-
4주차 3일 (3/15)네트워크 보안 전문가 과정/4주차 2023. 3. 26. 16:58
문제1. OSPF가 동작하기 위해 사용되는 OSPF Packet의 종류 및 Table에는 무엇이 있습니까?
show ip ospf neighbor (hello)
show ip ospf database (DBD, LSU) LSDB (LSA) | SPF
show ip route ospf ( "O" 110 Cost(Bandwidth))
L2 | L3(89) | OSPF | OSPF Packet |
1. Hello (Neighbor 성립, Neighbor 주기적인 확인(Health check)10sec, 40sec)
2. DBD (LSDB를 요약한 정보) |
3. LSR (상세정보 요청)
4. LSU (상세정보 전달)
5. Ack (수신확인)
문제2. OSPF Network TYPE의 종류와 동작 방식에 대해 적어보세요.
OSPF는 L2가 무엇이냐에 따라,
1. Point-to-Point (Serial(HDLC) >> DR선출안함
2. Broadcast (Ethernet) >> DR선출
#show ip ospf interface e0/0
config)#interface e0/0
config-if)#ip ospf network broadcast
문제3. OSPF에서 DR(Designated Router)를 선출하는 이유와 선출되는 방식에 대해 적어 보세요.
>> Broadcast환경에서는 Routing Update의 중복수신되는 상황이 발생
>> DR을 통해 update(LSU)를 주고받음
>> 224.0.0.6
>> Priority > Router ID
>> Preempt기능은 없음 (priority가 의미 없음) >> priority 0 (DR,BDR도 하지 않겠다.)
>> DR,BDR,DRother (DRother간에는 update를 주고받지 않음 (2way))
--> 하나의 Network에 여러개의 Router가 있는 경우, N:N의 Neighbor 가 성립하면
많은 양의 update와, 또한 중복 수신하는 문제가 발생 합니다.
그렇기 때문에 DR을 선출 하고 DR하고만 full neighbor관계를 성립 하게 됩니다.
--> DR이 되는 조건은 (1. Priority(default 1) 2. Router ID)
그러나 Preempt기능은 없기 때문에 먼저 켜진 장비가 DR이 됩니다. !!
문제4. Subnetting을 하는 이유는 무엇입니까? IP Address A ~ C Class는 무엇입니까?
>> 필요한 Subnet(Network)의 수나, 필요한 host의 수에 따라 subnet mask를 변경하는 것을 subnetting이라고 하며,
>> 유한한 IP Address를 효율적으로 사용하기 위해 Subnetting을 하여 사용합니다. (IP부족)
>> IP Address Default Class는
A class - 1.0.0.0 ~ 127.255.255.255 255.0.0.0, /8
B class - 128.0.0.0 ~ 191.255.255.255 255.255.0.0 /16
C class - 192.0.0.0 ~ 223.255.255.255 255.255.255.0 /24
102.123.45.138/28에서
1. network의 주소는 무엇입니까?
-> 102.123.45.1000 | 0000 /28 -> 102.123.45.128
2. subnet mask는 무엇입니까?
-> /28 255.255.255.240(128+64+32+16)
3. 사용가능한 첫번째 IP와 마지막 IP는 무엇입니까?
102.123.45.138
102.123.45.1000 | 1010 /28
102.123.45.1000 | 0000 /28 -> 102.123.45.128
102.123.45.1000 | 0001 /28 -> 102.123.45.129 -> 첫번째 IP
102.123.45.1000 | 1110 /28 -> 102.123.45.142 -> 마지막 IP
102.123.45.1000 | 1111 /28 -> 102.123.45.143 -> Broadcast IP1. OSPF State
>> OSPF가 Neighbor가 성립되는 단계
(Down > Init > Two-way > Exstart > Exchange > Loading > Full)
2-WAY >> Neighbor간에 Hello를 주고 받은 상태
Exstart >> Neighbor간에 master, slave를 선출하는 상태
Exchange >> DBD를 서로 교환하는 상태
Loading >> LSU를 주고 받는 상태
Full >> Neighbor 관계가 성립된 상태
>> #debug ip ospf adj 로 위의 상태 확인
2. OSPF Cost (271.p)
>> OSPF는 SPF Algorithm을 사용하며,
>> SPF는 Bandwidth를 기준으로 최적경로를 선택합니다.
>> SPF가 참조하는 Bandwidth를 COST라고 합니다.
>> COST는 10*8/BW로 계산됩니다.
