어제보다 성장하기

root bridge

- 루트브리지를 선정하는 조건은 무조건 낮은 bid를 갖는 브리지가 루트브리지

 1단계 루트브리지로 선정되는 과정

-스위치 B와 스위치C는 루트 브리지 BID를 자기 자신의 BID로 세팅해서 BPDU를 주고 받는다.

2단계 가기 전 중간 설명

-브리지가 맨 처음 부팅하고 나서 내보내는 BPDU에는 Sender BID 정보는 물론 자기 자신의 BID를 넣게 된다.

 루트브리지의 BID역시 자기 자신의 BPDU를 넣게 된다.

*이유는 막 부팅이 끝나 다른 BPDU를 한번도 받지 못했기 때문(네트워크에 자신만 있다고 착각)

-B와 스위치 C는 서로 BPDU를 주고 받는다. 이는 매 2초에 한번씩 뿌리는 프레임.

2단계

스위치 B와 스위치 C는 서로 BPDU(Bridge Protocol Data Unit)를 주고 받는다.

BPDU에 SENDER BID 정보가 있다.

스위치 B는 스위치 C로부터 받은 BID를 비교 한다.

여기에서 낮은 BID가 루트 브리지가 된다.

https://itdexter.tistory.com/208?category=623204 블로그에서 하기 내용 퍼옴.

portfast

-포트가 활성화 되면 바로 전송상태가 되게하는 것을 말한다.

 Portfast는 PC와 서버 등과 같이 종단장치와 연결된 포트에 많이 설정

uplinkfast

-직접 연결된 링크가 다운되었을 때(밑의 그림을 보면 SW3에서는 f1/0이 직접 연결된 링크이다.)

 차단 상태에 있는 포트를 즉시 전송상태로 변경시키는 역할을 한다. uplinkfast는 종단 스위치에서 설정해주어야 한다. 

 루트 스위치는 차단상태에 있는 포트가 없기 때문에 업링크 패스트를 설정해도 효과가 없다.

backbone fast

- 자신과 직접 연결되지 않은 간접 링크가 다운되었을때, 차단상태에 있는 포트를 Max Age time 20초를 생략하고 

  Listening 상태로 변경하여 STP 컨버전스 시간을 50초에서 30초로 단축시킨다.

bpdu guard

-BPDU Guard를 걸어놓은 포트를 통해서 BPDU를 수신했을 때 해당 포트를 자동으로 셧다운 시키는 기능을 말한다.

bpdu filter

-BPDU Guard를 걸어놓은 포트를 통해서 BPDU를 수신했을 때 해당 포트를 자동으로 셧다운 시키는 기능을 말한

UDLD

-Unidirectional Link Detection는 스위치간에 단방향 링크가 생겼을 때 해당 포트를 셧다운 시킨다.

Root guard

-특정 포트에 접속된 네트워크에 있는 스위치들은 루트 스위치가 될 수 없도록 하는 기능이다.

 예를들어 어느 스위치의 포트로 루트 스위치보다 더 우선순위의 ID가 BPDU로 들어온다면, STP에 의해 루트 스위치가

 변경될 것이다. 하지만 루트 가드를 그 포트에 적용시키면 루트 스위치가 변경되지 않고, 유지된다.

 BPDU 수신되는 쪽 포트를 다운 시켜버린다.

 이러한 것은 ISP나 일반 기업체에서 원하지 않는 스위치가 루트 스위치가 되어 네트워크에 영향을 주는 것을 방지 할

 수 있어서 주로 사용된다.

Loop guard

-차단 상태에 있는 포트가 상대 포트에서 BPDU를 받지 못했을 때 전송상태로 변경되는 것을 방지하는 기능을 말한다. 

 이 경우 차단 상태의 포트는 루프 비일관(inconsistent) 상태로 바뀐다. 루프 비일관 상태도 일종의 차단상태이다.

다시 BPDU를 수신하기 시작하면 자동으로 정상적인 차단상태로 변경된다.

