Configure Terminal_

Static-RP 수동(static)으로 RP를 지정하여 이를 기반으로한 셰어드 트리 (shared tree)를 구축한다. 처음 패킷은 RP를 통해서 셰어드 트리로 통신하고 다음 패킷부터는 그보다 더 좋은경로가 있을시 해당경로를 이용한다. (셰어드트리->소스트리)셰어드 트리에서 소스 트리로 넘어가는 시점을 SPT 스위치오버 임계치를 통해 조정가능하다. 예제 (1) R5_RP 라우터를 RP 라우터로 지정한다. (Static RP) (2) 별도의 지정을 하지 않을시 자동으로 R3은 DR로 작동한다. 1. Configuration (1) RP 주소를 수동으로 지정한다. 반드시 원격지에서 통신이 가능한 주소라야 한다. 특정그룹에 대해서만 RP에 등록되도록 엑세스리스트로 설정할수 있다. ip pim rp-addr..

PIM-DM Protocol Independent Multicast - Dense Mode 유니캐스트 라우팅 테이블을 통한 최단거리 라우팅으로 통신한다. (소스 트리 기반) 따라서 그룹주소와 요청호스트를 관리하는RP라우터를 따로 지정하지 않으며, 서버와 호스트의 최단거리로 통신한다. 멀티캐스트 프로토콜을 구동하는 모든 장비는각각의 그룹별 멀티캐스트 라우팅 테이블(mroute table)을 생성하고 관리(주기적으로 테이블 삭제, 생성)하므로 장비의 부하를주게된다. 다시말해, 주기적으로 중계라우터들이 멀티캐스트 인터페이스로 프레임을 플러딩(flooding)하므로 이로 인한 불필요한 시스템 부하가 발생하게 된다. 예제조건 (1) 서버, 호스트를 포함한 모든 장비는 EIGRP로 통신 (다른 IGP도 무방) (2..

Multicast 송신자를 우선하는 통신방식으로 패킷을 요청하는 호스트 수만큼 패킷을 복사하여 전송한다.IPTV, 실시간방송 스트리밍 등 주로 방송영상쪽에서 사용하는 기술이다. 실시간 통신을 유니캐스트로 전송한다고 하면 호스트 수만큼의 세션을 유지해야 하고 그러면 그만큼의 bandwidth와 부하를 감당해야하는데, 만명단위가 넘어가는 시청자들을 단일서버에서 유니캐스트로 방송을 쏴준다는것은 거의 불가능하다.따라서 서버에서는 넥스트홉 장비와 단일 세션으로 통신하고 멀티캐스트를 구동하는 장비들이 패킷을 복사하여 시청자에게보내주게 된다. 1. Muticast Protocol (1) 서버 - 라우터 멀티캐스트 프로토콜이 필요없다. 그냥 트래픽을 그대로 인접 멀티캐스트 라우터로 보내기만 하면 됨. (2) 라우터 -..

VTI Vitual Tunnel Interface 1. 별도의 설정없이 터널을 통하는 모든 트래픽에 대해 IPsec으로 보호한다.2. 설정이 단순하기 때문에 관리가 편하고 신경쓸게 없다. (1) VPN 통신을 위한 터널링을 구성하고 VTI 를 활성화한다. (2) IKE 정책을 설정하고 IPsec 프로파일에 적용한다. (3) 터널 인터페이스에 IPsec 프로파일 적용 R2 (1) R2-R4의 터널링을 설정하고 ipsec ipv4 명령을 통해 vti를 활성화한다. (2) R2-R5의 터널링을 설정한다. 위와 동일 (3) OSPF를 통해 터널인터페이스로 라우팅 정보를 교환하도록 네트워크 선언한다. (4) 연결할 피어의 주소를 지정한다. 위 예는 피어별로 패스워드를 구분하지 않기에 의미가 없는 설정이다. 모든 ..

DMVPN 1. 지사마다 크립토맵, GRE 터널 설정이 필요없다.2. 본사에서 NHRP를 통해 동적으로 주소를 받아오므로 지사확장에 추가 설정이 필요없다. 예제 본사가 허브로 지사간 통신을 중계하는 허브 앤 스포크 형태로 구성된다. 따라서 IGP 에 따라 정책에 차이가 발생하는데, RIPv2의 경우 스플릿 호라이즌 룰에 의해 R4, R5의 통신이 되지 않는다. 따라서 본사라우터에서 스플릿 호라이즌을 비활성해야 한다. OSPF로 구성할시에는 R2와 R4, R5의 네트워크 타입이 포인트 투 포인트인경우 어드제이션시 관계를 맺지 못한다. 따라서 네트워크타입을 Broadcast 혹은 non-broadcast 타입을 변경하는것이 권장되며, DR/BDR 선출이 정책대로 적용되도록 지사의 ospf priority 를..