>> 아래의 설정으로 임으로 변경이 가능합니다.
interface e0/0
speed 10 (mbps)
ip ospf cost 10
interface s1/0
bandwidth 1544 (kbps)ip ospf cost 64
router ospf 1
auto-cost reference-bandwidth 100
auto-cost reference-bandwidth 1000
3. OSPF Area (275)
>> OSPF는 AREA를 이용하여, 계층적인 Network Tpoolopgy를 구현합니다.
>> Routing Table, Routing Update를 줄이는 효과를 가지게 됩니다.
>> AREA 0는 모든 AREA를 연결하는 중심입니다. (모든 AREA는 AREA0 와 연결이 되야함)
>> AREA를 구성하면 특정 라우터는 ABR, ASBR Router의 역할을 하게됩니다.
>> AREA를 구성하면, LSA TYPE3, LSA TYPE5D이 추가로 생성됩니다.
4. OSPF Network Type
>> OSPF는 L2 Protocol에 따라, 동작방식이 상이합니다.
>> Ethernet에 OSPF를 구성하면,
OSPF는 Broadcast Network type으로 인지하여, DR을 선출 하게됩니다.
>> Serial (HDLC)에 OSPF를 구성하면,
OSPF는 Point-to-Point Network type으로 인지하여, DR을 선출하지 않습니다.
>> Network TYPE은 임의로 변경이 가능합니다.
Ethernet의 경로라도, 1:1로 연결된 환경에서는 Network Type를 변경하여, Neighbor가 좀더 효율적으로 동작하도록 구성합니다.5. OSPF LSA Type (1,3,5) (292.p)
6. OSPF AREA의 속성
- 일반 AREA
- STUB AREA (LSA TYPE 5을 차단하는 AREA임)
>> 설정된 AREA로 들어오는 LSA TYPE 5을 차단해주는 기능을 가진 AREA입니다.
>> ABR이 TYPE5을 차단합니다.
>> Routing Table, Routing Update가 줄어듬
>> TYPE5을 차단하는 대신, Default Route를 전파합니다.
(R4, R1(ABR))
router ospf 1
area 1 stub
- NSSA
>> 설정된 AREA로 들어오는 LSA TYPE 5을 차단해주는 기능을 가진 AREA입니다.
>> ABR이 TYPE5을 차단합니다.
>> Routing Table, Routing Update가 줄어듬
>> TYPE5을 차단하는 대신, Default Route를 전파합니다.
(단 default-information-originate 가 있어야 함)
>> AREA에 ASBR이 있는 경우,(STUB가 안됨)
>> ASBR는 재분배시에, TYPE5이 아닌 TYPE 7으로 생성함 (잠시변경됨)
실습
♦ LAB OSPF OSPF Neighbor Discovery
문제1. 구성도와 같이. R1,R2 사이에 IP를 설정하고, OSPF AREA0를 설정하세요.
R1
interface lo 0
ip add 1.1.1.1 255.255.255.0
ip ospf 1 area 0
interface s1/0
ip add 10.1.12.1 255.255.255.0
ip ospf 1 area 0
no shutdown
R2
interface lo 0
ip add 2.2.2.2 255.255.255.0
ip ospf 1 area 0
interface s1/0
ip add 10.1.12.2 255.255.255.0
ip ospf 1 area 0
no shutdown
확인1. R1#show ip ospf neighbor로 neighbor 상태를 확인합니다.
확인2. R1#show ip ospf database (LSA TYPE1)
확인3. R1#show ip route ospf
문제2. R1,R2사이에, Neighbor가 맺어지는 단계를 확인하세요.
(아래의 단계를 Wireshark를 통해 확인 하세요.)
(Down, Init, Two-way, Exstart, Exchange, Loading, Full)
문제3. R2의 S1/0의 Hello interval 10sec 8sec로 변경해 보세요.
변경 후 R4와의 Neighbor 관계를 확인하세요 (show ip ospf neighbor) neighbor가 맺어지지 않는 이유를 확인 하고,
R1의 S1/0의 Hello interval을 8sec 변경 후에 Neighbor가 다시 맺어지는 것을 확인하세요
R2
interface s1/0
ip ospf hello-interval 10
ip ospf hello-interval 8
확인1. R1에서 show ip ospf neighbor로 neighbor의 상태를 확인합니다.
