[11일 차] 21.08.03 : 네트워크 기초 11

가끔은 재밌고 가끔은 지루했던 네트워크 기초 수업은 오늘로 끝.

내일부터는 윈도우/리눅스 서버 수업 시작.

 

---

OSPF Metric 계산 : 알아만 두기

-> 10^8 / 종단 간 대역폭의 합

 

10^8 <- 장비에 설정된 값. 바꾸려면

=> auto-cost reference-bandwidth 1000000 (단위가 Mbps)

 

• OSPF Area : 대규모의 네트워크를 관리할 때, LSA 패킷을 모든 라우터에게 전송하다간 막대한 부하가 걸린다.

-> Area를 나눠서 LSA 패킷을 전달하는 범위를 제한한다

-> Area ID는 32진수(Area 0.0.0.1) or 10진수(Area 1)

-> 2개 이상의 area를 사용 시 backbone area(area 0)를 두어야 한다.

-> 모든 Area들은 backbone area에 물리적으로 직접 연결되어 있어야 한다.

이때 사용하는 것이 Virtual-Link

 

• ASBR(AS Boundary Router) : OSPF 네트워크와 다른 라우팅 프로토콜을 사용하는 네트워크 사이에 있는 라우터.

-> OSPF와 다른 프로토콜 간의 번역

ABR(Area Border Router) : Area 간 경계에 있는 라우터

-> 다른 area에서 들어온 라우팅 정보를 막거나 들여보내 준다

IR(Inter Router) : Area 내부에 있는 그냥 라우터

Backbone Router : Backbone area 내부에 있는 라우터

 

OSPF 프로세스 다시 시작 : clear ip ospf process

라우터 ID는 임의로 설정하지 않을 경우 Loopback 주소 중 가장 높은 IP 주소로 설정

 

network 명령어로 설정 시, 와일드카드 마스크 주목 : 단일 주소로 광고할 것인지, 범위를 광고하는지

-> 범위로 광고하면 OSPF 네트워크 정보를 받는다는 의미.

-> 광고 방향을 명시적으로 지정하는 것이 좋음 : 와일드카드 마스크 0.0.0.0

 

• OSPF 경로

경로 타입	코드	우선 순위	내용
Area 내부 경로	O	1	동일 Area 소속 경로
Area 간 경로	O IA	2	다른 Area 소속 경로
Domain 외부 경로	O E1	3	변동 cost 값을 가지는 외부 경로
	O N1	4	변동 cost 값을 가지는 NSSA 외부 경로
	O E2	5	고정 cost 값을 가지는 외부 경로
	O N2	6	고정 cost 값을 가지는 NSSA 외부 경로

(NSSA : Not So Stub Area)

 

Area <-> Backbone Area 간 연결

 

재분배 : 특정 프로토콜을 다른 프로토콜로 변환

 

LSA Type은 넘어갔다

 

• OSPF Area

backbone area에 직접 연결할 수 없다면 virtual link 사용

->  LSA type 1, 2(대충 O라고 생각하면 된다)는 동일 area 내부로만 전달

-> area별로 축약. area에서 발생하는 토폴로지 변화가 다른 area에 미치는 영향 최소화

-> stub area 기능으로 라우팅 테이블을 줄일 수 있다.

내부 라우터가 라우팅 테이블을 크게 줄일 수 있다.

 

• Stub Area

-> 라우팅 테이블의 크기가 대폭 감소 : Stub Area의 주목적

-> 네트워크 안정성 향상

-> 라우팅 성능 향상

-> 장애 처리가 쉬워짐

 

-> Backbone Area가 될 수 없다.

-> Transit Area가 될 수 없다(in Virtual Link)

-> Area 내부에 ASBR을 둘 수 없다.

 

NSSA는 ASBR을 둘 수 있다

NSSA의 목적은 외부 네트워크뿐 아니라 다른 Area의 정보도 차단하는 것

-> 결국은 라우팅 테이블 줄이려고

 

Totally Stub = Totally NSSA

후자는 ASBR을 둘 수 있다.

 

• Virtual Link : Backbone Area와의 물리적 연결 대신

-> backbone area가 분리된 경우

Transit Area : 가상 링크를 위해 지나가는 area

-> backup link를 설정해야 하는 경우

Backbone area와의 연결이 장애가 발생하거나 끊길 수 있다

-> 라우팅 경로를 수정하기 위한 경우

회선 속도 관련해서 경로 변경이 필요할 수 있다

 

 

실질적으로 구성할 일은 적을 것. 설정/명령어를 외울 필요는 없지만 개념/원리를 알아둘 것.

---

AWS 관련 보안 내용은 별로 없음

퍼블릭을 꺼려하는 이유? : 정보 날아갈 수 있음

-> 개선을 많이 했다

-> 보안 그룹 : ACL로 패킷 필터링

오후에는 ACL 설정 진도(***중요)

 

 

• 와일드카드 마스크 : 서브넷 마스크와 유사한 기능. 표기는 정반대

-> 서브넷 마스크보다 다양하게 표현 가능, 세밀하게 지정 가능

-> EIGRP, OSPF, ACL에서 사용 : 다수의 네트워크/패킷을 제어하는데 필요

 

특정 호스트 지정하는 표기 방식 0.0.0.0

모든 IP 주소를 지정하는 255.255.255.255 또는 any

서브넷 마스크의 0.0.0.0 0.0.0.0 -> 와일드카드 마스크의 0.0.0.0 255.255.255.255

 

• ACL(Access Control List)

-> 특정 트래픽의 접근을 허용/차단할지 결정하는 리스트(Filtering) : 기본적으로는 차단 목적(deny)

-> 보안을 위해 많이 사용

-> 라우터(L3)에서 설정하지만 L7 부분도 관리한다. 그래서 L3까지라고 단정할 수는 없다.

