'CCNA'에 해당되는 글 8건
- CCNA 자격증이 날아 왔네요. (4) | 2008/08/12
- [실습] LAB 6 RIP Version 2 - Dynamips | 2008/07/20
- [CCNA] RIPv1과 RIPv2의 공통점과 차이점 | 2008/07/20
- [실습] LAB 5 RIP Version 1 | 2008/07/20
- [CCNA] 라우팅의 유형 - 정적 라우팅과 동적 라우팅 | 2008/07/20
- [실습] LAB 2 Static Routing | 2008/07/20
- [실습] LAB 1 Basic Conncectivity | 2008/07/20
- 라우터 실습 #4 | 2008/07/16
CCNA 자격증이 날아 왔네요. :: 2008/08/12 16:58
핸드폰 캠이라 화질은...
처음으로 딴 국제 자격증인게 자랑이라 올립니다. ㅜㅜ
생각보단 일찍 왔네요.
오늘은 LPI Level 1 101 합격하고 왔습니다.
요즘 들어서 국제 자격증이 무지 땡기네요.
CCNA를 시작으로 차근차근 자격증일 모아봐야겠습니다.
[실습] LAB 6 RIP Version 2 - Dynamips :: 2008/07/20 16:41
(Routing Information Protocol)
1. RIP Version 1을 RIP Version 2로 변경하여라. 이때 자동 요약을 해지하여라.
R1(config)# router rip
R1(config-router)# version 2
R1(config-router)# no auto-summary <-자동 요약을 해지
[R2 설정]
R2(config)# router rip
R2(config-router)# version 2
R2(config-router)# no auto-summary <-자동 요약을 해지
[R3 설정]
R3(config)# router rip
R3(config-router)# version 2
R3(config-router)# no auto-summary <-자동 요약을 해지
2. R1과 R2에서 'show ip route' Command를 이용하여 라우팅 테이블을 확인하여라.
- R1 라우팅 테이블에 R3의 '172.16.3.0/24' 네트워크 정보가 보이는가? 보인다면 그 이유는 무엇인가?
- R3 라우팅 테이블에 R1의 '172.16.1.0/24' 네트워크 정보가 보이는가? 보인다면 그 이유는 무엇인가?
- R2 라우팅 테이블에 '172.16.1.0/24', '172.16.3.0/24' 네트워크 정보가 보이는가? 보인다면 그 이유는 무엇인가?
3. 현재 RIP Version 1으로 구성된 환경에 VLSM과 CIDR를 사용할 수 있는가?
4. 각각의 라우터에서 다음과 같은 정보 확인을 실시하여라.
- 'show ip protocol' Command를 이용하여 RIP Version 1 정보를 확인하고 다음 문제를 풀어보세요.
1) RIPv2 업데이트 주기는 몇초인가?
2) RIPv2 인밸리드 타이머는 몇초인가?
3) RIPv2 홀드 다운 타이머는 몇초인가?
4) RIPv2 플러쉬드 타이머는 몇로인가?
5) RIPv2 신뢰도는 몇인가?
6) 현재 패시브-인터페이스가 적용된 인터페이스는 어디인가?
- 'show ip route' Command를 이용하여 라우팅 테이블 정보를 확인하고 다음 문제를 풀어보세요.
1) R1은 목적지가 'x.x.2.1', 'x.x.3.1','x.x.23.3' 네트워크 구간으로 데이터를 전송할 수 있는가?
2) R1은 '172.16.3.1' 네트워크 구간으로 데이터를 전송할 수 있는가?
3) R2는 '172.16.1.1', '172.16.3.1'으로 데이터를 전송할 수 있는가?
4) 데이터 전송이 안되는 구간은 어떤 이유때문에 그런것인가?
5. R1과 R2 구간에 MD5 인증을 실시하여라. 이때 키 값은 '13'이며, 패스워드는 'cisco'로 설정하여라.
R1(config)# key chain RIP_KEY
R1(config-keychain)# key 13
R1(config-keychain-key)# key-string cisco
R1(config-keychain-key)# exit
R1(config-keychain)# exit
R1(config)# interface serial 1/0
R1(config-if)# ip rip authentication key-chain RIP_KEY
R1(config-if)# ip rip authentication mode md5
[R2 설정]
R2(config)# key chain RIP_KEY
R2(config-keychain)# key 13
R2(config-keychain-key)# key-string cisco
R2(config-keychain-key)# exit
R2(config-keychain)# exit
R2(config)# interface serial 1/1
R2(config-if)# ip rip authentication key-chain RIP_KEY
R2(config-if)# ip rip authentication mode md5
6. R2와 R3 구간에 멀티케스트 라우팅 업데이트를 유니케스트 라우팅 업데이트로 변경하여라.(RIPv2는 멀티케스트를 통하여 라우팅 업데이트를 실시)
R2(config)# router rip
R2(config-router)# neighbor x.x.23.3
R2(config-router)# passive-interface serial 1/0
[R3 설정]
