-
4주차 5일 (3/17)네트워크 보안 전문가 과정/4주차 2023. 3. 26. 17:04
문제1. Router에 Default Route를 만들어야 하는 경우는 어떠한 경우 입니까?
또한 OSPF에서 Default Route를 전파시키는 방법을 적어 보세요.
>>> 외부와 (인터넷) 연결을 하는 경우 필요 !!
>>> 모든 인터넷 경로를 알고 있을 수 없음
>>> OSPF (default를 자동으로 전파하는 command이용)
ip route 0.0.0.0 0.0.0.0 10.1.12.1
router ospf 1
default-information originate (always)
문제2. OSPF의 Authentication에 대해 적어 보세요.
>>> 인증에 성공한 OSPF Router간에만, Neighbor가 성립됨
(Routing을 안정적인 운영을 위해 인증을 사용 합니다.)
>>> OSPF의 경우, --> MD5(SHA), Simple 두가지 방식 사용가능
문제3. OSPF에서 Virtual Link가 필요한 이유는 무엇입니까?
>>> OSPF 계층적 구조 이기 때문에, 반드시 AREA 0와 연결되어 있어야 합니다.
모든 통신은 AREA0를 통해서 통신이 되는 구조입니다.
>>> 그렇지 않은 경우 고립 됩니다.
! AREA1에서 AREA 2으로 통신을 하기 위해서는 반드시 AREA 0를 통해 통신 합니다.
---> 논리적으로 AREA 0와 연결하는 경우 필요
---> 분리된 AREA 0를 연결하는 경우
문제4. OSPF의 Summary에 대해 적어 보세요.
>>> Routing에서 Summary의 목적은 기본적으로,
Routing table의 감소및 Routing update의 감소를 위한 목적으로 사용 됩니다. !!!
OSPF의 경우, (manual-summary만 가능하며(classless routing protocol)
manual summary되 TYPE3(ABR), TYPE5(ASBR)에 대해서만 가능 합니다.
-router)#area 0 range 172.16.0.0 255.255.0.0 (ABR Summary)
-router)#summary-address 172.16.0.0 255.255.0.0 (ASBR Summary)
1. Redistribute
>> 다른 Routing Protocol간에 경로를 교환하는 기능
>> 다수의 Routing Protocol이 사용되는 환경에서 필요
1.1 into RIP (637Page)
>> Default로 metric이 무한대 값으로 설정됨 (metric (hop counter) 1~15)
>> "R" "120"으로 재분배 됨 !!
router rip
redistribute ?
redistribute ospf 1
redistribute static
redistribute connected
1.2. into EIGRP (642 Page)
>> Default로 metric이 무한대 값으로 설정됨 (bandwidth, delay, 신뢰도, 사용량, MTU)
(metric 값은 임의의 값을 사용해도 됨)
>> "D EX" "90 > 170"으로 재분배 됨 !!
router eigrp 100
redistribute static metric 10000 1000 255 1 1500
redistribute static metrci 1 1 1 1 1
1.3. into OSPF (646 Page)
>> Default로 metric이 20으로 지정됨
>> "O E2" "110"으로 재분배 됨 !!
>> metric TYPE는 2가 default 설정 (metric이 합산되지 않음)
(E1은 metric이 합산되지 않음)
router ospf 1
redistribute static (metric 20 metric-type 2)
2. Route map
>> cisco의 스크립트 구문
>> 다양하게 사용됨
재분배시에, route-map을 구성하면, 다양한 재분배 정책을 적용할 수 있음
예) 특정 Interface만 재분배 한다,
예) 특정 경로는 재분배 하지 않는다,
예) 특정 경로는 E1으로 재분배 한다 .예제1. R1은 아래의 경로를 재분배시에, 특정 정책을 설정합니다. (OSPF로 재분배)
100.100.1.0/24 >> E1 metric 50
100.100.2.0/24 >> 재분배 하지 않음
100.100.3.0/24 >> E2 metric 20
R1
interface loopback 100
ip add 100.100.1.1 255.255.255.0
ip add 100.100.2.1 255.255.255.0 secondary
ip add 100.100.3.1 255.255.255.0 secondary
router ospf 1
redistribute connected route-map MYMAP
access-list 1 permit 100.100.1.0 0.0.0.255
access-list 2 permit 100.100.2.0 0.0.0.255
route-map MYMAP permit 10
match ip address 1
set metric 40
set metric-type type-1
route-map MYMAP deny 20
match ip address 2
route-map MYMAP permit 30
확인1. R2#show ip route ospf | in 100 으로 경로를 확인합니다.
