680 likes | 1.13k Views
RIP. 2. IBGP 가 다수일 경우 IGP(rip, OSPF,….) 가 가까운 곳 ( 목적지까지 비용이 적은 곳 ) 이 최적경로로 선정. 이 라우터는 IBGP 2 개경로 ( 위 , 아래 ) 가 있음. 1. 위의 그림에서 Rip 이 돌고 있다고 가정하면 아래쪽라우터 (1) 와 맨위라우터 (2) 중 아래쪽 라우터가 가까우므로 이 쪽 경로를 최적경로로 취급. 출력경로정책 Weight, load- proference 등이 여기에 속함. ①. 1. ②.
E N D
RIP 2 IBGP가 다수일 경우 IGP(rip, OSPF,….)가 가까운 곳(목적지까지 비용이 적은 곳)이 최적경로로 선정 이 라우터는IBGP 2개경로(위, 아래)가 있음 1
위의 그림에서 Rip이 돌고 있다고 가정하면 아래쪽라우터(1)와 맨위라우터(2) 중 아래쪽 라우터가 가까우므로 이 쪽 경로를 최적경로로 취급 출력경로정책 Weight, load-proference등이 여기에 속함 ① 1 ② 1라우터에서 ①과 ② 중 어디로 나가야할지 결정
입력경로정책 1 ① ② 1라우터에서 ①과 ② 중 어디로 들어와야 하는지 결정
As 1000 Local-preference ebgp경로 다수일 때 먼저 연결된 경로가 아닌 내가 임의로 조정할 수 있도록 하는 속성값 ibgp에서만 전파 As간 여러 경로가 있을 때 내가 원하는 쪽으로 정보를 보내고 싶을 때 사용 As100안에서는 local-preference전파됨 어디로 갈지 속성값 조절하여 어디로 보낼지 결정 500 200 400 300 As 100
Weight(in만 가능) Neighbor 13.13.13.1 route-map weight in in 상대방 자신 Weight : 전파x Local-preference : AS내에서만 전파 나머지 : 전파가능
2 GPN은 터널이 있어야 열어서 읽을 수 있음 9.2 8.2 9.1 8.3 1 3 DATA L3 L3 L2 102 SA:9.1 G P N SA:13.2 ICMP 8 DA:8.3 DA:13.4 공중망에서 3라우터에서 4 5 2라우터는1라우터에서 보낸 정보에서 GPN앞의 정보만 읽어서 볼 수 있음 13.2 13.4
AH-인증, ESP-암호화, 인증 1. 데이터 암호화<-비밀키로 2. 비밀키암호화<-공개키로 무결성– 중간에 정보가 안 바뀐 것 확인 black sypher – 블록 단위 암호화 stream syphter –비트, 바이트단위 암호화
IPSec의 동작 phase 1 phase 2 라우터 라우터 라우터 라우터 SA SA 서로 맞는지 인증(확인), 세션키 협상, 세션연결 공개키 분배(IKE프로토콜을 이용하여 분배) 비밀키 설정, 공개키를 이용한 비밀키 공유방식 설정 phase1의 sa는 phase2의 sa를 보호함 암호화된 데이터를 주고 받을 sa생성 sa를 이용한실제 실제 암호화된 정보 보냄 데이터 암호화, 인증방식 설정 phase 1의 세션 phase 2의 세션
phase 1에서 암호화 방식 phase 2에서 사용할 비밀키방식의 비밀키를 암호화하여 각각의 라우터에게 분배하여 암호화 데이터가 송수신 될 수 있도록 해야 함 암호화 복호화 비밀키 암호화된 비밀키 공개키방식의 개인키 + 공개키방식의 공개키 비밀키방식 비밀키(대칭키) = 개인키 +공개키 = 복호화키
phase 1에서 암호화 방식 키 모음 비밀키방식 비밀키(대칭키) 공개키방식의 개인키 + 공개키방식의 공개키 키 분배 (IKE프로토콜이용) = 개인키 +공개키 = 복호화키 암호화된 비밀키 세션키 키 분배 프로토콜(IKE (Internet Key Exchange))을 이용하여 키 분배 IKE는 를 주기적으로 바꿔서 각각의 라우터에게 분배함 다른 키도 마찬가지로 주기적으로 변경
phase 2에서 암호화 방식 비밀키방식 비밀키(대칭키) 암호화된 data 암호화된 data 암호화된 data IKE로부터 받은 비밀키를 이용하여 data암호화,복호화 암호화된 data data를 암호화하는 방법 설명 비밀키으로 복호화 data 암호화된 data 비밀키으로 암호화
암호화 방식 비밀키방식 비밀키 비밀키방식로 암호화 암호화된 데이터 데이터 비밀키방식로복호화 비밀키
암호화 방식 공개키방식 개인키 개인키로 암호화 암호화된 비밀키 비밀키 복호화키로복호화 <개인키+공개키> = 복호화키
인증 방식 인증을 하면 데이터 전체를 감싸서 보호하게 됨 감싼 부분이 조금이라도 깨지면 인증은 실패 인증방식에 대해서는 잘 알지 못하다 대충 설명하자면 인증키를 이용한인증 data data data 라우터 라우터 data
IPSec의 동작 [Phase 1] 1. 세션키를 이용한 라우터끼리의 세션연결 라우터 라우터 SA 2. Phase 2에서 데이터 암호화, 복호화하기 사용되는 비밀키 방식의 비밀키를 암호화하기 위한 개인키(공개키방식) 설정
