-
3주차 2일 (3/7)네트워크 보안 전문가 과정/3주차 2023. 3. 23. 17:24
1. OSI 7Layer Model >> TCP/IP Model(L5,L6,L7 > AH)
L2 | L3 | L4 | AH | DATA
>> Header
>> L2 (Ethernet, WIFI) >> 경로찾기(MAC)
>> L3 (IP) >> 경로찾기(IP), 다른 Network
>> L4 (TCP,UDP) >> 통신방법
>> AH (HTTP, DNS, TELNET .... ) >> Application 정보
(wireshark)
문제1. Multilayer Switch는 무엇이며,
SVI(Switch virtual interface)는 어떤 의미이며, 어떠한 용도로 사용되나요?
Multilayer Switch는 L2,L3 기능이 모두 제공되는 장비입니다.
SVI는 (Multilayer Switch에서 사용하는 논리적인 L3 interface)
(Router의 경우, 물리적인 interface에 제약이 있음)
no switchport로 대체할 수 있습니다.
문제2. L3(no switchport)로 사용하는 경우와, SVI로 만드는 경우에 차이점을 확인하세요.
>> 성능상의 차이는 없음
문제2. L3(no switchport)로 사용하는 경우와, SVI로 만드는 경우에 차이점을 확인하세요.
1. L3 Port --> Switch Port를 L3(IP적용)로 사용하는 Port
--> 단지 한나의 단말이 연결되는 경우, (라우터와 연결)
--> Router와 동일
(Router의 interface와 동일한 역할을 하는 Port)
(Multilayer Switch에서 사용할 수 있음)
(config-if)#no switchport
(config-if)#ip add 10.1.12.1 255.255.255.0
2. SVI Port (Switch Virtual Interface)
--> Switch에서 사용하는 논리적인 L3 Port
(Router의 interface와 동일한 역할을 하는 Port)
--> L2 기능도 필요한 경우,(동일 서브넷에 단말이 많은 경우)
--> SVI로 사용하면, SW(L2), Router(L3)를 동시에 사용할 수 있는 장점이 있습니다.
(config)#interface vlan 10
(config-if)#ip add 10.1.12.1 255.255.255.0
(config-if)#no shutdown
(config)#vlan 10
문제3. STP(Spnnaing-tree Protocol)는 무엇이며, 역할 및 필요성에 대해 말해보세요.
>> L2 Topology를 유지관리 해주는 Protocol
(다중화 되어 있는 환경에서 발생되는 loop를 방지하는 역할)
>> STP 계산법
1. Root Bridge 선출 (VLAN마다) (Priority > MAC)
2. Root Port 선출 (Non Root Brdige마다) (COST > Port-Priority(Sender)
3. Designated Port 선출 (Link마다) (COST > Priority > MAC)
(역할을 받지못한 Port는 Blocking)
>>STP관점에서 Port의 역할
DP(Designated Port) [Forwarding] BPDU 송신, Traffic 송수신
RP(Root Port) [Forwarding] BPDU 수신, Traffic 송수신
Alternative Port [Blocking] BPDU 수신, Traffic 차단
문제4. PVTP의 동작방식과, 필요성에 대해서 적어 보세요.
STP(802.1D) >> PVST+
PVST ---> VLAN별로 STP를 계산하는 STP
(2중화 되어 있는 환경에서, Traffic을 분산하는 효과를 가짐)
(Loadbalancing)
1. STP Timer (220 Page)
- Disable State
- Listen State
- Blocking State
- Learn State
- Forward State
- BPDU (Bridge Protocol Data Unit)
- Hello Time 2sec >> BPDU를 보내는 주기
- Forwarding Time 15sec
- Listen (STP를 계산하고, Monitoring 하는 시간)
- Learn (MAC Table를 만드는 시간)
- MAX age Time 20sec
- BPDU를 최대한 기다리는 시간예제
STP(Spanning-Tree Protocol) 문제1. PC1,PC2에 각각 IP를 구성합니다.
PC1> ip 1.1.1.1 255.255.255.0 1.1.1.254PC2> ip 1.1.1.2 255.255.255.0 1.1.1.254
확인0. #show ip
PC1>ping 1.1.1.2로 통신을 확인합니다.
