Hierarchical 3 Layer Model - 시행착오를통해안정성과효율성이검증된네트워크구조 - 네트워크디자인과정에서토폴로지, 용량, 장비를쉽게산정및선정할수있음 장점 - 단순하고간단한구조 - 범위가큰네트워크도만들수있고확장이쉬움 - 관리가쉬움 - 네트워크디자인이쉬움

Similar documents
본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

Microsoft PowerPoint - ch07.ppt

4. 스위치재부팅을실시한다. ( 만약, Save 질문이나오면 'no' 를실시한다.) SWx#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] (

Chapter11OSPF

GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취

Microsoft PowerPoint - ch13.ppt

TCP.IP.ppt

Network seminar.key

Microsoft PowerPoint - ch15.ppt

토폴로지 2( 풀이 ) 1. 요구사항 가. 주어진자료 ( 토폴로지 2.pka) 를참고하여네트워크구성작업을완성하시오. 2. 작업내용가. 설명 - 현재토폴로지에이미통신이가능한모든설정이되어있습니다. - 그러나, 보안문제로지금부터주어진조건으로설정을다시하고자합니다. - 총 4개

정보기기운용기능사모의고사 1 풀이 1. 기억하세요. 가. 명령어가생각나지않을때? 를입력하세요. 나. 명령어앞의 2~3글자를쓰고탭 (Tab) 키를누르세요. 그러면자동으로완성됩니다. 다. 파일을열고곧바로 [File-SaveAs] 눌러서파일이름을 비번호 로바꿔저장하세요. 2

Microsoft PowerPoint - 06-IPAddress [호환 모드]

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN

歯최덕재.PDF

Microsoft PowerPoint - ch10.ppt

PowerPoint 프레젠테이션

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

chapter4

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

Remote UI Guide

Microsoft Word - NAT_1_.doc

슬라이드 1

Microsoft Word Question.doc

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

MAX+plus II Getting Started - 무작정따라하기

Solaris System Administration

hd1300_k_v1r2_Final_.PDF

BGP AS AS BGP AS BGP AS 65250

ARMBOOT 1

ATXEVZTBNXGP.hwp

1217 WebTrafMon II


1. GigE Camera Interface를 위한 최소 PC 사양 CPU : Intel Core 2 Duo, 2.4GHz이상 RAM : 2GB 이상 LANcard : Intel PRO/1000xT 이상 VGA : PCI x 16, VRAM DDR2 RAM 256MB

Microsoft PowerPoint - 네트워크요약3

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

Sena Device Server Serial/IP TM Version

APOGEE Insight_KR_Base_3P11

PowerPoint 프레젠테이션

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

1

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

bn2019_2

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

슬라이드 제목 없음

s SINUMERIK 840C Service and User Manual DATA SAVING & LOADING & & /

Microsoft Word - access-list.doc

Assign an IP Address and Access the Video Stream - Installation Guide

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. 제 28 장이더체널 블로그 : net123.tistory.com 저자김정우

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

DE1-SoC Board

10X56_NWG_KOR.indd

Schedule

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

untitled

Microsoft PowerPoint - LG RouterÁ¦Ç°(02-03)

PCServerMgmt7


운영체제실습_명령어

Subnet Address Internet Network G Network Network class B networ

(SW3704) Gingerbread Source Build & Working Guide

VPN.hwp


UDP Flooding Attack 공격과 방어

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,,,,,,,,,,,,,.,..., U.S. GOVERNMENT END USERS. Oracle programs, including any operat

목차 BUG offline replicator 에서유효하지않은로그를읽을경우비정상종료할수있다... 3 BUG 각 partition 이서로다른 tablespace 를가지고, column type 이 CLOB 이며, 해당 table 을 truncate

Interstage5 SOAP서비스 설정 가이드

Microsoft Word doc

Microsoft Word - How to make a ZigBee Network_kr

Windows 네트워크 사용 설명서

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

歯I-3_무선통신기반차세대망-조동호.PDF

Solaris Express Developer Edition

VZ94-한글매뉴얼

Microsoft Word - release note-VRRP_Korean.doc

PowerPoint 프레젠테이션

SMB_ICMP_UDP(huichang).PDF

슬라이드 1

歯김병철.PDF

Switching

K7VT2_QIG_v3

1.LAN의 특징과 각종 방식

dynamips

thesis-shk

Mango220 Android How to compile and Transfer image to Target

DBPIA-NURIMEDIA

PowerPoint 프레젠테이션

휠세미나3 ver0.4

歯Cablexpert제안서.PDF

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

Copyright 0, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT RIGHTS Programs, software, databases, and related

ODS-FM1

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

DocsPin_Korean.pages

Transcription:

Hierarchical 3 Layer Model - 시행착오를통해안정성과효율성이검증된네트워크구조 - 네트워크디자인과정에서토폴로지, 용량, 장비를쉽게산정및선정할수있음 장점 - 단순하고간단한구조 - 범위가큰네트워크도만들수있고확장이쉬움 - 관리가쉬움 - 네트워크디자인이쉬움 Building Network - LAN 을구성하는장비중에 Router 가포함됨 Campus Network - LAN 을구성하는모든장비가 Switch Core Distribution Access 창의성 < 안정성

Access Layer - Endpoint System 이네트워크에연결되는계층 - 주장비 L2 Switch - UTP 의단일연결거리제한때문에보통 Access 장비는한층마다배치함 Distribution Layer - Access 계층의장비가연결되는계층 - 주장비 Router, L3 Switch - 각건물마다배치하며건물내전산실에위치함 Core Layer - Distribution 계층의장비가연결되는계층 - 한조직의중심이되는네트워크 트래픽집중화 - 주장비 고속 Switch - 다수의건물로이뤄진네트워크에서사용 건물이 1~2 개인경우없을수도있음 Core Distribution Access

INTERNET WAN( 전용선 ) 전산센터

[ 1 단계 ] 진단 / 분석 (Analysis) - 네트워크설계에대한기준을분석하는단계 - 고객의요구사항분석, 기존네트워크에대한기술적분석 ( 품질향상목표설립 ) 최종품질도출 - Output 품질보고서, 구축계획서 고객의요구사항분석 고객이제시하는 RFP(Request For Proposal) 을통해구축범위, 담당조직, 성능기준, 솔루션등을조사, 우수구축사례조사 고객의요구사항을실현가능한수준에서개선, 발전 1 차품질목표작성 고객의요구를분석해서문서화하여정리함 비기술적 납기, 비용, 회사의정책 기술적 응답시간, 오류발생률, 보안 기술적분석 네트워크의오동작이나문제점을발견하고고객에게다양한개선점및시사점도출 최종품질목표작성 프로젝트이후진단의척도가됨 품질목표 비기술적 기술적 투자조정, 구축일정 예산범위, 예산범위안에서산정할수있는최대장비, 대역폭, 성능, 적용솔루션, 프로토콜의단점, 유지 / 보수, 보안, 가용성 제약사항 구축계획확정 프로젝트진행에방해가되는요인제약사항에대해고객을제대로설득해야함 고객과의갈등을유발시키는프로젝트리스크 프로젝트의목적, 범위, 전략, 조직및역할, 일정, 품질목표, 테스트방안등이포함됨

[ 2 단계 ] 디자인 (Design) - 토폴로지의간략한그림도출 - 대역폭에대한용량산정, 장비, 솔루션에대한선정 주요고려목표 작업 속도, 가용성, 보안, 관리용이성, 투자효율성 토폴로지구조결정하드웨어 ( 장비 ) 결정대역폭결정적용할솔루션및프로토콜결정 IP 디자인 [ 3 단계 ] 설치 / 구축 (Implementation) - 디자인의결과와일정대로설치및구축을진행 - 구축후고객의요구사항및품질조건을만족하는지검증 [ 4 단계 ] 운용 (Operation) - 품질기준이유지되는지관리함

Switch 선택기준 - 연결매체 (cable) 의속도 - IOS 의기능 - Port 밀도 ( 확장성 ) Catalyst 2940 Series Catalyst 2950 Series Catalyst 2960 Series Catalyst 3550 Series Catalyst 3560/3750 Series Nexus 7000 Series Catalyst 6500 Series Catalyst 4500 Series Catalyst 2940 Series Catalyst Catalyst Catalyst 2960 Series 3560 Series Catalyst 4500 Series Nexus 6500 Series 7000 Series

Router 선택기준 - Routing 특성 - 확장의필요성 - Port 밀도 - 기능 - 사용자 Interface - 용량및성능 Cisco 800/850 Series Cisco 1700/1800 Series Cisco 2600 Series Cisco 10000/12000 GSR Series Cisco 2800 Series Cisco 3800 Series Cisco 7500/7600Series Cisco 7200/7300 Series Cisco 800/850 Series Cisco 1700/1800 Series Cisco 2600 Series Cisco 2800 Series Cisco 7500/7600Series Cisco 3800 Series Cisco 7200/7300 Series Cisco 10000/12000 GSR Series

Ethernet Port Console Port Serial Port Fast Ethernet Port Auxiliary Port Management Port 통신 interface Console port Auxiliary port Ethernet Interface Serial Interface PC를 console cable로직접연결 직접접근관리모뎀을통해연결 직접접근관리 LAN(UTP cable) 연결을위해사용되는 Interface WAN(Serial cable) 연결을위해사용되는 Interface

Fixed 형모델 Module 형모델 기본인터페이스만제공되고더이상확장할수없는장비 Slot이없는장비기본인터페이스와추가로인터페이스를확장할수있는 slot이제공되는장비 Module 추가인터페이스를확장할수있는장비 Slot Module을장착시키는빈공간

