KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr [구성도] - VTY 접속 ACL 설정 Router(config)#access-list 1 permit 192.168.1.101 Router(config)#access-list 1 deny any log Router(config)#line vty 0 4 Router(config-line)#access-class 1 in Router(config-line)#exit Router(config)#exit - Permit (192.168.1.1) Telnet 접속 허용 - Deny (192.168.1.101) Telnet 접속 불허 * deny Rule에 대한 Log 발생 결과 *Aug 3 23:46:32.082:..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Enable Secret Password Configuration - enable secret tiene * Password 암호화 저장 2) User Secret Password Configuration - username tiene1 secret tienetie * user Password 암호화 저장 3) Password-Encryption Service Configuration IOU1(config)#service password-encryption * show tech-support 로 장비 전체 상태 Log 출력 시, Password 출력 차이점 - show tech-support만 입력하면..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) MInimum Length Password IOU1(config)#security password min-length ? Minimum length of all user/enable passwords * 8자리 이상 입력 요구 - 패스워드 작성규칙 예시 다음 각 호 사항을 반영하고 숫자·문자·특수문자 등을 혼합하여 안전하게 설정하고 정기적으로 변경·사용하여야 함 1. 사용자 계정(아이디)과 동일하지 않은 것 2. 개인 신상 및 부서 명칭 등과 관계가 없는 것 3. 일반 사전에 등록된 단어의 사용을 피할 것 4. 동일한 단어 또는 숫자를 반복하여 사용하지 말 것 5. 사용된 비밀번호는 재사용하지 말 것 ..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr 1) Enable Password Configuration - enable password cisco - enable secret tiene 2) VTP Password Configuration line vty 0 4 password cisco login transport input telnet ! - Remote Connection IOU2#telnet 192.168.1.1 Trying 192.168.1.1 ... Open User Access Verification Password: IOU1>en Password: IOU1# * Console & AUX Port Password Configuration ..

HTML 삽입 미리보기할 수 없는 소스 - Switch는 End-Point와 바로 연결되는 통신장비다. 물리적인 Layer 1 의 바로 다음의 Layer 의 통신장비이기 때문에 물리적인 요소에도 크게 영향을 받는다. 무엇보다도 Switch간의 연결도 고려를 해야하는데 Switch만의 특수한 성질로 인하여 다양한 기능이 존재하고 그 기능들을 보호하기 위한 기술도 존재한다. Cisco는 다양한 Switch 보호 기술을 마련하였으며 이를 알아보고자 한다. 목차 1. BPDU Guard 2. BPDU Filter 3. Loop Guard 4. Root Guard 1. BPDU Guard - BPDU Guard기능을 설정한 Port로 BPDU 패킷이 들어오면 Switch는 해당 Port를 Err-disable상태..

HTML 삽입 미리보기할 수 없는 소스 개요 - 물리적인 두 개 이상의 Port를 논리적인 하나의 Port로 묶는 기술이다. - 장비 사이의 링크 이중화 및 대역폭 증가의 장점이 있다. - Etherchannel 기술을 위한 Protocol은 두 가지가 있다. - 하나는 Cisco 사에서 개발한 PAgP(Port Aggregation Protocol)다. - 나머지 하나는 IEEE에서 제정한 LACP(Link Aggregation Protocol)다. Etherchannel 협상 방식 정리 명령어 설명 협상 방식 active LACP 자동 협상 [LACP 패킷을 먼저 보내면서 협상 시작] passive passive 를 제외한 방식은 전부 가능 passive LACP 수동 협상 [LACP 패킷이 들어오면..