3. 비밀키를 공유하기 위한 공개키방식 설정 비밀키 방식의 암호화된 비밀키 공개키 방식의 개인키, 공개키 비밀키 공개키방식으로비밀키암호화 키 분배 라우터 라우터 SA 키 분배에는 암호화와 인증이 사용됨 키 분배를 위해 ike프로토콜 이용함 ike프로토콜은 Key의 생성과 교환, 그리고, 안전성을 높이기 위해 열쇠의 정기적으로 갱신을 자동적으로 실시, 세션키를 통한 세션연결 키 분배를 받고 암호화된 비밀키를공개키방식으로복호화하여비밀키를 얻고 그 비밀키를 이용하여 데이터를 암호화하는 것임
IPSec의 동작 [Phase 2] 1. 데이터 암호화, 인증을 위한 방식 설정 암호화 방식 : 예)esp-3des 인증 방식 : 예)esp-sha-hmac 2. 데이터 암호화, 인증을 위한 세션 설정(설정없이 자동으로 설정됨)
ipsec소스내용를 크게 본다면 crypto map crypto isakmp phase 1 인터페이스 crypto map적용 crypto ipsec transform-set phase 2
수동키를 이용한 ipsec (ccnp책 91쪽) no crypto isakmp enable (자동키disable) ---------------------------------------------------------------------- 설명 : isakmp은 phase1을 나타냄 ---------------------------------------------------------------------- access-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255 ! crypto ipsec transform-set CISCO esp-des esp-md5-hmac ---------------------------------------------------------------------- 설명 : phase2 설정 (데이터 암호화, 인증 설정) ---------------------------------------------------------------------- crypto map IPSEC 10 ipsec-manual ---------------------------------------------------------------------- 설명 : crypto map을 통해서 ipsec을 interface에 적용하게 됨 IPSEC = crypto map의 이름, 10 = IPSEC에서 적용되는 순서를 나타냄 인증방식 암호화방식 IPSEC 10 나이 20 이름 30 성별
위의 내용을 이어서 ipsec-manual (수동키 설정) ---------------------------------------------------------------------- set peer 13.13.10.3 (상대방 phase2 장비의 주소) set transform-set CISCO (앞에서 정의한 transform-set CISCO phase2 조건 적용) set session-key outbound esp 768 cipher abcd1234 authenticator 1234 --------------------------------------------------------------------------- 설명 : seesion-key (세션키 정의를 하겠다는 의미) outbound (세션은 입력과 출력별 각각 필요) esp 768 (세션키 정의, 상대방과 같아야 함) chipher abcd1234 (암호화키 정의, 16진수 짝수이어야 함, 상대방과 같아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함) authenticator 1234(인증키 정의, 16진수 짝수이어야 함, 상대방과 같아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함) --------------------------------------------------------------------------- match address 110 (앞에서 정의한 access-list 110에 일치한다면 crypto map 적용)
자동키를 이용한 ipsec (ccnp책 95쪽) acess-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255 crypto isakmp policy 10 ---------------------------------------------------------------------------------------- isakmp (phase 1)적용, 자동키 사용 설정 10 = policy가 적용되는 순서를 나타냄 ----------------------------------------------------------------------------------------- encryption 3des (공개키방식의암호화방식 설정) hash sha (공개키방식의 인증방식 설정) group 2 (키 교환 방식 설정 – 밑의 authentication과는 별개, 비밀키를 어떻게 받을 것인가) authentication pre-share (한번 비밀키를 정하고 바꾸지 않음) ----------------------------------------------------------------------------------------- 비밀키 방식의 비밀키를 어디서 받을 것인지 설정 키 분배 하는 방식 한번 비밀키 정해지면 바꾸지 않음 공개키 방식의 키를 생성하는 서버에서 받음 자동으로 ike에서 생성해서 받음 ----------------------------------------------------------------------------------------- policy 10 나이 20 이름 30 성별
