시스코 라우터 가이드북
Download
Report
Transcript 시스코 라우터 가이드북
Connecting People To Information
Cisco Router
Management Guide Book
Connecting People To Information
목적
통신, 자원 공유
Connecting People To Information
발전형태
1960s-1970s : 중앙집중 형태
1970s-1980s : LAN 출현 및 LAN간의 연결, 분산형태
1980s-1990s : LAN간의 연결 활발, 고대역 서비스
1990s-
: 고대역서비스 및 Global 화
고려사항
Connectivity
Reliability
Management Control
Flexibility
1960s-1970s
IBM SNA, X.25 서비스 출현
1개의 호스트에 여러개의 단말기가 접속
저속 통신, 통신시 에러점검/에러처리가 중요시됨
Connecting People To Information
1970s-1980s
LAN을 활용하여 printer, disk 등 공유
Ethernet, Token Ring
LAN간의 연결은 email, file transfer등을 가능하여 하였으며, 생산성 및 경쟁력을
증대 시킴
분산처리 출현 : DEC VAX, DECnet
1980s-1990s
과거의 기술과 신기술간의 혼재
LAN, low speed PDN, Leased Line, high speed PDN
중앙집중형태 Application -> 분산처리 Application 요구 증대
네트웍의 flexibility, scalability, adaptability 중요성 증대
LAN to LAN via WAN and Leased Line
FDDI, TCP/IP
LAN 장비
Connecting People To Information
Bridge
Hub
Ethernet Switch
Router
ATM Switch
WAN 장비
Router
X.25 or
Frame Relay
Switch
Modem
CSU/DSU
TA/NT1
Comm
Server
MUX
ATM
Switch
Connecting People To Information
Bridge : LAN과 LAN을 연결. 두 LAN의 Network Address가 동일할때 가능
Hub : LAN Cable을 대치하는 장치로 TP cable을 이용해 시스템이 접속할 수 있도록 함
Ethernet Switch : LAN frame이 충돌없이 전달될 수 있도록 하는 장치. Dedicated Bandwidth 제공
Router : Network Address가 다른 네트웍을 연결하는 장비. LAN 및 WAN 장비로 동시에 활용될 수 있다.
ATM Switch : 적게는 수 bps에서 크게는 수 Gbps까지의 대역을 제공하는 Switch. LAN 및 WAN
장비로 동시에 활용될 수 있다.
Modem : digital 신호와 analog 신호를 서로 변조하여 전기적 신호를 전달
CSU/DSU : CSU는 고속(128K ~) digital 신호를 전달하는데 이용, DSU는 56K/64K digital 신호를
전달하는데 이용됨
TA/NT1 : ISDN 신호를 전달하는 장치
Multiplexer : 1개의 물리적 회선을 여러 장치가 공유할 수 있도록 함
Connecting People To Information
ISO에서 1974년 OSI 7 Layer Model을 제안
단지 Model일뿐이며, 각 Layer를 구현하는 방법은 정의하지 않음
두 시스템의 Layer간의 통신을 Peer-to-Peer Communication이라고 함
시스템내 Layer간의 통신을 Interface라고 함
Connecting People To Information
Transport Layer에서는 Segment, Network Layer에서는 Packet, Data Link Layer에서는
Frame Physical Layer에서는 bit를 전달함
미국방성에서는 OSI 7 Layer Model과 관계없이 DoD Layer (TCP/IP) 구현
Dod Layer의 Network Interface는 OSI 7 Layer의 Data Link Layer 및 Physical Layer에 대응
Internet Layer는 Network Layer와 대응된다.
Connecting People To Information
Connecting People To Information
Data Link Layer는 Physical Addressing, error notification, orderly delivery of frame,
flow control 등을 담당한다.
Physical Layer는 voltage level, data rate, maximum transmission distance,
physical connector등을 규정한다.
EIA/TIA-232는 음성 전달과 관련된 Physical Layer 표준이다.
Connecting People To Information
10Base2-Thin Cable
10Base5-Thick Cable
Hub
AUI
10BaseT-Twisted Pair
BUS
CSMA/CD 방식
지연시간을 예측할 수 없음
Physical Interface는 e*로 표시
표준 10Mbps 지원
Fast Ethernet은 100Mbps 지원
Ethernet은 Xerox가 처음개발을 시작했으며, 1980년에 DEC, Intel과 함께 Specification 1을 정의했다.
이들은 1984년에 Specification 2를 다시 발표
IEEE 802.3 소위원회는 CSMA/CD LAN 모델로 Ethernet 2을 채택
그러나 IEEE 802.3에서는 802.2 LLC를 추가하였음
CSMA/CD (carrier sense multiple access with collision detection) 방식으로 데이타전달시
Connecting People To Information
충돌가능성이 높음. 그러나 구현하기 쉽고 투자비용이 경제적임
AUI (attatchment unit interface)
요즘에는 Ethernet을 구성할때 10Base2 혹은 10Base5를 이용하는 것이 아니라 HUB만을 이용하는
경우가 많다.
cisco specific
구분
Ethernet
Token-Ring
FDDI
데이타전송속도
10/100/1000 Mbps
4/16Mbps
100Mbps
형태
BUS
Ring
Dual-Ring
데이타전송방식
CSMA/CD
토큰 패싱
토큰 패싱
두꺼운 구리선
STP
가는 구리선
UTP
UTP,Fiber Cable
Fiber
최대네트웍거리
500M
1KM
100Km/ring
단말기간 최대거리
500M
100M
2KM
패켓 크기
1.5kByte
4/18Kbytes
4.5Kbytes
최대연결 단말기수
1024
260개(STP)
500
사용케이블
72개(UTP)
Fiber
논리적
Connecting People To Information
Token
Ring
물리적
MAU
Ring
Token Pass 방식
지연시간 예측 가능
Physical Interface는 to*로 표시
4Mbps 혹은 16Mbps 지원
논리적으로는 Ring이지만 물리적으로는 Star형태 연결
Connecting People To Information
Token Ring은 IBM에 의해 1970년대에 개발
Ethernet/IEEE802.3 다음으로 많이 쓰임
Token Ring과 IEEE802.5는 거의 비슷하며 완전 호환 가능
IEEE802.5 위원회에서 Token Ring 및 IEEE802.5 Specification 관리
일반적으로 Token Ring은 IBM Token Ring과 IEEE802.5를 함께 일컫음
일반적으로 MAU (Multistation Access Unit)에는 8개의 시스템을 접속할 수 있음
시스템이 많아 여러개의 MAU를 연결할때는 Ring 형태가 되도록 환경을 구성해야 함
Connecting People To Information
논리적
ANSI Standard
Dual Token Ring
100Mbps
광케이블 이용
Physical Interface는 f* 로 표시
FDDI
FDDI는 1987년에 ANSI X3T9.5 standard로 발표됨
구리선을 이용해 100Mbps를 지원하는 dual Token Ring 개발중 (CDDI)
dual counter-rotating rings
Network
MAC Address
LLC
Data Link
Connecting People To Information
Physical
MAC
24bits
24bits
Vendor Code
MAC
Frame
802.2 LLC
Serial No.
Packet or Datagram
LLC
higher-layer software function
MAC
lower-layer hardware function
Network
Interface
Card
MAC Address
48bits
ROM
LLC (logical link control) 기능
한개의 LAN media를 통해 IP, IPX, Appletalk Packet이 전달될 수 있도록 함
즉 상위 Layer가 하위 Layer에 관계없이 기능을 수행할 수 있도록 함
flow control 및 sequencing service 등을 제공함
Connecting People To Information
MAC 기능
addressing 담당
MAC Address
12 hexadecimal digits
Vendor Code (OUI: organizationally unique identifier)
IEEE가 OUI 관리
3COM OUI : 02608C
SUN OUI : 080020
CISCO : 00000C
ARP (Address Resolution Protocol) in TCP/IP
RARP (Reverse ARP)
WAN Physical Layer
DTE와 DCE간의 Interface를 규정
DTE
data terninal equipment
Connecting People To Information
회선의 종단장치(DCE)에 접속하는 이용자 장치
DCE
data circuit-terminating equipment
통신사업자가 제공하는 회선의 종단장치
RS-232, V.35, X.21, V.24,
HSSI, EIA/TIA-232, EIA/TIA-449,
G.703, EIA-530, ....
DTE
DCE
WAN Standard를 정하는 기관에는 다음과 같은 곳들이 있음
international telecommunication union(ITU)-telecommunication standardization sector (ITU/T)
formerly the Consultative Committee for international telegraph and telephone(CCITT)
Connecting People To Information
International Organization for Standardization (ISO)
Internet Engineering Task Force (IETF)
Electronic Industries Association (EIA)
Connecting People To Information
WAN Data Link Layer
DTE와 DTE간의 Interface를 규정
Synchronous Data Link Control (SDLC)
High-level Data Link Control (HDLC)
Link Access Potocol Balanced (LAPB)
X.25에서 DTE와 DCE간의 data link protocol
Point-to-Point Protocl (PPP)
multiprotocol encapsulation을 제공
Frame Relay : HDLC framing을 단순화 한 것
SDLC
IBM에서 개발.
multipoint connection
primary station, secondary station을 정의하고 있으며, 통신은 primary station을 통해 이루어짐
Connecting People To Information
HDLC
ISO 표준
그러나 다른 Vendor와 호환되지 않을 가능성 있음
point-to-point와 multipoint connection 제공
LAPB
X.25에서 주로 이용됨
frame이 빠지거나 순서가 잘못되는 것을 감지함. 재전송 및 Ack 등 담당
PPP
RFC1546 by IETF
point-to-point connection
상위 네트웍프로토클을 위한 필드를 가지고 있음. 즉 다양한 네트웍프로토클의 Packet을
전달할 수 있음
Frame Relay
LAPB에서 error checking 기능을 뺀 것
SLIP
IP Packet만 전달, asynchronous transmission만 지원, error checking 기능이 없음
WAN 교환방식
회선 교환
PSTN, ISDN
전송구간의 대역을 점유
Connecting People To Information
busy 현상 발생
전송구간
패킷 교환
전송구간의 대역을 공유
busy 현상은 발생하지 않으나 지연 발생
가능
X.25, Frame Relay,
ATM
전송구간
전용회선
1개의 전용회선은 두 시스템을 연결
두 시스템은 전용회선의 대역을 독점
고비용
Connecting People To Information
회선교환
대표적인 예가 전화
교환기간 전송구간의 대역이 32Kbps일때 16Kbps를 필요로하는 전화 3대가 동시에 접속을
하면 그중 1대는 통화할 수 없다.
접속이 성공한 후에는 전용회선을 이용하는것과 동일. 그때만 대역을 독점한다.
패킷교환
X.25가 대표적
교환기간 전송구간의 대역은 교환기에 접속된 시스템들에게 균등하게 할당.
따라서 많은 시스템이 교환기에 접속하면 각 시스템의 통신속도는 점점 느려진다.
다만 Frame Relay와 ATM에서는 혼잡시 최소 어느정도의 대역(CIR)을 보장해 주는 기능을 제공.
LAN + WAN
PSTN,ISDN,
X.25, IP,
F-R, ATM
Connecting People To Information
접속회선
전용회선
접속회선
현재 LAN과 LAN 혹은 Host와 Terminal간의 연결은 전용회선, PSTN, ISDN, PSDN
(X.25, IP, Frame Relay, ATM Network)등을 이용하여 가능하다.
여기에서 접속회선이라는 것은 통신사업자의 교환기까지 접속할때 사용되는 회선을 말한다.
전용회선은 접속회선+전송구간회선을 포함한 것이라고 할 수 있다.
네트웍간의 연결때 항상 DCE 가 필요하다.
ISDN
TE2
통신사업자
TE1
Connecting People To Information
T
S
U
ISDN
TA
접속회선
NT
NT를 내장하지 않은
라우터의 ISDN 접속
NT를 내장한
라우터의 ISDN 접속
U
ISDN
S
U
ISDN
NT : Network Terminator
TA : Terminal Adaptor
TE1 : Terminal Equipment with the Interface T
TE2 : Terminal Equipment with no ISDN Interface
Interface U는 ISDN 네트워과 NT 사이를 지칭하는 것이고, Interface T는 NT와 ISDN전화기 사이를
Connecting People To Information
지칭하며, Interface S는 NT와 TA 사이를 지칭한다. TA는 흔히 ISDN 카드 혹은 S-Card라고 지칭되는
것으로 PC에 장착하여 PC통신 등을 할때 많이 이용된다.
라우터와 같은 장비를 ISDN에 접속하고자 할 경우 라우터에서 NT를 내장했는지 아니면 NT를 내장하지
않았는지 잘 확인해야 한다. NT를 내장했다면 별도로 NT를 구매할 필요없이 Interface U에 직접 라우터를
접속할 수 있지만 NT를 내장하지 않았다면 별도로 NT를 구입하여 Interface U에 접속한 다음 라우터를
접속해야 하기 때문이다.
NT를 내장한 라우터는 Interface U를 제공한다고 하고, NT를 내장하지 않은 라우터는 Interface S를
제공한다고 한다.
Interface U의 형태에 BRI와 PRI라는 것이 있는데 BRI는 2B+1D channels로 구성이 되어 있으며,
PRI는 23B + 1D 혹은 30B+D channels로 이루어져 있다. 23B+1D는 북미방식으로 T1 방식에 적용하는
것이고, 30B+1D는 유럽방식으로 E1 방식에 적용하는 것인데, 요즘은 유럽방식의 PRI를 많이 채택하고 있다.
각 B channel은 데이타가 송수신될 수 있는 channel로 64Kbps 대역이며, BRI는 128Kbps (64Kbps x 2)로
데이타를 송수신할 수 있고, PRI는 1920Kbps (64Kbps x 30)로 데이타를 송수신 할 수 있다. D channel은
제어신호를 보내는 channel로 BRI와 PRI의 D channel의 각 대역은 16Kbps 와 64Kbps 이다.
Connecting People To Information
Network Layer & Routing Protocol
Network Layer 는 시작(Source)에서 부터 목적지(Destination)까지 Packet 을 전달
Routing protocol은 Router 간에 경로를 주고 받는 Protocol
Network Layer에서는 packet을 목적지까지 전달하기 위한 최상의 경로를 선택하여 그 경로와 연관된
Connecting People To Information
물리적인 Interface 혹은 Port로 전달한다.
Packet이 전달될 수 있는 경로를 route 혹은 path라고 한다. route 혹은 path중에 가장빠른 (흔히 말하는
최상의) 것을 best route 혹은 best path라고 한다. 위 그림에서 r1과 r2간에 route는 다음과 같은 것들이
있는데 그중에서 best path는 2,5,6이다.
1, 3, 6
1, 4, 7
2, 5, 6
2, 5, 7
Packet을 경로를 따라 전달하는 과정을 routing이라고 한다.
라우터(router)는 routing 기능만을 전문화하여 독립시킨 H/W로 내부에 routing S/W를 내장하고 있다.
인터넷이 아닌 일반 네트웍, 가령 전화망, X.25네트웍, ATM 네트웍등에서는 라우터라는 말대신 교환기
혹은 Switch라고 한다.
라우터는 routing 기능만을 전담하는 것은 아니다. 최상의 경로에 대한 정보를 인접한 라우터들과 경로정보
(Routing Information)를 교환하고 그 정보를 유지, 관리하는 기능도 가지고 있다. 이러한 기능을 담당하는
Protocol을 Routing Information Exchange Protocol 혹은 Routing Protocol이라고 한다. 이러한 기능은
Application Layer에 속하는 기능이기도 하다.
routed protocol이라는 것은 데이타를 encapsulation해서 전달하기 위한 protocol로 IP, IPX, Appletalk등이
이에 해당된다. routing protocol이라는 것은 IP packet, IPX packet, Appletalk packet등을 전달할때
경로정보를 교환, 관리하기 위한 protocol이다. IP는 routing protocol로 RIP, IGRP, OSPF, BGP등을,
IPX는 Novell RIP, NLSP등을, Appletalk은 RTMP를 이용한다.
Connecting People To Information
Addressing & Network Level Routing
네트웍간에 packet을 전달하기 위해서는 목적지에 대한 Address 를 참조해야 한다.
Address는 크게 Network Address와 Node Address로 구분할 수 있다.
동일 LAN에 있는 시스템들은 같은 Network Address를 가지며 다만 Node Address가 다를 뿐이다.
LAN과 LAN을 연결하는 WAN link도 LAN과 같은 Network Address가 할당되며, 이때 Node Address는
Connecting People To Information
2개만 이용되기도 한다.
IP, IPX, Appletalk 각각은 자신의 Address 체계를 갖는데 이들의 Address도 모두 Network Address와
Node Address로 구분된다.
IP Address : 32bit로 구성됨. Network Address와 Node Address의 길이가 가변적임
IPX Address : 80bit로 구성됨. Network Address 32bit, Node Address 48bit로 구성됨
Appletalk Address : 24bit로 구성됨. Network Address 16bit, Node Address 8bit로 구성됨
IP, IPX, Appletalk의 Routing Protocol들은 모두 경로를 결정할때 Network Address만을 참조하여
경로를 결정함. 이런 것을 Network-Level Routing이라고 함
PSTN, X.25, Frame Relay, ATM등은 Network Address뿐만 아니라 Node Address를 참조하여
routing을 해주는데 이러한 것을 point-to-point(end-to-end) routing이라고 함
Connecting People To Information
경로 결정 영향 요소
Bandwidth : 1.5Mbps link(T1)보다 45Mbps link(T3)를 이용하는 것이 좋다.
Delay : 같은 거리에 대해 해저 cable 1.5Mbps link의 delay는 200msec라면 위성 45Mbps link의 delay는
Connecting People To Information
500msec가 될 수 있다. 어느 것을 이용하는 것이 좋을까?
Reliability : 대역도 크고 지연도 작은 link가 있는데 통신도중 자주 끊어진다면 좋은 것은 아니다.
Load : 대역도 크고 지연도 작고 안정성도 좋은데 부하가 너무 크다면 통신속도는 느려진다.
MTU : 모든 조건이 동일하다고 할 경우 MTU가 큰 것을 이용하는 것이 보다 빠르다.
Hop Count : 1개의 hop을 지날때마다 지연이 발생한다. 따라서 hop count가 작은 것이 좋다.
money : 아무리 좋은 link라도 너무 비싸면 사용하기 곤란하다.
