interplanetary detour

VLAN이란 필연적으로 일어나는 수많은 브로드캐스트에 의해 모든 장비들이 L3의 Packet 부분까지 데이터를 Decapsulation하고 다시 Encapsulation해서 내려 보내는 과정이 반복되어 네트워크의 성능이 저하되는 것을 방지하기 위해 브로드캐스트 도메인을 여러 개로 분리하는 것이다. 

하나의 LAN을 여러 개의 VLAN으로 쪼개고 나면 서로 다른 VLAN에 있는 장비끼리는 MAC Address 브로드캐스트 통신이 불가능하게 된다. 통신하려면 3계층 장비인 라우터 또는 멀티레이어 스위치를 연결해 IP를 통해서 할 수 있다.

VLAN은 VLAN ID로 구분되며, 0~4095로 4096(2^12)개의 구분 번호가 존재한다.

이 중에 0번과 4095번은 예약되어 있고, 1 = Default VLAN, 1002, 1004 = FDDI용 예약, 1003, 1005 = Token-ring 예약이기 때문에 실제 가용 범위는 1~4094(상기 예약 ID 제외)이다.

Switch에서는 Port 별로 각각의 VLAN 그룹에 소속시켜 운영한다.

명령어

VLAN 확인 명령어

SW#show vlan brief

VLAN 생성 명령어 1 : VLAN Database Mode(비권장)

SW#vlan database

SW(vlan)#vlan 10

1~1024 까지만 생성 가능

각 VLAN 별 설정 불가능

VLAN 생성 명령어 2 : VLAN Global Configuration Mode(권장)

SW#conf t

SW(config)#vlan 30

SW(config-vlan)#name netsec

SW(config-vlan)#exit

1~4094까지 생성 가능

각 VLAN 별 설정 가능

switchport mode access

Access : 스위치의 포트와 종단 장치를 연결하는 것.

Access는 스위치의 네트워크 인터페이스와 End-User Device를 연결하는 것이다.

Trunk : 스위치끼리 연결하는 것

Trunk는 논리적으로 하나의 스위치를 만드는 것, 모든 VLAN에 대한 통로라고도 볼 수 있으며, 기존에 있던 스위치를 그대로 사용하며 확장하기 때문에 비용적으로 효율성이 있다.

라우터(PC)에 IP주소 부여하기

R1

R1(config)#no ip routing(라우터를 PC처럼 쓰기)

R1(config)#int e0/0

R1(config-if)#ip add 192.168.10.1 255.255.255.0

R1(config-if)#no shutdown

R2

R2(config)#no ip routing

R2(config)#int e0/0

R2(config-if)#ip add 192.168.10.2 255.255.255.0

R2(config-if)#no shutdown

Switch Trunk 구성 단계

1. Interface Configurtion Mode 진입

2. Interface shutdown

Switch(config-if)#shutdown

3. Encapsulation 방식을 선택한다(802.1Q, ISL)

Switch(config-if)#switchport trunk encapsulation dot1q

4. Layer 2 Trunk 설정

Switch(config-if)#switchport mode trunk

5. 필요에 따라 Native VLAN을 설정(802.1Q) : VLAN을 식별하는 태그 없이 Trunk를 통과할 수 있음.

Switch(config-if)#switchport trunk native vlan 1

6. Trunk 구간에 허용할 VLAN 지정

Switch(config-if)#switchport trunk allowed vlan 10,20

7. Interface를 no shutdown해서 Trunk 활성화

Switch(config-if)#no shutdown

8. Trunk 설정 검증

Switch(config-if)#end

Switch#show interfaces trunk

VLAN 관련 config 포스팅 : https://yoonhoji.tistory.com/30

http://www.ktword.co.kr/

Star형 구조에서 중앙의 스위치에 장애가 발생하면 모든 단말에서의 통신이 끊기기 때문에

스위치를 2개 사용하는 이중화를 통해 가용성을 높인다(High Availability).

라우터 3개를 준비하고 모두 아래와 같이 설정한다.

Serial Interface를 사용하기 위해 WAN Interface Card를 장착하는 것이다.

우클릭 -> Configure -> Slots -> wic 0: WIC-2T

이후 유선 연결을 해주는데 주의사항은 아래에 기재해 놓은 Serial 포트에 맞게 연결해야 한다는 것.

R1

R1#conf t

R1(config)#int s0/0

R1(config-if)#description R2-S0/0

R1(config-if)#ip add 192.168.10.10 255.255.255.0

R1(config-if)#encapsulation ppp

R1(config-if)#bandwidth 512

R1(config-if)#no shutdown

R1(config-if)#end

R1#show ip int brief

R2

R2#conf t

R2(config)#int s0/0

R2(config-if)#description R1-S0/0

R2(config-if)#ip add 192.168.10.20 255.255.255.0

R2(config-if)#encapsulation ppp

R2(config-if)#bandwidth 512

R2(config-if)#no shutdown

R2(config-if)#end

R2#show ip int brief

R2#conf t

R2(config)#int s0/1

R2(config-if)#description R3-S0/1

R2(config-if)#ip add 192.168.20.20 255.255.255.0

R2(config-if)#encapsulation hdlc

R2(config-if)#bandwidth 512

R2(config-if)#no shutdown

R2(config-if)#end

R2#show ip int brief

R3

R3#conf t

R3(config)#int s0/1

R3(config-if)#description R2-S0/1

R3(config-if)#ip add 192.168.20.10 255.255.255.0

R3(config-if)#encapsulation hdlc

R3(config-if)#bandwidth 512

R3(config-if)#no shutdown

R3(config-if)#end

R3#show ip int brief

show ip interface brief 시에 모든 라우터에서 프로토콜이 up으로 되어 있으면 인터페이스 간 연결이 된 것.

