네트워크 구성 - HQ(본사)와 2개의 지사(Branch1,2)로 구성된 네트워크이다. - OSPF로 라우팅 되어있지만 내부망과 IP대역이 달라서 현재 라우터 끼리만 통신이 가능하고 내부 PC간에는 통신이 불가능하다. - 본사와 지사, 지사와 지사간에 GRE 터널과 DMVPN을 사용하여 서로 통신을 할 수 있도록 설정 하려고 한다. - 동적인 대규모 Site-to-Site VPN을 구성하기 적합한 방식이다. - DMVPN은 새로운 지사와 VPN 연결을 해야 하는 경우 본사 VPN 장치에서는 별도의 추가 설정이 요구되지 않는다. DMVPN 기술 1) mGRE (Multipoint GRE) - 다수의 Next-hop 장치와 연결될 수 있다는 특징 때문에 DMVPN에서 사용된다. - DMVPN의 경우 동적으로..

GRE 터널과 IPSEC VPN을 같이 구성할 경우 Direct Encapsulation IPSec가 다르게 Dynamic Routing Protocol을 사용할 수 있게 된다. VPN 이중화 구성이 훨씬 간단해지고, 보호 대상 트래픽 지정도 기존 방식보다 간단하게 처리할 수 있다. 명령어는 Direct Encapsulation IPSec과 거의 동일하다. 보호대상 트래픽 지정시 GRE Tunnel을 통과하는 패킷으로 정의해야 한다. HQ_VPN Router IPSec 설정 crypto isakmp policy 1 isakmp 정책 설정 crypto isakmp key ictsec123 address 1.1.100.6 key 설정 및 실제 VPN 장비(Branch1 Router) IP등록 permit g..

GRE Tunnel - Cisco에서 개발한 Tunneling Protocol이다. - 특정 망을 통과할 수 없는 패킷들은 통과가 가능하도록 해주는 프로토콜이다. - GRE Tunnel이 출구 인터페이스인 경우 원본 IP 패킷에 4Byte의 GRE헤더와 20Byte의 New IP헤더가 추가되어 전송된다. (New IP 헤더 + GRE헤더 + 원본 IP 헤더 + Data) - 추가적인 24Byte의 오버헤드가 발생된다. tunnel mode gre ip 터널 인터페이스 기본 모드가 gre ip 모드이기 때문에 별도로 입력하지 않아도 된다. tunnel source 1.1.100.1 터널 인터페이스의 실제 출발지 IP입력 tunnel destination 1.1.100.6 터널 인터페이스의 실제 목적지 IP..

네트워크 구성 - ACS_SVR(10.1.250.5 / Window Server)에서 Radius인증을 설정한다. - HQ_CE 라우터와 Branch1 라우터를 PPP로 인증 하려고 한다. PPP 란? - PPP와 HDLC는 WAN 구간의 L2 프로토콜의 Point-toPoint 연결 방식이다. - Cisco 라우터의 경우 Serial Interface를 사용할 때 관리자가 별도로 설정하지 않는다면 L2 프로토콜로 HDLC를 사용한다. - Cisco 라우터가 다른 벤더 라우터와 Point-to-Point 연결을 구성하는 경우 Cisco HDLC가 타 벤더 라우터에서 지원되지 않기 때문에 PPP 방식을 사용해야 한다. PPP 인증(Authentication) - PPP 인증은 다양한 목적으로 사용된다. (..

Router Log 관리 1. Console Logging - 콘솔 포트로 접근한 경우 장비는 기본적으로 해당 콘솔 포트에 로그 메세지를 전송하기 때문에 관리자는 콜솔 창으로 로그 메세지를 확인하는것이 가능하다. - 해당 로그 메세지는 현재 콘솔 포트에 접근 중인 관리자만 확인이 가능하다. - 다음과 같이 인터페이스를 생성 하거나 다른 작업을 실행할 때 콘솔 로그가 발생하게 된다. - no logging console 명령어를 이용해 콘솔 명령어를 띄우지 않게 설정할 수 있다. 2. Terminal Logging - Telnet / SSH와 같이 Remote Access(원격 접속) 방식으로 장비에 접속한 경우 콘솔 창과 다르게 기본적으로 로그 메세지가 확인되지 않는다. - 로그 메세지를 확인하기 위해서..

