Transcript 스위치정리(2011.3.5)

wan, lan 둘다 layer2에 속함
layer2는 같은네트워크를 나타냄
hub (하나의 collison)
ethernet이 없으므로 데이터 전송시
충돌이 있음
switch (ethernet을 사용, collsion 분할)
숫자가 낮을수록 우선순위가 높음
모든 포트 열려있음
포트마다 cpu할당량이 있음
포트 0은 기본 예약되어 있음
라우터
브로드캐스트 분할
숫자가 높을수록 우선순위 높음
모든 포트 닫혀있음
sw
c 1: 192.168.1.1
ac : 111.111.111
pc 4: 192.168.1.4
mac : 444.444.444
데이터 전송시 ip만 알고 mac address를 모를 때
1. 브로드캐스트 보냄
l2
l3
2.
3.
4.
5.
data
출발지
111.111.111
192.168.1.1
arp-request (type 8)
목적지
fff.fff.fff
192.168.1.4
arp-request (type 8)
sw는 들어온 포트의 mac address 저장
sw는 flooding수행(들어온 곳 빼고 전부 데이터 전파)
모든 pc는 들어온 패킷의 정보확인
목적지에 해당하는 pc4에서 패킷을 확인하고 응답패킷 보냄
l2
l3
data
6. sw가 mac address를 보고 데이터를 보낸 pc1로 정보 전달
7. 알아낸 pc4의 mac address를 이용하여 패킷 보냄
8. pc1 -> sw -> pc4(icmp 정보 전달)
pc4 -> sw -> pc1(icmp 응답 정보 전달)
스위치 주요기능
ageing
flooding
filtering (들어온 패킷 포트로 패킷을 내보내지 않음 (loop방지))
forwarding
learning
브로드캐스트 많아지면 장비 부하, 대역폭 사용할 수 있는 양이 감소
vlan 2
vlan 1
vlan 3
vlan 4
vlan 4
vlan 5
trunk : 한 포트로 vlan을 여러 개 사용가능하게 함
v30
v10
v10
v10
1
2
3
v20
v20
v20
2에 vlan 30에 대한 내용이 없으므로
vlan 30의 내용은 1 -> 3으로 전달 안됨
(trunk 설정해도 안됨)
서브인터페이스 – ethethernet 불가능
fastethernet 가능
v30
vlan 한번에 여러 개 추가하면 revision 1만 증가됨
일치시키는 개수만큼 revision수 증가
server
client
trans parent는 revision 무조건 0
일치
standard vlan, extended vlan 설정 = trans parent
trans parent만 extended vlan 설정가능
standard vlan 설정 = server 또는 client
no switchport <- l2 기능 끄기 (l3 스위치만 사용가능)
switchport <- l2 기능 사용
blk
기존 bpdu
root
자신이 만든 bpdu
back up
기존의 bpdu보다 오른쪽에서 들어온 bpdu가 안 좋으므로 오른쪽에서 들어온 bpdu
무시
20초 경과 후 밑에 쪽에서 연결이 오류되었다고 생각하고 blk된 것을 listen -> learnin
->forwarding으로 상태변환 (50초 소요)
root-bridge와 back up-bridge 연결이 아닌 곳은 30초 소요
스위치끼리 trunk를 자동 잡음
access모드는 trunk 안 잡힘
access모드는 하나의 vlan만 사용 (다른 vlan이 없기 때문에 브로드캐스트
생성x)
access와 trunk를 연결하면 trunk가 안 잡힘
trunk면 모르는 vlan도 다른 곳에 전달
access면 모르는 vlan은 다른 곳에 전달x
1
①
②
blk
①이 고장나면 1스위치는 blk포트를 열음
②이 고장나면 superior bpdu를 받게 되어
20초 후 listen상태가 됨
loop guard현상
blk
①
①이 대역폭을 너무 사용하여 bpdu가 오지
못하여 blk이 열리는 현상이 자주 발생하는
현상
기존 pvst
rstp
tc
root
root
tcu bpdu
back up
tcu : 변경 승인 요청
tc : 변경 승인(root만 가능)
tc
back up
먼저 고친 후 tc 보고
어디서든 tc발생
tc
mst
v1 ~ 10 stp
v11 ~ 20 stp
v21 ~ 30 stp
각각 하나의 그룹
mst 0 <- 설정하지 않은 모든 vlan을 관리
port-chanel에 trunk를 설정 -> interface에 적용됨
R
L3
L2
L2
L3
SW
SW
SW
SW
vlan에 ip에 대응되는 설정
vlan
ip
data
패킷
R
L3스위치