R2#show ip route ospf | in 100.
O E1 100.100.1.0 [110/50] via 10.1.12.1, 00:00:20, Ethernet0/0
O E2 100.100.3.0 [110/20] via 10.1.12.1, 00:00:57, Ethernet0/0
실습
♦ LAB_09: route-map configuration
문제1. 위의 그림과 같이 EIGRP와 RIPV2를 설정하시오.
재분배를 통해 모든 network에 통신이 될 수 있도록 설정하시오.
R3
interface loopback 0
ip add 3.3.3.3 255.255.255.255
interface loopback 100
ip add 200.1.1.3 255.255.255.0
ip add 200.1.2.3 255.255.255.0 secondary
ip add 200.1.3.3 255.255.255.0 secondary
interface s2/1
ip add 172.1.23.3 255.255.255.0
router eigrp 109
no auto-summary
network 3.3.3.0 0.0.0.255
network 200.1.0.0 0.0.255.255
network 172.1.23.0 0.0.0.255
R2
interface s2/0
ip add 10.1.12.2 255.255.255.0
interface s2/1
ip add 172.1.23.2 255.255.255.0
router eigrp 109
network 172.1.23.0 0.0.0.255
router rip
version 2
no auto-summary
network 10.1.12.0
R1
interface lo 0
ip add 1.1.1.1 255.255.255.255
interface s2/0
ip add 10.1.12.1 255.255.255.0
router rip
version 2
no auto-summary
network 1.1.1.0
network 10.1.12.0
R2
router rip
redistribute eigrp 109 metric 1
확인1. R1#show ip route rip으로 EIGRP의 경로를 확인합니다. (R 120)
확인1. R1#ping 200.1.1.3 !!!! 통신을 확인합니다.
R2
router eigrp 109
redistribute rip metric 1 1 1 1 1
확인2. R3#show ip route eigrp로 RIP의 경로를 확인합니다. (D EX, 170)
확인2. R3#ping 1.1.1.1 !!!!! 통신을 확인합니다.
문제2. R2에서 route-map을 사용하여 R1에 그림과 같은 Routing table을 만드시오.
200.1.1.0/24 >> metric 5
200.1.2.0/24 >> 차단
200.1.3.0/24 >> metric 3
access-list 1 permit 200.1.1.0 0.0.0.255
access-list 2 permit 200.1.2.0 0.0.0.255
access-list 3 permit 200.1.3.0 0.0.0.255
route-map TO_RIP permit 10
match ip address 1
set metric 5
route-map TO_RIP deny 20
match ip address 2
route-map TO_RIP permit 30
match ip add 3
set metric 3
router rip
redistribute eigrp 109 route-map TO_RIP
확인1. R1에서 아래의 경로를 확인합니다.
R1#show ip route rip | in 200
R 200.1.1.0/24 [120/5] via 10.1.12.2, 00:00:17, Serial2/0
R 200.1.3.0/24 [120/3] via 10.1.12.2, 00:00:17, Serial2/0
3. Distribute-list
>> Routing Update를 조정하는 용도로 사용되는 구문
>> 특정 경로를 특정 Neighbor에게 정책적으로 광고할때 사용
>> inbound, outbound로 사용가능 (ACL과 같이 사용)
>> (config-router)#distribute-list 11 in(out) s1/0
♦ LAB_01: distribute-list configuration
문제1.위의 그림과 같이 EIGRP를 설정하시오.
