Transcript CCNP수업내용정리2
RIP
2
IBGP가 다수일 경우
IGP(rip, OSPF,….)가 가까운 곳(목적지
비용이 적은 곳)이 최적경로로 선정
이 라우터는 IBGP 2개경로 (위, 아래)
1
위의 그림에서
Rip이 돌고 있다고 가정하면 아래쪽라우터(1)와 맨위라우터(2) 중
아래쪽 라우터가 가까우므로 이 쪽 경로를 최적경로로 취급
출력경로정책
Weight, load-proference등이 여기에 속함
①
1
②
1라우터에서 ①과 ② 중 어디로 나가야할지 결정
입력경로정책
①
1
②
1라우터에서 ①과 ② 중 어디로 들어와야 하는지 결정
As 1000
Local-preference
ebgp경로 다수일 때 먼저 연
결된 경로가 아닌 내가 임의로
조정할 수 있도록 하는 속성값
ibgp에서만 전파
As간 여러 경로가 있을 때 내
가 원하는 쪽으로 정보를 보내
고 싶을 때 사용
As100안에서는 localpreference전파됨
500
200
300
As 100
400
어디로 갈지 속성값 조절하여
어디로 보낼지 결정
Weight(in만 가능)
자신
in
상대방
Neighbor 13.13.13.1 route-map weight in
Weight : 전파x
Local-preference : AS내에서만 전파
나머지 : 전파가능
9.2
9.1
1
2
GPN은 터널이 있어야
서 읽을 수 있음
8.2
8.3
3
L2
102
L3
L3
SA:9.1
SA
G
P
DA:8.3 N
공중망에서
4
5
13.2
13.4
DA
3라우터
2라우터는 1라우터에서 보
보에서 GPN앞의 정보만 읽
볼 수 있음
AH-인증, ESP-암호화, 인증
무결성 – 중간에 정보가 안 바뀐 것 확인
black sypher – 블록 단위 암호화
stream syphter –비트, 바이트단위 암호화
1. 데이터 암호화<-비밀키로
2. 비밀키암호화<-공개키로
IPSec의 동작
phase 1
라우터
phase 2
SA
라우터
서로 맞는지 인증(확인), 세션키 협상, 세션연결
공개키 분배(IKE프로토콜을 이용하여 분배)
비밀키 설정, 공개키를 이용한 비밀키 공유방식
설정
hase1의 sa는 phase2의 sa를 보호함
라우터
SA
라우터
암호화된 데이터를 주고 받을 sa생성
sa를 이용한 실제 실제 암호화된 정보 보
데이터 암호화, 인증방식 설정
phase 1의 세션
phase 2의 세션
phase 1에서 암호화 방식
phase 2에서 사용할 비밀키방식의 비밀키를 암호화하여 각각의 라우터에게 분배하여
암호화 데이터가 송수신 될 수 있도록 해야 함
암호화
비밀키
복호화
암호화된 비밀키
+
비밀키방식
비밀키(대칭키)
=
공개키방식의
개인키
공개키방식의
공개키
개인키 +공개키
= 복호화키
phase 1에서 암호화 방식
키 모음
비밀키방식
비밀키(대칭키)
+
키 분배
(IKE프로토콜이용)
공개키방식의
개인키
공개키방식의
공개키
=
개인키 +공개키
= 복호화키
암호화된 비밀키
세션키
키 분배 프로토콜(IKE (Internet Key Exchange))을 이용하여 키 분배
IKE는
를 주기적으로 바꿔서 각각의 라우터에게 분배함
다른 키도 마찬가지로 주기적으로 변경
phase 2에서 암호화 방식
비밀키방식
비밀키(대칭키)
암호화된
data
암호화된
data
암호화된
data
암호화된
data
data를 암호화하는 방법 설명
비밀키으로
복호화
data
비밀키으로
암호화
암호화된
data
IKE로부터 받은 비밀키를
이용하여 data암호화,복호화
암호화 방식
비밀키방식
비밀키
비밀키방식로 암호화
데이터
암호화된 데이터
비밀키방식로 복호화
비밀키
암호화 방식
공개키방식
개인키
개인키로 암호화
비밀키
암호화된 비밀키
복호화키로 복호화
<개인키+공개키>
= 복호화키
인증 방식
인증방식에 대해서는 잘 알지 못하다
대충 설명하자면
data
인증키를
이용한 인증
인증을 하면 데이터 전체를 감싸서
보호하게 됨
감싼 부분이 조금이라도 깨지면 인증은 실
data
data
라우터
라우터
data
IPSec의 동작
[Phase 1]
1. 세션키를 이용한 라우터끼리의 세션연결
라우터
SA
라우터
2. Phase 2에서 데이터 암호화, 복호화하기 사용되는 비밀키 방식의 비밀키를
암호화하기 위한 개인키(공개키방식) 설정
3. 비밀키를 공유하기 위한 공개키방식 설정
비밀키 방식의 암호화된 비밀키
공개키 방식의 개인키, 공개키
공개키방식으로 비밀키암호화
키 분배
라우터
SA
비밀키
라우터
키 분배에는 암호화와 인증이 사용됨
키 분배를 위해 ike프로토콜 이용함
ike프로토콜은 Key의 생성과 교환, 그리고, 안전성을 높이기 위해
열쇠의 정기적으로 갱신을 자동적으로 실시, 세션키를 통한 세션연결
키 분배를 받고 암호화된 비밀키를 공개키방식으로 복호화하여 비밀키를 얻고
그 비밀키를 이용하여 데이터를 암호화하는 것임
IPSec의 동작
[Phase 2]
1. 데이터 암호화, 인증을 위한 방식 설정
암호화 방식 : 예)esp-3des
인증 방식 : 예)esp-sha-hmac
2. 데이터 암호화, 인증을 위한 세션 설정(설정없이 자동으로 설정됨)
ipsec 소스내용를 크게 본다면
crypto map
crypto isakmp
phase 1
인터페이스
crypto map적용
crypto ipsec transform-set
phase 2
수동키를 이용한 ipsec (ccnp책 91쪽)
no crypto isakmp enable (자동키 disable)
---------------------------------------------------------------------설명 : isakmp은 phase1을 나타냄
---------------------------------------------------------------------access-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255
인증방식
암호화방식
!
crypto ipsec transform-set CISCO esp-des esp-md5-hmac