VTP 모드 결정

-SERVER : vlan 만들고 수정 삭제 전달 가능

-CLIENT : VLAN을 만들고 수정 삭제 안된다. 전달 가능

-TRANSPARENT : vlan을 만들고 수정 삭제 된다.

 (나한테는 영향을 주지만, 다른 vlan에 전달이 안된다. 확장을 대비해서 만든다.)

VTP

summary advertisement

-VTP의 REVISION NUMBER를 전송하는 역할을 한다.

subset advertisement

-실제 vlan정보를 담고 있는 메시지

advertisement request

-나한테 없는건데 달라라는 요청

#서버가 만든 요약정보네라는걸 뭘로 확인하느냐 configuration revision number를 보고 확인/결정을 한다.

 number 기본값 은 1이고, vlan을 만든순간 number가 2로 된다.

 2를 보면 업데이트 되었다고 생각하고 다른 곳의 값도 2로 바뀐다.

 서버에서 만들어진 정보를 동기화하기 위해 configuration revision number로 확인한다.

기본 VLAN 1(모든 포트는 VLAN 1번에 속해 있다.)

다른 VLAN은 2-1001

TRUNK가 나오게 된 이유

Looping

-위의 사진을 보시면 두 호스트 사이에 스위치 또는 브리지가 두 개 있습니다.

 즉 하나의 호스트에서 다른 호스트로 가는 경로가 두 개 이상 만들어진다는 겁니다.

 보통 이렇게 구성하는 것은 하나의 경로가 끊어져도 다른 경로를 쓰기 위한 것인데

 이렇게 구성을 하게 되면 가장 큰 문제, 즉 루핑이 발생하게 됩니다.

LOOPING 발생시

-looping이 발생한다는 것은 flooding이 발생한다는 얘기(cpu사용량이 많아진다.)

해결방법 - spanning tree protocol

(이중화된 스위치 내에서 무한 반복으로 looping이 일어날 때 해결방법은?)

(참고 - https://emotionofengineering.tistory.com/15)

-포트를 일일 빼고 노드를 확인해야 한다.

-해결방법 : spanning tree protocol

STP 브릿지 4가지 상태 변화

1. 스위치 3대기능

-Learning(주소학습)

-Fowarding

-STP (Loop Avoidance)

- spanning tree protocol=루프막는프로토콜

- 시스코에서 만듬

arp-a

-PC에 연결된 포트 확인명령어 

learning

pc가 1번 포트에 연결 되어 있는지 모른다.

알려면 어떻게 해야 하는가

#출발지(pc)와 목적지(pc, 네이버, 구글 등)를 통해서

IPv4

(십진수)

-  . 앞에 하나의 둥근원을 octect이라고 한다.

-하나당 8 bit 총 32bit

-1-255. 0-255 . . .

-제일처음 시작은 1로 시작된다 0으로 시작되는 것은 없다.

(2진수)

-2진수를 10으로 하려면 10을 2로 나눈다.

-너무 ip주소가 많아 클래스가 나온다.

IPv4

(십진수)=>PC의 클라이언트 서버에 사용할 수 있는 것

공인 ip주소

A클래스 : 1-126 (사용가능) - 서브넷마스크 255.0.0.0

B클래스 : 128 –191 (사용가능) - 서브넷마스크 255.255.0.0

C클래스 : 192-223 (사용가능) - 서브넷마스크 255.255.255.0

----------------

D클래스 : 224-239 (우리가 쓸 수 없다.)

E클래스 : 240-254 (우리가 쓸 수 없다.)

127 – LOOP BACK 주소

서브넷 마스크 (네트워크와 호스트를 구분하기 위해 쓰인다)

Network Addresss와 Broadcast Address까지 포함하여 16,777,214개는 사용하지 않고 그대로 IP를 낭비하게 됩니다.

이러한 문제를 해결하기 위하여 네트워크의 수에 따라 효율적으로 사용할 수 있도록 서브넷(Subnet)이 등장하게 됩니다.

