-
7주차 4일네트워크 보안 전문가 과정/7주차 2023. 4. 6. 18:41
** 2023년 4월 6일 ** 31일차
문제1. Nexus 기본 설정
Nexus Switch 구성
** 초기설정 **
> POAP (Power On Auto Provisioning)
> Boot 경로 지정
> 사용자 계정 생성, (RBAC(Role-Based access control)
> CheckPoint, Rollback
** TroubleShooting ***
> Packet Captuer (Ethanalyzer)
문제2. Nexus의 STP관점에서 Port TYPE에는 무엇있습니까?
1. Normal (일반적 STP가 동작하는 Port)
2. Network (Bridge Assurance가 활성화된 Port)
>> STP의 역할에 상관없이 Configuration BPDU를 송신함
>> STP의 역할에 상관없이 Configuration BPDU를 수신하지 못하면, Blocking됨
3. Edge (Edge Trunk)
>> STP의 동작, Learn을 생략하는 기능
>> L2 (Access, Trunk)
>> L3 (No Switchport, SVI)
(Port Channel) (Bundle)
문제3. RSTP는 무엇입니까?, RSTP의 동작방식은 무엇입니까?
RSTP가 기본적인 STP에 비해 Convergence가 빠른 이유는 무엇입니까?
1. Listen 시간 생략 (알고리즘이 우수) | Discarding > Learing > Forwarding
2. Blocking Port의 역할이 미리 주어짐, Blocking Port는 2개의 역할이 있음
Blocking(Alternative) > Root Port가 다운되면 Root Port가 됨
Blocking(Backup) > Designated Port가 다운되면 Designated Port가 됨
3. Proposal, Agreement를 사용하여 링크에서만 STP를 계산함)
새로운 Link가 연결되어도, 빠르게 계산됨 (부분 계산)
4. TCN BPDU를 사용하지 않음
(Topology 변화를 감지한 Switch가 직접 Configuration BPDU의 TC설정하여 전파함)
문제4. BPDU란 무엇이면, BPDU의 종류에는 무엇이 있으며 각각의 역할은 무엇입니까?
Configuration BPDU는 Switch간에 STP를 계산하기 위하여, 사용되는 L2 Frame입니다.
(STP의 종류에 따라 BPDU의 정보는 약간 상이함)
Configuration BPDU는 Root Bridge가 생성하여 전파
TCN BPDU는 Topology가 변화된것에 대해 Root Bridge에게 알려주는 역할
TCN BPDU는 Topology 변화를 감지한 Switch가 생성하여 Root Port로 전파
(Root Brdige는 Configuration BPDU에 Flag에 TC를 체트하여 전파함)
>> 모든 Switch는 aging time을 20sec 줄임
문제5. MST(Multiple Spanning-Tree)는 무엇이며, 사용하는 목적은 무엇입니까?
Rapid PVST의 문제인 VLAN 마단 STP가 동작하는 것을 Group(Instance)별로 동작하여,
Rapid PVST와 동일하게 Loadbalancing도 제공하고, Resource도 절약하기 위하여 사용되는 STP입니다.
*******************************************************************
STP
1. BPDU Guard (BPDU를 수신하면 차단하는 기능)
2. BPDU Filter (BPDU를 송신하지 않음, 수신하면 페기)
3. Root Guard (우수한 BPDU를 수신하면 수신한 Port를 차단(Blocking)
4. Loop Guard (UDLD) **
Bridge Assurance 구성
>> N9K-1, N9K-3, N9K-4으로 구성합니다.
N9K-1
interface e1/1-64
shutdown
interface e1/1, 1/2
no shutdown
N9K-3
interface e1/1-64
shutdown
interface e1/1, e1/3
no shutdown
spanning-tree vlan 1 root primary
N9K-4
interface e1/1-64
shutdown
interface e1/1, e1/3
no shtudown
spanning-tree vlan 1 root secondary
확인1. N9K-1#show spanning-tree vlan 1
Eth1/1 Root FWD 4 128.1 P2p
Eth1/2 Altn BLK 4 128.2 P2p
문제1. N9K-1에서 #show cdp neighbor 물리적인 연결을 확인합니다.
>> CDP는 L1,L2를 확인하는 용도로 사용됩니다.
>> Cisco Discovery Protocol 입니다.
>> 인접해 있는 CISCO장비의 물리적인 연결을 확인하는 용도로 사용됩니다.
>> 표준은 LLDP (Link Layer Discovery Protocol)
#show cdp neighbor (default)
#show lldp neighbor
config)#feature lldp
config)#lldp ?
문제2. N9K-1에서 show spanning-tree vlan 1을 E1/2이 Blocking되어 있는것을 확인합니다
확인1. N9K-1#show spanning-tree interface e1/2 detail로 BPDU가 수신되는 것을 확인합니다.
>> Blocking Port이지만, BPDU는 수신하고 있습니다.
>> N9K-4에서 E1/3을 shutdown해보세요.
>> N9K-1의 E1/2의 Port는 Forwarding됩니다.
