Komingsha

   다중경로
  이중화
   -> 루프백 인터페이스
    - iBGP : 출발지 주소
    - eBGP : 출발지 주소 -> ebgp-multihop 명령어


 * next-hop 속성
   1) eBGP Peer 간

 BGP 경로를 자기자신을 next-hop으로 전달
 * 주의사항 
 - bgp peer에게 도달할 routing table 경로가 있어야 한다.
 - next-hop에 도달 가능한 routing table 경로가 있어야 한다.




 * RIP, EIGRP, OSPF

 -> Metric 부르는 용어
   RIP : hop-count
 - EIGRP : 대역폭·지연(metric)
 - OSPF : 대역폭(cost)
EIGRP, OSPF -> 링크속도가 높을 수록 메트릭 속도가 낮다.

EIGRP, OSPF V2 -> classless routing protocol 
 - 수동 경로 요약 지원
 - 인증 지원, 멀티캐스트 통신


Multicast MAC
01-00-5E-xx-xx-xx
----------
으로 시작하면 멀티캐스트 맥 주소이다.

 1. BGP 설정
   -> BGP란? AS간 라우팅 정보 교환

   - 설정 명령

    Router(config)# router bgp AS_Number
    Router(config-router)# neighbor 네이버주소 remote-as 네이버AS번호


 * split-horizon : 네이버를 통해서 학습한 경로는 다시 해당 네이버로 전달하지 않음
                       >라우팅 루핑을 방지하기 위함 
                  수신 인터페이스를 통해서 광고 받은 정보는 해당 인터페이스로 업데이트를 보내지 않는다
     * BGP에서 스플릿 호라이즌 규칙은 IBGP Peer 간에 적용된다.


 * 수동 경로 요약                
                                     /22
      192.168.0.0/24       0000 00 | 00 . 0000 0000
      192.168.1.0/24       0000 00 | 01 . 0000 0000
      192.168.2.0/24       0000 00 | 10 . 0000 0000                              => 192.168.0.0/22 로 요약된다.
      192.168.3.0/24       0000 00 | 11 . 0000 0000

 1. IPsec ( Site to Site IPsec VPN 설정 )

   1) 설정
  
      - IKE 1 단계 ( IKE Phase 1 )
         : 피어 간 6개의 패킷이 교환 됨 (피어당 3개)

    Router(config)# crypto isakmp policy 10
    Router(config-isakmp)# encryption 암호화 알고리즘
    Router(config-isakmp)# authentication 인증방식
    Router(config-isakmp)# group 그룹번호
    Router(config)# crypto isakmp key 인증키 address VPN피어주소

      - IKE 2 단계 ( IKE Phase 2, IPsec SA )
          : 사용자 트래픽 보호 설정 (암호화)

    >> IPsec 보호 대상 트래픽 지정 - ACL 사용
    Router(config)# ip access-list extended 이름
    Router(config-ext-nacl)# permit ip source wildcardmask destination wildcardmask


    >> transform-set 정의 - 암호화, 인증 알고리즘 정의
    Router(config)# crypto ipsec transform-set 이름 암호화 알고리즘 인증알고리즘

    >> crypto map 작성
    Router(config)# crypto map 맵이름 일련번호 ipsec-isakmp
    Router(config-isakmp-map)# match address ACL이름
    Router(config-isakmp-map)# set peer VPN피어주소
    Router(config-isakmp-map)# set transform-set 트랜스폼셋이름

    >> crypto map 적용 ( 외부 네트워크와 연결된 인터페이스 )
    Router(config)# interface 인터페이스명
    Router(config-if)# crypto map 맵이름


 * BGP (EGP)
   -> AS와 AS간의 라우팅 정보를 교환
   -> AS : 하나의 네트워크 집단,회사

   -> peer 관계
     - iBGP : 같은 AS상에 있는 BGP peer 관계를 뜻함
     - eBGP: 다른 AS상에 있는 BGP peer 관계를 뜻함

