글
신입사원 직무역량 강화 08년10월28일 - ICND
서비스 운영
2008/10/29 18:59
더보기
08년10월28일-ICND
목차
--------------------------------------------------------------------------------
교육담당자
여러가지 WAN 기술 (continued)
FrameRelay
xDSL
Metro Ethernet
케이블
Straight-Through
Crossover
네트워크 보안 주요 구현 솔루션
Firewall (inactive prevention)
IDS, IPS (active prevention)
Web Firewall
ESM
스위칭 네트워크 구현 기술
L2 스위치 기술과 STP/RSTP
L2 스위치 기술
실습) IOS 맥 어드레스 보기
Spanning Tree Protocol (IEEE802.1d)
Broadcast Storm 문제
Multiple Frame Copy
MAC Database Instability
STP동작과정
실습) 스패닝 트리 내역 보기
RSTP (Rapid Spanning Tree Protocol, IEEE802.1W)
VLAN
실습) VLAN 설정
Trunking
IEEE802.1q
ISL
실습) 장비 정보를 얻어 봅시다.
EtherChannel
실습) VLAN 구성해보기
스위치 네트워크 적용 예
라우팅 프로토콜
라우팅 프로토콜 개요
RIP
EIGRP
OSPF
교육담당자#
조용하 차장
010-6549-0662
yhjo@training-partners.com
여러가지 WAN 기술 (continued)#
FrameRelay#
WAN을 이루는 미디어 기술인 전용선의 경우 1:1 통신(point-to-point)이라는 특징상 회선의 내용을 중간에 감청하기 힘들기 때문에 보안상으로는 굉장히 우수하지만, 미디어의 이용율은 그다지 좋지 않다. 이에 ISP에서는 이러한 문제점을 개선하고자 Frame Relay(datalink layer 기술) 라는 기술을 도입함.
원래의 전용선이라는 WAN의 개념에서는 다수의 site에 연결하기 위해서는 라우터상의 다수개의 interface를 이용해야했지만, frame relay 기술을 이용하는 경우에는 한개의 interface 를 이용해서 다수의 site에 네트워크를 연결하는 것이 가능해진다.
Multiple Acess
1) Broadcast Multiple Access : 한개의 노드에서 전달하는 데이터는 네트워크 상의 모든 노드가 들을 수 있다.
예) 이더넷
2) Non-Broadcast Multiple Access
예) 전화망, FrameRelay
Frame Relay
DLCI(DataLink Connection Identifier)
FR방식의 주소체계를 이렇게 부른다.
특징은 다른 주소체계와는 다르게 SRC, DST의 구분이 없다는 특징이 있다. 단지 이 주소가 존재하는 이유는 데이터가 전달돼는 링크의 구분을 위해서 존재할 뿐이다. (물리적인 링크는 한개이지만, 목적지가 다수개인 Virtual Circuit 의 형태로 구성되기 때문에 어떤 링크를 통해서 전달되는지의 구분이 필요하다.)
Inverse ARP
이더넷 환경의 ARP가 (IP, MAC) 정보를 얻어오는 프로토콜이라면, (RemoteIP, Local DLCI) 정보를 얻어오는 프로토콜이다.
xDSL#
ADSL, VDSL : asymmetric 서비스를 제공. (상하향의 속도가 다름) 개인용 목적 사용
HDSL, SDSL : symmetric 서비스를 제공. (상하향의 속도가 같다) 전용선의 대체용
※ 비용이 굉장히 저렴하기 때문에 회사의 내부망에서 지사를 연결하는 목적의 망으로 많이 이용한다. 문제는 ADSL을 이용한다는 것은 분명히 인터넷으로의 연결을 기본 전제로 하는 서비스이기 때문에 회사의 내부 데이터가 외부로 유출될 가능성이 존재한다.
VPN (Virtual Private Network)
물리적으로는 인터넷과 연결되어 있지만 회선의 암호화 복호화 장치를 망의 송수신부에 두어서 마치 전용망을 이용하는 것과 같은 효과를 얻을 수 있다.
Metro Ethernet#
진짜 재난 상황의 발생시에도 데이터의 유실을 막기위해서 고안된 방식이다. (Disaster Recovery)
로컬사이트와 원격사이트의 싱크가 이루어 지게 만들기 위한 것이다.
이 기술의 특징은 기존의 로컬 영역에서 이루어진 이더넷 기술을 원거리의 사이트까지 직접적으로 연결하는 서비스라고 생각하면 편할듯
케이블#
Straight-Through#
양쪽 RJ-45 잭의 핀 배열이 같은 케이블
EIA568A-type
(L) sg G sr B sb R sbr BR (R) : sr B, sb R로 송수신의 쌍을 맞추어서 만들어진 케이블
왜 이 케이블이 사용돼는가?
PC(NIC), Switch 의 잭의 Tx, Rx를 상호간 맞추기 위해서 사용한다.
PC 1,2번 TX 3,6번RX
SW 1,2번 RX 3,6번TX
Crossover#
양쪽 RJ-45 잭의 핀 배열이 다른 케이블
네트워크 보안 주요 구현 솔루션#
Firewall (inactive prevention)#
외부에서 내부로 들어오는 traffic 중에서 허용되지 않은 것을 모두 차단하는 역할을 한다.
(rule이 지정되지 않은 traffic에 대해서는 차단하는 역할을 하지 않는다.)
IP주소와 포트정보를 이용해서 차단
IDS, IPS (active prevention)#
들어오는 트래픽의 패턴을 파악해서 내부망을 보호한다.
데이터 부분의 연속적인 스트림 패턴을 검색해서 차단 (암호화된 데이터는 패턴의 파악이 쉽지 않다)
일반적으로 방화벽의 앞단에서 외부 트래픽을 감지하는 역할을 IPS, 방확벽의 뒷단에서 외부 트래픽을 감지하는 역할을 IDS가 한다.
최근의 네트워크의 문제는 내부 망 사용자에 의해서 이루어진 경우가 많다. (IDS를 통해서 허가되지 않는 내부망 사용자의 네트워크 사용을 막을 수 있다.)
IPS차단의 예시
동일 발신지 IP에서 많은 세션이 발생
> 세션별로 지정된 Threshold 이상의 신규 세션을 차단
Worm또는 트정 유해 트래픽의 특징인 패턴 string 검사
> 차단!!!
Web Firewall#
방화벽에서 허용한 서비스를 공격할 목적을 가진 패킷의 경우에는 기존의 방화벽으로는 차단이 힘들기 때문에 이를 차단하기 위해서 사용하는 기술
ESM#
다양한 침입 탐지 시스템이 등장하면서 각각의 디바이스가 다수개의 벤더의 제품인 경우가 많다. 다수개의 벤더의 제품이 많아지다보니 이를 관리하기 힘들어지기 때문에 나오게됀 관리 시스템을 말함.
스위칭 네트워크 구현 기술#
CSMA/CD 는 backoff 알고리즘을 근저에 깔고서 동작한다.
1) 전송중지
2) 재전송 (각각의 노드에서 재전송 타이밍을 조절하게 만들어주는 알고리즘)
※ backoff 알고리즘의 문제점은 네트워크 상의 노드가 많아 질 경우 상호간 재전송 타이밍이 맞지 않을 경우가 분명히 생긴다. 이에 backoff 알고리즘에서는 재전송을 최대 16번까지 허용하는데 이때까지 재전송이 이루어질 경우 네트웍에 문제가 있다고 판단하게 된다.
