Ripv1
신뢰도(Administrative Distance) , Metric(거리, 속도) 개념의 최적경로 -> hop
2월 21일 수요일
wildcardmask
-ACL등과 같은 방화벽 구성시 네트워크의 범위를 지정시 사용된다.
-EiGRP, OSPF등과 같은 Routing Protocol 구성시에는 범위를 지정하는데 사용된다.
--------------------------------------------------------------------------------------------------------------
Subnetmask 와 Wildcardmask 의 차이점
Subnetmask
-32bit로 구성되며 1과 0의 연속적인 형식만 가능하다.
.0 - Network (공통비트)
.0 - host (비공통)
Wildcardmask
-32bit로 구성되며 1과 0의 불연속한 형식이 가능하다.
.0 - 공통비트
.1 - 비 공통 비트
ex)
-11000000.10101000.00000001.00000000 = 192.168.1.0
-11000000.10101000.00000001.00000001 = 192.168.1.1
-11000000.10101000.00000001.00000010 = 192.168.1.2
-11000000.10101000.00000001.00000011 = 192.168.1.3
-11000000.10101000.00000001.00000100 = 192.168.1.4
-11000000.10101000.00000001.00000101 = 192.168.1.5
~
-11000000.10101000.00000001.11111111 = 192.168.1.255
-----------------------------------=
-00000000.00000000.00000000.11111111 = 0.0.0.255
-192.168.1.0./27
.S/M : 192.168.1.0 255.255.255.224
.W/M : 192.168.1.0 0.0.31
-192.168.1.1 0.0.0.0 = 32비트를 모두 매치 되는 것. HOST 자기 자신
EX) 172.168.0.0/24 ~ 172.168.3.0/24 네트워크를 wildcardmask를 사용하여 범위를 지정하시오
172.168.0.0 0.0.3.255
EX1) 172.168.0.0/24 ~ 172.168.7.0/24 네트워크를 wildcardmask를 사용하여 범위를 지정하시오
WildcardMask
172.168.0.0 0.0.7.255
172.168.00000 000.00000000
~
172.168.00000 111.11111111
-------------------------
0. 0.00000 111.11111111 = 172.168.0.0 0.0.7.255
subnetmask (CIDR)
172.168.0.0 255.255.248.0
172.168.00000 000.00000000
~
172.168.00000 111.11111111
--------------------------
172.168.11111 000.11111111 = 172.168.0.0 255.255.248.0
--------------------------
255.255.248.0
EX2) 172.168.4.0/24 ~ 172.168.7.0/24 네트워크를 wildcardmask를 사용하여 범위를 지정하시오
WildcardMask
172.168.4.0 0.0.4.255
172.168.00000 1 00.00000000
~
172.168.00000 1 11.11111111
-------------------------
0. 0.000000 11.11111111 = 172.168.0.0 0.0.3.255
subnetmask (CIDR)
172.168.4.0 255.255.251.0
172.168.000001 00.00000000
~
172.168.000001 11.11111111
--------------------------
172.168.111111 00.00000000 = 172.168.4.0 255.255.252.0
--------------------------
255.255.248.0
EX3) 172.168.0.0/24 ~ 172.168.255.0/24 네트워크중 wildcardmask를 사용하여 3번째 옥탯의 ip주소가 짝수인 네트워크만 지정하시오
-10101100.10101000.00000000.00000000
-10101100.10101000.00000010.00000000
-10101100.10101000.00000100.00000000
-10101100.10101000.00000110.00000000
-10101100.10101000.00001000.00000000
-10101100.10101000.00001100.00000000
-10101100.10101000.00001110.00000000
~
-10101100.10101000.11111110.11111111
-----------------------------------------
-00000000.00000000.11111110.11111111 = 172.168.0.0 0.0.254.255
EX4) 172.168.0.0/24 ~ 172.168.255.0/24 네트워크중 wildcardmask를 사용하여 3번째 옥탯의 ip주소가 짝수인 네트워크만 지정하시오
-10101100.10101000.00000011.00000000
-10101100.10101000.00000011.00000000
-10101100.10101000.00000101.00000000
-10101100.10101000.00000111.00000000
-10101100.10101000.00001001.00000000
-10101100.10101000.00001101.00000000
-10101100.10101000.00001111.00000000
~
-10101100.10101000.11111111.11111111
-----------------------------------------
-00000000.00000000.11111110.11111111 = 172.168.1.0 0.0.254.255
EX5) 172.168.0.0/24 ~ 172.168.15.0/24 네트워크중 wildcardmask를 사용하여 3번째 옥탯의 ip주소가 짝수인 네트워크만 지정하시오
-10101100.10101000.00000000.00000000
-10101100.10101000.00000010.00000000
-10101100.10101000.00000100.00000000
-10101100.10101000.00000110.00000000
-10101100.10101000.00001000.00000000
-10101100.10101000.00001100.00000000
-10101100.10101000.00001110.00000000
~
-10101100.10101000.00001110.11111111
-----------------------------------------
-00000000.00000000.00001110.11111111 = 172.168.0.0 0.0.14.255
EX6) 172.168.0.0/24 ~ 172.168.15.0/24 네트워크중 wildcardmask를 사용하여 3번째 옥탯의 ip주소가 짝수인 네트워크만 지정하시오
-10101100.10101000.00000001.00000000
-10101100.10101000.00000011.00000000
-10101100.10101000.00000101.00000000
-10101100.10101000.00000111.00000000
-10101100.10101000.00001001.00000000
-10101100.10101000.00001101.00000000
-10101100.10101000.00001111.00000000
~
-10101100.10101000.00001111.11111111
-----------------------------------------
-00000000.00000000.00001110.11111111 = 172.168.1.0 0.0.14.255
2월 22일
### EIGRP (Enhanced Interior Gateway Routing Protocol)
-EIGRP는 1986년에 개발된 IGRP 프로토콜에 확장형으로서 Cisco전용 Routing Protocol이다
-Distance Vector이지만 Link-State처럼 동작을 실시한다.
."Split-horizon" 알고리즘에 의해 Loop를 방지 : Distance Vector 특징
."Auto-summary" command가 Default로 enable : Distance Vector 특징
.인접성(Adjacency)을 맺은 Router간 라우팅 업데이트 실시 : Link-State 특징
.Link 변화시 변화된 부분에 대해서 부분적인 업데이트를 실시 : Link-State 특징
.네트워크에 변화가 없으면 업데이트를 실시하지 않는다. : Link-State 특징
-Classless
.라우팅 업데이트 정보안에 SubnetMask가 포함
.Class가 단절되어도 업데이트가 실시
.Subnetting , VLSM을 사용하여 구축한 네트워크 환경에서 사용가능
.CIDR기능 지원 (수동 요약 기능 지원)
-AS (Autonomous System : BGP의 AS와는 다른 개념)
.16bit로 구성 (1~65535)
.하나의 관리자에 의해 동작하는 지역 또는 사설 Domain
-AD (Administrative Distance : 신뢰도)
.하나의 Router에 복수개의 Routing Protocol을 설정하게되면
Router는 AD값이 가장 작은 Routing Protocol을 사용한 라우팅 업데이트를 실시한다.
.Static : 1
.EIGRP Summary : 5
.EIGRP Internal : 90 (Bandwidth + Delay)
.OSPF : 110 (Bandwidth)
.RIP : 120 (Hop-count : 거리)
.EIGRP External : 170
-Metric
.Router는 하나의 목적지에 대해서 하나의 경로만을 지원하는 장비이다.
.하나의 목적지에 대해서 복수개의 경로가 존재할경우 Metric값이이 가장 작은 경로를 사용하여 통신이 실시된다
.EIGRP는 5가지 복합연산을 사용한다 : Bandwidth , Load , Delay , Reliability , MTU
-K상수 : K1 = 1 , K2 = 0 , K3 = 1 , K4 = 0 , K5 = 0
-EIGRP Metric : EIGRP B/W + EIGRP Delay
.EIGRP Bandwidth : (10^7/목적지까지의 최소 Bandwidth) * 256
.EIGRP Delay : (목적지까지 Delay의 합/10) * 256
-로드분산
.Router는 하나의 목적지 네트워크에 대해서 하나의 경로를 지원하는 장비이다.
하지만 하나의 목적지에 대해서 복수개의 경로지원이 가능하다
.EIGRP는 균등/비균등 로드분산 기능을 지원한다. [Default 4개]
.균등로드분산 : 최적경로와 동일한 Metric을 가진 경로에 대해서 복수개의 경로를 지원
.비균등로드분산 : 최적 경로와 Metric값이 동일하지 않아도 복수개의 경로를 지원하는 기능
-EIGRP 라우팅 업데이트
.출발지 IP 주소는 송신하는 Interface에 할당된 IP 주소를 사용하며
목적지 IP 주소는 PDU나 , Network Type에 따라서 Unicast , Multicast (224.0.0.10)를 병행하여 사용한다.
.Protocol번호 88번을 예약하여 사용
-----------------------------------------------------------------------------------------------------------------
## EIGRP가 사용하는 5가지 PDU (Hello , Update , Query , Reply , ACK)
# Hello
-Hello Packet을 송/수신한후 인접성의 조건을 비교하여 인접성의 조건이 일치하면
인접성을 맺고 인접성의 관계를 유지하는데 사용된다. (인접성 연결 , 인접성 유지를 위해서 주기적인 교환 실시)
-EIGRP 인접성의 조건
.AS번호 (1~65535)
.K상수 (Default로 1,3이 사용된다.)
.Authentication (설정시 동일한 값을 가져야 한다.) (옵션값으로 강제성은 없으나 송수신측의 조건이 같아야 한다.)
