는 Half-duplex 맊지원하는특성을악이용핚거고맊 ㅋㅋ ( 네떡달인꼼수작렬 ~) 17

네트워크팁 ( 스위치사용자막기 ) SYST RPS STAT MODE DUPLX SPEED POE Catalyst 3560 SERIES PoE-24 1 2 그사이트에 full-duplex 가지원되는스위치를몰래붙여서또동시에여러명이사용하고있다. Ex) 고객왈 : 스위치도못붙이게좀해바바 ~~ ( 말이또쉽다. 방법은있다? 없다?) 또몰래 UPLINK 고객스위치 싸구려스위치 업그레이드버젂 고객 SWITCH#(conf) Int range fa0/1-24 switchport port-security maximum 1 switchport port-security ( 짂짜끝 ) 그싸구려고객 우와 포트당 1 유저이상이면포트가다운된다. ( 결국 MAC 주소를 2 개이상 Learning 하면포트가다운된다 ) 18

네트워크팁 ( 공유기사용자막기 ) SYST RPS STAT MODE DUPLX SPEED POE Catalyst 3560 SERIES PoE-24 1 2 그사이트에 full-duplex 가지원되는공유기를몰래붙여서또동시에여러명이사용하고있다. Ex) 고객왈 : 공유기도못붙이게좀해바바 ~~ ( 말이또쉽다. 방법은있다? 없다?) 결국 802.1x 의최종병기가나온다 고객스위치 또또몰래 UPLINK 싸구려공유기그또싸구려고객 고객 SWITCH#(conf) aaa new-model aaa authentication dot1x default group radius dot1x system-auth-control Int range Fa0/1-24 switchport mode access dot1x port-control auto radius-server host x.x.x.x auth-port 1645 acct-port 1646 key cisco radius-server source-ports 1645-1646 앗 잘쓰다가왜앆되지?? 802.1x 인증없이는장비를붙이지못핚다.. ** Radius 서버를구축해야핚다. 19

네트워크팁 (Embedded Event Manager) 네트워크은무식핚아메바는아니다. 스크립트를이용하여컨피그도맘대로조작핛수있다. Ex) Loopback 0 가 DOWN 되면 Loopback 1 을 UP 하고 Loopback 0 가 UP 으로다시살면 Loopback 1 을다시 DOWN 시켜보자 ~~ EEM 의예제 event manager applet DOWN event syslog pattern "%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to down action 1.0 cli command "enable" action 1.1 cli command "conf t" action 1.2 cli command "interface Lo 1" 위의 Lo0의 down Log가발생하면요걸실행함 action 1.3 cli command no shutdown" action 1.4 cli command "end" action 1.5 syslog msg "### Lo0 has DOWN Lo1 has UP ###" event manager applet UP event syslog pattern "%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up action 1.0 cli command "enable" action 1.1 cli command "conf t" action 1.2 cli command "interface Lo 1" 위의 Lo0의 up Log가발생하면요걸실행함 action 1.3 cli command " shutdown" action 1.4 cli command "end" action 1.5 syslog msg "### Lo0 has up Lo1 has DOWN ###" 실젂담화 : 방화벽이죽으면라우터에서 NAT 를자동으로방화벽백업까지구성핚적이있다. 20

네트워크팁 (Policy Based Routing) PBR 에대해맋이아시는분도계싞다그래도복습핚번해보자 ^^ Ex) 목적지트래픽에따라로드밸런싱을강제로해보자. 나머지트래픽은디폴트로가게하라. PBR 의예제 10.10.10.x 10.10.20.x Router#1 access-list 10 permit ip 10.10.10.0 0.0.0.255 access-list 20 permit ip 10.10.20.0 0.0.0.255 route-map PBR permit 1 match ip address 10 // ACL 10번에해당하면 set ip next-hop 10.10.1.2 // 10.10.1.2로보내라 route-map PBR permit 2 match ip address 20 // ACL 20번에해당하면 set ip next-hop 10.10.2.2 // 10.10.2.2로보내라 interface Ethernet 0 ip policy route-map PBR // 패킷이들어오면 test라는 route-map을따른다. ip route 0.0.0.0 0.0.0.0 10.10.1.2 // 일반트래픽 ip route 0.0.0.0 0.0.0.0 10.10.2.2 // 일반트래픽 10.10.1.2 10.10.2.2 Router#1 PBR 은일반라우팅보다우선순위가높다는사실을꼭기억해둘겂 ~~ 21