crypto isakmp key 6 cisco address 13.13.10.3 --------------------------------------------------------------------------------------------- isakmp (phase 1을 나타냄) 6 (적용되는 순서를 나타냄) cisco (비밀키 방식의 개인키 = phase 2에서 사용) address (상대방의 ip주소를 설정) 여기까지가 phase 1설정 --------------------------------------------------------------------------------------------- crypto ipsec transform-set CISCO esp-3des esp-sha-hmac --------------------------------------------------------------------------------------------- phase2 설정 --------------------------------------------------------------------------------------------- crypto map IPSEC 10 ipsec-isakmp --------------------------------------------------------------------------------------------- set peer 13.13.10.3 (상대방 ip주소 설정) set transform-set CISCO (crypto phase2의 설정 적용) match address 110 (access-list 110에 해당되면 crypto map을 적용) int s1/1.13 crypto map IPSEC (인터페이스에 crypto map 적용) 인증방식 암호화방식
수동키를 이용한 ipsec은 세션키를 설정해야하지만 자동키를 이용한 ipsec은 세션키를 자동으로 생성하여 자동설정함
ezvpn 인터넷망을 이용해서 외부 어디서든 회사 내부의 pc에 접속할 수 있도록 함 (내부에서 pc가 연결되었다고 가상으로 만듬) internet 접속방법 1. 외부 라우터에서 접속 (설정필요) 2. 외부 pc에서 접속 (접속프로그램 필요) 회사내부(사설망) 가상 pc연결 192.168.1.0/24 (사설ip서버컴퓨터)
ezvpn소스 설명 (p111~p112의 내용 : server) username admin privilege 15 password cisco ------------------------------------------------------------------------------------------ username (user이름 설정) privileage (권한 설정) password (암호 설정) ------------------------------------------------------------------------------------------ aaa new-model (aaa 새로 설정함) aaa authentication login EZVPN_Client local aaa authorization network EZVPN_Group local ------------------------------------------------------------------------------------------ authentication (인증설정) -> login(로그인 설정) -> EZVPN_Client(로그인 설정에 대한 이름을 설정) -> local(local DB의 정보를 참조하여 인증) authorization (권한부여) -> network (Network Service 권한 설정, network 접속허가) -> EZVPN_Group (권한 설정에 대한 이름을 설정) -> local(local DB의 정보를 참조하여 권한부여) -------------------------------------------------------------------------------------------- crypto isakmp policy 10 authentication pre-share hash md5 encryption 3des group 2
