interplanetary detour

NAT의 경우는 Stateful이기 때문에 이런 처리가 필요없지만 ACL은 기본적으로 Stateless이기에 돌아오는 패킷을 허용하려면 Inbound와 Outbound에 ACL을 모두 따로 걸어줘야 하는데 이는 곧 시간 지연과 성능 저하로 이어지기 때문에 RACL, DACL 등을 사용하여 효율을 높이는 편이 낫다.

RACL

패킷이 내부망에서 외부 네트워크로 전송될 때, 돌아오는 패킷을 허용하기 위해 패킷의 상태 정보를 반사시켜 임시 ACL을 만드는 것을 말한다. 내부 사용자의 외부와의 통신을 위한 것이며, 내부에서는 제한없이 외부와 통신이 가능하지만 외부에서 내부로의 접속은 차단할 때 사용한다. Dyanamic Application (ex : FTP)처럼 Port Address가 변하는 상황에선 사용할 수 없다.

RACL 설정

이전의 ACL 제거 (필요 시)

R2(config)# no ip access-list extended acl-in

acl-out 설정

R2(config)# ip access-list extended acl-out

R2(config-ext-nacl)# permit tcp any any reflect myracl (outbound 시에 반영을 생성시킨다)

R2(config-ext-nacl)# permit udp any any reflect myracl

R2(config-ext-nacl)# permit icmp any any reflect myracl

R2(config-ext-nacl)# permit ip any any

acl-in 설정

R2(config)# ip access-list extended acl-in

R2(config-ext-nacl)# permit ospf host 1.1.23.3 any (OSPF 라우팅이 이루어지지 않으면 통신 자체가 불가능하기 때문에 허용해주어야 한다.)

R2(config-ext-nacl)# evaluate myracl

인터페이스에 적용

R2(config)# interface e0/1

R2(config-subif)# ip access-group acl-out out

R2(config-subif)# ip access-group acl-in in

RACL 동작 확인

R1에서 1.1.34.4로 핑과 텔넷을 해보면 성공적으로 연결된다.

생성된 반영에 의해서 돌아오는 패킷이 허용되었기 때문이다.

또한 텔넷 세션을 끊지 말고 R2에서 show ip access-lists 명령어를 사용해 보면 RACL에 의한 임시 ACL이 만들어져 적용되어 있음을 확인할 수 있다.

DACL

다이나믹 ACL을 락앤키(Lock and Key)라고도 한다. RACL은 주로 내부 사용자를 위한 것인 반면, DACL은 외부에 나가있는 직원들이 내부의 자원에 접속할 수 있도록 하는 것이다.

DACL에서 이용자를 인증하는 방법으로는 AAA 서버, 로컬 데이터베이스 또는 텔넷 패스워드를 이용하는 3가지 방식이 있다. 이중 AAA 서버를 사용하면 각 사용자 별로 정밀하게 인증하고, 정교한 트랙킹 기능을 제공한다. 그러나 텔넷 패스워드를 이용하는 방식은 패스워드만 알면 누구나 접속할 수 있으므로 보안성이 떨어진다.

DACL 설정

RACL 제거(필요 시)

R2(config)# no ip access-list extended acl-in

R2(config)# no ip access-list extended acl-out

R2(config)# interface fastethernet 0/0.23

R2(config-subif)# no ip access-group acl-out out

R2(config-subif)# no ip access-group acl-in in

Local Login 정보 설정

R2(config)# username admin password cisco

acl-in 설정

R2(config)# ip access-list extended acl-in

R2(config-ext-nacl)# permit ospf host 1.1.23.3 any (OSPF 패킷 허용)

R2(config-ext-nacl)# permit tcp any host 1.1.23.2 eq telnet (1.1.23.2로의 텔넷 접속 허용)

R2(config-ext-nacl)# dynamic applythis permit ip any any

인터페이스에 적용

R2(config)# interface e0/1

R2(config-subif)# ip access-group acl-in in

로그인 데이터베이스 지정 및 타임아웃 설정

R2(config)# line vty 0 4

R2(config-line)# login local

R2(config-line)# autocommand access-enable host timeout 10

개념

DHCP는 유무선 IP 환경에서 Host IP, Subnet Mask, Default Gateway IP, DNS Server IP, Lease Time 등의 다양한 네트워크 정보를 PC와 같은 이용자 단말에 동적으로 할당해주는 프로토콜로써 이용자가 이와 같은 네트워크 정보를 직접 설정할 필요 없이 자동으로 그 설정이 가능하기 때문에 네트워크 관리의 용이성을 제공한다.

