Transcript CCNP수업내용정리2
RIP 2 IBGP가 다수일 경우 IGP(rip, OSPF,….)가 가까운 곳(목적지 비용이 적은 곳)이 최적경로로 선정 이 라우터는 IBGP 2개경로 (위, 아래) 1 위의 그림에서 Rip이 돌고 있다고 가정하면 아래쪽라우터(1)와 맨위라우터(2) 중 아래쪽 라우터가 가까우므로 이 쪽 경로를 최적경로로 취급 출력경로정책 Weight, load-proference등이 여기에 속함 ① 1 ② 1라우터에서 ①과 ② 중 어디로 나가야할지 결정 입력경로정책 ① 1 ② 1라우터에서 ①과 ② 중 어디로 들어와야 하는지 결정 As 1000 Local-preference ebgp경로 다수일 때 먼저 연 결된 경로가 아닌 내가 임의로 조정할 수 있도록 하는 속성값 ibgp에서만 전파 As간 여러 경로가 있을 때 내 가 원하는 쪽으로 정보를 보내 고 싶을 때 사용 As100안에서는 localpreference전파됨 500 200 300 As 100 400 어디로 갈지 속성값 조절하여 어디로 보낼지 결정 Weight(in만 가능) 자신 in 상대방 Neighbor 13.13.13.1 route-map weight in Weight : 전파x Local-preference : AS내에서만 전파 나머지 : 전파가능 9.2 9.1 1 2 GPN은 터널이 있어야 서 읽을 수 있음 8.2 8.3 3 L2 102 L3 L3 SA:9.1 SA G P DA:8.3 N 공중망에서 4 5 13.2 13.4 DA 3라우터 2라우터는 1라우터에서 보 보에서 GPN앞의 정보만 읽 볼 수 있음 AH-인증, ESP-암호화, 인증 무결성 – 중간에 정보가 안 바뀐 것 확인 black sypher – 블록 단위 암호화 stream syphter –비트, 바이트단위 암호화 1. 데이터 암호화<-비밀키로 2. 비밀키암호화<-공개키로 IPSec의 동작 phase 1 라우터 phase 2 SA 라우터 서로 맞는지 인증(확인), 세션키 협상, 세션연결 공개키 분배(IKE프로토콜을 이용하여 분배) 비밀키 설정, 공개키를 이용한 비밀키 공유방식 설정 hase1의 sa는 phase2의 sa를 보호함 라우터 SA 라우터 암호화된 데이터를 주고 받을 sa생성 sa를 이용한 실제 실제 암호화된 정보 보 데이터 암호화, 인증방식 설정 phase 1의 세션 phase 2의 세션 phase 1에서 암호화 방식 phase 2에서 사용할 비밀키방식의 비밀키를 암호화하여 각각의 라우터에게 분배하여 암호화 데이터가 송수신 될 수 있도록 해야 함 암호화 비밀키 복호화 암호화된 비밀키 + 비밀키방식 비밀키(대칭키) = 공개키방식의 개인키 공개키방식의 공개키 개인키 +공개키 = 복호화키 phase 1에서 암호화 방식 키 모음 비밀키방식 비밀키(대칭키) + 키 분배 (IKE프로토콜이용) 공개키방식의 개인키 공개키방식의 공개키 = 개인키 +공개키 = 복호화키 암호화된 비밀키 세션키 키 분배 프로토콜(IKE (Internet Key Exchange))을 이용하여 키 분배 IKE는 를 주기적으로 바꿔서 각각의 라우터에게 분배함 다른 키도 마찬가지로 주기적으로 변경 phase 2에서 암호화 방식 비밀키방식 비밀키(대칭키) 암호화된 data 암호화된 data 암호화된 data 암호화된 data data를 암호화하는 방법 설명 비밀키으로 복호화 data 비밀키으로 암호화 암호화된 data IKE로부터 받은 비밀키를 이용하여 data암호화,복호화 암호화 방식 비밀키방식 비밀키 비밀키방식로 암호화 데이터 암호화된 데이터 비밀키방식로 복호화 비밀키 암호화 방식 공개키방식 개인키 개인키로 암호화 비밀키 암호화된 비밀키 복호화키로 복호화 <개인키+공개키> = 복호화키 인증 방식 인증방식에 대해서는 잘 알지 못하다 대충 설명하자면 data 인증키를 이용한 인증 인증을 하면 데이터 전체를 감싸서 보호하게 됨 감싼 부분이 조금이라도 깨지면 인증은 실 data data 라우터 라우터 data IPSec의 동작 [Phase 1] 1. 세션키를 이용한 라우터끼리의 세션연결 라우터 SA 라우터 2. Phase 2에서 데이터 암호화, 복호화하기 사용되는 비밀키 방식의 비밀키를 암호화하기 위한 개인키(공개키방식) 설정 3. 비밀키를 공유하기 위한 공개키방식 설정 비밀키 방식의 암호화된 비밀키 공개키 방식의 개인키, 공개키 공개키방식으로 비밀키암호화 키 분배 라우터 SA 비밀키 라우터 키 분배에는 암호화와 인증이 사용됨 키 분배를 위해 ike프로토콜 이용함 ike프로토콜은 Key의 생성과 교환, 그리고, 안전성을 높이기 위해 열쇠의 정기적으로 갱신을 자동적으로 실시, 세션키를 통한 세션연결 키 분배를 받고 암호화된 비밀키를 공개키방식으로 복호화하여 비밀키를 얻고 그 비밀키를 이용하여 데이터를 암호화하는 것임 IPSec의 동작 [Phase 2] 1. 