interplanetary detour

위와 같은 Topology에서 네트워크 인터페이스로 Static Routing을 해줄 경우

Proxy-ARP를 끄면 intranet 내부에서 MAC Address를 전달할 수 없다.

Proxy-ARP란 직접 연결된 라우터를 통해 MAC Address를 전달하고 받을 수 있게 하는 것인데,

주로 사용하지 않고 꺼 놓는다.

그렇다면 next-hop ip로 Static Routing을 해준다면 문제가 없을까?

그렇지도 않다. 왜냐하면 라우터에서 라우팅 처리를 해줄 때 출구 인터페이스가 잡혀있지 않으면

Routing Table을 두 번 돌면서 확인하는 Recursive Lookup을 해야 하기 때문에

실무에서는 처리 속도에서 큰 손실이 야기될 수 있기 때문이다.

그래서 결론은 무엇인가? 그냥 둘 다 잡아주는 것이다.

예전엔 이게 불가능했다고 하지만 New IOS에서부터 가능해졌다고 한다.

간단한 예시를 들면

ip route 192.168.10.0 255.255.255.0 e0/1 172.16.1.20

이렇게 사용하는 것이 정석이라고 보면 되겠다.

AS (Autonomous System) in Dynamic Routing

개별 라우팅 테이블의 데이터 적재를 줄이고 CPU 자원을 확보하여 효율을 높이기 위해 만들어진 여러 네트워크들의 묶음 또는 집합.

IGP(Internal Gateway Protocol) (AS 내에서)

AS 안에서 라우팅 테이블을 만드는 역할을 수행한다.

IGP에는 IGRP, RIP, OSPF 등 여러가지 프로토콜이 있다.

EGP(External Gateway Protocol) : BGP (AS 사이에서)

서로 다른 AS 사이에서 라우팅 테이블의 값을 공유하게 하는 역할을 수행한다.

EGP의 종류는 BGP 하나 뿐이다.

Backbone Router

각 AS마다 하나씩 존재하는 성능이 뛰어난 라우터.

많은 양의 데이터를 처리할 수 있는 이 라우터를 통해 AS 간 BGP를 수행한다.

Distance Vector 계열 (거리에 따른 방향 결정)

특징

• 라우팅 테이블의 경로 정보를 전달한다.
• 네트워크 전체 경로를 파악하지 못한다.
• Split-horizon 기능에 영향을 받는다.
• 자동 업데이트 주기를 가진다 (RIP=30s, IGRP=90s).
• 수렴 시간이 느리다.
• Auto-summary를 할 수 있으며 기본적으로 enable되어 있다 (주소를 압축하는 것).
• 대규모 네트워크에서 동작되기엔 부적합하다 (최대 홉 카운트가 16이기 때문).
• Link State 계열에 비해 비교적 설정이 간단하다.

작동 프로세스

서로 라우팅 테이블을 주고 받으며, 다른 라우터로부터 오는

Routing Table Update Packet을 검증 과정 없이 전적으로 믿고 업데이트한다 (루머에 의한 라우팅).

잘못된 정보에 의해서 Loop가 발생될 수 있다.

Metric

Metric 값이란 하나의 라우팅 프로토콜에서 만들어 낸 많은 경로 중 하나를 선택하기 위한 지표를 말한다.

RIP에서는 Hop Count를 Metric 값으로 사용한다.

프로토콜 자체의 우선 순위를 지정하기 위한 AD(Administrative Distance)와 혼동하면 안 된다.

대표적 프로토콜 : RIPv2 (Routing Information Protocol)

• Classless 방식 (보다 정확하게 라우팅할 수 있다)
• Auto/Manual-summary
• 한 네트워크 내에서 서로 다른 길이의 IP 주소를 사용하는 VLSM(Variable Length Subnet Mask) 지원
• 224.0.0.9(Multicast Address) 주소 사용
• Authentication 과정이 있어 보안성이 강화됨
• 최대 6개의 Cost Equal Path 지원 : 같은 Metric 값의 경로들로 데이터를 부하 분산시켜 전송하는 것(Load Balancing).
• 전송 속도를 감안하지 않고 절대적으로 Hop Count로만 Metric 값을 결정하기 때문에 때때로 비효율적인 경로를 선택할 수 있다.