-Hello를 교환후 인접성조건이 동일하면 해당 Router는 EIGRP Neighbor table에 등록되어진다.
.Neighbor table : EIGRP인접성을 맺은 목록 - show ip eigrp neighbor
-Hello-Interval/Hold-time
.Hello-Interval : Hello Packet을 교환하는 주기
.Hold-time : 정해진 Hold-time안에 Hello를 수신하지 못하게되면 EIGRP 인접성을 단절 (Default = Hello 3배)
Hello-Interval Hold-time
-LAN : Ethernet , FastEthernet : 5초 15초
-WAN : PPP , HDLC , F/R P2P : 5초 15초
-WAN : F/R Multipoint , NBMA구간 : 60초 180초
-Hello는 출발지 IP 주소는 송신하는 Interface의 IP를 사용하며 목적지 주소는 Multicast(224.0.0.10)만 사용한다.
# Update
-Hello 교환후 인접성의 조건이 동일하면 EIGRP Neighbor Table에 등록되며
Neighbor Table에 등록된 Router간 라우팅 업데이트를 실시한다.
-라우팅 업데이트는 자신의 Local정보와 Neighbor Router에게 수신한 네트워크 정보를 포함한 정보이다.
-EIGRP는 수신한 모든 네트워크 정보와 해당 네트워크로 통신가능한 모든 경로를를 Topology table에 등록한다.
-EIGRP 최적경로 선출
.Hello Packet 교환후 인접성의 조건이 동일하게되면 neighbor table에 등록
.자신의 Neighbor table상의 Router에게 라우팅 업데이트를 실시한다.
.Neighbor Router에게 수신한 모든 네트워크 정보와 경로정보는 Topology table에 저장
.Topology table에서 각 네트워크에 대한 최적경로를 선출하여 Routing table에 등록한다.
-EIGRP의 3가지 Table
.Neighbor table : 인접성을 맺은 목록 - show ip eigrp neighbor
.Topology table : EIGRP내의 모든 네트워크 , 경로 정보 - show ip eigrp topology
.Routing table : 최적경로 - show ip route eigrp
-Update는 출발지 IP 주소는 송신하는 Interface의 IP를 사용하며 목적지 주소는
네트워크 환경에 따라서 Unicast와 Multicast(224.0.0.10)를 병행하여 사용한다.
Ethernet과 같은 Broadcast Multi-Access구간에서는 목적지를 Multicast(224.0.0.10)를 사용하며
PPP , HDLC , Frme-relay구간에서는 목적지 주소를 Unicast를 사용한다.
# Query (rip의 포이즌 루트포이즌과 같은 개념)
-자신의 Routing table상의 경로가 Down되었고 Topology table에 Feasible Successor가 존재하지 않거나
자신의 Topology에 없는 네트워크 정보를 요청받게되면 Query의 확산을 실시하게된다.
[자신에게 존재하지 않는 네트워크정보를 Neighbor에게 질의한다.]
-Successor = 최적 경로
-Feasble Successor = 대체 경로 (최적 경로 장애 발생시 사용되는 경로)
-Query는 출발지 IP 주소는 송신하는 Interface의 IP를 사용하며 목적지 주소는 네트워크 환경에 따라서
Unicast와 Multicast를 병행하여 사용한다.
Ethernet과 같은 Broadcast Multi-Access구간에서는 목적지를 Multicast(224.0.0.10)를 사용하며
PPP , HDLC , Frme-relay구간에서는 목적지 주소를 Unicast를 사용한다.
# Reply
-Query에 대한 응답 Packet으로 대체경로의 유/무를 확인한다.
-Reply는 출발지 IP 주소는 송신하는 Interface의 IP를 사용하며 목적지 주소는 Unicast만을 사용한다.
# ACK
-Update , Query , Reply에 대한 확인 Packet
-만약 ACK를 수신하지 못하게되면 EIGRP는 최대 16회까지 재전송을 실시하며
그이후에도 ACK를 수신하지 못하게되면 인접성을 단절한다.
-ACK는 출발지 IP 주소는 송신하는 Interface의 IP를 사용하며 목적지 주소는 Unicast만을 사용한다.
정보확인
Rx# show ip route
Rx# show ip route rip
Rx# show i protocol
Rx# debug ip rip
Rx# show ip eigrp neighbor (eigrp에서 인접성 조건이 동일하면 연결을 맺은 상태를 확인)
Rx# show ip eigrp topology (모든 네트워크, 경로 정보)
Rx# show ip route eigrp (최적경로)
Rx# show ip route summary (메모리 사용량등을 확인)
Rx# ping 128.28.8.1 source 13.13.30.254(내부 게이트웨이로 변경하여 핑을 보내는 방법)
Rx# debug eigrp packet hello (eigrp 패캣 헬로우를 확인)
#Dynagen
=>capture Rx s1/0 WORD.cap HDLC = HDLC 인 환경
=>capture Rx s1/0 WORD.cap PPP = PPP 인 환경
=>capture Rx f0/0 WORD.cap = Ethernet 인 환경 (기본값이 이더넷으로 생략됨)
2월 23일 금요일
## Dual알고리즘
-일반적인 라우팅은 하나의 목적지에 대해서 복수개의 경로가 존재하게되면
최적경로를 선출하여 사용하며 해당 경로에 장애 발생시 나머지 경로에 대해서
재 계산을 실시하여 최적경로를 선출하서 통신을 실시한다.
-EIGRP연산에 의해 Topology table상에서 Successor(최적경로)를 선출하여
Routing table등록을 실시한 후 Dual알고리즘에의해 Feasible Successor(차선경로)를 선출한다.
-FD (Feasible Distance) : 출발지부터 목적지까지의 총거리
-AD (Advertise Distance) : 출발지부터 Next-hop까지의 거리를 제외한 나머지 거리
-FD값이 Routing Table에 등록되는 실제 Metric값이며 AD값은 Dual계산시에만 사용된다.
# Dual조건
1. 가장 작은 FD값을 가진 경로가 Successor로 선출되어 Routing table에 등록된다.
2. Successor로 선출된 경로의 FD값 보다 작은 AD값을 가진 경로가 Feasible Successor로 선출된다.
3. 2번 조건을 만족한 경로가 다수일경우 2번조건을 만족한 경로중
가장 작은 FD값을 가진 경로가 Feasible Successor로 선출된다.
Ex) 다음 중 Feasible Successsor가 있는 네트워크 정보는 누구인가? C
A) P 172.16.2.0/24, 2 successors, FD is 2297856
via 13.13.12.2 (2297856/128256), Serial1/0
via 13.13.14.2 (2297856/128256), Serial1/1
B) P 172.16.2.0/24, 1 successors, FD is 2297856
via 13.13.12.2 (2297856/128256), Serial1/0
via 13.13.14.2 (3756017/2297856), Serial1/1
C) P 172.16.2.0/24, 1 successors, FD is 2297856
via 13.13.12.2 (2297856/128256), Serial1/0
via 13.13.14.2 (2756017/2044256), Serial1/1
D) P 172.16.2.0/24, 1 successors, FD is 2297856
via 13.13.12.2 (2297856/128256), Serial1/0
via 13.13.14.2 (3756017/2997856), Serial1/1
Router Password 복구
-Global mode에서는 Password복구가 가능하지만 Console 접속이 해제된 후에는 Global Mode로 전환할 수 없기 때문에 Password를 복구할 수 없다.
-Password 복구는 Console 접속시에만 가능하다.
-Configure Register 0x2102 = 장비 재부팅시 NVRAM에 저장된 설정 파일을 RAM으로 로딩한다. (Default)설정
-Configure Register 0x2102 = 장비 재부팅시 NVRAM에 저장된 설정 파일을 RAM으로 로딩하지 않는다.
------------------------------------------------------------------------------------------
-장비 재부팅시 Ctrl + Pause 버튼을 눌러 멈춘다.
-confreg 0x2142 모드로 전환 후 Reset
Router# copy startup-config running-config <<<<로 설정된 파일을 로딩
Router# conf t
Router(config)# enable secret ciscoen <<<<<<<enable secret 변경
Router(config)# line console 0
Router(config-line)# password ciscocon <<<console password 변경
Router(config)# config-register 0x2102 <<<<<<<<<Password 변경후 config-register 0x2142에서 0x2102로 변경
Router# copy running-config startup-config <<<<변경한 password를 NVRAM에 저장
--------------------------------------------------------------------------------
2월 27일
ACL
명령어
R1(config)#access-list 1 deny 13.13.30.0 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#interface serial 1/0
R1(config-if)#ip access-group 1 in
정보확인
R1# show access-list
Standard IP access list 1
10 deny 13.13.30.0, wildcard bits 0.0.0.255
20 permit any (6 matches)
R3#ping 13.13.10.254 source 13.13.30.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 13.13.10.254, timeout is 2 seconds:
Packet sent with a source address of 13.13.30.254
U....
Success rate is 0 percent (0/5)
access-list 2 permit 13.13.30.0 0.0.0.255
access-list 2 permit 3.3.3.0 0.0.0.255
access-list 2 permit 13.13.30.0 0.0.0.255
access-list 2 deny any
interface serial 1/0
ip access-group 2 in
access-list 1 deny 13.13.10.0 0.0.0.255
access-list 1 deny 1.1.1.0 0.0.0.255
access-list 1 permit any
interface serial 1/1
ip access-group 2 in
--------------------------------------------------------------------------------
EX) RTA의 FastEthernet0/0에 192.168.1.112인 Server로 168.120.13.0/24 네트워크가 Server로 Telnet 접속하는 것을 허용하고 나머지 모든 트래픽은 차단해야 한다.
