Configure Terminal_

DMVPN 1. 지사마다 크립토맵, GRE 터널 설정이 필요없다.2. 본사에서 NHRP를 통해 동적으로 주소를 받아오므로 지사확장에 추가 설정이 필요없다. 예제 본사가 허브로 지사간 통신을 중계하는 허브 앤 스포크 형태로 구성된다. 따라서 IGP 에 따라 정책에 차이가 발생하는데, RIPv2의 경우 스플릿 호라이즌 룰에 의해 R4, R5의 통신이 되지 않는다. 따라서 본사라우터에서 스플릿 호라이즌을 비활성해야 한다. OSPF로 구성할시에는 R2와 R4, R5의 네트워크 타입이 포인트 투 포인트인경우 어드제이션시 관계를 맺지 못한다. 따라서 네트워크타입을 Broadcast 혹은 non-broadcast 타입을 변경하는것이 권장되며, DR/BDR 선출이 정책대로 적용되도록 지사의 ospf priority 를..

Encryption, Authentication Algorithm 1. DES 미국정부에서 국가 표준의 암호 알고리즘을 개발하기로 하였고, 각 기업체 및 개인으로부터 국가표준에 부합하는 암호화 알고리즘을 공모했다. 1974년 8월 27일, IBM에서는 루시퍼 암호 알고리즘을 제안했고, 이를 채택하고 수정하여 1975년 3월 17일에 DES를 발표했다. DES(Data Encryption Standard)는 블록 암호의 일종으로, 미국 NBS (National Bureau of Standards, 현재 NIST) 에서 국가 표준으로 정한 암호이다. DES는 대칭키 암호이며, 56비트의 키를 사용한다. 무차별 대입공격에 대한 심각한 취약점이 발견되어, 이를 개선한 3DES를 발표하였다. 2. 3DES DES..

TCP/UDP, Timerange 제어 1. TCP, UDP 제어 TCP, UDP 의 포트넘버를 분류하여 엑세스 리스트를 작성한다. R1(config-ext-nacl)# deny {tcp | udp} {host | ip address} {eq | neq | gt | lt} {tcp, udp port number} {host | ip address} {eq} {tcp, udp port number} ex) 목적지 100.1.1.0/24 대역에 대해 모든 텔넷 세션을 차단 (eq 설정시 정확히 해당 포트넘버만 지정) R1(config-ext-nacl)# deny tcp any 100.1.1.0 0.0.0.255 eq telnet 목적지 호스트 10.1.1.1이 NTP 서버로 운용중일때 내부 사설네트워크 대역..

Extended access list 1. numbered mode R1(config)# access-list {extended acl number} {deny | permit | remark | dynamic} {protocol} {host | source address} {wildcard mask}{host | destination address}{wildcard mask} 2. named mode R1(config)# ip access-list extended {acl number | WORD} R1(config)# {deny | permit | remark | dynamic} {protocol} {host | source address}{wildcard mask}{host | destination..

named standart access list R1(config)# ip access-list standard {standard number | WORD}R1(config)# {sequence number} {deny | permit | remark } {host | any | a.b.c.d} {log | wildcard mask} numbered 엑세스 리스트와의 차이는, 시퀀스 넘버별로 행을 바꾸며 적용가능하고, 단일 시퀀스행 만 삭제가 가능하며, 이름으로 지정하므로 관리가 편하다는차이점이 있다. 그 외엔 다른게 없음 ex) branch 지사의 내부사설 네트워크 192.168.50.0/24 를 모두 거부하고 나머지는 허용함 R1(config)# ip access-list standard Branch..