NM - 4 E 1 2 3 1 Module Size - Slot 의크기에맞춰서선택해야함 - NM(Network Module) 크기가큰 Module - WIC(Wan Interface Card) 크기가작은 Module( 일반적으로 Serial Interface Module) 2 확장할수있는 Interface 개수 NM-1E NM-4E 3 Interface 의종류 - E Ethernet(10Mbps) Interface - FE Fast Ethernet(100Mbps) Interface - GE Gigabit Ethernet(1000Mbps=1Gbps) Interface - T Serial Interface WIC-2T NM-4T

FastEthernet - 0 0 0 1 2 3 4 순서 : 0 번부터오른쪽 왼쪽, 아래 위 1 Interface 종류 - 연결할수있는네트워크종류 해당 interface 의 Layer 2 에서지원되는 Protocol - Ethernet, FastEthernet, GigabitEthernet, Serial 2 Slot 번호 - interface 가장착된 Slot 의번호 ( 위치 ) Slot 이없으면생략됨 3 Module 번호 - Module 내부에추가 slot 이제공되는경우내부 slot 의번호 ( 위치 ) 추가 Slot 이없으면생략됨 4 Interface 번호 - 해당 Module 에서의 interface 번호

cisco IOS - cisco 사에서개발한 Router, Switch 의운영체제 Software 기능 - 장비가제공하는다양한네트워킹기능을제공함 - Routing, Switching, Protocol, Qos, Security, Network Service - 장비가장착되어있는하드웨어를제어함 - CPU, Interface(NIC), ROM, RAM, NVRAM, Flash ROM RAM NVRAM Flash 읽기전용의저장공간부팅에필요한 Bootstrap 정보가저장되어있음 시스템에의해관리되는휘발성메모리 Running-config(Active Config) 내용이임시로저장되는공간 현재동작에관련된명령들이실시간기록됨 사용자에의해관리되는비휘발성메모리장비종료이후에도저장해야할설정내용이파일형태 (Startup-config) 로저장되는공간 HDD 역할의메모리 IOS 와같은큰용량의파일이저장되는공간

Running-config - 관리자모드 (Privileged Mode) 에서확인 - RAM 에저장된 Active Config - 장비에현재적용되고있는명령 - show running-config 로확인 Startup-config - 관리자모드 (Privileged Mode) 에서확인 - NVRAM 에저장된내용 - 장비의초기부팅단계에서읽어와서적용하는설정내용 - show startup-config 로확인 Router#show running-config Building configuration... Current configuration : 1117 bytes! version 12.3 service timestamps debug datetime msec... Router#show startup-config Using 1027 out of 57336 bytes! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption...

설정내용저장 - 실시간명령은 Running-config 에저장됨 - 현재적용되는명령을남겨놓으려면 startup-config 에저장해야함 - 부팅마지막단계에서 startup-config 의명령을불러와서재적용함 - copy running-config startup-config 또는 write memory 명령으로수행 Router#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] Router#write memory Building configuration... [OK]

설정초기화 - 현재장비의설정의초기상태로되돌림 공장초기화 - startup config 의내용삭제 재부팅 - 부팅단계에서적용할명령이없으므로초기상태로부팅됨 Router# erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram Router# reload Proceed with reload? [confirm] System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. Cisco 2620 (MPC860) processor (revision 0x200) with 253952K/8192K bytes of memory Self decompressing the image : ##########

IOS 이름확인 Router#show flash System flash directory: File Length Name/status 1 10084696 c2500-js-l_120-3.bin [10084760 bytes used, 6692456 available, 16777216 total] 16384K bytes of processor board System flash (Read ONLY) C2500 - js - l 121.3. bin 1 2 3 4 5 1 C2500 장비의제조사및모델명제조사 cisco 의 2500 장비 2 js 기능코드 (Feature Set) j( 기업용 ), s( 확장기능 ) 3 l 파일실행위치및압축유무 l(relocatable) 파일실행위치를변경할수있음 4 121.3 버전및릴리즈 12(major).1(minor)-3(release) 5 bin 실행형식 bin(binary executable file)

Router IOS 의기본동작 - 사용자가직접초기구성을지정해야지사용가능함 Switch IOS 의기본동작 - 운영체제에서초기구성설정정보를제공하므로전원만제공되면사용가능함 장비관리를위한접근방식 - 초기관리는반드시직접접근방식을사용해야함 - 직접접근방식 - 장비와 PC 를직접케이블로연결하여접근하는방식 - Console port, Auxiliary Port - 간접접근방식 - 서비스를이용하여네트워크를통해접근하는방식 - Telnet, SSH, TFTP, HTTP, 전용의관리프로그램

POST 실행 ROM POST Preform POST Bootstrap Loader 실행 ROM Bootstrap Load bootstrap System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory

IOS 저장위치찾기및읽어오기 Flash TFTP Server IOS OS 를찾아서메모리에적재 System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory Self decompressing the image : ########################################################################## [OK]

초기설정파일찾기 실행또는 Setup Mode NVRAM TFTP Server 초기설정 Console 초기설정파일위치찾기또는 Setup mode 제공 Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Copyright (c) 1986-2005 by cisco Systems, Inc. Compiled Wed 27-Apr-04 19:01 by miwang Cisco 2621 (MPC860) processor (revision 0x200) with 253952K/8192K bytes of memory. Processor board ID JAD05190MTZ (4292891495) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version 3.0.0. 2 FastEthernet/IEEE 802.3 interface(s) 32K bytes of non-volatile configuration memory. 63488K bytes of ATA CompactFlash (Read/Write) --- System Configuration Dialog --- 하드웨어정보 Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5) Technical Support: http://www.cisco.com/techsupport IOS Versoin Continue with configuration dialog? [yes/no]: Press RETURN to get started! Router> Setup Mode User Mode

IOS CLI - IOS 에서제공되는기본사용자인터페이스 - 명령어를직접입력하는방식 - 장비종류및 IOS 기능에따라제공되는명령어가달라짐 - 장비에서제공받을기능에따라다양한 Mode 를통해명령어를입력함 IOS CLI 기본기능 - 명령어목록제공 - 지정된모드또는명령어조합마다사용할수있는목록만표시 - 에러메시지제공 - 장비에서발생한이벤트를표시하여문제를해결할수있도록도와줌 - History - 이전에사용한명령을기억하여재사용할수있음 - 단축키 Ctrl + A Ctrl + E Ctrl + U 커서를제일앞으로이동 커서를제일뒤로이동 한줄모두삭제

IOS CLI Mode - 특정기능또는동작을제어할수있는모드를따로제공함 - 지정된기능설정은지정된 Mode 에서만할수있음 - 현재의 Mode 를 Prompt 로확인함 User mode Privileged mode Global Configuration Mode Regional Setting Mode Router>enable Router#configure terminal Router(config)#interface serial 0 Router(config-if)# end or ctrl+z Router(config)#router rip Router(config-router)# Router(config)# exit Router(config)#line console 0 Router(config-line)#

User Mode - 장비의초기모드 - 기본적인정보확인가능 - 관리를위해서권한을가지고있는계정으로로그인해야함 - 초기설정전에는그냥로그인함 Privileged Mode - 장비의관리모드 - 시스템의기본설정및모든정보의관리를위한명령수행모드 - 기능설정은불가능함 - 권한이있어야함 Router> Router> enable Enter Password : ****** Router# Router# disable Router> Router> logout User Mode Privileged Mode

Global Configuration Mode - 장비의기능설정모드 - 장비전체에적용되는설정 Regional Setting Mode - 장비의부분적인기능설정모드 - interface, line, router, acl 등특정기능에대한명령이적용되는모드 Router# Router# configure terminal Router(config)# Router(config)# interface fastethernet 0/0 Router(config-if)# Router(config-if)# exit Router(config)# line console 0 Router(config-line)# Router(config-line)# exit Router(config)# Router(config-line)# end Router# Global Configuration Mode Interface Mode Iine Mode

Backup - 장비의현재설정내용및중요한파일 (IOS) 을외부저장소에보관 - 관리자모드 (Privileged Mode) 에서설정 - copy [ 원본 ] [ 대상 ] 명령으로수행 Router#copy flash(running-config or startup-config) tftp Source filename []? c2500-js-l_120-3.bin Address or name of remote host []? 10.1.1.1 Destination filename [c2500-js-l_120-3.bin]?!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! <output omitted> 10084696 bytes copied in 709.228 secs (14223 bytes/sec) Router#

Restore or Upgrade - 외부저장소에보관된설정내용및중요파일을복구 - 관리자모드 (Privileged Mode) 에서설정 - copy [ 대상 ] [ 원본 ] 명령으로수행 - 원본이 running-config(ram) 이면 Merge 동작이일어남 Router#copy tftp flash(running-config or startup-config) Address or name of remote host [10.1.1.1]? Source filename []? c2500-js-l_120-3.bin Destination filename [c2500-js-l_120-3.bin]? Accessing tftp://10.1.1.1/c2500-js-l_120-3.bin... Erase flash: before copying? [confirm] Erasing the flash filesystem will remove all files! Continue? [confirm] Erasing device... eeeee (output omitted)...erased Erase of flash: complete Loading c2500-js-l_120-3.bin from 10.1.1.1 (via Ethernet0):!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! (output omitted) [OK - 10084696/20168704 bytes] Verifying checksum... OK (0x9AA0) 10084696 bytes copied in 309.108 secs (32636 bytes/sec) Router#