EX access-list 102 deny tcp 168.120.13.0 0.0.0.255 host 192.168.1.112 eq 23
EX permit ip any any
## Nembered Extended ACL
-범위 : 100-199
-특징 : Source IP address와
명령어
access-list [100-199][permit/deny] [protocol][SA][W/M][DA[W/M]
access-list [100-199][permit/deny] [protocol][SA] eq [W/M][DA][W/M] eq [destination port]
ex) 아래의 조건에 맞게 ACL을 구성하시오
R3.은 출발지 주소가 1.1.1.0/24이고 목적지 주소가 13.13.30.0/24인 ICMP, Telnet 트래픽을 차단해야한다.
R3.은 출발지 주소가 13.13.10.0/24이고 목적지 주소가 3.3.3.0/24인 HTTP 트래픽을 차단해야한다.
.나머지 모든 트래픽은 허용하며 R3에서 설정하며 serial interface에서 적용
access-list 101 deny icmp 1.1.1.0 0.0.0.255 13.13.30.0 0.0.0.255
access-list 101 deny tcp 1.1.1.0 0.0.0.255 13.13.30.0 0.0.0.255 eq 23
access-list 101 deny tcp 1.1.1.0 0.0.0.255 13.13.30.0 0.0.0.255 eq 80
access-list 101 permit ip any any
!
interface serial 1/0
ip access-group 101 in
!
===========================================================================================
IP : UDP : RIPv2 :
===========================================================================================
-SA : 13.13.12.2 : -SA : UDP 520 :
-DA : 224.0.0.9 : -DA : UDP 520 :
===========================================================================================
EX1) 아래의 조건에 맞게 R1에서 ACL을 구성하시오
R1은 3.3.3.0/24 네트워크가 1.1.1.0/24 네트워크로 ICMP통신을 차단하며 나머지 모든 트래픽은 허용해야한다.
단 1.1.1.0/24 네트워크는 3.3.3.0/24 네트워크로 ICMP 통신이 가능해야한다.
R1
access-list 101 permit icmp host 3.3.3.3 host 1.1.1.1 echo-reply > 작은범위 먼저 적용
access-list 101 deny icmp host 3.3.3.3 host 1.1.1.1
access-list 101 permit ip any any
!
interface serial 1/0
ip access-group 101in
!
access-list 101 permit tcp host 192.168.57.3 host 172.22.4.24 eq 80
access-list 101 deny tcp any host 172.22.4.24 eq 80
access-list 101 permit ip any any
-----------------------------------------------------------------------------------------------------------
2월 28일
### NAT (Network Address Translation : 326 Page)
-IP 주소의 낭비를 막기위해서 내부망에의 사설 IP 주소를 공인 IP 주소로 변환하여 통신하는 기능
-사설 IP 주소는 공중망을 통해서 외부 네트워크로 통신할 수 없다.
.사설 IP주소는 공중망으로 라우팅 업데이트를 할 수 없다. (RIP, EIGRP, OSPF로 라우팅 업데이트하지 않는다.)
.ISP에서는 방화벽을 사용하여 출발지 IP 주소가 사설대역인 모든 트래픽을 차단한다.
-일반적으로 ISP와 같은 공중망은 공인 IP 주소를
-NAT기능에 의해서 사설 IP 주소가 외부 네트워크 구간으로 통신시 공인 IP 주소로 변환되어 통신한다.
-사설 주소
.A Class : 10.0.0.0 ~ 10.255.255.255 (10.X.X.X)
.B Class : 172.16.0.0 ~ 172.31.255.255
.C Class : 192.168.0.0 ~ 192.168.255.255 (192.168.X.X)
-NAT의 기능
.외부 네트워크에서는 내부의 사설 IP 주소를 확인할수 없다. (방화벽 기능)
.외부의 다른 네트워크에서도 자신과 동일한 사설 IP 주소를 사용할수 있다. (Overlapping)
.다수의 사설 IP 주소가 하나의 공인 IP 주소를 사용하여 통신이 실시 (Overloading)
-NAT는 사설 IP 주소와 공인 IP 주소가 1:1로 변환되는 Static NAT와
사설 IP 주소와 공인 IP 주소가 다수:소수 , N:1로 변환되는 Dynamic NAT로 구성이 가능하다.
(일반적으로 사용되는 NAT는 Dynamic NAT를 의미한다.)
==================================================================================================================
# Static NAT
-Static NAT
: 사설 IP 주소와 공인 IP 주소가 1:1로 고정 변환되는 기능
-Static NAT 구성시 외부망에서 NAT를 설정한 Router의 공인 IP 주소를 목적지로 하여 통신하게되면
Static NAT에 의해 사설 IP 주소로 변경되므로 외부에서 내부의 사설 네트워크로 접속이 가능하다. (역변환 기능 가능)
[설정 방법]
121.160.70.0/24 192.168.10.0/24
S1/0 S1/1 Fa0/1 Fa0/1
R1--------------------------------R2--------------------------------R3
| 70.2 10.254 10.3
Loop 211
211.241.228.18/24
EX1) R2는 출발지 주소가 192.168.10.3인 주소가 외부 네트워크로 통신시
공인주소 121.160.70.2(Serial 1/1)로 변환되어져야 한다.
# R2
ip nat inside source static 192.168.10.3 121.160.70.2
!
interface fastethernet 0/1
ip nat inside
!
interface serial 1/1
ip nat outside
!
---- OR ----
# R2
ip nat inside source static 192.168.10.3 interface serial 1/1
!
interface fastethernet 0/1
ip nat inside
!
interface serial 1/1
ip nat outside
!
정보확인
R2#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 121.160.70.2 192.168.10.3 --- ---
R2# debug ip nat
IP NAT debugging is on
*Mar 1 00:17:02.095: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [5]
*Mar 1 00:17:02.119: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [5]
*Mar 1 00:17:02.159: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [6]
*Mar 1 00:17:02.187: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [6]
*Mar 1 00:17:02.227: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [7]
*Mar 1 00:17:02.255: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [7]
*Mar 1 00:17:02.303: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [8]
*Mar 1 00:17:02.335: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [8]
*Mar 1 00:17:02.371: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [9]
*Mar 1 00:17:02.403: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [9]
## 역변환 기능 확인
R2# debug ip nat
IP NAT debugging is ont
R3# debug ip icmp
ICMP packet debugging is on
R1# ping 121.160.70.2 source 211.241.228.18
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 121.160.70.2, timeout is 2 seconds:
Packet sent with a source address of 211.241.228.18
!!!!!
###### R2에서 Debug 정보 확인 ######
*Mar 1 00:30:29.343: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [10]
*Mar 1 00:30:29.363: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [10]
*Mar 1 00:30:29.403: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [11]
*Mar 1 00:30:29.431: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [11]
*Mar 1 00:30:29.471: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [12]
*Mar 1 00:30:29.499: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [12]
*Mar 1 00:30:29.531: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [13]
*Mar 1 00:30:29.559: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [13]
*Mar 1 00:30:29.595: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [14]
*Mar 1 00:30:29.627: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [14]
###### R3에서 Debug 정보 확인 ######
*Mar 1 00:31:48.643: ICMP: echo reply sent, src 192.168.10.3, dst 211.241.228.18
*Mar 1 00:31:48.679: ICMP: echo reply sent, src 192.168.10.3, dst 211.241.228.18
*Mar 1 00:31:48.723: ICMP: echo reply sent, src 192.168.10.3, dst 211.241.228.18
*Mar 1 00:31:48.787: ICMP: echo reply sent, src 192.168.10.3, dst 211.241.228.18
*Mar 1 00:31:48.835: ICMP: echo reply sent, src 192.168.10.3, dst 211.241.228.18
# R2 , R3
line vty 0 4
password ciscotel
login
!
R1# telnet 121.160.70.2 /source-interface loopback 211
Trying 121.160.70.2 ... Open
User Access Verification
Password:
R3> <----- R3으로 Telnet 접속 확인
-R1에서 R2의 Serial 1/1의 IP주소인 121.160.70.2로 Telnet 접속을 실시하게되면
NAT 기능에 의해서 192.168.10.3으로 주소 변환이 실시되므로 R3으로 접속된다.
R3# show tcp brief
TCB Local Address Foreign Address (state)
666D5FD8 192.168.10.3.23 211.241.228.18.16121 ESTAB
## Dynamic NAT실습을위해서 Static NAT 설정 삭제
# R2
R2# clear ip nat translation *
R2#conf t
!
R2(config)# no ip nat inside source static 192.168.10.3 121.160.70.2
!
R2(config)# interface fastethernet 0/1
R2(config-if)# no ip nat inside
!
R2(config)# interface serial 1/1
R2(config-if)# no ip nat outside
-NAT Table에 변환된 주소 정보가 존재하게되면 NAT설정은 삭제되지 않는다.
['clear ip nat translation *' command를 사용하여 NAT table삭제후 NAT 설정을 삭제할수 있다.]
==================================================================================================================
# Dynamic NAT
-Dynamic NAT는 다수의 사설 IP 주소가 소수의 공인 IP 주소로 변환되어 통신하는 기능으로
내부에서 외부로 통신시 Port번호를 사용하여 사설 IP 주소가 공인 IP 주소로변환이 이루어지며
외부에서 생성되어 입력되는 트래픽에 대해서는 Port 번호가 존재하지 않기때문에 IP 주소변환되지 않는다.
(Static NAT와 달리 역변환 기능은 지원되지 않기때문에 외부에서 내부로 통신은 불가능하다.)
# R3
interface fastethernet 0/1
ip address 192.168.10.1 255.255.255.0 : PC1 IP 주소 할당
ip address 192.168.10.2 255.255.255.0 secondary : PC2 IP 주소 할당
ip address 192.168.10.3 255.255.255.0 secondary : PC3 IP 주소 할당
!
