지극히 개인적인 이야기

08년10월29일-ICND
목차


--------------------------------------------------------------------------------

라우팅 프로토콜(cont.)
RIP
실습) RIP 설정
EIGRP
실습) EIGRP 구성
OSPF
실습) OSPF 설정하기
ACLs를 이용한 트래픽 제어
ACLs의 개요
Wildcard Bits
Access list 설정
실습)
HSRP
Router Redundancy : Proxy ARP
Router Redundancy : HSRP
 

 

라우팅 프로토콜(cont.)#
RIP#
6개까지 equal cost load balancing 지원. (default = 4)

최적 경로 선정에서 기준이 되는 값은 hopping-count.

설사 경로를 구성하는 망의 링크의 속도가 다르더라도 홉의 수를 가지고 판단한다.

홉수가 같은 경우 최대 6개까지 경로정보를 유지한다. (IOS버전에 따라서는 16개까지 지원하기도 함)

트래픽이 발생할 경유 현재 유지하고 있는 경로의 정보 전체를 이용해서 트래픽을 분산한다.

LOAD SHARING 이라고 표현하는게 정확함. (망의 속도와 무관하게 동일 cost로 계산하기 때문)

 

예시) Distance Vector, Advanced Distance Vector, Link State

  > 전통적인 DV의 경우 30sec마다 전체 라우팅 테이블을 update

※ distance : how far, vector : in which direction 에 대한 정보를 자신과 인접한 라우터에 전달

해당 라우터와 직접 연결되지 않은 네트에 대한 정보를 받은 경우 정보와 함께온 hop-count+1을 해서 라우팅 테이블에 저장하는방식으로 동작함.

상호간 가진 정보를 저장해서 라우팅에 이용한다.


단점)

regular update + full update

regular update 실시에 있어 update 시점이 동기화 되지 않아서 정보가 엊갈려 looping 이 발생가능.

A라우터의 E0가 장애로 인해서 동작이 불능한 상황이 발생했을 때, 라우터가 해당 인터페이스에 관련한 정보를 테이블에서 삭제하지만, 이웃한 라우터 B가 A(E0)에 대한 정보를 주면서 A는 해당 정보를 미지의 라우터 정보로 판단하고 테이블에 업데이트하는 과정을 거치면서 두 라우터가 해당 정보를 계속해서 loop해서 홉카운트를 올려버리는 일이 발생. (routing looping occured)

이 문제로 인해서 DV방식에서는 loop방지책을 제공하지만, 여전히 루핑이 발생할 가능성이 존재

이를 해결하는 알고리즘을 추가한 방식이 Advanced DV (EIGRP) 방식


IOS의 rip 설정시에 network class 를 부여해야하는데, subnet mask를 이용하지 않고 major network 주소를 입력한다.

실습) RIP 설정#
RouterD#sh ip int brie
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                10.5.5.3        YES manual up                    up    
Serial0/0                  10.140.4.2      YES manual up                    up    
BRI0/0                     unassigned      YES unset  administratively down down  
BRI0/0:1                   unassigned      YES unset  administratively down down  
BRI0/0:2                   unassigned      YES unset  administratively down down  
Serial0/1                  10.45.45.2      YES manual up                    up    
Loopback0                  192.168.2.81    YES manual up                    up    
RouterD#sh ip protocols

RouterD#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
RouterD(config)#router rip
RouterD(config-router)#network 10.0.0.0RouterD#sh ip protocols
Routing Protocol is "rip"
  Sending updates every 30 seconds
  Invalid after 180 seconds, hold down 180, flushed after 240
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is not set
  Redistributing: rip
  Default version control: send version 1, receive any version
    Interface             Send  Recv  Triggered RIP  Key-chain
    Ethernet0/0           1     1 2                                
    Serial0/0             1     1 2                                
    Serial0/1             1     1 2                                
  Automatic network summarization is in effect
  Maximum path: 4
  Routing for Networks:
    10.0.0.0
  Routing Information Sources:
    Gateway         Distance      Last Update
    10.45.45.1           120      00:00:01
    10.140.4.1           120      00:00:12
  Distance: (default is 120)

RouterD#sh ip int brieInterface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                10.5.5.3        YES manual up                    up    
Serial0/0                  10.140.4.2      YES manual up                    up    
BRI0/0                     unassigned      YES unset  administratively down down  
BRI0/0:1                   unassigned      YES unset  administratively down down  
BRI0/0:2                   unassigned      YES unset  administratively down down  
Serial0/1                  10.45.45.2      YES manual up                    up    
Loopback0                  192.168.2.81    YES manual up                    up    
RouterD#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/24 is subnetted, 21 subnets
R       10.89.89.0 [120/2] via 10.140.4.1, 00:00:02, Serial0/0 > [AD값/Metric값]
R       10.67.67.0 [120/2] via 10.140.4.1, 00:00:02, Serial0/0 > 해당 정보를 어떻게 알았는지 표현
C       10.45.45.0 is directly connected, Serial0/1
R       10.23.23.0 [120/2] via 10.140.4.1, 00:00:02, Serial0/0
R       10.9.9.0 [120/1] via 10.140.4.1, 00:00:02, Serial0/0
R       10.8.8.0 [120/1] via 10.140.4.1, 00:00:02, Serial0/0
R       10.7.7.0 [120/1] via 10.140.4.1, 00:00:02, Serial0/0
R       10.6.6.0 [120/1] via 10.140.4.1, 00:00:03, Serial0/0
C       10.5.5.0 is directly connected, Ethernet0/0
R       10.4.4.0 [120/1] via 10.45.45.1, 00:00:10, Serial0/1
                 [120/1] via 10.140.4.1, 00:00:03, Serial0/0
R       10.3.3.0 [120/1] via 10.140.4.1, 00:00:03, Serial0/0
R       10.2.2.0 [120/1] via 10.140.4.1, 00:00:07, Serial0/0
R       10.1.1.0 [120/1] via 10.140.4.1, 00:00:07, Serial0/0
R       10.140.6.0 [120/1] via 10.140.4.1, 00:00:07, Serial0/0
R       10.140.7.0 [120/1] via 10.140.4.1, 00:00:07, Serial0/0
C       10.140.4.0 is directly connected, Serial0/0
R       10.140.5.0 [120/1] via 10.140.4.1, 00:00:07, Serial0/0
R       10.140.2.0 [120/1] via 10.140.4.1, 00:00:07, Serial0/0
R       10.140.3.0 [120/1] via 10.140.4.1, 00:00:07, Serial0/0
R       10.140.1.0 [120/1] via 10.140.4.1, 00:00:07, Serial0/0
R       10.140.8.0 [120/1] via 10.140.4.1, 00:00:07, Serial0/0
     192.168.2.0/28 is subnetted, 1 subnets
C       192.168.2.80 is directly connected, Loopback0

 

EIGRP#
Advanced Distance Vector 사용

모른 RP중에서 가장 빠른 Convergence 제공 (대체 경로 마련 시간이 가장 적다)

효율적인 Bandwidth 사용

RIP의 경우는 정기적인 업데이트 정보 교환으로 인해서 오버헤드가 크기 때문에 소형망에서나 사용 가능하다.

EIGRP의 경우는 변경된 정보만을 기준으로 업데이트를 하기 때문에 효율적인 Bandwidth 를 사용한다.

IP네트워크 이외의 IPX, AppleTalk 등의 네트워크 간의 라우팅도 지원한다.

EIGRP의 경우 시스코에서 만든 프로토콜인 관계로 시스코 라우터에서만 지원함

 

※ 토폴로지 구성
neighbor table makeup > topology table makeup > routing table makeup

 

최초 이웃하는 라우터를 판단하고, 라우터가 얻은 라우팅 테이블 정보를 이용해서 네트워크 토폴로지를 learning하는 과정을 거친다는 특징이 있다. 토폴로지 테이블은 구성시 대상 네트워크에 대한 중복된 경로 정보를 모두 유지한다는 것이 특징이다. 이렇게 토폴로지를 구성하고 BP로 선택된 경로만이 라우팅 테이블에 구성되기 때문에 BP에 이상이 발생하더라도 토폴로지를 이용해서 바로 BP를 얻어오는 것이 가능하기 때문에 Convergence 시간이 가장 짧다.

