Access-list regulation

• 액세스 리스트는 패킷을 비교할때 몇 가지 중요한 구칙들이 있다.

이 규칙들을 반드시 알고 있어야만 아무도 문제 없이 패킷 필터링을

할 수가 있으며 액세스 리스트의 규칙에는 다음과 같은 것이 있다.

1. 액세스 리스트는 항상 순차적으로 비교를 하게 된다.

즉 첫 번째 줄부터 시작하여 두번째 줄, 세번째 줄 이런식으로 비교를 한다.

2. 패킷은 설정된 액세스 리스트와 비교하여 일치할때까지

자주 사용하는것부터.사용한다.

permit 을~위해 (밑에 내용)

좀 더 좁은 범위의 것을 먼저 선언

access-list 10 permit 164.124.116.0 0.0.0.255  넘버/허용

                  deny          일부차단

                  permit any    any는 전체

 빈번히 조건을 만족시킬 만한 것을 먼저 선언

116//118

• 액세스 리스트는 패킷을 비교할때 몇가지 중요한 규칙들이있따.

이 규칙들을 반드시 알고 있어야만 아무문제 없이 패킷 필터링을 할 수가 있으며

액세스 리스트의 규칙에는 다음과 같은 것이 있다.

4. 액세스 리스트를 이용하여 설정할 경우 반드시 인터페이스에 적용시켜주어야 한다.

즉 들어오는 패킷을 차단 또는 허용할것인지 아니면 나가는 패킷을 허용할

것인지 차단할 것인지 정의 해 주어야만 동작하게 된다.

5. 액세스 리스트를 설정한 후에 부분적으로 제거할 수가 없다. 만약 삭제해야 한다면

설정된 내용을 복사하여 텍스트 편집 기능으로 수정한 다음에 다시 붙여 넣기를

하면 된다. 단 네임드 액세스 리스트를 사용할때는 부분별로 삭제할 수가 있다.

6. 액세스 리스트를 먼저 만들고 난 후 해당 인터페이슬에 적용해야 한다. 핵세스

리스트를 ㅓㄹ정하고 않고 인터페이스에 적용할 경우 아무 의미가 없기때문이다.

 목적지 제일 가까운곳에 차단을 한다. in,out 보고 판단

Access-list 종류

• Standard ip

• 전체 차단 또는 전체 허용
• 출발지 ip 주소만을 가지고 필터링을 한다.
• 액세스 리스트 번호는 1~99

Ro(con)#access-list acc-list-num [per/deny]

Dent

거부

permit

허용

Source

• Any / host 사용하면 액세스 리스트를 좀더 수비게 설정한다.

in/out

언제 할것인지 적용

1번 과제

1. 172.16.1.5 deny
2. 172.16.1.0 /24 permit
3. dent any 알고있지만 생략
4. int s2/0
5. ip access -group

UDP= DNS, SNMP, TFTP,(스위치,서비스)RIP(라우터),DHCP

tcp = 출발지와 목적지가 정확하게 지정되어야되는 경우 (유니캐스트, 멀티캐스트)

udp = 출발지는 하나인데 목적지가 두개 이상인 경우

(브로드캐스트)

acc-li 10 den 172.

===================다시정리(같은내용)==============

R1

int lo0 172.16.1.1

int s2/0 172.16.12.1

router ospf 1

network 172.16.0.0 0.0.255.255 area 1

R2         ABR & ASBR   NSSA

int lo 0 172.16.2.1

int s2/0 172.16.12.2

int s3/0 172.15.23.2

int s6/0 172.16.24.2    rip

router rip

network 172.16.0.0

network 172.16.

r3     ABR 압축하면 안됨 자동으로 축약하는데 내꺼에 머물게 됨...그래서 통신 에러가남..

int l0 0 172.16.3.1

int s3/0 172.16.23.3

int s2/0 172.16.34.3

router ospf 1

network 172.16.0.0 0.0.255.255 area 0 XXX

network 172.16.3.0 0.0.0.255 area 0

network 172.16.23.0 0.0.0.255 area 0

network 172.16.34.0 0.0.0.255 area 2

r4               ASBR

int lo 0 172.16.4.1

int s2/0 172.16.34.4

int s3/0 172.16.46.4 ----->EIGRP

router eigrp 1   /24 와일드마스크

network 172,16,0.0

router ospf 1

network 18.16.0.0 0.0.255.255. area 2

r2

redist ospf 1 metric 1

router ospf 1

redi rip 1

r1,r2

E2가 추가 제분배를 했군~!

r4에서 재분배

router eigrp 1

redi ospf 1 metric 1544 2000 255 1 1500

router ospf 1

ridest eifrp 1 subnets

end

r1

립 성공

NSSA 선원을 안햇음

r3 /r4

area 2 nssa no-summary

r4 area 2 nssa no -

r3

sh ip ro~

n2 확인 가능~!!

r1

E2 확인 가능~

area 2 nssa default-information-originate

7/29 오후수업

R1

C

C ping 172.16.12..2

R2.