ezvpn소스 설명 ip local pool EZ_POOL 150.1.13.100 150.1.13.110 ------------------------------------------------------------------------------------------- local pool (접속이 허락되면 허락할 ip주소를 설정하겠음) EZ_POOL (local pool의 이름 설정) 150.1.13.100 150.1.13.110 (150.1.13.100 ~ 150.1.13.110 사이의 ip주소를 할당함) ------------------------------------------------------------------------------------------- crypto isakmp client configuration address-pool local EZ_POOL ------------------------------------------------------------------------------------------- isakmp (crypto의 phase1 설정) client configuration (접속이 허락된 client에대한 설정) address-pool (주소를 설정하는 pool설정) local EZ_POOL (local에 있는 EZ_POOL을 설정적용) ------------------------------------------------------------------------------------------- crypto isakmp client configuration group EZ_Group ------------------------------------------------------------------------------------------- group (그룹인증을 설정) EZ_Group (그룹인증에 대한 이름설정) ------------------------------------------------------------------------------------------- key cisco1234 (그룹에 대한 인증을 위한 암호(키)를 설정) pool EZ_POOL (그룹에 위에서 설정한 EZ_POOL적용) acl 113 (access-list 113을 적용, split 터널링 설정(터널기법을 사용함))
ezvpn소스 설명 crypto isakmpxauth timeout 45 -------------------------------------------------------------------------------------------- isakmpxauth (1.5phase로ipsec를 이용하기 위해서 id와 password를 물어보도록 설정) time out (45초 이후에는 자동으로 id와 password 묻는 것을 종료, 접속끊음) -------------------------------------------------------------------------------------------- access-list 113 permit ip 150.1.13.0 0.0.0.255 any -------------------------------------------------------------------------------------------- 가상으로 터널을 뚫도록 하기위해서 설정 -------------------------------------------------------------------------------------------- crypto ipsec transform-set TEST esp-3des esp-md5-hmac crypto dynamec-map EZVPN 10 -------------------------------------------------------------------------------------------- crypto map (정해져 있는 장비 연결) crypto dynamic-map (정해지지 않은 장비 연결) -------------------------------------------------------------------------------------------- ? ? 어디서에서 무슨 장비가 연결이 될 지 모름
ezvpn소스 설명 settransform-set TEST (phase2의 내용 crypto dynamic-map에 적용) reverse-route (원래는 정보가 전달 될때 회사의 라우터까지 정보가 왔다가 가야 되지만 이 설정을 통해서 자신의 위치에 가까운 라우터의라우팅정보를 보고 정보가 전달 됨) internet 회사내부(사설망) 가상 pc연결