장비의정보확인 - 정적정보및동적정보확인 - 관리자모드 (Privileged Mode) 에서확인 show - 미리설정되어있는각기능정보확인 - interface, protocols, performance, media Debug - 실시간장비가전달받는트래픽의정보및동작정보확인 - 트래픽의흐름파악및설정의문제점확인을위해사용함 - 전체 debug 해제 undebug all Show Static Low 상태정보확인 debug dynamic high 특정동작과정확인

설정단계 기본설정 Interface 설정 Routing ETC. 기본설정 - 장비관리를편리하게수행하기위한설정 - 장비이름, 비밀번호, 인증, 계정, 배너, 편리기능, 접근방식에따른설정등 Interface 설정 - 네트워크통신을위한기본설정 - encapsulation, bandwidth, clock rate, ip address 등 Routing - Routing 종류및종류에따른설정 ETC. - 그외통신을위해필요한추가설정 - acl, nat, 보안, 인증, 서비스등

Router 이름변경 Router(config)#hostname R1 R1(config)# 배너설정 - Router 에접근하는사용자에게보여줄메시지설정 - 불법접근시받게되는경고문구 법적처벌시근거자료 R1(config)#banner motd # 배너내용 # 관리자모드접근비밀번호 - User mode 에서 Privileged mode 로접근할때사용되는인증정보 ( 비밀번호 ) - password 비밀번호를평문으로저장함 - secret 비밀번호를암호화 (MD5) 하여저장함 R1(config)#enable password [ 비밀번호 ] R1(config)#enable secret [ 비밀번호 ]

이름해석기능비활성화 - 오타를도메인이름으로해석하는기능해제 R1(config)#no ip domain-lookup 직접 (Console) 접근시기능설정 - Console 을통한직접접근의대한설정 - Console 연결유지시간 (0 : 무한대 ), 인증, 로그동기화등 - 접근인증방식 - 인증없음 no login - 비밀번호인증 login(password [ 비밀번호 ]) - 계정인증 login local( 전역모드에서계정생성 ) R1(config)#line console 0 R1(config-line)#login R1(config-line)#password [ 비밀번호 ] R1(config-line)#exec-timeout [ 분 ] [ 초 ] R1(config-line)#logging synchronous R1(config)#username [ 계정명 ] privilidge [0~15] password/secrest [ 비밀번호 ] R1(config-line)#login local

간접 (telnet) 접근시기능설정 - telnet 을통한원격접근의대한설정 - 가상터미널 (Virtual Terminal) 을통한연결을제공함 - 기본적으로 5 개씩연결을제공함 - 접근인증방식 - 인증없음 no login - 비밀번호인증 login(password [ 비밀번호 ]) - 계정인증 login local( 전역모드에서계정생성 ) - 반드시관리자모드비밀번호 (enable [ 비밀번호 ]) 가설정되어야함 - 원격접근시 user mode 로접근됨 - 보안성이떨어지므로권장하지않음 R1(config)#line vty 0 4 R1(config-line)#login R1(config-line)#password [ 비밀번호 ]

간접 (SSH) 접근시기능설정 - SSH 을통한원격접근의대한설정 - 암호화를위한키생성 - 키의기본값 hostname, Domain Address - 키생성 - 키의 size 가 1024 이하 SSH version 1 지원 - 키의 size 가 1024 이상 SSH version 1,2 지원 Router(config)#hostname R1 R1(config)#ip domain-name [domain address] R1(config)#crypto key generate rsa The name for the keys will be: R1.router.r1.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[ok]

간접 (SSH) 접근시기능설정 - 가상터미널 (Virtual Terminal) 을통한연결을제공함 - 기본적으로 5 개씩연결을제공함 - SSH 를통한연결만허용 - 접근인증방식 - 계정인증 login local( 전역모드에서계정생성 ) R1(config)#line vty 0 4 *3 1 0:23:29.544: %SSH-5-ENABLED: SSH 1.99 has been enabled R1(config-line)#transport input ssh R1(config-line)#login local - SSH Version 2 만사용하도록변경 R1(config)#ip ssh version 2 - 원격접근시 privilege mode 로접근됨

설정정보확인 - 기본설정확인 - running-config 에서현재적용된명령확인 R1#show running-config Building configuration... Current configuration : 386 bytes! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption! hostname R1! --More-- - More - 추가정보가있음을표시함 - space bar 한페이지씩더보기 - enter 한줄씩더보기 - ETC. 종료

접근정보확인 - 현재직접 / 간접접근정보확인 - * 현재접근 line R1#show line Tty Line Typ Tx/Rx A Roty AccO AccI Uses Noise Overruns Int * 0 0 CTY - - - - 0 0 0/0 - - SSH key 정보확인 R1#show crypto key mypubkey rsa % Key pair was generated at: 0:23:19 UTC 3 1 1993 Key name: R1.router.r1.com - SSH 정보확인 R1#show ip ssh SSH Enabled - version 2.0 Authentication timeout: 120 secs; Authentication retries: 3

Interface 설정순서 - 각네트워크와연결하기위한기본정보 - interface mode 에서설정 - Layer2 정보설정 - 연결된네트워크환경 (protocol) 정보 encapsulation - 연결된네트워크속도정보 bandwidth - 비트간격정보 clock rate - DCE 에서만설정 - 장비가제공하는값중에서 bandwidth x 1000 의가장근사치 - Layer3 정보 - IP address - interface 활성화 - Router 의인터페이스는비활성화가기본값이므로명령을통해활성화해야함

Fa 0/0 10.0.0.254/24 R1 DTE S 0/0 1.0.0.1/30 PPP 512kbps S 0/0 1.0.0.2/30 R2 DCE LAN Interface 설정순서 - 한종류의네트워크만연결가능한인터페이스를사용함 - Layer2 정보가 NIC 에설정되어있음 - Layer3 정보 - IP address ip address [IP] [SUBNET MASK] R1(config)#interface fastethernet 0/0 R1(config-if)#ip address 10.0.0.254 255.255.255.0 R1(config-if)#no shutdown

Fa 0/0 10.0.0.254/24 R1 DTE S 0/0 1.0.0.1/30 PPP 512kbps S 0/0 1.0.0.2/30 R2 DCE WAN Interface 설정순서 - 다양한종류의네트워크를연결할수있음 - Layer2 정보를상황에맞게직접설정함 - Layer3 정보 - IP address ip address [IP] [SUBNET MASK] R1(config)#interface serial 0/0 R1(config-if)#encapsulation ppp R1(config-if)#bandwidth 512 R1(config-if)#ip address 1.0.0.1 255.255.255.252 R1(config-if)#no shudown R2(config)#interface serial 0/0 R2(config-if)#encapsulation ppp R2(config-if)#bandwidth 512 R2(config-if)#clock rate 500000 R2(config-if)#ip address 1.0.0.2 255.255.255.252 R2(config-if)#no shudown

Interface 상태정보확인 - 인터페이스설정후활성화및오류여부확인 - 인터페이스설정단계후연결된상대장비의인터페이스까지통신이가능해야함 R1#show ip interface brief Interface IP-Address OK? Method Status Protocol fastethernet 0/0 10.0.0.254 YES manual up up Serial 0/0 1.0.0.1 YES manual up up Interface IP-Address OK? Method 인터페이스이름현재설정된 IP 동작상태 IP할당방식 Status Layer 1 동작상태 up up down Administratively down Protocol Layer 2 동작상태 up down down down 정상 Layer 2 오류 Layer 1 오류 shutdown

Interface 상세정보확인 - 특정인터페이스상세정보확인 - 이름, 동작상태, Layer 2 관련정보, IP Address, 통신상태등 - show interface [ 인터페이스이름 ] R1#show interface serial 0/0 Hardware is HD64570 Internet address is 1.0.0.1/30 MTU 1500 bytes, BW 512 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec) LCP Open Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0 (size/max/drops); Total output drops: 0 Queueing strategy: weighted fair

Interface 하드웨어상세정보확인 - 인터페이스 Layer 2 의상세정보및상태정보확인 - clock rate 설정정보확인 - show controllers [ 인터페이스이름 ] R1#show controllers serial 0/0 Interface Serial0/0 Hardware is PowerQUICC MPC860 DTE V.35 TX and RX clocks detected idb at 0x81081AC4, driver data structure at 0x81084AC0 SCC Registers: General [GSMR]=0x2:0x00000000, Protocol-specific [PSMR]=0x8 R2#show controllers serial 0/0 Interface Serial0/0 Hardware is PowerQUICC MPC860 DCE V.35, clock rate 500000 idb at 0x81081AC4, driver data structure at 0x81084AC0 SCC Registers: General [GSMR]=0x2:0x00000000, Protocol-specific [PSMR]=0x8

Interface 기능상세정보확인 - 인터페이스 Layer 3 에대한상세정보및인터페이스별기능동작상태정보 - IP, Subnetmask, Routing - show ip interface [ 인터페이스이름 ] R1#show ip interface serial 0/0 Serial0/0 is up, line protocol is up (connected) Internet address is 1.0.0.1/30 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 Helper address is not set

Routing - 최적의경로를결정하여목적지까지전송하는일련의과정 - 최적의경로학습하여 Routing Table 에기록 경로 (route) 학습 - 전달받은 Packet 방향을결정하여 Switching 이수행됨 방향정보가없으면 packet 을폐기함 Routing 을위해필요한정보 - 목적지네트워크 - 입 / 출력인터페이스정보 - 가능성있는모든경로정보 - 최적의경로 - 지속적인경로정보유지

