CISCO

라우터에 로그인하기 위해서는 username 없이 초기 암호를 입력하여 로그인해

야 하는데 이때 프롬프트가 Router>와 같이 되며 이때의 모드를 User exec 모

드라고 한다. 이후 enable 또는 en 명령어를 실행하여 다시 암호를 입력하면 프

롬프트가 Router#와 같이 되며 이때의 모드를 Privileged exec 모드 또는

enable 모드라고 한다. 여기에서 초기에 User exec 모드로 들어가기 위해 입력

하는 암호를 일반사용자, Privileged exec 모드 또는 enable 모드는 관리자 암호

라고 생각하면 된다.

o 라우터 암호설정

- 콘솔 패스워드 설정 : 로그인후 enable을 실행하여 Privileged EXEC 모드로 들어

가도록 한다. 이후 설정을 변경하기 위해 “conf t"를 실행하여 Global

Configuration 모드로 들어간 후 콘솔을 지정하여 암호를 재설정하면 된다.

․Router#configure terminal

․Router(config)#line console 0

․Router(config-line)#password ******

․Router(config-line)#^Z

- 터미널 패스워드 설정 : 원격 관리를 위한 로그인에 필요한 암호를 Terminal

password 또는 Virtual password 라고 한다.

․Router#configure terminal

․Router(config)#line vty 0 4 <=== 터미널 수

․Router(config-line)#password ******

․Router(config-line)#^Z

- Enable 패스워드 및 Enable Secret 패스워드 설정 : Privileged EXEC 모드로 접

근하기 위해서는 enable 명령어를 실행하여 암호를 입력하여야 하는데, 이때의 암

호는 아래와 같이 enable password 또는 enable secret를 이용할 수 있는데, 각각은

지정한 암호가 평문으로 저장되는지 아니면 암호화되어 저장되는지의 여부에 차

이가 있다.

 

Fordry

- 콘솔 패스워드 설정 : 로그인후 enable을 실행하여 Privileged EXEC 모드로 들어

가도록 한다. 이후 설정을 변경하기 위해 “conf t"를 실행하여 Global

Configuration 모드로 들어간 후 콘솔을 지정하여 암호를 재설정하면 된다

(config)#enable super-user-password *****

- 터미널 패스워드 설정 :  콘솔 패스워드 설정에서 super-user-password부분만 바꾸면 된다.

(config)#enable telnet *****

*둘다 주위할점으니 Grobal Config 모드에서 가능하다는 것!

L3 & L4 설정 백업하기

사전 준비.
1.TFTPROOT.EXE를 실행한다. (공개된 Tftp server프로그램을 쓰셔도 됨)

2.백업 받고자 하는 L4 및 L3 에 텔넷으로 연결하여 관리자 모드로 로그인한다.

3.copy run tftp 입력후 Enter키를 누른다.

4.tftp서버의 IP와 저장될 파일 이름을 입력한다.

전송중 느낌표가 아닌 점이 나올경우 파일이 원본과 다를수 있다. *무결성 검사 필요

 

해당 장비 콘솔 접근..
라우터 나 스위치의 경우 환경구성 내용을 Linux 시스템처럼 config구성 파일로 되어있고

해당 파일을 flash 라는 메모리 저장 공간에 저장되어진다.

라우터에서 copy 라는 명령어는 이 해당 config 구성파일의 저장 하거나 다른 파일로

복원하는 기능을 수행한다

Copy <원본> <대상> 으로 지정할수 있다.

원본과 대상으로 지정할수 잇는 종류는 총 4종류이다

Flash = 라우터의 저장 공간, 메모리를 의미한다, Flash:/ 개념으로 접근가능

running-config = 현재 작동중인 환경 구성값을 말한다.

startup-config = 재부팅 이나 시스템을 다시 시작할시 읽어 들일 구성값을 말한다.

Tftp = UTP 사용하는 간단 FTP 서버로 원격지에서 구성값을 백업 하거나 복원할 때

       사용한다.

원격 백업 예)

Copy running-config tftp ***.***.***.*** routerbackup.txt

백업 파일을 routerbackup.txt라는 이름으로 ***.***.***.*** tftp서버에 복사

패스워드를 잃어 버렸을경우 Flesh Register값를 변경하여 패스워드를 초기화하는방법입니다.
CCNA책에 나와있는 방법으로 아래 실제 라우터에 나타나는 정보입니다.
사용 모델 Cisco 2500대

*주의 : 각 제조사나 모델별로 다른 패스워드 복구 방법을 사용할수 있습니다.

Cisco 모델별 복구 방법
http://www.cisco.com/warp/public/474/index.shtml

예제>

 

System Bootstrap, Version 11.0(10c), SOFTWARE

Copyright (c) 1986-1996 by cisco Systems

2500 processor with 14336 Kbytes of main memory

*** System received an abort due to Break Key ***
//부팅중 키보드의 Break Key를 눌려  프롬프트 상태로 만듬//

Abort at 0x1098FEC (PC)

rommon 1 >confreg 0x2142 //읽기 전용 기본 롬으로 변경하는 부분//

Illegal argument

rommon 2 >reset //다시 롬을 로딩시킴//

System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
Copyright (c) 1999 by cisco Systems, Inc.
TAC:Home:SW:IOS:Specials for info
C2600 platform with 32768 Kbytes of main memory


program load complete, entry point: 0x80008000, size: 0x6fdb4c

Self decompressing the image : ###############################
##############################################################
##############################################################
##############################################################
############################### [OK]

System Bootstrap, Version 11.0(10c), SOFTWARE

Copyright (c) 1986-1996 by cisco Systems

2500 processor with 14336 Kbytes of main memory

 

F3: 15127516+997228+1177648 at 0x3000060

 

              Restricted Rights Legend

 

Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph

(c) of the Commercial Computer Software - Restricted

Rights clause at FAR sec. 52.227-19 and subparagraph

(c) (1) (ii) of the Rights in Technical Data and Computer

Software clause at DFARS sec. 252.227-7013.

 

           cisco Systems, Inc.

           170 West Tasman Drive

           San Jose, California 95134-1706

 

 

 

Cisco Internetwork Operating System Software

IOS (tm) 2500 Software (C2500-JK8S-L), Version 12.2(1d), RELEASE SOFTWARE (fc1)

Copyright (c) 1986-2002 by cisco Systems, Inc.

Compiled Sun 03-Feb-02 18:14 by srani

Image text-base: 0x0307C2FC, data-base: 0x00001000

 

 

Compliance with U.S. Export Laws and Regulations - Encryption

 

This product performs encryption and is regulated for export

by the U.S. Government.

 

This product is not authorized for use by persons located

outside the United States and Canada that do not have prior

approval from Cisco Systems, Inc. or the U.S. Government.

 

This product may not be exported outside the U.S. and Canada

either by physical or electronic means without PRIOR approval

of Cisco Systems, Inc. or the U.S. Government.

 

Persons outside the U.S. and Canada may not re-export, resell,

or transfer this product by either physical or electronic means

without  prior approval of Cisco Systems, Inc. or the U.S.

Government.

 

cisco 2500 (68030) processor (revision N) with 14336K/2048K bytes of memory.

Processor board ID 05991792, with hardware revision 00000001

Bridging software.

X.25 software, Version 3.0.0.

SuperLAT software (copyright 1990 by Meridian Technology Corp).

TN3270 Emulation software.

Basic Rate ISDN software, Version 1.1.

1 Ethernet/IEEE 802.3 interface(s)

2 Serial network interface(s)

1 ISDN Basic Rate interface(s)

32K bytes of non-volatile configuration memory.

16384K bytes of processor board System flash (Read ONLY)

 

 

         --- System Configuration Dialog ---

 

Would you like to enter the initial configuration dialog? [yes/no]:

 

 

Press RETURN to get started!

 

 

:10: %LINK-5-CHANGED: Interface Ethernet0, changed state to administratively down

00:02:10: %LINK-5-CHANGED: Interface Serial0, changed state to administratively down

00:02:13: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0, changed state to down

00:02:55: %SYS-5-RESTART: System restarted --

Cisco Internetwork Operating System Software

IOS (tm) 2500 Software (C2500-JK8S-L), Version 12.2(1d), RELEASE SOFTWARE (fc1)

Copyright (c) 1986-2002 by cisco Systems, Inc.

Compiled Sun 03-Feb-02 18:14 by srani

Router>en

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#enable

Router(config)#enable secret cisco //암호 새로 지정//

Router(config)#end

Router#

00:04:23: %SYS-5-CONFIG_I: Configured from console by consoleconf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router#show version

Cisco Internetwork Operating System Software

IOS (tm) 2500 Software (C2500-JK8S-L), Version 12.2(1d), RELEASE SOFTWARE (fc1)

Copyright (c) 1986-2002 by cisco Systems, Inc.

Compiled Sun 03-Feb-02 18:14 by srani

Image text-base: 0x0307C2FC, data-base: 0x00001000

 

ROM: System Bootstrap, Version 11.0(10c), SOFTWARE

BOOTFLASH: 3000 Bootstrap Software (IGS-BOOT-R), Version 11.0(10c), RELEASE SOFTWARE (fc1)

 

Router uptime is 4 minutes

System returned to ROM by power-on

System image file is "flash:c2500-jk8s-l.122-1d.bin"

 

cisco 2500 (68030) processor (revision N) with 14336K/2048K bytes of memory.

Processor board ID 05991792, with hardware revision 00000001

Bridging software.

X.25 software, Version 3.0.0.

SuperLAT software (copyright 1990 by Meridian Technology Corp).

TN3270 Emulation software.

Basic Rate ISDN software, Version 1.1.

1 Ethernet/IEEE 802.3 interface(s)

2 Serial network interface(s)

1 ISDN Basic Rate interface(s)

32K bytes of non-volatile configuration memory.

16384K bytes of processor board System flash (Read ONLY)

 

Configuration register is 0x2142 (현재 Register 상태가 0x2142이므로 저장이 되지 않음)

 

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#config-register 0x2102 //Register 다시 변경//

Router(config)#end

Router#

00:06:04: %SYS-5-CONFIG_I: Configured from console by console

Router#show version

Cisco Internetwork Operating System Software

IOS (tm) 2500 Software (C2500-JK8S-L), Version 12.2(1d), RELEASE SOFTWARE (fc1)

Copyright (c) 1986-2002 by cisco Systems, Inc.

