- 스위치 포트에 연결되는 사용자를 확인하고 해당 사용자에 대한 인증이 통과되는 경우에만 해당 포트를 활성화시킬 수 있는 인증 방식이다. - 오늘날에는 원래 목적이었던 유선 스위치보다 무선(Wireless) AP 인증 등에 주로 사용되고 있다. - Dot1 x 인증에는 EAP(Extensible Authentication Protocol)라는 인증 프로토콜을 사용한다. 네트워크 구성 - Client는 (VLAN 90에서 인증 후 VLAN 70으로 변경된다.) - ACS 서버(VLAN 250 / 10.1.250.5) - GateWay 주소 (VLAN 70 / 10.1.70.252~254, VLAN 90 /10.1.90.252~254) - 인증이 되지 않으면 VLAN 90번으로 사용하고 VLAN 90번은 게..

네트워크 구성 - Client(Window7_B)가 외부 포트(f 1/1)로 패킷을 보낼 때 Admin(Window7_A)이 관리자 분석기가 연결된 포트(f 1/0)를 통해서 패킷을 복사하여 Client의 패킷 이동 경로를 확인하려고 한다. 장비 정보 및 IP 주소 - 3600 Router 2대 (R1, ESW) - Client (Window 7_A / 10.1.10.1) - Admin (Window 7_B / 10.1.10.2) - 3600 Router 2 대중 1대를 EtherSwitch로 쓰기 위해서 스위치 포트를 추가한다. - ESW 스위치에서 1/0 ~ 2번 포트가 up 상태이면 정상적으로 구성된 것이다. 특정 포트로 송/수신되는 패킷들을 다른 장비에서 분석할 수 있는 방법 1. Hub - 허브..

EtherChannel - 다수의 Port를 하나의 논리적 Port로 묶어서 사용하는 기술을 의미한다. - EtherChannel은 Cisco 사용하는 용어이고, 다른 벤더는 Link-Aggregation 혹은 Trunk라고 표현한다. (다수의 VLAN 트래픽이 통과할 수 있는 포트를 Cisco에서는 Trunk라고 표현하지만 다른 벤더에서는 Tagged 포트라고 표현한다.) - 2개 이상의 Switch를 다수의 L2 포트로 연결했을 경우 Ring 구조가 되고 STP에 의해서 하나의 Link를 제외하고 나머지 Link는 Blocking 상태가 된다. - 이 경우 EtherChannel을 구성하게 되면 다수의 포트가 하나의 논리적인 포트로 인식되기 때문에 Blocking 상태의 포트가 선출되지 않고, 모든 ..

STP 수렴 시간 단축(STP Convergence Time) - 직접 Link 단절 시 (30초의 STP Convergence Time) Listening(15초) -> Learning(15초) -> Forwarding - 간접 Link 단절 시 (50초의 STP Convergence Time) Blocking(20초) -> Listening(15초) -> Learning(15초) -> Forwarding - STP가 Convergence Time을 갖는 이유는 안정성 때문이다. 하지만 오늘날 사용자들의 요구에 따라 Convergence Time을 단축시키는 것이 필요하다. - 근본적인 해결법은 RST(Rapid-Spannig-Tree)를 사용하는 것이다. 만약 RST를 사용할 수 없는 경우에는 다음과..

STP 경로 조정 - Cisco Switch는 기본적으로 PVST+ 혹은 Rapid-PVST(RST)로 동작한다. (IOS 버전에 따라 차이가 있다) - 두 가지 방식 모두 VLAN 마다 독립된 STP 프로세스가 동작하게 된다. - 하지만 관리자가 별도로 설정을 하지 않는 경우 모든 VLAN은 공통된 Rooo Bright와 Blocking Port를 사용하게 된다. (이유는 MAC주소에 의해서 Root bridge와 포트 역할이 결정되기 때문이다.) - 결과적으로 모든 VLAN은 동일한 경로를 사용하여 트래픽을 전송하기 때문에 부하 분산이 되지 않는다. - 관리자는 필요에 따라 각 VLAN 트레픽이 다른 경로로 사용할 수 있도록 STP 경로 조정을 수행해야 한다. STP 경로 조정 종류 (3가지) 1. ..