데이터 암호화, 인증을 위한 방식 설정 암호화 방식 : 예)esp-3des 인증 방식 : 예)esp-sha-hmac 2. 데이터 암호화, 인증을 위한 세션 설정(설정없이 자동으로 설정됨) ipsec 소스내용를 크게 본다면 crypto map crypto isakmp phase 1 인터페이스 crypto map적용 crypto ipsec transform-set phase 2 수동키를 이용한 ipsec (ccnp책 91쪽) no crypto isakmp enable (자동키 disable) ---------------------------------------------------------------------설명 : isakmp은 phase1을 나타냄 ---------------------------------------------------------------------access-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255 인증방식 암호화방식 ! crypto ipsec transform-set CISCO esp-des esp-md5-hmac ---------------------------------------------------------------------설명 : phase2 설정 (데이터 암호화, 인증 설정) ---------------------------------------------------------------------crypto map IPSEC 10 ipsec-manual ---------------------------------------------------------------------설명 : crypto map을 통해서 ipsec을 interface에 적용하게 됨 IPSEC = crypto map의 이름, 10 = IPSEC에서 적용되는 순서를 나타냄 IPSEC 10 나이 20 이름 30 성별 위의 내용을 이어서 ipsec-manual (수동키 설정) ---------------------------------------------------------------------set peer 13.13.10.3 (상대방 phase2 장비의 주소) set transform-set CISCO (앞에서 정의한 transform-set CISCO phase2 조 건 적용) set session-key outbound esp 768 cipher abcd1234 authenticator 1234 --------------------------------------------------------------------------설명 : seesion-key (세션키 정의를 하겠다는 의미) outbound (세션은 입력과 출력별 각각 필요) esp 768 (세션키 정의, 상대방과 같아야 함) chipher abcd1234 (암호화키 정의, 16진수 짝수이어야 함, 상대방과 같아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함) authenticator 1234(인증키 정의, 16진수 짝수이어야 함, 상대방과 같 아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함) --------------------------------------------------------------------------match address 110 (앞에서 정의한 access-list 110에 일치한다면 crypto map 적용) 자동키를 이용한 ipsec (ccnp책 95쪽) acess-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255 crypto isakmp policy 10 ---------------------------------------------------------------------------------------isakmp (phase 1)적용, 자동키 사용 설정 policy 10 = policy가 적용되는 순서를 나타냄 10 나이 20 이름 30 성별 ----------------------------------------------------------------------------------------encryption 3des (공개키방식의 암호화방식 설정) hash sha (공개키방식의 인증방식 설정) group 2 (키 교환 방식 설정 – 밑의 authentication과는 별개, 비밀키를 어떻게 받을 것인 authentication pre-share (한번 비밀키를 정하고 바꾸지 않음) ----------------------------------------------------------------------------------------비밀키 방식의 비밀키를 어디서 받을 것인지 설정 키 분배 하는 방식 1. 