Kingcacola IT blog

*VLAN

 

VLAN(Virtual LAN)

 

- 스위치에서 가상으로 LAN을 분리하는 기능

1. VLAN 목적

 

- 논리적으로 브로드케스트 도메인을 분할하여, 브로드케스트 양 최소화
- 서로 다른 VLAN 간에 ARP 요청이 안되기 때문에 유니케스트 접근 제어 가능
- 논리적인 방법으로 브로드케스트 도메인을 분할하기 때문에 관리상 효율적

 

 

2. VLAN Database

 

- VLAN 정보는 VLAN Database로 관리한다.
- 모든 포트는 VLAN 1에 소속되어 있기 때문에, 브로드케스트를 전체 공유한다.
- vlan 1, vlan 1002~1005는 기본 VLAN이기 때문에 삭제 및 수정이 불가능하다.

 

 

 

 

 

 

 

 

#SW1

 

- show vlan brief

 

 

 

 

 

 

 

3. VLAN 생성

 

- SW1, SW2에서 vlan 11, vlan 12, vlan 13을 생성

- show vlan brief

 

 

 

 

 

 

 

 

 

4. VLAN Access 설정

 

- SW1 VLAN Access 실시

 

vlan 11 - f0/1
vlan 12 - f0/2

 

 

#SW1

 

 

 

 

 

- SW2 VLAN Access 실시

 

vlan 11 - f0/3
vlan 12 - f0/4
vlan 13 - f0/5

 

 

 

#SW2

 

 

 

 

 

 

 

5. 트렁크 구성

 

- 트렁크란 하나의 링크를 이용하여 서로 다른 VLAN 프레임들을 전송 처리하는 구간을 의미한다.
- 트렁크를 구성하려면, IEEE 802.1q 트렁크 프로토콜을 사용해야 한다.
- 이때, 이더넷 프레임에 VLAN-ID 정보를 갖고 있는 dot1q Tag(4Byte)를 추가한다.

 

 

                        dot1q 트렁크
SW1[F0/24]---------------------------------[F0/24]SW2

 

 

 

#SW1,SW2 트렁크 구성

 

- show run

- show int trunk

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6. PC IP 주소 설정

 

- 서로 다른 VLAN이 같은 서브넷 IP 주소를 사용하면, 네트워크 이름이 중복된다.
- 그렇기 때문에 서로 다른 VLAN은 서로 다른 서브넷 IP 주소를 사용해야 한다.
- 또한, 다른 VLAN은 다른 서브넷을 사용해야지만, 기본 게이트웨이를 각각 사용할 수 있다.

 

- VLAN 11 - 192.168.11.0/24
- VLAN 12 - 192.168.12.0/24
- VLAN 13 - 192.168.13.0/24
- 기본 게이트웨이 11.254,12.254,13.254

 

 

 

A 192.168.11.1/24 GW 192.168.11.254
C 192.168.11.3/24 GW 192.168.11.254

 

B 192.168.12.2/24 GW 192.168.12.254
D 192.168.12.4/24 GW 192.168.12.254

 

E 192.168.13.5/24 GW 192.168.13.254

 

 

 

#같은 VLAN 간에 Ping 테스트

 

A ping 192.168.11.3

- arp - a

 

B ping 192.168.12.4

- arp -a 

 

 

#A PC

 

 

 

 

 

#B PC

 

 

 

 

 

 

 

#서로 다른 VLAN간에 Ping

 

A PC ping 192.168.12.2 , ping 192.168.13.5

 

 

 

#A PC

 

 

 

 

 

 

 

 

 

 

 

7. Inter-VLAN 구성

 

- 각각 VLAN에 대한 기본 게이트웨이를 라우터를 이용하여 구성한다.
- 필요 사항 : 스위치 트렁크 구성, 라우터 서브-인터페이스 & 트렁크

 

                                            (dot1q)
          R1[F0/0]------------------------------------------------[F0/10]SW1

 

F0/0.11 (vlan 11 dot1q) 192.168.11.254
F0/0.12 (vlan 12 dot1q) 192.168.12.254
F0/0.13 (vlan 13 dot1q) 192.168.13.254

 

 

 

- SW1 F0/10 트렁크 설정

 

 

 

 

 

- R1 F0/0 서브-인터페이스를 이용한 VLAN 게이트웨이 및 트렁크 설정

 

 

 

 

 

 

 

#라우터 설정 확인

 

1. show run

2. show ip route

3. show int f0/0.11~13

 

 

 

 

 

 

 

 

 

- SW1 트렁크 확인

 

 

 

 

 

 

8. Inter-VLAN 구성 확인

 

- Inter-VLAN을 구성하면, 각 VLAN PC들은 인터넷이 가능하다.
- 하지만, R1(라우터) 라우팅 기능때문에 서로 다른 VLAN 간에도 유니케스트가 가능해진다.
- 만약, 서로 다른 VLAN 간에 유니케스트를 차단하려면, R1에서 ACL를 구성해야 한다.