★NTP Protocol 개념을 확인하고 싶다면 아래 링크 클릭!★ https://peemangit.tistory.com/59 NTP(Network Time Protocol) 이란? NTP(Network Time Protocol) - 시간 동기화 프로토콜이다. - 포트번호는 UDP 123번을 사용한다. - 모든 Server와 Network Device 등의 시스템 시간 정보를 갖고 있다. - 관리자가 설정을 통해 시간을 변경하는 것.. peemangit.tistory.com 외부 NTP 서버에서 받아오기(CE Router) - CE Router에서 www.ictsec.com(10.1.250.3) Web서버 도메인을 등록한 후 외부 ntp 서버를 통해 시간을 동기화하려고 한다. 1. DNS 조회 등록 ip..

LSA(Link-State Advertisement)와 LSDB(Link-State Database) - Link-State 계열의 Routing Protocol(ex. OSPF, 통합 IS-IS)이 설정된 각 Router의 경우 자신의 Link(=interface) 상태(State)를 LSA라는 정보로 생성하여 다른 Router과 교환한다. - 이를 수신한 Router들은 자신의 LSDB에 해당 정보를 추가 후 SPF 알고리즘을 사용하여 Loop가 없는 최단 경로 정보를 구해서 Routing Table에 등록한다. - Link-State 라우터들의 경우 전체 Topology(구성도)에 대한 정보를 알 수 있다. - 대형망의 경우 많은 수의 Router가 모든 LSA 정보를 교환 후 LSDB에 등록할 경..

OSPF(Multi Area), RIPv2 구성 - R5, R6는 OSPF Area 1번에 속해 있는 Network이다. - R1, R2, R3, R7은 Area 0번에 속해 있는 Network이다. - R4, R8은 OSPF Area 2번에 속해 있는 Network이다. - R9는 RIPv2에 속해 있는 Network이다. - 해당 Network들이 통신될 수 있도록 연결 R1 Router 설정 (ABR) conf t router ospf 1 router-id 1.1.1.1 net 1.1.1.1 0.0.0.0 area 0 net 1.1.100.1 0.0.0.0 area 0 net 1.1.100.18 0.0.0.0 area 1 ! - router ospf 1: ospf Area를 1번으로 설정한다. - ..

OSPF Network-Type - OSPF는 Network-Type에 따라 설정 방식과 동작 방식에 차이가 존재한다. - Network-Type은 Topology 상의 연결 형태로 구분하는 것이 아니라 각 Interface의 Layer 2 Protocol에 의해서 구분된다. 1. Point-to-Point - Serial interface는 PPP 또는 HDLC를 사용한다. - Frame-relay 또는 ATM 은 Point-to-point subinterface를 사용하기도 한다 - Hello 주기 : 10초 / Dead 주기 : 40초 - DR 또는 BDR 선출을 수행하지 않는다. - Neighbor 자동 형성한다. - Serial interface type을 자동감지한다. - OSPF packet..

OSPF 구성(Packet Tracer) Seoul Router 설정 Seoul(config)#router ospf 1 Seoul(config-router)#router-id 1.1.1.1 Seoul(config-router)#network 211.100.10.94 0.0.0.0 area 0 Seoul(config-router)#network 211.100.10.126 0.0.0.0 area 0 Seoul(config-router)#network 1.1.100.6 0.0.0.0 area 0 Seoul(config-router)#network 1.1.100.2 0.0.0.0 area 0 router ospf 1: process-ID가 1번인 OSPF 설정 router-id 1.1.1.1: router-ID..

