ネットワークコンピーグ整理

SOHO(small office/home office)

bridge irb : bridge group을 수행할때 선언, 같은 브릿징 끼리는 브릿지를 사용하고 다른 브릿징(다른 네트웍)끼리는 라우팅을 통해 통신한다.

int range e1/0 - 3

no ip address

bridge-group 1

exit

int BVI1

bandwidth 4000

ip address 10.10.10.1 255.255.255.0

static ip route : ip route 0.0.0.0 0.0.0.0 10.10.10.1

loopback 사용이유

- 장비내에 동작하는 논리적인 IP로 제일 동작불능에 빠질 걱정이 없기 때문에 사용

- OSPF의 DR/BDR 선출의 네트웍 ID로 이용

- BGP의 IGP(interior)에서 neighbor 관계를 맺을때 사용

이렇게 맺게되면 네이버 관계 중 Full Mesh가 되어있는 상황에서 다시 자기정보가 돌아올때의 처리가 가능함

ospf

open short path first (개방된 최단 경로 거리)

OSPF 운영은 LINK-STATE 알고리즘을 사용

최단경로 산출은 Dijkstra(다익스크라) 알고리즘(라우팅적으로는 SPF 알고리즘) 사용

처리과정

Hello Packet(D클래스인 224.0.0.5 사용)

Hello sec : Broadcast and Point to Point 10 sec Multipoint and NBMA 30sec

Dead sec : Broadcast and Point to Point 40 sec Multipoint and NBMA 120sec (hello의 4배)

※ NBMA(Non-Broadcast Multiple Access)

DDP(Database Description), DBD : 만든 정보를 교환, 서로 LSDB에 저장

LSR(Link State Request) : 상대에게서 받은 정보를 보고 내게 없다면 LSA(Link State Advertisement)를 요청 (유니케스트)

LSU(Link State Update) : LSR이 변화할 경우 LSA(Link State Advertisement)를 보냄

LSack(Link State Acknowledgment) : 완료 수신

OSPF 단계 init -> 2way -> exstart -> exchange -> loading -> full

모든 Area는 Area 0 지역(Backbone Area)을 경유할 수 있도록 설계해야 한다.

그래서 Area 0을 Backbone Area 라고 하며, 다른말로는 Transit Area라고도 한다

ABR(Area Border Router) : Area 경계 사이에서 LSA 정보를 광고하는 라우터

ASBR(AS Border Router) : AS 경계 사이에서 외부 정보를 광고하는 라우터

Internal Router : Area 내부에 포함된 일반 OSPF 라우터

다중 OSPF 환경에서는 Backbone Area, ABR, ASBR 라우터를 구분하는게 우선적이다.

DR/BDR 선정

연결된 인터페이스에 ip ospf priority ID가 높은것

아니면 router-id, Loopback이 높은 것(router-id를 지정하면 제일 최우선 조건이 됨)

※ ip ospf priority 0 으로 설정하면 DR/BDR이 아닌 DRother 상태(재분배대상과 비슷한)가 됨

※ OSPF Network Type 표를 보고 문제점을 해결해 보자~

재선정 방법

DR의 인터페이스를 shutdown, clear ip ospf process 또는 재부팅

※ Dead sec안에 살아나면 다시 DR이 됨으로 주의

수동선출방법

neighbor 지정하기

설정방법

router ospf 100
router-id 10.7.200.2
no log-adjacency-changes
area 0 range 10.1.0.0 255.255.0.0
area 7 range 10.7.0.0 255.255.0.0
network 10.1.100.0 0.0.0.255 area 0
network 10.7.32.0 0.0.0.255 area 7

최하단일 경우

area 7 stub (연결되어있는 대상 두군데 모두 사용되어야 함)

재분배도 필요없으면

area 7 stub no-summary

재분배필요

redistribute static subnets

redistribute rip subnets metric-type 1

redistribute rip metric 1544 1000 255 1 1500 (bandwidth, delay, 신뢰도, 사용량)

※ 값을 안주면 무대한 값이 들어가기에 꼭 넣어주는게 좋음

패킷 암호화

int s1/0

ip ospf authentication-digest

ip ospf message-digest md5 cisco

log-adjacency-changes 인접 라우터의 라우팅 프로토콜이 변경될때 알려달라는 내용(크게 사용안하니 잘 사용안함)

no auto-summary

ospf class를 설정할때 서브넷을 나누거나 할 경우에는 auto-summary 기능을 동작시키면 사용하지 못한다.