 

EIGRP Metric = [해당 PATH 내 lowest Bandwidth] + Delay

아무리 T1급 회선을 깔아도 중간에 64K하나 끼면, 256K로만 연결된 Path보다 못하다.

Unequal-cost Load Balancing-Variance

Variance라는 비용에 대한 배수 개념을 도입.

Variance 1의 경우 최저 cost*1 내의 코스트 경로만 BP로 인정

Variance 2의 경우 최저 cost*2 내의 코스트 경로도 BP로 인정. 라우팅 테이블에 참여시켜 패킷 전달

(load sharing 과 다른 load balancing 기술이 가능해진당~)

EIGRP DUAL

현재 라우터에서 목적지 네트워크까지 가는 비용을 계산하는데 드는 비용을 Advertised Distance + (해당 라우터 까지의 비용) 식으로 더해서 구현한다.

 

 AD of second-best route < FeasibleDistance of best route (sucessor) = feasible successor


라는 조건을 만족해야지만 해당 루트를 BP라고 판단한다. (루핑 방지를 위해서 이웃하는 라우터의 정보가 현재 라우터의 정보보다 크기가 크다면 정보 업데이트를 하지 않겠다)


EIGRP Packet

hello,
update,
query, > 토폴로지 정보를 가지고는 있지만 loop 가능성이 존재하는 경우 존재하는 feasible route를 인정하지 안고 이웃에 정보를 요청한다.
reply,
ack : 데이터를 업데이트하는 경우는 오로지 네떡에 변화가 생긴 경우이기 때문에 반드시 대상 라우터가 정보를 받았다는 확인을 받아야함.

 

※ 설정시 AS#를 넣어야하는데 여기서 넣는 AS#는 IAEA에서 제정하는 번호가 아니라, 단순히 관리자가 정하는 번호이다. AS#가 같아야지만 라우팅 정볼르 교환하게 됀다.

라우팅 프로토콜 설정에서 지정하는 네트워크 주소는 어떤 인터페이스를 통해서 해당 프로토콜을 사용할지를 결정하기 위해서 사용된다는 사실에 주의하자.


 

EIGRP는 subnetmask 대신 wildcard-mask를 이용해서 네트워크를 설정하는데, subnet mask를 이용해서 설정해도 알아서 변환해서 설정해준다.

 

Auto-sumary : 서브넷 정보가 해당 네트워크를 떠나서 다른 네트로 이동할때는 원래의 서브넷 정보로 싸인채로 전달된다. (맞나?)


sh ip eigrp neighbor, sh ip eigrp topology, sh ip eigrp route

실습) EIGRP 구성#
RouterD#sh ip int brieInterface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                10.5.5.3        YES manual up                    up    
Serial0/0                  10.140.4.2      YES manual up                    up    
BRI0/0                     unassigned      YES unset  administratively down down  
BRI0/0:1                   unassigned      YES unset  administratively down down  
BRI0/0:2                   unassigned      YES unset  administratively down down  
Serial0/1                  10.45.45.2      YES manual up                    up    
Loopback0                  192.168.2.81    YES manual up                    up    
RouterD#conf tEnter configuration commands, one per line.  End with CNTL/Z.
RouterD(config)#router eigrp 100
RouterD(config-router)#network 10.5.5.0 0.0.0.255
RouterD(config-router)#network 10.140.4.0 0.0.0.255
RouterD(config-router)#network 10.45.45.0 0.0.0.255
RouterD(config-router)#network 192.168.2.0 0.0.0.255
RouterD(config-router)#exit

RouterD#sh ip int briefInterface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                10.5.5.3        YES manual up                    up   
Serial0/0                  10.140.4.2      YES manual up                    up   
BRI0/0                     unassigned      YES unset  administratively down down 
BRI0/0:1                   unassigned      YES unset  administratively down down 
BRI0/0:2                   unassigned      YES unset  administratively down down 
Serial0/1                  10.45.45.2      YES manual up                    up   
Loopback0                  192.168.2.81    YES manual up                    up   
RouterD#sh ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.140.4.1 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 23 subnets, 3 masks
D       10.89.89.0/24 [90/21536000] via 10.140.4.1, 00:00:43, Serial0/0
D       10.67.67.0/24 [90/21536000] via 10.140.4.1, 00:00:43, Serial0/0
C       10.45.45.0/24 is directly connected, Serial0/1
D       10.23.23.0/24 [90/21536000] via 10.140.4.1, 00:00:43, Serial0/0
D       10.9.9.0/24 [90/20514560] via 10.140.4.1, 00:00:43, Serial0/0
D       10.8.8.0/24 [90/20514560] via 10.140.4.1, 00:00:43, Serial0/0
D       10.7.7.0/24 [90/20514560] via 10.140.4.1, 00:00:44, Serial0/0
D       10.6.6.0/24 [90/20514560] via 10.140.4.1, 00:00:44, Serial0/0
C       10.5.5.0/24 is directly connected, Ethernet0/0
D       10.4.4.0/24 [90/20514560] via 10.140.4.1, 00:10:23, Serial0/0
D       10.3.3.0/24 [90/20514560] via 10.140.4.1, 00:00:44, Serial0/0
D       10.2.2.0/24 [90/20514560] via 10.140.4.1, 00:00:44, Serial0/0
D       10.1.1.0/24 [90/20514560] via 10.140.4.1, 00:00:46, Serial0/0
D       10.0.0.0/8 is a summary, 00:10:13, Null0
D       10.140.6.0/24 [90/21024000] via 10.140.4.1, 00:00:46, Serial0/0
D       10.140.7.0/24 [90/21024000] via 10.140.4.1, 00:00:46, Serial0/0
C       10.140.4.0/24 is directly connected, Serial0/0
D       10.140.5.0/24 [90/21024000] via 10.140.4.1, 00:00:46, Serial0/0
D       10.140.2.0/24 [90/21024000] via 10.140.4.1, 00:00:46, Serial0/0
D       10.140.3.0/28 [90/21024000] via 10.45.45.1, 00:10:25, Serial0/1
D       10.140.3.0/24 [90/21024000] via 10.140.4.1, 00:10:54, Serial0/0
D       10.140.1.0/24 [90/21024000] via 10.140.4.1, 00:00:46, Serial0/0
D       10.140.8.0/24 [90/21024000] via 10.140.4.1, 00:00:46, Serial0/0
D    192.168.1.0/24 [90/21152000] via 10.140.4.1, 00:00:46, Serial0/0
     192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.2.80/28 is directly connected, Loopback0
D       192.168.2.0/24 is a summary, 00:10:14, Null0
D    192.168.3.0/24 [90/21152000] via 10.140.4.1, 00:00:47, Serial0/0
D*   0.0.0.0/0 [90/21049600] via 10.140.4.1, 00:00:47, Serial0/0
RouterD#sh ip protocolsRouting Protocol is "rip"
  Sending updates every 30 seconds, next due in 14 seconds
  Invalid after 180 seconds, hold down 180, flushed after 240
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is not set
  Redistributing: rip
  Default version control: send version 1, receive any version
    Interface             Send  Recv  Triggered RIP  Key-chain
    Ethernet0/0           1     1 2                               
    Serial0/0             1     1 2                               
    Serial0/1             1     1 2                               
  Automatic network summarization is in effect
  Maximum path: 4
  Routing for Networks:
    10.0.0.0
  Routing Information Sources:
    Gateway         Distance      Last Update
    10.45.45.1           120      00:00:25
    10.140.4.1           120      00:00:16
  Distance: (default is 120)