IP Routing Protocol들은 다음과 같은 것을 경로결정요소로 이용한다
RIP : hop count
IGRP : Bandwidth, Delay, Reliability, Load, MTU
OSPF : Bandwidth
Route & Routing Protocol
Dynamic Route VS Static Route
Dynamic Routing Protocol
Distance Vector vs Link State
Connecting People To Information
주기적 Update vs 변화 즉시 Update
Single Protocol vs Multiprotocol
ip,ipx 를 동시처리 가능 vs 동시처리 불가능
Interior vs Exterior
네트워크 그룹내 vs 외부네트워크 그룹간
Single Path vs Multi Path
Cost가 다른 link 를 동시에 이용하지 않음 vs 동시 이용
Hierarchical vs Flat
계층적 정보 교환 vs 계층적이지 않음
Static Route는 일반적으로 라우터운영자가 직접 입력해준 목적지에 대한 경로다. Static Route는
Dynamic Routing Protocol을 운영할 수 없는 환경이든지 혹은 Dynamic Routing Protocol을 운영하는
것이 필요없거나 비효율적인 상황에 처했을 때 설정한다. 네트웍이 크고 변화가 잦은 네트웍에서는 Static
Route가 오히려 비효율적일 수 있다.
Dynamic Route는 Dynamic Routing Protocol에 의해 수집된 네트웍정보를 바탕으로 얻은 목적지에 대한
경로를 말한다. 네트웍이 크고 변화가 잦은 경우 효율적이나 그 반대인 경우는 비효율적이다.
Connecting People To Information
Interior Gateway Protocol
IP Routing Protocol의 RIP, IGRP, EIGRP, OSPF등이 여기에 해당한다.
Exterior Gateway Protocol
IP Routing Protocol의 BGP가 여기에 해당한다.
Singlepath Routing Protocol <-> Multipath Routing Protocol
목적지로 갈 수 있는 경로 a에 대한 cost가 100, 경로b에 대한 cost가 50일 경우 경로b를 best path로
선택하여 모든 트래픽을 경로b만을 통해 전달한다. 그러나 traffic를 경로 a와 경로b로 분산하는 것이
좋을수도 있다. 전자를 singlepath routing protocol이라고 하며, 후자를 multipath routing protocol
이라고 한다.
singlepath : RIP, OSPF, BGP
multipath : IGRP, EIGRP
같은 cost에 대한 multipath는 대부분 모두 지원한다.
OSPF는 라우터간에 Routing Information교환을 위하여 구조적인 연결 형태를 갖는다. 그러나 RIP과 같은
경우는 평면적인 형태를 갖는다.
Flat : RIP, IGRP, EIGRP, BGP
Link State Routing Protocol
Distance Vector
인접한 Router 관점으로 전체 Network 정보를
Connecting People To Information
얻음
인접한 Router가 갖고 있는 Cost 와 인접한
Router까지의 Cost 를 더함
주기적으로 정보를 Update
Convergence time 이 길다
Routing Table 을 인접한 Router에게 전달
Link State
각 Router가 전체 Network 상태를 판단
자신이 직접 목적지까지의 Cost 를 계산함
변화즉시 정보를 update
Convergence time 이 짧다
변화된 정보만을 다른Router에게 전달
Distance Vector Routing Protocol의 문제점 및 해결책
문제점 : Routing Loop : convergence time 차이로 인해 발생. 해결책으로
문제점 : Counting to Infinity : routing loop이 distance (cost)를 무한히 증가시킴
해결책: distance의 한계값을 정함 (RIP은 16)
해결책 : Split Horizon : 자신으로부터 발생한 정보는 되받지 않음
Connecting People To Information
해결책 : Route Poisoning : Down즉시 해당 네트웍에 대한 distance를 한계값으로 설정
해결책 : Hold-Down Timers : Down이후 일정시간동안 동일정보에 대한 변경을 받아들이지 않음
Distance Vector Routing Protocol : RIP, IGRP, EIGRP*
Link State Routing Protocol의 문제점 및 해결책
문제점 : unsynchronized update로 인해 동일 네트웍에 대해 다른 두가지 위상 발생
문제점 : inital flooding으로 인한 link의 대역 및 CPU 성능 소모
해결책 : time stamp, counter 이용
해결책 : 빈번히 변경되는 특정네트웍정보를 일정시간 동안 무시. 특정 라우터에게만 Link State
정보 전달, 네트웍을 소영역으로 분리, 요약정보만 전달될수 있도록 함
Link State Routing Protocol : OSPF
Router 구성
RAM
NVRAM
Flash
ROM
Connecting People To Information
bootstrap program
실행
명령어
program
IOS(Internetwork OS)
active
config
file
tables
buffers
backup
config
file
subset
IOS
Interfaces
LAN Interfaces
(e, t, f)
IOS
bootstrap
program
WAN Interfaces
(s, hssi)
Console
Auxiliary
ROM에는 응급처리기능, 부팅 프로그램, 그리고 OS가 저장되어 있다. 부팅시 bootstrap은 RAM으로
load되며, load된 bootstrap은 IOS, backup configuration file등을 RAM으로 load한다. ROM의 bootstrap,
IOS들을 upgrade하기 위해서는 chip을 대치하여야 한다.
Flash은 EPROM으로 IOS가 저장되어 있다. 부팅 프로그램은 부팅시 Flash에 저장되어 있는 IOS를 RAM으로
Connecting People To Information
load한다. 전원이 나가도 내용이 유지된다. IOS를 쉽게 upgrade할 수 있게 해준다.
NVRAM은 라우터의 configuration file이 저장되는데 전원이 나가도 내용이 유지된다.
RAM에는 bootstrap, IOS, configuration file등이 저장되며, 라우터가 운영되면서 필요한 데이타영역으로
활용된다. routing tables, ARP cache, fast-switching cache, packet buffering, packet hold queue를 위한
데이타 영역을 제공함. 전원이 나가면 내용을 잃어버린다.
Interface는 packet이 지나가는 물리적인 port 이다. Interface는 LAN Interface, WAN Interface, Console,
Auxiliary 등이 있다.
라우터의 환경 설정은 configuration file을 조정함으로써 가능하다. configuration file에는 각종 환경변수
값등과 Interface들에 대한 설정값등을 갖고 있으며, ascii 로 표시된다. 라우터운영자는 여러가지 방법으로
configuration file을 조정할 수 있는데 NVRAM에 있는 configuration file을 직접 수정할수는 없고, 일단
RAM에 있는 configuration file을 수정하고 그것을 NVRAM에 저장하는 방법을 써야 한다. 만약 저장하지
않으면 전원이 나갔을 경우 수정사항이 반영되지 않는다.
Connecting People To Information
CISCO Router 환경설정 수단
Console 이용 (async serial port)
Auxiliary 이용 (auxiliary async serial port)
LAN, WAN Interface를 통한 virtual terminal 이용(telnet)
TFTP 서버를 이용
NMS 를 이용
virtual terminal
console
virtual
terminal
TFTP
server
auxiliary
modem
NMS
Console이나 Auxilary는 라우터에서 제공하는 비동기포트로 일반적으로 초기에 라우터 설정시 이용한다.
혹은 정상적인 동작으로 하다가 동작오류로 configuration file등이 지워졌을 경우 virtual terminal을
Connecting People To Information
이용할 수 없기 때문에 그때 이용한다.
라우터가 정상적으로 동작할때 Telnet을 이용해 접속한후, configuration file을 수정할 수 있다.
Console, Auxiliary, virtual terminal을 이용해 접속한 후 interactive하게 configuration file을 수정할 수
있으며, 수정즉시 라우터운영에 영향을 미친다.
TFTP Server에 configuration 내용을 저장한후 라우터에서 configuration file을 download하게 함으로써
라우터를 설정할 수 있다.
TFTP Server 를 이용할때 장점은 한 Server내에서 여러 라우터의 환경을 집중 관리할 수 있다는 것이다.
NMS를 이용해 configuration file을 조정할 수 있다.
Console을 이용한 라우터 접근
Connecting People To Information
console
Router con0 is now available
Press RETURN to get started
User Access Verification
Password:
Router>
Router>enable
Password:
Router#
Router#disable
Router>
Router>quit
user mode prompt
previledged mode prompt
Router Mode는 권한에 따라 user mode와 previledged mode로 구분될 수 있다.
user mode에서는 Router environment 조회만 할 수 있다.
previledged mode에서는 Router environment 조정할 수 있다.
console로 직접 접속하면 user mode로 들어가기 위한 password를 입력하여야 하며, password가
Connecting People To Information
맞을 경우 user mode로 들어간다.( user mode의 prompt는 ‘>‘으로 표시된다. )
user mode에서 enable이라는 명령어를 입력하면 previledged mode로 들어가기 위한 비밀번호를 맞게
입력하여야 한다. privileged mode의 prompt는 ‘#’으로 표시된다.
configuration file의 초기설정이 이루어지지 않았다면 user mode 비밀번호와 privileged mode 비밀번호를
입력하지 않고도 각 mode로 전환할 수 있다.
virtual terminal을 이용해 접속한후 mode를 전환하는 방법은 console 을 이용했을때와 동일하다.
Connecting People To Information
Router Modes (1)
user mode
Router>
previledged mode
Router#
제한된 명령어만을 이용
모든 명령어를 이용할 수 있고
configuration file 조정할 수 있음
setup mode
RXBOOT mode
초기 환경설정previledged mode에서
명령어 setup을 입력하면 됨
비밀번호를 잃어버렸거나 Flash의
OS가 지워지는 등의 경우 이용
global configuration mode
Router(config)#
라우터운영 전체에 영향을 미치는
요소들을 조정할 수 있음. 하위
configuration mode로 전환할 수 있음
하위 configuration mode
Router(config-???)#
영역별 환경 설정
privileged mode에서 global configuration mode로 전환할 수 있으며, global configuration mode에서
하위 configuration mode로 전환할 수 있다.
setup mode도 privileged mode에서 전환 가능하다.
global configuration mode로 전환하려면 privileged mode prompt에서 다음과 같이 명령 입력해야 한다.
Connecting People To Information
Router# configuration terminal (alias : conf t)
하위 configuration mode로 전환하려면 global configuration mode prompt에서 다음 같이 명령을
입력해야 한다. 여기에서는 interface configuration mode로 가기 위한 것을 보인다. 각 하위
configuration mode의 prompt가 다른 것을 주목하자.
Router(config)# interface serial 0 (alias :int s0)
Router(config-if)#
라우터 상태 조회 명령어
Router#show version
Connecting People To Information
실행
명령어
Router#show process [cpu]
Router#show protocols
NVRAM
RAM
bootstrap program
program
Flash
IOS(Internetwork OS)
active
config
file
tables
buffers
backup
config
file
IOS
bootstrap
program
subset
IOS
Interfaces
Router#show running-config
ROM
Console
LAN Interfaces
(e, t, f)
WAN Interfaces
(s, hssi)
Auxiliary
Router#show memory
Router#show stacks
Router#show buffers
Router#show interface
Router#show interface serial 0
Router#show flash
Router#show startup-config
Router#show config
show version : h/w configuration, IOS version, bootstrap version, IOS filename, configuration
Connecting People To Information
register등에 대한 정보를 제공한다.
show process [cpu] : 활동중인 process 정보를 보여줌
show protocols : Level 3 protocol정보를 보여줌. global 및 interface 정보를 보여줌
show running-config : RAM에 있는 configuration file을 보여줌. IOS 10.3 이하에서는 write terminal
을 이용했었음
show memory : Memory 이용에 대한 통계를 보여줌
show stacks : stack의 이용현황을 보여줌
show buffers : buffer의 이용현황을 보여줌
show interface : 각 interface에 대한 정보를 보여줌
show flash : flash의 내용을 보여줌
show starup-config : NVRAM에 있는 configurtaion file을 보여줌. show running-config의 결과와
내용이 다를 수 있음. IOS10.3이하에서는 show config를 이용했었음
라우터의 환경 설정 대상
Connecting People To Information
global environment
interface environment
라우터 이름
네트웍 프로토클에 따른 네트웍 Address
운영자 모드 비밀번호
Serial link Protocol
이용자 모드 비밀번호
지원할 네트웍 프로토클
- HDLC, PPP, X.25, ISDN, Frame-Relay,
ATM 등
- IP, IPX, DECnet, AppleTalk 등
라우팅 프로토클
- RIP, IGRP, OSPF, BGP 등
기타
NOTE 이것은 인터넷연결과 관련된 중요부분만을
지적한 것이며 이외에 다양한 것이 있음
라우터 초기 Setup
Router# setup
setup global parameters
Connecting People To Information
- hostname, enable password, virtual terminal password, routed protocols, ...
setup interface parameters
- enable interface, network address allocation, ....
관련 명령어
#show startup-config // show config
#show running-config // write term
#erase startup-config // write erase
#reload
Router Booting 시 NVRAM에 configuration file이 저장되어 있지 않으면 곧장 setup mode로 들어간다.
명령어 setup를 입력하면 interactive하게 라우터를 설정할 수 있다.
setup에서 모든 사항을 다 선택해야 하는 것은 아니다. 기본적인 사항만 설정하고 이후에 필요한 사항을
개별적으로 설정할 수 있다. hostname, enable password, virtual terminal password 등만을 입력해
Connecting People To Information
주어도 된다. 이때 주의할 것은 입력한 enable password 및 virtual terminal password를 잊어버리지
않도록 적어둘 것을 권고한다.
setup으로 설정을 마치면 설정내용은 NVRAM과 RAM이 동시에 저장된다.
따라서 setup후 설정 결과를 NVRAM으로 다시 저장할 필요는 없다.
erase startup-config는 NVRAM에 있는 configuration file을 지워버린다. 그러나 RAM에 있는 것을
지우는 것은 아니다.
Configuration File 수정 방법
config terminal
show running-config // write term
Connecting People To Information
show startup-config
// show config
erase startup-config
// write erase
폐기
config memory
NVRAM
RAM
copy running-config startup-config
// wirte memory
copy tftp running-config // config net
copy running-config tftp // wirte net
privileged mode에서 ‘config terminal’을 입력한 후 RAM 및 NVRAM에 있는 configuration file을
수정할 수 있음
IOS 10.3 이하에서는 // 이후에 표시된 명령어 이용해야 함
Connecting People To Information
Router Modes (2)
user mode
Router>
enable
previledge mode
Router#
config terminal
global config mode Router(config)#
하위 config mode
interface
subinterface
controller
map-list
map-class
line
router
IPX router
Route map
Router(config-if)#
Router(config-subif)#
Router(config-controller)#
Router(config-map-list)#
Router(config-map-class)#
Router(config-line)#
Router(config-router)#
Router(config-ipx-router)#
Router(config-route-map)#
Ctrl-Z
exit
• Router(config)# interface .........
• Router(config-if)#
• Router(config)# router ........
Connecting People To Information
• Router(config-router)#
• Router(config)# line ........
• Router(config-line)#
• Router(config)# ?
Password 및 Router Name 수정
console password
router(config)# line console 0
router(config-line)# password haha
router(config-line)# login
Connecting People To Information
virtual terminal password
router(config)# line vty 0 4
router(config-line)# password haha
router(config-line)# login
enable passord
router(config)# enable password hoho
enable password의 암호화
router(config)# service password-encryption
router name
router(config)# hostname smile
login banner
smile(config)# banner motd #
welcome to smile, in seoul
#
enable password는 console password와 virtual terminal password와 다르게 하는 것을 권장한다.
service password-encryption을 선언하지 않으면 enable password를 configuration file에서 볼수 있다.
따라서 service password-encryption을 선언할 것을 권장한다. 비활성화하는 방법은 다음과 같다.
Connecting People To Information
router(config)# no service password-encryption
router name을 지정하고 나면 prompt가 변경된다.
Router Mode와 Interface Mode 예
Router Mode
router(config)# router rip
router(config-router)# network 164.124.0.0
router(config-router)# network 203.252.15.0
Connecting People To Information
router(config-router)# no network 203.252.15.0
router(config-router)# exit
router(config)# no router rip
router(config)# exit
Interface Mode
router(config)# interface ethernet 0
router(config-if)# ip address 164.124.1.1 255.255.255.0
router(config-if)# no ip address 164.124.1.1 255.255.255.0
router(config-if)# ip address 164.124.2.1 255.255.255.0
router(config-if)# no shutdown
router(config-if)# exit
router(config)#exit
만약 router rip 모드에서 network 203.252.15.0을 선언했는데 그것이 잘못된 것이라고 판단되면
no를 앞에 붙여 동일하게 선언하면 해당사항은 무효가 된다.
global mode에서 router rip을 선언했는데 router rip을 무효화하고 싶으면 no router rip이라고 선언하면 된다.
interface에는 network address를 지정할 수 있는데 지정을 잘못했을 경우는 잘못 지정한 network address를
no 를 이용하여 무효화 할 수 있다.
interface는 기본적으로 작동 정지 상태인데 작동을 시작하게 하려면 no shutdown이라고 입력해 주면 된다.
Connecting People To Information
작동정지를 원하면 shutdown만을 입력하면 된다.
다음은 router mode와 관련되어 자주 사용하는 명령어를 보인 것이다.
router rip
router igrp 임의의 번호
router ospf 임의의 번호
router eigrp 임의의 번호
router bgp 임의의 번호
network 임의의 네트웍주소
다음은 interface mode와 관련되어 자주 사용하는 명령어들이다.
interface 형태 슬롯번호/포트번호 // 일반적인 형태
interface serial 0
interface serial 1/1
interface ethernet 1
interface hssi 4/1
shutdown
no shutdown
ip address ...........
TCP/IP Protocol (Dod Layer)
TCP/IP Protocol
OSI 7 Layer Model
Connecting People To Information
Application
Presentation
Application
Session
Transport
Network
Data Link
Physical
F
T
P
21
Port No.
Protocol
No.
Transport
Internet
Network
Interface
T
E
L
N
E
T
23
TCP
IP
S
M
T
P
D
N
S
T
F
T
P
S
N
M
P
25
53
69
161
UDP
6
17
ICMP
ARP
Network
Interface
RARP
Connecting People To Information
application layer의protocol에는 HTTP, POP3, NNTP, GOPHER 등 다양한 것들이 있다.
transport layer의 protocol에는 TCP와 UDP가 있음
TCP는 connection-oriented된 protocol로 application간에 virtual circuit을 제공할 수 있다.
UDP는 connectionless protocol로 데이타전달시 오류를 점검하지 않는다.
TCP segment 및 UDP segment에는 송신측 port 번호와 수신측 port 번호 표시를 위한 필드가 있다.
transport layer에서 application layer와 port번호를 이용해 통신을 한다. 가령 FTP에 의한 데이타를
전달받았을때 transport layer에서는 port 21번으로 해당 데이타를 전달한다.
