ㄱ. 구조가 단순하다.
ㄴ. 주기적인 업데이트 실시
ㄷ. 로컬 라우팅 업데이트 정보(라우팅 테이블 정보)를 주기적인 업데이트를 실시
ㄹ. 상대방에게 받은 정보를 보관할 수 있는 별도의 공간이 없기때문에 주기적인 업데이트를 실시하여 경로를 보장시켜준다.
ㅁ. 네트워크 토폴로지 변경이 되든/안되는 주기적인 업데이트는 계속 실시
ㅂ. 홉(Hop) 개념 : 라우터를 거쳐온 개수
ㅅ. 알고리즘 특성상 대형 네트워크에 비효율적이다. 확장성 낮다.

1. 기본 설정이 완료된 이후에 다음과 같은 조건에 맞게 설정하여라.

  - R1은 현재 시스코 라우터이기 때문에 Cisco HDLC로 동작이 가능하지만, R2는 다른 벤더 라우터이기때문에 Cisco HDLC가
    제공되지 않기때문에, PPP로 전환하길 원한다.

  - R1과 R2 시리얼 구간 데이터 전송시 PPP 프로토콜로 캡슐화하여라.

  - 이때, CHAP 인증 프로토콜을 이용하여 LCP 인증을 실시하여라.

[R1 설정]
r1# debug ppp authentication
r1(config)# username r2 password cisco1234
r1(config)# interface serial 1/0
r1(config-if)# ip address x.x.12.1 255.255.255.0
r1(config-if)# encapsulation ppp
r1(config-if)# ppp authentication chap
r1(config-if)# no shutdown

[R2 설정]

r2# debug ppp authentication
r2(config)# username r1 password cisco1234
r2(config)# interface serial 1/1
r2(config-if)# ip address x.x.12.2 255.255.255.0
r2(config-if)# encapsulation ppp
r2(config-if)# ppp authentication chap
r2(config-if)# no shutdown

2. 설정이 완료되었다면, 다음과 같은 정보 확인을 실시하여라.

  - R1에서 'show interface serial 1/0' Command를 이용하여 LCP 오픈 상태를 확인하여라.
  - R2에서 'show interface serial 1/1' Command를 이용하여 LCP 오픈 상태를 확인하여라.
  - 'debug ppp authentication' Command를 이용하여 인증 확인을 실시하여라.

1. 다음 조건에 맞게 Frame-Relay를 구성하여라.

  - R1은 Hub 라우터이며, R2와 R3은 스포크 라우터이다.
  - R1은 R2와 R3과 Frame-Relay 구간 설정을 실시하여라. 이때, 각각의 라우터는 서브인터페이스를 사용하며, Point-to-Point  타입으로 구성하여라.

[R1 설정]

R1(config)# interface serial 1/3
R1(config-if)# encapsulation frame-relay
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# interface serial 1/3.12 point-to-point
R1(config-subif)# ip address x.x.12.1 255.255.255.0
R1(config-subif)# frame-relay interface-dlci 102
R1(config-fr-dlci)#exit
R1(config-subif)# exit
R1(config)# interface serial 1/3.13 point-to-point
R1(config-subif)# ip address x.x.13.1 255.255.255.0
R1(config-subif)# frame-relay interface-dlci 103

[R2 설정]

R2(config)# interface serial 1/3
R2(config-if)# encapsulation frame-relay
R2(config-if)# no shutdown
R2(config-if)# exit
R2(config)# interface serial 1/3.12 point-to-point
R2(config-subif)# ip address x.x.12.2 255.255.255.0
R2(config-subif)# frame-relay interface-dlci 201

[R3 설정]

R3(config)# interface serial 1/3
R3(config-if)# encapsulation frame-relay
R3(config-if)# no shutdown
R3(config-if)# exit
R3(config)# interface serial 1/3.13 point-to-point
R3(config-subif)# ip address x.x.13.3 255.255.255.0
R3(config-subif)# frame-relay interface-dlci 301

2. 구성이 완료되었다면, 다음과 같은 정보 확인을 실시하여라.

  - 각각의 라우터에서 'show frame-relay map' Command를 이용하여 프레임 릴레이 맵 상태를 확인하여라.
  - 각각의 라우터에서 'show frame-relay pvc' Command를 이용하여 PVC 상태를 확인하여라.
  - 각각의 라우터에서 인접 Ping 테스트를 실시하여라.

3. 정보 확인이 완료되었다면 위의 Point-to-Point 설정을 삭제하여라.

[R1 설정 삭제]

R1(config)# no interface serial 1/3.12
R1(config)# no interface serial 1/3.13

[R2 설정 삭제]

R2(config)# no interface serial 1/3.12

[R3 설정 삭제]

R3(config)# no interface serial 1/3.13

4. 다음 조건에 맞게 Frame-Relay를 구성하여라.

  - R1은 Hub 라우터이며, R2와 R3은 스포크 라우터이다.
  - R1은 R2와 R3과 Frame-Relay 구간 설정을 실시하여라. 이때, 각각의 라우터는 서브인터페이스를 사용하며, Multipoint 타입으로 구성하여라.

