Configure Terminal_

NAT-PT Network Address Translation - Protocol Translation IPv4 - IPv6 간 NAT로 통신하도록 한다. 1. Static NAT-PT IPv6 - v4 주소를 1:1 로 매칭한다. (1) 인터페이스에 ipv6 nat 명령으로 nat-pt 를 활성화한다. inside, outside 설정 불필요 (2) ipv6 주소로 변환될 nat prefix 대역을 설정한다. 위와같이 출구인터페이스에서 지정할시 해당인터페이스만, 글로벌 모드에서 설정시 모든 인터페이스에 nat prefix를 적용한다. 96 bit로 무조건 고정된다. (3) v6 에서 v4로 변환될 주소를 매칭한다. (4) v4 에서 v6로 변환되어 들어올 목적지 주소를 매칭한다. 위에서 설정한 nat ..

NAT redundancy 1. NAT/HSRP HSRP (hot standby routing protocol)를 이용한 가장 단순한 이중화 구성이다. 다만 HSRP는 시스코 전용 프로토콜이며, static NAT만 적용가능하므로 제한적인 이중화만이 가능하다. 위의 예제에서 internet ISP 에서 공인 IP [10.1.1.1] [10.1.1.2]를 할당하고 이를 R1과 R2로 하여금 이중화로 구성하도록 하였다. R1 (1) f0/0 line-protocol 을 트래킹한다. (2) hsrp 설정시 이름을 지정한다. (3) inside local IP 주소 200.1.1.3 (R3) 을 공인 ip [10.1.1.1]로 변환한다. 그리고 redundancy 명령과 위에서 설정한 HSRP 이름을 기재한다...

PAR, PAT 1. PAR (port address redirection) PAR 는 동일한 공인 IP에 포트별로 다른 목적지 사설 IP를 매칭함으로써 공인 IP를 사설 IP처럼 1:N으로 매칭하는 것을 말한다. 다수의 서버에 일일이 할당할 공인 IP가 부족하거나, 외부에서 사설 네트워크 내의 특정 서버 및 장비를 연결할시에 쓰이게된다. 포트포워딩과 거의 유사한 개념이다. 위의 예제에서 라우터와 서버 2대 장비는 같은 사설 네트워크 대역에 묶여있고, 공인 IP 1.1.12.2 의 포트를 각각 web 서버의 http 포트 80, FTP 서버의 텔넷 포트 23과 각각 매칭하기로 한다. router (1) 1.1.12.2:80 은 WEB 서버의 HTTP로 (2) 1.1.12.2:23 은 FTP 서버의 텔넷 ..

Static, Dynamic NAT 1. Static NAT 예제에서, R1을 ISP로 가정하고 R1은 R2, 3에게 NAT로 변환할 공인 IP 10.1.1.1/24 추가로 제공하였다고 할시에, R1 (1) R1에서 제공하는 공인 IP에 대해 경로를 지정해준다. R2 (1) ISP로 디폴트 게이트웨이 지정 (2) 소스 IP주소 1.1.23.3 을 ISP의 공인 IP 10.1.1.1 로 변환한다. (3) 외부 인터페이스로 outside, 내부로 연결되는 인터페이스에 inside R3 (1) R2 라우터로 디폴트 게이트웨이 설정 (2) R1으로 텔넷 세션이 성공하였다. R2 NAT translation inside local 주소인 1.1.23.3 이 global 주소 10.1.1.1로 변환되었다. 2. D..

NAT Network Address Translation 본래의 IP주소를 다른 주소로 변환한다. 변환 목적, 변환할 주소 수량 비율, 목적지 IP별 할당, 이중화 유무, 포트별 변환 등NAT를 사용하고자 하는 의도에 따라 많은 바리에이션이 존재한다. 1. Static NAT 가장 기본적인 형태의 NAT로써, 1:1 로 변환한다. 소스주소, 목적지 주소 IP를 직접 대입하여 설정한다. 2. Dynamic NAT 매핑할 외부 주소를 동적으로 변환시킨다. 외부로 변환시킬 IP 그룹을 nat pool로 생성하고 이를 소스 IP에 연결한다. 기본적으로 외부 IP 그룹의 수량에 1:1 로 대입하지만, PAT처럼 overload를 사용해 모자란 수량을 포트번호로 다시 할당하는 방법으로 동작시킬수 있다. 3. PAT..