Routing Protocol is "eigrp 100"
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is not set
  Default networks flagged in outgoing updates
  Default networks accepted from incoming updates
  EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0
  EIGRP maximum hopcount 100
  EIGRP maximum metric variance 1
  Redistributing: eigrp 100
  EIGRP NSF-aware route hold timer is 240s
  Automatic network summarization is in effect
  Automatic address summarization:
    192.168.2.0/24 for Ethernet0/0, Serial0/0, Serial0/1
      Summarizing with metric 128256
    10.0.0.0/8 for Loopback0
      Summarizing with metric 281600
  Maximum path: 4
  Routing for Networks:
    10.5.5.0/24
    10.45.45.0/24
    10.140.4.0/24
    192.168.2.0
  Routing Information Sources:
    Gateway         Distance      Last Update
    (this router)         90      00:10:22
    Gateway         Distance      Last Update
    10.45.45.1            90      00:00:57
    10.140.4.1            90      00:00:57
  Distance: internal 90 external 170

RouterD#sh ip eigrp neighborIP-EIGRP neighbors for process 100
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
1   10.45.45.1              Se0/1             13 00:10:50  217  1302  0  51
0   10.140.4.1              Se0/0             13 00:11:19  351  2106  0  74
RouterD#sh ip eigrp topologyIP-EIGRP Topology Table for AS(100)/ID(192.168.2.81)

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status

P 0.0.0.0/0, 1 successors, FD is 21049600
        via 10.140.4.1 (21049600/20537600), Serial0/0
P 10.0.0.0/8, 1 successors, FD is 281600
        via Summary (281600/0), Null0
P 10.89.89.0/24, 1 successors, FD is 21536000
        via 10.140.4.1 (21536000/21024000), Serial0/0
P 10.23.23.0/24, 1 successors, FD is 21536000
        via 10.140.4.1 (21536000/21024000), Serial0/0
P 10.45.45.0/24, 1 successors, FD is 20512000
        via Connected, Serial0/1
P 10.67.67.0/24, 1 successors, FD is 21536000
        via 10.140.4.1 (21536000/21024000), Serial0/0
P 10.9.9.0/24, 1 successors, FD is 20514560
        via 10.140.4.1 (20514560/28160), Serial0/0
P 10.8.8.0/24, 1 successors, FD is 20514560
        via 10.140.4.1 (20514560/28160), Serial0/0
P 10.7.7.0/24, 1 successors, FD is 20514560
        via 10.140.4.1 (20514560/28160), Serial0/0
       
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status

P 10.6.6.0/24, 1 successors, FD is 20514560
        via 10.140.4.1 (20514560/28160), Serial0/0
P 10.4.4.0/24, 1 successors, FD is 20514560
        via 10.140.4.1 (20514560/28160), Serial0/0
        via 10.45.45.1 (20537600/281600), Serial0/1
P 10.3.3.0/24, 1 successors, FD is 20514560
        via 10.140.4.1 (20514560/28160), Serial0/0
P 10.2.2.0/24, 1 successors, FD is 20514560
        via 10.140.4.1 (20514560/28160), Serial0/0
P 10.1.1.0/24, 1 successors, FD is 20514560
        via 10.140.4.1 (20514560/28160), Serial0/0
P 10.5.5.0/24, 1 successors, FD is 281600
        via Connected, Ethernet0/0
        via 10.140.4.1 (20514560/28160), Serial0/0
P 192.168.2.80/28, 1 successors, FD is 128256
        via Connected, Loopback0
P 192.168.1.0/24, 1 successors, FD is 21152000
        via 10.140.4.1 (21152000/20640000), Serial0/0
P 192.168.2.0/24, 1 successors, FD is 128256
        via Summary (128256/0), Null0
P 192.168.3.0/24, 1 successors, FD is 21152000
        via 10.140.4.1 (21152000/20640000), Serial0/0
P 10.140.6.0/24, 1 successors, FD is 21024000
       
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status

        via 10.140.4.1 (21024000/20512000), Serial0/0
P 10.140.7.0/24, 1 successors, FD is 21024000
        via 10.140.4.1 (21024000/20512000), Serial0/0
P 10.140.4.0/24, 1 successors, FD is 20512000
        via Connected, Serial0/0
P 10.140.5.0/24, 1 successors, FD is 21024000
        via 10.140.4.1 (21024000/20512000), Serial0/0
P 10.140.2.0/24, 1 successors, FD is 21024000
        via 10.140.4.1 (21024000/20512000), Serial0/0
P 10.140.3.0/28, 1 successors, FD is 21024000
        via 10.45.45.1 (21024000/20512000), Serial0/1
P 10.140.3.0/24, 1 successors, FD is 21024000
        via 10.140.4.1 (21024000/20512000), Serial0/0
P 10.140.1.0/24, 1 successors, FD is 21024000
        via 10.140.4.1 (21024000/20512000), Serial0/0
P 10.140.8.0/24, 1 successors, FD is 21024000
        via 10.140.4.1 (21024000/20512000), Serial0/0
RouterD#ping 172.16.31.100

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.31.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms
RouterD#

OSPF#
Link-State 방식

Link는 인터페이스를 말한다. OSPF는 라우터가 가진 인터페이스와 링크의 상세 정보를 이웃하는 라우터로 전달해서 이 정보를 가지고 라우팅에 이용하는 것을 말한다. (topological db a.k.a LSDB) DV와의 차이점은 전달하는 데이터가 다르다.

이 방식을 가지고 라우팅을 하는 것은 패킷의 목적지를 찾아가는 방식이 마치 지도를 가지고 길을 찾아가는 것과 유사하다.

전체 네트의 정보를 가지고 있기 때문에 루핑이 기본적으로 발생할 여지가 없다. 단점은 전체 네트의 정보를 개발 장비가 가지고 있어야하며, 비용 계산의 단계가 오버헤드가 크기 때문에 라우터의 부하가 크다.


OSPF로 라우팅을 하는 구간을 AS라고 구분하며, 보다 효율적인 관리를 위해서 Area 라는 개념을 도입해서 관리하여 라우터의 부하를 최대한 출이는 계층적인 구조를 가져가게 된다. 마치 access layer switch, distribution lay switch처럼 regular area, transit area 라는 개념을 도입해서 각각의 라우터가 유지하는 네트워크의 정보를 최소화하고, 라우터의 부하를 줄여준다.


패킷

HELLO

hello and dead interval : 헬로우 패킷은 주기적인 전달. 최초 네이버 관계를 맺고 지속적으로 그 관계를 유지할지 말지를 결정, 보통 hello는 10초마다하고, 40초간 전달이 되지 않으면 네이버를 끊는다.

area id : 자신이 속해 있는 area #

authentication password : 인증을 통해서 데이터를 전달한다.

stub area flag : 자신의 에어리어를 제외하고, 기타 area와 통신하기 위해서는 통로가 유일한 area이며 이 안에 속해 있는 라우터는 이 플래그를 설정해야한다.


P2P링크의 경우에는 연결이 이루어지면 encapsulation type PPP, HDLC인지를 판단하고 바로 정보를 공유한다.

Broadcast Multiaccess Network 링크의 경우 DR, BDR이라는 라우터를 선정해서 라우팅 정보의 구성 및 업데이트 역할을 위임해서 작업을 간소화한다.