경로학습 - 목적지네트워크까지도달하기위해 packet 을전달할방향을 Routing table 에등록 - connected, static, dynamic, redistribution Connected Static Dynamic Redistribution 인터페이스에설정된정보를기반으로장비스스로학습하는경로정보 사용자의의해최적의조건이결정되고사용자에의해학습되는경로정보 장비에지정된 protocol 에의해장비간주고받은정보를기반으로학습 protocol 에서정의한최적의조건으로학습된경로정보 서로다른 Dynamic 방식으로학습된경로정보를교환하여학습된경로정보

Routing table - 최적으로결정된경로정보를저장하는공간 - 전달받은 packet 의목적지네트워크정보를비교하여지정된방향으로 packet 을 Switching 함 - show ip route 명령으로확인 R1#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 1.0.0.0/30 is directly connected, Serial0/0 C 1.0.0.1/32 is directly connected, Serial0/0 10.0.0.0/24 is subnetted, 1 subnets R 10.0.0.0 [120/1] via 1.0.0.1, 00:00:09, Serial0/0 Routing table 초기화 R1# clear ip route *

Static Routing - 관리자가경로정보를직접설정하는학습방식 - 최적의경로를관리자가직접결정함 - 네트워크변화에대해관리자가직접관리해야함 실시간관리가어려움 - 일반적으로 LAN 내부 Routing 을위해설정 내부 Router 8~10 대이하의환경에서사용함 Dynamic Routing - 장비스스로자신의정보를다른장비와교환하여경로정보를학습하는방식 - 지정된 Routing Protocol 에의해학습됨 - 네트워크변화에대해실시간으로반응함 - Background Traffic 의발생비율이높음 서비스에부하를줄수있음 - 일반적으로 WAN 또는 LAN 내부 Routing(8~10 대이상 ) 을위해설정

Router(config)# ip route [ 네트워크이름 ] [ 서브넷마스크 ] [ 방향 ] [Options] ip route 네트워크이름서브넷마스크방향 Option Static route 설정명령어학습시키고자하는네트워크이름학습시키고자하는네트워크의서브넷마스크지정된네트워크로향하는최적의전달방향 Interface name 장비자신의내보낼인터페이스이름 Next Hop IP Packet을전달받을다음장비의인터페이스 IP Static routing을수행하기위한추가설정 Distance 학습방식에따른우선순위조정 Permanent Routing table에등록된정보를고정함

Distance (=Administrative Distance=AD) - 학습방식에따라할당된경로의우선순위 - 동일한네트워크에대한경로를여러가지방식으로학습한경우우선순위가높은경로하나만 Routing Table 에등록함 - 방식에따른기본우선순위가정해져있음 설정으로조정가능 Connected 0 Static(interface) 0 Static(Next Hop IP) 1 EIGRP 90 OSPF 110 RIPv2 120 EGP 140 Unknown 255

Default Routing - Static Routing 의특수한형태 - Routing Table 에등록되어있지않는네트워크로향하는 packet 을전달할경로 - Stub Network 를연결하고있는경우설정함 - Static Routing 의한종류이지만우선순위가가장낮음 Stub Network - Next Hop 이하나만존재하는네트워크 - 다른네트워크로향하는방향이유일한네트워크 설정방법 - Default Network 로설정 - Default route 로설정

Default Network 로설정 - 임의의네트워크를 Default Network 로설정한후 Static Routing 으로 Gateway 를 Next-hop IP 로지정 - Default Network Routing Table 에명시되지않는모든네트워크로매칭시킬임의의네트워크 Router(config)# ip default-network [ 임의의네트워크이름 ] Router(config)# ip route [ 임의의네트워크이름 ] [ 임의의서브넷마스크 ] [Gateway IP] Default Route 로설정 - 0.0.0.0 0.0.0.0 네트워크 (Zero Network) 의방향을 Gateway 쪽으로 Next-hop IP 로지정 - 0.0.0.0 0.0.0.0(Zero Network) IPv4 전체를대표하는네트워크이름 Router(config)# ip route 0.0.0.0 0.0.0.0 [Gateway IP]

Dynamic Routing - 사용자에의해지정된 Protocol 로같은프로토콜이설정된장비간정보를주고받아서최적의경로를선택하고관리하는방식 - Routing Protocol 에의해학습된경로로 Routed Protocol 이전달됨 - Routing Protocol 경로를결정하는프로토콜 (RIP, EIGRP, OSPF ) - Routed Protocol 결정된경로로전달되는프로토콜 (IP, IPX, Apple Talk ) - Routing Protocol 의규칙에따라최적의경로를결정하는조건이달라짐 - Distance Vector 거리 - Link State 속도

AS 9659 (KT 망 ) Autonomous System(AS) - 단일관리영역으로운영되는네트워크의집합 - 관리번호를할당하여식별함 2byte - 하나의회사망 - KT Network 9659 - LG U+ 9318 - SK Broadband 10059 IGP(Interior Gateway Protocol) - AS 내부의장비간 Routing 정보를교환하는 Protocol IGP : RIP, EIGRP, OSPF EGP : BGP EGP(Exterior Gateway Protocol) - AS 간 Routing 정보를교환하는 Protocol IGP : RIP, EIGRP, OSPF AS 10059 (SK 망 )

Routing Protocol 종류 Unicast Routing IGP Distance Vector Classful RIPv1, IGRP Classless RIPv2 Link State OSPF, IS-IS Advance Distance Vector EIGRP EGP BGPV4 Multicast Routing DVMRP, MOSPF, PIM Dense & Sparse

Metric - 동일한방식에의해학습된경로에서최적의경로를결정하는조건값 - Routing Protocol 의종류에따라 Metric 의종류도달라짐 - 동일한네트워크의 Metric 이같으면 Load Balancing - 동일한네트워크의 Metric 이다르면 주 / 보조경로 Distance Vector Link State 거리연결상태 ( 인터페이스정보 ) Hop Count Reliability, Delay, Bandwidth, Load, Cost RIPv2 OSPF Cost (Bandwidth, 전송속도기반 ) Hop Count Reliability( 신뢰성 ) Delay( 지연시간 ) Bandwidth( 대역폭 ) Load( 부하 ) Cost 목적지네트워크에도달하기위해거쳐가는 Router 수링크의오류, 전송에러등전송을위해사용되는시간전송가능한용량가용자원에대한부하링크의특성정보를이용하여계산된링크의비용값

Dynamic Routing 설정순서 - Global Configuration Mode - routing Protocol 선택 - routing mode - 전달할정보설정 - 추가기능설정 R1(config)# Router rip R1(config-router)#network 10.0.0.0 R1(config-router)# version 2 R1(config-router)# no auto-summary R1(config-router)# passive-interface fastethernet 0/0 R1(config)# Router ospf 1 R1(config-router)#network 10.0.0.1 0.0.0.0 area 0 R1(config-router)# passive-interface fastethernet 0/0

RIP (Routing Information Protocol) (AD : 120) - IETF 표준 Routing Protocol - Distance Vector 계열의 Dynamic Routing Protocol - Metric Hop Count - 동일한 Protocol 을사용하는인접장비와 Connected Network 정보를교환함 - Multicast Group 224.0.0.9 - Version 1 - Classful Routing 네트워크와 Hop count 를전달함 - Version 2 - Classless Routing 네트워크와서브넷마스크와 Hop count 를함께전달함 - VLSM 지원함 - 비교적작은범위의네트워크에서사용함 - hop count Limit 16 - hop count 16 인네트워크 통신불가능한네트워크 - 경로정보교환주기 30 초 변화가적용되는속도 (Convergence Time) 가느림 - 경로계산알고리즘 Bellman-Ford(B-F) Algorithm - 네트워크정보를학습한인터페이스방향으로동일한네트워크정보를재전달하지않음 Split Horizon

RIPv2 의동작과정 R1 R2 R3 1.1.1.0/24 2.2.2.0/24 3.3.3.0/24 4.4.4.0/24 1 2 1 2 1 2 <R1 Routing Table> <R2 Routing Table> <R3 Routing Table> Network Interface Hop 1.1.1.0/24 1 0 2.2.2.0/24 2 0 Network Interface Hop 2.2.2.0/24 1 0 3.3.3.0/24 2 0 Network Interface Hop 3.3.3.0/24 1 0 4.4.4.0/24 2 0

RIPv2 의동작과정 R1 R2 R3 1.1.1.0/24 2.2.2.0/24 3.3.3.0/24 4.4.4.0/24 1 2 1 2 1 2 <R1 Routing Table> <R2 Routing Table> <R3 Routing Table> Network Interface Hop 1.1.1.0/24 1 0 2.2.2.0/24 2 0 Network Interface Hop 2.2.2.0/24 1 0 3.3.3.0/24 2 0 1.1.1.0/24 1 1 Network Interface Hop 3.3.3.0/24 1 0 4.4.4.0/24 2 0

RIPv2 의동작과정 R1 R2 R3 1.1.1.0/24 2.2.2.0/24 3.3.3.0/24 4.4.4.0/24 1 2 1 2 1 2 <R1 Routing Table> <R2 Routing Table> <R3 Routing Table> Network Interface Hop 1.1.1.0/24 1 0 2.2.2.0/24 2 0 Network Interface Hop 2.2.2.0/24 1 0 3.3.3.0/24 2 0 Network Interface Hop 3.3.3.0/24 1 0 4.4.4.0/24 2 0 3.3.3.0/24 1 1 1.1.1.0/24 1 1 2.2.2.0/24 1 1 1.1.1.0/24 1 2

