rain9.com

128.0.0.0                = 10000000.00000000.00000000.00000000 = /1
192.0.0.0             = 11000000.00000000.00000000.00000000 = /2
224.0.0.0                = 11100000.00000000.00000000.00000000 = /3
240.0.0.0                = 11110000.00000000.00000000.00000000 = /4
248.0.0.0                 = 11111000.00000000.00000000.00000000 = /5
252.0.0.0             = 11111100.00000000.00000000.00000000 = /6
254.0.0.0             = 11111110.00000000.00000000.00000000 = /7
255.0.0.0             = 11111111.00000000.00000000.00000000 = /8
255.128.0.0         = 11111111.10000000.00000000.00000000 = /9
255.192.0.0         = 11111111.11000000.00000000.00000000 = /10
255.224.0.0         = 11111111.11100000.00000000.00000000 = /11
255.240.0.0         = 11111111.11110000.00000000.00000000 = /12
255.248.0.0         = 11111111.11111000.00000000.00000000 = /13
255.252.0.0         = 11111111.11111100.00000000.00000000 = /14
255.254.0.0         = 11111111.11111110.00000000.00000000 = /15
255.255.0.0         = 11111111.11111111.00000000.00000000 = /16
255.255.128.0     = 11111111.11111111.10000000.00000000 = /17
255.255.192.0     = 11111111.11111111.11000000.00000000 = /18
255.255.224.0     = 11111111.11111111.11100000.00000000 = /19
255.255.240.0     = 11111111.11111111.11110000.00000000 = /20
255.255.248.0     = 11111111.11111111.11111000.00000000 = /21
255.255.252.0     = 11111111.11111111.11111100.00000000 = /22
255.255.254.0     = 11111111.11111111.11111110.00000000 = /23
255.255.255.0     = 11111111.11111111.11111111.00000000 = /24
255.255.255.128 = 11111111.11111111.11111111.10000000 = /25
255.255.255.192 = 11111111.11111111.11111111.11000000 = /26
255.255.255.224 = 11111111.11111111.11111111.11100000 = /27
255.255.255.240 = 11111111.11111111.11111111.11110000 = /28
255.255.255.248 = 11111111.11111111.11111111.11111000 = /29
255.255.255.252 = 11111111.11111111.11111111.11111100 = /30
255.255.255.254 = 11111111.11111111.11111111.11111110 = /31
255.255.255.255 = 11111111.11111111.11111111.11111111 = /32 (single host route)

종종 CIDR 값이 필요할 때가 있는데 기억력이 좋지 못해서 매번 잊어먹는다.
계산할려고 해도 방법이 매번 가물가물해서 헷갈리고....
이렇게 적어놓으면 괜찮겠지....

[토플로지]

먼저 VMWARE가 설치되어 있는 본래의 운영체제에서 이더넷 카드를 추가하고 설정하여야 합니다.

위의 그림처럼 Vmnet의 이더넷 카드가 여러 개가 있습니다.(Vmweare에서 추가를 하셔야 합니다.)

저 같은 경우는 기존에 vmnet1과 vmnet8은 그대로 두고 3개를 더 추가하여, vmnet2, vmnet3, vmnet4를 사용하겠습니다.

추가하고 난 다음에는 반드시 재부팅하여 주어야 이더넷 카드를 사용할 수 있게 됩니다.

vmnet2는 windows, vmnet3은 CentOS, vmnet4는 Backtrack으로 연결하였습니다. 이 부분은 Vmware에서 각 OS별로 Settings 메뉴에서 Network Adapter에서 설정하여 주시면 됩니다.

Vmnet2의 subnet은 192.168.1.0/255.255.255.0 대역 대이므로 이더넷 카드에는 192.168.1.10을 부여하였습니다.

vmnet3의 subnet은 192.168.2.0/255.255.255.0 대역 대이므로 이더넷 카드에는 192.168.2.20을 부여하였습니다.

vmnet4의 subnet은 192.168.3.0/255.255.255.0 대역 대이므로 이더넷 카드에는 192.168.2.30을 부여하였습니다.

vmnet의 ip는 각 운영체제와 충돌이 되지 않게 설정하시면 됩니다. name server나 gateway는 적지 않으시면 됩니다.

이유는 Vmnet의 이더넷 카드는 그저 운영체제가 라우터를 거쳐서 지나갈 수 있는 통로역할만 하기 때문입니다.(토플로지에서 구름 모양이 되는 것임)

이제는 GNS3에서 각 환경에 맞게 위 그림처럼 연결해주어야 합니다.

구름을 클릭하여 Vmnet 이더넷 카드와 연결시켜주어야 가상의 라우터와 연결되어 연동이 됩니다.

GNS3가 설치되어 있는 경로로 가게 되면 Dynamips의 파일인 Network device list.cmd 파일이 존재합니다. 이 파일을 실행시켜보면 위에서 추가한 Vmnet 이더넷카드들의 고유 정보가 뜨게 됩니다. GNS3에서 구름을 클릭하게 되면 아래와 같은 창이 뜨게 되고 C0을 누르면 아래와 같은 화면이 나오게 됩니다.

위 그림을 보게 되면 Generic Ethernet NIO (require Administrator access)라는 메뉴가 보입니다. 그곳을 누르면 각 이더넷 카드별로의 고유 정보가 뜨게 됩니다. 그러나 긴 문자열이기 때문에 분별하기 어렵습니다. 그러므로 아까 말한 Network device list.cmd파일로 비교하여 확인하여 맞는 이더넷 카드를 선택한 후 Add를 누른 후 OK를 누르면 됩니다.

저 같은 경우는 windows는 Vmnet2를 사용했기 때문에 vmnet2에 맞는 것을 선택한 후 Add를 하였습니다.

나머지 구름 2개도 위와 같은 방법으로 맞는 Vmnet을 선택한 후 Add 하여 저장하면 됩니다.

이제는 Windows로 가서 이더넷 설정을 해주어야 합니다.

IP는 192.168.1.11 / 서브넷은 255.255.255.0 / 게이트웨이는 192.168.1.254

저는 11로 한 것이지만 여러분이 이해하고 있다면 다른 것을 하여도 무관하다는 것을 알고 있을 것입니다. 그렇지 않다면 저와 동일하게 하는 것이 좋겠지요.

CentOS에서는 192.168.2.21 / 255.255.255.0 / 192.168.2.254

ifconfig eth0 192.168.2.21 netmask 255.255.255.0

route add default gw 192.168.2.254

Backtrack에서는 192.168.3.31 /255.255.255.0 / 192.168.3.254

ifconfig eth0 192.168.3.31 netmask 255.255.255.0

route add default gw 192.168.3.254

이제는 라우터 설정을 해주어야 합니다.

위 토플로지를 그리면 됩니다. 구름과 라우터는 FastEthernet 선이고, 라우터끼리는 Serial 선입니다.

R0 라우터는 telnet 포트 2000번으로 설정이 되어있습니다. SecureCRT나 Xshell과 같은 Telnet 프로그램으로 접속하면 라우터로 접속할 수 있습니다. 윈도우 xp에는 기본으로 telnet 프로그램이 설치되어 있으므로 따로 깔지 않아도 됩니다. 그러나 비스타의 경우에는 따로 추가하거나 위에서 말한 프로그램과 같은 프로그램들을 사용하여야 합니다. GNS3에서는 Console에 바로 접속 할 수 있도록 지원합니다.(단, Telnet이 설치되어 있어야 함)

라우터를 선택하고 오른쪽 버튼을 누르면 위와 같은 메뉴가 나오게 됩니다. 거기서 Console을 선택하면 됩니다. 단, 주의하여야 할 것은 라우터를 여러 개 선택하면 안됩니다. 위에 그림을 보게되면 왼쪽 라우터는 진한 색이고, 오른쪽으 R1 라우터는 연한 색입니다. GNS3에서는 선택을 하게 되면 살짝 진한 색이 되므로 드래그하거나 실수로 두 개를 선택하지 않도록 하여야 합니다.

R0 라우터는 기본적으로 2000번 Port를 사용합니다. R1은 2001번입니다. Dynamips는 기본적으로 2000번부터 Port를 부여합니다. 물론 수정은 가능합니다. 위 화면에서처럼 Change console port를 누른 후 변경하여 주시거나 net 파일을 수정하여 주시면 됩니다.

이제 라우터를 Start 시켜주어야 합니다.

GNS3 메뉴에서 녹색 화살표를 누르게 되면 Start 하게 됩니다.(라우터는 선택적으로 Start 시킬수도 있습니다.)

라우터를 키자마자 하여야 하는 것은 라우터 별로 위 그림에서 보는 메뉴인 Idle PC 값 잡기를 하여야 합니다. 누르고 나면 잠시 무언가 검색을 한 후 창이 뜹니다. 1~10개정도 선택할 수 있게 나오고 그중에 *가 붙어 있는 것이 있습니다. 여러 개일 수도 있고 한 개도 없을 수 있습니다. 여러 개라면 그 중 한 개만 아무거나 선택하시면 되고, 한 개도 없다면 창을 끄고 다시 위 메뉴를 눌러서 Idle PC값을 검색하여야 합니다. 안잡힐 경우에는 수차례 반복하기도 합니다.
Idle PC 값을 잡지 않게 되면 라우터는 가상의 라우터이지만 실제 컴퓨터의 CPU의 자원을 모조리 끌어가다 사용해버립니다. 그러므로 CPU 점유율은 100%에 치닫게 되고, 느려져서 작업을 하기에 충분한 환경이 되지 못합니다. 잡아주게 되면 시스템 사양에 따라 안정화되어 한 40~80% 선으로 낮아지게 됩니다.

이제 기본적인 설정이 완료되었으니 라우터를 설정하여 주어야 합니다.

저는 개인적인 취향으로 SecureCRT를 사용하겠습니다.

Protocol은 telnet, Hostname localhost 또는 127.0.0.1, Port는 2000로 하여 R0 라우터 접속을 시도합니다.

라우터를 키자마자 하게 되면 라우터 구동중이라 접속이 되지 않을 수도 있으니, 여유를 가집시다.

Connected to Dynamips VM "R0" (ID 0, type c7200) - Console port

라는 메시지가 보이고 멈춰 있습니다. 엔터를 쳐보시면

% Please answer 'yes' or 'no'.

Would you like to enter the initial configuration dialog? [yes/no]:

라는 문구가 뜨게 되는데 초기 설정을 할 것인지 물어보는 내용입니다. no를 선택하여야 합니다.

그리고 엔터를 한 5번정도 쳐줍니다.

Router> 라는 프롬프트가 뜨게 됩니다. 라우터에 접속을 완료하였습니다.

라우터의 privilege 모드로 접속할려면 enable 명령어를 입력하면 됩니다.

아래 내용은 기본 라우터 설정이라 적용해놓으면 편리합니다. 복사해서 라우터에 붙여넣기 하면 다 처리되고 마지막 hostname 적어주시면 됩니다. enable을 한 후 사용하여야 합니다. 아래 내용 설명은 생략하겠습니다.

//////////////////////////////////////////////////////////

conf t

enable password cisco

no ip domain-lookup

line console 0

no login

exec-timeout 0

logging syn

exit

line vty 0 4

password cisco

login

exit

hostname

//////////////////////////////////////////////////////////

이제는 명령어 위주로 적겠습니다. 귀찮으시면 복사해서 붙여넣기 하셔도 됩니다.

아래 명령어는 conf terminal인 상황에서 사용하여야 합니다.

int fa1/0

ip add 192.168.1.254 255.255.255.0

no sh

exit

int fa1/1

ip add 192.168.2.254 255.255.255.0

no sh

exit

int se2/0

ip add 192.168.100.1 255.255.255.0

no sh

exit

여기까지가 기본 IP 설정입니다. 바로 이어서 RIPv2 설정을 하겠습니다.

router rip

version 2

network 192.168.1.0

network 192.168.2.0

network 192.168.100.0

exit

이렇게 하므로 자신의 라우터가 다이렉트로 연결된 주변의 모든 대역대를 라우팅 프로토콜로 광고하겠다는 것입니다.

이번에는 R1 라우터로 접속하여야 합니다.

위에 동일하게 localhost 2001번으로 합니다.

접속 후에 위처럼 기본 세팅을 해줍니다

int se1/0

ip add 192.168.100.2 255.255.255.0

no shut

exit

int se1/1

ip add 192.168.200.1 255.255.255.0

no shut

exit

router rip

version 2

network 192.168.100.0

network 192.168.200.0

exit

이번에는 R2 라우터로 접속합니다.

동일하게 기본 설정하여 준 후

int se2/0

ip add 192.168.200.2 255.255.255.0

no shut

exit

int fa1/0

ip add 192.168.3.254 255.255.255.0

no shut

exit

router rip

version 2

network 192.168.200.0

network 192.168.3.0

exit

이제 모든 라우팅 프로토콜이 세팅되었으므로 Windows에서 Backtrack으로, CentOS에서 backtrack으로, CentOS에서 Windows으로 ping이 가는지 확인해보시기 바랍니다.

윈도우에서는 ping 192.168.3.31

또 ping 192.168.2.21

CentOS에서 ping 192.168.3.31

모두 정상적으로 잘 가게 됩니다.

안될 경우 위 설정을 잘못 하셨다는 것입니다. ip를 잘못 넣었다거나 하는 실수입니다. 다시 한번 확인해보시기 바랍니다.

확인하는 방법은 show ip int b하게 되면 ip와 up up 상태인지 확인 가능합니다.(conf t 상황이면 앞에 do 명령어를 적어주면 됩니다)

먼저 윈도우에서 tracert 명령어로 경로를 확인해보겠습니다.

보다시피 게이트웨이와 목적지 PC만 잡히게 됩니다.(PC에 있는 NIC는 라우터의 역할도 수행할 수 있습니다.)

이제는 GRE Tunneling을 구현할 차례입니다.