각 application protocol별로 port번호가 지정되며 이러한 port번호를 well-known port번호라고 한다.
송신측에서는 상대방의 DNS protocol에 접속을 시도할때 TCP 혹은 UDP segment에 수신측의 Port 번호
53을 표시하여 전달해야 통신이 가능하다. 그러나 송신측의 Port 번호는 53일 필요는 없다. 일반적으로
1024 미만은 예약되어 있으며, 1024 이상은 어느때고 임의로 사용할 수 있는 port 번호이다.
application protocol에 대한 port번호는 접근을 제어하기 위한 수단으로 이용된다.
tcp 및 udp도 접근을 제어하기 위한 수단으로 이용된다.
Internet Layer에는 IP, ICMP, ARP, RARP 등의 protocol이 있다.
IP는 기본적으로 connectionless delivery protocol이다. connection-oriented delivery는 TCP 의해 지원된다.
ip, icmp 도 접근을 제어하기 위한 수단으로 이용된다.
Connecting People To Information
IP Address(1)
32bits 구성됨. Class A, Class B, Class C가 있음
인터넷을 위한 IP Address는 공인기관으로부터 할당받아야 하며, Network Number만을 할당받음
Host Number는 네트웍관리자가 원하는 대로 활용 가능
Network (N)
Host (H)
164
124
116
8bits
8bits
8bits
5
8bits
Class A
N
H
H
H
Class B
N
N
H
H
Class C
N
N
N
H
32bits IP Address는 Network Number 부분과 Host Number부분으로 구분할 수 있는데 각 부분의 길이가
가변적이다. 기본적으로 정의된 Class는 3가지가 있는데 Class A, Class B, Class C 이다
IP Address 할당 기관에서는 Class 단위로 Network Number를 할당한다.
IP Address는 다음과 같이 10진수 4자리로 표시된다.
Connecting People To Information
164.124.116.5
130.1.88.55
203.252.3.1
Class A IP Address인 60.1.2.3의 Network Number는 60이며, Host Number는 1.2.3이다. Host Number가
모두 0으로 표시된 60.0.0.0은 그 네트웍을 대표하는 용도로 이용된다.
Class B IP Address인 164.124.116.5의 Network Number는 164.124이며, Host Number는 116.5이다.
Host Number가 모두 0으로 표시된 164.124.0.0은 그 네트웍을 대표하는 용도로 이용된다.
Class C IP Address인 203.252.3.1의 Network Number는 203.252.3이며, Host Number는 1이다.
Host Number가 모두 0으로 표시된 203.252.3.0은 그 네트웍을 대표하는 용도로 이용된다.
국내 IP Address 할당 기관은 KRNIC (http://www.krnic.net/)
전세계 IP Address 관리는 IANA 이며, 실제 할당은 Internic에서 담당하고 있음
인터넷에 네트웍을 연결하지 않을 때는 공인기관으로부터 IP Address를 할당받을 필요 없음.
임의의 IP Address를 이용하면 됨
Connecting People To Information
IP Address(2)
Class A
1
0
Class B
1 1
1 0
Class C
1 1 1
1 1 0
Network # 갯수
7
N
24
H
14
N
16
H
21
N
1개의 Network #내의
이용가능한 Host Number 수
8
H
첫 1Byte의 십진수 범위
Class A
1 ~ 126 (126개)
16777214개 (256^3-2)
Class B
128.1 ~ 191.254
(32766개)
65534개 (256^2-2)
128 ~ 191
254개 (256^1-2)
192 ~ 223
Class C
192.0.1 ~ 223.255.254.0
(2097150개)
1 ~ 126
32bit중 처음 1bit의 값이 0인 것은 Class A IP Address 이며, 이 경우 첫 1Byte는 1 ~ 126의 값을 갖는다.
32bit중 처음 2bit의 값이 10인 것은 Class B IP Address 이며, 이 경우 첫 1Byte는 128 ~ 191의 값을 갖는다.
32bit중 처음 3bit의 값이 110인 것은 Class C IP Address 이며, 이 경우 첫 1Byte는 192 ~ 223의 값을 갖는다.
Class를 나타내는 Prefix bit을 제외한 Network Number부분이 모두 0으로 되어 있거나, 1로 되어 있는
Connecting People To Information
Network Number는 이용하지 않는다.
Network Number 0과 127
Network Number 128.0과 191.255
Network Number 192.0.0과 223.255.255
Host Number중 Host Number부분의 모든 bit 값이 0 이거나 1인 것은 이용하지 않는다.
모두 0인 것은 해당 네트웍을 대표하는 Host Number로 이용된다.
모두 1인 것은 broadcast address로 이용된다.
164.124.0.0의 broadcast address는 164.124.255.255
203.252.3.0의 broadcast address는 203.255.3.255
Network별 Network Number 할당
164.124.100.3
LAN, WAN별로 동일한 Network
164.124.1.2
Number를 이용함
164.124.180.5
WAN (serial link)에서는 2개의 Host
Connecting People To Information
Number만 이용하며 나머지는 모두
사용하지 못함
netA
164.124.0.1
시스템의 Interface별로 Host
A
Number를 이용함
203.252.2.1
netB
netC
130.1.50.0
130.1.100.10
203.252.2.2
B
netD
203.252.3.2
203.252.3.1
203.252.3.3
각 네트웍별로 다른 Network Number를 할당하여야 함
각 네트웍에 접속되어 있는 시스템의 Interface들은 다른 Host Number를 가짐
한 시스템이 여러개의 Interface로 다른 여러개의 네트웍에 접속되어 있을 경우 각 Interface별로 다른 Network
Number와 Host Number를 갖는다.
Connecting People To Information
라우터 A는 Ethernet Interface와 Serial Interface를 갖는데 각각 IP Address 164.124.0.1과 203.252.2.1을
갖고 있다.
serial link로 이루어진 네트웍에도 Network Number와 Host Number가 할당된다는 사실에 유의하자.
시스템이 6개만(라우터 제외) 있을때 위와 같이 네트웍을 구성해야 한다면 적어도 4개의 Network Number가
필요하다. 위 그림에서는 Class B Network Number 2개와 Class C Network Number 2개가 이용되었는데
이것은 IP Address의 심한 낭비를 보여주는 한 예이다.
현재까지의 개념에 따라 IP Address를 보다 효율적으로 이용하고자 한다면 Class C Network Number 4개를
이용하는 것이 바람직하다. 그러나 Class C Network Number 4개면 최대 1020개의 시스템을 접속해 이용할
수 있는데 결과적으로 약 1000개 이상의 Host Number를 낭비하고 있는 것이다.
IP Address의 효율적인 이용을 위해 Subnetting 을 활용하면 된다.
Sub Network Number 할당
164.124.1.3
4개의 네트웍을 위해 1개의 Class B
Network Number 164.124 만을 이용함
164.124.1.2
164.124.1.4
네트웍별로 다른 Network Number를
Connecting People To Information
가져야 된다는 것과 상충함
Subnetmask로 해결
시스템수가 적을 경우는 Class C의
netA
164.124.1.1
A
Sub Network Number 를 할당하는 것
이 바람직
164.124.2.1
netB
netC
164.124.3.2
164.124.3.1
164.124.2.2
B
netD
164.124.4.2
164.124.4.1
164.124.4.3
subnetting은 IP Address를 효율적으로 이용할 수 있는 방법중의 하나다.
subnetting의 또 다른 장점중의 하나는 traffic관리 및 제어가 가능하다는 점이다. 만약 한개의 ethernet에
Class B Network Number 164.124가 할당되어 있고 그곳에 60000여대의 시스템이 접속되어 있다고
가정하자. ethernet은 CDMA/CD LAN이므로 어느 시스템이 frame을 전달하기 위해서는 많은 시간을
대기하여야 할 것이며, 충돌도 많이 발생할 것이다.따라서 LAN을 여러개의 새로운 LAN으로 재구성하고
Connecting People To Information
sub network number를 할당하면 이러한 상황을 개선할 수 있다.
또한 subnetting은 불필요한 broadcasting message를 제한할 수 있는 수단으로 이용된다.
네트웍이 subnetting되었을때 각각의 네트웍은 동일한 sub network number를 갖는다.
netA는 sub network number 164.124.1.0을 갖는다.
netB는 sub network number 164.124.2.0을 갖는다.
netC는 sub network number 164.124.3.0을 갖는다.
netD는 sub network number 164.124.4.0을 갖는다.
sub network number인 164.124.255.0은 이용하지 않는데 이것은 subnetmask에서 이유를 알 수 있을 것이다.
라우터는 Network Number만을 가지고 라우팅을 처리해 주는데 subnetting 이전에는 164.124.0.0에 대한
경로 1개만을 가지고 있었는데 subnnetting 이후에는 각 sub network number에 대한 경로를 가진다.
subnetting 이후 라우터 A의 routing table
164.124.1.0 164.124.1.1
164.124.2.0 164.124.2.1
164.124.3.0 164.124.2.2
164.124.4.0 164.124.2.2
Subnetmask
Class A
IP Addr
본래
netmask
Connecting People To Information
masking
Class B
IP Addr
본래
netmask
masking
Class C
IP Addr
본래
netmask
masking
N
H
H
H
60
1
2
3
255
0
0
0
60
0
0
0
N
N
H
H
164
124
116
5
255
255
0
0
164
124
0
0
N
N
N
H
203
252
3
1
255
255
255
0
203
252
3
0
Class A
IP Addr
new
netmask
masking
Class B
IP Addr
new
netmask
masking
Class C
IP Addr
new
netmask
masking
N
H
H
H
60
1
2
3
255
255
0
0
60
1
0
0
N
N
H
H
164
124
116
5
255
255
255
0
164
124
116
0
N
N
N
H
203
252
3
66
255
255
255
192
203
252
3
64
netmask는 대응하는 IP Address중 어느 부분을 Network Number 부분으로 할 것인지를 지적하는 것이다.
Connecting People To Information
Network Number에 해당하는 netmask의 bit 값은 1이며 Host Number에 해당하는 netmask의 bit값은 0이다.
Class A IP Address는 netmask 255.0.0.0을 이용한다.
Class B IP Address는 netmask 255.255.0.0을 이용한다.
Class C IP Address는 netmask 255.255.255.0을 이용한다.
netmask를 오른쪽으로 이동하면 원래 Network Number에 속하는 sub network number를 여러개 생성할
수 있다. 그러나 각 sub network number를 공유할 수 있는 시스템수는 적어진다.
라우터는 netmask 정보를 가지고 목적지에 대한 network number 혹은 sub network number를 알아낸다.
netmask 정보를 갖고 있지 않을때는 Class에 따른 본래 netmask를 적용한다.
subnetmask bit에 따른 10진수 값은 아래와 같다.
10000000 128
11000000 192
11100000 224
11110000 240
1111000 248
11111110 254
11111100 252
11111111 255
subnetmask의 bit값 1이 연속되어 왼쪽에서부터 오른쪽으로 이동할 필요는 없다. 그러나 이와 다르게 하는 것은
권장하지 않는다. 이해하기 어렵고 의미가 없기 때문이다.
00001111 (not good)
11000011 (not good)
Subnetting 계획
10개의 네트웍이 있으며, 각 네트웍에는 6대의 시스템이 있고, 1개의 Class C Network Number
Connecting People To Information
203.252.3.0 이 있을때 어떻게 subnetmask를 적용할까?
Class C subnetting
subnetmask
255.255.255.192
255.255.255.224
255.255.255.240
255.255.255.248
255.255.255.252
No. subnets
2
6
14
30
62
No. hosts
62
30
14
6
2
Class B subnetting
subnetmask
255.255.192.0
~
255.255.255.254
~
255.255.255.252
No. subnets
2
~
126
~
16382
No. hosts
16382
~
510
~
2
203.252.3.0의 subnets
203.252.3.16
203.252.3.32
203.252.3.48
~
203.252.3.192
203.252.3.208
203.252.3.224
총 14개
Basic Network Configuration
130.130.2.2/24
130.130.1.2/24
Connecting People To Information
130.120.0.2/16
130.130.1.1/24
e0
B
130.120.0.1/16
s0
s0
s1
s1
130.130.2.1/24
C
130.140.0.1/16
e0
130.140.0.2/16
e0
D
e0
A
e1
130.150.0.1/16
e1
130.100.1.1/24
e1
130.150.0.2/16
E
/16은 subnetmask가 1bit~16bit까지 1임을 의미하므로 255.255.0.0을 의미
/24은 subnetmask가 1bit~24bit까지 1임을 의미하므로 255.255.255.0을 의미
e0는 interface ethernet 0를 의미, s0는 interface serial 0를 의미
130.120.0.1/16이라는 것은 interface의 IP Address로 130.120.0.1을 가지며 subnetmask는 255.255.0.0을
갖는다는 것을 의미한다.
130.120.0.1은 Class B IP Address이고 Class B IP Address는 기본적으로 netmask 255.255.0.0을 가지므로,
Connecting People To Information
130.120.0.0은 subnetting되지 않았다는 사실을 알수 있다.
130.100.1.1은 Class B IP Address이고 기본적으로 netmask 255.255.0.0을 갖는다.
130.100.1.1/24는 subnetmask로 /24 즉 255.255.255.0이므로 subnetting되었다는 사실을 알 수 있다.
130.100.1.1/24는 subnetwork 30.100.1.0/24에 속해 있는 IP Address이다.
/ 표시와 대응 netmask 예
/8 255.0.0.0
/9 255.128.0.0
/18 255.192.0.0
/24 255.255.255.0
/27 255.255.255.224
/28 255.255.255.240
/29 255.255.255.248
/30 255.255.255.252
interface이름은 interface 형태와 몇번째 slot의 몇번째 port에 속하는 것인가를 표시하여 지정한다.
즉 어떤 serial interface가 2번째 slot의 3번째 port에 위치해 있다면 그것은 serial 1/2로 표시된다. 숫자가
1씩 적은 이유은 0에서부터 시작하기 때문이다. serial interface를 위한 serial slot이 1개 밖에 없다면
serial 2로 간단히 표시되기도 한다.
Connecting People To Information
IP Address 설정
global config mode에서 특정 interface를 지정한 후 IP Address 및 netmask 입력
description은 생략되어도 되지만 ip-address는 꼭 지정되어야 함
shutdown이 선언되어 있는 경우 no shutdown을 입력해야 함
Router(config)# interface interface-type [slot/]port
Router(config-if)# description description-for-this-interface
Router(config-if)# ip address ip-address netmask
Router(config-if)# no shutdown
Router(config-if)# Ctrl-Z
Router#
라우터B Interface에 대한 IP Address 설정 과정
Router#config terminal
Router(config)# hostname routerB
routerB(config)# interface ethernet 0
Connecting People To Information
routerB(config-if)# ip address 130.120.0.2 255.255.0.0
routerB(config-if)# no shutdown
routerB(config-if)# exit
routerB(config)# interface serial 0
routerB(config-if)# ip address 130.130.1.1 255.255.255.0
routerB(config-if)# no shutdown
routerB(config-if)# exit
routerB(config)# interface serial 1
routerB(config-if)# ip address 130.130.2.1 255.255.255.0
routerB(config-if)# no shutdown
routerB(config-if)# Ctrl-Z
routerB# wr m
환경설정 확인
router# show running-config
router# show interface
routerB> sh interface
Connecting People To Information
Ethernet0 is up, line protocol is up
Internet address is 130.120.0.2, subnet mask is 255.255.0.0
Encapsulation ARPA.............
Serial0 is up, line protocol is up
Internet address is 130.130.1.1, subnet mask is 255.255.255.0
Encapsulation HDLC...................
Serial1 is up, line protocol is up
Internet address is 130.130.2.1, subnet mask is 255.255.255.0
Encapsulation HDLC...................
router# show interface ethernet 0
router# show interface serial 0
명령어 show는 모든 라우터의 정보를 조회할 수 있는 명령어이다.
user mode는에서 show로 조회할 수 있는 정보는 제한되어 있다.
명령어 ‘show interface’는 라우터의 모든 interface에 대한 정보를 보여준다.
‘show interface’에 대한 출력결과를 살펴보면 interface mode에서 설정한 IP Address 및 netmask를
Connecting People To Information
확인할 수 있다.
Interface Ethernet에 대한 encapsulation은 ARPA, Interface Serial에 대한 encapsulation은 HDLC인
것에 주목하자. 특히 Interface Serial에 대한 encapsulation은 별도로 지정해 주지 않으면 CISCO
라우터에서는 HDLC로 설정된다.
‘show interface’의 출력결과중 첫번째 줄이 각 Interface의 동작상태를 보여주는데 해석은 다음과 같이
할 수 있다.
Serial0 is up, line protocol is up : 정상상태
Serial0 is up, line protocol is down : datalink protocol 이상 (datalink protocol 점검필요)
Serial0 is down, line protocol is down : 물리적인 inteface 이상 (연결점검필요)
Data Link Protocol 설정
LAN용 Interface에는 별도로 data link protocol을 설정하지 않아도 되지만 WAN용 Interface에는
Connecting People To Information
IP Address와 함께 data link protocol을 설정해야 함
대응하는 라우터의 Interface에서도 동일한 datalink protocol을 지정해야 함
HDLC, PPP, X25, Frame-Relay등을 지정할 수 있음
CISCO 라우터에서는 default로 HDLC를 이용함
PPP는 표준이므로 CISCO 제품이 아닌 라우터와 연결할때에는 PPP를 이용할 것을 권장
Router(config-if)# encapsulation encapsulation-type
라우터B의 Interface Serial 0에 대한 encapsulation ppp는 다음과 같이 지정
routerB#config terminal
routerB(config)# interface serial 0
routerB(config-if)# encapsulation ppp
Connecting People To Information
routerB(config-if)# Ctrl-Z
routerB#
라우터 C의 Interface Serial 0에서도 동일한 encapsulation 을 지정해야 함
routerC#config terminal
routerC(config)# interface serial 0
routerC(config-if)# encapsulation ppp
routerC(config-if)# Ctrl-Z
routerC#
라우터B에서 Interface Serial 0에 대한 encapsulation이 변경된 사실을 다음과 같이 확인
routerB> show interface serial 0
Serial0 is up, line protocol is up
Internet address is 130.130.1.1, subnet mask is 255.255.255.0
Encapsulation PPP...................
Address 설정 확인
Application
telnet
Connecting People To Information
Transport
Internet
ICMP
trace
Network
Interface
Hardware
• telnet
• ping
• trace
Application
telnet
Transport
ICMP Internet
trace
Network
Interface
Hardware
telnet은 application으로 상대측으로 login할 수 있는 기능이다. 연결이 정상적으로 되었다면 login
prompt를 만나게 될 것이다.