[R1 설정]

R1(config)# interface serial 1/3
R1(config-if)# encapsulation frame-relay
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# interface serial 1/3.123 multipoint
R1(config-subif)# ip add x.x.123.1 255.255.255.0
R1(config-subif)# frame-relay map ip x.x.123.2 102 broadcast
R1(config-subif)# frame-relay map ip x.x.123.3 103 broadcast

[R2 설정]

R2(config)# interface serial 1/3
R2(config-if)# encapsulation frame-relay
R2(config-if)# no shutdown
R2(config-if)# exit
R2(config)# interface serial 1/3.123 multipoint
R2(config-subif)# ip add x.x.123.2 255.255.255.0
R2(config-subif)# frame-relay map ip x.x.123.1 201 broadcast
R2(config-subif)# frame-relay map ip x.x.123.3 203 broadcast

[R3 설정]

R3(config)# interface serial 1/3
R3(config-if)# encapsulation frame-relay
R3(config-if)# no shutdown
R3(config-if)# exit
R3(config)# interface serial 1/3.123 multipoint
R3(config-subif)# ip add x.x.123.3 255.255.255.0
R3(config-subif)# frame-relay map ip x.x.123.1 301 broadcast
R3(config-subif)# frame-relay map ip x.x.123.2 302 broadcast

5. 구성이 완료되었다면, 다음과 같은 정보 확인을 실시하여라.

  - 각각의 라우터에서 'show frame-relay map' Command를 이용하여 프레임 릴레이 맵 상태를 확인하여라.
  - 각각의 라우터에서 'show frame-relay pvc' Command를 이용하여 PVC 상태를 확인하여라.
  - 각각의 라우터에서 인접 Ping 테스트를 실시하여라.

R1
서브 인터페이스에 ip 할당

#config t
(config)#interface fastethernat 0/0
(config-if)#no ip address
(config-if)#no shutdown

(config)#interface fastethernet 0/0.1
(config-sub)#encapsulation dot1q 10
(config-sub)#ip address 192.168.10.1 255.255.255.0
(config-sub)#exit

(config)#interface fastethernet 0/0.2
(config-sub)#encapsulation dot1q 20
(config-sub)#ip address 192.168.20.1 255.255.255.0
(config-sub)#exit

(config)#interface fastethernet 0/0.3
(config-sub)#encapsulation dot1q 30
(config-sub)#ip address 192.168.30.1 255.255.255.0
(config-sub)#exit

- Open : 개방된, 표준
- Shortest Path First : 최단 거리 우선, SPF 알고리즘
- IPv4에서 동작하는 OSPF는 OSPFv2를 사용한다.
- IPv6에서 동작하는 OSPF는 OSPFv3를 사용한다.

- OSPF 운영 : Link State 알고리즘 사용
- 최적 경로 선출 : Dijkstra 알고리즘, SPF 알고리즘

1. OSPF가 사용하는 Link-State 알고리즘

- 라우터 상호간에 인접 관계라는 네이버 관계를 성립한다.
- 네이버 관계인 라우터간에 라우팅 업데이트를 실시한다.
- 라우팅 업데이트 정보는 데이터 베이스(LSDB)에 저장하여 관리한다.
- 데이터 베이스(LSDB) 정보를 기반으로 최적 경로를 선출한다.
- 이때, 최적 경로 선출시에 SPF 알고리즘을 사용한다. (후속 경로는 없음)
- 각각의 라우터가 생성한 데이터 베이스(LSDB)는 동기화를 실시하여 같은 상태 정보를 유지한다.
- 데이터 베이스(LSDB)를 동기화할때 LSA(Link-State Advertisement) 광고 패켓을 사용한다. LSA 광고 패켓은 1~11까지 유형으로 구분된다.
- 주기적인 업데이트 실시하지 않으며, 단 네이버 관계를 유지하기 위한 Hello 패켓을 주기적으로 교환한다.

2. OSPF가 운영하는데 필요한 3가지 테이블

  1) OSPF Neighbor Table

    - 네이버의 정보(네이버의 라우터 아이디가 출력)
    - 네이버가 완전하게 성립되지 않아도, 네이버와의 상태를 알기위해서
       네이버 테이블이 생성된다. (EIGRP는 네이버 성립시 생성됨)
    - 'show ip ospf neighbor' Command

  2) OSPF Database Table (Link-State Database=LSDB)

    - 라우팅 업데이트 정보를 관리한다.
    - LSDB는 네이버 라우터와 LSA 광고 패켓을 이용하여 동기화를 한다.
    - 기본 LSA 광고 패켓은 30분마다 플리딩한다.
    - LSDB 정보를 기반으로 SPF 알고리즘을 사용하여 최적 경로를 선출한다.
    - 'show ip ospf database' Command

  3) Routing Table

    - OSPF 최적 경로가 등록된다.
    - 'show ip route', 'show ip route ospf' Command

[참고] OSPF 인접 조건

1. 동일한 네트워크는 같은 Area에 포함되어야 한다.
2. 동일한 네트워크는 Hello/Dead Interval 시간이 동일해야 한다.
3. 동일한 네트워크는 MTU 싸이즈가 동일해야 한다.
4. 만약, 인증을 실시하면 인증 사항이 동일해야한다.(키값, 패스워드)
5. Stub Area 구간에 포함된 라우터들은 Stub 설정을 실시해야 한다.

[참고] OSPF 네트워크 환경에 따른 Hello/Dead-Interval 기본값

                                       Hello   Dead
Point-to-Point                  10                   40
Broadcast                                10                   40
Nonbroadcast                                       30                  120
Point-to-Multipoint                                30                  120
Point-to-Multipoint Nonbroadcast              30                  120

[참고] Router-ID 선정 기준

1) 물리적 인터페이스만 있을 경우, 물리적 인터페이스 IP가 가장 높은 IP로 선출
2) 가상 인터페이스(Loopback)가 있을 경우, Loopback IP가 가장 높은 IP로 선출
3) 인터페이스를 사용하기 보다는 가장 신뢰적인 'router-id' Command를 사용한다.
4) 만약, 라우터 인터페이스에 IP 설정이 한개도 없다면, OSPF 프로세서 시작 안됨
    (요즘 IOS는 시작된다. 이유 : 'router-id' Command가 있기때문에)
5) 네이버 라우터와 Router-ID가 중복되면 인접이 안된다.