실습) OSPF 설정하기#
하나의 라우터에서도 여러개의 OSPF를 구성해서 사용할수 있다. process id를 이용해서 구분

네트워크 설정에는 반드시 inverse-mask, area id 를 부여해서 설정

Wildcard Mask 0: 반드시 일치 해야함을 의미, 1:dont-care bit 의미

RouterD#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.140.4.1 to network 0.0.0.0

D    172.16.0.0/16 [90/20640000] via 10.140.4.1, 00:01:05, Serial0/0
     10.0.0.0/8 is variably subnetted, 23 subnets, 3 masks
D       10.89.89.0/24 [90/21536000] via 10.140.4.1, 00:01:05, Serial0/0
D       10.67.67.0/24 [90/21536000] via 10.140.4.1, 00:01:05, Serial0/0
C       10.45.45.0/24 is directly connected, Serial0/1
D       10.23.23.0/24 [90/21536000] via 10.140.4.1, 00:01:05, Serial0/0
D       10.9.9.0/24 [90/20514560] via 10.140.4.1, 00:01:05, Serial0/0
D       10.8.8.0/24 [90/20514560] via 10.140.4.1, 00:01:06, Serial0/0
D       10.7.7.0/24 [90/20514560] via 10.140.4.1, 00:01:06, Serial0/0
D       10.6.6.0/24 [90/20514560] via 10.140.4.1, 00:01:06, Serial0/0
C       10.5.5.0/24 is directly connected, Ethernet0/0
D       10.4.4.0/24 [90/20514560] via 10.140.4.1, 00:07:35, Serial0/0
D       10.3.3.0/24 [90/20514560] via 10.140.4.1, 00:01:06, Serial0/0
D       10.2.2.0/24 [90/20514560] via 10.140.4.1, 00:01:08, Serial0/0
D       10.1.1.0/24 [90/20514560] via 10.140.4.1, 00:01:08, Serial0/0
D       10.0.0.0/8 is a summary, 00:27:09, Null0
D       10.140.6.0/24 [90/21024000] via 10.140.4.1, 00:01:08, Serial0/0
D       10.140.7.0/24 [90/21024000] via 10.140.4.1, 00:01:08, Serial0/0
C       10.140.4.0/24 is directly connected, Serial0/0
D       10.140.5.0/24 [90/21024000] via 10.140.4.1, 00:01:08, Serial0/0
D       10.140.2.0/24 [90/21024000] via 10.140.4.1, 00:01:08, Serial0/0
D       10.140.3.0/28 [90/21024000] via 10.45.45.1, 00:27:22, Serial0/1
D       10.140.3.0/24 [90/21024000] via 10.140.4.1, 00:27:51, Serial0/0
D       10.140.1.0/24 [90/21024000] via 10.140.4.1, 00:01:08, Serial0/0
D       10.140.8.0/24 [90/21024000] via 10.140.4.1, 00:01:08, Serial0/0
D    192.168.1.0/24 [90/21152000] via 10.140.4.1, 00:01:08, Serial0/0
     192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.2.80/28 is directly connected, Loopback0
D       192.168.2.0/24 is a summary, 00:27:11, Null0
D    192.168.3.0/24 [90/21152000] via 10.140.4.1, 00:01:09, Serial0/0
D*   0.0.0.0/0 [90/21049600] via 10.140.4.1, 00:01:09, Serial0/0
RouterD#conf tEnter configuration commands, one per line.  End with CNTL/Z.
RouterD(config)#router ospf 100
RouterD(config-router)#router-id 5.5.5.5Reload or use "clear ip ospf process" command, for this to take effect
RouterD(config-router)#*Mar  1 22:28:33.411: %SYS-5-CONFIG_I: Configured from console by consoleclear
RouterD#clear ip ospf processReset ALL OSPF processes? [no]: yes
RouterD#*Mar  1 22:28:46.400: %OSPF-5-ADJCHG: Process 100, Nbr 10.140.3.2 on Serial0/1 from FULL to DOWN, Neighbor Down: Interface down or detached
*Mar  1 22:28:46.400: %OSPF-5-ADJCHG: Process 100, Nbr 172.16.31.100 on Serial0/0 from FULL to DOWN, Neighbor Down: Interface down or detached
*Mar  1 22:28:54.561: %OSPF-5-ADJCHG: Process 100, Nbr 172.16.31.100 on Serial0/0 from LOADING to FULL, Loading Done
*Mar  1 22:29:00.567: %OSPF-5-ADJCHG: Process 100, Nbr 172.16.31.100 on Serial0/0 from FULL to DOWN, Neighbor Down: Adjacency forced to reset
*Mar  1 22:29:00.747: %OSPF-5-ADJCHG: Process 100, Nbr 1.1.1.1 on Serial0/0 from LOADING to FULL, Loading Done
RouterD#sh ip ospf Routing Process "ospf 100" with ID 5.5.5.5
 Supports only single TOS(TOS0) routes
 Supports opaque LSA
 Supports Link-local Signaling (LLS)
 Initial SPF schedule delay 5000 msecs
 Minimum hold time between two consecutive SPFs 10000 msecs
 Maximum wait time between two consecutive SPFs 10000 msecs
 Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
 LSA group pacing timer 240 secs
 Interface flood pacing timer 33 msecs
 Retransmission pacing timer 66 msecs
 Number of external LSA 0. Checksum Sum 0x000000
 Number of opaque AS LSA 0. Checksum Sum 0x000000
 Number of DCbitless external and opaque AS LSA 0
 Number of DoNotAge external and opaque AS LSA 0
 Number of areas in this router is 1. 1 normal 0 stub 0 nssa
 External flood list length 0
    Area BACKBONE(0)
    Number of interfaces in this area is 4 (1 loopback)
    Area has no authentication
    SPF algorithm last executed 00:00:04.864 ago
    SPF algorithm executed 4 times
    Area ranges are
        Number of LSA 8. Checksum Sum 0x076405
    Number of opaque link LSA 0. Checksum Sum 0x000000
    Number of DCbitless LSA 0
    Number of indication LSA 0
    Number of DoNotAge LSA 0
    Flood list length 0


RouterD#sh ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.2.65      0   FULL/  -        00:00:39    10.45.45.1      Serial0/1
1.1.1.1           0   FULL/  - 081227.TXT081028.TXTlog_29090424.log       00:00:37    10.140.4.1      Serial0/0
RouterD#

 

ACLs를 이용한 트래픽 제어#
ACLs의 개요#
Access Control List 를 이용하면 라우터를 이용해서 마치 방화벽을 사용하는 것과 같은 효과를 얻을 수 있다.

라우터의 내부에서 발생하는 트래픽은 제어가 불가능하며, 제어 가능한 패킷은 외부에서 들어온 패킷이거나 들어와서 나가는 패킷의 형태에만 적용가능하다.

 

Standard Access List

L3 Src 정보만을 이용해서 체크. (aka Packet Filter)

Extended Access List

L3 Src & Port 정볼르 이용해서 체크.

Inbound Access List

외부에서 내부로 들어오는 패킷에 대한 체크

Outbound Access List

내부에서 외부로 나가는 패킷에 대한 체크

ACLs의 조건식 검사 원칙

1) Top-down Process

조건 검사의 순서가 상단에서 하단으로 내려간다.

2) First match

최초의 조건이 체크되어 맞는 경우에는 하단의 조건을 검사하지 않는다.

3) Implicit deny

모든 조건을 체크해서 맞지 않는 경우에는 deny (ACLs을 사용하고 조건을 넣지 않으면 기본적으로 deny상태)

 

Wildcard Bits#
eigrp, ospf 에서 사용하는 마스크와 비슷한놈~

※ 굳이 왜 익숙한 subnet mask 를 사용하지 않고, wildcard mask를 쓰느냐? 이는 subnet mask의 경우에는 반드시 연속적인 주소만을 걸러내기 때문에 wildcard mask에 비해서 유연함이 적다.

예시) 특정한 네트워크 영역에서 홀수 IP만 걸러내고 싶다면 4번째 옥텟의 마지막 요소만을 wildcard masking시키면 걸러낼    수 있다.

 

summarization 할 경우 172.16.0.0/24르르 기준으로 생각해야함.

 

Access list 설정#
실습)#
conf t
access-list 102 deny icmp any 10.1.1.2 0.0.0.0 echo log
access-list 102 permit tcp any any eq 23 log
interface s0/0
ip access-group 102 out

 

HSRP#
Router Redundancy : Proxy ARP#
ARP를 날렸을때 그에 대한 응답을 해주는 대행자를 두어서 차후 게이트 웨이의 장애시 발생하는 문제를 해결하는데 이용할 수있도록 만든다. (네트워크 이중화를 위한 기술이다.)

ProxyARP의 문제점은 게이트 웨이의 정보를 일정 시간동안 가지고 있기 때문에 장애상황이 즉각적으로 반영되지 못한다는 문제가 있다.

