* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다.
게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니
절대 악용해서는 안됩니다.
-------------------------------------------------------------------------------------------
!R1
conf t
int lo 0
ip add 1.1.1.1 255.255.255.0
no shut
int fa0/1
ip add 1.1.12.1 255.255.255.0
no shut
!R2
conf t
int lo 0
ip add 10.1.2.2 255.255.255.0
no shut
int fa0/1
ip add 1.1.12.2 255.255.255.0
no shut
int fa0/0
ip add 10.1.100.2 255.255.255.0
no shut
router ospf 1
network 10.1.2.2 0.0.0.0 area 0
network 10.1.100.2 0.0.0.0 area 0
ip route 0.0.0.0 0.0.0.0 1.1.12.1
!R3
conf t
int lo 0
ip add 10.1.3.3 255.255.255.0
no shut
int fa0/0
ip add 10.1.100.3 255.255.255.0
no shut
router ospf 1
network 10.1.3.3 0.0.0.0 area 0
network 10.1.100.3 0.0.0.0 area 0
ip route 0.0.0.0 0.0.0.0 10.1.100.2
!R4
conf t
int lo 0
ip add 10.1.4.4 255.255.255.0
no shut
int fa0/0
ip add 10.1.100.4 255.255.255.0
no shut
router ospf 1
network 10.1.4.4 0.0.0.0 area 0
network 10.1.100.4 0.0.0.0 area 0
ip route 0.0.0.0 0.0.0.0 10.1.100.2
R2에서 핑 확인.
-------------------------------------------------
각각 R3 R4 들어가서
default 게이트웨이 수동적으로 줘도되고
R2에서 ospf 설정 들어가서 default-information originate 해줘도 된다
----------------------------------------------------------------------
R1 : ISP 업체의 Router
ISP 업체에 2.2.2.0/24 네트워크를 할당 받아 공인 IP로 사용한다.
* Dynamic NAT
내부망 사용자들을 위한 설정
내부의 10.1.0.0./16 네트워크가 2.2.2.1~ 2.2.2.100 사이의 주소로 변환되도록 설정
1. 서비스 대상이 되는 네트워크를 ACL로 만들고
2. 공인아이피 주소로 나갈 것들을 공인 IP Pool을 만든 다음,
3. nat 설정을 한후 인터페이스에 적용을 한다.
1. 서비스 대상이 네트워크를 ACL로 만들고
2. 공인아이피 주소로 나갈 것들을 공인 IP Pool을 만든 다음,
3. nat 설정을 한후 인터페이스에 적용을 한다.
R1 telnet 설정 하고 R3, R4 에서 telnet 1.1.1.1을 해본다
잘 된다.
show ip nat translation 으로 확인해보니 잘 변환됐던게 눈으로 확인이 된다.
Inside local , Outside local 은 받은 정보이다
한마디로 출발지 10.1.100.3의 ip를 36962 포트로, 목적지가 1.1.1.1인 ip를 23번 포트로 받았다는 것이다
global은 내보낸 정보이다.
풀어보자면, Inside global은 출발지 정보, Outside global은 목적지 정보이다.
그러므로 출발지가 2.2.2.1인 ip를 36962포트로, 목적지가 1.1.1.1인 ip를 23번 포트로 보냈다는 것이다.
테이블이 이상하게 뒤틀려있는데, 한눈에 보기가 어렵지만 이렇게 만들었는데.. 어떡할수가 없겠습니다.
테이블을 비우는건 clear ip nat translation * 하면 되겠습니다.
* PAT 설정
사설 아이피에 비해 공인 아이피가 부족할 때 사용.
요즘 공유기에 거의 다 되어있는 설정
끝에 overload 붙여주면 된다.
다시 R3 , R4 에서 telnet 해보면
Inside global 쪽이 ip는 같지만 포트가 다르다.
---------------------------------------------------------------------------------------------
* Static NAT
외부에서 내부로 먼저 접근이 가능하게 할 때 필요한 것.
