interplanetary detour

Static Floating Routing이란?

본사 사옥과 지사 사옥의 네트워크를 연결해야 하는 상황이 있다고 가정했을 때

평상시엔 SP에서 제공받은 전용 회선으로 빠르고 안전한 통신을 하며

전용선에 문제가 생겨 사용하지 못하게 될 경우를 대비해

ISP에서 제공받은 인터넷 회선에도 라우터를 연결시켜 이중화 해두는 것을 말한다.

라우팅하는 프로토콜의 우선 순위를 결정하기 위해 AD(Administrative Distance) 값을 사용하게 되는데,

Static Routing의 디폴트 값이 1이므로 이중화시키는 보조 회선에는 Distance 값을 5 정도로 주어 우선 순위에서 밀려나게 한다.

아래에는 Topology와 R1~5의 route configuration만을 적어두었다.

R1

ip route 0.0.0.0 0.0.0.0 e0/0 192.168.12.20

R2

ip route 1.1.1.0 255.255.255.0 e0/0 192.168.12.10
!
ip route 5.5.5.0 255.255.255.0 s1/0 192.168.23.20
ip route 5.5.5.0 255.255.255.0 s1/2 192.168.24.20 5
!
ip route 192.168.45.0 255.255.255.0 s1/0 192.168.23.20
ip route 192.168.45.0 255.255.255.0 s1/2 192.168.24.20 5

R3

ip route 1.1.1.0 255.255.255.0 s1/0 192.168.23.10
ip route 192.168.12.0 255.255.255.0 s1/0 192.168.23.10
!
ip route 5.5.5.0 255.255.255.0 s1/1 192.168.34.20
ip route 192.168.45.0 255.255.255.0 s1/1 192.168.34.20

R4

ip route 5.5.5.0 255.255.255.0 e0/0 192.168.45.20
!
ip route 1.1.1.0 255.255.255.0 s1/1 192.168.34.10
ip route 1.1.1.0 255.255.255.0 s1/2 192.168.24.10 5
!
ip route 192.168.12.0 255.255.255.0 s1/1 192.168.34.10
ip route 192.168.12.0 255.255.255.0 s1/2 192.168.24.10 5

R5

ip route 0.0.0.0 0.0.0.0 e0/0 192.168.45.10

config를 모두 적용한 후에 traceroute로 기본으로 설정한 전용 회선을 이용하고 있는지 확인해보고,

R3에서 S1/0과 S1/1을 Shutdown시킨 후에 다시 한 번 traceroute를 해서 결과를 확인해보면

이번엔 패킷이 인터넷 회선을 타고 이동했으며, Hop Count 또한 4에서 3으로 변화했음을 알 수 있다.

서브넷팅

192.168.10.0/25
192.168.10.128/25

Router - PC처럼 설정하기 (hostname과 IP 바꿔서 나머지도)

!
en
!
conf t
!
##################################################
ho PC3
##################################################
ip domain-name netsec.kr
no ip domain-lookup
!
no ip routing
!
line console 0
exec-timeout 0
exit
!
int e0/0
##################################################
ip add 192.168.10.1 255.255.255.128
##################################################
no shutdown

Switch - SW1 기본 설정 (hostname만 바꿔서 SW2도)

!
en
!
conf t
##################################################
ho SW1
##################################################
ip domain-name netsec.kr
no ip domain-lookup
!
banner motd ^
NETSEC-SW1
^
!
username user01 secret cisco
username admin privilege 15 secret cisco
!
line console 0
 exec-timeout 0
 logging sync
 login local
 exit
!
line vty 0 4
 exec-timeout 0
 logging sync
 transport input ssh
 login local
 exit
!
ip ssh time-out 30
ip ssh version 2
crypto key generate rsa general-keys modulus 1024
!

exit
copy running-config startup-config

Switch - 필요한 인터페이스 빼고 shutdown

int range ethernet 0/0 - 3,1/0 - 3,2/0 - 3,3/0 - 3
shutdown
!
int range ethernet 0/0 - 1,1/1
no shutdown

Switch - VLAN access 설정 (여러가지 수정해서 SW2도 적용)

!
do show vlan brief
int e0/0
desc VLAN100-PC3
switchport mode access
switchport access vlan 200
no shutdown
!
int e0/1
desc VLAN200-PC4
switchport mode access
switchport access vlan 100
no shutdown
!
do show vlan brief
!
!trunk
int e1/1
desc trunk-vlan100-vlan200
shutdown
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan 100,200
switchport nonegotiate
no shutdown
end
!
show interfaces trunk
!

