[CISCO 보안 아카데미 1기] 6일차 정리 (IP 주소, 클래스, 서브네팅, VLSM, 풀 메쉬, 파셜 메쉬, Cisco Network Design Model, Active Directory, DHCP, IP Helper-address)

Jin_Hahha·2024년 7월 1일
0

CISCO 보안 아카데미 1기

목록 보기
6/54

IP 주소

IPv4?

  • 32bit로 표현
  • 8개의 bit로 나누어 4개의 옥텟으로 구분
  • 1개의 bit는 0과 1로 표현되면 10진수로 변환하여 사용됨
  • IPv4의 주소 범위
    • 0.0.0.0 ~ 255.255.255.255

IP주소의 표현

  • 공인/사설 IP가 존재
  • 유일성을 지녀야 함
  • 기기에 할당되는 IP 주소가 유일해야 네트워크 상에서 특정할 수 있기 때문
  • IP주소의 범위 전체를 사용하지 않고, 특정 용도에 따라 분류된 클래스에 따라 특정 범위 내에서 IP주소 할당

서브넷 마스크

IP 클래스

  • A, B, C 클래스에 할당되는 서브넷 마스크는 다 다름
    • A는 8bit, 255.0.0.0으로 표현 (X.X.X.X/8)
    • B는 16bit, 255.255.0.0으로 표현 (X.X.X.X/16)
    • C는 24bit, 255.255.255.0으로 표현 (X.X.X.X/24)
  • IP가 같은 네트워크에 있는 주소인지 알아보려면, IP주소와 서브넷 마스크를 AND 연산하여 나온 결과를 비교

A Class

  • 범위, 0.0.0.0 ~ 127.255.255.255
  • 0과 127로 시작하는 주소는 예약되어 있으므로 사용 불가
  • 1.0.0.0 ~ 126.255.255.255까지가 실질적 범위
  • 기본 서브넷 마스크 값은 8bit
  • 호스트 ID 크기가 24bit로, 2^24 크기의 범위까지 IP 주소 할당 가능
  • 엔드 디바이스가 많은 네트워크에서 사용하면 좋음

B Class

  • 범위, 128.0.0.0 ~ 191.255.255.255

C Class

  • 범위, 192.0.0.0 ~ 223.255.255.255
  • 호스트 ID 크기가 8bit로, 2^8 크기의 범위까지 IP 주소 할당 가능
  • 엔드 디바이스가 많은 네트워크에서 사용하기엔 부적합

D Class

  • Multicast용 IP 주소 범위



기업에서 사용하는 클래스?

IP 주소의 분류

Network Identification 주소

  • 호스트 필드가 모두 0으로 채워진 주소

Broadcast 주소

  • 호스트 필드가 모두 1로 채워진 주소

위의 두 주소는 기기에 부여되는 IP와 별개로 각 네트워크마다 필요한 아파트의 정문과 같은 개념의 IP 주소

네트워크 분류

  • 같은 네트워크로 분류하는 기준
    • 같은 브로드캐스트 도메인에 있는가
    • 같은 IP 주소 대역인가 = 같은 네트워크 ID를 사용하는가

서브네팅

  • IP 주소를 효율적으로 할당하는 방법

서브넷 계산

  • 교재에 있는 표를 이용하면 C Class는 쉽게 연산 가능

  • 엑셀의 자동채우기 기능으로 최대 사용 가능 호스트까지의 IP 주소를 연산

  • 이때 나눈 각 대역의 첫 주소와 마지막 주소는 각각 NetID와 Broadcast 주소로 사용되어야 함
  • 오른쪽 표의 값이 최종적으로 기기에 할당될 IP 주소 값이 됨
  • end to end까지 낭비되는 IP 없이 효율적으로 IP 할당하는 것이 목적

  • Fa0/0과 연결된 네트워크에서 필요한 IP 개수
    • 스위치를 포함한 기기마다 할당될 IP 4개
    • NetID, broadcast IP 2개
    • 총 6개의 IP 필요
  • Fa0/1과 연결된 네트워크에서 필요한 IP개수
    • 기기마다 할당될 IP 2개
    • NetID, broadcast IP 2개
    • 총 4개의 IP 필요

VLSM

서브네팅을 다시 서브네팅

  • 사용 IP 개수가 가장 적은 네트워크에서 서브네팅된 IP 주소 범위를 또 다시 서브네팅하여 주소 낭비를 줄임
  • VLSM 이후 대역의 첫 주소와 마지막 주소는 NetID와 Broadcast에 사용되므로 할당 주소에 사용 불가

풀 메쉬, 파셜 메쉬

  • 풀 메쉬
    • 모든 라우터가 직접적으로 연결된 형태의 망
    • 기업의 코어 네트워크 노드는 풀 메쉬
  • 파셜 메쉬
    • 직접적이 아닌 간접적으로 서로 연결된 망
    • 풀 메쉬에서 조금씩 노드가 연결되지 않은 형태
  • 대부분의 기업에서는 이중화로 마무리

