RIP 2 IBGP가 다수일 경우 IGP(rip, OSPF,….)가 가까운 곳(목적지까지 비용이 적은 곳)이 최적경로로 선정 이 라우터는 IBGP 2개경로 (위, 아래)가 있음 1
위의 그림에서 Rip이 돌고 있다고 가정하면 아래쪽라우터(1)와 맨위라우터(2) 중 아래쪽 라우터가 가까우므로 이 쪽 경로를 최적경로로 취급 출력경로정책 Weight, load-proference등이 여기에 속함 ① 1 ② 1라우터에서 ①과 ② 중 어디로 나가야할지 결정
입력경로정책 1 ① ② 1라우터에서 ①과 ② 중 어디로 들어와야 하는지 결정
As 1000 Local-preference ebgp경로 다수일 때 먼저 연결된 경로가 아닌 내가 임의로 조정할 수 있도록 하는 속성값 ibgp에서만 전파 As간 여러 경로가 있을 때 내가 원하는 쪽으로 정보를 보내고 싶을 때 사용 As100안에서는 local-preference전파됨 어디로 갈지 속성값 조절하여 어디로 보낼지 결정 500 200 400 300 As 100
Weight(in만 가능) Neighbor 13.13.13.1 route-map weight in in 상대방 자신 Weight : 전파x Local-preference : AS내에서만 전파 나머지 : 전파가능
2 GPN은 터널이 있어야 열어서 읽을 수 있음 9.2 8.2 9.1 8.3 1 3 DATA L2 L3 L3 102 SA:9.1 G P N SA:13.2 ICMP 8 DA:8.3 DA:13.4 공중망에서 3라우터에서 4 5 2라우터는 1라우터에서 보낸 정보에서 GPN앞의 정보만 읽어서 볼 수 있음 13.2 13.4
AH-인증, ESP-암호화, 인증 1. 데이터 암호화<-비밀키로 2. 비밀키암호화<-공개키로 무결성 – 중간에 정보가 안 바뀐 것 확인 black sypher – 블록 단위 암호화 stream syphter –비트, 바이트단위 암호화
IPSec의 동작 phase 1 phase 2 라우터 라우터 라우터 라우터 SA SA 서로 맞는지 인증(확인), 세션키 협상, 세션연결 공개키 분배(IKE프로토콜을 이용하여 분배) 비밀키 설정, 공개키를 이용한 비밀키 공유방식 설정 phase1의 sa는 phase2의 sa를 보호함 암호화된 데이터를 주고 받을 sa생성 sa를 이용한 실제 실제 암호화된 정보 보냄 데이터 암호화, 인증방식 설정 phase 1의 세션 phase 2의 세션
phase 1에서 암호화 방식 phase 2에서 사용할 비밀키방식의 비밀키를 암호화하여 각각의 라우터에게 분배하여 암호화 데이터가 송수신 될 수 있도록 해야 함 암호화 복호화 비밀키 암호화된 비밀키 공개키방식의 개인키 + 공개키방식의 공개키 비밀키방식 비밀키(대칭키) = 개인키 +공개키 = 복호화키
phase 1에서 암호화 방식 키 모음 비밀키방식 비밀키(대칭키) 공개키방식의 개인키 + 공개키방식의 공개키 키 분배 (IKE프로토콜이용) = 개인키 +공개키 = 복호화키 암호화된 비밀키 세션키 키 분배 프로토콜(IKE (Internet Key Exchange))을 이용하여 키 분배 IKE는 를 주기적으로 바꿔서 각각의 라우터에게 분배함 다른 키도 마찬가지로 주기적으로 변경
phase 2에서 암호화 방식 비밀키방식 비밀키(대칭키) 암호화된 data 암호화된 data IKE로부터 받은 비밀키를 비밀키으로 복호화 data 암호화된 data 비밀키으로 암호화
암호화 방식 비밀키방식 비밀키 비밀키방식로 암호화 암호화된 데이터 데이터 비밀키방식로 복호화 비밀키
암호화 방식 공개키방식 개인키 개인키로 암호화 암호화된 비밀키 비밀키 복호화키로 복호화 <개인키+공개키> = 복호화키
인증 방식 인증을 하면 데이터 전체를 감싸서 보호하게 됨 감싼 부분이 조금이라도 깨지면 인증은 실패 인증방식에 대해서는 잘 알지 못하다 대충 설명하자면 인증키를 이용한 인증 data data data 라우터 라우터 data
IPSec의 동작 [Phase 1] 1. 세션키를 이용한 라우터끼리의 세션연결 라우터 라우터 SA 암호화하기 위한 개인키(공개키방식) 설정
3. 비밀키를 공유하기 위한 공개키방식 설정 비밀키 방식의 암호화된 비밀키 공개키 방식의 개인키, 공개키 비밀키 공개키방식으로 비밀키암호화 키 분배 라우터 라우터 SA 키 분배에는 암호화와 인증이 사용됨 키 분배를 위해 ike프로토콜 이용함 ike프로토콜은 Key의 생성과 교환, 그리고, 안전성을 높이기 위해 열쇠의 정기적으로 갱신을 자동적으로 실시, 세션키를 통한 세션연결 키 분배를 받고 암호화된 비밀키를 공개키방식으로 복호화하여 비밀키를 얻고 그 비밀키를 이용하여 데이터를 암호화하는 것임
