11일차 VRRP / NMS
* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다.
게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니
절대 악용해서는 안됩니다.
---------------------------------------------------------------------------------------------
!VLAN10_PC
conf t
int f0/0
ip add 10.0.0.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.0.0.101
**********************
!VLAN20_PC
conf t
int f0/0
ip add 20.0.0.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 20.0.0.201
**********************
!Router
conf t
ip route 0.0.0.0 0.0.0.0 192.168.0.1
int f1/0
ip add 192.168.0.140 255.255.255.0
ip nat outside
no shut
int fa0/0
ip add 100.0.0.254 255.255.255.0
ip nat inside
no shut
int fa0/1
ip add 200.0.0.254 255.255.255.0
ip nat inside
no shut
ip access-list standard nat
permit 10.0.0.0 0.0.0.255
permit 20.0.0.0 0.0.0.255
exit
ip nat inside source list nat int fa1/0 overload
router ospf 1
network 100.0.0.254 0.0.0.0 area 0
network 200.0.0.254 0.0.0.0 area 0
**********************
!DSW_1
conf t
ip routing
int range fa1/0 - 15
shut
vlan 10
name VLAN10
vlan 20
name VLAN20
ip route 0.0.0.0 0.0.0.0 100.0.0.254
int vlan 10
ip add 10.0.0.101 255.255.255.0
int vlan 20
ip add 20.0.0.101 255.255.255.0
int fa1/1
no switchport
ip add 100.0.0.1 255.255.255.0
no shut
int f1/11
sw tr encapsulation dot1q
sw mode tr
no shut
int f1/12
sw tr encapsulation dot1q
sw mode tr
no shut
router ospf 1
network 10.0.0.101 0.0.0.0 area 0
network 20.0.0.101 0.0.0.0 area 0
network 100.0.0.1 0.0.0.0 area 0
**********************
!DSW_2
conf t
ip routing
ip route 0.0.0.0 0.0.0.0 200.0.0.254
int range fa1/0 - 15
shut
vlan 10
name VLAN10
vlan 20
name VLAN20
int vlan 10
ip add 10.0.0.201 255.255.255.0
int vlan 20
ip add 20.0.0.201 255.255.255.0
int fa1/1
no switchport
ip add 200.0.0.1 255.255.255.0
no shut
int f1/11
sw tr encapsulation dot1q
sw mode tr
no shut
int f1/12
sw tr encapsulation dot1q
sw mode tr
no shut
router ospf 1
network 10.0.0.201 0.0.0.0 area 0
network 20.0.0.201 0.0.0.0 area 0
network 200.0.0.1 0.0.0.0 area 0
**********************
!ASW_1
conf t
int range fa1/0 - 15
shut
vlan 10
name VLAN10
vlan 20
name VLAN20
int range fa1/1 , fa1/2 , fa1/15
sw tr encapsulation dot1q
sw mode tr
no shut
int fa 1/11
sw mo ac
sw ac vlan 10
no shut
int fa 1/12
sw mo ac
sw ac vlan 20
no shut
**********************
!ASW_2
conf t
int range fa1/0 - 15
shut
vlan 10
name VLAN10
vlan 20
name VLAN20
int range fa1/1 , fa1/2 , fa1/15
sw tr encapsulation dot1q
sw mode tr
no shut
int fa 1/11
sw mo ac
sw ac vlan 10
no shut
int fa 1/12
sw mo ac
sw ac vlan 20
no shut
**********************
!VLAN10
conf t
int range fa1/0 - 15
shut
vlan 10
exit
int range fa1/1 , fa1/2 , fa1/10
sw mo ac
sw ac vlan 10
no shut
**********************
!VLAN20
conf t
int range fa1/0 - 15
shut
vlan 20
exit
int range fa1/1 , fa1/2 , fa1/10
sw mo ac
sw ac vlan 20
no shut
*************************
* VRRP 적용
VRRP는 자체 track 기능이 없기 때문에 정책을 만들어서 적용 시켜준다.
위의 정책을 적용 시켜주는 것도 넣어준다.
DSW_2는 DSW1이 20이 깎이는 것보다는 높게 해야하므로 140을 줬다.
VLAN20 도 마찬가지로 적용시켜준다.
각각 이렇게 되게!
track 10 int fa1/1 ip routing
int vlan 10
ip address 10.0.0.101 255.255.255.0
vrrp 10 ip 10.0.0.254
vrrp 10 preempt delay minimum 30
vrrp 10 priority 150
vrrp 10 track 10 decrement 20
--------------------------------------------------------------------------------------------
NMS
: Network Management System
SNMP(Simple Network Management Protocol)
: 네트워크 관리를 위한 프로토콜
Manager 와 Agent의 구조로 이루어짐
- Manager : Agent로부터 정보를 제공 받는다.