Dynamic Host 공용망의 ISP에서 고객으로 유동아이피를 넘겨준다고 가정할시 이에 대한 VPN 구성을 알아본다. (1) R1 과 R5는 기본적인 IPsec VPN 연결을 하였다. (2) R2와 R6은 GRE 터널링을 통해 연결되었다. (3) R1 R5 와 R2 R6은 서로 통신하지 않는다고 가정하며 고용망 R3과 R4는 IGP를 이용하여 서로통신한다고 가정 (4) R4는 DHCP 서버가 되어 R5와 R6에게 각각 사설 IP를 뿌려준다. (5) R2 와 R6의 GRE 터널은 각각 가상의 루프백 10.1.2.2 , 10.1.6.6 으로 설정한다. R1 (1) 인증키 설정시 상대방 피어의 주소를 특정하지 않고 모든 네트워크로 지정한다. (상대방이 유동 IP이므로) (2) 별도의 dynamic map 을..

GRE tunneling GRE 터널링은 Cisco 에서 개발한 터널 프로토콜로써 IP 네트워크 기반의 포인트 투 포인트 가상 통로를 구성한다.보안을 위한 용도로 VPN에 주로 사용된다.단순 IPsec VPN의 구성에서 GRE 프로토콜을 VPN 네트워크 범위에 삽입함으로써 일반 IP패킷은 IPsec으로 보호하고패킷이동은 GRE 터널을 통하도록 한다. 출발지 목적지 호스트의 네트워크 주소 관리가 단순 IPsec보다 더 간결하다. (1) R2-R4 는 GRE tunnel interface 24 로 설정하고 R2-R5 25 로 설정한다. (2) 고객단 엣지 라우터와 공용망 라우터는 OSPF 로 통신한다고 가정 [192.168.x.x] R2 (1) 터널 인터페이스를 구성한다. 출발지와 목적지 아이피는 인터페이스..

IPsec VPN 1. IKE 1단계 설정 (1) 피어 인증 (RSA-sig, RSA-encr, Pre-Share) (2) 패킷 암호화 (DES, 3DES, AES) (3) 대칭키생성 알고리듬 (Diffie-Hellman group 1, 2, 5) 2. IKE 2단계 설정 (1) 보호할 네트워크 대역설정 (2) SA 암호화 알고리듬 (ESP-AES, ESP-DES, ESP-3DES, ESP-MD5-HMAC) (3) 무결성 확인 (ESP-MD5-HMAC, ESP-MD5-SHA) 3. Crypto Map 생성후 인터페이스 적용 예제 (1) [221.1.x.x]를 공용망으로 가정하고 이를 IPsec VPN으로 연결한다. (2) R1, R6, R7은 모두 OSPF area 0으로 광고한다. (3) 모든 트래픽이..

SoO, VRF export map 1. Site of origin BGP의 확장 커뮤니티 속성으로써 동일한 AS 영역내에서 루프 구조에서 트래픽을 해당 CE로 분리하도록 설정한다. 2. VRF export map CE 라우터에 연결된 고객의 내부 네트워크에 대해 서로 다른 route-target을 지정한다. prefix-list 로 대역을 분리한후 개별 대역에 대해 서로 다른 route-target 을 부여하는 export-map을 생성한다. 예제 (1) company1 - company2, company3 간 MPLS VPN망을 구축하였다. MPLS망 내부는 ISIS L2로 통신한다. (2) company1 의 11.1.1.1/24 대역은 route-target 1:41 로써 company2 와 통신..

MPLS VPN OSPF 1. CE-PE OSPF routing OSPF를 CE-PE구간 IGP로 구성할시엔 특별한 부분은 없다. BGP와 상호 재분배하여 정보를 교환한다. 2. Super Backbone MPLS VPN에서 OSPF는 백본에어리어의 상위 개념인 슈퍼백본에어리어로 연결된다. 이것은 Area가 다르더라도 동일한 OSPF process ID를 사용하는 라우터끼리 IA 즉 내부경로로 연결하기 위함이다. 여기서 두 라우터의 Process ID가 다른 경우엔 외부경로로 연결되며 이를 OSPF 도메인 ID를 동기화하는등의 방법으로 내부경로처럼 변경할수 있다. 3. OSPF Sham-link 만약 고객 A와 B가 MPLS VPN으로 두 업체의 메인회선으로 연결한후, 백업회선의 필요성에 의해 전용선을 ..