아래와 같이 설계된 네트워크의 구조에서

1. 해당 네트워크를 구축한다.
2. 필요에 맞게 주소를 Subnetting 한다.

이 2가지의 프로세스를 진행한다.

*원래 실습에선 SSH 서버의 활성화와 연결까지 했었지만 비교적 간단해서 이번 포스팅에서 따로 언급하진 않는다.

SSH 서버 활성화의 내용이 포함된 포스팅 : https://yoonhoji.tistory.com/20

Subnetting 및 네트워크 인터페이스 IP 설정

실제 라우터를 설정하기에 앞서 먼저 논리적으로 Subnetting을 마쳐야 한다.

이 때 큰(많은 IP주소를 할당받는) 네트워크를 우선적으로 Subnetting 해야 한다.

R1의 아래쪽 loopback(가상의 네트워크 영역)은 네트워크 이름과 브로드캐스트 주소 포함 64개의 IP를 필요로 하고,

R3의 loopback 또한 64개의 IP를 필요로 한다.

이전에 올린 Subnetting에 대한 포스팅에서 네트워크 갯수 기준이면 왼쪽에서부터 카운팅, IP 갯수 기준이면 오른쪽에서부터 카운팅을 한다고 했다. 지금은 한 네트워크 당 필요한 IP의 갯수가 64로 정해져 있으니 오른쪽에서부터 카운팅해서 서브넷 비트를 결정해야 한다.

Subnetting에 대한 포스팅 : https://yoonhoji.tistory.com/14

64 = 2^6 이므로 오른쪽부터 비트 6개를 세면 왼쪽에 남은 2비트를 서브넷 비트로 사용해야함을 알 수 있다.

2비트로 나오는 경우의 수는 00, 01, 10, 11 총 4가지다.

2개의 비트를 사용했기 때문에 서브넷 마스크는 255.255.255.192이고,

호스트 비트를 나열해보면

00000000~00111111 : 0~63 : 192.168.10.0 255.255.255.192 (CIDR : 192.168.10.0/26)

01000000~01111111 : 64~127 : 192.168.10.64/26

10000000~10111111 : 128~191 : 192.168.10.128/26

11000000~11111111 : 192~255 : 192.168.10.192/26

이렇게 4개의 네트워크로 나누어진다.

여기서 192.168.10.0/26과 192.168.10.64/26 네트워크를 R1과 R3의 loopback에 할당하면 필요로 하는 64개의 IP를 만족시킬 수 있다.

R1~R2 네트워크에서 필요한 IP의 갯수는 R1의 f0/0 인터페이스에 할당할 IP와 R2의 f0/0 인터페이스에 할당할 IP로 총 두 개가 필요하다. 거기에 더해서 네트워크 이름과 브로드캐스트 주소에 할당할 IP 하나씩이 더 필요하므로  우린 여기서 128과 192 네트워크 두 개를 모두 쓸 필요가 없다. 128번대 네트워크는 추후 필요할 상황을 대비해 내버려두고 192번대의 네트워크를 VLSM으로 한 번 더 Subnetting하여 사용한다. 

4개의 IP주소가 필요하므로 오른쪽에서 2비트를 카운팅하면 이미 Subnetting해 놓은 비트를 제외하고 4비트를 더 서브넷 비트로 쓰게 된다. 총 6비트를 사용하기에 너무 많은 경우의 수가 생겨 나열하기도 힘들 것이다. 하지만 여기서 4개의 IP를 필요로 하는 네트워크는 2개밖에 없기 때문에 앞에서부터 2개만 나열하고 그대로 사용하면 된다.

11000000~11000011 : 192~195 : 192.168.10.192/30

11000100~11000111 : 196~199 : 192.168.10.196/30

이렇게 해서 Subnetting한 두 개의 네트워크를 통해 라우터들의 각 인터페이스에 IP를 부여해 줄 것이다.

R1-F0/0 : 192.168.10.193 255.255.255.252

R2-F0/0 : 192.168.10.194 255.255.255.252

R2-S0/0 : 192.168.10.197 255.255.255.252

R3-S0/0 : 192.168.10.198 255.255.255.252

라우터 3개를 준비하고 모두 아래와 같이 설정한다.

Serial Interface를 사용하기 위해 WAN Interface Card를 장착하는 것이다.

우클릭 -> Configure -> Slots -> wic 0: WIC-2T

이후 유선 연결을 해주는데 주의사항은 아래에 기재해 놓은 Serial 포트에 맞게 연결해야 한다는 것.