RIPv2 의동작과정 R1 R2 R3 1.1.1.0/24 2.2.2.0/24 3.3.3.0/24 4.4.4.0/24 1 2 1 2 1 2 <R1 Routing Table> <R2 Routing Table> <R3 Routing Table> Network Interface Hop 1.1.1.0/24 1 0 2.2.2.0/24 2 0 Network Interface Hop 2.2.2.0/24 1 0 3.3.3.0/24 2 0 Network Interface Hop 3.3.3.0/24 1 0 4.4.4.0/24 2 0 3.3.3.0/24 1 1 1.1.1.0/24 1 1 2.2.2.0/24 1 1 4.4.4.0/24 2 1 1.1.1.0/24 1 2

RIPv2 의동작과정 R1 R2 R3 1.1.1.0/24 2.2.2.0/24 3.3.3.0/24 4.4.4.0/24 1 2 1 2 1 2 <R1 Routing Table> <R2 Routing Table> <R3 Routing Table> Network Interface Hop 1.1.1.0/24 1 0 2.2.2.0/24 2 0 Network Interface Hop 2.2.2.0/24 1 0 3.3.3.0/24 2 0 Network Interface Hop 3.3.3.0/24 1 0 4.4.4.0/24 2 0 3.3.3.0/24 2 1 1.1.1.0/24 1 1 2.2.2.0/24 1 1 4.4.4.0/24 2 2 4.4.4.0/24 2 1 1.1.1.0/24 1 2

RIPv2 설정 - Routing Protocol 선택 R1(config)# router rip - 교환할네트워크정보설정 R1(config-router)# network [classful형식의네트워크이름 ] - 사용할 version 설정 version 2 R1(config-router)# version 2 - Classless Routing 설정 Network, Subnet mask, Hop Count R1(config-router)# no auto-summary - (Option) 정보를전달하지않을인터페이스설정 R1(config-router)# passive-interface [ 인터페이스이름 ]

RIPv2 설정확인 - Routing Table 확인 R1# show ip route (show ip route rip) Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 1.0.0.0/30 is directly connected, Serial0/0 C 1.0.0.1/32 is directly connected, Serial0/0 10.0.0.0/24 is subnetted, 1 subnets R 10.0.0.0 [120/1] via 1.0.0.1, 00:00:09, Serial0/0 R 10.0.0.0 [120(AD)/1(Metric)] Via 1.0.0.1, 00:00:09 Serial 0/0

RIPv2 설정확인 - Routing Protocol 정보확인 R1# show ip protocols - 교환한정보 ( 경로 ) 관리 Database R1# show ip rip database - RIPv2 의동작상태확인 R1# debug ip rip

OSPF (Open Shortest Path First Protocol) (AD : 110) - IETF 표준 Routing Protocol - Link State 계열의 Dynamic Routing Protocol - Metric Cost(Bandwidth, 전송속도 ) 속도를기준으로경로를선택함 - 동일한 Protocol 을사용하는인접장비와 Link 상태정보 (interface 정보 ) 를교환함 - Multicast Group 224.0.0.5, 224.0.0.6(DR/BDR) - Classless Routing 만지원됨 - 큰범위의네트워크에서사용함 정보교환의거리제한이없음 - 경로정보교환주기 topology 에변화발생 변화가적용되는속도 (Convergence Time) 가빠름 - 경로계산알고리즘 Dijkstra 의 SPF - 계층적인구조를가짐

OSPF 의계층적인구조 - Routing 정보를교환할영역을구분 - Routing 동작을위해발생되는 back ground traffic 의부하를줄임 Area ABR DR BDR OSFP 정보를교환할장비로구성된영역반드시 back bone area(area 0) 를통해연결되어있어야함 (Area Border Router) back born 과다른 area 를연결하는역할의 Router 하나의 Area 영역의정보를다른 Area 와교환하는역할의 Router DR 의 backup Router Single Area OSPF - Back born area 만존재하는 OSPF Multi Area OSPF - Back born area 에하위 area 가계층적인구조로연결된 OSPF

OSPF 의계층적인구조 Area 2 AS 100 AS 200 ABR ASBR ASBR ABR ABR Backbone Area (Area 0) Area 1 Area 3

OSPF 의동작과정 - 각 Link 별 Metric(cost) 값계산 - SPF 알고리즘으로각 Link 별 Cost 값을계산함 Cost = /bandwidth(bps) - 계산된 cost 값을 Topology Database 에등록함 - 이웃관계맺기 - Hello Message 를서로교환한장비끼리이웃관계를맺음 Full 상태 ( 완벽한이웃 ) - 이웃정보를 Neighbor Table 에등록 (Default 10 초 ) - Interface 상태정보교환 - 등록된이웃과 Topology Database 의정보를 LSA(Link State Advertisement) 메시지로교환 - Topology Database 에 LSA 로획득한정보저장 - 해당장비를기준으로전체네트워크토폴로지를구성함 - 목적지에도달가능한전체경로의 Metric( 누적 cost) 계산 - 특정네트워크에도달할수있는모든경로의누적 cost 값을구하여제일낮은 cost 를가진경로를최적의경로로선택 - 최적의경로만 Routing Table 에등록 - 최적의경로만 Routing Table 에등록하고다음으로낮은 cost 를가진경로를백업경로로지정 - 선택된경로관리 - Topology Database 의정보가변경되면즉시이웃장비에게 LSA 를전달하여변경된 Link 정보를업데이트함

OSPF 의동작과정 R1 <Topology Database update> R1 16 R2 <Routing Table> 1.1 4.1 1.1 (16) Network 방향 R2 1.2 4.2 R4 4.1 (5) 3.1 (14) 5 2 1.1.1.0/24 R2 2.1 3.2 3.2(5) R4 R3 2.2 3.1 14 R3 Router ID : 4.1 1.1.1.0/24 1.1.1.0/24 2.1 (16) 4.1 (5) <Topology Database> 2.1 Full 4.2 Full <Neighbor Table> Router ID OSPF 라우터의식별값 1. Static 2. Loopback interface IP 3. 제일큰 IP

OSPF 설정 - Routing Protocol 선택 - process-id 한 Router 에서 OSPF 를다중으로동작시킬때각 OSPF 를구별하기위한식별값 R1(config)# router ospf [process-id] - 교환할 Link(interface) 정보설정 R1(config-router)# network [ 광고할 interface IP] [Wildcard Mask] area [area-id] - (Option) 정보를전달하지않을인터페이스설정 R1(config-router)# passive-interface [ 인터페이스이름 ] - (Option) Default Gateway 광고 R1(config-router)# default-information originate [always]

Wildcard Mask - IP 범위를지정하기위해사용하는필터링값 - 조건으로설정하는 IP 값과실제 IP 를 Wildcard Mask 로비교하여필터링함 - 0 조건으로지정된 IP 의 bit 와일치해야됨 - 1 조건으로지정된 IP 와일치하지않아도됨 - Wildcard mask 의 bit 는연속되지않아도됨 8bit 8bit 8bit 8bit 조건 IP 200 200 200 0 Wildcard Mask 0 0 0 255 실제 IP 200 200 200 0~255 8bit 8bit 8bit 8bit 조건 IP 1 1 0 0 1 0 0 0 1 1 0 0 1 0 0 0 1 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 Wildcard Mask 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 Network 1 1 0 0 1 0 0 0 1 1 0 0 1 0 0 0 1 1 0 0 1 0 0 0 x x x x x x x x

OSPF 설정확인 - Routing Table 확인 R1# show ip route (show ip route ospf) Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 1.0.0.0/30 is directly connected, Serial0/0 C 1.0.0.1/32 is directly connected, Serial0/0 10.0.0.0/24 is subnetted, 1 subnets 3.0.0.0/29 is subnetted, 2 subnets O 3.2.12.0 [110/487] via 11.11.11.2, 00:01:41, Serial0/3 O 3.2.15.0 [110/194] via 11.11.11.2, 00:01:41, Serial0/3 O 3.2.12.0 [110(AD)/487(Metric)] Via 11.11.11.2, 00:01:41 Serial 0/3

OSPF 설정확인 - Routing Protocol 정보확인 R1# show ip protocols - OSPF 기본정보확인 R1# show ip ospf [process-id] - Neighbor Table 정보확인 R1# show ip ospf neighbor - OSPF 의동작상태확인 R1# debug ip ospf events

Router 의 ACL - Router 를경유하는트래픽을필터링함 - 정책에따른트래픽필터링, 식별, 분류, 암호화, 변환작업등을수행함 ACL 기본동작 - 순차적인동작 - 조건에명시되어있는정보와전달받은 packet 의정보를비교하여지정된 Action 을수행함 - Permit 허용, 사용됨 - Deny 거부, 사용되지않음 - 모든조건에해당되지않으면 ALL Deny - 항상조건의마지막에기본값으로 ALL Deny 정책이지정되어있음 Packet Deny Deny Deny Match Next Test(s)? Match Next Test? - 정책구성후필요한위치에서적용함 Deny Y Y Y Match First Test? N N N Y Permit Y Permit Y Permit All Deny Destination Interface(s) Bucket

Numbered 형 ACL - 숫자를식별값으로사용하는 ACL - 주로특정기능수행을위한트래픽분류를목적으로사용됨 - 조건항목의수정, 삭제가불가능함 - 하나의조건이라도삭제하면 ACL 자체가삭제됨 Named 형 ACL - 문자를식별값으로사용하는 ACL - 방화벽의보안정책구성및복잡한정책구성을할때사용됨 - 조건을원하는위치에추가및수정, 삭제가가능함 - ACL 을생성하고 ACL Mode 에서조건을지정함 종류식별값필수조건조건종류옵션 Standard 1~99 1 Source IP X Extended 100~199 3 Protocol, Source IP, Destination ID Port 주소, Protocol 조건에따라다름