그외에 RIP, IGRP의 경우 하나의 클래스를 여러개로 나눠 적용하면 업데이트 할 네트워크와 서브넷이 다른 주소는 업데이트를 하지 않는다.

int fa0/1

ip ospf cost 10

1.544M (T1)의 cost는 64
2.048M (E1)의 cost는 48
10M   (이더넷)의 cost는 10
100M (페스트이더넷)의 cost는 1

neighbor 수동지정

router ospf 100

neighbor 10.10.10.2

상대가 p2p면 int s1/0 ip ospf network non-broadcast

ospf 상태확인명령

show ip protocols

show ip ospf

show ip ospf interface

show ip ospf neighbor

show ip ospf database

show ip route ospf

VLAN

0~4095까지 사용. (이중 1과 4095는 시스템 예약번호로 사용불가)

실제 1~4094 사용

Standard VLAN : 1~1005(1, 1002,1003,1004,1005와 예약 FDDI, Token Ring 등)

Extended VLAN : 1006~4094

vlan 10

name VLAN10

int fa4/1

switchport access vlan 10

switchport mode access

show vlan brief

VTP(VLAN Trunk protocol)

VLAN 정보를 공유하고 트렁크에서 불필요하게 교환되는 Broadcasting, Multicasting 트래픽을 막고 대역폭 낭비를 줄임

설정

vtp domain cisco

vtp server / client / transparent

vtp version 2

vtp pruning

vtp password ciscoabc

Switchport mode

2950이하는 dot1q만지원 dynamic은 default = ISL

switchport mode access

: 하나의 port에 하나의 VLAN을 사용할 경우

switchport mode trunk

: 하나의 port를 사용하여 여러개의 VLAN을 사용할 경우

switchport mode dynamic(기본)

: 협상에 의해서 trunk를 구성

※ IP를 할당할 경우에는 switchport를 사용하면 안됨 (no switchport)

int fa0/1

switchport mode access

switchport mode trunk

switchport mode dynamic desirable

- desirable, auto : DTP(dynamic trunk protocol)를 연결하고 수신할지말지를 결정

(서로가 auto 일 경우만 제외하고 DTP연결을 성립)

switchport nonegotiate : DTP(dynamic trunk protocol)기능을 꺼주는 명령어

Etherchannel

두개이상의 포트를 하나의 포트처럼 동작시키는 기능

대역폭 향상을 위해 사용

최대 8포트까지 논리적인 포트로 사용가능

Etherchannel을 사용하면 SPAN(Switched port analyzer)을 구현할 수 없다.

Etherchannel은 기본 PAgP이며 LACP로도 사용됨

물리적인 링크들을 모두 사용하기 위해 논리적으로 사용

(※ 물리적인 상태로 연결하면 STP에 의해서 하나를 뺀 나머지들은 모두 Blocking 된다)

조건

속도가 동일

같은 VLAN

duplex type 동일

STP 프로토콜 동일

모든 포트의 한계 %값 동일

다이나믹 VLAN은 안됨

Etherchannel을 트렁크로 설정했다면 모든 포트도 같이 트렁크모드로 구성

Port security 안됨

※ 포트잠금, 포트미러링, 802.1x 기능이 트렁크 그룹에 설정되어서는 안된다.

PAgP : 시스코 고유의 프로토콜

LACP : 공식적인 포로토콜

기본 Etherchannel 설정

int range fa0/21 - 22

channel-group 1 mode on

논리 Etherchannel 설정 (사용된 모든 인터페이스도 no switchport로 되어야 함)

int port-channel 1

no switchport

ip address 10.10.10.1 255.255.255.0

정보확인

show etherchannel summary

show interface port-channel 1

show spanning-tree

show ip interface brief

Etherchannel Load-balancing(포트레벨이 아니라 스위치레벨)

port-channel load-balance src-dst-ip

TRUNK

두개 이상의 VLAN을 사용하여 노드를 확장할 경우 trunk mode를 사용하여 확장할 수 있다.