R3# ping 192.168.10.254 source 192.168.10.1 : G/W <---- PC1
R3# ping 192.168.10.254 source 192.168.10.2 : G/W <---- PC2
R3# ping 192.168.10.254 source 192.168.10.3 : G/W <---- PC3
121.160.70.0/24 192.168.10.0/24
S1/0 S1/1 Fa0/1 Fa0/1
R1--------------------------------R2--------------------------------R3
| 70.2 10.254 10.3
Loop 211
211.241.228.18/24
EX1) R2는 192.168.10.0/24 네트워크가 외부 네트워크로 통신시
Serial 1/1 (121.160.70.2)로 변경되어 통신이 실시 되어져야 한다.
1.ACL을 사용하여 사설 주소의 범위를 지정
2.NAT Pool을 사용하여 공인주소의 범위를 지정
3.NAT를 사용하여 사설주소를 공인주소로 대입
4.Interface에 적용
# R2
access-list 1 permit 192.168.10.0 0.0.0.255
!
ip nat pool CCNA 121.160.70.2 121.160.70.2 netmask 255.255.255.0
!
ip nat inside source list 1 pool CCNA overload
!
interface fastethernet 0/1
ip nat inside
!
interface serial 1/1
ip nat outside
!
정보 확인
R3# ping 211.241.228.18 source 192.168.10.1
R3# ping 211.241.228.18 source 192.168.10.2
R3# ping 211.241.228.18 source 192.168.10.3
R2# show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 121.160.70.2:11 192.168.10.1:11 211.241.228.18:11 211.241.228.18:11
icmp 121.160.70.2:12 192.168.10.2:12 211.241.228.18:12 211.241.228.18:12
icmp 121.160.70.2:13 192.168.10.3:13 211.241.228.18:13 211.241.228.18:13
R2# debug ip nat
IP NAT debugging is on
R3# ping 211.241.228.18 source 192.168.10.1
R3# ping 211.241.228.18 source 192.168.10.2
R3# ping 211.241.228.18 source 192.168.10.3
###### R2에서 Debug 정보 확인 ######
## 211.241.228.18 <---- 192.168.10.1
*Mar 1 00:44:59.779: NAT*: s=192.168.10.1->121.160.70.2, d=211.241.228.18 [70]
*Mar 1 00:44:59.807: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.1 [70]
## 211.241.228.18 <---- 192.168.10.2
*Mar 1 00:45:02.803: NAT*: s=192.168.10.2->121.160.70.2, d=211.241.228.18 [75]
*Mar 1 00:45:02.839: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.2 [75]
## 211.241.228.18 <---- 192.168.10.3
*Mar 1 00:45:06.443: NAT*: s=192.168.10.3->121.160.70.2, d=211.241.228.18 [80]
*Mar 1 00:45:06.475: NAT*: s=211.241.228.18, d=121.160.70.2->192.168.10.3 [80]
R1# telnet 121.160.70.2 /source-interface loopback 211
Trying 121.160.70.2 ... Open
User Access Verification
Password:
R2> <----- R2로 Telnet 접속 확인
-R1에서 R2의 Serial 1/1의 IP주소인 121.160.70.2로 Telnet 접속을 실시하게되면
외부에서 생성된 트래픽에 대해서는 Port 번호가 없기때문에 주소변환이 되지 않는다.
즉 역변환 기능이 되지 않기때문에 R2로 Telnet접속이 실시된다.
--------------------------------------------------------------------------------------------------------------------
2월 28일
NAT
명령어
GIT(config)#ip nat inside source static 192.168.10.1 121.160.23.2
GIT(config)#interface serial 1/0
GIT(config-if)#ip nat outside
GIT(config)#interface fastEthernet 0/1
GIT(config-if)#ip nat inside
스택틱 NAT로 1:1 변환 방식이기 때문에 정변환이 아닌 역변환이 목적이다.
역변환을 쓰는 이유는 공인 IP 외부망에서 사설IP PC로 접속하는 경우 역변환을 시행하는 과정에서 사용한다.
ip nat inside source static 192.168.10.1 121.160.23.2
interface serial 1/0
ip nat outside
interface fastEthernet 0/1
ip nat inside
정보확인
ping 211.241.228.4
NAT table에 변환된 주소 정보가 존재하게 되면 NAT 설정은 삭제되지 않는다.
clear ip nat translation *
### NAT (Network Address Translation)
-NAT
: IP 주소의 낭비를 막기위해서 사설 IP 주소를 공인 IP 주소로 변환하여 통신하는 기능
-사설 IP 주소는 공중망을 통해서 외부 네트워크로 통신할 수 없다.
.사설 IP 주소는 공중망으로 라우팅 업데이트 할 수 없다. (RIP , EIGRP , OSPF로 라우팅 업데이트하지 않는다.)
.ISP에서는 방화벽을 사용하여 출발지 IP 주소가 사설대역인 모든 트래픽을 차단한다.
-일반적으로 ISP와 같은 공중망은 공인 IP 주소를 사용하여 네트워크를 구성하며
사설망은 사설 IP 주소를 사용하여 네트워크를 구성한다.
-내부 사설 IP 주소는 동일 네트워크 내에서 통신하기위한 용도이며
외부 네트워크로 통신시에는 NAT기능을 사용하여 공인 IP 주소로 변환되어 외부 네트워크로 통신한다.
-NAT 기능은 용도에 따라서 Static NAT와 Dynamic NAT로 구성가능하다.
.Static NAT : 사설 IP 주소와 공인 IP 주소가 1:1로 변환되어 통신하는 기능
.Dynamic NAT : 다수의 사설 IP 주소가 소수의 공인 IP 변환되어 통신하는 기능
.일반적으로 사용되는 NAT는 Dynamic NAT이며 Static NAT는 특수한 용도로만 사용된다.
-사설 IP 주소 범위
.A class : 10.0.0.0 ~ 10.255.255.255
.B class : 172.16.0.0 ~ 172.31.255.255
.C class : 192.168.0.0 ~ 192.168.255.255
-NAT의 기능
.외부에서는 내부의 사설 ip를 확인 할 수 없다.
.내부 망에서 오버렙
.외부 망에서 IP를 바꿔주는 것 overload
=========================================================================================================================
## Static NAT
-Static NAT
: 사설 IP 주소와 공인 IP 주소가 1:1로 고정 변환되는 기능
-Static NAT 구성시 외부망에서 NAT를 설정한 Router의 공인 IP 주소를 목적지로 하여 통신하게되면
Static NAT에 의해 사설 IP 주소로 변경되므로 외부에서 내부의 사설 네트워크로 접속이 가능하다. (역변환 기능 가능)
-R1 = PC
-R2 = Gateway
-R3 = ISP
-R4 = RTX (Web Server Gateway)
S1/0 121.160.23.0/24 S1/1 S1/2 121.160.34.0/24 S1/3
R2----------------------------------R3----------------------------------R4
| 23.2 23.3 34.3 34.4 |
Fa0/1 Loopback 211
| |
R1 (PC) Web Server
192.168.10.1 211.241.228.4
EX1) GIT Router는 내부 사설망의 192.168.10.1 네트워크가 외부 네트워크로 통신시
공인 IP 주소인 121.160.23.2로 변환되어 통신해야한다.
# GIT (R2)
ip nat inside source static 192.168.10.1 121.160.23.2
!
interface fastethernet 0/1
ip nat inside
!
interface serial 1/0
ip nat outside
!
정보 확인
PC1# ping 211.241.228.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 211.241.228.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 604/674/752 ms
GIT# show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 121.160.23.2:5 192.168.10.1:5 211.241.228.4:5 211.241.228.4:5
--- 121.160.23.2 192.168.10.1 --- ---
####### Debug를 사용한 NAT IP 주소 변환 확인 #######
GIT# debug ip nat
IP NAT debugging is on
PC1# ping 211.241.228.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 211.241.228.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 604/674/752 ms
S1/0 121.160.23.0/24 S1/1 S1/2 121.160.34.0/24 S1/3
R2----------------------------------R3----------------------------------R4
| 23.2 23.3 34.3 34.4 |
Fa0/1 Loopback 211
| |
R1 (PC) Web Server
192.168.10.1 211.241.228.4
********** GIT(R2)에서 Debug 확인 **********
*Mar 1 00:21:01.679: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [30]
*Mar 1 00:21:01.707: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [30]
*Mar 1 00:21:01.723: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [31]
*Mar 1 00:21:01.755: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [31]
*Mar 1 00:21:01.775: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [32]
*Mar 1 00:21:01.799: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [32]
*Mar 1 00:21:01.831: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [33]
*Mar 1 00:21:01.859: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [33]
*Mar 1 00:21:01.887: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [34]
*Mar 1 00:21:01.911: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [34]
####### Debug를 사용한 NAT 역변환 확인 #######
GIT# debug ip nat
IP NAT debugging is on
PC1# debug ip icmp
ICMP packet debugging is on
RTX# ping 121.160.23.2 source 211.241.228.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 121.160.23.2, timeout is 2 seconds:
Packet sent with a source address of 211.241.228.4
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/707/1984 ms
S1/0 121.160.23.0/24 S1/1 S1/2 121.160.34.0/24 S1/3
R2----------------------------------R3----------------------------------R4
| 23.2 23.3 34.3 34.4 |
Fa0/1 Loopback 211
| |
R1 (PC) Web Server
192.168.10.1 211.241.228.4
********** GIT(R2)에서 Debug 확인 **********
*Mar 1 00:27:03.495: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [10]
*Mar 1 00:27:03.527: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [10]
*Mar 1 00:27:03.555: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [11]
*Mar 1 00:27:03.583: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [11]
*Mar 1 00:27:03.611: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [12]
*Mar 1 00:27:03.647: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [12]
*Mar 1 00:27:03.691: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [13]
*Mar 1 00:27:03.719: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [13]
*Mar 1 00:27:03.747: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [14]
*Mar 1 00:27:03.783: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [14]
********** PC1(R1)에서 Debug 확인 **********
*Mar 1 00:26:36.779: ICMP: echo reply sent, src 192.168.10.1, dst 211.241.228.4
*Mar 1 00:26:36.815: ICMP: echo reply sent, src 192.168.10.1, dst 211.241.228.4
*Mar 1 00:26:36.843: ICMP: echo reply sent, src 192.168.10.1, dst 211.241.228.4
*Mar 1 00:26:36.875: ICMP: echo reply sent, src 192.168.10.1, dst 211.241.228.4
*Mar 1 00:26:36.911: ICMP: echo reply sent, src 192.168.10.1, dst 211.241.228.4
S1/0 121.160.23.0/24 S1/1 S1/2 121.160.34.0/24 S1/3
R2----------------------------------R3----------------------------------R4 (RTX)
| 23.2 23.3 34.3 34.4 |
Fa0/1 Loopback 211
| |
R1 (PC) Web Server
192.168.10.1 211.241.228.4
# R1 , R2
line vty 0 4
password ciscovty
login
!