Filtering 을위한 ACL - 정책에맞춰구성된조건 (ACL) 과실트래픽을필터링할지점설정 - 트래픽을필터링해야할인터페이스 - 종류 Inbound, outbound Inbound - 인터페이스로데이터가유입됐을때정책확인후전송 - ACL 확인 Routing Table 확인 (Routing) Switching outbound(default) - 인터페이스로데이터가전달되기직전에정책확인후전송 - Routing Table 확인 (Routing) ACL 확인 Switching 트래픽분류를위한 ACL - 데이터를분류해야하는기능설정시사용됨

정책에맞는조건계획 조건을설정하여 List 생성 - 같은번호로설정 조건추가 - 새로운번호로설정 새로운 ACL 생성 R1(config)# access-list [number] [action permit/deny] [ 조건 ] R1(config)# ip access-list [standard/extended] [string] R1(config-[std/ext])# [action permit/deny] [ 조건 ] 생성한 ACL 을이용할위치 (interface ) 에서적용 R1(config)# interface [ 필터링할트래픽이경유하는 interface] R1(config-if)# ip access-group [number/string] [in/out]

Standard ACL - 조건 source IP - Wildcard Mask 를이용하여조건에매치할 IP 의범위를지정할수있음 - 모든 IP(0.0.0.0 255.255.255.255) = any - 특정 IP 하나 (10.10.10.1 0.0.0.0) = host 10.10.10.1 Router(config)# access-list [1~99, 1300~1999] [permit/deny] [source IP] [wildcard mask] R1(config)# access-list 1 permit host 10.10.10.1 R1(config)# interface fastethernet 0/0 R1(config-if)# ip access-group 1 in Router(config)# ip access-list standard [name] Router(config-std)# [permit/deny] [source IP] [wildcard mask] R1(config)# access-list standard TEST R1(config-std)# permit 10.10.10.0 0.0.0.255 R1(config)# interface fastethernet 0/0 R1(config-if)# ip access-group TEST in

Extended ACL - 필수조건 Protocol(IP 헤더의 Protocol 필드와비교할값 ), Source IP, Destination IP - Option - 지정된 Protocol 의종류에따라다름 - 특정기능을수행하기위한조건을지원함 Log, Established( 상태추적 ), Qos - TCP/UDP 인경우 Source port, Destination port 를조건으로사용할수있음 eq neq lt gt range Operator Equal to Not Equal to Less than Greater than [ 트래픽 ] = [ 조건 ] [ 트래픽 ]!= [ 조건 ] [ 트래픽 ] < [ 조건 ] [ 트래픽 ] > [ 조건 ] First end Router(config)# access-list [100~199, 2000~2699] [permit/deny] [protocol] [source IP] [wildcard mask] [source port] [destination IP] [wildcard mask] [destination port] [option] R1(config)# access-list 100 permit tcp 10.10.10.1 0.0.0.0 any eq 22 R1(config)# interface fastethernet 0/0 R1(config-if)# ip access-group 100 in

R1(config)# access-list 1 permit 10.10.0.0 0.0.255.255 R1(config)# interface Fastethernet 0 R1(config-if)# ip access-group 1 out R1(config)# interface Fastethernet 1 R1(config-if)# ip access-group 1 out Internet Router(config)# access-list 1 deny 10.10.20.1 0.0.0.0 Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255 Router(config)# interface fastethernet 0 Router(config-if)# ip access-group 1 out Fa0 S0 Fa1 10.10.10.1/24 10.10.20.1/24 Router(config)# access-list 1 deny 10.10.20.0 0.0.0.255 Router(config)# access-list 1 permit any Router(config)# interface fastethernet 0 Router(config-if)# ip access-group 1 out

Internet S0 10.10.10.1/24 Fa0 Fa1 10.10.20.1/24 Router(config)# access-list 101 deny tcp 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255 eq 21 Router(config)# access-list 101 deny tcp 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255 eq 20 Router(config)# access-list 101 permit ip any any Router(config)# interface fastethernet 0 Router(config)# ip access-group 101 out Router(config)# access-list 101 deny tcp 10.10.20.0 0.0.0.255 any eq 23 Router(config)# access-list 101 permit ip any any Router(config)# interface fastethernet 0 Router(config)# ip access-group 101 out

간접 ( 원격 ) 접근접속제어 - 허용되지않은사용자의접근을제어함 - vty 에서설정함 - 일반적으로 Standard 형 ACL 을사용함 Router(config)# access-list [1~99, 1300~1999] [permit] host [ 관리자시스템 IP] Router(config)# line vty 0 4 Router(config-line)# access-class [number] [in/out] R1(config)# access-list 1 permit host 10.10.10.1 R1(config)# line vty 0 4 R1(config-line)# access-class 1 in

ACL 설정확인 - 설정한 ACL 의조건및조건에매치된트랙픽정보확인 R1# show ip access-lists [number/string] (=show access-lists) Extended IP access list 100 permit tcp any any range 22 smtp (11 match(es)) Standard IP access list 1 permit host 10.10.10.1 ACL 적용확인 - ACL 이적용된인터페이스정보확인 R1# show ip interface fastethernet 0/0 Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 100 Proxy ARP is enabled

NAT (Network Address Translation) - 주소변환기술 - 공인 IP 부족현상을완화하기위해제안된기술 - 사설 IP 를지정하여 intranet 내부에서만임의의 IP 를사용할수있게함 - 중복된 IP 를사용할수있으므로사설 IP 를이용한공용네트워크통신을제한함 - intranet 에서공용네트워크에접근하기위해네트워크를연결하는 Router 에서사설 IP 를공인 IP 로변환시켜내보내야함 사설 IP 대역 - 10.0.0.0 ~ 10.255.255.255 10.0.0.0/8-172.16.0.0 ~ 172.31.255.255 172.16.0.0/12-192.168.0.0 ~192.168.255.255 192.168.0.0/16 NAT 사용목적 - IPv4 부족현상완화 - 공인 IP 사용비용감소 - 보안

조건정책설정 - 사설 IP 네트워크정보 ACL - 변환에사용할공인 IP 정보 Pool 또는 secondary IP 설정 NAT 정책설정 - 변환해야할사설 IP 를공인 IP 로연결함 - NAT 종류지정 Interface 역할결정 - NAT 동작에사용될 Interface mode 로이동 - Inside - 내부네트워크 ( 사설 ) 와연결하고인터페이스 - Inside 로전달되는 Packet 의 Source IP 와조건정책의사설 IP 범위와비교 일치하면 NAT 수행 - Outside - 외부네트워크 ( 공용 ) 와연결하고인터페이스 - outside 로전달되는 Packet 의 Destination IP 와 NAT 변환정보를비교 존재하면지정된 IP 로변환

S IP 192.168.0.1 D IP 8.8.8.8 S IP 192.168.0.1 D IP 8.8.8.8 LAN 192.168.0.1 192.168.0.254 fa 0 inside 100.100.100.1 100.100.100.2 se 0 outside Internet 8.8.8.8 사설 IP 공인 IP 정책 사설 IP 공인 IP 192.168.0.0/24 100.100.100.2 <NAT Table>

S IP 100.100.100.2 D IP 8.8.8.8 LAN 192.168.0.1 192.168.0.254 fa 0 inside 100.100.100.1 100.100.100.2 se 0 outside Internet 8.8.8.8 사설 IP 공인 IP 192.168.0.1 100.100.100.2 정책 사설 IP 공인 IP 192.168.0.0/24 100.100.100.2 <NAT Table>

S IP 100.100.100.2 D IP 8.8.8.8 S IP 100.100.100.2 D IP 8.8.8.8 LAN 192.168.0.1 192.168.0.254 fa 0 inside 100.100.100.1 100.100.100.2 se 0 outside Internet 8.8.8.8 사설 IP 공인 IP 192.168.0.1 100.100.100.2 정책 사설 IP 공인 IP 192.168.0.0/24 100.100.100.2 <NAT Table>

S IP 8.8.8.8 D IP 100.100.100.2 S IP 8.8.8.8 D IP 100.100.100.2 LAN 192.168.0.1 192.168.0.254 fa 0 inside 100.100.100.1 100.100.100.2 se 0 outside Internet 8.8.8.8 사설 IP 공인 IP 192.168.0.1 100.100.100.2 정책 사설 IP 공인 IP 192.168.0.0/24 100.100.100.2 <NAT Table>

S IP 8.8.8.8 D IP 192.168.0.1 LAN 192.168.0.1 192.168.0.254 fa 0 inside 100.100.100.1 100.100.100.2 se 0 outside Internet 8.8.8.8 사설 IP 공인 IP 192.168.0.1 100.100.100.2 정책 사설 IP 공인 IP 192.168.0.0/24 100.100.100.2 <NAT Table>

S IP 8.8.8.8 D IP 192.168.0.1 LAN 192.168.0.1 192.168.0.254 fa 0 inside 100.100.100.1 100.100.100.2 se 0 outside Internet 8.8.8.8 사설 IP 공인 IP 192.168.0.1 100.100.100.2 정책 사설 IP 공인 IP 192.168.0.0/24 100.100.100.2 <NAT Table>