DHCP를 통한 IP 주소 할당은 '임대'라는 개념을 가지고 있는데 이는 DHCP 서버가 IP 주소를 영구적으로 단말에 할당하는 것이 아니고 임대기간을 명시하여 그 기간 동안만 단말이 IP 주소를 사용하도록 하는 것이다. 임대기간 이후에도 계속 해당 IP 주소를 사용하고자 한다면 IP 주소 임대기간 연장을 DHCP 서버에 요청해야 한다. 또한 단말은 임대받은 IP 주소가 더 이상 필요치 않게 되면 IP 주소 반납 절차를 수행하게 된다.

주소 할당 절차 (IP Address Allocation Procedure) : DORA (Packet)

1. Discover
DHCP 클라이언트가 DHCP 서버를 찾기 위해 D-MAC을 FF:FF:FF:FF:FF:FF로 설정해서 브로드캐스트를 뿌려 Discover한다.
브로드캐스트로 DHCP 서버를 찾는 것이기 때문에 Client가 있는 2계층 네트워크 환경 안에 DHCP 서버가 존재해야 한다는 뜻이다.

2. Offer
브로드캐스트를 받은 DHCP 서버가 자신의 IP 주소와 임대해 줄 수 있는 IP 주소를 담아 브로드캐스트를 뿌려서 Client에게 임대를 제안한다.

3. Request
Client 측에서 해당 IP 주소를 임대하기로 하고 DHCP 서버에게 IP 주소 할당을 요청한다.
역시 브로드캐스팅으로 메시지를 전송하는데 그 이유는 아직 Client가 IP 주소를 할당받지 못했기 때문이다.

4. Ack
DHCP 서버에서 Ack와 함께 여러 네트워크 정보를 담아 Client에게 보낸다.

주소 연장 절차 (IP Address Renewal Procedure)

Client가 IP 주소를 할당 받았으므로 더 이상 Broadcast가 아닌 Unicast로 요청과 응답을 한다.
Client에서의 Request와 서버로부터의 Ack 순으로 절차가 진행된다.

주소 반납 절차 (IP Address Release Procedure)

단말을 로그오프하면 단말은 할당되었던 IP 주소를 반납하기 위해 DHCP 서버에 Release 메시지를 Unicast로 송신한다.

DHCP Server Configuration (Example)

Router(config)#ip dhcp pool netsec
Router(dhcp-config)#network 192.168.1.0 /24
Router(dhcp-config)#domain-name netsec.kr
Router(dhcp-config)#dns-server 8.8.8.8
Router(dhcp-config)#default-router 192.168.1.1
Router(dhcp-config)#exit
Router(config)#ip dhcp excluded-address 192.168.1.1

DHCP Client's Request (Example)

PC(config)#int e0/0
PC(config-if)#ip add dhcp

개념

NAT란 게이트웨이를 통과하는 패킷의 IP 헤더 안에 든 IP 주소값을 다른 주소로 바꾸는 기술이며, 사설 IP를 이용하는 호스트들이 인터넷에 접근하거나 다른 외부 네트워크에 접근할 수 있게 하기 위해 만들어졌다.

NAT는 Stateful인 것이 특징인데, 외부 네트워크에 보낸 패킷이 다시 Source Host가 있는 네트워크로 게이트웨이를 통해 들어올 때 가지고 있던 상태 정보로 별도의 처리 없이 Inbound가 가능하다는 의미이다.

프로세스

1. 네트워크 장비(게이트웨이)에 NAT 설정
2. 패킷이 게이트웨이를 통해 Outbound(S-NAT).
   호스트의 사설 IP를 공인 IP로 변경.
   변경 정보를 NAT Table에 저장.
   
   
3. 나갔던 패킷이 다시 들어올 때 NAT Table을 조회해서 다시 원래 패킷으로 변경해서 Inbound(D-NAT).