---------------------------------------------------------------------설명 : phase2 설정 (데이터 암호화, 인증 설정)
---------------------------------------------------------------------crypto map IPSEC 10 ipsec-manual
---------------------------------------------------------------------설명 : crypto map을 통해서 ipsec을 interface에 적용하게 됨
IPSEC = crypto map의 이름, 10 = IPSEC에서 적용되는 순서를 나타냄
IPSEC
10 나이
20 이름
30 성별
위의 내용을 이어서
ipsec-manual (수동키 설정)
---------------------------------------------------------------------set peer 13.13.10.3 (상대방 phase2 장비의 주소)
set transform-set CISCO (앞에서 정의한 transform-set CISCO phase2 조
건 적용)
set session-key outbound esp 768 cipher abcd1234 authenticator 1234
--------------------------------------------------------------------------설명 : seesion-key (세션키 정의를 하겠다는 의미)
outbound (세션은 입력과 출력별 각각 필요)
esp 768 (세션키 정의, 상대방과 같아야 함)
chipher abcd1234 (암호화키 정의, 16진수 짝수이어야 함, 상대방과
같아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함)
authenticator 1234(인증키 정의, 16진수 짝수이어야 함, 상대방과 같
아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함)
--------------------------------------------------------------------------match address 110
(앞에서 정의한 access-list 110에 일치한다면 crypto map 적용)
자동키를 이용한 ipsec (ccnp책 95쪽)
acess-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255
crypto isakmp policy 10
---------------------------------------------------------------------------------------isakmp (phase 1)적용, 자동키 사용 설정 policy
10 = policy가 적용되는 순서를 나타냄
10 나이
20 이름
30 성별
----------------------------------------------------------------------------------------encryption 3des (공개키방식의 암호화방식 설정)
hash sha (공개키방식의 인증방식 설정)
group 2 (키 교환 방식 설정 – 밑의 authentication과는 별개, 비밀키를 어떻게 받을 것인
authentication pre-share (한번 비밀키를 정하고 바꾸지 않음)
----------------------------------------------------------------------------------------비밀키 방식의 비밀키를 어디서 받을 것인지 설정
키 분배 하는 방식
1. 한번 비밀키 정해지면 바꾸지 않음
2. 공개키 방식의 키를 생성하는 서버에서 받음
3. 자동으로 ike에서 생성해서 받음
crypto isakmp key 6 cisco address 13.13.10.3
--------------------------------------------------------------------------------------------isakmp (phase 1을 나타냄)
6 (적용되는 순서를 나타냄)
cisco (비밀키 방식의 개인키 = phase 2에서 사용)
address (상대방의 ip주소를 설정)
여기까지가 phase 1설정
인증방식
암호화방식
--------------------------------------------------------------------------------------------crypto ipsec transform-set CISCO esp-3des esp-sha-hmac
--------------------------------------------------------------------------------------------phase2 설정
--------------------------------------------------------------------------------------------crypto map IPSEC 10 ipsec-isakmp
--------------------------------------------------------------------------------------------set peer 13.13.10.3 (상대방 ip주소 설정)
set transform-set CISCO (crypto phase2의 설정 적용)
match address 110 (access-list 110에 해당되면 crypto map을 적용)
int s1/1.13
crypto map IPSEC (인터페이스에 crypto map 적용)
수동키를 이용한 ipsec은 세션키를 설정해야하지만
자동키를 이용한 ipsec은 세션키를 자동으로 생성하여 자동설정함
internet
ezvpn
인터넷망을 이용해서
외부 어디서든
회사 내부의 pc에 접속할
수 있도록 함
(내부에서 pc가 연결되었다
가상으로 만듬)
회사내부(사설망)
가상 pc연결
192.168.1.0/24
(사설ip 서버컴퓨터)
