itkorea 인천 아카데미 cisco network 수업 자료 및 정리
2024-09-22 ~2024-11-10까지.
매주 일요일마다 9-6. 두달 과정.
7회차 자료 [NAT,이중화,FHRP]
1. NAT : 주소변환(사설->공인, 사설->사설, 공인->공인)
- 외부에서 사설네트워크 내부 시스템에 접속하기 위해서는 Static NAT(보안취약)나 Port Forwarding을 설정해야함
- 사설네트워크 내부의 호스트들이 인터넷 통신이 필요할 때는 Dynamic NAT나 PAT(Port Address Translation) 설정을 해야함.
>> PAT를 사용해야하는 이유는 Dynamic NAT의 경우에는
동시 접속이 global-ip의 수로 제한됨.
- R2에 사설주소가 출발지인 경우 공중망으로 나가는 트래픽을 차단하는 ACL을 작성하고 적용(int s1/0).
ip access-list standard private-deny
deny 10.0.0.0 0.255.255.255
deny 172.16.0.0 0.15.255.255
deny 192.168.0.0 0.0.255.255
permit any
int s1/0
ip access-group private-deny out
- 외부(윈도우)에서 다음 서비스 이용 가능
1) A네트워크의 R7에 웹 접속
R7)
conf t
ip http server
enable password cisco
2) B네트워크의 R5에 텔넷 접속
R5)
conf t
enable password cisco
line vty 0 4
password cisco
login
3) B네트워크의 R6에 SSH 접속
R6)
conf t
enable password cisco
ip domain-name koreait.com
crypto key generate rsa general-keys modulus 1024
username admin password cisco
line vty 0 4
login local
4) NAT - Portforwarding
ip nat inside source static tcp 172.16.1.7 80 2.2.24.2 80
ip nat inside source static tcp 192.168.3.5 23 2.2.24.2 23
ip nat inside source static tcp 192.168.3.6 22 2.2.24.2 22
- ISP에서 NAT설정을 통해 실제 외부 네트워크와 통신 가능하도록 설정
ISP)
ip access-list standard isp-nat-acl
permit host 2.2.24.9
permit host 2.2.24.10
ip nat inside source list isp-nat-acl int f0/0
int f0/0
ip nat outside
int s1/0
ip nat inside
===============================================================
중복성 , 장애 허용성
이중화(Redundancy, Fault Tolerance) - 가용성(Availibility) - 고가용성(High Availibility)
11/9, 99.999999999% 가용성 보장합니다! 라는 뜻
; 이중화는 네트워크를 통한 서비스가 중단되지 않고 지속될 수 있도록 하는 것.
- OSI 7계층에서 각 계층마다 이중화를 제공하는 기술이 필요함.
L7 - 애플리케이션 스위치 : 데이터(파일종류- 텍스트, 영상, 음악 등)별로 로드밸런싱
L4 - 로드밸런서(L4 스위치) : 동일한 서버(HTTP,HTTPS)를 2대 이상 구성하고 연결
L3 - 게이트웨이 이중화(L3장치 이중화)
L2 - 링크이중화, 스위치이중화
L1 - 이중파워, UPS 등 (물리적인 이중화)
=============================================================
- 게이트웨이 이중화(L3장치 이중화)
LAN상의 단말들이 LAN외부와 통신하기 위해서는 게이트웨이 장치(L3장치)가 필요함.
단말에는 기본게이트웨이가 설정되어 있음. 만약 기본게이트웨이로 사용되는 장치에 장애가 발생하면
단말은 외부와 통신할 수 없게 됨.
따라서 게이트웨이를 이중화하여 장애발생시에도 외부와 통신이 가능하도록 함.