S-NAT : Private Network에서 Public Network로 나가는 것.

D-NAT : Public Network에서 Private Network의 Host에 접근하는 것.

Stateful(ex : NAT) : 외부로 나갈 때 Source의 상태 정보가 기록되고 그 정보에 따라 돌아올 수 있다.

Stateless(ex : ACL) : 상태 정보가 없어서 나간 신호가 돌아올 수 없다.

NAT의 종류

Static NAT : 하나의 사설 IP와 하나의 공인 IP를 1:1로 Mapping하는 방식.

갖고 있는 공인 IP가 충분해야만(공인 IP 수 >= 호스트 수) 사용할 수 있으며, 사설 네트워크 내에 동작 중인 서버가 있을 경우에 서버는 고정 IP를 사용해야 하므로 Static NAT를 사용한다.

R1(config)#ip nat inside source static local-IP global-IP  : 사설 IP와 공인 IP가 고정적으로 변환되도록 설정

R1(config-if)#ip nat inside : 변환된 패킷이 들어오는 인터페이스에 지정 (라우터 기준)

R1(config-if)#ip nat outside : 변환된 패킷이 나가는 인터페이스에 지정

Dynamic NAT : 여러 개의 사설 IP와 1~ 개의 공인 IP 주소를 필요에 따라 동적으로(자동으로) Mapping한다.

NAT-PAT(NAPT) : NAT는 IP를 다루기에 L3, PAT(Port Address Translation)는 Port Number를 다루기에 L4이다.

적은 갯수의 공인 IP로 다수의 사설 IP를 매핑시킬 수 있으며, 각 공인 IP의 Port Address로 사설 네트워크의 Host들을 구분한다.

Dynamic NAT Topology

사전에 기본 설정은 필수이고 R2에서 1.16.3.0 네트워크로 Static Routing을 잡아주어야 한다.

pool 생성

R1(config)#ip nat pool pub_ip 1.16.12.1 1.16.12.62 prefix-length 26
R1(config)#ip nat inside source list 10 pool pub_ip

pool 생성 확인

Router(config)#do sh ip int br

인터페이스에 각각 NAT 적용

R1(config)#int e0/0
R1(config-if)#ip nat inside

R1(config-if)#int s1/0
R1(config-if)#ip nat outside

NAT 확인

PC6#ping 1.16.3.8

R1#sh ip nat translation (NAT Translation이 이루어진 로그 조회)

NAT Table 내용 삭제 방법 : R1#clear ip nat translation *

공부하는 데에 참고했던 netmanias 자료

https://www.netmanias.com/ko/?m=view&id=blog&no=5826&kw=nat

Standard와 Extended의 생성 (Numeric)

Standard와 Extended의 생성 (Named)

R1(config)#ip access-list extended Http_ACL

R1(config-ext-nacl))#

R1(config)#int s1/0

R1(config-if)#ip access-group Http_ACL out

연습 Topology

Standard

Standard는 수신한 Packet의 Source IP만 확인하여 필터링한다.

R1(config)#access-list 10 permit host 192.168.26.6

R1(config)#int e0/0

R1(config-if)#ip access-group 10 out

R1(config-if)#do sh access-lists

R1(config-if)#do sh ip access-lists interface ethernet 0/0

ACL의 Default 설정은 모든 것을 deny하는 것이기 때문에 위와 같이 설정해주면 host 192.168.26.6의 out만 허용한다는 의미가 된다. Server5에서 192.168.26.6과 192.168.37.7에 각각 핑을 날려보고 결과를 확인해보면 26.6에서 돌아온 신호는 Ethernet 0/0을 통과해서 Server5까지 다시 돌아올 수 있지만 37.7에게 날린 핑은 돌아오는 과정에서 Ethernet 0/0에 걸려 있는 access-group 10 의 정책에 막혀서 Server5까지 도달하지 못하고 Drop된다.

R1(config-if)#no ip access-group 10 out : 인터페이스에 걸린 그룹 삭제

R1(config)#no access-list 10 : 정책 삭제

ACL을 제거할 때는 반드시 위와 같은 순서로 제거해야 한다.