접속방법
1. 외부 라우터에서 접속
(설정필요)
2. 외부 pc에서 접속
(접속프로그램 필요)
ezvpn 소스 설명 (p111~p112의 내용 : server)
username admin privilege 15 password cisco
-----------------------------------------------------------------------------------------username (user이름 설정)
privileage (권한 설정)
password (암호 설정)
-----------------------------------------------------------------------------------------aaa new-model (aaa 새로 설정함)
aaa authentication login EZVPN_Client local
aaa authorization network EZVPN_Group local
-----------------------------------------------------------------------------------------authentication (인증설정) -> login(로그인 설정) -> EZVPN_Client(로그인 설정에 대한
이름을 설정) -> local(local DB의 정보를 참조하여 인증)
authorization (권한부여) -> network (Network Service 권한 설정, network 접속허가)
-> EZVPN_Group (권한 설정에 대한 이름을 설정)
-> local(local DB의 정보를 참조하여 권한부여)
-------------------------------------------------------------------------------------------crypto isakmp policy 10
authentication pre-share
hash md5
encryption 3des
group 2
ezvpn 소스 설명
ip local pool EZ_POOL 150.1.13.100 150.1.13.110
------------------------------------------------------------------------------------------local pool (접속이 허락되면 허락할 ip주소를 설정하겠음)
EZ_POOL (local pool의 이름 설정)
150.1.13.100 150.1.13.110 (150.1.13.100 ~ 150.1.13.110 사이의 ip주소를 할당함)
------------------------------------------------------------------------------------------crypto isakmp client configuration address-pool local EZ_POOL
------------------------------------------------------------------------------------------isakmp (crypto의 phase1 설정)
client configuration (접속이 허락된 client에 대한 설정)
address-pool (주소를 설정하는 pool설정)
local EZ_POOL (local에 있는 EZ_POOL을 설정적용)
------------------------------------------------------------------------------------------crypto isakmp client configuration group EZ_Group
------------------------------------------------------------------------------------------group (그룹인증을 설정)
EZ_Group (그룹인증에 대한 이름설정)
------------------------------------------------------------------------------------------key cisco1234 (그룹에 대한 인증을 위한 암호(키)를 설정)
pool EZ_POOL (그룹에 위에서 설정한 EZ_POOL적용)
acl 113 (access-list 113을 적용, split 터널링 설정(터널기법을 사용함))
ezvpn 소스 설명
crypto isakmp xauth timeout 45
-------------------------------------------------------------------------------------------isakmp xauth (1.5phase로 ipsec를 이용하기 위해서 id와 password를
물어보도록 설정)
time out (45초 이후에는 자동으로 id와 password 묻는 것을 종료, 접속끊음)
-------------------------------------------------------------------------------------------access-list 113 permit ip 150.1.13.0 0.0.0.255 any
-------------------------------------------------------------------------------------------가상으로 터널을 뚫도록 하기위해서 설정
-------------------------------------------------------------------------------------------crypto ipsec transform-set TEST esp-3des esp-md5-hmac
crypto dynamec-map EZVPN 10
-------------------------------------------------------------------------------------------crypto map (정해져 있는 장비 연결)
crypto dynamic-map (정해지지 않은 장비 연결)
?