Static NAT - NAT Table 의변환정보를관리자가직접지정하고관리함 정보가고정됨 - 사설 IP(1) : 공인 IP(1) - Server 에 Client 가접근할수있게함 Dynamic NAT - NAT Table 의변환정보를장비가직접생성하고관리함 - NAT 동작을수행해야하는조건에맞는 Packet 을전달받았을때변환됨 - 사설 IP(n) : 공인 IP(m) 동시에통신가능한장비가공인 IP 수로제한됨 - 내부호스트장비의공용네트워크통신을위해사용됨 NAT-PAT(Port Address Translation) - 일반 Dynamic NAT 의한계를극복 - NAT 동작이수행될때 Port 주소를변환정보식별용으로함께사용함 - 사설 IP(n) : 공인 IP(1) 하나의공인 IP 로다수의사설 IP 를이용한통신이지원됨 - 내부호스트장비의공용네트워크통신을위해사용됨

Static NAT - 공인 IP 로전달된 Client 의요청을내부 Server 로전달할수있도록목적지주소를변환하는기능 - Server 에할당된사설 IP 하나당공인 IP 를할당 1 : 1 LAN S IP 1.1.1.1 D IP 100.100.100.2 S IP 1.1.1.1 D IP 100.100.100.2 192.168.0.1 in 192.168.0.254 공인 IP 100.100.100.1 100.100.100.2 out Internet 1.1.1.1 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.2 Network : 192.168.0.0/24

Static NAT - 공인 IP 로전달된 Client 의요청을내부 Server 로전달할수있도록목적지주소를변환하는기능 - Server 에할당된사설 IP 하나당공인 IP 를할당 1 : 1 LAN S IP 1.1.1.1 D IP 192.168.0.1 100.100.100.2 192.168.0.1 in 192.168.0.254 공인 IP 100.100.100.1 100.100.100.2 out Internet 1.1.1.1 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.2 Network : 192.168.0.0/24

Static NAT - 공인 IP 로전달된 Client 의요청을내부 Server 로전달할수있도록목적지주소를변환하는기능 - Server 에할당된사설 IP 하나당공인 IP 를할당 1 : 1 S IP 192.168.0.1 D IP 1.1.1.1 LAN S IP 192.168.0.1 D IP 1.1.1.1 192.168.0.1 in 192.168.0.254 공인 IP 100.100.100.1 100.100.100.2 out Internet 1.1.1.1 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.2 Network : 192.168.0.0/24

Static NAT - 공인 IP 로전달된 Client 의요청을내부 Server 로전달할수있도록목적지주소를변환하는기능 - Server 에할당된사설 IP 하나당공인 IP 를할당 1 : 1 LAN S IP 100.100.100.2 D IP 1.1.1.1 192.168.0.1 in 192.168.0.254 공인 IP 100.100.100.1 100.100.100.2 out Internet 1.1.1.1 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.2 Network : 192.168.0.0/24

조건정책설정 - 사설 IP 네트워크정보 1:1 설정이기때문에설정할필요가없음 - 변환에사용할공인 IP 정보 Pool 또는 outside 인터페이스에서 secondary IP 로설정 R1(config)# ip nat pool [name] [start IP] [end IP] netmask [subnet mask] R1(config)# interface [outside interface] R1(config-if)# ip address [ 공인 IP] [subnet mask] secondary NAT 정책설정 R1(config)# ip nat inside source static [ 사설 IP] [ 공인 IP] Interface 역할결정 - 사설네트워크를연결하는인터페이스 inside R1(config)# interface [inside interface] R1(config-if)# ip nat inside - 공용네트워크를연결하는인터페이스 outside R1(config)# interface [outside interface] R1(config-if)# ip nat outside

Dynamic NAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의지정된개수의공인 IP 로변환 n : m ( 동시통신가능 m 대 ) S IP 192.168.0.1 D IP 8.8.8.8 LAN S IP 192.168.0.1 D IP 8.8.8.8 192.168.0.1 사설 IP 192.168.0.0/24 in 192.168.0.254 공인 IP 100.100.100.1 100.100.100.2 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 Network : 192.168.0.0/24

Dynamic NAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의지정된개수의공인 IP 로변환 n : m ( 동시통신가능 m 대 ) LAN S IP 100.100.100.1 192.168.0.1 D IP 8.8.8.8 192.168.0.1 사설 IP 192.168.0.0/24 in 192.168.0.254 공인 IP 100.100.100.1 100.100.100.2 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.1 Network : 192.168.0.0/24

Dynamic NAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의지정된개수의공인 IP 로변환 n : m ( 동시통신가능 m 대 ) LAN S IP 100.100.100.1 D IP 8.8.8.8 192.168.0.1 사설 IP 192.168.0.0/24 in 192.168.0.254 공인 IP 100.100.100.1 100.100.100.2 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.1 Network : 192.168.0.0/24

Dynamic NAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의지정된개수의공인 IP 로변환 n : m ( 동시통신가능 m 대 ) LAN S IP 8.8.8.8 D IP 100.100.100.1 S IP 8.8.8.8 D IP 100.100.100.1 192.168.0.1 사설 IP 192.168.0.0/24 in 192.168.0.254 공인 IP 100.100.100.1 100.100.100.2 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.1 Network : 192.168.0.0/24

Dynamic NAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의지정된개수의공인 IP 로변환 n : m ( 동시통신가능 m 대 ) LAN S IP 8.8.8.8 D IP 192.168.0.1 192.168.0.1 사설 IP 192.168.0.0/24 in 192.168.0.254 공인 IP 100.100.100.1 100.100.100.2 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.1 Network : 192.168.0.0/24

조건정책설정 - 사설 IP 네트워크정보 ACL - 변환에사용할공인 IP 정보 Pool R1(config)# access-list 1 permit [ 사설 IP] [wildcard mask] R1(config)# ip nat pool [name] [start IP] [end IP] netmask [subnet mask] NAT 정책설정 R1(config)# ip nat inside source list [ACL number] pool [pool name] Interface 역할결정 - 사설네트워크를연결하는인터페이스 inside R1(config)# interface [inside interface] R1(config-if)# ip nat inside - 공용네트워크를연결하는인터페이스 outside R1(config)# interface [outside interface] R1(config-if)# ip nat outside

Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 S IP 192.168.0.1 D IP 8.8.8.8 LAN 사설 IP 192.168.0.0/24 S IP 192.168.0.1 D IP 8.8.8.8 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 Network : 192.168.0.0/24

Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN 사설 IP 192.168.0.0/24 S IP 100.100.100.1 192.168.0.1 D IP 8.8.8.8 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.1 Network : 192.168.0.0/24

Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN 사설 IP 192.168.0.0/24 S IP 100.100.100.1 D IP 8.8.8.8 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.1 Network : 192.168.0.0/24

Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN 사설 IP 192.168.0.0/24 S IP 192.168.0.2 D IP 8.8.8.8 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 192.168.0.2 S IP 192.168.0.2 D IP 8.8.8.8 사설 IP 공인 IP 192.168.0.1 100.100.100.1 Network : 192.168.0.0/24

Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN 사설 IP 192.168.0.0/24 S IP 100.100.100.1 192.168.0.2 D IP 8.8.8.8 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.1 192.168.0.2 100.100.100.1 Network : 192.168.0.0/24

Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN 사설 IP 192.168.0.0/24 S IP 100.100.100.1 D IP 8.8.8.8 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.1 192.168.0.2 100.100.100.1 Network : 192.168.0.0/24

Dynamic NAT 문제점 - 동시통신가능한호스트의수 = 공인 IP 의개수 LAN S IP 8.8.8.8 D IP 100.100.100.1 S IP 8.8.8.8 D IP 100.100.100.1 사설 IP 192.168.0.0/24 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP 192.168.0.2 192.168.0.1 100.100.100.1 192.168.0.2 100.100.100.1 Network : 192.168.0.0/24

NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 S IP 192.168.0.1 D IP 8.8.8.8 LAN S IP 192.168.0.1 D IP 8.8.8.8 사설 IP 192.168.0.0/24 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP port 192.168.0.2 Network : 192.168.0.0/24

NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP 192.168.0.1 100.100.100.1(1024) D IP 8.8.8.8 사설 IP 192.168.0.0/24 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP port 192.168.0.2 192.168.0.1 100.100.100.1 1024 Network : 192.168.0.0/24

NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP 100.100.100.1(1024) D IP 8.8.8.8 사설 IP 192.168.0.0/24 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP port 192.168.0.2 192.168.0.1 100.100.100.1 1024 Network : 192.168.0.0/24

NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP 192.168.0.2 D IP 8.8.8.8 사설 IP 192.168.0.0/24 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 192.168.0.2 S IP 192.168.0.2 D IP 8.8.8.8 사설 IP 공인 IP port 192.168.0.1 100.100.100.1 1024 Network : 192.168.0.0/24

NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP 192.168.0.2 D IP 8.8.8.8 100.100.100.1(1025) 사설 IP 192.168.0.0/24 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP port 192.168.0.2 192.168.0.1 100.100.100.1 1024 192.168.0.2 100.100.100.1 1025 Network : 192.168.0.0/24

NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP 100.100.100.1(1025) D IP 8.8.8.8 사설 IP 192.168.0.0/24 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP port 192.168.0.2 192.168.0.1 100.100.100.1 1024 192.168.0.2 100.100.100.1 1025 Network : 192.168.0.0/24

NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP 8.8.8.8 D IP 100.100.100.1(1024) S IP 8.8.8.8 D IP 100.100.100.1(1024) 사설 IP 192.168.0.0/24 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP port 192.168.0.2 192.168.0.1 100.100.100.1 1024 192.168.0.2 100.100.100.1 1025 Network : 192.168.0.0/24

