1. hostname/ 패스워드설정 - 라우터 R1, ISP 이름을토폴로지와동일하게변경 - 스위치 S1의이름을토폴로지와동일하게변경 - 모든네트워크장비들의비밀번호를 "isco123" 으로하되, MD5 알고리즘에의해암호화되어저장되어야함. 2. 텔넷및콘솔설정 ( 모든네트워크장비 ) - 콘솔과텔넷접속을허용하되, 텔넷의경우 10개까지접속을허용하도록설정함 - 콘솔과텔넷의비밀번호 : Skills123 - 콘솔과텔넬의비밀번호가암호화되어저장되어야함. < 풀이 > R1 ISP S1 Router>en Router#conf t Router(config)#hostname R1 R1(config)#enable secret isco123 R1(config)#line con 0 R1(config-line)#login R1(config-line)#password Skills123 R1(config-line)#line vty 0 9 R1(config-line)#login R1(config-line)#password Skills123 R1(config-line)#exit R1(config)#service password-encryption Router>en Router#conf t Router(config)#hostname ISP ISP(config)#enable secret isco123 ISP(config)#line con 0 ISP(config-line)#login ISP(config-line)#password Skills123 ISP(config-line)#line vty 0 9 ISP(config-line)#password Skills123 ISP(config-line)#login ISP(config-line)#exit ISP(config)#service password-encryption Switch>en Switch#conf t Switch(config)#hostname S1 S1(config)#enable secret isco123 S1(config)#line 0 S1(config-line)#password Skills123 S1(config-line)#login S1(config-line)#line vty 0 9 S1(config-line)#password Skills123 S1(config-line)#login S1(config-line)#exit S1(config)#service password-encryption 3. VLAN과 Inter-VLAN VLAN 번호 VLAN 이름 S1 포트 R1의서브인터페이스 10 Sales fa0/1 fa 0/0.10 20 Manager fa0/2 fa 0/0.20 < 풀이 > => 가상의네트워크영역을만들고포트별로다른네트워크영역을할당하는기술 S1(config)# vlan 10 S1(config-vlan)# name Sales S1(config-vlan)# vlan 20 S1(config-vlan)# name Manager S1(config-vlan)# exit vlan 10 영역을생성이름을 Sales 로설정 ( 대소문자구분 ) vlan 20 생성이름을 Manager 로설정 => vlan 10, 20 인터페이스를만드는것이아니라가상의네트워크영역을만드는것임 S1(config)# int fa0/1 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 10 fa0/1 인터페이스로진입 스위치모드를 access 모드로함 스위치포트를 vlan 10 영역으로분할 S1(config-if)# int fa0/2 S1(config-if)# swi m a S1(config-if)# swi a vlan 20 S1(config)#int fa0/24 S1(config-if)#switchport mode trunk S1(config-if)# fa0/2 인터페이스로진입스위치모드를 access 모드로함스위치포트를 vlan 20 영역으로분할라우터와연결된 S1의 fa0/24 포트를트렁크모드로동작하도록설정 => 액세스모드는해당 vlan과연관된프레임만통신가능하고트렁크모드는모든 vlan 프레임이전달된다. ==> 라우터의서브인터페이스는아래 IP 설정과함께셋팅한다. - 1 -