- Agent : Agent가 설치된 시스템의 정보나 네트워크 정보등을 수집하여 MIB 형태로 보관
Polling 방식
Event Reporting 방식
* 기능
네트워크 구성 관리
성능 관리 : 실시간으로모니터링이 가능함.
장비 관리
SNMP v1 : 암호화 x, 보안 기능 없음,
Community String에만 의존 , 해킹에 취약
: 요청메시지에 특정 메시지 유무에 따라 처리
SNMP v2 : +보안 기능, 효율성 향상
v1과 호환이 안됨.
상용화 실패
SNMP v2c : v2에서만 보안 기능 제거, Community String 사용,
현재 가장 많이 사용
SNMP v3 : Manger/Agent 구조를 개체로 바꿈, 복잡함.
http://snmp.cloudapps.cisco.com/Support/SNMP/do/BrowseOID.do
OID + 숫자
OID를 보고 전달된 데이터의 의미를 파악한다.
agent 입장임
매니지먼트가 다운받아야 하는 상황이면 agent에서 업로드를 해줘야함
빨간 네모: 문자열
파란 네모: 권한
R1이 agent
xp를 agent로
setup 아이콘을 클릭해 기본 설정으로 다 설치를 하면
적당히 키젠으로.. 알아서 하면 된다
시작 - SolarWinds Broadband Engineers Edition - Miscellaneous - TFTP SEerver
OK 누른후
시작 - SolarWinds Broadband Engineers Edition - Cisco Tools - Config Download
Copy Config 누르면
아래 화면과 같ㅇ ㅣ나온다
워드패드로 열면 config 와 Community string도 확인이 가능하다.
OID + number 로 식별을 한다.
hostname을 바꾸고 업로드를 해보겠다.
시작 - SolarWinds Broadband Engineers Edition - Cisco Tools - Config Upload
Merge 해줬더니 바로 바뀐다.
-----------------------------------------------------
Gateway 이중화
: 다른 네트워크로 가기 위한 문
트래픽이 몰릴 수 밖에 없고 , Gateway 장비가 down 되면 다른 네트워크와 통신이 끊어진다.
보안의 3요소
기밀성 - 인가된 사용자만 그 데이터에 접근할 수 있도록 한다. / ex) 인증
가용성 - 허용된 사용자가 허용된 시간에는그 서비스를 받을 수 있어야 한다.
무결성 - 제 3자가 변경할 수 없고, 수정할 수 있는 범위안에서만 수정이 되는 것이 보장되어야한다.
게이트웨이 이중화는 가용성 제공을 위한 것이다.
Load (처리해야 할 일) Balancing
* 프로토콜의 종류
VRRP - 표준
HSRP
GLBP
---------------------------------------------------------------------------------------------
네모 부분은 ospf
!PC1 / PC는 라우터 올려서 심볼을 변경한 것
conf t
int f0/0
ip add 10.10.10.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.10.10.100
!PC2
conf t
int f0/0
ip add 10.10.10.2 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.10.10.200
!ESW1
conf t
int range fa1/0 - 15
shut
vlan 10
name VLAN10
exit
int range fa1/1 - 2, f1/14, f1/10
sw mo ac
sw ac vlan 10
no shut
!ESW2
conf t
ip routing
vlan 10
Name VLAN10
int vlan 10
ip add 10.10.10.100 255.255.255.0
vlan 10
Name VLAN10
int range fa1/0 - 15
shut
int fa1/14
sw mo ac
sw ac vlan 10
no shut
int fa1/12
no switchport
ip add 100.10.1.1 255.255.255.252
no shut
router ospf 1
network 100.10.1.1 0.0.0.0 area 0
network 10.10.10.100 0.0.0.0 area 0
!ESW3
conf t
ip routing
int vlan 10
ip add 10.10.10.200 255.255.255.0
no shut
vlan 10
Name VLAN10
int range fa1/0 - 15
shut
int fa1/10
sw mo ac
sw ac vlan 10
no shut
int f1/14
no switch
ip add 100.10.2.1 255.255.255.252
no shut
router ospf 1
network 100.10.2.1 0.0.0.0 area 0
network 10.10.10.200 0.0.0.0 area 0
!ESW4
conf t
ip routing
int lo 0
ip add 1.1.1.1 255.255.255.0
int fa1/12
no switchport
ip add 100.10.1.2 255.255.255.252
no shut
int fa1/14
no switchport
ip add 100.10.2.2 255.255.255.252
no shut
router ospf 1
network 1.1.1.1 0.0.0.0 area 0
network 100.10.1.2 0.0.0.0 area 0
network 100.10.2.2 0.0.0.0 area 0
이제 이중화를 해보겠다.