int fa0/1

 switchport trunk encapsulation dot1q
 switchport mode trunk
 no cdp enable
 channel-group 1 mode on

Port Channel

int Port-channel1
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
 spanning-tree cost 200

STP(Spanning-tree protocol)

LOOP란 서로 연결된 장비의 경로가 두개이상 존재할 경우 서로에게 Broadcasting을 계속 반복하는 상황을 말함

STP는 LOOP를 방지하도록 두개이상의 경로가 생기면 하나를 임시로 막아두고 사용중인 경로에 문제가 생기면 다시 사용할 수 있도록 해주는 기능

Spanning-tree의 처리우선순위

1. 누가 더 작은 Root BID인가

2. 루트 브리지까지 Path Cost 값이 누가 더 작은가

3. 누구의 Sender BID가 더 낮은가

4. 누구의 포트 ID가 더 낮은가

최신 Path Cost

RSTP(Rapid STP)

STP를 좀 더 빠르게 계산

spanning-tree mode rapid-pvst

PVST(Per Vlan Spanning-tree)

MST (Multiple STP)

서로 연결된 장비에 VLAN수가 2개 이상일 경우 사용

priority로 우선순위를 정할 수 있으며 default는 32768, 4096 배수로 조정 0 ~ 61440

SW1 spanning-tree vlan 10 priority 4096

SW1 spanning-tree vlan 20 priority 8192

SW2 spanning-tree vlan 10 priority 8192

SW2 spanning-tree vlan 20 priority 4096

다른방법

SW1 spanning-tree 15 vlan 1,3,5

SW1 spanning-tree mst 15 priority 1

SW2 spanning-tree 14 vlan 2,4,6

SW2 spanning-tree mst 14 priority 1

int fa0/23

spanning-tree mst 2 port-cost 20000000

instance를 지정할 경우

spanning-tree mode mst

spanning-tree mst config

name ccnp

revision 1

instance 1 vlan 1,3,5

instance 2 vlan 2,4,6

확인

show pending(관리자 모드로 안나가고 설정 확인가능)

HSRP

Cisco 전용으로 게이트웨이 이중화 기능을 할 수 있다.

VRRP와 다른 점은 tracking 기능이 있으며 Cisco 전용이라는점(VRRP가 표준)

정확하게는 로드벨런싱이 아닌 엑티브 스탠바이 형태의 백업형

D Class 224.0.0.2 사용

UDP 1985 사용

설정방법

SW1 int vlan 1

SW1 ip address 10.10.10.1 255.255.255.0

SW1 standby 1 ip 10.10.10.3

SW1 standby 1 priority 200 <- (우선순위 0~255, 기본 100 ※ 12.3T 이후 0~4095)

SW1 standby 1 preempt

SW1 standby 1 track s0/0 80

SW2 int vlan 1

SW2 ip address 10.10.10.2 255.255.255.0

SW2 standby 1 ip 10.10.10.3

SW2 standby 1 priority 150

SW2 standby 1 preempt

MHSRP

설정방법

SW1 int vlan 1

SW1 ip address 10.10.10.1 255.255.255.0

SW1 standby 1 ip 10.10.10.3

SW1 standby 1 prority 200 <- (우선순위 0~255, 기본 100 ※ 12.3T 이후 0~4095)

SW1 standby 1 preempt

SW1 standby 1 track s0/0 80

SW1 standby 2 ip 10.10.10.4

SW1 standby 2 priority 150

SW1 standby 2 preempt

SW2 int vlan 1

SW2 ip address 10.10.10.2 255.255.255.0

SW2 standby 1 ip 10.10.10.3

SW2 standby 1 priority 150

SW2 standby 1 preempt

SW2 standby 2 ip 10.10.10.4

SW2 standby 2 priority 200

SW2 standby 2 preempt

SW2 standby 2 track s0/0 80

GLBP

HSRP를 보안하기 위해 나온 cisco 전용 프로토콜

GLBP은 Host들에게 로드밸런싱을 하여 보내는 방식

AVG(Active Virtual Router)

Active, standby처럼 Active를 선출하는데 이를 AVG라고 함

AVF(Active virtual forwarders)