STP Timer 1) Hello : 2초 Configuration BPDU가 교환되는 주기. 2) Max-age : 20초 간접 Link 단절 시 Blocking 상태에서 대기하는 시간을 의미. (Hello Packet을 10번 보내는 시간) 3) Forward Delay : 15초 Listening과 Learning 상태에서 대기하는 시간을 의미. Blocking에서 Forwarding 상태로 전환되는 시간 1) 직접 Link 단절 시 (30초의 STP Convergence Time) Listening(15초) -> Learning(15초) -> Forwarding 2) 간접 Link 단절시 (50초의 STP Convergence Time) Blocking(20초) -> Listening(15초) -..

1. STP 개념 - 이더넷 프레임 장비들 사이에서 이더넷 프레임 루핑을 방지해 주는 역할을 수행하는 프로토콜 - 이더넷 프레임 루프가 발생하면 브로드캐스트 폭풍, MAC주소 불안정, 이중 프레임 수신 현상발생 2. Configuration BPDU(설정 BPDU) - Switch의 경우 기본적으로 2초마다 Configuration BPDU를 주기적 교환을 수행한다. 각 Switch는 수신한 'Configuration BPDU'의 다음 3가지 필드 값을 기준으로 Switch의 역할과 각 Port 역할을 결정하게 된다. 1. Bridge ID - 브리지나 Switch가 통신을 할 때 서로를 확인하기 위해 하나씩 가지고 있는 ID이다. - Bridge ID가 가장 낮은 Switch가 Root switch로 ..

GLBP(Gateway Load-Balancing Protocol) - Group마다 Virtual Router가 1개 생성된다. - Virtual Router 하나 당 Virtual IP 주소가 하나 할당된다. - 하나의 Virtual IP에 Virtual MAC 주소가 기본적으로 4개가 생성된다. - 결과적으로 4대의 Gateway 장비를 동시에 사용하는 것이 가능하다. - AVF 중 하나의 장치를 AVG(Active Virtual Gateway)로 선출한다. - AVG는 AVF의 가상 MAC 주소를 관리하고, 내부 End Device가 Gateway에 대한 ARP를 요청하는 경우Loadbalancing 방식에 하나의 AVF 가상 MAC 주소를 응답하게 한다. AVF 선출 조건 - GLBP Prior..

VRRP(Virtual Redundancy Protocol) - 표준 Protocol - IP Protocol 112번 사용 - Master / Backup - Hello 주기: 1초 / Hold Time: 3초 - Multicast: 224.0.0.18 - VirtualMac Address: 0000.5e00.01NN (NN은 Group Number) - Active 장비가 선출되는 조건 0) Owner 장비가 Master로 선출. 1) VRRP Priority 값이 높은 장비가 Active로 선출. (Default: 100, Max: 255) 2) VRRP Priority 값이 동일한 경우 실제 IP 주소의 숫자가 더 큰 장비가 Active로 선출. - HSRP의 경우 실장비의 IP 주소를 Virtu..

FHRP(Frist Hop Redundancy Protocol) - Gateway 이중화 Protocol 이라고도 한다. - 물리적으로 Gateway 장치를 이중화 구성하여 외부로 전송되는 트래픽에 대해 Available(가용성)을 제공하는것이 가능하다 - 일반적으로 End Device와 Gateway 장치 사이에 구성되는 Protocol이다. - PC와 같은 End Device는 Dynamic Routing Protocol을 구성하지 않기 때문에 Gateway 장치에 장애가 발생해도 자동으로 경로가 우회되지 않는다. 이러한 문제를 해결하기 위해 FHRP 구성이 필요하다. - End Device가 아닌 L3 Device 사이에서는 Dynamic Routing Protocol 구성을 할 경우 자동으로 경로..