이번에도 명령어 위주로 적고 추가 설명을 덧붙이겠습니다.

R0 라우터에서

interface tunnel 0

tunnel mode gre ip

tunnel source se2/0

tunnel destination 192.168.200.2

ip add 192.168.250.1 255.255.255.0

exit

access-list 101 permit ip any any

route-map pbr1 permit

match ip address 101

set ip next-hop 192.168.250.2

interface fa1/0

ip policy route-map pbr1

이렇게 해주면 R1에서 GRE Tunnel을 만들게 됩니다. 가상의 interface인 tunnel 0 이라는 것이 생기게 됩니다. sub interface나 loopback 정도로 이해하시면 됩니다. 가상이므로 실제로 나갈 경로를 se 2/0으로 해주고 도착지점을 192.168.200.2로 설정해주었습니다.

그리고 정책을 설정하여 준 것입니다. 모든 ip를 허용하는 access-list를 만들었고, route-map명령을 통해 pbr1 이라는 정책을 만들었습니다.그리고 access-list인 101과 일치할 때 192.168.250.2로 가도록 설정한 후 fa1/0에 inbound 할 작동하도록 하였습니다.

즉, 윈도우에서 ping을 보내거나 어떠한 작업을 요청하게 되면 gateway인 192.168.1.254(R0라우터)로 가도록 되어 있습니다. 그런데 192.168.1.254로 가기 위해서는 R0라우터의 fa1/0로 들어가서 라우터로 들어가도록 되어 있습니다. fa1/0으로 들어가기 때문에 inbound라고 합니다. 그때 192.168.250.2로 가도록 설정한 것입니다.
아직은 192.168.250.2라는 ip는 어디에도 없습니다. 그러나 제가 그렇게 설정한 이유는 R2라우터에 그렇게 ip를 부여할 것이기 때문입니다. R0에는 터널을 만들면서 tunnel 0이라는 interface에 192.168.250.1이라는 ip를 부여해두었습니다.

이제 맞은편 R2라우터에도 터널을 만들어주어야 합니다.

interface tunnel 0

tunnel mode gre ip

tunnel source se2/0

tunnel destination 192.168.100.1

ip add 192.168.250.2 255.255.255.0

내용은 위의 설명과 같습니다만, source하고 destination 주소가 반대로 되어있습니다. 그 점 유의하셔야 합니다.

destination에는 가상으로 만든 interface가 아닌 실제로 존재하는 interface의 ip를 적어주어야 합니다.

여기까지 설정하면 half duflex로 설정이 되었습니다. 윈도우에서 경로를 확인해보겠습니다.

그림에서 보다시피 갈때는 192.168.250.2 라는 터널 IP를 사용하여 R2라우터까지 가지만 돌아올때는 터널을 사용하지 않고 있습니다. 이제 full duflex와 공격자의 pc인 backtrack으로 forwarding되어 돌아갈 수 있도록 세팅하여 봅시다.

이제는 R2라우터에서 정책 수립만 2개를 구현해주면 됩니다.

access-list 101 permit ip any any

route-map pbr1 permit

match ip address 101

set ip next-hop 192.168.3.31

interface tunnel 0

ip policy route-map pbr1

interface tunnel 0

ip policy route-map pbr1

exit

route-map pbr2 permit

match ip address 101

set ip next-hop 192.168.250.1

interface fa1/0

ip policy route-map pbr2

exit

pbr1과 pbr2로 2개의 정책을 수립하였습니다.

먼저 위의 pbr1은 R0라우터에서 터널을 통해 R2라우터의 tunnel 0 interface로 패킷이 전달됩니다. 물론 가상이므로 물리적으로는 se2/0으로 들어옵니다만 가상으로 tuunel을 만들어줬기 때문에 가능합니다. tuunel 0으로 들어오는 모든 ip는 192.168.3.31로 보내는 내용입니다. 192.168.3.31은 공격자인 backtrack입니다. 이렇게 하면 backtrack까지 패킷이 전달됩니다. WireShark로 패킷을 떠보시면 전달되는 내용을 확인할 수 있습니다.

두번째 pbr2입니다.

위의 정책으로 backtrack에 전달된 패킷은 잘못온 패킷이므로 되돌아가야 합니다. 라우팅 프로토콜을 통해서 어디로 가야 할지 알고 있습니다. 그러나, 저희는 터널을 사용해야 합니다.

그래서 backtrack에 전달된 패킷을 다시 되돌리는데 fa1/0으로 들어가게 되는 모든 패킷은 192.168.250.1로 보내도록 하는 것입니다. 192.168.250.1은 터널의 맞은편인 R0라우터가 도착지가 되는 것입니다. 터널을 통해 한번에 나온 패킷은 R0라우터에서 원래의 전달 장소인 Centos로 전달되게 됩니다.

확인하기전에 공격자인 backtrack에서 포워딩 될 수 있도록 설정해주어야 합니다.

backtrack에서 sysctl net.ipv4.ip_forward=1 명령 주고 난 다음에 확인해보면 아래와 같습니다.

보는 것과 같이 윈도우에서 나간 패킷이 첫번째 게이트웨이를 거치고(1), 터널을 통해 도착하게 됩니다(2). 도착한 패킷은 공격자인 backtrack에 도착하게 됩니다(3). 그러나 잘못 온 패킷이므로 되돌아가기 위해 게이트웨이로 갑니다(4). 게이트웨이로 가다보니 정책에 의해 터널을 통해 바로 192.168.250.1로 도착하게 됩니다.(5) 그제서야 제대로 라우터는 제대로 된 목적지인 192.168.2.21로 보내줍니다.(6)

이로서 터널링이 완료되었습니다. 터널링 뿐만이 아니라 포워딩까지 되었습니다.

windows에서 ping 192.168.2.21 쳐보고

wireshark로 192.168.3.30에 대하여 패킷을 캡쳐하여 보면 아래와 같습니다.

여기는 192.168.3.30의 컴퓨터인데 192.168.2.21로 가야하는 패킷이 들어온 내용이 보입니다.

Split Horizon 은 라우팅 정보를 수신한 인터페이스로 동일 라우팅 정보를 전송하지 않는 것으로 라우팅 루프를 방지하기 위해

 

디스턴스 벡터 라우팅 프로토콜에 모두 적용되는 기법이다.

 

Split Horizon은 Default로 Enable되어 있어 라우팅 루프를 방지하는데 경우에 따라 Disable해야 하는 경우가 존재한다.

 

 

다음과 같은 토폴로지가 존재 할 때 이 상황에서는 Split Horizon을 꺼두어야 한다.

 

 

※ NBMA에 환경 (Frame-Relay, ATM)에서 Hub and Spoke 환경에서는 Split Horizon을 꺼두어야 라우팅 정보가 전달 가능하다.

 

위 그림에서 R1은 같은 인터페이스(s1/0)를 통해 R2와 R3를 연결하고 있어 라우팅 정보가 들어오고 나감이 같을 수 밖에 없다.

 

이와 같이 토폴로지 환경에 맞게 Split Horizon 상태를 알맞게 적용해야 할 것이다.

 

 

그럼 이제부터 RIP 프로토콜에서 루프 발생과 Split Horizon의 루프 방지법에 대해 알아보겠다.

 

 

1. RIP 환경에서 루프 발생

 

 

1) Topology

 

 

 

 

 

2) Config

 

 

 

※ 이론적으로 루프가 돈다는 것만 알면 되지만 루프 상태를 보고 싶어 설정을 해보았다.

 

    찰나의 순간을 마추어야 하기 때문에 힘든감이 있었으나 Update Timer를 최소화 함으로 루프 발생 확률을 높일 수 있었다.

 

 

3) Debug

 

R5의 루프백 인터페이스 1.1.100.0 네트워크를 Shut Down 시킴으로 일어나는 루프 디버그를 알아본다.

 

Update Timer를 1초로 하여 Debug 시 매우 혼란스럽다..;; 너무 많은 정보 때문에 1.1.100.0 네트워크 관련만 편집하여 보았다. 

R1 Debug...

 

 

R2 Debug...

 

 

R3 Debug...

 

 

R4 Debug...

 

※ 위와 같이 시간대 별로 확인 해보면 R1, R2, R3, R4 구간이 Metric 16이 될때 까지 루프를 돈다.

 

    디스턴스 벡터 라우팅 프로토콜은 링크 스테이트 라우팅 프로토콜처럼 전체 Topology를 이해하고 있지 않아 루프가 발생할 수 있다.

 

    위 Lab을 통해 보자면 R5에 루프백 인터페이스가 Down 상태가 되면

 

    R3는 그 정보를 받아 R2와 R4에게 도달 불가능한 네트워크라고 정보를 보낸다.

 

    근데 그 순간 R2가 R3에게 R5 루프백 인터페이스에 대한 정보를 업데이트 한다면 R3는 도달 불가능하다는 정보를 받았음에도

 

    R2에게 받은 정보로 대체 경로가 있다고 인식하고 다른 라우터들에게 업데이트 정보를 보내게 된다.

 

    그리하여 루프가 발생하고 불필요한 트래픽이 발생하게 되는 것이다.

 

2. Split Horizon에 의한 루프 방지

 

Split Horizon을 활성화하여 R2, R3, R5 부분만 따로 놓고 루프 방지법을 보면 다음과 같다.

 

 

 

※ 루프 방지를 하기 위하여 Split Horizon을 통해 보낸 정보에 대해 그 인터페이스로 정보를 다시 받아들이지 않음으로 루프를 방지한다.

넷파일은 Frame-Relay(프레임릴레이) LAB 글의 net파일과 동일하게 적용하면 된다. 프레임릴레이에서 아래에 나와있는 프레임릴레이에서는 point-to-point방식과 multipoint 방식이 모두 사용됐지만 사실 multipoint로서의 기능이 아닌 point-to-point로만 사용한 격이다. 그리하여 point-to-point 방식과 multipoint 방식을 비교하기 위해 multipoint 방식으로 랩을 구현하여 보겠다.
그전에 설명부터 하고 들어가겠다.
이 랩을 point-to-point 방식으로 설정하게 되면 각 라우터마다 서브인터페이스를 2개를 써야 한다. R1에 2개, R2에 2개, R3에 2개를 사용하여 각각 연결하여야 한다. 각 또한 라우터와 라우터 연결구간의 네트워크아이디가 같은 아이디어야 커넥트되는 것이다.
쉽게 설명하자면 R1에서 1.1.12.1, 1.1.13.1, R2에서 1.1.12.2, 1.1.23.2 R3에서 1.1.12.3, 1.1.23.3 이런식으로 사용을 하여야 한다.
그런데 만일 같은 네트워크대역대라면? 굳이 논리적으로 나눌 필요가 없는 것이다. R1에는 1.1.123.1, R2에서는 1.1.123.2, R3에서는 1.1.123.3 만 해서 논리적으로 인터페이스를 나눌 필요가 없어진다. 그러나 본인은 습관을 들이기 위하여 서브인터페이스로 설정하여 보겠다.

R1(config)#inter s1/0
R1(config-if)#encap frame
R1(config-if)#no frame inverse
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#inter se1/0.1 multipoint
R1(config-subif)#ip add 1.1.123.1 255.255.255.0
R1(config-subif)#frame-relay map ip 1.1.123.2 102 broadcast
R1(config-subif)#frame-relay map ip 1.1.123.3 103 broadcast

분명 인터페이스는 1개이다. 길이 1개인데 2개의 경로가 생긴 것이다. 이것이 multipoint이다. 하나의 인터페이스에 한개의 경로만 생성이 된다면 그것이 point-to-point 방식이 되는 것이다. 하나의 길에 하나의 경로만 생기게 되면 전용선이 되고 다른 경로의 데이터가 오갈 일이 없게 되는 것이다.
그럼 계속해서 R2 세팅하여 보자

R2(config)#inter se1/0
R2(config-if)#encap frame
R2(config-if)#no frame inverse
R2(config-if)#no shut
R2(config-if)#exit
R2(config-subif)#ip add 1.1.123.2 255.255.255.0
R2(config-subif)#frame-relay map ip 1.1.123.1 201 broadcast
R2(config-subif)#frame-relay map ip 1.1.123.3 203 broadcast

R3(config)#inter se1/0
R3(config-if)#encap frame
R3(config-if)#no frame inverse
R3(config-if)#no shut
R3(config-if)#exit
R3(config)#inter se
R3(config)#inter se1/0.1 multipoint
R3(config-subif)#ip add 1.1.123.3 2
R3(config-subif)#ip add 1.1.123.3 255.255.255.0
R3(config-subif)#frame-relay map ip 1.1.123.1 301 broadcast
R3(config-subif)#frame-relay map ip 1.1.123.3 302 broadcast

보다시피 R2나 R3로 분명 인터페이스는 1개이나 갈수 있는 길은 2개이다. 즉 전용선이 아닌 2개의 경로가 1개의 길을 같이 쓰게 되는 것이다.

FR(config)#frame switching
FR(config)#inter se1/1
FR(config-if)#encapsulation frame
FR(config-if)#no frame inverse
FR(config-if)#frame intf-type dce
FR(config-if)#frame route 102 int se1/2 201
FR(config-if)#frame route 103 int se1/3 301
FR(config-if)#no shut
FR(config-if)#exit
FR(config)#inter se1/2
FR(config-if)#encap frame
FR(config-if)#no frame inverse
FR(config-if)#frame intf-type dce
FR(config-if)#frame route 201 int se1/1 102
FR(config-if)#frame route 203 int se1/3 302
FR(config-if)#no shut
FR(config-if)#exit
FR(config)#inter se1/3
FR(config-if)#encap frame
FR(config-if)#no frame inverse
FR(config-if)#frame intf-type dce
FR(config-if)#frame route 301 int se1/1 103
FR(config-if)#frame route 302 int se1/2 203
FR(config-if)#no shut
FR(config-if)#exit

이렇게 해주면 풀메쉬 형태로 토플로지가 형성이 된다.
multipoint 방식은 split horizon 기능으로 인하여 문제가 발생한다.
그러므로 split horizon을 disable시켜야 할수도 있다.

