[CISCO 보안 아카데미 1기] 8일차 정리 (4인 실습 [정적 라우팅 응용], 4인 실습 2 [정적 라우팅 + 경로 이중화], 4인 실습 3 [교수님 시나리오])
0
CISCO 보안 아카데미 1기
목록 보기
8/54
실습
토폴로지
장비설정
IP 분배
- 1조, 1~10 대역
- 2조, 11~20 대역
- 3조, 21~30 대역
- 4조, 31~40 대역
- 5조, 41~50 대역
- 6조, 51~60 대역
-
본인은 1조, 1~10 대역 사용
- 203.230.1.0 ~ 203.230.10.0 사용
- R1 LAN 영역에서 203.230.1.0 대역
- R2 LAN 영역에서 203.230.2.0 대역
- R3 LAN 영역에서 203.230.3.0 대역
- R1과 R2 사이의 WAN 영역 203.230.4.0 대역
- R2와 R3 사이의 WAN 영역 203.230.5.0 대역
- R3와 R4 사이의 WAN 영역 203.230.6.0 대역
- R4와 R1 사이의 WAN 영역 203.230.7.0 대역
- 203.230.1.0 ~ 203.230.10.0 사용
-
노트북 IP 설정
-
PC IP 설정
-
R2 라우터 IP 설정
정적 라우팅
- 기본 데이터 흐름은 시계방향 (Static Routing)
- 시계 방향의 경로가 끊어졌을 경우 반시계 방향으로 진행 (Advanced Static Routing)
- R2의 라우팅 테이블
- Static Routing 뒤에 100을 붙인 경로는 나타나지 않음
기본 설정
라우터 스위치 설정
-
hostname
-
Router: R2
-
Switch: SW2
-
-
R2 설정
- SW2 설정
- 라우터 IP 할당법은 숙지 완료
- 스위치 IP 할당
- vlan 활용, vlan에 IP와 서브넷 마스크 할당
-
SSH
-
SSH time-out ???
ip ssh time-out ???
- ???초만큼 ssh login 화면에서 반응이 없으면 접속 종료
- 라우터에서 time-out 시간은 30초
-
enable password 설정, secret을 사용하지 않고 password로 설정하여 암호문 cisco 그대로 저장
-
실제로 show run을 입력할 경우 cisco라는 password가 그대로 나타남
-
https://zigispace.net/368 (password와 encryption 관련 내용 포스팅)
-
local login 명령어를 통해 local 인증 방식 설정
- 라우터와 스위치 전부 기본설정을 마치고 wr 명령어를 입력하여 전원이 꺼졌다가 켜져도 설정 체제 유지하도록 기기 내부 NVRAM에 저장
-
NVRAM 비휘발성 랜덤 액세스 메모리
-
해당 설정 내용을 열람하려면
- show startup-config
-
라우터 최종 구성
- 라우터에서 show run 명령어 입력
스위치 최종 구성
- 스위치에서 show run 명령어 입력
Ping 결과
- Laptop2에서 나머지 포트로의 Ping
-
Laptop2에서 R1으로의 Ping
-
Laptop2에서 R2로의 Ping
-
Laptop2에서 R3로의 Ping
-
Laptop2에서 R4로의 Ping
- 모든 포트와 라우터로 Ping이 잘 전달되고 답장하는 모습
Tracert 결과
- 대역이 다른 각 네트워크로의 tracert 결과
- 시계 방향으로 패킷이 전달된다는 것을 알 수 있었음
기존 시계 방향 흐름의 단점
- R4로 향하는 경로가 차단될 경우, 나머지 네트워크 기기 사이의 통신 불가
- 어느 한 라우터의 기능이 차단되더라도 나머지 기기 사이의 통신이 잘 이루어지도록 정적 라우팅을 할 필요가 있음
실습 2 (특수 시나리오 설정)
시나리오 설명