   - BGP 설정
   Router(config)# router bgp AS_번호
   Router(config-router)# neighbor IP주소 remote-as AS_번호(네이버의 AS번호)

 
   - 확장 ACL
     Step 1. 정의




           Router(config)# access-list 목록번호 {permit | deny} protocol 출발지주소 와일드카드마스크 [연산자 포트번호] 목적지주소 와일드카드마스크 [연산자 포트번호]

                         [ ] : 선택사항
                         IP Header : Source, Destination, Protocol                                        


         - 목록번호를 이용해 Standard ACL(1~99)과 확장 ACL(100~199)을 구분 함
         - 연산자,Operator : eq(=), neq(≠), lt(<), gt(>)


 실습
  1. 확장 ACL 
     
        출발지 네트워크 : 192.168.1.0/24 , 192.168.3.0/24
        목적지 네트워크 : 192.168.2.0/24

  [요구사항 1]

     192.168.1.0/24 > 192.168.2.0/24 : 웹 접근만 거부

 access-list 100 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
 access-list 100 permit ip any any < 모든 트레픽 허용


int f0/1
 ip access-group 100 out


  [요구사항 2]

    192.168.1.0/24 > 192.168.2.0/24 : FTP 접근만 거부

 access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 21
 access-list 101 permit ip any any

int f0/1
 ip access-group 101 out


  [요구사항 3]

     192.168.1.101/24 > 192.168.2.100/24 : FTP만 접근 가능
     192.168.1.100/24 > 192.168.2.100/24 : 웹만 접근 가능

 access-list 102 permit tcp host 192.168.1.101 host 192.168.2.100 eq 21
 access-list 102 permit tcp host 192.168.1.100 host 192.168.2.100 eq 80

int f0/1
 ip access-group 102 out


  [요구사항 4]

     192.168.1.0/24 > 192.168.2.0/24 : 웹만 접근 가능
     192.168.3.0/24 > 192.168.2.0/24 : FTP만 접근 가능

 access-list 103 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
 access-list 103 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 21

int f0/1
 ip access-group 103 out





     NAT, Network Address Translation, 네트워크 주소(IP) 변환
           A IP --> B IP 변환하는데 이용함(사설, 공인)

     Inside <---  | --->outside
          |------- R1 ----------- Internet ------------ R2 -------|
        PC A(192.168.1.100/24)                                           PC B(192.168.2.100/24)
          inside global address : 211.255.56.0/24                  outside global address : 

 inside local address : 내부 사설 IP
 inside global address : 내부 공인 IP


R1 NAT 변환 테이블
192.168.1.100 내부<->외부 211.255.56.100
---------
PC A에서 PC B로 통신할 때, 192.168.1.100 이 R1에서 211.255.56.100 으로 변환됨

-------------


Static NAT : 1대1 변환 ( 수동 설정 )
Dynamic NAT : 1대1 변환 ( 라우터가 자동 설정 )
PAT,Port Address Translation : 다 대 1 ( 다수의 IP가 하나의 IP로 변환 )


192.168.1.100:100 -> 100.100.100.100:100
192.168.1.101:101 -> 100.100.100.100:101
192.168.1.102:102 -> 100.100.100.100:102

 1. ACL(Access Control List, 접근 제어 목록) - 흰 교재 79Page
     Access 접근

     Control 제어
       - 허용(permit)
       - 거부(deny)
 
     List 목록

   1) Standard ACL ( 표준 ACL )
       : 수신 패킷의 출발지 주소만을 확인하여 허용 또는 거부를 수행 함

   2) Extended ACL ( 확장 ACL )
       : 수신 패킷의 출발지 주소, 목적지 주소
                          출발지 포트, 목적지 포트 등을 확인하여 허용 또는 거부를 수행 함


