Configure Terminal_

MPLS VPN OSPF 1. CE-PE OSPF routing OSPF를 CE-PE구간 IGP로 구성할시엔 특별한 부분은 없다. BGP와 상호 재분배하여 정보를 교환한다. 2. Super Backbone MPLS VPN에서 OSPF는 백본에어리어의 상위 개념인 슈퍼백본에어리어로 연결된다. 이것은 Area가 다르더라도 동일한 OSPF process ID를 사용하는 라우터끼리 IA 즉 내부경로로 연결하기 위함이다. 여기서 두 라우터의 Process ID가 다른 경우엔 외부경로로 연결되며 이를 OSPF 도메인 ID를 동기화하는등의 방법으로 내부경로처럼 변경할수 있다. 3. OSPF Sham-link 만약 고객 A와 B가 MPLS VPN으로 두 업체의 메인회선으로 연결한후, 백업회선의 필요성에 의해 전용선을 ..

CE-PE routing MPLS VPN설정시 MPLS edge 라우터(PE) 와 고객 라우터(CE) 사이에 운용하는 IGP에 따라 설정에 차이가 있다.아래의 토폴로지에서R1,2,3,4 가 MPLS망으로 운용된다고 가정하고, Head-branch1 - branch1 간에 통신Head-branch2 - branch2 간에 통신이렇게 두개의 업체에 VPN 서비스 한다고 가정하였다. Head-branch1 과 Head-branch2 는 R1과 각각 eBGP 피어링, 정적경로(static)으로,branch1 과 branch2 는 R4와 각각 EIGRP, RIPv2로 상호 통신한다고 가정한다.현업에서는 이렇게 IGP를 혼용해서 통신하는경우는 드물며, 테스트용도로 구성하였다.OSPF의 경우는 슈퍼백본, 샴링크, 도..

MPLS (2) Basic VPN MPLS를 구성하는 가장 큰 이유중하는 VPN망을 구성하기 위함이다. 위에서 가장기본적인 형태의 MPLS VPN을 구성한다. R5, SW1을 고객 라우터, R1~4 를 ISP의 MPLS망으로 가정한다. (1) MPLS 내부 망의 통신과 세션확보를 위한 IGP설정을 한다. TE를 구성하지 않을경우 어떤 IGP도 무방하다. (TE구성시엔 ospf와 is-is 만) (2) IGP 설정이 끝난후 기본적인 통신을 확인한후, MPLS 설정을 한다. (3) 고객라우터(CE), ISP의 엣지 라우터 (PE) 간에 통신할 프로토콜을 선택하여 설정한다. (IGP, eBGP) 이를 CE-PE 라우팅이라 보통 부른다. (4) CE라우터와 PE라우터의 통신을 확보한후 PE라우터끼리 iBGP 세..

MPLS Multiprotocol label switching 말 그대로 라벨을 스위칭하는 프로토콜을 말한다. MPLS망의 엣지 라우터에서 IP패킷에 라벨을 할당하여 매칭한후 MPLS를 구축한 망 회선 내에서는 Layer 2에 기반한 라벨스위칭으로 속도를 높이고 장비의 부하를 획기적으로 줄인다. IP 패킷의 헤더처리는 처음 엣지 라우터(LSR 혹은 PE라우터) 에서 붙이고, 엔드단 PE라우터에서 다시 라벨을 IP패킷으로 변경(poping)하여 고객단으로 전달하는 방식으로 동작한다. 그러나 현재는 장비들의 성능이 비약적으로 상승하여 MPLS 프로토콜만을 사용하는경우는 사실상 없고, MPLS VPN과 MPLS의 꽃이라 할수 있는 TE (traffic engineering)을 구성하기 위해 주로 사용한다. 1..

Flash memory 파일관리 1. Config backup R1(config)# copy running-config flash:config_backup.conft R1(config)# copy startup-config flash:startconfig_backup.conft 2. IOS 관리 (1) 외부 TFTP 서버로 백업 R1(config)# copy flash:c2800nm-adventerprisek9-mz.124-24.T8.bin tftp:192.168.0.122 (2) 불러오기 R1(config)# copy tftp:192.168.0.122 flash:c2800nm-adventerprisek9-mz.124-24.T8.bin 불러올시 Flash 메모리 용량이 부족할경우 메모리 내부 파일을 모두..

