공퓽의 트위치 방송 채널
Chu레쉬의 유튜브 채널
네트워크1
목차
네트워크1 목차
- 네트워크 개요
- OSI(Open Systems Interconnection) 7계층
- TCP/IP 계층 구조 및 역할
- 서브넷팅과 VLSM
- 패킷트레이서 소개
- 패킷트레이서를 활용한 토폴로지 구성
- 라우터 및 스위치 기본 설정 1
- 라우터 및 스위치 기본 설정 2
- 라우팅 프로토콜
- 실습토폴로지 구성 및 Static 설정
- RIPv1과 RIPv2 설정
- EIGRP 설정
- OSPF 설정
- Redistribute 설정
- VLAN 구성
- Iner-VLAN
- VTP(VLAN Trunking Protocol)
- STP(Spanning Tree Protocol)
- 무선 라우터 설정
- 인증 서버 구성
- 네트워크 보안을 위한 접근제어 목록 1
- 네트워크 보안을 위한 접근제어 목록 2
- NAT(Network Address Translation) 및 PAT(Port Address Translation)
- IPv6 및 IPv6 Routing
- VoIP(Voice over Internet Protocol)
- 네트워크에서 동작하는 각종 서버
-------------------------------------------------------------------------
1차시 (네트워크 개요)
WAN, LAN, 무선등으로 이루어진 각종 라우터, 스위치 등의 통신 장비들이 라우팅과 각종 프로토콜들에 의해 데이터를 주고받습니다.
예를 들어 파일전송 프로토콜인 FTP로 데이터를 받는다면, 파일을 요청하는 클라이언트가 파일을 소유한 서버에게 랜덤포트를 출발지로하여
SYN 패킷을 서버에게 전송합니다, 서버는 21번 PORT를 출발지로 하여 클라이언트에게 SYN/ACK 패킷을 전송합니다. 클라이언트는 마지막으로 ACK 패킷을 서버에게 전송하며,
연결수립상태가 되며, 이상태는 FTP서버에 로그인한 상태입니다.
원하는 파일을 다운로드하기위해 해당파일을 더블클릭하면 FTP모드(액티브,패시브) 모드에 따라 데이터세션의 SYN 패킷을 클라이언트 혹은 서버가 먼저 보내
3Way 핸드쉐이크 과정을 거쳐 데이터를 내려받는 부분에 대한 연결수립이 이루어지고 데이터를 내려받습니다.
네트워크는 우리가 가지고 있는 컴퓨터나 핸드폰 등의 무선 장치가 상호 연결을 통해 데이터를 주고받을 수 있는 망을 의미합니다.
이때에는 다양한 장치들이 사용되는데, 대표적인 장치로 라우터, 스위치, 무선 라우터 등의 장비들이 있습니다.
이러한 다양한 장치들이 데이터를 주고받기 위해서는 표준이 필요한데 이러한 표준을 프로토콜이라고 하며,
모든 데이터의 전송 및 수신은 반드시 프로토콜을 기준으로 이루어져야만 합니다.
프로토콜은 통신 규약이기 때문이며,
이 통신 규약만 잘 지킨다면 어떠한 하드웨어가 어떠한 운영체제를 사용하든 관계없이 데이터를 주고받을 수 있습니다.
네트워크란?
네트워크는 지역적으로 분산된 위치에서 컴퓨터 시스템 간에 데이터 통신을 하기 위한 하드웨어 및 소프트웨어들의 집합이다.
네트워크 정보의 특성은 다음과 같다.
정확성 : 정확도가 높을수록 정보의 가치는 크다.✔
시기적절성 : 최신 정보가 되어야 한다.✔
접근성 : 쉽게 전달될 수록 더 높은 가치를 가진다.✔
경제성 : 정보를 생성하는데 경제적이어야 한다
네트워크 구성요소
네트워크의 구성요소메시지(Message) : 통신을 하고자 하는 정보로, 텍스트, 숫자, 그림, 혹은 비디오 정보 등으로 구성되어 있다.✔
전송장치(Transmission Equipment) : 컴퓨터, 워크스테이션, 전화단말기, 비디오카메라 등 메시지를 전송하는 장치이다.✔
수신장치(Receiving Equipment) : 메시지를 수신하는 장치이다.✔
전송미디어(Transmission Media) : 메시지가 전달되는 실제 전송 경로이다.✔
프로토콜(Protocol) : 데이터통신과 관련된 규칙들로 구성되어 있다.✔
네트워크 프로토콜
프로토콜은 네트워크에 존재하는 다양한 장치들이 데이터를 주고 받기 위해 결정한 규칙 또는 규약이다.
프로토콜의 기본 구성 요소는 다음과 같다.
구문 요소 : 데이터가 어떠한 형식으로 표현 될 것인지에 대한 요소이다.✔
의미 요소 : 데이터의 특정한 형태에 대한 해석을 어떻게 할 것인지에 대한 요소이다.✔
타이밍 : 언제 얼마나 빠른 속도로 전송할 것인지에 대한 요소이다.✔
-------------------------------------------------------------------------
2차시 (OSI(Open Systems Interconnection) 7계층)
국제표준화기구
국제표준화기구(International Standardization Organization)는 1947년에 출범하여
여러 나라의 종 통신 장비의 국제적 교류를 용이하게 하고, 상호 협력을 증신 시키는 것을 목적으로 하는
국제적인 표준화 기구이다. 이 기구에서는 표준화 관련된 활동 및 국제 표준을 개발하며,
개발된 규격들이 세계적으로 사용될 수 있도록 정보의 교환을 주선한다.
우리나라에서는 기술표준원이 정회원으로 참여하고 있다.
OSI 7계층
국제표준화기구에서 제안한 개방형 시스템의 상호 연결을 위한 각 계층의 역할을 규정한 것이다.
네트워크 장비
라우터는 IP주소를 기반으로 패킷을 전달하는 장치이며,
라우팅 프로토콜을 기반으로 가장 좋은 경로를 선택하여 패킷을 목적지로 전달하는 네트워크 장비이다.
스위치는 MAC주소를 기반으로 프레임을 전달하는 장치이며,
MAC 테이블을 기반으로 프레임을 전달하는 네트워크 장비이다.
OSI 7계층이 사용되는 네트워크의 정의
통신 매체의 링크를 통해 연결된 Node들의 집합이다.
네트워크의 구성요소는 다음과 같다.
Server : Data 또는 Resource를 제공하는 시스템이다.✔
Client : Data 또는 Resource를 제공받는 시스템이다.✔
매체 : Cable, 전파를 말한다.✔
Message : 보내고 받는 모든 Data이다.✔
Protocol : 통신 규약이다.✔
OSI 7계층
물리 계층(Physical Layer)은 신호로 변환하여 전송하는 계층이다.
데이터링크 계층(Datalink Layer)은 서로 다른 네트워크 장치 간의 데이터 전송을 담당한다.
네트워크 계층(Network Layer)은 IP주소를 기반으로 패킷을 전달하는 계층이다.
전송 계층(Transport Layer)은 종단 간(End-to-End) 데이터 통신을 보장한다.
세션 계층(Session Layer)은 통신의 시작과 종료를 정의한다.
표현 계층(Presentation Layer)은 데이터를 어떻게 표현하는지를 정의하는 계층이다.
응용 계층(Application Layer)은 응용 프로그램과 통신 프로그램 사이를 연결하는 역할을 한다.
OSI 7계층 캡슐화
OSI 참조 모델은 각 계층별로 고유 기능과 역할 존재한다.
각 계층의 고유 기능만을 수행, 계층간 독립성 유지한다.
계층별 헤더는 각 프로토콜의 동작에 필요한 요소 기록한다.
헤더는 데이터 유닛의 맨 앞에 붙는다.
-------------------------------------------------------------------------
3차시 (TCP/IP 계층 구조 및 역할)
TCP
TCP(Transmission Control Protocol)는 연결 지향형(Connection-Oriented) 서비스를 제공하고 신뢰성 있는 데이터 전송을 보장한다.
이러한 기능은 TCP 헤더 내의 각종 필드에 의해서 가능하며, TCP 헤더의 각 항목은 이러한 서비스를 가능하게 하는 여러 필드로 구성되어 있다.
IP와 같이 쓰이며, TCP는 WWW를 이용하거나 이메일 전송 등에 사용된다.
IP
OSI 참조 모델의 3계층인 네트워크 계층에서 사용되며, 패킷을 출발지에서 목적지까지 전달하는데 사용한다.
IP는 최선형(Best Effort) 서비스를 이용하여 패킷을 전달하지만 목적까지 확실히 패킷이 도착하는 것은 보증하지 않기 때문에 도중에 패킷이 손실될 수 있다.
UDP
UDP는 TCP와 마찬가지로 전송 계층에서 동작하며 포트 번호를 기반으로 통신하며,
TCP와 달리 수신한 데이터에 대하여 수신확인 응답을 하지 않는다.
그렇다 보니 TCP와 달리 송수신 절차가 비교적 간단하고,
오류 제어 기능은 제공하고 있으므로 소량의 데이터 전송이나 실시간 데이터 전송에 효과적으로 사용되고 있다.
---------------
Q.우리가 자주 사용하는 컴퓨터나 스마트폰의 운영체제에서 사용하는 주소는 어떠한 주소를 사용하고 있나요?
IP주소를 사용한다. 하지만 IP주소만으로는 목적지까지의 수신여부를 보장하지않아 TCP 등을 이용해 신뢰성을 보장한다.
- 교수님 생각
우리가 사용하는 컴퓨터나 스마트폰은 운영체제는 2가지 주소를 사용할 수 있습니다.
첫 번째로 지금 가장 많이 사용되고 있는 IPv4는 32비트의 10진수를 사용하여 주소를 표현합니다.
그러나 IP 주소의 사용범위가 많이 확장되면서 주소 부족 문제를 겪게 되어 이를 해결해 줄 다른 버전의 IP 주소가 필요하게 되었습니다.
그래서 나온 것이 바로 IPv6이며, 이 주소는 128bit의 16진수를 사용하므로,
사실상 주소가 무한 대라고 봐도 무방합니다. 현재는 IPv4 위주로 많이 사용되고 있지만 점차 IPv6로 넘어가는 추세에 있습니다.
-----------------
IP = 비신뢰성, 데이터흐름 관여 X
ICMP PORT - 7번
IPv4 - 32bit 10진수
IPv6 - 128bit 16진수
TCP/IP 계층 구조 및 역할
1. 인터넷을 사용하는 모든 통신의 기본적인 프로토콜이다.
2. 한 개의 프로토콜이 아닌 여러 가지 프로토콜 조합이다.
3. TCP/IP를 기반으로 BAN, PAN, LAN, MAN, WAN 구간의 장치들이 원활히 데이터를 주고 받을 수 있다.
4. OSI 7계층과 달리 4개의 계층 네트워크 접속 계층(Network Access Layer), 인터넷 계층(Internet Layer), 전송 계층(Transport Layer), 응용 계층(Application Layer)으로 표현된다.
5. TCP는 서비스를, IP는 주소를 의미한다.
TCP, UDP, IP 헤더
1. TCP는 연결 지향형(Connection-Oriented) 서비스를 제공하고 신뢰성 있는 데이터 전송을 보장한다.
2. UDP는 TCP와 마찬가지로 전송 계층에서 동작하며 포트 번호를 기반으로 통신으로 TCP와 달리 수신한 데이터에 대하여 수신확인 응답을 하지 않는다.
3. IP는 최선형(Best Effort) 서비스를 이용하여 패킷을 전달하지만 목적까지 패킷이 도착하는 것은 보증하지 않고 그렇기 때문에 도중에 패킷이 손실될 수 있다.
-------------------------------------------------------------------------
4차시 (서브넷팅과 VLSM)
IPv4
IPv4는 32bit의 크기를 가지며, 4개의 옥텟(Octet)으로 구분되어 10진수로 나타내어진다.
주로 네트워크 장치에 할당하는 IP 주소를 의미하며, 이 주소는 사설 IP 대역과 공인 IP 주소 대역으로 나뉘어진다.
네트워크 장치가 외부로 통신하기 위해서는 반드시 공인 IP 대역의 주소를 사용하여야 한다.
IPv6
IPv6는 IPv4가 주를 이루고 있는 현재의 네트워크 환경에서 생기는 주소 부족 문제를 해결하기 위하여 개발된 차세대 주소이며,
128bit의 16진수를 사용하여 주소를 표현한다. 주소 자동 생성 기능이 있으며, IPv6는 특정 주소 의 표현에 있어서 생략이 가능하다.
서브넷팅
서브넷팅은 IP 주소 자원을 효율적으로 사용하기 위하여 주소를 나눠서 사용하는 방법을 의한다.
IPv4의 경우 주소를 Class별로 나누고 지정되어 있는 기본 서브넷 마스크를 사용하여 주소를 표현하지만,
서브넷팅은 기본 서브넷 주소를 사용하지 않고,
네트워크 상황에 따라 적당한 크기의 서브넷 마스크를 사용하여 IP 주소를
나누어 사용하므로 IP 주소의 낭비를 막을 수 있다.
----
Q.
IP 주소 부족 문제를 해결하기 위해서 사용하는 방법이 서브넷팅과 VLSM 말고 어떤 것이 있을까요?
= IPv6를 사용한다. IPv6는 16진수를 사용하며 128bit이다. 자동주소 생성기능이 있으며, 특정구간 주소의 생략이 가능하다.
= 지금 IPv4 환경에서 주소 부족 문제를 해결하기 위해 DHCP 와 NAT 기술이 사용되고 있습니다.
DHCP는 IP 주소를 할당해주고, 이 주소가 필요 없게 되었을 경우에는 다시 회수하는 방식이며,
NAT는 내부에 있는 장치가 서로 통신할 때는 사설 IP로 통신을 하다가, 외부의 장치와 통신할 경우에는
사설 IP 주소를 공인 IP 주소로 바꿔 통신하는 방식입니다.
그러나 이러한 방식은 IPv4를 사용하는 네트워크에서 주소 부족 문제를 해결하는 근본적인 방법은 아니며,
IPv4 환경에서 주소 부족 문제가 생기지 않도록 시간만 연장하는 것이지요. 그래서 IPv6로 넘어갈 수 밖에 없답니다.
IPv6의 주소는 거의 무한대이므로, IPv4의 주소 부족 문제를 해결할 유일한 대안입니다.
----
학습정리
IPv4 및 IPv6
IPv4IP 옥텟(Octet)으로 구분된다.✔
IP는 최선형(BE; Best Effort) 서비스를 이용하여 패킷을 전달한다.✔
패킷이 목적지에 도착한다고 보장하지 않는다.✔
IPv4는 32bit이며, 4개의 주소 대역이 있으며, 외부로 통신하기 위해서는 반드시 공인 IP 대역의 주소를 사용하여야 한다.✔
IPv6
IPv6는 IPv4가 주를 이루고 있는 현재의 네트워크 환경에서 생기는 주소 부족 문제를 해결하기 위하여 사용한다.✔
IPv6는 주소 생략이 가능하다
----
IPv4 주소의 구조 및 Class별 분류
IPv4 주소의 구조32비트의 크기를 가지며, 32비트를 8bit씩 나눠서 4개의 옥텟으로 구분된다.✔
IPv4 주소는 2진수로 표현되며, 이를 10진수로 변환하여 사용한다.✔
IPv4는 2^32개 즉, 4,294,967,296 개의 주소를 가진다.