Compiled Sun 03-Feb-02 18:14 by srani

Image text-base: 0x0307C2FC, data-base: 0x00001000

 

ROM: System Bootstrap, Version 11.0(10c), SOFTWARE

BOOTFLASH: 3000 Bootstrap Software (IGS-BOOT-R), Version 11.0(10c), RELEASE SOFTWARE (fc1)

 

Router uptime is 6 minutes

System returned to ROM by power-on

System image file is "flash:c2500-jk8s-l.122-1d.bin"

 

cisco 2500 (68030) processor (revision N) with 14336K/2048K bytes of memory.

Processor board ID 05991792, with hardware revision 00000001

Bridging software.

X.25 software, Version 3.0.0.

SuperLAT software (copyright 1990 by Meridian Technology Corp).

TN3270 Emulation software.

Basic Rate ISDN software, Version 1.1.

1 Ethernet/IEEE 802.3 interface(s)

2 Serial network interface(s)

1 ISDN Basic Rate interface(s)

32K bytes of non-volatile configuration memory.

16384K bytes of processor board System flash (Read ONLY)

 

Configuration register is 0x2142 (will be 0x2102 at next reload) (다시 부팅하면 0x2102로 정상 부팅 된다는 내용 확인)

 

Router#copy run star

Destination filename [startup-config]?

Building configuration...

[OK]

텔넷을 기본적으로 암호화 되지 않기 때문에 스니핑에 매우 취약하다.

주고 받는 데이터를 암호화 할수 SSH는 이 취약점을 보안해주게 된다.

   

먼저 현재 SSH가 실행 중인지 확인하는 방법을 알아 보자.

SSH가 활성화 되어 있을 시

Router# show ip ssh

   

SSH Enabled - version 1.5

Authentication timeout: 120 secs; Authentication retries: 3

   

SSH가 활성화 되지 있지 않을 시

Router# show ip ssh

   

%SSH has not been enabled

   

그럼 본격적으로 활성화를 해보자

SSH는 RSA기반 이기 때문에 SSH 활성화전 반드시 먼저 서로 교환할 인증 키를 만들어야 하는데, 해당 인증서 발급 도메인 이름과, 인증서의 키 값을 만들어 주어야 한다. 그럼 도메인 이름 지정과 인증서를 만들어 보자.

   

1. 장비의 호스트 도메인 이름과 호스트 이름 지정

Router(config)# hostname hostname

Router(config)# ip domain-name domainname

이제 인증(RSA) 키를 만들 준비가 되었다

   

2. 인증 키 만들기

Router(config)# crypto key generate rsa

이로써 SSH를 활성화 하기위한 준비작업이 모두 완료 되었다

   

3. SSH 활성화

Router(config)# ip ssh {[timeout seconds] | [authentication-retries integer]}

   

옵션 중 Timeout은 입력이 없을시 끊어지는 시간으로 초단위로 계산된다. 입력값은 120초를 넘을수 없고, EXEC 모드로 들어가면 vty의 timeout 값으로 된다.

authentication-retries는 인증을 시도할수 있는 횟수로, 지정하지 않으면 3번 시도할수 있고, 최대 5를 넘을수 없다.

VLAN 은 하나의 브릿징 Domain 을 구성하는 Host 혹은 Router(Transparent Bridging 이 동작하는)와

브리지 같은 Network 장비들로 구성된다. IEEE 802.10 와 ISL(Inter-Switch Link)같은 2 계층 브릿징

프로토콜은 VLAN 이 LAN Switch 와 같은 여러 가지 장비들 상에 존재할 수 있도록 한다.

VLAN 은 관계되는 사용자들을 그들의 물리적인 접속에 관계없이 그룹화하여 구성된다. 사용자들은

Network 전반에 걸쳐 존재할 수도 있고 지역적으로 떨어진 위치에 존재할 수도 있다. 사용자들을

그룹화하는 방법으로 여러 가지가 사용될 수 있다. 예를 들어, 부서에 따라 혹은 기능적인 팀에 따라

그룹화 될 수 있다. 일반적으로 사용자들을 VLAN 안에 그룹화하여 그들의 traffic 이 VLAN 안에

존재하도록 하는 것이 목적이다. VLAN 을 설정시 Network 에 생기는 장점은 크게 다음의 4 가지로

나눌수 있다.

(1) Broadcast control

Switch가 자신에 연결된 Host에 대해 물리적으로 collision Domain을 격리시키고 특정 포트로만

traffic을 forwarding하듯, VLAN은 broadcast와 multicast traffic을 브릿징 Domain에 한정시키는

논리적인 collision Domain을 제공한다.

(2) Security

만약 VLAN안에 Router를 포함하지 않으면, VLAN안의 사용자와 밖의 사용자는 서로 통신할 수 없

다. 이는 극도의 보안성을 제공한다.

(3) Performance

고도의 Performance를 요구하는 사용자들을 그들 자신의 VLAN에 할당할 수 있다. 예를 들어,

multicast application을 테스트하는 엔지니어와 그들이 사용하는 서버들을 하나의 VLAN에 할당할

수 있다. 이런 엔지니어들은 Dedicated LAN에 존재함므로써 고도로 개선된 Network Performance

를 얻을 수 있으며, 엔지니어 그룹이외의 사용자들 또한 Network-intensive한 application에 의한

traffic이 다른 VLAN에 격리됨으로써 개선된 Network Performance를 얻을 수 있다.

(4) Network Management

Switch상의 소프트웨어는 사용자들을 VLAN에 할당하고 후에 그들을 또 다른 VLAN에 재할당할 수

있게 한다. Network 관리 도구가 LAN을 논리적으로 재설정할 수 있도록 하기 때문에 switching

LAN 환경에서 접속을 바꾸기 위한 케이블의 재 포설은 필요 없다.

Icmp의 경우 컴퓨터를 아는 사람이라면 거희 알고 잇는 네트워크 관리용 프로토콜입니다.
외부의 icmp는 막는게 좋습니다. 공격의 유용한 도구가 되지요.
(서버의 경우 더더욱 막아야 합니다.)
라우터의ACL을 통해 icmp를 보호하는 ACL로 Router에 구성하면 아주 좋습니다.^^

허용할 네트워크를 xxx.xxx.xxx.xxx.에 입력하고 해당 서브넷을 yyy.yyy.yyy.yyy에 입력합니다.
여기서 서브넷은 호스트 수로 입력합니다.(255.255.255.0의 경우 0.0.0.255)

echo 기본 기능으로 응답 확인, 기본적으로 막아야함
redirect 가까운 라우팅 경로로 변경하여 보내도록 하는 역활, 위조될 수 있음
mask-request 부팅시 자신의 서브넷 마스크를 얻기 위해 사용, 악용 할 수 있음
log옵션을 지정하면 기록을 남기기때문에 추적하기에도 매우 유용합니다.

 

(config)# access-list 100 permit icmp xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy any
(config)# access-list 100 deny icmp any any echo log
(config)# access-list 100 deny icmp any any redirect log
(config)# access-list 100 deny icmp any any mask-request log
(config)# access-list 100 permit any any

(x = 네트워크 ip, y = 서브넷<반대로 기입>)
마지막에 Permit any any를 적어줘야하는 이유는 Cisco ACL의 경우 Permit이 없으면 암묵적으로 거부 됩니다.
필히 써줘서 필요 패킷들까지 버려지는 불상사를 막으세요^^

위처럼 ACL을 만들고 해당 인터페이스에 ACL을 적용해주면 됩니다.
(config)# interface interface eth0
(config-if)# ip access-group 100 in

 

 

예)

(config)# access-list 100 permit icmp 192.168.0.0 0.0.0.255 any
(config)# access-list 100 deny  icmp any any echo log
(config)# access-list 100 deny  icmp any any redirect log
(config)# access-list 100 deny  icmp any any mask-request log
(config)# access-list 100 permit any any
(config)# interface interface eth0
(config-if)# ip access-group 100 in

SNMP는 네트워크 관리 프로토콜로 매우 많은 정보를 내장하고 있습니다.

관리 프로토콜 답게 제어코드도 가지고 있으며 제어권한까지 줄 경우 많이 위험해 질 수 있습니다.

여기서는 SNMP를 관리하는 호스트에게만 허용을 하고 나머지 요청은 거부하는 방법을 적을까 합니다.

 

허용할 host ip를 xxx.xxx.xxx.xxx에 지정하고, 나머지는 모두 거부하도록 설정

포트가 아닌 snmp 설정에 지정할 ACL이므로 Standard access list지정하며

log는 거부시에 기록을 남긴다는 옵션입니다. 이 기록은 syslog와 같은 툴을 통해 기록,확인이 가능하여 어느 호스트가 접근 시도하였는지 알수 있어 역추적시 유용합니다

Snmp-server community 뒤에 나오는 Password는 서로 통신시 교환하는 snmp 패스워드로 생각하면 됩니다. Ro는 읽기 전용이라는 의미이며 rw로 지정시 snmp 관리도구를 통해 제어가 가능하게 됩니다(위험) 마지막 75는 좀전에 만든 ACL 75번을 적용하겠다는 내용입니다.

 

(config)# access-list 75 permit host xxx.xxx.xxx.xxx

(config)# access-list 75 deny any log

(config)# snmp-server community Password ro 75

예)

(config)# access-list 75 permit host 192.168.0.5

(config)# access-list 75 deny any log

(config)# snmp-server community N3T-manag3m3nt ro 75

허용할 host ip를 xxx.xxx.xxx.xxx에 지정하고 나머지는 모두 거부하도록 지정

telnet이 23이고 특정 포트만 지정하여야 하기 때문에 100이상의 extended access list로 지정합니다.

log는 거부시에 기록을 남긴다는 옵션입니다. 이 기록은 syslog와 같은 툴을 통해 기록,확인이 가능하여 어느 호스트가 접근 시도하였는지 알수 있어 역추적시 유용합니다.

(config)# access-list 105 permit tcp host xxx.xxx.xxx.xxx any eq 23 log

(config)# access-list 105 deny ip any any log

(config)# line vty 0 4

(config-line)# access-class 105 in

(config-line)# end

예) 192.168.0.10과 192.168.1.2의 머신만 telnet 접근을 허용하고 싶다

(config)# access-list 105 permit tcp host 192.168.0.10 any eq 23 log

(config)# access-list 105 permit tcp host 192.168.1.2 any eq 23 log
(config)# access-list 105 deny ip any any log

(config)# line vty 0 4

(config-line)# access-class 105 in

(config-line)# end

1.Standard Access-list란 ? (1-99, 1300-1999)

- Source Address만 검사하여 허용하거나 거부하며 Outbounding Interface에 적용한다.