바로 전 글인 Frame-Relay(프레임릴레이) LAB에서는 직접 FR라우터를 FR Switch 설정하여 구현하였다.
그러나 다이나밉스(dynamip)에서는 그렇게 설정하여 구현하지 않아도 net파일에서 간단하게 FR Switch 구현이 가능하다.

[localhost]

[[2691]]
image = D:\ccna\ios\c2691-i-mz.123-12a.bin
ram = 96
slot1 = NM-4T
idlepc = 0x60549104

[[Router R1]]
model = 2691
console = 2001
s1/0 = FR s1/1

[[Router R2]]
model = 2691
console = 2002
s1/0 = FR s1/2

[[Router R3]]
model = 2691
console = 2003
s1/0 = FR s1/3

[[Router FR]]
model = 2691
console = 2004

기존에는 이렇게 FR 라우터를 만들고 직접 FR라우터에서 설정하여 구현하였으나, 아래와 같이 직접 설정할 수도 있다.

[localhost]

[[2691]]
image = D:\ccna\ios\c2691-i-mz.123-12a.bin
ram = 96
slot1 = NM-4T
idlepc = 0x60549104

[[Router R1]]
model = 2691
console = 2001
s1/0 = FR 1

[[Router R2]]
model = 2691
console = 2002
s1/0 = FR 2

[[Router R3]]
model = 2691
console = 2003
s1/0 = FR 3

[[FRSW FR]]
1:102 = 2:201
1:103 = 3:301
2:203 = 3:302

s1/0 = FR 1 은 s1/0 를 FR의 1번으로 연결한다는 것이다. FR1번을 보게 되면 1번라인중에서 102 dlci값을 2번 라인중에 201 dlci 값과 서로 맵핑 시켜주는 것이다. 그러면  이전 글에서 FR에서 맵핑 작업하였던 것을  net파일에서 해두었기 때문에  각 R1, R2, R3에서 dlci 값만 정상적으로 설정하여 주면 연결이 되는 것이다.

먼저 패킷트레이서에서는 frame-relay switching 명령어가 먹지 않아서 다이나밉스에서 랩구성을 하였다.
아래는 다이나밉스 net 파일이다.
이미지 경로와 idlepc 값은 각 컴퓨터마다 틀리기 때문에 각자 컴퓨터에 맞게 수정하여 사용하기 바란다.

more..

토플로지에 나와있듯이 R1부터 세팅하여 보겠다.
R1에서 R2로는 point-to-point로 연결하고 R1에서 R3로는 multipoint로 구성하겠다. R2에서 R3로도 point-to-point로 연결하여 보겠다.
R1 먼저 세팅한다.

R1(config)#inter serial 1/0
R1(config-if)#no ip add
R1(config-if)#encapsulation frame-relay   
R1(config-if)#no frame-relay inverse-arp
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#inter s1/0.12 point-to-point
R1(config-subif)#ip add 1.1.12.1 255.255.255.0
R1(config-subif)#frame-relay interface-dlci 102
R1(config-fr-dlci)#exit
R1(config-subif)#inter s1/0.13 multipoint
R1(config-subif)#ip add 1.1.13.1 255.255.255.0
R1(config-subif)#frame-relay map ip 1.1.13.3 103 broadcast

보게 되면 서브인터페이스로 하나의 인터페이스를 2개로 쪼개어서 R2와 R3으로 연결할 지점을 나눠서 아이피를 할당하여 주었다. dlci 값도 지정을 해주었다. R2로 가는 길은 102로 지정을 하였으며 R3으로 가는 길은 103으로 지정을 하였다. 또한 기본적으로 inverse-arp 기능을 disable 시켰다. 자동으로 i-arp 기능이 되면 편리할 수 있으나 문제가 많으므로 가급적 사용 안하는 것이 좋다.
이제 R2를 세팅하여 보자.

R2(config)#inter se1/0
R2(config-if)#no ip add
R2(config-if)#encapsulation frame-relay
R2(config-if)#no frame-relay inverse-arp
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#inter se1/0.12 point-to-point
R2(config-subif)#ip add 1.1.12.2 255.255.255.0
R2(config-subif)#frame-relay interface-dlci 201
R2(config-fr-dlci)#exit
R2(config-subif)#exit
R2(config)#inter se1/0.23 point-to-point
R2(config-subif)#ip add 1.1.23.2 255.255.255.0
R2(config-subif)#frame-relay interface-dlci 203
R2(config-fr-dlci)#exit

R2도 설정이 끝났다. 내용은 R1하고 동일하다. 틀린점이 있다면 dlci 값을 주의깊게 비교하여 보면 될 것이다.
R3를 설정하여 보자.

R3(config)#inter se1/0
R3(config-if)#no ip add
R3(config-if)#encapsulation frame-relay
R3(config-if)#no frame-relay inverse-arp
R3(config-if)#no shut
R3(config-if)#exit
R3(config)#inter se1/0.13 multipoint
R3(config-subif)#ip add 1.1.13.3 255.255.255.0
R3(config-subif)#frame-relay map ip 1.1.13.1 301 broadcast
R3(config-subif)#exit
R3(config)#inter se1/0.23 point-to-point
R3(config-subif)#ip add 1.1.23.3 255.255.255.0
R3(config-subif)#frame-relay interface-dlci 302
R3(config-fr-dlci)#exit
R3(config-subif)#exit
R3(config)#exit

이제 각 라우터마다 설정을 완료하여 주었다.
이제 중요한 것은 중간에 FR라우터를 Frame-relay Switch로 만드는 작업이 남았다.
더 말할 것도 없이 해보자.

FR(config)#frame-relay switching
FR(config)#inter se1/1
FR(config-if)#encapsulation frame-relay
FR(config-if)#no frame-relay inverse-arp
FR(config-if)#frame-relay intf-type dce
FR(config-if)#frame-relay route 102 int s1/2 201
FR(config-if)#frame-relay route 103 int s1/3 301
FR(config-if)#no shut
FR(config-if)#exit

일단 FR 라우터를 frame-relay switching 명령어를 통해 프레임-릴레이 스위치로 사용하겠다는 명령을 주었고, s1/1 포트로 in 하는 dlci 값이 102이면 s1/2번 포트인 dlci 201으로(R2라우터쪽) 가라는 것이다. 즉, 길이 트였다. 역시 103번도 R3쪽으로 길이 트였다. 이 작업을 102와 201의 길을 서로 맵핑(mapping)준다고 한다. 간단하게 생각하면 서로 다른 102와 201의 길을 연결시켜 준 것이다.
또한 frame-relay intf-type dce는 FR 스위치(이젠 스위치로 쓰기로 하였으니 스위치라고 부르겠다)를 DCE 장비로 만드는 내용이다. 기본적으로 Default는 DTE이다. R1이나 R2, R3는 당연히 default로 DTE이기 때문에 건드릴 것이 없다.
그러나 R1에서 R2로 가는 길이 트였다고 하여서 끝일까? R2로 갔으면 다시 R1으로 와야 정상 아닌가? R2에서 R1으로 가는 길도 설정하여야 한다.

FR(config)#inter se 1/2
FR(config-if)#encapsulation frame-relay
FR(config-if)#no frame-relay inverse-arp
FR(config-if)#frame-relay intf-type dce
FR(config-if)#frame-relay route 201 inter s1/1 102
FR(config-if)#frame-relay route 203 inter s1/3 302
FR(config-if)#no shut
FR(config-if)#exit
FR(config)#inter se1/3
FR(config-if)#encapsulation frame-relay
FR(config-if)#no frame-relay inverse-arp
FR(config-if)#frame-relay intf-type dce
FR(config-if)#frame-relay route 301 inter s1/1 103
FR(config-if)#frame-relay route 302 inter s1/2 203
FR(config-if)#no shut
FR(config-if)#exit

보다시피 se1/2 에서도 R1으로 가는 길과 R3로 가는 길을 모두 맵핑시켜줬다. se1/3도 역시 R1과 R2로 가는 길을 맵핑시켜줬다.
FR스위치에서 sh ip inter b 하여

Serial1/1                  unassigned      YES unset  up                   up
Serial1/2                  unassigned      YES unset  up                   up
Serial1/3                  unassigned      YES unset  up                   up

보면 Status가 up 이고 Protocol이 up 상태로 되어 있을 것이다. 그러면 R1에서 R2나 R3로 핑이 잘 갈것이고, R2에서 R3로 핑이 잘 갈 것이다.
Status가 down 상태이면 no shutdown 명령을 가장 먼저 해보고 Protocol이 down이면 상대방 연결이 제대로 되었는지 인캡슐레이션이 서로 동일한지 클럭레이트를 줬다면 제대로 DCE, DTE를 구분하였는지 확인하면 된다.
프레임 릴레이의 개념을 잡기 어려운 이유는 전용선(PVC)때문일텐데 그 이전에 프레임릴레이 역시 인캡슐레이션이라는 것을 다시 기억하면 이해가 쉬울 것이다. 지금까지는 HDLC를 기본으로 인캡슐레이션을 자주 하지 않았었다. HDLC말고도 PPP나 프레임릴레이 같은 방법으로 인캡슐레이션을 할 수 있는 것이다. 그 다음에 전용선 개념을 이해할려고 하면 훨씬 프레임릴레이가 어떠한 개념인지 이해하기 쉬울 것이다.

추가적으로 그래도 이해가 되지 않을 수 있기 때문에 더 간단하게 토플로지로 설명을 돕겠다.

지금까지 프레임 릴레이를 알기 전까지는 위와 같이 각 라우터마다 포트 2개를 사용하여 서로를 연결하였다. 익숙한 토플로지 형태이다. 하지만 프레임 릴레이는 포트 1개로 각 라우터끼리 연결하는 것이다.

실제 물리적인 선은 분명 1개로 되어 있고 도중에 프레임릴레이구간에서 특정의 장비나 WAN 영역에서 저렇게 물리적인 라인 1개로 어느곳이나 통신이 가능하게끔 되는 것이다. 물리적으로 선은 1개이지만 서브인터페이스를 사용하여 논리적으로 각 구간을 설정하여 주는 것이다. R1에서 R2로 가는 길. R1에서 R3로 가는 길. R2에서 R3로 가는길....

그렇게 하여 보다시피 파랑색 시리얼 선은 실제 물리적인 라인이 되는 것이고, 녹색 점선은 논리적으로 구현된 라인이 되는 것이다. 이 것이 프레임릴레이 랩에서 볼 수 있는 기본적인 토플로지가 되는 것이다.

스위치의 IP 주소 세팅이 꼭 필요할까?라고 물으신다면 대답은 꼭 그렇지는 않습니다'입니다. 그런데 왜 IP 주소를 세팅할까요? 바로 스위치를 제대로 관리하기 위해서 입니다. IP주소를 세팅하면 나중에 스위치 구성을 확인하거나 변경하고자 할 때 텔넷을 이용한 접속이 가능하기 때문입니다. 직접 스위치마다 찾아다니며 콘솔 케이블을 연결하는 것보다는 훨씬 수월하겠죠. 또 앞에서 잠깐 언급한 네트워크 관리 시스템(NMS) 같은 장비에서 스위치를 관리하는 데도 IP 주소가 필요합니다.

도서 '후니의 쉽게쓴 시스코 네트워킹' 중에서

패킷트레이서로 만든 파일이다.

각 PC마다 아이피와 게이트웨이를 설정하였다.
VLAN10 : 192.168.10.0/24, Gateway : 192.168.10.254
VLAN20 : 192.168.20.0/24, Gateway : 192.168.20.254
VLAN30 : 192.168.30.0/24, Gateway : 192.168.30.254

그 다음 VTP-Client01로 가서

Switch(config)#inter f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all
Switch(config-if)#exit
Switch(config)#vtp domain VTP
Changing VTP domain name from NULL to VTP
Switch(config)#vtp mode client
Setting device to VTP CLIENT mode.

VTP-Client02으로 가서도 동일하게

Switch(config)#inter f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all
Switch(config-if)#exit
Switch(config)#vtp domain VTP
Changing VTP domain name from NULL to VTP
Switch(config)#vtp mode client
Setting device to VTP CLIENT mode.

이 설정을 하는 이유는
Root Bridge인 VTP-Server로 갈때 vlan 정보가 10도 갈수있고 20도 갈수있고 그외에 설정한 Vlan 정보도 갈수있게 하기 위함이다. mode trunk가 여러차선을 사용하는 것이다. mode access하게 되면 1개의 vlan 정보만 전달이 가능하다. 또한 VTP 도메인을 VTP로 설정하여 동기화시키고 모드를 Client로 바꿔서 서버로부터 VTP정보를 받을수 있는 환경으로 만들었다.

맞은편 VTP-Server에서도 동일하게 해주자.

Switch(config)#inter f0/2
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all
Switch(config-if)#inter f0/3
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all

여기까지 vlan 정보가 전달될수 있도록 길을 열은 것이다.
그다음 vlan 설정이다. VTP로 설정하여 서버의 정보가 클라이언트로 전달이 되는지 확인하여 보자.

Switch(config)#vtp domain VTP
Changing VTP domain name from NULL to VTP
Switch(config)#vtp mode server
Device mode already VTP SERVER.
Switch(config)#exit
Switch#vlan database
% Warning: It is recommended to configure VLAN from config mode,
  as VLAN database mode is being deprecated. Please consult user
  documentation for configuring VTP/VLAN in config mode.