(ex 00000000.00000000.00000000.00000000 → 0.0.0.0
1111111.11111111.11111111.11111111 → 255.255.255.255)✔
네트워크 장치는 고유의 IP 주소를 가진다.✔
Class별 분류A Class 주소(0.0.0.0 ~ 127.255.255.255) : 0과 127로 시작하는 주소는 예약되어 있으므로 사용할 수 없다. 기본 서브넷 마스크 값은 8bit(255.0.0.0)이다.✔
B Class 주소(128.0.0.0 ~ 191.255.255.255) : 기본 서브넷 마스크 값은 16bit(255.255.0.0)이다.✔
C Class 주소(192.0.0.0 ~ 223.255.255.255) : 기본 서브넷 마스크 값은 24bit(255.255.255.0)이다.✔
D Class 주소(224.0.0.0 ~ 239.255.255.255) : 멀티캐스드에 의해서 사용되는 주소 대역이다.✔
E Class 주소(240.0.0.0 ~ 255.255.255.255) : 연구 등의 용도로 예약되어 있는 주소이다
--
서브넷팅과 VLSM이란?
서브넷팅은 IP 주소 자원을 효율적으로 사용하기 위하여 사용하며, Class별로 지정되어 있는 기본 서브넷 마스크를 사용하지 않고,
네트워크 상황에 따라 적당한 크기의 서브넷 마스크를 사용하여 IP 주소를 사용한다.
VLSM(Variable Length Subnet Mask)는 Subnet 된 Network를 다시 서브넷팅 하는 것을 말하며, 가장 큰 조건부터 차례로 서브넷팅을 하여야 한다.
-------------------------------------------------------------------------
5차시 (패킷트레이서 소개)
패킷트레이서
패킷트레이서는 전 세계 160여 개국의 중등 및 고등 교육기관에서
사용하는 네트워크 시뮬레이션 프로그램으로 시스코에서 제공하는 프로그램입니다.
ISR 라우터
ISR 라우터는 Integrated Switch Router로 불리며,
라우터에 모듈을 장착하여 스위치의 역할과 무선 라우터의 역할을 겸할 수 있는 라우터를 일컫습니다.
즉, ISR 라우터 한대에 모듈만 설치하면 스위치와 무선 라우터를 따로 구성하지 않아도 되어서
장비의 관리적인 면에서 효율성이 좋습니다.
스위치
일반적으로 스위치는 OSI 7계층에서 2계층의 역할을 하는 장치를 말하며,
이 장치는 48bit의 MAC 주소를 기반으로 Frame을 전달하는 장치를 말합니다.
MAC 주소를 기반으로 Frame을 전달하기 위해서 스위치는 MAC-Table을 만들어서 Frame을 전달합니다.
---
Q
.Cisco Packettracer를 사용하여 네트워크 구성 연습을 하면 실무에 어떤 도움을 받을 수 있을까요?
=국제표준화기구 ISO가 정의한 계층 별 통신 방식을 학습할 수 있고,
네트워크 장비들을 이해하며 네트워크 구성을 사전 테스트 할 수 있습니다.
=Cisco Packettracer는 네트워크 장비로 유명하며 전 세계 네트워크 장비의 60% 이상을
차지하고 있는 Cisco라는 회사에서 만든 시뮬레이션 프로그램입니다.
특히 라우터와 스위치의 설정 방법은 Packettracer 환경과 실제 장비 환경이 거의 동일합니다.
다만, 차이점이 있다면 실제 장비보다 많은 명령어를 지원해주지 못한다는 차이점이 있지만,
우리가 공부하고자 하는 CCNA 수준의 유선 및 무선 네트워크를 구축하고 실습하는데는
더 없이 좋은 프로그램입니다. 특히나 패킷트레이서를 기반으로 국가기술자격 실기시험에도
활용되고 있는 공신력 있는 프로그램입니다.
---
패킷트레이서란?
CCNA 수준의 네트워크를 쉽게 디자인하고 이를 검증할 수 있다.
유선 뿐만이 아니라 무선을 포함하여 네트워크를 디자인하고 검증이 가능하다.
IPsec, GRE, NTP, AAA, RADIUS, SNMP, SSH, Telnet, VoIP,
Syslog, ACL, CBAC(Context-Based Access Control), Zone-Based Firewall, Wireless,
Routing Protocol, Redistribute 등의 시뮬레이션 환경을 지원한다.
패킷트레이서 메뉴
메뉴 막대 : 파일 열기 및 저장, 인쇄 등의 기본 명령어를 수행하며 전체적인 메뉴를 제공한다.
주 도구 막대 : 자주 사용하는 단축 아이콘을 제공한다.
공통 도구 막대 : 장치의 선택, 이동, 메모, 삭제 등을 할 수 있으며, 간단한 PDU를 생성한다.
작업공간 : 여러 장치를 사용하여 네트워크를 생성하거나 시뮬레이션을 볼 수 있다.
실시간/시뮬레이션 막대 : 실시간 및 시뮬레이션의 변환 버튼이며, 시뮬레이션 환경에 들어가서 패킷이 OSI 7계층 기반으로 어떻게 전달되는지 직접 확인할 수 있다.
네트워크 구성 상자 : 이 상자는 작업 공간 내에서 네트워크 장치를 선택하고 케이블을 연결할 수 있다.
장치 선택 상자 : 네트워크 장치를 선택하면 세부 장치를 선택할 수 있다. 예를 들면 라우터를 선택하면 라우터의 여러 종류를 볼 수 있고, 그중에 하나를 선택할 수 있다.
패킷트레이서 지원하는 장비
라우터 1841, 1941,2620XM, 2621XM, 2811, 2901, 2911, 819를 지원한다.
스위치 2950-24, 2950T-24, 2960, 3460 스위치를 지원한다.
PC와 서버를 지원하며, 유선 및 무선 랜카드를 장착할 수 있다.
서버, ASA, Sniffer 등의 다양한 네트워크 장치를 지원한다.
-------------------------------------------------------------------------
6차시 (패킷트레이서를 활용한 토폴로지 구성)
Serial Cable
Serial Cable은 라우터와 라우터가 연결되는 WAN 구간에 사용되는 케이블이며,
이 케이블을 사용하여 라우터와 라우터를 연결하기 위해서는 HWIC-2T 또는 WIC-2T가 반드시 라우터에 장착되어 있어야 한다.
Serial Cable은 DTE와 DCE로 나뉘어 지는데, DCE 구간에는 데이터 전송의 동기화를 위하여 반드시 Clock rate 값을 입력하여야 한다.
ICMP
ICMP는 곧 Ping을 의미하며, 이 명령어는 네트워크의 특정 장치가 올바르게 동작하고 있는지 아닌지 질의를 보내 응답을 받는 명령어로써,
Echo Request(응답 요청)과 Echo Reply(응답)로 이루어져 있다.
Ping을 보내서 응답이 안 왔다고 네트워크에서 특정 장치가 동작하지 않는다고 단정 지을 수 없다.
이유는 방화벽에서 ICMP와 관련된 요청을 막아버릴 수 있기 때문이다.
다이렉트 케이블 및 크로스 케이블
크로스 케이블은 OSI 7계층 기준으로 같은 계층에 속해 있는 장치가 연결될 때 사용하며,
다른 계층에 속해 있는 장치가 연결 될 때는 다이렉트 케이블을 사용하여 연결한다.
Q.패킷트레이서는 사용법이 쉬운가요?
패킷트레이서의 사용법은 정말 간단합니다. 윈도우나 리눅스를 지원하며,
최근에는 32bit용과 64bit용이 따로 출시되었습니다.
직관적인 인터페이스는 사용자가 네트워크를 구성할 때 어떤 기능을 하는지 바로 알려주는 역할을 합니다.
모든 장치는 Drag & Drop을 사용하여 작업 공간에 배치할 수 있고,
장치를 더블 클릭하는 것만으로 장치에 접속하여 장치를 설정할 수 있습니다.
또한 장치와 장치가 연결되는 다양한 케이블을 제공하고 있으며,
이 케이블을 사용하여 패킷트레이서 상에서 통신이 이루어집니다.
또한 OSI 7계층에 기반을 두어 어떻게 데이터가 상호 교환되고 전달되는지에 대한 내용도 쉽게 볼 수 있는
장점이 아주 많은 네트워크 시뮬레이터입니다.
패킷트레이서 토폴로지 구성
패킷트레이서는 GUI 환경을 통해 라우터, 스위치 등의 장치를 작업 공간에 배치한다.
필요한 장치를 선택하여 마우스를 사용하여 Drag and Drop을 통해 장치 배치한다.
네트워크 장치를 작업 공간에 배치하고 그 다음으로 케이블을 통해 장치를 연결한다.
패킷트레이서 파일 저장 및 불러오기
패킷트레이서 파일 저장은 패킷트레이서의 주 도구 막대, 메뉴 막대, 단축키를 활용하여 파일을 저장한다.
패킷트레이서 파일 불러오기는 패킷트레이서의 주 도구 막대, 메뉴 막대, 단축키를 활용하여 파일을 불러온다.
패킷트레이서의 여러 가지 기능
클러스터 : 작업 영역에 많은 장치들이 있으면 그 장치들을 간단히 줄여서 보여주는 기능이다.
배경화면 설정 : Set Tiled Background 버튼 눌러 배경 선택 후 Apply한다.
뷰포트 : 토폴로지의 크기와 상관 없이 모든 장치의 구성도를 한 번에 본다.
사용자 지정 아이콘 변경 : 패킷트레이서에서 사용되는 장치의 아이콘을 사용자가 변경할 수 있는 기능이다.
-------------------------------------------------------------------------
7차시 (라우터 및 스위치 기본 설정 1)
라우터
라우터는 OSI 7계층에서 3계층에 속하는 장치이며, 패킷을 전달하는 장치이다.
IP 주소를 기반으로 패킷을 전송하며,
라우터는 라우팅 테이블을 라우팅 프로토콜에 의해 생성한 후, 이를 기반으로 패킷을 전달한다.
스위치
스위치는 OSI 7계층에서 2계층에 속하는 장치이면서 프레임을 전달하는 장치이다.
MAC 주소를 기반으로 Frame을 전송하며, 스위치는 MAC 테이블을 참고하여 Frame을 전달한다.
MAC 테이블이 만들어지지 않았을 경우에는 Flooding을 통해 Frame을 전달하고,
MAC 테이블이 완성되면 unicast를 통해서 Frame을 전달한다.
IOS
라우터, 스위치, 무선 AP(Access Point)와 같은 시스코 제품들은 IOS(Internetwork Operation System)를 사용한다.
즉 라우터나 스위치의 운영체제라고 불리며, 시스템 소프트웨어로 모든 시스코 제품에 설치되어 있다.
동일한 네트워크 장치라도 운영체제의 라이선스가 어떻게 구성되어 있는지에 따라 특정 기능이 지원되지 않을 수 있다.
Q.라우터와 스위치의 CLI 모드에서 사용하는 명령어 위주의 공부를 하면 실제 장비에서도 똑같이 적용이 가능한가요?
Cisco Packettracer는 실제 사용되고 있는 네트워크 장비를 기반으로 네트워크를 구성하고 검증해볼 수 있는
프로그램입니다. 라우터 및 스위치의 GUI 방식은 Packettracer에서만 사용 가능한 방법이기 때문에
학습자 여러분들이 학습하실 때 Config 탭에서 라우터와 스위치를 설정하지 않는 것을 권장합니다.
다만, 네트워크를 처음 접하는 경우에 Config 탭을 통해서 장비를 설정하는 것이 다소 도움이 될지 모르지만,
시간이 지나서 익숙해지게 되면 아무래도 실제 장비에서는 지원하지 않는 모드이다 보니
실제 장비를 직접 설정하는데 무리가 있습니다. 그러나 Packettracer CLI 모드는 실제 장비와 99% 흡사한
명령어 및 설정모드를 지원하고 있어 학습자 여러분께 많은 도움이 될 것입니다.
라우터 및 스위치 구조
라우터와 스위치는 GUI(Graphic User Interface) 또는 CLI(Command Line Interface)의 2가지 모드를 통해서 설정할 수 있다.
PC의 하드디스크에 설치되어 실행되거나 라우터의 Flash 메모리에 설치되어 http 기반으로 실행 할 수 있다.
패킷트레이서에도 GUI와 CLI 설정을 지원하지만, GUI의 경우 패킷트레이서에서만 사용하는 형식이고 장치에 설정할 수 있는 명령어도 극히 제한적이다.
라우터 및 스위치의 역할
1. 라우터의 역할
라우터는 OSI 7계층에서 3계층에 속하는 장치이다.✔
라우터는 패킷을 전달하는 장치이며, IP 주소를 기반으로 한다✔
라우터가 패킷을 전달 할 때 참고하는 것은 라우팅 테이블이다.✔
라우터는 LAN과 WAN을 연결시켜 주는 중간자 역할을 하고 있다.✔
2. 스위치의 역할
스위치는 OSI 7 계층에서 2계층에 속하는 장치이다.✔
스위치는 프레임을 전달하는 장치이며, MAC 주소를 기반으로 한다.✔
스위치가 프레임을 전달 할 때 참고하는 것은 MAC 테이블이다.✔
시뮬레이션 모드를 통해 PC에서 어떻게 목적지까지 데이터가 전달되는지 쉽게 알 수 있다.✔
라우터 및 스위치의 기본 설정
1. 라우터 설정을 위해 라우터를 클릭하면 “Would you like to enter the initial Configuration dialog? [yes/no] : ?”
문구를 볼 수 있다. Yes를 입력하고 엔터를 누른다.
2. 라우터의 Config 탭을 클릭하면 간단한 라우팅과 VLAN 설정, 그리고 Interface에 IP 주소를 할당할 수 있다.
-------------------------------------------------------------------------
8차시 (라우터 및 스위치 기본 설정 2)
사용자 모드(User Mode)
라우터의 가장 기본이 되는 모드이며, 처음에 라우터 부팅이 이루어지고 나서 들어가게 되는 기본 모드이다.
“Router> ”형태로 표시되며, 사용자 모드에서 사용할 수 있는 명령어는 제한적이다.
라우터 운영에 대한 설정도 할 수 없으며, 단지 간단한 조회만 할 수 있는 모드이다.
관리자 모드(Privileged Mode)
관리자 모드는 사용자 모드보다 한 단계 위에 있는 모드로써, “Router# ”형태로 표시되며,
제한적인 간단한 설정을 할 수 있고 라우터 운영에 대한 전반적인 조회가 가능한 모드이다.
전역 설정 모드(Global Configuration Mode)
가장 최상위에 있는 모드로써, “Router(config)#”형태로 표시되며, 라우터 운영에 영향을 미치는 모든 설정 작업을 할 수 있는 모드이다.
따라서 라우터 설정을 변경하고자 하면, 사용자 모드와 관리자 모드를 거쳐서 전역 설정 모드로 들어와야 한다.
Q.패킷트레이서에서 장치를 설정하다가 명령어를 잘못 입력하면
“Translating domain server (255.255.255.255)” 문구가 뜨면서 계속 기다려야 하는데 해결 방법은 없나요?
라우터는 자신의 명령어 Tree에 없는 명령어가 입력되면 자신과 직접 연결되어 있는 이웃 라우터에게 255.255.255.255 즉,
Broadcast를 통해 입력된 명령어를 질의 합니다. 이 과정에서 장치 관리자는 Broadcast 과정이 끝날 때 까지 대기 하여야 합니다.
그런데 명령어를 잘못 입력한 경우, 다른 라우터들에게 질의를 한다 하여도 그 명령어에 대해 알 수 없는 건 마찬가지겠죠?
