Configure Terminal_

TCP/UDP, Timerange 제어 1. TCP, UDP 제어 TCP, UDP 의 포트넘버를 분류하여 엑세스 리스트를 작성한다. R1(config-ext-nacl)# deny {tcp | udp} {host | ip address} {eq | neq | gt | lt} {tcp, udp port number} {host | ip address} {eq} {tcp, udp port number} ex) 목적지 100.1.1.0/24 대역에 대해 모든 텔넷 세션을 차단 (eq 설정시 정확히 해당 포트넘버만 지정) R1(config-ext-nacl)# deny tcp any 100.1.1.0 0.0.0.255 eq telnet 목적지 호스트 10.1.1.1이 NTP 서버로 운용중일때 내부 사설네트워크 대역..

Extended access list 1. numbered mode R1(config)# access-list {extended acl number} {deny | permit | remark | dynamic} {protocol} {host | source address} {wildcard mask}{host | destination address}{wildcard mask} 2. named mode R1(config)# ip access-list extended {acl number | WORD} R1(config)# {deny | permit | remark | dynamic} {protocol} {host | source address}{wildcard mask}{host | destination..

named standart access list R1(config)# ip access-list standard {standard number | WORD}R1(config)# {sequence number} {deny | permit | remark } {host | any | a.b.c.d} {log | wildcard mask} numbered 엑세스 리스트와의 차이는, 시퀀스 넘버별로 행을 바꾸며 적용가능하고, 단일 시퀀스행 만 삭제가 가능하며, 이름으로 지정하므로 관리가 편하다는차이점이 있다. 그 외엔 다른게 없음 ex) branch 지사의 내부사설 네트워크 192.168.50.0/24 를 모두 거부하고 나머지는 허용함 R1(config)# ip access-list standard Branch..

Numbered standard access list R1(config)# access list {acl number} {permit | deny | remark} {host | ip address | any } {wildmask} 가장 먼저 생긴 ACL로써 출발지 주소의 단일 호스트, 혹은 와일드카드 마스크를 이용한 네트워크 단위로 지정하여 허용 혹은 거부한다. (1) ACL Number - 번 사용 (2) permit 은 허용, deny는 거부, remark는 해당 엑세스 리스트의 설명을 100자 이내로 메모한다. (3) host 는 단일 호스트를 지정하며, 와일드 마스크를 이용한 네트워크 범위 지정이 필요할시 뒤에 와일드 마스크 명시 any 모두 혀용 혹은 거부 ex) R1(config)# acce..

Dynamic Host 공용망의 ISP에서 고객으로 유동아이피를 넘겨준다고 가정할시 이에 대한 VPN 구성을 알아본다. (1) R1 과 R5는 기본적인 IPsec VPN 연결을 하였다. (2) R2와 R6은 GRE 터널링을 통해 연결되었다. (3) R1 R5 와 R2 R6은 서로 통신하지 않는다고 가정하며 고용망 R3과 R4는 IGP를 이용하여 서로통신한다고 가정 (4) R4는 DHCP 서버가 되어 R5와 R6에게 각각 사설 IP를 뿌려준다. (5) R2 와 R6의 GRE 터널은 각각 가상의 루프백 10.1.2.2 , 10.1.6.6 으로 설정한다. R1 (1) 인증키 설정시 상대방 피어의 주소를 특정하지 않고 모든 네트워크로 지정한다. (상대방이 유동 IP이므로) (2) 별도의 dynamic map 을..