: L7을 완벽히 막을 수는 없어서 방화벽(Firewall) 등의 전문적 보안 장비 사용.

-> Numbered와 Named의 두 종류가 있고, Numbered는 다시 Standard(1~99)와 Extended(100~199)로도 구분 가능

Standard Access List(source address만 참조해 필터링 여부 결정)

Extended Access List(source address 외에도 destination address, protocol, 출발지/목적지 port 번호 등 더 자세한 정보를 참조해 필터링 여부 결정)

 

• Standard ACL(1~99)

-> 출발지 주소를 보고 차단/허용 여부 결정

-> 패킷의 출발지 주소와 ACL에 정의된 출발 주소가 일치하면 ACL의 내용(차단/허용) 수행

-> 허용(permit)이면 패킷을 정해진 경로로 전송, 차단(deny)이면 패킷의 흐름을 차단

-> 사용 list-number는 1~99

-> 전체 설정 모드에서 access-list [list number] [permit | deny] [source] [mask]

-> 인터페이스 모드에서 ip access-group [access list number] [in | out]

-> 라우터 모드에서도 하는 것도 있다

ex) 

access-list 1 deny 125.101.1.0 0.0.0.255

access-list 1 permit any

 

-> ACL은 1번부터 훑어 내려가므로 deny가 먼저 있다면 permit을 해놨어도 막힐 수 있다.

-> ACL 적용은 인터페이스에 하는 것이다.

 

• ACL 동작 방식

1. Inbound : 패킷이 라우터 내부로 들어올 때 필터링 여부 결정

2. Outbound : 패킷이 라우터 외부로 나갈 때 필터링 여부 결정

 

• ACL 규칙

1. ACL은 윗줄부터 순서대로 수행. 그래서 좁은 범위 설정이 선행되어야 한다. 넓은 범위를 먼저 설정하면 뒤를 보기도 전에 모든 패킷이 permit/deny 되어 필터링 효과가 없다.

2. ACL의 마지막은 deny any가 생략되어 있다. 마지막에 permit any를 넣지 않았다면, ACL 조건에 없는 모든 주소는 deny 된다.

-> 하나라도 차단 설정을 했다면 나머지를 위해 마지막에 permit any를 해줄 것.

3. numbered ACL은 순서대로 입력되기에 중간 삽입/수정/삭제가 불가능하다. 그러니 새로 추가하는 조건들은 무조건 마지막에 추가된다.

(named ACL에는 중간 삽입/삭제 가능)

 

 

• Extended ACL(100~199)

-> 출발지/목적지 주소 모두를 조건으로 보고 제어

-> IP, TCP, UDP, ICMP 등의 상세 프로토콜을 선택해 설정 가능

-> 사용 list-number는 100~199까지 사용

-> access-list [list number] [permit | deny] [protocol name] [source ip] [source WCM] [source port] [dest ip] [dest WCM] [dest port] (source port는 생략 가능 : 어차피 랜덤 포트라 굳이 명시할 의미가 없다)

-> AND 연산 : 모든 조건이 부합해야 적용된다.

-> Well-known port(프로토콜 별 지정 포트) 기억하기

ex)

access-list 101 deny ip 192.100.51.0 0.0.0.255 210.150.6.0 0.0.0.255

 

Prefix List : 잘 안 쓰니 알아만 두고 넘어가기

-> ACL을 개선해 만든 라우트 필터링

-> 서브넷 마스크 길이를 이용해 prefix별로 네트워크 범위 지정

-> ip prefix-list [name] [permit | deny] [network/prefix]

-> LE(Less than Equal), GE(Greater than Equal)로 네트워크 범위 지정 가능

 

 

---

• ACL 실습

실습 Topology

Server0은 PC2의 웹 접근만 받고, 나머지 접근은 모두 차단.

Server1, 2는 접근 허용.

 

어려움 1 : 라우팅 프로토콜 설정이 아직 미숙했다. 나중에 쓸 일은 적다고는 하는데 찜찜하긴 하다.

어려움 2 : ACL 설정이 아직 헷갈린다. 1번 제약은 이해했는데 2, 3번 제약이 좀...

 

정답 ACL

제약 1 : 웹 접근은 TCP 프로토콜을 쓰고, port 80 사용(www). 단일 주소(host) 192.168.57.3의 단일 주소(host) 172.22.4.24에 대한 웹 접근 허용.

제약 2 : Server0(172.22.4.24)에 대한 모든(any) IP 접근 차단.

제약 3 : 그 외 모든 IP 접근 허용.

 

위 제약들을 Router1을 통해 나와서 서버단 네트워크로 접근하는 패킷들에 대해 실행.

라우터를 나와서 접근해 오는 패킷에 대한 제약이므로 outbound(out).

---

Stub Area, NSSA 다시 듣기(2~3교시)

 

네트워크 수업 후기 : 2 계층은 실습은 어려웠지만 개념으로는 이해했다. 3 계층은 라우팅 프로토콜이 아직 이해가 덜 된 것 같다.