L2 스위치 기술과 STP/RSTP#
L2 스위치 기술#
address learning
스위칭에 이용돼는 MAC interface mapping table 구성하는 과정을 의미한다. (보통 메모리상에 구성)
i) 데이터가 들어오는 포트의 정보와 해당 데이터의 src정보를 이용해서 mapping 테이블 구성
※ multicast, broadcast 주소를 테이블 상에 유지할 수가 없다. (src 만을 가지고 구성하기 때문)
forward/filter decision
iii) 만약 dest 정보가 테이블 상에 존재할 경우 해당 포트로만 데이터를 전송한다. (forward)
해당하지 않는 포트로는 데이터를 전송하지 않는다.
iv) 만약 src, dest의 포트가 같은 경우에는 패킷을 차단한다. (동일한 네트워크 상에 존재할 것이라는 판단
flooding
ii) dest 정보가 테이블 상에 없는 경우 flooding
실습) IOS 맥 어드레스 보기#
SwitchD>sh mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0016.9d05.58c0 STATIC CPU > 관리자가 직접 정한 경우 static 구성, 스위치로~~
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0100.0cdd.dddd STATIC CPU
1 0016.c754.0e80 DYNAMIC Fa0/12
1 0016.c754.0e84 DYNAMIC Fa0/12
1 0016.c770.2880 DYNAMIC Fa0/12
1 0050.548d.4dc0 DYNAMIC Fa0/12
1 00b0.64d6.a1c0 DYNAMIC Fa0/2
Total Mac Addresses for this criterion: 9
SwitchD>
※ 실습을 하면서 텔넷에 접속하게 하기위해서는 반드시 텔넷 라인을 열어야하며, 패스워드는 묻지 않아도 패스워드는 입력해놓아야지만 텔넷이 열린다는 사실에 유의하자.
Spanning Tree Protocol (IEEE802.1d)#
SPOF (Single Point of Failure)를 방지하기 위해 물리적으로 여분의 경로(Redundancy Path)를 필요로 한다.
이런경우 Broadcast Storm, Multiple Frame Copy, unstable MAC addr table 의 문제가 발생한다.
이런 경우를 방지하기 위해서 loop 방지용 프로토콜인 STP가 등장한다.
Broadcast Storm 문제#
IP기본 통신의 기본 전제는 브로드캐스트를 이용한 주소 resolve 과정이다. 문제는 Redundancy Path 구성을 망 차원에서 한 경우 루프(loop)가 발생하면서 브로드 캐스팅이 어떤 한 곳에서 멈추지 않고 지속적으로 이루어질 수 있다. 이런 경우 스위치의 모든 리소스가 불필요한 브로드캐스트 패킷을 처리하면서 잠식당해서 네트워크가 죽는 경우가 발생한다.
Multiple Frame Copy#
Unicast 를 한경우라고 하더라도 데이터가 서로다른 두개의 망을 통해서 대상 호스트로 올라간 경우. 두개의 데이터중에서 어떤 것을 선택할 것인지가 문제가 된다.
MAC Database Instability#
망이 loop를 이루면서 특정한 서버에서 송신한 패킷에 의해서 테이블상에서 호스트 위치하는 인터페이스의 위치가 여기저기에서 나타날 수 있다.
STP동작과정#
1) 한개의 Root Bridge 선정 (per NET)
2) 한개의 Root Port 선정 (per Non-Root-
3) 한개의 Designated Port 선정 (per Segment)
nondesignated port 는 blocked (LOOP발생을 막는다)
rootport, designated port를 선정하는 과정에서는 IEEE에 의해서 제정된 링크의 특성과 속도에 따른 고정화된 cost 를 가지고 낮은 cost를 가진 segment가 선택된다.
문제는 이런 동작을 하기위해서는 브리지 상호간의 정보를 공유해야지 동작할 수 있다. (BPDU 이용)
root port : 루트 브리지로 가는 포트
designated port : nonroot 브리지로 갈 수 있는 모든 포트
nondesignated port : root port 로 선정되지 못한 포트
BPDU (Bridge Protocol Data Unit)
2초 간격으로 BPDU를 Designated Port로 전송한다.
configuration BPDU
root 브리지만 생성 가능함. non root bridge 는 수정 전달만 가능함
최초 BPDU 발생시에는 모든 브리지가 자신을 root라고 가정한 상태에서 BPDU 발생
root bridge 선정은 설정된 bridge id, mac addr 를 이용해서 낮은 값을 갖는 경우 root가 된다.
※ MAC어드레스를 이용해서 우선순위가 결정된 경우 차후에 문제가 발생하는 가능성이 존재하기 때문에 관리자는 bridge id 를 변경해서 루트 브리지를 명시적으로 선정하는 것이 좋다.
STP는 단순히 loop를 막는 것만이 목적은 아니다. 원래 이런 문제가 발생한 근본적인 문제는 장애시 대처가 가능한 redundancy 구성이라고 할 수 있다. 만약 장애시에 비장애 링크를 이용할 수 없다면 이 거야 말로 문제가 아닌가??? @.@
BPDU는 non-degsignated port 를 통해서는 수신만 가능하고 송신이 불가능 하다는 것을 기본으로 해서 동작한다. 문제는 네트상의 브리자와 간적적으로 연결된 특정한 링크에서 문제가 발생하는 경우 non-designated port 로 들어오던 BPDU를 특정한 임계시간(max aging)동안 받지 못하는 경우, blocking port 는 listenning 상태로 변경되고 연결된 상호 브리지간 root bridge 를 다시 결정하고 링크를 형성하는 과정을 거치게 된다. (보통 15초가 걸리며 이 시간을 forward delay time 이라고 부른다.) 그뒤 해당 포트는 learning 단계로 변경되며, src MAC 주소를 이용해서 mapping table을 구성하게 된다. 테이블 구성 단계가 끝나면 해당 포트를 통해서 들어오는 패킷에 대한 forward 가 실시된다. 이러한 과정이 걸리는 전체 시간을 컨버젼스 타임이라고 부른다.
※ 만약 브리지와 연결된 링크가 에러가 난 경우라면 max aging을 굳이 기다려야할 이유가 없다.
실습) 스패닝 트리 내역 보기#
SwitchD>sh spanning-tree
VLAN0001
Spanning tree enabled protocol ieee > STP 상태이며, RSTP 미동작
Root ID Priority 32769
Address 000c.30e9.f640
Cost 38
Port 12 (FastEthernet0/12)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 0016.9d05.58c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/2 Desg FWD 100 128.2 Shr
Fa0/11 Altn BLK 19 128.11 P2p
Fa0/12 Root FWD 19 128.12 P2p
SwitchD>
RSTP (Rapid Spanning Tree Protocol, IEEE802.1W)#
쥬니퍼사의 스위칭 장비는 RSTP가 기본값으로 설정되어서 동작한다.
컨버전스 타임이 1초이내라는 것이 특징. 루트 브리지, 포트를 결정하는 기준은 기본적으로 같지만, 포트와 상태 관련 정보에 대한 내용이 다름.
blocking port 가 alternative port(장애시 root가 될 놈), backup port(장애시 designated port 될 놈) 로 구분
최초 포트의 결정에서 blocking port 인 경우라면 장애 발생시 해당 포트가 root 포트가 될지 designated port 가 될지를 미리 결정한 상태에서 동작한다. (미리 정해 놓기 때문에 전환이 빠른 것!!!)