R3(config)# router rip
R3(config-router)# neighbor x.x.23.2
R3(config-router)# passive-interface serial 1/1
7. R1에 다음과 같은 설정을 추가한 이후, R2와 R3에서 라우팅 테이블을 확인하여라.
R1(config-if)# ip address 128.0.8.1 255.255.255.0
R1(config-if)# ip address 128.0.9.1 255.255.255.0 secondary
R1(config-if)# ip address 128.0.10.1 255.255.255.0 secondary
R1(config-if)# ip address 128.0.11.1 255.255.255.0 secondary
R1(config-if)# ip address 128.0.12.1 255.255.255.0 secondary
R1(config-if)# exit
R1(config)# router rip
R1(config-router)# network 128.0.0.0
8. R2에서 '128.0.8.0/24' ~ '128.0.12.0/24' 네트워크 정보를 R3에게 업데이트 할 때 수동 요약을 실시하여라. 설정이 완료되었다면 R3에서 라우팅 테이블에서 요약 경로를 확인하여라.
R2(config)# interface serial 1/0
R2(config-if)# ip summary-address rip 128.0.8.0 255.255.248.0
### 경로 요약 ###
10000000.00000000.00001 000.00000000 <=128.0.8.0
10000000.00000000.00001 001.00000000 <=128.0.9.0
10000000.00000000.00001 010.00000000 <=128.0.10.0
10000000.00000000.00001 011.00000000 <=128.0.11.0
10000000.00000000.00001 100.00000000 <=128.0.12.0
11111111.11111111.11111 000.00000000 <=255.255.248.0
[CCNA] RIPv1과 RIPv2의 공통점과 차이점 :: 2008/07/20 16:22
1. 공통점
- Distance Vectro 알고리즘
- Metric 단위 : Hop (1~15)
- Administrative Distance : 기본 120
- 균등 로드 분산 기본 4개 ~ 최대 6개까지 가능
- 설정 : 클래스풀 방식 설정
- 클래스 경계에서 기본 자동 클래스풀 요약 실시
- 주의사항 : 클래스가 단절된 비연속 서브넷 구간에서 업데이트 문제 발생
- Distance Vector 알고리즘 이론상 루프 발생 및 해결
1) Hop Count Limit
2) Split-Horizon
3) Route Poison (Hop=16 플래쉬 업데이트)
4) Reverse Posion
5) Hold Down Time
- RIP 타이머 동일
1) Update Timer : 30초
2) Invaild Timer : 180초
3) Hold Down Timer : 180초
4) Flushed Timer : 240초
2. RIPv2만의 특징
- 라우팅 업데이트를 멀티케스트 주소 224.0.0.9를 이용하여 실시
- 클래스레스 라우팅 프로토콜
- 라우팅 업데이트시 서브넷 마스크를 포함한다.
- 라우팅 업데이트시 Tag 정보를 포함한다.(Tag 정보를 이용하여 경로
필터링이 가능하다)
- 트리거드 업데이트 실시 가능
- 자동 요약 해지가 가능하다.
- 다양한 서브넷 마스크가 사용되는 구간에서 동작이 가능하다.
- VSLM과 CIDR 기능이 가능하다. (수동 요약 가능)
- 인증 기능 제공 : 제 3의 라우터가 업데이트 교환되는 것을 방지
- 멀티케스트 업데이트 전송 방식을 유니케스트 업데이트 전송 방식으로 전환
- 자동 요약 해지한 이후에 특정 네트워크 정보만 상세 주소 요약이 가능하다.
- 즉, 수동 요약이 가능하다. 단, 수동 요약은 자동 요약이 해지되어야 된다.
- 또한, 자동 요약은 클래스 경계에서만 실시되지만, 수동 요약은 제한이없다.
[실습] LAB 5 RIP Version 1 :: 2008/07/20 16:16
(Routing Information Protocol)
- Distance Vector 알고리즘 사용
- 주기적인 시간을 가지고 전체 라우팅 정보를 업데이트한다.
- 네트워크 환경이 변화(추가/삭제)가 있든/없든 주기적인 업데이트를 실시
- 업데이트 주기 : 30초
- 클래스풀 라우팅 프로토콜
- 라우팅 업데이트 서브넷 마스크를 포함하지 않는다.
- 모든 네트워크는 같은 서브넷 마스크를 사용하는 가정을 한다.
