BigNetwork

Numbered Access-List 설정

Standard ACL

Usage : access-list [1~99] { permit | deny } Source-IP  [wildcard-mask]

R1(config)# access-list 10 permit 1.1.1.1 0.0.0.0 (또는 access-list 10 permit host 1.1.1.1)

R1(config)# access-list 10 deny 1.1.1.0 0.0.0.255

R1(config)# access-list 10 permit 0.0.0.0 255.255.255.255 (또는 access-list 10 permit any)

R1(config)# interface fa0/0

R1(config-if)# ip access-group [number] { in | out }

Extended ACL

Usage : access-list [100~199] { permit | deny } Protocol  Source-IP [wildcard-mask] Destination-IP [wildcard-mask] [Port]

R1(config)# access-list 101 permit ip host 1.1.1.1 host 2.2.2.2

R1(config)# access-list 101 deny tcy host 3.3.3.3 any eq 80

R1(config)# access-list 101 permit ip any any

R1(config)# interface fa0/0

R1(config-if)# ip access-group [number] { in | out }

Named Access-List 설정

Usage : ip access-list { Standard | Extended } name  //Enter

{ permit | deny } [ACL conditions]

R1(config)# ip access-list standard Test

R1(config-std-nacl)# deny 1.1.1.0 0.0.0.255

R1(config-std-nacl)# permit any

R1(config)# interface fa0/0

R1(config-if)# ip access-group [name] { in | out }

NAT의 개요

NAT는 주소변환기술 이라는 말로, 말 그대로 통신 주소인 3계층의 주소를 다른 주소로 바꾸어주는 기술이다.

우리가 가정에서 공유기를 이용하여 가족 모두가 하나의 공인IP를 이용하여 인터넷을 할 수 있는 것도 바로 이 NAT 기술 덕분이다.

NAT가 만들어져 사용된 이유는 두 가지가 있다.

첫 번째, IPv4의 주소 부족 문제를 해결하기 위한 방법으로 사용되었다.

IPv4가 나온지 얼마 되지 않아 빠른 속도로 주소가 고갈되어 갔다. 이러한 문제로 IPv6가 개발되고 있었지만 그 보다 먼저 IPv4 주소가 고갈될 수 있어서 이를 막기 위해 만들어진 기술이 바로 NAT이다. 실제로 NAT기술로 인해 IPv6가 모두 개발 된 이후에도 바로 상용화 하지 않고 그대로 계속 IPv4를 사용하게 되었다.

두 번째, 보안성 강화를 목적으로 사용되었다.

NAT를 사용하면 한 디바이스는 내부에서 사용하는 실제 주소와 외부에 알려지는 통신용 주소로 두 개의 주소를 사용하게 된다. 이러한 특징 덕분에 외부에서는 내부에서 사용되는 IP주소를 알 수 없고, 때문에 직접 접근하여 해킹할 수 없어 보안 효과가 높다.

Static NAT & Dynamic NAT

NAT 기술을 이용하여 IP주소가 변경되어 통신을 하려면 변경되기 전의 주소와 변경된 후의 주소를 저장할 공간이 필요하다. 그 공간이 바로 NAT Table이다.

내부에서 외부로 통신을 하려할 때, 공인IP로 변경하고 그 내용을 NAT Table에 저장한다. 외부에서 통신에 대한 응답이 들어오면 NAT Table을 확인하여 목적지 주소를 다시 내부 IP로 변경하여 전달해준다.

Static NAT

하나의 내부 IP주소와 하나의 외부 IP주소를 1:1로 Mapping 시키는 방법이다.

변경시킬 주소를 미리 지정해 두었기 때문에 외부에서도 내부로 통신을 할 수 있다.

서비스를 제공하는 입장에서는 외부에서 공인IP로 접근해도 해당 서버로 연결이 되어야 하므로 이 방식을 사용한다.

Dynamic NAT

여러 개의 내부 IP주소와 여러 개의 외부 IP주소를 동적으로 Mapping 시키는 방법이다.

외부 IP주소를 Pool로 만들어 놓고, 그 중에서 사용하지 않는 IP를 동적으로 Mapping 시킨다. 이 방식은 외부 IP의 수가 내부 IP의 수보다 적을 경우 사용한다.

IP : IP로 Mapping 되어 사용되기 때문에 사용중인 공인 IP는 다른 사설IP가 중복적으로 사용할 수 없다. 다시말해 변경된 내용이 NAT 테이블에 저장되어 있는 동안은 다른 사설 IP와 Mapping 되지 않는다.

