네트워크 보안 전문가 과정/5주차

5주차 1일 (3/20)

kimangji 2023. 3. 26. 19:14

문제1. 다른 Routing Protocol간에, 경로를 교환하기 위하여, 사용되는 기술은 무엇입니까?
 -> 다수의 Routing Protocol이 사용되는 경우, Routing에 포함하면 안되는 Network이 있는 경우,
 -> Redistribute(재분배) 입니다.
 -> EIGRP, RIP으로 재분배시에는 metric을 지정해야 합니다. (무한대) 
 -> OSPF로 재분배시에는 metirc type을 지정해야 합니다. (metric은 자동으로 지정됨)
 -> Connected, STATIC Route도 재분배 할 수 있습니다. 

 

config) router eigrp 100
config-router) redistribute static metric 1 1 1 1 1
config-router) redistribute connected metric 1 1 1 1 1

 

 

문제2. Routing update를 모두 차단하는 기능은 무엇입니까?
  -> Passive-interface 입니다. 
      (특정 interface로 routing 관련 message를 보내지 않음)
      client가 있는 network의 경우 사용 
 ->routing neighbor없는 경우 하지만 광고는 해야하는 경우   (EIGRP, OSPF모두 동일 하게 동작)

 

R1

config) router ospf 1
config-router) network 10.1.12.0 0.0.0.255 area 0
config-router) network 10.1.21.0 0.0.0.255 area 0
config-router)network 10.1.1.0 0.0.0.255 area 0
config) passive-interface e0/1

 

 

문제3. Routing update를 부분적으로 차단,허용하는 기능은 무엇입니까?
  --> routing udpate를 조정하는 기능은 distribute-list입니다.
    ( routing update시에 특정경로를 차단하거나, 허용하는 기능)

      EIGRP의 경우, (inbound, outbound)로 적용하여 사용 합니다.
      OSPF의 경우, (inbound로만 사용가능)
      (자신에게만 적용(LSDB에서 Routing으로 들어 가는 경우에 적용)

 

문제4. route-map이란 무엇이며, 어떠한 용도로 사용됩니까?
   -> Route map은 cisco에서 사용하는 구문입니다.
   -> 다양한 용도로 사용됩니다.
       (예) 재분배 시에 route-map을 적용하여, 다양한 정책을 적용할 수 있습니다.
   -> match 구문에서 인자를 분류하게 됩니다. (match ip address 10) 
       match  "and"
   -> set 구문에서 특정 인자를 할당합니다.  (set metric metric-type type-2)

 

config) router ospf 1
config-router) redistribute eigrp 109 route-map TEST
config-router) exit
config) route-map TEST permit 10
config-route-map) match interface loopback 0
config-route-map) match ip address 10           
config-route-map) match ip address 20           >> and
config-route-map) set metric 20
config-route-map) exit
config) route-map TEST permit 20
config-route-map) match ip address 10 20       >> OR

 

 -> route-map 마지막에는 자동으로 deny all이 적용됩니다.

config) route-map TEST deny 30

위 구문이 생략되지만 자동으로 삽입됨.

 

1.Routing Protocol
        IGP vs EGP 

  IGP (EIGRP, OSPF)
            >> AS안에서 사용되는 Routing Protocol 
         (Convergence, Bandwidth에 초점, 전체 Topology 인지)

 EGP (BGP)
             >> AS간에 사용되는 Routing Protocol 
           (많은양의 경로를 수용, 정책을 구성)

2. EBGP vs IBGP
    
EBGP (External BGP) > AS간에 사용되는 BGP
IBGP (Internal BGP)   > AS안에서 사용되는 BGP 

3. BGP Configuration 

config) router bgp 1
config-route) neighbor 10.1.12.2 remote-as 234
config-route) network 1.1.1.0 mask 255.255.255.0


 
4. BGP Table

 