※ 포트의 상태
기본적으로 RSTP는 STP에 비해서 포트의 상태를 3가지로 단순화시켜서 동작시키기 때문에 좀더 빠른 전환이 가능해진다.
Discarding State : 들어온 프레임을 모두 드랍시키는 상태
DISABLED : 관리자에 의한 shutdown 상태
BLOCKING :
LISTENNING :
Learning : 소스 주소 체크
LEARNING
Forwarding : 소스 주소 체크 & 목적지 주소 체크
Forwarding
VLAN#
broadcasting domain : 브로드캐스트 데이터가 전달되는 영역을 의미
※ 브로드캐스트의 문제
브로드캐스트를 필요로 하지 않더라도 시스템은 브로드캐스트를 처리하기 위해서 CPU time 할당이 필요하다. 만약 동일한 네트워크상의 브로드캐스팅을 하는 시스템이 많아질수록 해당 네트웍상의 호스트의 성능의 저하가 일어나고, 이로 인해 전체 네트워크의 성능이 나뻐지는 문제점이 존재한다.
라우터를 이용해서 보통 이런 브로드캐스트 도메인을 나누게 돼는데, 라우터는 인터페이스 단위를 브로드캐스트 도메인으로 구분하게 됀다. 이런경우 브로드캐스트 도메인이 망의 사용 목적에 따라서 구분짓기 보다는 인터페이스에 따라서 구분이 돼면서 생기는 문제점이 등장한다. (유연성, 망유지 비용의 문제등)
이러한 문제점을 해결하기 위해서 VLAN 기술이 등장!!!
라우터가 인터페이스에 의해서 브로드캐스트 도메인이 갈린다면, VLAN은 설정을 통해서 브로드캐스트 도메인을 나누게 만들어준 기술이다. 또한 이 기술을 스위치에 적용하면서 포트당 단가를 낮추었다.
(1VLAN = 1Subnet 으로 이루어진다는 가정을 해야한다.)
VLAN의 중계자 역할을 해주는 것이 Default Gateway 라는 녀석이다. (so-called inter-VLAN routing)
Default Gateway : 서로 다른 중계자간에 통신이 불가능하기 때문에 만들어진 녀석
실습) VLAN 설정#
VLAN
1~1005번까지 사용이 가능한 영역.
1, 1002~1005
default VLAN. 스위치가 가지는 모든 포트가 속한 포트가 속한 VLAN
여기서 말하는 모든 포트라는 것은 스위치 자신을 의미하는 0번 포트를 포함한다.
우리가 실습중에 했던 vlan1에 ip를 할당했던 행위는 스위치 자신에 접속하기위해서 할당한 포트라는 사실을 알아두자!
SwitchD>sh vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 < fastethernet 장비들
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24
222 VLAN0222 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
222 enet 100222 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - srb 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
SwitchD>sh mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0016.9d05.58c0 STATIC CPU
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0100.0cdd.dddd STATIC CPU
1 0016.c754.0e84 DYNAMIC Fa0/12
1 0050.548d.4dc0 DYNAMIC Fa0/12
1 00b0.64d6.a1a0 DYNAMIC Fa0/12
1 00b0.64d6.a1c0 DYNAMIC Fa0/2
222 0016.c754.0e84 DYNAMIC Fa0/12
Total Mac Addresses for this criterion: 9
SwitchD>
switchport : 2계층 포트를 의미한다.
1) access mode : 한개의 vlan에만 소속가능한 포트. 스위치와 호스트간의 연결에 사용되는 포트.
2) trunk mode : 모든 vlan에 소속가능한 포트. 스위치와 스위치간 연결에 사용되는 포트
3) dynamic mode : 연결 대상에 따라서 access, trunk mode 전환이 이루어지는 포트 (현재 디폴트 포트)
Trunking#
서로 스위치상에 연결된 망이라고 하더라도 설정에 따라서 동일한 vlan으로 묶이는게 가능해야한다.
VLAN10 (SwitchA)
VLAN10 (SwitchB)
※ transparent switch
전달되는 패킷이 스위치를 통과하기 전과 통과한 후의 모양이 변경되지 않아서 망의 두 끝에서는 중간에 스위치의 존재를 파악할 수 없게하는 것!
기본적으로 VLAN을 활성화하면 스위치는 프레임의 출력 포트를 단순히 mac 테이블 정보만을 가지고 스위칭을 하는 것이 아니라, 프레임 발생 vlan과 동일한 vlan을 가진 포트인지를 확인한 뒤 포트로 프레임을 흘려보낸다.
문제는 서로 다른 스위치 간의 데이터 전송시에 발생한다. A스위치에서 B스위치로 데이터를 전송하는 경우에는 해당 프레임이 원래 어느 vlan에서 온 것인지를 B스위치에서 자체적으로 판단하기 어렵기 때문에 스위치 간의 데이터 전송시에 프레임에 발생 vlan정보를 붙여서 보내는 작업을 말한다.
※ 조금더 정확하게 표현하자면 원래 스위치로 들어오는 모든 프레임에는 vlan정보를 스위치에서 자체적으로 붙여서 작업을 하지만, 프레임이 특정한 포트를 통해서 밖으로 나가는 경우 vlan정보를 삭제하고 흘려보내느냐 아니면 그냥 놔둔채로 흘려보내느냐의 차이일 뿐임.
※ 참고
SwitchD#sh mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0016.9d05.58c0 STATIC CPU
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0100.0cdd.dddd STATIC CPU
1 0002.4b51.7060 DYNAMIC Fa0/12
1 0004.2796.9160 DYNAMIC Fa0/12
1 0004.9acd.a640 DYNAMIC Fa0/12
1 000c.2911.e682 DYNAMIC Fa0/12
1 000d.29d2.a300 DYNAMIC Fa0/12
1 0016.47ed.d4cb DYNAMIC Fa0/12
1 0016.47ed.d4cc DYNAMIC Fa0/12
1 0016.47ed.de0c DYNAMIC Fa0/12
1 0016.9d05.598c DYNAMIC Fa0/12
1 0016.c754.0e84 DYNAMIC Fa0/12
1 0050.548d.4dc0 DYNAMIC Fa0/12
1 00b0.64d6.a1a0 DYNAMIC Fa0/12
1 00b0.64d6.a1c0 DYNAMIC Fa0/2
222 0016.c754.0e84 DYNAMIC Fa0/12
222 0030.192a.bd00 DYNAMIC Fa0/12
111 0002.4b51.7160 DYNAMIC Fa0/12
111 0016.c754.0e84 DYNAMIC Fa0/12
7 0016.c754.0e84 DYNAMIC Fa0/12
Total Mac Addresses for this criterion: 22
SwitchD#
IEEE802.1q#
VLAN을 위해서 12비트를 미리할당했고, 기존의 vlan 1005이상의 extended vlan 까지도 표현가능
ISL#
헤더에 vlan, bpdu를 함께 전송해서 PVST(Per Vlan Spanning Tree)라는 기술을 구현한다.
vlan 별로 별도의 STP를 구현하게 만들어준다.
IEEE802.1D가 지원하는 STP는 CST(comon spanning tree)방식.