   3) Standard ACL 설정
     Step 1. 정의

           Router(config)# access-list 목록번호 {permit | deny} 주소 와일드카드마스크

                          >> 목록번호 : 1 ~ 99
                          >> 주소 : 출발지 주소

        ex ) access-list 1 permit 192.168.1.0 0.0.0.255
                                         -----------------------
                                             > 192.168.1.0 ~ 192.168.1.255

              access-list 1 deny 192.168.2.100 0.0.0.0 = host 192.168.2.100
                                        ----------------------
                                             > 192.168.2.100 255.255.255.255

              access-list 1 permit 0.0.0.0 255.255.255.255 = any
                                         -------------------------
                                             > 0.0.0.0 0.0.0.0 -> 모든 IP 주소

              [deny any] <- 묵시적인 거부

     Step 2. 적용

              Router(config)# interface 인터페이스명
              Router(config-if)# ip access-group 목록번호 {in | out}

    4) 실습 2111122 OSPF ACL 적용 실기 참고
        출발지 네트워크 : 192.168.1.0/24
                                192.168.3.0/24

        목적지 네트워크 : 192.168.2.0/24

      Ex ) 192.168.1.0/24에서 발생한 트래픽만 192.168.2.0/24 으로
            패킷전달 가능하도록 Standard ACL 작성

       Internal(config)# access-list 1 permit 192.168.1.0 0.0.0.255
       Internal(config)# interface fa0/1
       Internal(config)# ip access-group 1 out


    - 확장 ACL
     Step 1. 정의



                                                                                             {                       Source                              } {                         Destination                      }
                                                                                                출발지 정보                                  Source     목적지 정보                               Destination
                                                                                               ------------------------------            --------  ------------------------------             ---------
           Router(config)# access-list 목록번호 {permit | deny} protocol 출발지주소 와일드카드마스크 [연산자 포트번호] 목적지주소 와일드카드마스크 [연산자 포트번호]
                                               ----------                     ----------
                                               100~199                      IP, TCP, UDP                                                                                   [ ] : 선택사항
                         IP Header : Source, Destination, Protocol                                        


         - 목록번호를 이용해 Standard ACL(1~99)과 확장 ACL(100~199)을 구분 함
         - 연산자,Operator : eq(=), neq(≠), lt(<), gt(>)

 1. OSPF
    1) 영역
        - 백본영역 ( 전이영역 ) : 영역 ID로 0(숫자)를 사용
        - 일반영역 : 0이 아닌 모든 영역

    2) 특징
        - 클래스리스 라우팅 프로토콜
        - 네이버를 맺기 위한 프로세스
           >> Hello Packet(중요)
           >> 네이버가 되어야 OSPF 라우팅 정보를 교환

        - 네이버 인증을 지원

    3) Hello Packet
        - OSPF 라우터 ID ( 32bit 식별자, IP 주소형식으로 정의 ) *

            수동 설정 1 : OSPF 라우터 설정모드에서
                              명령어 "router-id 라우터 ID" 를 통해 설정 가능
                            Ex) Router(config-router)# router-id 1.1.1.1

            수동 설정 2 : 루프백 인터페이스를 이용한 RID 설정
                              여러 루프백 인터페이스에 설정 된 IP 주소 중
                              가장 높은 IP 주소가 RID로 결정 됨

            자동 설정 : physical interface를 이용해 자동으로 설정 됨
                           여러 physical interface에 설정 된 IP 주소 중
                           가장 높은 IP 주소가 RID로 결정 됨

          - Timer ( hello / dead interval ) * 

               목적
                 - 네이버 관계를 맺기 위함
                 - 네이버가 살았는지 죽었는지(keep alive) 확인하기 위함.

            Hello interval : 10초
            Dead interval : Hello interval의 4배

          - 라우터 우선 순위 , DR/BDR IP 주소 (BMA 네트워크)

          - 같은 영역의 라우터간 네이버 관계를 맺음 : 영역 ID *

          - 같은 영역에 속한 모든 라우터 Stub Area로 정의 해야 함 *
                                                     -----------
                                                     단 하나의 경로
          - OSPF 네이버 인증 *
              1) 평문 암호 인증
              2) MD5 암호 인증 (암호화)

               --> 인증에 사용되는 암호(암호키)

             ==> * 항목은 OSPF 네이버가 되기 위해 반드시 일치해야 하는 항목이다.