OSPF(Open Shortest Path First) 란? - Link-State 계열의 Routing Protocol로 SPF(Short Path First, 다익스트라) 알고리즘을 사용한다. Link State Routing Protocol 장점 - Topology의 변화에 빠른 반응을 수행한다. - Topology를 이해하므로 SFP 알고리즘에서 Routing Loop를 방지한다 - 계층적 Design에 따라 Network 확장성이 보장된다 Link State Routing Protocol 단점 - Router의 내부 Resource 소모가 많다 - CPU → 잦은 SPF 알고리즘 수행한다. - Memory → Network Topology 정보 관리가 필요하다. - 반드시 계층적 Design R..

EIGRP 개념 - EIGRP(Enhance Interior Gateway Routing Protocol)는 Cisco 전용 Routing Protocol이었다. 2016년 5월 RFC 표준으로 등록되었다. EIGRP의 특징 1. PDM(Protocol Dependent Module) 지원 - IP 프로토콜 외에도 IPX, Apple talk와 같은 다른 Network 계층(3 계층)의 정보도 교환이 가능하다. 2. AS(Autonomuos System)로 Update 범위를 제한 - EIGRP의 AS는 BGP에서 사용되는 AS와 다른 개념이다. (이름만 동일) - 모든 Router가 EIGRP로 설정되어 있는 경우에도 AS 번호를 다르게 설정할 경우 정보를 교환하지 않는다. (동일 AS의 Router들..

1. NAT(Network Address Translation) Network 계층의 주소(IP)를 변환시켜주는 기술이다. (IP Header의 주소를 다른 주소로 바꾸는 기술) IP 주소는 공인 IP 주소와 사설 IP 주소로 구분된다. 일반적으로 사설 IP 주소를 공인 IP 주소로 변환시키는 경우 많이 사용된다. 공인 IP 주소 : 유료, 외부(Public Network)와 통신 가능. 사설 IP 주소 : 무료, 외부(Public Network)와 통신 불가능. 2. 사설 IP 대역 클래스 사설 IP 대역 네트워크 IP 대역 Class A 10.0.0.0/8 10.0.0.0 - 10.255.255.255 Class B 172.16.0.0/12 172.16.0.0 - 172.31.255.255 Class..

1) ACL(Access Control List) - L3 Device는 전송하고자 하는 패킷의 목적지 IP 주소에 대한 경로 정보가 자신의 Routing Table에 등록되어 있는 경우 기본적으로 해당 패킷을 전송 처리한다. (Routing 수행) - 하지만 보안적인 관점에서 모든 패킷을 전송하는 것은 위험할 수 있다. 공격과 관련된 패킷 혹은 불필요한 패킷의 경우 전송을 차단할 필요가 있다. 이를 수행하는 Device가 Firewall(방화벽)이다. - Firewall을 사용할 수 없는 경우에는 Router에 Access Control List(ACL)를 구성하게 되면 기본적은 방화벽 기능을 사용할 수 있다. (Packet Filtering을 활용하여 네트워크에서 Packet 이동을 제어할 수 있다...

Router의 Best Path(최적 경로) 선택 조건 - Router는 목적지 Network로 향하는 경로가 다수 존재할 경우 Best Path를 선택하고, 해당 경로만 Routing Table에 등록하여 Packet 전송 경로로 사용한다. - Static Route의 경우는 관리자가 직접 Best Path를 결정 후 해당 경로를 사용하도록 명령어를 입력한다. - Dynamic Routing Protocol의 경우는 다음 조건들을 비교하여 Best Path를 출발지 Router가 자동으로 결정하게 된다. 1. AD(Administrative Distance) 값이 낮은 경로 - 각 Routing Protocol마다 정해져 있는 신뢰도를 의미한다. AD 값이 가장 낮은 경로가 Best Path로 결정된다..