12월 17

[GNS3 Labs. – Cisco] Access List

Cisco ACL(access list) 만들기.

access list는 기본적으로 패킷을 비교 분류 처리하는 패킷 필터이며, 리스트가 작성되면 인터페이스의 inbound 또는 outbound 트래픽에 적용할 수 있다.
ACL을 적용하면 지정된 인터페이스에서 그 인터페이스를 통과하는 모든 패킷을 검사하고 조치를 취하게 된다.

패킷이 ACL과 비교될 때의 세가지 규칙
. 패킷은 항상 acl과 순서대로 비교된다.
. 패킷은 규칙과 일치될때 까지만 비교되고 일치된 이후는 비교되지 않는다.
. acl 끝에는 암묵적으로 ‘deny’가 있다. 즉 패킷이 모든 조건과 일치하지 않으면 폐기된다.

ACL 종류
. Standard access list – 트래픽 종류와 관계없이 source IP 주소만 조건 평가에 이용한다.
. Extend access list – L3 또는 L4 IP 패킷의 헤더로 조건을 평가한다.
. Named access list – standard 또는 extend access list에 이름을 붙인것.

ACL을 패킷 필터로 이용하려면 트리팩을 필터하려는 라우터의 인터페이스에 적용해야한다. 또한 트래픽 방향을 지정해야한다.
. inbound acl – acl이 인터페이스의 inbound 패킷에 적용되었을때, 그 패킷은 outbound 인터페이스로 라우팅 되기 전에 acl에 의해 처리된다.거부된 패킷은 라우팅전에 폐기된다.
. outbound acl – acl이 인터페이스의 outbound 패킷에 적용되었을때, 그 패킷은 outbound 인터페이스로 라우팅 된 후 다음 대기열에 들어가기전에 acl에 의해 처리된다.

Continue reading

12월 12

[GNS3 Labs. – Cisco] 스위치(VLAN, VLAN 라우팅)

[GNS3 Lab. – Cisco] 스위치(VLAN, VLAN 라우팅) 설정하기

작업환경
– GNS3 vm 시뮬레이터
– IOU L2 스위치, IOU L3 스위치(라우터)

* 참고사항
Layer2 스위치의 세가지 기능
– address learning
– Forward/filter 결정
– Loop 회피

스위치 – collision domain
라우터 – broadcast domain
스위치에서 broadcast domain을 나누기위해 VLAN을 이용한다. VLAN 사이에 통신을 원할 경우 라우터나 IVR(Inter-VLAN Routing)이 필요하다.

* 용어
Access port : 엑세스 포트는 한의 VLAN에 속하고 프래픽을 전달한다. 트래픽은 VLAN 정보(tagging) 없이 송수신 된다.
Trunk port : VLAN 정보가 추가된 프레임인 tagged 트래픽을 전달하는 포트. 여러 VLAN에 속할 수 있다.
– 802.1q trunking을 사용하면 vlan tag가 있는 트래픽과 vlan tag 없는 트래픽을 동시에 지원할 수 있다.
– 스위치 포트는 Access 포트나 trunk포트 중 하나로만 만들 수 있고 둘 다 사용할 수는 없다.
VLAN identification(VLAN 식별) : 어떤 프레임이 어떤 VLAN에 속하는지 구별하는 방법으로 하나 이상의 trunking 방법이 있다.
– ISL(Inter-Switch Link)은 VLAN 정보를 이더넷 프레임에 태그하는 방법.시스코에서만 사용한다.
– IEEE802.1q – 실제로 필드를 프레임에 끼워넣어 VLAN을 식별하는 방법.
ROAS(Router on a Stick) – 하나의 라우터 인터페이스를 여러 논리 인터페이스로 나누어 VLAN간 라우팅하는 방법.
IVR – L3 스위치에 논리 인터페이스를 구성해서 VLAN간 라우팅을 하는 방법으로 라우터가 필요하지 않으며, 외부라우터를 이용하는 것보다 효율적이다.
Continue reading

12월 10 2017

[GNS3 Labs. – Cisco] 라우팅 part 3 (Dynamic Routing – OSPF)

[GNS3 Lab. – Cisco] 라우팅 part 3 (Dynamic Routing – OSPF)

참고문서 : CCNA® Routing and Switching Study Guide – sybex

* 작업 환경
GNS3 vm 시뮬레이터
각 라우터는 IOU L3 스위치 이용.
필요한 최소한의 설정만 적용(비밀번호 등의 설정은 배제 하였음).