문제2. SW3의 E0/2을 Blocking 합니다.SW1
config)#spanning-tree vlan 1 root primary // vlan 1의 root sw
SW2config)#spanning-tree vlan 1 root secondary // vlan 1의 second sw
확인1. SW3#show spanning-tree vlan 1
TEST1. SW3의 E0/1이 Down되는 경우, PC1,PC2간의 통신은 30Sec간 단절됩니다.
(Listen + Learn = 30sec)TEST2. SW2의 E0/0이 Down되는 경우, PC1,PC2간의 통신은 50Sec간 단절됩니다.
(MAX-Age + Listen + Learn = 50sec)
문제3. 아래의 command를 이용하여, STP의 Timer를 수정합니다.
TEST1. SW1에서 max-age time을 20sec에서 6sec로 변경합니다.
TEST2. SW1에서 forward delay time을 15sec에서 4sec로 변경합니다.SW1
config)#spanning-tree vlan 1 max-age 6 config)#spanning-tree vlan 1 forward-time 4확인1. SW2의 E0/0이 다운되는 경우, PC1,PC2간의 통신의 단절시간을 확인합니다.
>> 6+4+4 = 14sec 단절 (50sec > 14sec)
2. STP에서 Convergence Time을 단축시키는 방법 (272page)
방법1. STP의 Timer를 조정합니다.
방법2. STP의 option을 사용합니다.
(PortFast, UplinkFast, BackboneFast)
방법3. RSTP의 사용config)#spanning-tree mode ? config)#spanning-tree mode rapid-pvst
2.1. PortFast
>> Listen, Learn을 생략하고, 바로 Forwarding으로 변경
>> 단말이 연결된 Port에 사용합니다.
>> 30Sec >> 1sec로 단축시킴config)#interface e0/3 config-if)#spanning-tree portfast
2.2. Uplink Fast
- Blocking을 가지고 있는 Switch에서 설정합니다.
SW3(config)#spanning-tree uplinkfast
- Listren, Learn을 생략합니다.
- 30sec의 convergence time을 1sec로 단축시켜 주는 효과
2.3. Backbone Fast
- 모든 Switch에서 설정합니다.
config)#spanning-tree backbonefast
- Root로 부터 들어오는 BPDU를 기다리지 않고, Root Bridge의 상태를 확인
(MAC Age를 단축)
- 50sec의 convergence time을 30sec로 단축시켜 주는 효과1. STP Timer
2. Convergence Time
3. STP 네트워크 보호기술 (288 Page)
3.1. BPDU Guard
>> 설정된 Port로 BPDU가 수신되면, Port를 Disable시키는 기능
(허가되지 않은 SWITCH가 연결되는 것을 방지하기 위해 사용됨)config-if)#spanning-tree bpduguard enable
확인1. #show interface status
확인2. #show interface status err-diable
3.2. BPDU Filter
>> 설정된 Port로 BPDU를 송신/수신하지 않는 기능입니다.
(불필요한 BPDU가 송신되는 것을 차단하기 위해 사용됩니다.)config-if)#spanning-tree bpdufilter enable
확인1. #show spanning-tree interface e0/3 detail
LAB1
Lab_1 Blocking port 표시 안함
문제1. PC1~PC6까지 적절한 IP를 구성합니다.
문제2. SWITCH간의 Link는 적절한 VLAN를 할당합니다.
문제3. SW3에 VLAN10, VLAN20, VLAN30에 대한 SVI를 구성합니다.
확인1. SW3(E0/0), SW1(E0/0)에 Trunk가 아닌 Access를 사용하는 이유는 무엇입니까?
확인2. SW3,SW5간의 Link는 Trunk로 구성하는 이유는 무엇입니까?
확인3. VLAN별로 STP의 Blocking Port를 조정하는 이유는 무엇입니까? > PVST
문제1. 구성도에서, PortFast를 설정해야 하는 Port는 어디인지 확인하고 설정하세요.
확인2. PC1,PC3간에 통신시, SW1의 E1/0을 shutdown, no shutdown합니다.
>> PC1이 연결된 E1/0에 Portfast를 구성합니다.
>> PC1에서 ping 10.1.20.1 -c 100으로 통신을 시도하고,
>> SW1의 E1/0을 shutdown > no shutdown합니다.
확인1. Ping은 하나도 빠지지 않습니다. !!!!