 

RouterD#sh ip int e0/0
Ethernet0/0 is up, line protocol is up
  Internet address is 10.5.5.3/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Multicast reserved groups joined: 224.0.0.9 224.0.0.5 224.0.0.6
  Outgoing access list is not set
  Inbound  access list is not set
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is disabled
  IP Flow switching is disabled
  IP CEF switching is enabled
  IP CEF Feature Fast switching turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, CEF
  Router Discovery is disabled
  IP output packet accounting is disabled
  IP access violation accounting is disabled
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is disabled
  WCCP Redirect outbound is disabled
  WCCP Redirect inbound is disabled
  WCCP Redirect exclude is disabled
  BGP Policy Mapping is disabled
RouterD#

Router Redundancy : HSRP#
가상의 라우터를 만들고, 실제로 동작하는 라우터를 연결해주어서 동작하게 만드는 기술이다.

Virtual Router, Active Router, Standby Router 를 구성하고 Active Router 장애시 Standby Router 가 라우터의 역할을 한다. HSRP상에서 AR의 장애는 AR이 Standby에게 보내는 주기적인 Hello Message를 이용해서 판단해서 하게 된다. (3초마다 정보를 보내고 10초동안 메시지가 오지 않을 경우 장애로 분류)

 

VLAN 별로 가상의 라우터를 구성하고, Active Standby를 서로 교차해서 라우터로 동작하게 만들수 있다.

08년10월28일-ICND
목차


--------------------------------------------------------------------------------

교육담당자
여러가지 WAN 기술 (continued)
FrameRelay
xDSL
Metro Ethernet
케이블
Straight-Through
Crossover
네트워크 보안 주요 구현 솔루션
Firewall (inactive prevention)
IDS, IPS (active prevention)
Web Firewall
ESM
스위칭 네트워크 구현 기술
L2 스위치 기술과 STP/RSTP
L2 스위치 기술
실습) IOS 맥 어드레스 보기
Spanning Tree Protocol (IEEE802.1d)
Broadcast Storm 문제
Multiple Frame Copy
MAC Database Instability
STP동작과정
실습) 스패닝 트리 내역 보기
RSTP (Rapid Spanning Tree Protocol, IEEE802.1W)
VLAN
실습) VLAN 설정
Trunking
IEEE802.1q
ISL
실습) 장비 정보를 얻어 봅시다.
EtherChannel
실습) VLAN 구성해보기
스위치 네트워크 적용 예
라우팅 프로토콜
라우팅 프로토콜 개요
RIP
EIGRP
OSPF
 

 

교육담당자#
조용하 차장

010-6549-0662

yhjo@training-partners.com

 

여러가지 WAN 기술 (continued)#
FrameRelay#
WAN을 이루는 미디어 기술인 전용선의 경우 1:1 통신(point-to-point)이라는 특징상 회선의 내용을 중간에 감청하기 힘들기 때문에 보안상으로는 굉장히 우수하지만, 미디어의 이용율은 그다지 좋지 않다. 이에 ISP에서는 이러한 문제점을 개선하고자 Frame Relay(datalink layer 기술) 라는 기술을 도입함.

 

원래의 전용선이라는 WAN의 개념에서는 다수의 site에 연결하기 위해서는 라우터상의 다수개의 interface를 이용해야했지만, frame relay 기술을 이용하는 경우에는 한개의 interface 를 이용해서 다수의 site에 네트워크를 연결하는 것이 가능해진다.

 

Multiple Acess

1) Broadcast Multiple Access : 한개의 노드에서 전달하는 데이터는 네트워크 상의 모든 노드가 들을 수 있다.

예) 이더넷

2) Non-Broadcast Multiple Access

예) 전화망, FrameRelay

 

Frame Relay

DLCI(DataLink Connection Identifier)

FR방식의 주소체계를 이렇게 부른다.

특징은 다른 주소체계와는 다르게 SRC, DST의 구분이 없다는 특징이 있다. 단지 이 주소가 존재하는 이유는 데이터가 전달돼는 링크의 구분을 위해서 존재할 뿐이다. (물리적인 링크는 한개이지만, 목적지가 다수개인 Virtual Circuit 의 형태로 구성되기 때문에 어떤 링크를 통해서 전달되는지의 구분이 필요하다.)

Inverse ARP

이더넷 환경의 ARP가 (IP, MAC) 정보를 얻어오는 프로토콜이라면, (RemoteIP, Local DLCI) 정보를 얻어오는 프로토콜이다.

 

xDSL#
ADSL, VDSL : asymmetric 서비스를 제공. (상하향의 속도가 다름) 개인용 목적 사용

HDSL, SDSL : symmetric 서비스를 제공. (상하향의 속도가 같다) 전용선의 대체용

※ 비용이 굉장히 저렴하기 때문에 회사의 내부망에서 지사를 연결하는 목적의 망으로 많이 이용한다. 문제는 ADSL을 이용한다는 것은 분명히 인터넷으로의 연결을 기본 전제로 하는 서비스이기 때문에 회사의 내부 데이터가 외부로 유출될 가능성이 존재한다.

 

VPN (Virtual Private Network)

물리적으로는 인터넷과 연결되어 있지만 회선의 암호화 복호화 장치를 망의 송수신부에 두어서 마치 전용망을 이용하는 것과 같은 효과를 얻을 수 있다.

 

Metro Ethernet#
진짜 재난 상황의 발생시에도 데이터의 유실을 막기위해서 고안된 방식이다. (Disaster Recovery)

로컬사이트와 원격사이트의 싱크가 이루어 지게 만들기 위한 것이다.

 

이 기술의 특징은 기존의 로컬 영역에서 이루어진 이더넷 기술을 원거리의 사이트까지 직접적으로 연결하는 서비스라고 생각하면 편할듯

 

케이블#
Straight-Through#
양쪽 RJ-45 잭의 핀 배열이 같은 케이블

EIA568A-type

(L) sg G sr B sb R sbr BR (R) : sr B, sb R로 송수신의 쌍을 맞추어서 만들어진 케이블

왜 이 케이블이 사용돼는가?

PC(NIC), Switch 의 잭의 Tx, Rx를 상호간 맞추기 위해서 사용한다.

PC 1,2번 TX 3,6번RX

SW 1,2번 RX 3,6번TX

 

Crossover#
양쪽 RJ-45 잭의 핀 배열이 다른 케이블

네트워크 보안 주요 구현 솔루션#
Firewall (inactive prevention)#
외부에서 내부로 들어오는 traffic 중에서 허용되지 않은 것을 모두 차단하는 역할을 한다.

(rule이 지정되지 않은 traffic에 대해서는 차단하는 역할을 하지 않는다.)

IP주소와 포트정보를 이용해서 차단

 

IDS, IPS (active prevention)#
들어오는 트래픽의 패턴을 파악해서 내부망을 보호한다.

데이터 부분의 연속적인 스트림 패턴을 검색해서 차단 (암호화된 데이터는 패턴의 파악이 쉽지 않다)

일반적으로 방화벽의 앞단에서 외부 트래픽을 감지하는 역할을 IPS, 방확벽의 뒷단에서 외부 트래픽을 감지하는 역할을 IDS가 한다.

최근의 네트워크의 문제는 내부 망 사용자에 의해서 이루어진 경우가 많다. (IDS를 통해서 허가되지 않는 내부망 사용자의 네트워크 사용을 막을 수 있다.)

IPS차단의 예시

동일 발신지 IP에서 많은 세션이 발생

> 세션별로 지정된 Threshold 이상의 신규 세션을 차단

Worm또는 트정 유해 트래픽의 특징인 패턴 string 검사

> 차단!!!

 

Web Firewall#
방화벽에서 허용한 서비스를 공격할 목적을 가진 패킷의 경우에는 기존의 방화벽으로는 차단이 힘들기 때문에 이를 차단하기 위해서 사용하는 기술

 

ESM#
다양한 침입 탐지 시스템이 등장하면서 각각의 디바이스가 다수개의 벤더의 제품인 경우가 많다. 다수개의 벤더의 제품이 많아지다보니 이를 관리하기 힘들어지기 때문에 나오게됀 관리 시스템을 말함.

