네트워크 구성 각 라우터, 스위치에 인터페이스 설정 및 HSRP로 구성되어있다. 여기에 IPv6 RIP을 추가하여 본사와 지사 간 Ripv6을 통한 연결 그리고 인터넷 망으로 통신이 가능하게 하려고 한다. 1) IPv6 Dynamic Routing Protocol 등장 배경 - 기존 IPv4에서 사용되었던 Dynamic Routing Protocol들의 경우 32bit Network 주소 정보만 교환이 가능하다. - Routing Protocol을 사용하여 128bit의 IPv6 정보를 교환하는 것은 불가능하다. - IPv6 Network 정보를 교환하기 위한 목적으로 IPv6 RIP (RIPng)/IPv6/EIGRP/OSPFv3/MBGP(BGP4+)가 사용된다. 2) IPv6 RIP (RIPng) - ..

네트워크 구성 1) 라우터 인터페이스 설정 - HQ, ISP, Branch 라우터의 인터페이스를 IPv6로 설정한다. conf t ipv6 unicast-routing int fa 0/1 ipv6 add 2001:1:1:1::FE/64 no sh ! int fa 0/0 ipv6 add 2001:12:12:12::1/64 no sh ! conf t ipv6 unicast-routing int fa 0/0 ipv6 add 2001:12:12:12::2/64 no sh ! int fa 0/1 ipv6 add 2001:23:23:23::1/64 no sh ! conf t ipv6 unicast-routing int fa 0/0 ipv6 add 2001:23:23:23::2/64 no sh ! int fa 0/1..

1) IPv6 도입 배경 - 현재 사용되고 있는 IPv4는 컴퓨터와 인터넷 등 네트워크의 광범위한 사용을 예측하지 못하던 시대에 등장하였다. - 90년대에 Web이 도입되면서 IP를 쓰는 곳들이 점점 많아져서 2011년에 42억 개인 IPv4 주소의 개수가 고갈된다. - Classless, NAT, PAT 등 가용 IP를 늘리기 위해 다양한 방법을 사용하고 있지만 현재에도 냉장고, 시계 각종 IoT 등 다양한 IP를 쓰는 장비들이 추가되고 있다. - IPv4는 다르게 IPsec(Internet Protocol Security)을 지원하지 않는다. 2) IPv6 Format - 128 Bit의 크기를 가지고 있다. - 16진수로 표현하기 때문에 총 32자리의 숫자로 표현된다. - 16진수 4개의 숫자마다 ..

네트워크 구성 1) EoMPLS 구성 xconnect 2.2.2.2 12 encapsulation mpls PE2의 LDP IP 번호는 2.2.2.2이기 때문에 해당 IP주소로 지정한다. VL 번호를 12번으로 지정한다. conf t int e 0/0.10 encapsulation dot1q 10 xconnect 2.2.2.2 12 encapsulation mpls exit conf t int e 0/0.10 encapsulation dot1q 10 xconnect 1.1.1.1 12 encapsulation mpls exit int e 0/0.20 encapsulation dot1q 20 xconnect 4.4.4.4 23 encapsulation mpls exit int e 0/0.20 encapsu..

네트워크 구성 1) MPLS 개념 - 기본적으로 L3 장비는 IP 헤더의 목적지 IP주소 정보를 확인하여 패킷 전송 경로를 결정한다. (Routing) - MPLS를 사용하게 되면 Routing과 다르게 L2헤더와 L3헤더 사이에 위치한 Label정보를 사용하여 목적지 네트워크로 Switching을 수행한다. - IP 프로토콜이 아닌 다른 프로토콜의 패킷도 전송이 가능하다. - IP 헤더 앞에 위치한 Label 정보를 기반으로 경로가 결정되기 때문에 기존 Routing 방식보다 빠른 전송이 가능하다. - MPLS TE(Traffic Engineer)를 사용할 경우 망의 활용도가 높아진다. - MPLS를 사용하면 대규모 VPN 망을 구성하는 것이 수월하고 본-지사를 연결하는 목적으로 많이 활용되고 있다. ..