CCC

oooo

interface tunnel 23 (0-214, 748 ,364)  *  터널넘버는 클려도 상관없음

• 터널 가상아이피 부여(OSPF 선언)

• 터널확인

• show iptunnel 23

• 만약 터널에서 사용할 아이피가 없는 경우에는

ip unnumbered 명령을 선언한다.

*virtuallink authentication

router osp 1

area 0 authentication message-digest 에어리어 인증설정

area 2 virtual-link 172.16.2.1 message-digest-key 10 md5

*ASBR라우터에서 서머리 설정하기 P396

router ospf 1

summary-address 172.16.8.0 255.255.255.248

*ABR 라우터에서 서머리 설정하기

router ospf 1

area 1 range 172.16.0.0 255.255.255.255.248

================다시정리(같은내용)=====================

R1 conf # router eigro 1

Network 172.16.0.0

Redistribute Eigrp1

R1 conf # router eigro 2

Network 172.16.0.0

Redistribute eigrp 1

eigrp  AS번호로 하나로 묶는다.

ip번호는 88번

• eigrp 클래스리스

와일드 마스크 .

컴퓨터는 빼기를 못해서 더하기가 빠르기 때문에.

얼마를 더해야 서브넷이 나오느냐

1. sh ip route --> 라우팅테이블에 목록이 있느냐
2. sh run       --> 아이피 설정 및 shudown

--> 라우팅

3. sh cdp nei

D듀얼

R 립

   AD  / Metric

R[120/3] -> Hop

D [90/1963218] ->K1,k2,k3,k4,k5

로드 -부하 - 트래픽

EIGRP 메트릭 (재분배)

대역폭, 지연, 신뢰성, 부하, 최대 전송단위 등 다섯가지 요소들을 토대로

최적의 경로 값을 선택하여 라우팅 테이블에 인스톨하게 된다.

오전 11:25 2014-07-08

대역폭

10^7/1544 - 10.000.000/1544

지연

20,000+20,000+1,000/10 = 41,000/10 = 4,100

6476 + 4100 + 10576

밴드위드

k값

Metric =(Banwidth + Delay) x 256

[90/7033856] 27476

대역폭 1544

지역 200,000

EIGRP 토폴로지

2->3

R2# show ip topology all-links

FD (Feasible Distance)

2014-07-09

no eigrp 

1. 러닝    맥 배워서 등록 5분동안 클라이언트 용량이 작아서 동작x 지움
2. 에이징 5분뒤 지우기 시작
3. 플러딩 3, 4, 5 는 같이 동작한다.
4. 포워딩
5. 필터링

스위치의 5대 동작

mac address

eigrp   auto - summary

대역폭 (1544)

대역폭 = 10,000,000/1544 = 6,476    

(100000000/1544) = 64766.8394

지역 =20,000+1000/10 = 2100

메트릭 공식 (대역폭 + 지연)*256 (6476+2100)256 = 2,195,456

(6476+2100)*256 = 2195456

대역폭 (512)

대역폭 = 10,000,000/512 = 19,531     

 (10^7 / 521) = 19,193.858

지연 = 20,000+1,000/10=2,100

매트릭 공식 =(대역폭 + 지연)*256  (19,531+2,100)*256 = 5,537,536

*배리어스공식

큰 메트릭값/작은 메트릭값=5,537,536/2,195,456=2.5(! 소수점 인식안함)

=2 소수점반올림 =3

===================다시정리(같은내용)======================

2014-07-03

Rip에는 V1, V2가 있으며, Rip V1는 classful Routing protocol을 사용을 하며,

모든 벤더들의 제품에서 동작을 한다.

• RIP v1은 UDP Port number s20번을 사용한다.
• RIP v1은 Routing Update를 할때 Broadcast를 사요한다.
• RIP은 Routing Update를 할때  약간의 시차를 두어 Routing Update가 이루어진다
• RIP은 매 30초마다 업데이트가 이루어지게 된다.
• RIP은 최적의 경로를 선택할때 Hop Count를 사용을 한다.
• RIP은 최대 15개까지 허용을 한다.
• RIP은 Administrative Distance 120.