NAT-PAT(Port Address Translation)

Dynamic NAT의 한 종류로, 하나의 공인IP를 다수의 사설IP가 공유하여 사용하는 방식이다.

변환된 IP만 보고 로컬호스트를 구분할 수 없기 때문에 포트 번호를 이용해서 주소를 Mapping 시키는 방법이다.

※ NAT 설정 방법 보기 : http://bignet.tistory.com/75

ACL이란

Access List => 접근하는 것을 허용 또는 거부하는 접근제어 리스트

ACL을 통해 필터링 이라는 기능을 수행할 수 있는데 특정 주소를 가진 호스트의 접근을 막거나 특정 서비스를 차단하는 등의 여러 목적으로 사용될 수 있다.

쉽게 설명해서 파티 초대장 리스트 같은 것이라 생각할 수 있다.

예를 들어 파티를 할때 초대장을 지인들에게 나누어 주는데 초대장을 받은 사람은 파티에 들어올 수 있고, 받지 못한 사람은 들어올 수 없도록 하는 것이다. 초대 받은사람인지 아닌지를 확인하기 위해 만들어진 초청자 목록이 있는데 이 목록이 바로 ACL이라고 할 수 있다. 

ACL의 TYPE

Standard 와 Extended 라는 두가지의 타입이 있고, 둘의 차이는 필터링에 사용될 기준이 되는 옵션이다.

Standard는 오직 출발지 주소만 보고 패킷의 출력을 허용 또는 거부한다.

Extended는 출발지 주소 뿐만 아니라 도착지의 주소, 프로토콜, 포트번호 등 다른 옵션들도 함께 사용하여 좀 더 상세한 필터링이 가능하다.

ACL에서 정책에 부합되는지 확인하는 기준이 오로지 출발지 주소뿐인 것이 Standard ACL이다.

Extended ACL은 출발지 주소 뿐만 아니라 다른 여러 요소들도 필터링의 기준으로 둔다.

지정한 여러 옵션들을 모두 만족하는 패킷만이 ACL 정책에 매칭되는 AND 연산을 한다. 들어온 패킷에 하나라도 다른 정보가 있으면 ACL정책에 의한 필터링이 되지 않는다.

ACL은 하나의 리스트이니 그 리스트에 이름을 붙여 구분하게 된다.

이름을 붙이는 방법은 두 가지, 숫자를 붙이는 것과 단어를 붙이는 것으로 나뉜다.

Numbered는 숫자의 범위가 지정되어 있어 Standard와 Extanded를 구분할 수 있지만, Named는 그렇지 않아서 설정할 때 따로 지정해주는 옵션이 필요하다.

또한, Numbered ACL은 리스트 내의 여러 정책들 중 몇몇을 골라 수정하거나 삭제할 수 없으나 Named ACL은 각각의 정책들을 따로 수정 및 삭제가 가능하다.

ACL 설정의 특징

Inbound

패킷이 들어오면 가장 먼저 ACL List를 확인하여 허용이 된 패킷만 라우팅 테이블을 확인할 수 있도록 처리해주고 허용되지 않은 패킷은 버려진다. 그래서 불필요한 패킷까지 처리할 필요 없도록 한다.

Outbound

라우터에서 처리하여 내보낼 패킷을 ACL에 매칭시키기 전에 라우팅 테이블을 먼저 확인한다.

ACL은 각각 인터페이스에 설정이 되어있고 설정된 내용이 같지 않기 때문에, 라우팅 테이블을 확인하여 어떤 인터페이스로 나가는지를 확인하고 그 인터페이스에 설정된 ACL로 인해 필터링 되도록 한다.

First-match Rule

하나의 라우터에는 여러 개의 ACL 리스트를 만들 수 있고, 하나의 ACL에는 여러 필터링 정책을 저장할 수 있다. 라우터에 만들어진 ACL은 해당 정책이 필요한 네트워크가 연결된 인터페이스에 설정이되고, ACL이 설정된 인터페이스로 들어온 패킷은 ACL과 순차적으로 매칭시켜 처리하는 방식을 사용한다.

여러 정책중에 가장 먼저 기준이 매칭되는 정책에 따라 패킷이 처리되는데 이를 First-match Rule 이라고 한다.

그래서 정책을 세울때에는 기준의 범위가 좁은 것부터 해야 한다.

만약 ACL에 있는 정책의 기준에 맞는 내용이 없는 패킷이 들어온다면 해당 패킷은 Deny 되어 버려진다.