Switch(vlan)#vlan 10 name HAHA
VLAN 10 added:
    Name: HAHA
Switch(vlan)#vlan 20 name NANANA
VLAN 20 added:
    Name: NANANA
Switch(vlan)#exit
APPLY completed.
Exiting....

vtp 도메인을 VTP로 동기화 시켰다. mode는 server로 하였으나 이미 server로 가동중이라고 나온다. 이유는 VTP는 기본적으로 가동시키면 server모드가 디폴트이다. 참고해라. 그리고 valn 10, 20을 만들었다. 10의 이름은 HAHA로 하였다. name은 부여하지 않아도 상관없다.단지 관리상 알아보기 편하게 예를 들어 마케팅팀이면 MARKETING으로 설정하여 알아보기 편하기 위함이다. vlan database에서 나갈때는 end가 아닌 exit로만 나갈수 있다.
이제 VTP-Client로 가서 show vlan 해보면 서버에서 생성된 vlan 정보가 클라이언트로 전달이 되어 있는 것을 확인할 수 있다. 만일 정보 전달이 제대로 안되었으면 show vtp status한 후 Configuration Revision 숫자를 확인하고 VTP-Server로 가서 리비전 숫자가 동일한지 확인한다. 만일 동일하지 않다면 동기화가 이루어지지 못하여 VLAN 정보를 전달받지 못한 경우이다.
이럴 경우 VTP-Server로 가서

Switch#clear vtp counters

명령어를 친다. 그리고 vlan database로 가서 아무 vlan이나 만들었다가 no vlan 숫자 하여서 지워보자. 그러면 변경된 정보가 VTP-Client로 전달이 됐을 것이다.
클리어를 통하여 vtp 리비전 숫자를 초기화하여 다시 처음부터 전달되도록 하는 것이다. 그리고 vlan을 만든 이유는 초기화한 후 새로 업데이트를 하여야 하부로 전달이 되기 때문이다.(이 작업은 안하여도 무관할텐데 초기화하여도 VLAN 정보가 전달이 안될때 실행하면 바로 적용되는 것을 확인할 수 있다)

그 다음 실제로 생성한 VLAN 별로 나눠주는 작업을 하여야 한다.
먼저 VTP-Client01부터 하겠다.

Switch(config)#inter f0/2
Switch(config-if)#switchport access vlan 10
Switch(config-if)#inter f0/3
Switch(config-if)#switchport access vlan 20

그 다음 sh vlan 해보면 vlan 10과 20 안에 각각 설정한 포트가 적용이 되어 있다.
VTP-Client02도 적용하여 보자.

Switch(config)#inter f0/2
Switch(config-if)#switchport access vlan 10
Switch(config-if)#inter f0/3
Switch(config-if)#switchport access vlan 20

이로서 VLAN 10과 20이 설정되었다. PC-192.168.10.1 에서 192.168.10.2 로 핑테스트 해보자. 핑이 잘 간다. 그러나 192.168.20.1이나 192.168.20.2 로 핑을 보내면 VLAN이 틀리기때문에 핑이 가지 않는다. 이제 서로 다른 VLAN 끼리 통신이 가능하도록 설정하여 보자.
서로 다른 VLAN끼리 통신할려면 3계층 장비인 라우터가 있어야 한다. 보다시피 토플로지에 라우터가 중간에 있다.
일단 VTP-Server로 먼저 가서

Switch(config)#inter f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all

하여 라우터 방향으로 VLAN 정보가 trunk 모드로 전달이 될수 있도록 설정한다.
그리고 라우터로 가서 설정하여 보자.
Router(config)#inter f0/0
Router(config-if)#no ip address
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#inter f0/0.1
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip add 192.168.10.254 255.255.255.0
Router(config-subif)#exit
Router(config)#inter f0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip add 192.168.20.254 255.255.255.0
Router(config-subif)#exit

subinterface를 사용하여야 한다. subinterface는 물리적인 인터페이스 f0/0을 논리적으로 쪼개서 여러개로 쓰겠다는 것이다.일단 물리적인 인터페이스에는 ip를 부여하지않고 no shut으로 가동만 시켜준다.
그리고 subinterface로 들어가서 인캡슐레이션 타입을 dot1Q로 설정하고 vlan 10으로 하였다. dot1Q는 국제 표준이다. IEEE에서 재정한 802.1Q 방식을 뜻한다. 그 외에도 시스코장비에서만 사용할수 있는 ISL 방식도 있다.
서브인터페이스에 아이피를 부여하였다 따로 no shut 할 필요는 없다. 물리적으로 no shut 상태이기때문에 논리적으로도 no shut 상태가 되어 있기 때문이다.
이렇게 하여 주면 라우터의 F0/0번 포트쪽은 물리적인 연결은 1개이지만, 논리적으로는 2개의 선이 연결된것처럼 된 것이다. 진짜 물리적으로 할려면 라우터와 스위치 사이에 포트 2개를 사용하여 각각 선을 연결하면 된다. 그런데 VLAN 정보가 2개가 아니라 100개라면? 100개의 포트를 사용할 수는 없을 것이다. 그러한 단점을 극복하기 위하여서는 논리적으로 하는 것이 옳다.
이제 VLAN10 PC에서 VLAN20대로 핑테스트 하여 보자. 처음엔 잠깐 Request timed out.이 나올수도 있으나 조금 참고 기다려보거나 핑테스트 몇번 더하여보면 핑통신이 되는 것을 확인할 수 있다.
이제는 라우터의 건너편 VLAN30을 설정하여 보자.
Switch#vlan database
% Warning: It is recommended to configure VLAN from config mode,
  as VLAN database mode is being deprecated. Please consult user
  documentation for configuring VTP/VLAN in config mode.

Switch(vlan)#vlan 30 name BABA
VLAN 30 added:
    Name: BABA
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#inter f0/2
Switch(config-if)#switchport access vlan 30
Switch(config-if)#inter f0/3
Switch(config-if)#switchport access vlan 30

vlan 30을 만들고 각 인터페이스에 vlan 30을 부여하였다. 같은 vlan이고 브로드캐스트 도메인이기 때문에 서로 핑은 잘 된다. 이제 VALN30 스위치와 라우터 사이를 설정하여 보자.
VLAN30 스위치 먼저 해보자.

Switch(config)#inter f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#swi trunk all vlan all

그 다음 라우터에서의 설정.

Router(config)#inter f0/1
Router(config-if)#no ip add
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#inter f0/1.1
Router(config-subif)#encapsulation dot1Q 30
Router(config-subif)#ip add 192.168.30.254 255.255.255.0

VLAN 30 하나라도 반드시 서브인터페이스로 하여야 한다. 물리적인 인터페이스에서는 인캡슐레이션이 되지 않는다. 그러므로 반드시 서브인터페이스로 설정하여 인캡슐레이션을 정해주어야 한다.
이렇게 하면 VLAN에 상관없이 전부 통신이 가능해진다. 핑테스트 해서 확인해보길.

1. NAT(Network Address Translation
2. NAT는 사설 주소를 할당 받은 호스트들의 인터넷 액세스를 허용하기 위해서 사용된다.
3. NAT는 Packet의 IP 헤더의 수신지 주소, 발신지 주소 또는 두 주소를 다른 주소들로 변경하는 과정.
4. NAT는 주로 스텁 도메인(Stub domain)에서 사용된다. 스텁 도메인은 외부로의 단일 접속을 가지고 있는 네트워크를 말한다.

    

2. 사설 IP 주소

   클래스	주소 영역
   A	10.0.0.0 ~ 10.255.255.255
   B	172.16.0.0 ~ 172.31.255.255
   C	192.168.0.0 ~ 192.168.255.255

    

3. NAT 설정에 따른 분류
4. 정적 NAT(SNAT)
5. 동적 NAT(DNAT)
6. NAT 오버로드
7. TCP 분배

    

4. NAT 용어

   

 

1. Inside local address
   • 내부 네트워크의 한 호스트에게 할당된 IP 주소
   • 유일한 IP 주소
   • 사설 또는 공인 IP 주소 일 수도 있다.
2. Inside global address
   • 내부 호스트의 IP 주소가 네트워크 밖에서 보았을 때
   • 일반적으로 공인 IP 주소
   • 보통 ISP 업체에서 제공
3. Outside local address
   • 네트워크 내부에서 보았을 때 외부 호스트의 IP 주소
   • 외부 네트워크의 한 호스트에게 할당된  IP 주소
4. Outside global address
   • 외부 네트워크의 한 호스트에게 할당된 IP 주소이다.

    

5. 정적 주소
6. 내부 및 외부 주소들은 정적으로 1 : 1로 매핑된다.
7. 구문 형식

   Router(config)#ip nat inside source static {local-ip} {global-ip}

   Ex>Router(config)#ip nat inside source static 192.168.1.2 10.10.10.1

        Router(config)#inteface fastethernet 0/0

        Router(config-if)#ip nat inside

        Router(config)#interface fastethernet 0/1

        Router(config-if)#ip nat outside

    

6. 동적 주소
7. 구문 형식

   Nat  Pool  정의

   Router(config)#ip nat pool {name} {start-ip end-ip} {netmask [netmask] | prefix-length [prefix-length]}

   Nat Pool를 액세스 리스트와 함께 사용

   Router(config)#access-list {access-list-number} permit {source [source-wildcard]}

   Router(config)#ip nat inside source list {access-list-number} pool {name}

   NAT 인터페이스 설정

   Router(config-if)#ip nat { inside | outside }

   설정 예제

        Router(config)#ip nat pool ccnapool 100.10.10.1 100.10.10.254 netmask 255.255.255.0

        Router(config)#access-list 24 permit 192.168.1.0 0.0.0.255

        Router(config)#ip nat inside source list 24 pool ccnapool

        Router(config)#inteface fastethernet 0/0

        Router(config-if)#ip nat inside

        Router(config)#interface fastethernet 0/1

        Router(config-if)#ip nat outside

    

7. NAT 오버로드
8. 여러 개의 내부의 주소들을 동일한 하나의 전역 주소로 매핑하는 PAT(Port Address Translation)기능
9. 다-대일 또는 NAT 또는 주소 오버로딩(addressing overloading)이라고 부른다.
10. NAT 라우터는 변화 테이블에 있는 TCP 및 UDP 포트 번호를 사용한다.
11. 구문 형식

    Router(config)#ip nat inside source list {access-list-number} pool name {overload}

    또는 IP Pool를 가지고 있지 않으면 인터 페이스를 설정해 줄 수 도 있다.

    Router(config)#ip nat inside source list {access-list-number} interface {interface-name } name {overload}

     

8. NAT  동작 확인
9. NAT Table 확인

   Router#show ip nat translations [verbose]

   • Verbose : 현재 활성화 되어 있는 연결 정보
10. NAT debug 정보 확인

    Router#debug ip nat

제가 사용하는 보드는 기가바이트 965P-DS3 rev3.3 입니다.
비스타 x64 울티메이트K SP1 사용중입니다.
하드디스크에서 NCQ 기능을 지원해야 합니다.

http://www.parkoz.com/zboard/view.php?id=my_tips&page=1&sn1=&divpage=2&sn=off&ss=on&sc=off&keyword=ahci&select_arrange=headnum&desc=asc&no=8807

참고하였습니다.
가장 먼저 http://support.microsoft.com/kb/922976/ko 에 나와있는대로 비스타에서 ahci모드를 활성화시킵니다.
또한 메인보드의 SATA포트중에 보라색이 아닌 주황색 포트에 꼽아야 합니다.
Intel Matrix Storage Manager 프로그램을 인텔사이트에서 받습니다.
그리고 많이들 나와있는
ata621_cd -a -p[압축이 해제될 폴더 경로]를 실행합니다.
(윈도우키+R을 눌러서 실행창을 열어 이용하도록 합니다.)
※-p 스위치와 경로는 붙여서 실행하셔야 합니다.
예)c:\abc 폴더에 해제☞-pc:\abc
방법으로 압축을 풉니다.
그리고 제어판->장치관리자로 가서
IDE ATA/ATAPI 컨트롤러의 Intel(R) ICH8 4 port Serial ATA Storage Controller를 업데이트하여 드라이버를 수동 선택합니다. 아까 압축푼 폴더에 보면 32비트 64비트로 나와있고 iaahci.inf파일이 존재합니다. 그 파일을 불러오면 여러 드라이버 목록이 나오고 그중 Intel(R) 82801HR/HH/HO SATA AHCI Controller로 업데이트합니다.
참고로 표준 ACHI 1.0 Serial ATA 컨트롤러 사용하면서 ahci모드가 적용되면 비스타 부팅 중 블루스크린을 뜨게 됩니다.(저의경우)
그러면 재부팅하라고 뜨는데 재부팅도중에 시모스 들어가서 SATAAHCI Mode를 Enable 시키고 그 아래 항목도 Enable 시킵니다. 더 하단쪽에 있는 Onboard SATA는 ACHI로 바꿀 필요가 없습니다. 이 부분은 메인보드에서 보라색 SATA포트에 관한 부분이기때문에 IDE나 Disable 시키면 됩니다.
그리고 HD Tune 프로그램에서 Info 정보를 보게 되면 Standard Supported와 Active 항목이 아무것도 안뜬다면 적용이 된 것입니다.
또는 Intel Matrix Storage Manager 프로그램 설치하여 거기서도 확인이 가능하다는데 저는 설치가 안되군요....그래서 HD Tune에서 확인했습니다.
보면 ahci 모드가 적용 안되서 Ultra ATA 133모드 같은 정보가 나오고 있지만 AHCI모드가 적용되면
아래와 같이 아무 정보도 안나옵니다. 또한 Health 에서도 정보가 나오지만 AHCI모드가 적용되면 아무 정보도 안나옵니다.

다이나밉스(dynamip) 프로그램으로 구현하였다.
참고할 점은 다이나밉스 프로그램은 DCE,DTE 장비를 구별하지 않아 clock rate를 주지 않아도 작동한다.
아래 more를 누르면  다이나밉스 net 설정 파일이다.
아래 다이나밉스 net 파일의 경우 라우터가 기본적으로 False 상태라서 net 파일 시작후에
start /all 해줘야 라우터 전원이 켜진다.

more..

