2016년 8월 6일 토요일

Network Security #3

15강. 라우터 실습
Console 접속
설정 정보
  • 속도 : 9600
  • 8data bits
  • no parity
  • 1 stop bit
router > enable
Password:
Router#
MODE
  • EXEC MODE (실행모드) : router에 관하여 모니터를 하거나 특정한 명령어를 실행하는 명령어
    • User Mode : Router>
    • Privileged Mode : Route#
  • Configuration Mode : 라우터에 필요한 값을 설정할 수 있다.
    • Global Configuration Mode : Router(config)#
    • Interface Configuration Mode : Router(config-if)#
    • HUB Configuration Mode : Router(config-hub)#
    • Route Configuration Mode : Router(config-router)#
Setup Mode
  • 라우터의 기본 특성을 대화 방식으로 처리
  • 초보자에게 편리
  • 주로 라우터의 초기 설정시 사용
  • 자세하고 부가적인 환경설정을 지원 안됨
Router#setup
설정값 보기
  • Router의 설정값은 NVRAM에 저장
  • NVRAM에 저장된 설정을 보는 명령어가 show configuration(sh conf)
  • 현재 라우터의 메모리에서 설정된 값을 보려면 show running-config
설정값 저장
  • 현재 router의 main memory에 설정된 값을 NVRAM으로 저장하려면 write memory copy running-config startup-config 이용
Password 설정
  • terminal password는 사용자가 원격 접속시 확인을 하는 경우 사용
  • enable password 와 enable secret는 privileged mode로 다시 접속할 때 사용자를 확인하기 위해 사용
  • enable password 와 enable secret중 enable secret가 우선
Enable Password
#configure terminal
(config)#enable password 12345
Enable Secret
#configure terminal
(config)#enable secret 12345
Ethernet Interface 설정
ip 주소 설정
#config terminal (conf-t)
(config)#interface ethernet 0
(config-if)#ip address 192.168.1.100 255.255.255.0
Enable 혹은 disable 설정
(config-if)#shutdown
(config-fi)#no shutdown
Serial Interface 설정
ip 주소 설정
#config terminal (conf-t)
(config)#interface serial 0
(config-if)#ip address 192.168.1.100 255.255.255.0
Encapsulation 설정
(config-if)#encapsulation hdlc
(config-if)#encapsulation frame-relay
Bandwidth 설정
(config-if)#bandwidth 2048
  • Encapsulation - serial interface에서 WAN 구간으로 data를 전송하기 위해 다양한 protocol을 사용한다. 따라서 어떠한 protocol을 사용하여 전송할것인가를 결정하여 설정하여야 한다. protocol에는 ppp,hdlc,frame-relay ,sdlc,smds,x.25등이 있다.
  • Bandwidth - WAN구간에 data를 전송하는 속도를 설정하는 부분으로서 회선 속도 값을 입력하면 된다. 즉 E1의 경우 2048, T1은 1544 값을 입력한다. 단위는 Kbyte이다.
Default Route
- 만일 라우팅 테이블에 존재하지 않는 경우 default route를 이용하여 전송한다.
- 설정
#config terminal
(config)#ip route 0.0.0.0 0.0.0.0 Next-hop_add
혹은
(config)#ip default-gateway Next-hop_add
Static Routing 설정
  • 특정 네트워크에 대한 정보를 관리자가 직접 등록하는 방법
  • 장점 : cpu,메모리 의 overhead가 가장 적음
  • 단점 : 관리자가 일일이 라우팅 테이블를 등록해야 함. 유지보수의 어려움.
#config terminal
(config)#ip route Destination_add Next-hop_add
Dynamic Routing 설정
RIP
  • RIP(Routing Information Protocol)는 hop count를 기준으로 최적의 경로를 설정, 최소의 router를 통과하는 패스가 제일 좋은 경로임.
  • 매 30초 마다 라우팅 테이블를 갱신함.
  • 만일 홉 count가 16을 넘으면 그 라우터 접근 불가능으로 판단.
  • 가변적인 subnetmask 네트워크을 인식하지 못함.
(config)#router rip
(config-router)#network 192.168.1.0 >> 네트워크 활성화
OSPF(Open Shortest Path First)
  • 회선의 속도 load등을 기준으로 최적으로 경로를 산출함.
  • AREA로 구분하는데 0.0.0.0은 백본 영역이다.
  • 백본 영역 주위로 다른 sub-영역과 연결되어 사용될 수 있다. 만약 영역이 다르면 라우팅 정보를 교환하지 않는다.
  • default route에 관한 정보를 전송
OSPF routing protocol enable
(config)#router ospf 100
(config-router)#network 192.168.1.0 0.0.0.255 area 0.0.0.0  >> 네트워크 활성화
(config-router)#default-information
16강.스위치