RTX# telnet 121.160.23.2 /source-interface loopback 211
Trying 121.160.23.2 ... Open
User Access Verification
Password:
PC1> <----- PC1(R1)으로 Telnet 접속 확인
-RTX(R4)에서 GIT(R2)의 Serial 1/0의 IP 주소인 121.160.23.2로 Telnet 접속하게되면
NAT 기능에 의해서 192.168.10.1 사설 IP주소로 변환되기때문에 PC1(R1)으로 접속된다.
## Dynamic NAT실습을위해서 Static NAT 설정 삭제
# GIT (R2)
GIT# clear ip nat translation *
GIT#conf t
!
GIT(config)# no ip nat inside source static 192.168.10.1 121.160.23.2
!
GIT(config)# interface fastethernet 0/1
GIT(config-if)# no ip nat inside
!
GIT(config)# interface serial 1/0
GIT(config-if)# no ip nat outside
-NAT Table에 변환된 주소 정보가 존재하게되면 NAT설정은 삭제되지 않는다.
['clear ip nat translation *' command를 사용하여 NAT table삭제후 NAT 설정을 삭제할수 있다.]
==================================================================================================================
# Dynamic NAT
-Dynamic NAT는 다수의 사설 IP 주소가 소수의 공인 IP 주소로 변환되어 통신하는 기능으로 (정변환)
내부에서 외부로 통신시 Port번호를 사용하여 사설 IP 주소가 공인 IP 주소로변환이 이루어지며
-외부에서 생성되어 입력되는 트래픽에 대해서는 Port 번호가 존재하지 않기때문에 IP 주소변환되지 않는다.
(Static NAT와 달리 역변환 기능은 지원되지 않기때문에 외부에서 내부로 통신은 불가능하다.)(역변환불가)
# PC1 (R1)
interface fastethernet 0/1
ip address 192.168.10.1 255.255.255.0 : PC1 IP 주소 할당
ip address 192.168.10.2 255.255.255.0 secondary : PC2 IP 주소 할당
ip address 192.168.10.3 255.255.255.0 secondary : PC3 IP 주소 할당
!
PC1# ping 192.168.10.254 source 192.168.10.1 : G/W <---- PC1
PC1# ping 192.168.10.254 source 192.168.10.2 : G/W <---- PC2
PC1# ping 192.168.10.254 source 192.168.10.3 : G/W <---- PC3
S1/0 121.160.23.0/24 S1/1 S1/2 121.160.34.0/24 S1/3
R2----------------------------------R3----------------------------------R4
| 23.2 23.3 34.3 34.4 |
Fa0/1 Loopback 211
| |
R1 (PC) Web Server
192.168.10.1 211.241.228.4
EX1) GIT Router는 192.168.10.0/24 네트워크가 외부 네트워크로 통신시
Serial 1/0 (121.160.23.2)로 변경되어 통신이 실시 되어져야 한다.
1.ACL을 사용하여 사설 주소의 범위를 지정
2.NAT Pool을 사용하여 공인주소의 범위를 지정
3.NAT를 사용하여 사설주소를 공인주소로 대입
4.Interface에 적용
GIT(config)#access-list 1 permit 192.168.10.0 0.0.0.255
GIT(config)#ip nat pool S_NET 121.160.23.2 121.160.23.2 netmask 255.255.255.0
GIT(config)#ip nat inside source list 1 pool S_NET overload
GIT(config)#interface fastEthernet 0/1
GIT(config-if)#ip nat inside
GIT(config)#interface serial 1/0
GIT(config-if)#ip nat outside
PC1#ping 211.241.228.4 sour
PC1#ping 211.241.228.4 source 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 211.241.228.4, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 508/823/1436 ms
PC1#ping 211.241.228.4 source 192.168.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 211.241.228.4, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/144/360 ms
PC1#ping 211.241.228.4 source 192.168.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 211.241.228.4, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.3
!!!!!
GIT#show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 121.160.23.2:4 192.168.10.1:4 211.241.228.4:4 211.241.228.4:4
icmp 121.160.23.2:5 192.168.10.2:5 211.241.228.4:5 211.241.228.4:5
icmp 121.160.23.2:6 192.168.10.3:6 211.241.228.4:6 211.241.228.4:6
GIT#debug ip nat
*Mar 1 00:22:10.039: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [35]
*Mar 1 00:22:10.075: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [35]
*Mar 1 00:22:10.259: NAT*: s=192.168.10.1->121.160.23.2, d=211.241.228.4 [39]
*Mar 1 00:22:10.279: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.1 [39]
*Mar 1 00:22:11.179: NAT*: s=192.168.10.2->121.160.23.2, d=211.241.228.4 [43]
*Mar 1 00:22:11.223: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.2 [43]
*Mar 1 00:22:12.059: NAT*: s=192.168.10.3->121.160.23.2, d=211.241.228.4 [47]
*Mar 1 00:22:12.087: NAT*: s=211.241.228.4, d=121.160.23.2->192.168.10.3 [47]
3월 2일
en
conf t
!
no ip domain-lo
!
line con 0
password cisco
login
logging sy
exec-t 0 0
!
line vty 0 4
password cisco
login
!
hostname R1
interface loopback 0
ip address 111.11.1.1 255.255.255.0
exit
!
interface fa0/0
no shutdown
ip address 192.168.10.254 255.255.255.0
exit
!
interface s0/1
no shutdown
encapsulation hdlc
ip address 123.12.8.13 255.255.255.252
exit
!
ip dhcp excluded-address 192.168.10.250 192.168.10.254
ip dhcp pool 1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 168.126.63.1
lease infinite
exit
!
interface fa0/0
ip address dhcp
exit
!
config terminal
router ospf 302
router-id 1.1.1.1
passive-interface default
no passive-interface S0/1
network 111.11.1.1 0.0.0.0 area 10
network 123.12.8.13 0.0.0.0 area 10
end
!
access-list 1 deny 10.0.0.0 0.255.255.255
access-list 1 deny 172.16.0.0 0.0.255.255
access-list 1 deny 192.168.0.0 0.0.255.255
access-list 1 permint any
ISP1--------------------------------------
en
conf t
!
no ip domain-lo
!
line con 0
password cisco
login
logging sy
exec-t 0 0
!
line vty 0 4
password cisco
login
!
hostname ISP-1
!
interface loopback 0
ip address 111.111.11.1 255.255.255.0
exit
!
!
interface fa0/0
no shutdown
ip address 123.12.8.65 255.255.255.248
!
interface serial 0/0
no shutdown
encapsulation hdlc
clock rate 1300000
ip address 123.12.8.14 255.255.255.252
exit
!
config terminal
router ospf 302
router-id 11.11.11.11
passive-interface default
no passive-interface S0/0
no passive-interface fa0/0
network 111.111.11.1 0.0.0.0 area 0
network 123.12.8.65 0.0.0.0 area 0
network 123.12.8.14 0.0.0.0 area 10
exit
!
router ospf 100
area 0 authentication message-digest
exit
!
interface fastethernet 0/0
ip ospf authent
ip ospf message-digest-key 100 md5 git1234
end
!
CDP
-해당 Router , Switch에 직접 연결된 장비의 기본적인 사항을 확인할수 있다.
-CDP를 사용하기위한 조건
.Cisco장비간 연결시에만 사용할수있다.다.
.Layer 2가 활성화 상태일경우 확인이 가능하다.
.직접 연결된 장비의 정보만 확인이 가능하다.
-확인 가능한 정보
.CDP Message는 60초 단위로 전파하며 180초간 유지된다. [show cdp]
.Version : IOS Version
.Divice ID : 연결된 장비의 Hostname
.Local Interface : 해당 장비의 Interface
.Port ID : 연결된 장비의 Interface
.Platform : 연결된장비의 Platform
.Capability : Router/Switch
.Next-hop IP : 연결된 Interface의 IP
RTX# show cdp
RTX# show cdp neighbor [장비간 연결된 Interface를 확인]
RTX# show cdp neighbor detail
RTX(config)# no cdp run [CDP기능 해제]
RTX(config)# cdp timer <sec> [CDP Message 교환 주기 변경]
RTX(config)# cdp holdtime <sec> [holdtime 변경]
3월 5일
하나의 Network = 하나의 Broad cast
*ARP : 3계층 주소로 2계층 주소를 찾아주는 프로토콜 ARP는 동일 네트워크의 3계층 주소를 찾는 것으로 맥어드레스만을 요구한다.
