Cisco day15

김윤재·2024년 9월 30일

Cisco

목록 보기
7/8
post-thumbnail

VLAN => LAN Switching => L2 계층 : MAC 주소만

Router => Routing => L3 계층 : MAC, IP주소

L3 Switch => L2 + L3

<인터페이스 설정>
interface FastEthernet0/0
ip address 172.16.10.254 255.255.255.0
no shutdown

interface fastEthernet0/1
ip address 10.10.10.2 255.255.255.252
no shutdown

interface FastEthernet1/0
ip address 20.20.20.2 255.255.255.252
no shutdown

<OSPF 설정>
router ospf 10
router-id 3.3.3.3
log-adjacy-changes
network 172.16.10.254 0.0.0.0 area 0
network 10.10.10.2 0.0.0.0 area 0
network 20.20.20.2 0.0.0.0 area 0

<HSRP track 설정>
L3-SW1(config)#track 1 interface fa0/1 line-protocol => fa0/1 포트를 track 1 변수에 감시 대상으로 설정
L3-SW1(config)#interface clan 10
L3-SW1(config-if)#stanby t10 track 1 decrement 30 => track 1의 대상이 다운되면 priority 감소

ACL (Access Control List)

  • Access Control List 를 직역하면 "접근 제어 목록"
  • 네트워크 계층(L3)장비에서 IP주소를 기반으로 특정 패킷을 허용 및 차단하는 리스트이다
  • ACL의 종류에는 표준(Standard) ACL과 확장(Extended ) ACL이 있다.
  • 한 장비에 다수의 ACL 리스트를 만들 수 있지만 인터페이스 별로 한 개의 리스트만 적용되면 IN/OUT 방향도 한 개만 정할 수 있다.
  • ACL 리스트만 생성하고 인터페이스에 적용하지 않으면 필터가 동작하지 않는다.

(1) ACL의 기본 동작

  • ACL 은 permit(허용) 과 deny(거부) 두 개의 명령어를 사용하여 패킷을 필터한다.
  • ACL 은 윗줄부터 하나씩 차례대로 수행된다.
  • ACL 의 맨 마지막은 모두 거부의 의미를 지닌 deny any 가 존재하며 생략되어 보이지 않는다.
  • ACL 을 생성하면 기본 값은 모두 거부이다.
  • permit 과 deny의 순서 배치에 따라 ACL의 목적이 달라진다.

(2) ACL 의 IN 과 OUT

  • ACL 이 설정된 장비에서 인터페이스 기준으로 패킷이 들어오면 IN, 나가면OUT
  • ACL 의 목적에 따라 사용자가 출발지(Client) -> 목적지(Server) 방향을 파악하여 설정하는 것이 중요하다.

(3) Externded ACL

  • ACL 번호는 100 ~ 199 까지의 숫자를 사용한다.(표준 ACL 은 1 ~ 99)
  • 출발지 주소만 필터하는 표준 ACL 과는 달리 출발지, 목적지, 프로토콜, 포트번호 등 보다 정교하다.

<확장 ACL 의 명령어 형식 예시>
access-list 101 permit tcp 10.10.10.0 0.0.0.255 host 192.168.10.1 eq 80
     (1)  (2) (3)    (4)         (5)    (6)

(1) ACL 리스트 번호
(2) permit 또는 deny 를 결정
(3) ACL 에 적용할 프로토콜로 txp, udp, icmp 등을 설정
(4) 츨발지 네트워크 주소 및 와일드카드 마스크. any 를 적으면 모든 네트워크
(5) 목적지 주소로 host 를 적으면 단일 대상에만 해당하며, any 를 적으면 모든 네트워크
(6) ACL에 적용할 포트번호. ex) http - 80, telnet - 23, ssh - 22 등

110번을 사용하는 Extended ACL 명령어 예시
(1) 172.16.30.0/24 네트워크에서 출발하는 tcp 80 패킷을 모두 거부 후 나머지는 허용
access-list 110 deny tcp 172.16.30.0 0.0.0.255 any eq 80
(access-list 110 deny ip any any)
access-list 110 permit ip any any
(2) 192.168.10.1 컴퓨터로 도착하는 패킷 중 dns(udp 53)만 허용하고 나머지는 모두 차단
access-list 110 permit udp any host 192.168.10.1 eq 53
(access-list 110 deny ip any any)
(3) 출발지 172.16.30.1 에서 모걱지 192.168.10.1 로 가는 패킷 중 icmp만 차단 (나머지는 모두 차단)
access-list 110 deny icmp host 172.16.30.1 host 192.168.10.1
(access-list 110 deny ip any any)
access-list 110 permit ip any any

(4) 출발지 172.16.30.1 에서 모든 네트워크로 telnet(tcp 23) 접근만 허용 (나머지는 모두 차단)
access-list 110 permit host 172.16.0.1 ant eq 23
(access-list 110 deny ip any any)

[L3-SW1]
Switch>en
switch# conf t
Switch(config)#hostname L3-SW1
L3-SW1(config)#vlan 10
L3-SW1(config-vlan)#exit
L3-SW1(config)#interface vlan 10
L3-SW1(config-if)#ip address 192.168.10.252 255.255.255.0
L3-SW1(config-if)#standby 10 ip 192.168.10.254
L3-SW1(config-if)#standby 10 priority 105
L3-SW1(config-if)#exit
L3-SW1(config)#interfae range fa0/1 - 2
L3-SW1(config-if-range)#switchport trunk encapsulation dotlq
L3-SW1(config-if-range)#switchport mode trunk
L3-SW1(config-if-range)#exit
L3-SW1(config-if)#standby 10 preempt
L3-SW1(config-if)#no standby 10 preempt

[L3-SW2]
Switch>en
switch# conf t
Switch(config)#hostname L3-SW2
L3-SW2(config)#vlan 10
L3-SW2(config-vlan)#exit
L3-SW2(config)#interface vlan 10
L3-SW2(config-if)#ip address 192.168.10.253 255.255.255.0
L3-SW2(config-if)#standby 10 ip 192.168.10.254
L3-SW2(config-if)#exit
L3-SW2(config)#interfae range fa0/1 - 2
L3-SW2(config-if-range)#switchport trunk encapsulation dotlq
L3-SW2(config-if-range)#switchport mode truck
L3-SW2(config-if-range)#exit
L3-SW2(config-if)#exit
L3-SW2(config)#interface fastEthernet 0/3
L3-SW2(config-if)#no switchport
L3-SW2(config-if)#address 20.20.20.1 255.255.255.252
L3-SW2(config-if)#exit
L3-SW2(config)#route ospf 10
L3-SW2(config-route)#route-id 2.2.2.2
L3-SW2(config-route)#network 92.168.10.253 0.0.0.0 area 0
L3-SW2(config-route)#network 20.20.20.1 0.0.0.0 area 0

[R1]
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#interface fa0/1
R1(config-if)#ip address 10.10.10.2 255.255.255.255
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#router ospf 10
R1(config)#router-id 3.3.3.3
R1(config-router)#network 172.16.10.254 0.0.0.0 area 0
R1(config-router)#network 10.10.10.2 0.0.0.0 area 0
R1(config-router)#network 20.20.20.2 0.0.0.0 area 0

profile
김윤재
이전 포스트

Cisco day14

다음 포스트

Cisco day16

0개의 댓글