CST 단점은 vlan 별로 best path를 지원하지 못한다는 단점이 존재. (백업 링크는 백업으로만 동작하게 됀다)
PVST를 이런 상황에서 사용하게 돼면, vlanA에서는 백업링크이지만 vlanB에서는 designated 링크로 동작해서 best path로 동작하게 만들 수 있다.
(링크의 utilization 을 높일 수 있는 기술임)
※ 원래는 ISL을 이용해야지만 PVST를 사용가능했지만, cisco에서는 PVST+ (802.1q)를 개발했다. 이를 ieee에서 표준화해서 MST ieee802.1s 를 제정함.
실습) 장비 정보를 얻어 봅시다.#
RouterD#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-J1S3-M), Version 12.3(22), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by cisco Systems, Inc.
Compiled Wed 24-Jan-07 16:48 by ccai
Image text-base: 0x80008098, data-base: 0x81A41064
ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
ROM: C2600 Software (C2600-J1S3-M), Version 12.3(22), RELEASE SOFTWARE (fc2)
RouterD uptime is 22 hours, 16 minutes
System returned to ROM by power-on
System image file is "flash:c2600-j1s3-mz.123-22.bin"
cisco 2610 (MPC860) processor (revision 0x202) with 61440K/4096K bytes of memory
.
Processor board ID JAD04010OXH (297081548)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
TN3270 Emulation software.
Basic Rate ISDN software, Version 1.1.
1 Ethernet/IEEE 802.3 interface(s)
2 Low-speed serial(sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)
Configuration register is 0x2142
RouterD#
SwitchD>sh int capa
FastEthernet0/1
Model: WS-C2950-24
Type: 10/100BaseTX
Speed: 10,100,auto
Duplex: half,full,auto
UDLD: yes
Trunk encap. type: 802.1Q > 2950장비는 .1q 방식만 제공. 트렁크 전환시 trunk type 지정 불필요.
Trunk mode: on,off,desirable,nonegotiate
Channel: yes
Broadcast suppression: percentage(0-100)
Flowcontrol: rx-(none),tx-(none)
Fast Start: yes
CoS rewrite: yes
ToS rewrite: yes
Inline power: no
SPAN: source/destination
PortSecure: Yes
Dot1x: Yes
...
EtherChannel#
Access Layer Switch, Distribution Layer Switch (Backbone Switch)를 구성함에 있어서 망의 안정성을 높이기 위해서 Backbone Switch를 이중화하는데 여기서 looping을 막기위해서 STP를 이용한다.
이때 UPlink (access>backbone, 1G or 10G를 보통 사용하며 GBig이라는 고가의 모듈이 필요함.) 구성에서 access switch가 Gbit 속도를 지원하기 힘든 경우에 다수개의 링크를 한개로 묶어서 이와 비슷한 효과를 얻을 수 있도록 만드는 기술이다.
즉, Fast Ethernet 이상의 이더넷 포트 2~8개를 한번에 묶어서 전송에 이용하는 기술임. (fast ethernet 이라는 기술이 표방하는 100Mbps의 속도는 half duplex의 속도로 표현된 것이기 때문에 full-duplex로 해당 링크를 동작시키면 최대 1.6G의 속도로 통신이 가능하게 만든다.)
※ 실제로 구성할때 잘못 구성하게 돼면 broadcast storming이 발생해서 스위칭 장비 설정이 불가능한 경우가 생긴다. 이런 상황을 피하기 위해서 반드시 장비의 설정시에 etherchannel 을 구성하는 인터페이스를 shutdown 시키고 모든 설정을 마치고 no shut 상태로 전화하는 방식으로 작업해야함.
SwitchD>sh etherchannel 1 summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
u - unsuitable for bundling
U - in use f - failed to allocate aggregator
d - default port
Number of channel-groups in use: 0
Number of aggregators: 0
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
SwitchD>
실습) VLAN 구성해보기#
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int e0/0
Router(config-if)#ip addr 10.5.5.12 255.255.255.0
Router(config-if)#no shu
Router(config-if)#exit
*Mar 1 00:02:49.545: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
*Mar 1 00:02:50.547: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/
0, changed state to upip route 0.0.0.0
Router#ping 10.5.5.3
*Mar 1 00:03:18.260: %SYS-5-CONFIG_I: Configured from console by consoleng 10.5
.5.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.5.5.3, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
Router#ping 10.1.1.40
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.40, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Router#copy run start
Router#copy run startup-config
스위치 네트워크 적용 예#
라우팅 프로토콜#
라우팅 프로토콜 개요#
Routing : best path 계산
Switching : 라이팅 테이블을 근거로 데이터 전송
Static : 과니리자에 의해서 수동으로 경로 설정
Dynamic : 라우터에 구동되는 프로토콜을 통해서 자동으로 목적지 경로 습득
IGP : 기업내에서 사용되는 내부 라우팅 프로토콜 (Interior Gateway Protocol)
RIP, OSPF, EIGRP
EGP : 기업간 ISP 연결을 위한 외부 라우팅 프로토콜 (Exterior Gateway Protocol)
BGP
※ Autonomous System # (AS)
전세계를 연결하는 인터넷을 굉장히 큰 영역으로 나누어서 구획짓는 용도의 번호.
IGP, EGP를 구분하는 것은 AS내부에서 라우팅하느냐 아니면 외부에서 라우팅하느냐로 구분한다.
ex) KT 망 같이 국가단위로 구분될 수 있다.
라우팅 테이블에 기록되는 정보의 구분
인터페이스 정보의 경우는 라우터가 자체적으로 얻을 수 있는 정보
학습에 의해서 알게된 정보 (by static or dynamic)
Default Route (a kind of Static)
기존에 존재하는 네트 상에 새로운 네트워크를 붙이는 경우 기존의 존재하는 모든 정보를 라우터에 입력할 수 없기 때문에 무조건 라우팅 하도록 설정을 통해서 만드는 것은 가능하다.
Default Route - ip route 0.0.0.0 0.0.0.0 172.16.2.2
Network S0(172.16.2.2) ------- (172.16.2.1) Stub Network : 내부에 172.16.1.0 네트워크 존재
ip route 172.16.1.0 255.255.255.0 172.16.2.1 < gateway 설정
(대상 라우터의 ip를 적거나 S0처럼 자신의 인터페이스 id를 적는다)
상기처럼 인터페이스 ID를 직접 기입해서 설정이 가능한 것은 오로지 대상 네트상의 대상이 한개인 경우에만 유효 (point-to-point) multiple access의 경우는 설정이 다르당~
※ 권장사항은 인터페이스 이름과 ip를 함께 적는 것이 좋다. (차후 문제가 발생해~)
ip route 172.16.1.0 255.255.255.0 S0 172.16.2.1
Router#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set > 디폴트 게이트 웨이 설정이 나타나는 부분임.
10.0.0.0/24 is subnetted, 1 subnets
C 10.5.5.0 is directly connected, Ethernet0/0
Administrative Distance
서로다른 2개의 라우팅 프로토콜이 BP를 결정하도록 만드는 경우 각각의 프로토콜마다 다른 BP를 뱉어나는 경우에 사용하기 위해서 도입된 계념. 라우팅 프로토콜이 얼마나 신뢰가능한 값인가를 나타내며, 두개의 BP가 경합할 경우에 판단의 근거가 된다.