ezvpn소스 설명 crypto map EZVPN client authentication list EZVPN_Client crypto map EZVPN isakmp authorization list EZVPN_Group crypto map EZVPN client configuration address respond crypto map EZVPN 10 ipsec-isakmp dynamic EZVPN ------------------------------------------------------------------------------------------- 위의 2개는 aaa내용, 아래 2개는 vpn내용 인터페이스에는 crypto map만 적용 가능하므로 aaa와 vpn을 crypto map으로 변환시킴 respond (설정한 내용으로 반응을 함) ----------------------------------------------------------------------------------------------- int s1/1 crypto map EZVPN (인터페이스에 crypto map을 적용)
ezvpn소스 설명 (p112~p113의 내용 : client) crypto isakmp policy 10 authentication pre-share hash md5 encryption 3des group 2 crypto ipsec client ezvpnVPN_Connection (ezvpn의 client에 대한 crypto 설정) connect auto (자동으로 연결함) group EZ_Group key cisco1234 (이용할 수 있는 권한을 받기위한 그룹에 대한 내용을 입력) mode network-extension (외부에서 접속을 가능하게 함) peer 13.13.10.1 (상대방 ip주소) int s1/1 crypto ipsec client ezvpnVPN_Connection outside (ezvpn을 연결할 라우터 쪽의 인터페이스 임을 나타냄) int f0/1 crypto ipsec client ezvpnVPN_Connection inside (자신의 내부망을 연결하는 인터페이스임을 나타냄) alias exec ezvpn crypto ipsec client ezvpnxauth (exec명령어창에서 crypto ipsec client ezvpnxauth을 ezvpn명령어로 축약하여 사용) alias exec bye clear ipsec client ezvpnVPN_Connection (exec명령어창에서 clear ipsec client ezvpnVPN_Connection을 bye명령어로 축약하여 사용)
wan, lan둘다layer2에 속함 layer2는 같은네트워크를 나타냄 hub (하나의 collison) switch (ethernet을 사용, collsion분할) ethernet이 없으므로 데이터 전송시 충돌이 있음 숫자가 낮을수록 우선순위가 높음 모든 포트 열려있음 포트마다 cpu할당량이 있음 포트 0은기본 예약되어 있음
라우터 브로드캐스트 분할 숫자가 높을수록 우선순위 높음 모든 포트 닫혀있음
sw pc 4: 192.168.1.4 mac : 444.444.444 pc 1: 192.168.1.1 mac : 111.111.111 데이터 전송시ip만 알고 mac address를 모를 때 1. 브로드캐스트 보냄 2. sw는 들어온 포트의 mac address 저장 3. sw는 flooding수행(들어온 곳 빼고 전부 데이터 전파) 4. 모든 pc는 들어온 패킷의 정보확인 5. 목적지에 해당하는 pc4에서 패킷을 확인하고 응답패킷 보냄
6. sw가 mac address를 보고 데이터를 보낸 pc1로 정보 전달 7. 알아낸 pc4의 mac address를 이용하여 패킷 보냄 8. pc1 -> sw -> pc4(icmp정보 전달) pc4 -> sw -> pc1(icmp응답 정보 전달)
스위치 주요기능 ageing flooding filtering (들어온 패킷 포트로 패킷을 내보내지 않음 (loop방지)) forwarding learning 브로드캐스트 많아지면 장비 부하, 대역폭 사용할 수 있는 양이 감소 vlan 2 vlan 1 vlan 3 vlan 4 vlan 4 vlan 5 trunk : 한 포트로 vlan을 여러 개 사용가능하게 함
v10 v10 v10 1 2 3 v30 v30 v20 v20 v20 2에 vlan 30에 대한 내용이 없으므로 vlan 30의 내용은 1 -> 3으로 전달 안됨 (trunk 설정해도 안됨) 서브인터페이스 – ethethernet불가능 fastethernet가능
vlan한번에 여러 개 추가하면 revision 1만 증가됨 일치시키는 개수만큼 revision수 증가 trans parent는 revision 무조건 0 server client 일치 standard vlan, extended vlan설정 = trans parent trans parent만 extendedvlan설정가능 standard vlan설정 = server 또는 client no switchport <- l2 기능 끄기 (l3 스위치만 사용가능) switchport <- l2 기능 사용