3. OSPF가 사용하는 5가지 패켓

1) Hello 패켓

  - 네이버 관계를 성립하고, 네이버 관계를 유지하는 패켓
  - Hello 패켓 내부 내용

* Area Number, Hello/Dead-Interval, 인증, Stub Flag <- 인접 조건
* Router-ID, Priority(우선순위, 기본값=1) <- DR/BDR 선출할때 사용
* DR/BDR Router-ID
* Neighbor Router-ID

2) DB Description 패켓

  - 데이터 베이스 정보를 DBD 패켓으로 생성하여 네이버 라우터와 교환
  - 즉, 데이터 베이스를 생성할때 사용하는 패켓
  - 인접 단계때 한번 사용한다.
  - 즉, 네트워크가 추가되어도 DBD는 다시 업데이트 되지 않는다.

3) LS Request 패켓

  - 새로운 정보에 대해서 요청할때 사용
  - DBD 교환 이후, 내 LSDB 정보보다 새로운 정보를 발견했다면 네이버 라우터에게
    요청을 실시한다.

4) LS Update 패켓

  - LSR 패켓 요청에 대한 업데이트 패켓
  - 이때, LSA 광고 패켓을 포함하여 업데이트 실시

5) LS Acknowledge 패켓

  - DBD, LSR, LSU에 대한 확인 메세지이다.

4. OSPF 인접 단계 <= 네이버 관계를 맺는 단계

0) Down State

   - 나는 OSPF 구성이된 상태이지만, 네이버를 발견하지 않은 상태
   - 즉, 나는 Hello 패켓을 내보내지만, 네이버로부터 Hello를 수신하지 못하는 상태
   - 각각의 라우터들은 Router-ID를 선출한다.
 
1) Init State

   - 상대방 라우터와 Hello 패켓 교환 실시
   - DR/BDR 선출 구간에서는 DR/BDR을 선출한다.
   - 인접 조건을 검사한다.

2) Two-Way State

   - 양방향 대기 상태
   - 네이버 라우터와 Hello 패켓을 주기적으로 교환한다.
   - 단, 업데이트는 실시되지 않는다.

3) Exstart State

   - 누가 먼저 DBD 패켓을 전송할 것인지 결정하는 단계  
   - Master 라우터와 Slave 라우터를 선출한다.
   - Router-ID가 높은 라우터가 Master 라우터로 선출
   - Router-ID가 낮은 라우터가 Slave 라우터로 선출

4) Exchange State

  - Master 라우터에서 먼저 DBD 패켓을 Slave 라우터로 전송
  - 그 다음, Slave 라우터에서 Master 라우터로 DBD 패켓 전송
  - LSDB 생성 가능
  - 만약, 새로 요청할 정보가 없다면, 바로 Full State로 전환된다.
  - 만약, 새로 요청할 정보가 있다면, Loading State로 넘어간다.

5) Loading State

  - 하위 라우터가 상위 라우터에게 LSR 패켓을 이용하여 새로운 정보를 요청
  - 상위 라우터는 하위 라우터에게 LSU 패켓을 이용하여 새로운 정보를 업데이트
  - 이때, LSU 패켓에는 LSA 광고 내용이 포함된다.

6) Full State

  - OSPF 인접 종료

R2# debug ip ospf adj
OSPF adjacency events debugging is on

5. OSPF는 멀티케스트 224.0.0.5, 224.0.0.6 주소를 사용한다.

R2# debug ip packet
R2# debug ip ospf packet

*Mar  1 01:29:56.571: IP: s=31.31.12.1 (Serial1/1), d=224.0.0.5, len 80, rcvd 0
*Mar  1 01:29:56.579: OSPF: rcv. v:2 t:1 l:48 rid:1.1.1.1
     aid:0.0.0.0 chk:E694 aut:0 auk: from Serial1/1
01:31:31.903: IP: s=31.31.12.2 (local), d=224.0.0.5 (Serial1/1), len 80, sending broad/multicast

6. DR/BDR 선출

1) DR/BDR 선출되지 않는 네트워크 환경

  - Point-to-Point 환경(점-대-점), Point-to-Multipoint 환경 (점-대-다중)
  - 네트워크에 노드가 2개 이상 늘어나지 않는 환경이기 때문에 선출이 필요없다.
  - 멀티케스트 224.0.0.5만 사용한다.

2) DR/BDR 선출되는 네트워크 환경

  - LAN 구간 Broadcast 환경, WAN Nonbroadcast 환경
  - 네트워크에 노드가 여러개 이상 연결하는 환경이기 때문에 선출이 필요하다.
  - 선출 하는 이유 : 네트워크 변경에 대한 사항(LSA 광고)를 DR/BDR 라우터만
                          광고를 실시하기 위해서이다.
                          즉, LSA 광고 플러딩 범위를 최소화하기 위해서이다.

  - 선출 과정

   1) OSPF Priority(우선 순위)가 가장 높은 라우터가 DR로 선출,두번째가 BDR로 선출
   2) 만약, 우선위가 동일하면, OSPF Router-Id가 높은 라우터가 DR, 두번째가 BDR
   3) DR/BDR이 아닌 라우터는 DROTHER 라우터라고 한다.
 
