8장. VLAN과 Inter-VLAN 라우팅 2012년 2학기 중부대학교 정보보호학과 이병천 교수.

Slides:



Advertisements
Similar presentations
R11(config)#router rip R11(config-router)#version 2 R11(config-router)#no auto-summary R11(config-router)#network R11(config-router)#network.
Advertisements

멀티미디어 서비스를 위한 IP 네트워크 순천향대학교 정보기술공학부 이 상 정
랜카드 LAN Card : NIC -유저의 데이터를 케이블을 통해 스위치, 라우터 등으로 전달.
Layer-2 Switching - 스위치는 multiport bridge( bridges with more ports)라 할 수 있다. 브리지가 소프트웨어 베이스라 한다면 스위치는 하드웨어 베이스로 지연시간이 적다.(Low Latency) Filtering Decision을.
제 4장 환경설정과 IOS CLI 관리명령.
8장. VLAN과 Inter-VLAN 라우팅 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Chapter 5 Configuring Catalyst Switch Operations
UDP 1434 공격에 대한 방어 요령 Cisco Systems Korea 최 우 형 Network 보안과 대책
PC1 E0 R1 로컬 Host 파일 브로드 캐스트 LMHOSTS 조회 Host 파일 조회 DNS Server 조회
실 습 Router Configuration.
11장. WAN 기술 (PPP, Frame-Relay)
제 12장 Virtual-LAN.
Chapter 2: LAN 기술 및 네트워크 장비 규격
LOGO 네트워크 운용(1).
Network Security - Wired Sniffing 실습
시스코 네트워킹 (CCNA) 8주차-1.
RIP 2 IBGP가 다수일 경우 IGP(rip, OSPF,….)가 가까운 곳(목적지까지 비용이 적은 곳)이 최적경로로 선정
Internet Group Management Protocol (IGMP)
LOGO 네트워크 운용(2).
IGRP(Interior Gateway Routing Protocol)
3장. 라우터와 스위치의 기본설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
10. About TCP / IP SPARCS 08 우성필.
시스코 네트워킹 (CCNA) 2주차.
3장. 라우터와 스위치의 기본설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
VLAN Switch와 연결된 모든 장비들은 하나의 Broadcast Domain에 포함
모든 내용에 대한 저작권은 BANNA에 있으며, 허가된 사용자 이외에는 사용할 수 없습니다.
Part 라우터 1. 라우터 장비의 이해 2. 라우터 네트워크 환경 설정 3. 라우팅 테이블 설정과 점검.
PSINet BackBone Network
실습1 : 장치 기본 설정 (basic configuration)
라우터 프로토콜을 이용한 네트워크 구축 실습.
5장. 라우팅프로토콜 RIP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
3COM 스위치 교육 자료.
L3 WorkGroup Switch(OS6624)
네트워크 기말고사 실습 과제 서승희 이도경.
16 장 LAN 연결, 백본망과 가상 LAN 16.1 연결장비 16.2 백본 네트워크 16.3 가상랜 16.4 요약.
19장 네트워크 연결장치, 백본망, 가상 LAN 19.1 연결장비 19.2 백본 네트워크 19.3 가상 LAN 19.4 요약.
4장. 정적 경로 설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Routing Protocol - Router의 주 목적 중 하나는 Routing
S N M P (Simple Network Management System).
Connecting LANs, Backbone Networks, and Virtual LANs
3장. 라우터와 스위치의 기본설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
5장. 라우팅프로토콜 RIP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Chapter 13 사용자 네트워크 보안.
11장. WAN 기술 (PPP, Frame-Relay)
8장. VLAN과 Inter-VLAN 라우팅 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
8장. VLAN과 Inter-VLAN 라우팅 중부대학교 정보보호학과 이병천 교수.
시스코 네트워킹 (CCNA) 8주차-2.
6장. EIGRP 중부대학교 정보보호학과 이병천 교수.
학내전산망 제안서 본 제안서의 기술적 내용은 해당 회사에 저작권이 있습니다.
IP(Internet Protocol)
Chapter 02. OSI 계층별 장비.
네트워크 기말고사 중부대학교 정보보호학과 이종화.
5장. 라우팅프로토콜 RIP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
네트워크 팀.
3장. 라우터와 스위치의 기본설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
4조 3장 vlan.
Information Security - Wired Sniffing 실습
AP3 매뉴얼.
Chapter 5. 인터넷으로의 연결 라우터 이야기
6장. EIGRP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
시스코 네트워킹 (CCNA) 5주차.
컴퓨터 개론 √ 원리를 알면 IT가 맛있다 쉽게 배우는 컴퓨터 기본 원리 한빛미디어 교재출판부.
시스코 네트워킹 (CCNA) 1주차.
11장 퀴즈 권세훈 이원우 주영옥.
5장. 라우팅프로토콜 RIP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
학내전산망 제안서.
CCNA 3 CHAPTER .1 LAN DESIGN 박명진, 문창호, 최성호.
9장. VTP와 STP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Copyright © 2002, Cisco Systems, Inc.
8장. VLAN과 Inter-VLAN 라우팅 중부대학교 정보보호학과 이병천 교수.
Presentation transcript:

8장. VLAN과 Inter-VLAN 라우팅 2012년 2학기 중부대학교 정보보호학과 이병천 교수

스위치 스위치란? 스위치의 구분 LAN 구간에서 주로 사용되는 네트워크 장치 L2 스위치: MAC 주소를 기반으로 프레임을 전달 L3 스위치: IP 주소를 기반으로 패킷을 전달 L4 스위치: TCP, UDP 등을 스위칭하면서 RTP(실시간 통 신용 프로토콜) 등의 헤더를 사용하여 어떤 프로토콜을 우선적으로 전달할 것인지 결정 가능. 서버나 네트워크의 트래픽에 대한 로드밸런싱에 이용. L7 스위치: URL, 이메일 제목 및 내용, 쿠키 등의 패턴을 분석해 패킷을 처리. 높은 보안성, QoS, 로드밸런싱 가능

스위치의 계층적 구조 스위치의 계층적인 구조를 이용해 네트워크를 구 성하면 안전성, 확장성, 성능 향상 가능 액세스(access) 계층: 장치가 직접 연결되는 계층. Port security, VLAN, PoE(Power of Ethernet), Link Aggregation, QoS 등의 기능을 설정 분산(distribution) 계층: 트래픽을 분리해내는 역할. ACL, IP 라우팅, 이중화 구성, QoS 등을 기능을 설정 코어(core) 계층: 패킷의 전달을 빠르고 정확하게 하는 것 이 주된 역할. 어떠한 정책도 선언되지 않음.

스위치의 MAC 테이블 생성 1. 스위치가 부팅되면 MAC 테이블은 비어있음 2. PC로부터 패킷을 받으면 연결되어 있는지 인지 3. 목적지 PC의 연결포트를 모르면 모든 포트에 프레임을 플러딩 4. 목적지 PC는 자신에게 전달된 프레임에 응답. 스위치는 연결포트와 PC의 관계를 인지 5. MAC 테이블이 완성되면 유니캐스트 통신. MAC 테이블은 기본 Aging time인 300초만 저장

완성된 MAC 테이블 Switch#show mac Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0003.e48b.297b DYNAMIC Fa0/3 1 0005.5e70.4557 DYNAMIC Fa0/4 1 000c.cfb2.e824 DYNAMIC Fa0/5 1 00d0.bc01.1d48 DYNAMIC Fa0/2 1 00e0.f9d8.7976 DYNAMIC Fa0/1