>> OSPF는 Hello interval이 동일해야 neighbor가 성립됩니다. (253 Page)
R1
interface s1/0
ip ospf hello-interval 8
확인2. R1,R2간에 다시 Neighbor가 성립되는 것을 확인합니다. (Hello interval이 동일)
문제4. R2의 S1/0의 AREA를 0에서 1으로 변경해 보세요. 변경 후, R1와의 Neighbor 관계를 확인하세요.
R2
interface s1/0
ip ospf 1 area 1
확인1. R1과 OSPF Neighbor가 down되는 것을 확인합니다.
(AREA ID가 상이하기 때문에, Neighbor 성립안됨)
아래의 log message 발생
*Mar 15 01:31:45.644: %OSPF-4-ERRRCV: Received invalid packet: mismatched area ID from backbone area from 10.1.12.1, Serial1/0
R2
interface s1/0
ip ospf 1 area 0
확인2. R1,R2간에 Neighbor가 다시 성립되는 것을 확인합니다.
문제5. R2의 S1/0의 MTU Size를 1500에서 1480으로 변경 해 보세요.
변경 후, R4와의 Neighbor 관계를 확인하세요. (show ip interface s1/0)
>> MTU (Maximum Transmission Unit) 최대 전송단위
(L3 Header부터 DATA까지 전송 가능한 최대 크기)
>> MTU Size와 속도의 관계
R2
interface3 s1/0
mtu 1480
확인1. R1,R2간에 Neighbor Clear이후에 Neigthbor는 성립하지 않음
R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 0 EXSTART/ - 00:00:31 10.1.12.1 Serial1/0
R2
interface s1/0
mtu 1500
확인2. R1,R2간에 Neighbor의 성립을 확인합니다.
문제6. R1의 Router ID를 2.2.2.2로 변경 후에, Neighbor의 상태를 확인하세요.
현재 R1의 Router ID 1.1.1.1 (#show ip ospf interface s1/0)
현재 R2의 Router ID 2.2.2.2 (#show ip ospf interface s1/0)
R1
router ospf 1
router-id 2.2.2.2
end
clear ip ospf process
확인1. R1,R2간에 Neighbor가 성립되지 않음
*Mar 15 01:44:49.726: %OSPF-4-DUP_RTRID_NBR: OSPF detected duplicate router-id 2.2.2.2
from 10.1.12.2 on interface Serial1/0
R1
router ospf 1
router-id 1.1.1.1
♦ LAB04 OSPF Metric & AD
문제1. 구성도와 같이, R3을 연결하고, Loopback을 광고하세요.
R1
interface lo 0
ip add 1.1.1.1 255.255.255.0
ip add 11.1.1.1 255.255.255.255 secondary
ip add 11.1.2.1 255.255.255.255 secondary
ip add 11.1.3.1 255.255.255.255 secondary
ip add 11.1.4.1 255.255.255.255 secondary
ip ospf 1 area 0
interface e0/0
ip add 10.1.21.1 255.255.255.252
ip ospf 1 area 0
no shutdown
interface s1/0
ip add 10.1.21.5 255.255.255.252
ip ospf 1 area 0
no shutdown
R2
interface lo 0
ip add 2.2.2.2 255.255.255.0
ip ospf 1 area 0
interface e0/0
ip add 10.1.21.2 255.255.255.252
ip ospf 1 area 0
no shutdown
interface s1/0
ip add 10.1.21.6 255.255.255.252
ip ospf 1 area 0
no shutdown
interface s1/1
ip add 10.1.23.2 255.255.255.0
ip ospf 1 area 0
no shutdown
R3
interface lo 0
ip add 3.3.3.3 255.255.255.0
ip ospf 1 area 0
interface s1/1
ip add 10.1.23.3 255.255.255.0
ip ospf 1 area 0
no shutdown
확인1. R2#show ip ospf neighbor로 3개의 neighbor를 확인합니다.
확인2. R1#ping 2.2.2.2 !!!!!
확인3. R1#ping 3.3.3.3 !!!!!
문제2. R1에서 2.2.2.0/24로 가는 경로가, E0/0으로 선택된 이유는 무엇입니까?
R1#show ip route ospf
>> OSPF는 Bandwidth로 최적경로를 선택하기 때문에, E0/0을 선택하였습니다.
문제3. R1에서 E0/0, S1/0의 bandwidth를 확인 하세요, OSPF 관점에서 Fa0/0, S1/0의 cost가 얼마 인지 확인하세요.
interface e0/0
speed 10
ip ospf cost 10
interface s1/0
bandwidth 1544
ip ospf cost 64
문제4. R1에서 2.2.2.0/24로 가는 경로의 Metric이 얼마인지 계산해 보세요.