IPSec의 동작 [Phase 2] 1. 데이터 암호화, 인증을 위한 방식 설정 암호화 방식 : 예)esp-3des 인증 방식 : 예)esp-sha-hmac 2. 데이터 암호화, 인증을 위한 세션 설정(설정없이 자동으로 설정됨)
ipsec 소스내용를 크게 본다면 crypto map crypto isakmp phase 1 인터페이스 crypto map적용 crypto ipsec transform-set phase 2
수동키를 이용한 ipsec (ccnp책 91쪽) no crypto isakmp enable (자동키 disable) ---------------------------------------------------------------------- 설명 : isakmp은 phase1을 나타냄 access-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255 ! crypto ipsec transform-set CISCO esp-des esp-md5-hmac 설명 : phase2 설정 (데이터 암호화, 인증 설정) crypto map IPSEC 10 ipsec-manual 설명 : crypto map을 통해서 ipsec을 interface에 적용하게 됨 IPSEC = crypto map의 이름, 10 = IPSEC에서 적용되는 순서를 나타냄 암호화방식 인증방식 IPSEC 10 나이 20 이름 30 성별
위의 내용을 이어서 ipsec-manual (수동키 설정) ---------------------------------------------------------------------- set peer 13.13.10.3 (상대방 phase2 장비의 주소) set transform-set CISCO (앞에서 정의한 transform-set CISCO phase2 조건 적용) set session-key outbound esp 768 cipher abcd1234 authenticator 1234 --------------------------------------------------------------------------- 설명 : seesion-key (세션키 정의를 하겠다는 의미) outbound (세션은 입력과 출력별 각각 필요) esp 768 (세션키 정의, 상대방과 같아야 함) chipher abcd1234 (암호화키 정의, 16진수 짝수이어야 함, 상대방과 같아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함) authenticator 1234(인증키 정의, 16진수 짝수이어야 함, 상대방과 같아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함) match address 110 (앞에서 정의한 access-list 110에 일치한다면 crypto map 적용)
자동키를 이용한 ipsec (ccnp책 95쪽) acess-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255 crypto isakmp policy 10 ---------------------------------------------------------------------------------------- isakmp (phase 1)적용, 자동키 사용 설정 10 = policy가 적용되는 순서를 나타냄 ----------------------------------------------------------------------------------------- encryption 3des (공개키방식의 암호화방식 설정) hash sha (공개키방식의 인증방식 설정) group 2 (키 교환 방식 설정 – 밑의 authentication과는 별개, 비밀키를 어떻게 받을 것인가) authentication pre-share (한번 비밀키를 정하고 바꾸지 않음) 비밀키 방식의 비밀키를 어디서 받을 것인지 설정 키 분배 하는 방식 한번 비밀키 정해지면 바꾸지 않음 공개키 방식의 키를 생성하는 서버에서 받음 자동으로 ike에서 생성해서 받음 policy 10 나이 20 이름 30 성별