?
어디서에서 무슨 장비가 연결이 될 지 모름
--------------------------------------------------------------------------------------------
ezvpn 소스 설명
set transform-set TEST (phase2의 내용 crypto dynamic-map에 적용)
reverse-route (원래는 정보가 전달 될때 회사의 라우터까지 정보가 왔다가 가야 되지만
이 설정을 통해서 자신의 위치에 가까운 라우터의 라우팅정보를 보고 정보가 전달 됨)
internet
회사내부(사설망)
가상 pc연결
ezvpn 소스 설명
crypto map EZVPN client authentication list EZVPN_Client
crypto map EZVPN isakmp authorization list EZVPN_Group
crypto map EZVPN client configuration address respond
crypto map EZVPN 10 ipsec-isakmp dynamic EZVPN
------------------------------------------------------------------------------------------위의 2개는 aaa내용, 아래 2개는 vpn내용
인터페이스에는 crypto map만 적용 가능하므로 aaa와 vpn을 crypto map으로 변환시킴
respond (설정한 내용으로 반응을 함)
----------------------------------------------------------------------------------------------int s1/1
crypto map EZVPN (인터페이스에 crypto map을 적용)
ezvpn 소스 설명 (p112~p113의 내용 : client)
crypto isakmp policy 10
authentication pre-share
hash md5
encryption 3des
group 2
crypto ipsec client ezvpn VPN_Connection (ezvpn의 client에 대한 crypto 설정)
connect auto (자동으로 연결함)
group EZ_Group key cisco1234 (이용할 수 있는 권한을 받기위한 그룹에 대한 내용을
mode network-extension (외부에서 접속을 가능하게 함)
peer 13.13.10.1 (상대방 ip주소)
int s1/1
crypto ipsec client ezvpn VPN_Connection outside (ezvpn을 연결할 라우터 쪽의 인터
임을 나타냄)
int f0/1
crypto ipsec client ezvpn VPN_Connection inside (자신의 내부망을 연결하는 인터페이
나타냄)
alias exec ezvpn crypto ipsec client ezvpn xauth
(exec명령어창에서 crypto ipsec client ezvpn xauth을 ezvpn명령어로 축약하여 사용)
alias exec bye clear ipsec client ezvpn VPN_Connection
wan, lan 둘다 layer2에 속함
layer2는 같은네트워크를 나타냄
hub (하나의 collison)
ethernet이 없으므로 데이터 전송시
충돌이 있음
switch (ethernet을 사용, collsion 분할)
숫자가 낮을수록 우선순위가 높음
모든 포트 열려있음
포트마다 cpu할당량이 있음
포트 0은 기본 예약되어 있음
라우터
브로드캐스트 분할
숫자가 높을수록 우선순위 높음
모든 포트 닫혀있음
sw
c 1: 192.168.1.1
ac : 111.111.111
pc 4: 192.168.1.4
mac : 444.444.444
데이터 전송시 ip만 알고 mac address를 모를 때
1. 브로드캐스트 보냄
l2
l3
2.