GRE tunneling GRE 터널링은 Cisco 에서 개발한 터널 프로토콜로써 IP 네트워크 기반의 포인트 투 포인트 가상 통로를 구성한다.보안을 위한 용도로 VPN에 주로 사용된다.단순 IPsec VPN의 구성에서 GRE 프로토콜을 VPN 네트워크 범위에 삽입함으로써 일반 IP패킷은 IPsec으로 보호하고패킷이동은 GRE 터널을 통하도록 한다. 출발지 목적지 호스트의 네트워크 주소 관리가 단순 IPsec보다 더 간결하다. (1) R2-R4 는 GRE tunnel interface 24 로 설정하고 R2-R5 25 로 설정한다. (2) 고객단 엣지 라우터와 공용망 라우터는 OSPF 로 통신한다고 가정 [192.168.x.x] R2 (1) 터널 인터페이스를 구성한다. 출발지와 목적지 아이피는 인터페이스..

IPsec VPN 1. IKE 1단계 설정 (1) 피어 인증 (RSA-sig, RSA-encr, Pre-Share) (2) 패킷 암호화 (DES, 3DES, AES) (3) 대칭키생성 알고리듬 (Diffie-Hellman group 1, 2, 5) 2. IKE 2단계 설정 (1) 보호할 네트워크 대역설정 (2) SA 암호화 알고리듬 (ESP-AES, ESP-DES, ESP-3DES, ESP-MD5-HMAC) (3) 무결성 확인 (ESP-MD5-HMAC, ESP-MD5-SHA) 3. Crypto Map 생성후 인터페이스 적용 예제 (1) [221.1.x.x]를 공용망으로 가정하고 이를 IPsec VPN으로 연결한다. (2) R1, R6, R7은 모두 OSPF area 0으로 광고한다. (3) 모든 트래픽이..

SoO, VRF export map 1. Site of origin BGP의 확장 커뮤니티 속성으로써 동일한 AS 영역내에서 루프 구조에서 트래픽을 해당 CE로 분리하도록 설정한다. 2. VRF export map CE 라우터에 연결된 고객의 내부 네트워크에 대해 서로 다른 route-target을 지정한다. prefix-list 로 대역을 분리한후 개별 대역에 대해 서로 다른 route-target 을 부여하는 export-map을 생성한다. 예제 (1) company1 - company2, company3 간 MPLS VPN망을 구축하였다. MPLS망 내부는 ISIS L2로 통신한다. (2) company1 의 11.1.1.1/24 대역은 route-target 1:41 로써 company2 와 통신..

MPLS VPN OSPF 1. CE-PE OSPF routing OSPF를 CE-PE구간 IGP로 구성할시엔 특별한 부분은 없다. BGP와 상호 재분배하여 정보를 교환한다. 2. Super Backbone MPLS VPN에서 OSPF는 백본에어리어의 상위 개념인 슈퍼백본에어리어로 연결된다. 이것은 Area가 다르더라도 동일한 OSPF process ID를 사용하는 라우터끼리 IA 즉 내부경로로 연결하기 위함이다. 여기서 두 라우터의 Process ID가 다른 경우엔 외부경로로 연결되며 이를 OSPF 도메인 ID를 동기화하는등의 방법으로 내부경로처럼 변경할수 있다. 3. OSPF Sham-link 만약 고객 A와 B가 MPLS VPN으로 두 업체의 메인회선으로 연결한후, 백업회선의 필요성에 의해 전용선을 ..

CE-PE routing MPLS VPN설정시 MPLS edge 라우터(PE) 와 고객 라우터(CE) 사이에 운용하는 IGP에 따라 설정에 차이가 있다.아래의 토폴로지에서R1,2,3,4 가 MPLS망으로 운용된다고 가정하고, Head-branch1 - branch1 간에 통신Head-branch2 - branch2 간에 통신이렇게 두개의 업체에 VPN 서비스 한다고 가정하였다. Head-branch1 과 Head-branch2 는 R1과 각각 eBGP 피어링, 정적경로(static)으로,branch1 과 branch2 는 R4와 각각 EIGRP, RIPv2로 상호 통신한다고 가정한다.현업에서는 이렇게 IGP를 혼용해서 통신하는경우는 드물며, 테스트용도로 구성하였다.OSPF의 경우는 슈퍼백본, 샴링크, 도..