1. 호스트이름, enable 패스워드변경 ( 토폴로지참고 ) - 스위치와라우터의 MD5로암호화된 enable passwod : Cisco123 가. 스위치이름 : SW1, SW2 나. 라우터이름 : RT Switch(config)#hostname SW1 SW1(config)#enable secret Cisco123 Switch(config)#hostname SW2 SW2(config)#enable secret Cisco123 Router(config)#hostname RT R1(config)#enable secret Cisco123 Tip. - 대소문자를주의해서입력합니다. - enable password 명령어는암호를그냥저장합니다. 문제에서아무조건없이 enable 패스워드를입력하라고할경우사용합 니다. 위문제에서는 MD5 로암호화된패스워드를사용하라고했기때문에 enable secret를사용했습니다. 2. VLAN - 토폴로지에명시된 vlan 번호와 vlan 이름을참고로 VLAN 설정을하시오. - SW1 - SW2, SW1 - RT 구간은트렁크모드로동작하도록설정하시오. 우선 vlan을생성합니다. vlan 이름도부여하라고했기때문에 name 명령어를사용하여 vlan 이름을부여합니다. vlan 이름은 description 이아닙니다. description 은코멘트문제가나오면사용하는명령어입니다. SW1(config)#vlan 50 SW1(config-vlan)#name admin SW1(config-vlan)#vlan 60 SW1(config-vlan)#name marketing SW2(config)#vlan 70 SW2(config-vlan)#name outsourcing SW2(config-vlan)#vlan 80 SW2(config-vlan)#name sales 위와같이 vlan을나누어놓고토폴로지에서처럼특정포트에할당을안하면아무소용이없습니다. 아래와같이포트를각 vlan 영역에넣어줍니다. SW1(config-vlan)#exit SW2(config-vlan)#exit SW1(config)#int fa0/1 SW2(config)#int fa0/1 SW1(config-if)#switchport mode access SW2(config-if)#switchport mode access SW1(config-if)#switchport access vlan 50 SW2(config-if)#switchport access vlan 70 SW1(config-if)#int fa0/2 SW2(config-if)#int fa0/2 SW1(config-if)#switchport mode access SW2(config-if)#switchport mode access SW1(config-if)#switchport access vlan 60 SW2(config-if)#switchport access vlan 80 트렁크모드로동작해야하는포트들을설정합니다. 아무때나트렁크모드가나오는것이아니라 vlan 작업을한스위치는트렁크모드작업을해야합니다. 아래와같이두스위치끼리또는라우터와연결된모든포트에트렁크모드를설정해야합니다. 트렁크모드는모든 vlan 정보를전송하는포트를말합니다. 트렁크모드를설정하지않으면스위치에 vlan 작업을해놓았기때문에각 vlan 은누구와도통신할수없이고립됩니다. SW1 : Fa0/24( 라우터와연결 ), Fa0/10(SW2와연결 ) SW2 : Fa0/24(SW1과연결 ) SW1(config-if)#int fa0/10 SW1(config-if)#switchport mode trunk SW1(config-if)#int fa0/24 SW1(config-if)#switchport mode trunk SW2(config-if)#int fa0/24 SW2(config-if)#switchport mode trunk SW1 과 SW2 가연결된포트의경우한쪽만트렁크모드로동작시켜도됩니다. 하지만자격증시험이기때문에채점시불이익 을받을소지를없애기위해 SW1 의 Fa0/10 ----- SW2 의 Fa0/24 를모두트렁크로동작하도록했습니다.