    4) OSPF 설정

        Router(config)# router ospf process_id
                                              -----------
                                               숫자 ( 1 ~ 65535 )

        Router(config-router)# network 주소 와일드카드마스크 area 영역ID
                                                          -------------------
                                                          -> Inverted MASK
  

                                             
       Ex) 해당 네트워크의 서브넷마스크 -> 와일드카드마스크 (편법)

         서브넷마스크 :     255     .       192     .       0        .       1
                            1111 1111 . 1100 0000 . 0000 0000 . 0000 0001                                          

                                                      ->

   와일드카드마스크 :      0       .       63      .      255     .      254
                            0000 0000 . 0011 1111 . 1111 1111 . 1111 1110




    5) OSPF 네트워크 유형 >> 인터페이스 유형으로 구분
        - WAN 인터페이스 ( serial 0/3/0 ) : point to point, 점대점, 1대1 연결
        - LAN 인터페이스 ( fastetherenet 0/0 ) : Broadcast Multi Access (BMA)


   DR(Designated Router), BDR(Backup DR), DRother

 DRother  ------라우팅 정보-----> DR, BDR : DR과 BDR은 같은 라우터라고 보면 됨
 DR, BDR  ---받은 라우팅 정보--> DRother : 라우팅 정보를 보낸 DRother이 아닌 DRother
 DRother  --x---라우팅 정보--x--> DRother : DRother 끼리는 라우팅 정보를 공유하지 않음

     DR 선출 조건
       1) 라우터 우선순위
          - 기본 값 : 1
          - 0 : DRother 로 정의
        -> 가장 큰 우선 순위 값을 가진 라우터
       2) Router ID
        -> 가장 큰 RID를 가진 라우터

    6) DR선출이 완료 되면 DR은 변경 되지 않음
        -> DR보다 높은 우선순위(RID)를 가진 라우터가 BMA 네트워크에 추가 되더라도
            DR은 변경되지 않는다. 추가된 라우터는 DRother가 된다.
    
    7) DR라우터가 다운되면 BDR라우터가 DR이 되며 DRother 라우터간에 우선순위(RID)를
        사용하여 새로운 BDR을 선출 함.

    8) 네이버 인증 유형
      
     - 평문 암호 / MD5 암호
 
      >> Step 1. 인증 유형 정의
               Router(config-if)# ip ospf authentication
                 -> 평문 암호 인증

               Router(config-if)# ip ospf authentication message-digest
                 -> MD5 암호 인증
         

      >> Step 2. 인증에 사용할 암호를 정의
                Router(config-if)# ip ospf authentication-key 암호

 2. 재분배 설정
       1) RIP 경로를 OSPF로 재분배

           Router(config)# router ospf 프로세스ID
           Router(config-router)# redistribute rip subnets
                                                                --------
                                                         서브넷팅된 경로에 대해서 클래스풀이 아닌
                                                         서브넷팅된 경로로 광고

           source routing protocol : RIP
           target routing protocol : OSPF

      2) OSPF 경로를 RIP으로 재분배

           Router(config)# router rip
           Router(config-router)# redistribute ospf 프로세스ID metric hop-count

         >> RIP으로 재분배할 때 시드메트릭을 지정을 해야 다른 경로가 RIP으로 재분배 됨
              , 지정을 안하면 무한대로 자동 설정 됨

           source routing protocol : OSPF
           target routing protocol : RIP

 1. 루프백 인터페이스
     - 가상 인터페이스
     - 기본적으로 생성을 해야하는 인터페이스
      >> Router(config)# interface loopback 포트번호
     - OSPF와 같은 동적라우팅 프로토콜에서 사용함
         >> 라우터 ID를 만들 때 사용 함
     - 자동으로 활성화 되며, 장비가 다운되지 않는 이상 절대로 다운 되지 않는 인터페이스

 2. VLAN 숫자 범위
    - 생성 및 삭제 가능한 VLAN 번호 범위 >> 2 ~ 1001
    - 기본적으로 생성된 VLAN은 삭제 불가능
      --------------------------
         1, 1002 ~ 1005

