Configure Terminal_

Numbered standard access list R1(config)# access list {acl number} {permit | deny | remark} {host | ip address | any } {wildmask} 가장 먼저 생긴 ACL로써 출발지 주소의 단일 호스트, 혹은 와일드카드 마스크를 이용한 네트워크 단위로 지정하여 허용 혹은 거부한다. (1) ACL Number - 번 사용 (2) permit 은 허용, deny는 거부, remark는 해당 엑세스 리스트의 설명을 100자 이내로 메모한다. (3) host 는 단일 호스트를 지정하며, 와일드 마스크를 이용한 네트워크 범위 지정이 필요할시 뒤에 와일드 마스크 명시 any 모두 혀용 혹은 거부 ex) R1(config)# acce..

Dynamic Host 공용망의 ISP에서 고객으로 유동아이피를 넘겨준다고 가정할시 이에 대한 VPN 구성을 알아본다. (1) R1 과 R5는 기본적인 IPsec VPN 연결을 하였다. (2) R2와 R6은 GRE 터널링을 통해 연결되었다. (3) R1 R5 와 R2 R6은 서로 통신하지 않는다고 가정하며 고용망 R3과 R4는 IGP를 이용하여 서로통신한다고 가정 (4) R4는 DHCP 서버가 되어 R5와 R6에게 각각 사설 IP를 뿌려준다. (5) R2 와 R6의 GRE 터널은 각각 가상의 루프백 10.1.2.2 , 10.1.6.6 으로 설정한다. R1 (1) 인증키 설정시 상대방 피어의 주소를 특정하지 않고 모든 네트워크로 지정한다. (상대방이 유동 IP이므로) (2) 별도의 dynamic map 을..

GRE tunneling GRE 터널링은 Cisco 에서 개발한 터널 프로토콜로써 IP 네트워크 기반의 포인트 투 포인트 가상 통로를 구성한다.보안을 위한 용도로 VPN에 주로 사용된다.단순 IPsec VPN의 구성에서 GRE 프로토콜을 VPN 네트워크 범위에 삽입함으로써 일반 IP패킷은 IPsec으로 보호하고패킷이동은 GRE 터널을 통하도록 한다. 출발지 목적지 호스트의 네트워크 주소 관리가 단순 IPsec보다 더 간결하다. (1) R2-R4 는 GRE tunnel interface 24 로 설정하고 R2-R5 25 로 설정한다. (2) 고객단 엣지 라우터와 공용망 라우터는 OSPF 로 통신한다고 가정 [192.168.x.x] R2 (1) 터널 인터페이스를 구성한다. 출발지와 목적지 아이피는 인터페이스..

IPsec VPN 1. IKE 1단계 설정 (1) 피어 인증 (RSA-sig, RSA-encr, Pre-Share) (2) 패킷 암호화 (DES, 3DES, AES) (3) 대칭키생성 알고리듬 (Diffie-Hellman group 1, 2, 5) 2. IKE 2단계 설정 (1) 보호할 네트워크 대역설정 (2) SA 암호화 알고리듬 (ESP-AES, ESP-DES, ESP-3DES, ESP-MD5-HMAC) (3) 무결성 확인 (ESP-MD5-HMAC, ESP-MD5-SHA) 3. Crypto Map 생성후 인터페이스 적용 예제 (1) [221.1.x.x]를 공용망으로 가정하고 이를 IPsec VPN으로 연결한다. (2) R1, R6, R7은 모두 OSPF area 0으로 광고한다. (3) 모든 트래픽이..

SoO, VRF export map 1. Site of origin BGP의 확장 커뮤니티 속성으로써 동일한 AS 영역내에서 루프 구조에서 트래픽을 해당 CE로 분리하도록 설정한다. 2. VRF export map CE 라우터에 연결된 고객의 내부 네트워크에 대해 서로 다른 route-target을 지정한다. prefix-list 로 대역을 분리한후 개별 대역에 대해 서로 다른 route-target 을 부여하는 export-map을 생성한다. 예제 (1) company1 - company2, company3 간 MPLS VPN망을 구축하였다. MPLS망 내부는 ISIS L2로 통신한다. (2) company1 의 11.1.1.1/24 대역은 route-target 1:41 로써 company2 와 통신..