- 수신지측 라우터에 선언한다.

 

<1-99> IP standard access list

<100-199> IP extended access list

<1300-1999> IP standard access list (expanded range)

<2000-2699> IP extended access list (expanded range)

dynamic-extended Extend the dynamic ACL absolute timer

 

 

구성>

access-list <list number> {permit/deny} <SourceAddress> <W.M> < <log>

 

R12(config)#access-list 10 permit 192.168.2.0 0.0.0.255

R12(config)#access-list 10 deny any

R12(config)#int e0

R12(config)#ip access-group 10 {in/out}

 

access-list 10 permit 192.168.1.0 0.0.0.255

access-list 10 permit 172.16.1.0 0.0.0.255

int e 0

ip access-group 10 out

 

문제 : A회사는 192.168.1.5/24번은 거부하고 192.168.1.0/24는 허용하고자 할때 이에 해당하는 리스트 목록

과 해당 인터페이스를 선언하시오

access-list 10 permit 192.168.1.0 0.0.0.255

access-list 10 deny 192.168.1.5 0.0.0.0

int e 0

ip access-group 10 out

 

R12(config)#access-list 10 deny 192.168.5.0 0.0.3.255

R12(config)#access-list 10 permit host 192.168.5.1

R12(config)#int e0

R12(config-if)#ip access-group 10 {in/out}

 

Standard Access-list 주의사항

1. List에 Match되지 않으면 암시적으로 거부 된다. 하지만 거부 목록을 먼저 선언하는경우

반드시 허용할 목록을 선언해야 한다.

2. First Matching 기법으로 해석을 하기 때문에 좁은 범위부터 설정해야 한다.

3. Standard Access-list 적용시에 항상 Outbounding 되는 인터페이스에 적용하는것이 바람직하다.

4. 같은 리스트인 경우에는 작성시 추가할 수 없기 때문에 항상 notepad에 작성후 적용하는것이

바람직 하다.

 

 

*****Standard Access-list 주의 사항*****

1.Standard Access-list는 Source Address만 검색하기 때문에 목적지를 알 수 없다. 그래서 항상 적용되는

수진지 측 Outbound interface에 적용된다.

Extended Access-list는 Source/Destination Address 모두 확인하기 때문에 Inbound Interface에 적용된다.

 

2.Access-list는 Fist matching 기법이 적용되기 때문에 적용시에 좁은 범위부터 설정해야 한다.

 

3.Access-list가 허용리스트가 생성되면 리스트 목록을 제외한 리스트는 암시적 모두 거부가 된다.

하지만, 거부리스트가 적용될 때에는 허용리스트는 반드시 선언해야 한다.'

암시적 거부는 있지만 암시적 허용은 없다.

ex)마지막 리스트에

access-list 10 deny any (x)

access-list 10 permit any (o)

 

4.Access-list 목록 생성후 변경이 불가능하기 때문에 항상 Notepad에 미리 리스트 목록을 자가성 후 적용하는것이 바람직하다.

 

5.Access-list목록 삭제시에는

R11(config)#access-list 10 permit 192.168.1.0 0.0.0.255

R11(config)#no access-list 10

 

Exteded Access-list> (100~199 / 200~2699)

 

R11(config)#access-list 100 {permit/deny} <protocol><Source Address><W.M><Destination Address><W.M><option><log>

 

 

Ex>

회사가 (192.168.10/24)FTP를 사용할수 없도록 설정하기.

R11(config)#access-list 100 deny tcp 192.1.0 0.0.0.255 any eq 20

R11(config)#access-list 100 deny tcp 192.1.0 0.0.0.255 any eq 21

R11(config)#int e0

R11(config)#ip access-group 100 in

 

 

2. Extended Access List란 (100-199, 2000-2699)

R12(config)#access-list 100 {permit/deny} <Protocol> <Source Address><W.M> <DestinationAddress><W.H> <Option> <log>

<Protocol> : IP, IGMP, ICMP, TCP, UDP...(L3,L4 Protocol을 설정한다.>

<Option> : TCP,UDP(Port,flag), ICMP,IGMP(Type,code), IP(no option)

     eq(equal)지정값만, gt(great than)지정값포함한 이상값까지, It(less than)지정값포함한 이하값까지

www.iana.org 에서 확인(port number)

 

|---------------|-----------------------------------------------------------------------|

0~1023

Well-Known Non Well-Known

Privilieged Client/Non Privilieged

 

 

문제

회사가 (210.112.233.0/24)내부 사용자가 인터넷은 허용하도록 하고 나머지는 거부한다.

허용할 목록을 작성 (HTTP, DNS, SMTP, FTP, TELNET, SNMP, SSH)

 

A회사----------------e0라우터s1--------------Internet

access-list 101 deny any

access-list 101 permit tcp 210.112.233.0 0.0.0.255 any eq 80

access-list 101 permit tcp 210.112.233.0 0.0.0.255 any eq 53

access-list 101 permit udp 210.112.233.0 0.0.0.255 any eq 53

access-list 101 permit tcp 210.112.233.0 0.0.0.255 any eq 25

access-list 101 permit tcp 210.112.233.0 0.0.0.255 any eq 23

access-list 101 permit tcp 210.112.233.0 0.0.0.255 any eq 22

access-list 101 permit tcp 210.112.233.0 0.0.0.255 any eq 20

access-list 101 permit tcp 210.112.233.0 0.0.0.255 any eq 21

access-list 101 permit udp 210.112.233.0 0.0.0.255 any eq 161

access-list 101 permit udp 210.112.233.0 0.0.0.255 any eq 162

int e 0

ip access-group 101 in

 

 

access-list 10 deny 192.168.3.0 0.0.0.0.255

line vty 0 4

access-class 10 in

 

 

 

 

access-list 101 permit udp 210.112.233.0 0.0.0.255 any0.0.0.0 lt 69

int e0

ip access-group 101 in

 

일반적인 포트 번호

FTP_Contorl    21 TCP

FTP_Data    20 TCP

Telent        23 TCP

SSH        22 TCP

SMTP        25 TCP

DNS_Query    53 UDP

DNS_Replecation    53 TCP

HTTP        80 TCP

TFTP        69 UDP

DHCP-Client     67 UDP

DHCP-Server    68 UDP

POP3        110 TCP

IMAP        143 TCP

SNMP-Agent    161 UDP

SNMP-Trap    162 UDP

예제)

! ICMP Message Block // ICMP 관련 메시지 통제

access-list 100 deny icmp any any echo log //모든 네트워크로 오는 echo(ping)요청 차단/확인

access-list 100 deny icmp any any redirect log //모든 네트워크로 오는 redirect(재전송)요청 차단/확인

access-list 100 deny icmp any any mask-request log //모든 네트워크로 오는 mask-request(재확인)요청 차단/확인

access-list 100 deny udp any any range 33400 34400 log //traceroute 명령사용 경로 확인요청 차단/확인

access-list 100 permit icmp any 211.174.242.65 0.0.0.64 //211.174.242.65 네트워크는 허용

!Remote Login Service //Telnet 사용 네트워크 지정

access-list 105 permit tcp host 211.174.242.125 any eq 23 log //혀용할 호스트

access-list 105 permit tcp host 211.174.242.78 any eq 23 log //허용할 호스트

access-list 105 deny ip any any log //그외 모든 네트워크 거부

line vty 0 4 // telnet 연결 라인 활성

access-class 105 in //105 명령 라인에 지정함

end

!SNMP Service //분석 네트워크 지정

access-list 75 permit host 211.174.242.126 //접근 호스트 지정

access-list 75 permit host 211.174.242.78 //접근 호스트 지정

access-list 75 deny any log //지정외 접근시 기록

snmp-server community netfly1004 ro 75

 

DDOS 공격이란

대규모 네트워크의 많은 호스트에 설치되어 서로 통합된 형태로 패킷을 범람시켜 심각한 네트워크 성능저하 및 시스템 마비를 유발하는걸 애기합니다.

 

 

DDOS 공격툴

1. Trinoo
Trinoo는 많은 소스로부터 통합된 UDP flood 서비스거부 공격을 유발하는데 사용되는 도구입니다.
Trinoo 공격의 몇 개의 마스터 서버들과 많은 클라이언트들로 이루어져 공격자가 마스터에 접속하여 공격 명령을 전달하는 방식으로 되어 있습니다.

http://staff.washington.edu/dittrich/misc/trinoo.analysis

 

2. TFN(Tribe Flood Network)
TFN은 trinoo와 거의 유사한 분산 도구로 많은 소스에서 하나 혹은 여러개의 목표 시스템에 대해 서비스거부 공격을 수행합니다.
UDP flood 공격을 할 수 있을뿐만 아니라 TCP SYN flood 공격, ICMP echo 요청 공격, ICMP 브로드캐스트 공격(smurf 공격)등을 여러 공격방법을 구사합니다.

http://staff.washington.edu/dittrich/misc/tfn.analysis

 

3. 이외 툴들
Smurf Attack, Land Attack, stacheldraht

 

DDOS 공격 방어 방법

1. 사설, 내부 네트워크, Broadcast Spoofing 필터링

위장된 소스 아이피로 특정 서브넷을 브로드케스트 함으로써 많은 양의 ICMP Echo 패킷을 유발시키게 되는데(Smurf Attack),라우팅에는 브로드케스트 패킷이 불필요하므로 이러한 브로드케스트를 필터링 하기 위한 방법은 Access-list를 이용하는 방법 과 목적지 단의 라우터가 링크계층의 브로드케스트 주소로 이 패킷을 확장하지 못하게 패킷을 드롭하는 방법이 있습니다.