 3. EIGRP 설정 

    Router(config)# router eigrp AS_번호 !AS_번호에 숫자(1 ~ 65535)가 옴
                                                        ---------
                                                       Process ID

    Router(config-router)# eigrp router-id Address
    Router(config-router)# network major_network_address

 >> EIGRP에서 네이버가 되기 위한 조건
     1) 동일한 AS 번호를 사용 해야함
     2) 동일한 k-values를 사용 해야함
                  ---------
                 대역폭, 지연, 부하, 신뢰성
               대역폭과 지연(기본값 존재)을 이용해 메트릭을 계산한다.

   * floating static route ( 부동정적경로 )
     >> AD값을 지정하여 정적경로를 설정하는 것을 의미
          >> ip route 주소 서브넷마스크 넥스트홉 AD 값

     >> 백업경로 설정시 사용 함

 1. Flooding -> 브로드캐스팅
   : 프레임의 목적지 주소가
       멀티캐스트, 브로드캐스트, Unknown Unicast 일 때,
     해당 프레임을 수신한 포트를 제외한 나머지 연결 된 모든 포트로 전달.


       Unknow  Unicast  (Address) 트래픽
       ---------
      -> 해당 프레임의 목적지 주소가 (= Unicast 주소 )
           스위치의 MAC Address Table에 없을 경우
            --> Flooding


 2. SVI ( Switch Virtual Interface )
    >> SVI가 Up 상태가 되기 위한 조건
        - SVI와 관련된 VLAN ID를 생성
        - SVI와 관련된 VLAN 의 멤버가 있거나 트렁크 포트가 존재 할 때

 3. 이더채널 ( etherchannel )
    >> 대역폭 향상 기술
         2개 이상의 물리적인 회선을 사용, 하나의 논리적 회선으로 묶어 사용한다.

                > 물리적인 회선이 끊어져도 남아있는 다른 물리적인 회선으로 인해 통신장애 문제에 대비가 가능하다.

         로드 밸런싱이 가능하다.

    >> 설정
          Switch(config-if)# channel-group 그룹번호 mode 모드명
            >> 지정된 모드명에 맞는 협상 프로토콜 사용
                                                --------------
                                                PAgP(시스코 전용), LACP(산업표준)

          Switch# show etherchannel summary
            >> 이더채널 설정 확인


    >> 이더채널 실습
              
              Switch(config)# int ra fa0/1-2
              Switch(config-if-range)# channel-group 1 code desirable

               -> fa0/1, fa0/2 인터페이스에 PAgP 설정
               -> portchannel 인터페이스가 자동으로 생성됨
                       >> 이 인터페이스의 번호는 channel-group 명령어에서 명시한
                             그룹 번호가 된다.

               -> 스위치간 이더채널로 묶여 있을 때
                     물리 인터페이스가 아닌 portchannel 인터페이스에 필요한 설정을 한다.

                      portchannel 인터페이스에 설정한 내용이 자동으로 물리 인터페이스로 들어간다.

 1. HSRP 설정

 > HSRP는 네트워크를 이중화 하여 혹시나 네트워크 오류가 발생해 통신이 끊어지더라도 또 다른 라우터등을 통해 통신오류로 인한 문제 발생을 줄이기 위함
     1) 가상 IP 설정 >> 가상 라우터 생성
         Router(config-if)# standby 그룹번호 ip 주소
                                                              ------
                                                          가상 라우터가 사용할 가상 IP

            --> Router# show standby brief
                            >> HSRP 설정 확인
                          - 누가 Active, Standby, 가상IP, 우선순위

     2) 우선 순위값 설정
         Router(config-if)# standby 그룹번호 priority 우선순위값

     3) HSRP 가상 MAC 주소
         >>      0000.0c07.acxx
                                     --
                                    그룹 번호