crypto isakmp key 6 cisco address 13.13.10.3 --------------------------------------------------------------------------------------------- isakmp (phase 1을 나타냄) 6 (적용되는 순서를 나타냄) cisco (비밀키 방식의 개인키 = phase 2에서 사용) address (상대방의 ip주소를 설정) 여기까지가 phase 1설정 crypto ipsec transform-set CISCO esp-3des esp-sha-hmac phase2 설정 crypto map IPSEC 10 ipsec-isakmp set peer 13.13.10.3 (상대방 ip주소 설정) set transform-set CISCO (crypto phase2의 설정 적용) match address 110 (access-list 110에 해당되면 crypto map을 적용) int s1/1.13 crypto map IPSEC (인터페이스에 crypto map 적용) 암호화방식 인증방식
수동키를 이용한 ipsec은 세션키를 설정해야하지만
ezvpn 인터넷망을 이용해서 외부 어디서든 회사 내부의 pc에 접속할 수 있도록 함 (내부에서 pc가 연결되었다고 가상으로 만듬) internet 접속방법 1. 외부 라우터에서 접속 (설정필요) 2. 외부 pc에서 접속 (접속프로그램 필요) 회사내부(사설망) 가상 pc연결 192.168.1.0/24 (사설ip 서버컴퓨터)
ezvpn 소스 설명 (p111~p112의 내용 : server) username admin privilege 15 password cisco ------------------------------------------------------------------------------------------ username (user이름 설정) privileage (권한 설정) password (암호 설정) aaa new-model (aaa 새로 설정함) aaa authentication login EZVPN_Client local aaa authorization network EZVPN_Group local authentication (인증설정) -> login(로그인 설정) -> EZVPN_Client(로그인 설정에 대한 이름을 설정) -> local(local DB의 정보를 참조하여 인증) authorization (권한부여) -> network (Network Service 권한 설정, network 접속허가) -> EZVPN_Group (권한 설정에 대한 이름을 설정) -> local(local DB의 정보를 참조하여 권한부여) -------------------------------------------------------------------------------------------- crypto isakmp policy 10 authentication pre-share hash md5 encryption 3des group 2
ezvpn 소스 설명 ip local pool EZ_POOL 150.1.13.100 150.1.13.110 ------------------------------------------------------------------------------------------- local pool (접속이 허락되면 허락할 ip주소를 설정하겠음) EZ_POOL (local pool의 이름 설정) 150.1.13.100 150.1.13.110 (150.1.13.100 ~ 150.1.13.110 사이의 ip주소를 할당함) crypto isakmp client configuration address-pool local EZ_POOL isakmp (crypto의 phase1 설정) client configuration (접속이 허락된 client에 대한 설정) address-pool (주소를 설정하는 pool설정) local EZ_POOL (local에 있는 EZ_POOL을 설정적용) crypto isakmp client configuration group EZ_Group group (그룹인증을 설정) EZ_Group (그룹인증에 대한 이름설정) key cisco1234 (그룹에 대한 인증을 위한 암호(키)를 설정) pool EZ_POOL (그룹에 위에서 설정한 EZ_POOL적용) acl 113 (access-list 113을 적용, split 터널링 설정(터널기법을 사용함))