차단되어야 하는 아이피 대역

0.0.0.0/8 : Default/Broadcast & Other unique IP

127.0.0.0/8 : Host Loopback IP address

169.254.0.0/16 : DHCP를 통한 IP 미 할당시 자동 생성되는 IP

192.0.2.0/24 : TEST-NET IP

10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 : RFC 1918 에 정의된 사설 IP

 

l  Access list set
Router(config)#access-list 101 deny ip 0.0.0.0 0.255.255.255 any
Router(config)#access-list 101 deny ip 10.0.0.0 0.255.255.255 any
Router(config)#access-list 101 deny ip 127.0.0.0 0.255.255.255 any
Router(config)#access-list 101 deny ip 169.254.0.0 0.0.255.255 any
Router(config)#access-list 101 deny ip 192.0.2.0 0.0.0.255 any
Router(config)#access-list 101 deny ip 172.16.0.0 0.15.255.255 any
Router(config)#access-list 101 deny ip 192.168.0.0 0.0.255.255 any
Router(config)#access-list 101 deny ip {내부 네트웍 아이피 블록} any
Router(config)#access-list 101 permit ip any any
Router(config)#interface serial 0
Router(config-if)#ip access-group 101 in

l  Cisco 7000 Series Router Access list set (Turbo ACL enable)
Router(config)#access-list compiled

l  Filtering directed broadcast
Router(config-if)#no ip directed broadcast

 

2. RPF(Reverse Path Forwarding)를 이용한 Source IP Spoofing 필터링

Unicast RPF는 라우터로 패킷이 유입될 때 패킷의 input interface로의 reverse path route가 존재하는지를 FIB(Flow Information Base)를 통하여 확인하여, 만일 소스 아이피가 스누핑된 것이라면 input interface 상의 FIB (#sh ip cef input_interface 로 확인 가능)에 소스 아이피에 대한 reverse path가 존재하지 않는다. 라우터는 reverse path route가 존재하는 패킷은 통과 시키고 그렇지 않은 스누핑 된 패킷은 버립니다.

 

l  RPF Rule Set
Router(config)#ip cef
Router(config-if)#ip verify unicast reverse-path
RPF 기능의 사용을 위해서는 라우터에 CEF 스위칭을 활성화합니다.

l  Dual-Homed Routing RPF Rule Set
Router(config)#ip cef -> cef enable
Router(config-if)#ip verify unicast source reachable-via any
다중경로를 가지고 있거나, BGP를 통해 Dual-Homed Routing을 구성한 경우에 사용합니다.

3. TCP Syn Flooding 필터링
TCP 프로토콜은 신뢰적인 통신을 위해 연결 확립을 위한 3핸드쉐이킹(handshaking) 과정을 선행한다. 3 핸드쉐이킹은 client 단말이 TCP 헤더 코드 비트(6 bit) 중 SYN bit가 On된 SYN 플래그 패킷을 전송(SYN_SENT상태)하면서 시작되고, 이를 수신한 서버는 핸드쉐이킹 상태 중 half-open (SYN_RECEIVED 상태)에 해당되며 이에 대한 정보를 커널 메모리상에 존재하는 백로그(backlog)에 저장하고 IP헤더에 명시된 32비트 소스 주소로 SYN/ACK 플래그 패킷을 전송하고 마지막으로

client에게 ACK 플래그 패킷을 전송 받음으로써 두 단말 모두가 Established 상태가 되어 비로소 하나의 TCP 세션이 이루어 지고 어플리케이션단의 통신이 이루어진다.

백로그(backlog)의 크기 에 따라 half-open된 TCP 요구가 얼마나 많이 보유될 수 있는지가 결정이 되고, 백로그 사이즈가 제한 값에 이르게 되면 TCP는 새로운 SYN 요청을 모두 무시하고 half-open 되어있는 내용들이 정리되기를 기다리게 된다. 공격자는 이를 악용하여 상대방에게 SYN 패킷만을 무차별적으로 전송하는 DOS 공격이 가능하게 되며, 이때 대부분의 공격자들은 IP Spoofing을 이용하여 자신의 IP를 위장하여 공격하게 된다.

 

l  established 를 통한 필터링 설정
Router(config)# access-list 105 permit tcp any 192.168.10.0 0.0.0.255 established
Router(config)# access-list 105 permit tcp any host 192.168.10.1 eq 80
Router(config-if)# ip access-group 105 in
Established 옵션은 ACK Flag가 On인 패킷만을 체크한다. 따라서 위의 설정 상에서 보면 외부에서 유입되는 SYN Flag 패킷은 드롭되고 오직 192.168.10.1의 웹 서버와 TCP connect을 맺을 수 있다. 반면 내부의 192.168.10.0/24의 모든 host들은 외부와 자유로이 TCP connect을 맺을 수 있다.

l  TCP intercept 를 통한 SYN Flooding 필터링
Router(config)# access-list 107 permit tcp any 192.168.10.0 0.0.0.255.
Router(config)# ip tcp intercept mode intercept
Router(config-if)# ip access-group 107 in
Intercept Mode로 동작하는 라우터는 ACL에서 정의된 TCP(SYN)패킷을 가로채서 서버를 대신하여 client와 connection을 맺고, 성공한다면 client를 대신하여 서버와 connection을 맺는다. 그리고 나서 이 두개의 half-connection을 하나의 투명한 connection으로 묶는다. 이렇게 함으로써 IP Spoofing을 이용한 SYN Flooding 공격을 막을 수 있으나 주의할 점은 라우터의 부하 증가가 많다는 단점이 있다

 

4. rate limit 설정을 통한 필터링

rate limit 설정은 일반적으로 ICMP는 관리용도로 널리 사용되는 프로토콜인데 이 프로토콜 역시 공격수단 많이 사용하는데 이 공격을 막기 위해 주로 사용한다. rate limit 설정은 전송량을 제한하기 위해 CAR를 이용하여 rate-limit 설정을 사용하여 전송량을 제한, 공격을 차단하게 된다.
단 rate-limit를 설정하는 것만으로는 모든 DOS공격을 막을 수 없다는 사실을 인지하여야 한다

 

l  CAR to rate limit ICMP packets 필터링
access-list 2020 permit icmp any any echo-reply
interface xy
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop

l  rate limiting for SYN packets 필터링
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
interface {int}
rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-action
transmit exceed-action drop

45000000 : 최대 대역폭
1000000 : 대역폭을 50% 에서 30% 으로 SYN flood rate를 설정

CISCO 암호 알고리즘

우리가 흔히 네트워크 장비에서 환경설정 내용을 다음과 같은 텍스트 문구를 볼수 있다.

위 설정 화면중
enable password 7 104B0718071B17
위 내용은 관리자 모드를 들어가기 위한 패스워드 이며, Vigenere 암호화 되어 있다는걸 네트워크 초보라도 알수 있다

그럼 여기서 네트워크 장비의 암호화 종류를 먼저 알아보자
(CISCO 기준으로 일부 다른 장비의 알고리즘은 다를수 있음)

Clear Text
일반 평문으로 저장되는 방식 밑줄이 패스워드로 환경설정 파일에서 바로 패스워드를 확인할수 있다.
enable password password

Vigenere
Vigenere 알고리즘을 사용한 방식으로 일반적으로 많이 장비에서 볼수 있다. 밑줄 부분이 암호화 된 압축문이 된다
enable password 7 104B0718071B17

MD5
MD5 알고리즘 방식으로 암호화 한 방식으로 Vigenere 알고리즘보다 강력한 암호문이 된다.
enable secret 5 $1$yOMG$38ZIcsEmMaIjsCyQM6hya0

Vigenere 알고리즘 크랙(해독)하기

Vigenere 알고리즘은 일반적으로 이미 공개된 툴을 사용하여 쉽게 해독이 가능하다. 
일반 공개사이트에서 Getpass를 입력하면 바로 툴을 구할수 있다.

여기서 이 툴을 다운로드 받으셔도 된다.

 

1. 네트워크 장비의 Show config명령을 통해 vigenere 방식으로 암호화 되어 압축되었는지 확인하도록하자
...
enable password 7 104B0718071B17
...
2. 위의 뒤 밑줄친 값을 Getpass의 Enter the Cisco Encrypted Password에 입력한다.

 

3. 해독된 결과값 "enable"이 패스워드임을 확인할수 있다.

 

중요 요점

ISP 2EA 와의 BGP 구성

백본 Network 의 2중화 구성

Dynamic Routing 사용을 통한 고가용성 확보

Access Switch 의 2중화 구성

BGP

OSPF

HSRP

장비 구성

ISP #1 Configuration

conf t

!Global Configuration mode 사용

service password-encryption

! password 암호화 저장

no ip domain-lookup

!Domain Name Service 기능을 중지

no service finger

!서버에 대한 finger 서비스 막음

no service pad

!Packet Assemble/Deassemble 막음

no ip bootp servers

!라우터를 bootp server로 사용 못하게 함

service tcp-keepalives-in

!끊어진 TCP connection에 대해 체크함

!

hostname ISP-1

!이름 지정

!

enable secret cisco

!패스워드 cisco 암호화하여 저장

!

line console 0

!콘솔 라인 설정

logging synchronous

!동기화

exec-timeout 30 0

!30초간 입력없으면 로그아웃

!

line vty 0 4

! 텔넷 라인 5개 설정

access-class 1 in

! 접근시 ACL 1번 설정에 의해 제어됨

no login

!패스워드 활성

exec-timeout 30 0

!30초간 입력 없으면 로그아웃

!

int lo0

!루프백 인터페이스 구성

ip add 1.1.1.1 255.255.255.0

!인터페이스 아이피 등록

!

int fa0/1

!인터페이스 구성

ip add 192.168.13.1 255.255.255.252

!인터페이스 아이피 등록

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성

!

int fa0/2

!인터페이스 구성

ip add 10.10.10.1 255.255.255.252

!인터페이스 아이피 등록

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성

Exit

!Global Configuration mode로 나옴

!

router ospf 2

!OSPF(Open Shortest Path First ) 설정

network 10.10.10.0 0.0.0.255 area 0

!광고 네트워크

network 1.1.1.0 0.0.0.255 area 0

!광고 네트워크

!

Router bgp 65001

!BGP(Border Gateway Protocol) 설정

neighbor 192.168.24.1 remote-as 65002

!연결된 AS 지정

network 10.10.10.0 mask 255.255.255.0

!자신의 네트워크 선언

Exit

!Global Configuration mode로 나옴

!

logging trap source loopback 0

!라우터 트랩 발생시 loopback에 세팅된 IP이용

logging facility local0

!Emergency에 대한 트랩만 로그서버에 보냄

logging 172.16.3.100

!트랩 로그를 받을 서버 지정

!

snmp trap source loopback 0

!SNMP 패킷을 보낼시 사용할 라우터 인터페이스 설정

snmp server community public1 ro

!SNMP String을 읽기 모드로 지정

snmp server host 172.16.3.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

snmp server host 172.16.6.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

!

access-list 1 permint 10.10.10.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

!