R1)
conf t
host R1
int g0/0
ip add 192.168.0.254 255.255.255.0
no sh
int s0/0/0
ip add 2.2.12.1 255.255.255.0
no sh
ip route 0.0.0.0 0.0.0.0 s0/0/0
R2)
conf t
host R2
int g0/0
ip add 100.100.100.254 255.255.255.0
no sh
int s0/0/0
ip add 2.2.12.2 255.255.255.0
no sh
int s0/0/1
ip add 2.2.23.2 255.255.255.0
no sh
ip route 192.168.0.0 255.255.255.0 s0/0/0
ip route 192.168.0.0 255.255.255.0 s0/0/1
R3)
conf t
host R3
int g0/0
ip add 192.168.0.253 255.255.255.0
no sh
int s0/0/0
ip add 2.2.23.3 255.255.255.0
no sh
ip route 0.0.0.0 0.0.0.0 s0/0/0
---------------------------------------------------------------------------------------------------
> FHRP(First Hop Redundancy Protocol) - 게이트웨이 이중화 프로토콜
1. HSRP(Hot Standby Routing Protocol) - 시스코 전용
2. VRRP(Virtual Router Redundancy Protocol) - 표준. HSRP와 거의 동일
hsrp를 보고 만든게 vrrp임 hsrp는 시스코용 vrrp는 표준. 동작방식은 거의 같음
3. GLBP(Gateway LoadBalancing Protocol) - 시스코 전용. HSRP,VRRP와 다르게 동작
자동적으로 로드밸런싱까지해주는 프로토콜임.
hsrp랑 vrrp는 수동으로 로드밸런싱 해줘야함.
- HSRP 설정 : 게이트웨이주소가 부여돼 있는 LAN인터페이스에서 설정
R1)
int g0/0
standby 1 ip 192.168.0.252 => Virtual Router 가 사용하는 IP주소. 단말이 사용할 게이트웨이 주소
standby 1 priority 105 => HSRP동작시 사용할 우선순위. 높은 라우터가 Active 상태가 됨. 기본값 100
standby 1 preempt => HSRP동작시 우선순위를 비교하여 높은 라우터로 Active를 가져오는 설정
standby 2 ip 192.168.0.251
standby 2 preempt
R3)
int g0/0
standby 1 ip 192.168.0.252
standby 1 priority 100
standby 2 ip 192.168.0.251
standby 2 priority 105
standby 2 track s0/0/0
- MHSRP(Multiple HSRP) - 하나의 인터페이스에 HSRP 설정을 2개 이상 하는 것.
설정을 통해 모든 L3장비가 게이트웨이 역할을 수행하도록 하는 것.
- VRRP는 HSRP를 시스코가 아닌 모든 벤더 장비에서 동작하도록 만든 표준 프로토콜
HSRP VRRP
Active / Standby Master / Backup
v1 :224.0.0.2 UDP 1985번 224.0.0.18 protocol번호 112번
v2 :224.0.0.102 UDP 1985번
사용하지 않는 IP주소로 인터페이스 주소로 VIP 사용가능
VIP 사용해야함.
Preempt 기능 비활성 Preempt 기능 활성
인터페이스 Track 기능 오브젝트 Track 기능
오브젝트 Track 기능
- L3 Etherchannel 인터페이스(int port-channel 1)에는 게이트웨이 이중화 설정을 할 수 없음.
==============================================================
내가 수업들으면서 메모한거
2024-10-27 시스코네트워크
라우터 0에 telnet 설정
enable password cisco
line vty 0 (line vty 이라는게 가상vurtual line 0이라는게 가상의 라인을 말하는거였음!!)
password cisco
login
vty(Virtual Teletype)
동시에 들어올 수 있는 session 수를 line 0 ,4 이렇게 하는데
0~4번이라 총 다섯개! 동시에 들어올 수 있는 session수를 5개로 제한한다는거
100은=101개!
0=1개
보안 강화-->acl이용해서 특정 주소만 접속 가능하게 가능. 지금은 그냥 누구나 가능하니까.
R2(config)#do sh run | i ip nat
ip nat outside
ip nat inside
ip nat inside
ip nat pool testpool 2.2.24.9 2.2.24.10 netmask 255.255.255.252
ip nat inside source list nat-acl pool testpool overload
(ACL에 적용된 조건들 먼저 확인하고 그게 해당 되면 TSET POOL IP로 바꿔라)
어디로? outside 적용되어있는 곳으로.
overload되어있으니까 pot까지 동작한다는 얘기 .