 

스위칭 네트워크 구현 기술#
CSMA/CD 는 backoff 알고리즘을 근저에 깔고서 동작한다.

1) 전송중지

2) 재전송 (각각의 노드에서 재전송 타이밍을 조절하게 만들어주는 알고리즘)

※ backoff 알고리즘의 문제점은 네트워크 상의 노드가 많아 질 경우 상호간 재전송 타이밍이 맞지 않을 경우가 분명히 생긴다. 이에 backoff 알고리즘에서는 재전송을 최대 16번까지 허용하는데 이때까지 재전송이 이루어질 경우 네트웍에 문제가 있다고 판단하게 된다.

L2 스위치 기술과 STP/RSTP#
L2 스위치 기술#
address learning

스위칭에 이용돼는 MAC interface mapping table 구성하는 과정을 의미한다. (보통 메모리상에 구성)

i) 데이터가 들어오는 포트의 정보와 해당 데이터의 src정보를 이용해서 mapping 테이블 구성

※ multicast, broadcast 주소를 테이블 상에 유지할 수가 없다. (src 만을 가지고 구성하기 때문)

forward/filter decision

iii) 만약 dest 정보가 테이블 상에 존재할 경우 해당 포트로만 데이터를 전송한다. (forward)

해당하지 않는 포트로는 데이터를 전송하지 않는다.

iv) 만약 src, dest의 포트가 같은 경우에는 패킷을 차단한다. (동일한 네트워크 상에 존재할 것이라는 판단

flooding

 ii) dest 정보가 테이블 상에 없는 경우 flooding

실습) IOS 맥 어드레스 보기#
SwitchD>sh mac-address-table
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 All    0016.9d05.58c0    STATIC      CPU > 관리자가 직접 정한 경우 static 구성, 스위치로~~
 All    0100.0ccc.cccc    STATIC      CPU
 All    0100.0ccc.cccd    STATIC      CPU
 All    0100.0cdd.dddd    STATIC      CPU
   1    0016.c754.0e80    DYNAMIC     Fa0/12
   1    0016.c754.0e84    DYNAMIC     Fa0/12
   1    0016.c770.2880    DYNAMIC     Fa0/12
   1    0050.548d.4dc0    DYNAMIC     Fa0/12
   1    00b0.64d6.a1c0    DYNAMIC     Fa0/2
Total Mac Addresses for this criterion: 9
SwitchD>

※ 실습을 하면서 텔넷에 접속하게 하기위해서는 반드시 텔넷 라인을 열어야하며, 패스워드는 묻지 않아도 패스워드는 입력해놓아야지만 텔넷이 열린다는 사실에 유의하자.

Spanning Tree Protocol (IEEE802.1d)#
SPOF (Single Point of Failure)를 방지하기 위해 물리적으로 여분의 경로(Redundancy Path)를 필요로 한다.

이런경우 Broadcast Storm, Multiple Frame Copy, unstable MAC addr table 의 문제가 발생한다.

이런 경우를 방지하기 위해서 loop 방지용 프로토콜인 STP가 등장한다.

Broadcast Storm 문제#
IP기본 통신의 기본 전제는 브로드캐스트를 이용한 주소 resolve 과정이다. 문제는 Redundancy Path 구성을 망 차원에서 한 경우 루프(loop)가 발생하면서 브로드 캐스팅이 어떤 한 곳에서 멈추지 않고 지속적으로 이루어질 수 있다. 이런 경우 스위치의 모든 리소스가 불필요한 브로드캐스트 패킷을 처리하면서 잠식당해서 네트워크가 죽는 경우가 발생한다.

Multiple Frame Copy#
Unicast 를 한경우라고 하더라도 데이터가 서로다른 두개의 망을 통해서 대상 호스트로 올라간 경우. 두개의 데이터중에서 어떤 것을 선택할 것인지가 문제가 된다.

MAC Database Instability#
망이 loop를 이루면서 특정한 서버에서 송신한 패킷에 의해서 테이블상에서 호스트 위치하는 인터페이스의 위치가 여기저기에서 나타날 수 있다.

STP동작과정#
1) 한개의 Root Bridge 선정 (per NET)

2) 한개의 Root Port 선정 (per Non-Root-

3) 한개의 Designated Port 선정 (per Segment)

nondesignated port 는 blocked (LOOP발생을 막는다)

 

rootport, designated port를 선정하는 과정에서는 IEEE에 의해서 제정된 링크의 특성과 속도에 따른 고정화된 cost 를 가지고 낮은 cost를 가진 segment가 선택된다.

 

문제는 이런 동작을 하기위해서는 브리지 상호간의 정보를 공유해야지 동작할 수 있다. (BPDU 이용)

root port : 루트 브리지로 가는 포트

designated port : nonroot 브리지로 갈 수 있는 모든 포트

nondesignated port : root port 로 선정되지 못한 포트

 

BPDU (Bridge Protocol Data Unit)

2초 간격으로 BPDU를 Designated Port로 전송한다.

configuration BPDU

root 브리지만 생성 가능함. non root bridge 는 수정 전달만 가능함

최초 BPDU 발생시에는 모든 브리지가 자신을 root라고 가정한 상태에서 BPDU 발생

root bridge 선정은 설정된 bridge id, mac addr 를 이용해서 낮은 값을 갖는 경우 root가 된다.

※ MAC어드레스를 이용해서 우선순위가 결정된 경우 차후에 문제가 발생하는 가능성이 존재하기 때문에 관리자는 bridge id 를 변경해서 루트 브리지를 명시적으로 선정하는 것이 좋다.

 

STP는 단순히 loop를 막는 것만이 목적은 아니다. 원래 이런 문제가 발생한 근본적인 문제는 장애시 대처가 가능한 redundancy 구성이라고 할 수 있다. 만약 장애시에 비장애 링크를 이용할 수 없다면 이 거야 말로 문제가 아닌가??? @.@


BPDU는 non-degsignated port 를 통해서는 수신만 가능하고 송신이 불가능 하다는 것을 기본으로 해서 동작한다. 문제는 네트상의 브리자와 간적적으로 연결된 특정한 링크에서 문제가 발생하는 경우 non-designated port 로 들어오던 BPDU를 특정한 임계시간(max aging)동안 받지 못하는 경우, blocking port 는 listenning 상태로 변경되고 연결된 상호 브리지간 root bridge 를 다시 결정하고 링크를 형성하는 과정을 거치게 된다. (보통 15초가 걸리며 이 시간을 forward delay time 이라고 부른다.) 그뒤 해당 포트는 learning 단계로 변경되며, src MAC 주소를 이용해서 mapping table을 구성하게 된다. 테이블 구성 단계가 끝나면 해당 포트를 통해서  들어오는 패킷에 대한 forward 가 실시된다. 이러한 과정이 걸리는 전체 시간을 컨버젼스 타임이라고 부른다.

※ 만약 브리지와 연결된 링크가 에러가 난 경우라면 max aging을 굳이 기다려야할 이유가 없다.

실습) 스패닝 트리 내역 보기#
SwitchD>sh spanning-tree

VLAN0001
  Spanning tree enabled protocol ieee     > STP 상태이며, RSTP 미동작
  Root ID    Priority    32769
             Address     000c.30e9.f640
             Cost        38
             Port        12 (FastEthernet0/12)
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     0016.9d05.58c0
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time 300

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/2            Desg FWD 100       128.2    Shr
Fa0/11           Altn BLK 19        128.11   P2p
Fa0/12           Root FWD 19        128.12   P2p

SwitchD>

 

RSTP (Rapid Spanning Tree Protocol, IEEE802.1W)#
쥬니퍼사의 스위칭 장비는 RSTP가 기본값으로 설정되어서 동작한다.

컨버전스 타임이 1초이내라는 것이 특징. 루트 브리지, 포트를 결정하는 기준은 기본적으로 같지만, 포트와 상태 관련 정보에 대한 내용이 다름.