*ICMP(PING) : 3계층 주소로 송수신을 확인.
*모든 통신장비는 받은 주소를 돌려주지 않는다 (루프)
#Hub
1단계 대표장비
네트워크가 구축은 가능하나 효율이 떨어짐, 가정용으로 10대 미만에만 적용
collision domain 공유하는 장비(하나의 충돌 영역)
주소가 없어서 충돌의 영향을 모두 받음
#Switch
전원만 들어가면 자동으로 작동하는 하드웨어 기반 방식
네트워크 구축시 소규모망에 적용 효율이 좋음
충돌시 개별충돌로 , 서로에게 영향을 주지 않음.
Switch collision domain(개별 충돌)은 분활하지만 Broad cast는 공유한다.
mac-address-table 은 자동으로 등록함. < - > router는 드랍이라는 점에서 차이점이 있고, 동작 방식이 반대
통신할 상대의 mac주소를 알고있는 것을 forwarding 상태라고 한다.
시작mac과 수신 포트가 동일하면 프레임을 차단한다 이것을 필터링이라고 한다.
#Router
다수의 스위치를 묶는 장비로.
분할된 스위치를 연결해준다.
Broad cast를 분할 한다.
MAC주소
16진수 48bit
00 = unicas
01 = multicast
FF = broadcast
switchport mode
-Access Mode
.하나의 Switchport로 하나의 VLAN을 사용하여 통신하는 Mode이다.
.PC, Server와 같이 VLAN을 지원하지 않는 장비가 연결되는 Port
-Trunk Mode
.하나의 Switchport로 다수의 VLAN을 사용하여 통신하는 Mode이다.
.Switch, IP Phone과 같이 VLAN을 지원하는 장비가 연결되는 Port
\\\\\\SW1
vlan 10
name GIT_NET
vlan 20
name GIT_JAVA
!
interface fastethernet 0/1
switchport mode access
switchport access vlan 10
!
!
interface fastethernet 0/2
switchport mode access
switchport access vlan 10
!
!
interface fastethernet 0/3
switchport mode access
switchport access vlan 10
!
!
interface fastethernet 0/4
switchport mode access
switchport access vlan 10
!
!
interface fastethernet 0/5
switchport mode access
switchport access vlan 20
!
!
interface fastethernet 0/6
switchport mode access
switchport access vlan 20
!
!
interface fastethernet 0/7
switchport mode access
switchport access vlan 20
!
!
interface fastethernet 0/8
switchport mode access
switchport access vlan 20
!
\\\"Range" command
-동일한 설정을 다수의 인터페이스에 적용시 활용하는 기능.
-"Range" command 다수의 인터페이스 접속후 설정하는 기능.
-VLAN11 : Fa0/1 , Fa0/2 , Fa0/3 , Fa0/4 , Fa0/5 , Fa0/6 , Fa0/7 , Fa0/8
-VLAN12 : Fa0/13 , Fa0/15 , Fa0/17 , Fa0/19
-VLAN13 : Fa0/14 , Fa0/16 , Fa0/18 , Fa0/20
-VLAN14 : Fa0/9 , Fa0/10 , Fa0/11 , Fa0/12 , Fa0/21 , Fa0/22 , Fa0/23 , Fa0/24
#SW1
vlan 11
vlan 12
vlan 13
vlan 14
!
interface range fa0/1 - 8
switchport mode access
switchport accees vlan 11
!
interface range fa0/13 , fa0/15 , fa0/17 , fa 0/19
switchport mode access
switchport accees vlan 12
!
interface range fa0/14 , fa0/16 , fa0/18 , fa 0/20
switchport mode access
switchport accees vlan 13
!
interface range Fa0/9 , Fa0/10 , Fa0/11 , Fa0/12 , Fa0/21 , Fa0/22 , Fa0/23 , Fa0/24
switchport mode access
switchport accees vlan 14
!
\\\\\\\\\\\\\Trunk Mode
-Trunk는 IEEE.802.1Q와 ISL로 구성이 가능하다.
.IEEE.802.1Q : IEEE에서 지정한 LAN 구간 표준 Trunk Protocol이다. (ieee에서 지정한 802(LAN구간) 1Q표준 프로토콜)
.ISL : CISCO Switch 전용 Trunk Protocol이다.
%% 두 프로토콜의 차이점은 Native Vlan의 지원 유/무 dot1q가 지원한다.
=dot1q는 vlan 정보가 없는 데이터에 대해서 Default 값 vlan1로 보낸다. < - > ISL은 자신의 내부 정보가 아닌걸로 간주 Drop
# IEEE.802.1Q
# SW1 , SW2
interface fastethernet 0/24
switchport trunk encapsulation dot1q
switchport mode trunk
# ISL
# SW1 , SW2
interface fastethernet 0/24
switchport trunk encapsulation isl
switchport mode trunk
# 2950시리즈 이하급 장비
# SW1 , SW2
interface fastethernet 0/24
switchport mode trunk (ISL이 나오기전 나온 장비들로 dot1q를 기본으로 한다.)
#확인 명령어
#show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/20 on (수동) 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/20 1-1005 (지원하는 모든 포트가 통신이 가능함)
Port Vlans allowed and active in management domain
Fa0/20 1,10,20 (자신이 가지고 있는 포트만 통신 가능)
Port Vlans in spanning tree forwarding state and not pruned
Fa0/20 1,10,20 (
\\\\\\tagging
Ethernet Frame
-----------------------------------------------------------------------------------------------------
3월 6일
.Server Mode : VLAN 생성(O) , 삭제 (O) , 수정(O) , 전파(O) , 일치(O) , 중계(O) : Default mode
.Client Mode : VLAN 생성(x) , 삭제 (X) , 수정(X) , 전파(X) , 일치(O) , 중계(O) :
.Transparent Mode : VLAN 생성(O) , 삭제 (O) , 수정(O) , 전파(X) , 일치(X) , 중계(O) : (외부로 통신이 불가능)
-VLAN은 Standard VLAN과 Extended VLAN으로 구성이 가능하다. Transparent Mode는 Extended VLAN에서만 구성이 가능하다.
확인 명령어
show vlan brief
show vtp status
-----------------------------------------------------------------------------------------------------
3월 7일
SW1#debug spanning-tree events
Spanning Tree event debugging is on
SW1#
*Mar 1 00:36:59.815: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar 1 00:37:00.815: set portid: VLAN0001 Fa0/1: new port id 8001
*Mar 1 00:37:00.815: STP: VLAN0001 Fa0/1 -> listening
SW1#
*Mar 1 00:37:00.815: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
SW1#
*Mar 1 00:37:15.815: STP: VLAN0001 Fa0/1 -> learning
SW1#
*Mar 1 00:37:30.815: STP: VLAN0001 sent Topology Change Notice on Fa0/22
*Mar 1 00:37:30.815: STP: VLAN0001 Fa0/1 -> forwarding
SW1#
# Root-brige와 Backup Root-bridge 구간 장애 발생시 동작과정
-Block (20간 유지 : Max-age) [BLK]
-Listening : (15초) [LIS]
-Learning : (15초) [LRN]
-Forward : 총 50초 소요 [FWD]
SW1# debug spanning-tree events
Spanning Tree event debugging is on
SW2(config)# interface fa0/22
SW2(config-if)# no shutdown
**** SW1에서 Debug 정보 확인 ****
00:58:08: STP: VLAN0001 heard root 16385-000f.248a.3480 on Fa0/20
00:58:10: STP: VLAN0001 heard root 16385-000f.248a.3480 on Fa0/20
00:58:12: STP: VLAN0001 heard root 16385-000f.248a.3480 on Fa0/20
00:58:14: STP: VLAN0001 heard root 16385-000f.248a.3480 on Fa0/20
00:58:16: STP: VLAN0001 heard root 16385-000f.248a.3480 on Fa0/20
00:58:18: STP: VLAN0001 heard root 16385-000f.248a.3480 on Fa0/20
00:58:20: STP: VLAN0001 heard root 16385-000f.248a.3480 on Fa0/20
00:58:22: STP: VLAN0001 heard root 16385-000f.248a.3480 on Fa0/20
00:58:24: STP: VLAN0001 heard root 16385-000f.248a.3480 on Fa0/20
00:58:26: STP: VLAN0001 Fa0/20 -> listening
00:58:26: STP: VLAN0001 heard root 16385-000f.248a.3480 on Fa0/20
00:58:26: STP: VLAN0001 Topology Change rcvd on Fa0/20
00:58:26: STP: VLAN0001 sent Topology Change Notice on Fa0/24
00:58:41: STP: VLAN0001 Fa0/20 -> learning
00:58:56: STP: VLAN0001 sent Topology Change Notice on Fa0/24
00:58:56: STP: VLAN0001 Fa0/20 -> forwarding
Switch(config)# spanning-tree vlan x hello-time [초 : Default 2초]
Switch(config)# spanning-tree vlan x forward-time [초 : Default 15초]
Switch(config)# spanning-tree vlan x max-age [초 : Default 20초]
PAP (Password Authentication Protocol)
: Router에 설정된 Username을 사용하여 인증하는 기능
# R1
interface serial 1/0
ppp authentication pap
!
# R2
interface serial 1/1
ppp authentication pap
!
CHAP (Challenge Handshake Authentication Protocol)
: Router에 설정된 Username과 Password두가지를 사용하여 인증하는 기능
# R1
interface serial 1/0
ppp authentication chap
!
# R2
interface serial 1/1
ppp authentication chap
!