* 구성
이전 구성에, Boulder 라우터를 추가 했다.

Continue reading

12월 10 2017

[GNS3 Labs. – Cisco] 라우팅 part 2 (Dynamic Routing – RIP v2)

[GNS3 Lab. – Cisco] 라우팅 part 2 (Dynamic Routing – RIP v2)

Dynamic Routing은 라우터에서 네트워크를 찾고 라우팅 테이블을 업데이트하는 프로토콜이다. 이것은 정적 또는 기본 라우팅을 사용하는 것보다 쉽지만 라우터의 CPU 처리 및 네트워크 링크의 대역폭 측면에서 비용이 추가된다. 라우팅 프로토콜은 인접한 라우터 사이에 라우팅 정보를 교환할 때 라우터가 사용하는 규칙을 정한 것이다.

* 관련 용어
Autonomous System (AS) : 단일 관리 네트워크 또는 공통 관리 도메인 아래의 네트워크 모음. 이것은 기본적으로 동일한 라우팅 테이블 정보를 공유하는 모든 라우터가 동일한 AS에 있음을 의미한다.
내부 게이트웨이 프로토콜 (IGP) : IGP는 동일한 AS의 라우터와 라우팅 정보를 교환하는 데 사용되는 프로토콜.
외부 게이트웨이 프로토콜 (EGP) : AS 간 통신에 사용되는 프로토콜.
administrative distance (AD) : 라우터에서 수신한 라우팅 정보의 신뢰도를 인접한 라우터에서 평가하는 데 사용하며, 0 ~ 255 사이의 정수값을 가진다. 0은 가장 신뢰할 수 있고 255는 이 경로를 통해 전달되는 트래픽이 없음을 의미한다.

* 라우팅 프로토콜의 세가지 범주
거리벡터(Distance vector) – 현재 사용되고 있는 거리 벡터 프로토콜은 거리를 판단하여 원격 네트워크에 가장 적합한 경로를 찾는다. RIP 라우팅에서 패킷이 라우터를 통과하는 각 인스턴스를 홉 (hop)이라고하며, 네트워크에 대한 홉 수가 가장 적은 경로가 최상의 경로가 된다. 벡터는 원격 네트워크 방향을 나타낸다. RIP는 거리 벡터 라우팅 프로토콜이며 정기적으로 전체 라우팅 테이블을 직접 연결된 이웃에게 보낸다.

Link State – 최단 경로 프로토콜이라고도하는 링크 상태 프로토콜에서 라우터는 각각 세 개의 개별 테이블을 생성한다. 이 테이블 중 하나는 직접 연결된 이웃을 추적하고, 하나는 전체 인터 네트워크의 토폴로지를 결정하고, 다른 하나는 라우팅 테이블로 사용된다. Link-state 라우터는 거리 벡터 라우팅 프로토콜보다 internetwork에 대해 더 많은 정보를 가진다. OSPF는 완전한 link state인 IP 라우팅 프로토콜이다. link state protocol은 자체 링크 상태를 포함하는 업데이트를 네트워크의 다른 모든 직접 연결된 라우터에 보내고 이웃들에게 전파된다.

Hybrid – 하이브리드 프로토콜은 거리 벡터 및 링크 상태 프로토콜 모두를 사용하며 EIGRP가 그 예가된다. 시스코는 일반적으로 EIGRP를 advence distanct vector protocol 이라고 부른다.

Continue reading

12월 10

[GNS3 Labs. – Cisco] 라우팅 part 1 (static route, default route)

[GNS3 Lab. – Cisco] 라우팅 part 1 (static route, default route)

GNS3 로 아래와 같은 네트워크를 구성하고, static route 및 default route 설정하기.
참고문서 : CCNA® Routing and Switching Study Guide – sybex

* 작업 환경
GNS3 vm 시뮬레이터
각 라우터는 IOU L3 스위치 이용.
필요한 최소한의 설정만 적용(비밀번호 등의 설정은 배제 하였음).

Continue reading

12월 01 2017

익스트림 스위치 맥 어드레스 차단, 차단 해제.

extreme switch MAC Address 차단

익스트림 스위치 EXOS에서 특정 맥 어드레스를 차단 하는 방법은 두 가지가 있다. access리스트를 이용하는 방법과, fdb를 설정하는 방법이다.