 

 

 

E>ping 192.168.11.1    <- A
E>ping 192.168.11.3    <- C
E>ping 192.168.12.2    <- B
E>ping 192.168.12.4    <- D

 

E>tracert 192.168.11.1
E>tracert 192.168.11.3
E>tracert 192.168.12.2
E>tracert 192.168.12.4

 

 

#Ping

 

 

 

 

 

 

 

#tracert

 

 

 

 

 

 

 

[참고] Voice VLAN & Native VLAN

 

- Voice VLAN : 스위치가 IP Phone에게 VLAN 정보를 광고할때 사용하는 VLAN 설정
- Native VLAN : dot1q 트렁크 포트가 Untagged 프레임을 수신하면 처리하는 VLAN(기본값 VLAN 1)
- Untagged 프레임 : dot1q Tag 정보(VLAN-ID)가 없는 이더넷 프레임

 

Ex) Voice VLAN & Native VLAN

Switch[F0/1]-----------------[SW]IP Phone[PC]--------------------PC
 

 

VLAN 101 - IP Phone
VLAN 102 - PC

vlan 101
 name Phone

vlan 102
 name PC
int fa0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk native vlan 102
 switchport voice vlan 101

 

 

 

 

*DHCP

 

- IP 주소 자동 할당 기능을 수행하는 네트워크 서비스
- 서버와 클라이언트간에 IP 주소 임대 서비스
- DHCP 구성 요소 : 서버, 클라이언트, DHCP Relay Agent
- DHCP 동작 과정 : 4개 메세지를 이용하여 4단계 진행

 

 

 

1) DHCP 동작 단계

 

SA 68                                         SA 67
DA 67                                        DA 68
----------------- UDP   ----------------- UDP
SA 0.0.0.0                 SA 192.168.1.254
DA 255.255.255.255    DA 255.255.255.255
----------------- IP    ----------------- IP
  
클라이언트(UDP 68)                    서버(UDP 67)
0.0.0.0                                     192.168.1.254

 

Discover ---------------------------------->
(서버 찾기) <-------------------------------- Offer
                                             (IP 주소 정보 할당)
Request ---------------------------------->
(IP 할당 요청) <-------------------------------- Ack
                                                    (IP 할당 승인) 

 

 

 

#DHCP 서버에 설정할 내용

 

- IP 주소 정보
- 서브넷 마스크
- 기본 게이트웨이
- DNS 서버 주소 정보
- 임대 기간

 

 

 

 

 

 

 

 

 

R1에서 DHCP 서버를 구성하여, A~C PC에게 IP 주소 정보를 할당

 

- 제외 IP 주소 범위 : 192.168.1.253, 192.168.1.254
- IP 주소 정보  : 192.168.1.0 (192.168.1.1~ 192.168.1.254)
- 서브넷 마스크  : 255.255.255.0 
- 기본 게이트웨이 : 192.168.1.254
- DNS 서버 주소 정보 : 192.168.1.253
- 임대 기간  : 무제한(lease infinity)

 

 

 

 

#R1

 

 

 

 

 

#A~C PC DHCP 할당

 

 

 

 

 

#R1 show ip dhcp binding , Ping 192.168.1.1~3

 

 

 

 

 

 

 

 

R1에서 DHCP 서버를 구성하여, X~Z PC에게 IP 주소 정보를 할당

 

- 제외 IP 주소 범위  : 198.133.219.25, 198.133.219.254
- IP 주소 정보  : 198.133.219.0 (198.133.219.1 ~ 198.133.219.254)
- 서브넷 마스크  : 255.255.255.0 
- 기본 게이트웨이  : 198.133.219.254
- DNS 서버 주소 정보 : 198.133.219.25
- 임대 기간  : 무제한(lease infinity)

 

 

 

 

#R1

 

 

 

 

 

 

 

 

#X~Z PC DHCP 할당

 

 

 

 

- DHCP IP를 할당받을 때 169. 구간을 할당받으면 서버가 없거나 , 서버가 구현이 안되어있거나

  서로 다른 네트워크이므로 DHCP 할당을 못받았다는 의미를 가진다.