4. IP 설정호스트 인터페이스 IP/ 프리픽스 게이트웨이 lock Rate fa 0/0.10 192.168.1.126/25 - fa 0/0 R1 fa 0/0.20 192.168.1.190/26 - s 0/0/0 10.10.10.1/30-64000 ISP fa 0/0 210.30.10.14/28 - s 0/0/0 10.10.10.2/30 - S1 VLAN 20 192.168.1.189/26 192.168.1.190 Sales_P 192.168.1.1/25 192.168.1.126 Manager_P 192.168.1.129/26 192.168.1.190 ID_Server 210.30.10.1/28 210.30.10.14 R1(config)#int fa0/0 R1(config-if)#no shut 설정절차 해설 실제인터페이스인 fa0/0 는포트활성화만해준다. R1(config-if)#int fa0/0.10 R1(config-subif)#encapsulation dot1q 10 R1(config-subif)#ip add 192.168.1.126 255.255.255.128 R1(config-subif)#int fa0/0.20 R1(config-subif)#ip addr 192.168.1.190 255.255.255.192 % onfiguring IP routing on a LAN subinterface is only allowed if that subinterface is already configured as part of an IEEE 802.10, IEEE 802.1Q, or ISL vlan. R1(config-subif)#encapsulation dot1q 20 R1(config-subif)#int s0/0/0 R1(config-if)#ip addr 10.10.10.1 255.255.255.252 R1(config-if)#clock rate 64000 R1(config-if)#no shut ISP(config)#int fa0/0 ISP(config-if)#ip add 210.30.10.14 255.255.255.240 ISP(config-if)#no shut ISP(config-if)#int s0/0/0 ISP(config-if)#ip add 10.10.10.2 255.255.255.252 ISP(config-if)#no shut S1(config)#int vlan 20 S1(config-if)#ip add 192.168.1.189 255.255.255.192 S1(config-if)#exit S1(config)#ip default-gateway 192.168.1.190 스위치에 vlan 이나누어져있으므로가상으로포트를여러개인것처럼동작하게하는것이서브인터페이스를생성하는것이다. int fa0/0.10 에서.10 은스위치에서생성한 vlan 번호를사용하지만반드시일치시킬필요는없음. R1(config-subif)#ip add 192.168.1.126 255.255.255.128 는 vlan 10 네트워크가접근할게이트웨이가된다. 마찬가지로 R1(config-if)#ip addr 10.10.10.1 255.255.255.252 는 vlan 20이접근할게이트웨이가된다. 왼쪽은빨간메세지는 encapsulation 설정없이 ip를설정했기때문에발생한다. 실제물리포트는 fa0/0 지만논리적으로 fa0/0.10과 fa0/0.20, 2개의포트로동작하는것임. 앞서서설정했던 vlan 10, 20 을생성하는것과혼돈하면안됨. vlan 20이라는가상의인터페이스생성하여 IP를설정 vlan 20에속하는 manager pc 는 S1으로 ping, 텔넷이가능하지만다른 vlan에속하는 Sales P는 S1과통신이불가능하다. => 스위치에 IP를부여하는경우는텔넷과같은원격으로스위치를관리하기위해서임. - 2 -
5. R1과 R2에 EIGRP 라우팅을구성하시오. - AS번호 : 10 - 와일드카드마스크를사용하며, 서브넷마스크가요약되지않도록설정함. - R1과 R2은 fastethetnet 구간으로라우팅업데이트전송하지않도록설정함 설정 R1#conf t R1(config)#do sh ip rou 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks R1(config)#router eigrp 10 R1(config-router)#network 10.10.10.0 0.0.0.3 R1(config-router)#network 192.168.1.0 0.0.0.127 R1(config-router)#network 192.168.1.128 0.0.0.63 R1(config-router)#no auto-summary R1(config-router)#passive-interface fa0/0 ISP#conf t ISP(config)#router eigrp 10 ISP(config-router)#do sh ip rou 210.30.10.0 is directly connected, FastEthernet0/0 ISP(config-router)#network 10.10.10.0 