A. Static NAT1. 개요NAT는 본래 IPv6로 마이크레이션 되기 전까지 사용을 할 목적으로 만들어 졌으나 실질적으로 더 오래 사용되는 중이다. NAT는 사설 IP주소들을 할당받은 공인 IP주소로 변환하여 인터넷 연결을 가능하게 한다.  정적 NAT는 일반적으로 공용 및 사설 IP 주소간의 영구적인 일대일 매핑이다.  2. 구성 및 검증 interface "name"ip nat outside (또는 inside) ip nat inside source static x.x.x.x(사설)  x.x.x.x(공인)(주소의 변환은 양방향으로 적용이 된다.) show ip nat translation 명령어로 검증이 가능하다.  3. Inside&Outside Local&Globalinside local a..

A. ACL1. 개요출발지 아이피, 목적지 아이피, 포트번호와 같은 라우터를 통과할 패킷의 특성을 기반으로하여 트래픽을 식별한다. 라우터 또는 스위치는 ACL 결과를 토대로 조치를 취하게 된다. ACL은 라우터와 스위치 모두 지원한다. (이 강의에서는 라우터란 뜻이 라우터와 스위치 모두를 뜻한다.) ACL은 본래 트래픽이 라우터를 통과하는 것이 허용되는지의 여부를 결정하는데 도움을 주는 보안용도로 사용한다. 오늘날엔 트래픽의 식별이 필요한 다른 많은 소프트웨어 정책에서도 사용된다. ACL은 일련의 차단 또는 허용의 액세스제어 항목인 ACE로 구성된다. 각 ACE는 ACL을 구성하는 별도의 라인으로 작성된다. 2. ACE 구조access list NO. Action Protocol IP Wildcard Q..

A. Access Layer 보안기술1. DHCP SnoopingDHCP 트래픽을 특정 신뢰하는 포트(인터페이스)를 통해서만 주고 받는 기술로써 신뢰받는 포트를 통해 들어오는 DHCP 트래픽이 아닌경우 해당 트래픽을 폐기한다. 신뢰하는 포트의 개념은 DHCP 서버에서 직접적으로 연결된 포트를 뜻하며 PC까지 이어지는 스위치간 링크를 뜻하기도 한다. 구성방법으로는 스위치에서ip dhcp snoopingip dhcomp snooping vlan ?   -> vlan level에서도 활성화int "interface name"  -> dhcp 트래픽이 들어올 인터페이스ip dhcp snooping trust 2. DAI Dynamic ARP Inspection의 줄임말로 Middle ARP spoofing 방지..

A. Etherchannel 개념1. 들어가기 앞서... 종단 호스트는 항상 네트워크 트래픽을 보내지 않는다.이는 하위층에서 상위층의 업링크가 호스트 수만큼 필요하지 않다는 의미이다.  실제로 엑세스 계층과 분배층의 일반적인 비율은 20:1로 액세스 계층에 1gbps의 호스트가 20개 있다면 분배층으로의 업링크는 1gbps 1개만 있어도 된다는 뜻이다.  물론 더 높은 대역폭을 지원하는 업링크라면 그 수는 더 줄어든다. 예를들어 1gbps인 호스트가 40개 있다고 할때 업링크는 1gbps 2개 또는 2gbps 1개로 대체 가능하다.  2. 왜 Etherchannel이 필요한가? 앞서 설명한 내용처럼 캠퍼스 디자인 같이 엑세스 계층에서 분배층 계층의 업링크가 여러 개 존재하는 경우 2계층 스위치의 경우 S..