Virtual Mac Address를 가진 라우터를 부르는 호칭

GLBP은 Mac address는 0007.b400.xxxx로 사용

설정방법

SW1 int vlan 1

SW1 ip address 10.10.10.1 255.255.255.0

SW1 glbp 1 ip 10.10.10.3

SW1 glbp 1 priority 200 <- (우선순위 0~255, 기본 100 ※ 12.3T 이후 0~4095)

SW1 glbp 1 preempt

SW1 glbp 1 load-balancing round-robin

SW2 int vlan 1

SW2 ip address 10.10.10.2 255.255.255.0

SW2 glbp 1 ip 10.10.10.3

SW2 glbp 1 priority 150

SW2 glbp 1 preempt

SW2 glbp 1 load-balancing round-robin

(※ GLBP는 초기설계 시의 기술이 높고, 차후에 트래픽 분석 등이 어렵기에 잘 사용하지 않고 있는 실정)

ACCESS LIST

종류

Standard Access List

Extended Access List

Dynamic Access List(거의 사용안함)

Standard Access List

1~99, 1300~1999 number를 사용

access-list 1 deny 192.168.0.0 0.0.0.255

access-list 1 permit any

int s0

ip access-group 1 in

와일드카드 : 서브넷마스크의 숫자를 반대로 사용한 형식

Extended Access List

100~199, 2000~2699 number를 사용

access-list 100 deny tcp 192.168.0.0 0.0.0.255 10.10.10.0 0.0.0.255 eq 21

access-list 100 deny tcp 192.168.0.0 0.0.0.255 host 10.10.10.5 eq www

access-list 100 deny tcp any host 10.10.10.5 eq 8080 log

access-list 100 deny tcp any host 10.10.10.5 eq 3949 established

access-list 100 permit any any

int s0

ip access-group 100 in

established : TCP 데이터그램의 ACK Bit가 set되었을때만 사용(원격접속 등 내부에서 요청에 들어가서 서로 연결을 맺은 후일 경우 차단)

log : 차단 수행이 진행된 내용을 저장

VTY access list

VTY 모드에서활용할때는 ip access-list가 아닌 access-class 이다.

access-list 3 permit 192.168.1.0 any

line vty 0 4

access-class 3 in

확인

show access-list

show ip access-list

접속방법, 암호

line con 0 : 콘솔 rs232c

line aux 0 : AUX(전화) modem

line vty 0 4 : telnet

0 4는 0부터 4까지 5개의 접속루트를 만드는 것임 4이상도 가능

password 설정

line vty 0 4

login

password cisco

enable password cisco

exec-timeout 3 30

명령입력 후 3분 30초 동안 응답이 없으면 세션 종료

enable secret cisco

보안암호 사용

privilege (인증, 권한)

사용자별로 인증과 권한, 사용 명령어를 지정할 수 있음

※ 인증방식이 반드시 login local로 되어있어야 함

권한은 0~15 총 16단계로 미리정의해놓은 권한은 0, 1, 15 있음

0 : disable, enable exit, help 및 logout 다섯가지가 있음

1 : 설정 및 중요한 내용을 제외한 기본적인 장비의 동작을 확인하고 처리할 수 있는 명령어 사용 가능(확장 ping을 제외)

15 : 모든 명령어를 사용할 수 있는 최상위 권한

유저생성

username choi password cisco <- 기본

username choi privilege 5 secret cisco5 <- 권한 사용

권한 수준별 사용 명령어 지정

privilege exec level 5 show ip route

※ 상위 레벨에서 이러한 명령 권한을 지정하게 되면 그 밑에 권한 사용자들은 해당 명령을 쓰지 못하게 된다.