라우터A에서 라우터B를 login할때
rouerA>telnet 130.120.0.2
Connecting People To Information
ping은 ICMP를 이용하는 기능으로 연결이 정상적으로 되어 있을때 상대측으로 echo 신호를 보내면
상대측은 echo reply 신호를 보내준다.
라우터A에서 라우터B를 ping할때
routerA>ping 130.120.0.2
ping에는 simple ping과 extended ping이 있음
trace는 경유하는 시스템들에 대한 정보를 출력해주는 기능으로 어느 시스템까지 정상적으로 연결이
되어 있는지에 대한 정보를 보여주는 중요한 기능이다.
라우터A에서 라우터B를 trace할때
routerA>trace 130.120.0.2
Ip Routing
Static Route vs Dynamic Route
Static Routing
Static Route
Connecting People To Information
Default Route
Dynamic Routing
Interior Gateway Protocol
RIP,IGRP(cisco),OSPF,EIGRP(cisco)
Exterior Gateway Protocol
• BGP
라우터는 Static Route 및 Dynamic Route를 Routing Table에 관리
라우터는 동시에 여러 개의 Routing Protocol 을 운영할 수 있음
IP Routing Protocol중 CISCO에서만 사용가능한 Routing Protocol은 IGRP, EIGRP이며, 다른 회사의 라우터들과 Routing
Information을 교환하려면 RIP, OSPF등을 이용해야 한다.
routing과 routing protocol을 혼동하지 말도록 하자. routing은 IP packet을 목적지까지 전달하는 과정을 의미하며 routing
Connecting People To Information
protocol은 routing information을 주고 받기 위한 protocol이다.
라우터에서 routing protocol을 활성화해 주어야 인접한 라우터들과 routing information을 교환한다.
라우터간에 routing information을 주고 받으려면 interface serial에서 동일한 data link protocol로 encapsulation을 지정하듯
이 동일한 routing protocol을 지정하여 활성화해야 한다.
라우터는 static route 및 dynamic route를 routing table에 관리한다.
routing table에는 목적지 IP Network Number와 그에 대응하는 route가 저장되는데 route는 해당 route의 IP Address 혹은
route에 해당하는 Interface로 표시되기도 한다.
라우터는 동일목적지에 대해 여러개의 route 정보를 가질 수 있다. 그러나 routing table에 동일목적지에 대한 route가 모두 등록
되지 않기도 한다.
default route란 목적지 IP Network Address에 대한 route가 없을때 해당 IP Packet을 전달할 route를 말한다. default route는
대개 자신보다 많은 route 정보를 가지고 있는 라우터의 IP Address를 지정하는데 이유는 일단 그 라우터를 IP Packet을 전달하
면 그 라우터가 해당 IP Packet을 routing시킬 가능성이 높기 때문이다.
default route는 dynamic routing protocol을 운영할때도 설정해 주는 것이 바람직하다
라우터의 Interface에 할당된 IP Network Number에 대한 route는 static route나 default route를 선언해 주지 않아도 routing
table에 등록되어 있다.
Static Route 와 Default Route 설정
Static Route
Route(config)# ip route destination-ip-network[netmask]\{ip-address|interface} [destination]
• Destination-ip-network : 목적지 IP Network Number
Connecting People To Information
• netmask : 목적지 IP Nerwork Number에 대한 netmask
• ip-address : 해당 route에 해당하는 IP address
• interface : 해당 route에 접속되어 있는 interface
• Default Route
Router(config)#ip default-network ip-address
• ip-address: 해당 route에 해당하는 IP Address
Static route 설정
netmask는 생략이 가능한데 생략되었을 경우 Class에 따른 default netmask가 적용된다.
address 혹은 interface를 명시하면 된다.
default-network 대신 0.0.0.0 0.0.0.0을 주로 이용한다.
• router(config)# ip route 0.0.0.0 0.0.0.0 ..........
Connecting People To Information
Routing 관련 Keyword(1)
Advertising 혹은 announcement
Neighbor
Next hop
주기적 update
Partial update 및 full update
Metric factor 및 metric | cost
Autonomous System Number(AS Number,ASN)
advertising(announcement)은 자신이 알고 있는 routing 정보를 인접한 라우터에게 전달하는 것이다.
이때 routing 정보를 주고 받는 관계에 있는 라우터를 neighbor라고 한다.
packet이 라우터A, B, C, D를 지나 목적지에 갈때 라우터A입장에서는 해당 경로에 대한 다음 경유지는
라우터B이다. 이때 라우터B를 next hop이라고 한다. 그리고 경유하는 라우터의 수를 hop count라고 한다.
Connecting People To Information
라우터들은 neighbor 라우터와 30초 혹은 90초 간격으로 정기적으로 routing정보를 주고 받는데 이러한
것을 주기적 update라고 한다. 그리고 정기적인 시간 간격보다는 정보가 변화될때마다 routing 정보를
주고 받는 형태를 event-triggered update라고도 한다.
모든 routing정보를 전달하는방법과 변화된 정보만을 전달하는 방법이 있는데 전자를 full update, 후자를
partial update라고 한다.
경로결정 영향요소에는 Bandwidth, Delay, Reliability, Load, MTU, Hop Count등이 있는데 이러한 것을
metric factor라고 한다. 그리고 실제 이들을 근간으로 하여 해당 경로에 대한 값을 구하는데 이를 cost (혹은
metric)이라고 한다. cost가 낮은 경로를 선호한다.
cost = function (metric factors)
RIP의 metric factor는 hop count
IGRP의 metric factor는 bandwidth, delay, reliability, load, MTU
OSPF의 metric factor는 bandwidth
EIGRP의 metric factor는 IGRP의 그것과 동일
BGP의 metric factor는 다양하며 cost를 계산하는 과정이 RIP, IGRP, OSPF, EIGRP등과 전혀 다름
AS Number라는 것은 말 그대로 자치시스템 번호라는 뜻이다. 이것이 의미하는 바는 어느 한 정책
관리자가 라우팅정책을 자율적으로 설정할 수 있는 네트웍에 대한 번호라는 뜻이다. 동일한 라우팅정책을
이용하는 네트웍그룹에 대한 번호라고도 말할 수 있다. 인터넷에 연결되지 않을때는 임의의 AS Number를
Connecting People To Information
이용하면 되지만 인터넷에 연결될때는 인터넷사업자의 AS Number를 이용하거나 NIC로부터 고유한
AS Number를 할당받아야 한다. AS Number를 이용하는 Routing Protocol에는 IGRP, EIGRP,
BGP등이 있다.
Routing 관련 Keyword(2)
Distance 혹은 Administrative distance
Directed connected 0 > static 1 > EIGRP summary 5 > EBGP 20 >
IEIGRP 90 > IGRP 100 > OSPF110 > IS-IS 115 > RIP120 >
EGP 140 > EEIGRP 170 >IBGP 200 >unknown 255
Redistribute
area
summarization 혹은 aggregation
class - oriented routing 및 classless routing
Connecting People To Information
administrative distance를 신뢰도라고 생각하면 이해가 빠를 것이다. 목적지A에 대한 경로를 RIP으로
부터는 a1, IGRP로부터는 a2, OSPF로부터는 a3를 받았다면 어떤 경로를 선택해야할까? 단순히 cost값만을
비교하여 cost가 작은 경로를 선택할까? RIP, IGRP, OSPF의 cost를 계산하는 function은 전혀 다르다.
즉 이들간에 cost를 비교하는 것은 의미가 없다는 뜻이다. 따라서 동일한 목적지에 대한 경로를 여러 routing
protocol로부터 얻었을때 이들중 하나를 선택해야 하는데 cost를 비교하는 것이 아니라 각 routing protocol
마다 신뢰도를 정하여 신뢰도가 높은 routing protocol에 의한 경로를 선택한다. CISCO 라우터에서는
administrative distance의 값이 낮을수록 신뢰도가 높다.
RIP을 이용하는 네트웍과 IGRP를 이용하는 네트웍을 접속할 경우가 발생한다. RIP과 IGRP는 서로 routing
information을 교환할 수 없다. 이때 redistribution(재분배)을 통해 RIP정보를 IGRP가 알아볼 수 있는 형태로,
IGRP정보를 RIP이 알아볼 수 있는 형태로 변환한다.
Link State Routing Protocol의 initial flooding을 해결하기 위한 한 방법으로 네트웍을 작은 여러개의
영역으로 나누어 routing information을 교환하게 한다고 하였는데 그 작은 영역을 area라고 한다.
OSPF에서 이용된다.
일반적으로라우터는 routing information을 전달할때 각 class별 IP Address에 대해 각 route를 전달한다.
그런데 임의의 IP Address집단이 동일한 route를 가지는 경우가 있다. 이 경우 각 IP Address에 대한
각각의 route를 전달하는 것이 아니라 여러 목적지에 대한 IP Address를 하나로 묶고 이것에 대한 한 개의
route만을 전달한다면 라우터간의 대역낭비를 막을수 있고, 라우터의 메모리도 절약할 수 있을 것이다.
이렇게 여러 목적지를 하나의 표현방식으로 나타내는 것을 summarization 혹은 aggregation이라고 한다.
summarization을 지원하는 routing protocol은 EIGRP, OSPF, BGP이다.
class-oriented routing이라는 것은 class별 IP Address에 대한 route 정보만 routing information으로
주고 받는 것이다. 라우터간에 subnetwork에 대한 route는 전달되지 않는다. 이러한 것과 반대되는 개념이
classless routing이다. 즉 subnetwork에 대한 route도 전달한다. 앞에서 말한 summarization 혹은
aggregation은 classless routing에 적용된다.
class-oriented routing protocol은 RIP, IGRP이다.
Connecting People To Information
classless routing protocol은 EIGRP, OSPF, BGP이다.
IP Routing 설정 절차
Global Configuration
IP routing protocol 중에 하나를 선택
Routing Update 에 참여할 자신의 Interface 에 할당된 IP Network Address 선언
Interface Configuration
IP Address 및 netmask 지정
global configuration mode에서 RIP, IGRP, OSPF, EIGRP중 하나를 골라 routing protocol로 선언한다.
그리고 routing update에 참여할 자신의 interface에 할당된 IP network address들을 선언한다.
라우터내에서 routing protocol을 1개만 활성화할 수 있는 것은 아니다. 여러개를 동시에 운영할 수 있다.
Connecting People To Information
단 각 routing protocol에 대해 각각 routing update에 참여할 자신의 interface에 할당된 IP network
address들을 선언한다.
위 그림에서 라우터A에서 RIP을 활성화했다면 RIP에 대해 선언할 network은 netA와 netB 이다.
netA를 선언하지 않으면 netA에 대한 정보를 라우터B에게 전달하지 않는다. 만약 netB를 선언하지 않으면
라우터A가 갖고 있는 routing information이 라우터B에게 전달되지 않는다.
routing protocol을 활성화하고 network을 선언하는 방법은 다음과 같다.
Router(config)# router protocol [parameter]
Router(config-router)# network network-number_1
Router(config-router)# network network-number_2
Router(config-router)# network network-number_n
Connecting People To Information
Rip 설정방법
Router(config)#router rip
Router(config-router)#network network-number
Connecting People To Information
RIP은 RFC1058에 규정되어 있다.
RIP은 BSD UNIX의 routed로 처음 발표되었었다.
distance vector routing protocol
interior gateway protocol
metric factor로 hopcount를 이용하며 가능한 최대값은 15이다.
30초마다 routing information을 전달한다.
cisco 라우터에서 administrative distance는 120이다.
routing information 전체를 전달하는 full update 방식 을 이용한다.
sing path routing protocol이다.
neighbor 관계는 flat한 형태로 맺을 수 있다.
class-oriented routing만을 지원한다.그리고 summarization을 지원하지 않는다.
AS Number를 필요로 하지 않는다.
Connecting People To Information
Rip Define Example
routerA#sh config
routerB#sh config
routerA#sh config
routerA#sh config
routerA#sh config
router rip
router rip
router rip
router rip
router rip
network 130.100.0.0
network 130.120.0.0
network 130.130.0.0
network 130.140.0.0
network 130.120.0.0
network 130.130.0.0
network 130.140.0.0
network 130.150.0.0
network 130.150.0.0
RIP을 이용하는 네트웍에서 subnetwork number가 불연속적으로 할당되는 것은 피해야 한다.
130.130.3.0/24를 라우터D와 라우터E의 interface ethernet1에 대한 network number로 할당하지 않아야 한다.
라우터B에서 network number로 130.130.1.0, 130.130.2.0을 각각 따로 선언하지 않았다.
이유는 이들은 class network number인 130.130.0.0의 subnetwork number기 때문이다.
Rip 동작확인
Connecting People To Information
router A# sh ip protocol
Routing Protocol is "rip"
Sending updates every 30 seconds, next due in 1 seconds
Invalid after 180 seconds, hold down 180, flushed after 240
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Redistributing: rip
Routing for Networks:
192.132.247.0
Routing Information Sources:
Gateway
Distance Last Update
192.132.247.1
120
0:00:01
Distance: (default is 120)
Sending updates every 30 seconds, next due in 1 seconds
rip은 30초마다 routing information을 전달한다는 것을 알 수 있으며, 현재 다음까지는 1초가
남았다는 사실을 알 수 있다.
Invalid after 180 seconds, hold down 180, flushed after 240
rip은 어느 목적지에 대한 route가 180초 동안 전달되지 않으면 해당 목적지는 다다를수 없다고
판단한다.
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
distribute-list가 정의되어 있지 않았음을 나타낸다. distribute-list는 in, out 두 가지 방향으로
적용가능하다
Routing for Networks:
130.100.0.0
Connecting People To Information
130.120.0.0
routing update 에 참여하는 network number가 나타난다.
Routing Information Sources:
Gateway
Distance
Last Update
routing information 을 주고 받는 라우터에 대한 정보가 나타난다.
Distance: (default is 120)
rip의 administrative distance는 120이다.
rip의 administrative distance를 변경시킬 수 있다.
• router rip
• distance 100
- rip의 administrative distance를 100으로 변경한 결과
Routing Table 조회
router E# sh ip route
R 130.130.0.0/16[120/2]via 139.150.0.1 00:00:06,Ethernet 1:[120/2]에서 120은 Administrative distance
2는 hop count
Connecting People To Information
R 130.140.0.0/16[120/1]via 139.150.0.1 00:00:06,Ethernet 1
C 130.150.0.0/16 is directly connected Ethernet1
R 130.100.0.0/16[120/4]via 139.150.0.1 00:00:06,Ethernet 1
R 130.120.0.0/16[120/3]via 139.150.0.1 00:00:06,Ethernet 1
router E# sh ip route 130.130.0.0 : 해당 Record에 대한 정보를 보다 자세히 보여준다.
router E# sh ip route static : static routing information 에 해당하는 routing table 의 record 들만 보여줌
router E# sh ip route rip
router E# sh ip route igrp
router E# sh ip route eigrp
router E# sh ip route ospf
router E# sh ip route bgp
router E는 130.130.0.0에 대한 route 130.150.0.1(router D)로 부터 전달 받았으며,router D를 가려면 자신의
interface ethernet 1을 통하면 갈 수 있다.
Connecting People To Information
IGRP 설정방법
Router(config)#router igrp as-number
Router(config-router)#network-number
Connecting People To Information
IGRP는 cisco사에서 개발한 것임.
distance vector routing protocol
interior gateway protocol
metric factor로bandwidth, delay, reliability, load, mtu를 이용한다.
90초마다 routing information을 전달한다. 추가적으로 네트웍의 변화를 인지했을 경우 이를 인접한
라우터에게 즉시 전달해 준다. 이런 것을 Flash Update라고 한다. 이러한 특성때문에 convergence time이
rip보다 빠르다.
cisco 라우터에서 administrative distance는 100이다.
routing information 전체를 전달하는 full update 방식을 이용한다.
multi path routing protocol이다. 그렇지만 기본적으로 single path routing으로 설정되어 있으므로 multi
path routing을 할 수 있도록 설정해주어야 한다.
neighbor 관계는 flat한 형태로 맺을 수 있다.
class-oriented routing만을 지원한다.그리고 summarization을 지원하지 않는다.
AS Number를 필요로 한다. AS Number가 동일한 라우터끼리만 IGRP routing information을 교환한다.
Connecting People To Information
IGRP Configuration Example
Router A#sh config
Router B#sh config
Router A#sh config
Router A#sh config
Router A#sh config
router igrp 100
router igrp 100
router igrp 100
router igrp 100
router igrp 100
network 130.100.0.0
network 130.120.0.0
network 130.130.0.0
network 130.140.0.0
network 130.150.0.0
network 130.120.0.0
network 130.130.0.0
network 130.140.0.0
network 130.150.0.0
network 130.120.0.0
AS Number를 지정하는 것 이외에는 모든 내용이 RIP을 설정하는 방법과 동일하다.
IGRP의 cost를 계산하는 방식은 다음과 같다.
Cost = [ K1 * Bandwidth’ + (K2 * Bandwidth’) / (256 - Load) + K3 * Delay] *
[K5 / (Reliability + K4) ]
Connecting People To Information
(K1, K2, K3, K4, K5는 상수값)
cisco 라우터에서는 기본적으로 K1 == K3 ==1, K2 == K4 == K ==0으로 설정되어 있어 cost를 계산하는
방식은 다음과 같이 간략화된다.
Cost = K1 * Bandwidth’ + K3 * Delay
cisco에서 통신매체(LAN 매체, WAN매체)에 따라 정의하고 있는 Bandwidth’와 Delay값은 다음과 같다.