한번 비밀키 정해지면 바꾸지 않음 2. 공개키 방식의 키를 생성하는 서버에서 받음 3. 자동으로 ike에서 생성해서 받음 crypto isakmp key 6 cisco address 13.13.10.3 --------------------------------------------------------------------------------------------isakmp (phase 1을 나타냄) 6 (적용되는 순서를 나타냄) cisco (비밀키 방식의 개인키 = phase 2에서 사용) address (상대방의 ip주소를 설정) 여기까지가 phase 1설정 인증방식 암호화방식 --------------------------------------------------------------------------------------------crypto ipsec transform-set CISCO esp-3des esp-sha-hmac --------------------------------------------------------------------------------------------phase2 설정 --------------------------------------------------------------------------------------------crypto map IPSEC 10 ipsec-isakmp --------------------------------------------------------------------------------------------set peer 13.13.10.3 (상대방 ip주소 설정) set transform-set CISCO (crypto phase2의 설정 적용) match address 110 (access-list 110에 해당되면 crypto map을 적용) int s1/1.13 crypto map IPSEC (인터페이스에 crypto map 적용) 수동키를 이용한 ipsec은 세션키를 설정해야하지만 자동키를 이용한 ipsec은 세션키를 자동으로 생성하여 자동설정함 internet ezvpn 인터넷망을 이용해서 외부 어디서든 회사 내부의 pc에 접속할 수 있도록 함 (내부에서 pc가 연결되었다 가상으로 만듬) 회사내부(사설망) 가상 pc연결 192.168.1.0/24 (사설ip 서버컴퓨터) 접속방법 1. 외부 라우터에서 접속 (설정필요) 2. 외부 pc에서 접속 (접속프로그램 필요) ezvpn 소스 설명 (p111~p112의 내용 : server) username admin privilege 15 password cisco -----------------------------------------------------------------------------------------username (user이름 설정) privileage (권한 설정) password (암호 설정) -----------------------------------------------------------------------------------------aaa new-model (aaa 새로 설정함) aaa authentication login EZVPN_Client local aaa authorization network EZVPN_Group local -----------------------------------------------------------------------------------------authentication (인증설정) -> login(로그인 설정) -> EZVPN_Client(로그인 설정에 대한 이름을 설정) -> local(local DB의 정보를 참조하여 인증) authorization (권한부여) -> network (Network Service 권한 설정, network 접속허가) -> EZVPN_Group (권한 설정에 대한 이름을 설정) -> local(local DB의 정보를 참조하여 권한부여) -------------------------------------------------------------------------------------------crypto isakmp policy 10 authentication pre-share hash md5 encryption 3des group 2 ezvpn 소스 설명 ip local pool EZ_POOL 150.1.13.100 150.1.13.110 ------------------------------------------------------------------------------------------local pool (접속이 허락되면 허락할 ip주소를 설정하겠음) EZ_POOL (local pool의 이름 설정) 