- VLSM X, CIDR X
- 메트릭 : 홉(Hop : 목적지까지 라우터 개수), 홉 카운트(1~15)
: Hop = 16 <- 장애, 더 이상 도달할수 없다는 의미
- 신뢰도 : 기본 120
- 메트릭(홉)이 동일한 경로가 있다면, 기본 4개 ~ 최대 6 개 경로 사용한다.
-> 균등 로드 분산(Load Balancing)
- RIPv1은 브로드케스트 주소 255.255.255.255을 이용해서 라우팅 업데이트를 실시
1) Hop Count Limit : 홉카운트를 1~15까지 제한
2) Split-Horizon : 내가 받은 정보를 다시 보내지 않는 기능
(수신한 인터페이스를 표기하여 같은 정보가 그 인터페이스로 못나가게 차단)
3) Route Posion : Hop=16 정보를 Flash Update를 실시하여
모든 RIP 라우터에게 알려준다.
4) Reverse Poison : Route Poison에 대한 응답.
만약 대체 경로가 있다면 응답을 않한다.
5) Hold Down Timer : 기본 180초, 라우팅 루프를 막기 위한 삭제 대기 시간
- RIP 타이머
1) 업데이트 타이머 : 30초, 업데이트 주기 시간
2) 인밸리드 타이머(Invalid Timer) : 180초
- 특정 네트워크 정보에 대한 라우팅 업데이트를 수신하지 못하면
최대 180초동안 대기한다. 이때 다시 라우팅 업데이트가 들어오면
정상적인 동작을 실시하고, 만약 180초가 경과되도 라우팅 업데이트가
들어오지 않으면 홀드 다운 타이머로 넘어간다.
3) 홀드 다운 타이머(Hold Down Timer) : 180초
- 180초 동안 라우팅 업데이트가 들어와도 받아들이지 않는다.
이유 : 라우팅 루프 해결
4) 플러쉬드 타이머(Flushed Timer) : 240초
- 경로 삭제 대기 시간
Router(config)# router rip
Router(config-router)# network [A.B.C.D IPv4 주소 형식]
- 'network' Command로 로컬 네트워크 정보를 선언한다.
- [A.B.C.D IPv4 주소 형식] : 클래스풀 형식으로 선언한다.
이때, 네트워크는 로컬 네트워크이다.
C 172.16.1.0 /24 <- Loopback 172
C 31.31.1.0 /24 <- FastEthernet 0/0 <- PC가 많은 이더넷 환경, 불필요한 브로드케스트 차단 권장
C 31.31.12.0 /24 <- Serial 1/0
router rip
network 172.16.0.0
network 31.0.0.0
passive-interface fastethernet 0/0 <- fa0/0으로 RIP 브로드케스트 차단
Packet Tracer
LAB 5.pktPacket Tracer File
1. 기본 설정이 완료되었다면, 각각의 라우터에 RIP Version 1을 이용하여 라우팅 업데이트를 실시하여라.
R1(config)# router rip
R1(config-router)# network x.0.0.0
R1(config-router)# network 172.16.0.0
[R2 설정]
R2(config)# router rip
R2(config-router)# network x.0.0.0
[R3 설정]
R3(config)# router rip
R3(config-router)# network x.0.0.0
R3(config-router)# network 172.16.0.0
R1#ping x.x.3.1
R1#ping x.x.23.1
R1
R1#debug ip rip
### 설정이 완료되었다면, 'show running-config' Command를 이용하여 설정 내용 확인 실시 ###
### 설정이 완료되었다면, 'show ip route' Command를 이용하여 라우팅 테이블 상태 확인 실시 ###
### 설정이 완료되었다면, 'show ip protocol' Command를 이용하여 RIP Version 1 정보 확인 실시 ###
2. 각각의 라우터의 FastEthernet 0/0 구간에 'passive-interface'를 실시하여 불필요한 브로드케스트 트래픽이 Fa0/0 구간으로 나가는것을 차단하여라.
Ry(config)# router rip
Ry(config-router)# passive-interface fastethernet 0/0
### 설정이 완료되었다면, 'show running-config' Command를 이용하여 설정 내용 확인 실시 ###
### 설정이 완료되었다면, 'show ip protocol' Command를 이용하여 패시브-인터페이스 설정 상태 확인 ###
3. R1과 R2에서 'show ip route' Command를 이용하여 라우팅 테이블을 확인하여라.
- R1 라우팅 테이블에 R3의 '172.16.3.0/24' 네트워크 정보가 보이는가?
- R3 라우팅 테이블에 R1의 '172.16.1.0/24' 네트워크 정보가 보이는가?
- 만약, 안보인다면 그 이유는 무엇인가?