End

!구성모드 나옴

copy run start

!구성 적용

ISP #2 Configuration

conf t

!Global Configuration mode사용

service password-encryption

! password 암호화 저장

no ip domain-lookup

!Domain Name Service 기능을 중지

no service finger

!서버에 대한 finger 서비스 막음

no service pad

!Packet Assemble/Deassemble 막음

no ip bootp servers

!라우터를 bootp server로 사용 못하게 함

service tcp-keepalives-in

!끊어진 TCP connection에 대해 체크함

!

hostname ISP-2

!이름 지정

!

enable secret cisco

!패스워드 cisco 암호화하여 저장

!

line console 0

!콘솔 라인 설정

logging synchronous

!동기화

exec-timeout 30 0

!30초간 입력없으면 로그아웃

!

line vty 0 4

! 텔넷 라인 5개 설정

access-class 1 in

! 접근시 ACL 1번 설정에 의해 제어됨

no login

!패스워드 활성

exec-timeout 30 0

!30초간 입력 없으면 로그아웃

!

int lo0

!루프백 인터페이스 생성

ip add 2.2.2.2 255.255.255.0

!인터페이스 아이피 등록

!

int fa0/1

!인터페이스 구성

ip add 192.168.24.1 255.255.255.252

!인터페이스 아이피 생성

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성

!

int fa0/2

!인터페이스 구성

ip add 20.20.20.1 255.255.255.252

!인터페이스 아이피 생성

no ip directed-broadcast

! Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성

exit

!Global Configuration mode로 나옴

!

router ospf 3

!OSPF(Open Shortest Path First ) 설정

network 20.20.20.0 0.0.0.255 area 0

!광고 네트워크

network 2.2.2.0 0.0.0.255 area 0

!광고 네트워크

!

Router bgp 65002

!BGP(Border Gateway Protocol) 설정

neighbor 192.168.24.2 remote-as 65003

!연결된 AS 지정

network 20.20.20.0 mask 255.255.255.0

!자신의 네트워크 선언

Exit

!Global Configuration mode로 나옴

!

logging trap source loopback 0

!라우터 트랩 발생시 loopback에 세팅된 IP이용

logging facility local0

!Emergency에 대한 트랩만 로그서버에 보냄

logging 172.16.3.100

!트랩 로그를 받을 서버 지정

!

snmp trap source loopback 0

!SNMP 패킷을 보낼시 사용할 라우터 인터페이스 설정

snmp server community public1 ro

!SNMP String을 읽기 모드로 지정

snmp server host 172.16.3.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

snmp server host 172.16.6.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

!

access-list 1 permint 20.20.20.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

End

!Global Configuration mode 종료

!

copy run start

!구성 적용

Core#1 Configuration

conf t

!Global Configuration mode사용

service password-encryption

! password 암호화 저장

no ip domain-lookup

!Domain Name Service 기능을 중지

no service finger

!서버에 대한 finger 서비스 막음

no service pad

!Packet Assemble/Deassemble 막음

no ip bootp servers

!라우터를 bootp server로 사용 못하게 함

service tcp-keepalives-in

!끊어진 TCP connection에 대해 체크함

!

hostname Core-1

!이름 지정

!

enable secret cisco

!패스워드 cisco 암호화하여 저장

!

line console 0

!콘솔 라인 설정

logging synchronous

!동기화

exec-timeout 30 0

!30초간 입력없으면 로그아웃

!

line vty 0 4

! 텔넷 라인 5개 설정

access-class 1 in

! 접근시 ACL 1번 설정에 의해 제어됨

no login

!패스워드 활성

exec-timeout 30 0

!30초간 입력 없으면 로그아웃

!

int lo0

!루프백 인터페이스 생성

ip add 3.3.3.3 255.255.255.0

!인터페이스 아이피 생성

!

int fa0/1

!인터페이스 설정

ip add 192.168.13.2 255.255.255.252

!인터페이스 아이피 생성

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

!

int fa0/2

!인터페이스 설정

ip add 192.168.35.1 255.255.255.252

!인터페이스 아이피 생성

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

!

int fa0/3

!인터페이스 설정

ip add 192.168.34.1 255.255.255.252

!인터페이스 아이피 생성

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

exit

!Global Configuration mode로 나옴

!

router ospf 1

!OSPF(Open Shortest Path First ) 설정

network 192.168.13.0 0.0.0.3 area 0

!광고 네트워크

network 192.168.34.0 0.0.0.3 area 0

!광고 네트워크

network 192.168.35.0 0.0.0.3 area 0

!광고 네트워크

network 3.3.3.0 0.0.0.255 area 0

!광고 네트워크

!

Router bgp 65003

!BGP(Border Gateway Protocol) 설정

neighbor 192.168.34.2 remote-as 65003

!연결된 IBGP AS 지정

neighbor 192.168.34.2 update-source loopback 0

!IBGP 필요구성 장애시 루프팩 등록

neighbor 192.168.13.1 remote-as 65001

!연결괸 AS 지정

network 172.16.3.0 mask 255.255.255.0

!자신의 네트워크 선언

network 172.16.6.0 mask 255.255.255.0

!자신의 네트워크 선언

exit

!Global Configuration mode로 나옴

!

logging trap source loopback 0

!라우터 트랩 발생시 loopback에 세팅된 IP이용

logging facility local0

!Emergency에 대한 트랩만 로그서버에 보냄

logging 172.16.3.100

!트랩 로그를 받을 서버 지정

!

snmp trap source loopback 0

!SNMP 패킷을 보낼시 사용할 라우터 인터페이스 설정

snmp server community public1 ro

!SNMP String을 읽기 모드로 지정

snmp server host 172.16.3.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

snmp server host 172.16.6.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

!

access-list 1 permint 172.16.3.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

access-list 1 permint 172.16.6.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

!

end

!Global Configuration mode 종료

!

copy run start

!구성 적용

Core #2 Configuration

conf t

!Global Configuration mode사용

service password-encryption

! password 암호화 저장

no ip domain-lookup

!Domain Name Service 기능을 중지

no service finger

!서버에 대한 finger 서비스 막음

no service pad

!Packet Assemble/Deassemble 막음

no ip bootp servers

!라우터를 bootp server로 사용 못하게 함

service tcp-keepalives-in

!끊어진 TCP connection에 대해 체크함

!

hostname Core-2

!이름 지정

!

enable secret cisco

!패스워드 cisco 암호화하여 저장

!

line console 0

!콘솔 라인 설정

logging synchronous

!동기화

exec-timeout 30 0

!30초간 입력없으면 로그아웃

!

line vty 0 4

! 텔넷 라인 5개 설정

access-class 1 in

! 접근시 ACL 1번 설정에 의해 제어됨

no login

!패스워드 활성

exec-timeout 30 0

!30초간 입력 없으면 로그아웃

!

int lo0

!루프백 인터페이스 생성

ip add 4.4.4.4 255.255.255.0

!인터페이스 아이피 등록

!

int fa0/1

!인터페이스 설정

ip add 192.168.24.2 255.255.255.252

!인터페이스 아이피 생성

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

!

int fa0/2

!인터페이스 설정

ip add 192.168.46.1 255.255.255.252

!인터페이스 아이피 생성

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

!

int fa0/3

!인터페이스 설정

ip add 192.168.34.2 255.255.255.252

!인터페이스 아이피 생성

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

exit

!Global Configuration mode로 나옴

!

router ospf 1

!OSPF(Open Shortest Path First ) 설정

network 192.168.24.0 0.0.0.3 area 0

!광고 네트워크

network 192.168.34.0 0.0.0.3 area 0

!광고 네트워크

network 192.168.46.0 0.0.0.3 area 0

!광고 네트워크

network 4.4.4.0 0.0.0.255 area 0

!광고 네트워크

!

Router bgp 65003

!BGP(Border Gateway Protocol) 설정

neighbor 192.168.34.1 remote-as 65003

!연결된 IBGP AS 지정

neighbor 192.168.34.1 update-source loopback 0

!IBGP 필요구성 장애시 루프팩 등록

neighbor 192.168.24.1 remote-as 65002

!연결괸 AS 지정

network 172.16.3.0 mask 255.255.255.0

!자신의 네트워크 선언

network 172.16.6.0 mask 255.255.255.0

!자신의 네트워크 선언

exit

!Global Configuration mode로 나옴

!

logging trap source loopback 0

!라우터 트랩 발생시 loopback에 세팅된 IP이용

logging facility local0

!Emergency에 대한 트랩만 로그서버에 보냄

logging 172.16.3.100

!트랩 로그를 받을 서버 지정

!

snmp trap source loopback 0

!SNMP 패킷을 보낼시 사용할 라우터 인터페이스 설정

snmp server community public1 ro

!SNMP String을 읽기 모드로 지정

snmp server host 172.16.3.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

snmp server host 172.16.6.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

!

access-list 1 permint 172.16.3.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

access-list 1 permint 172.16.6.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

!