R1
interface lo 100
ip add 100.1.1.1 255.255.255.0
ip add 100.1.2.1 255.255.255.0 secondary
ip add 100.1.3.1 255.255.255.0 secondary
ip add 100.1.4.1 255.255.255.0 secondary
ip add 100.1.5.1 255.255.255.0 secondary
interface lo 300
ip add 33.33.33.33 255.255.255.128
interface s2/0
ip add 10.1.12.1 255.255.255.0
no shut
router eigrp 109
network 100.1.0.0 0.0.255.255
network 33.33.33.33 0.0.0.0
network 10.1.12.1 0.0.0.0
R2
interface s2/0
ip add 10.1.12.2 255.255.255.0
no shutdown
interface s2/1
ip add 10.1.23.2 255.255.255.0
no shutdown
router eigrp 109
network 10.1.0.0 0.0.255.255
R3
interface loopback 100
ip add 200.1.1.3 255.255.255.0
ip add 200.1.2.3 255.255.255.0 secondary
ip add 200.1.3.3 255.255.255.0 secondary
ip add 200.1.4.3 255.255.255.0 secondary
ip add 200.1.5.3 255.255.255.0 secondary
interface loopback 120
ip add 10.3.0.3 255.255.255.128
ip add 10.3.1.3 255.255.255.0 secondary
ip add 10.3.2.3 255.255.255.0 secondary
ip add 10.3.3.3 255.255.255.0 secondary
ip add 10.3.4.3 255.255.255.0 secondary
ip add 10.3.5.3 255.255.255.0 secondary
interface s2/1
ip add 10.1.23.3 255.255.255.0
no shut
router eigrp 109
network 200.1.0.0 0.0.255.255
network 10.3.0.0 0.0.255.255
network 10.1.23.3 0.0.0.0
확인1. R2#show ip eigrp neighbor
확인2. R2#show ip route eigrp
문제2 : R1에서는 200.1.3.0/24 network이 보이지 않도록 R3에서 설정 하시오.
distribute-list 설정전
R1#show ip route | in 200.1
D 200.1.1.0/24 [90/2809856] via 10.1.12.2, 00:04:24, Serial2/0
D 200.1.2.0/24 [90/2809856] via 10.1.12.2, 00:04:24, Serial2/0
D 200.1.3.0/24 [90/2809856] via 10.1.12.2, 00:04:24, Serial2/0
D 200.1.4.0/24 [90/2809856] via 10.1.12.2, 00:04:24, Serial2/0
D 200.1.5.0/24 [90/2809856] via 10.1.12.2, 00:00:26, Serial2/0
R3
router eigrp 109
distribute-list 3 out s2/1
exit
access-list 3 deny 200.1.3.0 0.0.0.255
access-list 3 permit any
확인2. R1에서 show ip route eigrp로 보면, 200.1.3.0/24 경로는 보이지 않습니다 !!!
>>> 통신도 안됨 !! (R1#ping 200.1.3.3 ..... 통신안됨)
문제3 : R3에서는 100.1.3.0/24 network이 보이지 않도록 R2에서 설정 하시오.
3.1. R3,R2에서 모두 보이지 않게 (R2 config) >> R2(S2/0 Inbound로 적용)
3.2. R3에서만 보이지 않게 (R2 config) >> R2(S2/1 Outbound로 적용)
3.1 R2
access-list 33 deny 100.1.3.0 0.0.0.255
access-list 33 permit any
router eigrp 109
distribute-list 33 in s2/0
3.2 R2
access-list 33 deny 100.1.3.0 0.0.0.255
access-list 33 permit any
router eigrp 109
distribute-list 33 out s2/1
문제4. 아래의 Network을 R1에 설정하고 광고하세요. R3에서 이 경로가 들어올 때 차단 하세요.