R1

R1#conf t

R1(config)#int s0/0

R1(config-if)#description R2-S0/0

R1(config-if)#ip add 192.168.10.10 255.255.255.0

R1(config-if)#encapsulation ppp

R1(config-if)#bandwidth 512

R1(config-if)#no shutdown

R1(config-if)#end

R1#show ip int brief

R2

R2#conf t

R2(config)#int s0/0

R2(config-if)#description R1-S0/0

R2(config-if)#ip add 192.168.10.20 255.255.255.0

R2(config-if)#encapsulation ppp

R2(config-if)#bandwidth 512

R2(config-if)#no shutdown

R2(config-if)#end

R2#show ip int brief

R2#conf t

R2(config)#int s0/1

R2(config-if)#description R3-S0/1

R2(config-if)#ip add 192.168.20.20 255.255.255.0

R2(config-if)#encapsulation hdlc

R2(config-if)#bandwidth 512

R2(config-if)#no shutdown

R2(config-if)#end

R2#show ip int brief

R3

R3#conf t

R3(config)#int s0/1

R3(config-if)#description R2-S0/1

R3(config-if)#ip add 192.168.20.10 255.255.255.0

R3(config-if)#encapsulation hdlc

R3(config-if)#bandwidth 512

R3(config-if)#no shutdown

R3(config-if)#end

R3#show ip int brief

show ip interface brief 시에 모든 라우터에서 프로토콜이 up으로 되어 있으면 인터페이스 간 연결이 된 것.

GNS3에서 라우터 터미널 실행

GNS3를 실행하고 좌측 상단의 회색 라우터 모양 버튼을 클릭한다.

추가해 놓은 c3745 모델을 클릭하고 드래그 앤 드랍으로 필드(?)에 꺼내 놓는다.

라우터를 우클릭하고 Start를 클릭해서 실행한다.

우측 상단의 R1 telnet localhost:5000 이 녹색 원으로 켜짐이 표시되면

다시 라우터 우클릭 -> Console 에 들어간다.

Would you like to enter the initial configuration dialog? [yes/no] :

가 나오면 Ctrl+C를 누르고 기다린다.

기다리다 보면 로드가 완료되고

Press RETURN to get started!

다이얼로그가 나오면 Enter키를 누른다.

Router> 프롬프트가 나오면 아래 명령어들을 실습해보자.

라우터 터미널은 configuration이 바로 적용되어서

실수할 경우 즉시 통신이 끊어지는 일이 발생하며 실무에서 이는 치명적이기 때문에

메모장에 미리 입력해 놓고 옮기는 등 조심해서 적용해야 한다.

탭 키로 자동 완성 가능

화면 클리어 명령은 없음 (엔터를 계속 쳐야 한다)

Router 터미널 명령어

*Bold체는 사람이 입력한 부분

명령어 도움말 보기

Router> en?

'en'으로 시작하는 명령어들을 확인할 수 있다.

이외에도 많은 사용법이 있으니 자주 사용해보자.

유저 / 관리자 모드 전환

Router> enable

Router# disable

Router>

Global Configuration

Router# configure terminal

Router(config)#

상위 프롬프트로 돌아가기

Router(config-if)# exit

Router(config)#

---------------------------

Router(config-if)# end

Router#

호스트 네임 변경

Router(config)# hostname R1

R1(config)#

Banner 설정 (Message Of The Day)

R1(config)# banner motd ^

Enter TEXT message.  End with the character '^'.

Hello, World!

^

R1(config)# end

R1# exit

-----------------------------------------------------

입력한 메시지를 배너로 확인할 수 있을 것이다.

장비의 하드웨어/소프트웨어(OS) 정보 확인

R1# show version

Running Config

R1# show running-config

------------------------------

확인 후 프롬프트로 돌아가려면 Ctrl+C

시간 정보 확인 및 수정

R1# show clock

*01:12:39.855 UTC Fri Mar 1 2002

R1# clock set 17:35:00 30 OCT 2021 (변경되었다는 로그 메시지가 나온다)

R1# show clock
17:35:09.515 UTC Sat Oct 30 2021

History 관련 명령어

R1# show history

--------------------------

또는 위, 아래 방향키를 이용해서 로그를 확인할 수 있다.

이 히스토리를 제 3자가 확인할 경우 보안 상의 문제가 생길 수 있기 때문에

실무에서는 히스토리 기능을 꺼놓는 것이 좋다.

--------------------------

R1# terminal history size 0

관리자 모드 접근 암호 설정

password를 사용할 시 running-config에서 그 값을 확인할 수 있고,

service password-encryption을 하더라도 그 알고리즘이 많이 알려져 있어

쉽게 복호화할 수 있기 때문에 그다지 효과가 없다.