ezvpn 소스 설명 crypto isakmp xauth timeout 45 -------------------------------------------------------------------------------------------- isakmp xauth (1.5phase로 ipsec를 이용하기 위해서 id와 password를 물어보도록 설정) time out (45초 이후에는 자동으로 id와 password 묻는 것을 종료, 접속끊음) access-list 113 permit ip 150.1.13.0 0.0.0.255 any 가상으로 터널을 뚫도록 하기위해서 설정 crypto ipsec transform-set TEST esp-3des esp-md5-hmac crypto dynamec-map EZVPN 10 crypto map (정해져 있는 장비 연결) crypto dynamic-map (정해지지 않은 장비 연결) ? ? 어디서에서 무슨 장비가 연결이 될 지 모름
ezvpn 소스 설명 set transform-set TEST (phase2의 내용 crypto dynamic-map에 적용) reverse-route (원래는 정보가 전달 될때 회사의 라우터까지 정보가 왔다가 가야 되지만 이 설정을 통해서 자신의 위치에 가까운 라우터의 라우팅정보를 보고 정보가 전달 됨) internet 회사내부(사설망) 가상 pc연결
ezvpn 소스 설명 crypto map EZVPN client authentication list EZVPN_Client crypto map EZVPN isakmp authorization list EZVPN_Group crypto map EZVPN client configuration address respond crypto map EZVPN 10 ipsec-isakmp dynamic EZVPN ------------------------------------------------------------------------------------------- 위의 2개는 aaa내용, 아래 2개는 vpn내용 인터페이스에는 crypto map만 적용 가능하므로 aaa와 vpn을 crypto map으로 변환시킴 respond (설정한 내용으로 반응을 함) ----------------------------------------------------------------------------------------------- int s1/1 crypto map EZVPN (인터페이스에 crypto map을 적용)
ezvpn 소스 설명 (p112~p113의 내용 : client) crypto isakmp policy 10 authentication pre-share hash md5 encryption 3des group 2 crypto ipsec client ezvpn VPN_Connection (ezvpn의 client에 대한 crypto 설정) connect auto (자동으로 연결함) group EZ_Group key cisco1234 (이용할 수 있는 권한을 받기위한 그룹에 대한 내용을 입력) mode network-extension (외부에서 접속을 가능하게 함) peer 13.13.10.1 (상대방 ip주소) int s1/1 crypto ipsec client ezvpn VPN_Connection outside (ezvpn을 연결할 라우터 쪽의 인터페이스 임을 나타냄) int f0/1 crypto ipsec client ezvpn VPN_Connection inside (자신의 내부망을 연결하는 인터페이스임을 나타냄) alias exec ezvpn crypto ipsec client ezvpn xauth (exec명령어창에서 crypto ipsec client ezvpn xauth을 ezvpn명령어로 축약하여 사용) alias exec bye clear ipsec client ezvpn VPN_Connection (exec명령어창에서 clear ipsec client ezvpn VPN_Connection 을 bye명령어로 축약하여 사용)