NAT 설정을 하기 전에 라우터 물리적 연결을 먼저 하여야 한다.

# FR1 기본 세팅
FR1(config)#interface loopback 0
FR1(config-if)#ip add 211.240.50.1 255.255.255.0
FR1(config-if)#inter serial 0/0
FR1(config-if)#ip add 211.240.10.1 255.255.255.0
FR1(config-if)#no shutdown
FR1(config-if)#interface serial 0/1
FR1(config-if)#ip add 211.240.20.1 255.255.255.0
FR1(config-if)#no shutdown
FR1(config-if)#interface serial 0/2
FR1(config-if)#ip add 211.240.30.1 255.255.255.0
FR1(config-if)#no shutdown
FR1(config-if)#interface serial 0/3
FR1(config-if)#ip add 211.240.40.1 255.255.255.0
FR1(config-if)#no shutdown

# R11 기본 세팅
R11(config)#interface loopback 0
R11(config-if)#ip add 10.10.10.11 255.255.255.0
R11(config-if)#interface serial 0/0
R11(config-if)#ip add 211.240.10.11 255.255.255.0
R11(config-if)#no shutdown

# R12 기본 세팅
R12(config)#interface loopback 0
R12(config-if)#ip add 10.10.10.12 255.255.255.0
R12(config-if)#interface serial 0/1
R12(config-if)#ip add 211.240.20.12 255.255.255.0
R12(config-if)#no shutdown

# R13 기본세팅
R13(config)#interface loopback 0
R13(config-if)#ip add 10.10.10.13 255.255.255.0
R13(config-if)#interface serial 0/2
R13(config-if)#ip add 211.240.30.13 255.255.255.0
R13(config-if)#no shutdown

# R14 기본 세팅
R14(config)#interface loopback 0
R14(config-if)#ip add 10.10.10.14 255.255.255.0
R14(config-if)#interface serial 0/3
R14(config-if)#ip add 211.240.40.14 255.255.255.0
R14(config-if)#no shutdown

여기서 주의 하여야 할 것은 사설망을 loopback으로 하였으나 실제로는 각각의 컴퓨터가 될 것이다. 그러면 따로 선연결이 생길텐데 그것에 대하여 세팅하여야 되는 점 인지하고 넘어가길 바란다.여기서는 라우터 내부의 루프백이기 때문에 따로 세팅이 없다는 것이다.
FR1 라우터에서 핑테스트 하여 보면 물리적 연결이 된 라우터끼리 핑이 다 갈 것이다.

# 각 라우터마다 외부로 나갈 경로 설정
R11(config)#ip route 211.240.0.0 255.255.0.0 serial 0/0
R12(config)#ip route 211.240.0.0 255.255.0.0 serial 0/1
R13(config)#ip route 211.240.0.0 255.255.0.0 serial 0/2
R14(config)#ip route 211.240.0.0 255.255.0.0 serial 0/3

각 라우터마다 static 라우트 설정을 하여야 한다. dynamic 라우팅으로 설정하여도 되나 현재로는 나가는 외부 경로가 1개이기 때문에 간편하게 static으로 하였다.
이렇게 해줘야만 각각의 라우터에서 211.240.0.0/16 대역대의 아이피에 대하여 핑을 하였을때 FR1로 가게끔 경로 지정이 되는 것이다. 또는 ip route 0.0.0.0 0.0.0.0 serial 포트번호 해줘도 된다. 그러면 211.240.0.0/16대역대가 아니라 모든 아이피로 가기 위하여 해당 포트번호로 나가도록 경로 지정이 된다.

이제 NAT 설정할 차례이다.
여기서는 dynamic NAT를 설정할 것이다.

# R11 NAT 설정
R11(config)#ip nat pool R11 211.240.110.1 211.240.110.14 netmask 255.255.255.240
R11(config)#Access-list 11 permit 10.10.10.0 0.0.0.255
R11(config)#ip nat inside source list 11 pool R11
R11(config)#interface loopback 0
R11(config-if)#ip nat inside
R11(config-if)#interface serial 0/0
R11(config-if)#ip nat outside

# R12 NAT 설정
R12(config)#ip nat pool R12 211.240.120.1 211.240.120.14 netmask 255.255.255.240
R12(config)#Access-list 12 permit 10.10.10.0 0.0.0.255
R12(config)#ip nat inside source list 12 pool R12
R12(config)#interface loopback 0
R12(config-if)#ip nat inside
R12(config-if)#interface serial 0/1
R12(config-if)#ip nat outside

# R13 NAT 설정
R13(config)#ip nat pool R13 211.240.130.1 211.240.130.14 netmask 255.255.255.240      
R13(config)#Access-list 13 permit 10.10.10.0 0.0.0.255
R13(config)#ip nat inside source list 11 pool R13
R13(config)#interface loopback 0
R13(config-if)#ip nat inside
R13(config-if)#interface serial 0/2
R13(config-if)#ip nat outside

# R14 NAT 설정
R14(config)#$ R14 211.240.140.1 211.240.140.14 netmask 255.255.255.240      
R14(config)#Access-list 14 permit 10.10.10.0 0.0.0.255
R14(config)#ip nat inside source list 14 pool R14
R14(config)#interface loopback 0
R14(config-if)#ip nat inside
R14(config-if)#interface serial 0/3
R14(config-if)#ip nat outside

자~ dynamic NAT 설정 하였다. 각 라우터마다 해당 네트워크대역이 /28비트이고 28비트는 아이피를 16개씩 사용하는 것이기 때문에 서브넷이 255.255.255.240이 된다(256-16=240). 또한 대역대의 첫번째는 네트워크 아이디, 마지막은 브로드캐스트로 빠지기 때문에 아이피 끝이 .0 은 네트워크 아이디, 15은 브로드캐스트로 빠지게 되고 그 외 나머지를 사용하게 되는 것이다.
여기까지 하면 R11에서 ping 211.240.50.1 source 10.10.10.11으로 하면 FR1 라우터의 루프백으로 핑이 될까? 정답은 no이다. R11에서 debug ip nat 하고 핑테스트 해보면 내부 아이피가 NAT를 거치면서 공인아이피로 변경하여서 정상적으로 핑이 간다. 그러나 돌아오는 핑이 없다. 이유는 FR1 라우터에서 공인 아이피 대역에 대하여 라우팅 테이블 정보가 없어서(경로 설정이 없기 때문에) 돌아갈때 어디로 가야하는지 모르기 때문이다. 아래의 경로 설정을 해주면 정상적으로 핑이 갈 것이다.

# FR1 static 라우트 설정
FR1(config)#ip route 211.240.110.0 255.255.255.240 se 0/0
FR1(config)#ip route 211.240.120.0 255.255.255.240 se 0/1
FR1(config)#ip route 211.240.130.0 255.255.255.240 se 0/1
FR1(config)#ip route 211.240.140.0 255.255.255.240 se 0/1

이제 다 NAT 설정을 끝마치게 되었다. R11에서 FR1로 핑을 보내게 되면 정상적으로 핑이 가고 NAT table이 생성되게 된다. R11에서 show ip nat translastions 하게 되면 NAT table을 볼수 있고 FR1에서 R11에 NAT 테이블에 생성된 공인 아이피로 핑을 전달하게 되면 R11의 내부아이피로 정상적으로 핑이 가게 된다. 단, 참고할 것은 먼저 내부에서 외부로 핑이 전달되어서 NAT 테이블이 생성이 된 후에야 외부에서 내부로도 핑이 들어올 수 있게 되는 것이다. 내부에서 NAT 테이블에 생성되지도 않은 공인 아이피로 외부에서 핑테스트 해보면 당연히 변환할 내부 아이피를 찾지 못하기 때문에 핑이 가지 않는다.
또한 지금은 NAT 설정을 하였다. 그러나, 예를 들어 NAT에서 사용할수 있는 공인 아이피가 4개라면 내부아이피가 선착순으로 테이블 생성한 내부아이피 4개만 외부하고 통신이 가능하게 된다. 즉, 1:1 통신이다. n:1 통신을 할려면 NAT PAT을 하여야 한다. PAT를 하게 되면 공인아이피 4개를 할당받고 내부아이피가 100개라면 NAT는 내부아이피 4개만 통신이 가능하였지만 PAT는 공인아이피 4개지만 내부아이피 100개 모두 통신이 가능하다. 그 이유는 PAT는 아이피에 포트번호를 부여하여 내부아이피를 구분할 수 있기 때문이다. PAT하는 방법은 간단하다. NAT 설정할때 R14 를 예로 들면 ip nat inside source list 14 pool R14 overload 라고 하여 주면 된다. 끝에 overload 라는 것만 넣어주면 된다.
끝으로 R11에서 loopback 0 에서 secondary 로 아이피 몇개를 더 생성하고 그 아이피를 source 로 핑을 때려보면 NAT table에 새롭게 생성되는 것을 확인 가능하다. 연습이기때문에 루프백 아이피를 1개만 할당한 것이다.
여기까지 하면 R11 라우터에서 ping 211.240.50.1 source 10.10.10.11 했을때 NAT를 거쳐 변환되어 핑이 전달이 된다.
그러나 R11라우터에서 R14라우터로 ping 211.240.140.1 source 10.10.10.11 했을때 핑이 갈까? 정답은 될수도 있고 안될수도 있다.
핑통신을 했을때 R14까지 핑은 도달하지만 버려질 것이다. static NAT가 아닌 dynamic NAT의 경우 R14까지 가서 일단 라우팅테이블에 211.240.140.1 에 대한 정보가 있는지 확인한다. 그러나 라우팅테이블엔 그런 정보가 없다. 그러면 NAT 테이블에서 정보가 있는지 찾게 된다. 거기서 변환되어진 IP정보가 남아 있다면 핑이 도달하여 다시 R11으로 돌아올 것이다. 그러나 NAT테이블에 변환된 정보가 없다면 패킷은 버려질 것이다.

1.  Access-List  ; Router를 경유하는 트래픽을 제어하는 방식으로 어떤 패킷을  어떤 방식으로 제어 할 것인지 정의한다.

  

                    

2. Ip access-group out 설정 하는 경우

 




6. Extended Access List ?

   ;TCP/IP 프로토콜 Header 내용을 알 필요가 있다.

   Internet Layer

       ICMP-Type, code

       IGMP-Type

   Transport Layer

       TCP - Port , Flag

      UDP - Port

   
   
   1. 구문 형식

   Router(config)#

   access-list access-list-number {permit | deny}

   {protocol}

   {source-address wildcard-mask}

   {destination-address wildcard-mask}

   {options}

   
   
   2. 주의 사항
      1. 많은 항목을 제어 할 수 있기 때문에 보안 설정시 활용 할 수 있다.
      2. List Number : 100~199, 2000~2699 까지 사용.
      3. Cisco IOS Image에 security 기능이 있음
      4. List 항목에 매치되는 조건이 없는 경우 일시적으로 거부.
   3. 설정 예제
      1. !--192.168.1.0/24 Network에서 Internet에 Web Server/FTP Server/Telnet에 접근을 허용하는 정책

   Router(config)#

   Router(config)#access-list 100 permit tcp any host 192.168.1.100 eq 80

   Router(config)#access-list 100 permit tcp any host 192.168.1.100 eq 21

   Router(config)#access-list 100 permit tcp any host 192.168.1.100 eq 20

   Router(config)#access-list 100 permit tcp any host 192.168.1.100 eq 23

   
   

다이나밉스(Dynamips)를 이용하여 세팅한 것이다.
다이나밉스 프로그램은 DCE,DTE를 구별하지 않기 때문에 clock rate를 주지 않아도 된다.

다이나밉스 net 파일 설정이다. 볼려면 클릭하면 된다.
아래 다이나밉스 net 파일의 경우 라우터가 기본적으로 False 상태라서 net 파일 시작후에
start /all 해줘야 라우터 전원이 켜진다.

more..

라우터 기본 세팅하기

FR1 세팅하기
FR1(config)#interface loopback 0
FR1(config-if)#ip add 10.10.10.1 255.255.255.0
FR1(config-if)#interface serial 0/0
FR1(config-if)#ip add 192.168.1.1 255.255.255.252
FR1(config-if)#no shutdown
FR1(config-if)#interface serial 0/1
FR1(config-if)#ip add 192.168.1.5 255.255.2
FR1(config-if)#no shutdown
FR1(config-if)#interface serial 0/2
FR1(config-if)#ip add 192.168.1.9 255.255.255.252
FR1(config-if)#no shutdown
FR1(config-if)#interface serial 0/3
FR1(config-if)#ip add 192.168.1.13 255.255.255.252
FR1(config-if)#no shutdown

R11 세팅하기
R11(config)#interface loopback 0
R11(config-if)#ip add 172.11.0.1 255.255.255.0
R11(config-if)#interface loopback 1
R11(config-if)#ip add 10.10.1.1 255.255.255.0
R11(config-if)#ip add 10.10.3.1 255.255.255.0 secondary
R11(config-if)#ip add 10.10.5.1 255.255.255.0 secondary
R11(config-if)#interface serial 0/0
R11(config-if)#ip add 192.168.1.2 255.255.255.252
R11(config-if)#no shutdown
R11(config-if)#interface serial 1/1
R11(config-if)#ip add 192.168.1.17 255.255.255.252
R11(config-if)#no shutdown

R12 세팅하기
R12(config)#interface loopback 0
R12(config-if)#ip add 172.12.0.1 255.255.255.0
R12(config-if)#interface serial 0/1
R12(config-if)#ip add 192.168.1.6 255.255.255.252
R12(config-if)#no shutdown
R12(config-if)#interface serial 1/1
R12(config-if)#ip add 192.168.1.18 255.255.255.252
R12(config-if)#no shutdown

R13 세팅하기
R13(config)#interface loopback 0
R13(config-if)#ip add 172.13.0.1 255.255.255.0
R13(config-if)#interface serial 0/2
R13(config-if)#ip add 192.168.1.10 255.255.255.252
R13(config-if)#no shutdown
R13(config-if)#interface serial 1/1
R13(config-if)#ip add 192.168.1.21 255.255.255.252
R13(config-if)#no shutdown

R14 세팅하기
R14(config)#interface loopback 0
R14(config-if)#ip add 172.14.0.1 255.255.255.0
R14(config-if)#interface loopback 1
R14(config-if)#ip add 10.10.65.1 255.255.255.0
R14(config-if)#ip add 10.10.80.1 255.255.255.0 secondary
R14(config-if)#ip add 10.10.100.1 255.255.255.0 secondary
R14(config-if)#interface serial 0/3
R14(config-if)#ip add 192.168.1.14 255.255.255.252
R14(config-if)#no shutdown
R14(config-if)#interface serial 1/1
R14(config-if)#ip add 192.168.1.22 255.255.255.252
R14(config-if)#no shutdown

라우팅 기본 물리적 연결이 끝났다. show ip interface brief 명령어로 upup상태인지 확인하고, 인접라우터로 핑이 가는지 확인해보자.
이 다음이 EIGRP 을 올려서 다이나믹 라우팅을 하는 부분이다.