허용되지 않은 트래픽을 모두 통과시켜준다면 그것은 보안이라고 할 수도 없고 ACL을 설정하는 의미가 없어진다. 그래서 ACL은 라우터에 설정하는 보안설정이기 때문에 따로 허용이 되지 않은 트래픽은 모두 다 Drop 되도록 하는 것이다.

따라서 이 내용을 염두해두고 통신이 되어야 하는 내용에 대해서는 반드시 permit 설정을 해두어야만 한다.

OSPF 설정하기

1. OSPF 설정 및 네트워크 광고

OSPF는 뒤에 Process-id를 붙이도록 하고 있다. 이 값은 하나의 라우터에서 여러 개의 데이터베이스를 가지려고 할때 이를 구분짓기 위한 번호로 사용된다. EIGRP처럼 이웃관계를 형성하기 위해 참고하는 값이 아니기 때문에 라우터간 다른 번호로 설정해도 무관하다.  

EIGRP는 옵션적으로 와일드카드 마스크를 사용할 수 있었는데, OSPF에서는 필수적으로 설정해야한다. 

※ 와일드카드 마스크에 대한 설명 보기 : http://bignet.tistory.com/51

2. Network Type 변경

라우터에 연결된 인터페이스의 미디어 타입을 감지하여 자동으로 설정이 되지만 네트워크 타입마다 OSPF가 동작되는 방식이 다르기 때문에 상황에 따라 변경할 수도 있다.

네트워크 타입은 연결된 인터페이스에서 설정하고, show ip ospf interface XX 명령어로 확인할 수 있다.

3. Neighbor 수동 설정

Non-broadcast 환경에서는 멀티캐스트를 이용한 Hello가 전달될 수 없어서 자동으로 이웃장비를 발견하지 못한다. 따라서 수동으로 Neighbor 설정을 해주어야 하고, 설정된 주소로 유니캐스트 통신한다.

neighbor 명령어 뒤에 오는 주소는 이웃장비의 실제 통신이 가능한 시리얼 인터페이스의 주소를 입력한다.

4. Router Priority 변경

DR/BDR을 선출하는 네트워크 타입에서 priority를 조정하여 DR을 설정할 수 있다.

기본적으로 모든 라우터의 priority는 1로 설정되어 있고, 0으로 변경하면 DR이 될 수 없다.

5. Hello/Dead interval 변경

연결된 라우터간 Hello-interval 설정이 맞지 않으면 이웃관계를 맺을 수 없다. 따라서 설정이 필요한 경우에는 위와 같이 인터페이스 설정모드에서 변경해주면 된다. 일반적으로 Hello-interval만 설정하면 dead-interval은 자동적으로 설정된다. 

OSPF Network Types

Point-to-Point

: 하나의 인터페이스가 하나의 라우터와 연결되는 네트워크에 적용되는 타입.

  - Serial interface에서 PPP 또는 HDLC를 사용하거나,   F/R에서 Point-to-Point Subinterface를 사용

  - 네트워크 타입이 자동으로 설정

  - 1:1로 연결된 구간이기 때문에 DR/BDR 선출을 하지 않는다

  - Broadcast 환경으로 Neighbor를 자동으로 설정한다

  - Hello interval/Dead interval : 10/40

  - 멀티캐스트 주소 224.0.0.5 로 패킷을 전송한다.

Broadcast

: BMA 네트워크 환경에 적용되는 타입

  - Ethernet interface에서 사용하거나,   F/R에서 Multipoint를 사용

  - 네트워크 타입이 자동으로 설정

  - 1:n 으로 연결된 구간이기 때문에 DR/BDR을 선출한다.

  - Broadcast 환경으로 Neighbor를 자동으로 설정한다

  - Hello interval/Dead interval : 10/40

  - DR/BDR은 멀티캐스트 주소 224.0.0.5으로, Dother는 224.0.0.6으로 패킷을 전송한다.

Non-Broadcast

: NBMA 네트워크 환경에 적용되는 타입

  - Frame-relay, ATM과 같은 환경에서 사용

  - 네트워크 타입이 자동으로 설정

  - 1:n 으로 연결된 구간이기 때문에 DR/BDR을 선출한다.

  - Non-Broadcast 환경으로 Neighbor를 수동으로 설정한다

* 설정: Router(config-router)# neighbor ip-address

  - Hello interval/Dead interval : 30/120

  - DR/BDR은 멀티캐스트 주소 224.0.0.5으로, Dother는 224.0.0.6으로 패킷을 전송한다.