  - DR/BDR/DROTHER 동작 과정

   1) 모든 DROTHER은 DR/BDR과 Full State까지 진행되어 네이버를 맺는다.
   2) 대신, DROTHER간에는 Two-Way State까지만 진행된다.
   3) 네트웤 변경이 생기면 DROTHER은 멀티케스트 224.0.0.6 주소를 이용하여 DR에게 광고 한다.
   4) 이때, DR은 네트웤 변경 사항을 멀티케스트 224.0.0.5 주소를 이용하여 모든 DROTHER들에게 광고 한다.

7. OSPF 신뢰도 : 110

8. OSPF 설정

Router(config)# router ospf [1~65535 Process-ID]   '문제 중 .. 0부터 시작이 되는가 나온다. 1부터..
Router(config-router)# router-id [A.B.C.D IPv4 주소 형식]
Router(config-router)# network [A.B.C.D 로컬 네트워크][와일카드 마스크][Area]

- [1~65535 Process-ID] : 라우터에 복수개의 OSPF를 구동하기 위한 번호
                                 : 여러개 사용을 권장하지 않는다.

9. OSPF MD5 인증 설정

Router(config)# router ospf 1
Router(config-router)# area x authentication message-digest
Router(config-router)# exit

Router(config)# interface [Interface Name] <- Area x에 포함된 네트워크
Router(config-if)# ip ospf message-digest-key 13 md5 cisco

10. OSPF 2 계층 디자인 모델

- AS안에서 Area 단위 지역으로 구분한다.
- 하는 이유 : LSA 광고 패켓 플러딩 범위를 최소화하기 위해서이다.
- 2계층 디자인 조건 : 모든 Area는 Area 0이라는 Backbone Area를 경유해야한다.
- 2계층 디자인 구성시 다음과 같은 OSPF 라우터가 필요하다.

  1) ABR(Area Border Router) : Area 0과 Area x 경계사이에 있는 Area 경계 라우터이다.
  2) ASBR(AS Border Router) : 외부 도메인과 OSPF 도메인사이에서 외부 정보를 OSPF 도메인으로 광고하는 AS 경계 라우터이다.
  3) Internal Router : Area안에 속해 있는 내부라우터이다.
  4) Backbone Area : Area 0(Area 0.0.0.0)이며, 모든 Area들이 경유해야한다. 이때, Area 경계사이에는 ABR 라우터가 필요하다.

11. OSPF 경로 유형

- Intra-Route : 같은 Area안에 네트워크 경로를 말하며, 라우팅 테이블에 'O'라는 코드로 등록된다.
- Inter-Route : 다른 Area 네트워크 경로를 말하며, 라우팅 테이블에 'O IA'라는 코드로 등록된다.
- External-Route : 외부 도메인 네트워크 경로를 말하며, 라우팅 테이블에 'O E1' 또는 'O E2'로 등록된다.
- NSSA External-Route : NSSA Area 구성시 외부 도메인 네트워크 경로를 말하며, 라우팅 테이블에 'O N1' 또는 'O N2'로 등록된다.

1. 기본 설정이 완료되었다면, 각각의 라우터에 OSPF 라우팅 프로토콜을 이용하여 라우팅 업데이트를 실시하여라.

  - 각각의 라우터가 갖고 있는 네트워크는 Area 0 지역으로 포함하여라.
  - 'router-id' Command를 이용하여 라우터 아이디를 선정하여라. 이때, 라우터 아이디는 y.y.y.y로 설정하여라

[R1 설정]

R1(config)# router ospf 1
R1(config-router)# router-id 1.1.1.1
R1(config-router)# network 172.16.1.0 0.0.0.255 area0
R1(config-router)# network x.x.1.0 0.0.0.255 area0
R1(config-router)# network x.x.12.0 0.0.0.255 area0

[R2 설정]

R2(config)# router ospf 1
R2(config-router)# router-id 2.2.2.2
R2(config-router)# network x.x.12.0 0.0.0.255 area0
R2(config-router)# network x.x.23.0 0.0.0.255 area0
R2(config-router)# network x.x.2.0 0.0.0.255 area0

[R3 설정]

R3(config)# router ospf 1
R3(config-router)# router-id 3.3.3.3
R3(config-router)# network 172.16.3.0 0.0.0.255 area0
R3(config-router)# network x.x.3.0 0.0.0.255 area0
R3(config-router)# network x.x.23.0 0.0.0.255 area0

2. OSPF 설정이 완료되었다면, 다음과 같은 정보 확인을 실시하여라.

  - 'show ip protocol' Command를 이용하여 OSPF 이미지를 확인하여라.
  - 'show ip ospf neighbor' Command를 이용하여 OSPF 네이버 관계를 확인하여라.
  - 'show ip ospf database' Command를 이용하여 LSDB 정보를 확인하여라.
  - 'show ip route', 'show ip route ospf' Command를 이용하여 OSPF 경로 정보를 확인하여라.

3. OSPF가 사용하는 SPF 알고리즘은 최적 경로를 선출할때 메트릭 계산은 어떤 방법으로 하는가?

Cost = 10^8 / bandwidth

링크당 Cost 값을 구해서 출발지에서 목적지까지 더한값을 사용한다.