2020년 국비지원 교육 내용 정리 및 최근 테스트 결과 추가 중 [Switch 보안 및 사용자 차단 설정] Storm-control - Switch의 특정 Port로 입력되는 Uni, Bro, Multi Traffic에 대해서 임계치를 설정하는 기능 임계치 설정 후 임계치 이내의 Traffic은 처리 임계치 초과 Traffic은 수신하지않거나 해당 Port를 err-disable상태로 전환 * CPU 사용률이 30으로 이상 소모되면 처리X * CPU 사용률이 40 이상 소모되면 처리X + 25개 이하로 떨어지면 처리 * Broadcast Traffic이 초당 300개이상 입력되면 처리 X + 100개 이하로 떨어지면 처리 * CPU 사용률이 30으로 이상 소모되면 해당 Switchport를 err-di..

HTML 삽입 미리보기할 수 없는 소스 - 이전까지는 라우터와 스위치만 추가하여 GNS3를 사용해보았다. 어떻게 CISCO ASA 이미지 파일을 구하게 되었고, CISCO 사의 보안 장비를 추가하여 더 많은 테스트를 할 수 있게 되었다. Axgate만 조금 해보다가, 퇴사하게 되었는데 테스트하고 공부해볼 수 있는 환경이 마련되어 흥미롭다. 이전 설치보다 조금 더 추가된 설정이 있을 뿐 간단하다. 1. [Preferences] - [Qemu VMs]로 이동한다. - [New]를 눌러 진행한다. 2. [Run this Qemu VM on the GNS3 VM] 을 선택하고 넘어간다. 3. 이름을 간단하게 지정하고 넘어간다. 4. RAM 용량을 지정한다. - 넉넉하게 잡고 지정했다. 5. Console 타입 ..

HTML 삽입 미리보기할 수 없는 소스 - GNS3 설치 후에는 테스트를 위해서 장비 이미지를 추가해야한다. 대부분 GNS3를 이용하는 이유는 시스코 장비 이미지를 추가하여 테스트나 시험 대비용으로 사용한다/ 여기서 문제는 IOS 파일을 구하기가 쉽지 않다는 것이다. 저작권 문제로 구글링이 필수다. 파일도 다양해서 정리가 필요했고, IOS나 IOSv 차이점까지는 모르겠지만 일단 추가부터 진행했다. 두 가지 방식을 소개할 예정인데, 각자 가지고 있는 파일의 확장자를 보고 진행하면 된다. 1. [Preferences] 로 이동하여 [IOS routers] - [New] 를 눌러 새로운 장비를 추가한다. 2. [Run this IOS router on the GNS3 VM] 를 선택한다. 3. New Imag..

HTML 삽입 미리보기할 수 없는 소스 - [CISCO] HSRP (Host Standby Router Protocol) 알아보기 [Packet Tracer] 에 이어서 두번째다. HSRP를 이용한 Gateway 이중화를 구축으로 네트워크 망의 가용성은 어느정도 보장되었다. 하지만, BB#2는 BB#1가 죽기 전까지 계속 유휴상태에 있다. VLAN으로 LAN을 나누고, 사용자 트래픽을 BB#2으로도 송/수신하여 BB#1의 트래픽을 덜고, 더욱 더 안전하고 쾌적한 네트워크 망을 구축해보자. - 실제로, 신규 건물 구축 프로젝트할 때, 층수별로 G/W를 나누어서 설정했는데, 관리도 편했고, 트래픽도 몰리지 않아서 쾌적했다. 개념도 1. L2 Configuration - 각 Switch 별 Configurat..

- DHCP의 관련 정보는 여기서 확인 가능하다. [CISCO] DHCP(Dynamic Host Configuration Protocol) 알아보기 [Packet Tracer] [CISCO] DHCP(Dynamic Host Configuration Protocol) 알아보기 [Packet Tracer] - 1000명이 넘는 기업에서는 개인별 PC의 IP를 어떻게 관리할까 - 1000개가 넘는 IP가 필요한 것도 그렇지만, 일일히 PC / 서버에 IP를 넣어주어야 할 것이다. - 굉장히 귀찮은 일이며, 시간도 많이 소요 a-gyuuuu.tistory.com - Alcatel 스위치는 VI 편집기를 열어서, 파일을 만들고 저장을 해야하는 방식이다. [Alcatel] DHCP 설정 [Alcatel] DHCP ..

