Upload
katina
View
82
Download
0
Embed Size (px)
DESCRIPTION
wan, lan 둘다 layer2 에 속함 layer2 는 같은네트워크를 나타냄. hub ( 하나의 collison ). switch ( ethernet 을 사용 , collsion 분할 ). ethernet 이 없으므로 데이터 전송시 충돌이 있음. 숫자가 낮을수록 우선순위가 높음 모든 포트 열려있음 포트마다 cpu 할당량이 있음 포트 0 은 기본 예약되어 있음. 라우터. 브로드캐스트 분할 숫자가 높을수록 우선순위 높음 모든 포트 닫혀있음. sw. pc 4: 192.168.1.4 - PowerPoint PPT Presentation
Citation preview
wan, lan 둘다 layer2 에 속함layer2 는 같은네트워크를 나타냄hub ( 하나의 collison) switch (ethernet 을 사용 , collsion 분할 )
숫자가 낮을수록 우선순위가 높음모든 포트 열려있음포트마다 cpu 할당량이 있음포트 0 은 기본 예약되어 있음
ethernet 이 없으므로 데이터 전송시충돌이 있음
라우터
브로드캐스트 분할숫자가 높을수록 우선순위 높음모든 포트 닫혀있음
sw
데이터 전송시 ip 만 알고 mac address 를 모를 때 1. 브로드캐스트 보냄
2. sw 는 들어온 포트의 mac address 저장3. sw 는 flooding 수행 ( 들어온 곳 빼고 전부 데이터 전파 )4. 모든 pc 는 들어온 패킷의 정보확인5. 목적지에 해당하는 pc4 에서 패킷을 확인하고 응답패킷 보냄
l2 l3 data출발지 111.111.11
1192.168.1.1
arp-request (type 8)
목적지 fff.fff.fff 192.168.1.4
arp-request (type 8)
l2 l3 data출발지 444.444.4
44192.168.1.4
arp-request (type 0)
목적지 111.111.111
192.168.1.1
arp-request (type 0)
pc 1: 192.168.1.1mac : 111.111.111
pc 4: 192.168.1.4mac : 444.444.444
6. sw 가 mac address 를 보고 데이터를 보낸 pc1 로 정보 전달7. 알아낸 pc4 의 mac address 를 이용하여 패킷 보냄8. pc1 -> sw -> pc4(icmp 정보 전달 ) pc4 -> sw -> pc1(icmp 응답 정보 전달 )
스위치 주요기능ageingfloodingfiltering ( 들어온 패킷 포트로 패킷을 내보내지 않음 (loop 방지 ))forwardinglearning
브로드캐스트 많아지면 장비 부하 , 대역폭 사용할 수 있는 양이 감소vlan
2vlan
1
vlan 4
vlan 5
vlan 3
vlan 4
trunk : 한 포트로 vlan 을 여러 개 사용가능하게 함
1
v10
v20
2
v10
v20
3
v10
v20
v30v30
2 에 vlan 30 에 대한 내용이 없으므로vlan 30 의 내용은 1 -> 3 으로 전달 안됨(trunk 설정해도 안됨 )
서브인터페이스 – ethethernet 불가능 fastethernet 가능
vlan 한번에 여러 개 추가하면 revision 1 만 증가됨
server client
일치
일치시키는 개수만큼 revision 수 증가trans parent 는 revision 무조건 0
standard vlan, extended vlan 설정 = trans parenttrans parent 만 extended vlan 설정가능standard vlan 설정 = server 또는 client
no switchport <- l2 기능 끄기 (l3 스위치만 사용가능 )switchport <- l2 기능 사용
root back up
blk
기존 bpdu 자신이 만든 bpdu
기존의 bpdu 보다 오른쪽에서 들어온 bpdu 가 안 좋으므로 오른쪽에서 들어온 bpdu무시 20 초 경과 후 밑에 쪽에서 연결이 오류되었다고 생각하고 blk 된 것을 listen -> learning->forwarding 으로 상태변환 (50 초 소요 )
root-bridge 와 back up-bridge 연결이 아닌 곳은 30 초 소요
스위치끼리 trunk 를 자동 잡음access 모드는 trunk 안 잡힘access 모드는 하나의 vlan 만 사용 ( 다른 vlan 이 없기 때문에 브로드캐스트생성 x)
access 와 trunk 를 연결하면 trunk 가 안 잡힘trunk 면 모르는 vlan 도 다른 곳에 전달access 면 모르는 vlan 은 다른 곳에 전달 x
1 blk①
②
① 이 고장나면 1 스위치는 blk 포트를 열음② 이 고장나면 superior bpdu 를 받게 되어 20 초 후 listen 상태가 됨
loop guard현상blk
①
① 이 대역폭을 너무 사용하여 bpdu 가 오지못하여 blk 이 열리는 현상이 자주 발생하는현상
root
기존 pvst
back up
tcu bpdutc root
rstp
back up
tcu : 변경 승인 요청tc : 변경 승인 (root 만 가능 )
먼저 고친 후 tc 보고어디서든 tc 발생