목차
--------------------------------------------------------------------------------
교육담당자
여러가지 WAN 기술 (continued)
FrameRelay
xDSL
Metro Ethernet
케이블
Straight-Through
Crossover
네트워크 보안 주요 구현 솔루션
Firewall (inactive prevention)
IDS, IPS (active prevention)
Web Firewall
ESM
스위칭 네트워크 구현 기술
L2 스위치 기술과 STP/RSTP
L2 스위치 기술
실습) IOS 맥 어드레스 보기
Spanning Tree Protocol (IEEE802.1d)
Broadcast Storm 문제
Multiple Frame Copy
MAC Database Instability
STP동작과정
실습) 스패닝 트리 내역 보기
RSTP (Rapid Spanning Tree Protocol, IEEE802.1W)
VLAN
실습) VLAN 설정
Trunking
IEEE802.1q
ISL
실습) 장비 정보를 얻어 봅시다.
EtherChannel
실습) VLAN 구성해보기
스위치 네트워크 적용 예
라우팅 프로토콜
라우팅 프로토콜 개요
RIP
EIGRP
OSPF
교육담당자#
조용하 차장
010-6549-0662
yhjo@training-partners.com
여러가지 WAN 기술 (continued)#
FrameRelay#
WAN을 이루는 미디어 기술인 전용선의 경우 1:1 통신(point-to-point)이라는 특징상 회선의 내용을 중간에 감청하기 힘들기 때문에 보안상으로는 굉장히 우수하지만, 미디어의 이용율은 그다지 좋지 않다. 이에 ISP에서는 이러한 문제점을 개선하고자 Frame Relay(datalink layer 기술) 라는 기술을 도입함.
원래의 전용선이라는 WAN의 개념에서는 다수의 site에 연결하기 위해서는 라우터상의 다수개의 interface를 이용해야했지만, frame relay 기술을 이용하는 경우에는 한개의 interface 를 이용해서 다수의 site에 네트워크를 연결하는 것이 가능해진다.
Multiple Acess
1) Broadcast Multiple Access : 한개의 노드에서 전달하는 데이터는 네트워크 상의 모든 노드가 들을 수 있다.
예) 이더넷
2) Non-Broadcast Multiple Access
예) 전화망, FrameRelay
Frame Relay
DLCI(DataLink Connection Identifier)
FR방식의 주소체계를 이렇게 부른다.
특징은 다른 주소체계와는 다르게 SRC, DST의 구분이 없다는 특징이 있다. 단지 이 주소가 존재하는 이유는 데이터가 전달돼는 링크의 구분을 위해서 존재할 뿐이다. (물리적인 링크는 한개이지만, 목적지가 다수개인 Virtual Circuit 의 형태로 구성되기 때문에 어떤 링크를 통해서 전달되는지의 구분이 필요하다.)
Inverse ARP
이더넷 환경의 ARP가 (IP, MAC) 정보를 얻어오는 프로토콜이라면, (RemoteIP, Local DLCI) 정보를 얻어오는 프로토콜이다.
xDSL#
ADSL, VDSL : asymmetric 서비스를 제공. (상하향의 속도가 다름) 개인용 목적 사용
HDSL, SDSL : symmetric 서비스를 제공. (상하향의 속도가 같다) 전용선의 대체용
※ 비용이 굉장히 저렴하기 때문에 회사의 내부망에서 지사를 연결하는 목적의 망으로 많이 이용한다. 문제는 ADSL을 이용한다는 것은 분명히 인터넷으로의 연결을 기본 전제로 하는 서비스이기 때문에 회사의 내부 데이터가 외부로 유출될 가능성이 존재한다.
VPN (Virtual Private Network)
물리적으로는 인터넷과 연결되어 있지만 회선의 암호화 복호화 장치를 망의 송수신부에 두어서 마치 전용망을 이용하는 것과 같은 효과를 얻을 수 있다.
Metro Ethernet#
진짜 재난 상황의 발생시에도 데이터의 유실을 막기위해서 고안된 방식이다. (Disaster Recovery)
로컬사이트와 원격사이트의 싱크가 이루어 지게 만들기 위한 것이다.
이 기술의 특징은 기존의 로컬 영역에서 이루어진 이더넷 기술을 원거리의 사이트까지 직접적으로 연결하는 서비스라고 생각하면 편할듯
케이블#
Straight-Through#
양쪽 RJ-45 잭의 핀 배열이 같은 케이블
EIA568A-type
(L) sg G sr B sb R sbr BR (R) : sr B, sb R로 송수신의 쌍을 맞추어서 만들어진 케이블
왜 이 케이블이 사용돼는가?
PC(NIC), Switch 의 잭의 Tx, Rx를 상호간 맞추기 위해서 사용한다.
PC 1,2번 TX 3,6번RX
SW 1,2번 RX 3,6번TX
Crossover#
양쪽 RJ-45 잭의 핀 배열이 다른 케이블
네트워크 보안 주요 구현 솔루션#
Firewall (inactive prevention)#
외부에서 내부로 들어오는 traffic 중에서 허용되지 않은 것을 모두 차단하는 역할을 한다.
(rule이 지정되지 않은 traffic에 대해서는 차단하는 역할을 하지 않는다.)
IP주소와 포트정보를 이용해서 차단
IDS, IPS (active prevention)#
들어오는 트래픽의 패턴을 파악해서 내부망을 보호한다.
데이터 부분의 연속적인 스트림 패턴을 검색해서 차단 (암호화된 데이터는 패턴의 파악이 쉽지 않다)
일반적으로 방화벽의 앞단에서 외부 트래픽을 감지하는 역할을 IPS, 방확벽의 뒷단에서 외부 트래픽을 감지하는 역할을 IDS가 한다.
최근의 네트워크의 문제는 내부 망 사용자에 의해서 이루어진 경우가 많다. (IDS를 통해서 허가되지 않는 내부망 사용자의 네트워크 사용을 막을 수 있다.)
IPS차단의 예시
동일 발신지 IP에서 많은 세션이 발생
> 세션별로 지정된 Threshold 이상의 신규 세션을 차단
Worm또는 트정 유해 트래픽의 특징인 패턴 string 검사
> 차단!!!
Web Firewall#
방화벽에서 허용한 서비스를 공격할 목적을 가진 패킷의 경우에는 기존의 방화벽으로는 차단이 힘들기 때문에 이를 차단하기 위해서 사용하는 기술
ESM#
다양한 침입 탐지 시스템이 등장하면서 각각의 디바이스가 다수개의 벤더의 제품인 경우가 많다. 다수개의 벤더의 제품이 많아지다보니 이를 관리하기 힘들어지기 때문에 나오게됀 관리 시스템을 말함.
스위칭 네트워크 구현 기술#
CSMA/CD 는 backoff 알고리즘을 근저에 깔고서 동작한다.
1) 전송중지
2) 재전송 (각각의 노드에서 재전송 타이밍을 조절하게 만들어주는 알고리즘)
※ backoff 알고리즘의 문제점은 네트워크 상의 노드가 많아 질 경우 상호간 재전송 타이밍이 맞지 않을 경우가 분명히 생긴다. 이에 backoff 알고리즘에서는 재전송을 최대 16번까지 허용하는데 이때까지 재전송이 이루어질 경우 네트웍에 문제가 있다고 판단하게 된다.