기본 명령을 다시 조절하려면 아래처럼 사용

privilege exec level 1 show ip

삭제 no privilege exec level 5 show ip

인증 방식 지정

line vty 0 4

login local

서브인터페이스

Frame-relay망 또는 VLAN 을 설정하여 나눌때 보통 사용함

Collision 또는 Broadcast 문제를 해결할 수 있음

interface fa0/0.1

ip address 10.10.10.1 255.255.255.0

no shutdown

ATM(Asynchronous Transfer Mode) 비동기식 전송 모드

회선 비용절약

ATM Qos 방식 : CBR, VBR-rt, VBR-nrt, ABR, UBR

파마리터

  - PCR(Peak Cell Rate): 최고 셀속도

   - SCR(Substainable Cell Rate): 평균 셀속도

   - MCR(Minimum Cell Rate): 최소 셀속도

   - MBS(Maximum Burst Size): 최대 버스트 길이

   - CDVT(Cell Delay Variation Tolerance): 셀 지연변동

PVC(Permanent Virtual Circuit)

서브 인터페이스로 구성

interface ATM0/0/0
 bandwidth 32000
 no ip address
 logging event subif-link-status
 atm scrambling cell-payload
 atm framing cbitplcp
 no atm ilmi-keepalive <- ilmi는 PVC만 알고 상대 IP를 모를때 설정하기에 여기서는 사용안함

interface ATM0/0/0.2 point-to-point
 description [ 경기 - 인천 ]
 bandwidth 9000
 ip address 10.7.100.1 255.255.255.252
 pvc 9/32

  protocol ip 10.7.100.2 broadcast

  vbr-nrt 9000 9000 65000 <- 최고셀속도, 평균셀속도, 최대셀속도
  oam-pvc manage
  encapsulation aal5snap

서브인터페이스

하나의 물리 포트를 여러개의 논리포트로 사용하는 방법

s0/0.1 등으로 .을 이용

point-to-point, multipoint 방식을 지정해야함

point-to-point

상위는 하나의 포트이며 하위는 여러개이나 회선이 단일일경우 이 방식을 사용

단일 네트웍 사용시

multipoint

마찬가지로 상위하나에 하위여러개이나 하위에서 올라오는 네트웍이 여러개일 경우는 이 방식을 사용

Frame-relay

이더넷과 달리 VC(Virtual Circuit : 가상 선로) 임

NBMA(Non Broadcast & Multi access) 여러선이 있지만 서로 정보를 모르는 방식

SVC(Switched VC)와 PVC(Permanent VC)로 나뉨

PVC를 주로 사용함

unique한 DLCI(Data-Link Connection Identifier) 부여방식

BECN, FECN

inverse-ARP(DLCI를 서로선언하지 않고 한쪽만 하면 알아서 경로를 찾는다) 방식 설정

int s1/1

encapsulation frame-relay

bandwidth 64000 or clock rate 64000

frame-relay intf-type dce

frame-relay lmi-type ansi (IOS 11.2 이전버전이 상대방에 있으면 설정이 필요)

frame-relay route 102 int s1/2 201

frame-relay route 103 int s1/3 301

no shutdown

int s1/0

encapsulation frame-relay

ip addr 192.168.10.1 255.255.255.0

no shutdown

static 방법

int s1/0

encapsulation frame-relay

no frame-relay inverse-arp

frame-relay map ip 192.168.10.2 102 broadcast

frame-relay map ip 192.168.10.3 103 broadcast

no shutdown

do clear frame-relay inarp

설정확인

show frame-relay lmi

show frame-relay pvc 100

show frame-relay map

BGP(Border Gateway Protocol)

AS(Autonomous System)번호로 운영되며 IGP(Interior), EGP(Exterior)로 나뉜다.

AS넘버

기본 : 32768

사설 : 64512 이상

공인 : 1~64511까지 (하나당 몇백만원정도함)

IANA에서 제공한다. 함부로 부여해주지 않음

TCP(port 179) 통신

Unicast 전달

Distance vector 방식이나 다른 방식과 다르게 AS Hop로 판단한다.

설정방법

router bgp 13

bgp router-id 13.13.2.2

neighbor 10.1.45.1 remote-as 5500

net 10.1.1.1 mask 255.255.255.0

net 192.168.1.1 mask 255.255.255.0

상태확인

show ip bgp summary

Intergrate IS-IS(Intermediate System to Intermediate System)

OSPF와 비슷하며 현재는 국내에서는 KT정도만 사용하고 있다.

나중에 IPv6 세대가 되면 OSPFv3와 함께 각광받을 수 있는 좋은 라우팅 프로토콜이다.