4. R1과 R2, R3와 R3 Point-to-Point 구간에서는 DR/BDR을 선출하는가? 않함

5. 만약, R1 FastEthernet 0/0에 OSPF 우선순위가 1이며, Router-ID가 11.11.11.11인 R11 라우터가 연결되어 있다면, R1과  R11 중에 어떤 라우터가 DR이며, 어떤 라우터가 BDR로 선출되는가? R11이 DR, R1은 BDR로 선출

6. 만약, R1 FastEthernet 0/0에 R11이 연결되어 있다면, R1과 R11 OSPF 우선순위를 0으로 설정하면 R1과 R11은 무슨 라우터로 선출되며, 어떤 상태에서 머물르는가? 둘다 DROTHER이며, Two-Way 상태에서 대기한다.

7. R1, R2, R3 Point-to-Point 구간 Area 0 지역에 MD5 인증을 실시하여라.
  이때 키 값은 '13'이며, 패스워드는 'cisco'로 설정하여라.

[R1 설정]

R1(config)# router ospf 1
R1(config-router)# area 0 authentication message-digest
R1(config-router)# exit
R1(config)# interface serial 1/0
R1(config-if)# ip ospf message-digest-key 13 md5 cisco

[R2 설정]

R2(config)# router ospf 1
R2(config-router)# area 0 authentication message-digest
R2(config-router)# exit
R2(config)# interface serial 1/0
R2(config-if)# ip ospf message-digest-key 13 md5 cisco
R2(config-if)# exit
R2(config)# interface serial 1/1
R2(config-if)# ip ospf message-digest-key 13 md5 cisco

[R3 설정]

R1(config)# router ospf 1
R1(config-router)# area 0 authentication message-digest
R1(config-router)# exit
R1(config)# interface serial 1/1
R1(config-if)# ip ospf message-digest-key 13 md5 cisco

1. 사용 용도

  - 네트워크 정의, 트래픽 정의
  - 트래픽 필터링(허용/차단)

2. ACL 유형

  1) IP 필터링

     - Standard ACL : 1~99 항목 번호 사용
     - Extended ACL : 100~199 항목 번호 사용
     - Named ACL : TEXT 항목 사용

  2) MAC 필터링

     - Standard ACL : 700 ~ 799
     - Extended ACL : 1100-1199

3. ACL 사용 방법

  - 출발 네트워크 정의(Extended ACL은 목적지 네트워크도 정의)
  - 출발지/목적지 네트워크 정의를 할때 와일드카드 마스크를 사용한다. Ex) 192.168.1.0 0.0.0.255

  - 만약, 출발지/목적지 네트워크가 전체 네트워크라면 'any' 키워드를 사용한다. Ex) 0.0.0.0 255.255.255.255 <- any

  - 만약, 출발지/목적지 네트워크가 특정 호스트라면 'host' 키워드와 IP 주소를 사용한다. Ex) 192.168.1.13 0.0.0.0 <- host 192.168.1.13

  - 'permit' 키워드를 이용하여 트래픽을 허용하고, 'deny' 키워드를 이용하여 트래픽을 차단하다.

  - 트래픽 필터링 인터페이스 인바운드(in)/아웃바운드(out)를 적용해야 한다.
   
  - 인바운드(in)란 트래픽이 들어오는 방향이며, 아웃바운드(out)는 트래픽이 나가는 방향이다.(Default: OutBound)

  4. ACL 사용시 주의 사항

  - ACL 검사 순서는 위에서부터 아래로 진행되면서 조건에 만족되는 항목은 동작을 실시한다.
  - 그렇기 때문에 범위가 작은 네트워크/호스트부터 정의해야한다.
  - 자주 사용하는 항목부터 정의해야한다.
  - 추가되는 설정은 ACL 항목 뒤에서부터 추가된다.
  - 마지막에 명시하지 않는 이상 전체 차단인 'deny any'가 실시된다.
  - 그렇기 때문에 경우에 따라 전체 허용인 'permit any'가 필요하다.
  - 부분 추가/부분 삭제/부분 수정이 불가능하다.
  - 선작업 후설정 권장, TFTP 서버 이용

5. ACL 문법

  1) Standard ACL : 출발지 네트워크만 정의

  access-list [1~99]{permit|deny} 출발지 네트워크 와일드카드 마스크 [log]

  - access-list : ACL 구문
  - [1~99] : Standard ACL을 표기
  - {permit|deny} : 허용/차단
  - 출발지 네트워크 : 접근하는 네트워크 트래픽(Source Network)
  - 와일드카드 마스크 : 서브넷 마스크 반대
  - [log] : 옵션 키워드, ACL 항목이 일치하여 동작하면 로그 메세지를 출력한다.

Ex1)
                                          인터넷
                                             |
                                             |
                                             |
                                         [s1/0]                      192.168.1.0/24
A---------------------[fa0/0]R1[fa0/1]------------B------------C
                                                              192.168.1.1/24      192.168.1.2/24

- R1은 출발지 네트워크가 192.168.1.1인 트래픽이 로컬 네트워크 A로 접근하는 것을 차단하고, 나머지는 허용한다.
  단, 192.168.1.1은 인터넷이 되어야한다.

access-list 33 deny host 192.168.1.1
access-list 33 permit any
!
interface fa0/0
  ip access-group 33 out
!