통신매체
Delay
Bandwidth’
위성회선
2초
20 (500Mbps)
Ethernet
100
1,000
1.5Mbps
2,000 (20msec)
6,476
64Kbps
2,000
156,250
56Kbps
2,000
178,571
10Kbps
2,000
1,000,000
1Kbps
2,000
10,000,000
Bandwidth’ = 10,000,000 / ? Kbps
metric factor의 bandwidth’는 우리가 보통 알고 있는 bandwidth와 다르다는 것에 주의
그러나 interface에 bandwidth를 지정할때는 우리가 보통 알고 있는 의미의 bandwidth를
Kbps단위로 지정할 것
Connecting People To Information
라우터의 interface serial에 대한 default bandwidth는 1.5Mbps로 지정되어 있으므로 바른 cost 계산을
위해서는 bandwidth를 지정해야 함
Router(config-if)# bandwidth 56
IGRP Routing Table 확인
router C# sh ip ro igrp
I 130.100.0.0 [100/86 76] via 130.130.1.1 ,00:00:02,serial 0
[100/8676]via 130.130.2.1 00:00:02,serial 1
Connecting People To Information
I 130.100.0.0 [100/85 76] via 130.130.1.1 ,00:00:02,serial 0
[100/85 76]via 130.130.2.1 00:00:02,serial 1
…………………
router E# sh ip ro igrp
I 130.130.0.0/16 [100/8676]via 130.150.0.1,00:00:03 Ethernet 1
I 130.130.0.0/16 [100/8676]via 130.150.0.1,00:00:03 Ethernet 1
I 130.130.0.0/16 [100/8676]via 130.150.0.1,00:00:03 Ethernet 1
I 130.130.0.0/16 [100/8676]via 130.150.0.1,00:00:03 Ethernet 1
routerC는 130.100.0.0과 130.120.0.0에 대해 각각 2개의 route를 갖고 있다. 그리고 두 경로의
metric factor가 모두 동일하므로 같은 cost 8676을 갖는다.
routerE는 130.100.0.0과 130.120.0.0에 대해 1개의 route를 갖고 있다. routerE는 routerC가
두개의 경로를 갖고 있는지 모른다.
Connecting People To Information
IGRP에서 Bandwidth는 경유하는 통신매채의 Bandwidth 값중 가장 큰 값을 선택하며, Delay는
거쳐가는 통신매체의 Delay를 모두 더한 값을 이용한다.
Bandwidth = Max (Bandwidth1, Bandwidth2, ..., Bandwidth_n)
Delay
= SUM (Delay1, Delay2, ..., Delay_n)
Connecting People To Information
Serial Link 에서의 load balance
Router B# sh config
Router C# sh config
router igrp 100
router igrp 100
network 130.120.0.0
network 130.130.0.0
network 130.130.0.0
network 130.140.0.0
variance 4
variance 4
traffic-shared balanced
traffic-shared balanced
interface serial 0
interface serial 0
bandwidth 512
bandwidth 512
router B# sh ip route igrp
router B# sh ip route igrp
I 130.140.0.0[100/21631]….,serial0
I 130.120.0.0[100/21631]….,serial0
[100/8576]……,serial1
[100/8576]……,serial1
만약 routerB의 interface serial 0에 대한 bandwidth만 512로 지정하였다면 130.140.0.0에 대한
route는 serial 1으로 1개만 나타날 것이다. 왜냐하면 cost가 작은 route만 routing table에 등록되기
때문이다. 그러나 variance를 선언함으로써 cost가 더 많은 route도 routing table에 등록되게 할 수 있다.
variance는 이러한 cost의몇배수범위에 있는 route도 등록할 것인지를 지정하는 명령어이다. 선언하지
Connecting People To Information
않으면 즉 default로는 1이다.
variance를 4로 선언했을때 route에 대한 cost가 4배 이상 차이가 나면 cost가 큰 route는 routing table에
등록되지 않는다.
IGRP는 동일목적지에 대해 cost가 다른 route를 최대 4개까지 지원한다.
traffic-shared balanced는 트래픽을 cost 비율에 따라 반비례하여 전달하라는 뜻이다. 1.544Mbps 회선과
512Kbps 회선에 대한 cost는 약 3배차이가 나므로 4개의 packet이 있을 경우 1.544Mbps 회선으로 3개,
512Kbps회선으로 1개를 보낸다.
Redistribution
다른 Routing Protocol의 Routing Table 을 교환하는 방법
AS Number가 다른 네트워크 간에 Routing Table 을 교환하는 방법
일반적으로 여러 네트워크에 접속되어 여러 개의 Routing Protocol을 운영하는 라우터가 재분배를 담당
Connecting People To Information
Routing Protocol A의 Routing Table을 Routing Protocol B로 재분배할 때 Routing Protocol B의
metric factor나 cost를 지정해 주어야 함
ASN이 다른 IGRP간의 Redistribution
AS 100
AS 100
130.100.0.0
130.140.0.0
130.120.0.0
130.150.0.0
Connecting People To Information
130.130.0.0
routerA#sh config
routerC#sh config
routerD#sh config
router igrp 100
router igrp 200
router igrp 200
network 130.100.0.0
network 130.130.0.0
network 130.140.0.0
network 130.120.0.0
redistribute igrp 200
network 130.150.0.0
router B#sh config
router igrp 200
router E#sh config
router igrp 100
network 130.140.0.0
router igrp 200
network 130.120.0.0
redistribute igrp 100
network 130.150.0.0
network 130.130.0.0
routerC에서는 igrp를 AS100과 AS200에 대해 각각 활성화하였다.
router igrp 100의 ‘redistribute igrp 200’은 AS200에 속해있는 네트웍에 대한 route information을
AS100의 routing table로 전달한다.
router igrp 200의 ‘redistribute igrp 100’을 선언하지 않으면 AS200에 있는 라우터들은 AS100에 속한
Connecting People To Information
네트웍에 대한 route information을 전달받지 못하게 된다.
igrp간의 재분배시에는 metric factor를 선언해 주지 않아도 된다.
어떤 routing protocol에 의한 route information을 igrp로 재분배할때 metric factor를 선언해 주어야 하는데
방법은 다음과 같다.
router igrp as-number
redistribute any-protocol [parameters]
default-metric bandwidth delay reliability load mtu
bandwidth는 회선의 대역을 Kbps단위로 표시하면 된다.
delay는 ‘IGRP 설정 예’의 설명부분을 참조
reliability는 1에서 255까지로 높을수록 신뢰도가 높다.
load는 1에서부터 255까지로 1일 경우 load가 가장 낮은 것을 의미한다.
예는 다음과 같다.
router igrp 200
redistribute igrp 100
default-metric 1544 2000 255 1 1500
Rip과 IGRP 간의 재분배
RIP
IGRP AS200
130.100.0.0
130.140.0.0
130.120.0.0
130.150.0.0
Connecting People To Information
130.130.0.0
routerC#sh config
routerA#sh config
router igrp 100
network 130.100.0.0
network 130.120.0.0
router B#sh config
router igrp 100
network 130.120.0.0
network 130.130.0.0
router rip
routerD#sh config
network 130.130.0.0
router igrp 200
redistribute igrp 200
network 130.140.0.0
default-metric 3
network 130.150.0.0
router igrp 200
router E#sh config
network 130.140.0.0
router igrp 200
redistribute rip
network 130.150.0.0
default-metric 10000 100 255 1 1500
routerC에서는rip과 igrp를 각각 활성화하였다.
router igrp 200에서 rip을 igrp로 재분배할때 default-metric을 설정하는 것은 ‘ASN이 다른 IGRP간의
재분배’에서 이미 설명하였다. igrp가 아닌 routing protocol을 igrp로 재분배할 때는 반드시 default-metric을
Connecting People To Information
지정해야 한다.
router rip에서 igrp 200을 rip으로 재분배할때 default-metric을 지정하였다. rip으로 재분배할때
default-metric은 1개만 주면 되며, hop count를 지정하면 된다. 위에서 hop count를 3으로 한 이유는
라우터C입장에서 AS200에 있는 모든 네트웍은 hop count 3 이내에 있기 때문이다.
Connecting People To Information
Access List
원하지 않는 트래픽이 네트워크를 경유하거나 접근할 수 있는데 이것을 차단할 필요가 있음
허가되지 않은 이용자가 라우터를 포함한 네트워크의 특정자원을 접근하려고 하는 것을 차단
Routing Table Update 시 Routing Table 의 어느 부분을 전달하지 않게 하고저 할 때 이를 차단
기타
Priority and Custom Queuing 에서 이용됨
Dial-on-Demand Routing 에서 이용됨
FTP
차단
telnet
차단
Access List는 라우터를 경유하는 모든 packet에 대한 제어를 적용할 수 있는 것이다.
Access List를 적용하여 방화벽 기능과 같은 보안기능을 할 수도 있다.
IP Packet을 위한 Acces List에는 2가지가 있다.
Standard Access List
Extended Access List
Standard Access List는 IP Packet의 source address만을 검사하여 제어를 하는 것이다.
Extended Access List는IP Packet의 source 및 destination address 뿐만 아니라 Application port
번호등을 검사하여 제어를 한다.
IP Standard Access List
Destination addr
Connecting People To Information
130.100.0.1
source addr
130.140.1.3
130.140.0.0
IP source Address 만을 검사하여 제어
Access list 번호는 1~99 까지 이용
Access list 는 단지 특정 Source address를 가진 IP Packet을 어떻게 제어할 것인가를 정의하는 것 뿐이며,
이것을 특정 Interface 에 적용을 해야 효과가 나타남
Access list 정의
Access list 를 interface에 적용
Access list는 global configuration mode에서 정의한다.
Router(config)# access-list 10 permit ..........
Access list를 interface에 적용하는 방법은 특정 interface configuration mode에서 access-group
이라는 명령어와 함께 해당 access list 번호를 선언하면 된다.
Router(config-if)# ip access-group 10 out
Connecting People To Information
Incoming Access list 적용과정
위 flow chart는 특정 Interface를 통해 들어오는incoming packet을 점검하여 제어하는 과정을 보인 것이다.
특정 interface에 access list가 적용되어 있지 않으면 모든 packet을 해당 interface에서 받아 들인다.
특정 interface에 access list가 적용되어 있으면 packet의 source address를 access list에 정의된 조건과
차례로 점검한다. 일치하는 경우 해당 packet을 deny 하든지 혹은 permit 하든지 한다. permit을 하는 경우는
해당 interface에서 받아 들인다.
조건을 계속 점검했으나 일치하는 것이 없으면 기본적으로 packet은 차단된다. 여기에서 잊지말아야할 것은
access list가 적용되어 있을때 조건과 일치하는 것이 없으면 모든 packet은 차단된다는 사실이다.
Connecting People To Information
Outcoming Access list 적용과정
위 flow chart는 특정 Interface를 전달되려는 packet을 점검하여 제어하는 과정을 보인 것이다. 일단 해당
packet을 특정 interface로 전달하고 그 interface에 access list가 적용되어 있는지 확인한다. 적용되어
있지 않으면 해당 packet을 해당 interface에서 통과시킨다.
해당 interface에 access-list가 정의되어 있으면 packet의 source address를 access list에 정의된
조건과 차례로 점검한다. 일치하는 경우 해당 packet을 deny 하든지 혹은 permit 하든지 한다. permit을
하는 경우는 해당 packet을 해당 interface에서 통과시킨다.
Connecting People To Information
Standard Access list 정의 및 적용
Access list 정의
router(config)#
access-list access-list-number{permit|deny}{source-address[source-address-wildcard]|any}
access-list-number 는 1~99 이용
Access list 적용 (access-group)
router(config-if)# ip access-group access-list-number{in|out}
access-list 에서 정의한 access-list-number를 지정
access-list command
access-list-numbr
해당 access-list를 구별하기 위한 번호. 1 ~ 99 까지 이용
permit | deny
packet의 source-address가 access-list에 명시된 source-address와 일치할 경우 허용할 것인지
차단할 것인지 지정
source-address-wildcard
source-address-wildcard의 bit가 0인 경우 packet의 source address와 access-list에 명시된 source-address가
일치해야 하는 것을 의미하고, bit가 1인 경우 무시되도 된다는 것을 의미한다. 따라서 source-address-wildcard가
0.0.0.0인 경우 packet의 source address와 access-list에 정의된 source-address가 완전히 일치해야 하는 것을
의미한다. source-address-wildcard가 255.255.255.255인 경우는 어떤 source-address든 상관없다는 뜻으로 any를
의미한다. 지정하지 않으면 0.0.0.0이 default이다.
access-group command
in | out
해당 access-list-number를 interface에서 incoming traffic에 적용할 것인지 outcoming traffic에 적용할 것인지 지정한다.
지정하지 않으면 out이 default 이다.
Connecting People To Information
Wildcard Mask
Wildcard mask는 netmask를 역으로 해 놓은 것과 동일하다.
Access List 선언시 유의 사항
좀 더 좁은 범위의 것을 먼저 선언
access-list 10 permit 164.124.116.0 0.0.0.255
access-list 10 deny 164.124.0.0 0.0.255.255
access-list 10 permit any
Connecting People To Information
빈번히 조건을 만족시킬 만한 것을 먼저 선언
가령 164.124.116.0/24과 164.124.118.0/24로부터의 접근을 허용하고자 하는데
164.124.116.0/24에 있는 시스템들이 보다 빈번히 접근할때
access-list 10 permti 164.124.116.0 0.0.0.255
access-list 10 permit 164.124.118.0 0.0.0.255
access-list 10 deny 164.124.0.0 0.0.255.255
access-list 10 permit any
access-list 의 마지막에 특별한 permit any를 지정하지 않는 한 기본적으로 ‘deny any’가 선언되어 있다는
사실을 잊지 말 것
access-list 의 조건을 여러줄에 선언을 하는데 임의의 줄과 줄 사이의 것을 지우거나 수정할 수 없음.
새로 추가하는 것은 모두 마지막에 더 해짐
따라서 동일한 access-list-number 의 조건을 선언할 때는 처음 부터 차례로 전부 선언해 주는
것이 바람직
default ‘deny any’
가령 164.124.116.0/24만 허용하려고 할때 아래의 ‘access-list 10 deny any’는 불필요
access-list 10 permit 164.124.116.0 0.0.0.255
access-list 10 deny any
가령 164.124.116.0/24만 차단하고 나머지는 허용하고자 할때 아래와 같이 선언했다면 결과는?
Connecting People To Information
access-list 10 deny 164.124.116.0 0.0.0.255
-> 모든 packet이 차단됨. 이유는 default로 access-list 10 deny any가 선언되어 있기 때문.
따라서 access-list 10 permit any를 선언해 주어야 한다.
access-list 10 deny 164.124.116.0 0.0.0.255
access-list 10 permit any
Connecting People To Information
Standard Access List 적용 예
내부에서만 131.108.4.0/24를 접근하게 하고 싶을 때
Access -list 10 permit131.108.3.0 0.0.0.255
interface ethernet 1
ip access-group 10 out
131.108.3.0/24에서 131.108.4.0/24를 접근하지 못하도록 하고 싶을 때
access-list 10 deny 131.108.3.0 0.0.0.255
access-list 10 permit any
interface ethernet 1
ip access-group 10 out
Connecting People To Information
Standard Access List Example 1
130.120.0.0/16에서 130.140.0.0/16 은 접근할 수 있도록 하되 130.150.0.0/16은 접근하지
못하도록 함
!router D
access-list 10 deny 130.120.0.0 0.0.255.255
access-list 10 permit any
interface ethernet e0
ip access-group 10 in
Connecting People To Information
Standard Access List Example 2
X를 제외한 172.16.1.0/24에서 172.16.4.0/24를 접근하지 못하게 함
인터넷에서 172.16.4.0/24를 접근하지 못하게 하나 172.16.0.0/16에서는 접근할 수 있도록 함
Y만 172.16.4.0/24를 접근하지 못하게 함
!router B
access-list 10 permit 172.16.1.3
access-list 10 deny 172.16.1.0 0.0.0.255
access-list 10 deny 172.16.3.3 0.0.0.0
access-list 10 permit 172.16.0.0 0.0.255.255
interface ethernet e2
ip access-group 10 out
Connecting People To Information
IP Extended Access List
FTP
WWW
SMTP
Telnet
Source address 및 destination address 를 점검하여 제어
internet layer protocol 및 transport layer protocol, application layer protocol 종류를 점검하여 제어
icmp,igmp,tcp,udp 인 경우 추가적인 정보 명시 필요
다양한 정보를 가지고 조건을 검색하여 제어를 하므로 Standard Access list를 이용하는 것보다 보다 많은 기능을
구현할 수가 있다.
internet layer protocol : ip,icmp
transport layer protocol : tcp,udp
application layer protocol : ftp-data,ftp,telnet,smtp,dns,www,….
Routing protocol(application layer protocol 에 속함):rip,igrp,ospf,bgp
Connecting People To Information
Extended Access List 적용과정
Protocol option 은 생략 가능하다.
standard access list 의 적용과정과 비교할 때 destination address,protocol,protocol option을 추가적으로 점검한다는
사실을 알 수가 있다.
IP Extended Access List 명령
일반적인 형태
route(config)# access-list access-list-number {permit|deny}{protocol|protocol-keyword}
{source wildcard|any}{destination wildcard|any}[protocol-options]
Connecting People To Information
ICMP protocol에 대한 Extende Access list
route(config)#access-list access-list-number{permit|deny}
icmp{source wildcard|any}{destination wildcard|any}
[icmp-type[icmp-code]|icmp-message]
access-list-number는 100 ~ 199까지 이용
protocol keyword로는 ip, icmp, udp, tcp, igrp, eigrp, ospf, nos 등이 있으며, 0 ~ 255까지를 이용한다. ip는 다른
protocol을 모두 포함하는 가장 큰 범위의 것이다.
address에 대한 wildcard mask가 0.0.0.0인 경우 이것을 다음과 같이 다른 방법으로 표현할 수 있다.
164.124.116.5 0.0.0.0 -> host 164.124.116.5
Connecting People To Information
ICMP에 대한 access-list
icmp-type
ICMP message type에 따라 제어가 가능하다. 0 ~ 255 까지가 있다. 생략 가능
icmp-code
ICMP message type에 의해 filtering된 packet은 ICMP message code에 의해서 filtering될 수 있다.
0 ~ 255까지 있다. 생략 가능
icmp-message
icmp-type과 icmp-code를 조합한 것을 알기 쉬운 keyword로 정의해 놓은 것으로 이것을 이용하면 icmp-type과 icmpcode를 입력해야 하는 불편과 복잡함을 피할 수 있다.