Extended

Extended는 수신한 Packet의 Destination IP, Source IP, Protocol, Port 정보까지 필터링 속성에 포함할 수 있어서 Standard에 비해 가용성이 높다.

R1(config)#access-list 100 deny tcp 172.16.15.0 0.0.0.255 192.168.26.6 0.0.0.0 eq www

R1(config)#access-list 100 permit ip any any

R1(config)#int e0/0

R1(config-if)#ip access-group 100 in

위의 마스크 값을 보면 0.0.0.255와 0.0.0.0으로 조금 이상한데 이는 와일드 카드 마스크라고 하며, 원래의 마스크 값을 2진수로 변환하고 뒤집어 낸 결과값이다. 그 결과값에서 1은 어느 값이 들어와도 상관없는 것이고 0은 같은 값이 들어와야 한다는 의미를 지닌다.

eq www 부분은 80번 포트를 사용하는 www 서비스에 대한 접근을 제어하겠다고 가리키는 것.

any any는 0.0.0.0 255.255.255.255와 같은 의미로, 따로 제어한 사항 외의 모든 것에 대해 적용하겠다는 의미이다.

위의 ACL 프로세스를 정리하면 172.16.15.0/24 네트워크에서 192.168.26.6 서버의 80번 포트로 접근하려고 하는 Packet을 거부하고 Drop시키는 정책을 가진 access-list 100을 정의하고(1줄), 그 access-list 100에서 나머지 IP에 대한 접근은 허용하며(2줄), Ethernet 0/0 인터페이스에 그 제어 정책을 in으로 올려서 해당 인터페이스로 진입하는(in) Packet에 대해 정책을 적용시켜서 접근을 제어하겠다는 의미이다(3, 4줄).

정책의 순서가 중요하다. 만들어진 순서대로 필터링이 들어가기 때문에 큰 범위의 정책을 먼저 설정할 경우 아래의 작은 범위의 정책이 가려져서 적용이 안 되는 경우가 생길 수 있기 때문이다.

특징

• 정책 기반의 프로토콜로 주로 ISP 기업 간에 이용한다.
• TCP/179 포트로 통신한다.
• 직접 연결되어 있는 라우팅 테이블 정보 뿐만 아니라 학습한 라우팅 테이블 정보도 BGP 프로토콜을 사용하는 Neighbor Router에게 전송할 수 있다.
• 기본은 Classful Prefix이지만 no auto-summary를 통해 Classless Prefix로 마스크값을 추가로 붙여 사용할 수 있다.

Show Commands

R1#sh ip bgp neighbors 172.16.101.1

R1#sh tcp brief

R1#sh ip bgp summary

R1#sh ip bgp

IBGP (Internal BGP)

AS Number가 서로 같을 때.

R1(config)#router bgp 13

R1(config-router)#bgp router-id 1.1.1.1

R1(config-router)#neighbor 172.16.103.3 remote-as 13 : iBGP

R1(config-router)#neighbor 172.16.103.3 update-source loopback 0

R1(config-router)#no auto-summary

EBGP (External BGP)

AS Number가 서로 다를 때.

R3(config)#router bgp 13
R3(config-router)#neighbor 10.1.35.5 remote-as 50

R5(config)#router bgp 50
R5(config-router)#bgp router-id 5.5.5.5
R5(config-router)#neighbor 10.1.35.3 remote-as 13
R5(config-router)#no auto-summary

R5(config)#ip route 172.16.103.0 255.255.255.0 e0/0 10.1.35.3

R5(config-router)#neighbor 172.16.103.3 remote-as 13
R5(config-router)#neighbor 172.16.103.3 ebgp-multihop 2

R1(config-router)#network 172.16.101.0 mask 255.255.255.0 (네트워크 이름으로)

BGP Synchronization

하나의 AS 내에서 BGP router가 내부 IBGP neighbor router로부터 습득한 목적지 정보가, IGP를 통해서 얻은 것이 아닌 이상 (즉, 해당 neighbor가 자신의 IGP table로부터 network이나 재분배 명령어를 통해 습득한 것이 아니라면, 그래서 목적지로 도달 불가능하다면), 외부 neighbor 및 다른 BGP peer에게 advertising 하지 않는다.