----------------------------------------------------------------------------------------------------------
3월 8일
Frame-Relay switching
102 201
R1-------------------------FR SW--------------------------R2
FR
!
interface serial 1/0
no shutdown
encapsulation frame-relay
frame-relay intf-type dce
clock rate 1612800
frame-relay route 102 interface serial 1/1 201(102로 오면 인터페이스 1/1로 201로 바꿔서 보내)
frame-relay route 103 interface serial 1/2 301
!
interface serial 1/1
no shutdown
encapsulation frame-relay
frame-relay intf-type dce
clock rate 1612800
frame-relay route 201 interface serial 1/0 102 (201로 오면 인터페이스 1/0로 102로 바꿔서 보내)
frame-relay route 203 interface serial 1/0 302
!
interface serial 1/2
no shutdown
encapsulation frame-relay
frame-relay intf-type dce
clock rate 1612800
frame-relay route 301 interface serial 1/0 103 (201로 오면 인터페이스 1/0로 102로 바꿔서 보내)
frame-relay route 302 interface serial 1/0 203
R1
interface serial 1/0
no shutdown
encapsulation frame-relay
frame-relay map ip 192.168.100.2 102 (멥핑하는데 192.168.100.2로 가려면 102로 바꿔서 보내)
frame-relay map ip 192.168.100.3 103
ip address 192.168.100.1 255.255.255.0
!
R2
interface serial 1/0
no shutdown
encapsulation frame-relay
frame-relay map ip 192.168.100.1 201 (멥핑하는데 192.168.100.1로 가려면 201로 바꿔서 보내)
frame-relay map ip 192.168.100.3 203
ip address 192.168.100.2 255.255.255.0
!
R3
interface serial 1/2
no shutdown
encapsulation frame-relay
frame-relay map ip 192.168.100.1 301 (멥핑하는데 192.168.100.1로 가려면 201로 바꿔서 보내)
frame-relay map ip 192.168.100.2 302
ip address 192.168.100.3 255.255.255.0
!
###################### show frame-relay map
Serial1/0 (up): ip 192.168.100.2 dlci 102(0x66,0x1860), static,
CISCO, status defined, active
.Active : Frame-relay VC이 연결된 상태 (통신이 가능한 상태)
.Inactive : Local Router와 FR-SW연결이 실시되었지만 FR-SW와 Remote Router간 연결이 안되었을 경우
.Deleted : Frame-relay연결이 실시되지 않은상태 (L2 Protocol이 다른거나 LMI Type이 다른경우)
한쪽이 inactive경우면 한쪽은deleted가 된다.
###################### show frame-relay lmi
LMI Statistics for interface Serial1/0 (Frame Relay DTE) LMI TYPE = CISCO
Invalid Unnumbered info 0 Invalid Prot Disc 0
Invalid dummy Call Ref 0 Invalid Msg Type 0
Invalid Status Message 0 Invalid Lock Shift 0
Invalid Information ID 0 Invalid Report IE Len 0
Invalid Report Request 0 Invalid Keep IE Len 0
Num Status Enq. Sent 45 Num Status msgs Rcvd 45
Num Update Status Rcvd 0 Num Status Timeouts 0
Last Full Status Req 00:00:40 Last Full Status Rcvd 00:00:40
interface serial 1/x
frame-relay lmi-type [cisco | ansi | q933a]
!
-Frame-relay LMI (Local Management Interface)
.Frame-relay의 규격화된 종류로써 Frame-relay의 연결 및 유지 , DLCI에 대한 상태를 관리하는 시그널링이다.
(Frame-relay 시그널링 메세지는 60초를 주기로 교환한다.)
.CISCO Router의 LMI-Type은 기본값이 ATUO로 설정되어있으며 Frame-relay Switch의 LMI Type으로 자동 설정된다]
.Cisco
.ANSI
.Q933A 3가지가 존재한다.
###################### show frame-relay pvc , svc
PVC Statistics for interface Serial1/0 (Frame Relay DTE)
Active Inactive Deleted Static
Local 1 0 0 0
Switched 0 0 0 0
Unused 0 0 0 0
DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial1/0
input pkts 5 output pkts 5 in bytes 520
out bytes 520 dropped pkts 0 in pkts dropped 0
out pkts dropped 0 out bytes dropped 0
in FECN pkts 0 in BECN pkts 0 out FECN pkts 0
out BECN pkts 0 in DE pkts 0 out DE pkts 0
out bcast pkts 0 out bcast bytes 0
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 00:16:33, last time pvc status changed 00:15:33
서브 인터페이스 활용~~~~~~~
FRSW
FRSW(config)#interface serial 1/0
FRSW(config-if)#no shutdown
FRSW(config-if)#encapsulation frame-relay
FRSW(config-if)#clockrate 1612800
FRSW(config-if)#frame-relay route 102 interface serial 1/1 201
!
FRSW(config-if)#interface serial 1/1
FRSW(config-if)#no shutdown
FRSW(config-if)#encapsulation frame-relay
FRSW(config-if)#frame-relay intf-type dce
FRSW(config-if)#clock rate 1612800
FRSW(config-if)#frame-relay route 201 interface s1/0 102
FRSW(config-if)#frame-relay route 203 interface s1/2 302
!
FRSW(config-if)#interface s1/2
FRSW(config-if)#no shutdown
FRSW(config-if)#encapsulation frame-relay
FRSW(config-if)#frame-relay intf-type dce
FRSW(config-if)#clock rate 1612800
FRSW(config-if)#frame-relay route 302 interface serial 1/1 203
R1(config)#interface serial 1/0
R1(config-if)#no shutdown
R1(config-if)#encapsulation frame
!
R1(config-if)#interface serial 1/0.12 point-to-point
R1(config-subif)#ip address
R1(config-subif)#ip address 192.168.12.1 255.255.255.0
R1(config-subif)# frame-relay interface-dlci 102
!
R2
R2(config-if)#interface serial 1/0.12 point-to-point
R2(config-subif)#ip address 192.168.12.2 255.255.255.0
R2(config-subif)#frame-relay interface-dlci 201
R2(config-fr-dlci)#interface serial 1/0.23 point-to-point
R2(config-subif)#ip address 192.168.23.2 255.255.255.0
R2(config-subif)#frame-relay interface-dlci 203
3월 9일 --------------------------------------------------------------------------------------------------
R1, R2 , R3에서 Routing table을 확인하면 Connected 정보만 확인되며 Ripv2 정보는 확인되지 않는다.
-Frame-relay Multipoint는 NBMA(Non Broadcast Multi-Access)구간으로 Broadcast를 차단한 Network이다.
Broadcast가 실시되지 않기 때문에 Multicast traffic도 실시되지 못한다.
'Broadcast' command를 사용하여 RIPv2 Dynamic Routing 업데이트를 할 수 있다.
-RIPv2 라우팅 업데이트 방식
: 목적지 IP주소 "Multicast 224.0.0.9" 사용
-EIGRP 라우팅 업데이트 방식
: 목적지 IP주소 "Multicast 224.0.0.10" 사용
-OSPF 라우팅 업데이트 방식
:
-Frame-ralay 풀리적 interfae
Frame-relay hub&spke eigrp!!!!!!!!!!!!!
.각 Router Fastethernet 0/0에 192.168.x.x/24 ip 주소를 설정하시오
.Eigrp를 사용하여 모든 네트워크 구간에서 통신이 되도록 설정흘 실시하시오.
.AS= 100을 사용하여 자동요약 기능은 사용하지 않는다.
#R1 , R2 , R3
!
EIGRP
!
OSPF
-OSPF는 Multi-access환경에서
!
#R1 R2 R3
router ospf 100
router-id 1.1.1.1
passive-interface default
no passive-interface serial 1/0.123
network 192.168.1.1 0.0.0.0 area 0
network 192.168.123.1 0.0.0.0 area 0
!
R2
interface serial 1/0.123
ip ospf priority 255 <dr로 선출하기 위한 우선순위값 설정
interface serial 1/0.123
ip ospf priority 0 <dr로 선출하지 않기 위한 우선순위값 설정
---------------------------------------------------------------------------------------------------------------------
Router로 telnet 접속
R1
line vty 0 4
password cisco
login
!
enable secret cisco
정보확인
R4 telnet 13.13.1.1
trying 13.13.1.1 ... open
User Access Verification
Password :
R1
line vty 0 4
password cisco
no login (패스워드는 있지만 적용은 안함) 패스워드 묻지 않음.
!
enable secret cisco
----------------------------------------------------------------------------------------------------------------------
telnet 계정생성
Router로 접속시 기본 mode가 아닌 user mode로 접속된다.
막약 관리자가 아닌 user가 telnet 접속시 권한을 갖기 위해서는 "enable" command를 사용해야 하는데
"enable"을 사용하면 priㅍilege mode로 관리자 권한이 부여되므로 각 level에 대한 계정을 생성해야 한다.
R1
username guest pribilege 2 password guest1234
!
line vty 0 4
password cisco
login local
!
R1(config) privilege exec level2 ? 권한 부여
privilege 권한은 level 15를 제외한 모든 권한은 동일하며 level3은 -> level2의 권한을 계승한다.
Banner 설정
banner motd *<<여기부터 여기까지>>*
### Telnet Session
-Telnet
: Internet망을 매개체로 TCP 23번을 사용하여 원격지의 통신장비로 접속시 사용되는 Protocol
-CISCO Router에서는 Telnet을 사용하여 원격접속시에는 VTY Port에 Password를 설정해야한다.
R4# telnet 13.13.1.1
Trying 13.13.1.1 ... Open
Password required, but none set
-R1에 VTY Password가 설정되지 않았기때문에 Telnet 접속이 거부된다.
=========================================================================================================================
## Router로 Telnet 접속
# R1
line vty 0 4
password cisco
login
!
enable secret cisco
!