그래서 이러한 경우에는 키보드의 Ctrl + Shift + ^(숫자 6)키 세 개를 같이 눌러주면 Broadcast 과정이 즉시 끝나게 되어
장치 관리자는 다른 명령어를 즉시 입력할 수 있게 됩니다.
라우터 및 스위치 설정 모드
라우터 및 스위치는 동일하게 세 가지의 모드를 가진다.
각 모드에서 사용 가능한 명령어가 있으므로, 라우터 및 스위치 설정 시에 모드를 잘 확인하여야 한다.
사용자 모드에서 관리자 모드로 변경할 경우 “Router> enable 또는 en”로 한다.
관리자 모드에서 전역 설정 모드로 변경할 경우 “Router# configure terminal 또는 conf t Router(config)#”로 한다.
라우터 및 스위치 암호, 호스트 네임 등의 기본요소 설정
1. 장치 이름 설정
- 문자(숫자, 기호)로 시작할 수 있고, 63 글자를 넘길 수 없다.(※ 띄어쓰기 포함 불가)✔
2. 암호 설정
- Console 암호 : 사용자 모드로 들어가기 전에 물어보는 암호이다.✔
- Enable Password : 사용자 모드에서 관리자 모드로 들어갈 때 물어보는 암호이다.✔
- Enable Secret : Enable Password와 동일한 암호이나, 암호가 라우터에 저장될 때 암호화 되어서 저장되고,
Enable Password와 동시에 선언되면 Enable Secret 암호가 우선순위를 가진다.✔
3. 라우터 IP 설정
- 라우터는 LAN 구간을 연결하는 Ethernet 구간, 라우터와 라우터를 연결하는 WAN 구간으로 나뉘어진다.✔
4. 원격 접속 설정
- 라우터에 직접 접근하지 않아도 원격 접속을 통해 라우터에 접근하여 설정 내용 등을 바꿀 수 있다
라우터 및 스위치 설정 내용 저장 및 암호 복구
1. 설정 내용 저장
라우터나 스위치에 설정된 내용이 전원이 꺼져도 다시 적용되도록 NVRAM에 복사하여야 한다.✔
copy running-config startup-config 명령어를 이용하거나 write memory의 축약 명령어인 wr을 사용한다.✔
2. 암호 복구
라우터를 클릭 후 Physical 탭에서 라우터의 전원을 껐다가 켠다.✔
롬몬 (rommon>) 모드로 들어간다.✔
롬몬 모드에서 confreg 0x2142 명령어를 입력하고, reset 명령어를 이용하여 라우터를 다시 부팅 한다.✔
-------------------------------------------------------------------------
9차시 (라우팅 프로토콜)
라우팅 프로토콜(Routing Protocol)
라우터가 패킷을 전달할 때 가장 기본적으로 참조하는 프로토콜이며,
이 프로토콜이 설정되어 있지 않으면 라우터는 자신과 직접 연결되어 있는 네트워크가 아닌
다른 네트워크로 패킷을 전달하지 못한다.
라우팅 프로토콜은 한 가지만 존재하는 것이 아니라 여러 가지가 존재하며,
어떠한 라우팅 프로토콜을 사용하느냐에 따라 라우터가 패킷을 보내는 경로가 틀려질 수 있다.
정적 라우팅(Static Routing)
정적 라우팅은 라우터에 라우팅 테이블 구성을 자동이 아닌 수동으로 설정하는 방식이다.
모든 네트워크에 대한 경로 설정을 수동으로 해야 하는 단점이 있지만,
라우터의 자원을 가장 적게 사용하는 라우팅 방식이기도 하며, 대규모 네트워크에서 사용하기에 적합하지 않다.
동적 라우팅 (Dynamic Routing)
동적 라우팅은 라우터에 라우팅 테이블 구성을 수동이 아닌 자동으로 설정하는 방식으로,
우회 경로를 자동으로 찾기 때문에 네트워크에서 중요한 요소인 가용성을 높여주는 프로토콜이다.
그러나 정적 라우팅보다 라우터의 자원을 많이 사용한다는 단점이 있다.
Q.라우팅 프로토콜이 꼭 설정이 되어야 라우터는 패킷을 목적지까지 전달할 수 있는 건가요?
라우팅 프로토콜은 라우터가 패킷을 전달하는데 있어서 아주 중요한 요소이며,
이 프로토콜이 설정 되지 않으면 패킷을 다른 네트워크로 전달할 수 없습니다.
또한 패킷을 전달하는 경로는 일정한 경로를 사용할 수도 있겠지만,
어떠한 라우팅 프로토콜을 사용하는지에 따라서 경로를 바꿀 수도 있고 바꾸지 않을 수도 있기 때문에
라우팅 프로토콜의 속성에 대해서 정확하게 인지하고 있는 것도 너무나 중요합니다.
라우팅 프로토콜은 정적 설정과 동적 설정을 할 수 있습니다.
그 장점 및 단점이 너무 명확하여 네트워크 토폴로지가 어떻게 구성이 되는지 살펴보고
동적 설정 또는 수동 설정을 하게 되며,
필요한 경우에는 동적 및 정적 설정을 적절히 혼합하여 사용하기도 합니다.
Distance Vector 라우팅 프로토콜
1. Bellman-Ford 알고리즘을 사용하여 라우팅 테이블을 자신과 직접적으로 연결된 다른 이웃 라우터에게
주기적(RIP:30초, IGRP: 90초)으로 Broadcast 주소인 255.255.255.255를 사용하여 전송한다.
2. 라우팅 정보 업데이트는 네트워크 상태 변화와 무관하게 무조건적으로 이루어진다.
3. 동일한 라우팅 프로토콜을 사용하는 라우터들이 같은 라우팅 정보를 가지게 되는 상태를 라우팅 프로토콜이
또는 네트워크가 수렴(Convergence)했다고 한다.
Link State 라우팅 프로토콜
1. 링크 상태 라우팅 프로토콜은 다익스트라(Dijkstra) 또는 최단 경로 우선 (SPF; Shortest Path First) 알고리즘을
사용하여 목적지까지의 최단 경로를 개산한 후 이를 기초로 패킷을 전송하는 방법이다.
2. 각 라우터에 직접 연결되어 있는 링크의 정보를 같은 네트워크의 모든 라우터들에게 알려주어야 하는데
이를 위해 링크 상태 패킷(LSP; Link State Packet)을 생성한다.
Dynamic and Static 라우팅 프로토콜
1. 동적 라우팅 프로토콜(Dynamic Routing Protocol)
- 라우팅 프로토콜이란 라우팅 정보를 교환하고 이를 기초로 최적의 경로를 라우팅 테이블에 유지하고
기록하는데 사용되는 모든 프로세스, 알고리즘, 메시지를 통틀어 라우팅 프로토콜이라고 한다.✔
- 라우팅 프로토콜은 크게 동적 라우팅 프로토콜(Dynamic Routing Protocol)과
정적 라우팅 프로토콜(Static Routing Protocol)로 이루어져 있다.✔
2. 정적 라우팅 프로토콜(Static Routing Protocol)
- 동적 라우팅 프로토콜과 달리 네트워크 상황 변화에 자동으로 적응하지 못한다.✔
- 라우팅 테이블을 수동으로 설정해야 하는 번거로움이 있다.✔
- 동적 라우팅 테이블에 비해서 라우터의 자원 사용이 적다.✔
- 동적 라우팅과 정적 라우팅은 네트워크 상황에 따라서 어떤 라우팅 프로토콜을 사용하는 것이 좋은지 판단해야 한다.✔
-------------------------------------------------------------------------
10차시 (실습토폴로지 구성 및 Static 설정)
라우팅 테이블(Routing Table)
라우터가 패킷을 전달할 때 가장 기본적으로 참조하는 테이블이며,
어떠한 라우팅 프로토콜이 설정되어 있는지에 따라 경로가 달라지게 된다.
라우팅 테이블을 구성하여 자기와 직접 연결되지 않은 다른 네트워크에 패킷을 보낼 수 있게 되는 것이며,
라우팅 테이블에 있지 않는 목적지의 패킷이 라우터에 들어오면,
라우터는 그 패킷의 목적지를 알 수 없으므로 해당 패킷을 폐기 시킨다.
단 Default가 구성되어 있으면 그 패킷은 Default 라우팅 테이블에 따라 처리된다.
정적 라우팅(Static Routing)
정적 라우팅은 라우터에 라우팅 테이블 구성을 자동이 아닌 수동으로 설정하는 방식이다.
라우터의 자원을 가장 적게 사용하는 라우팅 방식이기도 하며, 대규모 네트워크에서 사용하기에 적합하지 않다.
디폴트 정적 경로 설정(Default Static Routing Configuration)
디폴트 정적 경로 설정은 특별한 네트워크 환경에 적용되어 라우팅 프로토콜 설정을 단순하게 해준다.
라우팅 테이블을 간소화 할 수 있다는 장점이 있으며, 두 개의 서로 다른 경로를 가지고 있는 라우터에서는 사용할 수 없다.
--
%IP-4-DUPADDR: Duplicate address 203.230.7.1 on GigabitEthernet0/0, sourced by 0060.3E34.8872
- IP 주소가 중복되었을때 나오는 로그 (Duplicate=중복, 복제)
--
C 203.230.8.0/24 is directly connected, Serial0/2/0
L 203.230.8.1/32 is directly connected, Serial0/2/0 (L=로컬, 자기자신 IF의 IP)
S 203.230.9.0/24 [1/0] via 203.230.8.2 ( [1/0] , [AD/메트릭] )
- Cisco 라우팅 테이블 볼때 참조 내용,
--
0.0.0.0/0 (쿼드제로=quad_zero)
- 빵빵빵빵/빵을 "쿼드제로 IP/쿼드제로 서브넷마스크"라고 부른다. (쿼드=4개, 빵-4개를 의미하는듯)
- 기본적으로 외부로 나가는 출구가 2개면 쿼드제로 라우팅 못쓴다 (이중화일때는 메트릭으로 지정 가능)
- (개인생각) 예외적 네트워크도 존재할 거 같음.
--
Q.Static Routing은 설정을 수동으로 해야 하는데도 실무 네트워크에서 많이 사용되는 이유는 무엇인가요?
정적 경로 설정 라우팅은 수동으로 모든 라우팅 경로를 설정해야 하는 단점과,
이로 인하여 실시간으로 변하는 네트워크 환경에 바로 적응하지 못한다는 큰 단점을 가지고 있음에도
실무 네트워크에서는 라우터의 자원을 적게 사용하고 설정이 비교적 간단하기 때문에 사용합니다.
그러나 정적 경로 설정을 단일 라우팅 프로토콜로 사용하는 경우는 거의 없고 다이나믹 라우팅 프로토콜과 같이
사용하면서 내부에서 외부(ISP)로 나가는 경로에 대해 디폴트 정적 경로를 사용하는 방식으로 많이 사용됩니다.
또한 다이나믹 라우팅 프로토콜과 함께 사용하여 경로를 우회하도록 할 수도 있습니다.
라우팅 실습을 위한 실습 토폴로지 구성
- 패킷트레이서를 활용한 라우팅 실습에 들어가기 앞서 실습 토폴로지를 구성한다.
- 설정한 후 구간에 Ping이 잘 가는지 확인하여 연결이 잘 되었는지 확인한다.
- 패킷트레이서 오류 및 설정을 다시 연습해야 할 상황에 대비하여 파일을 바탕화면에 저장한다.
Static 라우팅 프로토콜이란?
- 정적 경로 설정이라고 하며, 관리자가 네트워크 토폴로지를 보고 우회 경로를 비롯한 모든 경로를 직접 수동으로 설정한다.
- 네트워크 상황 변화에 동적으로 대처 할 수 없으며, 관리자가 직접 수동으로 확인하고 상황 변화에 대처하여야 한다.
- 정적 경로는 동적 경로와 비교하여 설정이 간단하고, 네트워크 장비의 리소스를 적게 사용한다는 장점이 있다.
Static 라우팅 프로토콜을 활용한 Full-Routing 구성
Router(config)#ip route network-address subnet-mask {ip-address | exit-interface}
- ip route: 정적 경로 설정을 위한 명령어이다.✔
- network-address: 목적지 네트워크의 네트워크 주소이다.✔
- subnet-mask: 목적지 네트워크의 서브넷 마스크이다.✔
- ip-address: 목적지 네트워크로 패킷을 전송하기 위해 사용해야 할 이웃 라우터(next hop)의 인터페이스 IP 주소를 지정한다.✔
- exit-interface: 목적지로 네트워크로 패킷을 전송하기 위해 사용해야 할 라우터의 출력 인터페이스를 지정한다.✔
-------------------------------------------------------------------------
11차시 (RIPv1과 RIPv2 설정)
RIP(Routing Information Protocol)
다이나믹 라우팅 프로토콜 중에서 가장 먼저 나오고 설정이 쉬운 라우팅 프로토콜로써 주로 소규모 네트워크에 사용한다.
v1과 v2가 있으며, 라우팅 업데이트 시에 서브넷 전송 여부 및 보안 적용 여부 등에 따라 각 버전의 특징이 구분된다.
UDP 520번을 사용하여 통신하고, Broadcast 및 Multicast를 사용하여 라우팅 정보를 업데이트 한다.
Debug
디버그 명령어는 라우터와 라우터 또는 라우터와 네트워크 장비가 주고 받는 패킷의 흐름을 볼 수 있는 명령어로써,
기본적으로 활성화는 되어 있지 않다. 라우터에 많은 부담을 주는 명령어 지만,
네트워크의 흐름에 대하여 자세한 정보가 필요할 때 사용할 수 있는 명령어이다.
Passive-interface
라우터와 라우터는 라우팅 정보를 주고 받는 것이 의미가 있지만 라우터와 연결된 L2 스위치의 경우는 라우팅 정보를 받는다 하더라도 별로 의미가 없다.
따라서 브로드캐스트나 멀티캐스드 형태로 전달되는 라우팅 업데이트 정보를 보내지 않는 곳을 선언함으로써 이러한 데이터가 전달되지 않도록 할 수 있다.
립은 UDP 520번 사용
홉카운터가 작으면 빠르다고생각한다.(16부터 전송안됨)
대역폭 생각안하고 홉으로만함 Kbps, Gbps
30초마다 라우팅 브로드캐스트 함.
립은 서브넷정보전송안해서 서브넷인식안함.
debug ip rip (립 관련 로그 확인)
un all (끄기)
224.0.0.9 (UDP 520) 브로드캐스트
- 라우팅 업데이트
passive-int gi0/0
엔드단이나 라우팅 정보 업데이트 필요없는 구간 보안용
Q.R1라우터에 RIPv1이 설정되고, 이와 연결되어 있는 R2 라우터가 RIPv2로 연결되어 있어도 같은 RIP 라우팅 프로토콜이기 때문에 패킷을 주고 받는 것은 문제가 없지요?
네트워크는 프로토콜이라고 하는 규약으로 데이터를 주고받습니다. RIP도 v1, v2 상관없이 네트워크상에서 구동되는 일종의 프로토콜입니다.
큰 틀에서 RIP이라고 하는 프로토콜이 있다 하더라도 그 세부적인 지원 내용이나 동작 방식아 v1과 v2 서로 상이하기 때문에 아쉽게도 v1과 v2를 사용하여 서로 연결되어 있는 네트워크의 경우는 통신할 수가 없습니다.
v1으로 통일하거나 v2로 통일하여야 하며, 만약 그래도 v1과 v2가 선언되어야 한다면 재분배를 통해 서로 패킷을 주고받게 할 수는 있습니다.
RIPv1의 개념
RIP은 v1과 v2가 있다.
Distance Vector 라우팅 프로토콜이며, 라우팅 정보 전송을 위해서 UDP 520번을 사용한다.