 

blocking port 가 alternative port(장애시 root가 될 놈), backup port(장애시 designated port 될 놈) 로 구분

최초 포트의 결정에서 blocking port 인 경우라면 장애 발생시 해당 포트가 root 포트가 될지 designated port 가 될지를 미리 결정한 상태에서 동작한다. (미리 정해 놓기 때문에 전환이 빠른 것!!!)

※ 포트의 상태

기본적으로 RSTP는 STP에 비해서 포트의 상태를 3가지로 단순화시켜서 동작시키기 때문에 좀더 빠른 전환이 가능해진다.

Discarding State : 들어온 프레임을 모두 드랍시키는 상태

DISABLED : 관리자에 의한 shutdown 상태

BLOCKING :

LISTENNING :

Learning : 소스 주소 체크

LEARNING

Forwarding : 소스 주소 체크 & 목적지 주소 체크

Forwarding

VLAN#
broadcasting domain : 브로드캐스트 데이터가 전달되는 영역을 의미

※ 브로드캐스트의 문제

브로드캐스트를 필요로 하지 않더라도 시스템은 브로드캐스트를 처리하기 위해서 CPU time 할당이 필요하다. 만약 동일한 네트워크상의 브로드캐스팅을 하는 시스템이 많아질수록 해당 네트웍상의 호스트의 성능의 저하가 일어나고, 이로 인해 전체 네트워크의 성능이 나뻐지는 문제점이 존재한다.

라우터를 이용해서 보통 이런 브로드캐스트 도메인을 나누게 돼는데, 라우터는 인터페이스 단위를 브로드캐스트 도메인으로 구분하게 됀다. 이런경우 브로드캐스트 도메인이 망의 사용 목적에 따라서 구분짓기 보다는 인터페이스에 따라서 구분이 돼면서 생기는 문제점이 등장한다. (유연성, 망유지 비용의 문제등)


이러한 문제점을 해결하기 위해서 VLAN 기술이 등장!!!

라우터가 인터페이스에 의해서 브로드캐스트 도메인이 갈린다면, VLAN은 설정을 통해서 브로드캐스트 도메인을 나누게 만들어준 기술이다. 또한 이 기술을 스위치에 적용하면서 포트당 단가를 낮추었다.

(1VLAN = 1Subnet 으로 이루어진다는 가정을 해야한다.)


VLAN의 중계자 역할을 해주는 것이 Default Gateway 라는 녀석이다. (so-called inter-VLAN routing)

Default Gateway : 서로 다른 중계자간에 통신이 불가능하기 때문에 만들어진 녀석

실습) VLAN 설정#
VLAN

1~1005번까지 사용이 가능한 영역.

1, 1002~1005

default VLAN. 스위치가 가지는 모든 포트가 속한 포트가 속한 VLAN

여기서 말하는 모든 포트라는 것은 스위치 자신을 의미하는 0번 포트를 포함한다.

우리가 실습중에 했던 vlan1에 ip를 할당했던 행위는 스위치 자신에 접속하기위해서 할당한 포트라는 사실을 알아두자!

SwitchD>sh vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4  < fastethernet 장비들
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/13, Fa0/14
                                                Fa0/15, Fa0/16, Fa0/17, Fa0/18
                                                Fa0/19, Fa0/20, Fa0/21, Fa0/22
                                                Fa0/23, Fa0/24
222  VLAN0222                         active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0
222  enet  100222     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        0      0
1003 tr    101003     1500  -      -      -        -    srb      0      0
1004 fdnet 101004     1500  -      -      -        ieee -        0      0
1005 trnet 101005     1500  -      -      -        ibm  -        0      0

Remote SPAN VLANs
------------------------------------------------------------------------------


Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

SwitchD>sh mac-address-table
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 All    0016.9d05.58c0    STATIC      CPU
 All    0100.0ccc.cccc    STATIC      CPU
 All    0100.0ccc.cccd    STATIC      CPU
 All    0100.0cdd.dddd    STATIC      CPU
   1    0016.c754.0e84    DYNAMIC     Fa0/12
   1    0050.548d.4dc0    DYNAMIC     Fa0/12
   1    00b0.64d6.a1a0    DYNAMIC     Fa0/12
   1    00b0.64d6.a1c0    DYNAMIC     Fa0/2
 222    0016.c754.0e84    DYNAMIC     Fa0/12
Total Mac Addresses for this criterion: 9
SwitchD>

switchport : 2계층 포트를 의미한다.

1) access mode : 한개의 vlan에만 소속가능한 포트. 스위치와 호스트간의 연결에 사용되는 포트.

2) trunk mode : 모든 vlan에 소속가능한 포트. 스위치와 스위치간 연결에 사용되는 포트

3) dynamic mode : 연결 대상에 따라서 access, trunk mode 전환이 이루어지는 포트 (현재 디폴트 포트)

 

Trunking#
 서로 스위치상에 연결된 망이라고 하더라도 설정에 따라서 동일한 vlan으로 묶이는게 가능해야한다.

VLAN10 (SwitchA)

VLAN10 (SwitchB)

 

※ transparent switch

전달되는 패킷이 스위치를 통과하기 전과 통과한 후의 모양이 변경되지 않아서 망의 두 끝에서는 중간에 스위치의 존재를 파악할 수 없게하는 것!

 

  기본적으로 VLAN을 활성화하면 스위치는 프레임의 출력 포트를 단순히 mac 테이블 정보만을 가지고 스위칭을 하는 것이 아니라, 프레임 발생 vlan과 동일한 vlan을 가진 포트인지를 확인한 뒤 포트로 프레임을 흘려보낸다.

 문제는 서로 다른 스위치 간의 데이터 전송시에 발생한다. A스위치에서 B스위치로 데이터를 전송하는 경우에는 해당 프레임이 원래 어느 vlan에서 온 것인지를 B스위치에서 자체적으로 판단하기 어렵기 때문에 스위치 간의 데이터 전송시에 프레임에 발생 vlan정보를 붙여서 보내는 작업을 말한다.

 

 ※ 조금더 정확하게 표현하자면 원래 스위치로 들어오는 모든 프레임에는 vlan정보를 스위치에서 자체적으로 붙여서 작업을 하지만, 프레임이 특정한 포트를 통해서 밖으로 나가는 경우 vlan정보를 삭제하고 흘려보내느냐 아니면 그냥 놔둔채로 흘려보내느냐의 차이일 뿐임.

※ 참고

SwitchD#sh mac-address-table
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 All    0016.9d05.58c0    STATIC      CPU
 All    0100.0ccc.cccc    STATIC      CPU
 All    0100.0ccc.cccd    STATIC      CPU
 All    0100.0cdd.dddd    STATIC      CPU
   1    0002.4b51.7060    DYNAMIC     Fa0/12
   1    0004.2796.9160    DYNAMIC     Fa0/12
   1    0004.9acd.a640    DYNAMIC     Fa0/12
   1    000c.2911.e682    DYNAMIC     Fa0/12
   1    000d.29d2.a300    DYNAMIC     Fa0/12
   1    0016.47ed.d4cb    DYNAMIC     Fa0/12
   1    0016.47ed.d4cc    DYNAMIC     Fa0/12
   1    0016.47ed.de0c    DYNAMIC     Fa0/12
   1    0016.9d05.598c    DYNAMIC     Fa0/12
   1    0016.c754.0e84    DYNAMIC     Fa0/12
   1    0050.548d.4dc0    DYNAMIC     Fa0/12
   1    00b0.64d6.a1a0    DYNAMIC     Fa0/12
   1    00b0.64d6.a1c0    DYNAMIC     Fa0/2
 222    0016.c754.0e84    DYNAMIC     Fa0/12
 222    0030.192a.bd00    DYNAMIC     Fa0/12
 111    0002.4b51.7160    DYNAMIC     Fa0/12
 111    0016.c754.0e84    DYNAMIC     Fa0/12
   7    0016.c754.0e84    DYNAMIC     Fa0/12
Total Mac Addresses for this criterion: 22
SwitchD#

 

IEEE802.1q#
VLAN을 위해서 12비트를 미리할당했고, 기존의 vlan 1005이상의 extended vlan 까지도 표현가능

ISL#
헤더에 vlan, bpdu를 함께 전송해서 PVST(Per Vlan Spanning Tree)라는 기술을 구현한다.

vlan 별로 별도의 STP를 구현하게 만들어준다.