A. Spanning Tree Protocol 개념1. 개요제2계층 네트워크 전반에 걸쳐 루프를 방지하는 기술이다.3계층은 IP 헤더에 TTL 값으로 인해 루프방지가 된다. TTL은 패킷이 라우터를 통과할때마다 TTL 값을 1씩 감소시키는 방식으로 작동한다.동적 라우팅 프로토콜에는 루프방지가 기본으로 내장되어 있다. 2. 왜 STP가 필요할까?2계층의 이더넷 헤더에는 TTL값이 없다. 루핑이 발생하게 되면 멈출수 있는 방법이 없다. STP는 물리적으로 연결된 인터페이스를 비활성화 시켜 루프를 방지하며 장애 조치를 자동화한다. STP의 단점으로는 대역폭을 절반으로 낮추며 수렴시간이 느리단 점이 있다.   B. Spanning Tree Protocol 동작원리1. 개요표준 프로토콜로 모든 제조사 스위치에서 ..

A. Network Redundancy 네트워크 다중화란, 특정링크가 다운이 되어도 연결성을 유지하기 위하여 백업 개념의 링크를 가지는 것. 보통, 대규모 네트워크에서 많이들 구성한다.B. FHRP 1. 개요 가상의 IP(Virtual IP, VIP)를 가지는걸 라우터끼리 합의하여 Default Gateway를 하나의 가상의 IP로 통일시키는 것을 의미한다. 이를 통해 호스트단에서 가상의 IP를 기본게이트로 등록하여 통신할 수 있다.  2. 종류 2-1) HSRP - Hot Standby Router Protocol - Cisco 전용 프로토콜 - 활성/대기 쌍으로 구성되며 활성라우터가 다운되면 대기라우터가 백업하는 개념. 2-2) VRRP - Virtual Router Redundancy Protoco..

A. Dynamic Host Configuration Protocol1. 개요호스트에 IP, SM, GW 등 구성정보를 자동으로 할당해준다. 2. 이점관리 측면에서 편하고 간단하다.실수를 방지해준다. 3. 구성방법1) Cisco Router를 DHCP 서버로 사용할 경우. Router에서 ip dhcp excluded-address "제외할 아이피 범위" (ex. ip dhcp excluded-address 10.10.10.1 10.10.10.10         = 10.10.10.1 - 10는 DHCP로 자동 할당 안됨) ip dhcp pool "이름" network "네트워크" "서브넷" default-router "기본게이트웨이 IP" dns-server "DNS서버 IP" 2) Cisco Rout..

A. VLAN이란?1. 왜 VLAN을 사용하는가?스위치가 ARP 프로토콜을 통한 브로드캐스트 트래픽을 사용하는 경우에는 서로 다른 서브넷 상에 L3의 차단 정책이 있다 하여도 쉽게 우회할 수 있다. 불필요한 트래픽이 발생할 수 있으며 이는 보안상 좋지 않다. 이 문제를 VLAN을 이용해 브로드캐스트 도메인을 나눠 해결할 수 있다. 2. 개요VLAN은 LAN을 2계층의 개별 브로드캐스트 도메인으로 분할하는 것이다. IP서브넷과 VLAN은 1:1 매칭관계가 성립한다. 기본적으로 모든 스위치는 VLAN1에 속해있다. 3. VLAN 액세스 포트종단 호스트에 연결된 스위치 인터페이스에 액세스 포인트를 구성한다. 또한 액세스 포트는 하나의 특정 VLAN으로 구성된다. 다시말해, 개별의 스위치 포트에 하나의 VLAN..

A. 로컬 영역 네트워크 설계1. Campus 네트워크 디자인최적의 설계 과정을 위해서 네트워크 토폴로지는 디자인 과정에서 액세스층, 분배층 그리고 코어층으로 나눈다.2. Access Layer데스크톱 PC, Servers and IP Phone 같은 종단 호스트들은 항상 네트워크의 엑세스층으로 연결된다. 적당한 비용을 투자하여 많은 종단 호스트들을 연결할 수 있도록 해야하는 계층이다. 또한, 클라이언트 액세스 보안 방안은 액세스 계층에서 다루게된다. 3. Distribution Layer액세스 계층의 집성포인트 역할을 하고 LAN으로 추가 확장성을 제공한다. 일반적으로 한 쌍으로 구성된다.Aceess Layer 스위치는 Distribution Layer에 있는 한 쌍의 스위치에 모두 연결된다. 종단 호..