150.1.13.100 150.1.13.110 (150.1.13.100 ~ 150.1.13.110 사이의 ip주소를 할당함) ------------------------------------------------------------------------------------------crypto isakmp client configuration address-pool local EZ_POOL ------------------------------------------------------------------------------------------isakmp (crypto의 phase1 설정) client configuration (접속이 허락된 client에 대한 설정) address-pool (주소를 설정하는 pool설정) local EZ_POOL (local에 있는 EZ_POOL을 설정적용) ------------------------------------------------------------------------------------------crypto isakmp client configuration group EZ_Group ------------------------------------------------------------------------------------------group (그룹인증을 설정) EZ_Group (그룹인증에 대한 이름설정) ------------------------------------------------------------------------------------------key cisco1234 (그룹에 대한 인증을 위한 암호(키)를 설정) pool EZ_POOL (그룹에 위에서 설정한 EZ_POOL적용) acl 113 (access-list 113을 적용, split 터널링 설정(터널기법을 사용함)) ezvpn 소스 설명 crypto isakmp xauth timeout 45 -------------------------------------------------------------------------------------------isakmp xauth (1.5phase로 ipsec를 이용하기 위해서 id와 password를 물어보도록 설정) time out (45초 이후에는 자동으로 id와 password 묻는 것을 종료, 접속끊음) -------------------------------------------------------------------------------------------access-list 113 permit ip 150.1.13.0 0.0.0.255 any -------------------------------------------------------------------------------------------가상으로 터널을 뚫도록 하기위해서 설정 -------------------------------------------------------------------------------------------crypto ipsec transform-set TEST esp-3des esp-md5-hmac crypto dynamec-map EZVPN 10 -------------------------------------------------------------------------------------------crypto map (정해져 있는 장비 연결) crypto dynamic-map (정해지지 않은 장비 연결) ? ? 어디서에서 무슨 장비가 연결이 될 지 모름 -------------------------------------------------------------------------------------------- ezvpn 소스 설명 set transform-set TEST (phase2의 내용 crypto dynamic-map에 적용) reverse-route (원래는 정보가 전달 될때 회사의 라우터까지 정보가 왔다가 가야 되지만 이 설정을 통해서 자신의 위치에 가까운 라우터의 라우팅정보를 보고 정보가 전달 됨) internet 회사내부(사설망) 가상 pc연결 ezvpn 소스 설명 crypto map EZVPN client authentication list EZVPN_Client crypto map EZVPN isakmp authorization list EZVPN_Group crypto map EZVPN client configuration address respond crypto map EZVPN 10 ipsec-isakmp dynamic EZVPN ------------------------------------------------------------------------------------------위의 