0.0.0.3 %DUAL-5-NBRHANGE: IP-EIGRP 10: Neighbor 10.10.10.1 (Serial0/0/0) is up: new adjacency ISP(config-router)#network 210.30.10.0 0.0.0.15 ISP(config-router)#no auto-summary ISP(config-router)#passive-interface fa0/0 %DUAL-5-NBRHANGE: IP-EIGRP 10: Neighbor 10.10.10.1 (Serial0/0/0) is up: new adjacency 해설 do 명령어는프리빌리지명령어들을다른프롬프트에서실행할때사용하는명령어이다. R1# show ip route = sh ip rou 위명령어를글로벌설정모드에서하려면 R1(config)# do sh ip rou 와같이 do~ 와함께사용하면된다. *show ip route 는라우팅테이블을보여준다. 동적라우팅프로토콜은나의라우팅테이블을인접라우터에광고하는것이지만, 최초시작은 나와연결된네트워크들.. 을광고하는것이다. 그러면, 인접라우터들이그정보를받아서라우팅테이블을업데이트하고. 지속적으로그작업을수행한다. AS 번호는 Autonomous-System 의약자자율시스템번호로임의값을사용하지만 AS 번호가같은라우터까지인접관계를형성하고, 라우팅정보를주고받게됨. 현실에서는 ISP 업체에서 AS 번호를관리 / 할당해줌. 왼쪽에서파란색으로표시된네트워크와서브넷마스크를 network 명령어와함께설정하면라우팅광고를하게되는것이다. * 와일드카드마스크란? 서브넷마스크의다른표현법으로 (255.255.255.255 - 서브넷마스크 ) 로구한다. 예 ) 서브넷마스크가 /28 = 255.255.255.240 이면 255.255.255.255-255.255.255.240 = 0.0.0.15 이다. * 문제에서주어진네트워크를외워서설정하는것이아니라광고할네트워크를알고싶은시점에서 show ip route 명령어를활용하여라우팅테이블을확인한후 이니셜이붙어있는네트워크를설정하면되는것이다. 왼쪽의초록색메세지는 R1에서시리얼구간인 10.10.10.0 네트워크를광고한후, ISP에서도 10.10.10.0 구간을광고할때서로직접연결된시리얼구간을광고하므로두라우터가인접관계가형성되었다는메시지이다. 주황색메세지는 no auto-summary 를입력하므로서 10.10.10.0 네트워크에대한초록색의인접관계를재설정하게된다. EIGRP 는기본값은 auto-summary 가활성화되는데서브넷된네트워크에서는반드시 no auto-summary를입력해야한다. 자세한내용은추후설명하겠음. - 3 -
passive-interface fa0/0 : 라우팅업데이트는라우터들끼지정보를주고받는것이다. 그런데이업데이트정보가 LAN 환경으로도흘러간다면라우팅테이블보안에문제가생길수있다. 그래서일반호스트들이존재하는 LAN 방향 으로는업데이트정보를보내지말라는의미로설정하는것이다. 혼돈하지말아야할것은라우팅업데이트에서 Fa0/0 를빼는것이아니라라우팅정보만 fa0/0 로보내지않는것이 다. Fa0/0 에입력한 IP 에대한라우팅광고는다른인터페이스를통해서전달되어야한다. ISP#show ip protocols Show ip protocols 명령어 Routing Protocol is "eigrp 10 " Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Default networks flagged in outgoing updates Default networks accepted from incoming updates EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0 EIGRP maximum hopcount 100 EIGRP maximum metric variance 1 Redistributing: eigrp 10 Automatic network summarization is not in effect Maximum path: 4 Routing for Networks: 10.10.10.0/30 210.30.10.0/28 Passive Interface(s): FastEthernet0/0 Routing Information Sources: Gateway Distance Last Update 10.10.10.1 90 18192337 Distance: internal 90 external 170 왼쪽과같은정보를확인할수있음. 라우팅설정된네트워크와패시브인터 페이스를확인할수있음. ** 라우팅설정시주의사항 인터페이스에 IP 를설정할때를제외하고는거의모든경우에해당함 라우팅정보를잘못입력한경우는반드시삭제를해야함. 예를들어 ) network 192.168.1.0 0.0.0.127 을입력해야하는데 network 192.168.2.0 0.0.0.127 를입력했다면반드시 no network 192.168.2.0 0.0.0.127 를사용하여잘못된라인을삭제해야한다. 라우팅설정은여러개의네트워크를설정하는것이기때문에라우터가관리자의오타로인한실수를알지못하고모두 설정해버린다. 그러므로반드시 no~ 를사용하여삭제를해야한다. 라우팅설정은위와같이 sh ip protocols 또는 sh run 으로확인해야한다. - 4 -