- R2 라우팅 테이블에서 '172.16.1.0/24'와 '172.16.3.0/24' 네트워크 정보는 어떻게 출력되는가?
- R2 라우팅 테이블에서 '172.16.1.0/24'와 '172.16.3.0/24' 네트워크 정보가 '172.16.0.0/16'으로 보이는 이유는 무엇인가?
4. 현재 RIP Version 1으로 구성된 환경에 VLSM과 CIDR를 사용할 수 있는가?
5. 각각의 라우터에서 다음과 같은 정보 확인을 실시하여라.
- 'show ip protocol' Command를 이용하여 RIP Version 1 정보를 확인하고 다음 문제를 풀어보세요.
1) RIPv1 업데이트 주기는 몇초인가?
2) RIPv1 인밸리드 타이머는 몇초인가?
3) RIPv1 홀드 다운 타이머는 몇초인가?
4) RIPv1 플러쉬드 타이머는 몇로인가?
5) RIPv1 신뢰도는 몇인가?
6) 현재 패시브-인터페이스가 적용된 인터페이스는 어디인가?
- 'show ip route' Command를 이용하여 라우팅 테이블 정보를 확인하고 다음 문제를 풀어보세요.
1) R1은 목적지가 'x.x.2.1', 'x.x.3.1','x.x.23.3' 네트워크 구간으로 데이터를 전송할 수 있는가?
2) R1은 '172.16.3.1' 네트워크 구간으로 데이터를 전송할 수 있는가?
3) R2는 '172.16.1.1', '172.16.3.1'으로 데이터를 전송할 수 있는가?
4) 데이터 전송이 안되는 구간은 어떤 이유때문에 그런것인가?
[CCNA] 라우팅의 유형 - 정적 라우팅과 동적 라우팅 :: 2008/07/20 15:19
1. 정적 라우팅(Static Routing)
Ex) R1(config)# ip route 31.31.3.0 255.255.255.0 31.31.12.2
- 정적 & 동적 라우팅은 넥스트홉이 로컬 라우팅 테이블에 보장이 되어야한다.
- 이유 : 데이터를 목적지까지 전송을 보장하는게 아니라, 단지 넥스트 홉에게 전달 을 실시하기 때문이다. (앞길을 알아야 먼길을 갈 수 있다.)
- 넥스트홉을 지정할때는 가장 빠른길의 넥스트홉을 사용을 권장한다.
1) S : Static 약자, 정적 경로라는 뜻
2) 31.31.3.0 : 목적지 네트워크 정보
3) [1 : Administrative Distance = 라우터가 경로를 신뢰하는 값(신뢰도)
= 0~255 : 작을수록 신뢰성이 높다.
4) /0] : Metric = 경로를 선출할때 사용하는 상수값
= 작을수록 최적 경로이다.
5) via 31.31.12.2 = 데이터가 전달되는 넥스트홉 IP 주소
6) 목적지가 31.31.3.1인 데이터를 수신하게 되면 라우터는 위의 경로를 참조
- 설정을 관리자가 수동으로 하기 때문에 신뢰적이지만, 수많은 라우터가 있는
대형 네트워크 환경에서는 설정을 계속 추가/삭제하는 단점을 갖고있다.
2. 동적 라우팅(Dynamic Routing)
- 동적 라우팅 프로토콜 사용
- RIPv1, RIPv2, IGRP, EIGRP, OSPF, ISIS, BGPv4 <- 경로 학습 도구
- 상호 라우터간에 로컬 네트워크 정보를 교환하는 방식 <- 라우팅 업데이트 실시
- 라우팅 업데이트시 상대방 라우터에게 메트릭(Metric)과 넥스트홉 정보를 알려준다.
- 라우팅 업데이트 정보를 수신하면 일반적으로 라우팅 테이블에 등록시킨다.
- 사용하는 알고리즘에 따라서 2가지 유형으로 구분된다.
: RIPv1, RIPv2, IGRP, EIGRP(Advanced)
ㄱ. 구조가 단순하다.
ㄴ. 주기적인 업데이트 실시
ㄷ. 로컬 라우팅 업데이트 정보(라우팅 테이블 정보)를 주기적인 업데이트를 실시
ㄹ. 상대방에게 받은 정보를 보관할 수 있는 별도의 공간이 없기때문에 주기적인 업데이트를 실시하여 경로를 보장시켜준다.
ㅁ. 네트워크 토폴로지 변경이 되든/안되는 주기적인 업데이트는 계속 실시
ㅂ. 홉(Hop) 개념 : 라우터를 거쳐온 개수
ㅅ. 알고리즘 특성상 대형 네트워크에 비효율적이다. 확장성 낮다.