3.
4.
5.
data
출발지
111.111.111
192.168.1.1
arp-request (type 8)
목적지
fff.fff.fff
192.168.1.4
arp-request (type 8)
sw는 들어온 포트의 mac address 저장
sw는 flooding수행(들어온 곳 빼고 전부 데이터 전파)
모든 pc는 들어온 패킷의 정보확인
목적지에 해당하는 pc4에서 패킷을 확인하고 응답패킷 보냄
l2
l3
data
6. sw가 mac address를 보고 데이터를 보낸 pc1로 정보 전달
7. 알아낸 pc4의 mac address를 이용하여 패킷 보냄
8. pc1 -> sw -> pc4(icmp 정보 전달)
pc4 -> sw -> pc1(icmp 응답 정보 전달)
스위치 주요기능
ageing
flooding
filtering (들어온 패킷 포트로 패킷을 내보내지 않음 (loop방지))
forwarding
learning
브로드캐스트 많아지면 장비 부하, 대역폭 사용할 수 있는 양이 감소
vlan 2
vlan 1
vlan 3
vlan 4
vlan 4
vlan 5
trunk : 한 포트로 vlan을 여러 개 사용가능하게 함
v30
v10
v10
v10
1
2
3
v20
v20
v20
2에 vlan 30에 대한 내용이 없으므로
vlan 30의 내용은 1 -> 3으로 전달 안됨
(trunk 설정해도 안됨)
서브인터페이스 – ethethernet 불가능
fastethernet 가능
v30
vlan 한번에 여러 개 추가하면 revision 1만 증가됨
일치시키는 개수만큼 revision수 증가
server
client
trans parent는 revision 무조건 0
일치
standard vlan, extended vlan 설정 = trans parent
trans parent만 extended vlan 설정가능
standard vlan 설정 = server 또는 client
no switchport <- l2 기능 끄기 (l3 스위치만 사용가능)
switchport <- l2 기능 사용
blk
기존 bpdu
root
자신이 만든 bpdu
back up
기존의 bpdu보다 오른쪽에서 들어온 bpdu가 안 좋으므로 오른쪽에서 들어온 bpdu
무시
20초 경과 후 밑에 쪽에서 연결이 오류되었다고 생각하고 blk된 것을 listen -> learnin
->forwarding으로 상태변환 (50초 소요)
root-bridge와 back up-bridge 연결이 아닌 곳은 30초 소요
스위치끼리 trunk를 자동 잡음
access모드는 trunk 안 잡힘
access모드는 하나의 vlan만 사용 (다른 vlan이 없기 때문에 브로드캐스트
생성x)
access와 trunk를 연결하면 trunk가 안 잡힘
trunk면 모르는 vlan도 다른 곳에 전달
access면 모르는 vlan은 다른 곳에 전달x
1
①
②
blk
①이 고장나면 1스위치는 blk포트를 열음
②이 고장나면 superior bpdu를 받게 되어
20초 후 listen상태가 됨
loop guard현상
blk
①
①이 대역폭을 너무 사용하여 bpdu가 오지
못하여 blk이 열리는 현상이 자주 발생하는
현상
기존 pvst
rstp
tc
root
root
tcu bpdu
back up
tcu : 변경 승인 요청
tc : 변경 승인(root만 가능)
tc
back up
먼저 고친 후 tc 보고
어디서든 tc발생
tc
mst
v1 ~ 10 stp
v11 ~ 20 stp
v21 ~ 30 stp
각각 하나의 그룹
mst 0 <- 설정하지 않은 모든 vlan을 관리
port-chanel에 trunk를 설정 -> interface에 적용됨
R
L3
L2
L2
L3
SW
SW
SW
SW
vlan에 ip에 대응되는 설정
vlan
ip
data
패킷
R
L3스위치
ip routing -> router 기능 사용
port-security
protect:설정한 mac만 허용
restict:추가설명내용
shutdown:설정한 mac주소 이외는 차단
sticky:처음 들어온 장비의 mac주소를 기억함(허용으로)
switchport port-security : 마지막에 이걸 넣어야 적용됨
switch mode access 여야함 (trunk 모드이면 access보다 많은 vlan이 가능하므로
여러 mac주소가 들어오게 됨)
INTERNET
INTERNET
1
내부만 HSRP & VRRP 관리