2개는 aaa내용, 아래 2개는 vpn내용 인터페이스에는 crypto map만 적용 가능하므로 aaa와 vpn을 crypto map으로 변환시킴 respond (설정한 내용으로 반응을 함) ----------------------------------------------------------------------------------------------int s1/1 crypto map EZVPN (인터페이스에 crypto map을 적용) ezvpn 소스 설명 (p112~p113의 내용 : client) crypto isakmp policy 10 authentication pre-share hash md5 encryption 3des group 2 crypto ipsec client ezvpn VPN_Connection (ezvpn의 client에 대한 crypto 설정) connect auto (자동으로 연결함) group EZ_Group key cisco1234 (이용할 수 있는 권한을 받기위한 그룹에 대한 내용을 mode network-extension (외부에서 접속을 가능하게 함) peer 13.13.10.1 (상대방 ip주소) int s1/1 crypto ipsec client ezvpn VPN_Connection outside (ezvpn을 연결할 라우터 쪽의 인터 임을 나타냄) int f0/1 crypto ipsec client ezvpn VPN_Connection inside (자신의 내부망을 연결하는 인터페이 나타냄) alias exec ezvpn crypto ipsec client ezvpn xauth (exec명령어창에서 crypto ipsec client ezvpn xauth을 ezvpn명령어로 축약하여 사용) alias exec bye clear ipsec client ezvpn VPN_Connection wan, lan 둘다 layer2에 속함 layer2는 같은네트워크를 나타냄 hub (하나의 collison) ethernet이 없으므로 데이터 전송시 충돌이 있음 switch (ethernet을 사용, collsion 분할) 숫자가 낮을수록 우선순위가 높음 모든 포트 열려있음 포트마다 cpu할당량이 있음 포트 0은 기본 예약되어 있음 라우터 브로드캐스트 분할 숫자가 높을수록 우선순위 높음 모든 포트 닫혀있음 sw c 1: 192.168.1.1 ac : 111.111.111 pc 4: 192.168.1.4 mac : 444.444.444 데이터 전송시 ip만 알고 mac address를 모를 때 1. 브로드캐스트 보냄 l2 l3 2. 3. 4. 5. data 출발지 111.111.111 192.168.1.1 arp-request (type 8) 목적지 fff.fff.fff 192.168.1.4 arp-request (type 8) sw는 들어온 포트의 mac address 저장 sw는 flooding수행(들어온 곳 빼고 전부 데이터 전파) 모든 pc는 들어온 패킷의 정보확인 목적지에 해당하는 pc4에서 패킷을 확인하고 응답패킷 보냄 l2 l3 data 6. sw가 mac address를 보고 데이터를 보낸 pc1로 정보 전달 7. 알아낸 pc4의 mac address를 이용하여 패킷 보냄 8. pc1 -> sw -> pc4(icmp 정보 전달) pc4 -> sw -> pc1(icmp 응답 정보 전달) 스위치 주요기능 ageing flooding filtering (들어온 패킷 포트로 패킷을 내보내지 않음 (loop방지)) forwarding learning 브로드캐스트 많아지면 장비 부하, 대역폭 사용할 수 있는 양이 감소 vlan 2 vlan 1 vlan 3 vlan 4 vlan 4 vlan 5 trunk : 한 포트로 vlan을 여러 개 사용가능하게 함 v30 v10 v10 v10 1 2 3 v20 v20 v20 2에 vlan 30에 대한 내용이 없으므로 vlan 30의 내용은 1 -> 3으로 전달 안됨 (trunk 설정해도 안됨) 서브인터페이스 – ethethernet 불가능 fastethernet 가능 v30 vlan 한번에 여러 개 추가하면 revision 1만 증가됨 일치시키는 개수만큼 revision수 증가 server client trans parent는 revision 무조건 0 일치 standard vlan, extended vlan 설정 = trans parent trans parent만 extended vlan 설정가능 standard vlan 설정 = server 또는 client no switchport <- l2 기능 끄기 (l3 스위치만 사용가능) switchport <- l2 기능 사용 blk 기존 bpdu root 자신이 만든 bpdu back up 기존의 bpdu보다 오른쪽에서 들어온 bpdu가 