E0/0을 통해서 10 > Loopback으로 1 = 11
R1#show ip route ospf로 보면, 2.2.2.2에 대한 cost는 11입니다.
O 2.2.2.2 [110/11] via 10.1.21.2, 00:05:08, Ethernet0/0
R1#traceroute 2.2.2.2 prob 2 >> E0/0
문제5. R1에서 2.2.2.0/24로 가는 경로가,
E0/0, S1/0으로 Loadbalancing 되도록 설정하세요. (cost값을 변경하세요.)
R1
interface s1/0
ip ospf cost 64
ip ospf cost 10
확인1. R1에서 show ip route ospf로 2.2.2.2 경로를 확인합니다.
확인2. R1#traceroute 2.2.2.2 prob 2
문제6. R1에서 OSPF Bandwidth를 이용한 COST의 계산이, 10^8이 아닌 10^9으로 계산되도록
변경하고, COST 값을 다시 확인 하세요.
R1
interface s1/0
no ip ospf cost
router ospf 1
auto-cost reference-bandwidth 1000
확인1. R1#show ip ospf
>> 100Mbps로 계산면, 100Mbps와 1000Mbps는 동일한 cost로 계산
확인2. R1#show ip route ospf로
♦ LAB09 OSPF LSA TPE
문제1. 구성도와 같이, R1,R2,R3,R4에 OSPF를 구성하고, AREA를 각각 설정 하세요.
각 라우터의 Loopback은 구성도와 같이 특정 AREA에 포함하세요.
R4
interface lo 0
ip add 4.4.4.4 255.255.255.0
ip ospf 1 area 1
interface e2/1
ip add 10.1.41.4 255.255.255.0
ip ospf 1 area 1
no shutdown
R1
interface lo 0
ip add 1.1.1.1 255.255.255.0
ip ospf 1 area 1
interface e2/1
ip add 10.1.41.1 255.255.255.0
ip ospf 1 area 1
no shutdown
interface e2/0
ip add 10.1.12.1 255.255.255.0
ip ospf 1 area 0
no shutdown
R2
interface lo 0
ip add 2.2.2.2 255.255.255.0
ip ospf 1 area 0
interface e2/1
ip add 10.1.23.2 255.255.255.0
ip ospf 1 area 2
no shutdown
interface e2/0
ip add 10.1.12.2 255.255.255.0
ip ospf 1 area 0
no shutdown
R3
interface lo 0
ip add 3.3.3.3 255.255.255.0
ip ospf 1 area 2
interface loopback 100
ip add 100.3.3.3 255.255.255.0
interface loopback 200
ip add 200.3.3.3 255.255.255.0
interface e2/1
ip add 10.1.23.3 255.255.255.0
ip ospf 1 area 2
no shutdown
interface e2/0
ip add 10.1.35.3 255.255.255.0
no shutdown
router eigrp 1
no auto-summary
network 10.1.35.0 0.0.0.255
network 100.3.3.0 0.0.0.255
network 200.3.3.0 0.0.0.255
R5
interface loopback 0
ip add 5.5.5.5 255.255.255.0
interface e2/0
ip add 10.1.35.5 255.255.255.0
no shutdown
router eigrp 1
no auto-summary
network 5.5.5.0 0.0.0.255
network 10.1.35.0 0.0.0.255
확인1. R1에서 show ip ospf neighbor로 2개의 neighbor를 확인합니다.
확인2. R1에서 show ip ospf neighbor로 2개의 neighbor를 확인합니다.
확인3. R3에서 show ip eigrp neighbor로 1개의 neighbor를 확인합니다.
확인4. OSPF관점에서 R1,R2,R3,R4의 역할은 무엇입니까?
R4 ---> Internal Router (1개의 AREA에 속함)
R1 R2 ---> ABR (2개의 AREA에 속함)
R3 ---> ASBR (EIGRP와 연결됨)
확인5. R4#ping 3.3.3.3 !!!!!
확인6. R4#ping 5.5.5.5 ...... R3#ping 5.5.5.5 !!!!!
문제2 R4에서 show ip route로 확인 해보면,
"O"로 보여지는 경로와 "O IA"로 보여지는 경로의 차이점은 무엇인지 확인 하세요.