설정이 간단하고 소규모 네트워크에 사용하기 좋다.(Hop Count 15까지만 지원)
대규모의 네트워크 보다는 소규모의 네트워크에 적합하다.
목적지로 가는 경로 중에서 라우터를 가장 적게 거치는 경로를 선택한다.
RIPv2의 개념 및 RIPv1과의 차이점
1. RIPv2는 Classless 라우팅 프로토콜이며, 네트워크 정보와 함께 서브넷 마스크의 정보도 함께 전달한다.
2. 라우팅 정보의 전달을 위하여 브로드캐스트 주소를 사용하지 않고 Multicast 주소인 224.0.0.9를 사용한다.
3. RIPv2와 RIPV1의 차이점은 다음과 같다.
- RIPv1은 Classful 이지만, RIPv2는 Classless 이다.✔
- RIPv1은 VLSM 및 서브넷팅을 지원하지 않지만, RIPv2는 지원한다.✔
- RIPv1는 255.255.255.255 브로드캐스트를 하고 인증을 지원하지 않지만, RIPv2 는 224.0.0.9 멀티캐스트를 사용하고 인증을 지원한다.✔
RIPv2를 활용한 Full-Routing
1. RIPv1의 기본적인 설정 방법은 다음과 같다.
Router>enable
Router#conf t
Router(config)#router rip
→ 라우팅 프로토콜로 RIP을 사용할 것을 선언.
Router(config-network)#network 네트워크 주소
→ network 명령어로 라우터에 직접 연결되어 있는 네트워크 주소를 입력
2. show ip int brief 사용하여 RIP 라우터 인터페이스의 설정이 정상적으로 되어 있는지 확인한다.
3. RIPv2는 모든 설정 과정이 RIPv1과 같고, 단순히 Version 2 명령어만 추구하면 된다.
4. Passive-Interface로 설정된 네트워크 구역으로는 라우팅 정보를 보내지 않는다.
-------------------------------------------------------------------------
12차시 (EIGRP 설정)
EIGRP 헬로우 패킷 전송 주기
1.544 Mbps 이하 / 헬로우주기-60초 / 유지시간-180초
1.544 Mbps 이하(멀티포인트 프레임 릴레이)
1.544 Mbps 이상 / 헬로우주기-5초 / 유지시간-15초
1.544 Mbps 이상(이더넷, T1, PPP, HDLC)
EIGRP(Enhanced Interior Gateway Routing Protocol)
다이나믹 라우팅 프로토콜의 한 종류이며, Cisco Router 전용 라우팅 프로토콜이며 224.0.0.10의 멀티캐스트 주소를 사용한다.
Classless Routing Protocol이기 때문에 서브넷 마스크, VLSM 지원하고, Partial Update 방식을 사용한다.
이 방식은 주기적인 업데이트 하지 않고, 경로 정보가 변화될 경우에만 업데이트를 실시한다
Neighbor Table
EIGRP는 반드시 이웃하는 라우터와 인접성을 맺어야 토폴로지 테이블 교환을 비롯한 여러 정보들을 교환할 수 있다.
현재 라우터가 어떤 라우터들과 Neighbor를 맺었는지 볼 수 있는 테이블이며, EIGRP의 설정이 끊어지거나 설정을 했는데도
데이터를 주고받을 수 없다면 이 테이블을 가장 먼저 확인하여 Neighbor 관계가 정상적으로 등록되어 있는지 터 확인한다.
AS Number
네트워크의 관리 범위를 계층적으로 체계화하고 단위별로 라우팅 정보를 효율적으로 관리 하기 위하여
AS 번호 체계가 도입되어 사용되고 있음. AS 번호를 ISP에서 사용하기 위해서는 할당받아야 한다.
Q.EIGRP는 Cisco 전용 라우팅 프로토콜이라고 들었는데 무슨 뜻인가요?
EIGRP는 우수한 성능을 가진 라우팅 프로토콜입니다. 그런데 질문과 같이 EIGRP는 모든 라우터에서 사용할 수 있는 라우팅 프로토콜이 아닙니다.
즉, EIGRP를 사용하고자 한다면 네트워크를 구성하는 라우터가 Cisco 회사에서 만든 라우터를 사용해야지만 EIGRP를 사용하여 라우팅을 구성할 수가 있다는 의미입니다.
그런데 네트워크를 구성할 때 Cisco 회사의 라우터만을 사용하여 구성할 수도 있지만, 다른 회사의 라우터를 사용할 수도 있습니다.
이러한 경우에는 EIGR는 사용하지 못하고 RIP, Static을 사용하여야 하는데 이 라우팅 프로토콜은 대규모 네트워크에서는 사용하지 않습니다.
그래서 안타깝지만 여러 장점이 있음에도 불구하고 많이 사용되는 라우팅 프로토콜은 아닙니다.
EIGRP의 개념
1. EIGRP의 전신은 IGRP는 IOS 12.2 이후로는 지원을 안함.
- 현재 12.4 또는 15.0 이상의 IOS가 대부분이므로 사실상 사용하지 않는다고 봐도 무방하다.
2. Advanced Distance Vector 라우팅 프로토콜은 Distance Vector의 장점 및 Link-State의 장점을 모두 가지고 있다.
3. Cisco Router 전용 라우팅 프로토콜이다.
4. 224.0.0.10의 멀티캐스트 주소를 사용한다.
5. Classless Routing Protocol은 서브넷 마스크, VLSM을 지원한다.
6. Partial Update는 주기적인 업데이트 하지 않고, 경로 정보가 변화 될 경우에만 업데이트를 실시한다.
AS Number의 개념
1. 인터넷이 확산하고 네트워크가 커지므로, 라우팅 정보가 방대해지고 전체 네트워크를 하나의 라우팅 프로토콜로 관리하기가 불가능해 진다.
2. 네트워크의 관리 범위를 계층적으로 체계화하고 단위 별로 라우팅 정보를 효율적으로 관리 하기 위하여 AS 번호 체계가 도입되어 사용되고 있다.
3. 동일한 라우팅 정책을 적용 받는 라우터들에 대한 고유 식별 번호이다.
EIGRP를 활용한 Full-Routing
EIGRP의 기본적인 설정 방법은 다음과 같다.
R1>en
R1#conf t
R1(config)#router eigrp Process-ID (AS number)
<1-65535> Autonomous system number
R1(config)#router eigrp 7
R1(config-router)#network 1.1.1.1 (와일드카드 마스크 사용하지 않을 경우)
R1(config-router)#network 1.1.1.1 0.0.0.0 (와일드카드 마스크 사용)
R1(config-router)#no auto-summary (사용하지 않을 수도 있음)
# 와일드카드 마스크는 사용해도되고, 안해도 상관 없다.
AS (Autonomous System, 자율 시스템) : 단일 기간의 관리 하에 있는 네트워크 장치들의 집합
프로세스 ID (AS) = EIGRP는 '프로세스 ID'라고 나오지않고 AS라고 나온다. 'autonomous-system'
Router(config)#router eigrp 'autonomous-system'
eigrp 파라미터를 autonomous-system으로 참조하고 있지만 EIGRP 프로세스 ID 라고 생각하면 된다.
EIGRP에서는 이웃 관계 (neighbor adjacency) 확립을 위해 같은 라우팅 영역 내의 모든 라우터들은
동일한 프로세스 ID를 가져야 한다
R1-R2, EIGRP 맺으려면 R1: router eigrp 1, R2: router eigrp 1 이렇게 둘다 동일한 AS를 설정해야한다.
# '(R1)-(R2)-(R3)-(R4)' , '(eigrp1) - (eigrp1-eigrp2) - (eigrp2-eigrp1) - (eigrp1)' <-테스트 해보자
-------------------------------------------------------------------------
13차시 (OSPF 설정)
OSPF(Open Shortest Path First)
OSPF 라우팅 프로토콜은 현재 가장 많이 쓰이는 라우팅 프로토콜이며,
설정이 복잡하긴 하지만 많은 기능을 가지고 있는 라우팅 프로토콜이다.
특히 EIGRP의 경우에는 Cisco 장비를 가지고 있는 라우터들끼리만 연결되었지만,
OSPF의 경우 모든 라우터 장비에서 지원하는 장점을 가지고 있다.
또한 계층적인 구조로 설계를 하도록 되어 있다는 점도 장점이라 할 수 있다.
DR/BDR
OSPF는 네트워크 토폴로지나 경로에 변화가 생기면 같은 영역에 있는 라우터들 간에 LSA를 주고받는다.
그런데 모든 라우터가 LSA를 주고받으면 간단한 토폴로지를 가지는 네트워크는 크게 영향을 받지 않지만
라우터를 많이 가지고 있는 토폴로지에서는 과도한 LSA 플러딩이 네트워크 운영에 영향을 줄 수 있다.
이를 해결하자 DR/BDR를 선출하여 특정 네트워크에서 사용한다.
Backbone Area 0
OSPF의 모든 네트워크는 Area에 속해 있고,
반드시 Area 0와 물리적으로 연결되도록 구성되어야 한다.
즉, Area 0를 통해서만 패킷을 전달받을 수 있는 계층적인 구조도 되어 있다.
DR/BDR
DR유보가 생길경우 BDR이 대신 수행 (BDR 새로 선출)
ip ospf priority (숫자가 큰, 높은 라우터가 DR, 0-255 ; 0은 DR/BDR 안되겠다)
DR 라우터가 재부팅되 BDR이 DR이된 후 기존DR이 부팅이 끝나도 DR로 변하진않음.
- 이때 DR변화 방법은 2가지 : 'clear ospf process' 또는 'DR라우터 재부팅'
OSPF ID
1순위 : 루프백 IP
2순위 : 가장 높은 인터페이스
#쌩뚱참고내용
- DCE = Clock Rate (D[C]E)
- DTE = Clock Rate 넣으면 에러뜸.
# This command applies only to DCE interfaces (에러)
# 이 명령은 DCE 인터페이스에만 적용됩니다. (번역)
와일드마스크 여긴 0.0.0.0 으로 넣는데 0.0.0.255 라고하는거라고 광수쌤한태배움
- 이거 확인해봐야함 서브넷팅했을때 0.0.0.0으로 찾아가는지
--
Q.Static, RIP, EIGRP, OSPF를 배웠는데 네트워크를 구성할 때
어떤 라우팅 프로토콜을 써야 할지 정해진 것이 있나요?
네트워크 토폴로지는 특성을 갖습니다.
유선만 연결된 경우가 있을 수 있지만 요즘 같은 경우에는
유선 및 무선이 함께 연결되어 서로 데이터를 주고 받는
네트워크가 필수 적으로 구축되어 있습니다.
그렇기 때문에 네트워크의 특성을 고려한 라우팅 프로토콜의 선택이 필요하며,
라우팅 프로토콜 선택이 잘못되면 네트워크 정책이나 패킷 흐름이 원활하지 않을 수 있습니다.
주로 소규모에 Static과 RIP을 사용하고 중 및 대규모 네트워크에 EIGRP와 OSPF를 사용하지만,
EIGRP의 경우에 시스코 전용 라우팅 프로토콜이기 때문에 OSPF를 많이 쓰는 추세이며,
필요에 따라 OSPF와 Static을 함께 사용하여 경로 조절을 하기도 합니다.
--
멀티캐스트 주소
OSPF가 사용하는 멀티캐스트 주소는 224.0.0.5번과 6번 입니다.
OSPF의 개념
1. IP Network 기반에서 동작하는 IGP Protocol 중 가장 널리 사용되고 있는
Link- state Algorithms를 사용하는 표준 개방형 Protocol (RFC 2328)이다.
2. 네트워크 토폴로지의 변화가 빠르다.
3. 네트워크 토폴로지에 변화가 생기며 변화된 부분, 증가된 부분만 업데이트를 실시한다.
4. 업데이트할 내용이 없더라도 30분 간격의 링크 상태 재생(Link-State Refresh)를
이용하여 Update 정보를 주기적으로 교환한다.
OSPF의 구조
1. Neighbor Table (#Show ip ospf neighbor)
- 인접성을 맺은 이웃한 라우터의 정보를 확인한다.✔
- Hello Packet을 교환하여 인접성에 대한 조건이 일치하면 네이버 성립한다.✔
- Dead-Interval안에 Hello를 수신하지 못하면 네이버 삭제된다.✔
2. Database Table (#Show ip ospf database)
- 목적지까지 가는 경로들의 경우의 수를 각각의 Link 상태 별로 관리한다.✔
- LSA를 통해서 다른 라우터와 네트워크 정보를 인식한다.✔
- LSA 패킷은 LSDB에 저장 후 관리한다.✔
3. Routing Table (#show ip route ospf)
- Database Table 정보 중 최적 경로 선출 후 라우팅 테이블에 등록한다.✔
- 라우터는 최적화된 경로를 사용하여 패킷을 전달한다.✔
OSPF를 활용한 Full-Routing
OSPF의 기본적인 설정 방법은 다음과 같다.
- R1(config)#router ospf 'Process-ID'
- R1(config-router)#router-id 'OSPF router-ID'
- R1(config-router)#network 'network-address' 'wildcard-mask' area 'area-id'
-------------------------------------------------------------------------
14차시 (Redistribute 설정)
재분배(Redistribute)
한 개의 단일 라우팅 프로토콜로 네트워크를 구성하는 것이 정책상 어렵거나
피해야 할 경우가 있으면 라우팅 프로토콜을 다양하게 사용할 수 있다.
특히 라우팅 프로토콜이 가지고 있는 특징을 참고하여 네트워크를 효율적을 구성하기
위해서는 여러 라우팅 프로토콜을 사용할 필요가 있고,
재분배는 서로 다른 라우팅 프로토콜을 사용하는 네트워크의 장치들이 통신을 할 수 있도록 하는 방법이다.
RIP의 Metric 값
Router RIP은 소규모에 사용되어지는 Dynamic Routing Protocol이며,
Hop Count가 15 이하인 경우, 즉 라우터가 15대 이하의 네트워크에서 사용되는 라우팅 프로토콜이다.
만약 16 이상이 되면 라우터는 받은 패킷을 폐기하며 전달하지 않는다.
Subnets
OSPF는 재분배를 할 경우 기본적으로 Classful로 설정된 네트워크만 재분배 한다.
따라서 서브넷팅된 네트워크 정보를 재분배하기 위해 반드시 subnets 옵션을 사용하여야 한다.
* 재분배 (가져올때)
1. EIGRP 로 가져올 때
K1=대역폭 (1544)
K2=로드 (2000)
K3=지연 (255)
K4=신뢰성 (1)
K5=MTU (1500)
2. RIP 로 가져올 때
홉카운트 0~2로 지정
15로 지정하면 16부터 폐기되기때매 1로 지정.
0은 되는지 확인해봐야함.
3. OSPF 로 가져올 때
OSPF는 재분배시 기본적으로 Classful로 설정된 네트워크만 재분배 함.
subnets 옵션을사용해야 서브넷팅 된 주소가 재분배 됨.
clear ip route *
- Delete route table entries (라우팅 리플레쉬)
Q.재분배를 하면 생기는 장점이 무엇인가요?
라우터는 라우팅 프로토콜을 기반으로 패킷을 전달하며,
라우팅 프로토콜은 각 각의 특징과 패킷을 전달하기 위하여 라우팅 테이블을 만드는 방식이 다 틀립니다.
그래서 네트워크를 구성할 때, 단일 라우팅 프로토콜을 사용하게 되면
네트워크 정책 및 운영에 있어서 유연성을 둘 수 없을 경우가 많습니다.