ip nat inside source static tcp 192.168.3.5 80 2.2.24.2 8080 extendable
ip nat inside source static tcp 192.168.3.6 23 2.2.24.3 2323 extendable
R2(config)#sxit
(ACL 조건들은 이렇습니다)
R2#sh access-lists
Standard IP access list nat-acl
10 permit 172.16.1.0, wildcard bits 0.0.0.255
Extended IP access list out-in
10 permit tcp host 3.3.48.8 eq telnet 172.16.1.0 0.0.0.255
20 permit tcp host 3.3.48.8 eq telnet 192.168.3.0 0.0.0.255
30 permit icmp host 3.3.48.8 172.16.1.0 0.0.0.255
40 permit icmp host 3.3.48.8 192.168.3.0 0.0.0.255
50 deny ip any any
R2에 사설주소가 출발지인 경우 공중망으로 나가는 트래픽을 차단하는 ACL을
작성하고 적용(int s1/0)
ip access-list standard private-deny
deny 10.0.0.0 0.255.255.255
deny 172.16.0.0 0.15.255.255
deny 192.168.0.0 0.0.255.255
permit any
int s1/0
ip access-group private-deny out
PC5#ping 3.3.48.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.48.8, timeout is 2 seconds:
UUUUU (나갔다가 아예 못 돌아온거임)
Success rate is 0 percent (0/5)
ip nat inside source list nat-acl pool testpool overload
---------------------------------------------------------------------------
static nat--> Port Forwarding
-외부에서 다음 서비스 이용 가능
1-외부에서 내부 A네트워크의 R7에 웹 접속 가능하게 하기
R7)
conf t
ip http server
enable password cisco
2-외부에서 내부 B네트워크의 R5에 Telnet 접속 가능하게 하기
R5)
conf t
enable password cisco
line vty 0 4
password cisco
login
3-외부에서 내부 B네트워크의 R6에 SSH 접속 가능하게 하기
R6)
conf t
enable password cisco
ip domain-name koreait.com
crypto key generate rsa general-keys modulus 1024
username admin password cisco
line vty 0 4
login local
conf t
enable password cisco
ip domain-name koreait.com (도메인 네임 필요)
crypto key generate rsa general-keys modulus 1024 (키생성, rsa알고리즘 유형해서 1024비트 크기로)
username admin password cisco (사용자 있어야하니까)
line vty 0 4
login local
외부에서 nat 설정하기-port forwarding
static이라 pool 만들 필요x
portforwarding이니까 tcp나 icmp 들어가야하는데
방금 ssh, telnet, http는 다 tcp 포트 (www)
ip nat inside source static tcp 172.16.1.7 80 2.2.24.2 80
ip nat inside source static tcp 192.168.3.5 23 2.2.24.2 23
ip nat inside source static tcp 192.168.3.6 22 2.2.24.2 22
2.2.24.2말고 할당받은 공인 ip가 있으면 그거 써도 됨.
2.2.24.100은 인터페이스에 할당된 ip는 아님, 2.2.24.0네트워크 ip는 맞음
isp에서는 2.2.24.4가 자기 네트워크니까 2.2.24.100이 오면 수신함.
안되면 버림, 인터페이스에 할당되어있는 ip가 아니더라도 nat에서 사용하고있으면
접근이 가능합니다. 다른 대여의 아피도 가능 3.3.24.100이다 isp에서 요 네트워크
정보가 라우터에 들어가있음. 활당된 정보니까.
ssh윈도우에서 접속방법
ssh admin@2.2.24.2
nat많이되면 느려짐.
ISP에서 NAT설정을 통해 실제 외부 네트워크와 통신 가능하도록 설정
ISP)
ip access-list standard isp-nat-acl
permit host 2.2.24.9
permit host 2.2.24.10
ip nat inside source list isp-nat-acl int f0/0
int f0/0
ip nat outside
int s1/0
ip nat inside
-----------------------------------------------------------------------
오후 수업 시작 이중화
gateway가 왜 필요하냐? -외부랑 통신하기위해서
gateway가 문제가 생기면->장비 이슈, 통신이슈 등-->이용x-->하나 더 안전하게 나두자(수동으로 설정해줘야함)
gateway역할을 지속적으로 할 수 없는 상황이다
-->ether channel 링크를 묶어가지고 3계층 쓰는거,
-->gateway중에서 두개 중에서 한개라도 작동해서 서비스 되면 이중화 했다는것
보안 3요소 CIA
1. Confidentiality 기밀성 비밀이 유지가 되어야한다
2. Integrity 진실성 (무결성) 데이터가 무결성되야한다
3. Availibility 가용성 (서비스가 지속되어야한다)
가용성을 해친다? 보안에 문제(침해)가 생겼다(human issue,혹은 공격으로 인해). down되면 서비스가 안됨.
중복성 , 장애 허용성
이중화(Redundancy, Fault Tolerance) - 가용성(Availibility) - 고가용성(High Availibility)
11/9, 99.999999999% 가용성 보장합니다! 라는 뜻
; 이중화는 네트워크를 통한 서비스가 중단되지 않고 지속될 수 있도록 하는 것.