Ex2)
                                          인터넷
                                             |
                                             |
                                             |
                                         [s1/0]                        192.168.1.0/24
A---------------------[fa0/0]R1[fa0/1]-------B---------------C
172.16.1.0/24                        [fa0/2]           192.168.1.1/24      192.168.1.2/24
                                             |
                                             |
                                             |
                                             |
                                             E
                                    172.16.2.0/24

- A는 인터넷이 불가능하며, 오로지 B,C,E로만 접근이 가능하다.
- B는 A로 접근이 불가능하며, 인터넷만은 가능해야한다.
- E는 인터넷이 불가능하며, 오로지 A로만 접근이 가능하다.

access-list 13 deny 172.16.1.0 0.0.0.255
access-list 13 deny 172.16.2.0 0.0.0.255
access-list 13 permit any
!
int s 1/0
ip access-group 13 out
!
access-list 14 deny host 192.168.1.1
access-list 14 permit any
!
int fa0/0
ip access-group 14 out
!
access-list 15 deny 172.16.2.0 0.0.0.255
access-list 15 permit any
!
int fa0/1
ip access-group 14 out
!

  2) Extended ACL

  - 출발지/목적지 네트워크 정의
  - 어플리케이션 프로토콜 정의(IP, TCP, UDP, ICMP, OSPF, EIGRP, IGRP, IGMP, GRE)
  - 출발지/목저지 네트워크에 대한 어플리케이션 포트 번호
  - 옵션 : QoS, TCP 세션관련, Time-Range, Log

access-list [100~199]{permit|deny} [어플리케이션 프로토콜 타입]
                                                     출발지 네트워크 와일드 카드 마스크 {포트}
                                                     목적지 네트워크 와일드 카드 마스크 {포트}
                                                    [옵션]

Ex1)
                                           외부
                                             |
                                             |
                                             |
                                         [s1/0]                      192.168.1.0/24
A---------------------[fa0/0]R1[fa0/1]---------웹서버----------파일서버
172.16.1.0/24                                             192.168.1.1/24      192.168.1.2/24

1) R1은 출발지 네트워크가 172.16.1.0/24인 트래픽만 웹서버(HTTP)&파일서버(FTP)에 접근을 허용하며, 외부 트래픽은 허용하지 않는다.

access-list 133 permit tcp 172.16.1.0 0.0.0.255 host 192.168.1.1 eq 80 (www)
access-list 133 permit tcp 172.16.1.0 0.0.0.255 host 192.168.1.2 eq 20 (ftp-data)
access-list 133 permit tcp 172.16.1.0 0.0.0.255 host 192.168.1.2 eq 21 (ftp)
!
interface fa0/1
ip access-group 133 out
!

2) R1은 출발지 네트워크가 172.16.1.0/24인 트래픽만 웹서버(HTTP)&파일서버(FTP)에 접근을 차단하며, 나머지 트래픽은 허용한다.

access-list 163 deny tcp 172.16.1.0 0.0.0.255 host 192.168.1.1 eq www
access-list 163 deny tcp 172.16.1.0 0.0.0.255 host 192.168.1.2 range 20 21
access-list 163 permit ip any any
!
interface fa0/0
ip access-group 163 in
!

Ex3)

A---------------------[fa0/0]R1[fa0/1]-----------------B
172.16.1.0/24                                                         192.168.1.0/24

1) A는 출발지 네트워크가 192.168.1.0/24인 ICMP 패켓에 대해서 차단하길 원한다. 단, 나머지는 허용한다.

access-list 143 deny icmp 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 ehco
access-list 143 permit ip any any
!

  3) Named ACL

  - ACL 항목을 숫자가 아닌 Text 이름을 이용하여 생성한다.
  - Text 이름을 사용하기 때문에 ACL이 많은 환경에서 사용하면 주석처럼 활용이 가능하다.
  - 부분 삭제가 가능하다.
  - Standard/Extended 지원된다.

Ex1) Standard Named ACL

ip access-list standard NET172
  permit 172.16.1.0 0.0.0.255

Ex2) Extended Named ACL

ip access-list extended NET172-to-NET192_HTTP
  permit tcp 172.16.1.0 0.0.0.255 host 192.168.1.1 eq www

### r2 --> r1 http service 필터링 ###
r1#configure t
r1(config)#access-list 100 deny tcp host x.x.12.2 host x.x.12.1 eq www
(= r1(config)#access-list 100 deny tcp x.x.12.2 0.0.0.255 x.x.12.1 0.0.0.255 eq www)
r1(config)#access-list 100 permit ip any any
r1(config)#interface serial 1/0
r1(config-if)#ip access-group 100 in                 -> 들어오는 것 차단
(주의!! outbound를 지정해줘버리면 R1 단에서 웹을 사용할 수가 없다.)

### r3 --> r1 icmp,telnet service 필터링 ###

r1#configure t
r1(config)#access-list 101 deny tcp host x.x.23.3 host x.x.12.1 eq telnet
r1(config)#access-list 101 deny icmp host x.x.23.3 host x.x.12.1
r1(config)#access-list 101 permit ip any any
r1(config)#interface serial 1/0
r1(config-if)#ip access-group 101 in

r3#ping x.x.12.1
U.U.U
r3#ping x.x.12.1 source fastethernet 0/0                     -> 10.10.12.1에서 오는 핑
!!!!!