3. IP 설정및 Inter-VLAN - 토폴로지에명시된 IP를 PC에입력하시오. - RT 에 inter-vlan을설정합니다. 서브인터페이스번호는 vlan 번호와동일하게처리합니다. ( 서브인터페이스에 vlan 이름과동일하게코멘트처리하시오 ) - 서브인터페이스의 IP 는해당 VLAN 의첫번째주소를사용합니다. PC0 : 150.203.168.2/24 PC1 : 160.203.168.2/24 PC2 ; 170.203.168.2/24 PC3 : 180.203.168.2/24 * IP 설정에대한설명 PC0 에부여한 150.203.168.2/24 를무심코네트워크주소로착각할수도있습니다. 그래서 PC에는무슨 IP를할당해야할지고민을할것입니다. 일단서브넷마스크가 255.255.255.0 임을안다고가정하고설명하겠습니다. 서브넷마스크가왜있을까요? 서브넷마스크 IP에서네트워크주소를찾아줍니다. 150.203.168.2 => 150.203.168.00000010 255.255.255.0 => 255.255.255.00000000 위와같이서브넷마스의 0인부분 00000000 과비교하는 IP의부분 00000010 이모두 0 이아닙니다. 그러므로 150.203.168.2 는네트워크주소가아니고그냥 IP 주소인것입니다. PC0의 IP인것이지요. 그렇다면네트워크주소는무엇일까요? 00000010 을모두 0 으로바꾼 150.203.168.00000000 => 150.203.168.0 이네트워크주소가됩니다. 그러니깐 IP 범위가 150.203.168.1 ~ 150.203.168.254 가됩니다. 당연히네트워크주소와브로드케스트주소를제외한것입니다. 라우터에서브인터페이스를만들어보겠습니다. 자! 토폴로지를보겠습니다. 실제라우터는스위치와연결된포트는 fa0/0 이지요. 그럼이포트는어떻게해야할까요? 그렇지요. 초록불이들어오게해야함으로 no shutdown 을해주어야합니다. 그이후는요? 스위치에 vlan 수가총 4개가있으므로 fa0/0을 4개로나누어서각 vlan 의게이트웨이를할당해주어야합니다. fa0/0.10 이런거말이지요. 서브인터페이스라고불리웁니다. R1(config-if)#int fa0/0.10 R1(config-subif)#encapsulation dot1q 10 앗! vlan 10 이없군요. vlan 50, 60, 70, 80 이였지요? 이런지워야겠군요 R1(config)#no int fa0/0.10 이렇게하면잘못만든서브인터페이스가지워집니다. R1(config)#int fa0/0.50 R1(config-subif)#encapsulation dot1q 50 R1(config-subif)#ip add 150.203.168.1 255.255.255.0 R1(config-subif)#description admin R1(config)#int fa0/0.60 R1(config-subif)#encapsulation dot1q 60 R1(config-subif)#ip add 160.203.168.1 255.255.255.0 R1(config-subif)#description marketing < 다음페이지에계속 >
R1(config-subif)#int fa0/0.70 R1(config-subif)#en do 70 => 너무줄였나요? ^^ R1(config-subif)#ip add 170.203.168.1 255.255.255.0 R1(config-subif)#des outsourcing => description -> des R1(config-subif)#int fa0/0.80 R1(config-subif)#ip add 180.203.168.1 255.255.255.0 % Configuring IP routing on a LAN subinterface is only allowed if that subinterface is already configured as part of an IEEE 802.10, IEEE 802.1Q, or ISL vlan. 이런 ~ 잘나다가위와같이입력하고무슨메시지나오네요? 이건뭘까요? 그렇습니다. encapsulation dot1q 를안하고 IP 를 넣었다는얘기입니다. 그래서아래와같이다시입력합니다. R1(config-subif)#encapsulation dot1q 80 R1(config-subif)#ip add 180.203.168.1 255.255.255.0 => 위에입력했었지요? 그런데어떻하죠 ~ 다시넣어야 R1(config-subif)#des sales 합니다. 안그러면 IP가비어있게됩니다. 당연히 vlan 80 은게이트웨이는없는꼴이되어버리겠지요 Tip int fa0/0.80 에서 80은 vlan 번호와일치시켰습니다. 그렇다고 vlan 번호와반드시같을필요는없습니다. 보통일치시켜서관리하는것이편할뿐입니다. 그렇다면 vlan 번호와반드시같아야할것은 encapsulation dot1q 80 에서 80 입니다. SW2에서 vlan 80 을 int fa0/2 에적용하면 fa0/2를사용하는 PC3에서발생하는모든신호 ( 트래픽 ) 은 80번꼬리표를붙이고움직입니다. 그러니깐이신호가라우터밖으로나갈때는그꼬리표를없애야하고, PC3으로되돌아오는신호는다시 80번꼬리표를붙여줘야합니다. 당연히라우터가하겠죠. 라우터중에서도 PC3과연관이깊은 fa0/0.80 에서하겠죠. 그작업을하라고 encapsulation dot1q 80 을해주는것입니다. 그러니깐각 PC0~3 들은각자의번호표를가진신호가들어올때만이해하게되는것입니다. 