규칙

연속된 11111111 1이 8개 온다.이 오고 연속된 0000000이 오고

1은 같은 N네트워크 0은 H호스트 PC에 부여 할 수 있는 IP

ex) c클래스 서브넷마스크 255.255.255.0

192.168.0.1 0까지는 같으니 네트워크가 같다

192.168.0.2

1, 2, 는 호스트

A클래스 255까지 같으면 된다. 네트워크가 같다.

10./0.0.1

10./10.10.10

192 부터

global | ip address

-공인 ip (인터넷 됨)

Private |

-사설 ip (인터넷 안됨, 인터넷을 되도록 공유기(nat)를 사용해 작동)

10.0.0.0. ~ 10.255.255.255

172.16.0.0. ~ 172.31.255.255

192.168.0.0.~192.168.255.255

*RFC1918(위키백과인용, https://ko.wikipedia.org/wiki/%EC%82%AC%EC%84%A4%EB%A7%9D)

-사설망 또는 프라이빗 네트워크는 인터넷 어드레싱 아키텍처에서 사설 IP 주소 공간을 이용하는 네트워크

-RFC 1918과 RFC 4193 표준을 준수한다. 이러한 주소는 가정, 사무실, 기업 랜에 쓰인다.

*Loopback 127.x.x.x

 Unspecified 169.254.x.x

 RARP – 맥주소를 주면 IP주소를 받는 것 IP주소를 못받으면 169.254.X.X 가 나온다

 이것이 나오면 dhcp 및 internet 확인

*서브넷마스크설명

192.168.0.1/24

서브넷마스크 1이 24개가 올 수 있다는 것.

11111111.11111111.11111111.11111111. (1이 24개)

실제사용가능한 호스트주소 254개 (브로드캐스트 1개, 네트워크주소 1개 256에서 빼면)

*실제 broadcast addresss와 network address를 제외하면 호스트주소 254개를 사용할 수 있다.

클래스별로

network address (고유주소)

192.168.0.0 (pc 한테 주는 주소가 아니다)

9.0.0.0 (pc 한테 주는 주소가 아니다)

broadcast address (고유주소)

192.168.0.255

9.255.255.255

서브네팅

서브네팅으로 네트워크를 2개로 나눈다

호스트개수는 줄어든다.

2개로 나뉜다.

0000000

1000000

4개로 나뉜다.

0000000

1100000

OSI 7LAYER –Open System Interconnection OSI

-ISO에서 만들었다. 표준은 아님

-인터넷 사용할 때 TCP/IP 4계층 사용

-정확하게 계층별로 나누기는 힘들지만 설명하기 쉽게 하기 위해 만든 내용

*노드 – 인터넷을 통해서 쓸 수 있는 모든 프로그램

외부에서 물리계층까지 들어오는 OSI개념으로 과정설명

*icmp(3계층프로토콜)를 막았다는 이야기는 tracert, ping을 못한다는 얘기 외부로는 메시지를 못 보낸다는 얘기.

*gateway –외부와 내부의 접점(인터넷이 결정적으로 되게하는 지점)

*encapsulation 위에 계층에서 내려오는거, discapsulation 밑에서 위로 올라가는거

 (다른 네트워크끼리 연결되게 할 때에 trunk와 encapsulation를 사용하여 연결되게 한다.)

payload

=실제데이터=header등을 제외한 실제 전송되는 데이터

패킷을 분리해서 보면 계층마다 header가 붙는다.

#와이어샤크툴

-통신을 tcp/ip로 하고 네트워크 계층의 패킷을 분석하면 계정/비번을 볼 수 있다.

-평문으로 계정/비번으로 구성되어 있다면 암호화가 되지 않아 누구나 볼 수 있다는 것을 뜻함.

#악성코드 침투되는 경로 payload

다른 유형의 응용 프로그램 페이로드를 통해 전달된 멀웨어가 대상을 감염시킨다.