ZFW Zone-based Policy Firewall IOS에서 구현하는 가장 상위 단계의 방화벽으로써 사실상 ASA/PIX 방화벽에 필적하는 기능들을 제공한다.존 기반으로 방화벽을 구현하며, 각각의 인터페이스에 존을 할당하고 존과존을 묶어 존페어를 만들어 트래픽의 흐름,응용계층을 포함한 프로토콜 제어, 폴리싱, 파라메터 맵을 이용한 세세한 필터링 기능을 제공한다. 위의 예제에서, (1) HOST 에서 SMTP, DNS, FTP 세개의 서버로 각각 서버가 운용하는 프로토콜과 텔넷세션이 가능하도록 설정 (2) HOST 에서 INTERNET으로 HTTP, ICMP, TELNET 을 허용 그리고 대역폭을 10Mbps 로 제한 (3) INTERNET 에서 SMTP, DNS, FTP 서버들로 HTTP만 허용 인..

URL Filtering 말그대로 특정 URL 주소를 필터링하는 정책을 말한다.IOS 기반의 URL 필터링은 프록시나 기타 우회접속은 차단할수 없다. 따라서 보다 본격적인 URL 필터링을 구현하기 위해서는 전문 시스코 방화벽 장비나 PaloAlto 등의 차세대 방화벽을 사용하는것이 권장된다. 1. Filter Server (CBAC) Websense 등의 URL 필터 서버를 이용해 조회하고 이를 허용하거나 차단한다. (1) CBAC 에서 http urlfter 항목을 설정한다. (2) websense 로 필터링할 URL을 조회하도록 하고 서버주소를 명시한다. (3) exclusive-domain 명령은 서버의 조회 없이 임시로 필터링을 할수 있도록 지원하며, 12시간후 혹은 10분간 도메인과 통신이 없을..

CBAC Context-based Access Control RACL 에서 좀더 발전된 형태로써 RACL이 커버하는 Layer4 계층을 넘어 응용계층 Layer7 까지 제어가 가능하다.내부 소스의 프로토콜에 따라 state table을 생성하고 이를 관리한다. 관리하는 각 프로토콜 별로 별도의 세션 종료시간을가진다(UDP 30초, ICMP 10초, TCP fin 패킷 수신후 5초뒤에 삭제) 또한 이는 변경가능하다. 허용되는 패킷에 대해 ACL과 함께 유동적으로 작동하는데, 먼저 CBAC에서 걸러진 패킷에 대해 허용하고 해당하지 않는정보는 모두 ACL에 의해 분류된다. 예를 들어 내부에서 외부로 나갔다 돌아올때 허용될 프로토콜을 세세하게 지정하여 외부와 통신하게 하고 외부에서 들어오는 패킷은 DACL을 이..

DACL Dynamic Access Control List 외부에서 ACL 방화벽을 올린 라우터로 인증을 받은후 인증완료된 사용자에 한해 내부로 통신이 가능하게 한다.ACL에 외부 인증기능을 추가함으로써 원격지의 인증된 사용자와의 통신을 가능하게 한다. 1. 방화벽 기능을 하는 중간라우터에서 DACL 기능을 활성화 2. 외부에서 방화벽 라우터로 텔넷 접속 3. 중간라우터에서 외부사용자에 대한 인증. 여기서 인증은 AAA 혹은 로컬 데이터베이스 사용(텔넷 패스워드는 비추) 4. 인증받은 사용자의 IP가 중간라우터에서 임시 ACL에 출발지 IP로 정의됨으로써 일종의 백도어가 생성됨 Router (1) AAA 인증을 사용하여, line 연결시 로컬 데이터베이스를 참고하도록 하였다. 인증에 관련된 부분은 유저 ..

RACL Reflexsive Access Control List 기존의 ACL에서 간단한 설정으로 내부에서 나가는 트래픽에 대해 제한없이 송신하고 외부에서 들어오는 패킷을 차단하도록하는 좀 더 발전된 형태의 ACL이다.내부에서 나가는 트래픽의 특정 번호(port 번호, type 넘버등)를 기억하였다가 동일한 트래픽이 다시 유입된다고 판단되면 그 부분만 허용한다. 이는 ACL에서 임시 ACL 리스트를 만들어 이를 기록함으로써 판단하게 된다. (1) 서버단의 내부 트래픽은 TCP, UDP, ICMP에 한해 외부 호스트로 자유롭게 통신한다. (2) 호스트단에서는 서버에 응답해주는 패킷을 제외하고 모두 라우터에서 차단된다. Router (1) 먼저 내부(서버)로 들어오는 트래픽에 대한 정책을 정하는데, 일단 동..