HTML 삽입 미리보기할 수 없는 소스 - 1000명이 넘는 기업에서는 개인별 PC의 IP를 어떻게 관리할까 1000개가 넘는 IP가 필요한 것도 그렇지만, 일일히 PC / 서버에 IP를 넣어주어야 할 것이다. 굉장히 귀찮은 일이며, 시간도 많이 소요된다. - 그래서 DHCP Server를 구성하고, PC가 IP를 요청하면 DHCP Server가 그 요청을 받아 IP를 보내어 IP를 할당한다. 요청에 따라서, IP를 할당해줄 때, 임대기간을 지정하여 IP를 할당하여 준다. 이처럼 자동으로 IP를 할당하는 것만으로 장점이 많이 생긴다. - DHCP Server에서 자동으로 IP를 할당하고 그 테이블을 보유하고 있기 때문에, IP 관리가 편하다. - 장비를 옮겨도, LAN Cable만 연결하면 바로 사용가능..

HTML 삽입 미리보기할 수 없는 소스 - 우리는 www로 시작하는 주소를 웹브라우저의 주소 입력창에 입력 후, 웹 사이트에 접속한다. 기억하면 되는 것은 우리가 읽고 이해할 수 있는 영문으로 된 주소다. 하지만, 이것은 사람만 읽고 이해가 가능할 뿐, 컴퓨터는 이해할 수 없다. 컴퓨터는 사람의 영문으로 된 주소가 아닌 IP를 읽을 수 있다. 신기하게도, 영문으로 된 주소를 넣었음에도 어떻게 인식하고 우리가 원하는 웹 사이트에 접속할 수 있을까 - 여기에는 DNS라는 서비스가 그 역할을 한다. - 간단하게 살펴보자. - DNS는 주소 변환 서비스다. 1) PC에서 웹브라우저를 열고 www.tistory.com 를 검색한다. 2) PC에 설정되어 있는 DNS Server로부터 위의 주소에 대한 IP주소를 ..

HTML 삽입 미리보기할 수 없는 소스 - 네트워크를 처음 시작하면 배우는 것이 OSI 7계층이다. 그리고 실제 통신을 할 때, 아래 사진과 같은 과정 즉, OSI 7계층을 통하여 우리는 인터넷을 사용하고 있다. 많은 계층 중에서 오늘 주목할 것은 Layer 4 계층의 전송 계층이다. - Layer 4 계층의 주요 프로토콜은 TCP와 UDP다. 이 두 개의 프로토콜 중에서도 TCP에 대해 알아보려고 한다. TCP를 검색하면 주로 아래와 같은 도식형의 그림을 아주 많이 볼 수 있다. - 주거니 받거니 하는 과정이 어려워 보일 수 있지만 우리도 이런 방식을 사용하고 있다. - 상대방의 존재를 확실히 확인하기 위해서 이런 대화를 한다. A : B씨! 거기 계세요? B : 네, 저 여기 있어요. A씨도 거기 있..

HTML 삽입 미리보기할 수 없는 소스 - 네트워크 통신 방식에 이어서 LAN 통신과정에서 빠질 수 없는 프로토콜 ARP에 대해 정리해보려고 한다. 실제, 일 할때에도 스위치 / 라우터에서 ARP 테이블 체크는 필수고, ARP 테이블 체크만으로도 장애 해결에 큰 힌트가 되어 트러블 슈팅에 아주 도움이 되었다. ARP (Address Resolution Protocol) - 주소 결정 프로토콜 - LAN에서는 IP address (Layer 3)가 아닌 MAC address (Layer 2)로 통신한다. - 모든 PC / 네트워크 장비에는 MAC address가 존재하며, 전 세계 유일무이한 이름. - 우리는 PC에 IP는 넣어도 MAC address를 넣지는 않았다. - 여기서 ARP가 필요한 부분이다...