하나의 예시로 위 Topology에서 R1에 RIPv2를 올리려면

R1(config)#router rip

R1(config-router)#version 2 (v2로 설정)

R1(config-router)#no auto-summary (Classless로 설정)

R1(config-router)#network 192.168.23.0 (광고할 네트워크)

R1(config-router)#network 3.3.3.0

Commands

show ip protocols : 라우팅 프로토콜 조회

show ip route : 라우팅 테이블 조회 (뒤에 rip을 붙이면 rip으로 만들어진 테이블만 나온다)

debug ip rip : RIP 디버깅 시작

un all : 디버깅 종료

아래는 RIPv2를 적용시키는 연습용 Topology이다.

서브넷팅

192.168.10.0/25
192.168.10.128/25

Router - PC처럼 설정하기 (hostname과 IP 바꿔서 나머지도)

!
en
!
conf t
!
##################################################
ho PC3
##################################################
ip domain-name netsec.kr
no ip domain-lookup
!
no ip routing
!
line console 0
exec-timeout 0
exit
!
int e0/0
##################################################
ip add 192.168.10.1 255.255.255.128
##################################################
no shutdown

Switch - SW1 기본 설정 (hostname만 바꿔서 SW2도)

!
en
!
conf t
##################################################
ho SW1
##################################################
ip domain-name netsec.kr
no ip domain-lookup
!
banner motd ^
NETSEC-SW1
^
!
username user01 secret cisco
username admin privilege 15 secret cisco
!
line console 0
 exec-timeout 0
 logging sync
 login local
 exit
!
line vty 0 4
 exec-timeout 0
 logging sync
 transport input ssh
 login local
 exit
!
ip ssh time-out 30
ip ssh version 2
crypto key generate rsa general-keys modulus 1024
!

exit
copy running-config startup-config

Switch - 필요한 인터페이스 빼고 shutdown

int range ethernet 0/0 - 3,1/0 - 3,2/0 - 3,3/0 - 3
shutdown
!
int range ethernet 0/0 - 1,1/1
no shutdown

Switch - VLAN access 설정 (여러가지 수정해서 SW2도 적용)

!
do show vlan brief
int e0/0
desc VLAN100-PC3
switchport mode access
switchport access vlan 200
no shutdown
!
int e0/1
desc VLAN200-PC4
switchport mode access
switchport access vlan 100
no shutdown
!
do show vlan brief
!
!trunk
int e1/1
desc trunk-vlan100-vlan200
shutdown
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 100,200
switchport nonegotiate
no shutdown
end
!
show interfaces trunk
!

Routing Concept

- 최적의 경로를 선택하여 데이터를 목적지까지 이송하는 모든 절차

- 라우터가 데이터를 Routing하기 위하여 알아야 하는 것

• 소스와 목적지 주소
• 입/출력 인터페이스 형태
• 가능성 있는 모든 경로(Route)들에 대한 정보 수집
• 가능성 있는 모든 경로 중에서 최적의 경로 선택
• 지속적인 네트워크 상태를 확인하고 유지하는 것

라우터가 목적지 정보를 학습하는 방법

• Connected : 자기에게 직접 연결되어 있는 인터페이스의 정보를 학습
• Static Routing : 관리자가 정적으로 직접 라우팅 테이블에 정보를 입력하는 것
• Dynamic Routing Protocol : 다양한 프로토콜을 통해 자동적으로 라우팅을 하는 동시에 라우팅 테이블을 만들어 나가는 것
• Redistribution

Routing Process

1. 수신한 패킷의 목적지 주소를 확인
2. 자신이 알고 있는 경로인지 확인(Routing Table과 대조)
3. 패킷이 나가야 하는 인터페이스를 확인하고 전달
4. 위의 절차를 목적지에 도착할 때까지 반복

Routing Table

모든 Router에는 Routing Table이 존재하며, 라우터는 이 Routing Table에 기억된 주소값과 목적지 IP를 비교해 경로를 찾는다. Routing Table을 구축하는 방법으로는 Dynamic Routing과 Static Routing 두 가지가 있다.

Routing Table 보는 명령어 : Router#show ip route

Static Routing

관리자가 임의로 Routing Table을 구성하는 방법이며, 프로토콜에 의해 경로가 자동적으로 변경될 수 없다.

경로를 직접 관리하기 때문에 변화가 없고 경로가 너무 많지 않은 네트워크에서 사용하기에 적합하다.

통신망의 끝단에 있고 네트워크로 연결되는 경로가 하나밖에 없는 Stub Network 또한 Static 방식으로 라우팅한다(Default Route).