페이로드에는 랜섬웨어(Ransom Ware), 봇넷(Botnet) 또는 다른 유형의 바이러스나 웜(Computer Worm)을 포함한 모든 종류의 악성 프로그램이 포함될 수 있다.

#header

-데이터 앞부분에 파일에 대한 정보를 실어놓은 부분

*payload-계층마다 header가 붙는다.

2계층설명

-2계층만 header와 Trailer라는 거 붙는다.(프레임) T=FCS=Frame Check Sequence

 * 프레임의 끝 부분에 수신측의 에러검출을 돕기 위해 삽입하는 필드

  참고링크(http://www.ktword.co.kr/abbr_view.php?m_temp1=873)

-보낸 순서대로 데이터를 받는 것이 아니라 FCS를 통해 순서를 확인하고 빠진 것이 없는지 2계층에서 확인한다.

-계층에 해당하는 PDU(Protocol Data Unit) – frame,packet,segment

*1기가 메일이 올 때 4계층부터 데이터를 잘라서 보낸다.

연결되었는지 확인방법들

-게이트웨이 ping 연결 해본다.

-연결 되어 있는 다른 pc로 ping을 해본다.

-ping 127.0.0.1 loopback 주소 나의 랜카드 정상작동 여부를 확인 할 수 있는 것

-선확인

계층별 특징

Switch L2 L=LAYER MAC 처리

L3 = IP도 처리가 가능한 스위치

L4 = TCP/UDP 처리를 할 수 있는 스위치

L7 = 프로그램(application)까지 확인 가능한 스위치

L4 스위치를 세팅했는지 사용해봤는지를 물어본다.

BackBone 장비에 isp 장비를 설치한다.

isp측 잘못인지 확인할 때 ping으로 확인할 수 있는 장비. 이것이 되면 isp 측에는 잘못이 없음.

외부에서 들어오는 순서

1 D.DOS 장비/IPS (들어오는 공격을 막기 위한장비

2 방화벽

3 BACKBONE

4 L3가 Backbone과 연결

5 L2

6 물리 PC, LAP

L2 L3를 알면 구성도를 그릴 수 있다. 이해를 해야 그릴 수 있다.

프로그램 명령어 익히기

L2, L3가 되면 방화벽을 공부한다.

#RARP(Reverse Address Resolution Protocol)

-ARP와 반대로 MAC를 IP로 변환하는 프로토콜

– 맥주소를 주면 IP주소를 받는 것 IP주소를 못받으면 169.254.X.X 가 나온다

-169.254.X.X(unspecified) 이것이 나오면 dhcp 및 internet 확인

#loopback

-loopback interface란 논리적인 인터페이스/실제로 존재하지 않는 인터페이스

CentOS에서 네트워크설정(L2,L3설정)

/etc/sysconfig/network-scripts/ifcfg- 에서 네트워크설정

IPADDR =

NETMASK/PREFIX

GATEWAY

DNS1

1. 허브

허브는 한 시점에 24대 중에 PC1개에게만 데이터를 보낼 수 있다.

csma(carrier sense multiple access)

연결된 PC에 모두 접속 가능 multiple access

데이터를 보낼 수 있는지 확인 carrier sense

csma/cd =ethernet 통신 방법

pc1개에게만이 아닌 다중으로 데이터를 보낼 때에 colligion 충돌이 일어난다.

csma/cd를 통해서 데이터를 보낸다.

이 전체(허브와 연결되어 있는 pc네트워크)를 colligion domain(충돌이 일어날 수 있는 구역)이라고 한다.

*cd – collision detector 충돌이 일어났는지 확인

Broadcast

상대방의 mac주소가 있어야 연결이 가능한데 모르면 어떻게 알아내느냐 broadcast를 통해서 확인한다.

192.168.0.2의 mac 주소를 곳이 어딨는지 확인한다. 그럼 찾고자 하는 mac주소를 가진 pc가 반응한다.

mac 주소 = 컴

#허브라는 장비는 100대 가 있어도 1대 만 데이터를 보낼 수 있다.

hub 가 다른 허브와 연결 되어 있다 =colligion domain 구역이 2개 있다.