L2 스위치 기술과 STP/RSTP#
L2 스위치 기술#
address learning
스위칭에 이용돼는 MAC interface mapping table 구성하는 과정을 의미한다. (보통 메모리상에 구성)
i) 데이터가 들어오는 포트의 정보와 해당 데이터의 src정보를 이용해서 mapping 테이블 구성
※ multicast, broadcast 주소를 테이블 상에 유지할 수가 없다. (src 만을 가지고 구성하기 때문)
forward/filter decision
iii) 만약 dest 정보가 테이블 상에 존재할 경우 해당 포트로만 데이터를 전송한다. (forward)
해당하지 않는 포트로는 데이터를 전송하지 않는다.
iv) 만약 src, dest의 포트가 같은 경우에는 패킷을 차단한다. (동일한 네트워크 상에 존재할 것이라는 판단
flooding
ii) dest 정보가 테이블 상에 없는 경우 flooding
실습) IOS 맥 어드레스 보기#
SwitchD>sh mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0016.9d05.58c0 STATIC CPU > 관리자가 직접 정한 경우 static 구성, 스위치로~~
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0100.0cdd.dddd STATIC CPU
1 0016.c754.0e80 DYNAMIC Fa0/12
1 0016.c754.0e84 DYNAMIC Fa0/12
1 0016.c770.2880 DYNAMIC Fa0/12
1 0050.548d.4dc0 DYNAMIC Fa0/12
1 00b0.64d6.a1c0 DYNAMIC Fa0/2
Total Mac Addresses for this criterion: 9
SwitchD>
※ 실습을 하면서 텔넷에 접속하게 하기위해서는 반드시 텔넷 라인을 열어야하며, 패스워드는 묻지 않아도 패스워드는 입력해놓아야지만 텔넷이 열린다는 사실에 유의하자.
Spanning Tree Protocol (IEEE802.1d)#
SPOF (Single Point of Failure)를 방지하기 위해 물리적으로 여분의 경로(Redundancy Path)를 필요로 한다.
이런경우 Broadcast Storm, Multiple Frame Copy, unstable MAC addr table 의 문제가 발생한다.
이런 경우를 방지하기 위해서 loop 방지용 프로토콜인 STP가 등장한다.
Broadcast Storm 문제#
IP기본 통신의 기본 전제는 브로드캐스트를 이용한 주소 resolve 과정이다. 문제는 Redundancy Path 구성을 망 차원에서 한 경우 루프(loop)가 발생하면서 브로드 캐스팅이 어떤 한 곳에서 멈추지 않고 지속적으로 이루어질 수 있다. 이런 경우 스위치의 모든 리소스가 불필요한 브로드캐스트 패킷을 처리하면서 잠식당해서 네트워크가 죽는 경우가 발생한다.
Multiple Frame Copy#
Unicast 를 한경우라고 하더라도 데이터가 서로다른 두개의 망을 통해서 대상 호스트로 올라간 경우. 두개의 데이터중에서 어떤 것을 선택할 것인지가 문제가 된다.
MAC Database Instability#
망이 loop를 이루면서 특정한 서버에서 송신한 패킷에 의해서 테이블상에서 호스트 위치하는 인터페이스의 위치가 여기저기에서 나타날 수 있다.
STP동작과정#
1) 한개의 Root Bridge 선정 (per NET)
2) 한개의 Root Port 선정 (per Non-Root-
3) 한개의 Designated Port 선정 (per Segment)
nondesignated port 는 blocked (LOOP발생을 막는다)
rootport, designated port를 선정하는 과정에서는 IEEE에 의해서 제정된 링크의 특성과 속도에 따른 고정화된 cost 를 가지고 낮은 cost를 가진 segment가 선택된다.
문제는 이런 동작을 하기위해서는 브리지 상호간의 정보를 공유해야지 동작할 수 있다. (BPDU 이용)
root port : 루트 브리지로 가는 포트
designated port : nonroot 브리지로 갈 수 있는 모든 포트
nondesignated port : root port 로 선정되지 못한 포트
BPDU (Bridge Protocol Data Unit)
2초 간격으로 BPDU를 Designated Port로 전송한다.
configuration BPDU
root 브리지만 생성 가능함. non root bridge 는 수정 전달만 가능함
최초 BPDU 발생시에는 모든 브리지가 자신을 root라고 가정한 상태에서 BPDU 발생
root bridge 선정은 설정된 bridge id, mac addr 를 이용해서 낮은 값을 갖는 경우 root가 된다.
※ MAC어드레스를 이용해서 우선순위가 결정된 경우 차후에 문제가 발생하는 가능성이 존재하기 때문에 관리자는 bridge id 를 변경해서 루트 브리지를 명시적으로 선정하는 것이 좋다.
STP는 단순히 loop를 막는 것만이 목적은 아니다. 원래 이런 문제가 발생한 근본적인 문제는 장애시 대처가 가능한 redundancy 구성이라고 할 수 있다. 만약 장애시에 비장애 링크를 이용할 수 없다면 이 거야 말로 문제가 아닌가??? @.@
BPDU는 non-degsignated port 를 통해서는 수신만 가능하고 송신이 불가능 하다는 것을 기본으로 해서 동작한다. 문제는 네트상의 브리자와 간적적으로 연결된 특정한 링크에서 문제가 발생하는 경우 non-designated port 로 들어오던 BPDU를 특정한 임계시간(max aging)동안 받지 못하는 경우, blocking port 는 listenning 상태로 변경되고 연결된 상호 브리지간 root bridge 를 다시 결정하고 링크를 형성하는 과정을 거치게 된다. (보통 15초가 걸리며 이 시간을 forward delay time 이라고 부른다.) 그뒤 해당 포트는 learning 단계로 변경되며, src MAC 주소를 이용해서 mapping table을 구성하게 된다. 테이블 구성 단계가 끝나면 해당 포트를 통해서 들어오는 패킷에 대한 forward 가 실시된다. 이러한 과정이 걸리는 전체 시간을 컨버젼스 타임이라고 부른다.
※ 만약 브리지와 연결된 링크가 에러가 난 경우라면 max aging을 굳이 기다려야할 이유가 없다.
실습) 스패닝 트리 내역 보기#
SwitchD>sh spanning-tree
VLAN0001
Spanning tree enabled protocol ieee > STP 상태이며, RSTP 미동작
Root ID Priority 32769
Address 000c.30e9.f640
Cost 38
Port 12 (FastEthernet0/12)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 0016.9d05.58c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/2 Desg FWD 100 128.2 Shr
Fa0/11 Altn BLK 19 128.11 P2p
Fa0/12 Root FWD 19 128.12 P2p
SwitchD>
RSTP (Rapid Spanning Tree Protocol, IEEE802.1W)#
쥬니퍼사의 스위칭 장비는 RSTP가 기본값으로 설정되어서 동작한다.
컨버전스 타임이 1초이내라는 것이 특징. 루트 브리지, 포트를 결정하는 기준은 기본적으로 같지만, 포트와 상태 관련 정보에 대한 내용이 다름.
blocking port 가 alternative port(장애시 root가 될 놈), backup port(장애시 designated port 될 놈) 로 구분
최초 포트의 결정에서 blocking port 인 경우라면 장애 발생시 해당 포트가 root 포트가 될지 designated port 가 될지를 미리 결정한 상태에서 동작한다. (미리 정해 놓기 때문에 전환이 빠른 것!!!)