또한 네트워크와 네트워크가 통합되어 질 경우 단일 라우팅을 사용하게 된다면,
라우팅 프로토콜을 변경하는 시간 또한 만만치 않을 텐데요,
이러한 상황에서 재분배를 사용하게 되면 시간 단축은 물론 패킷 전달도 정상적으로 할 수 있습니다.
재분배를 통해 네트워크의 특성에 맞는 라우팅 프로토콜을 사용하므로써 네트워크 안정성에도 기여를 할 수 있습니다.
Redistribute의 개념
한 개의 단일 라우팅 프로토콜로 네트워크를 구성하는 것이 정책상 어렵거나 피해야 할 경우가 있다.
재분배는 서로 다른 라우팅 프로토콜을 사용하는 네트워크의 장치들이 통신을 할 수 있도록 한다.
각 라우팅 프로토콜별 Metric
✔ RIP(Routing Information Protocol)
Hop Count 15까지는 패킷을 전달하지만,
16부터는 패킷을 전달하지 않고 폐기 하므로,
재분배를 사용하여 다른 라우팅 프로토콜의 경로를 학습할 때,
이 부분을 상당히 고려하여 재분배를 실시하도록 한다.
✔ EIGRP(Enhanced Interior Gateway Routing Protocol)
EIGRP의 Metric K 상수 값
- K1=K3=1, K2=K4=K5=0
- K1=대역폭, K2=로드, K3=지연, K4=신뢰성, K5=MTU 이다.
✔ OSPF
OSPF는 재분배 시 기본적으로 Classful로 설정된 네트워크만 재분배 한다.
따라서 서브넷팅된 네트워크 정보를 재분배 하기 위해 반드시 subnets 옵션을 사용한다.
Redistribute를 활용한 Full-Routing
✔ EIGRP - RIPv2 설정
R1(config)#router rip
R1(config-router)#redistribute eigrp 7 metric 1
R1(config-router)#exit
R1(config)#router eigrp 7
R1(config-router)#redistribute rip metric 1544 2000 255 1 1500
R1(config-router)#exit
✔ OSPF - RIPv2 설정
R1(config)#router rip
R1(config-router)#redistribute ospf 7 metric 1
R1(config-router)#exit
R1(config)#router ospf 7
R1(config-router)#redistribute rip subnets
✔ OSPF - EIGRP 설정
R1(config)#router eigrp 7
R1(config-router)#redistribute ospf 7 metric 1544 2000 255 1 1500
R1(config-router)#exit
R1(config)#router ospf 7
R1(config-router)#redistribute eigrp 7 subnets
# eigrp에서 립을 가져올때 립에 대한 K상수 메트릭이 의미는 없어서 '1 1 1 1 1' 라고 해줘도 된다. ('1' , 5개)
-------------------------------------------------------------------------
중간 고사
-------------------------------------------------------------------------
15차시 (VLAN 구성)
Flooding
스위치가 스위치, PC, 라우터 등의 네트워크 장치로부터 Broadcast 트래픽을 받으면,
Broadcast 트래픽이 들어온 포트를 제외한 나머지 모든 포트로 Broadcast 트래픽을 복사해서 전달하는 것을 의미한다.
이 Broadcast 트래픽은 네트워크의 규모가 크면 클 수록 그 크기 또한 커지기 때문에 네트워크에 상당한 부담이 될 수 있다.
VLAN
VLAN은 Layer 2에서 동작하는 스위치에서 물리적이 아닌 논리적인 방법으로 Broadcast 도메인을 나누는 방법이다.
Broadcast 도메인이 나누어 지기 때문에 Broadcast 트래픽에 대한 부담도 덜 수 있으며, 보안성도 향상된다.
또한 IP 주소도 VLAN 별로 할당 되므로, VLAN을 구성하게 되면 같은 스위치에 연결되어 있더라도 적절한 IP 주소 할당이 필요하다.
Trunk
스위치와 스위치가 연결된 구간에서 VLAN 을 구성했을 경우, 하나의 회선에 여러 VLAN Frame을 주고 받기 위해서 설정한다.
Q.VLAN을 구성할 때, 같은 스위치에 연결되어 있음에도 불구하고 왜 서로 다른 IP 주소 대역을 사용해야 하나요?
스위치는 Layer 2에서 동작하는 장치입니다. Layer 2 장치는 Layer 3 장치가 할 수 있는 Broadcast 도메인을 나누는 것이 불가능합니다.
그런데 VLAN은 이러한 기능을 물리적이 아닌 논리적으로 Layer 2에서 제공하는 기능입니다.
즉 VLAN이 나뉘어지게 되면 Broadcast 도메인이 나뉘어 지는 효과가 있는 겁니다. 같은 스위치에 연결되어 있지만,
같은 스위치에 연결되지 않게끔 네트워크에서 동작하는 겁니다.
완전히 다른 네트워크로 동작하기 때문에 IP 주소 또한 서로 동일한 대역의 IP 주소를 사용하여서는 안 되는 것입니다.
VLAN이란?
스위치 장치는 LAN 구간에서 주로 사용되는 장치이며 L2 스위치, L3 스위치, L4 스위치 , L7 스위치로 분할할 수 있다.
다양한 종류의 스위치는 네트워크를 구성할 때 어떻게 디자인 되는지가 중요하다.
스위치를 이용하여 네트워크를 구성할 경우 계층적인 구조를 사용해 구성하면 안정성 및 확장성은 물론 성능까지 향상되는 결과를 나타낸다.
스위치는 액세스 계층, 분산 계층, 코어 계층 이렇게 3개의 계층으로 나눌 수 있다.
VLAN은 브로드캐스트 도메인을 분할여 브로드캐스트 트래픽으로 인한 장비 성능저하를 막을 수 있다.
서로 다른 VLAN에 속한 장치들은 상호 통신이 불가능하기 때문에 보안에도 도움이 된다. 만약 다른 VLAN에 속한 장치들이 통신을 하려고 하면 반드시 L3 장치의 중계를 거쳐야만 한다.
기본적으로 스위치의 모든 포트는 VLAN 1번에 속해 있다.
VLAN 구성하기
- 기본 토폴로지 구성
VLAN 생성 방법으로 VLAN Database를 사용하는 방식과 전역 설정모드에서 생성하는 방법이 있다.✔
VLAN 생성을 확인한다.✔
VLAN 생성 후, 토폴로지를 참조하여 VLAN 1번에 속해 있는 포트를 알맞은 VLAN 으로 옮긴다.✔
Trunk 설정
Frame Tagging을 사용하는 Trunking Protocol은 보다 빠른 Frame의 전달, 보다 쉬운 관리가 가능하다.
링크상으로 전송되는 Frame은 소속 VLAN을 알려주는 Tagging 필요하다.
Ethernet Segment를 위한 2가지의 Tagging Scheme
✔ISL는 시스코 고유의 프로토콜이다.
✔802.1Q는 IEEE 표준이다.
Cat2950 또는 2960에서 트렁크 설정하는 방법이다. (ex fa0/1)
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode trunk
-------------------------------------------------------------------------
16차시 (Iner-VLAN)
가상 인터페이스
네트워크의 토폴로지가 물리적인 토폴로지와 논리적인 토폴로지가 존재하는 것처럼
라우터 인터페이스도 물리적인 인터페이스와 가상 인터페이스로 나뉘어 진다.
물리적인 인터페이스는 손으로 직접 만질 수 있는 실제 케이블과 연결되는 인터페이스를 뜻하며,
가상 인터페이스는 실제 인터페이스가 아닌 라우터 운영체제에서 생성되는 인터페이스를 의미한다.
가상 인터페이스는 물리적인 인터페이스 기반으로 동작하므로, 반드시 물리적인 인터페이스가 활성화 되어 있어야 한다.
트렁크 프로토콜
스위치에서 생성되는 다양한 VLAN을 하나의 포트로 전달하기 위해서 사용되는 프로토콜이며,
이 프로토콜을 사용하면 Inter-VLAN 또는 VLAN 환경에서 라우터나 스위치의 포트를 효율적으로 사용할 수 있는 장점이 있다.
Inter-VLAN
같은 스위치에 위치하는 End-Device라고 하더라도 VLAN이 나뉘어져 있으면
상호 통신을 할 수 없으나 L3 장치를 사용하면 VLAN 장치가 서로 통신을 할 수 있다. 이러한 제반 모든 설정을 Inter-VLAN 이라고 한다.
Q.Inter-VLAN을 하는 이유는 무엇인가요?
Inter-VLAN은 VLAN이 구성되어 있는 네트워크에서, 서로 다른 VLAN의 장치가 상호 통신을 할 수 있도록 하는 설정을 의미합니다.
VLAN은 Broadcast Domain을 나누기 때문에 같은 스위치에 연결되어 있는 장치라 하더라도,
VLAN 번호가 다르면 통신을 할 수 없기 때문에 보안상 향상에도 도움이 되었었습니다.
그런데 Inter-VLAN을 하면 이러한 장점이 사라지는 결과를 나타냅니다.
그러나 보안상의 문제를 VLAN으로만 해결하는 것은 거의 불가능합니다.
따라서 보안은 다른 장치들에게 맡겨 두고,
LAN 상에서 Flooding 트래픽을 줄이는 등의 요구사항에 따라서 VLAN을 나누고 Inter-VLAN이 설정됩니다.
라우터 기반의 가상 인터페이스 구성
가상 인터페이스VLAN별로 각각의 물리적 회선이 연결되는 것은 불가능하다.✔
VLAN은 스위치에 설정되므로, 스위치와 연결된 LAN 구간의 라우터 Ethernet 포트에 가상 인터페이스를 만들어 각 각의 VLAN에 Default-Gateway를 할당한다.✔
라우터와 연결되는 스위치 포트는 트렁크를 설정하므로 여러 VLAN Frame을 한 개의 회선으로 주고 받을 수 있도록 설정한다.✔
라우터의 Ethernet 포트에는 4,294,967,295개의 가상 인터페이스 생성이 가능하다.✔
가상 인터페이스를 SVI(Switch Virtual Interface)로 표현하기도 한다.✔
라우터 가상 인터페이스는 실제 인터페이스를 기반으로 구성한다.✔
Router(config)#int gi0/0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int fa0/0.1 => 가상 인터페이스는 생성하자 마자 활성화 됨
Router(config-subif)#
Trunking Protocol 학습
IEEE 802.1QIEEE
802.1Q는 Ethernet에서 VLAN을 지원하는 네트워크 표준이다.✔
Ethernet Frame을 위한 VLAN 태그의 추가에 대하여 정의한다.✔
VLAN은 VLAN 정보가 없는 프레임 (Untagged Frame), 우선순위 프레임 (Priority-Tagged Frame), 일반 VLAN 정보가 있는 프레임 이렇게 세 가지의 Frame을 가지고 있다.✔
VLAN 정보가 없는 프레임이나 우선순위 프레임의 경우에는 VLAN 정보를 가지고 있지 않다. 그래서 MAC 주소나 IP 프로토콜 등으로 프레임을 분류한다.✔
VLAN 정보가 있는 프레임은 VLAN ID로 VLAN을 분류한다.✔
Inter-VLAN 구성
기본 토폴로지 구성Inter-VLAN Routing을 실습하기 위하여 토폴로지를 구성한다.
- Router0
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#int gi0/0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#int gi0/0.10 (10은 편의상 VLAN ID로 한다. 다른 숫자가 와도 상관없다.)
R1(config-subif)#encapsulation dot1Q 10(반드시 VLAN ID를 사용한다.)
R1(config-subif)#ip add 203.230.7.1 255.255.255.0
R1(config-subif)#exit
R1(config)#int gi0/0.20
R1(config-subif)#encapsulation dot1Q 20
R1(config-subif)#ip add 203.230.8.1 255.255.255.0
R1(config-subif)#exit
R1(config)#int gi0/0.30
R1(config-subif)#encapsulation dot1Q 30
R1(config-subif)#ip add 203.230.9.1 255.255.255.0
R1(config-subif)#exit✔
-------------------------------------------------------------------------
17차시 (VTP(VLAN Trunking Protocol))
VTP
VTP는 많은 스위치의 VLAN의 관리를 쉽게 할 수 있는 시스코 스위치 전용 프로토콜이다.
VTP를 사용하면 VLAN 정책에 일관성을 유지할 수 있고, Server 모드에서 VLAN을 생성, 삭제, 수정하면
Client로 동작하는 모든 스위치에 그 내용이 반영되므로, 관리를 수월하게 할 수 있는 큰 장점이 있다.
그러나 보안상의 취약점도 있으므로 반드시 부가 설정을 통해 보안에 대비하여야 한다.
Pruning
VTP는 스위치와 스위치가 연결되는 회선에 반드시 트렁크가 설정되어 있어야 하며,
트렁크가 설정되어 있으면 VLAN Tag를 가지고 있는 모든 프레임이 트렁크 포트를 지나게 되는데,
이 때 Pruning이 설정되어 있으면 필요 없는 브로드캐스트 트래픽이 전달되지 않도록 설정할 수 있다.
VTP Password
VTP로 동작하는 스위치의 암호를 설정하여 보안성을 향상시킬 수 있다.
그러나 이 암호 설정이 잘못 설정되면 VTP 관련 정보를 받아 올 수 없는 문제점도 있으므로, 오타가 나지 않도록 주의 한다.
Q.VTP는 보안상의 문제점을 가지고 있다고 합니다. 그런 문제점을 가지고 있는 VTP를 꼭 써서 VLAN을 관리 해야 하나요?
컴퓨터 네트워크를 이루고 있는 모든 장치들 중에서 보안상의 문제점이 없는 장치는 없습니다.
보안상의 문제점을 어느 정도 해결하고 사용하고 있는 것이 현실입니다.
VTP도 마찬가지로 많은 스위치들의 VLAN 을 관리해야 하는 관리자 입장에서는 이 정보를 관리하고 수정하는 것이 보통 일이 아닐 것입니다.
따라서 VTP를 사용하여 VLAN 을 관리 하되,VTP 암호와 Domain 등의 설정을 통해 보안성을 향상시키고 사용해야 합니다.
만약 스위치가 이러한 VTP 상의 보안 이슈를 피하고 싶다면 VTP 동작을 하지 않도록 하는 방법이 있으며,
이러한 경우 VTP 모드를 Transparent 모드로 동작 시키면 됩니다.
VTP의 개념
규모가 큰 네트워크에서 스위치 별로 VLAN을 생성하거나 따로 생성된 VLAN을 삭제 또는 수정해야 하는 작업을 수작업으로 하는 것은 대단히 번거로운 일이다.
VTP는 이러한 환경에서 VLAN의 생성, 수정, 삭제와 같은 관리를 손쉽게 할 수 있다.
VTP가 동작하기 위해서는 반드시 스위치와 스위치 사이가 트렁크로 설정되어 있어야 한다.
VTP는 VLAN ID 1~1005에 대해서만 인식한다.
확장된 범위의 VLAN(1006 이상의 VLAN ID를 가지는 VLAN)에서는 VTP를 지원하지 않는다.
VTP는 VLAN 정보만 전달하는 것이지, 포트의 설정까지는 전달하지 않는다.
VTP가 설정되어 VLAN 정보를 받은 스위치 포트에 VLAN 설정을 해야 VLAN이 올바로 동작한다.
VTP의 3가지 동작 모드
VTP는 3가지 동작 모드를 가진다.
✔Server는 모든 스위치는 기본적으로 서버 모드로 동작하며, VLAN의 생성, 수정, 삭제를 자유롭게 할 수 있는 모드이다.
✔Client는 오직 서버로부터 받은 VLAN 정보만을 반영하며, 자신이 직접 VLAN을 생성하거나 수정 및 삭제를 할 수 없다.