wan, lan 둘다 layer2에 속함 layer2는 같은네트워크를 나타냄 hub (하나의 collison) switch (ethernet을 사용, collsion 분할) ethernet이 없으므로 데이터 전송시 충돌이 있음 숫자가 낮을수록 우선순위가 높음 모든 포트 열려있음 포트마다 cpu할당량이 있음 포트 0은 기본 예약되어 있음
라우터 브로드캐스트 분할 숫자가 높을수록 우선순위 높음 모든 포트 닫혀있음
sw pc 4: 192.168.1.4 mac : 444.444.444 pc 1: 192.168.1.1 mac : 111.111.111 데이터 전송시 ip만 알고 mac address를 모를 때 1. 브로드캐스트 보냄 2. sw는 들어온 포트의 mac address 저장 3. sw는 flooding수행(들어온 곳 빼고 전부 데이터 전파) 4. 모든 pc는 들어온 패킷의 정보확인 5. 목적지에 해당하는 pc4에서 패킷을 확인하고 응답패킷 보냄 l2 l3 data 출발지 111.111.111 192.168.1.1 arp-request (type 8) 목적지 fff.fff.fff 192.168.1.4 l2 l3 data 출발지 444.444.444 192.168.1.4 arp-request (type 0) 목적지 111.111.111 192.168.1.1
6. sw가 mac address를 보고 데이터를 보낸 pc1로 정보 전달 7. 알아낸 pc4의 mac address를 이용하여 패킷 보냄 8. pc1 -> sw -> pc4(icmp 정보 전달) pc4 -> sw -> pc1(icmp 응답 정보 전달)
스위치 주요기능 ageing flooding filtering (들어온 패킷 포트로 패킷을 내보내지 않음 (loop방지)) forwarding learning 브로드캐스트 많아지면 장비 부하, 대역폭 사용할 수 있는 양이 감소 vlan 2 vlan 1 vlan 3 vlan 4 vlan 4 vlan 5 trunk : 한 포트로 vlan을 여러 개 사용가능하게 함
v10 v10 v10 1 2 3 v30 v30 v20 v20 v20 2에 vlan 30에 대한 내용이 없으므로 vlan 30의 내용은 1 -> 3으로 전달 안됨 (trunk 설정해도 안됨) 서브인터페이스 – ethethernet 불가능 fastethernet 가능
vlan 한번에 여러 개 추가하면 revision 1만 증가됨 trans parent는 revision 무조건 0 server client 일치 standard vlan, extended vlan 설정 = trans parent trans parent만 extended vlan 설정가능 standard vlan 설정 = server 또는 client no switchport <- l2 기능 끄기 (l3 스위치만 사용가능) switchport <- l2 기능 사용
blk 기존 bpdu 자신이 만든 bpdu root back up 기존의 bpdu보다 오른쪽에서 들어온 bpdu가 안 좋으므로 오른쪽에서 들어온 bpdu 무시 20초 경과 후 밑에 쪽에서 연결이 오류되었다고 생각하고 blk된 것을 listen -> learning ->forwarding으로 상태변환 (50초 소요) root-bridge와 back up-bridge 연결이 아닌 곳은 30초 소요
스위치끼리 trunk를 자동 잡음 access모드는 trunk 안 잡힘 access모드는 하나의 vlan만 사용 (다른 vlan이 없기 때문에 브로드캐스트 생성x) access와 trunk를 연결하면 trunk가 안 잡힘 trunk면 모르는 vlan도 다른 곳에 전달 access면 모르는 vlan은 다른 곳에 전달x 1 ①이 고장나면 1스위치는 blk포트를 열음 ②이 고장나면 superior bpdu를 받게 되어 20초 후 listen상태가 됨 blk ① ②
loop guard현상 blk ①이 대역폭을 너무 사용하여 bpdu가 오지 못하여 blk이 열리는 현상이 자주 발생하는 현상 ① 기존 pvst rstp root root tc tcu bpdu tc back up back up tc tcu : 변경 승인 요청 tc : 변경 승인(root만 가능) 먼저 고친 후 tc 보고 어디서든 tc발생