가상 라우터
2
가상라우터가 1라우터를 기본으로 사용함
2라우터는 대기중(포트열려있음)
1라우터가 고장시 가상라우터는 2라우터 사
가상라우터의 포트주소를 사용함
라우팅프로토콜을 이용할때 고장시 다른 것으로 대체 – 약 30초
hsrp or vrrp 이용시 – 약 2초
INTERNET
mac을 얻기 위해 브로드캐스트를 이용
arp테이블을 만들때 가상라우터의 mac를
얻는데 그 mac주소는 규칙이 있음
hsrp –> vrrp (동시에 두가지 돌아가지 않음
장비 초기화하고 해야 함)
원래 스위치는 감시 안됨
스위치는 포트별로 cpu 사용량 할당됨
f0/0 – sw자체 사용
line vty 0 4
login local(local은 자신의 컴퓨터에서 정보를 참조한다는 뜻
원래는 서버주소가 적혀야 함)
privilige exec level 2 configure terminal
configure level 2 configure terminal
interface level 2 configure terminal
router level 2 configure terminal
r1# r1(config)#
r1(config-if)# r1(config-router)#
공개키 방식
자신
(a, p ,q)
암호화키 : AK
상대편
(a, p ,q)
암호화키 : Bk
암호화키 계산법 : pa mod q = Ak
복호화키 계산법 : Bk(상대방 암호화키) mod q = 복호화키
암호화키는 서로 다르고 복호화키는 서로 같음
ACL 에서
ip는 모든 트래픽의미
eq를 생략하면 any의 의미
=> 모든 포트 번호
출발지 주소 : 나가는 인터페이스가 됨 (어떤 프로토콜을 사용하던지)
telnet 연결 시도 끊는 단축키 = crtl + shift+6 다음에 x
telnet 150.1.13.254 80(포트번호) /source-interface f0/1(출발지 ip설정)
deny any any <- 방화벽개념
이것하기 전에 허용하고자 하는 것을 설정해놔야 함
establish 에서 RST는 RESET(강제종료)을 의미 (request x)
reflect ACL
트래픽을 못 나가도록 통제하는 목적이 아니라 나간 트래픽에 대한 응답의 내용을
받을 수 있도록 하기 위한 것
tcp
flag비트
자르지 말것
(1로 설정시
패킷을 나누지
말것을 의미
mr (1로 설정되면 뒤에 패킷이 더 있음을 의미)
1
1
1
0
fragementation offset -> 쪼개진 순서 나타냄
protocol -> L4(상위프로토콜)가 무슨 프로토콜을 나타내는지 표시
L2
L3
L4
acl -=> layer4계층까지 밖에 안됨
cbac => 응용프로그램 계층까지 지원
cbac -> access-list
dos공격
host
① syc
②ack, syc
③ack를 주지않음
라
우
터
server
1. host가 syc만 계속 보냄
2. server가 열 수 있는 포트제한
에 도달해서 더 이상 포트를
열 수 없음
intercapt
host
① syc
②ack, syc
③ack
라
우
터
server
1. host와 라우터가 간에
syn와 ack를 주고 받음
(라우터는 임시로 server로 역할함)
2. ③ack가 오면 host와 server를 연
4. ③ack가 오지 않으면 라우터가 s
RST보냄
intercapt
라우터는 패킷을 감시만 하고 있
host
① syc
②ack, syc
③ack
③ack가 오지 않으면 라우터가
강제로 라우터가 host이름으로
server에게 RST를 보냄
라
우
터
server
queening
Q
라우터
Q
queen는 들어올때는 관련없음
나갈때만 관련있음
인터페이스
queen
데이터가 쌓이고 이중 queen의 특성에 따라 데이터를 전송
queen의 특성(우선순위, 선착순 등…)
queen와 버퍼는 별개
queen는 인터페이스에서 사용되지만
버퍼는 정보를 받아 저장해놓는 공간
jitter (편차)
패킷 간의 전송간격(시간)
RTP(real time protocol) – 실시간 처리 해야하는 것 (예)음성
tcp통신시 window크기가 찼을 때 서로 통신하도록 되어 있음
type of service
예약이 되어있음
ip precedence (3bit)
01234567
예약되어 있음
아무것도 아닌것 기본(무등급)
dscp(6bit)
음성 트래픽 포트 = 16384 ~ 32767
cs3 001 | 00 | 0
af31 011 | 01 | 0
.