                Ex) 0000.0c07.ac01   -> 그룹 번호 1
                                       --
 
     4) preempt 설정
           Router(config-if)# standby 그룹번호 preempt

     5) track 설정
       >> Active 라우터에서 외부와 연결된 인터페이스가 다운되면 
            게이트웨이 역할을 할 수 없으므로 Active 라우터는 Standby가 되고
            Standby 라우터는 Active가 되도록 하는 설정

          Router(config-if)# standby 그룹번호 track 인터페이스명
              >> 지정한 인터페이스가 다운되면 우선 순위값을 10만큼 감소 하는 설정 

 1. STP ( Spanning Tree Protocol )

       스위치의 MAC 주소 : show version
       우선 순위 값 : 32768 ( 기본 ) 

       우선 순위값.스위치의MAC주소 -> Bridge ID ( BID )

       BPDU ( Bridge Protocol Data Unit )
         -> Configuration BPDU ( 설정 BPDU ) 
             : 자신의 BID, Root Bridege의 BID, Cost, Port ID 등
              ------------
              Sender BID : 옛날 장비일수록 낮은 BID를 가짐

   Step 1. Root Bridge ( = Root Switch ) 선출  -> 1대

             조건 : 가장 낮은 BID를 가진 스위치

   Step 2. Non Root Bridge 들에서 하나의 Root Port를 선출
                                                ----
             Root Port : 해당 스위치에서 Root Bridge로 가는 길

           * Root Port 선출 조건 
              1) 가장 낮은 Cost 값

                 Cost 값은 인터페이스의 대역폭별로 사전에 정의 된 값
                    Fastethernet - 100Mpbs : 19
 

   * STP 상태 확인하는 명령어
      Switch# show spanning-tree



              2) 가장 낮은 Sender BID를 가진 프레임을 수신한 포트
                               ------------
                               현재 스위치와 연결된 스위치의 BID

              3) 가장 낮은 Sender Port ID를 가진 프레임을 수신한 포트


   Step 3. 각 세그먼트마다 하나의 Designated Port (지정 포트)를 선출
                 ----------
                스위치의 포트, 스위치간 링크


              0) 루트 브리치(스위치)의 모든 포트는 Designated Port이다.
              
              1) Cost

              2) Sender BID

              3) Port ID


  2. Spanning tree 상태 확인
       Switch# show spanning-tree
                >> BID ( 해당 스위치, Root Switch )
                     포트 이름 ( STP Role, STP Port Status )
                                          역할                 상태
                                     ---------                ------
                                    Root Port                Forwarding (전달)
                                    Designated Port       Forwarding (전달)
                                    Alternate Port          Blocking(BLK)


  3. STP 포트 상태 전이
       Blocking -> Listening -> Learning -> Forwarding
                   20초           15초           15초

       50초 : Blocking 상태에서 Forwarding 상태로 변경되기 까지의 시간

       Listening -> Learning -> Forwarding : 30초 ( PC와 연결된 포트 )

       30초 ~ 50초 : STP Convergence Time
                                --------------------
                                       수렴시간

  4. STP 디버그 명령어
      Switch# debug spanning-tree events ( 디버그 실행 )
      Switch#no debug spanning-tree events ( 해당 디버그 종료)


  5. 패스트 ( fast )
    1) 포트패스트 >> PC나 서버와 연결된 포트에 설정.
        Switch(config-if)# spanning-tree portfast
            >> 30초라는 수렴시간을 줄일 수 있음
        Switch(config-if)# switchport mode access
    2) 업링크 패스트
    3) 백본 패스트(Backbone)

  6. 게이트웨이 이중화
      기술 : HSRP, VRRP, GLBP

           시스코 전용 프로토콜 : HSRP, GLBP
           산업 표준 프로토콜 : VRRP

      -> 가상 라우터 ( Virtual Router ), 가상 IP, 가상 MAC 
      -> preempt 개념
          - 2대로 구성된 게이트웨이 이중화 환경에서 한 라우터가 고장나서 작동이
            안 될 때 나머지 한대가 게이트웨이 역할을 할 수 있게 해주는 기능