Static Routing 명령어

Router(config)#ip route [목적지 네트워크 이름] {interface | next hop ip address}

Router(config)#ip route 10.10.10.0 255.255.255.0 e0/1

Router(config)#ip route 10.10.10.0 255.255.255.0 192.168.10.10

Default Route : Routing Table에 없는 주소에 대해서 적용한다. 심볼은 S* 이다.

Router(config)#ip route 0.0.0.0 0.0.0.0 Fa1/1

전부 0인 IP와 마스크의 의미는 모든 네트워크의 범위를 갖고 있다는 것이다.

최적 경로로 선택한 인터페이스가 down 상태면 관련한 Routing Table 데이터들은 삭제되며,

up 상태가 될 시 다시 생성된다.

https://hackingcisco.blogspot.com/

아래와 같이 설계된 네트워크의 구조에서

1. 해당 네트워크를 구축한다.
2. 필요에 맞게 주소를 Subnetting 한다.

이 2가지의 프로세스를 진행한다.

*원래 실습에선 SSH 서버의 활성화와 연결까지 했었지만 비교적 간단해서 이번 포스팅에서 따로 언급하진 않는다.

SSH 서버 활성화의 내용이 포함된 포스팅 : https://yoonhoji.tistory.com/20

Subnetting 및 네트워크 인터페이스 IP 설정

실제 라우터를 설정하기에 앞서 먼저 논리적으로 Subnetting을 마쳐야 한다.

이 때 큰(많은 IP주소를 할당받는) 네트워크를 우선적으로 Subnetting 해야 한다.

R1의 아래쪽 loopback(가상의 네트워크 영역)은 네트워크 이름과 브로드캐스트 주소 포함 64개의 IP를 필요로 하고,

R3의 loopback 또한 64개의 IP를 필요로 한다.

이전에 올린 Subnetting에 대한 포스팅에서 네트워크 갯수 기준이면 왼쪽에서부터 카운팅, IP 갯수 기준이면 오른쪽에서부터 카운팅을 한다고 했다. 지금은 한 네트워크 당 필요한 IP의 갯수가 64로 정해져 있으니 오른쪽에서부터 카운팅해서 서브넷 비트를 결정해야 한다.

Subnetting에 대한 포스팅 : https://yoonhoji.tistory.com/14

64 = 2^6 이므로 오른쪽부터 비트 6개를 세면 왼쪽에 남은 2비트를 서브넷 비트로 사용해야함을 알 수 있다.

2비트로 나오는 경우의 수는 00, 01, 10, 11 총 4가지다.

2개의 비트를 사용했기 때문에 서브넷 마스크는 255.255.255.192이고,

호스트 비트를 나열해보면

00000000~00111111 : 0~63 : 192.168.10.0 255.255.255.192 (CIDR : 192.168.10.0/26)

01000000~01111111 : 64~127 : 192.168.10.64/26

10000000~10111111 : 128~191 : 192.168.10.128/26

11000000~11111111 : 192~255 : 192.168.10.192/26

이렇게 4개의 네트워크로 나누어진다.

여기서 192.168.10.0/26과 192.168.10.64/26 네트워크를 R1과 R3의 loopback에 할당하면 필요로 하는 64개의 IP를 만족시킬 수 있다.

R1~R2 네트워크에서 필요한 IP의 갯수는 R1의 f0/0 인터페이스에 할당할 IP와 R2의 f0/0 인터페이스에 할당할 IP로 총 두 개가 필요하다. 거기에 더해서 네트워크 이름과 브로드캐스트 주소에 할당할 IP 하나씩이 더 필요하므로  우린 여기서 128과 192 네트워크 두 개를 모두 쓸 필요가 없다. 128번대 네트워크는 추후 필요할 상황을 대비해 내버려두고 192번대의 네트워크를 VLSM으로 한 번 더 Subnetting하여 사용한다. 

4개의 IP주소가 필요하므로 오른쪽에서 2비트를 카운팅하면 이미 Subnetting해 놓은 비트를 제외하고 4비트를 더 서브넷 비트로 쓰게 된다. 총 6비트를 사용하기에 너무 많은 경우의 수가 생겨 나열하기도 힘들 것이다. 하지만 여기서 4개의 IP를 필요로 하는 네트워크는 2개밖에 없기 때문에 앞에서부터 2개만 나열하고 그대로 사용하면 된다.

11000000~11000011 : 192~195 : 192.168.10.192/30

11000100~11000111 : 196~199 : 192.168.10.196/30

이렇게 해서 Subnetting한 두 개의 네트워크를 통해 라우터들의 각 인터페이스에 IP를 부여해 줄 것이다.