정보 확인
R4# telnet 13.13.1.1
Trying 13.13.1.1 ... Open
User Access Verification
Password:
R1> <---- R1에서 VTY Password설정후 접속 가능 [단 Enable secret을 설정해야 권한을 수행한다.]
## Router로 Telnet 접속시 Password 적용 X
R4# telnet 13.13.1.1
Trying 13.13.1.1 ... Open
R1> <----- Telnet 접속시 Password가 적용되지 않는다.
=========================================================================================================================
### Telnet 계정 생성
-Router로 접속시 기본 Mode는 User mode로 접속된다.
-만약 관리자가 아닌 User가 Telnet 접속시 권한을 갖기 위해서는 "enable"command를 사용해야하는데
"enable" command를 사용하여 Privilege mode로 전환하게되면 관리자 권한이 부여되므로 각 Level에 대한 계정을 생성해야한다.
# R1
username admin privilege 15 password cisco <---- Privilege level 15 계정 생성 및 Password 설정
username guest1 privilege 2 password ciscoguest <---- Privilege level 2 계정 생성 및 Password 설정
!
line vty 0 4
login local <---- 해당 장비의 계정을 사용
!
정보 확인
R4# telnet 13.13.1.1
Trying 13.13.1.1 ... Open
User Access Verification
Username: admin <---- 관리자 계정으로 접속
Password:
!
R1# show privilege
Current privilege level is 15 <---- Privilege level 15확인
!
R1# show run <---- RAM에 설정된 정보 확인 가능
Building configuration...
Current configuration : 1365 bytes
R4# telnet 13.13.1.1
Trying 13.13.1.1 ... Open
User Access Verification
Username: guest1 <---- Guest 계정으로 접속
Password:
R1#
R1# show privilege
Current privilege level is 2 <---- Privilege level 2확인
R1#
R1# show run <---- RAM에 설정된 정보 확인 불가능
^
% Invalid input detected at '^' marker.
R1# conf t <---- Global mode 전환 불가능
^
% Invalid input detected at '^' marker.
### 각 계정에 따른 권한 설정
-Prvilege Level 15를 제외한 나머지 모든 Level은 권한이 동일한다. [권한이 없음]
-각 계정에 대해서 다른 권한을 관리자가 지정해야한다.
-exec = Prvilege mode
-configure = Global mode
-interface = Interface mode
# R1
R1(config)# privilege exec level 2 configure terminal <---- Privilege mode에서 Level 2 계정에 "confi t" command 권한 부여
!
R1(config)# privilege configure level 2 interface <---- Global mode에서 Level 2 계정에 "interface" command 권한 부여
R1(config)# privilege configure level 2 router <---- Global mode에서 Level 2 계정에 "router" command 권한 부여
!
R1(config)# privilege interface level 2 ip address <---- Interface mode에서 Level 2 계정에 "ip address" command 권한 부여
!
R1(config)# privilege router level 2 network <---- Router mode에서 Level 2 계정에 "network" command 권한 부여
정보 확인
R4# telnet 13.13.1.1
Trying 13.13.1.1 ... Open
User Access Verification
Username: guest <---- guest 계정으로 접속
Password:
!
R1# <--- R4에서 R1으로 Telnet 접속
R1# conf t <--- Globla mode로 전환
!
R1(config)# interface loopback 100
R1(config-if)# ip address 100.100.100.100 255.255.255.0
!
R1(config)# router rip
R1(config-router)# network 100.0.0.0
=========================================================================================================================
### Banner 설정
-Telnet , SSH등의 Protocol을 사용하여 해당 장비에 접속시 경고 문구나 ,
주의사항등의 메세지를 Banner기능을 사용하여 출력할수있다.
R1(config)# banner motd *
Enter TEXT message. End with the character '*'.
######################################################
# # # # # # # # # # # # # # Warning # # # # # # # # # # # # # # #
######################################################
# Name : Ryu Chang Wan #
# Phone : 010-555-1234 #
# Fax : 02-555-6789 #
# E-Mal : konan7979@naver.com #
######################################################
*
R1(config)#
정보 확인
R4# telnet 13.13.1.1
Trying 13.13.1.1 ... Open
######################################################
# # # # # # # # # # # # # # Warning # # # # # # # # # # # # # # #
######################################################
# Name : Ryu Chang Wan #
# Phone : 010-555-1234 #
# Fax : 02-555-6789 #
# E-Mal : konan7979@naver.com #
######################################################
User Access Verification
Username:
3월 12일
ex R1과 R4의 인증
R1
key chain EGIRP_AUTH
key 20180312
key-string GIT_NET
!
interface fastethernet 0/0
ip authentication mode eigrp 100 md5
ip authentication key-chain eigrp 100 EIGRP_AUTH
##EIGRP는 주소요약을 설정하게되면 요약을 설정한 Router는 자신이 요약한 범위의 네트워크를 Routing table에 EIGRP로 등록하며 Next-hop을 null0으로 설정한다.
%해당 Router에서 요약한 네트워크를 EIGRP로 등록 (loop방지) Null0는 드랍.
##offset list
EIGRP에는 잘 사용하지 않지만 Rip에 많이 사용한다.
Routing Table에 등록된 특정 네트워크의 Metric 값을 조정하여 최적 경로를 변경하는 기능.
Offset-list Metirc의 증가만 가능하다. (기존 값을 낮출 수 없다)
#설정방법
ACL을 사용하여 Metric 값을 변경할 네트워크 범위를 지정
Routing Protocol Process에서 해당 네트워크의 Metric 값을 조정
-Offset-list는 하나의 인터페이스당 각 In/out 한개씩만 적용이 가능하다.
##SIA (Stuck in Active)
: EIGRP는 Query를 전송후 Query에 대한 응답을 3분안에 수신하지 못할경우 인접성이 단절되는 문제가 발생한다. 이를 SIA 현상이라고 한다.
#해결방법
:Query에 대한 응답을 3분안에 수신하지 못할경우 인접성이 단결되는 문제를 해결하기 위해서 3분 이상으로 시간 조정
1)timer
Router eigrp x
timer active-time [분]
!
2)Stub
:
#명령어
router eigrp x
eigrp stub
!
3) ip주소 요약을 통한 SIA 문제 해결
:EIGRP는 topology table에 없는 네트워크 정보를 라우팅 할수 없다.
sia현상이 번번한 네트워크에 대해서 주소 요약을 설정하게 되면 eigrp는 장애 발생 네트워크에 대한 상세 정보가 topology table에 확인되지 않기 때문에 eigrp neighbor router에게 query를 확산하지 않고 query를 전파한 router에게 바로 reply를 송신한다.
4) 재분배
: EIGRP 환경을 최소화하여 SIA의 발생 확률을 줄일수 있다.
###autocommand
-Telnet 계정에 대한 권한을 따로 부여하지 않고 Router로 원격접속하는 기능
Telnet 접속시 관리자가 지정한 command를 실행하고 Telnet session이 자동 종료된다.
username admin privilege 15 password cisco <---- Privilege level 15 계정 생성 및 Password 설정
username guest1 privilege 2 password ciscoguest <---- Privilege level 2 계정 생성 및 Password 설정
username guest1 autocommand show ip route <--------- 라우터 테이블을 보여주고 종료한다.
### Menu title
-Menu title 기능 설정후 Telnet 접속하게되면 cli를 사용한 command 입력이 차단되며 관리자가 지정한 key를 사용하여 정해진 기능만 출력하는 기능.
EX 아래의 조건에 맞게 Telnet Session을 구성하시오
username guest2 privilege 3 password ciscoguest
username guest2 autocommand menu GIT
!
menu GIT text 1 routing-Table
menu GIT command 1 show ip route
menu GIT text 2 TCP-Brief
menu GIT command 2 show tcp brief
menu GIT text 3 interface-Brief
menu GIT command 3 show ip interface brief
menu GIT text 4 R3_LO0_ICMP
menu GIT command 4 ping 13.13.3.3
menu GIT text 5 EXIT
menu GIT command 5 exit
!
line vty 0 4
login local
!
###Telnet Port 변경
R1
access-list 101 permit tcp any any eq 3040
line vty 0 4
access-class 101 in
rotary 40 <<<<<<<<cisco는 3000번 부터 가능 40번을 의미
!
R4
telnet 13.13.1.1 3040 <<<<<<<<<<<<<<3040번 포트로 접속하세요 !
EX)
# R1, R3
interface serial 1/0
shutdown
!
#R1
access-list 101 permit eigrp host 150.1.13.254 host 224.0.0.10
!
interface fastethernet 0/0
ip access-group 101 in
!
router eigrp 100
timers active-time 1
!
-------------------------------
3월 19일
BGPv4
1. 동기화 단계에서 BGP 정보는 IGP로 확인이 가능해야 한다. 동기화단계를 무시하면 블랙홀 포인트가 발생할 수 있다.
-BGP peer 조건
: BGP는 NLRI가 확립된 Router간 peer를 연결 할 수 있다.
[Network Layer Reachability information]
2. 스플릿 호라이즌 IBGP는 IBGP로 한번만 송신이 가능하다.
3. BGP next-hop BGP는 동일 네트워크 상(as)내의 Next-hop은 바뀌지 않는다.
'보안 > 이론' 카테고리의 다른 글
| [CCNP] New ENCOR Questions Part 7-3 (0) | 2021.11.12 |
|---|---|
| [CCNP] New ENCOR Questions Part 7-2 (0) | 2021.11.12 |
| [CCNP]New ENCOR Questions Part 7-1 (0) | 2021.11.12 |
| [CCNP]New ENCOR Questions Part 8 (0) | 2021.11.12 |
| 재택근무 시 지켜야 할 정보보호 6대 실천 수칙 (0) | 2021.10.18 |