FR1 EIGRP 세팅하기
FR1(config)#router eigrp 1
FR1(config-router)#no auto-summary
FR1(config-router)#network 192.168.0.0 0.0.255.255
FR1(config-router)#network 10.10.0.0 0.0.255.255

R11 EIGRP 세팅하기
R11(config)#router eigrp 1
R11(config-router)#no auto-summary
R11(config-router)#net 172.11.0.0 0.0.255.255
R11(config-router)#net 10.10.0.0 0.0.255.255
R11(config-router)#net 192.168.0.0 0.0.255.255

R12 EIGRP 세팅하기
R12(config)#router eigrp 1
R12(config-router)#no auto-summary
R12(config-router)#net 172.12.0.0 0.0.255.255
R12(config-router)#net 192.168.0.0 0.0.255.255

R13 EIGRP 세팅하기
R13(config)#router eigrp 1
R13(config-router)#no auto-summary
R13(config-router)#net 172.13.0.0 0.0.255.255
R13(config-router)#net 192.168.0.0 0.0.255.255

R14 EIGRP 세팅하기
R14(config)#router eigrp 1
R14(config-router)#no auto-summary
R14(config-router)#net 172.14.0.0 0.0.255.255
R14(config-router)#net 10.10.0.0 0.0.255.255
R14(config-router)#net 192.168.0.0 0.0.255.255

no auto-summary 해줌으로서 만일 오토써머리가 되지 않아 핑이 정상적으로 가게 된다.
만일 전체 다 no auto-summary 하지 않고 FR1만 no auto-summary 해보고 R11에서 R14로 핑테스트(10.10대역대로)해본다거나 R11만 no auto-summary 해보고 R13이나 R14에서 핑테스트(10.10대역대) 해보아라. 정상적으로 핑테스트가 되지 않는 것을 볼수 있을 것이다.
예를 들어 FR1에만 no auto-summary 하게 될 경우 FR1에서는 어느쪽으로나 핑테스트가 될 것이지만 R11에서 R13으로는 핑이 가지 않는다. 이런 점에 유의하여야 한다.

show ip route 해보면 라우팅테이블이 양도 많고 복잡하다. 이것을 간편하게 줄이기 위하여 manual summary를 설정해줄 차례이다.
일단 10.10대역대가 여러 곳인 R11과 R14를 써머리하면 된다.

R11에서 summary 하기
R11(config-if)#inter se 0/0
R11(config-if)#ip summary-address eigrp 1 10.10.0.0 255.255.248.0    
R11(config-if)#inter se 1/1
R11(config-if)#ip summary-address eigrp 1 10.10.0.0 255.255.248.0    

R14에서 summary 하기
R14(config)#inter se 0/3
R14(config-if)#ip summary-address eigrp 1 10.10.64.0 255.255.192.0
R14(config-if)#inter se 1/1
R14(config-if)#ip summary-address eigrp 1 10.10.64.0 255.255.192.0

이렇게 하면 summary가 된다 확인하는 방법은 중간지점 라우터인 FR1에서 확인하여 보면 된다.
R11에서는 10.10.1.0~10.10.5.255 대역대까지 쓰기 위하여 3번째 옥탯에서 최소로 사용할수 있는 개수가 8개이다. 그러므로 256-8=248이 된다. 10.10.0.0~10.10.7.255까지 사용하겠다는 것이다. 10.10.0.0은 네트워크 아이디가 되는 것이다. 실제 사용할 수 있는 것은 네트워크아이디와 브로드캐스트를 빼야 한다. 네트워크아이디 10.10.0.0을 빼고 10.10.7.255가 브로드캐스트로 빠진다.
R11에서는 10.10.64.0~10.10.100.255 대역대까지 쓰기 위하여 3번째 옥탯에서 최소 사용할수 있는 갯수를 64개로 잡았다. 그러므로 256-64=192이 된다. 10.10.64.0~10.10.127.255까지 사용하겠다는 것이다. 10.10.64.0이 네트워크 아이디가 되고, 실제 사용할 수 있는 것은 네트워크아이디 10.10.64.0을 빼고 10.10.127.255가 빠진 나머지 아이피를 실제로 사용 가능하다.
서브넷팅하면 각각 나눠지게 되고 그 나눠진 네트워크 대역대를 사용하기 위하여 서브넷마스크와 네트워크아이디로 인식하여 해당 나눠진 대역대를 사용 가능한 것이다.

아래 내용은 패킷트레이서(Packet Tracer) 프로그램으로 실습한 내용입니다.
라우터0과 라우터1에서 시리얼포트를 사용할 수 있도록 모듈을 장착하여 주어야 합니다.

R0(config)#inter fastEthernet 0/0
R0(config-if)#ip add 28.28.1.1 255.255.255.0
R0(config-if)#no shutdown
R0(config)#inter serial 0/0/0
R0(config-if)#ip add 28.28.12.1 255.255.255.0
R0(config-if)#bandwidth 64
R0(config-if)#clock rate 64000
R0(config-if)#no shutdown
R0(config-if)#

R0 라우터 설정하고 R1 라우터를 설정한다.
단, clock rate 를 주는 곳과 주지 않는 곳을 반드시 확인하여 구별하여라.
DCE인지 DTE인지 알고 있어야 라우터끼리 물리적인 연결이 된다.

R1(config)#interface Serial 0/0/0
R1(config-if)#ip add 28.28.12.2 255.255.255.0
R1(config-if)#bandwidth 64
R1(config-if)#no shutdown
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip add 28.28.2.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface FastEthernet 0/1
R1(config-if)#ip add 28.28.3.1 255.255.255.0
R1(config-if)#no shutdown

그 다음에 show ip interface brief 하여
up up 상태인지 확인하여 보고 라우터끼리 핑이 가는지 확인하여 본다.
정상적으로 핑에 된다면 아래로 다음 단계로 넘어간다.

PC1과 PC2를 설정하기 위해
먼저 PC1을 더블클릭하여 보면 창이 뜨고 스크린샷과 동일한 화면을 볼 수 있다.


Config 화면에서 GLOBAL Settings 메뉴에서 Gateway를 28.28.1.1(연결된 라우터IP)로 설정한다
INTERFACE FastEthernet 메뉴에서 IP에는 28.28.1.2(부여받을IP)와 서브넷마스크를 적어준다.
PC2도 동일하게 설정하되 부여받을IP는 28.28.1.3으로 지정한다.
그 다음은 Server 세팅이다. Server 세팅도 PC 세팅과 동일하다.
Gateway를 라우터 아이피(Server0은 28.28.2.1, Server1은 28.28.3.1)로 지정하여 주고 인터페이스의 페스트이더넷부분에서 아이피와 서브넷마스크를 적어주면 된다
Server0은 28.28.2.2이고 서브넷은 255.255.255.0
Server1은 28.28.3.2, 서브넷은 255.255.255.0
기본적인 세팅은 이루어져서 전부 녹색불이 들어와 있을 것이다.
PC0에서 R0 라우터로 핑테스트 해보고 R0번에서 R1번으로 핑테스트 해보고 R1번에서 server로 핑테스트 해보길 바란다.
정상적으로 핑이 다 간다면 물리적 연결은 정상적으로 다 한것이다.
만일 핑이 안간다면 여기서 다시 확인하여 정상적으로 세팅해놓고 다음 단계로 진행한다.

그 다음은 다이나믹라우팅을 하여야 한다.
라우터 콘솔로 다시 가서
R0(config)#router rip
R0(config-router)#version 2
R0(config-router)#no auto-summary
R0(config-router)#net 28.0.0.0

R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#net 28.0.0.0

show ip route 해서 제대로 라우팅이 됐는지 확인하고
핑 때려서 어디로든지 다 연결되는지 확인해본다
정상적으로 되면 다이나믹 라우팅도 정상적으로 하였다.
여기서는 RIPv2 로 하였으나
그 외 EIGRP나 OSPF로 하여도 무관함.

그 다음 중요한 ACL(Access List)을 하여야 한다.
하기 전에 먼저 주어진 문제와 패킷 트레이서를 보면서 어떤 그림인지 확인하여 본다

주어진 내용은
PC0에서 server0으로 http를 차단하고 그 외는 허용.
PC1은 외부로 ping 차단, 그 외는 다 허용.

해당 내용을 하기 위하여서는 Standard IP Access List로는 안된다. Extended IP Access List를 적용하여야 한다.

PC0에서 server0으로 http를 차단하기 위해서는
R0 라우터에서 ACL을 작성하여도 되지만 R1에서 작성하는게 더 옳바른 방법이다.
구별은 얼마나 효율적으로 ACL을 작성할수 있는지 판단하는 능력이다.
R1의 Fa0/0에서 나가는 것(out)을 막는 것이 가장 효율적이다.
http는 기본적으로 tcp 80번 포트를 사용한다(예외도 있음)

두번째로 PC1은 외부로의 ping 차단을 하여야 한다.
ping 은 icmp를 이용한다.
외부로의 차단을 막기 위하여는 R0 라우터의 Fa0/0번에 들어오는 것(in)을 차단하는 것이 옳바른 방법이다.
이제 어떻게 하여야하는지 알았기 때문에 실제로 차단하여 보자
http 먼저 차단하여 보자

R1 라우터에서
R1(config)#access-list 101 deny tcp 28.28.1.2 0.0.0.0 28.28.2.2 0.0.0.0 eq 80
R1(config)#access-list 101 permit ip any any
R1(config)#interface Fastethernet 0/0
R1(config-if)#ip access-group 101 out

정말로 PC0에서 http가 차단됐는지 확인하여 보자
PC0을 더블클릭하고 Desktop 메뉴로 가면 Web Browser 메뉴가 있다.
클릭하여 URL에 아이피를 입력한다. Server0의 아이피는 28.28.2.2가 된다.
Request Timeout 이 나오면 정상적으로 차단 된 것이다.
또 Server1로도 접속해보자. 28.28.3.2 로 접속하여 보면 정상적으로 접속이 될 것이다.
Server0만 http를 차단한 것이다.
여기서 문제.
Server1도 http를 차단하고자 한다면?
그럴 경우엔 Server1도 동일한 방법으로 차단하거나
아니면 R1에서 한번에 차단시켜도 된다.

두번째로 핑을 막아보자.
R0 라우터에서
R0(config)#access-list 101 deny icmp 28.28.1.3 0.0.0.0 any
R0(config)#access-list 101 permit ip any any
R0(config)#interface Fastethernet 0/0
R0(config-if)#ip access-group 101 in

PC1을 더블클릭한후 프롬프트를 눌러
ping을 날려보자. 핑이 안갈 것이다.단, PC0(28.28.1.2)로만 간다. 그 외에는 다 안갈 것이다.
그 이유는 스위치가 있기 때문이다. 스위치가 있기에 R0으로 가지 않고 스위치에서 바로 PC0으로 가기 때문이다.
이는 스위치는 브로드캐스트를 나눌수 없기 때문이다. 같은 브로드캐스트에 포함이 되기에 가능한 것이다.
그리고 아래는 패킷트레이서로 작성한 내용을 저장한 것이다.

show controller interface ===> DCE/DET 구별 확인
show ip interface brief ====> 2계층 물리적 연결 확인!!
show ip route ====> 라우팅 테이블 확인!!
show ip protocols ===>자신의 라우터의 프로토콜 확인!!
show ip interface === > 해당인터페이스에 설정된 정보확인!!
show interface (해당 인터페이스) ==> 인터페이스정보
show running config ==> RAM에 설정된 config확인
show version ==== > 라우터의 하드/소프트웨어정보 확인
show startup-config ==>NVRAM에 설정된 config확인
copy running config startup-config  ==>RAM에 정보를 NVRAM으로 저장
erase startup-config  ==>NVRAM에 설정된 config 삭제
clear ip route * ===> 라우팅 테이블의 라우트 정보 삭제
show cdp neighbor ==>이웃장비 정보 확인 (2계층 이상동작해야만 작동 시스코 전용)
show cdp neighbor detail ==>이웃장비 상세 정보

<rip>
show ip route rip ===>라우팅 테이블중 RIP정보만 확인
debug ip rip ====>RIP 데이터 정보 확인!!
<EIGRP>
show ip eigrp neighbor ==>네이버 테이블 확인(Hello)
show ip eigrp topology ==>라우트 경로집합 (Update)
show ip route eigrp
show ip protocols
show ip eigrp traffic <AS number)
show ip eigrp events
debug eigrp packet <access-list number>
debug eigrp neighbor
debug ip eigrp route
debug ip eigrp summary
<OSPF>
show ip ospf neighbor
show ip route ospf
show ip ospf database ====>라우트 경로집합 (DBD)
debug ip ospf adv ==> 링크 상태 정보 확인
debug ip ospf =====> 라우트 정보 확인

OSPF(Open shortest Path First)

 IETF(Internet Engineering Task Force)에서 RIP의 여러 한계성을 극복하기 위해서 우수한 기능을 가진 표준 Interior Gateway Protocol(IGP)로서 개발되었다.