IBGP router가 목적지에 대한 업데이트된 정보를 IBGP peer에게서 받았을 때, router는 이 목적지까지 도달이 가능한지 RIP이나 OSPF와 같은 IGP를 이용해 검사한다. 만일 IBGP router가 IGP routing table에서 해당 목적지까지 갈 수 있는 route를 찾지 못하면, 다른 BGP peer에게 이 목적지 네트워크에 대한 정보를 advertising하지 않는다.

Link State 계열 - OSPF

라우터에서 RIP 라우팅 프로토콜을 설정한다는 것은 해당 네트워크를 광고하겠다는 의미이지만,
OSPF 라우팅 프로토콜을 설정한다는 것은 해당 네트워크가 선언된 인터페이스로 광고를 Sending하는 것을 허용하겠다는 의미와 그 인터페이스의 상태 정보를 LSDB에 저장하겠다는 두 가지 의미를 가지고 있다.

특징

• 라우팅 테이블이 아닌 인터페이스 상태 정보를 전달한다.
• 자신에게 연결되어 있는 링크 정보를 서로 공유한다.
• Distance Vector와는 다르게 네트워크의 전체 경로(구조)를 파악할 수 있다. (SPF : Shortest Path First)
• 네트워크 변화에 즉시 업데이트한다.
• 수렴 시간이 빠르다.
• Classless Protocol로 VLSM을 지원한다. (Classful은 아예 없다)
• Auto-summary 기능이 없다.
• 계층적 구조로 대규모 네트워크에서 동작되기에 적합하며 확장성이 좋다.
• 설정이 복잡하지만, 관리자가 원하는 상세한 설정이 가능하다.

작동 프로세스

1. LSA (Link-State Advertisement) : 인접한 라우터 간에 Link-State 정보(interface subnet, type, state)를 전송한다.
2. Topology Database : Link-State 정보로 데이터베이스를 만든다. LSDB를 나타낸다.
3. 데이터베이스를 SPF Algorithm으로 가공해 SPF Tree 구조를 구축한다.
4. SPF Tree 구조를 기반으로 Routing Table이 만들어진다.

Metric

OSPF는 Bandwidth를 Metric값으로 가지며, Cost라고도 부른다.
Cost = 100,000,000 / Bandwidth [bps]

하나의 예시로 위 Topology에서 R1-E0/0에 OSPF를 올리려면

R1(config)#router ospf 1
R1(config-router)#network 192.168.16.1 0.0.0.0 area 0
network [광고를 뿌리는 것을 허용할 인터페이스의 IP 주소] 0.0.0.0 area [area number]

- ip주소, Wild Card (Mask 값의 1의 보수), area 이렇게 3가지를 지정해준다.

네트워크 상에 OSPF 라우팅 환경을 완전히 구축하려면 같은 방식으로 모든 L3 장비의 네트워크로 연결되는 인터페이스(포트)에 위와 같이 area를 잡아주면 된다.

Commands

show ip protocols : 라우팅 프로토콜 조회
show ip route : 라우팅 테이블 조회
show ip ospf : OSPF 상태 정보 조회
show ip ospf database : LSDB 조회
show ip ospf neighbor : 이 라우터의 Neighbor 라우터 조회
debug ip ospf : OSPF 디버깅 시작
un all : 디버깅 종료

라우터의 종류와 관계

라우터들은 Neighbor 검색을 위해 Hello Packet을 교환한다. 교환 시 특정 속성값들을 비교하며, 조건에 부합한다면 Router는 Neighbor Up 상태라고 선언한다. 관계의 종류에는

Full Adjacency : 모든 정보를 공유 (아주 가까운 친구와 같은 이웃)
Two-way : Hello Packet만 주고 받은 상태 (인사만 한 이웃)

이렇게 두 가지가 있는데,

Point-to-Point WAN 환경에서는 두 Neighbor가 모두 Full Adjacency를 형성한다.

LAN 환경에서는 한 Area 안에서 DR, BDR을 하나씩 지정하고 Full Adjacency 관계를 형성하며, 나머지 라우터와는 Two-way 관계를 가진다. DR이란 해당 Area를 대표해서 외부의 다른 Area와 데이터를 주고 받을 때 사용하게 되는 라우터이고 당연히 성능도 더 좋다. 데이터를 Recieve 하게 되는 경우 나머지 라우터들에게 224.0.0.6(Multicast)로 데이터를 뿌려 Update 시킨다. BDR은 이 DR이 불능이 되었을 때를 대비한 예비 DR이다.