blk 기존 bpdu 자신이 만든 bpdu root back up 기존의 bpdu보다 오른쪽에서 들어온 bpdu가 안 좋으므로 오른쪽에서 들어온 bpdu 무시 20초 경과 후 밑에 쪽에서 연결이 오류되었다고 생각하고 blk된 것을 listen -> learning ->forwarding으로 상태변환 (50초 소요) root-bridge와 back up-bridge 연결이 아닌 곳은 30초 소요
스위치끼리 trunk를 자동 잡음 access모드는 trunk 안 잡힘 access모드는 하나의 vlan만 사용 (다른 vlan이 없기 때문에 브로드캐스트 생성x) access와 trunk를 연결하면 trunk가 안 잡힘 trunk면 모르는 vlan도 다른 곳에 전달 access면 모르는 vlan은 다른 곳에 전달x 1 ①이 고장나면 1스위치는 blk포트를 열음 ②이 고장나면 superior bpdu를 받게 되어 20초 후 listen상태가 됨 blk ① ②
loop guard현상 blk ①이 대역폭을 너무 사용하여 bpdu가 오지 못하여 blk이 열리는 현상이 자주 발생하는 현상 ① 기존 pvst rstp root root tc tcubpdu tc back up back up tc tcu : 변경 승인 요청 tc : 변경 승인(root만 가능) 먼저 고친 후 tc보고 어디서든 tc발생
mst v1 ~ 10 stp각각 하나의 그룹 v11 ~ 20 stp v21 ~ 30 stp mst 0 <- 설정하지 않은 모든 vlan을 관리 port-chanel에 trunk를 설정 -> interface에 적용됨 L3 L2 L2 L3 R R SW SW SW SW vlan에 ip에 대응되는 설정 vlan ip data 패킷
L3스위치 ip routing -> router 기능 사용 port-security protect:설정한 mac만 허용 restict:추가설명내용 shutdown:설정한 mac주소 이외는 차단 sticky:처음 들어온 장비의 mac주소를 기억함(허용으로) switchport port-security : 마지막에 이걸 넣어야 적용됨 switch mode access 여야함(trunk 모드이면 access보다 많은 vlan이 가능하므로 여러 mac주소가 들어오게 됨)
INTERNET INTERNET 1 2 가상 라우터 가상라우터가1라우터를 기본으로 사용함 2라우터는대기중(포트열려있음) 1라우터가고장시가상라우터는2라우터 사용 가상라우터의 포트주소를 사용함 내부만 HSRP & VRRP 관리
라우팅프로토콜을이용할때고장시 다른 것으로 대체 – 약 30초 hsrpor vrrp이용시– 약 2초 INTERNET mac을 얻기 위해 브로드캐스트를 이용 arp테이블을 만들때가상라우터의mac를 얻는데 그 mac주소는 규칙이 있음 hsrp–> vrrp (동시에 두가지 돌아가지 않음 장비 초기화하고 해야 함)
원래 스위치는 감시 안됨 스위치는 포트별로cpu사용량 할당됨 f0/0 – sw자체 사용 line vty 0 4 login local(local은 자신의 컴퓨터에서 정보를 참조한다는 뜻 원래는 서버주소가 적혀야 함) privilige exec level 2 configure terminal configure level 2 configure terminal interface level 2 configure terminal router level 2 configure terminal r1(config-if)# r1(config-router)# r1# r1(config)#
공개키 방식 자신 (a, p ,q) 암호화키: AK 상대편 (a, p ,q) 암호화키: Bk 암호화키 계산법 : pa mod q = Ak 복호화키 계산법 : Bk(상대방 암호화키)mod q = 복호화키 암호화키는 서로 다르고 복호화키는 서로 같음
ACL 에서 ip는 모든 트래픽의미 eq를 생략하면 any의 의미 => 모든 포트 번호 출발지 주소 : 나가는 인터페이스가 됨 (어떤 프로토콜을 사용하던지) telnet 연결 시도 끊는 단축키 = crtl + shift+6 다음에 x telnet 150.1.13.254 80(포트번호) /source-interface f0/1(출발지 ip설정) deny any any <- 방화벽개념 이것하기 전에 허용하고자 하는 것을 설정해놔야 함 establish 에서 RST는 RESET(강제종료)을 의미 (request x)
reflect ACL 트래픽을 못 나가도록 통제하는 목적이 아니라 나간 트래픽에 대한 응답의 내용을 받을 수 있도록 하기 위한 것
tcp flag비트 fragementation offset -> 쪼개진 순서 나타냄 protocol -> L4(상위프로토콜)가 무슨 프로토콜을 나타내는지 표시 mr (1로 설정되면 뒤에 패킷이 더 있음을 의미) 자르지 말것 (1로설정시 패킷을 나누지 말것을 의미 1 1 1 0 L2 L3 L4
acl -=> layer4계층까지 밖에 안됨 cbac => 응용프로그램 계층까지 지원 cbac -> access-list dos공격 host 1. host가 syc만 계속 보냄 2. server가 열 수 있는 포트제한 에 도달해서 더 이상 포트를 열 수 없음 라우터 ① syc ②ack, syc server ③ack를 주지않음