먼저, 차단할 맥 어드레스를 확인한다. 맥 어드레스 50:b7:c3:8d:ad:d6 를 확인한다.

* SWITCH # show iparp
VR            Destination      Mac                Age  Static  VLAN          VID   Port
...
VR-Default    192.168.100.206  98:de:d0:cf:ca:b9    7      NO  V132          132   20
VR-Default    192.168.100.222  50:b7:c3:8d:ad:d6   14      NO  V132          132   23
VR-Default    192.168.100.225  18:67:b0:d3:47:a2    3      NO  V132          132   23
...

Dynamic Entries  :          23             Static Entries            :          0
Pending Entries  :           0
In Request       :      890655             In Response               :      74618
Out Request      :       75297             Out Response              :       7515
Failed Requests  :           0
Proxy Answered   :           0
Rx Error         :           0             Dup IP Addr               :         0.0.0.0
Rejected Count   :       23944             Rejected IP               :  169.254.94.229
Rejected Port    :          52             Rejected I/F              : V132

Max ARP entries  :        8192             Max ARP pending entries   :        256
ARP address check:    Enabled              ARP refresh               :    Enabled
Timeout          :          20 minutes     ARP Sender-Mac Learning   :   Disabled
Locktime         :        1000 milliseconds
Retransmit Time  :        1000 milliseconds
Reachable Time   :      900000 milliseconds (Auto)
Fast Convergence :         Off

Continue reading

11월 30 2017

Cisco 스위치 맥어드레스 유지시간

Cisco 스위치의 맥어드레스 유지 시간을 확인하는 방법.

맥어드레스 테이블의 aging-time 을 확인하면 됨.

기본값은 5분(300초)이며, 아래와 같이 확인 할 수 있다. 

switch#show mac address-table aging-time 
Global Aging Time:  300
Vlan    Aging Time
----    ----------

MAC address aging 시간 조정

아래는 mac address의 aging time을 90 초로 변경하는 경우다.

switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#mac address-table aging-time 90
switch(config)#end

이제 aging time이 변경되었는지 확인해 보다.

switch#show mac address-table aging-time 
Global Aging Time:   90
Vlan    Aging Time
----    ----------

11월 28 2017

시스코 스위치 포트의 속도와 duplex 조정하기.

시스코 스위치 포트의 속도와 duplex 조정하기.

사용 장비: Cisco Catalyst 3550 Switch

모든 포트 속도 자동, duplex 자동으로 설정되어 있으나, 다른 장비와 연결시 duplex가 half 상태로 연결됨.

아래와 같이 fa0/9번의 duplex가 half로 보인다.

Switch>sh int status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/1                        notconnect   1            auto   auto 10/100BaseTX
...
Fa0/9                        connected    1          a-half  a-100 10/100BaseTX
Fa0/10                       notconnect   1            auto   auto 10/100BaseTX
Fa0/11                       notconnect   1            auto   auto 10/100BaseTX
...
Gi0/1                        connected    1          a-full a-1000 1000BaseSX SFP
Gi0/2                        notconnect   1            auto   auto Not Present

9번 포트만 확인해 보면, 

Switch#sh int fa0/9 status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/9                        connected    1          a-half  a-100 10/100BaseTX

Continue reading

11월 22

GNS3을 이용한 2 라우터 네트워크 구성

GNS3을 이용한 2 라우터 네트워크 구성

구성환경: GNS3 네트워크 시뮬레이터, CISCO 3745 IOS 이미지.

각 네트워크의 IP주소 대역은 아래와 같으며, 네트워크 1 에서 네트워크 2로 혹은 그 역방향으로 통신을 가능하도록 구성한다.
Network 1 : 192.168.100.0/24
Network 2 : 192.168.200.0/24
Serial : 172.16.1.0/30 , HDLC 프로토콜 사용.

GNS3 시뮬레이터 상에서의 구성은 아래 그림과 같다. GNS3은 https://www.gns3.com 에서 회원 가입후 다운로드 받을 수 있다.

Continue reading

11월 21

CISCO catalyst 3560 초기화

CISCO catalyst 3560 스위치 초기화

기존 설정이 필요 없으며, 비밀번호도 모르는 경우 아래 과정으로 초기화 할 수 있다.

1. 전면 Mode 버튼을 누르고 전원을 켠다.

15초 정도 전원을 Mode버튼 누르면 아래와 같이 부팅된다.

Continue reading