기본기 (중요)

L2 관련 기술

• 백본 사이는 기본적으로 이더채널(채널링)구성
• 내부에서 STP를 최대한 없도록 만든다.

이더채널(채널링)

STP

• RSTP , PVST(CISCO)
• 장비에서 RSTP 와 STP 가 같이 동작하면 STP Timemer로 적용된다.
• Auto edge : 요즘 장비는 6초동안 BPDU 를 전달받지 못하면 edge로 인식한다.
  -> RSTP 와 STP가 같이 동작하는 구간에서 스위치가 아닌 포트쪽에 STP Port-fast 를 default 명령어를 필수로 사용한다.

Port-Fast

• Edge단에 BPDU 가드를 통산적으로 준다.
  (Port-fast 적용 스위치 인터페이스 구간에 실제 스위치가 연결되었을경우 문제가 생길수 있기 때문에 BPDU 가드를 설정한다.)

Route guard

BPDU guard

Loop guard

-> 워크그룹 업링크 인터페이스에 통산적으로 적용

Loop 디텍션 (최신장비에서만 호환) // 알아둘것

Topology 구조형태

-> 링형, 버스형, 스타형, 우리형?

VLAN

Trunk

L2 Switch

-> 한 부서마다 한개의 스위치를 사용하는 것이 보편적이다.
-> VLAN 구분을 일반적으로 한다.

CDP

-> CDP에러 CDP를 disable하거나 모든 VLAN을 맞춰준다.
->

Voice VLAN

-> allowed 기능으로 데이터(native)와 voice(dot1q)를 구분한다.

3단계층형 구조 core / distribute / work group(Access)

인터링크(inter Link)

Stack , VSS, VPC

port-security

모든 액세스포트는 포트패스트를 설정한다
Port-fast edge default (BPDU graud) -> STP 사용하며 portfast된 인터페이스에 bpdu 가드를 설정하는 명령어

SVI

L3

VRRP

GLBP

HSRP ver2

-> ver1 은 IPv6를 지원하지 않아서 ver2를 일반적으로 사용한다.

Track // Preempt option

-> 일반적으로 Preempt 를 적용한다.
-> active에서

network로 광고로 하고 passive-interface를 주거나 redistribute connetion 명령어를 사용하여 사용자 그룹과 neighbor를 맺지 않도록 한다.

• 업링크 쪽에서 장애가 발생하였을때
  -> 라우팅경로에 대한 트랙을 설정하여 다른 경로로 전달되게 만들수 있다.
  -> 인터링크를 L2,L3 따로 연결구성을 한다.

default Gateway

Trunk interface Exclude

MD5

CLOS 규칙 (중요)

-> 현재 많이 사용한다. // 이스트웨스트방식

CLOS // 리프스파인 // 스파인리프 -> 디자인 방식

Tree-gruop 의 문제점

-> 스위치가 많으면 양쪽단에서 노스사우스방식으로 ROOT까지 갔다가 내려가므로 비효율적이다.

용어 패블릭(한장비에서 처리할수 있는 용량) - 스위치에서 패브릭을 확인 후 포트를 사용해야한다.

BGPBGPBGPBGPBGPBGPBGPBGPBGPBGP 중요

SLA로 체크 후 회선장애에 대응

-> Static에 track을 걸어서 사용

SDWAN

VPN

Traffic control _ 업무용 / 인터넷용

최근 L3 장비에는 BDI interface를 통해 L2도 같이 작동하게 할수도 있다.

L4 스위치는 위아래로 동일하게 있어야 한다.

port-base // zone-base

L4 스위치를 구성하면 Active/Active L4스위치를 사용하지 않으면 Active/Standby 방식으로 사용 하는 것이 일반적이다.

IPS / IDS

용어 FLB

방화벽장비는 Prossess로 작동해서 외부에서 공격이 최대한으로 들어오면 장애가 발생할수있다.

IPS로 세션을 관리하지 않으면 L2 or 코어단에 놓을수 있다. 하지만 IPS는 세션을 관리하는 목적으로 사용하는게 대분이기 때문에 DDoS 방화벽 장비를 구성한다.

DDoS -> L2 -> L4 -> IPS -> FW -> L4
L2 옆에 VPN을 In / Out 으로 구성하여 사용한다.
L2 -> VPN(in) -> VPN(out) -> L4 -> IPS-> FW -> L4

UTM 장비 용어

정보계 / 계정계 / 테스트계

계정계와 정보계 사이는 방화벽이 있어야 한다.

DMZ 구성 Potal(접속링크) -x-> <-FW -<-Server

Sen Switch