MPLS VPN OSPF 1. CE-PE OSPF routing OSPF를 CE-PE구간 IGP로 구성할시엔 특별한 부분은 없다. BGP와 상호 재분배하여 정보를 교환한다. 2. Super Backbone MPLS VPN에서 OSPF는 백본에어리어의 상위 개념인 슈퍼백본에어리어로 연결된다. 이것은 Area가 다르더라도 동일한 OSPF process ID를 사용하는 라우터끼리 IA 즉 내부경로로 연결하기 위함이다. 여기서 두 라우터의 Process ID가 다른 경우엔 외부경로로 연결되며 이를 OSPF 도메인 ID를 동기화하는등의 방법으로 내부경로처럼 변경할수 있다. 3. OSPF Sham-link 만약 고객 A와 B가 MPLS VPN으로 두 업체의 메인회선으로 연결한후, 백업회선의 필요성에 의해 전용선을 ..

CE-PE routing MPLS VPN설정시 MPLS edge 라우터(PE) 와 고객 라우터(CE) 사이에 운용하는 IGP에 따라 설정에 차이가 있다.아래의 토폴로지에서R1,2,3,4 가 MPLS망으로 운용된다고 가정하고, Head-branch1 - branch1 간에 통신Head-branch2 - branch2 간에 통신이렇게 두개의 업체에 VPN 서비스 한다고 가정하였다. Head-branch1 과 Head-branch2 는 R1과 각각 eBGP 피어링, 정적경로(static)으로,branch1 과 branch2 는 R4와 각각 EIGRP, RIPv2로 상호 통신한다고 가정한다.현업에서는 이렇게 IGP를 혼용해서 통신하는경우는 드물며, 테스트용도로 구성하였다.OSPF의 경우는 슈퍼백본, 샴링크, 도..

MPLS (2) Basic VPN MPLS를 구성하는 가장 큰 이유중하는 VPN망을 구성하기 위함이다. 위에서 가장기본적인 형태의 MPLS VPN을 구성한다. R5, SW1을 고객 라우터, R1~4 를 ISP의 MPLS망으로 가정한다. (1) MPLS 내부 망의 통신과 세션확보를 위한 IGP설정을 한다. TE를 구성하지 않을경우 어떤 IGP도 무방하다. (TE구성시엔 ospf와 is-is 만) (2) IGP 설정이 끝난후 기본적인 통신을 확인한후, MPLS 설정을 한다. (3) 고객라우터(CE), ISP의 엣지 라우터 (PE) 간에 통신할 프로토콜을 선택하여 설정한다. (IGP, eBGP) 이를 CE-PE 라우팅이라 보통 부른다. (4) CE라우터와 PE라우터의 통신을 확보한후 PE라우터끼리 iBGP 세..

MPLS Multiprotocol label switching 말 그대로 라벨을 스위칭하는 프로토콜을 말한다. MPLS망의 엣지 라우터에서 IP패킷에 라벨을 할당하여 매칭한후 MPLS를 구축한 망 회선 내에서는 Layer 2에 기반한 라벨스위칭으로 속도를 높이고 장비의 부하를 획기적으로 줄인다. IP 패킷의 헤더처리는 처음 엣지 라우터(LSR 혹은 PE라우터) 에서 붙이고, 엔드단 PE라우터에서 다시 라벨을 IP패킷으로 변경(poping)하여 고객단으로 전달하는 방식으로 동작한다. 그러나 현재는 장비들의 성능이 비약적으로 상승하여 MPLS 프로토콜만을 사용하는경우는 사실상 없고, MPLS VPN과 MPLS의 꽃이라 할수 있는 TE (traffic engineering)을 구성하기 위해 주로 사용한다. 1..

Flash memory 파일관리 1. Config backup R1(config)# copy running-config flash:config_backup.conft R1(config)# copy startup-config flash:startconfig_backup.conft 2. IOS 관리 (1) 외부 TFTP 서버로 백업 R1(config)# copy flash:c2800nm-adventerprisek9-mz.124-24.T8.bin tftp:192.168.0.122 (2) 불러오기 R1(config)# copy tftp:192.168.0.122 flash:c2800nm-adventerprisek9-mz.124-24.T8.bin 불러올시 Flash 메모리 용량이 부족할경우 메모리 내부 파일을 모두..