[CISCO 보안 아카데미 1기 Part.2] 4일차 정리(GW 이중화, VLAN, EIGRP, OSPF, Switch)
HSRP
HSRP 핵심
- ARP를 통해 Active인 GW만 ARP에 응답하도록 만들어 GW 이중화 구현
- 대기 상태에는 Listen, Standby, Active가 있고, 3개의 GW가 존재할 때 3개의 상태를 나누어 가짐
GLBP
Virtual Gateway
- AVG는 각 그룹에서 단 하나만 선출
- Client에서 오는 ARP에 대한 응답 역할
- 가상 MAC 주소가 가상의 Forwarder마다 할당됨
- AVG, AVF로 선출된 라우터들은 각 기기마다 AVF 테이블을 만들어 어느 AVF가 Active or Standby 상태인지 기록
- 해당 테이블을 다른 라우터에 공유
문제점
- Round Robin 방식 덕분에 자동으로 로드 밸런싱이 되어 좋게 보일 수 있음
- 그러나 Spanning Tree와 같이 사용되면 어느 데이터 패킷은 최적의 경로로 이동하지만, 특정 패킷은 가장 먼 경로를 통해 통신할 수 있다는 문제점 존재
- 해당 문제점을 해결하기 위해 가중치 방식으로 로드 밸런싱 시도
VRRP
HSRP와의 차별점
- HSRP는 CISCO 전용 게이트웨이 이중화 방법
- VRRP는 대부분의 기기에서 사용 가능
특징
- MASTER만 Hello Packet을 전송
- Preempt가 Default 활성화
- track 명령어를 통해 priority 조정이 불가능하다고 하지만, priority 대신 가중치를 조절하여 경로 선택
CPU
라우터, 스위치, ASA CPU 사용량
- 라우터는 기본 30% 미만
- 스위치는 5~10%, 20% 가까이 도달하면 이상 발생
- ASA는 기본적으로 70% 이상
Storm Control
Rising Threshold
- 트래픽을 모니터링 하다가 어느 수준 이상으로 트래픽이 들어오는 것을 탐지하면 해당 트래픽이 들어오는 포트를 shutdown하는 기준선
설정
Private VLAN
Securing VLAN Trunks
- VLAN 내부에 VLAN을 또 생성하는 개념
- 서브넷 마스크가 전부 동일
- VLAN을 각각 생성하고, 특정 VLAN이 하나의 VLAN에 속한다는 명령어 입력
PACL, Port ACL
VACL, VLAN ACL
config 명령어
service password-encryption
- 모든 password에 암호화를 적용한다는 의미
- 선언한 후에 no service를 해도 한 번 암호화된 항목은 다시 돌아오지 않음
banner ~~~
- banner 항목이 있어야 기기에 접속하여 한 모든 행동에 법적 효력이 발동
no ip domain lookup
- enable mode에서 명령어 오타가 발생했을 때, 특정 DNS로의 접속을 시도하는 것으로 간주하고 DNS를 탐색하는 해당 과정을 없애주는 명령어
line console 0
- console port가 하나이기 때문에 console 0
exec-timeout 0 0
- console에 접속한 이후 아무 행동도 없이 특정 시간 0 0 (분 초)이 지날 경우 접속이 끊기도록 설정하는 명령어
no ip split-horizon
- 업데이트 정보를 받은 경로로 다시 업데이트 정보를 전송하는 기능을 끄는 명령어
- 터널을 여럿 뚫은 경우 사용
- default 설정으로는 늘 On 상태
EIGRP
- eigrp의 process ID는 웬만하면 똑같게 설정
- 현업에서는 process ID가 같아야 같은 회사로 인식
K 상수
- 일반적으로 Best-Path를 찾을 때, BW와 Delay만 사용
- 라우팅 과정에서 특정 구간의 BW가 10MBit/s면 전체 통신 BW는 10MBit를 넘지 못함
- 이 때문에 다른 구간에서 BW에 차이를 주어 주 경로와 보조 경로를 설정하려고 해도 특정 구간의 BW가 동일하다면 로드 밸런싱이 일어남
tos
- type of service
- 0~7까지의 숫자로 설정가능
- 5~7이 가장 보편적으로 사용됨
OSPF
- IS-IS 기반으로 급하게 만든 프로토콜, 상당히 불안정함
- OSPF를 process ID로 나누는 것은 서로의 데이터베이스 정보가 공유되는 것을 막기 위해 완전 분리를 할 경우 사용
Router-ID
- Command로 입력한 Router-ID
- Loopback 주소
- OSPF가 enable 될 순간에 가장 높은 IP 주소를 지닌 Loopback 인터페이스의 주소가 Router-ID로 선정
- Active 상태인 인터페이스 중 가장 높은 수의 IP 주소를 지닌 인터페이스의 주소가 Router-ID가 됨
- OSPF가 구동되고 있는 상태에서 router-id를 선언할 때, 맺은 neighbor 관계가 하나도 없는 경우에만 Router-ID가 변경됨
OSPF Cost
- 데이터가 나가는 인터페이스에 설정된 cost 값이 적용됨
- 받는 쪽의 cost는 상관없음
- 같은 회선을 공유하는 두 인터페이스는 cost가 달라도 됨
Swtich Config
duplex
- 가끔 특정 스위치는 duplex 관련 설정에서 half로 기본 설정되어 있는 경우도 있기 때문에 수동으로 duplex 타입을 설정할 수 있음
vlan
- vlan은 생성 후 exit를 해야 vlan 데이터베이스에 표시됨
vlan database
- vlan을 만드는 인터페이스 느낌?