개요
  • 데이터링크에서 동작
  • 스위치 허브라고도 함.
  • 프레임의 목적지인 MAC 주소를 검색하여 목적지 주소의 출력포트를 결정한 후에 결정된 출력포트가 전송가능하면 프레임을 전송
특징
대역폭 제약 해소 :: 목적지 포트를 일대일 연결 제공 최대 속도 가능
보안 강화 :: 해당되지 않는 포트로 프레임을 전달되지 않음.

스위칭 방법
  • Store and Forward 방법
    • 기본적인 방법
    • 스위치에 들어오는 프레임을 모두 복사한후, 목적지 주소가 연결된 포트로 프레임을 전송하는 방법
    • CRC에러 확인이 용이하므로 에러에 대한 대체가 가능
    • 프레임의 크기가 길면 처리시간이 오래 걸림
  • Cut Through 방법
    • 프레임의 헤더 주소만을 검색해서 목적지 포트로 전송하는 방법
    • 목적지 주소를 받는 즉시 전송하므로 스위칭 시간이 매우 빨라짐
    • 네트워크 전송속도가 동일한 경우 사용
    • 목적지 주소만 확인하므로 CRC에러를 확인하지 않아 데이터의 손실및 변경이 확인에 어려움.
스위치의 Stacking
  • 스위치는 캐스케이드 포트나 업링크 포트를 사용하여 대역폭을 분리전달하기 때문에 속도의 저하가 발생하지 않음.
  • 한개의 마스터 스위치와 여러 개의 슬레이브 스위치로 구성
  • Stacking된 스위치가 하나의 스위치처럼 작동하므로 하나의 장비처리 관리 가능
Stacking 방법
  • Cascade케이블을 이용 - 스위치의 출력 포트와 다른 스위치의 입력 포트를 연결하는 직렬로 접속하는 방법
  • Daisy-chain으로 연결 - 동축케이블을 통하여 하나의 주변 장치를 통해 다음 주변를 연결하는 방법
2계층 스위치
기능 : 브리징(Bridgin), 어드레스 학습 , 여러 새그먼트 사이의 트래픽 전송
주요 기능 :
  • 패킷 필터링
  • 패킷 포워딩
  • 차별화된 네트워크 서비스
3계층 스위치
  • 2계층 스위치 기술에 라우팅 기능 추가
  • VLAN(Virtual LAN) 기술 이용
    • VLAN은 논리적인 방법으로 LAN그룹을 구성하는 것
    • 프로토콜, MAC 주소, 스위치 포트번호에 따라 관리자 임의로 LAN의 구분이 가능
  • 한번의 라우팅과 여러 번의 스위칭을 처리하여 고속의 라우팅 방법을 제공
  • 스위치는 최초의 패킷으로 경로를 한번만 설정하므로 별도의 경로 계산이 필요하지 않음.
4계층 스위치
  • 세션 계층인 4계층을 이용하여 TCP나 UDP의 어플리케이션 포트 번호에 의하여 스위칭하는 기술
  • TCP나 UDP 헤더에는 HTTP, SMTP, FTP등을 정확히 구분하는 포트번호가 모든 패킷에 포함


스위치 백본(백본 스위치)
  • 개별층의 스위치를 데이터 센터의 스위치와 접속하기도 하고 작업그룹 단위의 네트워크를 백본 스위치에 연결
  • 작업 그룹의 경우에는 그룹내의 서버가 위치하고 있어 잠재된 지연의 가능성과 트래픽을 처리하는 속도가 빠르고 데이터 교환 속도가 빠른 장점 있음.
  • 라우터 기능을 포함하기도 함.