Running-configuration은 RAM에 적재되어 있는 현재 동작 중인 설정값이며 휘발성의 성질을 갖고 있다.

반면 Startup-configuration은 NVRAM(Non-Voltage RAM)에 저장되어 있어서 비휘발성을 띠고 있으며

서버가 시작할 때 자동으로 설정값을 적용한다.

아래는 tftp서버를 이용해 configuration 또는 OS 이미지를 백업시키고 불러오는 명령어들이다.

running-config 백업

R1#copy running-config tftp

startup-config 백업

R1#copy startup-config tftp

IOS 백업

R1#copy flash tftp

복구

R1#copy tftp running-config

R1#copy tftp startup-config

R1#copy tftp flash

GNS3에서 라우터 터미널 실행

GNS3를 실행하고 좌측 상단의 회색 라우터 모양 버튼을 클릭한다.

추가해 놓은 c3745 모델을 클릭하고 드래그 앤 드랍으로 필드(?)에 꺼내 놓는다.

라우터를 우클릭하고 Start를 클릭해서 실행한다.

우측 상단의 R1 telnet localhost:5000 이 녹색 원으로 켜짐이 표시되면

다시 라우터 우클릭 -> Console 에 들어간다.

Would you like to enter the initial configuration dialog? [yes/no] :

가 나오면 Ctrl+C를 누르고 기다린다.

기다리다 보면 로드가 완료되고

Press RETURN to get started!

다이얼로그가 나오면 Enter키를 누른다.

Router> 프롬프트가 나오면 아래 명령어들을 실습해보자.

라우터 터미널은 configuration이 바로 적용되어서

실수할 경우 즉시 통신이 끊어지는 일이 발생하며 실무에서 이는 치명적이기 때문에

메모장에 미리 입력해 놓고 옮기는 등 조심해서 적용해야 한다.

탭 키로 자동 완성 가능

화면 클리어 명령은 없음 (엔터를 계속 쳐야 한다)

Router 터미널 명령어

*Bold체는 사람이 입력한 부분

명령어 도움말 보기

Router> en?

'en'으로 시작하는 명령어들을 확인할 수 있다.

이외에도 많은 사용법이 있으니 자주 사용해보자.

유저 / 관리자 모드 전환

Router> enable

Router# disable

Router>

Global Configuration

Router# configure terminal

Router(config)#

상위 프롬프트로 돌아가기

Router(config-if)# exit

Router(config)#

---------------------------

Router(config-if)# end

Router#

호스트 네임 변경

Router(config)# hostname R1

R1(config)#

Banner 설정 (Message Of The Day)

R1(config)# banner motd ^

Enter TEXT message.  End with the character '^'.

Hello, World!

^

R1(config)# end

R1# exit

-----------------------------------------------------

입력한 메시지를 배너로 확인할 수 있을 것이다.

장비의 하드웨어/소프트웨어(OS) 정보 확인

R1# show version

Running Config

R1# show running-config

------------------------------

확인 후 프롬프트로 돌아가려면 Ctrl+C

시간 정보 확인 및 수정

R1# show clock

*01:12:39.855 UTC Fri Mar 1 2002

R1# clock set 17:35:00 30 OCT 2021 (변경되었다는 로그 메시지가 나온다)

R1# show clock
17:35:09.515 UTC Sat Oct 30 2021

History 관련 명령어

R1# show history

--------------------------

또는 위, 아래 방향키를 이용해서 로그를 확인할 수 있다.

이 히스토리를 제 3자가 확인할 경우 보안 상의 문제가 생길 수 있기 때문에

실무에서는 히스토리 기능을 꺼놓는 것이 좋다.

--------------------------

R1# terminal history size 0

관리자 모드 접근 암호 설정

password를 사용할 시 running-config에서 그 값을 확인할 수 있고,

service password-encryption을 하더라도 그 알고리즘이 많이 알려져 있어

쉽게 복호화할 수 있기 때문에 그다지 효과가 없다.

그래서 해쉬 알고리즘을 사용해서 복호화할 수 없는 secret을 사용해야 한다.

end -> exit 명령어 입력 후 엔터로 진입하면 비밀번호 또는 유저네임의 변경 사항을 확인할 수 있다.

