🥝네트워크 16일차(5.3) 패시브 인터페이스 병렬 경로 루프백 인터페이스(loopback interface) Distribute List(분산 리스트) vs Interface Restrict(인터페이스 제한)

디버깅 실습

4개짜리 Rip 네트워크 준비

shut을 하고 디버깅을 했는데 직접 연결이 되어 있지 않은데도 매트릭이 16이 나왔다.(리버스 포이즌)

 

홀드 다운 타임을 빠르게 해주는 명령어 clear ip route *

no shut을 해줬더니 다시 hop count가 돌아왔다. 

no debug all로 꺼준다.

 

Convergence time : 어느 라우터에서의 변경을 다른 모든 라우터들이 알고 있을 때까지 걸리는 시간 
update : every 30 seconds <= 라우팅 테이블 업데이트
invalid(무효) : 90sec <= 한 번 더 확인하고 
hold-down(아직은 업데이트 안 시키고 붙잡고 있는 시간) : 180sec <= 이제 timer를 가동 
flush : 240sec <= 완전히 라우팅 데이블에서 해당 경로가 삭제

 

 

Passive Interface 

  라우터에서 패시브 인터페이스는 특정 인터페이스에서 라우팅 테이블 업데이트를 억제시킬 때 사용된다. 특정 인터페이스를 패시브로 설정해 두면 해당 인터페이스에 묶여 있는 세그먼트 정보는 외부로 나가지 않는다. 스위치의 VLAN의 VTP 설정에서 Transparent mode와 유사하다고 보면 된다. 

 

router ripversion 2

passive-interface fa0/0

이 포트를 통해서 외부 정보를 받아들이고 내부 정보를 외부에 알리지 않는다. 

병렬경로 

  예를 들어서 라우터 1에서 라우터 3에 도달하는데 RT1 =>RT3과 RT1 =>RT2 =>RT3식으로 경로가 두 개인 경우, 평소에는 하나의 경로를 메인라인으로 사용하고 나머지 하나는 이용 가능한 백업상태로 라인을 유지하고 있다가 메인라인에 문제가 생기면 바로 백업라인이 메인라인으로 대체되어서 계속 연결을 유지시키게 한다. 이때 중요한 것은 RT1 =>RT3 혹은 RT1 =>RT2로 이르는 경로 값(path cost)이 동일해야 문제 발생 시 전환이 제대로 이뤄지고 루핑(looping)이 발생하지 않는다. 
  두 곳에 이르는 경로 값을 동일하게 하기 위해서 DCE에 clock rate와 bandwidth를 동일하게 지정해두는 것이 좋다. 
  병렬경로는 다음 우측그림과 같은 가상 게이트웨이 주소를 사용하는 HSRP나 VRRP에서도 잘 적용되는 개념이다.

  Subinterface 설정은 라우터 포트를 논리적으로 분할해서 
  fa0/0 하나의 포트를 VLAN에서와 같이 
fa0/0.1 =>192.168.1.0 네트워크의 게이트웨이 주소
fa0/0.2 =>192.168.2.0 네트워트의 게이트웨이 주소로 만들 수 있는데 
  서브 인터페이스를 만들지 않고 secondary를 붙여서 하나의 포트에 여러 IP 주소를 할당할 수도 있다. 
fa0/0 =>192.168.1.1 255.255.255.0
            192.168.2.1 255.255.255.0 secondary라고 설정해 주어도 된다!!!(GNS3에서만 가능)

  loopback interface

  시스템에서 가상적으로 네트워크를 사용하게 해주는 가상 네트워크로 localhost(OR 127.0. 0.1)이 있고, 
스위치에서도 가상적으로 LAN을 나눠주는 VLAN이 있듯이, 
라우터에서도 가상 인터페이스 Loopback 0을 설정할 수 있다. Tunneling에서는 tun 0라는 인터페이스를 사용하는데 역시 일종의 가상 인터페이스이다. 
  루프백(loopback) 인터페이스는 물리적인 인터페이스가 아니라 라우팅에 부여해 주는 소프트웨어적인 인터페이스로써 라우터에 물리적인 인터페이스가 없을 때 테스트용으로 사용된다. 루프백 인터페이스는 설정과 동시에 up 상태가 되어서 언제나 도달 가능한 상태로 있다. 이렇게 루프백 인터페이스에 연결된 네트워크를 가상 네트워크라고 한다. 