mst v1 ~ 10 stp 각각 하나의 그룹 v11 ~ 20 stp v21 ~ 30 stp mst 0 <- 설정하지 않은 모든 vlan을 관리 port-chanel에 trunk를 설정 -> interface에 적용됨 L3 L2 L2 L3 R R SW SW SW SW vlan에 ip에 대응되는 설정 vlan ip data 패킷
L3스위치 ip routing -> router 기능 사용 port-security protect:설정한 mac만 허용 restict:추가설명내용 shutdown:설정한 mac주소 이외는 차단 sticky:처음 들어온 장비의 mac주소를 기억함(허용으로) switchport port-security : 마지막에 이걸 넣어야 적용됨 switch mode access 여야함 (trunk 모드이면 access보다 많은 vlan이 가능하므로 여러 mac주소가 들어오게 됨)
INTERNET INTERNET 1 2 가상 라우터 가상라우터가 1라우터를 기본으로 사용함 2라우터는 대기중(포트열려있음) 1라우터가 고장시 가상라우터는 2라우터 사용 가상라우터의 포트주소를 사용함 내부만 HSRP & VRRP 관리
라우팅프로토콜을 이용할때 고장시 다른 것으로 대체 – 약 30초 hsrp or vrrp 이용시 – 약 2초 INTERNET mac을 얻기 위해 브로드캐스트를 이용 arp테이블을 만들때 가상라우터의 mac를 얻는데 그 mac주소는 규칙이 있음 hsrp –> vrrp (동시에 두가지 돌아가지 않음 장비 초기화하고 해야 함)
원래 스위치는 감시 안됨 스위치는 포트별로 cpu 사용량 할당됨 f0/0 – sw자체 사용 line vty 0 4 login local(local은 자신의 컴퓨터에서 정보를 참조한다는 뜻 원래는 서버주소가 적혀야 함) privilige exec level 2 configure terminal configure level 2 configure terminal interface level 2 configure terminal router level 2 configure terminal r1# r1(config)# r1(config-if)# r1(config-router)#
공개키 방식 자신 (a, p ,q) 암호화키 : AK 상대편 (a, p ,q) 암호화키 : Bk 암호화키 계산법 : pa mod q = Ak 복호화키 계산법 : Bk(상대방 암호화키) mod q = 복호화키 암호화키는 서로 다르고 복호화키는 서로 같음
ACL 에서 ip는 모든 트래픽의미 eq를 생략하면 any의 의미 => 모든 포트 번호 출발지 주소 : 나가는 인터페이스가 됨 (어떤 프로토콜을 사용하던지) telnet 연결 시도 끊는 단축키 = crtl + shift+6 다음에 x telnet 150.1.13.254 80(포트번호) /source-interface f0/1(출발지 ip설정) deny any any <- 방화벽개념 이것하기 전에 허용하고자 하는 것을 설정해놔야 함 establish 에서 RST는 RESET(강제종료)을 의미 (request x)
reflect ACL 트래픽을 못 나가도록 통제하는 목적이 아니라 나간 트래픽에 대한 응답의 내용을 받을 수 있도록 하기 위한 것
tcp flag비트 fragementation offset -> 쪼개진 순서 나타냄 protocol -> L4(상위프로토콜)가 무슨 프로토콜을 나타내는지 표시 mr (1로 설정되면 뒤에 패킷이 더 있음을 의미) 자르지 말것 (1로 설정시 패킷을 나누지 말것을 의미 1 1 1 L2 L3 L4
acl -=> layer4계층까지 밖에 안됨 cbac => 응용프로그램 계층까지 지원 cbac -> access-list dos공격 host 1. host가 syc만 계속 보냄 2. server가 열 수 있는 포트제한 에 도달해서 더 이상 포트를 열 수 없음 라우터 ① syc ②ack, syc server ③ack를 주지않음
intercapt host 1. host와 라우터가 간에 syn와 ack를 주고 받음 (라우터는 임시로 server로 역할함) 2. ③ack가 오면 host와 server를 연결시킴 4. ③ack가 오지 않으면 라우터가 server이름으로 RST보냄 ① syc ②ack, syc 라우터 ③ack server