SVI(Switched Virtual Interface)로 라우팅 SVI 100: 1.1.10.254/24 SVI 200: 1.1.20.254/24 SVI 300: 1.1.30.254/24 SVI 400: 1.1.40.254/24 - 각각의 VLAN을 SVI를 이용하여 통신되게 설정 백본 스위치 설정 트렁크(Trunk) 설정 BB(config)#int fastethernet 0/10 BB(config-if)#switchport trunk allowed vlan 100,200,300,400 BB(config-if)#switchport mode trunk BB(config-if)#switchport native vlan 100 BB(config-if)#switchport nonegotiate L3스위치 설정..

SVI(Switched Virtual Interface) - SVI는 Switch에서 사용하는 가상(논리적) Interface이다. - show running-config를 입력해보면 관리자가 별도로 생성하지 않아도 기본적으로 VLAN 1의 SVI가 생성되어 있다. (L2 / L3 Switch 공통) - VLAN 1뿐만 아니라 VLAN Database에 있는 VLAN을 사용하여 필요한 경우 해당 VLAN의 SVI를 생성하는 것이 가능하다. SVI를 사용하는 목적 1) L2 Switch - 관리(ManangeMent) 용도: Remote Connect(Telnet / SSH / SYSLOG / NTP / SNMP ...) 2) L3 Switch - 관리(ManangeMent) 용도: Remote Conne..

1. Switch Port 역할 1) L2 Port IP 주소가 할당되어있지 않다. Switch Port Mode (Access / Trunk / Tunnel) 2) L3 Port IP 주소가 할당되어있다. Routed Port / SVI(Switched Virtual Interface) L2 Switch(catalyst 2960)의 경우 물리적인 포트는 ‘Switchport(L2)’ 역할만 가능하기 때문에 IP주소를 할당할 수 없고, Access / Trunk / Tunnel 모드로 동작된다. L3 Switch(Catalyst 3550 이상)의 물리적인 포트는 ‘Switchport(L2)’ 역할과 ‘Routed Port(L3)’ 역할 중 하나를 관리자가 선택하여 사용하는 것이 가능하다. 기본적으로 Sw..

Inter-VLAN Routing - VLAN으로 스위치로 네트워크를 나누면 나눈 네트워크 대역끼리는 통신을 하지 못한다. - 서로 다른 VLAN 사이에서 통신이 가능하도록 L3 Device(라우터 / L3 스위치)를 사용하여 Routing을 구성하는 것을 의미한다. (아래 화면에 있는 VLAN,Trunk 네트워크 구성 방법은 아래 링크 참조!!) https://peemangit.tistory.com/11 VLAN, Trunk 구성 Network 구성도 - 1F에 교실(VLAN 100) , 행정실(VLAN200), 교수실(VLAN300)으로 구성되어있다. - 2F, 3F에도 똑같이 3개의 방으로 구성되어 있고 각각 다른 VLAN으로 구성되어있다. - 각 층에있는 교실, 행정실.. peemangit.tis..

VLAN이란? 데이터 링크 계층에서 브로드캐스트 도메인을 나누기 위해 사용하는 논리적인 LAN이다. 스위치에 흐르는 데이터를 분석하려면 허브와는 달리 Port Mirroring 기능을 사용해야한다. Network 구성도 - 1F에 교실(VLAN 100) , 행정실(VLAN200), 교수실(VLAN300)으로 구성되어있다. - 2F, 3F에도 똑같이 3개의 방으로 구성되어 있고 각각 다른 VLAN으로 구성되어있다. - 각 층에있는 교실, 행정실 교수실을 Switch를 이용하여 연결해야 한다. - VLAN100번은 Native Port로 연결해야 한다. Trunk 포트 - 복수개의 VLAN을 구성할 경우 스위치는 모든 VLAN을 전송해야 함으로 Trunk 포트를 사용해야한다. SW1 ~ 3(F1 ~ F3 S..