✔Transparent는 독립적으로 동작하는 모드이며, 서버 모드로 부터 받은 VLAN과 관련된 정보를 자신에게 반영하지 않지만, 이웃 스위치에 전달은 한다.
모든 스위치의 Default VTP 모드는 Server로 설정되어 있다.
VTP는 V1, V2, V3 세 가지의 버전이 있지만, V3는 현재 사용할 수 없고, V1 또는 V2를 사용한다.
VTP 설정
VTP 기본 설정
✔VTP는 3가지 동작 모드를 가지며, 스위치가 Server로 동작하면 따로 변경해주지 않아도 된다.
✔VTP의 설정은 VTP Version 설정 → VTP Mode 설정 → VTP Domain 설정 → VTP 암호 설정 순서대로 설정한다.
✔VTP가 올바로 동작하기 위해서는 VTP Mode를 제외한 다른 값이 반드시 일치 해야 한다. (Transparent Mode 제외)
✔VTP Server에서 VTP Domain Name은 VLAN을 새로 만들거나 변경하기 전에 구성하도록 한다.
-------------------------------------------------------------------------
18차시 (STP(Spanning Tree Protocol))
Spanning Tree
스패닝 트리 프로토콜은 스위치에서 기본적으로 동작하는 프로토콜로써,
스위치가 이중화 되었을 때 생기는 여러 문제점을 해결하기 위해 사용하는 프로토콜이다.
네트워크는 가용성이 99.999%가 되어야 하며, 이를 위해서 경로의 이중화는 필수적일 수 밖에 없다.
그러나 Spanning Tree가 모든 포트에서 동작할 필요는 없다.
스위치와 스위치가 연결되는 구간에만 Spanning Tree가 동작하면 되며,
라우터나 PC, 서버 등의 다른 장치가 연결되는 포트에는 Spanning Tree가 동작하지 않아도 네트워크에 전혀 영향을 미치지 않는다.
경로의 이중화
스위치는 End-Device가 연결되는 구간이며,
이 구간의 Frame이 전달되는 경로의 이중화는 네트워크 가용성 및 신뢰성에 큰 영향을 끼친다.
따라서 경로의 이중화는 꼭 필요한 부분이다.
Broadcast Strom
Broadcast Storm은 Spanning-Tree가 동작하지 않는 스위치에서 이중화를 구현하였을 경우 나타나는 문제점이다.
Spanning Tree가 동작하는 네트워크에서는 이러한 문제점이 나타나지 않는다.
Q.Spanning Tree Protocol은 모든 스위치에 설정되어 있나요?
Spanning Tree Protocol은 스위치에 기본적으로 설정되어 있는 프로토콜입니다.
네트워크를 구성하는 네트워크 관리자는 스위치의 어떤 포트에 스위치가 연결되고,
PC가 연결되며, 라우터가 연결되는지 다 알 수 있지만 장비를 만드는 회사나 장비는 직접적으로 알 수 있는 방법이 없습니다.
그런데 Spanning Tree가 설정되어 있는 포트에 장치가 연결되면 특정 시간을 기다려야 합니다.
Spanning Tree는 스위치와 스위치가 연결될 경우에만 필요하기 때문입니다.
그래서 이러한 경우는 Spanning Portfast라는 기능을 이용하여 Spanning Tree Protocol이 동작하지 않도록 할 수 있습니다.
단, 이러한 경우 절대로 스위치가 연결되어서는 안됩니다.
-------------------------------------------------------------------------
19차시 (무선 라우터 설정)
무선 네트워크
무선 네트워크는 OSI 7 Layer 기준으로 1계층과 1계층의 연결이 무선으로 된 구간을 말한다.
무선 네트워크는 유선 네트워크에 비해 장점이 많은데, 복잡한 회선 공사를 할 필요가 없어 비용 절감이 많이 되고,
유동성이 좋다는 장점이 있다. 그러나 무선 네트워크의 특성상 네트워크의 범위를 정확하게 정할 수 없다는 점과
보안에 취약 하다는 점은 큰 단점이라 할 수 있다.
CSMA/CA
무선 장치가 전파를 이용하여 데이터를 전송할 때 사용하는 방식이다.
유선의 경우는 CSMA/CD를 사용한다. CA는 Collision Avoidence의 약어이며,
자신의 프레임을 전송하기 이전에 무선 체를 확인하고, 이 매체에서 프레임이 전송되고 있는지를 먼저 확인 한 후,
특정 시간을 대기한다. 특정 대기 시간을 대기 한 후에도 프레임이 전송되지 않으면 그때서야 프레임을 전송하는 방식이다.
무선 라우터
무선 라우터는 무선으로 연결되는 장치들의 DHCP 역할을 같이 수행해서 무선 장치 들에게 IP 주소를 제공한다.
Q.무선 랜은 보안상의 여려가지 문제점을 가지고 있는데요. 왜 계속해서 사용하고 있나요?
무선 랜은 정말 편리한 네트워크 이지만 보안상의 문제점이 있는 것도 사실입니다.
보안상의 문제점을 완전히 없애는 것은 불가능합니다.
그럼에도 무선 랜이 많이 사용되는 이유는 편리성 때문이기도 하지만,
BAN이나 PAN 환경에서도 많이 사용되기 때문에 외부의 침입에 대한 염려가 생각보다는 많지 않습니다.
또한 각종 보안 설정을 통해 아무나 무선 네트워크에 접속하지 못하도록 하는 기술들이 계속 적으로 발전하고 있습니다.
특히나 요즘은 무선 라우터가 전파를 인식해서 많이 사용하지 않는 주파수를 자동으로 잡아주는 기능까지 나왔습니다.
그래서 예전 처럼 간섭이나 혼선 없이 무선 네트워크의 환경이 점차 좋아지고 있습니다.
보안도 마찬가지로 무선 랜 보안을 더 발전시키면서 무선 랜의 비중이 점차 높아질 것으로 예상하고 있습니다.
무선 네트워크 특징
1. 오늘날 네트워크를 구성하고 있는 물리적 회선을 보면, 무선 보다 유선이 더 많은 비중을 차지하고 있으나 그 비율이 점차 줄어들고 있다.
2. OSI 7 계층을 기반으로 Layer1에서 Layer2로 연결되는 회선이 유선이면 유선 네트워크가 되는 것이고 이 구간이 무선을 사용하면 무선 네트워크가 되는 것이다.
3. 무선 랜의 범위는 OSI 기반으로 Layer1에서 Layer2까지의 구간을 의미한다.
4. 네트워크의 규모를 설명할 때 LAN, MAN, WAN으로 설명하지만, 최근 무선 랜이 활성화 된 이후에 BAN, PAN과 같은 개념이 생겼다.
✔ BAN (Body Area Network)은 몸에 부착된 정보화 기기와 핸드폰이 수신하는 범위의 무선 네트워크이다.
✔ PAN (Personal Area Network)은 핸드폰과 노트북이 상호 테더링이 가능한 범위의 무선 네트워크이다.
무선 라우터 설정
1. 무선 라우터에는 여러 가지 종류가 있지만 패킷트레이서에서 지원하는 WRT300N을 사용한다.
2. 실제 WRT300N 장비도 패킷트레이서와 동일한 환경으로 구성되어 있다.
3. 무선 라우터 또는 AP(Access Point)가 토폴로지에 들어가면 해당 장치를 기준으로 Network 구간과 Internet 구간으로 나뉘어지게 된다.
4. Network 구간은 실제 무선 장치들이 연결되는 네트워크 구간으로써, 무선 라우터나 AP가 DHCP 서버의 역할도 병행하는 것이 일반적이다. 이 구간의 경우 각 장치에 할당되는 IP 주소는 공인 IP 주소 보다는 사설 IP 대역 주소를 사용한다.
5. Internet 구간은 외부와 연결되는 구간을 의미하며, 이 구간의 경우에는 사설 IP 대역을 사용하지 말고 공인 IP 대역을 사용하여 구성한다.
유·무선 네트워크 통합
유·무선 네트워크 토폴로지 설계
- 무선 네트워크의 구성은 내부 사용자를 위한 무선 및 외부 사용자를 위한 무선 네트워크를 따로 구축하여야 한다.✔
- 외부 사용자의 트래픽이 내부 사용자에게 영향을 미치지 않도록 네트워크가 설계될 필요성이 있다.✔
- 위와 같이 트래픽을 나누기 위하여 L2 스위치에 VLAN을 적용한다.✔
-------------------------------------------------------------------------
20차시 (인증 서버 구성)
SSID(Serivce Set Identifier)
다수의 무선 네트워크를 구별하기 위해 사용하는 문자인 SSID는
기본 설정이 Default로 되어 있기 때문에 실제 네트워크에서 동작하는 무선 랜을 구축하고자 한다면 반드시 이 값을 변경하여야 한다.
또한 SSID를 이용하여 무선 라우터의 부하 분산을 할 수 있어 특정 무선 라우터에 무선 트래픽이 몰리는 현상을 방지할 수 있는 장점이 있다.
AAA 서버
AAA 서버는 인증 서버로 동작하며, 어떠한 프로토콜을 사용하느냐에 따라 인증 방식이 달라진다.
회사에서는 인트라넷 서버와 계정 정보를 연동하고, 대학교의 경우에는 종합정보시스템과 계정 정보를 연동한다.
Radius 인증
RADIUS 인증은 AAA 서버에서 사용하는 인증 프로토콜이며, 인증은 무선 인증 뿐만 아니라 장비 인증에도 사용될 수 있다.
Q.무선 라우터에 접속할 때 인증을 받지 않고 접속하면 더 편리 하고 접속이 빠를 것 같은데 왜 인증을 수행하나요?
무선 네트워크는 유선 네트워크와 달리 케이블을 연결하지 않아도 되는 장점이 있는 반면,
데이터 전송을 무선 매체를 사용하기 때문에 보안에 많이 취약합니다.
물론 무선 라우터 접속 시, 인증을 하지 않으면 인증에 걸리는 시간이 줄어들고 절차가 생략되어 편할 수는 있겠지만,
이는 회사 전체 네트워크 보안을 심각하게 위협하는 요인으로 작용될 수 있습니다.
따라서 무선 네트워크가 구성되면 반드시 인증 서버를 통해 인증을 실시하여 아무 사용자나 무선 네트워크에 접속할 수 없도록 해야 합니다.
인증은 한 번만 받으면 인증 내용이 저장되어 다시 인증을 받지 않도록 구성할 수도 있습니다.
--
AAA는 인증(Authentication), 권한 부여(Authorization), 계정 관리(Accounting)를 의미한다.
TACACS+는 TCP 49번을 사용하여 통신한다.
무선 라우터에 설정되는 SSID는 32글자를 넘길 수 없습니다.
--
무선 네트워크 인증을 위한 AAA 프로토콜
- 무선 라우터 보안 설정 기본
✔다수의 무선 네트워크를 구별하기 위해 SSID(Serivce Set Identifier) 문자를 사용한다.
✔인접한 무선 라우터와 같은 채널을 사용하지 않는 것이 좋으며, 특정 무선 라우터의 경우는 자동으로 채널 설정을 변경하기도 하고, 무선 네트워크 구간을 모니터링한다.
✔무선 보안(Wireless Security)에서는 다양한 방법을 통해 무선 보안을 설정 할 수 있고, 패킷트레이서에서 지원하는 무선 라우터인 WRT300N을 기준으로 보면 WEP(Wired Equivalent Privacy)과 WPA(WI-FI Protected Access) 사용한다.
✔WEP 공유 키 암호화의 경우 일반적인 무선 보안으로 사용되기도 하나, 암호화를 위해 사용되는 알고리즘 해석이 가능하다는 단점이 있다.
✔WEP 공유 키는 확장성에도 문제가 있기 때문에 이를 사용하기 보다는 WPA를 사용하면서 이와 연계된 TKIP(Temporal Key Integrity Protocol) 암호화 알고리즘과 AES(Advanced Encryption Standard)를 개발하였다.
- AAA 프로토콜이란 AAA는 인증(Authentication), 권한 부여(Authorization), 계정 관리(Accounting)을 의미한다.
무선 네트워크 인증 절차
- RADIUS를 기반으로 하는 무선 보안 설정 기본
✔AAA의 기능을 구현하기 위하여 여러 인증 프로토콜이 사용될 수 있다.
✔RADIUS, TACACS+ 등의 여러 프로토콜이 사용될 수 있다.
인증기반 유·무선 네트워크 구축
유RADIUS를 기반으로 하는 무선 보안 설정 기본
Switch0
Switch(config)#vlan 10
Switch(config-vlan)#name VLAN_10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name VLAN_20
Switch(config-vlan)#int fa0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#intfa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
-------------------------------------------------------------------------
21차시 (네트워크 보안을 위한 접근제어 목록 1)
ACL
라우터는 출발지 주소와 목적지 주소를 참고하여 라우팅 테이블을 기초해 패킷을 전달 하는 장치이며,
ACL은 이러한 주소를 기반으로 하여 만든 패킷 출입 통제 문장이다.
ACL을 이용하면 IP 주소 기반으로 패킷의 전달 여부를 통제할 수 있을 뿐만 아니라 특정 프로토콜을 사용하는 패킷을 전달하지 않을 수 있는데,
이러한 일련의 과정을 패킷 필터링(Packet Filtering)이라고 한다. 즉 ACL은 L3 장치인 라우터를 기반으로 패킷 필터링을 하는 것이다.
Standard ACL
ACL을 사용하여 라우터에서 패킷 필터링을 수행할 때, 출발지의 IP 주소만을 확인하는 방식을 말한다.
그러나 IP 주소를 막을 경우, IP 주소를 기반으로 하는 모든 통신이 막히게 되는 결과를 가져오기 때문에 사용상 주의 하여야 한다.
Extended ACL
ACL을 사용하여 라우터에서 패킷 필터링을 수행할 때, 출발지와 목적지의 IP 주소는 물론,
Port 번호까지 확인하여 패킷을 전달 할 수도 있고 전달하지 않을 수도 있다.
Q.ACL(Access Control List)는 꼭 라우터에서만 설정되어야 하나요?
ACL은 일반적으로 라우터에서 패킷을 전달할 것인지, 아니면 전달하지 않을 것인지를 문장으로 정해놓고 라우터가 이를 실행하는 것을 말합니다.
그런데 L3 장치인 라우터는 IP 주소를 기반으로 패킷을 전달하는 장치 이므로, IP 주소와 포트 번호를 기반으로 패킷을 제어할 수 있습니다.
반면 L2 스위치의 경우는 MAC 테이블을 기반으로 MAC 주소를 사용하여 Frame을 전달합니다.
이러한 경우에 스위치에 MAC 기반의 ACL을 사용할 수 있습니다.
따라서 ACL이 꼭 라우터에서만 설정되어야 하는 것은 아니며 스위치에서도 필요에 따라 얼마든지 설정하여 사용할 수 있습니다.
ACL(Access Control List) 동작
ACL 이란?