※ 포트의 상태
기본적으로 RSTP는 STP에 비해서 포트의 상태를 3가지로 단순화시켜서 동작시키기 때문에 좀더 빠른 전환이 가능해진다.
Discarding State : 들어온 프레임을 모두 드랍시키는 상태
DISABLED : 관리자에 의한 shutdown 상태
BLOCKING :
LISTENNING :
Learning : 소스 주소 체크
LEARNING
Forwarding : 소스 주소 체크 & 목적지 주소 체크
Forwarding
VLAN#
broadcasting domain : 브로드캐스트 데이터가 전달되는 영역을 의미
※ 브로드캐스트의 문제
브로드캐스트를 필요로 하지 않더라도 시스템은 브로드캐스트를 처리하기 위해서 CPU time 할당이 필요하다. 만약 동일한 네트워크상의 브로드캐스팅을 하는 시스템이 많아질수록 해당 네트웍상의 호스트의 성능의 저하가 일어나고, 이로 인해 전체 네트워크의 성능이 나뻐지는 문제점이 존재한다.
라우터를 이용해서 보통 이런 브로드캐스트 도메인을 나누게 돼는데, 라우터는 인터페이스 단위를 브로드캐스트 도메인으로 구분하게 됀다. 이런경우 브로드캐스트 도메인이 망의 사용 목적에 따라서 구분짓기 보다는 인터페이스에 따라서 구분이 돼면서 생기는 문제점이 등장한다. (유연성, 망유지 비용의 문제등)
이러한 문제점을 해결하기 위해서 VLAN 기술이 등장!!!
라우터가 인터페이스에 의해서 브로드캐스트 도메인이 갈린다면, VLAN은 설정을 통해서 브로드캐스트 도메인을 나누게 만들어준 기술이다. 또한 이 기술을 스위치에 적용하면서 포트당 단가를 낮추었다.
(1VLAN = 1Subnet 으로 이루어진다는 가정을 해야한다.)
VLAN의 중계자 역할을 해주는 것이 Default Gateway 라는 녀석이다. (so-called inter-VLAN routing)
Default Gateway : 서로 다른 중계자간에 통신이 불가능하기 때문에 만들어진 녀석
실습) VLAN 설정#
VLAN
1~1005번까지 사용이 가능한 영역.
1, 1002~1005
default VLAN. 스위치가 가지는 모든 포트가 속한 포트가 속한 VLAN
여기서 말하는 모든 포트라는 것은 스위치 자신을 의미하는 0번 포트를 포함한다.
우리가 실습중에 했던 vlan1에 ip를 할당했던 행위는 스위치 자신에 접속하기위해서 할당한 포트라는 사실을 알아두자!
SwitchD>sh vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 < fastethernet 장비들
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24
222 VLAN0222 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
222 enet 100222 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - srb 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
SwitchD>sh mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0016.9d05.58c0 STATIC CPU
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0100.0cdd.dddd STATIC CPU
1 0016.c754.0e84 DYNAMIC Fa0/12
1 0050.548d.4dc0 DYNAMIC Fa0/12
1 00b0.64d6.a1a0 DYNAMIC Fa0/12
1 00b0.64d6.a1c0 DYNAMIC Fa0/2
222 0016.c754.0e84 DYNAMIC Fa0/12
Total Mac Addresses for this criterion: 9
SwitchD>
switchport : 2계층 포트를 의미한다.
1) access mode : 한개의 vlan에만 소속가능한 포트. 스위치와 호스트간의 연결에 사용되는 포트.
2) trunk mode : 모든 vlan에 소속가능한 포트. 스위치와 스위치간 연결에 사용되는 포트
3) dynamic mode : 연결 대상에 따라서 access, trunk mode 전환이 이루어지는 포트 (현재 디폴트 포트)
Trunking#
서로 스위치상에 연결된 망이라고 하더라도 설정에 따라서 동일한 vlan으로 묶이는게 가능해야한다.
VLAN10 (SwitchA)
VLAN10 (SwitchB)
※ transparent switch
전달되는 패킷이 스위치를 통과하기 전과 통과한 후의 모양이 변경되지 않아서 망의 두 끝에서는 중간에 스위치의 존재를 파악할 수 없게하는 것!
기본적으로 VLAN을 활성화하면 스위치는 프레임의 출력 포트를 단순히 mac 테이블 정보만을 가지고 스위칭을 하는 것이 아니라, 프레임 발생 vlan과 동일한 vlan을 가진 포트인지를 확인한 뒤 포트로 프레임을 흘려보낸다.
문제는 서로 다른 스위치 간의 데이터 전송시에 발생한다. A스위치에서 B스위치로 데이터를 전송하는 경우에는 해당 프레임이 원래 어느 vlan에서 온 것인지를 B스위치에서 자체적으로 판단하기 어렵기 때문에 스위치 간의 데이터 전송시에 프레임에 발생 vlan정보를 붙여서 보내는 작업을 말한다.
※ 조금더 정확하게 표현하자면 원래 스위치로 들어오는 모든 프레임에는 vlan정보를 스위치에서 자체적으로 붙여서 작업을 하지만, 프레임이 특정한 포트를 통해서 밖으로 나가는 경우 vlan정보를 삭제하고 흘려보내느냐 아니면 그냥 놔둔채로 흘려보내느냐의 차이일 뿐임.
※ 참고
SwitchD#sh mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0016.9d05.58c0 STATIC CPU
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0100.0cdd.dddd STATIC CPU
1 0002.4b51.7060 DYNAMIC Fa0/12
1 0004.2796.9160 DYNAMIC Fa0/12
1 0004.9acd.a640 DYNAMIC Fa0/12
1 000c.2911.e682 DYNAMIC Fa0/12
1 000d.29d2.a300 DYNAMIC Fa0/12
1 0016.47ed.d4cb DYNAMIC Fa0/12
1 0016.47ed.d4cc DYNAMIC Fa0/12
1 0016.47ed.de0c DYNAMIC Fa0/12
1 0016.9d05.598c DYNAMIC Fa0/12
1 0016.c754.0e84 DYNAMIC Fa0/12
1 0050.548d.4dc0 DYNAMIC Fa0/12
1 00b0.64d6.a1a0 DYNAMIC Fa0/12
1 00b0.64d6.a1c0 DYNAMIC Fa0/2
222 0016.c754.0e84 DYNAMIC Fa0/12
222 0030.192a.bd00 DYNAMIC Fa0/12
111 0002.4b51.7160 DYNAMIC Fa0/12
111 0016.c754.0e84 DYNAMIC Fa0/12
7 0016.c754.0e84 DYNAMIC Fa0/12
Total Mac Addresses for this criterion: 22
SwitchD#
IEEE802.1q#
VLAN을 위해서 12비트를 미리할당했고, 기존의 vlan 1005이상의 extended vlan 까지도 표현가능
ISL#
헤더에 vlan, bpdu를 함께 전송해서 PVST(Per Vlan Spanning Tree)라는 기술을 구현한다.
vlan 별로 별도의 STP를 구현하게 만들어준다.
IEEE802.1D가 지원하는 STP는 CST(comon spanning tree)방식.