Cisco Network Design Model

Access

Access Layer

  • 엔드 디바이스가 연결되는 계층
  • 흔히 말하는 Switch
  • 해당 계층에 보안 기능 구성

Distribution

Distribution Layer

  • 경로가 이중화된 Layer
  • 목적 자체가 경로 이중화인 계층
  • 해당 계층에 보안 기능 구성

Core

Core Layer

  • ISP - Router 연결 구간
  • Core = Router
  • 목적, FastFowarding (네트워크에 돌아다니는 Data를 ISP로, ISP에서 받은 데이터를 네트워크로 최대한 빠르게 전송할 필요가 있기 때문)
  • Core에는 보안 기능을 설정하지 않음 (Packet 검사에 트래픽이 낭비되기 때문)

Active directory

액티브 디렉토리?

  • 기기에 대한 모든 권한에 제한을 걸고 특정 행위마다 관리자로부터 일부의 권한만 얻어 동작하는 시스템

클라우드

  • 과거 분할되었던 여러 액티브 디렉토리 기능이 하나로 합쳐진 가상 시스템

DHCP

Dynamic Host Configuration Protocol

  • DHCP 과정
    • Discover, Offer, Request, ACK
    1. DHCP Discover message
      • IP가 없고, MAC만 있는 PC가 부팅 중(IP를 받아와야 함)
      • Discover Packet을 제작(출발지의 IP주소는 없지만 0.0.0.0으로 설정 / 출발지 MAC 주소는 원래 담겨있고, 목적지의 IP 주소는 255.255.255.255 / 목적지의 MAC 주소는 FF:FF:FF:FF로 채워짐)
      • 해당 패킷을 받은 스위치는 Flooding을 통해 출발지 IP 주소를 DHCP Server로부터 받아옴
      • 만약 DHCP Server가 2개 이상이라면? >> 출발지 MAC 주소에 대응되는 IP가 있는 Server만 반응
    2. DHCP Offer
      • DHCP Server에서 할당할 IP와 서브넷, DNS, IP 유효 시간을 기록한 Data를 다시 스위치로 전송
    3. DHCP Request
      • Offer가 제공한 정보를 받은 PC에서 Server를 향해 해당 정보를 PC에 할당해도 되는지 물어보는 과정
    4. DHCP ACK
      • Request를 요청한 PC에서 해당 정보를 사용해도 된다는 Server의 확인 및 허가 과정

DHCP 설정 주의사항

  • low ip는 네트워크에 할당되는 네트워크 주소를 의미
    • 하나의 네트워크를 통칭하기 위한 주소
    • 네트워크 주소 형태

      203.230.7.0

  • high ip는 네트워크에 할당되는 브로드캐스트 주소를 의미
    • 특정 네트워크에 속하는 모든 호스트들이 갖게 되는 주소
    • 동일 네트워크에 존재하는 클라이언트들에게 데이터를 보내기 위함
    • 브로드캐스트 주소 형태

      203.230.7.255

DHCP 설정 명령어

R1(config)#ip dhcp excluded-address 163.180.116.1
R1(config)#ip dhcp excluded-address 163.180.116.255
R1(config)#ip dhcp pool test
R1(dhcp-config)#network 163.180.116.0 255.255.255.0
R1(dhcp-config)#dns-server 1.1.1.1
R1(dhcp-config)#default-router 163.180.116.1
R1(dhcp-config)#exit
R1(config)#service dhcp

DHCP Server가 다른 네트워크에 존재할 때

  • DHCP Discover가 스위치를 통해 라우터로 전달됐을 때, 1차적으로 라우터는 Server를 향해 Broadcasting 하지 않음
    • Server가 라우터 너머에 있는 순간부터 다른 네트워크로 인식되어 해당 Broadcasting 패킷을 다른 네트워크로 전달하지 않음
  • 이때 사용하는 명령어
    • IP helper-address

IP Helper-address

  • 특정 포트에서 다른 네트워크에 존재하는 DHCP Server로 DHCP Discover를 전송하여 IP 주소를 할당받고자 할 때, 해당 Discover 요청이 다른 네트워크로 넘어가도록 도와주는 명령어
  • ip helper-address XXX.XXX.X.X
    • 위의 XXX.XXX.X.X IP로 Discover 요청이 잘 넘어가도록 도우라는 의미
profile
Jin_Hahha
이전 포스트

[CISCO 보안 아카데미 1기] 5일차 정리 (TCP/IP, UDP, ARP/Broadcast/Flooding, Router, telnet, CML)

다음 포스트

[CISCO 보안 아카데미 1기] 7일차 정리 (IPv6, SLAAC, Routing Protocol, 장비기본, Static Routing, tracert)

0개의 댓글