Connecting People To Information
• icmp-message keyword
administratively-prohibited
alternate-address
conversinon-error
dod-host-prohibited
dod-net-prohibited
echo
echo-reply
general-parameter-problem
host-isolated
host-tos-redirect
host-tos-unreachable
host-unknown
host-unreachable
information-reply
mask-reply
mask-request
mobile-redirect
net-redirect
net-tos-redirect
net-tos-unreachable
net-unreachable
network-unknown
no-roon-for-option
option-missing
packet-too-big
parameter-problem
port-unreachable
reassembly-timeout
redirect
router-advertisement
router-solicitation
source-quench
source-route-failed
time-exceeded
traceroute
ttl-exceeded
unreachable
IP Extended Access List 명령2
TCP protocol에 대한 Extened Access List
router(config)#access-list access-list-number{permit|deny}
tcp{source wildcard|any}
Connecting People To Information
[operator source-port|source-port]{destination wildcard|any}
[operator destination-port|destination-port][established]
TCP port number 혹은 keyword 로 제어 가능
established 가 지원되는 것이 특징
operator
lt, gt, eq, neq
source-port 및 destination port
0 ~ 65535 까지 가능한데 잘 알려진 port번호에 대해서는 keyword로 지정 가능
Connecting People To Information
established
TCP segment내의 ACK 혹은 RST bit이 1로 설정되어 있는 경우를 말하는데 이것은 데이타 요청에 대한
응답을 가리키는 것이다.
tcp port 번호에 대한 keyword
bgp
chargen
daytime
discard
domain
echo
finger
ftp
ftp-data
gopher
hostname
irc
klogin
kshell
lpd
nntp
pop2
pop3
sunrpc
syslog
tacacs-ds
talk
telnet
time
uucp
whois
www
port에 대한 내용은 RFC1700 참고
Connecting People To Information
IP Extended Access List 명령 3
UDP protocol 에 대한 Extended Access List
router(config)# access-list access-list-number{permit|deny}
udp{source wildcard|any}
[operator source-port|source-port]
{destination wildcard|any}
[operator destination-port|destination-port]
udp port 혹은 keyword 로 제어 가능
“established” 가 지원되지 않음
established가 지원되지 않는 이유는 udp segment는 call connection 과정이 없고 전달한 데이타에 대한
ack 신호를 받지 않기 때문
udp port에 대한 keyword
biff
nameserver syslog
bootpc
netbios-dgm
bootps
netbios-ns talk
discard
ntp
tftp
dns
rip
time
dnsix
snmp
whois
echo
snmptrap
xdmcp
tacacs-ds
mobile-ip
sunrpc
Extended Access List Example
외부에서 X로 메일만 보낼 수 있게 할 때
!routerA
access-list 100 permit tcp any 128.88.1.0. 0.0.0.255 established
access-list 100 permit tcp any host 128.88.1.2 eq smtp
128.88.1.2
Connecting People To Information
interface ethernet 1
E1
ip access-group 100 in
외부
128.88.1.0/24
128.88.3.0/24
외부에서 X로 메일만 보내게 하고, 128.88.0.0/16 으로 nslookup 및 ping 을 허용하려고 할 때
!routerA
access-list 100 permit tcp any 128.88.0.0
0.0.255.255 established
access-list 100 permit tcp any host 128.88.1.2 eq
128.88.1.2
외부
smtp
S1
access-list 100 permit udp any any eq domain
access-list 100 permit tcp any any eq domain
access-list 100 permit icmp any any echo
access-list 100 permit icmp any any echo-reply
interface serial 0
ip access-group 100 in
128.88.1.0/24
128.88.3.0/24
Extended Access List Example 2
외부에서는 203.252.1.202로 nslookup,Internet Mail,Web Service 만 접속할 수 있게 함
단,203.252.1.0/24에 있는 모든 시스템들은 외부의 모든 서비스를 이용할 수 있도록 함
DNS.Mail.Web Server
DB Server
Connecting People To Information
203.252.1.201
203.252.1.202
203.252.1.0
E0
configuration 결과
!router
access-list 101 permit tcp any 203.252.1.0 0.0.0.255 established
access-list 101 permit tcp any host 203.252.1.202 eq smtp
access-list 101 permit tcp any host 203.252.1.202 eq www
access-list 101 permit udp any host 203.252.1.202 eq domain
access-list 101 permit tcp any host 203.252.1.202 eq domain
access-list 101 permit udp any 203.252.1.0 0.0.0.255 gt 1023
interface ethernet 0
ip access-group 101 out
internet
위의 configuration에서”ip access-list 101 permit udp any 203.252.1.0 0.0.0.255 gt 1023”를 선언한 이유는
내부 이용자가 udp segment로 데이타를 보내주는 외부의 서버에 접속하는 것을 허용해 주기 위해서다.
access-list를 선언한 것을 확인하려면 다음과 같은 명령어를 이용하면 된다.
router# show access-lists
Connecting People To Information
router# show ip access-list [access-list-number]
Routing Update 제어
routing information update로 인한 대역절약 및 불필요한 정보가 전달되는 것을 차단하기 위해 passive
interface 및 distribute list 를 이용
BGP 에서는 as-path filtering을 추가적으로 이용할 수 있음
Passive interface
특정 interface 로 routing informaition 을 전달하는 것을 막는 방법
rip,igrp,ospf에서의 passive interface의 기능과 eigrp에서의 passive interface는 약간 다르게 동작함
distribute list
standard access list 를 정의하고 그것을 routing protocol 및 interface에 적용함
as-path filtering
distribute list는 목적지에 대한 network address 를 가지고 standard access list를 정의하나,
이것은 as-path 정보를 가지고 filtering
passive interface
link가 하나밖에 없는 leaf network 같은 경우는 default route 선언만으로도 routing 이 이루어지므로
backbone nework에서 leaf network으로 routing information을 전달할 필요없음
Connecting People To Information
그러나 leaf network은 자신이 갖고 있는 routing information을 backbone newtwork으로는 전달할 필요 있음
backbone
router rip
................
passive-interface serial 0
A
s0
B
leaf
A와 B에 RIP이 활성화 될 경우 A의 rip configuration에서 interface serial 0를 passive-interface 로
선언하면 A가 갖고 있는 rip routing information 을 B에게 전달하지 않는다.그러나 A는 B의 rip routing
information 을 전달 받는다.
Rip 뿐만 아니라 igrp,ospf 등에서 동일하게 이용할 수 있다.
Eigrp 에서 passive-interface 를 선언하면 양방향으로 모두 routing information 을 전달하지 못한다.
Distribute List
전달되는 routing information 일부 혹은 전부를 차단하거나 허용할 수 있는 역할
불필요한 routing information이 전달되는 것을 차단
특정한 routing information만 전달될 수 있도록 함
routing information을 제어하여 네트웍의 라우팅문제 해결
Connecting People To Information
routing information 전달로 인한 대역소모를 방지
standard access list를 이용하여 어떤 목적지에 대한 정보를 차단할지 허용할지 결정
목적지 Network Address를 source address로 간주
incoming 및 outcoming 즉 양방향으로 제어 가능
router(config-router)# distribute-list access-list-number
{in|out} [interface-name | routing-process]
distribute-list 명령어
access-list-number
standard access list 를 정의 할 때 선언한 access-list-number를 지정한다.
Interface-name
serial 0 혹은 ethernet 0와 같은 interface
routing-process
rip,igrp 100,ospf 10 과 같은 routing-process
Distribute List Example
IGRP 109
IGRP 109에 있는 192.168.7.0에 대한 정보만을 IGRP 71로
IGRP 71
192.168.7.0
재분배
Connecting People To Information
IGRP 109에 있는 192.168.7.0만을 제외하고 나머지 정보를
IGRP 71로 재분배
IGRP 109
IGRP 71
IGRP 109에 있는 192.168.7.0만을 제외하고 나머지 모든 정보
192.168.7.0
S0
는 interface serial 0로 전달
IGRP 109
192.168.7.0
• Case 1
• Case 2
• Case3
router igrp 71
router igrp 71
router igrp 109
redistribute igrp 109
redistribute igrp 109
distribute-list 10 out serial 0
distribute-list 10 out igrp 109
distribute-list 10 out igrp 109
access-list 10 deny
access-list 10 permit
access-list 10 deny
192.168.7.0 0.0.0.255
192.168.7.0 0.0.0.255
192.168.7.0 0.0.0.255
access-list 10 permit any
access-list 10 permit any
Connecting People To Information
비공인 IP Network 정보 차단
netA와 netB는 routing information을 교환
인터넷과 netA는 routing information을 교환하되 netB에 대한 정보가 인터넷으로 전달되지 않도록 함
인터넷 routing information이 netB에 전달되지 않도록 함
모든 라우터는 rip 이용
비공인IP netB
130.1.0.0
131.250.0.0
인터넷
s0
s1
s0
A
164.124.0.0
203.252.3.0
공인IP netA
B
방법 1
!router A
router rip
distribute-list 10 out
Connecting People To Information
access-list 10 permit 164.124.0.0 0.0.255.255
access-list 10 permit 203.252.3.0 0.0.0.255
방법 2
!routerA
router rip
distribute-list 10 out serial 0
distribute-list 20 out serial 1
access-list 10 permit 164.124.0.0 0.0.255.255
access-list 10 permit 203.252.3.0 0.0.255.255
access-list 20 deny 130.1.0.0 0.0.255.255
access-list 20 deny 131.250.0.0 0.0.255.255
access-list 20 permit any
Connecting People To Information
OSPF 개요
IETF 에서 1988에서 정의 (RFC1131)
Best route 결정시 Open Shortest Path First 알고리즘 이용
IP Routing protocol 표준 for Interior Gateway Protocol
Link State Routing Protocol
Area 개념 이용
VLSM 개념 지원
Backbone router
Area border router
Internal router
Area 0
Area 1
Area n
OSPF version 2는 RFC1583 참조
metric factor로 delay, throughput, reliability를 이용할 수 있다. 그러나 기본적으로 bandwidth만을 이용한다.
cost = sum (100,000,000/대역)
Link State Routing Protocol이므로 주기적으로 routing information을 주고받는것이 아니라 변화가 있을때 즉시 주고
Connecting People To Information
받으므로 convergence time이 짧다.
전체 네트웍을 여러개의 Area로 구성한다. Area 0를 중심으로 나머지 모든 Area들이 접속하여 routing information을 주고
받는다. Area 0를 backbone area라고 하며 나머지 area를 leaf area라고 한다. leaf area간에 직접 routing information을
교환할 수 없다. 반드시 area 0를 거쳐야 한다. 네트웍을 여러개의 area라 나눈 이유는 routing information update에 따른
traffic을 줄이기 위한 것이다.
area 0안에 있는 라우터를 backbone router, area 0와 leaf area를 연결하는 라우터를 Area Border Router(ABR), leaf area
안에 있는 라우터를 internal router, 다른 AS Number를 가진 네트웍과 연결을 담당하는 라우터를 AS Boundary Router
(ASBR)이라고 한다.
동일한 cost에 대한 multipath routing을 지원한다.
AS Number를 필요로 하지 않는다.
leaf area와 backbone area간에 routing information을 주고 받을때 여러 Network Address를 축약된 형태로 정보를
전달할 수 있는 route summarization을 제공한다. route summarization은 VLSM (variable length subnet mask)에
기초하고 있다.
VLSM은 route summarization에도 이용되지만 IP Address를 효율적으로 이용할 수 있는 수단이기도 한다.
Connecting People To Information
OSPF 와 관련된 Keyword
Area(area0,backbone area,leaf area)
virtual link
internal router,ABR,ASBR
DR(designated router),BDR(backup designated router)
Link State Advertisement(LSA)
Type 1 External Route, Type 2 External Route
OSPF Router ID
VLSM
route summarization
Stub Area,Totally Stub Area
virtual link : area 0와 leaf node가 직접 연결될 수 없을때 area 0와 leaf node를 가상으로 연결해주는 link
DR : LAN에서 routing information update의 중심이 되는 라우터로 DR을 이용해 LAN traffic을 감소시킬
수 있다. BDR은 DR에서 장애가 발생하였을때 backup 용도
LSA type 1 (router link advertisment) : area내의 라우터가 전달하는 것으로 각 라우터의 link 정보를 전달
Connecting People To Information
LSA type 2 (network link advertisement) : DR이 전달하는 것으로, LNA에 접속되어 있는 라우터 정보를 전달
LSA type 3 & 4 (summary link advertisement) : ABR이 전달하는 것. interarea route 정보를 전달.
type 3는 AS내 목적지에 대한 route정보를, type4는 ASBR에 대한 route정보를 전달한다.
LSA type 5 (as external link advertisment) : ASBR이 전달. 외부 목적지에 대한 route를 전달
type 1 external route는 외부목적지에 대해 internal cost 및 external cost를 모두 반영하는 반면 type 2
external route는 external cost만 반영한다.
OSPF router ID : OSPF에서 각 라우터를 식별할 수 있는 고유번호. 보통 Interface에 할당된 가장 큰 IP
Address가 이용된다.
VLSM (variable length subnet mask) : class 형태의 Network Number에 동일한 subnet mask만 적용하는
것이 아니라 다양한 길이의 subnet mask 적용
netmask의 길이가 default netmask길이보다 길어질 경우 이것을 subnetmask라고 하며, 이때 subnetting
한다고 한다. netmask의 길이가 default netmask길이보다 짧아질 경우 이것을 supernetmask라고 하며,
이때 supernetting한다고 한다.
route summarization이라는 것은 여러개의 subnetwork 혹은 class 형태의 network number를 축약해
Connecting People To Information
표현하는 방법이다.
leaf area에게 자기 AS밖의 외부 경로정보를 전달하지 않을때 해당 leaf node를 stub area라고 한다.
stub area중 자기 AS내의 내부 경로정보마저 전달하지 않을때 해당 leat node를 totally stub area라고 한다.
passive-interface를 적용한 것과 비슷하다.
Virtual Link
새로운 네트워크가 추가되었는데 어떠한 이유로 Area 0에 직접 접속될 수 없을 때 이용
되도록이면 이러한 상황은 피할 것
Connecting People To Information
Area 0
Area 1
Area n
Virtual link
Area n +1
Classless Routing & VLSM
164.124.1.0 255.255.255.0 ->164.124.1.0/24(prefix notation)
classless routing 은 prefix를 전달함으로써 subnet에 대한 route정보도 전달되게 함.
이것을 classless routing이라고함.
VLSM 이라는 것은 class 형태의 Network Number에 동일한 subnet mask만 적용하는 것이 아니고
다양한 길이의 subnet mask 적용
164.124.1.0/24
164.124.3.8/29
164.124.2.0/24
164.124.3.16/29
164.124.5.0/24
164.124.3.32/24
Connecting People To Information
164.124.4.16/28
203.252.3.4/30
203.252.3.8/30
164.124.4.32/28
164.124.4.48/28
rip, igrp에서는 classless routing이 지원되지 않는다.
classless routing에서는 1개의 class network number 의 subnetwork들이 분리되어 있어도 된다.
VLSM을 이용하여 class IP Network Number를 보다 많이 활용할 수 있다.
Route Summarization(aggregation)
Subnetting 은 prefix를 오른쪽으로
이동
Prefix
203.252.0.0
203.252.1.0
Host
Connecting People To Information
203.252.0.0
Prefix
203.252.1.0
length
203.252.2.0
203.252.2.0
203.252.3.0
203.252.3.0
Supernetting 은 prefix를 왼쪽으로
이동
Prefix
203.252.0.0
203.252.1.0
Host
203.252.2.0
203.252.0.0/22
Prefix
length
203.252.3.0
route summarization은 update할 routing information의 길이를 줄여준다. 회선의 대역 및 라우터메모리,
라우터CPU소모를 줄여준다.
OSPF 및 EIGRP는 prefix 정보를 전달한다.
Connecting People To Information
BGP도 prefix 정보를 전달한다.
summarization을 쉽게 하는 방법
2^n의 배수일 경우는 자신을 포함 같은 등급의 연속된 2^n개의 IP Address가 있을때 /
(default_netmask수 - n)으로 summarization
203.252.0.0에서 3번째 자리 10진수 0은 2^2의 배수이고 자신을 포함 같은 netmask를 갖고 있는
IP Address 2^2개가 연속되므로 /(24 - 2) 즉 /22로summarization 가능
OSPF Default configuration 방법
router(config)#router ospf process-id
ospf 를 활성화 함
process-id 는 임의의 번호
Connecting People To Information
router(config-router)#
network address wildcard-mask area area-id
address에 routing update 에 참여할 interface에 할당된 network number선언
wildcard-mask 는 access-list 의 것과 동일
area-id 는 interface 가 속한 area 번호 선언
neighbor 관계를 이루는 OSPF 라우터의 process-id는 동일할 필요는 없다. 그러나 식별을 편리하게 하기
위해 동일하게 지정하는 것도 나쁘지 않다.
network 명령어로 해당 address를 가진 interface를 특정 area에 속하게 한다.
address는 꼭 class 형태의 Network Number일 필요는 없다. OSPF는 VLSM과 classless routing을 지원하기
때문이다. rip이나 igrp에서 address는 꼭 class 형태의 network number를 지정해야 한다.
address에 대한 netmask로 subnetmask가 아니 wildcard-mask가 이용된다는 것에 유의하자.
area-id는 0 ~ 4294967295가 이용된다.
Connecting People To Information
OSPF Default Configuration
!router C
!router B
router ospf 100
router ospf 100
network 130.100.44.0 0.0.3.255 area 0
network 130.100.44.0 0.0.1.255 area 0
network 130.100.128.0 0.0.15.255 area 2
network 130.100.46.0 0.0.1.255 area 0
network 130.100.24.0 0.0.7.255 area 0
!router D
router ospf 100
network 130.100.128.0 0.0.15.255 area 2
network 130.100.144.0 0.0.15.255 area 2
위에서 ospf process-id를 모두 100으로 하였은데 모두 동일한 100을 지정할 필요는 없다.
라우터B와 라우터C는 ABR (area border router)이다. ABR은 area 0를 반드시 갖게 되며, 또다른
leaf area 번호를 갖게 된다.
라우터A, D, E는 internal router이며 위에서 backbone router는 없다.
Connecting People To Information
라우터B의 ospf nework 선언에서
network 130.100.44.0 0.0.1.255 area 0
network 130.100.46.0 0.0.1.255 area 0 는
network 130.100.44.0 0.0.3.255 area 0 로 단축될 수 있다.
라우터D의 ospf network 선언에서
network 130.100.128.0 0.0.15.255 area 2
network 130.100.144.0 0.0.15.255 area 2 는
network 130.100.128.0 0.0.31.255 area 2 로 단축될 수 있다.
Connecting People To Information
Virtual Link Configuration
!routerC
!routerD
router ospf 100
router ospf 100
network 130.100.44.0 0.0.15.255 area 0
network 130.100.128.0 0.0.15.255 area 2
network 130.100.128.0 0.0.15.255 area 2
network 130.100.144.0 0.0.15.255 area 3
area 2 virtual-link 130.100.144.1
area 2 virtual-link 130.100.128.1
backbone area와 leaf area간에 직접 LSA를 교환하는데 area 3는 backbone area에 직접적인 연결을
갖고 있지 않따. 따라서 backbone area와 area 3간에 virtual link가 필요하다.
virtual link는 ABR인 라우터C와 라우터D간에 설정되어야 한다.
virtual link를 맺을때 라우터 ID를 명시하여야 한다. router ID가 특별히 지정되지 않으면 interface에
할당된 가장 큰 IP Address가 이용된다.