AAA AuthenticationAuthorizationAccount 의 약자이다 디바이스 내부의 로그인 관련한 계정 정보를 이용하지 않고, TACACS+, RADIUS등의 외부 서버에서 계정정보를 처리하도록 변경한다.기본값은 no aaa new-model 로써 외부인증장치를 이용하지 않고 디바이스 내부의 계정정보를 이용하도록 한다.AAA를 활성화하게되면 외부서버의 계정정보를 이용하고 차선책으로 장비 내부 정보를 확인하도록 설정이 가능하다.계정 인증 정보가 외부서버에 존재하거나 보안등의 이유로 디바이스내부에 계정을 생성할수 없는 환경이라면 AAA를 사용하도록 한다. 1. Local (1) aaa new-model을 활성화 (2) 인증방식을 내부 local정보(라우터장비의 유저네임과 패스워드)를 참고하도록..

Default Route 1. network R1(config)# ip route 0.0.0.0 0.0.0.0 f0/0 R1(config)# router bgp 1 R1(config-router)# network 0.0.0.0 라우팅 테이블에 존재하는 경로만이 BGP 네트워크 포함될수 있으므로, 스태틱으로 디폴트 라우트 정보를 생성한다. BGP 네트워크에 포함시킨다. 2. redistribution R1(config)# ip route 0.0.0.0 0.0.0.0 f0/0 R1(config)# router bgp 1 R1(config-router)# redistribute static R1(config-router)# default-information originate 디폴트 라우트 경로를 재분배 한후..

BGP Load Balancing BGP는 기본적으로 로드밸런싱을 지원하지 않는다. eBGP와 iBGP로 나누어 따로 설정한다. 1. eBGP 로드밸런싱 R1 ==> R2 의 복수의 경로 [1.1.12.x] [1.1.21.x] 에 대해 로드밸런싱 한다. R2(config-router)# maximum-paths 4 4개의 경로까지 분산 시킨다. 설정하더라도 BGP 테이블 업데이트에는 하나의 최적경로만 광고하며, 라우팅 테이블에는 복수경로가 보여진다 (1) AS 1로 출력되는 경로가 로드밸런싱 되고 있다. 여기서 R2 ==> R1으로 동일하게 로드밸런싱을 설정할시 복수의 경로가 BGP로 광고됨으로써 문제가 발생하는데 이때는 DMZ를 IGP 네트워크 선언하고 eBGP간 루프백으로 통신하도록 설정한다. 실제 ..

AS Filtering 1. AS_Path access-list R3(config)# ip as-path access-list 1 deny ^12$ R3(config)# ip as-path access-list 1 permit .* R3(config)# router bgp 3 R3(config-router)# neighbor 1.1.13.1 filter-list 1 in ^12$ 는 AS 12의 경로만을 가진 AS_PATH 정보를 규정한다. 따라서 위의 예제는 R4의 네트워크를 제외한 AS 12 의 모든 네트워크가 필터링 된다. AS_PATH 필터링은 이와같이 정규표현법 (Regular Expression)을 이용한다. 2. route-map filtering AS 필터링과 더불어 속성을 변경해야할 필요..

Network Filtering 1. Distribute-list 엑세스 리스트를 이용해 특정 네트워크 대역을 필터링 용도에 맞게 수신, 송신 설정한다. R2(config)# access-list 1 deny 44.1.0.1 0.0.0.0 R2(config)# access-list 1 permit any R2(config)# router bgp 12 R2(config-router)# neighbor 1.1.24.2 distribute-list 1 in R4에서 유입되는 44.1.0.1 네트워크를 R2에서 필터링한다. 2. Prefix-list R1(config)# ip prefix-list R3_filter deny 33.1.0.0/24 R1(config)# ip prefix-list R3_filter ..