Line State 방식

Link State IGP

LSP 변화시 새로운 LSP 전달(muitlcasting)

인터페이스 별로 설정

기본설정

int fa0/0

ip address 192.168.120.5 255.255.255.0

ip router isis

router isis

net 49.0001.1921.6800.1005.00

NET(Network Entity Title)을 선언해서 사용함

System ID : 6Octet, Area ID :Variable(1 octet 이상)

예) 07.0000.3090.c7df.00
47.0004.30ac.0007.0000.3090.c7df.00

level-1 : 내부 정보 Intra-network L1-IS

level-2 : 외부 정보 extra-network L2-IS

새시, 모듈

Catalyst

C4507R, C6509, C6513

Supervisor Engine이 기본적으로 구성되어있어야 함

최대 2개로 구성함

Catalyst6509
Catalyst6506
 


Slot1
Slot1
Supervisor Engine


Slot2
Slot2
Line card or redundant Supervisor Engine


Slot3
Slot3
 


Slot4
Slot4
 


Slot5
Slot5
Switch Fabric Module


Slot6
Slot6
Line Card or redundant Switch Fabric Module


Slot7
 
 


Slot8
 
 


Slot9
 
 

BackPlane : 각 새시, 모듈이 처리 가능한 최대 허용 속도나 포트

Supervisor는 총 3가지로 구성 Sup 1A, Sup 2, Sup 720

Sup2는 SFM과 더불어 256Gbps의 Backplane을 지원하는 Sup

Sup에는 MSFC(Multi-layer Switching Feature Card), PFC(Policy Feature Card)의 Option Card를 포함하는 스위치의 처리 모듈

SFM(Switch Fabric Module)은 스위치의 빠른 정보처리를 지원하게 해줌

packet per sec 성능을 수배올려줌

이 모듈로 인해 성능효과를 보는 모듈이 있는 반면 그렇지 못한 모듈도 존재함

Sup720과는 함께 사용 불능(Sup720에는 SFM이 자체 내장되어있음)

그외 주요 모듈

FWSM, CSM, IDS, VPN, SSL, FastEthernet, OC-3 ATM 등

C6500에는 NMP(Network Management processor)의 CatOS와 MSFC(Multi-layer Switching Feature Card)의 IOS로 분리하여 동작하는 Hybrid 방식과 CatIOS라고해서 Supervisor와 MSFC에 동일 이미지가 운영되는 Native IOS 방식이 있음

Router

Cisco 7500

VIP(Versatile Interface Processor)와 dCEF(Distributed Cisco Express Forwarding) 처리 능력을 사용

슬롯의 순서는 좌측에서 우측으로 세며 7507은 0부터 6까지 총 7개의 슬롯 사용

RSP(Route Switch Processors)

IOS운영을 하는 모듈

최대 2개 사용가능

RSP2, 4+, 8, 16등이 있으며 RSP4+이하는 단종

RSP는 2,3 번째의 슬롯을 사용함

사용가능한 슬롯위치
4, 5 (7505)

2, 3 (7507)

6, 7 (7513)

VIP(Versatile Interface Processor)

VIP2-40, 50

VIP4-50, 80

VIP6-80

최대 두개의 포트어댑터(인터페이스)를 지원

VIP는 각 새시에 들어가는 형태로 VIP안에 두개의 모듈포트 어댑터를 이용하여 활용을 함

즉, 새시의 모듈을 사용하려면 모듈 1개당 VIP모듈이 들어가야하고 그 VIP모듈에 2개의 인터페이스에 아래의 모듈들이 삽입되는 형태임

사용가능한 슬롯위치

0, 1, 2 or 3 (7505)

0, 1, 4, 5 or 6 (7507)

0, 1, 2, 3, 4 or 5 and 8, 9, 10, 11 or 12 (7513)

인터페이스(모듈) 종류

Ethernet(Fast, Gigabit)

FDDI(Fiber Distributed Data Interface)

HSSI(High-Speed Serial Interface)

Packet over T3/E3

멀티채널 T1/E1/T3

ATM

: PA-A3-OC3MM, PA-A3-T3

POS(Packet over SONET)

: PA-POS-OC3MM

Qos--

VPN(Virtual Private Network)