- OSI 7계층에서 각 계층마다 이중화를 제공하는 기술이 필요함.
L7 - 애플리케이션 스위치 : 데이터(파일종류- 텍스트, 영상, 음악 등)별로 로드밸런싱
L4 - 로드밸런서(L4 스위치) : 동일한 서버(HTTP,HTTPS)를 2대 이상 구성하고 연결
L3 - 게이트웨이 이중화(L3장치 이중화)
L2 - 링크이중화, 스위치이중화
L1 - 이중파워, UPS 등 (물리적인 이중화)
정전 대비해서 보조 변압기 같은거 사용(전기가 끊어져도 일정하게 전기 사용할 수 있게끔)
논리적으로 이중화 다해도 파워 issue 나면 의미가 없습니다..전기,..전기는 소중하니까!
스위치에서도 이중화합니다. 벤더사마다 기술은 다 달라요. 개념은 다 똑같죵! 가용성을 위하여!
우리가 다룰꺼는 게이트웨이 이중화!
외부랑 통신하기위해서는 게이트웨이가 필요한데 게이트웨이에 문제가 생기면 gateway가
한개일때는 문제 발생! 그래서 두개를 세팅해서 문제를 방지하는거지.
- 게이트웨이 이중화(L3장치 이중화)
LAN상의 단말들이 LAN외부와 통신하기 위해서는 게이트웨이 장치(L3장치)가 필요함.
단말에는 기본게이트웨이가 설정되어 있음. 만약 기본게이트웨이로 사용되는 장치에 장애가 발생하면
단말은 외부와 통신할 수 없게 됨.
따라서 게이트웨이를 이중화하여 장애발생시에도 외부와 통신이 가능하도록 함.
---------------------------------------------------------------------------------------------------
> FHRP(First Hop Redundancy Protocol) - 게이트웨이 이중화 프로토콜
하나 문제 생겼다?--> 자동으로 지속될 수 있게 알아서 세팅해줌.
FHRP(First Hop Redundancy Protocol)는 서브넷의 기본 게이트웨이에 대한 중복성을 제공하여 네트워크 가용성을 보장하는 프로토콜입니다. 여러 라우터가 단일 IP 주소를 공유할 수 있으며, 한 라우터는 트래픽을 적극적으로 처리하는 동안 다른 라우터는 활성 라우터가 실패할 경우 인계하기 위해 대기합니다. 이 장애 조치 메커니즘은 네트워크 중단을 방지합니다. 기본 라우터가 다운되면 백업 라우터가 즉시 게이트웨이 기능을 인계하여 최종 장치에 대한 원활한 연결을 유지할 수 있기 때문입니다.
1. HSRP(Hot Standby Routing Protocol) - 시스코 전용
Instead, it refers to a ready and active state. In the context of HSRP,
"hot" indicates that a backup router is in a state of readiness to take over immediately
if the primary router fails.
2. VRRP(Virtual Router Redundancy Protocol) - 표준. HSRP와 거의 동일
hsrp를 보고 만든게 vrrp임 hsrp는 시스코용 vrrp는 표준. 동작방식은 거의 같음
3. GLBP(Gateway LoadBalancing Protocol) - 시스코 전용. HSRP,VRRP와 다르게 동작
자동적으로 로드밸런싱까지해주는 프로토콜임.
hsrp랑 vrrp는 수동으로 로드밸런싱 해줘야함.
장비에서는 hsrp랑 vrrp를 더 많이 씀(glbp가 좋아보여도)
C:\>arp -a
Internet Address Physical Address Type
172.16.1.253 00d0.ff36.5502 dynamic
172.16.1.254 000d.bd5e.1d02 dynamic
arp를 통해서 게이트웨이주소를 알아오고 그 mac주소를 이용해서 트래픽을 전부
게이트웨이로 보내는 형태를 취함.
근데 이렇게 딱 지정하게 되면! 이 라우터에 문제가 생겼을때 통신이 안되는 현상이
발견되니까 가상의 라우터를 하나더 만듭니다! 가상의 라우터를 생성해서(.253, .254도 아닌 .252설정)!
요 .252로
FHRP 작동원리
이 (.253, .254)두개 중에 하나가 Active 장비가 되어야함.