네트워크 구성 1) UTM 인터페이스 설정 - Interfaces 항목에 오면 관리용 인터페이스(192.168.100.100/24)만 설정되어있다. - UTM에 IP 주소를 부여하기 위해서 새로운 인터페이스를 생성한다. - BVI(192.168.2.100/24)라는 이름의 Ethernet 2번 인터페이스를 생성한다. - 2개의 인터페이스가 적용된 것을 확인할 수 있다. 2) UTM Bridge Configuration 설정 - Bridge all NICs는 모든 인터페이스를 L2로 사용하겠다는 의미이다. - Ethernet 3번은 관리 용도이기 때문에 L2로 사용하면 안 된다. - Ethernet 0번과 1번을 L2로 동작하게 설정하고 이전에 설정한 BVI(Ethernet2)도 추가한다. - 3개의 인터..

네트워크 구성 IP 주소 Web Server(Window Server): 192.168.2.2/24 외부 사용자(Window_B): 2.2.2.1/24 UTM(Sophos 9): DNAT 적용된 External IP: 1.1.100.3 - 외부 사용자가 SQL Injection , XSS 공격을 수행할 경우 UTM 장비를 통해 방어하려고 한다. 1) Web Application Firewall을 활성화하는 이유 - 외부에서 웹 서버에 접근할 때 바로 웹서버로 패킷이 이동하는 것이 아닌 가상 서버(UTM)를 통해서 웹 서버로 가도록 설정하려고 한다. - UTM 장비에서 Web Proxy를 통해서 SQL Injection 공격을 필터링한 후 웹 서버에게 패킷을 전달한다. 2) UTM에서 Web Proxy 설..

네트워크 구성 IP 구성 Window_B (외부 사용자): 2.2.2.1/24 WinSVR_A (DNS_Server): 192.168.2.1/24 WinSVR_B (Web_Server): 192.168.2.2/24 WinSVR_C (FTP_Server): 192.168.2.3/24 - 외부 사용자가 DMZ에 있는 DNS_Server에 접근 가능하도록 설정하려고 한다. UTM Secondary External Interface 추가 - Destination NAT를 처리하기 위해서 Secondary Interface를 추가해 주기 위해서 Interfaces & Routing → Interfaces → Additional Address → +New additional address... 를 클릭한다. - 1..

네트워크 구성 IP 구성 WinSVR_A (DNS_Server): 192.168.2.1/24 WinSVR_B (Web_Server): 192.168.2.2/24 WinSVR_C (FTP_Server): 192.168.2.3/24 - Client_A에서 DNS 조회와 Web브라우저, FTP 접속을 허용하려고 한다. UTM에서 DNS 조회 설정 Networ Protection → Firewall → Rules → +New rule...을 클릭하여 정책을 추가한다. - 외부에서 DMZ로 가는 패킷을 조정해야 하므로 Source(출발지)를 파일 아이콘을 클릭하여 Drag And Drop으로 옮겨서 Internal (Network)로 설정한다. - 허용할 서비스는 DNS이기 때문에 Drag And Drop으로 옮..

네트워크 구성 인터페이스를 설정할 IP 정보 - Internal 192.168.1.254/24 - DMZ 192.168.2.254/24 - External 1.1.100.2/29 - Management 192.168.100.100/24 - 인터페이스를 설정 후 Window_A(192.168.1.1/24)에서 외부, DMZ로 통신이 가능하도록 설정하려고 한다. 1. 기본 인터페이스 Management로 변경 - Interfaces & Routing → Interfaces 항목에 들어가서 기본으로 설정되어있는 eth3번 포트에서 Edit 버튼을 클릭한다. - Name을 Management로 바꾼 후 Save 버튼을 클릭한다. 2. Internal 인터페이스 추가 - Interfaces & Routing → ..