안 좋으므로 오른쪽에서 들어온 bpdu 무시 20초 경과 후 밑에 쪽에서 연결이 오류되었다고 생각하고 blk된 것을 listen -> learnin ->forwarding으로 상태변환 (50초 소요) root-bridge와 back up-bridge 연결이 아닌 곳은 30초 소요 스위치끼리 trunk를 자동 잡음 access모드는 trunk 안 잡힘 access모드는 하나의 vlan만 사용 (다른 vlan이 없기 때문에 브로드캐스트 생성x) access와 trunk를 연결하면 trunk가 안 잡힘 trunk면 모르는 vlan도 다른 곳에 전달 access면 모르는 vlan은 다른 곳에 전달x 1 ① ② blk ①이 고장나면 1스위치는 blk포트를 열음 ②이 고장나면 superior bpdu를 받게 되어 20초 후 listen상태가 됨 loop guard현상 blk ① ①이 대역폭을 너무 사용하여 bpdu가 오지 못하여 blk이 열리는 현상이 자주 발생하는 현상 기존 pvst rstp tc root root tcu bpdu back up tcu : 변경 승인 요청 tc : 변경 승인(root만 가능) tc back up 먼저 고친 후 tc 보고 어디서든 tc발생 tc mst v1 ~ 10 stp v11 ~ 20 stp v21 ~ 30 stp 각각 하나의 그룹 mst 0 <- 설정하지 않은 모든 vlan을 관리 port-chanel에 trunk를 설정 -> interface에 적용됨 R L3 L2 L2 L3 SW SW SW SW vlan에 ip에 대응되는 설정 vlan ip data 패킷 R L3스위치 ip routing -> router 기능 사용 port-security protect:설정한 mac만 허용 restict:추가설명내용 shutdown:설정한 mac주소 이외는 차단 sticky:처음 들어온 장비의 mac주소를 기억함(허용으로) switchport port-security : 마지막에 이걸 넣어야 적용됨 switch mode access 여야함 (trunk 모드이면 access보다 많은 vlan이 가능하므로 여러 mac주소가 들어오게 됨) INTERNET INTERNET 1 내부만 HSRP & VRRP 관리 가상 라우터 2 가상라우터가 1라우터를 기본으로 사용함 2라우터는 대기중(포트열려있음) 1라우터가 고장시 가상라우터는 2라우터 사 가상라우터의 포트주소를 사용함 라우팅프로토콜을 이용할때 고장시 다른 것으로 대체 – 약 30초 hsrp or vrrp 이용시 – 약 2초 INTERNET mac을 얻기 위해 브로드캐스트를 이용 arp테이블을 만들때 가상라우터의 mac를 얻는데 그 mac주소는 규칙이 있음 hsrp –> vrrp (동시에 두가지 돌아가지 않음 장비 초기화하고 해야 함) 원래 스위치는 감시 안됨 스위치는 포트별로 cpu 사용량 할당됨 f0/0 – sw자체 사용 line vty 0 4 login local(local은 자신의 컴퓨터에서 정보를 참조한다는 뜻 원래는 서버주소가 적혀야 함) privilige exec level 2 configure terminal configure level 2 configure terminal interface level 2 configure terminal router level 2 configure terminal r1# r1(config)# r1(config-if)# r1(config-router)# 공개키 방식 자신 (a, p ,q) 암호화키 : AK 상대편 (a, p ,q) 암호화키 : Bk 암호화키 계산법 : pa mod q = Ak 복호화키 계산법 : Bk(상대방 암호화키) mod q = 복호화키 암호화키는 서로 다르고 복호화키는 서로 같음 ACL 에서 ip는 모든 트래픽의미 eq를 생략하면 any의 의미 => 모든 포트 번호 출발지 주소 : 나가는 인터페이스가 됨 (어떤 프로토콜을 사용하던지) telnet 연결 시도 끊는 단축키 = crtl + shift+6 다음에 x telnet 150.1.13.254 80(포트번호) /source-interface f0/1(출발지 ip설정) deny any any <- 방화벽개념 이것하기 전에 허용하고자 하는 것을 설정해놔야 함 establish 에서 RST는 RESET(강제종료)을 의미 (request x) reflect ACL 트래픽을 못 나가도록 통제하는 목적이 아니라 나간 트래픽에 대한 응답의 내용을 받을 수 있도록 하기 위한 것 tcp flag비트 자르지 말것 (1로 설정시 패킷을 나누지 말것을 의미 mr (1로 설정되면 뒤에 패킷이 더 있음을 의미) 1 1 1 0 fragementation offset -> 쪼개진 순서 나타냄 protocol -> L4(상위프로토콜)가 무슨 프로토콜을 나타내는지 표시 L2 L3 L4 acl -=> layer4계층까지 밖에 안됨 cbac => 응용프로그램 