 

- R3에 DHCP 설정이 안되어있고 R1에 설정이되어있으므로 DHCP 할당을 받지 못하는 상태이다.

 

 

 

#해결 방법 DHCP Relay Agent

 

- 서로다른 서버간에 DHCP 통신을 가능하게 해준다.

- 명령어 : ip helper-address x.x.x.x

 

 

 

#R3

 

 

 

 

 

 

#X~Z PC DHCP 할당

 

 

 

 

 

 

 

 

#R1 show ip dhcp binding , Ping 198.133.219.1~3

 

 

 

 

 

 

 

 

 

 

#ISP 라우터에서 DHCP 서버를 구성하여, R3 F0/1에 IP 주소 정보를 할당

 

- 제외 IP 주소 범위 : 13.13.111.254
- IP 주소 정보 : 13.13.111.0 (13.13.111.1 ~ 13.13.111.254)
- 서브넷 마스크 : 255.255.255.0 
- 기본 게이트웨이 : 13.13.111.254
- DNS 서버 주소 정보 : 168.126.63.1
- 임대 기간  : 무제한

 

 

 

 

 

 

 

#R3

 

1. show ip int br

2. show ip route

3. show dhcp lease

 

 

 

 

 

 

 

 

#ISP show ip dhcp binding

 

 

 

 

 

 

 

 

 

#NAT (Network Address Translation)

 

- IP 주소를 변환하는 네트워크 서비스
- NAT 목적 : 보안 & IP 주소 고갈 문제 해결
- NAT는 내부에서 외부로 패켓을 전송하기 위해서 설정하는 것이 아니라, 내부에서 외부로 전송된 패켓이 다시
  되돌아올 수 있도록 하기 위해서 구성하는 것이다.

 

 

 

1) NAT 구성 요소

 

- Inside(내부, 사설 IP 환경) / Outside(외부, 공인 IP 환경)

- Inside Local 주소 (Inside 내부에서 사용하는 주소, 사설 IP 주소)
- Inside Global 주소 (Inside 내부에서 외부로 패켓을 전송할때, 변환되는 주소, 공인 IP 주소)

- Inside -> Outside로 패켓이 전송될때 : 출발지 주소 변경
- Outside ->Inside로 패켓이 전송될때 : 목적지 주소 변경

 

 

 

2) 동적 NAT

 

- 사용자 대상으로 NAT를 동적으로 구성하는 방법

 

Ex) 동적 NAT

- Inside Local : 192.168.1.0/24 (192.168.1.1 ~ 192.168.1.254)
- Inside Global : 13.13.12.1/24

 

 

#R1 동적 NAT

 

 

 

 

 

#디버깅 확인

 

#R1

 

- debug ip nat

 

#A~C PC www.xyz.com 접속

 

 

#R1

 

 

 

 

 

 

 

#A PC Ping -> 198.133.219.25

 

 

 

 

 

 

#R1

 

- show ip nat translations

 

 

 

 

 

 

 

 

3) 정적 NAT

 

- 서버 대상으로 NAT를 정적으로 구성하는 방법(단, 특정 사용자 시스템도 가능)

 

Ex) 정적 NAT

- Inside Local : 192.168.1.253 <-- HTTP 서버
- Inside Global : 13.13.12.100

 

 

 

 

#R1

 

 

 

- 웹 서버 접속만 허용

 

 

 

 

#X PC -> Web Browser -> 13.13.12.100

 

 

 

 

 

 

 

#X PC -> Ping 13.13.12.100

 

 

 

 

 

 

 

*ACL

 

1) ACL 사용 목적

 

- 트래픽 필터링
- 방화벽 구성
- IP 주소 및 서브넷 정의

 

 

2) ACL 설정시 파악할 요소

 

- 출발지 / 목적지
- 허용(permit) / 차단(deny)
- in / out

 

 

 

3) ACL 처리 과정 및 주의 사항

 

#서브넷 범위가 작은 항목부터 설정해야 한다.

 

- ACL를 설정하면 설정된 순서대로 순서 번호를 할당 받는다.
- 순서 번호대로 검사하여 조건에 만족된 항목이 있으면, ACL 동작을 실시한다.
- 그 다음 항목은 검사하지 않는다.

 

 

 

 

Ex)잘못된 예

 

#R1

 

 

 

 

Ex)잘된 예

 

#R1

 

 

 

 

 

 

 

#ACL 마지막 항목에는 deny any가 동작한다.