< 라우팅테이블설명 > EIGRP 설정전 R1# sh ip rou R1, ISP 모두 EIGRP 설정완료한후라우팅테이블 R1#sh ip rou 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks D 10.10.10.0 is directly connected, Serial0/0/0 192.168.1.0/24 is variably subnetted, 3 subnets, 3 masks 192.168.1.0/24 [90/2684416] via 10.10.10.2, 00:09:19, Serial0/0/0 192.168.1.0/25 is directly connected, FastEthernet0/0.10 192.168.1.128/26 is directly connected, FastEthernet0/0.20 파란색부분이 ISP 라우터 EIGRP 광고에의해업데이트된것이다. D 210.30.10.0 [90/2172416] via 10.10.10.2, 00:09:19, Serial0/0/0 D 210.30.10.0 [90/2172416] via 10.10.10.2, 00:09:19, Serial0/0/0 R1 라우터로들어오는패킷중에 210.30.10.0 네트워크 (ID_Server) 를목적지로할경우 R1의 Serial0/0/0 로내보내는것이다. 그래서테이블레코드의마지막부분 Serial0/0/0은어떤패킷의목적지 IP와 /28 (255.255.255.240) 를 AND 연산한결과 210.30.10.0과매치된다면 R1이패킷을전달할출구인터페이스인것이다. R1 그런데 R1에직업연결된 192.168.1.0/25(sales) 와 192.168.1.128/26(manager) 네트워크임에도 D 192.168.1.0/24 [90/2684416] Serial0/0/0 라는레코드가있다. 예를들어 R1이어떤패킷을받았는데목적지가 Sales_P(192.168.1.1) 이었다고가정하자. 이목적지 IP는라우팅테이블에서보면 2군데서매치가일어난다. D 192.168.1.0/24 [90/2684416] via 10.10.10.2, 00:09:19, Serial0/0/0 192.168.1.0/25 is directly connected, FastEthernet0/0.10 192.168.1.1 과 /24 서브넷을 AND 연산을하면 192.168.1.0 이나오므로초록색라인과일치하고, /25 와 AND 연산을하면검은색라인과일치한다. 그런데출구인터페이스가다르다. 이런경우를위해관리거리가존재하는데, 라우팅알고리즘별로라우팅우선순위를말한다. EIGRP 는 90 이 다. = 0, Static =1, EIGRP = 90, OSPF=110, RIP=120 으로숫자가작을수록우선순위가높다. 그러므로, 위의, D(EIGRP) 둘중에 (onnected) 를선택하여 FastEthernet0/0.10 인터페이스로패킷을전달하여 Sales_P 에도착하게된다. 그럼위의 D 192.168.1.0/24 는왜있는것일까? 192.168.1.0/25, 192.168.1.128/26 은 192.168.1.0/24 네트워크를서브네팅한것으로나머지부분이존재한다. 192.168.1.192/26 은 Sales, Manager 모두해당되지않는여분의서브넷공간이다. 그런데목적지 IP를이여분의공간의 IP 중하나를갖는패킷이들어오면 D 192.168.1.0/24 [90/2684416] via 10.10.10.2, 00:09:19, Serial0/0/0 에의해 S0/0/0 로내보내어 ISP 라우터로보낸다. 그후일은 ISP 라우터가책임진다. 아래서설명하겠음. - 5 -