확인2. N9K-4의 E1/3을 다시 no shutdown하면, N9K-1의 E1/2이 다시 Blocking 됩니다.
확인3. N9K-1의 E1/1을 Wireshark로 cdp, lldp의 frame을 확인합니다.
문제3. N9K-4의 E1/1에 bpdufilter를 구성합니다.
N9K-1의 1/2이 Forwarding으로 변경되는 것을 확인합니다.
>> BPDUFILTER은 BPDU를 송신하지 않기 때문에,
N9K-1은 Root Bridge로 부터 BPDU를 수신하지 않기 때문에,
Toplogy변호로 인식하고, E1/2을 Frowarding으로 변경합니다.
(macage time 20sec)
>>> Loop가 발생됩니다 !!!1
확인1. N9K-1의 E1/2이 Forwarding으로 변경되는 이유를 확인합니다.
확인2. 동일한 환경을 구성하고, N9K-1에 LoopGuard를 설정하면,
E1/2이 Forwarding이 Forwarding이 되지 않는 것을 확인합니다.
STEP1. N9K-4의 BPDUFILTER를 잠시 삭제합니다.
STEP2. N9K-1의 E1/2이 다신 Blocking되는 것을 확인합니다.
STEP3. N9K-1의 E1/2에 Loop Guard를 설정합니다.
STEP4. N9K-4의 E1/1에 BPDUFILTER를 다시 설정합니다.
STEP5. N9K-1의 E1/2이 Forwarding으로 변하지 않고,
Blocking으로 남아 있는것을 확인합니다.
N9K-1(config-if)# spanning-tree guard loop
>> LoopGuard는 Topology 변화에 의해, BPDU가 수신되지 않는것인지?
비정상적으로 BPDU가 들어오지 않는지 판단이 가능합니다.
(Topology 변화시에는 Root Bridge의 BPDU만 안들어 옴)
문제4. BA를 (N9K-1의 E1/2, N9K-4의 E1/1) 설정하고 동작을 확인합니다.
STEP1. N9K-4의 E1/1을 잠시 shutdown합니다.
STEP2. N9K-1의 E1/2의 LoopGuard를 삭제합니다.
STEP3. N9K-1의 E1/2에 BA를 구성합니다.
interface e1/2
spanning-tree port type network
no spanning-tree guard loop
shutdown
no shutdown
STEP4. N9K-4의 E1/1에 BA를 구성하고 Port를 활성화 합니다.
확인1. N9K-1의 E1/2은 Forwarding으로 변하지 않습니다.
확인2. N9K-4의 E1/1의 BPDUFILTER를 삭제하고, Port가 정상적으로 동작하는 것을 확인합니다.
확인3. N9K-4의 E1/3을 shutdown하면,
>> 정상적인 경우 이기 때문에, N9K-1의 E1/2이 Forwarding됨
결론 !! BA기능은 BPDU를 이용하여, SW간의 정상적인 동작을 확인함
************************************************************************
************************************************************************
- STP > RSTP > MSTP
- HSRP/VRRP > GLBP
- Ethernchannel(Port-Channel) > vPC(Virtual Port-Channel)
vPC (Virtual Port-Channel) >>
> PortChannel은 물리적인 Link를 논리적인 하나의 Link로 만드는 기능
> vPC는 물리적으로 다른 SWITCH간에 Port Channel을 구성하는 기능
- vPC Domain (vPC에 참가여하는 SWITCH Group) N9K-3, N9K-4
- vPC Peer (vPC 스위치, 한쌍 중 한대를 의미) >> N9K-3입장에서는 N9K-4
- vPC Keepalive-link (Peer의 상태를 감지하는 Link)입니다. (L3로 구성합니다.)
- vPC peer-link (Peer간의 정보를 동기화하거나, Traffic이 다니는 Link) (L2로 구성 (Trunk))
- vPC Member Port (vPC로 묶여진 port-channel에 포함된 포트)
(vPC Configuration Example)
>> N9K-1, N9K-3, N9K-4을 rollback을 통해서 초기화 합니다.
STEP1. N9K-1 E1/1, E1/2의 Port-Channel로 구성합니다. (LCAP)
N9K-1
feature lcap
interface e1/1-64
shutdown
interface e1/1, e1/2
channel-group 1 mode active
no shutdown
STEP2. N9K-3, N9K-4에 vPC를 위한 Domain을 구성합니다.
N9K-3, N9K-4
feature vpc
vpc domain 10
STEP3. N9K-3, N9K-4에 E1/3을 Peer-Keepalive-link로 구성합니다.
VRF Name : VPCKAL
IP : 1.1.1.1/24, 1.1.1.2/24
N9K-3 (N9K-4)
vrf context VPCKAL
interface e1/3
no switchport
vrf member VPCKAL
ip add 1.1.1.1/24 (ip add 1.1.1.2/24)
vpc domain 10
peer-keepalive dest 1.1.1.2 source 1.1.1.1 vrf VPCKAL
(peer-keepalive dest 1.1.1.1 source 1.1.1.2 vrf VPCKAL)
STEP4. N9K-3, N9K-4에 E1/4, E1/5을 Peer-link로 구성합니다.