NAT-PAT - 사설네트워크내부의호스트통신을위해사용됨 - 다수의사설 IP 의하나의공인 IP 로변환 n : 1 LAN S IP 8.8.8.8 D IP 192.168.0.1 사설 IP 192.168.0.0/24 공인 IP 100.100.100.1 192.168.0.1 in 192.168.0.254 out Internet 8.8.8.8 <NAT Table> 사설 IP 공인 IP port 192.168.0.2 192.168.0.1 100.100.100.1 1024 192.168.0.2 100.100.100.1 1025 Network : 192.168.0.0/24

조건정책설정 - 사설 IP 네트워크정보 ACL - 변환에사용할공인 IP 정보 Pool, outside 인터페이스에서 secondary IP, outside 인터페이스 IP R1(config)# access-list 1 permit [ 사설 IP] [wildcard mask] R1(config)# ip nat pool [name] [start IP] [end IP] netmask [subnet mask] R1(config)# interface [outside interface] R1(config-if)# ip address [ 공인 IP] [subnet mask] secondary NAT 정책설정 R1(config)# ip nat inside source list [ACL number] pool [pool name] overload R1(config)# ip nat inside source list [ACL number] interface [outside interface] overload

Interface 역할결정 - 사설네트워크를연결하는인터페이스 inside R1(config)# interface [inside interface] R1(config-if)# ip nat inside - 공용네트워크를연결하는인터페이스 outside R1(config)# interface [outside interface] R1(config-if)# ip nat outside

NAT 설정정보확인 R1# show ip nat statistics Total translations: 1 (1 static, 0 dynamic, 0 extended) Outside Interfaces: Serial0/3 Inside Interfaces: FastEthernet0/0 Hits: 29 Misses: 40 Expired translations: 30 Dynamic mappings: NAT 동작과정확인 R1# debug ip nat

NAT Table 변환정보확인 R1# show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 11.11.11.3:1 10.10.10.1:1 172.16.10.1:1 172.16.10.1:1 icmp 11.11.11.3:2 10.10.10.1:2 172.16.10.1:2 172.16.10.1:2 icmp 11.11.11.3:3 10.10.10.1:3 172.16.10.1:3 172.16.10.1:3 icmp 11.11.11.3:4 10.10.10.1:4 172.16.10.1:4 172.16.10.1:4 --- 11.11.11.3 10.10.10.1 --- --- Static NAT Pro Inside Outside NAT변환된트래픽종류 사설네트워크 Local Global 공인네트워크 Local Glocal 변환전변환후변환전변환후

NAT Table 변환정보초기화 R1# clear ip nat translation * NAT Table 한항목삭제 R1# clear ip nat translation inside [global IP] [local IP] outside [global IP] [local IP]

GNS3 - 가상화서비스를통한네트워크환경구축을기능을지원하는프로그램 - 가상네트워크를구축을지원하는 GUI - 실제가상화기능및추가기능을지원하기위한여러종류의 S/W 가포함된프로그램 - www.gns3.com/ - 회원가입을해야다운로드가능함 - 무료라이선스 Routing 기능만지원 - 유로라이선스 Routing & Switching 기능지원 GNS3 가제공하는 Software - GUI GNS3 - 가상화 dynamics - 모니터링 wireshark(winpcap), solawins

GNS3 설치 - GNS3 설치 - 관리용폴더생성 - 경로상한글이포함되지않도록생성해야함 - 환경설정 - 기본환경설정 interface type, project/ios 관리폴더경로, console 연결터미널 - IOS 이미지등록 가상환경에사용할장비의 OS 설치

GNS3 설치프로그램실행 - 관리자모드로실행 라이선스확인및동의

등록될이름지정 설치할프로그램지정 - winpcap, Wireshark, Dynamips, QEMU, VPCS, Cpulimit, GNS3, Superputty

설치경로지정

WinPcap 설치 - 이미설치된경우삭제후재설치

Wireshark download 및설치 - 이미설치된경우삭제후재설치

Wireshark download 및설치 - 이미설치된경우삭제후재설치

기본프로그램설치완료 solawinds 추가 toolset 설치 - 설치안함

GNS3 설치완료 GNS3 매뉴얼 - Documentation 에서온라인매뉴얼제공

GNS3 초기설정마법사 - 사용안함 Don t show this again 체크후 Cancle 프로젝트 ( 작업단위 ) 관리창

제어메뉴 빠른실행메뉴 사용가능한하드웨어선택목록 가상작업공간 가상네트워크구축에사용된장비의간단한상태정보 하드웨어메뉴 가상네트워크구축에사용된 Virtual Server 의상태정보 Dynamips CLI

GNS3 관리폴더 - 사용되는파일과폴더의이름에한글이포함되어있으면안됨 - GNS3 에서기본적으로제공하는관리폴더의경로가복잡함 - 최상위드라이브에서 GNS3 폴더생성후하위에관리폴더생성 - 편리한관리를위해직접폴더를생성하여환경설정으로경로를지정함 - Project 하나의작업단위를파일로저장할때사용할기본경로 - IOS GNS3 에서사용할 cisco IOS 가저장될기본경로 - Config 작업환경에서구성한설정내용이저장될기본경로 - Symbols Topology 구성에사용할장비의이미지가저장될기본경로 `

GNS3 환경설정창 - Edit Preferences 기본환경설정 - general general - 기본경로및 interface style 설정

기본환경설정 - general console application - console 연결터미널설정

기본환경설정 - general Topology view - 작업환경의크기및텍스트설정

IOS 이미지등록 - Dynamips IOS routers - GNS3 에서사용할장비의 OS 등록 - IOS 등록이된장비만작업환경에서이용할수있음 IOS 이미지등록순서 - 등록할이미지선택 - 이미지압축해제하지않음 - 압축해제를하면새로운폴더가생성되고.image 파일이새로생성됨 - 장비이름및장비종류설정 - 할당할메모리크기설정 - 추가모듈설정 - Idlc PC 설정 - CPU 할당량조절 - Host 의 CPU 의점유율을최적의상태로지정하여하용 부하가줄어듦 - 한모델당지정 - 수동으로설정 자동설정버그

수동으로 Idle PC 설정 - 작업환경에서 CPUlimit 의기능을이용하여직접설정 - 반드시작업환경에 Idle IP 설정을하려는장비만배치되어야함 - 한번에한모델씩설정 수동으로 Idle PC 설정순서 - 작업환경에장비추가 - 우클릭 시작 console 부팅완료확인 idle pc 선택 목록의값중 55 근사치인값선택 - Idle PC 값 [CPU 할당반환비율 ] - 뒷자리의숫자가클수록반환비율이높음 - 또는우클릭우클릭 시작 console 부팅완료확인 auto idle pc 선택

장비배치 - 하드웨어목록에서필요한장비를작업환경에배치함 장비이름지정 - 장비의역할에따라이름재설정 장비이미지 (symbol) 변경 - 장비의역할에따라이미지재설정 장비하드웨어설정 - 장비의설정항목에서필요한하드웨어추가 / 삭제및설정 연결 구성

프로젝트저장 - 작업환경에서구성한가상네트워크환경을저장함 - console 에서 running-config 를 startup-config 로저장 - 모든장비동작 stop - file save project as 프로젝트명입력 ( 한글사용금지 ) - 생성된프로젝트를다시저장할때는장비를 stop 할필요가없음 외부에설정내용가져오기 - 텍스트파일형태로저장한장비의설정내용복구 - file import/export device configs 현재설정및구성백업및복구 - snapshot 기능제공 - 백업 - 복구 - file manage snapshot create snapshot 이름지정 - file manage snapshot snapshot 이름선택 restore

GNS3 의가상화환경과 VMware(Virtual BOX) 환경연동 - 환경설정및 Cloud(host 의 NIC) 를이용하여연결 - 연결에사용되는 VMnet, Virtual adapter, cloud 는 Guest 장비와 GNS3 의장비를연결하는케이블역할을수행함 - cloud device configuration cloud 선택 Ethernet 탭 목록에서연결할 VMnet virtual adapter 선택 add ok

Physical Area memory HDD CPU NIC ( 이더넷 ) Guest A NIC Vmnet 0(B) Vmnet 1(H) Vmnet 2(H) Vmnet1 host only adapter NIO VMnet1 NETWORK Guest B VMware NIC Vmnet 8(N) Vmnet 9(H) Vmnet2 host only adapter NIO VMnet2 GNS3

GNS3 의가상화환경과실제네트워크환경연동 - Cloud(host 의 NIC) 를이용하여연결 - 연결에사용되는 cloud 는 GNS3 프로그램간특정장비끼리연결하는케이블역할을수행함 - cloud device configuration cloud 선택 UDP 탭 가상의인터페이스생성 add ok - Local port 설정중인 GNS3 의가상의인터페이스 (cloud) 식별값 - Remote host 연결할 GNS3 가설치된 host 에접근하기위한주소 - Remote port 연결할 GNS3 의가상의인터페이스 (cloud) 식별값

Class(200.200.200.0/24) Host1 NIC NIC ( 이더넷 ) ( 이더넷 ) Host2 10 200 NETWORK 20000 NIO VMnet1 NIO VMnet1 30000 GNS3 Host1 Cloud 20000:200.200.200.200:30000 GNS3 Host2 Cloud 30000:200.200.200.10:20000

Class (200.200.200.0/24) OSPF(area 0) BR Core CR Distribution Distribution Distribution Distribution Distribution DR Access Access Access Access Access