Connecting People To Information
router C 및 router D의 “area 2 virtual-link”는 area 2를 virtual-link를 위한 transit area로 선언하는 것이다.
Route Summarization 설정 방법
ABR 에서 Inter Area routes summarization
- route(config-router)#area area-id range address mask
ASBR에서 external routes summarization
- route(config-router)#summary-address address mask
IA 130.100.16.1/20
Area 1
O 130.100.16.1/21
O 130.100.24.2/21
Area 0
routing table의 크기를 줄이기 위해 각 area에서는 자신이 갖고 있는 routing information을 summarization된
형태로 전달한다. 또한 summarization된 형태로 전달하면 해당 area의 특정 네트웍의 변화가 다른 area에
영향을 미치지 않게 할 수 있다. 즉 네트웍의 변화로 인한 LSA message전달을 localize
다음과 같은 subnetwork들이 있을때 summarization을 주의깊게 해야 한다.
Connecting People To Information
130.100.4.0/22
130.100.12.0/20 (x)
130.100.8.0/22
130.100.4.0/22 (O)
130.100.8.0/21 (O)
130.100.12.0/22
130.100.16.0/22
130.100.16.0/20 (O)
130.100.20.0/22
130.100.24.0/22
130.100.28.0/22
Route Summarization Example
Connecting People To Information
!router B
!router C
router ospf 100
router ospf 100
network 130.100.44.0 0.0.1.255 area 0
network 130.100.44.0 0.0.3.255 area 0
network 130.100.46.0 0.0.1.255 area 0
network 130.100.128.0 0.0.15.255 area 2
network 130.100.24.0 0.0.7.255 area 1
area 0 range 130.100.44.0 255.255.252.0
area 0 range 130.100.44.0 255.255.252.0
area 2 range 130.100.128.0 255.255.224.0
area 1 range 130.100.16.0 255.255.240.0
[Totally] Stub Area Configuration Example
External
Area 0
Area 2
AS
C
D
•Area 2를 Stub Area 를 선언할 때
!router C
router ospf 100
area 2 stub
Connecting People To Information
!router D
router ospf 100
area 2 stub
•Area 2를 Totally Stub Area 를 선언할 때
!router C
router ospf 100
area 2 stub no-summary
area 2 stub default-cost 20
!router D
router ospf 100
area 2 stub
stub area로는 외부 route의 정보를 전달하지 않는다.
totally stub area로는 AS내에 있는 summarized된 정보도 전달하지 않는다.
totally stub area를 선언할때 default-cost 20은 default route를 area 2로 전달할때 그것에 대한 cost를
20이라고 알려준다.
totally stub area를 선언할때 반드시 no-summary를 선언해야 한다.
OSPF 동작확인 명령어
show ip ospf interface
- interface 가 area 에 제대로 지정되었는지 확인
show ip ospf
- ospf와 관련된 일반적인 정보를 보여줌
Connecting People To Information
show ip ospf database
- ospf가 갖고 있는 각종 database 출력
show ip ospf virtual-links
- virtual link 와 관련된 parameter 출력
show ip ospf neighbor detail
- ospf neighbor 정보 출력
show ip ospf border-router
- ABR 과 ASBR 에 대한 routing table 출력
show ip ospf database
show ip ospf database router
show ip ospf database network
show ip ospf database summary
show ip ospf database asbr-summary
show ip ospf database external
show ip ospf database database-summary
Enhanced IGRP(EIGRP) 개요
• CISCO 의 Routing Protocol
• Advanced Distance Vector Routing Protocol
• classless routing 및 VLSM 개념 지원
Connecting People To Information
• rapid convergence
IP routing
IPX routing
• partial bounded updates
• multiple network-layer protocol support
Appletalk routing
IP routing
EIGRP
IPX routing
Appeltalk routing
EIGRP는 Diffusing Update Algorithm(DUAL)을 이용하여 convergence time이 매우 빠르다. 기본 방법은 인접한 라우터들의
라우팅테이블을 모두 갖고 있어 네트웍의 변화시 대체경로를 빠르게 선택한다. 만약 대체경로가 없으면 대체경로를 인접한
라우터들에게 물어본다.
EIGRP는 정기적인 update하지 않는다. 변화가 감지되었을때 변화된 정보만 전달한다.
EIGRP는 IP rouitng, Appletalk routing, IPX routing을 동시에 처리해준다.
그외의 특성은 IGRP와 거의 동일하다.
EIGRP 설정 방법
• IGRP 설정 방법과 거의 동일
130.100.1.0/24
A
130.120.1.0/24
S1
130.140.1.0/24
S0
C
S2
130.100.2.0/24
Connecting People To Information
B
130.120.2.0/24
!routerA
!routerB
!routerC
router eigrp 100
router eigrp 100
router eigrp 100
network 130.100.0.0
network 130.100.0.0
network 130.140.0.0
network 130.120.0.0
network 130.120.0.0
network 130.120.0.0
no auto-summary
no auto-summary
•EIGRP를 활성화했을때 default로 subnetwork에 대해 auto-summary를 한다. 즉 subnetwork의 class network number로 routing
information을 전달하는 것이다. 라우터A와 라우터B에서 no auto-summary를 선언하지 않으면 라우터A와 라우터B는 각각 130.100.0.0
에 대한 route를 C에게 전달한다. 이 경우 라우터C는 130.100.0.0에 대한 route를 2개를 갖게 된다. 즉 s1, s2. 이 경우 라우터C로
130.100.1.0/24로 가야할 packet이 전달된다면 라우터C는 어떤때는 s2를 선택할 것이다. 이것은 틀린 것이다. 이처럼 subnetwork에 대한
routing information이 전달될 수 있도록 하려면 no auto-summary를 선언해야 한다.
• EIGRP간의 재분배, 다른 routing protocol간의 재분배는 IGRP에서와 동일
EIGRP에서의 Summarization
• default로 class 형태로 summarization하므로 이것을 원하지 않을 경우 no auto-summary 선언
• EIGRP정보를 전달할 때 특정 interface 별로 summarization 된 형태로 정보전달 가능
- router(config-ig)#ip summary-address eigrp as-number address mask
Connecting People To Information
!router C
interface serial 0
ip summary-address eigrp 100 130.100.0.0 255.255.0.0
130.100.1.0/24
A
130.120.1.0/24
S1
AS 100
B
• EIGRP의 동작을 확인하는 명령어들
•show ip protocols
•show ip route eigrp
•show ip eigrp neighbors
•show ip eigrp topology
•show ip eigrp traffic
C
S2
130.100.2.0/24
S0
130.120.2.0/24
130.140.1.0/24
BGP 개요
• version 4가 가장 최신 (BGP4)
• RFC 1163,1267,1654,1655등 참조
• AS Number 가 다른 두 네트워크를 연동할 경우 이용됨
• loop free routing protocol
Connecting People To Information
• ISP 들이 BGP4를 많이 이용
• ISP 와 연결되는 회선이 1개 밖에 없을 경우에는 BGP4를 꼭 이용할 필요없음
• Classless routing 지원
ISP net AS 200
BGP 4
Net A AS100
RIP,IGRP
OSPF
EIGRP
RIP,IGRP
BGP 4
BGP 4
BGP 4
OSPF
EIGRP
BGP 4
•BGP의 route 정보는 route 정보가 전달되기까지 경유해온 AS번호 list를 포함한다. 각 ASN내에서의 경로에 대한 정보를
포함하지 않는다.
•network 130.100.0.0에 대한 route 정보가 AS400, AS300, AS200을 지나 AS100에 전달되었다면 130.100.0.0에 대한
route정보에 추가적으로 200 300 400 이라고 표시되어 있다. 이것을 AS path라고 한다. 즉 지나온 ASN이 표시되어 있는
것이다. 따라서 looping을 점검하기 매우 쉽다. 가령 AS path가 300 200 300 400 인 경우 looping이 일어난 것이다.
Connecting People To Information
•네트웍 AS100은 외부로 나가는 경로가 1개밖에 없다. 이런 경우 AS100과 AS200을 BGP4로 연결할 필요는 없다. AS100
에서는 AS200을 default route로 설정하고 AS100에 있는 네트웍정보를 재분배등을 이용해 AS200에 전달해주기만 하면
되기 때문이다. AS200에서는 AS100과 연결하는 interface를 passive-interface로 선언해도 무방하다.
•OSPF나 EIGRP처럼 classless routing을 지원한다.
•BGP는 policy routing protocol이라고 한다. 네트웍운영자의 정책에 따라 경로를 선택하거나 어떤 AS를 차단 허용할 수
있다.
•BGP는 multipath routing을 지원하지 않는다. 최적의 경로 1개만을 선택하여 packet을 전달한다.
•재분배는 BGP와 IGP(RIP, IGRP, OSPF, EIGRP)간에 주로 이루어진다. IGP를 BGP로 재분배하는 과정은 반드시 필요하
지만 BGP를 IGP로 반드시 재분배해야할 필요는 없다. default route로 처리 가능하기 때문이다.
•BGP는 RIP, IGRP 처럼 cost를 계산하는 특별한 계산식이 없다. 또한 metric factor도 보다 다양하다. BGP 라우터는
metric factor들을 정해진 순서에 따라 비교하면서 그때 그때 최상의 경로를 선택한다. 기본적으로 어떠한 조작도 하지 않
으면 최상의 경로는 AS path의 길이가 짧은 경로를 선택한다.
•partial update 방식
eBGP 와 iBGP
• eBGP(external BGP)는 ASN이 다른 두 라우터간의 BGP를 말하며 iBGP(internal BGP)는 같은 AS 내의
라우터간의 BGP를 말함
• eBGP session은 대개 직접 연결된 외부 AS라우터와 맺으며 iBGP Session 은 AS내의 직접 연결되지 않
는 어떤 라우터와도 맺을 수 있음
Connecting People To Information
• iBGP session 은 AS내의 직접 연결되지 않는 어떤 라우터와도 맺을 수 있음
iBGP
eBGP
A
AS100
C
B
iBGP
iBGP
AS200
D
•eBGP 라우터가 1개 밖에 없다면 iBGP를 활성화할 필요는 없다.
•iBGP session은 eBGP를 운영하는 라우터간에 맺어주는 것이 바람직
•iBGP는 eBGP정보를 AS내 eBGP라우터간에 전달하여 동기화시킬때 주로 이용된다. 이외에도 eBGP보
다 다양한 기능을 제공한다.
•iBGP session은 BGP라우터간에 full message형태로 맺어주어야 한다.
•BGP에 대한 자세한 사항은 http://www.cisco.com/에서 “using the border gateway protocol for
interdomain routing”을 꼭 참고하기 바람
Connecting People To Information
Network Advertisement
IGP
BGP
routing
routing
table
table
BGP router
AS안의 routing information을 외부로 전달하기 위해 IGP routing table의 내용을 BGP routing table로
재분해하여야 한다.
3가지 방법 - static route 를 재분배
- dynamic router 를 재분배
- network command 로 전달
BGP 라우터는 다음의 경우에 속하는 네트웍정보를 다른 BGP라우터에게 전달한다.
다른 AS로부터 전달되어 온 network number (default action)
static route를 재분배 한 경우
dynamic route를 재분배 한 경우
network command로 등록한 것
network command로 등록한 network number가 BGP routing table에 등록되어 다른 BGP
라우터에게 전달될수 있으려면 그 network number에 대한 route가 routing table에 등록되어
있어야 한다.
Connecting People To Information
• static route를 재분배하는 방법
!router
router bgp 100
redistribute static
ip route 130.100.0.0 255.255.0.0 130.130.1.1
• dynamic route를 재분배하는 방법
!router
router bgp 100
redistribute rip
• network command로 등록하는 방법
!router
router bgp 100
network 130.100.0.0
network 130.120.0.0
network 130.130.0.0
BGP 설정방법
AS 100
130.100.0.0
AS 100
A
BGP 4
B
130.120.0.0
130.100.0.0
130.120.0.0
130.130.1.5/30
130.130.1.6/30
• router(config)#router bgp own-as-number
• router(config-router)#neighbor peer-ip-address remote-as peer-as-number
• router(config-router)#network network-number
• router#clear ip bgp {*|peer-ip-address }
Connecting People To Information
!router A
!router A
router bgp 200
router bgp 100
neighbor 130.130.1.5 remote-as 100
neighbor 130.130.1.6 remote-as 200
network 130.130.0.0
network 130.100.0.0
network 130.140.0.0
network 130.120.0.0
network 130.150.0.0
•own-as-number는 자신이 속한 AS의 AS number를 지정한다.
•peer-ip-address는 bgp session을 맺을 상대방의 IP Address를 지정한다.
Connecting People To Information
•peer-as-number는 bgp session을 맺을 상대방이 속한 AS의 AS number를 지정한다.
•network-number는 bgp session을 맺은 상대방 라우터에게 알려줄 network-number들을 선언하면 된
다. 앞에서도 IGP정보를 BGP정보로 전달하는 방법에는 3가지가 있는데 이중에서 가장 권고할만한 것은
network command를 이용하는 것이다.
•bgp session을 맺고 난 다음에는 previledged mode에서 반드시 clear ip bgp 명령어를 선언해 주어야
한다. clear ip bgp *는 모든 bgp session을 reset하며, clear ip bgp 130.130.1.6과 같은 것은 해당 peer
와의 bgp session만을 reset한다.
•BGP 동작을 확인하는 명령어
–show ip bgp
–show ip bgp paths
–show ip bgp summary
–show ip bgp regexp regular-expression
BGP에서 summarization
• router(config-router)# \
aggregate-address address mask [summary-only]
• example
!routerA
Connecting People To Information
router bgp100
neighbor 130.130.1.6 remote-as 200
network 130.100.0.0
network 130.101.0.0
aggregate-address 130.100.0.0 255.254.0.0 summary-only
AS 100
130.100.0.0
A
BGP 4
B
130.101.0.0
130.130.1.5/30
130.130.1.6/30
•aggregate-address 명령어는 route정보가 압축된 prefix 형태로 전달되도록 한다.
•mask는 wildcard mask가 아닌 subnetmask 혹은 supernetmask를 명시한다.
Connecting People To Information
•summary-only를 선언하지 않으면 압축된 prefix 표현형태의 정보외에, 압축되지 않은 network 정보
도 전달된다.
•압축된 prefix 형태로 정보가 전달되기 위해서는 prefix 표현형태에 속하는 특정한 network number가
적어도 하나는 bgp routing table에 등록되어 있어야 한다. 혹은 network command에 적어도 하나는
선언되어 있어야 한다.
•위의 예는 다음과 같이 표현 가능하다.
router bgp 100
neighbor 130.130.1.6 remote-as 200
network 130.100.0.0
aggregate-address 130.100.0.0 255.254.0.0 summary-only
혹은
router bgp 100
neighbor 130.130.1.6 remote-as 200
network 130.100.0.0 mask 255.254.0.0
aggregate-address 130.100.0.0 255.254.0.0 summary-only
AS_path filtering
130.130.1.6/30
AS 200
130.130.1.5/30
Connecting People To Information
AS 100
130.160.0.0
AS 300
• BGP 에 의해 전달되는 각 Network Number에는 router외에 AS_path가 함께 전달되어 옴
• 위의 그림에서 AS 100에서 AS 200을 거쳐오는 AS300에 대한 정보를 차단할 경우…..
!routerA
router bgp 100
neighbor 130.130.1.6 remote-as 200
neighbor 130.130.1.6 filter-list 10 in
ip as-path access-list 10deny 300
ip as-path access-list 10permit .*
Connecting People To Information
•AS_path filtering이란 교환되는 BGP routing information에서 AS_path를 점검하여 제어하는 것이다.
•AS_path filtering을 이용하여 네트웍간의 라우팅정책을 정의, 구현할 수 있다.
•BGP에서 이용할 수 있는 filtering 방법에는
–distribute-list
–as_path
–route-map
–community 등이 있다.
AS_path filtering 방법
• router(config)#ip as-path access-list \
as-path-access-list-number {permit|deny} regular-expression
- as-path access list 를 선언하는 것임
- as-path-access-list-number는 1~99까지 이용
- regular-expression 은 하위 설명 참조
• router(config-router)#neighbor peer-ip-address filter-list \ as-path-access-list-number{in|out}
-as-path access list를 특정 bgp session에 적용하는 것
Connecting People To Information
•regular expression
.
임의의 문자로 공백도 인정됨
*
특정 형태가 0번 이상 반복
+
특정 형태가 1번 이상 반복
?
특정 형태가 1번 이하 반복
[]
한 문자의 범위를 지정
한 문자의 범위를 지정할때 시작과 끝을 분리
^
문자열의 시작
$
문자열의 끝
_
쉼표, {, }, (, ), ^, $, 공백
•regular expression 예
a.b
aab, acb, a b, a+b
a*
없음, a, aa, aaa, .....
(ab)*
없음, ab, abab, ababab, .....
.*
없음, 어떤 문자열이라도 상관없음
a?bb
bb, abb
[a-z]b
ab, bb, cb, ..., zb
•as_path에 regular expression 적용 예
–^100$
100
–100
100, 100 200, 200 100 300, 200 300 100, ....
–^100
100, 100 200, 100 200 300, ......
–^100.*
^100
–^$
자신의 AS에서 발생한 것
–_100_
^100$, 100, ^100, ^100.*, 100$를 모두 포함
Cisco Router TIP
Connecting People To Information
1.라우터의 Log 메시지를 Sun Workstation에 저장하는 방법
• 내용
- root로 login한다
- /etc/syslog.conf 파일에서 다음과 같은 문구를 맨 뒷부분에 추가한다.
- local7.debug /var/adm/log
(여기서 빈칸은 반드시 tab을 사용하여야 함. space를 사용하면 인식하지 못한다)
- log 파일을 만든다
% cd /usr/adm
% touch log
- 파일의 permission을 rw-rw-rw-(0666)으로 변경한다.
% chmod 0666 log
- 새로운 syslog.conf 정보를 읽어들일 수 있도록 process를 재 시동한다
% kill -HUP `cat /etc/adm/syslog.pid`
- 라우터에서 다음 설정을 입력한다.
(config)# service timestamps(log message에 시간을 남기기 위함)
(config)# logging 1.2.3.4 (Sun Workstation의 IP 주소)
위와 같은 과정을 거치면 라우터의 log 메시지가 /usr/adm/log에 저장되게 된다.