라우터는 출발지 주소와 목적지 주소를 참고하여 라우팅 테이블을 기초해 패킷을 전달하는 장치이며, ACL은 이러한 주소를 기반으로 하여 만든 패킷 출입 통제 문장이다.✔
ACL을 이용하면 IP 주소 기반으로 패킷의 전달 여부를 통제할 수 있을 뿐만 아니라 특정 프로토콜을 사용하는 패킷을 전달하지 않을 수 있는데, 이러한 일련의 과정을 패킷 필터링(Packet Filtering) 이라고 한다.✔
특정 프로토콜을 사용하는 패킷의 전달 유무는 포트 번호를 기반으로 한다.✔
ACL을 사용하는 목적은 라우터 보안 이기도 하지만, 네트워크의 트래픽을 제어하는 목적도 있다.✔
네트워크 트래픽은 2가지가 존재하는데 하나는 들어오는 트래픽(Inbound Traffic)이며, 또 다른 하나는 나가는 트래픽(Outbound Traffic)이다.✔
ACL은 패킷이 나가거나 들어오는 방향에 관리자가 선택한 라우터 인터페이스에 설정 된다.✔
Inbound Traffic는 패킷이 라우터 내부로 들어올 때 Filtering 여부를 결정한다.✔
Outbound Traffic는 패킷이 라우터 외부로 나갈 때 Filtering 여부를 결정한다✔
ACL(Access Control List) 종류
1. Standard Access-list는 단순히 Source IP 주소만을 판단해 Traffic을 제어하고자 할 때 사용하며, ACL 번호로 1-99번, 1300-1999 사이의 번호를 사용한다.
특정 프로토콜을 사용하는 패킷을 제어할 수 없는데 이유는 단순히 Source IP 주소만 판단해 Traffic을 제어한다.
Permit 이면 패킷을 전송하고, Deny면 패킷을 드롭 시켜 흐름을 차단한다.
2. Extended Access-list는 출발지와 목적지의 IP 주소 모두를 조건으로 보고 제어한다.
이와 더불어 IP, TCP, UDP, ICMP등의 상세 프로토콜을 선택해서 제어할 수 있다.
ACL 번호로 100-199번, 2000-2699 사이의 번호를 사용한다.
3. Named Access-list는 번호를 사용하지 않고 관리지가 정한 이름을 사용하여 Access-list를 정의한다.
Named standard Access-list와 Named Extended Access-list 두 종류가 있으며,
Standard와 Extended의 특성은 똑같고, 단지 이름 정의를 하여 사용한다는 점만 다르다.
Standard ACL(Access Control List) 설정 방법
Standard ACL 기본 설정
✔R1(config)#access-list
{permit|deny} source [mask]
1 : list-number는 1-99, 또는 1300-1999 사이의 번호를 사용한다.
2 : permit|deny는 패킷을 전달할지 드롭 시킬지 결정한다.
3 : 출발지 주소 입력한다.
4 : 출발지 주소의 와일드카드마스크 입력한다.
✔R1(config)#interface serial 0/2/0
R1(config)#ip access-group {in | out}
1 : access-list-number를 사용하여 앞서 작성한 ACL을 불러온다.
2 : in | out 에서 in은 패킷이 들어오는 것이고, out 은 패킷이 나가는 것을 의미한다.✔
-------------------------------------------------------------------------
22차시 (네트워크 보안을 위한 접근제어 목록 2)
Standard ACL
Standard ACL은 표준 ACL이라고도 불리며, 표준 ACL은 출발지의 주소만 정의하기 때문에 여러모로 단점이 많다.
ACL은 트래픽을 제어하거나 정의하는 기능이 있는데, Standard ACL의 경우는 트래픽 제어보다는 정의하는데 그 쓰임새가 많다.
Extended ACL
Extended ACL은 확장 ACL이라고도 불리며, 확장 ACL은 출발지 주소, 목적지 주소, 포트번호를 기반으로 패킷을 전달하거나 전달하지 않도록 한다.
Standard ACL에 비해서 더 세밀하게 패킷을 선택할 수 있다.
ACL 문장의 중간 삽입
숫자를 기반으로 하는 표준 ACL 이나 확장 ACL의 경우, ACL 문장을 작성하고 난 후에, ACL 문장의 중간 삽입이 되지 않는다.
그러나 Named 를 기반으로 하는 표준이나 확장 ACL의 경우에는 문장을 작성하고 난 이후에, 중간 삽입이 가능한 장점이 있다.
Q.Access-list를 작성하다가 중간에 내용이 빠졌을 경우, 다시 처음부터 작성을 해야 하나요?
표준 ACL은 출발지의 주소만 정의하기 때문에 중간에 내용이 빠졌어도 다시 작성하는 것에 무리가 없을 수 있지만,
확장 ACL의 경우에는 프로토콜, 출발지, 목적지 주소를 참고하여 작성하기 때문에 표준 ACL 보다 훨씬 복잡하고 많은 문장이 작성될 수 있다.
ACL은 순차적으로 실행되기 때문에 범위가 좁은 네트워크에 대한 ACL 문장이 먼저 작성되어야 하는 특징이 있는데, 이렇게 ACL을 작성하다 보면 ACL을 잘못 작성하는 경우가 있다.
이 경우, 다 지우고 다시 작성해야 한다면 번거로운 작업이 될 것이다. 그러나 Named ACL을 작성하는 경우에는 문장과 문장 사이에 중간 문장을 삽입할 수 있다.
그래서 Named ACL이 ACL을 작성하는데 있어서는 훨씬 더 수월하다.
Extended ACL(Access Control List) 설정
확장 ACL은 출발지 주소 뿐만 아니라 목적지 주소 및 프로토콜까지 제어할 수 있기 때문에 표준 ACL 보다 훨씬 넓은 범위의 제어 기능을 제공한다.
ACL 문장을 선언한 후에는 라우터의 어떤 인터페이스에 적용 할 것인지 및 들어오는 트래픽에 적용 할 것인지, 아니면 나가는 트래픽에 적용할 것인지도 같이 선언이 되어야 한다.
만약 ACL 만 작성하고, 어떤 인터페이스에 어떤 트래픽에 대해 적용 할지가 설정되지 않으면 ACL은 동작하지 않는다.
Extended ACL은 TCP와 UDP를 포함하여 많은 서비스 포트들을 제어할 수 있으므로, 제어하고자 하는 프로토콜의 특성을 잘 알고 있어야 한다.
문장을 작성하고 난 이후에는 문장의 추가 삽입이 되지 않으므로 작성 시 신중하게 작성 하도록 한다.
Named ACL(Access Control List) 설정
1. Named ACL은 두 가지 종류가 존재 하는데 하나는 Named Standard ACL 이고, 다른 하나는 Named Extended ACL 이다.
2. Named Standard ACL은 Standard ACL과 동일하지만 번호 대신 문자를 정의하여 사용한다는 점이 다르며, Named Extended ACL은 Extended ACL과 동일하지만 번호 대신 문자를 정의하여 사용한다는 점이 다르다.
✔ Named Standard ACL은 아래의 형식으로 작성된다 (R1에 설정해보자)Router(config)#ip access-list standard infocomm
Router(config-std-nacl)#permit host 1.1.1.3
Router(config-std-nacl)#deny any
Router(config-std-nacl)#exit
Router(config)#int gi0/0
Router(config-if)#ip access-group infocomm in
✔ Named Extended ACL은 아래의 형식으로 작성 된다 (R3에 설정해보자)Router(config)#ip access-list extended ping
Router(config-ext-nacl)#deny icmp host 3.3.3.2 host 1.1.1.1
Router(config-ext-nacl)#deny icmp host 3.3.3.2 host 1.1.1.2
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#int gi0/0
Router(config-if)#ip access-group ping in
Standard, Extended, Named ACL 비교
- Standard, Extended, Named ACL 정의
표준ACL : 출발지 IP 주소만 참조하여 패킷을 필터링 한다.
확장ACL : 출발지 및 목적지 IP 주소와 TCP, UDP, 포트 번호를 참조하여 패킷을 필터링 한다.
Named 표준 ACL : 표준 ACL과 같으며, ACL 선언 시 번호가 아닌 사용자 설정 값을 사용한다.
Named 확장 ACL : 확장 ACL과 같으며, ACL 선언 시 번호가 아닌 사용자 설정 값을 사용한다.
- Named ACL은 하나의 Name안에 룰 생성 시 10, 20, 30 단위로 생성 (show access-list 해보면 알 수 있음)
그래서 중간에 삽입 하고 싶은 경우
ip access-list extended 'Name명'
15 permit tcp any host 203.230.7.1
#이런 식으로 추가 해줄 수 있다.
-------------------------------------------------------------------------
23차시 NAT(Network Address Translation) 및 PAT(Port Address Translation)
동적 NAT
동적 NAT는 사설 IP 주소와 공인 IP 주소를 1:1로 할당 하는 방법으로 주소를 변환시키는 기술이다.
그러나 사설 IP 주소 만큼 공인 IP 주소를 가지고 있어야 한다는 단점이 있고,
공인 IP 주소가 충분하면 굳이 IP 주소 변환을 해야 할 필요성이 없기 때문에 효율적이지는 못한 방법이긴 하나,
NAT 테이블의 변환 정보를 관리자가 직접 지정하고 관리할 수 있는 장점이 있다.
정적 NAT
정적 NAT는 사설 IP 주소를 공인 IP로 변화 하는 기술이며, 동적 NAT와 달리 1:1로 변환 하는 방식은 아니다.
사설 IP의 개수가 공인 IP의 개수보다 많다고 하더라도, 모든 사설 IP를 가진 장치가 외부와 통신하지 않는다면 외부와의 통시에 문제가 없다.
그러나 외부와의 통신이 원할 하도록 충분한 공인 IP 주소를 확보하고 있어야 한다.
PAT
한 개의 공인 IP를 사용하여 모든 사설 IP 장치들이 네트워크에 접속할 수 있도록 한다.
IP 주소 한 개로 최대 65535개의 사설 IP 주소를 가진 장치가 네트워크에 접속할 수 있다.
Q.NAT(Network Address Translation)은 꼭 필요한 기술인가요?
NAT는 사설 IP 주소를 사용하는 네트워크에서도 공인 IP 주소를 사용하는 네트워크와 통신할 수 있도록 해주는 기술입니다.
이 기술을 사용하면 사설 IP 주소는 많고 공인 IP 주소가 사설 IP 주소 만큼 없을 때 외부 네트워크와 통신할 수 있도록 해주는 장점이 있지만,
Dynamic NAT에서 사용자가 많이 몰리거나 정적 NAT를 사용하는 경우라면, 1:1로 IP 주소를 변환해야 하기 때문에 오히려 비용이나 네트워크 지연이 늘어나는 결과를 얻을 수 있습니다.
그래서 PAT를 기반으로 NAT를 주로 하는데요, 공인 IP 주소 1개를 가지고 최대 65535개의 사설 IP를 사용하는 장비들을 외부 네트워크와 통신할 수 있도록 해줍니다.
IP 주소가 부족한 IPv4 환경에서는 IP 주소의 효율적인 사용과 비용 절감 등을 위해 꼭 필요한 기술이라고 생각하시면 됩니다.
NAT란 무엇인가?
NAT(Network Address Translation)은 DHCP와 마찬가지로 IPv4 환경에서 주소 활용도를 높일 수 있는 기술이다.
IP 주소는 사설 주소와 공인 주소로 나뉘어 진다.
사설 IP 주소는 사설 네트워크 구간에 할당할 수 있는 IP 주소이며, 이 주소를 사용하여 외부 네트워크와 통신할 수 없다.
공인 IP 주소는 인터넷과 같은 공중 네트워크에서 사용될 수 있지만, 주소가 중복되면 안된다.
사설 IP 주소는 사설 네트워크 구간에서 사용할 수 있는 주소로 할당에 따른 비용이 발생하지 않지만, 공인 IP 주소는 할당에 따른 비용이 발생된다.
NAT는 사설 네트워크에서 통신할 때는 사설 IP 주소를 사용하지만, 사설 IP 주소를 쓰는 장치가 공중 네트워크로 통신할 때는 사설 IP 주소를 공인 IP 주소로 변환한다.
내부 IP 주소를 숨김으로써 Network Privacy 증가한다.
NAT를 사용하면 사설 네트워크에서 공인 IP를 사용하지 않고도 통신을 할 수가 있는데, 이는 곧 주소 비용의 절감을 의미한다.
PAT란 무엇인가?
유선이나 무선 공유기에 많이 사용되는 방식이다.
한 개의 공인 IP를 사용하여 모든 사설 IP 장치들이 네트워크에 접속할 수 있도록 한다.
내부나 외부 네트워크의 호스트 및 포트 사이에 이루어지는 TCP 또는 UDP 통신을 변환해주는 네트워크 장비의 기능이다.
PAT 방식을 사용하면 공인 IP 주소 한 개로 최대 65535개의 사설 IP 주소를 가진 장치가 네트워크에 접속할 수 있다.
그러나 PAT 방식을 사용하여 네트워크에 접속할 수 있는 사설 IP 주소를 가진 장치개수는 네트워크 장비 제조 업체가 설정해 놓은 값을 기반으로 정해진다.
PAT는 IP 주소를 기반으로 포트 변환을 통해 NAT를 시행하므로, NAT를 사용하는 것 보다 IP 추적이 더 어렵다.
NAT 및 PAT 구성
정적 NAT 구성하기
R1(config)#ip nat inside source static 192.168.1.2 203.230.7.3✔
R1(config)#int s0/2/0✔
R1(config-if)#ip nat outside✔
R1(config-if)#int gi0/0✔
R1(config-if)#ip nat inside✔
동적 NAT 구성하기
R1(config)#ip nat pool cisco 203.230.7.7 203.230.7.15 netmask 255.255.255.0✔
R1(config)#ip nat inside source list 100 poolcisco✔
R1(config)#access-list 100 permit ip host 192.168.1.2 150.183.235.0 0.0.0.255✔
R1(config)#int se0/2/0✔
R1(config-if)#ip nat outside✔
R1(config-if)#exit✔
R1(config)#int gi0/0✔
R1(config-if)#ip nat inside✔
PAT 구성하기
R1(config)#ip nat inside source list 100 interface se0/2/0 overload✔
R1(config)#access-list 100 permit ip host 192.168.1.2 150.183.235.0 0.0.0.255✔
R1(config)#int se0/2/0✔
R1(config-if)#ip nat outside✔
R1(config-if)#exit✔
R1(config)#int gi0/0✔
R1(config-if)#ip nat inside✔
확인명령어
show ip nat translation
- 주소변환 테이블 확인
show ip nat statistics
- 주소변환 횟수, 인-아웃사이드 인터페이스 정보 확인
-------------------------------------------------------------------------
24차시 (IPv6 및 IPv6 Routing)
IPv6
IPv6는 128비트의 크기와 16진수를 사용하여 주소를 표현하는 방식이다.
이 방식이 나온 이유는 기존의 IPv4 주소가 부족하여서 이를 해결할 방법을 찾기 위해서 나온 것인데요,
'2의 128승' 개의 주소를 가지고 있는 IPv6는 현재 IPv4의 유일한 대한으로 평가 받고 있으며, 실제 네트워크에서도 많이 사용하고 있는 주소 입니다.
RIPng
RIPng는 IPv6주소를 기반으로 동작하는 RIP이라고 이해해주시면 된다.
동작 방식은 IPv4와 별반 다르지 않지만, IPv6 주소의 특징에 의해서 약간씩 틀린 부분도 있다.
OSPFv3
OSPFv3은 IPv6주소를 기반으로 동작하는 OSPF 라우팅 프로토콜이다.
OSPF는 표준 라우팅 프로토콜로써, 현재 IPv4에서 중요하게 다루는 라우팅 프로토콜인데,
이 라우팅 프로토콜은 IPv6환경 에서도 중요한 역할을 하게 된다.
Q.IPv6를 사용하지 않고 계속 IPv4를 사용할 수는 없나요?
IPv4 주소는 10 진수를 사용하고 32비트로 표현됩니다. 그렇기 때문에 주소의 개수가 한정적일 수 밖에 없습니다.