Point-to-Multipoint

: Point-to-Point를 여러 개 묶어놓은 듯한 네트워크 타입

  - 부분메시형 또는 Hub and Spoke 네트워크에서 사용

  - 네트워크 타입이 자동으로 설정되지 않아 수동으로 설정하는 타입

  - DR/BDR 선출을 하지 않는다

  - Neighbor를 자동으로 설정

  - Hello interval/Dead interval : 30/120

  - 멀티캐스트 주소 224.0.0.5 로 패킷을 전송한다.

Point-to-Multipoint non-broadcast

: Point-to-Multipoint와 동일하나 Non-Broadcast 환경인 타입

  - 부분메시형 또는 Hub and Spoke 네트워크에서 사용

  - 네트워크 타입이 자동으로 설정되지 않아 수동으로 설정하는 타입

  - DR/BDR 선출을 하지 않는다

  - Neighbor를 수동으로 설정

  - Hello interval/Dead interval : 30/120

  - 멀티캐스트 주소 224.0.0.5 로 패킷을 전송한다.

OSPF Packet의 종류

Hello Packet

- 이웃장비를 발견하고 인접관계를 형성하는 역할을 하며, 이웃장비와의 연결성을 지속적으로 확인한다.

- Broadcast 환경에서는 Hello interval/Dead interval 은 10초/40초

  Non-Broadcast 환경에서 Hello interval/Dead interval 은 30초/120초

- 이웃장비간 인접관계를 형성하기 위해서 Hello 패킷 안에 들어있는 내용 중에서 반드시 매칭되어야 하는 내용

   Hello interval/Dead interval

   Area ID

   Authentication password

   Stub area flag

Update Packet

- Multicast와 Unicast 주소를 사용해서 업데이트를 수행한다.

- 4가지 종류의 업데이트 패킷을 가지고 있다. (DBD, LSR, LSU, LSAck)

LSDB 동기화 과정

Down State

어떠한 OSPF 패킷을 수신하지 못하여 이웃장비가 감지되지 않은 상태

Init State

이웃 장비로부터 Hello를 수신했지만, 수신한 Hello 패킷 안에 자신의 라우터 ID가

Neigbor 정보로 들어가 있지 않은 상태

Two-way State

이웃 장비로부터 수신한 Hello 패킷 안에 자신의 라우터 ID가 Neigbor 정보로 들어가 있는 상태

Exstart State

다중접속 환경일 경우, DR/BDR 선출작업이 일어나는 상태

Exchange State

라우터가 가지고있는 데이터베이스를 서로 교환하는 상태

Loading State

간략한 데이터베이스를 받고 상세 네트워크 정보가 필요한 경우에

이를 요청하고 요청한 데이터베이스를 전달받는 상태

Full State

모든 데이터베이스 동기화가 완료된 상태

OSPF Neighbor 맺기

Full adjacency ㅇ

: 이웃(Neighbor)도 되고 Routing 정보도 주고 받는 상태이며, 이를 Adjacent neighbor 라고 한다

Adjacent Neighbor가 되는 경우

  - DR 과 DRother

  - BDR 과 DRother

  - Point-to-Point 로 연결된 라우터

  - Virtual-link 로 연결된 라우터

DR 과 BDR 선출

Multi-Access 환경에서는 LSA 광고패킷 플러딩 범위를 최소화하기 위해서  대장(DR) 라우터를 선출한다

  - DR (Designated Router)  : LSA 정보를 취합하는 대표 라우터로 다른 라우터간 통신을 중계한다.

  - BDR (Backup DR)  : DR의 장애에 대비하여 설정하는 백업DR 라우터

DR 선출 방법

1. Priority 가 높은 것이 우선순위가 높다

기본값은 1로 설정되어 있으며 관리자가 수동으로 변경할 수 있다.

0으로 지정하면 해당 라우터는 DR이 될 수 없다.

Router(config-if)# ip ospf priority number

2. Router-ID가 높은 것이 우선순위가 높다

<Router-ID 설정하는 법>

- 수동 설정

- Loopback Interface 중 높은 IP address 로 설정

- Physical Interface 중 높은 IP address 로 설정

Hub and Spoke 구조에서는 Hub 역할을 하는 라우터가 반드시 DR이 되도록 설정해야 한다.

그렇지 못할 경우에는 통신이 되지 않을 수 있기 때문에 주의해야 한다.