Numbered standard access list R1(config)# access list {acl number} {permit | deny | remark} {host | ip address | any } {wildmask} 가장 먼저 생긴 ACL로써 출발지 주소의 단일 호스트, 혹은 와일드카드 마스크를 이용한 네트워크 단위로 지정하여 허용 혹은 거부한다. (1) ACL Number - 번 사용 (2) permit 은 허용, deny는 거부, remark는 해당 엑세스 리스트의 설명을 100자 이내로 메모한다. (3) host 는 단일 호스트를 지정하며, 와일드 마스크를 이용한 네트워크 범위 지정이 필요할시 뒤에 와일드 마스크 명시 any 모두 혀용 혹은 거부 ex) R1(config)# acce..

Dynamic Host 공용망의 ISP에서 고객으로 유동아이피를 넘겨준다고 가정할시 이에 대한 VPN 구성을 알아본다. (1) R1 과 R5는 기본적인 IPsec VPN 연결을 하였다. (2) R2와 R6은 GRE 터널링을 통해 연결되었다. (3) R1 R5 와 R2 R6은 서로 통신하지 않는다고 가정하며 고용망 R3과 R4는 IGP를 이용하여 서로통신한다고 가정 (4) R4는 DHCP 서버가 되어 R5와 R6에게 각각 사설 IP를 뿌려준다. (5) R2 와 R6의 GRE 터널은 각각 가상의 루프백 10.1.2.2 , 10.1.6.6 으로 설정한다. R1 (1) 인증키 설정시 상대방 피어의 주소를 특정하지 않고 모든 네트워크로 지정한다. (상대방이 유동 IP이므로) (2) 별도의 dynamic map 을..

GRE tunneling GRE 터널링은 Cisco 에서 개발한 터널 프로토콜로써 IP 네트워크 기반의 포인트 투 포인트 가상 통로를 구성한다.보안을 위한 용도로 VPN에 주로 사용된다.단순 IPsec VPN의 구성에서 GRE 프로토콜을 VPN 네트워크 범위에 삽입함으로써 일반 IP패킷은 IPsec으로 보호하고패킷이동은 GRE 터널을 통하도록 한다. 출발지 목적지 호스트의 네트워크 주소 관리가 단순 IPsec보다 더 간결하다. (1) R2-R4 는 GRE tunnel interface 24 로 설정하고 R2-R5 25 로 설정한다. (2) 고객단 엣지 라우터와 공용망 라우터는 OSPF 로 통신한다고 가정 [192.168.x.x] R2 (1) 터널 인터페이스를 구성한다. 출발지와 목적지 아이피는 인터페이스..

IPsec VPN 1. IKE 1단계 설정 (1) 피어 인증 (RSA-sig, RSA-encr, Pre-Share) (2) 패킷 암호화 (DES, 3DES, AES) (3) 대칭키생성 알고리듬 (Diffie-Hellman group 1, 2, 5) 2. IKE 2단계 설정 (1) 보호할 네트워크 대역설정 (2) SA 암호화 알고리듬 (ESP-AES, ESP-DES, ESP-3DES, ESP-MD5-HMAC) (3) 무결성 확인 (ESP-MD5-HMAC, ESP-MD5-SHA) 3. Crypto Map 생성후 인터페이스 적용 예제 (1) [221.1.x.x]를 공용망으로 가정하고 이를 IPsec VPN으로 연결한다. (2) R1, R6, R7은 모두 OSPF area 0으로 광고한다. (3) 모든 트래픽이..

SoO, VRF export map 1. Site of origin BGP의 확장 커뮤니티 속성으로써 동일한 AS 영역내에서 루프 구조에서 트래픽을 해당 CE로 분리하도록 설정한다. 2. VRF export map CE 라우터에 연결된 고객의 내부 네트워크에 대해 서로 다른 route-target을 지정한다. prefix-list 로 대역을 분리한후 개별 대역에 대해 서로 다른 route-target 을 부여하는 export-map을 생성한다. 예제 (1) company1 - company2, company3 간 MPLS VPN망을 구축하였다. MPLS망 내부는 ISIS L2로 통신한다. (2) company1 의 11.1.1.1/24 대역은 route-target 1:41 로써 company2 와 통신..