R1-F0/0 : 192.168.10.193 255.255.255.252

R2-F0/0 : 192.168.10.194 255.255.255.252

R2-S0/0 : 192.168.10.197 255.255.255.252

R3-S0/0 : 192.168.10.198 255.255.255.252

MAC Table

스위치를 통해 들어오면 Source MAC Address를 Learning해서 MAC Table에 저장한다.

정보를 전달할 때 MAC Table에 Destination MAC과 일치하는 주소가 있는지 비교하는 Filtering 작업을 하고, 

있다면 해당 주소로 Forwarding을 하고, 없으면 스위치에 연결된 모든 기기로 전달하는 Flooding을 한다.

MAC Table은 300초의 Aging Time을 갖고 있고 그 시간 동안 한 번도 사용되지 않으면 삭제되며,

한 번이라도 사용될 경우 다시 300초로 초기화되어 다시 마이너스 카운팅한다.

VLAN이란 필연적으로 일어나는 수많은 브로드캐스트에 의해 모든 장비들이 L3의 Packet 부분까지 데이터를 Decapsulation하고 다시 Encapsulation해서 내려 보내는 과정이 반복되어 네트워크의 성능이 저하되는 것을 방지하기 위해 브로드캐스트 도메인을 여러 개로 분리하는 것이다. 

하나의 LAN을 여러 개의 VLAN으로 쪼개고 나면 서로 다른 VLAN에 있는 장비끼리는 MAC Address 브로드캐스트 통신이 불가능하게 된다. 통신하려면 3계층 장비인 라우터 또는 멀티레이어 스위치를 연결해 IP를 통해서 할 수 있다.

VLAN은 VLAN ID로 구분되며, 0~4095로 4096(2^12)개의 구분 번호가 존재한다.

이 중에 0번과 4095번은 예약되어 있고, 1 = Default VLAN, 1002, 1004 = FDDI용 예약, 1003, 1005 = Token-ring 예약이기 때문에 실제 가용 범위는 1~4094(상기 예약 ID 제외)이다.

Switch에서는 Port 별로 각각의 VLAN 그룹에 소속시켜 운영한다.

명령어

VLAN 확인 명령어

SW#show vlan brief

VLAN 생성 명령어 1 : VLAN Database Mode(비권장)

SW#vlan database

SW(vlan)#vlan 10

1~1024 까지만 생성 가능

각 VLAN 별 설정 불가능

VLAN 생성 명령어 2 : VLAN Global Configuration Mode(권장)

SW#conf t

SW(config)#vlan 30

SW(config-vlan)#name netsec

SW(config-vlan)#exit

1~4094까지 생성 가능

각 VLAN 별 설정 가능

switchport mode access

Access : 스위치의 포트와 종단 장치를 연결하는 것.

Access는 스위치의 네트워크 인터페이스와 End-User Device를 연결하는 것이다.

Trunk : 스위치끼리 연결하는 것

Trunk는 논리적으로 하나의 스위치를 만드는 것, 모든 VLAN에 대한 통로라고도 볼 수 있으며, 기존에 있던 스위치를 그대로 사용하며 확장하기 때문에 비용적으로 효율성이 있다.

라우터(PC)에 IP주소 부여하기

R1

R1(config)#no ip routing(라우터를 PC처럼 쓰기)

R1(config)#int e0/0

R1(config-if)#ip add 192.168.10.1 255.255.255.0

R1(config-if)#no shutdown

R2

R2(config)#no ip routing

R2(config)#int e0/0

R2(config-if)#ip add 192.168.10.2 255.255.255.0

R2(config-if)#no shutdown

Switch Trunk 구성 단계

1. Interface Configurtion Mode 진입

2. Interface shutdown

Switch(config-if)#shutdown

3. Encapsulation 방식을 선택한다(802.1Q, ISL)

Switch(config-if)#switchport trunk encapsulation dot1q

4. Layer 2 Trunk 설정

Switch(config-if)#switchport mode trunk

5. 필요에 따라 Native VLAN을 설정(802.1Q) : VLAN을 식별하는 태그 없이 Trunk를 통과할 수 있음.

Switch(config-if)#switchport trunk native vlan 1

6. Trunk 구간에 허용할 VLAN 지정

Switch(config-if)#switchport trunk allowed vlan 10,20

7. Interface를 no shutdown해서 Trunk 활성화

Switch(config-if)#no shutdown

8. Trunk 설정 검증

Switch(config-if)#end

Switch#show interfaces trunk

VLAN 관련 config 포스팅 : https://yoonhoji.tistory.com/30