가상의 게이트 웨이를 10.10.10.254 로 하는 걸로
ESW2가 master 장비
ESW3은 원래 마스터인 ESW2가 문제가 있을경우 바로 가져와야하기 때문에
preempt만 준다.(delay를 안준다)
다 설정후 각각 스위치들 스탠바이 확인을 해봤다.
PC1와 PC2의 기본 게이트 웨이를 10.10.10.254(버츄얼 게이트웨이) 로 바꾸어 준후
traceroute 를 해봤더니, master인 10.10.10.100 으로 가는 것으로 알 수 있다.
PC1에서 핑을 계속 보내놓고
ESW2에서 fa1/12 를 끊어 준다. 그러면 아까 설정대로 priority 값은 낮아지게 되고
ESW3에서 standby가 Active 로 바뀌는 것이 보여진다.
200으로 가게 되는 것을 볼 수 있다.
다시 no shut으로 인터페이를 활성화 시켜주면
ospf 가 되살아나고
아까 설정했던 preempt delay 30 만큼 후에 Active를 가져오는 것이 확인이 된다.
위와 같이 확인이 된다.
---------------------------------------------------------------------------------------------
그룹을 두개 둬서 부하분산 해줄 수 도 있다.
각각 하나씩 active를 맡고 있다.
----------------------------------------------------------------------------------------------
이런식으로 되게 !!
딱히 별다른게 없어서 설명은 필요 없을 것 같다.
이런식으로 나오면 된다.
'정보보안' 카테고리의 다른 글
| 보고서 프로젝트 (0) | 2017.02.23 |
|---|---|
| 11일차 VRRP / NMS (0) | 2017.02.17 |
| 9일차 NAT ACL (2) | 2017.02.16 |
| 8일차 ACL (0) | 2017.02.14 |
| 7일차 ACL 시간 (0) | 2017.02.14 |
9일차 NAT ACL
* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다.
게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니
절대 악용해서는 안됩니다.
-------------------------------------------------------------------------------------------
각각 서버, 팀들 VLAN 별로 나누어 주었고,
R1에서는 NAT, ACL을 설정 해주었는데,
NAT는
ip access-list standard PRIVATE
permit 10.10.0.0 0.0.255.255
ip nat inside source list PRIVATE int fa0/1 overload
이렇게 PRIVATE 라는 이름의 ACL로 10.10.0.0 대를 필터링해서
공인 아이피가 하나기 때문에 인터페이스로 PAT 형식으로 해줬다.
ACL은 다른 지사에서 본사 DB로 접근이 되야하므로 지사만 그 포트를 허용 해주게 하고 다른 사용자들은 DB 포트를 deny 시켰다.
또한 Static PAT를 적용 시켰는데, 외부에서(지사포함) WEB이나 DB서버를 선 접근 할 수 있어야 하기 때문에,
ip nat inside source static tcp 10.10.10.100 80 192.168.0.140 80
ip nat inside source static tcp 10.10.50.2 18888 192.168.0.140 18888
이런식으로 해주었다
아래는 토폴로지에 대한 전체적인 명령어다.