• 립의 단점~

# 30초간 신호를 계속 교환해서 연결 유지를 한다.

1. Show ip protocols 확인 명령어
2. Invalid after 180 sec 180초 (3초) 끊긴 시간 유지~
3. Hold down 180 s 연결되어도 거부 하는 시간
4. Flushed after 240 s 지워
5. Sleep

• Route Poisoning

Rip 경로가 16으로 가면 문제가 있는것

• Rip 전송방식

Rip은 크래스풀 라우팅 프로ㅗ콜이므로 인접한 라우터와 네트워크 정보를 주고 받을 때

서브넷 마스크까지 함께 전송하지 않게 된다.

서버의 기본 규칙

1. 공인아이피
2. 고정아이피
3. 내부/외부 인터페이스를 갖는다.

라우터의 기본규칙

1. 인터페이스가 최소 2개 이상(내부 1개, 외부1개)
2. 시리얼 구간은 공인 아이프를 사용한다.

Rip 전송방식 (서로 다른방식)

Rip 은 클래스풀 라우팅 프로토콜이므로 인접한 라우터와 네트워크 정보를 주고 받을

때 서브넷 마스크까지 함꼐 전송하지 않게된다.

[R1]

Router rip

Network 172.16.1.0

Network 172.16.12.0

Sh ip ro

172.16.0.0/16 으로 나온다…

Sh ip ro

Passive-inferface s1/0 (라우터 모드에서 명령어 실행)

Clear ip lroute

Clear ip lroute *초기화(별 하면 초기화)

Rip:0.0.0.0/0 sending--아직 이해 못함 (7월3일)

R1

Ip route .0.0.0.0 0.0.0.0 192.168.12.2

      192.168.0.0 255.255.0.0 192.168.12.2

Router rip

변화가 없다면 2번이 편하지만

인터넷 같은 변화가 심한것은 유연한 1번이 관리가 편하다.

Router rip

No Default-information originate

-----------------------------------> 핑 테스트 X

Redistribute static

 ====================다시정리(같은내용)======================

Cisco Router에서 ping 테스트를 할 때 아무런 옵션을

지정하지 않으면 이를 표준 핑이라고 하며,

표준 핑은 사용자 모드나 관리자 모드에서 모두 사용할 수가 있다.

• 확장핑 Extended ping

Extended ping

메모

AA#ping

Protocol [ip]:

IPv6로 동작하려면 ipv6라고 반드시 입력해주어야 한다.

Target IP address: 172.16.4.1

목적지 주소를 지정한다.

Repeat count [5]:

목적지로 연속해서 보낼 패킷의 수를 지정한다. (-n 옵션과 동일)

Datagram size [100]:

목적지로 보낼 패킷의 사이즈를 지정한다. (-n 옵션과 동일)

Timeout in seconds [2]:

여기서 지정한 시간내에 돌아와야 한다.

• 정상이면 ! 표시
• 비정상이면 . 표시 (split-horizon 스플릿호라이즌)

Extended commands [n]: y

확장 명령어를 사용할 것인지 구분한다.(추가라고 이해 하면 편함)

No 값을 사용할 경우 디폴트로 표준핑 처럼 출력 되는 출발지의 인터페이스 IP주소를

출발지 ip 로 지정한다.

Source address or interface: 172.16.1.1

확장 명령어를 사용할 경우 출발지 아이피주소를 지정할 수 있다.

소스까지는 기본이거고, 남어지는 해보면서 알아봐라~!

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.4.1, timeout is 2 seconds:

Packet sent with a source address of 172.16.1.1

# ping 172.16.2.2 source 172.16.1.2

2014-06-30 오전 9:15  

1차적으로 알아야할 것은

Ping       성공:!!!!!!!!    실패:…….(처음부터 시작을못함)

Show up route     라우팅 테이블 확익

주어진 네트워크 주소 만큼 보여야 한다.

Show interface    인터페이스와 프로토콜 상태 확인.

PPP- 가능하게 해주느것이 DLCI

Enc              F_R           ietf          ISP  주니퍼 cisco, ss,ss, 한아

D

LMI (Local Mana

• cisco
• ansi
• Q933a

Con-if # fa

NBMA (Non-broadcast Multi Access)

서브인터페이스가 설정되어 있찌 않은 것을 NBMA네트워크라고 한다.

=================다시 정리 (같은 내용)==========================