그 구역2개를 통틀어 broadcast domain이라고 한다.

broadcast domain = 영향 미칠 수 잇는 공간 = 전체 네트워크

2. 브리지

허브 다음에 브리지가 나온다.

허브 특징

-한대만 보낼 수 있다.

-속도가 떨어진다.

그것을 보완하고자 브리지가 나온다.

브리지는 포트가 2-4개 정도만 있다.

브리지 밑으로 허브 여러개 연결 되어 있다.

충돌 도메인이 여러개로 나뉜다.

데이터를 보낼 때 충돌이 일어난다.

즉, 400개면 100대로 나뉘어 충돌이 일어나는 경우의 수를 줄이게 된다.

결국 많아지게 되면 허브와 비슷한 상황을 마주 한계 있음

3. 스위치

이러한 배경에서 swtich가 나오게 되었다.

각각의 포트가 colligion domain이다.

각각의 pc가 콜리전 도메인이기 때문에 충돌이 일어나지 않음

#충돌 도메인은 여러개 지만, 여전히 broadcast domain은 1개이다.

broadcast가 올 때에 작업하고 있는 pc가 interrupt 되는데 자꾸 오면 작업을 못한다.

이것이 세지면 arp 공격이라고 한다.

네트워크가 커지면 커질수록 broadcast가 늘어나니 해야 할 일을 못하는 상황에 마주한다.

솔루션 – broadcast를 자른다? 전체 네트워크가 안되니 ㄴㄴ

router를 이용한다. router를 이용하면 broadcast가 router를 못 넘어간다.

다른 네트워크가 되고, 통신

switch – csma/co 방법을 사용하지 않는다.

wifi – csma/ca colligion avoid

switched network

shared network – hub, wifi, 모바일통신

broadcast 과정

#통신을 하기 위해 mac주소를 확인해야 하고 확인하기 위해서는 broadcast를 통해 확인

-상대방의 mac주소가 있어야 연결이 가능한데 모르면 어떻게 알아내느냐 broadcast를 통해서 확인한다.

라우터까지의 과정 순서와 장비별 특징확인

허브 -> pc 1대당 데이터 1개만 보낼 수 있음

브리지 -> 브리지 포트별로 허브를 연결하여 pc들을 연결하여 동시에 pc1대 이상 데이터 1개 이상을 동시에 할 수 있다. 하지만 충돌의 경우의 수를 낮출 뿐 브로드캐스트로 인해 결국엔 충돌이 일어나는 한계가 있음

스위치-> 

(포트1개가 pc와 연결되고 pc1대 자체가 콜리전도메인이라서 충돌이 일어나지 않는다.

 브로드캐스트가 일어날 때 충돌이 된다는 한계가 있음.)

라우터 (브로드캐스트가 못넘어오도록 한다)

스위치는 –네트워크를 나눌 수 없는 한계가 있다.

라우터 – 네트워크를 나눌 수 있다.

실습 네트워크 전체 구성도 설명

1. 3개의 zone을 구성해서 공인 ip(200.200.200.240/28)를 받아 하나의 네트워크 구성, 그리고 2개 네트워크를 사설 ip로

   구성하여 총 3개 네트워크(zone)을 구성했다.

2. 2개의 사설 ip는 200.200.200.243 공인 ip가 있는 dhcp서버를 이용하여 사설 ip 2개를 노란색, 주황색 zone에 있는

   pc에 ip를 할당 받았다.

3. Main-Server-1, Main-Server-2 에 FHRP(게이트웨이 이중화)방법 중에 하나인 HSRP를 이용해 구성했다.

4. Backbone 밑에 내려가는 포트에 nat 설정을 했다.

5. backbone에서 ISP와 이어져 있는 경로를 stating routing을 통해 구성했다.