ISP(config)#sh ip rou ISP#sh ip rou ISP 210.30.10.0 is directly connected, FastEthernet0/0 192.168.1.0/24 is variably subnetted, 3 subnets, 3 masks D 192.168.1.0/24 is a summary, 03:09:28, Null0 D 192.168.1.0/25 [90/2172416] via 10.10.10.1, 00:17:35, Serial0/0/0 D 192.168.1.128/26 [90/2172416] via 10.10.10.1, 00:17:35, Serial0/0/0 210.30.10.0 is directly connected, FastEthernet0/0 위 R1에서모든설명을다했고, D 192.168.1.0/24 is a summary, 03:09:28, Null0 만설명하겠음. 위의설명마지막줄에서 R1은 192.168.1.0/24 를서브네팅한네트워크중남은부분인 192.168.1.192/26(IP 마지막값이 193 ~ 254) 을목적지로하는패킷을받으면 Null0 로보낸다. Null0 라는인터페이스는실제존재하지않는인터페이스이다. 결국 192.168.1.0/24 네트워크중에 192.168.1.0/25 (IP 마지막이 1 ~ 126), 192.168.1.128/26(IP 마지막이 129 ~ 190) 을제외한 IP 192.168.1.193 ~ 254 까지에대한목적지는실제존재하지않으므로 Null0 라는존재하지않는인터페이스를사용하여패킷을폐기처리하는데사용된다. 그러므로 192.168.1.0/24 네트워크의서브넷을정확히활용하여목적지를전달하기위한용도로사용된다. 그럼왜 EIGRP 에의해업데이트된정보는 E 를사용하지않고 D 를사용할까? EIGRP 는 DUAL (Diffusing Update ALgorithm) 을사용하기때문이다. EIGRP 가어떻게동작하는지에대 한알고리즘으로자세한설명은하지않겠음. - 6 -
< 라우팅에대한개념추가설명, EIGRP 설정전에 Sales_pc 에서 ID_Server 로핑이안가는이유 > 라우터는라우팅테이블에의거해서패킷을어떤포트로내보낼지를고민한다. 라우팅테이블 : show ip route 명령어로확인가능 : 직접연결된네트워크 R1#sh ip rou 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks R1# R1 라우터는어떤패킷이들어오면패킷속의목적지 IP를옆의라우팅테이블과비교하여어떤포트로내보낼지를결정하게된다. 현재 /30, /25, /26 이라는서브넷마스크와 AND 연산을순차적으로수행합니다. 연산결과가왼쪽테이블의 10.10.10.0, 192.168.1.0, 192.168.1.128 네트워크값과동일한값이나오면밑줄친인터페이스로내보내는것임. 서브넷마스크와목적지 IP를 AND 연산을한결과와일치하는값이라우팅테이블에없으면그패킷은폐기됩니다. 위의일련의과정들이라우터가패킷을받고처리하는과정들임 => Sales_P 에서 ID_Server 로 ping 을보내면안가는이유 : R1 이패킷을받아서 (IP : 210.30.10.1) 위의라우팅테이블에명시된서브넷마스크와 AND 연산을실행합니다. 라우팅테이블검색 / 연산 210.30.10.1 : 210. 30. 10. 0000 0001 /30, 255.255.255.252 : 255.255.255. 1111 1100 = 210. 30. 10. 0000 0000 210.30.10.1 : 210. 30. 10. 0000 0001 /25, 255.255.255.128 : 255.255.255. 1000 0000 = 210. 30. 10. 0000 0000 210.30.10.1 : 210. 30. 10. 0000 0001 /26, 255.255.255.192 : 255.255.255. 1100 0000 = 210. 30. 10. 0000 0000 목적지에도달하지못한다는응답을회신 10.10.10.0 과일치하지않음 192.168.1.0 과일치하지않음 192.168.1.128 과일치하지않음 => Sales_P 에서 Manager_P(192.168.1.129) 로핑을보낸다면 라우팅테이블검색 / 연산 210.30.10.1 : 192.168. 1. 1000 0001 /30, 255.255.255.252 : 255.255.255. 1111 1100 = 192.168. 1. 1000 0000 210.30.10.1 : 192.168. 1. 1000 0001 /25, 255.255.255.128 : 255.255.255. 1000 0000 = 192.168. 1. 1000 0000 210.30.10.1 : 192.168. 1. 1000 0001 /26, 255.255.255.192 : 255.255.255. 1100 0000 = 192.168. 1. 1000 0000 10.10.10.0 과일치하지않음 192.168.1.0 과일치하지않음 192.168.1.128 과일치하여 FastEthernet0/0.20 로패킷을전달 opyright. LeeGeunsu - 7 -