R1

R1# show ip ospf neighbor
R1# show ip ospf database
R1# show ip route ospf 
 
R1# show ip bgp summary
R1# show ip bgp 
R1# show ip route bgp


 
5. BGP Network Command
  >> BGP는 자신이 알고있는 모든 경로에 대해서 BGP로 광고할 수 있음
     (OSPF는 Connected Network만 광고할 수 있음) >> 재분배
     (단 BGP가 자신이 광고하는 경로는 정확히 Subnet이 match되는 경로만 광고가능)

6. BGP Neighbor (Loopback)
  >> BGP는 Multicast가 아닌 Unicast 방식으로 Neighbor를 구성합니다.
  >> Neighbor 구성시, 2중화를 위하여, loopback 주소를 사용합니다.
  >> Loopback주소 사용시, Update Source를 변경해야 합니다.

7.  Next-hop
   hop-by-hop routing protocol >> EIGRP, OSPF 
     >> next-hop에 도달가능 확인이 필요없음 


  AS-by-AS routing protocol     >> BGP
    >> BGP는 AS안에서는 Next-hop이 자동으로 변경되지 않습니다.
    >> next-hop에 대한 도달가능 확인이 필요 

** 1. IGP(EIGRP)에 DMZ를 광고한다, (Passive를 구성)
             (OR conneced redistribute를 적용한다)
** 2. Next-hop-Self 
            자동으로 변경되지 않은 Next-hop을 수동으로 변경한다 
            (예) EBGP로 부터 받은 경로를 IBGP로 전파하는 경우에 적용.  
 
 
 
 
 
 
    8. BGP Split-horizon 
  >> iBGP로 부터 받은 정보는 iBGP로 광고하지 못하는 기능 
    (이 기능이 필요한 이유는 Routing Update Loop를 방지하기 위하여 사용)

   >> 위 기능에 의하여, Routing Update Loop는 방지 하였지만, 
            Routing Update를 받지 못하는 Router가 발생됨 !!!

    ** Split-horizon에 의해 경로를 받지 못하는 문재를 해결하는 방법
          1. Fullmesh (확정성 ?)
          2. Route Reflector 
                   (대장(Route Reflector)은 Split-horizon이 생략됨)
          3. Confederation (split-horizon이 생기지 않도록, AS를 다시 세분화함)
                  (확장성?)

 

 

349.p

 

AS1 (우리회사)

R1

config) interface loopback 0
config-if) ip add 1.1.1.1 255.255.255.0	
config-if) interface e0/0
config-if) ip add 10.1.12.1 255.255.255.0
config-if) no shutdown

 

 

AS(234) ISP (KT)

R2

config) interface loopback 0
config-if) ip add 1.1.2.2 255.255.255.0
config-if) interface e0/0
config-if) ip add 10.1.12.2 255.255.255.0
config-if) no shutdown
config-if) interface e0/1
config-if) ip add 10.1.23.2 255.255.255.0
config-if) no shutdown

config) router eigrp 1
config-router) network 1.1.2.0 0.0.0.255 
config-router) network 10.1.23.0 0.0.0.255 
config-router) network 10.1.12.0 0.0.0.255 
config-router) passive-interface e0/0

 

 

R3

config) interface loopback 0
config-if) ip add 1.1.3.3 255.255.255.0
config-if) interface e0/1
config-if) ip add 10.1.23.3 255.255.255.0
config-if) no shutdown
config-if) interface e0/0
config-if) ip add 10.1.34.3 255.255.255.0
config-if) no shutdown

config)router eigrp 1
config-router) network 1.1.3.0 0.0.0.255
config-router) network 10.1.23.0 0.0.0.255
config-router) network 10.1.34.0 0.0.0.255

 

 

R4

config) interface loopback 0
config-if) ip add 1.1.4.4 255.255.255.0
config-if) interface e0/0
config-if) ip add 10.1.34.4 255.255.255.0
config-if) no shutdown

config) router eigrp 1
config-router) network 1.1.4.0 0.0.0.255
config-router) network 10.1.34.0 0.0.0.255

 

 

 

 

 

 

저작자표시 비영리 변경금지 (새창열림)