현재는 .253이 active 상태니까 pc0으로 보냄, pc0에서 .253으로 보냄
근데 .253이 죽었어. 그럼 .254가 active 되서 pc0으로 보냄 pc0역시 .254로 감
ARP 요청하면 Active 장비에서 요청 줌. 그러다가 죽으면 다른 acitve장비에서 보내줌
- HSRP 설정 : LAN에서 게이트웨이주소로 사용할 수 있는 ip주소가 부여된 인터페이스에서 설정
standby가 hsrp설정하는 명령어
standby group num(같아야 동작 같이함)
R1)
int g0/1
standby 1 ip 172.16.1.252 => Virtual Router 가 사용하는 IP주소. 단말이 사용할 게이트웨이 주소
standby 1 priority 105 => HSRP동작시 사용할 우선순위. 높은 라우터가 Active 상태가 됨. 기본값 100
standby 1 preempt => HSRP동작시 우선순위를 비교하여 높은 라우터로 Active를 가져오는 설정
standby 1 tack g0/0 10 => 인터페이스 g0/0을 트래킹하고 만약 인터페이스가 다운되면 우선순위를 10만큼 낮추는 설정
standby 2 ip 172.16.1.251
standby 2 preempt
R2)
int g 0/1
standby 1 ip 172.16.1.252
standby 1 prority 100
standby 1 preemt ==>track 기능에 의해 현재 active 장비의 우선순위가 낮아지면 우선순위 비교를 통해
R2가 active 장비가 되도록하는 설정. VRRP와 HSRP Version 2는 기본적으로 활성화되어 있음.
- MHSRP(Multiple HSRP) - 하나의 인터페이스에 HSRP 설정을 2개 이상 하는 것.
설정을 통해 모든 L3장비가 게이트웨이 역할을 수행하도록 하는 것.
R1이 무한 Active면 우리 R2는 언제 active 되나요? 무한 standby인가요? 도와주고 싶어요 우리 R1이..
할때 쓰는게 MHSRP!! R1아 힘들지! R2가 도와줄게! 우리 나누자! 트래픽을!! 부하 방지 가자고!!
V-IP 172.16.1.252
V-IP 172.16.1.251 생성!!
(standby 20 쓰는 이유는 hsrp에서 10 이미 쓰고있어서 같은거 쓰면 안됨;';')
만약 standby 다음에 그룹 넘버안쓰면 0으로 들어감 오류남~
R2)
int g0/1
standby 20 ip 172.16.1.252
standby 20 priority 105
standby 20 preempt
standby 20 track g0/0
R1)
int g0/1
standby 20 ip 172.16.1.251
standby 20 priority 100
standby 20 preempt
Active virtual MAC address is 0000.0C07.AC14
1(16)+4= 20 (그룹번호)
HSRP는 UDP로 헬로우 보냅니다
VRRP는 그냥 IP위에 동작함 UDP이용안함!
프로토콜 위치가 UDP 쓴다는 얘기는
예를 들어 L2가 있고 L3가 있는데 L4가 UDP
HSRP는 여기서 동작
----------------------------------------------------
L4 UDP
-----------------------------------------------------
VRRP는 여기서 동작합니당~(ip위에서 동작)
-----------------------------------------------------
L3 IP
------------------------------------------------------
L2
멀티캐스트를 쓴다는게 무슨 의미죠?
--> 예를 들어 A 라우터가 VRRP가 설정되어있다. 224.0.0.8 목적지로 오는 데이터는 수신을 해요
224.0.0.102로 되어있는건 수신을 안해요. 즉 멀티캐스트 쓴다는건 장비에 설정되어있는 IP만 수신하지 나머지는 다 버린다는 얘기임
왜? 불필요하니까!
브로드캐스트를 쓴다?--> 모든 트래픽을 다 쓴다는 얘기.
맞춤 트래픽만 들어와라! = 멀티캐스트
HSRP만 들어와라! ㅇㅋ HSRP만 들어옴!
근데 HSRP말고 다 들어온다? --> 장비 부하발생UP
- VRRP는 HSRP를 시스코가 아닌 모든 벤더 장비에서 동작하도록 만든 표준 프로토콜
HSRP VRRP
Active / Standby Master / Backup
v1 :224.0.0.2 UDP 1985번 224.0.0.18 protocol번호 112번
224.0.0.2는 모든 라우터가 처리해야하는 주소
224.0.0.18은 hsrp가 설정된 라우터만 처리가능
v2 :224.0.0.102 UDP 1985번
사용하지 않는 IP주소로 인터페이스 주소로 VIP 사용가능
VIP 사용해야함.