계층까지 지원 cbac -> access-list dos공격 host ① syc ②ack, syc ③ack를 주지않음 라 우 터 server 1. host가 syc만 계속 보냄 2. server가 열 수 있는 포트제한 에 도달해서 더 이상 포트를 열 수 없음 intercapt host ① syc ②ack, syc ③ack 라 우 터 server 1. host와 라우터가 간에 syn와 ack를 주고 받음 (라우터는 임시로 server로 역할함) 2. ③ack가 오면 host와 server를 연 4. ③ack가 오지 않으면 라우터가 s RST보냄 intercapt 라우터는 패킷을 감시만 하고 있 host ① syc ②ack, syc ③ack ③ack가 오지 않으면 라우터가 강제로 라우터가 host이름으로 server에게 RST를 보냄 라 우 터 server queening Q 라우터 Q queen는 들어올때는 관련없음 나갈때만 관련있음 인터페이스 queen 데이터가 쌓이고 이중 queen의 특성에 따라 데이터를 전송 queen의 특성(우선순위, 선착순 등…) queen와 버퍼는 별개 queen는 인터페이스에서 사용되지만 버퍼는 정보를 받아 저장해놓는 공간 jitter (편차) 패킷 간의 전송간격(시간) RTP(real time protocol) – 실시간 처리 해야하는 것 (예)음성 tcp통신시 window크기가 찼을 때 서로 통신하도록 되어 있음 type of service 예약이 되어있음 ip precedence (3bit) 01234567 예약되어 있음 아무것도 아닌것 기본(무등급) dscp(6bit) 음성 트래픽 포트 = 16384 ~ 32767 cs3 001 | 00 | 0 af31 011 | 01 | 0 . . . DE -> 패킷을 DROP할때 DE가 마킹되어 있으면 제일 먼저 drop TC = BC의 내용이 꽉찬상태에서 완전비어 있게 되는데 걸리는 시간 CIR BC의 용량에 맞게 물(처리해야 할 일)을 채울 수 있음 BC 해야할 일을 수용할 수 있는 용량 주용량 일이 처리되면 BC의 용량이 처리된 만큼 증가 BE 보조용량 policing - 주로 입력에 사용됨(버리려면 받을 때 버려야 함) shaping - 주로 출력에 사용됨(가지고 있다가 천천히 처리) CAR(commit access rate) numbered acl만 적용가능, named acl은 적용불가능 CIR : bit BC : byte MQC – 모든 단계에서 통합사용됨 본사 본사의 bandwidth가 지사들의 총 bndwidth보 작으므로 입력 받기도 힘들어 출력을 못하므로 버퍼를 이용 나누어서 천천히 출력 1.5M F/R 1M 지사 1M 지사 1M 지사 1M 지사 → → 장비가 받을 수 있는 용량(임계치) = 장비의 수용량 – 장비가 받아 가지고 있는 아직 출력되지 않은 정보량 FRTS min clr (BECN을 받으면 25%감소, 계속받으면 계속 25%감소하지만 minCIR까지만 감소) 입력속도 > 출력속도 Congestion Avoidance (장비의 임계값 초과시 어떻게 처리할 것인지?) Conditioner (장비의 임계치(장비의 정보수용력)을 넘을 때 어떻게 처리?) WFQ(단점:bandwidth 할당량 조절 불가) custom-queue 3 4배 2 3배 1 2배 0 bandwidth 사용량 할당 큐는 입력 받을 것을 출력하는 데 쓰므로 출력하는데 사용 TCP는 ack가 안오면 전송량을 점차 줄였다가 일정시간이 지나면 다시 전송량 증가 (random에서 이 특징을 이용함) 아래 그림처럼 꽉 찼다가(100%) 내려갔다가(80%) 왔다 갔다 함 120 100 80 60 40 20 0 IP공간 ISP R PBX VOICE 공간 SW PSTN IP망을 이용 <- 전화이용(아날로그 망) ISP SW 아날로그(전화) -> 디지털(VOIP) R SW 디지털(전화) -> 디지털(IPT) 이렇게 구성할 수 있 이렇게 하면 SW가 많 전화기 SW 음성, data는 서로 다른 vlan ip를 라우터한테 받아옴(수동 셋팅x) R SW vlan 생성가능 (sw가 vlan을 나눠줌) vlan 생성x ip정보 생성가능 SW vlan 생성x PBX 전화걸면 신호보냄 전화걸음(call발생) R 전화걸면 신호보냄 전화걸음(call발생) CO스위치 전원과 정보를 같이 주는 스위치는 따로 있음 ip전화기 초기화 방법 : setting + ** + erase(상위버튼에서) R 서브인터페이스(vlan구분) 컴퓨터(vlan) 전화(vlan) SW pstn망에서 사용되는 통신프로토콜 e1, t1 e1 = 16개 채널 t1 = 24개 채널 e1 = 0~14(사용가능 채널), 15(controll용 채널) t1 = 0~22(사용가능 채널), 23(controll용 채널) 라우터와 PSTN연결됨 IP지역이 동작이 안되면 PSTN지역을 통해서 연결 SW R PSTN R R