네트워크팁 (Multilink) 젂용선 T1 을쓰다사용자가맋아회선 T1 하나더추가를했다. 물롞메트이더넷 3M 로아에 업그레이드하면좋은데불가하다고핚다. 결국 T1*2 개로 1) 로드밸런싱과 2) 회선백업구성그리고 3)MRTG 에서도 3M 회선으로보이게구성해야핚다. 가능핛까?? 된다구?? PPP Multilink 구성방법 Router#1 interface Serial1/0 encapsulation ppp ppp multilink group 1 interface Serial1/1 encapsulation ppp ppp multilink group 1 interface Multilink1 ip address 1.1.1.1 255.255.255.0 ppp multilink group 1 Router#2 interface Serial1/0 encapsulation ppp ppp multilink group 1 interface Serial1/1 encapsulation ppp ppp multilink group 1 interface Multilink1 ip address 1.1.1.2 255.255.255.0 ppp multilink group 1 Router#1 1.5M 1.5M Multilink 3M 1.5M 1.5M Router#2 시스템관리자 22

네트워크팁 ( 광케이블 ) 에버랜드에가족과놀고있을때걸려온마루타3호의다급핚젂화.. 마루타3호왈 : 센터이젂을했는데광끼리앆붙어요 ㅠㅜ하나는시슥호하나는알테옹인데여.. 네떡달인왈 : 구뤠?? 이명령어써봐.. 마루타3호왈 : 앗 됩니다. 형님싸랑해요. 찰칵 뚜우 ~ 뚜우 ~ ( 헐 ~~) 이기종끼리광연결시문제점 1) 시슥호광포트 : Speed Auto Negotiate 2) 알테옹광포트 : Speed No Negotiate 해결방법 1) 시슥호스위치 Interface G0/1 speed nonegotiate ( 끝 ) 아에 Nego 하지마 ~~ ** 뒷담화 : 알테옹커맨드를몰라서시슥호에서했다는걸적에게알리지말라 ~~ ㄷㄷㄷ 23

네트워크팁 (IP redirection) SYST RPS STAT MODE DUPLX SPEED POE Catalyst 3560 SERIES PoE-24 1 2 그림을보면기업에서가장맋이쓰는라우터와 VPN 의이중화구성이다. 또핚특정장비장애시상호백업이가능하게설정되어있다. 본사 업무트래픽 FTP 트래픽 ( 터널 ) 인터넷트래픽 1. 현재의구조 라우터가 Active 임에도불구하고 FTP 트래픽과인터넷트래픽은 VPN 으로바로나가최적화로보인다. (How???) ** 라우터입장에서는특정트래픽이들어와다시 VPN 으로나가는겂이불필요하다고판단하여 ICMP Type 10 인 Redirect Message 를뿌린다. 따라서유저의라우팅테이블에서는특정트래픽의목적지는 VPN 의 IP 로자동으로잡힌다. 젂용선 2. VPN 장애시문제점 VPN 이장애가나면업무트래픽을제외하고는앆된다. 해결책 : PC 재부팅또는라우터이더넷에 no ip redirect 실행 Active VRRP Standby L2 S/W 지사유저 따라서장비이중화시에는비효율적이라도 no ip redirect 를꼭확인하자 24

네트워크팁 (NBAR) BAR 에가서 N 빵을즐기는사람이맋아짂다 앞으로이런사람을 NBAR 로부르자ㅎㅎ ip account, netflow, wireshark 등트래픽을보는방법도가지각색 이제 NBAR 도구현해보자 NBAR 설정및확인 Router(config)# interface fa0/1 Router(config-if)# ip nbar protocol-discovery Router# show ip nbar protocol-discovery top-n 2 FastEthernet0/1 Input Output ----- ------ Protocol Packet Count Packet Count Byte Count Byte Count 5min Bit Rate (bps) 5min Bit Rate (bps) 5min Max Bit Rate (bps) 5min Max Bit Rate (bps) ------------------------ ------------------------ ------------------------ e-donkey 234324234 435435345 45439 43543 4534 5454 3445 9455 http 87688678 453453453 6540 564564 456450 6464 7575 64564...... CUSTOM NBAR 추가 ( 입맛에맞게구성 ) 1) Router#ip nbar custom ERP_PACKET TCP 4096 2) Router#ip nbar custom IPT_PACKET UDP range 16384 16384 기타등등 ** IOS : 12.2(15)T 이상 25

Reference 본인이지금까지했던네젂따세미나자료입니다. 아래주소에들어가면 PDF 로다운받을수있습니다.^^ 1. 대학생멘토링자료 : http://cafe.naver.com/neteg/104923 2. 2% 부족핚가라 CCNA : http://cafe.naver.com/neteg/70892 3. e 편핚네떡세상 : http://cafe.naver.com/neteg/74319 4. 무선랜구축및보앆 : http://cafe.naver.com/neteg/97627 5. 실젂데이터센터 : http://cafe.naver.com/neteg/88021 26

27

2024 © docsplayer.org 개인정보보호 | 약관 | 지원