(lo300 33.33.33.0/25)
R3
router eigrp 109
distribute-list 13 in s2/1
exit
access-list 13 deny 33.33.33.0 0.0.0.255
확인1. R3#show ip route | in 33으로 경로가 보이지 않는것을 확인합니다.
R3#clear ip eigrp neighbor
문제5. 아래의 Network을 R3에 설정하고 광고하세요.
R1에서 아래의 경로가 들어올 때 (10.3.1.0/24, 10.3.2.0/24, 10.3.0.0/25) 3만 차단해 보세요.
10.3.3.0/24)
10.3.0000 0000.0 >> 10.3.0.0
10.3.0000 0001.0 >> 10.3.1.0
10.3.0000 0010.0 >> 10.3.2.0
10.3.0000 0011.0 >> 10.3.3.0 access-list 10 deny 10.3.0.0 0.0.3.255
---------------------------------------------------------
10.3.0000 0100.0 >> 10.3.4.0
10.3.0000 0101.0 >> 10.3.5.0
R1
router eigrp 109
distribute-list 10 in s2/0
access-list 10 deny 10.3.0.0 0.0.3.255
access-list 10 permit any
확인1. R1에서 show ip route | in 10.3으로 확인하시면,
10.3.4.0 , 10.3.5.0 경로만 보임 !!!
문제6. 아래와 같이, 10.3.1.0/24, 10.3.3.0/24 2개의 경로만 차단해 보세요 !!!
10.3.0000 0000.0 >> 10.3.0.0
10.3.0000 0001.0 >> 10.3.1.0 >>>>>
10.3.0000 0010.0 >> 10.3.2.0
10.3.0000 0011.0 >> 10.3.3.0 >>>>>
10.3.0000 0100.0 >> 10.3.4.0
10.3.0000 0101.0 >> 10.3.5.0
no access-list 10
access-list 10 demy 10.3.0.0 0.0.2.255
access-list 10 permit any
10.1.0.0/24 0000 00|00
10.1.1.0/24 0000 00|01
10.1.2.0/24 0000 00|10
10.1.3.0/24 0000 00|11
10.1.1.0 0.0.2.255
10.1.255.0/24
access-list 10 permit 10.1.1.0 0.0.2.255
access-list 10 permit 10.1.0.0 0.0.2.255
예제1. 172.16.0.0/24 ~ 172.16.7.0/24를 나타내는 ACL을 1줄로 만들어 보세요.
172.16.0000 0000 .0
172.16.0000 0001 .0
172.16.0000 0010 .0
172.16.0000 0011 .0
172.16.0000 0100 .0
172.16.0000 0101 .0
172.16.0000 0111 .0
access-list 172.16.0.0 0.0.7.255
예제2. 172.16.32.0/24 ~ 172.16.47.0/24를 나타내는 ACL을 1줄로 만들어 보세요.
access-list 10 permit 172.16.32.0 0.0.15.255
예제3. 아래 4개의 ACL을 1줄로 만들어 보세요.
172.16.1.0/24 172.16.0000 0001.0/24
172.16.3.0/24 172.16.0000 0011.0/24
172.16.5.0/24 172.16.0000 0101.0/24
172.16.7.0/24 172.16.0000 0111.0/24
172.16.0000 0001.0
172.16.0000 0011.0
172.16.0000 0101.0
172.16.0000 0111.0
access-list 10 permit 172.16.1.0 0.0.6.255'네트워크 보안 전문가 과정 > 4주차' 카테고리의 다른 글
4주차 4일 (3/16) (0) 2023.03.26 4주차 3일 (3/15) (0) 2023.03.26 4주차 2일 (3/14) (0) 2023.03.24 4주차 1일 (3/13) (0) 2023.03.23