지금 처럼 집에서 TV, 전화기, 냉장고, 스마트폰, 노트북, PC등 End-Device가 늘어가는 상황에서 도저히 IPv4 환경에서는 IP를 할당할 수 없게 되었습니다.
그러나 IPv4에서도 서브넷팅, VLSM, DHCP, NAT 등의 IPv4 주소를 효율적으로 사용하는 방법이 있었기 때문에 지금까지 버텨 왔는데요,
이제는 그 마저도 힘든 상황에 놓여졌습니다. 그래서 IPv4에서 IPv6로 점차 넘어 가고 있는 상황에 있고요,
안타깝게도 IPv4를 계속해서 사용할 수 있는 시기는 이제 얼마 남지 않은 듯 합니다.IPv6는 IPv4의 단점도 보완하고 여러 면에서 향상된 성능을 제공합니다.
IPv6의 구조
128 비트의 주소 공간
유니캐스트(Unicast), 애니캐스트(Anycast), 멀티캐스트(Multicast) 주소 형태이다.
주소 자동 생성 기능을 지원한다.
새로운 헤더 포멧한다.
향상된 서비스를 지원한다.
IPv6 헤더 내에 플로우 레이블(Flow Label)필드를 정의한다.
보안 기능을 탑재한다.
IPv6 주소 축약
주소 표기
16진수 콜론 표기법(Hexadecimal colon notation)✔
128비트를 16비트씩 8개의 필드로 나누어 콜론(:)으로 구분한다.
예) BEAF:2002:0221:F207:0000:0000:FFFF:4002✔
주소 생략법
“0”의 값을 포함하는 주소에 대한 주소 생략법이다.✔
각 필드에서 선행하는 0은 생략한다.
예) 0221은 221로, 00AB는 AB로, 0000은 0으로 생략 가능하나 뒤에 나오는 0은 생략 불가하다.
BEAF : 2002 : 0221 : F207 : 0000 : 0001 : FFFF : 4002
=> BEAF : 2002 : 221 : F207 : 0 : 1 : FFFF : 4002✔
0으로만 나타난 연속된 필드는 0을 모두 삭제하고 2개의 콜론(이중콜론)으로 나타낸다.
“::”기호를 사용하는 경우 주소당 한 번만 허용✔
“::”는 주소 내에서 선행과 후행에 관계없이 사용
예) BEAF : 0 : 0 : 0 : 0 : ABCD : 0 : FFFF
=> BEAF :: ABCD : 0 : FFFF✔
IPv6 라우팅
RIPng(RIP next-generation) 설정RIPng는 RIP의 IPv6 버전이다.✔
라우팅 업데이트를 위하여 FF02::9를 사용하고 UDP 521번을 사용한다.✔
RIPng는 RFC 문서 2080번에 정의되어 있다.✔
Distance Vector 알고리즘을 사용한다.✔
동작 내용 등은 RIPv2를 기반으로 한다.✔
RIPng 설정 시, Process-ID를 제공하기 때문에 여러 개의 RIPng를 구현할 수 있다.✔
RIPv2는 Auto-summary 기능을 사용하는데 비해서 IPv6는 메이저네트워크의 개념이 없으므로 Auto-summary 기능이 아예 없다.✔
OSPFv3 설정OSPFv3는 OSPF의 IPv6 버전이다.✔
OSPFv3 프로토콜 동작은 앞에서 학습한 OSPFv2 프로토콜과 유사하다.✔
-------------------------------------------------------------------------
25차시 VoIP(Voice over Internet Protocol)
VoIP
인터넷 전화 또는 IP 전화로도 불리며, 인터넷을 기반으로 음성이나 영상 통화를 할 수 있는 통신 기술을 의미한다.
일반적인 유선전화 PSTN(Public Switched Telephony Network)을 사용하기 때문에 사용량에 따라 요금이 부과되는 시스템이지만,
VoIP는 음성 통신을 인터넷 망으로 흡수하여 통신 비용을 절감하는데 목적이 있으므로 훨씬 저렴하다.
또한 VoIP를 위하여 장비를 추가 하는 것이 아니라 이미 구성되어 있는 장비를 활용하므로 구축 비용이 상대적으로 저렴하다는 장점이 있다.
음성 코덱
압축되지 않은 음성은 용량이 크기 때문에 그대로 네트워크를 통해 전송하면 네트워크에 부하를 줄 수 있다.
코덱을 사용하는 이유는 이러한 네트워크 부하를 줄이고 효율적인 VoIP 통신을 지원함에 있으며,
코덱은 하드웨어 코덱과 소프트웨어 코덱으로 나뉜다.
Voice Gateway
Voice Gateway는 VoIP를 지원하는 라우터가 주로 맡는 역할이다.
Voice Gateway를 통해 다른 장치와 음성 통화를 할 수 있고 전화번호를 할당 받을 수 있다.
Q.VoIP와 일반 전화와 차이점이 있다면 무엇일까요?
VoIP는 인터넷을 통해 데이터로 변환된 음성 또는 영상을 주고 받는 기술을 의미합니다.
이에 반하여 일반적인 유선전화는 PSTN(Public Switched Telephony Network)을 사용하기 때문에 사용량에 따라 요금이 부과되는 시스템으로 이루어져 있습니다.
VoIP는 음성 통신을 인터넷 망으로 흡수하여 통신 비용을 절감하는데 목적이 있으며, VoIP를 위하여 장비를 추가 하는 것이 아니라 이미 구성되어 있는 장비를 활용하므로 구축 비용이 상대적으로 저렴하다는 장점이 있습니다.
그러나 PSTN은 구축 비용이 저렴하지 않습니다.
또한 현재는 스마트폰에서도 VoIP를 사용할 수 있는 mVoIP(Mobile Voice over Internet Protocol) 개념으로, 무선 인터넷 망이나 WIFI 네트워크를 이용한 무료 음성통화 서비스도 많이 활성화 되어 있습니다.
Q1
MOS 값이 높을 수록 통화 품질이 좋다.
MOS(Mean Option Score) 값이 높을 수록 통화품질이 좋으며 MOS 값은 1~5 사이의 숫자 이다.
Q2
PCM 알고리즘을 사용하는 코덱은?
G.711은 PCM 알고리즘을 사용하는 코덱이다.
Q3
대부분의 VoIP 벤더들이 사용하는 기본 코덱은?
대부분의 VoIP 벤더들이 사용하는 기본 코덱은 g.729a이다.
VoIP란?
인터넷 전화 또는 IP 전화로도 불린다.
인터넷을 기반으로 음성이나 영상 통화를 할 수 있는 통신 기술을 의미한다.
일반적인 유선전화 PSTN(Public Switched Telephony Network)을 사용하기 때문에 사용량에 따라 요금이 부과되는 시스템이다.
VoIP는 음성 통신을 인터넷 망으로 흡수하여 통신 비용을 절감하는데 목적이 있다.
VoIP를 위하여 장비를 추가 하는 것이 아니라 이미 구성되어 있는 장비를 활용하므로 구축 비용이 상대적으로 저렴하다는 장점이 있다.
현재는 스마트폰에서도 VoIP를 사용할 수 있는 mVoIP(Mobile Voice over Internet Protocol) 개념으로, 무선 인터넷 망이나 WIFI 네트워크 기반의 무료 음성통화 서비스를 가르킨다.
ex) 카카오의 보이스톡, 스카이프 등…
VoIP(Voice over Internet Protocol) 기술은 인터넷 전화로 많이 알려져 있으며, 아날로그 음성 정보를 데이터 패킷으로 변환하고 이 패킷을 실시간 처리하는 방식이다.
VoIP 동작
VoIP 통신을 위해서는 음성신호를 받아 들여서 데이터 신호로 변환시켜 주는 장치가 필요하며, 이러한 장치를 Voice Gateway라고 한다.
VoIP 설정
VoIP 설정R1(config)#telephony-service✔
R1(config-telephony)#max-ephones 1✔
R1(config-telephony)#max-dn 1✔
R1(config-telephony)#ip source-address 203.230.7.1 port 2000✔
R1(config-telephony)#auto assign 1 to 1✔
R1(config-telephony)#exit✔
R1(config)#ephone-dn 1✔
R1(config-ephone-dn)#number 1001✔
= 위 설정만 하면 같은네트워크에서만 전화가 됨.
-
VOIP 설정 방법 메모할거 많음 (강의 다시 보자)
라이센스등록, 다른네트워크 전화 등
라이센스등록
show version
- uc에 대한 라이센스가 있어야함
uc None None None
1. 라이센스등록방법
conf t
license boot module c2900 technology-package uck9
- ACCEPT? [yes/no] yes
wr
reload
show version
- uc uck9 Evaluation uck9
2. 전화 설정 (같은네트워크 구간, HOST=2)
telephony-service
max-ephones 2
max-dn 2
ip source-address 192.168.10.1 port 2000
auto assign 1 to 1
auto assign 1 to 2
!
ephone-dn 1
number 1001
!
ephone-dn 2
number 1002
2-1. 전화설정 (상대네트워크 구간)
telephony-service
max-ephones 1
max-dn 1
ip source-address 192.168.10.1 port 2000
auto assign 1 to 1
!
ephone-dn 1
number 2001
3. 다른 네트워크간 전화 라우팅 설정
- (같은네트워크 구간의 보이스 게이트웨이)
dial-peer voice 1001 voip
destination-pattern 1001
session target ipv4:192.168.10.1
exit
dial-peer voice 1002 voip
destination-pattern 1002
session target ipv4:192.168.10.1
- (상대 네트워크 구간의 보이스 게이트웨이)
dial-peer voice 2001 voip
destination-pattern 2001
session target ipv4:192.168.1.1
---- 아래는 해설
(해설) = 세션 타겟이 상대의 [디폴트 게이트웨이] 이다. NAT환경의 사설IP의 경우 ISP를 경유하여 설정 가능 여부는 확인이 필요함.
(해설) = 다른 네트워크를 넘어 갈 수 있다는 것 확인. (port는 상호 [2000] 동일 해야함)
dial-peer voice 1002 voip
destination-pattern 1002 (목적지 전화번호지정)
session target ipv4:200.1.1.2 (목적지 전화번호 2002의 Voice Gateway IP)
= 200.1.1.2가 상대 보이스 서버 IP임 (1002, 1002의 Voice Gateway 지정)
-------------------------------------------------------------------------
26차시 (네트워크에서 동작하는 각종 서버)
TFTP 개요 (PORT = UDP 69)
RRQ : 클라이언트가 서버에게 데이터전송 받기 위한 세션 설정 요청
WRQ : 데이터 전송을 위한 세션 설정
DATA : 데이터 블록 전송을 위해 사용
ACK : 응답, 서버, 클라이언트 모두 사용
ERROR : 오류 발생시 사용
( 5개의 메시지를 사용)
a. 클라이언트에서 RRQ 메시지를 이용하여 TFTP 서버에 세션 연결 요청
b. 클라이언트로 부터 RRQ 메시지를 받은 TFTP서버는 세션 연결 요청 검토 후, 오류 판단 후 오류가 있으면 ERROR 전송, 오류가 없으면 TFTP 세션을 설정함 (WRQ인거같음)
c. 세션이 연결된 상태에서 DATA 메시지를 이용하여 첫 번째 데이터 블록부터 전송을 시작함
d. 전송이 완료되면 TFTP 세션 연결을 종료해야 하는데, TFTP 종료를 위한 별도의 메시지가 없음, (512바이트보다 작은 크기의 블록을 전송하여 전송을 마무리함.)
데이터 분실 관련된 오류제어도 원리
- 모든 DATA 및 ACK 메시지에 대하여 송신 측에서 타임아웃 기능수행
- 만약 DATA 와 ACK 메시지를 분실하면, 송신자가 타임아웃 기능을 수행
- 타임아웃 기능은 해당 메시지를 재전송해야 함을 의미
---
업로드
copy running-config tftp:
= 그러면 IP입력하라고 뜸, 서버 IP입력하면 됨.
예시)
Router#copy running-config tftp:
Address or name of remote host []? 192.168.10.100
Destination filename [Router-confg]? R2-config
Writing running-config....!!
[OK - 1597 bytes]
1597 bytes copied in 3.108 secs (513 bytes/sec)
---
초기화
Router#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
Router#reload
---
다운로드
Router#copy tftp: running-config
Address or name of remote host []? 192.168.10.100
Source filename []? R2-config
Destination filename [running-config]?
Accessing tftp://192.168.10.100/R2-config...
Loading R2-config from 192.168.10.100: !
[OK - 1597 bytes]
1597 bytes copied in 0 secs
Router#%LINK-3-UPDOWN: Interface ephone_dsp DN 1.1, changed state to up
%LINK-3-UPDOWN: Interface ephone_dsp DN 2.1, changed state to up
%SYS-5-CONFIG_I: Configured from console by console
Router# [ 불러오고나서 no shutdown 은 해줘야함, 인터페이스 활성화는 안시켜줌 ]
----
IOS 펌웨어, 업데이트 <-> 다운그레이드
- 시나리오 : 운영체제가 있는 상태에서 운영체제 업데이트 하기
1. 플레쉬 메모리 확인하기
명령어 : show flash:
Router#show flash:
System flash directory:
File Length Name/status
3 33591768 c2900-universalk9-mz.SPA.151-4.M4.bin
2 28282 sigdef-category.xml
1 227537 sigdef-default.xml
[33847587 bytes used, 221896413 available, 255744000 total]
249856K bytes of processor board System flash (Read/Write)
2. 플레쉬 메모리의 펌웨어 삭제하기
명령어 : delete flash:
Router#delete flash:
Delete filename []?c2900-universalk9-mz.SPA.151-4.M4.bin
Delete flash:/c2900-universalk9-mz.SPA.151-4.M4.bin? [confirm]
Router#show flash:
System flash directory:
File Length Name/status (IOS 없음)
2 28282 sigdef-category.xml
1 227537 sigdef-default.xml
[255819 bytes used, 255488181 available, 255744000 total]
249856K bytes of processor board System flash (Read/Write)
# 삭제해도 현재 운영체제는 [램] 에 올라가있기때문에 재부팅 전까지는 현재 운영체제를 사용 가능. (재부팅 후 rommon 모드 진입)
= show version 과 show flash 를 비교 확인 해보면 알수 있음 (Flash의 OS를 삭제하고, 최신OS 파일을 Flash에 올려도, show version의 OS는 재부팅 하기전까지 구버전의 OS임)
= rommon 모드에서 업데이트 하는방법은 모름, TFTP서버 혹은 설치할 IOS가 해당 장비 기종과 연동되는지 명확히 확인을 해야함.
2. 플레쉬 메모리에 IOS펌웨어 다운받기 (TFTP)
1-1. 명령어 : copy tftp: flash:
1-2. IP 입력하고 엔터
1-3. 파일 이름 입력하고 엔터 (c2900-universalk9-mz.SPA.151-4.M4.bin)
# 패킷트레이서로 실습해보셈
-----
Syslog 서버 (PORT = UDP 514) (라우터에 Syslog 서버 지정)
- RFC 5424 번에 자세하게 기술 되어있음
Router(config)#logging on
Router(config)#loggin host 192.168.10.100
인터페이스 shutdown 했다가 no shutdown 한다음, syslog 서버로 가보면 이벤트가 수신되어있음.
-----
NTP 서버 (라우터에 NTP 서버 지정)
명령어 : ntp server 192.168.10.100
예시)
Router#show clock
*0:22:16.130 UTC Mon Mar 1 1993
Router#
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ntp server 192.168.10.100
Router(config)#end
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show clock
*17:21:4.789 UTC Sun Jun 16 2019
Router#
----- 종강