2) Link-State 알고리즘 : OSPF, ISIS (OSPF 진도 나갈때 언급)
ㄱ. 클래스풀 라우팅(Classful Routing) 때론 클래스통이라고도 부른다.
1) RIPv1, IGRP
2) 모든 네트워크가 나와 동일할 서브넷 마스크를 사용한다고 가정한다.
3) 라우팅 업데이트시 서브넷 마스크를 포함하지 않는다.
4) 클래스 경계사이에서는 자동 클래스풀 요약을 실시한다.
5) 클래스가 단절된 비연속 서브넷 구간에서는 라우팅 업데이트가 차단된다.
6) VLSM x, CIDR x
7) 확장성 낮고, 다양한 클래스 환경에서는 제한적이다.
ㄴ. 클래스레스 라우팅(Classless Routing)
1) RIPv2, EIGRP, OSPF, ISIS, BGPv4
2) 모든 네트워크가 나와 동일할 서브넷 마스크를 사용한다고 가정않음.
3) 라우팅 업데이트시 서브넷 마스크를 포함한다.
4) VLSM O, CIDR O
5) 확장성 높고, 다양한 클래스 환경에서 동작 가능하다.
- RIPv2, EIGRP, BGPv4
1) 클래스 경계사이에서는 자동 클래스풀 요약을 실시한다.
2) 클래스가 단절된 비연속 서브넷 구간에서는 라우팅 업데이트가 차단된다.
3) 해결책 : 자동 요약을 해지하면 다 된다. <- 'no auto-summary'
4) 수동 요약 실시(CIDR)
- OSPF, ISIS
1) 원래부터 자동 요약 개념이 없기 때문에 클래스 환경 제한이 없다.
2) 수동 요약 실시(CIDR)
[실습] LAB 2 Static Routing :: 2008/07/20 14:47
실습 예제
Packet Tracer Packet Tracer File
LAB2.pkt
1. 기본 설정이 완료 되었다면 다음 조건에 맞게 Static Routing을 실시하여라.
- R1은 'x.x.2.0/24', 'x.x.23.0/24', 'x.x.3.0/24' 네트워크로 데이터를 전송할 수 있도록 Static Routing을 실시하여라.
- R2는 'x.x.1.0/24', 'x.x.3.0/24' 네트워크로 데이터를 전송할 수 있도록 Static Routing을 실시하여라.
- R3은 'x.x.1.0/24', 'x.x.12.0/24', 'x.x.2.0/24' 네트워크로 데이터를 전송할 수 있도록 Static Routing을 실시하여라.
Rack0xR1> enable
Rack0xR1# conf t
Rack0xR1(config)# ip route 31.31.2.0 255.255.255.0 31.31.12.2
Rack0xR1(config)# ip route 31.31.23.0 255.255.255.0 31.31.12.2
Rack0xR1(config)# ip route 31.31.3.0 255.255.255.0 31.31.12.2
- R2
Rack0xR2> enable
Rack0xR2# conf t
Rack0xR2(config)# ip route 31.31.3.0 255.255.255.0 31.31.23.3
Rack0xR2(config)# ip route 31.31.1.0 255.255.255.0 31.31.12.1
- R3
Rack0xR2> enable
Rack0xR2# conf t
Rack0xR3(config)# ip route 31.31.1.0 255.255.255.0 31.31.23.2
Rack0xR3(config)# ip route 31.31.12.0 255.255.255.0 31.31.23.2
Rack0xR3(config)# ip route 31.31.2.0 255.255.255.0 31.31.23.2
2. 각각의 라우터에서 설정이 완료 되었다면 다음과 같은 정보 확인을 실시하여라.
- 각각의 라우터에서 'show running-config' Command를 이용하여 설정 사항을 확인하여라.
- 각각의 라우터에서 'show ip route' Command를 이용하여 'S'라는 코드로 경로가 학습됬는지 확인하여라.
- 각각의 라우터에서 다른 네트워크에 속한 인터페이스 IP로 Ping 테스트를 실시하여라.
1) R1은 'x.x.2.1', 'x.x.23.3', 'x.x.3.1'
2) R2는 'x.x.1.1', 'x.x.3.1'
3) R3은 'x.x.1.1', 'x.x.12.1', 'x.x.2.1'
- 다른 네트워크에 속한 인터페이스 IP로 Ping이 되는 이유는 무엇인가? 정적 라우팅을 실시하여 경로 정보가 보장되기 때문에
[실습] LAB 1 Basic Conncectivity :: 2008/07/20 13:31
실습 예제
Packet Tracer
LAB1.pktPacket Tracer File
1. 라우터에 호스트 네임을 설정하여라.