문제2. Convergence를 빠르게 하기 위하여, RSTP로 구성합니다. 적절한 SWITCH에 RSTP를 구성합니다.
모든 SWITCH에 RSTP를 구성합니다. (STP Timer, STP option을 사용하기에는 불편함이 있습니다.)config) spannig-tree mode rapid-pvst
>> PC1에서 ping 10.1.20.1 -c 100으로 통신을 시도하고
>> SW1의 E0/0을 shutdown합니다.
확인1. Ping은 하나도 빠지지 않습니다. !!!!
문제3. 구성도에서, BPUDFilter를 설정해야 하는 Port는 어디인지 확인하고 설정하세요.
(BPDU을 송신,수신안함)
>>> PC가 연결된 Port (PortFast가 설정된 Port에 구성합니다.)
>>> SW1의 E1/0에 BPDUFilter를 설정하고, 아래의 방법으로 확인 합니다.
방법1. SW1#show spanning-tree interface e1/0 detail로 send를 확인합니다. (카운터 증가안함)
방법2. SW1의 E1/0을 Wireshark로 Capture하여 확인합니다.
문제4. 구성도에서, BPUDGuard를 설정해야 하는 Port는 어디인지 확인하고 설정하세요.
(BPDU를 수신하면, 포트를 차단함)
>>> PC가 연결된 Port (PortFast가 설정된 Port에 구성합니다.)
>>> SW1의 E1/0에 BPDUGuird를 설정하고, 아래의 방법으로 확인 합니다. (PC1을 SW로 변경합니다.)
확인1. SW1#show interface status로 E1/0이 err-disable로 다운된것을 확인합니다.***** 추가구성 HSRP **** (GW도 2중화 하겠습니다.)
HSRP -> sw3과 sw5를 하나의 sw로 만들어주기
SW3
config) interface vlan 10 config-if) ip add 10.1.10.253 255.255.255.0 config-if) standby 10 ip 10.1.10.252 // vlan 10에 대해서 root sw? 암튼 대장 선출 config-if) standby 10 priority 150 // priority가 높으면 대장 config-if) standby 10 preempt // 현sw가 down되었다가 켜지면 대장 뺏어오기 config-if) exit config) interface vlan 20 config-if) ip add 10.1.20.253 255.255.255.0 config-if) standby 20 ip 10.1.20.252 // vlan 20 sw의 공통 ip,,? config-if) exit config) interface vlan 30 config-if) ip add 10.1.30.253 255.255.255.0 config-if) standby 30 ip 10.1.30.252 // vlan 30 sw의 공통 ip 설정,,? config-if) standby 30 priority 150 // vlan 30 대장 sw config-if) standby 30 preempt // 현sw가 down되었다가 켜지면 대장 뺏기
SW5config) interface vlan 10 config-if) ip add 10.1.10.254 255.255.255.0 config-if) standby 10 ip 10.1.10.252 // vlan 10의 공통 ip 설정 (sw3의 vlan 10 공통 ip와 동일) config-if) exit config) interface vlan 20 config-if) ip add 10.1.20.254 255.255.255.0 config-if) standby 20 ip 10.1.20.252 // vlan 20의 공통 ip 설정 (sw3의 vlan 20 공통 ip 동일) config-if) standby 20 priority 150 // vlan 20의 대장 sw 선출 config-if) standby 20 preempt // 현sw가 down되었다 켜지면 대장 sw 뺏기 config-if) exit config) interface vlan 30 config-if) ip add 10.1.30.254 255.255.255.0 config-if) standby 30 ip 10.1.30.252 // vlan 30의 공통 ip 설정 (sw3의 vlan 30 공통 ip 동일) config-if) exitSW5#show standby brief
1. STP의 Timer 종류및 역할
- Hello Time
- Max-age
- Forward Delay
2. STP Convergence의 문제점 및 완화방법
- Timer를 조정
- STP Option을 사용 (PortFast, UplinkFast, BackboneFast)
- RSTP 사용
3. STP의 추가옵션
- BPDU Filter
- BPDU Guard
(Err-disable)'네트워크 보안 전문가 과정 > 3주차' 카테고리의 다른 글
3주차 5일 (3/10) (0) 2023.03.23 3주차 4일 (3/9) (0) 2023.03.23 3주차 3일 (3/8) (0) 2023.03.23 3주차 1일 (3/6) (2) 2023.03.23