- 단순 시계 방향으로 패킷을 전달하는 것이 아니라, WAN의 두 구간만 사용하다가(7.0 대역과 6.0 대역, R4만을 이용하는 통신), R4가 먹통이 되었을 경우 R2(4.0 대역과 5.0 대역)를 이용하여 통신을 이어가는 시나리오
기존 구성에서의 변경점
R2의 데이터 전송 방향
-
기존 전송 방향
- 1.0 네트워크로 가기 위해 시계방향의 라우터로 전송 (5.2 경로 이용)
- 3.0 네트워크로 가기 위해 시계방향의 라우터로 전송 (5.2 경로 이용)
- 모든 메인 Static Routing은 5.2 경로 설정
- 모든 Advanced Static Routing은 4.1 경로 설정
-
변경 이후의 전송 방향(1.0 네트워크와 3.0 네트워크가 통신하는 과정에서)
- 1.0 네트워크로 가기 위해 R2는 R1으로 전송(4.1 경로 이용)
- 3.0 네트워크로 가기 위해 R2는 R3로 전송(5.2 경로 이용)
- 붉은 화살표가 R4가 동작하지 않을 경우의 통신 방향
- R4가 동작하는 상황에서 R2는 동작하지 않음
R2의 라우팅 테이블
- 1.0 네트워크로 이동하기 위해서 4.1 경로로 전송
- 3.0 네트워크로 이동하기 위해서 5.2 경로로 전송
- 시계 방향 흐름과 다르게 목적지 IP와 가까운 라우터로 직접적으로 전송하도록 메인 경로 설정
- Advanced Static Routing 방향은 서로 교차하여 설정
- 1.0 네트워크를 위한 경로 5.2
- 3.0 네트워크를 위한 경로 4.1
Static Routing 주의사항
- 네트워크 내의 모든 라우터가 Advanced Static Routing을 하는 네트워크는 실제로도, 시뮬레이션으로도 존재할 수 없음
- 특정 라우터에서만 Advanced Static Routing을 진행해야만 함
- 순수하게 Static Routing만을 진행한 라우터들이 존재해야 Loop 현상이 발생하지 않음
실습 3 (교수님 시나리오)
시나리오 설명
- Advanced Static Routing으로 인한 루프 발생으로 정적 라우팅 시나리오 구현이 늦어지자 Advanced Static Routing에 대한 주의사항과 함께 가장 간단한, 최적화된, Advanced Static Routing 없는 Static Routing 토폴로지로 실장비에 구현하도록 설계한 시나리오
토폴로지
시나리오 2 구성에서의 변경점
R2의 데이터 전송 방향
- 가장 기본적인 Static Routing으로 경로 설정
- 패킷의 목적지 IP 주소에 가장 가까운 라우터로 통하는 경로만 이용
- Advanced Static Routing 금지
Ping 결과
- 서로 다른 네트워크에 존재하는 기기들로의 Ping 결과는 성공적
Tracert 결과
R2에서의 결과
- 설정한 시나리오의 경로로 패킷 유도가 잘 되었음
R3에서 R1으로의 경로가 정상일 때(R4 정상작동)
R3에서 R1으로의 경로가 끊어졌을 때(R4 작동 X)
- 시나리오에서 설정한 경로에 따라 R4가 아닌 R2를 거쳐가는 모습
R1에서 R3로의 경로가 정상일 때(R4 정상작동) [사진 상단]
R1에서 R3로의 경로가 끊어졌을 때(R4 작동 X) [사진 하단]
- 시나리오에서 설정한 경로에 따라 R4가 아닌 R2를 거쳐가는 모습
결론
Advanced Static Routing의 주의점
- 무조건 대비 경로를 설정한다고 해서 좋은 것은 아님
- 데이터 흐름의 방향 또는 Advanced Static Routing 경로 설정의 오류로 인해 루프가 발생하여 만약 특정 라우터가 동작하지 못 할 경우에 남은 기기들 사이의 통신이 정상적으로 이루어지지 않을 수 있음
- 시나리오를 세울 때 기기 간 통신 흐름과 Routing의 특성을 완벽하게 파악하고 신중하게 세울 것