Router# conf t
Router(config)# hostname Rack0xRy
Rack0xRy(config)#
2. 라우터에 다음과 같은 패스워드를 설정하여라.
- Enable Secret : 'cisco'로 설정하여라.
- Enable Password : 'ciscofan'으로 설정하여라.
- Console : 패스워드는 'ciscocon'으로 설정하여라.
- Aux : 패스워드는 'ciscoaux'로 설정하여라.
- Vty : 패스워드는 'ciscotel'로 설정하여라.
RackxRy(config)# enable password ciscofan
RackxRy(config)# line console 0
RackxRy(config-line)# login
RackxRy(config-line)# password ciscocon
RackxRy(config-line)# exit
RackxRy(config)#
RackxRy(config)# line aux 0
RackxRy(config-line)# login
RackxRy(config-line)# password ciscoaux
RackxRy(config-line)# exit
RackxRy(config)#
RackxRy(config)# line vty 0 4
RackxRy(config-line)# login
RackxRy(config-line)# password ciscotel
RackxRy(config-line)# exit
RackxRy(config)#
### 설정이 완료되었다면, User Mode로 가서 'show running-config' Command를 이용하여 설정 사항을 확인하여라.
3. 라우터 Ethernet 0에 IP 주소를 설정하여라. 이때, x는 조번호, y는 라우터 번호이다.
Rack0xR1(config)# interface loopback 0
Rack0xR1(config-if)# ip address x.x.1.1 255.255.255.0
Rack0xR1(config-if)# exit
Rack0xR1(config)#
- R2
Rack0xR2(config)# interface loopback 0
Rack0xR2(config-if)# ip address x.x.2.1 255.255.255.0
Rack0xR2(config-if)# exit
Rack0xR2(config)#
- R3
Rack0xR3(config)# interface loopback 0
Rack0xR3(config-if)# ip address x.x.3.1 255.255.255.0
Rack0xR3(config-if)# exit
Rack0xR3(config)#
### 설정이 완료되었다면, User Mode로 가서 'show running-config' Command를 이용하여 설정 사항을 확인하여라.
### 설정이 완료되었다면, User Mode로 가서 'show ip interface brief' Command를 이용하여 인터페이스 상태를 확인하여라.
4. 다음 조건을 읽고 설정을 실시하여라.
- 각각의 라우터 Serial 인터페이스를 사용하는 WAN 구간 Point-to-Point 환경에는 Layer 2 계층 WAN구간 프로토콜인 'HDLC'를 사용하여라.
- 위의 그림을 보고 각각의 라우터 Serial 인터페이스에 IP 주소를 설정하고, 인터페이스를 활성화하여라.
- R1의 Serial 0 인터페이스에는 V.35 DCE Type 케이블을 연결이 되어있기때문에 Clock Rate 값을 설정하여라.
- R2의 Serial 0 인터페이스에는 V.35 DCE Type 케이블을 연결이 되어있기때문에 Clock Rate 값을 설정하여라.
Rack0xR1(config)# interface serial 0
Rack0xR1(config-if)# encapsulation hdlc <- 않해도 자동으로 시작됨
Rack0xR1(config-if)# ip address x.x.12.1 255.255.255.0
Rack0xR1(config-if)# clock rate 64000
Rack0xR1(config-if)# no shutdown
Rack0xR1(config-if)# exit
Rack0xR1(config)#
- R2
Rack0xR2(config)# interface serial 1
Rack0xR2(config-if)# encapsulation hdlc <- 않해도 자동으로 시작됨
Rack0xR2(config-if)# ip address x.x.12.2 255.255.255.0
Rack0xR2(config-if)# no shutdown
Rack0xR2(config-if)# exit
Rack0xR2(config)# interface serial 0
Rack0xR2(config-if)# encapsulation hdlc <- 않해도 자동으로 시작됨
Rack0xR2(config-if)# ip address x.x.23.2 255.255.255.0
Rack0xR2(config-if)# clock rate 64000
Rack0xR2(config-if)# no shutdown
- R3
Rack0xR3(config)# interface serial 1
Rack0xR3(config-if)# encapsulation hdlc <- 않해도 자동으로 시작됨
Rack0xR3(config-if)# ip address x.x.23.3 255.255.255.0
Rack0xR3(config-if)# no shutdown
Rack0xR3(config-if)# exit
Rack0xR3(config)#
### 설정이 완료되었다면, User Mode로 가서 'show running-config' Command를 이용하여 설정 사항을 확인하여라.
### 설정이 완료되었다면, User Mode로 가서 'show ip interface brief' Command를 이용하여 인터페이스 상태를 확인하여라.
### 설정이 완료되었다면, User Mode로 가서 'show ip route' Command를 이용하여 라우팅 테이블을 확인하여라.
5. 설정이 완료되었다면, 다음과 같은 정보 확인을 실시하여라.