End

!Global Configuration mode 종료

!

copy run start

!구성 적용

Dist #1 Configuration

conf t

!Global Configuration mode사용

service password-encryption

! password 암호화 저장

no ip domain-lookup

!Domain Name Service 기능을 중지

no service finger

!서버에 대한 finger 서비스 막음

no service pad

!Packet Assemble/Deassemble 막음

no ip bootp servers

!라우터를 bootp server로 사용 못하게 함

service tcp-keepalives-in

!끊어진 TCP connection에 대해 체크함

!

hostname Dist-1

!이름 지정

!

enable secret cisco

!패스워드 cisco 암호화하여 저장

!

line console 0

!콘솔 라인 설정

logging synchronous

!동기화

exec-timeout 30 0

!30초간 입력없으면 로그아웃

!

line vty 0 4

! 텔넷 라인 5개 설정

access-class 1 in

! 접근시 ACL 1번 설정에 의해 제어됨

no login

!패스워드 활성

exec-timeout 30 0

!30초간 입력 없으면 로그아웃

!

key chain hsrp1

!HSRP 교환시 MD5 인증 모드 사용

key 0

!키 번호

key-string 54321098452103ab

!MD5 키 값

!

int lo0

!루프백 인터페이스 생성

ip add 5.5.5.5 255.255.255.0

!인터페이스 아이피 등록

!

interface Vlan100 !Vlan 100 구성

ip address 192.168.100.2 255.255.255.0

!인터페이스 아이피 생성

standby 1 ip priority 110

!HSRP 우선 순위 값 부여 (기본 :100)

standby 1 preempt

!HSRP Active 관리 설정

standby 1 authentication md5 key-chain hsrp1

!MD5 인증 모드 사용

standby 1 192.168.100.1

!가상 게이트 웨이 아이피 설정

no shutdown

!인터페이스 활성화

!

interface Vlan200

!Vlan200 구성

ip address 192.168.200.2 255.255.255.0

!인터페이스 아이피 생성

standby 2 preempt

!HSRP Active 관리 설정

standby 2 authentication md5 key-string 54321098452103ab timeout 30

!인증 모드 사용

standby 2 192.168.200.1

!가상 게이트 웨이 아이피 설정

no shutdown

!인터페이스 활성화

!

int fa0/1

!인터페이스 설정

ip add 192.168.35.2 255.255.255.252

!인터페이스 아이피 생성

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

!

int fa0/3

!인터페이스 설정

ip add 192.168.56.1 255.255.255.252

!인터페이스 아이피 생성

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

!

int fa0/11

!인터페이스 설정

Speed 100

!전송 속도 지정

Duplex full

!전송 방식 지정

switchport trunk encapsulation dot1q

!트럭 포트 전송 방식 지정

Switchport mode trunk

!트럭 포트 지정

switchport trunk allowed vlan 100

!VLan(Virtual LAN) 허용 인터페이스 설정

no cdp enable

!Cisco discovery Protocol 사용않함

Exit

!

int fa0/12

!인터페이스 설정

Speed 100

!전송 속도 지정

Duplex full

!전송 방식 지정

switchport trunk encapsulation dot1q

!트럭 포트 전송 방식 지정

Switchport mode trunk

!트럭 포트 지정

switchport trunk allowed vlan 200

!VLan(Virtual LAN) 허용 인터페이스 설정

no cdp enable

!Cisco discovery Protocol 사용않함

Exit

!

Vtp domain vtp

!Vlan 관리 프로토콜 지정

Vtp password cisco

!VTP 전파 패스워드 지정

Vtp mode client

!VTP 권한 등급 지정

!

router ospf 1

!OSPF(Open Shortest Path First ) 설정

network 192.168.35.0 0.0.0.3 area 0

!광고 네트워크 등록

network 192.168.56.0 0.0.0.3 area 0

!광고 네트워크 등록

network 192.168.100.0 0.0.0.3 area 0

!광고 네트워크 등록

network 192.168.100.0 0.0.0.3 area 0

!광고 네트워크 등록

network 5.5.5.0 0.0.0.255 area 0

!광고 네트워크 등록

network 172.16.3.0 0.0.0.255 area 0

!광고 네트워크 등록

network 172.16.6.0 0.0.0.255 area 0

!광고 네트워크 등록

exit

!Global Configuration mode로 나옴

!

spanning-tree vlan 100 priority 0

!루트 스위치 로드 발런스

spanning-tree vlan 200 priority 4096

!루트 스위치 로드 발런스

!

logging trap source loopback 0

!라우터 트랩 발생시 loopback에 세팅된 IP이용

logging facility local0

!Emergency에 대한 트랩만 로그서버에 보냄

logging 172.16.3.100

!트랩 로그를 받을 서버 지정

!

snmp trap source loopback 0

!SNMP 패킷을 보낼시 사용할 라우터 인터페이스 설정

snmp server community public1 ro

!SNMP String을 읽기 모드로 지정

snmp server host 172.16.3.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

snmp server host 172.16.6.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

!

access-list 1 permint 172.16.3.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

access-list 1 permint 172.16.6.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

!

End

!Global Configuration mode 종료

!

copy run start

!구성 적용

Dist #2 Configuration

conf t

!Global Configuration mode사용

service password-encryption

! password 암호화 저장

no ip domain-lookup

!Domain Name Service 기능을 중지

no service finger

!서버에 대한 finger 서비스 막음

no service pad

!Packet Assemble/Deassemble 막음

no ip bootp servers

!라우터를 bootp server로 사용 못하게 함

service tcp-keepalives-in

!끊어진 TCP connection에 대해 체크함

!

hostname Dist-2

!이름 지정

!

enable secret cisco

!패스워드 cisco 암호화하여 저장

!

line console 0

!콘솔 라인 설정

logging synchronous

!동기화

exec-timeout 30 0

!30초간 입력없으면 로그아웃

!

line vty 0 4

! 텔넷 라인 5개 설정

access-class 1 in

! 접근시 ACL 1번 설정에 의해 제어됨

no login

!패스워드 활성

exec-timeout 30 0

!30초간 입력 없으면 로그아웃

!

key chain hsrp2

!HSRP 교환시 MD5 인증 모드 사용

key 0

!키 번호

key-string 54321098452103ab

!MD5 키 값

!

int lo0

!루프백 인터페이스 생성

ip add 6.6.6.6 255.255.255.0

!인터페이스 아이피 등록

!

interface Vlan100

!VLAN 100 구성

ip address 192.168.100.3 255.255.255.0

!인터페이스 아이피 등록

standby 1 preempt

!HSRP Active 관리 설정

standby 1 authentication md5 key-string 54321098452103ab timeout 30

!MD5 인증 모드 사용

standby 1 192.168.100.1

!가상 게이트웨이 아이피 구성

no shutdown

!인터페이스 활성화

exit

!

interface Vlan200

!VLAN 100 구성

ip address 192.168.200.3 255.255.255.0

!인터페이스 아이피 등록

standby 2 ip priority 110

!HSRP 우선 순위 값 부여 (기본 :100)

standby 2 preempt

!HSRP Active 관리 설정

standby 2 authentication md5 key-chain hsrp2

!MD5 인증 모드 사용 (키 관리자)

standby 2 192.168.200.1

!가상 게이트웨이 아이피 구성

no shutdown

!인터페이스 활성화

exit

!

int fa0/1

!인터페이스 설정

ip add 192.168.35.2 255.255.255.252

!인터페이스 아이피 등록

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

!

int fa0/3

!인터페이스 설정

ip add 192.168.56.1 255.255.255.252

!인터페이스 아이피 등록

no ip directed-broadcast

!Directed broadcast를 인터페이스에서 막음

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

!

int fa0/11

!인터페이스 설정

Speed 100

!전송 속도 지정

Duplex full

!전송 방식 지정

switchport trunk encapsulation dot1q

!트럭 포트 전송 방식 지정

Switchport mode trunk

!트럭 포트 지정

switchport trunk allowed vlan 100

!VLan(Virtual LAN) 허용 인터페이스에 설정

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

!

int fa0/12

!인터페이스 설정

Speed 100

!전송 속도 지정

Duplex full

!전송 방식 지정

switchport trunk encapsulation dot1q

!트럭 포트 전송 방식 지정

Switchport mode trunk

!트럭 포트 지정

switchport trunk allowed vlan 200

!VLan(Virtual LAN) 허용 인터페이스에 설정

no cdp enable

!Cisco discovery Protocol 사용않함

no shutdown

!인터페이스 활성화

!

Vtp domain vtp

!Vlan 관리 프로토콜 지정

Vtp password cisco

!VTP 전파 패스워드 지정

Vtp mode server

!VTP 권한 등급 지정

!

router ospf 1

!OSPF 프로세스 아이디 설정

network 192.168.46.0 0.0.0.3 area 0

!광고 네트워크 등록

network 192.168.56.0 0.0.0.3 area 0

!광고 네트워크 등록

network 192.168.100.0 0.0.0.3 area 0

!광고 네트워크 등록

network 192.168.200.0 0.0.0.3 area 0

!광고 네트워크 등록

network 6.6.6.0 0.0.0.255 area 0

!광고 네트워크 등록

network 172.16.3.0 0.0.0.255 area 0

!광고 네트워크 등록

network 172.16.6.0 0.0.0.255 area 0

!광고 네트워크 등록

Exit

!Global Configuration mode로 나옴

!

spanning-tree vlan 100 priority 4096

!루트 스위치 로드 발런스

spanning-tree vlan 200 priority 0

!루트 스위치 로드 발런스

!

logging trap source loopback 0

!라우터 트랩 발생시 loopback에 세팅된 IP이용

logging facility local0

!Emergency에 대한 트랩만 로그서버에 보냄

logging 172.16.3.100

!트랩 로그를 받을 서버 지정

!

snmp trap source loopback 0

!SNMP 패킷을 보낼시 사용할 라우터 인터페이스 설정

snmp server community public1 ro

!SNMP String을 읽기 모드로 지정

snmp server host 172.16.3.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

snmp server host 172.16.6.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

!

access-list 1 permint 172.16.3.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

access-list 1 permint 172.16.6.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

!

End

!Global Configuration mode 종료

!

copy run start

!구성 적용

Access #1 Configuration

conf t

!Global Configuration mode사용

service password-encryption

! password 암호화 저장

no ip domain-lookup

!Domain Name Service 기능을 중지

no service finger

!서버에 대한 finger 서비스 막음

no service pad

!Packet Assemble/Deassemble 막음

no ip bootp servers

!라우터를 bootp server로 사용 못하게 함

service tcp-keepalives-in

!끊어진 TCP connection에 대해 체크함

!

hostname Access-1

!이름 지정

!

enable secret cisco

!패스워드 cisco 암호화하여 저장

!

line console 0

!콘솔 라인 설정

logging synchronous

!동기화

exec-timeout 30 0

!30초간 입력없으면 로그아웃

!

line vty 0 4

! 텔넷 라인 5개 설정

access-class 1 in

! 접근시 ACL 1번 설정에 의해 제어됨

no login

!패스워드 활성

exec-timeout 30 0

!30초간 입력 없으면 로그아웃

!!

int lo0

!루프백 인터페이스 생성

Ip add 7.7.7.7 255.255.255.0

!인터페이스 아이피 등록

!

interface Vlan100

!VLAN 100 구성

ip address 192.168.100.254 255.255.255.0

!인터페이스 아이피 등록

no shutdown

!인터페이스 활성화

Exit

!

nterface Vlan1

!VLAN 100 구성

ip address 172.16.3.1 255.255.255.0

!인터페이스 아이피 등록

no shutdown

!인터페이스 활성화

exit

int range fa0/1 – 2

!인터페이스 설정

switchport mode trunk

!VLan(Virtual LAN) 인터페이스에 설정

switchport trunk allowed vlan all

!VLan(Virtual LAN) 허용 인터페이스에 설정

Speed 100

!전송 속도 지정

Duplex full

!전송 방식 지정

no cdp enable

!Cisco discovery Protocol 사용않함

exit

!

int range fa0/24

!인터페이스 설정

switchport mode access

!VLan(Virtual LAN) 인터페이스에 설정

switchport access vlan 1

!VLan(Virtual LAN) 허용 인터페이스에 설정

Speed 100

!전송 속도 지정

Duplex full

!전송 방식 지정

no cdp enable

!Cisco discovery Protocol 사용않함

exit

!

ip default-gateway 192.168.100.1

!