.
.
DE -> 패킷을 DROP할때 DE가 마킹되어 있으면 제일 먼저 drop
TC = BC의 내용이 꽉찬상태에서
완전비어 있게 되는데 걸리는 시간
CIR
BC의 용량에 맞게 물(처리해야 할 일)을 채울
수 있음
BC
해야할 일을 수용할 수 있는 용량
주용량
일이 처리되면 BC의 용량이 처리된 만큼 증가
BE
보조용량
policing - 주로 입력에 사용됨(버리려면 받을 때 버려야 함)
shaping - 주로 출력에 사용됨(가지고 있다가 천천히 처리)
CAR(commit access rate)
numbered acl만 적용가능, named acl은 적용불가능
CIR : bit
BC : byte
MQC – 모든 단계에서 통합사용됨
본사
본사의 bandwidth가 지사들의 총 bndwidth보
작으므로 입력 받기도 힘들어 출력을 못하므로
버퍼를 이용 나누어서 천천히 출력
1.5M
F/R
1M
지사
1M
지사
1M
지사
1M
지사
→
→
장비가 받을 수 있는 용량(임계치)
= 장비의 수용량 – 장비가 받아 가지고 있는 아직 출력되지 않은 정보량
FRTS
min clr (BECN을 받으면 25%감소, 계속받으면 계속 25%감소하지만
minCIR까지만 감소)
입력속도 > 출력속도
Congestion Avoidance (장비의 임계값 초과시 어떻게 처리할 것인지?)
Conditioner (장비의 임계치(장비의 정보수용력)을 넘을 때 어떻게 처리?)
WFQ(단점:bandwidth 할당량 조절 불가)
custom-queue
3
4배
2
3배
1 2배
0
bandwidth 사용량 할당
큐는 입력 받을 것을 출력하는 데 쓰므로 출력하는데 사용
TCP는 ack가 안오면 전송량을 점차 줄였다가 일정시간이 지나면 다시 전송량 증가
(random에서 이 특징을 이용함)
아래 그림처럼 꽉 찼다가(100%) 내려갔다가(80%) 왔다 갔다 함
120
100
80
60
40
20
0
IP공간
ISP
R
PBX
VOICE 공간
SW
PSTN
IP망을 이용 <- 전화이용(아날로그 망)
ISP
SW
아날로그(전화) -> 디지털(VOIP)
R
SW
디지털(전화) -> 디지털(IPT)
이렇게 구성할 수 있
이렇게 하면 SW가 많
전화기
SW
음성, data는 서로 다른 vlan
ip를 라우터한테 받아옴(수동 셋팅x)
R
SW
vlan 생성가능 (sw가 vlan을 나눠줌)
vlan 생성x
ip정보 생성가능
SW
vlan 생성x
PBX
전화걸면
신호보냄
전화걸음(call발생)
R
전화걸면
신호보냄
전화걸음(call발생)
CO스위치
전원과 정보를 같이 주는 스위치는 따로 있음
ip전화기 초기화 방법 : setting + ** + erase(상위버튼에서)
R
서브인터페이스(vlan구분)
컴퓨터(vlan)
전화(vlan)
SW
pstn망에서 사용되는 통신프로토콜
e1, t1
e1 = 16개 채널
t1 = 24개 채널
e1 = 0~14(사용가능 채널), 15(controll용 채널)
t1 = 0~22(사용가능 채널), 23(controll용 채널)
라우터와 PSTN연결됨
IP지역이 동작이 안되면 PSTN지역을 통해서
연결
SW
R
PSTN
R
R