CST 단점은 vlan 별로 best path를 지원하지 못한다는 단점이 존재. (백업 링크는 백업으로만 동작하게 됀다)
PVST를 이런 상황에서 사용하게 돼면, vlanA에서는 백업링크이지만 vlanB에서는 designated 링크로 동작해서 best path로 동작하게 만들 수 있다.
(링크의 utilization 을 높일 수 있는 기술임)
※ 원래는 ISL을 이용해야지만 PVST를 사용가능했지만, cisco에서는 PVST+ (802.1q)를 개발했다. 이를 ieee에서 표준화해서 MST ieee802.1s 를 제정함.
실습) 장비 정보를 얻어 봅시다.#
RouterD#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-J1S3-M), Version 12.3(22), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by cisco Systems, Inc.
Compiled Wed 24-Jan-07 16:48 by ccai
Image text-base: 0x80008098, data-base: 0x81A41064
ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
ROM: C2600 Software (C2600-J1S3-M), Version 12.3(22), RELEASE SOFTWARE (fc2)
RouterD uptime is 22 hours, 16 minutes
System returned to ROM by power-on
System image file is "flash:c2600-j1s3-mz.123-22.bin"
cisco 2610 (MPC860) processor (revision 0x202) with 61440K/4096K bytes of memory
.
Processor board ID JAD04010OXH (297081548)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
TN3270 Emulation software.
Basic Rate ISDN software, Version 1.1.
1 Ethernet/IEEE 802.3 interface(s)
2 Low-speed serial(sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)
Configuration register is 0x2142
RouterD#
SwitchD>sh int capa
FastEthernet0/1
Model: WS-C2950-24
Type: 10/100BaseTX
Speed: 10,100,auto
Duplex: half,full,auto
UDLD: yes
Trunk encap. type: 802.1Q > 2950장비는 .1q 방식만 제공. 트렁크 전환시 trunk type 지정 불필요.
Trunk mode: on,off,desirable,nonegotiate
Channel: yes
Broadcast suppression: percentage(0-100)
Flowcontrol: rx-(none),tx-(none)
Fast Start: yes
CoS rewrite: yes
ToS rewrite: yes
Inline power: no
SPAN: source/destination
PortSecure: Yes
Dot1x: Yes
...
EtherChannel#
Access Layer Switch, Distribution Layer Switch (Backbone Switch)를 구성함에 있어서 망의 안정성을 높이기 위해서 Backbone Switch를 이중화하는데 여기서 looping을 막기위해서 STP를 이용한다.
이때 UPlink (access>backbone, 1G or 10G를 보통 사용하며 GBig이라는 고가의 모듈이 필요함.) 구성에서 access switch가 Gbit 속도를 지원하기 힘든 경우에 다수개의 링크를 한개로 묶어서 이와 비슷한 효과를 얻을 수 있도록 만드는 기술이다.
즉, Fast Ethernet 이상의 이더넷 포트 2~8개를 한번에 묶어서 전송에 이용하는 기술임. (fast ethernet 이라는 기술이 표방하는 100Mbps의 속도는 half duplex의 속도로 표현된 것이기 때문에 full-duplex로 해당 링크를 동작시키면 최대 1.6G의 속도로 통신이 가능하게 만든다.)
※ 실제로 구성할때 잘못 구성하게 돼면 broadcast storming이 발생해서 스위칭 장비 설정이 불가능한 경우가 생긴다. 이런 상황을 피하기 위해서 반드시 장비의 설정시에 etherchannel 을 구성하는 인터페이스를 shutdown 시키고 모든 설정을 마치고 no shut 상태로 전화하는 방식으로 작업해야함.
SwitchD>sh etherchannel 1 summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
u - unsuitable for bundling
U - in use f - failed to allocate aggregator
d - default port
Number of channel-groups in use: 0
Number of aggregators: 0
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
SwitchD>
실습) VLAN 구성해보기#
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int e0/0
Router(config-if)#ip addr 10.5.5.12 255.255.255.0
Router(config-if)#no shu
Router(config-if)#exit
*Mar 1 00:02:49.545: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
*Mar 1 00:02:50.547: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/
0, changed state to upip route 0.0.0.0
Router#ping 10.5.5.3
*Mar 1 00:03:18.260: %SYS-5-CONFIG_I: Configured from console by consoleng 10.5
.5.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.5.5.3, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
Router#ping 10.1.1.40
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.40, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Router#copy run start
Router#copy run startup-config
스위치 네트워크 적용 예#
라우팅 프로토콜#
라우팅 프로토콜 개요#
Routing : best path 계산
Switching : 라이팅 테이블을 근거로 데이터 전송
Static : 과니리자에 의해서 수동으로 경로 설정
Dynamic : 라우터에 구동되는 프로토콜을 통해서 자동으로 목적지 경로 습득
IGP : 기업내에서 사용되는 내부 라우팅 프로토콜 (Interior Gateway Protocol)
RIP, OSPF, EIGRP
EGP : 기업간 ISP 연결을 위한 외부 라우팅 프로토콜 (Exterior Gateway Protocol)
BGP
※ Autonomous System # (AS)
전세계를 연결하는 인터넷을 굉장히 큰 영역으로 나누어서 구획짓는 용도의 번호.
IGP, EGP를 구분하는 것은 AS내부에서 라우팅하느냐 아니면 외부에서 라우팅하느냐로 구분한다.
ex) KT 망 같이 국가단위로 구분될 수 있다.
라우팅 테이블에 기록되는 정보의 구분
인터페이스 정보의 경우는 라우터가 자체적으로 얻을 수 있는 정보
학습에 의해서 알게된 정보 (by static or dynamic)
Default Route (a kind of Static)
기존에 존재하는 네트 상에 새로운 네트워크를 붙이는 경우 기존의 존재하는 모든 정보를 라우터에 입력할 수 없기 때문에 무조건 라우팅 하도록 설정을 통해서 만드는 것은 가능하다.
Default Route - ip route 0.0.0.0 0.0.0.0 172.16.2.2
Network S0(172.16.2.2) ------- (172.16.2.1) Stub Network : 내부에 172.16.1.0 네트워크 존재
ip route 172.16.1.0 255.255.255.0 172.16.2.1 < gateway 설정
(대상 라우터의 ip를 적거나 S0처럼 자신의 인터페이스 id를 적는다)
상기처럼 인터페이스 ID를 직접 기입해서 설정이 가능한 것은 오로지 대상 네트상의 대상이 한개인 경우에만 유효 (point-to-point) multiple access의 경우는 설정이 다르당~
※ 권장사항은 인터페이스 이름과 ip를 함께 적는 것이 좋다. (차후 문제가 발생해~)
ip route 172.16.1.0 255.255.255.0 S0 172.16.2.1
Router#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set > 디폴트 게이트 웨이 설정이 나타나는 부분임.
10.0.0.0/24 is subnetted, 1 subnets
C 10.5.5.0 is directly connected, Ethernet0/0
Administrative Distance
서로다른 2개의 라우팅 프로토콜이 BP를 결정하도록 만드는 경우 각각의 프로토콜마다 다른 BP를 뱉어나는 경우에 사용하기 위해서 도입된 계념. 라우팅 프로토콜이 얼마나 신뢰가능한 값인가를 나타내며, 두개의 BP가 경합할 경우에 판단의 근거가 된다.
소셜웹 반응글
접기▲
소셜웹 더보기▼