1. Dijsktra의 Shortest Path First(SPF)알고리즘을 기반으로 한 Link State Protocol 이다.
2. OSPF 은 단일  Autonomous System(AS)에서 운영되는 대표적인 라우팅 프로토콜이다.
3. OSPF 라우터는 내부 AS 토폴로지 정보를 관리하는 데이터베이스를 유지하며, 이 데이터베이스로부터 최단 거리를 구성하도록 라우팅 테이블을 생성한다.
4. 네트워크 입력시 Area을 사용하여 구분 한다.
   • 10진수로 표시 할 수 있다.
   • 비트로 표시 할 수 있다.
5. Distance : 100
6. Metric  값은 Bandwidth 값으로 결정된다.

   Metric = 10^8 / Bandwidth

   Ex) 100M 인 경우 100000000/100000000 = 1

   10M 인 경우 100000000/10000000 = 10 

   1,544인 경우 100000000/1544000 = 65

7. Equal Loadbalancing 기능 제공
8. Network 입력시 Wildcard mask 형식을 사용한다.

    

   (혼자말) RIP은 30초에 한번씩 자동으로 업데이트를 하지만 OSPF 는 몇 가지 Packet를 이용하여  정보를 업데이트 한다.

    

9. OSPF Packet Type
   • TYPE 1 : HELLO        : 네이버 라우터들가 Adjacency 정보를 수집하고 유지
   • TYPE2  : Database Description  : OSPF 라우터의 Link-stat 데이터베이스의 내용을 기술
   • TYPE3  : Link-State Request : 라우터의 Link-state 데이터베이스의 특정 부분을 요청
   • TYPE4  : Link-State Update : LSA를 네이버 라우터들에게 전송
   • TYPE5  : Link-State Acknoledgement  : 네이버 라우터의  LSA를 수신했음을 확인
10. 네이버 관계를 설립하기 위해서 서는  Hello/Dead Interval, Area-ID, Authentication Password 가 라우터들 간에 네이버 관계를 설립 하기 위해 반드시 일치해야 하는 항목이다.

     

11. OSPF 설정

    !-- R11 Router OSPF 설정

    Router ospf 1

       network 192.168.1.0 0.0.0.255 area 0

       netowork 172.11.0.0 0.0.0.255 area 0

     

    !-- OSPF Neighbor table 보기

    Show ip ospf neighbor

     

    !-- OSPF Link state Datebase

    Show ip ospf datebase

     

    !-- OSPF debug

    Debug ip ospf packets

     

12. OSPF State
    

     

    • Down State
      • 두 라우터가 서로 정보를 교환하지 않았으므로 Down State 가 된다.
    • Init State
      • 인터페이스가 첫 번째 Hello 패킷을 받을 때 , 라우터는 Init State에 들어가는데 이는 네이버 라우터가다음 단계로의 관계를 얻기 위해 기다리고 있음을 라우터가 인식하고 있다는 것이다.
      • Router ID 은 32비트 숫자로 구성되며, 이것은 동일 AS 내에서 라우터의 식별자로 사용된다. 라우터 루피백(Lookback) 인터페이스의 IP 주소 중 가장 큰 IP 주소가 Router ID가되며, 만약 루프백 인터페이스가 없으면, 물리적 인터페이스의 IP  주소 중 가장 큰 IP 주소가 적용된다.
    • 2-Way
      • 모든 OSPF  라우터들의 데이터베이스에 등록되어 양방향 통신이 형성되는 단계이다.
    •  Exstart State
      • DBD(Database Description Packet)을 이용하여, 두 네이버 라우터들은 이 DBD 패킷들을 사용해 그들의 관계 내에서 누가 "Master", 이고 누가 Slave  인지를 협상한다. 가장큰  OSPF Router ID를 가진 라우터가  Master로선출된다.
    • Exchange State
      • 마스터와 슬레이브 라우터는 한 개 이상의 Database Descriptin패킷을 교환한다.
      • Link-State Type, Advertising Router의 어드레스, 링크의 Cost, 순성번호(Squence Number)등을 포함한다.
    • Load State
      • 만약 DBD 패킷에 최신의 Link-State Entry 정보가 있으며, 인접 라우터에게 완전한 업데이트를 보내달라 Link-State Request(LSR)을 보낸다.
      • LSR를 받은 라우터는 자신의 데이터베이스를 최신의 정보를 수정하여 Link-State Update(LSU)패킷으로 인접한 라우터에게 응답한다.
    • Full State
      • 일단 모든 LSR들이 모든 만족한다면, 인접한 라우터들은 동기화된것으로 인정하고 Full State가 된다. 라우터들은 트랙픽을 라우팅하기전에 Full State에 있어야만 한다.

OSPF 정리..
OSPF 는 IP protocol에서 89번 사용 AD 110
OSPF는 비교적 타 프로토콜에 비해 자원(CPU, DRAM) 소비가 많다
OSPF 라우팅 테이블 유지 과정
- OSPF가 설정되면 헬로 패킷을 주고 받으며 NEIGHBOR 및 ADJANCENT NEIGHBOR를 구성한다. 모든 네이버와 라우팅 정보를 교환하지 않으며 오직 어드제이션트 네이버와 한다.
- 라우팅 정보를 LSA(link state advertisement) 담아 보내며 라우터는 링크 상태 데이터베이스에 저장한다.
- LSA 교환이 끝나면 SPF (shortest path first) 또는 디지크스트라라는 알고리즘을 이용 라우팅 테이블에 올린다.
- 이후 주기적으로 헬로 패킷을 주고 받으며 각 라우터가 정상적으로 동작하는지 점검한다.

기본적인 OSPF 설정
R#router ospf 번호 ( 1~65535 사이의 적당한 값을 골라 쓰기)
R#router-id 1.1.1.1 (이것이 중요한 이유는 OSPF는 목적지 네트워크, 메트릭 값과 함께 해당 라우팅 정보를 전송하는 라우터가 어느 것인지도 함께 알려준다.
R#network ip-address network area area-id

OSPF 패킷
Hello 네이버 구성 및 유지
Database Description 데이터 베이스 내용 요약
Link State Request 데이터베이스 상세내용 요청
Link State Update 데이터베이스 업데이트
Link State Ack Ack 전송

Hello 패킷
OSPF 네이버를 형성하고 유지하는데 사용되는 패킷.
헬로 패킷은 라우터 ID, 에어리어 ID, 암호, 서브넷 마스크, 헬로 주기, 스텁 에러리어 표시, 라우터 우선 순위, 데드 주기, DR, BDR, 네이버 리스트 정보
목적지 주소 : 브로드캐스트, 포인트 투 포인트 네트워크에서는 224.0.0.5를 헬로 패킷의 목적지 주소로 사용. 논브로드캐스트 네트워크에서는 유니캐스트 주소 사용 왜 네이버를 지정하니까..
Show ip ospf neighbor, debug ip ospf hello

DR과 BDR
브로드캐스트 및 논브로드캐스트
Priority 값을 이용해 DR을 조정한다. If)ip ospf priority 0 ~ 255
Priority가 설정되지 않으면 라우터 ID를 비교해 높은 것을 선택
네이버가 진행되는 과정에서 DR과 BDR을 선택하는 two-way 상태에서 wait timer가 40초가 소요됨. NBMA 구간에서~
DRother는 목적지 224.0.0.6 그리고 DR은 목적지 224.0.0.5

OSPF 어드제이션시
라우팅 업데이트를 주고 받는 것을 말한다.
DR과 다른 라우터들
BDR과 다른 라우터들
포인트 투 포인트 네트워크로 연결된 두 라우터
포인트 투 멀티포인트 네트워크로 연결된 라우터들
가상 링크로 연결된 두 라우터
상태 확인 : show ip ospf inter s0.0

OSPF 네이버 상태의 변화
DOWN 상태 : 헬로를 보낸지만 아직 받지는 못한상태
Attempt 상태 : NBMA에서만 그리고 neighbor로 지정한 네이버에게서 헬로를 받지 못한 상태
Init 상태 : 헬로를 받았지만 상대는 받지 못한 상태
Two-way 상태 : 상대방으로부터 받은 헬로 내에 나의 네이버 리스트가 있을 때. DR, BDR 선태
Exstart 상태 : 어드제이션트 네이버가 되는 첫 단계. 마스터와 슬레이브 라우터를 선출하고 DDP 패킷을 교환을 위한 sequence number를 결정
Exchange 상태 : DDP를 상태방에게 전송 그리고 받음
Loading 상태 : DDP 요약된 정보에 내가 없는 루트가 있으면 LSR 패킷 발생 그리고 요청패킷을 받으면 LSA를 LSU에 담아 보내고 받고 ACK 후 다시 DDP를 주고 받으며 없으면 바로 Full.
Debug ip ospf adj

Metric
10 power of 8 / 밴드위드 예) 10 power of 8 / 1,544,000 = 64
기준 대여폭 변경 : R#auto-cost reference-bandwidth
타 밴더와 접속시 유용, cost 값 변경 : if#ip ospf cost
OSPF 라우터의 종류
Backbone router, internal router, area border router (ABR), AS boundary router (ASBR)

네트워크 타입별 OSPF 설정
네트워크 타입 네이버 DR 헬로/데드 주기 기본 인터페이스
브로드캐스트 자동 선출 10 / 40 이더넷, 토큰링, FDDI
포인트 투 포인트 자동 없음 10 / 40 포인트 투 포인트 서브인터페이스, HDLC, PPP
포인트 투 멀티포인트 자동 없음 30 / 120 없음
NBMA 지정 선출 30 / 120 멀티포이트 서브인터페이스, 프레임 릴레이, ATM, X.24
네트워크 타입 변경 : if#ip ospf network
포인트 투 멀티포인트 네트워크 특징 : 각 인터페이스의 IP 주소가 서브넷 마스크가 32비트인 호스트 루트로 광고 됨으로 프레임 릴레이 매핑을 하지 않고서도 핑이 된다.

루프백 네트워크
이 인터페이스를 OSPF 라우팅 프로세서에 넣으면 호스트 루트 32비트로 광고된다. 해서 if#ip ospf network point-to-point 로 변경
리디시 subnets 옵션을 사용해 서브넷팅된 네트워크 정보를 전송

OSPF 경로
경로 타입 코드 우선 순위 내용
에어리어 내부 경로 O 1 도일 에어리어에 소속된 경로
에어리어간 경로 O IA 2 다른 에어리어에 소속된 경로
도메인 외부 경로 O E1 3 변동 코스트 값을 가지는 외부 경로
O N1 4 변동 코스트 값을 가지는 NSSA 외부 경로
O E2 5 고정 코스트 값을 가지는 외부 경로
O N2 6 고정 코스트 값을 가지는 NSSA 외부 경로
외부 경로 리디 : R#redistribute connected subnets metric-type 1 or 2

LSA(Link state advertisement)와 링크 상태 데이터베이스
타입 이름 생성 라우터 내용 확인 명령어 전송범위
1 router 모든 라우터 인터페이스 상태 router Area
2 network DR DR과 연결된 라우터 ID network Area
3 summary ABR 타 에어리어 네트워크 summary Area
4 summary ABR ASBR 라우터 ID Asbr-summary Area
5 AS-external ASBR 외부 네트워크 external AS
6 MOSPF 시스코에서는 지원되지 않된다.
7 AS-external NSSA ASBR NSSA 외부 네트워크 Nssa-external AS

OSPF 스텁 에어리어
ABR이 내부 라우터에게 외부 경로에 대한 LSA(type 4,5)를 막고 디폴트 루트를 전달.
종류 설정 명령어 차단 경로
스텁 에어리어 Area n stub E1, E2
완전 스텁 에어리어 Area n stub no-summary E1, E2, IA
NSSA Area n nssa default-information-originate E1, E2
NSSA 완전 스텁 에어리어 Area n nssa no-summary E1, E2, IA
N1/N2 경로 차단하기 Area n nssa no-redistribution N1/N2 까지
제약 사항
- 백본 에어리어가 될 수 없다.
- 가상 링크 설정시 트랜짓 에어리어가 될 수 없다.
- 에어리어 내부에 ASBR을 둘 수 없다. (NSSA는 제외)

OSPF 네트워크 축약
ABR과 ASBR에서 축약 가능하며 이는 백본에 알리는 주소들을 축약해서 던진다
ABR : area 4 range 축약 주소
ASBR : summary-address 축약 주소

OSPF 디폴트 루트
R#default-information originate 이러면 스태틱으로 하나 잡아야 한다. 이를 피하기 위해 always 옵션을 추가하는 스태틱으로 잡을 필요가 없음
디폴트 루트의 기본 코스트는 1이고, 메트릭 타입은 E2. 이를 변경하기 위해
R#default-information originate metric 100 metric-type 1


OSPF 네트워크 보안
인증 범위 인증 방식 사용 명령어
네이버 인증 Clear text Interface xxx
Ip ospf authentication
Ip ospf authentication-key cisco
MD5 Interface xxx
Ip ospf authentication message-digest
Ip ospf message-digest-key 1 md5 cisco
에어리어 인증 Clear text Router ospf 1
Area xxx authentication
Interface xxx
Ip ospf authentication-key cisco
MD5 Router ospf 1
Area xxx authentication message-digest
Interface xxx
Ip ospf message-digest-key 1 md5 cisco

가상 링크와 디맨드 써킷
가상 링크는 모든 에어리어와 꼭 백본과 연결되야 하는데 그렇지 못할 경우 사용
Area x virtual-link 상대방 라우터 ID

가상 링크 인증
R# area 0 authentication message-digest
R# area X virtual-link router-id message-digest-key 1 md5 cisco

OSPF demand circuit
OSPF는 네이버 관계를 유지하기 위해 10초 또는 30초 마다 헬로를 전송. 또 30분마다 LSA 리프레시 한다.
포인트 투 포인트와 멀티포이트 인터페이스에서 디맨드 써킷 설정 시 헬로 패킷의 전송과 LSA 리프레시가 일어나지 않는다.
멀티 액세스 모드에서 디맨드 써킷 설정 시 헬로는 발생하는 리프레시가 일어나지 않는다.