 

 

Ex)잘못된 예

 

 

 

 

 

 

#Ex)잘된 예

 

 

 

 

 

 

 

 

 

 

 

2. 항목 부분 추가 및 부분 삭제 불가능 (현재는 부분추가 및 삭제가 가능하다.)

 

 

Ex)부분 추가 , 부분 삭제 불가능

 

 

 

 

 

 

 

 

 

 

3. Standard ACL

 

- ACL 번호 : 1~99
- 검사 항목 : 출발지 

 

 

Ex1)13.13.10.0/24 사용자들이 172.16.1.1 서버에 접근하는 것을 차단

 

 

access-list 10 deny 13.13.10.0 0.0.0.255
access-list 10 permit any
int fa0/1
ip access-group 10 out

 

 

Ex2) 13.13.10.0/24 사용자들이 인터넷을 사용하는 것을 제한하며, 172.16.1.1/24 서버로는 접근이 가능한 ACL 설정

 

access-list 10 deny 13.13.10.0 0.0.0.255
access-list 10 permit any
int s1/0
ip access-group 10 out

 

 

Ex3) 172.16.1.1/24 서버는 인터넷과 연결된 외부 사용자들에게 서비스가 되지 않도록 하며, 오직 13.13.10.0/24 사용자들에게만 서비스가 가능한 ACL 설정

 

access-list 10 deny 172.16.1.1 0.0.0.0
access-list 10 permit any
int s1/0
ip access-group 10 out

 

 

 

 

Ex4)출발지가 13.13.30.0/24인 패켓만 13.13.10.0/24 서브넷으로 접근하는 것을 차단하며, ACL 필터가

     동작하면 로그 메시지를 출력하는 예

 

 

access-list 10 deny 13.13.30.0 0.0.0.255 log
access-list 10 permit any
int s1/0
ip access-group 10 in

 

 

 

 

 

 

 

4. Extended ACL

 - ACL 번호 : 100~199
 - 검사 항목 : 출발지/목적지, 프로토콜(ip, tcp, udp, icmp, eigrp, ospf), 포트 번호

 

 

Ex1) 출발지가 13.13.30.1인 PC가, FTP 서버 13.13.10.1로 접근하는 트래픽 허용

 

 

프로토콜 출발지     IP 주소         출발지 포트         목적지 IP 주소         목적지 포트
        tcp             13.13.30.1          any                    13.13.10.1             20, 21

 

access-list 110 permit tcp host 13.13.30.1 host 13.13.10.1 eq 20
access-list 110 permit tcp host 13.13.30.1 host 13.13.10.1 eq 21

 

 

 

Ex2) 출발지가 13.13.30.1인 PC가, 13.13.10.1로 Ping 되는 것을 차단

 

프로토콜 출발지         IP 주소         출발지 포트         목적지 IP 주소         목적지 포트
    icmp                 13.13.30.1             X                    13.13.10.1                 X

 

access-list 110 deny icmp host 13.13.30.1 host 13.13.10.1 echo

 

 

 

 

Ex3) 출발지가 13.13.30.1인 PC가, 13.13.10.1로 접근하는 트래픽 차단

 

프로토콜 출발지         IP 주소         출발지 포트         목적지 IP 주소         목적지 포트
    ip                     13.13.30.1             -                    13.13.10.1                    -

 

access-list 110 deny ip host 13.13.30.1 host 13.13.10.1

 

 

 

Ex4) 웹-서버 13.13.10.100에서 PC 13.13.20.1로 다운로드 되는 트래픽 차단

 

프로토콜 출발지         IP 주소         출발지 포트         목적지 IP 주소         목적지 포트
      tcp                 13.13.10.100           80                   13.13.20.1               any

 

access-list 110 deny tcp host 13.13.10.100 eq 80 host 13.13.20.1

 

 

Ex5)Extended ACL

 

1. 출발지가 13.13.10.1 호스트가 FTP 서버 172.16.1.1로 접근하는 것을 차단
2. 출발지가 13.13.10.0/24 서브넷이 FTP 서버 172.16.1.1로 접근하는 것은 허용
3. 외부 사용자가 인터넷을 통하여 172.16.1.1 서버로 Telnet 접속하는 것을 차단

4. 이외 나머지 트래픽들은 접근이 가능하도록 허용

 

access-list 110 deny tcp host 13.13.10.1 host 172.16.1.1 eq 20
access-list 110 deny tcp host 13.13.10.1 host 172.16.1.1 eq 21
access-list 110 permit tcp 13.13.10.0 0.0.0.255 host 172.16.1.1 eq 23
access-list 110 deny tcp any host 172.16.1.1 eq 23
access-list 110 permit ip any any

int fa0/1
ip access-group 110 out

 