BGP 개념 및 eBGP 설정을 보시려면 아래 링크 클릭! BGP 개념 및 설정(1/2) [Router] BGP(Border Gateway Protocol) 개념 및 설정 (1 / 2) BGP(Border Gateway Protocol) 개념 - TCP 포트 179번을 사용하고 유니캐스트 방식으로 교환한다. - IGP와 다르게 직접 연결되어 있지 않은 장비와 BGP Peer(Neighbor) 관계를 형성하는 것이 가능하다. eBGP Peer.. peemangit.tistory.com HQ ↔ Branch1 ↔ Branch2 구간 iBGP 구성으로 변경 기존 eBGP 정보 삭제 - 이 경우 반대편 라우터에서 BGP Neighbor 지정 시 Update-Source를 상대방 라우터가 neighbor로 지정한..

BGP(Border Gateway Protocol) 개념 - TCP 포트 179번을 사용하고 유니캐스트 방식으로 교환한다. - IGP와 다르게 직접 연결되어 있지 않은 장비와 BGP Peer(Neighbor) 관계를 형성하는 것이 가능하다. eBGP Peer 종류 1) eBGP(external BGP) Peer - 서로 다른 AS 사이에서 BGP를 구성하는 경우 - eBGP Peer에게 광고받은 정보의 AD값은 20이다. 2) iBPG(internal BGP) Peer - 동일 AS 안에서 BPG를 구성하는 경우 - iBGP Peer에게 광고받은 정보의 AD값은 200이다. BGP Message 종류 1) Open - BGP Peer를 형성하기 위한 메시지이다. 2) Update - 자신의 BGP 정보를..

네트워크 구성 Floating Static Routing + IP SLA type echo protocol ipIcmpEcho 1.1.100.9 interface Outside frequency 10 1.1.100.9에 ICMP패킷을 10초 간격으로 전송 track 10 rtr 1 reachability ICMP 패킷이 잘 보내지고 있는지 감시 route Outside 0 0 1.1.100.2 track 10 Static 경로를 Track 10번이 잘동작되고 있을때만 적용 route Outside 0 0 1.1.100.3 100 AD값을 100으로 설정하여 track 10번이 동작되고 있을때는 등록되지 않는다. sla monitor 1 type echo protocol ipIcmpEcho 1.1.100...

- 인증서를 발급해주는 CA 서버와 인증서를 발급받아서 사용하는 장비의 시간이 서로 일치해야 한다. - 해당 LAB에서는 시간 서버(time.windows.com)로부터 시간을 동기화하려고 한다. 1. CE2, ASA 시간 동기화 설정 ip name-server 168.126.63.1 네임서버 IP를 KT로 지정 ntp-server time.windows.com NTP 서버를 time.windows.com으로 지정 clock timezone KOR +9 한국 시간대로 변경 conf t ip domain lookup ip name-server 168.126.63.1 168.126.63.2 ntp server time.windows.com clock timezone KOR +9 clock timezone K..

SSL(Secure Socket Layer) 개념 - SSL은 넷스케이프에서 개발하였고 TCP 기반의 Application을 보호할 수 있다. (TCP 포트 443번 사용) - TETF에서 SSL을 기반으로 표준화 작업을 진행하였고, TLS(Transport Layer Security)라고 부른다. - SSL과 TLS는 개념적으로 구조가 비슷하지만 서로 완벽히 호환되지 않는다. (SSL 3.3 = TLS 1.2, 1.3) - SSL은 비대칭키를 사용한다. 비대칭키 개념 - 비대칭키 방식은 Public Key(공개키)와 Secret Key(비밀키) 한쌍의 키를 사용한다. - 대칭키와 다르게 암호화 뿐만 아니라 무결성체크, 인증(책임추적성)을 수행한다. - RSA와 같은 Public Key 방식을 사용한 암..