intercapt host 라우터는 패킷을 감시만 하고 있음 ③ack가 오지 않으면 라우터가 강제로 라우터가 host이름으로 server에게 RST를 보냄 ① syc 라우터 ②ack, syc ③ack server
queening 라우터 queen는 들어올때는 관련없음 나갈때만 관련있음 Q Q 인터페이스 queen 데이터가 쌓이고 이중 queen의 특성에 따라 데이터를 전송 queen의 특성(우선순위, 선착순 등…) queen와 버퍼는 별개 queen는 인터페이스에서 사용되지만 버퍼는 정보를 받아 저장해놓는 공간
jitter (편차) 패킷 간의 전송간격(시간) RTP(real time protocol) – 실시간 처리 해야하는 것 (예)음성 tcp통신시 window크기가 찼을 때 서로 통신하도록 되어 있음 type of service 예약이 되어있음 ip precedence (3bit) 0 1 2 3 4 5 6 7 dscp(6bit) 예약되어 있음 아무것도 아닌것 기본(무등급)
음성 트래픽 포트 = 16384 ~ 32767 cs3 001 | 00 | 0 af31 011 | 01 | 0 . DE -> 패킷을 DROP할때 DE가 마킹되어 있으면 제일 먼저 drop
TC = BC의 내용이 꽉찬상태에서 완전비어 있게 되는데 걸리는 시간 CIR BC의 용량에 맞게 물(처리해야 할 일)을 채울 수 있음 BC 해야할 일을 수용할 수 있는 용량 주용량 일이 처리되면 BC의 용량이 처리된 만큼 증가 BE 보조용량
policing - 주로 입력에 사용됨(버리려면 받을 때 버려야 함) shaping - 주로 출력에 사용됨(가지고 있다가 천천히 처리) CAR(commit access rate) numbered acl만 적용가능, named acl은 적용불가능 CIR : bit BC : byte MQC – 모든 단계에서 통합사용됨
본사 본사의 bandwidth가 지사들의 총 bndwidth보다 작으므로 입력 받기도 힘들어 출력을 못하므로 버퍼를 이용 나누어서 천천히 출력 1.5M F/R 1M 1M 1M 1M 지사 지사 지사 지사
→ → 장비가 받을 수 있는 용량(임계치) = 장비의 수용량 – 장비가 받아 가지고 있는 아직 출력되지 않은 정보량 FRTS min clr (BECN을 받으면 25%감소, 계속받으면 계속 25%감소하지만 minCIR까지만 감소) 입력속도 > 출력속도
Congestion Avoidance (장비의 임계값 초과시 어떻게 처리할 것인지?) Conditioner (장비의 임계치(장비의 정보수용력)을 넘을 때 어떻게 처리?) WFQ(단점:bandwidth 할당량 조절 불가) custom-queue 3 2 1 4배 3배 bandwidth 사용량 할당 2배 큐는 입력 받을 것을 출력하는 데 쓰므로 출력하는데 사용
TCP는 ack가 안오면 전송량을 점차 줄였다가 일정시간이 지나면 다시 전송량 증가 (random에서 이 특징을 이용함) 아래 그림처럼 꽉 찼다가(100%) 내려갔다가(80%) 왔다 갔다 함
IP공간 ISP R SW PBX PSTN VOICE 공간
IP망을 이용 <- 전화이용(아날로그 망) ISP 아날로그(전화) -> 디지털(VOIP) SW 이렇게 구성할 수 있지만 이렇게 하면 SW가 많이 필요 R SW 디지털(전화) -> 디지털(IPT)
전화기 SW 음성, data는 서로 다른 vlan R ip를 라우터한테 받아옴(수동 셋팅x)
SW vlan 생성가능 (sw가 vlan을 나눠줌) vlan 생성x ip정보 생성가능 SW vlan 생성x PBX 전화걸면 신호보냄 전화걸음(call발생) R 전화걸면 신호보냄 전화걸음(call발생)
CO스위치 전원과 정보를 같이 주는 스위치는 따로 있음 ip전화기 초기화 방법 : setting + ** + erase(상위버튼에서) R 서브인터페이스(vlan구분) 전화(vlan) 컴퓨터(vlan) SW
pstn망에서 사용되는 통신프로토콜 e1, t1 e1 = 16개 채널 t1 = 24개 채널 e1 = 0~14(사용가능 채널), 15(controll용 채널) t1 = 0~22(사용가능 채널), 23(controll용 채널)
라우터와 PSTN연결됨 IP지역이 동작이 안되면 PSTN지역을 통해서 연결 SW R PSTN R R