VLAN(가상랜) VLAN의 필요성 VLAN의 역할 네트워크의 크기가 커지면 플러딩 데이터가 커짐 내부에서 권한이 없는 사용자가 제약없이 특정 장치에 접 속 가능 VLAN의 역할 브로드캐스트 도메인을 분할하여 브로드캐스트 트래픽으 로 인한 장비들의 성능저하를 막고자 함 서로 다른 VLAN에 속한 장치들은 통신이 불가능하여 보 안에 도움 서로 다른 VLAN이 통신하려면 라우터나 L3 스위치가 필 요 스위치의 모든 포트는 기본 VLAN 1번에 속해 있음

VLAN 확인 기본 VLAN 1번 사용 가능한 VLAN 1~1001번 예약된 VLAN 1002~1005번 Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - - 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - - ibm - 0 0 기본 VLAN 1번 사용 가능한 VLAN 1~1001번 예약된 VLAN 1002~1005번

VLAN 설정과 Trunk 설정

VLAN 설정 VLAN 생성 각 포트에 VLAN 할당 SW1(config)#vlan 10 SW2(config)#vlan 10 SW1(config-vlan)#name VLAN_10 SW1(config-vlan)#exit SW1(config)#vlan 20 SW1(config-vlan)#name VLAN_20 SW1(config)#vlan 30 SW1(config-vlan)#name VLAN_30 SW1(config)#interface FastEthernet0/1 SW1(config-if)#switchport access vlan 20 SW1(config-if)#exit SW1(config)#interface FastEthernet0/2 SW1(config-if)#switchport access vlan 10 SW1(config)#interface FastEthernet0/3 SW1(config-if)#switchport access vlan 30 SW2(config)#vlan 10 SW2(config-vlan)#name VLAN_10 SW2(config-vlan)#exit SW2(config)#vlan 20 SW2(config-vlan)#name VLAN_20 SW2(config)#vlan 30 SW2(config-vlan)#name VLAN_30 SW2(config)#interface FastEthernet0/2 SW2(config-if)#switchport access vlan 10 SW2(config-if)#exit SW2(config)#interface FastEthernet0/3 SW2(config-if)#switchport access vlan 30 SW2(config)#interface FastEthernet0/4 VLAN 생성 각 포트에 VLAN 할당

Trunk 설정 하나의 회선으로 여러 개의 VLAN을 사용하기 위 해 Trunk 설정 필요 SW1은 3개의 VLAN을 가짐 SW2는 2개의 VLAN을 가짐 SW1과 SW2는 하나의 회선으로만 연결 Trunk 설정 후에는 같은 VLAN끼리 통신 가능 트렁크가 선언된 회선은 VLAN ID를 구분하지 않고 VLAN 프레임을 전송 SW1(config)#interface FastEthernet0/4 SW1(config-if)#switchport mode trunk SW2(config)#interface FastEthernet0/1 SW2(config-if)#switchport mode trunk

Trunk 확인 802.1q : 트렁크에 사용되는 프로토콜 SW1(config)#do show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/4 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/4 1-1005 Port Vlans allowed and active in management domain Fa0/4 1,10,20,30 Port Vlans in spanning tree forwarding state and not pruned 802.1q : 트렁크에 사용되는 프로토콜

Native VLAN 설정 VLAN의 3가지 프레임 형태 두가지 트렁크 프로토콜 VLAN 정보가 없는 프레임 우선순위 프레임 802.1q: L2, L3장치에서 모두 사용 가능 VLAN ID가 없는 프레임을 수신하면 네이티브 VLAN아이디 를 부여하여 전송 ISL(Inter-Switch Link): 시스코 전용 프로토콜로 L3장치 에서만 사용 가능 VLAN ID가 없는 프레임을 수신하면 프레임을 폐기

Native VLAN 변경 VLAN을 설정하지 않은 PC가 섞여있는 경우

Native VLAN 변경 기본 Native VLAN은 1번 기본 Native VLAN을 10번으로 변경하고자 함 SW1(config)#int fa0/4 SW1(config-if)#switchport trunk native vlan 10 SW2(config-if)#int fa0/1 SW2(config-if)#switchport trunk native vlan 10