 

IEEE802.1D가 지원하는 STP는 CST(comon spanning tree)방식.

CST 단점은 vlan 별로 best path를 지원하지 못한다는 단점이 존재. (백업 링크는 백업으로만 동작하게 됀다)

PVST를 이런 상황에서 사용하게 돼면, vlanA에서는 백업링크이지만 vlanB에서는 designated 링크로 동작해서 best path로 동작하게 만들 수 있다.

(링크의 utilization 을 높일 수 있는 기술임)

※ 원래는 ISL을 이용해야지만 PVST를 사용가능했지만, cisco에서는 PVST+ (802.1q)를 개발했다. 이를 ieee에서 표준화해서 MST ieee802.1s 를 제정함.

실습) 장비 정보를 얻어 봅시다.#
RouterD#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-J1S3-M), Version 12.3(22), RELEASE SOFTWARE (fc2)

Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by cisco Systems, Inc.
Compiled Wed 24-Jan-07 16:48 by ccai
Image text-base: 0x80008098, data-base: 0x81A41064

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
ROM: C2600 Software (C2600-J1S3-M), Version 12.3(22), RELEASE SOFTWARE (fc2)

RouterD uptime is 22 hours, 16 minutes
System returned to ROM by power-on
System image file is "flash:c2600-j1s3-mz.123-22.bin"

cisco 2610 (MPC860) processor (revision 0x202) with 61440K/4096K bytes of memory
.
Processor board ID JAD04010OXH (297081548)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
TN3270 Emulation software.
Basic Rate ISDN software, Version 1.1.
1 Ethernet/IEEE 802.3 interface(s)
2 Low-speed serial(sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)

Configuration register is 0x2142

RouterD#

SwitchD>sh int capa
FastEthernet0/1
  Model:                 WS-C2950-24
  Type:                  10/100BaseTX
  Speed:                 10,100,auto
  Duplex:                half,full,auto
  UDLD:                  yes
  Trunk encap. type:     802.1Q > 2950장비는 .1q 방식만 제공. 트렁크 전환시 trunk type 지정 불필요.
  Trunk mode:            on,off,desirable,nonegotiate
  Channel:               yes
  Broadcast suppression: percentage(0-100)
  Flowcontrol:           rx-(none),tx-(none)
  Fast Start:            yes
  CoS rewrite:           yes
  ToS rewrite:           yes
  Inline power:          no
  SPAN:                  source/destination
  PortSecure:            Yes
  Dot1x:                 Yes

...

EtherChannel#
 Access Layer Switch, Distribution Layer Switch (Backbone Switch)를 구성함에 있어서 망의 안정성을 높이기 위해서 Backbone Switch를 이중화하는데 여기서 looping을 막기위해서 STP를 이용한다.

 이때 UPlink (access>backbone, 1G or 10G를 보통 사용하며 GBig이라는 고가의 모듈이 필요함.) 구성에서 access switch가 Gbit 속도를 지원하기 힘든 경우에 다수개의 링크를 한개로 묶어서 이와 비슷한 효과를 얻을 수 있도록 만드는 기술이다.

즉, Fast Ethernet 이상의 이더넷 포트 2~8개를 한번에 묶어서 전송에 이용하는 기술임. (fast ethernet 이라는 기술이 표방하는 100Mbps의 속도는 half duplex의 속도로 표현된 것이기 때문에 full-duplex로 해당 링크를 동작시키면 최대 1.6G의 속도로 통신이 가능하게 만든다.)

 ※ 실제로 구성할때 잘못 구성하게 돼면 broadcast storming이 발생해서 스위칭 장비 설정이 불가능한 경우가 생긴다. 이런 상황을 피하기 위해서 반드시 장비의 설정시에 etherchannel 을 구성하는 인터페이스를 shutdown 시키고 모든 설정을 마치고 no shut 상태로 전화하는 방식으로 작업해야함.

SwitchD>sh etherchannel 1 summary
Flags:  D - down        P - in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        u - unsuitable for bundling
        U - in use      f - failed to allocate aggregator
        d - default port

Number of channel-groups in use: 0
Number of aggregators:           0

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------


SwitchD>

 

실습) VLAN 구성해보기#
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#int e0/0
Router(config-if)#ip addr 10.5.5.12 255.255.255.0
Router(config-if)#no shu
Router(config-if)#exit

*Mar  1 00:02:49.545: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up

*Mar  1 00:02:50.547: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/
0, changed state to upip route 0.0.0.0

Router#ping 10.5.5.3
*Mar  1 00:03:18.260: %SYS-5-CONFIG_I: Configured from console by consoleng 10.5
.5.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.5.5.3, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
Router#ping 10.1.1.40

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.40, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Router#copy run start
Router#copy run startup-config

 

스위치 네트워크 적용 예#
 

 

라우팅 프로토콜#
라우팅 프로토콜 개요#
Routing : best path 계산

Switching : 라이팅 테이블을 근거로 데이터 전송

 

Static : 과니리자에 의해서 수동으로 경로 설정

Dynamic : 라우터에 구동되는 프로토콜을 통해서 자동으로 목적지 경로 습득

IGP : 기업내에서 사용되는 내부 라우팅 프로토콜 (Interior Gateway Protocol)

RIP, OSPF, EIGRP

EGP : 기업간 ISP 연결을 위한 외부 라우팅 프로토콜 (Exterior Gateway Protocol)

BGP

※ Autonomous System # (AS)

전세계를 연결하는 인터넷을 굉장히 큰 영역으로 나누어서 구획짓는 용도의 번호.

IGP, EGP를 구분하는 것은 AS내부에서 라우팅하느냐 아니면 외부에서 라우팅하느냐로 구분한다.

ex) KT 망 같이 국가단위로 구분될 수 있다.

 

라우팅 테이블에 기록되는 정보의 구분

인터페이스 정보의 경우는 라우터가 자체적으로 얻을 수 있는 정보

학습에 의해서 알게된 정보 (by static or dynamic)


Default Route (a kind of Static)

기존에 존재하는 네트 상에 새로운 네트워크를 붙이는 경우 기존의 존재하는 모든 정보를 라우터에 입력할 수 없기 때문에 무조건 라우팅 하도록 설정을 통해서 만드는 것은 가능하다.

 

Default Route - ip route 0.0.0.0 0.0.0.0 172.16.2.2

Network S0(172.16.2.2)  ------- (172.16.2.1) Stub Network  : 내부에 172.16.1.0 네트워크 존재

ip route 172.16.1.0 255.255.255.0 172.16.2.1 < gateway 설정

(대상 라우터의 ip를 적거나 S0처럼 자신의 인터페이스 id를 적는다)

 

상기처럼 인터페이스 ID를 직접 기입해서 설정이 가능한 것은 오로지 대상 네트상의 대상이 한개인 경우에만 유효 (point-to-point) multiple access의 경우는 설정이 다르당~

※ 권장사항은 인터페이스 이름과 ip를 함께 적는 것이 좋다. (차후 문제가 발생해~)

ip route 172.16.1.0 255.255.255.0 S0 172.16.2.1

Router#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set > 디폴트 게이트 웨이 설정이 나타나는 부분임.

     10.0.0.0/24 is subnetted, 1 subnets
C       10.5.5.0 is directly connected, Ethernet0/0


Administrative Distance

서로다른 2개의 라우팅 프로토콜이 BP를 결정하도록 만드는 경우 각각의 프로토콜마다 다른 BP를 뱉어나는 경우에 사용하기 위해서 도입된 계념. 라우팅 프로토콜이 얼마나 신뢰가능한 값인가를 나타내며, 두개의 BP가 경합할 경우에 판단의 근거가 된다.