실습

1.3개의 zone을 구성해서 공인 ip(200.200.200.240/28)를 받아 하나의 네트워크 구성, 그리고 2개 네트워크를 사설 ip

  로 구성하여 총 3개 네트워크(zone)을 구성했다.

총 3개 네트워크 zone 구성

2개의 사설 네트워크와 이어져 있는 L2스위치에는 vlan10, 20을 각각 주었고

1개 공인 IP를 받은 곳에는 vlan 200을 주었다.

L2-1(vlan 10), L2-2(vlan 20), L2-3(vlan 200)

명령어

L2SW(config)#vlan 10

L2SW(config-vlan)#exit

L2SW(config)#interface fa0/3

L2SW(config)#switchport mode access

L2SW(config)#switchport access vlan 10

L2SW(config)#exit

위와 같은 방법으로 vlan20, vlan 200도 동일하게 포트에 네트워크 별로 vlan으로 나누었다.

#내가 마주한 문제

switchport mode trunk는 서로 다른 네트워크를 구분하기 위해 해주는 기능인데,

현재 구성도에서는 각 L2스위치당 네트워크 1개만 존재하기 때문에 해줄 필요가 없다.

해줄 경우에는 dhcp서버에서 사설 ip를 설정하고 난후 ip를 할당 받지 못하니

하나의 네트워크가 있을 때에는 trunk를 해주지 말 것! (dhcp서버에서 ip를 할당받지 못해 한참을 헤매다 알아낸 사실ㅠ)

2. 2개의 사설 ip는 200.200.200.243 공인 ip가 있는 dhcp서버를 이용하여 사설 ip 2개를 노란색, 주황색 zone에 있는

   pc에 ip를 할당 받았다.

현재 상태에서는 backbone으로 가거나 internet으로 갈 수 없고 dhcp에서 ip를 가져와야 하는 상황이다.

DHCP 서버(200.200.200.243)로 부터 IP를 할당 받기 위해서는 MAIN-1,2장비에 3가지를 해야 한다.

a.DHCP 서버에서 DHCP에서 받아올 IP를 서버에서 하기처럼 설정 및 서버자체에 공인 IP(200.200.200.243)설정

(IP ADDRESS : 192.168.10.1, GATEWAY : 192.168.10.254, DNS : 8.8.8.8, SUBNET MASK : 255.255.255.0)

b.MAIN-1,2 장비가 200.200.200.240/28를 모르기 때문에 각각 ip를 부여 한다.

MAIN-1(config)#int vlan 200

MAIN-1(config)#ip address 200.200.200.252 255.255.255.240

MAIN-1(config)#no shutdown

MAIN-1(config)#standby 200 ip 200.200.200.254(게이트웨이주소)

*이 게이트웨이 주소를 보고 MAIN1,2에 들어오고 다시 다른 곳으로 통신하러 나갈 때에는 ip 200.200.200.252 로 통신

MAIN-2(config)#int vlan 200

MAIN-2(config)#ip address 200.200.200.253 255.255.255.240 (각각 다른 ip를 부여 해야 한다.)

MAIN-2(config)#no shutdown

MAIN-2(config)#standby 200 ip 200.200.200.254 (<-하는김에 200 네트워크도 이중화설정완료)

c.DHCP에서 ip를 받아올 수 있도록 ip helper-address 명령어를 부여한다.

MAIN-1(config)#int vlan 10 (vlan 20도 동일하게 할 것)

MAIN-1(config-if)#ip helper-address 200.200.200.243(dhcp 서버역할을 하는 서버 ip 주소를 부여)

MAIN-1(config-if)#exit

MAIN-2(config)#int vlan 10 (vlan 20도 동일하게 할 것)

MAIN-2(config-if)#ip helper-address 200.200.200.243(dhcp 서버역할을 하는 서버 ip 주소를 부여)

MAIN-1(config-if)#exit

=> 각 PC에 들어가서 ip configuration에 들어가서 DHCP를 누르면 IP 할당이 된다.

3번부터는 다음 글에서 작성하도록 하겠음!