 

 

 

 

 

Ex6)Extended ACL

 

1. 출발지가 13.13.10.1~2 호스트가 웹-서버 172.16.1.1로 접근하는 것을 차단
2. 출발지가 13.13.10.0/24 서브넷이 웹-서버 172.16.1.1로 접근하는 것은 허용
3. 외부 사용자가 인터넷을 통하여 172.16.1.1 서버로 ping 하는 것을 차단
4. Ping을 차단할 경우, 라우터에 인터페이스 정보와 함께 로그가 출력
5. 이외 나머지 트래픽들은 접근이 가능하도록 허용

 

access-list 110 deny tcp host 13.13.10.1 host 172.16.1.1 eq 80
access-list 110 deny tcp host 13.13.10.2 host 172.16.1.1 eq 80
access-list 110 permit icmp 13.13.10.0 0.0.0.255 host 172.16.1.1
access-list 110 deny icmp any host 172.16.1.1 echo log-input
access-list 110 permit ip any any
int fa0/1
ip access-group 110 out

 

 

 

[참고] Named ACL

 

#R1

 

ip access-list extended IN_Filter
deny tcp 13.13.30.0 0.0.0.255 13.13.10.0 0.0.0.255 eq 23
deny icmp host 13.13.30.1 host 13.13.10.1 echo log-input
deny tcp 13.13.20.0 0.0.0.255 host 13.13.10.100 eq 80
permit ip any any
int s1/0
ip access-group IN_Filter in

 

 

 

 

 

 

 

#와일드카드 마스크

 

 

- 공통 비트 : 0
- 비공통 비트 : 1

 

서브넷 마스크          와일드카드 마스크

255.255.255.0                  0.0.0.255
255.255.0.0                  0.0.255.255
255.0.0.0                    0.255.255.255
0.0.0.0                      255.255.255.255
255.255.255.255              0.0.0.0

255.255.255.252              0.0.0.3
255.255.255.248              0.0.0.7
255.255.255.224              0.0.0.31
255.255.240.0                 0.0.15.255

 

 

 

 

 

Ex1) 192.168.1.0/24 ~ 192.168.255.0/24 중에 홀수 서브넷만 정의하여라.

 

192.168.0000000 1.0
192.168.0000001 1.0
192.168.0000010 1.0
192.168.0000011 1.0
~
192.168.1111111 1.0
--------------------------------------------> 192.168.1.0 0.0.254.255
255.255.0000000 1.0
   0.    0.1111111 0.255 <- 0.0.254.255

 

 

 

 

Ex2) 192.168.1.0/24 ~ 192.168.255.0/24 중에 짝수 서브넷만 정의하여라.

 

192.168.0000001 0.0
192.168.0000010 0.0
192.168.0000011 0.0
192.168.0000100 0.0
~
192.168.1111111 0.0
---------------------------------------------> 192.168.0.0 0.0.254.255
    0.   0.1111111 0.255 <- 0.0.254.255

 

 

 

 

 

Ex3) 199.172.1.0/24, 199.172.3.0/24를 한줄로 설정하여라.

 

199.172.000000 0 1.0
199.172.000000 1 1.0
-----------------------------------------> 199.172.1.0 0.0.2.255
   0.    0.000000 1 0.255 <- 0.0.2.255

 

 

 

 

Ex4) 199.172.5.0/24, 199.172.7.0/24, 199.172.10.0/24, 199.172.14.0/24를 두줄로 설정

 

199.172.000001 0 1.0
199.172.000001 1 1.0
-----------------------------------------> 199.172.5.0 0.0.2.255
   0.    0.000000 1 0.255 <- 0.0.2.255

199.172.00001 0 10.0
199.172.00001 1 10.0
-----------------------------------------> 199.172.10.0 0.0.4.255
   0.    0.00000 1 00.255 <- 0.0.4.255

 

 

 

 

Ex5) 199.172.1.0/24 ~ 199.172.16.0/24 중에 홀수만 설정하여라.

 

199.172.0000 000 1.0
199.172.0000 001 1.0
199.172.0000 010 1.0
199.172.0000 011 1.0
199.172.0000 100 1.0
199.172.0000 101 1.0
199.172.0000 110 1.0
199.172.0000 111 1.0
-----------------------------------------> 199.172.1.0 0.0.14.255
   0.    0.0000 111 0.255 <- 0.0.14.255