OSPF 포워드 주소
멀티 엑세스 구간에선 홉수를 줄이기 위해 포워드 주소가 광고하는 주소로 변경된다. 단 포워드 주소가 O나 O IA로 광고될 경우에 해당
포인트 투 포인트나 포인트 투 멀티포인트 네트워크 에서는 ASBR로 가리키게 된다.

OSPF와 세컨더리 주소
세컨더리 주소와 연결되는 네트워크에 다른 라우팅 프로토콜을 사용하고 OSPF에 재분배

OSPF 타이머
헬로와 데드 주기
If#ip ospf hello-interval seconds
If#ip ospf dead-interval second

재전송 타이머
LSA 또는 LSR 전송후 ACK 가 없을 시 5초 후 재전송
If#ip ospf retransmit-interval seconds

LSA 그룹 페이싱 타이머
개별적인 LSA의 에이지를 고려하지 않고 라우터 전체의 주기에 따라 LSA를 링크와 과부하를 고려해서 리프레시 하는 것을 LSA 그룹 페이싱이라한다.
R#timers pacing lsa-group 10-1800 - 4분(240초)마다

OSPF 트로틀 타이머
OSPF가 LSA를 수신한 다음 SPF 알고리즘을 계산할 때까지의 시간을 의미.
Show ip ospf
R#timers throttle spf 1 2000 10000
LSA를 받은 후 SPF 계산을 2초 후 그리고 10초를 넘지 않는다.

http://www.cyworld.com/whitewyrm/190028

conf t
enable password cisco
no ip domain-lookup
line console 0
no login
exec-timeout 0
logging syn
exit
line vty 0 4
password cisco
login
exit
hostname

EIGRP(enhanced interior gateway routing protocol)

1. 시스코 IGRP를 기초로 해서 독자적으로 개발한 라우팅 프로토콜
2. Hybrid 형 Routing protocol
3. VLSM, CIDR 을 사용하여 주소 공간을 최대한으로 확장시킬 수 있으면, 자동 Summary 와

   수동 Summary 기능 을 제공한다.

4. Network  입력 시 와일드 카드 방식을 이용한다.
5. Distance

   Internal : 90

   External : 170

   Summary : 5

6. Metric : Bandwidth, Delay, Reliability, Load, MTU

   K상수값 : K1=1, K2=0, K3=1, K4=0, K5=0

   Bandwidth = 10,000,000 / bandwidth

   Delay = Delay/10

7. Maxium  Hop : 224(IGRP : 255)

    

   EIGRP  Packet Type

8. Hello  :  Neighbor발견, 확인, 재발견하기 위해 헬로 패킷에 의존한다.

   	속도	링크정보	헬로간격	홀드타임
   	1.544Mbps 또는 그 이하	멀트포인트 프레임 릴레이	60초	180초
   	1.544Mbps 이상	T1, PPP	5초	15 초

9. Update : Neighbor 와 서로 Topology Table 정보를 교환 할 때 사용
10. Query : 경로가 재거된 경우 인접한  Neighbor에게 경로를 물어보는 프로토콜
11. Reply : Qeury를 받은 경우 해당 변경 내용을 알릴 때 사용한다.
12. Ack : Update, Query, Reply 패킷을 받은 라우터는 Ack 로 응답한다.(신뢰성)

 

 

  

Neighbor Table 확인하기


 

 그리고 우리가 Topology Table을 이해 하기 위해서는 EIGRP에서 라우팅 경로를 계산하는 Dual 알고리즘을 알 피로가 있다.

 

DUAL(Diffusing Update algorithm)


  R1의 EIGRP Topology 테이블

   EIGRP Topology Table

    : 인접 라우터의 네트워크와 네트워크의 메트릭 정보를 저장하고 있는 데이터베이스.

 

  R1 #show ip eigrp topology

  IP-EIGRP Topology Table for AS(1)/ID(2.2.1.1)

 

  P 2.2.4.0/24, 1 Successors, FD is 2323456

              via 2.2.13.3 (2323456/409600), Serial0/1

                                   1         2

              via 2.2.12.2 (2809856/2297856), Serial0/0 

                                    3        4

  

  

 1번을 FD(feasible Distance)라 한다.

   R1 라우터에서 2.2.4.0 까지의 가장 좋은 관리 거리 즉 최적 메트릭 이라 한다.

  최적 경로상의 Next-Hop 라우터 즉 R3 라우터를  Successor 라고 한다.

 

 2번을 RD(reported distance)라 한다.

   R1 라우터의  Next-Hop 라우터 R3 부터 목적지 까지의 메트릭값을 말한다.

 

 3번을 FS(Feasible successor)라 한다.

   Successor 가 아닌 라우터 중에 자기의 RD 값이 Successor 의 FD 값보다 작으면 우리는 이 경우를 Feasible Successor 란 한다.

   즉 R2 라우터는 R1 라우터가 2.2.4.0 네트워크로 가기 위한 FS 이다. 

 

위와 같이 DUAL 알고리즘을 사용하여 만들어진 Topolog Table 에서 Successor 해당하는 부분을 추출하여 Routing table로 작성한다.

 

Query/Reply 패킷 확인 하기

  Query 가 패킷을 전송하고 응답을 받지 못한 상태를 Active라고 한다.

  응답을 받았거나, Query 패킷을 전송하지 않는 상태를 Passive 라고 한다.

 

 

수동 Summary 기능




위에 댷게가 아니라 오타임 eigrp임.

Dynamic  Routing Protocol

:라우터가 자신에 Network 정보를 인접한 라우터와 교환하여 자동으로 Routing Table을 생성하고 유지하는 기능을 하는 Protocol

Routing Protocol : RIP, IGRP, EIGRP, OSPF, IS-IS, BGP

Routed Protocol : IPv4, IPv6, IPX, Appletalk

 

Routing Protocol 분류

 - Distance Vector : 라우팅 테이블을 정기적으로 교환하는 방식

                          RIP, IGRP

 - Link State  : 초기에 라우팅 데이블을 교환하고 그 다음 부터는 인터페이스

                   정보를 교환합니다. 

                   특별하게 변화가 없으면 트래픽이 발생하는 않습니다.

                    OSPF, IS- IS

  - Hybride(Advnaced Distance vector) : EIGRP, BGP

 

 

Routing Protocol 동작영역

  - IGP : AS내에 라우터들이 Routing table 정보를 만들고 유지하는 기능.

           RIP, IGRP, EIGRP, OSPF, IS-IS

  - EGP : AS와 AS간 즉 기업간, 또는 국가와 국가간 Routing을 유지하기 위해

           사용하는 Protocol (BGP)

 

RIP(Routing Information  Protocol)=RIPv1

  Router가 가지고 있는 Routing table 을 인접한 라우터에 정기적으로(30초) Update 해 준다.  Update을 받은  라우터는 자신에 Routing table에 Update을 받은 정보를 등록하고, 만약에 동일한 Network 정보가 있는 경우에는 Metric 값이 낮은 것을 등록 합니다.

 

RIP은 Hop Count을 Metric으로 사용한다. 

Static Routing Protocol

: 직접 연결되지 않는 네트워크의 라우팅 정보를 인접 라우터로 부터 직접 받은 것이 아니라 관리자 라우팅 정보를 수동으로 입력하는 것이다.

일반적으로 스텁 네트워크에서 사용하고, 보안적인 목적으로 일부 네트워크를 숨기고자 할 때 사용된다.

 

스텁 네트워크란 ?

 외부로 나 갈 수 있는 경로가 오직 하나라면 그 네트워크를 스텁네트워크(stub network)라고 한다.

 

장점

 동적 라우팅 프로토콜은 라우팅 정보를 유지하기 위해서 끊임 없이 계산하고 주기적으로 라우팅 테이블을 주고 받는다.

Static Routing 은 이와 같이 라우팅 저보를 유지하기 위해서 계산할 필요가 없고,  라우팅 테이블을 주고 받지 않기 때문에 라우터 자원(메모리, CPU)을

소비할 필요가 없으며, 정보 교환시 발생하는 트래픽이 발생 하지 않는다.

 

단점

전체 네트워크 토폴로지가 변경되면 즉 장비가 추가 되거나 삭제 되면 관리자가 직접 Static Routing를  수동으로  변경해 주어야 한다.

 

Static Routing 형식

   Router(config)#ip route network [mask] { address | interface } [distance]


   

인터페이스를 사용하는 Static Routing 프로토콜

   R11(config)#ip route 192.168.30.0 255.255.255.0 s0

 

Next-Hop 라우터 IP를 사용하는 Static Routing

  R11(config)#ip route 192.168.30.0 255.255.255.0  192.168.20.2

 

Distance(관리거리=Administrative Distance)

  ; 경로의 신뢰도를 나타내며, 동일 네트워크 환경에서 여러 개의 라우팅 프로토콜을 사용한다면

  라우팅 프로토콜의 우선 순위를 결정 한다.

   다른 라우팅 프로토콜과 같이 사용 될 경우 관리 거리를 높게 설정하여 오류시 백업용으로 사용한다.

기본관리 거리 값	프로토콜
0	Direct connect, Static Routing(인터페이스 사용시)
1	Static Routing(Next-Hop 사용시)
5	EIGRP Summary
20	External BGP
90	Internal EIGRP
100	IGRP
110	OSPF
115	IS-IS
120	RIP
170	External EIGRP
200	Internal BGP

 

Default Route 형식

  ip route 0.0.0.0 0.0.0.0 { Next-hop-address | outgoing interface}

 

Default Route 설정

 ip ruote 0.0.0.0  0.0.0.0 192.168.20.2

1. CISCO Router 로그인 레벨

; User Mode 에서 Privileged mode 로 전환 시 로그인 레벨을 0 ~ 15 까지 나누어 관리 할 수 있다.

Router>                     ---------------> 로그인 레벨 0

Router>enable             --------------> Default 값으로 로그인 레벨 15 (Administrator)

Router#

1 ~ 14 레벨은 관리자가 생성해 주어야 사용할 수 있다.

 

2. CISCO Router 패스워드 설정 과 보호
1. User mode 에서 Privileged mode 변경시 암호 설정 하기
1. Enable Password

Router#configure terminal

Router(config)#enable password cisco

Router(config)#end

** password 명령어는 show run 명령어를 통해서 화면에 보여진다. 이 부분을 막기 위해서 전역설

정모드에서 Router(config)#service password-encryption  이라고 선언하면 화면에 보이는 패스워드도 보호 할 수 있다.

 

2. Enable secret

Router#configure terminal

Router(config)#enable secret cisco

Router(config)#end

 

3. Password 설정 해제

Router(config)#no enable password   or   no enable secret

 

2. Console Line 설정
1. Console 접근 시 패스워드 설정

Router#conf igure terminal

Router(config)#line console 0

Router(config-line)#password  cisco

Router(config-line)#login

Router(config-line)#end

 

2. Console 접근 시 패스워드 설정 해제

Router#conf igure terminal

Router(config)#line console 0

Router(config-line)#no password  cisco

Router(config-line)#no login

Router(config-line)#end

 

3. Telnet(VTY) Line 설정
1. Telnet(VTY) 접근 시 패스워드 설정

Router#conf igure terminal

Router(config)#line vty 0 4

Router(config-line)#password  cisco

Router(config-line)#login

Router(config-line)#end

 

2. Telnet(VTY) 접근 시 패스워드 설정 해제

Router#conf igure terminal

Router(config)#line vty 0

Router(config-line)#password  cisco

Router(config-line)#login

Router(config-line)#end

 

4. 사용자 계정 생성 및 적용.
1. 일반 사용자 계정 생성 하기
1. 계정 생성

Router#configure terminal

Router(config)#username  ccna  password cisco       or   username ccna secret cisco

Router(config)#

2. 계정 적용 하기

Router(config) #line console 0

Router(config-line)#login local

Router(config-line)#end

3. 계정 적용 해제 하기

Router(config) #line console 0

Router(config-line)#no login local

Router(config-line)#end

 

2. 관리자 계정 생성하기
1. 계정 생성

Router#configure terminal

Router(config)#username  ccna  privileged 15 password cisco   or   username ccna privileged 15 secret cisco

Router(config)#end

2. 계정 적용 하기

Router(config) #line console 0

Router(config-line)#login local

Router(config-line)#end

3. 계정 적용 해제 하기

Router(config) #line console 0

Router(config-line)#no login local

Router(config-line)#end

 

 

3. Console/aux/vty 접속 정보 알아보기

 

Router#Show line

   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int

*     0 CTY                     -          -     -       -        -      0       0     0/0       -

    161 AUX   9600/9600   -          -     -       -        -      0       0     0/0       -

    162 VTY                    -          -     -        -        -      0       0     0/0       -

    163 VTY                    -          -     -        -        -      0       0     0/0       -

    164 VTY                    -          -     -        -        -      0       0     0/0       -

    165 VTY                    -          -     -        -        -      0       0     0/0       -

    166 VTY                    -          -     -         -       -      0       0     0/0       -

 

   CTY : console

   *     : 현재 접속되어 있는 라인

 

4. 접속자 정보

Router#who

 

Router#sh users

[출처] 11.[Router 기초] (Pro-Network) |작성자 바람이