Hello Packet을 주고 받는 주기인 Hello Time은 10초이며, 40초 동안 교환이 이루어지지 않을 경우 연결을 끊는 Dead Time이 있다.

ABR, ASBR

ABR은 Area Border Router의 약자이며, OSPF 라우터 중 여러 Area에 걸쳐 있는 라우터로써 일반적인 Area와 Backbone Area를 연결한다. 통상의 Area의 정보를 요약하고 그 정보를 Backbone Area로 보내는 역할을 수행한다. 위 Topology의 R2, R3가 ABR에 해당한다.

ASBR은 Automous System Boundary Router의 약자이며, 1개 이상의 다른 AS와 연결된다.
연결된 AS의 라우터들과 라우팅 정보를 교환하며, Recieve 받은 데이터는 자신의 AS에 있는 라우터들에게 광고(Advertisement)하게 된다.

Passive Interface란 특정 인터페이스로 송신하는 광고를 막는 것이다.

Commands

R1(config-router)#passive-interface e0/0 : Ethernet 0/0 인터페이스로 나가는 광고 차단

R1(config-router)#passive-interface default : 이 라우터에서 뿌리는 모든 광고 차단

R1(config-router)#no passive-interface e0/0 : passive-interface 해제 (Ethernet 0/0 인터페이스로 나가는 광고 허용)

Static Floating Routing이란?

본사 사옥과 지사 사옥의 네트워크를 연결해야 하는 상황이 있다고 가정했을 때

평상시엔 SP에서 제공받은 전용 회선으로 빠르고 안전한 통신을 하며

전용선에 문제가 생겨 사용하지 못하게 될 경우를 대비해

ISP에서 제공받은 인터넷 회선에도 라우터를 연결시켜 이중화 해두는 것을 말한다.

라우팅하는 프로토콜의 우선 순위를 결정하기 위해 AD(Administrative Distance) 값을 사용하게 되는데,

Static Routing의 디폴트 값이 1이므로 이중화시키는 보조 회선에는 Distance 값을 5 정도로 주어 우선 순위에서 밀려나게 한다.

아래에는 Topology와 R1~5의 route configuration만을 적어두었다.

R1

ip route 0.0.0.0 0.0.0.0 e0/0 192.168.12.20

R2

ip route 1.1.1.0 255.255.255.0 e0/0 192.168.12.10
!
ip route 5.5.5.0 255.255.255.0 s1/0 192.168.23.20
ip route 5.5.5.0 255.255.255.0 s1/2 192.168.24.20 5
!
ip route 192.168.45.0 255.255.255.0 s1/0 192.168.23.20
ip route 192.168.45.0 255.255.255.0 s1/2 192.168.24.20 5

R3

ip route 1.1.1.0 255.255.255.0 s1/0 192.168.23.10
ip route 192.168.12.0 255.255.255.0 s1/0 192.168.23.10
!
ip route 5.5.5.0 255.255.255.0 s1/1 192.168.34.20
ip route 192.168.45.0 255.255.255.0 s1/1 192.168.34.20

R4

ip route 5.5.5.0 255.255.255.0 e0/0 192.168.45.20
!
ip route 1.1.1.0 255.255.255.0 s1/1 192.168.34.10
ip route 1.1.1.0 255.255.255.0 s1/2 192.168.24.10 5
!
ip route 192.168.12.0 255.255.255.0 s1/1 192.168.34.10
ip route 192.168.12.0 255.255.255.0 s1/2 192.168.24.10 5

R5

ip route 0.0.0.0 0.0.0.0 e0/0 192.168.45.10

config를 모두 적용한 후에 traceroute로 기본으로 설정한 전용 회선을 이용하고 있는지 확인해보고,

R3에서 S1/0과 S1/1을 Shutdown시킨 후에 다시 한 번 traceroute를 해서 결과를 확인해보면

이번엔 패킷이 인터넷 회선을 타고 이동했으며, Hop Count 또한 4에서 3으로 변화했음을 알 수 있다.