17강. Hub /Repeater/Bridge
Repeater
  • 한쪽 케이블을 통해 들어온 신호를 재생하여 다른쪽 케이블로 전송
  • 전송 신호를 단순히 증폭 및 재생하는 장비
  • 물리계층 장비
  • 리피팅 시 Ethernet Packet내의 Preamble이 손상되므로 4대 이상 연속 설치는 불가능
  • 동일 네트워크 구조를 가진 LAN만을 상호 연결
Hub
  • 여러 대의 PC를 UTP케이블로 연결하여 한곳에 모으는 장치
  • 스타형 구조로 연결 되므로 각각의 노드는 독립적으로 작동하므로 노드에 문제가 생기더라도 다른 노드에 영향을 미치지 않음.
  • 허브와 허브끼리 연결하면 다른 네트워크와도 연결이 가능
  • OSI 7계층 중 물리계층에서 데이터 전달
  • 허브는 물
  • UTP케이블은 길이가 100m 넘으면 신호의 전압이 떨어져서 데이터가 왜곡되므로 허브는 물리적 전압을 증폭하는 리피터의 역할도 함.
더미 허브
  • 컴퓨터와 컴퓨터를 연결하는 일반적 기능을 하는 허브
  • 더미 허브는 허브로 전달하는 모든 데이터를 모든 컴퓨터에 전송하므로 확장성에 문제 있음.
  • 허브에 연결된 컴퓨터가 많아 질수록 충돌현상이 발생하여 속도가 저하됨.
  • 소형 네트워크 환경에 적합
브리지(Bridge)
  • 물리층 및 데이터 링크 계층에서 동작하는 네트워크 연결 장치
  • 두개의 세그멘트 사이에서 패킷 전송
  • MAC주소를 조사하여 패킷의 근원지 주소와 목적지 주소를 비교하여 패킷 전송
  • MAC주소를 약 8000개 까지 기억
브리지 동작원리
  • Learning(listerning)
    • 패킷을 수신하였을 경우 근원지 주소점검
    • 네트워크상 모든 주소를 주소테이블에 등록 및 관리하여 장비 추가시 자동인지
  • Filtering
    • 패킷 수신시 목적지의 주소를 체크한 다음 패킷을 전송할 것인지 결정하여 선택적으로 보냄
브리지 특징
  • 장점
    • 준비 단계 및 구성이 간편
    • 프로토콜에 독립적
    • 네트워크 주소가 불필요
  • 단점
    • 노드에서 브리지가 보이지 않음
    • Flooding으로 네트워크 내 불필요한 트래픽 증가
    • Broadcast storm이 발생
Flooding
  • 목적지를 알 수 없는 패킷을 수신하거나 브로드캐스트 패킷을 수신했을 때 이 패킷을 자신의 모든 포트로 전달하는 것
브로트캐스트 스톰
  • 호스트 시스템이 끊임없이 패킷에 응답하는 경우
  • 응답하지 않는 시스템에 응답요청을 계속 시도하는 경우
  • 위 현상 결과 : 네트워크 상의 패킷 수가 증가하면 혼잡이 발생하여 네트워크의 성능이 감소하거나 문제가 발생할 수 있음.
브리지와 라우터의 비교
  • 브리지
    • 네트워크 내 정보를 모두 가지고 있어야 함.
    • 네트워크 번호가 없음. 컴퓨터수가 많아지면 문제발생
    • 브로드캐스팅에 의해 많은 양이 대역폭을 잠식
  • 라우터
    • 다른 네트워크의 번호 패킷을 보내는 필요한 최적 경로 정보,인터네트워크 환경의 변화에 따른 네트워크 토폴로지를 가지고 있어야 함.
게이트웨이의 개념
  • 서로 다른 프로토콜, 데이터 포맷,언어와 구조를 가진 두 시스템간에 중개 역할하는 컴퓨터 시스템 혹은 장치
  • 정보를 재패킷하거나 목적지 시스템에 맞도록 메시지 형태를 변경
  • OSI 7Layer 중 Application 계층에서 동작
게이트웨이의 기능
  • Message Format 변환 : 서로 다른 데이터의 format을 목적지에 맞게 변환
  • Address 구조 변환 : 송신지 네트워크의 Address 구조와 수신지 address 구조를 자동 변환
  • Protocol 변환 : 패킷내의 제어 정보 변환
  • 보안 기능 : 프록시 서버 혹은 방화벽과 같은 필터링 기능과 보안 기능 제공
게이트웨이의 형태

  • IBM Host Gateway : LAN에 연결된 워크스테이션이 IBM메인 프레임 시스템에 접속되도록 함.
  • LAN Gateway : 서로 다른 프로토콜을 사용하여 네트워크들을 연결
  • 전자메일 Gateway : 서로 다른 전자메일 어플리케이션을 사용하는 사용자가 네트워크를 통해 메시지를 공유 가능하도록 메시지를 번역
  • NAS(Network Access Servers) : 다이얼 업 사용자와 ISDN 사용자를 위한 대형 네트워크에서 사용하는 게이트웨이
작성자: 시간: 댓글 없음:
라벨: , ,
피드 구독하기: 글 (Atom)