DTP DTP(Dynamic Trunking Protocol) 트렁크 설정 명령어 상대 스위치와 트렁크 관련 협상 및 트렁크 캡슐화를 협상하기 위한 프로토콜 802.1q와 ISL 프로토콜을 모두 지원 트렁크 설정 명령어 Switchport mode trunk: 상대 포트가 어떠한 설정으로 되어 있든지 자신은 트렁크로 동작한다 Switchport mode dynamic auto: 상대방의 포트에 on, desirable일 경우에만 트렁크로 동작한다 Switchport mode dynamic desirable: 상대측 포트가 on, auto, desirable일 경우에만 트렁크 포트로 동작 Switchport nonegotiate: DTP 패킷을 전송하지 않도록 설정 Switchport trunk allowed vlan: 특정 VLAN만 트렁크를 사용 할 수 있도록 설정

Inter-VLAN 서로 다른 VLAN에 속한 PC가 서로 통신할 수 있도 록 설정하는 것. L3 장치(라우터)를 이용

Inter-VLAN VLAN의 개수만큼 라우터의 인터페이스를 할당하는 방식  더 효율적인 방식은? Switch(config)#vlan 10 Switch(config-vlan)#name Infocomm Switch(config-vlan)#exit Switch(config)#vlan 70 Switch(config-vlan)#name Security Switch(config)#interface FastEthernet0/1 Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#interface FastEthernet0/2 Switch(config-if)#switchport access vlan 70 Switch(config)#interface FastEthernet0/3 Switch(config)#interface FastEthernet0/4 Router(vlan)#vlan 10 name Infocomm VLAN 10 modified: Name: Infocomm Router(vlan)#vlan 70 name Security VLAN 70 modified: Name: Security Router(config)#interface FastEthernet0/0 Router(config-if)#ip address 1.1.1.1 255.255.255.0 Router(config-if)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#ip address 2.2.2.1 255.255.255.0 VLAN의 개수만큼 라우터의 인터페이스를 할당하는 방식  더 효율적인 방식은?

라우터-온-어-스틱 라우터-온-어-스틱(router-on-a-stick) 스위치와 라우터가 연결되어 있는 구간에 트렁크를 설정 하고 Inter-VLAN을 설정하여 한 개의 인터페이스만으로 통신이 가능하도록 하는 방식 VLAN별로 라우터 인터페이스를 할당하기 위해 서브인터 페이스라는 가상 인터페이스를 사용 SVI(Switch Virtual Interface)

라우터-온-어-스틱

라우터-온-어-스틱 스위치 1에 트렁크 설정 SW1(config)#interface FastEthernet0/5 SW1(config-if)#switchport mode trunk 라우터에 가상인터페이스 설정 Router(config)#interface FastEthernet0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#int fa0/0.10 Router(config-subif)#encapsulation dot1q 10 Router(config-subif)#ip add 1.1.1.1 255.255.255.0 Router(config-subif)#exit Router(config)#int fa0/0.20 Router(config-subif)#encapsulation dot1q 20 Router(config-subif)#ip add 2.2.2.1 255.255.255.0 Router(config)#int fa0/0.30 Router(config-subif)#encapsulation dot1q 30 Router(config-subif)#ip add 3.3.3.1 255.255.255.0

라우터-온-어-스틱 Router(config)#do show ip int brief Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset up up FastEthernet0/0.10 1.1.1.1 YES manual up up FastEthernet0/0.20 2.2.2.1 YES manual up up FastEthernet0/0.30 3.3.3.1 YES manual up up Router(config)#do show ip route Gateway of last resort is not set 1.0.0.0/24 is subnetted, 1 subnets C 1.1.1.0 is directly connected, FastEthernet0/0.10 2.0.0.0/24 is subnetted, 1 subnets C 2.2.2.0 is directly connected, FastEthernet0/0.20 3.0.0.0/24 is subnetted, 1 subnets C 3.3.3.0 is directly connected, FastEthernet0/0.30