>> LACP로 Port-Channel 34를 구성후 Peer-Link로 사용합니다.
config)#default interface e1/4-5
interface e1/4,e1/5
channel-group 34 mode active
no shtudown
interface port-channel 34
switchport
switchport mode trunk
spanning-tree port type network
vpc peer-link
#show interface status
#show port-channel summary
STEP4. N9K-3, N9K-4의 E1/1을 vPC로 구성합니다.
interface e1/1
channel-group 11 mode active
interface port-channel 11
vpc 11
1. Peer Keepalive-link
> vPC peer-keepalive link는 vPC peer device간의 주기적인 heartbeat를 전송한다.
> vPC peer-link로 vPC peer device간 UP 상태를 확인한다. (UDP 3200)
> L3,VRF로 구성 (VRF를 구성하지 않으면, MGMT VRF로 자동구성됨)
2. Peer-link
> vPC peer-link는 802.1Q Trunk로 vPC VLAN과 non-vPC VLAN 트래픽을 전송할 수 있다.
> 반드시 Etherchannel로 구성
> STP BPDU, HSRP Hello 및 IGMP Update 트래픽들과 Flooding Traffic들이 전송된다
확인1. N9K-1에서 show port-channel summary로 port-channel 성립을 확인합니다.
1 Po1(SU) Eth LACP Eth1/1(P) Eth1/2(P)
확인2. N9K-3, N9K-4에서도 show port-channel summary로 동작을 확인합니다.
확인3. N9K-3, N9K-4간에 vPC Keep-alive Link가 정상적으로 구성된 것을 확인 합니다.
N9K-3#show vpc peer-keepalive
확인4. N9K-3, N9K-4간에 vPC가 정상적으로 동작하는지 확인합니다.
N9K-3#show vpc brief
***************************************************************
Nexus9K를 9.2버전으로 변경하였습니다, (10버전에서)
(N9K-1, N9K-2, N9K-3, N9K-4) 기본설정 하겠습니다.
>> SKIP으로 진행시, admin에 대한 password는 엔터입니다 !!!
1. boot경로를 지정합니다. 저장합니다.
(config)# boot nxos bootflash:///nxos.9.2.4.bin
2. Admin에 대한 Password를 구성합니다.
(config)# username admin password cisco role network-admin
3. hostname을 지정합니다.
(config)#hostname N9K-X
4. 현재 초기상태를 checkpoint 파일로 구성합니다. "INIT"
(config)# checkpoint file bootflash:///INIT
5. 저장 합니다.
#copy running-config startup-config
*****************************************************************
vPC도전 !!!
문제1. N9K-3에서 E1/1, E1/2에 Port-Channel 100을 생성합니다. (LCAP를 사용)
Trunk Link에 Allowed VLAN 1, 10으로 구성합니다.
문제2. N9K-1, N9K-2에 vPC를 위한 vPC Domain 10을 구성합니다.
문제3. N9K-1, N9K-2에 vPC를 위한 Keep-alive Link를 구성합니다.
Interface : E1/3
VRF Name : VPCKAL
Keep-alive Interface IP : 1.1.1.1/24 , 1.1.1.2/24
문제4. N9K-1, N9K-2에 vPC를 위한 Peer-Link를 구성합니다.
Interface : E1/4-5, Trunk로 구성
Port-Channel : 12 (LACP를 사용)
문제5. N9K-1(E1/1) , N9K-2의 (E1/2)에 vPC100을 구성합니다.
Port-Channel 100,
Trunk에 Allowed VLAN 1, 10으로 구성합니다.
#show interface status
#show interface trunk
#show vpc brief
#show vpc peer-keepalive
*** >>> 기존의 IOS로 만든 3-Teir구조를
>> 성능향상을 위하여, NX-OS로 Migration함
문제1. 구성도와 같이, vPC를 구성합니다. (Blocking Port 제거)
문제2. VLAN10, VLAN 20에 대한 STP는 조정이 필요없음
문제3. FHRP을 구성하겠습니다.
(VLAN10은 N9K-1이 Active), (VLAN20은 N9K-2이 Active)
문제4. N9K-1, N9K-2에 L3 OSPF를 설정합니다.
문제5. R1(ISP)과 N9K-1,N9K-2은 BGP로 연동합니다.
PC1>ping 200.1.1.1 !!!!!!
PC2>ping 200.1.1.1 !!!!!!
*** Nexus에서 BGP설정하기 ***
N9K-1
router bgp 12
address-family ipv4 unicast
neighbor 100.1.1.1
remote-as 1
address-family ipv4 unicast
*** Nexus에서 HSRP설정하기 ***
N9K-1
interface vlan 10
ip add 10.1.11.253 255.255.255.0
hsrp 11
ip 10.1.11.252
priority 150
preempt
N9K-2
interface vlan 10
ip add 10.1.11.254 255.255.255.0
hsrp 11
ip 10.1.11.252
priority 100