ip routing -> router 기능 사용
port-security
protect:설정한 mac만 허용
restict:추가설명내용
shutdown:설정한 mac주소 이외는 차단
sticky:처음 들어온 장비의 mac주소를 기억함(허용으로)
switchport port-security : 마지막에 이걸 넣어야 적용됨
switch mode access 여야함 (trunk 모드이면 access보다 많은 vlan이 가능하므로
여러 mac주소가 들어오게 됨)
INTERNET
INTERNET
1
내부만 HSRP & VRRP 관리
가상 라우터
2
가상라우터가 1라우터를 기본으로 사용함
2라우터는 대기중(포트열려있음)
1라우터가 고장시 가상라우터는 2라우터 사
가상라우터의 포트주소를 사용함
라우팅프로토콜을 이용할때 고장시 다른 것으로 대체 – 약 30초
hsrp or vrrp 이용시 – 약 2초
INTERNET
mac을 얻기 위해 브로드캐스트를 이용
arp테이블을 만들때 가상라우터의 mac를
얻는데 그 mac주소는 규칙이 있음
hsrp –> vrrp (동시에 두가지 돌아가지 않음
장비 초기화하고 해야 함)
원래 스위치는 감시 안됨
스위치는 포트별로 cpu 사용량 할당됨
f0/0 – sw자체 사용
line vty 0 4
login local(local은 자신의 컴퓨터에서 정보를 참조한다는 뜻
원래는 서버주소가 적혀야 함)
privilige exec level 2 configure terminal
configure level 2 configure terminal
interface level 2 configure terminal
router level 2 configure terminal
r1# r1(config)#
r1(config-if)# r1(config-router)#
공개키 방식
자신
(a, p ,q)
암호화키 : AK
상대편
(a, p ,q)
암호화키 : Bk
암호화키 계산법 : pa mod q = Ak
복호화키 계산법 : Bk(상대방 암호화키) mod q = 복호화키
암호화키는 서로 다르고 복호화키는 서로 같음
ACL 에서
ip는 모든 트래픽의미
eq를 생략하면 any의 의미
=> 모든 포트 번호
출발지 주소 : 나가는 인터페이스가 됨 (어떤 프로토콜을 사용하던지)
telnet 150.1.13.254 80(포트번호) /source-interface f0/1(출발지 ip설정)
deny any any <- 방화벽개념
이것하기 전에 허용하고자 하는 것을 설정해놔야 함
establish 에서 RST는 RESET(강제종료)을 의미 (request x)
tcp
flag비트
자르지 말것
(1로 설정시
패킷을 나누지
말것을 의미
mr (1로 설정되면 뒤에 패킷이 더 있음을 의미)
1
1
1
0
fragementation offset -> 쪼개진 순서 나타냄
protocol -> L4(상위프로토콜)가 무슨 프로토콜을 나타내는지 표시
L2
L3
L4
acl -=> layer4계층까지 밖에 안됨
cbac => 응용프로그램 계층까지 지원
cbac -> access-list
dos공격
host
① syc
②ack, syc
③ack를 주지않음
라
우
터
server
1. host가 syc만 계속 보냄
2. server가 열 수 있는 포트제한
에 도달해서 더 이상 포트를
열 수 없음
intercapt
host
① syc
②ack, syc
③ack
라
우
터
server
1. host와 라우터가 간에
syn와 ack를 주고 받음
(라우터는 임시로 server로 역할함)
2. ③ack가 오면 host와 server를 연
4. ③ack가 오지 않으면 라우터가 s
RST보냄
intercapt
라우터는 패킷을 감시만 하고 있
host
① syc
②ack, syc
③ack
③ack가 오지 않으면 라우터가
강제로 라우터가 host이름으로
server에게 RST를 보냄
라
우
터
server
queening
Q
라우터
Q
queen는 들어올때는 관련없음
나갈때만 관련있음
인터페이스
queen
데이터가 쌓이고 이중 queen의 특성에 따라 데이터를 전송
queen의 특성(우선순위, 선착순 등…)
litter (편차)
패킷 간의 전송간격(시간)
RTP(real time protocol) – 실시간 처리 해야하는 것 (예)음성
tcp통신시 window크기가 찼을 때 서로 통신하도록 되어 있음
type of service
예약이 되어있음
ip precedence (3bit)
01234567
예약되어 있음
아무것도 아닌것 기본(무등급)
dscp(6bit)
음성 트래픽 포트 = 16384 ~ 32767
cs3 001 | 00 | 0
af31 011 | 01 | 0
.
.
.