Port-Security 설정 Port-Security란? L2보안 : 스위치에서 L2의 MAC주소를 기반으로 프레임 수신 여부를 설정하는 것 사례 스위치의 어떤 한 포트가 학습할 수 있는 맥주소의 개수를 제 한 가능 맥주소를 수동으로 입력한 후 해당 맥주소를 가지는 장치만 스위치를 통해 프레임을 전송할 수 있도록 설정 가능

Port-Security 설정 사례 1 스위치의 fa0/1의 맥주소 학습 개수를 1로 줄이고, 만일 1개 이상의 맥주소가 학습되면 fa0/1 포트가 다운되도록 설정해보자. Switch(config)#interface FastEthernet0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security violation shutdown

Port-Security 설정 사례 2 PC1의 맥주소를 수동으로 등록하고 PC1만 PC0와 통신 할 수 있도록 설정해보자 Switch(config-if)#int fa0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security mac-address 00E0.B0BD.828D Found duplicate mac-address 00e0.b0bd.828d. Switch(config-if)#switchport port-security violation shutdown

Port-Security 설정 Switchport port-security violation [restrict|protect|shutdown] Protect: 위반하더라도 현 상태를 유지 Restrict: protect 기능을 수행하면서 로그메시지를 출력 Shutdown: 포트 자체를 비활성화 맥주소는 쉽게 바꿀 수 있기 때문에 맥주소만을 이 용한 포트보안은 신뢰하기 어려움

요약 VLAN 생성 SW1(config)#vlan 10 SW1(config-vlan)#name VLAN_10 SW1(config-vlan)#exit SW1(config)#vlan 20 SW1(config-vlan)#name VLAN_20 SW1(config)#vlan 30 SW1(config-vlan)#name VLAN_30 트렁크 설정 SW1(config)#interface FastEthernet0/4 SW1(config-if)#switchport mode trunk Native VLAN을 변경 SW2(config-if)#int fa0/1 SW2(config-if)#switchport trunk native vlan 10 포트에 VLAN 할당 SW1(config)#interface FastEthernet0/1 SW1(config-if)#switchport access vlan 20 SW1(config-if)#exit SW1(config)#interface FastEthernet0/2 SW1(config-if)#switchport access vlan 10 SW1(config)#interface FastEthernet0/3 SW1(config-if)#switchport access vlan 30

요약 라우터에 Inter-VLAN 설정 Router(vlan)#vlan 10 name Infocomm VLAN 10 modified: Name: Infocomm Router(vlan)#vlan 70 name Security VLAN 70 modified: Name: Security Router(config)#interface FastEthernet0/0 Router(config-if)#ip address 1.1.1.1 255.255.255.0 Router(config-if)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#ip address 2.2.2.1 255.255.255.0 라우터에 가상인터페이스 설정 Router(config)#interface FastEthernet0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#int fa0/0.10 Router(config-subif)#encapsulation dot1q 10 Router(config-subif)#ip add 1.1.1.1 255.255.255.0 Router(config-subif)#exit Router(config)#int fa0/0.20 Router(config-subif)#encapsulation dot1q 20 Router(config-subif)#ip add 2.2.2.1 255.255.255.0 Router(config)#int fa0/0.30 Router(config-subif)#encapsulation dot1q 30 Router(config-subif)#ip add 3.3.3.1 255.255.255.0

8장 실습과제 실습1. 그림 8-4의 토폴로지에 VLAN을 설정하여 같은 VLAN끼리만 통신할 수 있도록 설정하시오. 실습2. 그림 8-12의 토폴로지에 VLAN간 라우팅 을 설정하여 모든 PC간에 통신이 가능하도록 설정 하시오. 실습3. 임의의 복잡한 토폴로지를 설정하고 복수 의 VLAN을 설정하고 라우터를 이용하여 VLAN간 에도 통신이 가능하도록 설정하시오.

8장 실습과제 실습 4. 다음 토폴로지와 같이 VLAN을 설정하고 모든 PC들간에 통신이 가능하도록 설정하시오.