# IGRP(Interior Gateway Routing Protocol)

- Distance Vector 알고리즘
- 주기적인 전체 라우팅 업데이트를 실시한다.
- 네트워크 변화가 있든/없든가 주기적인 전체 라우팅 업데이트를 실시한다.
- Distance Vector 알고리즘 이론상 루프 발생 및 해결책

1) Split-Horizon
2) Route Poison
3) Reverse Posion
4) Hold Down Timer

- 홉(Hop) 개념을 갖고 있다. 대신 최대 홉이 100이기 때문에 홉이 제한이
  없는 의미

- IGRP 메트릭 : 5가지 단위 사용
                   : K 상수값(K1=1, K2=0, K3=1, K4=0, K5=0)

CCNA_Router(253)#sh int serial 0
Serial0 is administratively down, line protocol is down
  Hardware is HD64570
  MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
    reliability 255/255, txload 1/255, rxload 1/255

- IGRP 메트릭 계산 방법

1)(K1 x Bandwidth) + [(K2 x Bandwidth) / (256 - Load)] + (K3 x Delay)

2) IGRP Metric = IGRP BW + IGRP Delay
3) IGRP BW = (10^7 / 목적지까지 가장 낮은 Bandwidth)
4) IGRP Delay = (목적지까지 합산한 Delay / 10)

- 균등 로드 분산 기본 4개 ~ 최대 6개 가능
- 비균등 로드 분산 가능

- 클래스풀 라우팅 프로토콜
- 라우팅 업데이트시 서브넷 마스크를 포함하지 않는다.
- 서브넷 마스크가 다양한 구간에서는 라우팅 업데이트 문제가 발생된다.
- VLSM X, CIDR X
- 클래스 경계에서 자동 클래스풀 요약을 실시한다.
- 클래스 단절된 비연속 서브넷 구간에서는 라우팅 업데이트가 차단된다.

- 라우팅 업데이트를 브로드케스트 255.255.255.255 주소를 사용함
- 노드가 많은 브로드케스트 환경에서는 Passive-Inteface 사용 권장

- 네트워크 장애 및 라우팅 업데이트 문제 발생되면 IGRP 타이머를 사용

1) Update 타이머 : 90초
2) Invaild 타이머 : 270초
3) Hold Down 타이머 : 280초
4) Flushed 타이머 : 630

Router(config-router)# timer basic 업데이트 인밸 홀드 플러쉬드

- 설정 방법

Router(config)# router igrp [1~65535 AS Number]
Router(config-router)# network [A.B.C.D 로컬 네트워크] <- 클래스풀형식

- 설정시 주의 사항

  1) 각각의 라우터는 AS 번호가 틀리면 라우팅 업데이트가 안된다.
      (AS 1~65535, 사설 AS 64512~65535)
  2) 'network' 명령어로 로컬 네트워크를 선언할때에는 클래스풀 형식으로
      설정해야 한다.

1. 기본 설정이 완료되었다면, 각각의 라우터에 IGRP를 이용하여 라우팅 업데이트를 실시하여라. (x: AS 번호, 모두 똑같이 주어야 통신된다)

[R1 설정]

R1(config)# router igrp x
R1(config-router)# network x.0.0.0
R1(config-router)# network 172.16.0.0

[R2 설정]

R2(config)# router igrp x
R2(config-router)# network x.0.0.0

[R3 설정]

R3(config)# router igrp x
R3(config-router)# network x.0.0.0
R3(config-router)# network 172.16.0.0

R1#ping x.x.3.1
R1#ping x.x.23.1
R1#debug ip igrp events

### 설정이 완료되었다면, 'show running-config' Command를 이용하여 설정 내용 확인 실시 ###
### 설정이 완료되었다면, 'show ip route' Command를 이용하여 라우팅 테이블 상태 확인 실시 ###
### 설정이 완료되었다면, 'show ip protocol' Command를 이용하여 IGRP 정보 확인 실시 ###

2. 각각의 라우터의 FastEthernet 0/0 구간에 'passive-interface'를 실시하여 불필요한 브로드케스트 트래픽이 Fa0/0 구간으로

  나가는것을 차단하여라.

[Ry 설정]

Ry(config)# router igrp x
Ry(config-router)# passive-interface fastethernet 0/0

### 설정이 완료되었다면, 'show running-config' Command를 이용하여 설정 내용 확인 실시 ###
### 설정이 완료되었다면, 'show ip protocol' Command를 이용하여 패시브-인터페이스 설정 상태 확인 ###

3. R1과 R2에서 'show ip route' Command를 이용하여 라우팅 테이블을 확인하여라.

  - R1 라우팅 테이블에 R3의 '172.16.3.0/24' 네트워크 정보가 보이는가? 
  - R3 라우팅 테이블에 R1의 '172.16.1.0/24' 네트워크 정보가 보이는가? 
  - 만약, 안보인다면 그 이유는 무엇인가?
  - R2 라우팅 테이블에서 '172.16.1.0/24'와 '172.16.3.0/24' 네트워크 정보는 어떻게 출력되는가?
  - R2 라우팅 테이블에서 '172.16.1.0/24'와 '172.16.3.0/24' 네트워크 정보가 '172.16.0.0/16'으로 보이는 이유는 무엇인가?

4. 현재 IGRP으로 구성된 환경에 VLSM과 CIDR를 사용할 수 있는가?

5. 각각의 라우터에서 다음과 같은 정보 확인을 실시하여라.

  - 'show ip protocol' Command를 이용하여 IGRP 정보를 확인하고 다음 문제를 풀어보세요.

      1) IGRP 업데이트 주기는 몇초인가?
      2) IGRP 인밸리드 타이머는 몇초인가?
      3) IGRP 홀드 다운 타이머는 몇초인가?
      4) IGRP 플러쉬드 타이머는 몇로인가?
      5) IGRP 신뢰도는 몇인가?
      6) 현재 패시브-인터페이스가 적용된 인터페이스는 어디인가?