int loop 0

ip addr 192.168.1.1 255.255.255.0

no shut

 

int loop1

ip addr 192.168.2.1 255.255.255.0

no shut

 

int s2/0

ip addr 192.168.3.1 255.255.255.252

 

sh int loop 0

 

router rip

version 2

net 192.168.1.0

net 192.168.2.0

net 192.168.3.0

 

 

  라우터를 설정하기 위해서 
password : enable password(plain text), enable secret(encrypted, md5 type 5), sha1로  암호화 할 수도 있다. 
==>이들은 privilege mode로 들어갈 때 사용된다. 
  로컬/원격에서의 라우터 접속은 
telnet =>line vty 0 4(5개 포트로 접속 가능, vty 2식으로 하면 하나도 가능), 
console =>line con 0(1개 포트, 라우터 앞에서 직접 설정 80%), 
auxiliary =>line aux 0(1개 포트, PSTN/ISDN로 연결) 로 연결할 뒤
  이어서 virtual password를 지정하는데  
login local을 사용하면 username paul, password pual식으로 사용자와 패스워드를 동시에 설정해야 하고, login만 하면 password paul식으로 패스워드만 설정 해주면 된다.
  
  라우터에서 관리거리를 조절해서 특정 네트워크를 불신하게 할 수 있다.
  하나의 라우터에 여러 프로토콜이 정보를 보내오면 라우터는 관리거리가 낮은 프로토콜을 신뢰한다.
직접 연결 0, 정적연결 1, BGP 20, EIGRP 90, IGRP 100, OSPF 110, RIP 120, Ambiguous 255

 

BGP는 BGP끼리 정보를 교환한다.

 

  Distribute List(분산 리스트) vs Interface Restrict(인터페이스 제한)

 

  분산 리스트는 접근 제어리스트(ACL: Access Control List)와 조합해서 사용한다. 의심스러운 네트워크에서의 연결요청을 거부하도록 ACL과 조합해서 설정함으로써 보안을 증진시킬 수 있다. 
  그리고 인터페이스 제한은 앞에서 알아본 라우터의 특정 인터페이스에 지정해서 내부의 라우팅 테이블 정보를 외부에 알리지 않는 Passive Interface 설정과 반대의 개념으로 외부 특정 네트워크에서 들어오는 패킷을 막아주는 설정이다. 앞에서 신뢰하지 못하는 타겟 네트워크를 Administrative Distance나 Metric을 조절해서 신뢰를 떨어뜨리는 네트워크로 만드는 기법과 유사하다.       

 

 

분산 리스트

distribute-list 10 in(외부에서 들어오는 것을 막음)

exit

access-list 10 deny 192.168.100.0

  Wildmask는 Subnetmask를 이용해서 호스트_수를 표시하는 기법으로 255의 보수(compulmentary number)이다. 192.168.100.0 255.255.255.0(192.168.100.0 네트워크상의 255대의 호스트)과 
     192.168.100.0 0.0.0.31(Subnetmask는 255.255.255.224)192.168.100.0 네트워크가 서브넷되어서 그중 31대의 호스트)은 다르다.

=>WildMask를 사용하는 곳은 OSPF routing protocol, NAT(Network Address Translation: 사설 IP<=>공적 IP 변환), 접근을 제어하는 ACL(Access Control List)에서 사용된다. 

*** ACL은 
standard : 1~99의 숫자중 하나로 지정 <= 출발지 호스트나 네트워크로 접속을 제한 
extended : 100~199의 숫자중 하나로 지정 <= 출발지, 목적지, 프로토콜, 서비스, 포트로 접속을 제한