그래서 해쉬 알고리즘을 사용해서 복호화할 수 없는 secret을 사용해야 한다.

end -> exit 명령어 입력 후 엔터로 진입하면 비밀번호 또는 유저네임의 변경 사항을 확인할 수 있다.

--------------------------------------------------------

R1(config)# enable secret [비밀번호 입력]

암호 삭제

R1(config)# no enable secret

콘솔 접근 암호 설정

R1(config)# line console 0 (원격지 접속이 아닌 로컬 접속의 콘솔 라인)

R1(config-line)# password [패스워드 입력]

R1(config-line)# login

암호 삭제

R1(config-line)# no login

R1(config-line)# no password

콘솔 접근 계정 설정

일반 유저 계정

R1(config)# username user01(유저네임) secret cisco(비번)

관리자 계정

R1(config)# username admin privilege 15(관리자 권한) secret cisco

자동 로그아웃

R1(config-line)# exec-timeout 3(분) 0(초)

-------------------------

해당 시간이 지나면 터미널에서 자동으로 로그아웃 된다.

0 0으로 값을 넣으면 자동 로그아웃 비활성화이다.

로그 메시지 분리

R1(config-line)# logging synchronous

------------------------

end 명령어 입력 시에 나오는 로그 메시지가

입력 중이던 명령어와 합쳐져 보일 수 있는데 그걸 방지해준다.

Configuration 저장

R1# copy running-config startup-config

IP 인터페이스 변경 및 확인

R1# show ip interface

R1# show ip interface brief (간략하게)

R1(config)# interface f0/0
R1(config-if)# ip add 192.168.10.10 255.255.255.0
R1(config-if)# no shutdown

R1(config-if)# end

R1# show ip interface brief

SSH 설정(라우터 2개)

서버 라우터 설정

R1(config)#ip domain-name netsec.kr
R1(config)#crypto key generate rsa general-keys modulus 1024

R1(config)#username admin privilege 15 secret cisco

R1(config)#line vty 0 4

R1(config-if)#transport input ssh

R1(config-if)#login local

R1(config-if)#end

R1#show running-config

--------------------------------

클라이언트에서 접속

R2#ssh -l admin 192.168.10.10

(이후 패스워드 입력)

SSH의 Version은 3가지가 존재하는데 v1.0, v1.9, v2.0이 있다.

이 중 v2.0이 보안적으로 안정적이어서 좋다고 한다.

Encapsulation(택배 포장)

Layer 4 PDU (Segment) : TCP 헤더 붙이기(제품명 적기)

Layer 4 Header(Port Number) + Original Data

계층별 장비 - L4 Switch - 4계층 헤더만 처리할 수 있음

Layer 3 PDU (Datagram = Packet) : IP 헤더 붙이기(이름 적기)

Layer 3 Header(Source IP, Destination IP) + Segment

계층별 장비 - Router - 3계층 헤더만 처리할 수 있음

MTU(Maximum Transmission Unit) : 한 패킷이 전송할 수 있는 최대 용량. 이더넷에서는 1,500bytes.

MSS(Maximum Segment Size) : TCP Header와 IP Header의 기본 사이즈가 20bytes이므로 MSS는 1460bytes이다.

Layer 2 PDU (Frame) : Ethernet 헤더 붙이기(집 주소 적기)

Layer 2 Header(MAC Address) + Datagram + Layer 2 Footer

계층별 장비 - Switch - 2계층 헤더만 처리할 수 있음

데이터를 신호로 변환해서 전송

계층별 장비 - Hub - 전기적인 신호만 처리할 수 있음

Decapsulation(택배 포장 뜯기)

받은 신호를 데이터로 변환

계층별 장비 - Hub - 전기적인 신호만 처리할 수 있음

Layer 2 PDU (Frame) : Ethernet 헤더 제거

Frame - (Layer 2 Header + Layer 2 Footer) = Datagram

계층별 장비 - Switch - 2계층 헤더만 처리할 수 있음

Layer 3 PDU (Datagram) : IP 헤더 제거

Destination IP가 맞는지 확인

Datagram - IP Header = Segment

계층별 장비 - Router - 3계층 헤더만 처리할 수 있음

Layer 4 PDU (Segment) : TCP 헤더 제거

TCP 헤더 확인, 포트 넘버 확인

Segment - TCP Header = Original Data

계층별 장비 - L4 Switch - 4계층 헤더만 처리할 수 있음