tc
tc
mst
v1 ~ 10 stp 각각 하나의 그룹v11 ~ 20 stpv21 ~ 30 stp
mst 0 <- 설정하지 않은 모든 vlan 을 관리
port-chanel 에 trunk 를 설정 -> interface 에 적용됨
R RSW SW SW SW
vlan 에 ip 에 대응되는 설정vlan ip data 패킷
L3 L2 L2 L3
L3 스위치ip routing -> router 기능 사용port-securityprotect: 설정한 mac 만 허용restict: 추가설명내용shutdown: 설정한 mac 주소 이외는 차단sticky: 처음 들어온 장비의 mac 주소를 기억함 ( 허용으로 )
switchport port-security : 마지막에 이걸 넣어야 적용됨switch mode access 여야함 (trunk 모드이면 access 보다 많은 vlan 이 가능하므로여러 mac 주소가 들어오게 됨 )
INTERNET
내부만 HSRP & VRRP 관리
1 2
INTERNET
가상 라우터
가상라우터가 1 라우터를 기본으로 사용함2 라우터는 대기중 ( 포트열려있음 )1 라우터가 고장시 가상라우터는 2 라우터 사용가상라우터의 포트주소를 사용함
라우팅프로토콜을 이용할때 고장시 다른 것으로 대체 – 약 30 초hsrp or vrrp 이용시 – 약 2 초
INTERNET
mac 을 얻기 위해 브로드캐스트를 이용arp 테이블을 만들때 가상라우터의 mac 를얻는데 그 mac 주소는 규칙이 있음
hsrp –> vrrp ( 동시에 두가지 돌아가지 않음장비 초기화하고 해야 함 )
원래 스위치는 감시 안됨스위치는 포트별로 cpu 사용량 할당됨f0/0 – sw 자체 사용line vty 0 4login local(local 은 자신의 컴퓨터에서 정보를 참조한다는 뜻 원래는 서버주소가 적혀야 함 )
privilige exec level 2 configure terminal configure level 2 configure terminal interface level 2 configure terminal router level 2 configure terminal
r1# r1(config)# r1(config-if)#r1(config-router)#
공개키 방식
자신(a, p ,q)암호화키 : AK
상대편(a, p ,q)암호화키 : Bk
암호화키 계산법 : pa mod q = Ak
복호화키 계산법 : Bk( 상대방 암호화키 ) mod q = 복호화키암호화키는 서로 다르고 복호화키는 서로 같음
ACL 에서ip 는 모든 트래픽의미eq 를 생략하면 any 의 의미=> 모든 포트 번호
출발지 주소 : 나가는 인터페이스가 됨 ( 어떤 프로토콜을 사용하던지 )
telnet 150.1.13.254 80( 포트번호 ) /source-interface f0/1( 출발지 ip 설정 )
deny any any <- 방화벽개념이것하기 전에 허용하고자 하는 것을 설정해놔야 함establish 에서 RST 는 RESET( 강제종료 ) 을 의미 (request x)
tcp
flag 비트
fragementation offset -> 쪼개진 순서 나타냄protocol -> L4( 상위프로토콜 ) 가 무슨 프로토콜을 나타내는지 표시
자르지 말것(1 로 설정시 패킷을 나누지 말것을 의미
mr (1 로 설정되면 뒤에 패킷이 더 있음을 의미 )1 1 1 0
L2 L3 L4
acl -=> layer4 계층까지 밖에 안됨cbac => 응용프로그램 계층까지 지원cbac -> access-list
host
라우터server
dos 공격
① syc②ack, syc
③ack 를 주지않음
1. host 가 syc 만 계속 보냄2. server 가 열 수 있는 포트제한에 도달해서 더 이상 포트를 열 수 없음
host
라우터
server
① syc②ack, syc③ack
intercapt
1. host 와 라우터가 간에syn 와 ack 를 주고 받음( 라우터는 임시로 server 로 역할함 )2. ③ack 가 오면 host 와 server 를 연결시킴4. ③ack 가 오지 않으면 라우터가 server 이름으로RST 보냄
host
라우터
server
① syc
②ack, syc
③ack
intercapt
라우터는 패킷을 감시만 하고 있음③ack 가 오지 않으면 라우터가강제로 라우터가 host 이름으로server 에게 RST 를 보냄
queening
Q Q라우터queen 는 들어올때는 관련없음나갈때만 관련있음
인터페이스queen
데이터가 쌓이고 이중 queen 의 특성에 따라 데이터를 전송queen 의 특성 ( 우선순위 , 선착순 등… )
litter ( 편차 )
패킷 간의 전송간격 ( 시간 )
RTP(real time protocol) – 실시간 처리 해야하는 것 ( 예 ) 음성
tcp통신시 window 크기가 찼을 때 서로 통신하도록 되어 있음
type of service
예약이 되어있음ip precedence (3bit)0 1 2 3 4 5 6 7
아무것도 아닌것 기본 ( 무등급 )
예약되어 있음 dscp(6bit)
음성 트래픽 포트 = 16384 ~ 32767
cs3 001 | 00 | 0af31 011 | 01 | 0
.
.
.