- vlan database에서는 standard vlan만 생성 가능하기 때문에 최대 1005번 vlan까지 생성할 수 있음
DTP (Dynamic Trunking Protocol)
- 자동 Trunk 설정
- 같은 시리즈의 장비끼리는 Access로, 다른 시리즈의 장비끼리는 Trunk로 자동 설정됨
VTP (기본 버전 1)
- 현업에서 VTP는 위험함
- VTP 관련 조작을 하다가 장비 vlan 정보가 다 삭제될 수도 있음
spanning-tree vlan ~~ root primary
- 실제로 primary까지 입력하지 않고, 숫자를 입력
Trouble Shooting
boot system tftp
- TFTP Server로부터 부팅 파일을 다운받고 재시작하는 데에 사용
show run all
- 기기에 설정된 running-config를 상세 항목까지 전부 출력
- 시뮬레이터에서 해당 명령어를 입력하면 실장비 출력 값과 동일한 항목 출력
CDP
- CISCO 장비에서 sh cdp를 하면 장비에 관한 정보 출력
- native vlan에 관한 정보도 CDP를 통해 전달
- voice vlan을 생성하면 CISCO 장비끼리는 자동으로 정보 교환
ICMP Redirection
- ICMP 프로토콜을 받은 장비가 다른 장비로 ICMP 패킷을 전달해야 할 때, 목적지까지 더 짧은 경로의 라우터가 있음을 알려주는 메시지
- Best-Path를 찾아 최적의 라우팅 경로로 진행하도록 ICMP 패킷의 라우팅 정보를 수정
마무리
재분배
- OSPF와 RIP 재분배 할 경우 재분배 라우터에서 RIP hop count 3으로 설정했을 때, 다음 장비에서는 hop 수가 얼마로 표시되나
- 다음 라우터에서 hop 수는 3으로 표시됨
- 이유: 본인이 알고자 하는 라우팅 정보가 아니라 건너편으로 넘기기 위한 정보이기 때문에 재분배 과정에서 추가한 hop count 그대로 넘겨주고, 정보를 받은 라우터는 받은 hop count 그대로 테이블에 저장
- OSPF EIGRP 재분배 할 경우 EIGRP의 기본 설정 값 10000 100 255 1 15000으로 설정했을 때, 다음 장비에서의 표시 값
- 재분배 받은 경로에 대해 Delay 값이 증가하여 데이터베이스에 저장
Learning (MAC 주소 학습) 시간 필요성
예상
- STP를 구동하기 위해, 비어있는 MAC 테이블을 채우고자 스위치에서 MAC 주소를 수집할 것
- RSTP를 할 경우, 기존의 MAC 주소를 지우고 재학습 진행
- Spanning Tree의 정확도를 높이기 위해 MAC 주소를 최신 상태로 유지하고자 새로운 Learning을 진행할 것 같음
정답
- MAC addr aging time이 5분이라고 가정했을 때, 기존 통신 경로에 문제가 생겼을 경우 5분의 시간 동안 통신 장애가 발생하기 때문에 Learning 시간 15초를 설정하여 더 사용하지 않는 MAC 주소를 정리하고 새로운 경로를 학습하기 위해 Learning Time 필요