Vtp domain vtp

!Vlan 관리 프로토콜 지정

Vtp password cisco

!VTP 전파 패스워드 지정

Vtp mode client

!VTP 권한 등급 지정

!

logging trap source loopback 0

!라우터 트랩 발생시 loopback에 세팅된 IP이용

logging facility local0

!Emergency에 대한 트랩만 로그서버에 보냄

logging 172.16.3.100

!트랩 로그를 받을 서버 지정

!

snmp trap source loopback 0

!SNMP 패킷을 보낼시 사용할 라우터 인터페이스 설정

snmp server community public1 ro

!SNMP String을 읽기 모드로 지정

snmp server host 172.16.3.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

snmp server host 172.16.6.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

!

access-list 1 permint 172.16.3.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

access-list 1 permint 172.16.6.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

!

End

!Global Configuration mode 종료

!

copy run start

!구성 적용

Access #2 Configuration #

conf t

!Global Configuration mode사용

service password-encryption

! password 암호화 저장

no ip domain-lookup

!Domain Name Service 기능을 중지

no service finger

!서버에 대한 finger 서비스 막음

no service pad

!Packet Assemble/Deassemble 막음

no ip bootp servers

!라우터를 bootp server로 사용 못하게 함

service tcp-keepalives-in

!끊어진 TCP connection에 대해 체크함

!

hostname Access-2

!이름 지정

!

enable secret cisco

!패스워드 cisco 암호화하여 저장

!

line console 0

!콘솔 라인 설정

logging synchronous

!동기화

exec-timeout 30 0

!30초간 입력없으면 로그아웃

!

line vty 0 4

! 텔넷 라인 5개 설정

access-class 1 in

! 접근시 ACL 1번 설정에 의해 제어됨

no login

!패스워드 활성

exec-timeout 30 0

!30초간 입력 없으면 로그아웃

!!

int lo0

!루프백 인터페이스 생성

Ip add 8.8.8.8 255.255.255.0

!인터페이스 아이피 등록

!

interface Vlan200

!VLAN 100 구성

ip address 192.168.200.254 255.255.255.0

!인터페이스 아이피 등록

no shutdown

!인터페이스 활성화

Exit

!

nterface Vlan1

!VLAN 100 구성

ip address 172.16.6.1 255.255.255.0

!인터페이스 아이피 등록

no shutdown

!인터페이스 활성화

exit

int range fa0/1 – 2

!인터페이스 설정

switchport mode trunk

!VLan(Virtual LAN) 인터페이스에 설정

switchport trunk allowed vlan all

!Cisco discovery Protocol 사용않함

speed 100

duplex full

no cdp enable

!

exit

!

int range fa0/24

!인터페이스 설정

switchport mode access

!VLan(Virtual LAN) 인터페이스에 설정

switchport access vlan 1

!Cisco discovery Protocol 사용않함

speed 100

duplex full

no cdp enable

!

exit

!

ip default-gateway 192.168.200.1

!

Vtp domain vtp

!Vlan 관리 프로토콜 지정

Vtp password cisco

!VTP 전파 패스워드 지정

Vtp mode client

!VTP 권한 등급 지정

!

logging trap source loopback 0

!라우터 트랩 발생시 loopback에 세팅된 IP이용

logging facility local0

!Emergency에 대한 트랩만 로그서버에 보냄

logging 172.16.3.100

logging 172.16.6.100

!트랩 로그를 받을 서버 지정

!

snmp trap source loopback 0

!SNMP 패킷을 보낼시 사용할 라우터 인터페이스 설정

snmp server community public1 ro

!SNMP String을 읽기 모드로 지정

snmp server host 172.16.3.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

snmp server host 172.16.6.100 public1

!SNMP 패킷을 보낼 서버 와 String 지정

!

access-list 1 permint 172.16.3.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

access-list 1 permint 172.16.6.0 0.0.0.255

!텔넷 접근 가능 네트워크 설정

!

End

!Global Configuration mode 종료

!

copy run start

!구성 적용

1. IBGP

1.1. IBGP 설정이 필요한 경우

IBGP는 한 AS내에 다른 AS와 연결된 2개 이상의 라우터가 있을 경우만 설정하여 이용하는 것이 바람직하다. 다시 표현하자면 EBGP를 운영하고 있는 라우터가 2개 이상일 경우일때만 필요하다는 것이다. 그리고 AS내에 있는 모든 라우터가 IBGP를 설정할 필요는 없으며, 기본적으로 EBGP를 운영하고 있는 라우터간에 IBGP를 설정해주면 된다.

EBGP를 운영하고 있는 라우터가 1개일 경우 IBGP 설정은 불필요하다. IBGP는 외부 AS로부터 받은 정보를 같은 AS내에 있는 다른 EBGP 라우터에 전달, 목적지에 대한 경로를 선택할 수 있도록 하는 역할을 담당하므로 외부와 접속된 EBGP가 1개일 경우 경로는 이미 결정되어 있으므로 IBGP의 역할은 필요없게 된다. 단지 BGP 라우터는 AS 내의 다른 라우터들과는 IGP로 정보를 교환하고, BGP와 IGP간에 Routing Information을 재분배하기만 하면 된다.

1.2. Full Mesh 형태의 IGBP Session

IBGP의 특성중 하나는 IBGP 라우터가 같은 AS내에 있는 IBGP 라우터로부터 네트웍의 변화된 정보를 전달받으면 그 정보를 자신과 IBGP Session을 맺은 다른 IBGP 라우터에게 전달하지 않고 EBGP를 이용하여 다른 AS에 있는 EBGP라우터에게만 전달한다는 것이다.
라우터 A, B, C가 각각 EBGP Session 을 라우터E, F, G와 맺고, 라우터A는 라우터B, 라우터B는 라우터C와 IBGP Session을 맺지 않은 경우를 생각해보자. 즉 라우터A와 라우터C 사이에는 직접 IBGP Session을 맺지 않은 것이다.

만약 AS200에서 어떤 변화가 발생되면 라우터 E는 그 사실을 라우터A에게 전달할 것이다. 네트웍의 변화에 대한 정보를 얻은 라우터A는 IBGP Session을 맺은 라우터B에게 전달한다. 앞에서도 말했듯이 라우터B는 정보가 같은 AS에 있는 라우터A로부터 왔으므로 그 정보를 IBGP Session을 맺은 라우터C에게 전달하지 않고 EBGP Session을 맺은 라우터F에게만 전달한다. 따라서 변화된 정보가 라우터C를 통해 AS400에까지 전달되지 않는다. 그러므로 라우터A와 라우터C간에 IBGP Session을 맺어주어야 한다.

AS내에서 EBGP 라우터간에는 Full Mesh 형태로 IBGP Session을 모두 맺어주어야 한다.

Router-A# sh running-config

!

router bgp 100

neighbor b-ip-address remote-as 100

neighbor c-ip-address remote-as 100

neighbor e-ip-address remote-as 200

Router-B# sh running-config

!

router bgp 100

neighbor a-ip-address remote-as 100

neighbor c-ip-address remote-as 100

neighbor f-ip-address remote-as 300

Router-C# sh running-config

!

router bgp 100

neighbor a-ip-address remote-as 100

neighbor b-ip-address remote-as 100

neighbor g-ip-address remote-as 400

1.3. Loopback Interface

라우터A, B, C 들은 서로 직접 연결되어 있으며, 모두 Full Mesh 형태로 IBGP Session을 다음과 같이 맺었다고 가정하자.

Router-A# sh running-config

!

router bgp 100

neighbor 130.100.2.2 remote-as 100

neighbor 130.100.1.2 remote-as 100

Router-B# sh running-config

!

router bgp 100

neighbor 130.100.2.1 remote-as 100

neighbor 130.100.3.2 remote-as 100

Router-C# sh running-config

!

router bgp 100

neighbor 130.100.1.1 remote-as 100

neighbor 130.100.3.1 remote-as 100

위와 같은 상황에서 라우터A와 라우터C를 직접 연결하는 회선에 장애가 발생하였을 경우 라우터A와 라우터C간의 IBGP Session은 사라지게 된다. 이유는 라우터A에서 Neighbor를 130.100.1.2 즉 회선에 할당된 IP Address를 이용해 지정하였고 회선에 장애가 발생함에 따라 130.100.1.2에 도달할 수 없어 IBGP Session을 맺을 수 없기 때문이다.

그러나 IBGP Session은 직접 연결되어 있지 않더라고 맺을 수 있기 때문에 라우터A에서 라우터C와 IBGP Session을 위해 Neighbor를 130.100.4.1을 선언하였더라면 라우터A와 라우터C간의 회선이 끊어졌더라도 IBGP Session을 맺을 수 있었을 것이다. 라우터A는 라우터B를 경유하여 130.100.4.1을 접속할 수 있기 때문이다.

Loopback Interface는 물리적인 Interface가 아니라 가상의 Interface로서 위에서처럼 물리적인 Interface에 장애가 발생함에 따라 그것에 할당된 IP Address등을 이용할수 없게 되는 상황을 방지해 줄 수 있는 것이다. Loopback Interface를 선언하는 방법은 다음과 같다.

Router(config)# interface loopback number

Router(config-if)# ip address ip-address netmask

number는 0에서 2147483648까지 가능하다.
따라서 Loopback Interface를 활용한 IBGP Session은 다음과 같이 설정할 수 있다.