- 각각의 라우터에서 'show running-config' Command를 이용하여 설정 사항을 확인하여라.
- 각각의 라우터에서 'show ip interface brief' Command를 이용하여 인터페이스 상태를 확인하여라.
- 각각의 라우터에서 'show ip route' Command를 이용하여 라우팅 테이블을 확인하여 'C'라는 코드의 커넥터 경로 정보를 확인하여라.
- 각각의 라우터들은 상대방 인접 라우터 인터페이스로 Ping 테스트를 실시하여라.
라우터 실습 #4 :: 2008/07/16 10:11
# ACL(Access Control List)
1. 사용 용도
- 네트워크 정의, 트래픽 정의
- 트래픽 필터링(허용/차단)
2. ACL 유형
1) IP 필터링
- Standard ACL : 1~99 항목 번호 사용
- Extended ACL : 100~199 항목 번호 사용
- Named ACL : TEXT 항목 사용
2) MAC 필터링
- Standard ACL : 700 ~ 799
- Extended ACL : 1100-1199
3. ACL 사용 방법
- 출발 네트워크 정의(Extended ACL은 목적지 네트워크도 정의)
- 출발지/목적지 네트워크 정의를 할때 와일드카드 마스크를 사용한다. Ex) 192.168.1.0 0.0.0.255
- 만약, 출발지/목적지 네트워크가 전체 네트워크라면 'any' 키워드를 사용한다. Ex) 0.0.0.0 255.255.255.255 <- any
- 만약, 출발지/목적지 네트워크가 특정 호스트라면 'host' 키워드와 IP 주소를 사용한다. Ex) 192.168.1.13 0.0.0.0 <- host 192.168.1.13
- 'permit' 키워드를 이용하여 트래픽을 허용하고, 'deny' 키워드를 이용하여 트래픽을 차단하다.
- 트래픽 필터링 인터페이스 인바운드(in)/아웃바운드(out)를 적용해야 한다.
- 인바운드(in)란 트래픽이 들어오는 방향이며, 아웃바운드(out)는 트래픽이 나가는 방향이다.(Default: OutBound)
4. ACL 사용시 주의 사항
- ACL 검사 순서는 위에서부터 아래로 진행되면서 조건에 만족되는 항목은 동작을 실시한다.
- 그렇기 때문에 범위가 작은 네트워크/호스트부터 정의해야한다.
- 자주 사용하는 항목부터 정의해야한다.
- 추가되는 설정은 ACL 항목 뒤에서부터 추가된다.
- 마지막에 명시하지 않는 이상 전체 차단인 'deny any'가 실시된다.
- 그렇기 때문에 경우에 따라 전체 허용인 'permit any'가 필요하다.
- 부분 추가/부분 삭제/부분 수정이 불가능하다.
- 선작업 후설정 권장, TFTP 서버 이용
5. ACL 문법
1) Standard ACL : 출발지 네트워크만 정의
access-list [1~99]{permit|deny} 출발지 네트워크 와일드카드 마스크 [log]
- access-list : ACL 구문
- [1~99] : Standard ACL을 표기
- {permit|deny} : 허용/차단
- 출발지 네트워크 : 접근하는 네트워크 트래픽(Source Network)
- 와일드카드 마스크 : 서브넷 마스크 반대
- [log] : 옵션 키워드, ACL 항목이 일치하여 동작하면 로그 메세지를 출력한다.
Ex1)
인터넷
|
|
|
[s1/0] 192.168.1.0/24
A---------------------[fa0/0]R1[fa0/1]------------B------------C
192.168.1.1/24 192.168.1.2/24
- R1은 출발지 네트워크가 192.168.1.1인 트래픽이 로컬 네트워크 A로 접근하는 것을 차단하고, 나머지는 허용한다.
단, 192.168.1.1은 인터넷이 되어야한다.
access-list 33 deny host 192.168.1.1
access-list 33 permit any
!
interface fa0/0
ip access-group 33 out
!
Ex2)
인터넷
|
|
|
[s1/0] 192.168.1.0/24
A---------------------[fa0/0]R1[fa0/1]-------B---------------C
172.16.1.0/24 [fa0/2] 192.168.1.1/24 192.168.1.2/24
|
|
|
|
E
172.16.2.0/24
- A는 인터넷이 불가능하며, 오로지 B,C,E로만 접근이 가능하다.
- B는 A로 접근이 불가능하며, 인터넷만은 가능해야한다.