-----------------------------------------------------------------------------------
!영업
conf t
enable secret cisco
no ip domain-lookup
line vty 0 4
password cisco
login
line console 0
exec-timeout 0 0
logging synchronous
int f0/0
ip add 10.10.10.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.10.10.254
!경영
conf t
enable secret cisco
no ip domain-lookup
line vty 0 4
password cisco
login
line console 0
exec-timeout 0 0
logging synchronous
int f0/0
ip add 10.10.20.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.10.20.254
!제조
conf t
enable secret cisco
no ip domain-lookup
line vty 0 4
password cisco
login
line console 0
exec-timeout 0 0
logging synchronous
int f0/0
ip add 10.10.30.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.10.30.254
!개발
conf t
enable secret cisco
no ip domain-lookup
line vty 0 4
password cisco
login
line console 0
exec-timeout 0 0
logging synchronous
int f0/0
ip add 10.10.40.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.10.40.254
!ESW1
conf t
enable sec cisco
line con 0
logg s
exec-t 0 0
exit
line vty 0 4
login local
exit
user admin pass cisco
int ran f1/0 - 15
sh
exit
vlan 10
name VLAN10
exit
int f1/15
sw mo access
sw access vlan 10
no shut
int f1/1
sw mo access
sw access vlan 10
no shut
!ESW2
conf t
enable sec cisco
line con 0
logg s
exec-t 0 0
exit
line vty 0 4
login local
exit
user admin pass cisco
int ran f1/0 - 15
sh
exit
vlan 20
name VLAN20
exit
int f1/15
sw mo access
sw access vlan 20
no shut
int f1/2
sw mo access
sw access vlan 20
no shut
!ESW3
conf t
enable sec cisco
line con 0
logg s
exec-t 0 0
exit
line vty 0 4
login local
exit
user admin pass cisco
int ran f1/0 - 15
sh
exit
vlan 30
name VLAN30
exit
int f1/15
sw mo access
sw access vlan 30
no shut
int f1/3
sw mo access
sw access vlan 30
no shut
!ESW4
conf t
enable sec cisco
line con 0
logg s
exec-t 0 0
exit
line vty 0 4
login local
exit
user admin pass cisco
int ran f1/0 - 15
sh
exit
vlan 40
name VLAN40
exit
int f1/15
sw mo access
sw access vlan 40
no shut
int f1/4
sw mo access
sw access vlan 40
no shut
!ESW5
conf t
enable sec cisco
line con 0
logg s
exec-t 0 0
exit
line vty 0 4
login local
exit
user admin pass cisco
int ran f1/0 - 15
sh
exit
vlan 10
name VLAN10
exit
vlan 20
name VLAN20
exit
vlan 30
name VLAN30
exit
vlan 40
name VLAN40
exit
vlan 50
name VLAN50
exit
int fa1/1
sw mo access
sw access vlan 10
no shut
int fa1/2
sw mo access
sw access vlan 20
no shut
int fa1/3
sw mo access
sw access vlan 30
no shut
int fa1/4
sw mo access
sw access vlan 40
no shut
int fa1/5
sw mo access
sw access vlan 50
no shut
int fa1/15
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 1,10,20,30,40,50,1002-1005
no sh
!ESW6
conf t
enable sec cisco
line con 0
logg s
exec-t 0 0
exit
line vty 0 4
login local
exit
user admin pass cisco
int ran f1/0 - 15
sh
exit
vlan 50
name VLAN50
int fa1/2
sw mod ac
sw acc vlan 50
no shut
int fa1/5
sw mod ac
sw acc vlan 50
no shut
!R1
conf t
enable secret cisco
no ip domain-lookup
line vty 0 4
password cisco
login
line console 0
exec-timeout 0 0
logging synchronous
int f0/0
no sh
int f0/0.10
encapsulation dot1q 10
ip add 10.10.10.254 255.255.255.0
ip nat inside
int f0/0.20
encapsulation dot1q 20
ip add 10.10.20.254 255.255.255.0
ip nat inside
int f0/0.30
encapsulation dot1q 30
ip add 10.10.30.254 255.255.255.0
ip nat inside
int f0/0.40
encapsulation dot1q 40
ip add 10.10.40.254 255.255.255.0
ip nat inside
int f0/0.50
encapsulation dot1q 50
ip add 10.10.50.254 255.255.255.0
ip nat inside
int f0/1
ip add 192.168.0.140 255.255.255.0
no sh
ip route 0.0.0.0 0.0.0.0 192.168.0.1
ip access-list standard PRIVATE
permit 10.10.0.0 0.0.255.255
ip nat inside source list PRIVATE int fa0/1 overload
int fa0/1
ip nat outside
ip access-list extended acl-in
permit tcp host 192.168.0.149 host 192.168.0.140 eq 18888
deny tcp any host 192.168.0.140 eq 18888
permit ip any any
ip access-list extended acl-out
permit tcp host 192.168.0.140 host 192.168.0.149 eq 18888
deny tcp host 192.168.0.140 any eq 18888
permit ip any any
int fa0/1
ip access-group acl-in in
ip access-group acl-out out
ip nat inside source static tcp 10.10.50.1 80 192.168.0.140 80
ip nat inside source static tcp 10.10.50.2 18888 192.168.0.140 18888
----------------------------------------------------------------------------------
보완할 내용 :
외부에서 핑 안되게,
DMZ
'정보보안' 카테고리의 다른 글
| 11일차 VRRP / NMS (0) | 2017.02.17 |
|---|---|
| 10일차 HSRP (0) | 2017.02.17 |
| 8일차 ACL (0) | 2017.02.14 |
| 7일차 ACL 시간 (0) | 2017.02.14 |
| 6일차 (0) | 2017.02.13 |