• 별도 장비 없이 라우터에 log 메시지를 저장한 후 보고자 할 경우에는
(config)# service timestamps
(config)# logging buffered 8192 (log buffer의 크기:byte)
이후 show logging을 사용하면 log 메시지를 조회할 수 있다
Connecting People To Information
2. Cisco Router Y2K 해결 상황
(자세한 내용은 www.cisco.com 참조)
제품
cisco 760
cisco/CPA 1000
cisco 1600/3600
cisco 2600
cisco/CPA 2500
cisco 3800
cisco/CPA 4000
Y2K 해결 IOS
4.1 이상
11.0 이상
11.1 이상
11.3 이상
11.0 이상
11.2 이상
11.0 이상
제품
AS 5100 TCS
AS 5200
AS 5300
AS 5800
cisco 7000/7500
cisco 7200
cisco 12000
Y2K 해결 IOS
3.0 이상
11.1 이상
11.2 이상
11.3 이상
11.0 이상
11.1 이상
11.2 이상
Connecting People To Information
3. Cisco IOS 이름 명명법
• Cisco IOS는 다음과 같은 규칙에 의해서 이름이 부여된다.
xxxx-yyyy-ww
xxxx : Platform
yyyy : Feature
ww : 어디로 부터 IOS가 실행되는가, 또는 압축 유무
• Platform
as5200 5200
cpa25 CiscoPro 2500
c1005 1005
c2500 25xx, 3xxx, 5100, AP (11.2 and later only)
c2600 2600 Quake platform
c2800 Catalyst 2820
c2900 2910, 2950
c3620 3620
c3640 3640
c4000 4000 (11.2 and later only)
c4500 4500, 4700
c5rsm Catalyst 5000 RSP platform
c5atm Catalyst 4000 ATM platform
c7000 7000, 7010 (11.2 and later only)
c7200 7200
igs
IGS, 25xx, 3xxx, 5100, AP
gs7
gateway server (7000, 7010)
Connecting People To Information
mc3810 Ardent Multiservice Cisco 3810 platform
rsp
75xx
xx
4000
• Feature
a - APPN
a2 - ATM
b - Appletalk
boot - used for boot images
c - Comm-server/Remote Access Server(RAS) subset (SNMP, IP, Bridging, IPX, AT, Decnet, FR, HDLC,
PPP, X.25, ARAP, tn3270, PT, XRemote, LAT)
c - Comm-server Lite(CiscoPro)
c2 - Comm-server/Remote Access Server(RAS) subset
d - Desktop subset (SNMP, IP, Bridging, WAN, Remote Node, Terminal Service, IPX, AT, ARAP)
d2 - reduced Desktop subset (SNMP, IP, IPX, AT, ARAP)
eboot - ethernet boot image for mc3810 platform
f - FRAD subset (SNMP, FR, PPP, SDLLC, STUN)
f2 - modified FRAD subset (EIGRP, Pcbus, Lan Mgr, removed, OSPF added)
g - ISDN subset (SNMP, IP, Bridging, ISDN, PPP, IPX, AT)
g2 - gatekeeper proxy, voice and video
i - IP subset(SNMP, IP, Bridging, WAN, Remote Node, Terminal Service)
i2 - subset similar to IP subset for system controller image(3600)
i3 - reduced IP subset with BGP/MIB, EGP/MIB, NHRP, DIRRESP removed
j - enterprise subset (formerly bpx, includes protocol translation) **10.3까지는 사용되지 않음
k - kitchen sink (enterprise for high-end) **10.3이후에는 사용되지 않음
l - IPeXchange IPX, static routing, gateway
m - RMON (11.1 only)
n - IPX
Connecting People To Information
o - FIrewall (Formerly IPeXchange Net Management)
p - Service Provider (IP RIP/IGRP/EIGRP/OSPF/BGP, CLNS, ISIS/IGRP)
p2 - Service Provider w/CIP2 ucode
p3 - AS5200 service provider
p4 - 5800(Nitro) service provider
q - Async
q2 - IPeXchange Async
r - IBM base option (SRB, SDLLC, STUN, DLSW, QLLC) - i, in, d 와 같이 사용
r2 - IBM variant for 1600 images
r3 - IBM variant for Ardent images (3810)
r4 - reduced IBM subset with BSC/MIB, BSTUN/MIB, ASPP/MIB, RSRB/MIB removed
s - source route switch (SNMP, IP, Bridging, SRB) (10.2 and following)
s - (11.2 only) addition to the basic subset (Plus version)
c1000 - (OSPF, PIM, SMRP, NLSP, ATIP, ATAURP, FRSVC, RSVP, NAT)
c1005 - (X.25, full WAN, OPSPF, PIM, NLSP, SMRP, ATIP, ATAURP, FRSVC, RSVP, NAT)
c1600 - (OSPF, IPmulticast, NHRP, NTP, NAT, RSVP, FRSVC)
c2500 - (NAT, RMON, IBM, MMP, VPDN/L2F)
c2600 - (NAT, IBM, MMP, VPDN/L2F, VoIP and ATM)
c3620, 3640 - (NAT, IBM, MMP, VPDN/L2F) in 11.3T added VoIP
c4500 - (NAT, ISL, LANE, IBM, MMP, VPDN/L2F)
c5200 - (PT, v.120, managed modems, RMON, MMP, VPDN/L2F)
c5300 - (MMP, VPDN, NAT, managed modems, RMON, IBM)
c5rsm - (NAT, LANE and VLANS)
c7000 - (ISL, LANE, IBM, MMP, VPDN/L2F)
c7200 - (NAT, ISL, IBM, MMP, VPDN/L2F)
rsp - (NAT, ISL, LANE, IBM, MMP, VPDN/L2F)
t - (11.2)AIP w/ modified Ucode to connect to Teralink 1000 Data
Connecting People To Information
u - IP with VLAN RIP (Network Layer 3 Switching Software, rsrb, srt, srb, sr/tlb)
v - VIP and dual RSP(HSA) support
w - Reserved for WBU
w2 - Reserved for CiscoAdvantage ED train
w3 - Reserved for Distributed Director
x - X.25 in 11.1 and earlier release
y - reduced IP (SNMP, IP RIP/IGRP/EIGRP, Bridging, ISDN< PPP) (C1003/4)
- reduced IP (SNMP, IP RIP/IGRP/EIGRP, Bridging, WAN - X.25) (C1005)
(11.2 - includes X.25) (C1005)
y - IP variant (no Kerberos, Radius, NTP, OSPF, PIM, SMRP, NHRP...) (C1600)
y2 - IP variant (SNMP, IP RIP/IGRP/EIGRP, WAN - X.25, OSPF, PIM) (C1005)
y2 - IP Plus variant (no Kerberos, Radius, NTP...) (C1600)
y3 - IP/X.31
Y4 - reduced IP variant (Cable, Mibs, DHCP, EZHTTP)
z - managed modems
40 - 40 bit encrytion
56 - 50 bit encryption
56i - 56 bit encryption with IPSEC
• 어디로 부터 IOS가 실행되는가, 또는 압축 유무
f - Flash
m - RAM
r - ROM
l - relocatable
z - zip compressed
x - mzip compressed
4.Cisco IOS Bootstrap Option(IOS위치)
Connecting People To Information
• 내용
Cisco Router에서는 부팅할 때 IOS Image를 Load하기 위한 순서를 지정해주기 위한 설정이 있다.
IOS를 Load하기 위한 방법에는 다음과 같이 세가지가 있고 각각은 “boot system”이라는 명령어를 사용하여
설정할 수 있다. 이는 Mission Critical한 환경에서 Flash Memory가 깨지거나 문제가 생겼을 경우에 대처하는
방법으로 사용할 수 있다.
• Flash 로부터
Router(config)# boot system flash flash_IOS_filename
• Network(tftp server) 로부터
Router(config)# boot system flash_IOS_filename tftp_server_address
• ROM 으로부터
Router(config)# boot system rom
위와 같은 방식으로 설정하게 되면 순서대로 IOS Image를 Load하기 위해서 시도하게 되고 실패할 경우 다음 순서로 넘
어가면서 찾게 된다. 즉, 맨처음 Flash Memory에서 IOS를 찾고 이를 실패하면 차례대로 TFTP 서버, ROM으로 IOS를
Load하기 위해 시도하게 된다.
5.Configuration정보를 Backup/Restore하는 방법
Connecting People To Information
• 개요
Cisco Router.의 Configuration정보를 다른 시스템에 Backup하거나 다른 시스템에 Backup되어있는
Configuration정보로 부터 Router로 복사하는 방법
• 내용
"show config" 를 수행하면 현재 Router에 설정되어있는 모든 Config정보가 저장되어있다. 이 정보는
Router의 NVRAM에 저장되어있는 정보로써 부팅시에 DRAM으로 Load되면서 Router의 기본설정의 기능
을 하게된다. 만약 위의 정보가 지워지거나 다른 곳으로부터 설정된 정보를 가져오기 위해서는 다른 시스
템으로 저장/복구할 수 있는 기능이 필요하게 된다. 이는 현재 Network상에 TFTP Server의 역할을 하는
시스템이 존재하고 있어야만 가능하고 방식은 다음과 같다.
• Router에서 다른 시스템(TFTP 서버)으로 설정정보를 Backup받는 방법
- copy startup tftp
- tftp_server의 주소를 입력한다.
- 백업받고자 하는 파일의 이름을 입력한다(default로 Router의 "hostname-confg" 로 설정된다)
위의 과정을 거치게 되면 tftp server의 tftp_root directory로 지정한 파일이 저장되게 된다.
• 다른 시스템(TFTP 서버)으로부터 설정정보를 복사해오는 방법
- cpy tftp startup
- tftp_server의 주소를 입력한다.
- 복사하고자 하는 파일이름을 입력한다
위와 같이 TFTP 서버로 백업 받아놓은 설정정보는 Window 95의 "워드패드" 를 통해서 내용을 볼 수 있다("노트패드"
로는 제대로 보이지 않는다)
6.S/W Feature Pack을 이용한 IOS Upgrade
Connecting People To Information
Cisco Router의 경우 IOS Upgrade방법은 TFTP service를 사용하여 진행하게 되어있다. 이는 File Copy방식
을 취하는 프로그램중에서 TFTP service가 가장 적은 실행모듈을 가지고 있기 때문에 FTP service와 같이 대중
적이지만 실행모듈이 큰 프로그램에 비해 Router S/W에 부담을 덜 주기 때문이다. 위의 방식은 보통 Unix 시스
템에서 TFTP service를 기동한 후 사용하게 되는데 이의 방식이 까다롭고, 또한 현재는 Unix 시스템을 사용하지
않는 경우도 많이 있기 때문에 Cisco에서는 별도의 S/W Feature Pack CD를 판매하여 이를 Window95 PC를
통해서 GUI 환경에서 쉽게 IOS를 Upgrade할 수 있게 하는 Tool을 제공하고 있다.
• 내용
다음과 같은 절차를 거쳐서 IOS를 Upgrade한다.
1. PC의 Com Port와 Router의 console port를 console cable을 통해서 연결한다.
2. PC의 LAN Port와 Router의 ethernet port를 crossover cable을 통해서 연결한다.
3. PC에 S/W Feature Pack CD를 넣은 후 cpwsinst.exe파일을 실행한다.
4. Media type(대개의 경우 Ethernet)과 Router의 password가 설정되어 있는 가를 기준으로 New
Router/Preconfigured Router를 구분하여 결정한다.
5. 이후 console 및 Lan cable을 통해서 Router와의 연결상태를 점검할 것이다.
6. 연결상태가 정확하면 다음화면으로 넘어가며, 여기서 Upgrade하고자 하는 IOS의 종류를 선택하고 이를
두번 Click하면 Upgrade가 진행될 것이다.
7. Upgrade가 끝나면 해당 프로그램을 종료한다.
- step 4에서 어떤 방식으로 Router를 설정하던지 간에 IP network 환경에서 통신을 하기 위해서는 router
의 ethernet port에 address를 설정해 주어야 하기 때문에 위의 프로그램은 router에 임시적으로
ethernet
address를 할당한다. 이를 upgrade가 끝난 시점에서 다시 원래의 ip address로 변환해 주어야 한다.
Connecting People To Information
7.TFTP Server를 이용한 IOS Upgrade
•개요
Cisco Router의 경우 IOS Upgrade방법은 TFTP service를 사용하여 진행하게 되어있다. 이는 File Copy방식을 취하는 프로그램
중에서 tftp service가 가장 적은 실행모듈을 가지고 있기 때문에 FTP service와 같이 대중적이지만 실행모듈이 큰 프로그램에 비
해 Router S/W에 부담을 덜 주기 때문이다. 네트워크 상에 TFTP 서비스를 실행중인 서버가 있어야 한다. UNIX는 TFTP daemon
이 OS에 기본 내장되어 있으므로 기종에 따른 설치법대로 설치 한다. NT 및 Windows 9x 의 경우 공개용 TFTP service가 있으므
로 다운로드 받아 설치 한다.
• 내용
1. IOS 파일(보통 확장명이 .bin)을 TFTP 서버의 service root 디렉토리로 복사한다.
2. Router의 Ethernet port를 설정하여(설정방법은 "Cisco Router 부팅후 초기화 설정방법" 참조) 네트워크에 연
결한다.(이때 반드시 "Router# write"를 수행하고 이미 사용중인 경우에는 생략함)
3. Router를 부팅하고 privilege mode 로 이동한다.
- Router>en
- Router#
4. Copy 명령을 이용하여 IOS를 백업해 둔다.
- Router# copy flash tftp
5. 파일명을 정확히 기술하며 TFTP 서버의 위치를 물으면 TFTP 서버의 IP address를 정확히 입력한다. "Router#
show flash"로 확인 가능
6. copy 명령으로 IOS를 Flash로 로드 한다.
- Router# copy tftp flash
7. 파일명을 정확히 기술하며TFTP 서버의 위치를 물으면 TFTP 서버의 IP address를 정확히 입력한다.
8. 복사전에 Flash를 erase 할 것인지를 물으면 yes를 입력한다.
9. IOS 복사후 reload 할 것이다.
• 비고
-모델에 따라 FastEthernet 모듈이 설치 되어 있는 경우 Boot ROM Flash 가 이를 인식하지 못하는 경우가 있
고 이 때는 위의 방법을 사용할 수 없다.
8.Cisco Router Password Recovery
Connecting People To Information
• 원인
Cisco Router의 경우 configuration정보는 NVRAM(password 포함)에 저장되고 default로 booting시에
NVRAM의 정보를 읽어들여서 현재 설정되어 있는 password를 물어보게 된다. 이를 잃어버렸을 경우에는
booting시에 NVRAM의 정보를 무시하고 booting하게 만든 후 새로이 password만을 변경하여 저장하고 다
시 booting하는 절차를 취해야 한다.
• 해결방법
다음과 같은 과정을 통해 password를 새로이 설정할 수 있다
- PC의 Com Port와 Router의 console port를 console cable을 통해서 연결한다.
- Terminal Emulation 프로그램( ex:‘HyperTerminal’)을 사용하여 다음과 같이 설정한다.
(9600 baudrate,1 stopbit, no parity)
- 'show version’명령을 사용하여 현재 router에 설정되어 있는 configuration register의 값을 기록해 둔다
(보통 0x2102 or 0x102).
- router의 전원을 껏다가 켠다.
- 전원이 들어온 후 60초이내에 terminal에서 Break Key(Ctrl-Break)를 누른후 엔터키를 치면 “>” prompt가
보이게 된다. 만약 위와 같이 Break Key가 제대로 인식되지 않을 경우에는 해당 terminal emulation 프로그
램에서 Break Key가 특정 기능으로 설정되어 있는 경우이므로, Hyper Terminal 프로그램을 사용하는 것을
권장한다.
- Cisco Router의 경우 configuration정보(password포함)가 NVRAM에 저장되어 있는데 booting시에 NVRAM
의 정보를 무시하게하는 설정을 다음과 같이 해주어야 한다.
- Flash Memory로 부터 Booting할 경우 : “o/r0x42”
- ROM으로 부터 Booting할 경우 : “o/r0x41” (flash memory가 없거나 손상되었을 경우)
"o"는 알파벳 소문자 “o”임.
- Cisco 1600/2600/3600 는 위의 입력대신 “confreg 0x42” or “confreg 0x41”을 입력한다. 0x41을 사용할 경
우에는 단지 configuration을 보거나 지우는 것만 가능하고 password를 변경하는 것은 가능하지 않다.
- 다시 “>” prompt에서 “i”을 입력하면 router는 기존의 저장된 configuration을 무시하고 booting하게 된다
(Cisco 1600/2600/3600등의 제품은 “reset”을 입력한다)
Connecting People To Information
- 모든 물음에 대하여 “no”라고 입력한다.
- booting이 완료된 후 “Router>” prompt에서 “enable”을 입력하면 “Router #”로 prompt가 바뀌게 되며 지
금부터 기존의 password를 무시하고 새로이 password를 설정하는 것이 가능하게 된다.
- "config term” 을 입력하고 “enable secret password”(여기서 password는 변경하고자 하는 새로운 password
를 의미) 를 사용하여 password를 변경한다.
- 위에서 기록해 놓은 원래의 configuration register값으로 복구한다.
(config)# config-register 0x2102 or 0x102
- "ctrl-z”을 입력하여 configuration mode에서 빠져 나온다.
- "write”을 입력하여 현재까지 작업한 내용을 저장한 후 “reload”을 실행하면 새로이 저장된 내용으로
router가 booting할 것이다.
9.Cisco Router에서의 Serial Port정상 유무 확인방법
•내용
다음과 같은 절차를 통해서 Serial Port의 정상여부를 확인할 수 있다.
- Serial Port와 DCE(DSU/CSU)를 V.35 Cable을 사용하여 연결한다.
- Router의 console port와 PC의 com port를 console cable을 사용하여 연결한다.
- Serial port에 임의의 IP Address를 설정해주고 해당 port를 “no shutdown”을 통해서 enable시킨다.
- DCE(DSU/CSU)장비에서 LLB(Local Loopback)을 설정한다.
- "sh interface serial port-no”을 입력해서 해당 port가 “Looping”이라고 표시되고 자신의 port에 Ping을 사용
해서 제대로 reply가 돌아오는지를 확인한다.
- serial port가 looping상태로 표시되고 자신의 port로 테스트한 ping명령어가 정상적으로 수행되면 serial
port는 정상적인 것으로 간주할 수 있다.
위의 과정은 V.35 Cable과 DCE장비가 정상적인 경우라고 가정했을 때 유효하다.