  - 'show ip route' Command를 이용하여 라우팅 테이블 정보를 확인하고 다음 문제를 풀어보세요.

      1) R1은 목적지가 'x.x.2.1', 'x.x.3.1','x.x.23.3' 네트워크 구간으로 데이터를 전송할 수 있는가?
      2) R1은 '172.16.3.1' 네트워크 구간으로 데이터를 전송할 수 있는가?
      3) R2는 '172.16.1.1', '172.16.3.1'으로 데이터를 전송할 수 있는가?
      4) 데이터 전송이 안되는 구간은 어떤 이유때문에 그런것인가?

1. 기본 설정이 완료되었다면, 각각의 라우터에 RIP Version 1을 이용하여 라우팅 업데이트를 실시하여라.

A
00000000.00000000.00000000.00000000
0.0.0.0 ~ 126.255.255.255
B
00000000.00000000.00000000.00000000
127.0.0.0 ~
C
00000000.00000000.00000000.00000000
D
00000000.00000000.00000000.00000000

[R1 설정]

R1(config)# router rip
R1(config-router)# network x.0.0.0
R1(config-router)# network 172.16.0.0

[R2 설정]

R2(config)# router rip
R2(config-router)# network x.0.0.0

[R3 설정]

R3(config)# router rip
R3(config-router)# network x.0.0.0
R3(config-router)# network 172.16.0.0

R1#ping x.x.3.1
R1#ping x.x.23.1
R1
R1#debug ip rip

### 설정이 완료되었다면, 'show running-config' Command를 이용하여 설정 내용 확인 실시 ###
### 설정이 완료되었다면, 'show ip route' Command를 이용하여 라우팅 테이블 상태 확인 실시 ###
### 설정이 완료되었다면, 'show ip protocol' Command를 이용하여 RIP Version 1 정보 확인 실시 ###

2. 각각의 라우터의 FastEthernet 0/0 구간에 'passive-interface'를 실시하여 불필요한 브로드케스트 트래픽이 Fa0/0 구간으로 나가는것을 차단하여라.

[Ry 설정]

Ry(config)# router rip
Ry(config-router)# passive-interface fastethernet 0/0

### 설정이 완료되었다면, 'show running-config' Command를 이용하여 설정 내용 확인 실시 ###
### 설정이 완료되었다면, 'show ip protocol' Command를 이용하여 패시브-인터페이스 설정 상태 확인 ###

1. R1과 R2에서 'show ip route' Command를 이용하여 라우팅 테이블을 확인하여라.

  - R1 라우팅 테이블에 R3의 '172.16.3.0/24' 네트워크 정보가 보이는가? 
  - R3 라우팅 테이블에 R1의 '172.16.1.0/24' 네트워크 정보가 보이는가? 
  - 만약, 안보인다면 그 이유는 무엇인가?
  - R2 라우팅 테이블에서 '172.16.1.0/24'와 '172.16.3.0/24' 네트워크 정보는 어떻게 출력되는가?
  - R2 라우팅 테이블에서 '172.16.1.0/24'와 '172.16.3.0/24' 네트워크 정보가 '172.16.0.0/16'으로 보이는 이유는 무엇인가?

2. 현재 RIP Version 1으로 구성된 환경에 VLSM과 CIDR를 사용할 수 있는가?
= 아니오. 클래스풀이므로 서브넷 마스크를 지정하지 않고, 통으로 잡아주므로.

3. 각각의 라우터에서 다음과 같은 정보 확인을 실시하여라.

  - 'show ip protocol' Command를 이용하여 RIP Version 1 정보를 확인하고 다음 문제를 풀어보세요.

      1) RIPv1 업데이트 주기는 몇초인가?
      2) RIPv1 인밸리드 타이머는 몇초인가?
      3) RIPv1 홀드 다운 타이머는 몇초인가?
      4) RIPv1 플러쉬드 타이머는 몇로인가?
      5) RIPv1 신뢰도는 몇인가?
      6) 현재 패시브-인터페이스가 적용된 인터페이스는 어디인가?

  - 'show ip route' Command를 이용하여 라우팅 테이블 정보를 확인하고 다음 문제를 풀어보세요.

      1) R1은 목적지가 'x.x.2.1', 'x.x.3.1','x.x.23.3' 네트워크 구간으로 데이터를 전송할 수 있는가?
      2) R1은 '172.16.3.1' 네트워크 구간으로 데이터를 전송할 수 있는가?
      3) R2는 '172.16.1.1', '172.16.3.1'으로 데이터를 전송할 수 있는가?
      4) 데이터 전송이 안되는 구간은 어떤 이유때문에 그런것인가?

- Distance Vectro 알고리즘
- Metric 단위 : Hop (1~15)
- Administrative Distance(우선순위) : 기본 120
- 균등 로드 분산 기본 4개 ~ 최대 6개까지 가능
- 설정 : 클래스풀 방식 설정(서브넷 설정 필요없이 통으로 잡는다)
- 클래스 경계에서 기본 자동 클래스풀 요약 실시
- 주의사항 : 클래스가 단절된 비연속 서브넷 구간에서 업데이트 문제 발생
- Distance Vector 알고리즘 이론상 루프 발생 및 해결

  1) Hop Count Limit
  2) Split-Horizon
  3) Route Poison (Hop=16 플래쉬 업데이트)
  4) Reverse Posion
  5) Hold Down Time

- RIP 타이머 동일

  1) Update Timer : 30초
  2) Invaild Timer : 180초
  3) Hold Down Timer : 180초
  4) Flushed Timer : 240초