Router-A# sh running-config

!

interface loopback 0

ip address 130.100.5.1 255.255.255.0

!

router bgp 100

neighbor 130.100.6.1 remote-as 100

neighbor 130.100.6.1 update-source loopback 0

neighbor 130.100.7.1 remote-as 100

neighbor 130.100.7.1 update-source loopback 0

Router-B# sh running-config

!

interface loopback 0

ip address 130.100.6.1 255.255.255.0

!

router bgp 100

neighbor 130.100.5.1 remote-as 100

neighbor 130.100.5.1 update-source loopback 0

neighbor 130.100.7.1 remote-as 100

neighbor 130.100.7.1 update-source loopback 0

Router-C# sh running-config

!

interface loopback 0

ip address 130.100.7.1 255.255.255.0

!

router bgp 100

neighbor 130.100.5.1 remote-as 100

neighbor 130.100.5.1 update-source loopback 0

neighbor 130.100.6.1 remote-as 100

neighbor 130.100.6.1 update-source loopback 0

Loopback Interface를 이용해 IBGP Session을 맺은 경우 반드시 update-source를 함께 선언해주어야 한다. 라우터A에서 update-source를 선언함으로써 라우터B와 라우터C에게 IBGP Session을 위한 Neighbor는 130.100.5.1이라고 알려주게 된다.

2. EBGP

EBGP를 설정하는 방법은1.4 BGP 설정방법은?에서 다루었기 때문에 여기에서는 EBGP 설정과 관련된 Multihop, Synchronization에 대해서 알아보도록 하겠다.

2.1. Multihop

IBGP 라우터들은 직접 연결되어 있지 않아도 IBGP Session을 맺을 수 있다. EBGP 라우터들은 대개 전용회선과 같은 것으로 직접 연결되어 EBPG Session을 맺는데 어떠한 이유에서 EBGP 라우터들이 직접 연결될 수 없거나 Serial Link에 할당된 IP Address로 neighbor를 지정할 수 없는 상황이 발생할 수 있다. 가장 좋은 예가 Loopback Interface에 할당된 IP Address로 neighbor를 선언하는 경우이다.

이런 경우 neighbor의 IP Address를 선언해 주고 neighbor ebgp-multihop이라는 명령어를 함께 선언해 주어야 한다. 위와 같은 상황에서는 neighbor의 IP Address는 Loopback Interface에 할당된 IP Address를 이용하면 된다.

Router-A# sh run

loopback interface 0

ip address 130.100.1.1 255.255.255.0

!

router bgp 100

neighbor 130.200.1.1 remote-as 200

neighbor 130.200.1.1 ebgp-multihop

neighbor 130.200.1.1 update-source loopback 0

Router-B# sh run

loopback interface 0

ip address 130.200.1.1 255.255.255.0

!

router bgp 200

neighbor 130.100.1.1 remote-as 100

neighbor 130.100.1.1 ebgp-multihop

neighbor 130.100.1.1 update-source loopback 0

이때 주의하여야 할 것은 IBGP에서와 마찬가지로 EBGP 라우터가 loopback interface의 IP Address에 대한 경로를 알고 있어야 한다는 점이다. AS200에 있는 EBGP 라우터가 130.200.0.0에 대한 정보를 AS100의 EBGP 라우터에게 전달할 경우는 별도로 130.200.0.0에 대한 정보를 AS100에 등록해 줄 필요는 없다. 그러나 130.200.0.0에 대한 정보를 AS100의 EBGP 라우터에게 전달하지 않을 경우, 운영자는 라우터A에 130.200.0.0에 대한 Static Route 등을 등록하여 주어야 한다. 라우터B측에서도 마찬가지다.

Router-A# sh run

loopback interface 0

ip address 130.100.1.1 255.255.255.0

!

router bgp 100

neighbor 130.200.1.1 remote-as 200

neighbor 130.200.1.1 ebgp-multihop

neighbor 130.200.1.1 update-source loopback 0

!

ip address 130.200.0.0 255.255.0.0 130.150.1.2

Router-B# sh run

loopback interface 0

ip address 130.200.1.1 255.255.255.0

!

router bgp 200

neighbor 130.100.1.1 remote-as 100

neighbor 130.100.1.1 ebgp-multihop

neighbor 130.100.1.1 update-source loopback 0

!

ip address 130.100.0.0 255.255.0.0 130.150.1.1

2.2. Synchronization

다음의 네트웍 상황을 살펴보자. 라우터B만이 BGP라우터가 아니고 나머지는 모두 BGP 라우터이다. AS100은 AS200과 AS300을 중계하고 있다.

라우터A가 라우터D로부터 130.20.0.0에 대한 정보를 전달 받으면 이것을 IBGP Neighbor인 라우터C에게 전달하며, 라우터C는 이 정보를 라우터E에게 전달할 것이다. AS300에 있는 라우터는 130.20.0.0으로 가려는 트래픽을 라우터C에게 전달할 것이다. 그리고 라우터C는 해당 트래픽을 라우터B에게 전달할 것이다. 그런데 아직 라우터B가 라우터A로부터 130.20.0.0에 대한 정보를 받지 못했다고 생각해보자. 그러면 당연히 라우터B는 해당 트래픽을 폐기해 버릴 것이다.

BGP에서 다른 두 개 이상의 AS를 연결하는 역할을 하는 AS가 있을 경우 이 AS에 있는 BGP 라우터들은 목적지에 대한 경로를 IGP로부터 모두 얻을때까지는 해당 경로를 다른 BGP 라우터에게 알려주지 않는 것을 Synchronization이라고 한다.

따라서 위와 같은 상황에서 Synchronization이 활성화되어 있다면 라우터C는 라우터A로부터 받은 목적지에 대한 경로정보를 라우터B로부터 모두 전달받을때까지 기다렸다가 이후 라우터E에게 전달한다. 따라서 라우터B에서 트래픽이 폐기되는 것을 방지할 수 있게 된다.

그러나 이러한 Synchronization은 Routing Information의 전달을 지연시키는 요소중의 하나인데 이러한 Synchronization은 다음과 같은 상황에서는 필요하지 않을 수 있다.

* 자신의 AS가 다른 AS간의 트래픽을 중계하지 않을때

* 다른 AS간의 트래픽을 중계하는 라우터들이 모두 IBGP를 운영할때

CISCO 라우터의 BGP에서는 기본적으로 Synchronization이 활성화되어 있는데 Synchronization을 비활성화하는 방법은 다음과 같다.

Router(config)# router bgp local-asn

Router(config-router)# no synchronization

3. Network Advertisement

RIP, IGRP, OSPF, EIGRP과 같은 IGP를 운영하고 있는 라우터는 맨처음에 Network Address 및 그것에 대한 경로정보를 전달할때 자신에게 직접 접속된 Network Address만을 전달한다. 방법은 이미 익혔듯이 network 명령어를 이용하여 자신에게 접속된 Network Address를 선언하면 된다.

Router#sh running-config

! router rip

network 130.110.0.0

network 130.110.0.0

BGP 라우터는 조금 다르다. BGP 라우터는 자신이 소속된 AS에 있는 모든 Network Address를 BGP Routing Table에 등록하여 다른 AS의 BGP 라우터에게 전달한다. 즉 BGP 라우터에 직접 접속된 Network Address가 아니더라도 자신의 AS에 속한 Network Address를 전달하는 것이다.

BGP 라우터가 외부로 전달할 Network Address를 BGP Routing Table에 등록하는 방법은 여러가지가 있으며 이제부터 그것을 알아보도록 하겠다. 이 과정을 거치지 않으면 BGP Session을 맺었더라도 전달하는 Network Address 및 경로에 대한 정보를 전달하지 않는다.

Network Address를 BGP Routing Table에 등록하는 방법은 Network 명령어를 이용하는 방법, 재분배에 의한 방법이 있는데 필자뿐만 아니라 다른 문서들에서도 Network 명령어만을 이용하도록 권하고 있다.

3.1. Network 명령어 이용

위와 같은 상황에서 라우터A와 라우터B는 다음과 같이 BGP Session을 맺을 것이다.

Router-A#sh run

router bgp 100

neighbor 130.100.1.6 remote-as 200

Router-B#sh run

router bgp 100

neighbor 130.100.1.6 remote-as 200

그리고 라우터A와 라우터B는 자신의 AS에 속한 Network Address들을 다음과 같이 모두 선언해 준다.

Router-A#sh run

router bgp 100

neighbor 130.120.0.2 remote-as 200

network 130.100.0.0

network 130.120.0.0

Router-B#sh run

router bgp 100

neighbor 130.120.0.1 remote-as 100

network 130.130.0.0

network 130.131.0.0

위와 같이 BGP 라우터를 설정한 경우 라우터 A와 라우터B에서 BGP 정보를 확인해 보자. BGP 정보를 확인하는 방법은 show ip bgp 라는 명령어를 이용하면 된다.

Router> show ip bgp 

BGP 라우터에서 show ip bgp 라는 명령어를 입력하면 BGP에 의해 전달받은 Network Address 및 그것에 대한 경로정보를 보여준다. show ip bgp 명령어가 보여주는 정보는 여러가지인데 이것들에 대해서는 <a>여기</a>에서 자세히 다루도록 하겠다. 여기에서는 Network, Next Hop, Path, Origin에 대해서만 우선 알아보도록 하겠다.

라우터A에서 show ip bgp 명령어를 입력하였을 경우 결과는 다음과 같다.

Router-A> show ip bgp

table version is 4, local router ID is 130.120.0.1

status code : s suppressed, d damped, h history, * valid, > best, i - internal

origin code : i - IGP, e - EGP, ? - incomplete

Network Next Hop Metric LocPrf Weight Path

*> 130.100.0.0 0.0.0.0 0 100 0 I

*> 130.120.0.0

*> 130.130.0.0 130.120.0.2 0 100 0 200 i

*> 130.131.0.0 130.120.0.2 0 100 0 200 i 

network 명령어를 이용하여 BGP Neighbor에게 전달할 Network Address를 전달하는 방법의 가정 큰 장점은 어떤 Network Address를 전달하는지 쉽게 알 수 있다는 점이다.

'네트워크' 카테고리의 다른 글

VLAN 이란  (0)	2009/04/24
Access-list 정의 및 작성방법  (0)	2009/04/22
프록시 서버의 원리와 종류  (0)	2009/04/21
[예제]네트워크 구성하기  (0)	2009/04/20
BGP & eBGP  (0)	2009/04/18