R4 - Telnet 서버, 사설 IP(10.1.100.4) 사용
공인 IP 2.2.2.200 -> 사설 10.1.100.4
2.2.2.200이 목적지인 것을 10.1.100.4로 바꾸어서 내보내겠다.
테이블을 지우고 테이블을 봐도 특별히 다른 작업을 안해도 테이블에 기본적으로 들어가 있습니다
R4에서 telnet 세부설정 해주고
R1에서 R4로 telnet 했더니 된다.
다시 R2 nat translation 테이블을 보니 실제로 변환된 것이 보인다
-----------------------------------------------------
R3에서의 ssh 설정 후 nat 응용
2.2.2.201 ssh일 경우 10.1.3.3 22로
2.2.2.201 telnet일 경우 10.1.4.4 23로
각각 확인 해보니 설정된대로 접속이 된다
---------------------------------------------------------------------------------------------
* VLAN(Virtual LAN)
논리적으로 나눈 스위치 네트워크
따로 설정안해도 기본적으로 VLAN 1번에 속해있다.
- 장점
broadcast strom을 막을 수 있다.
네트워크를 분할하고 합치는 것이 용이하다
네트워크의 보안성이 강화된다.
Load Balancing이 가능하다.
물리적으로 멀리 떨어져있어도, 같은 네트워크에 속해 있을 수 있다.
trunk : 여러개의 vlan 이 공유해야하는 구간
access: 특정 vlan만 사용하는 구간
위 상황은 f1/1만 trunk mode
그 외엔 access mode를 설정해야하는 상황이다.
vlan 10
name VLAN10
vlan 20
name VLAN20
vlan 30
name VLAN30
int fa1/2
switchport mode access
switchport access vlan 10
int fa1/3
switchport mode access
switchport access vlan 20
int ra f1/4 - 5
switchport mode access
switchport access vlan 30
int fa1/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 1,10,20,30,1002-1005
스위치 1번에서도, 2번에서도 위와같은 설정으로 바꾸어주면
VLAN이 달라서 안됐던 PC2와 PC1이 서로 ping 통신이 된다.
!ESW1
conf t
vlan 10
name VLAN10
vlan 20
name VLAN20
int fa1/1
switchport mode access
switchport access vlan 10
int fa1/2
switchport mode access
switchport access vlan 20
int fa1/10
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 1,10,20,1002-1005
int fa1/9
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 1,10,20,1002-1005
!ESW2
conf t
vlan 10
name VLAN10
vlan 20
name VLAN20
int fa1/1
switchport mode access
switchport access vlan 10
int fa1/2
switchport mode access
switchport access vlan 20
int fa1/10
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 1,10,20,1002-1005
!PC1
conf t
int f0/0
ip add 172.16.2.10 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 172.16.2.254
!PC2
conf t
int f0/0
ip add 172.16.3.20 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 172.16.3.254
!PC3
conf t
int f0/0
ip add 172.16.2.30 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 172.16.2.254
!PC4
conf t
int f0/0
ip add 172.16.3.40 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 172.16.3.254
!Router
conf t
int f0/1
ip add 192.168.0.140 255.255.255.0
no shut
int f0/0
no shut
int fa0/0.10
encapsulation dot1q 10
ip add 172.16.2.254 255.255.255.0
no shut
int fa0/0.20
encapsulation dot1q 20
ip add 172.16.3.254 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 192.168.0.1
ip access-list standard nat
permit 172.16.0.0 0.0.255.255
deny any any
ip nat inside source list nat int fa0/1 overload
int fa0/1
ip nat outside
int fa0/0.10
ip nat inside
int fa0/0.20
ip nat inside
'정보보안' 카테고리의 다른 글
| 10일차 HSRP (0) | 2017.02.17 |
|---|---|
| 9일차 NAT ACL (2) | 2017.02.16 |
| 7일차 ACL 시간 (0) | 2017.02.14 |
| 6일차 (0) | 2017.02.13 |
| 5일차 가상 회사 만들기 (0) | 2017.02.10 |