결국, 라우터가없고스위치만있다면서로자기의꼬리표만가지고신호를보내기때문에서로자기의번호표가아니라서신호 를받아들이지않습니다. 그래서라우터에위와같은작업 (Inter-VLAN) 을해줘야 PC0 가 PC3 에게 ping 을보낸다면 PC0 가보 낸신호에서꼬리표번호 50 을빼고, PC3 에해당하는 80 을넣어서 PC3 에게전달해주는것입니다. 4. 라우터 - 텔넷대신 SSH 만허용되도록설정하시오.( 도메인 : network.com) - 로컬계정 (username : admin/ password : Qwerty123) 를생성한후 ssh 접근시로컬계정인증을거치도록합니다. - 콘솔은접속시패스워드 (Qwerty123) 을입력하도록설정합니다. 암호는암호화되어저장되어야합니다. - 모든라우터와스위치에잘못된명령어가 DNS 쿼리로인해장비가 Hold 되지않도록설정합니다. vty 는가상의터미널을생성하여원격으로라우터나스위치에접속할수있는통로입니다. 그런데기본접근이 telnet 입니다. pc의명령프롬프트에서 pc> telnet 게이트웨이IP 를통해각장비로접근합니다. 그런데이때, telnet 을통하는정보가암호화되지않아장비와주고받는많은정보들이위협을받게됩니다. 그래서 ssh 를사용합니다. 도메인에주어진 network.com 을보고왠도메인? 이라는생각이들것입니다. 이값은암호화시킬 key 값으로쓰입니다. 그리고암호알고리즘중하나인 RSA 를사용하여도메인을 key 값으로보안을적용시킨다는뜻입니다. 그후 vty 전체영역 0~15 를 telnet 이아닌 ssh로입력을받도록합니다. 또한 ssh 는반드시로컬계정이있어야합니다. 왜냐하면접근명령어자체에로컬계정을넣도록되어있습니다. pc> ssh l admin 게이트웨이IP 위와같이 admin 은라우터의로컬계정입니다.
R1(config)#ip domain-name network.com R1(config)#crypto key generate rsa How many bits in the modulus [512]: [ 엔터 ] R1(config)#line vty 0 15 R1(config-line)#transport input ssh R1(config-line)#login local R1(config-line)#line con 0 R1(config-line)#password Qwerty123 R1(config-line)#login R1(config-line)#exit R1(config)#username admin password Qwerty123 -> 로컬계정생성 R1(config)#service password-encryption -> secret 가아닌 password로입력된모든패스워드를암호화 R1(config)#no ip domain-lookup -> 특권모드에서잘못사용한명령어때문에잠시장비가 DNS 응답을기다리고있습니다. 이때단축키는 ctrl + shift + 6 을사용합니다. 그런데이명령어를입력하면명령어를잘못입력해도 DNS 응답을기다리지않고계속작업을할수있습니다. 5. 스위치포트보안및관리용 IP - SW1의 fa0/2 포트에는 PC1만사용되고, 다른 PC로접속시 shutdown 되도록설정하시오.(MAC주소인증) - vlan 50에스위치관리를위해네트워크의마지막 IP를부여하고, 게이트웨이설정을합니다. 텔넷 (5개) 을접속을허용하며, 접속패스워드는 Qwerty123 을사용합니다. SW1(config)#int fa0/2 SW1(config-if)#switchport mode access -- 포트보안은 access 모드일때만동작합니다. vlan 할때했군요. 이럴땐생략해도됩니다. SW1(config-if)#switchport port-security -- 포트보안을활성화합니다. 꼭해야합니다. SW1(config-if)#switchport port-security maximum 1 -- 포트보안을적용할값 1 (PC1 1대 ) SW1(config-if)#switchport port-security mac-address 0007.ECA6.9B93 -- PC1의맥주소, 마우스로 copy-paste 활용. SW1(config-if)#switchport port-security violation shutdown - 위정책위반시포트를 shutdown 시킴 SW1(config)#int vlan 50 SW1(config-if)#ip add 150.203.168.254 255.255.255.0 SW1(config-if)#no shut SW1(config-if)#exit SW1(config)#ip default-gateway 150.206.168.1 SW1(config)#line vty 0 4 SW1(config-line)#password Qwerty123 SW1(config-line)#login => vlan 50을접근하기위해가상의인터페이스를생성합니다. ip는인터페이스에만부여할수있습니다. 그런데스위치자체는 IP를포트에할당하지않습니다. 그래서가상의 vlan에포트를생성하여 ip를부여합니다. 문제에서주어진 vlan 50에 ip를부여하기위해 int vlan 50 이라고하면가상의포트가만들어집니다. 그렇다고 vlan 50에속하는 PC0 만접근하는것은아닙니다. ping 되는모든곳에서 telnet을통해 SW1에접근할수있는것입니다. 라우터가있기때문에그렇습니다. 만약라우터가없다면 vlan 50에속하는 PC0 만 telnet 이될것입니다. < 다음장에맥주소확인방법이있습니다.>
맥주소확인방법 config 탭활용 명령어프롬프트활용