-
8주차 3일네트워크 보안 전문가 과정/8주차 2023. 4. 17. 09:22
문제1. 각각의 기능이 사용하는 Timer의 종류에는 무엇이 있으며, 역할을 무엇입니까?
(STP, HSRP(VRRP), OSPF, BGP, ASA)
문제2. vPC의 peer-keepalive link는 무엇입니까?
문제3. vPC의 peer link는 무엇입니까?
문제4. 기본적인 vPC의 동작방식 (Loop가 발생되지 않는 이유?)
문제1. 각각의 기능이 사용하는 Timer의 종류에는 무엇이 있으며, 역할을 무엇입니까?
1. STP의 Timer >>> RSTP를 사용하거나, Loop구조를 만들지 않음(PC)
Hello Timer >>> BPDU를 주기적, (BA) 2sec
Forward Delay Time >>> Listen, Learn 15sec
Maxage Time >>> 20sec ? (BPDU를 최대한 기다리는 시간)
2. HSRP, VRRP Timer
Hello Time (3) (1)
Hold Time (10) (3)
Preempt Delay Default "0"
3. OSPF Timer >> Timer가 Neighbor간에 일치해야함
Hello Interval (10sec)
Dead Interval (40sec)
4. BGP Timer >> Neighbor가 성립될때, 적용됨
Keep Alive Interval (60sec)
Hold Time (180sec)
5. ASA
Unint
Poll interval: 1
holdtime : 15
Interface
Polltime : 5
holdtime : 25
문제2. vPC의 peer-keepalive link는 무엇입니까?
>> vPC peer-keepalive link는 vPC peer device간의 주기적인 heartbeat를 전송한다.
>> vPC peer-link fail시 vPC peer device간 UP 상태를 확인한다.
>> VRF, L3로 사용
>> vPC가 구성된후, Down되도, VPC에는 문제없음 (Peer-Link로 Peer가 확인)
vrf context VPC
interface e1/1
no switchport
vrf member VPC
ip add 1.1.1.1/24
no shtudown
vpc domain 10
peer-keepalive destination 1.1.1.2 source 1.1.1.1 vrf VPC
#show vpc peer-keepalive
문제3. vPC의 peer link는 무엇입니까?
vPC peer-link는 standard 802.1Q Trunk포트로 구성된다. (Portchannel로 구성)
주요 역할은 vPC 구성을 통한 CFS Protocol 통로로 사용된다.
>> 1 vPC Management (CFS) (CFS(Cisco Fabric Services) 메시지를 전송함)
>> 2. vPC 에 속해있는 VLAN, vPC에 속하지 않은 VLAN Traffic이 허용 (Trunk로 구성)
>> 3. Flooding
vPC peer로부터 flood된 트래픽을 전송함
STP BPDUs, HSRP Hellos, IGMP updates등을 전송함
>> Peer Link로 수신한 Frame은 vPC member Port로 전송되지 않음
문제4. 기본적인 vPC의 동작방식
- A에서 B로 Traffic이 발생되고 Flooding되는 경우, MAC Address 생성
>> MAC Table은 CFS에 의해 VPC Peer에게 동기화 됨
1. Loop방지를 위하여, Peer Link로 받은 Traffic은 TAG됨 다시 VPC Port로는 전송되지 않음
2. 돌아오는 Traffic이 N9K-2로 오면, 다신 Peer-link로 N9K-1로 보내면, Drop됨 그래서 CFS가 필요
>> CFS에 의해, N9K-2의 A의 MAC은 VPC Member Port로 동기화 됨 !!!
>> 규칙1. Peer Link로 받은 VPC Traffic은 다시 vPC Port로 전송안됨 !!! 규칙1
>> 규칙2. vPC 관련 Traffic은 Local 처리가 원칙 (Peer - Link로 보내지 않음)
*********************************************************************
LAB vPC 페일시나리오 TEST
PC1> ip 10.1.11.11 255.255.255.0 10.1.11.254
SW1
interface range e0/0-2
switchport mode access
switchport access vlan 11
interface range e0/0, e0/1
channel-group 11 mode active
R7
interface loopback 0
ip add 200.200.200.200 255.255.255.255
ip ospf 1 area 0
interface e0/0
ip add 10.1.2.1 255.255.255.0
ip ospf 1 area 0
no shut
interface e0/1
ip add 10.1.3.1 255.255.255.0
ip ospf 1 area 0
no shut
**** N9K-3 *******
feature lacp
feature vpc
feature ospf
feature vrrp
feature interface-vlan
vrf context VPC
interface e1/7
no switchport
vrf member VPC
ip add 1.1.1.1/24
no shut
vpc domain 10
role priority 1
peer-keepalive destination 1.1.1.2 source 1.1.1.1 vrf VPC
interface e1/3-4
channel-group 1 mode active
interface port-channel 1
swithcport mode trunk
vpc peer-link
vlan 11
interface e1/1
channel-group 11 mode active
interface port-channel 11
switchport mode access
switchport access vlan 11
vpc 11
확인1. N9K-3에서
#show interface status로 물리적인 Link를 확인합니다.
>> disable되어 있는 경우는 no shtut해야 하지만
(나머지 경우는 vPC가 잘 구성되면, >> UP이 됩니다.)
확인2. N9K-3에서 #show port-channel summary로
Peer-Link로 사용하는 Port Channel이 성립된 것을 확인합니다.
확인3. N9K-3에서 #show vpc peer-keepalive로 vpc peer를 확인합니다.
확인4. N9K-3에서 #show vpc brief로 vPC Domain의 동작을 확인합니다.
확인5. N9K-3에서 #show port-channel summary로 VPC 11의
Port-Channel의 성립을 확인합니다.
확인6. SW1#show etherchannel summary로 SU를 확인합니다.
문제2. vPC구성이 완료되시면, VRRP, OSPF를 구성하여,
PC1>ping 200.200.200.200통신이 되도록 구성합니다.
N9K-3
inter e1/2
no switchport
ip add 10.2.12.2/24
ip router ospf 1 area 0
no shut
router ospf 1
interface vlan 11
ip add 10.1.11.1/24
ip router ospf 1 area 0
no shtudown
vrrp 11
address 10.1.11.254
priority 150
no shutdown
확인1. N9K-3#show interface status로 물리적인 Link를 확인합니다.
확인2. N9K-3#show ip interface brief로 L3 interface를 확인합니다.
확인3. N9K-3#show vrrp로 vrrp의 상태를 확인합니다.
확인4. N9K-3#show ip ospf neighbor 1(2)개의 neighbor를 확인합니다.
확인5. N9K-3#show ip route로 200.200.200.200/32 경로를 확인합니다.
확인1. PC1>ping 200.200.200.200으로 통신을 확인합니다.