LSA TYPE 1 >> Intra AREA의 정보 "O" AREA를 통과하지 못함 , ABR이 TYPE 3으로 변경
LSA TYPE 3 >> Inter AREA의 정보 "O IA" 모든 AREA를 통과, ABR이 생성함
LSA TYPE 5 >> Inter AS의 정보 "O E2" 모든 AREA를 통과, ASBR이 생성함 (재분배)
R3
router ospf 1
redistrubte eigrp 1 (metric 20)
router eigrp 1
redistribute ospf 1 (무한대)
문제3. R3에 Loopback 100, Loopback 200을 설정하고, EIGRP 에 포함 하세요,
또한 이 경로를 OSPF로 재분배 하고, R4,R1,R2에서 어떠한 경로로 보여지는지 확인 하세요.
R3
router ospf 1
redistribute eigrp 1 (metric 20) (metric-type 2)
확인1. R2에서 show ip route ospf로 보면, 재분배된 경로는 "O E2"로 보여집니다.
문제4. R2에서 100.3.3.0/24의 metric값이, 20일 이유는 무었입니까?
R1에서 100.3.3.0/24의 metric값은 무엇입니까?
>> 재분배된 경로는 Metric 20이 자동으로 설정되고, metric은 증가하지 않습니다. !!
문제5 R3에서 외부 경로를 재분배 하는 경우, TYPE1으로 변경하여 재분배 하세요.
R3
router ospf 1
redistribute eigrp 1 metric-type 1
L2|L3|L4|AH(DATA)|
예제1. PC1 1.1.1.1에서 Server 1.1.1.2로 가는 HTTP Traffic을 대략적으로 그려보세요.
ETHERNET B A | IP 1.1.1.1 1.1.1.2(6) |TCP 1024 80 | HTTP(DATA)
위 Traffic에서
Source IP : 1.1.1.1 Destination IP : 1.1.1.2
Protocol : TCP (6)
Source Port Number : 1024 Destination Port Number : 80
access-list 100 deny (protocol) (source ip)(source port) (destination)(destination port)
>> access-list 100 deny tcp 1.1.1.1 0.0.0.0 eq 1024 1.1.1.2 0.0.0.0 eq 80
예제3. PC1 1.1.1.1에서 Server 1.1.1.2로 가는 ICMP Traffic을 대략적으로 그려보세요.
B A | 1.1.1.1 1.1.1.2 (1) | ICMP (DATA)
위 Traffic에서
Source IP : 1.1.1.1 Destination IP : 1.1.1.2
Protocol : ICMP (1)
Source Port Number : 없음 Destination Port Number : 없음
>> access-list 100 deny icmp 1.1.1.1 0.0.0.0 1.1.1.2 0.0.0.0
예제2. PC1 1.1.1.1에서 Server 1.1.1.2로 가는 DNS Traffic을 대략적으로 그려보세요.
B A | 1.1.1.1 1.1.1.2(17) | UDP 1024 53 | DNS (DATA)
>> access-list 100 deny udp host 1.1.1.1 host 1.1.1.2 eq 53
예제4. R1(1.1.1.1), R2(1.1.1.2)에서 R1이 R2에게 보내는 OSPF Hello packet을 그려보세요.
X A | 1.1.1.1 224.0.0.5 (89) | OSPF (DATA)
>> access-list 100 deny 89 host 1.1.1.1 host 224.0.0.5
R2
access-list 100 deny icmp host 4.4.4.4 host 3.3.3.3
access-list 100 permit ip any any
interface e2/0
ip access-group 100 in
R4#ping 3.3.3.3 source 4.4.4.4 ........
R4#ping 3.3.3.3 source 10.1.41.4 !!!!!!
예제1. R3은 R2이 보내는 OSPF Hello 차단하여, OSPF Neighbor가 다운되도록 설정해 보세요.
설정은 R3에서 설정하고, 적용은 E2/1에 적용합니다.
R3
no access-list 100
access-list 100 deny ospf host 10.1.23.2 host 224.0.0.5
access-list 100 deny ospf host 10.1.23.2 host 10.1.23.3
access-list 100 permit ip any any
interface e2/1
ip access-group 100 in
확인1. ACL(Access Control List)을 적용후, R2,R3간에 OSPF Neighbor가 다운되는 것을 확인합니다.
R3#show ip ospf neighbor
확인2. R3#show ip access-list로 ACL의 동작을 확인합니다.
(match counter가 증가)'네트워크 보안 전문가 과정 > 4주차' 카테고리의 다른 글
4주차 5일 (3/17) (0) 2023.03.26 4주차 4일 (3/16) (0) 2023.03.26 4주차 2일 (3/14) (0) 2023.03.24 4주차 1일 (3/13) (0) 2023.03.23