- E는 인터넷이 불가능하며, 오로지 A로만 접근이 가능하다.
access-list 13 deny 172.16.1.0 0.0.0.255
access-list 13 deny 172.16.2.0 0.0.0.255
access-list 13 permit any
!
int s 1/0
ip access-group 13 out
!
access-list 14 deny host 192.168.1.1
access-list 14 permit any
!
int fa0/0
ip access-group 14 out
!
access-list 15 deny 172.16.2.0 0.0.0.255
access-list 15 permit any
!
int fa0/1
ip access-group 14 out
!
2) Extended ACL
- 출발지/목적지 네트워크 정의
- 어플리케이션 프로토콜 정의(IP, TCP, UDP, ICMP, OSPF, EIGRP, IGRP, IGMP, GRE)
- 출발지/목저지 네트워크에 대한 어플리케이션 포트 번호
- 옵션 : QoS, TCP 세션관련, Time-Range, Log
access-list [100~199]{permit|deny} [어플리케이션 프로토콜 타입]
출발지 네트워크 와일드 카드 마스크 {포트}
목적지 네트워크 와일드 카드 마스크 {포트}
[옵션]
Ex1)
외부
|
|
|
[s1/0] 192.168.1.0/24
A---------------------[fa0/0]R1[fa0/1]---------웹서버----------파일서버
172.16.1.0/24 192.168.1.1/24 192.168.1.2/24
1) R1은 출발지 네트워크가 172.16.1.0/24인 트래픽만 웹서버(HTTP)&파일서버(FTP)에 접근을 허용하며, 외부 트래픽은 허용하지 않는다.
access-list 133 permit tcp 172.16.1.0 0.0.0.255 host 192.168.1.1 eq 80 (www)
access-list 133 permit tcp 172.16.1.0 0.0.0.255 host 192.168.1.2 eq 20 (ftp-data)
access-list 133 permit tcp 172.16.1.0 0.0.0.255 host 192.168.1.2 eq 21 (ftp)
!
interface fa0/1
ip access-group 133 out
!
2) R1은 출발지 네트워크가 172.16.1.0/24인 트래픽만 웹서버(HTTP)&파일서버(FTP)에 접근을 차단하며, 나머지 트래픽은 허용한다.
access-list 163 deny tcp 172.16.1.0 0.0.0.255 host 192.168.1.1 eq www
access-list 163 deny tcp 172.16.1.0 0.0.0.255 host 192.168.1.2 range 20 21
access-list 163 permit ip any any
!
interface fa0/0
ip access-group 163 in
!
Ex3)
A---------------------[fa0/0]R1[fa0/1]-----------------B
172.16.1.0/24 192.168.1.0/24
1) A는 출발지 네트워크가 192.168.1.0/24인 ICMP 패켓에 대해서 차단하길 원한다. 단, 나머지는 허용한다.
access-list 143 deny icmp 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 ehco
access-list 143 permit ip any any
!
3) Named ACL
- ACL 항목을 숫자가 아닌 Text 이름을 이용하여 생성한다.
- Text 이름을 사용하기 때문에 ACL이 많은 환경에서 사용하면 주석처럼 활용이 가능하다.
- 부분 삭제가 가능하다.
- Standard/Extended 지원된다.
Ex1) Standard Named ACL
ip access-list standard NET172
permit 172.16.1.0 0.0.0.255
Ex2) Extended Named ACL
ip access-list extended NET172-to-NET192_HTTP
permit tcp 172.16.1.0 0.0.0.255 host 192.168.1.1 eq www
2. Telnet& ICMP 차단 아래와 같이 실습
### r2 --> r1 http service 필터링 ###
r1#configure t
r1(config)#access-list 100 deny tcp host x.x.12.2 host x.x.12.1 eq www
(= r1(config)#access-list 100 deny tcp x.x.12.2 0.0.0.255 x.x.12.1 0.0.0.255 eq www)
r1(config)#access-list 100 permit ip any any
r1(config)#interface serial 1/0
r1(config-if)#ip access-group 100 in -> 들어오는 것 차단
(주의!! outbound를 지정해줘버리면 R1 단에서 웹을 사용할 수가 없다.)
### r3 --> r1 icmp,telnet service 필터링 ###
r1#configure t
r1(config)#access-list 101 deny tcp host x.x.23.3 host x.x.12.1 eq telnet
r1(config)#access-list 101 deny icmp host x.x.23.3 host x.x.12.1
r1(config)#access-list 101 permit ip any any
r1(config)#interface serial 1/0
r1(config-if)#ip access-group 101 in
r3#ping x.x.12.1
U.U.U
r3#ping x.x.12.1 source fastethernet 0/0 -> 10.10.12.1에서 오는 핑
!!!!!