--------------------------------------------------------

R1(config)# enable secret [비밀번호 입력]

암호 삭제

R1(config)# no enable secret

콘솔 접근 암호 설정

R1(config)# line console 0 (원격지 접속이 아닌 로컬 접속의 콘솔 라인)

R1(config-line)# password [패스워드 입력]

R1(config-line)# login

암호 삭제

R1(config-line)# no login

R1(config-line)# no password

콘솔 접근 계정 설정

일반 유저 계정

R1(config)# username user01(유저네임) secret cisco(비번)

관리자 계정

R1(config)# username admin privilege 15(관리자 권한) secret cisco

자동 로그아웃

R1(config-line)# exec-timeout 3(분) 0(초)

-------------------------

해당 시간이 지나면 터미널에서 자동으로 로그아웃 된다.

0 0으로 값을 넣으면 자동 로그아웃 비활성화이다.

로그 메시지 분리

R1(config-line)# logging synchronous

------------------------

end 명령어 입력 시에 나오는 로그 메시지가

입력 중이던 명령어와 합쳐져 보일 수 있는데 그걸 방지해준다.

Configuration 저장

R1# copy running-config startup-config

IP 인터페이스 변경 및 확인

R1# show ip interface

R1# show ip interface brief (간략하게)

R1(config)# interface f0/0
R1(config-if)# ip add 192.168.10.10 255.255.255.0
R1(config-if)# no shutdown

R1(config-if)# end

R1# show ip interface brief

SSH 설정(라우터 2개)

서버 라우터 설정

R1(config)#ip domain-name netsec.kr
R1(config)#crypto key generate rsa general-keys modulus 1024

R1(config)#username admin privilege 15 secret cisco

R1(config)#line vty 0 4

R1(config-if)#transport input ssh

R1(config-if)#login local

R1(config-if)#end

R1#show running-config

--------------------------------

클라이언트에서 접속

R2#ssh -l admin 192.168.10.10

(이후 패스워드 입력)

SSH의 Version은 3가지가 존재하는데 v1.0, v1.9, v2.0이 있다.

이 중 v2.0이 보안적으로 안정적이어서 좋다고 한다.

ARP란 3계층 IP주소를 통해 2계층 MAC Address를 확인하기 위해

TCP/IP 아키텍처에서 사용하는 프로토콜이다.

편의 상 IP주소와 MAC Address는 간략하게 표기했다.

PC1 : IP=10.1 / MAC=AA / 스위치에 연결된 포트=f0/1

PC2 : IP=10.2 / MAC=BB / 스위치에 연결된 포트=f0/2

PC1(S)

PC로 패킷을 전송하려고 했으나

ARP Cache Table에 해당 IP에 매칭되는 물리적 주소가 없어서 먼저 ARP Request를 보낸다.

스위치로 ARP 전송 : S-MAC = AA / D-MAC = FF

ARP Cache Table(PC1)

Swtich

PC1의 포트(f0/1)에 따른 MAC Address가 AA임을 테이블에 저장.

Destination MAC Address를 확인 -> 전부 F로 된 브로드캐스트 주소 -> 연결되어 있는 모든 장비에게 뿌림(Flooding).

MAC Address Table

PC2(D -> S)

PC1의 MAC Address가 AA임을 테이블에 저장.

(PC2를 제외한 PC들은 IP가 일치하지 않기 때문에 패킷 폐기)

PC1에게 ARP Reply를 전송.

ARP Cache Table(PC2)

Switch

PC2의 포트(f0/2)에 따른 MAC Address가 BB임을 테이블에 저장.

Destination MAC Address를 확인 -> 해당 주소에 매칭되는 f0/1에 연결된 PC로 ARP Reply를 전달

MAC Address Table

PC1(D)

ARP Reply에서 ARP Header에 들어있는 소스 정보를 ARP Cache Table에 저장.

이후엔 브로드캐스트가 아닌 저장된 MAC Address를 목적지로 지정해 Unicast 통신을 할 수 있다.

ARP Cache Table

IPv4 Header

Version : 버전

IHL : Header의 길이

TOS, Type of Service(QOS, Quallity of Service) : 데이터의 우선 순위를 결정한다.

Total Length : Datagram을 포함한 전체 길이

IPv6엔 없는 것들

Identification : 데이터를 여러 개의 패킷으로 나누어 전송할 때 나중에 식별해서 합치기 위한 값

IP Flags : 이후에 올 패킷의 조각이 더 남아있는지 알려준다. M(More): 더 있다, D: 이걸로 마지막이다.

Fragment Offset : M Flag를 가진 데이터들의 순서를 식별한다.

TTL(Time to Live) : Hop Count라고도 하며, 라우터 하나를 건널 때마다 원래 값에서 감소한다. 기본값은 30.

일반적으로 24번 이내에 목적지에 도착하며, 만약 지정 횟수 안에 도착하지 못하면 패킷은 폐기된다.

Protocol : 상위 계층(L4)로 데이터그램은 보낼 때 TCP와 UDP 중 어느 쪽으로 보낼 지 결정한다.

Header Checksum : 오류를 체크하는 것인데 L2와 L4에서도 처리를 해 주기 때문에 굳이 필요없다고 한다.

Source Address : 출발지 IP 주소

Destination Address : 목적지 IP 주소

IPv6와의 비교