일반 전용회선에 나와 회사에서 사용하는 사설IP의 통신을 가능케하여 외부와 단절된 통신을 가능케해주는 기술

VPN은 보안이중요하기 때문에 여러가지의 패킷보안룰을 가지고 있으며 그 기능을 중심으로 통신을 함

구현방식 : VPN 전용 Server(소프트웨어), Router, Firewall

IPsec VPN 설정 흐름

1. ACL를 이용하여 VPN 대상으로하는 트래픽 정의(나에게 오직 상대의 IP만 접근가능하도록)

2. SA 파라메터 값을 지정하기 위한 IKE 정책을 정의(ISAKMP를 사용함 : Phase 1을 정의한다고도 함)

3. 인증 관련 설정 값(공유키, 패스워드 IP주소)을 설정

4. IPsec 통신을 하기 위한 Transform-set을 정의

5. Ipsec 정책을 정의(IPSec SA생성, Phase 2 진행)

6. 인터페이스에 IPsec 정책을 적용

ISAKMP(Internet Security Association and Key Management Protocol) : 통신암호키 교환 규약

IKE(Internet Key Exchange)

설정방법

Site to Site VPN으로 구성함 (Lan to Lan VPN이라고도 함)

우선 기본적인 라우팅 정보가 설정되어있어야 함

(예를 들어 공인망의 정보로 이미 되어있다면 추가적으로 사설망IP대역도 통신하도록 설정되어있어야 함)

R1설정

crypto isakmp policy 10 <- 숫자는 2의 16승까지 사용가능

authentication pre-share

encryption 3des

group 2

hash md5

lifetime 3600 <- 1시간동안 접속시 일일이 정책을 참고하지 않음

exit

(crypto isakmp policy 10를 설정하면아래의 내용은 기본적으로 default로 생성되나 변경 가능함)

access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 <- 대상IP만 접근하도록 만듬

crypto isakmp key [name] address 10.10.3.1 키설정, 공유키, 상대방 IP주소(공인) 설정

crypto ipsec transform-set [name] esp-3des esp-sha-hmac <- IPsec 통신 설정

exit

crypto map [name] 10 ipsec-isakmp <- Phase 2

match address 110 <- 대상 ip access-list 적용

set peer 10.10.3.1 <- 상대방 공인 IP

set transform-set [name]

exit

interface s1/0

crypto map [name] <- 최종 적용

반대도 같은 방법으로 설정함

상태확인

show crypto map

show crypto ipsec transform-set

show crypto isakmp key

show crypto isakmp policy

// 최초 통신이 되지 않으면 세션이 열리지 않으니 확인해본다.

show crypto isakmp sa

ping 192.168.2.1 so lo 0

show crypto sa

debug crypto isakmp

debug crypto ipsec

VPN이 지원되는 장비(C7500은 VPN 지원이 안됨)

Debug

classful, classless

classful : 네트워크정보를 보낼때 서브넷을 보내지 않음 경우에 따라서는 자기정보와 같다면 전달을 안하기에 응답이 없을 수 있음 VLSM지원안함 RIP1, IGRP가 사용하고 요세는 잘 쓰지 않음

classless : VLSM, CIDR의 기능을 지원. 서브넷을 실어서 전달함

CIDR(Classless InterDomain Routing) : 서브넷주소를 비트수로 표현하는 것

MPLS(Multi-Protocol Label Switching) TE(Traffic Engineering)

각종 프로토콜(Ethernet, ATM, frame-relay)에 Label이란 숫자 20bit를 붙여 통신하는 방식

LAN,WAN등에서 L3를 보지않고 Label만 보고 통신함

장점 : 속도가 빨라짐, TE 가능, VPN 가능

기본설정

mpls ldp router-id loopback 0 force

mpls label protocol ldp

int f0/0

mpls ip

show mpls ldp neighbor

show mpls ldp binding

show mpls forwarding-table

debug mpls packets

메트로이더넷

DWDM(Dense Wavelength Division Multiplexing)가 대표적이며 TDM회선들에 비해 광케이블 수가 현저히 적어서 망 확장이 어려워 등장하게 됨

cisco 장비로는 ONS 15200, 15500 시리즈가 있음

15200 : COT(15252), RT(15201)

COT : 최대 16채널

RT : 최대 1채널

15500 : COT(15540), RT(15530)

COT : 최대 32채널

RT : 최대 4채널

나만의 트러블슈팅