Preempt 기능 비활성 Preempt 기능 활성
인터페이스 Track 기능 오브젝트 Track 기능
(되게 제한적이라 잘안씀)
오브젝트 Track 기능
- L3 Etherchannel 인터페이스(int port-channel 1)에는 게이트웨이 이중화 설정을 할 수 없음.
-GNS3 VRRP lab 설정
ESW1)
int vlan 10
vrrp 10 ip 192.168.10.254
vrrp 10 priority 110
int vlan 20
vrrp 20 ip 192.168.20.254
ESW2)
int vlan 10
vrrp 10 ip 192.168.10.254
int vlan 20
vrrp 20 ip 192.168.20.254
vrrp 20 priority 110
==============================================================
C:\>ping 172.16.1.252
Pinging 172.16.1.252 with 32 bytes of data:
Reply from 172.16.1.252: bytes=32 time<1ms TTL=255
Reply from 172.16.1.252: bytes=32 time<1ms TTL=255
Reply from 172.16.1.252: bytes=32 time<1ms TTL=255
Reply from 172.16.1.252: bytes=32 time<1ms TTL=255
Ping statistics for 172.16.1.252:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>arp -a
Internet Address Physical Address Type
172.16.1.252 0000.0c07.ac01 dynamic
hsrp 설정하면 0000.0c07.ac을 가짐
그래서 -arp했는데 어 뭐야 000.0c07.ac가 게이트웨이로 사용되네? 아. hsrp로 이중화 해놨구나. 알 수 있음
ac01 16진수 0하고 1임 (그룹번호임) 아까 그룹 번호 1로 줬잖슴. 그래서 1인거임!!
그룹번호가 10이면 ac0a가 될꺼임
01은 2^8승 286개.
Active virtual MAC address is 0000.0C9F.F001
001 요건 2^12승
보통 active 하는 장비는 더 좋은 장비일 확률이 높음
근데 이게 다운 됐으면 그 다음 priority 순위 장비가 동작하게되는데
다시 더 좋은 장비가 active 되면 그걸로 또 옮겨지는데(이게 자동으로 원래 안된다고함;;)
우선순위를 비교해서 active를 가져와야하는데
preemt 활성화 안되어있으면 못 바꾼다는 얘기임.
preemt 활성화 해둬야 우선순위에 맞춰서 가져옴.
version2는 preemt가 기본으로 활성화 되어있음
version1은 손수 설정해줘야함.
만약 g0/0이 끊어졌다? 그러면 어떻게 알아요
모르지! 헬로우 계속 보내는데!
그래서
r1 우선순위를 낮춤(105->95)으로서 r2의 우선순위(100)를 가져오게함
track Priority Tracking
standby 1 tack g0/0 ?(안나옴. 패킷트레이서는 10 우선순위가 디폴트로 낮아짐)
Track interface GigabitEthernet0/0 state Up decrement 10
g0/1 sh 해버리고 r1에서 sh standby하면
Priority 95 (configured 105)로 되어있음! 우선순위! 낮아졌음! -10!
그래서 R2를 보면 sh stanby하면 active 되어 있음!
목적은 결국 통신이 계속되게!! 가용성!Availibility
dot1q IEEE 802.1Q
passive-interface 이게 뭔가요
ospf 패킷이 전송이됩니다. passive-interface쓰게되면 ospf패킷을 전송하지말라는 얘기!
라우팅 패킷을 요 해당 interface로는 전송하지말라는 얘기임
보안쪽으로는 의미가 있음. 불필요한 트래픽을 발생하지말라는 얘기임.
ESW1#sh vrrp
Vlan10 - Group 10
State is Master
Virtual IP address is 192.168.10.254
Virtual MAC address is 0000.5e00.010a
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 110
Master Router is 192.168.10.251 (local), priority is 110
Master Advertisement interval is 1.000 sec
Master Down interval is 3.570 sec
Vlan20 - Group 20
State is Backup
Virtual IP address is 192.168.20.254
Virtual MAC address is 0000.5e00.0114
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 100
Master Router is 192.168.20.252, priority is 110
Master Advertisement interval is 1.000 sec
Master Down interval is 3.609 sec (expires in 2.669 sec)
ESW1#sh vrrp br
Interface Grp Pri Time Own Pre State Master addr Group addr
Vl10 10 110 3570 Y Master 192.168.10.251 192.168.10.254
Vl20 20 100 3609 Y Backup 192.168.20.252 192.168.20.254
PC1> ip 192.168.10.10 192.168.10.254
Checking for duplicate address...
PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.254
PC1> ping 192.168.10.254
84 bytes from 192.168.10.254 icmp_seq=1 ttl=255 time=15.135 ms
84 bytes from 192.168.10.254 icmp_seq=2 ttl=255 time=15.237 ms
84 bytes from 192.168.10.254 icmp_seq=3 ttl=255 time=15.194 ms
sh84 bytes from 192.168.10.254 icmp_seq=4 ttl=255 time=15.261 ms
a84 bytes from 192.168.10.254 icmp_seq=5 ttl=255 time=15.151 ms
PC1> sh arp
00:00:5e:00:01:0a 192.168.10.254 expires in 110 seconds
00:00:5e:00:01 가상 맥주소나타남
0a가 그룹 10번!
PC1 : 192.168.20.20 255.255.255.0 gateway 192.168.20.254
PC2> ping 192.168.20.254
84 bytes from 192.168.20.254 icmp_seq=1 ttl=255 time=15.101 ms
84 bytes from 192.168.20.254 icmp_seq=2 ttl=255 time=15.229 ms
84 bytes from 192.168.20.254 icmp_seq=3 ttl=255 time=15.258 ms
84 bytes from 192.168.20.254 icmp_seq=4 ttl=255 time=15.185 ms
84 bytes from 192.168.20.254 icmp_seq=5 ttl=255 time=15.318 ms
PC2> sh arp
00:00:5e:00:01:14 192.168.20.254 expires in 107 seconds
ESW1(config)#track 10 int f0/0 line-protocol
이게 무슨 소리냐.
물리적인 다운이 아니라 2계층의 다운을 감시하겠다는 소리.
2계층의 동작을 못하게 되면 통신이 안되니까 그 경우에 트래킹 동작을 하게끔 하겠다는 말.
ESW1(config-if)#vrrp 10 track 10 decrement 20
Priority is 110
Track object 10 state Up decrement 20
Master Router is 192.168.10.251 (local), priority is 110
f0/0 sh 해버리면
do sh vrrp
Priority is 90 (cfgd 110)
Track object 10 state Down decrement 20
Master Router is 192.168.10.252, priority is 100
R1)
ip route 0.0.0.0 0.0.0.0 s1/0 2.2.12.2
router ospf 1
net 10.1.12.0 0.0.0.255 a 0
net 10.1.13.0 0.0.0.255 a 0
default-information orignate
ESW1)
router ospf 1
net 10.1.12.0 0.0.0.255 a 0
net 192.168.10.0 0.0.0.255 a 0
net 192.168.20.0 0.0.0.255 a 0
net 192.168.30.0 0.0.0.255 a 0
passive-interface vlan 10
passive-interface vlan 20
passive-interface vlan 30
ESW2(config-if)#standby 30 ip 192.168.30.254
ESW2(config-if)#standby 30 preempt
ESW2)
router ospf 1
net 10.1.13.0 0.0.0.255 a 0
net 192.168.10.0 0.0.0.255 a 0
net 192.168.20.0 0.0.0.255 a 0
net 192.168.30.0 0.0.0.255 a 0
passive-interface vlan 10
passive-interface vlan 20
passive-interface vlan 30
요 세개 abc는 출발지,호스트 주소로 사용가능
1-126 a
128-191b
192-223 c
224-239 d클래스 멀티캐스트주소는 목적지 주소로만 사용할 수 있다'Study > Network' 카테고리의 다른 글
| CISCO NETWORK 수업 자료 및 정리 [보안-네트워크,스위치,라우터,IPSEC,DHCP,VPN,AAA,BGP,IPv6] (2) | 2024.11.13 |
|---|---|
| CISCO NETWORK 수업 자료 및 정리 [ACL] (5) | 2024.11.13 |
| CISCO NETWORK 수업 자료 및 정리 [Dynamic Routing, StaticRoute ] (0) | 2024.11.13 |
| CISCO NETWORK 수업 자료 및 정리 [GNS3, VLAN, 링크 이중화] (0) | 2024.11.13 |
| CISCO NETWORK 수업 자료 및 정리 [슈퍼네팅, cisco packet tracer, spt] (1) | 2024.11.13 |