leopit's blog

• flow 모니터링
  

네트워크 엔지니어라면 언제나 관심을 가지게 되는게 기본적으로 트래픽(bps,pps)체크이지만 이건 누구나 하는 것이고
추가 적으로 실제로 오고 가는 패킷의 헤더내용에 관심을 가지게 된다.
모든 패킷을 덤프해서 정보를 보는것도 방법이기는 하나 10G이상의 트래픽을 다 모니터링 하려면 서버로 하는 것은 사실상
불가능 하다. 이를 위해서 네트워크장비에서 패킷의 헤더 정보만 서버로 보내주고 이를 분석하는 것이 대안이 될 수 있다.

• flow란.

원래 flow란게 기본적으로 5 tuple (protocol, src/dst ip src/dst port)정보를 flow란 개념으로 사용했었다. 다시 말해서 네트워크 장비로 유입되는 헤더에서 ip 와  protocol헤더를 보고 해당 정보를 가져 오게 되는 것이다. 이 정보만 서버에 보내주면 분석이 가능 한데 다시 말하면 이 정보도 대단한 양이 된다. 모든 패킷에 대해서 이 정보를 보내주게 된다면 그 또한 서버도 버티기 힘든 분량이라 이 정보를 압축 해서 보내게 된다. 

• netflow

시스코에서 사용하는 netflow는 flow정보를 특정 시간(최소 1분)동안 장비에서 keeping하고 있다가 동일 flow는 counter를 증가시켜서 일종의 압축 방식으로 보내주게 된다. 이 정보가 일반 내부 트래픽 이라면 이 압축 정보가 효과가 있을 수 있으나 인터넷 트래픽이라면 5tuple을 1분동안 저장 하더라도 많은 메모리가 필요하게 되며 일반적인 네트워크 장비에서 소화 불가능한 수치가 된다. 그래서 여기에 sampling rate을 두고 몇 개당 한개씩 골라서 이 정보를 장비에서 가지고 있다가 서버에 보내주는 방식이다. 기본 개념은 좋은데 sampling rate이 높으면 기하 급수적으로 정확도가 떨어지고 sampling rate 낮으면 정보를 가지고 있는 시간동안 memory overflow가 생겨서 실제 서버로 보내주는 데이터는 sampling rate이 높을 때 보다 정확도가 더 떨어지는 기괴한 현상이 생긴다. 그래서 개인적으로 netflow는 인터넷 트래픽이 아닌 내부 데이터 연동용 장비에서만 가능 하다는 생각이다.
그런데 오랜만에 시스코에서 이쁜짓을 했는데 그것이 flexible netflow다 5 tuple을 다 가지고 있는게 아니라 특정 요소만 찍어서 보내는 방식이다. 다시 말하면 5tuple을 다 사용한다면 1분동안 keeping 해야 되는 데이터가 1백만 이라고 하면 src ip , src port 이렇게 한정짓는 다면 1십만 정도의 flow가 생겨서 장비에서 감당 가능 한 정보가 된다. 물로 linerate로 100% 이걸 처리 해줄 하드웨어도 필요하다.. 이게 시스코에서 간만에 만든 쓸만한 장비 nexus에서는 가능하다.
실제로 필자가 운영하는 장비에서는 모든 outbound트래픽의 src ip, src port를 다 이렇게 해서 모니터링해서 서비스 별로 실제 인터넷 트래픽 사용량을 계산하고 있다.

• sflow

Sflow는 netflow란 약간은 개념은 틀리다. sflow는 기본적으로 l2정보 (mac, interface, vlan)정보까지 다 가능 한게 원래 태생이다. 물론 시스코도 이런 정보는 최근에 가능하다. 그리고 sflow는 netflow처럼 데이터를 keeping하고 있는 것이 아니라 바로바로 서버에 flow정보를 보내주는 방식이다. 물로 sflow도 record단위로 그룹핑 해서 정보를 보내준다. 그러나 이 것의 약점이라면 역시나 정보가 너무 많다는 것이다. 5tuple뿐만 아니라 l2정보까지 다 보내는 방식이니 대단한 장비가 아닌 이상 1:1 (line-rate) sampling 정보를 받는 것은 불가능 하다.

• cflow, jflow

주니퍼에서 쓰는게 jflow이는 원래 cflow란 걸 조금 고친것으로 기본적으로 netflow와 비슷하다고 보면 된다.

• 어느것을 사용할 것인가...

오차 범위가 심하더라도 대략적인 trends만 필요하다면 어느것을 써도 무방하다. 비슷한 오차범위를 가지지만 그래도 일반 적인 경우라면 sflow가 더 효율적일 수 있다. 
단 필자 처럼 line-rate 1:1 정보를 보고 정확한 트래픽 패턴과 공격시에 대한 정확한 분석이 필요하다면 현재로써는 flexible netflow가 완승이다. 물로 jflow나 sflow에서도 flexible 하게 정보의 필터링을 하고 조금더 새로운 하드웨어가 나오겠지만 그 전까지는 그리고 현존하는 장비에서는 cisco nexus의 flexible netflow를 사용하기를 바란다.

Netflow supported by Cisco, Juniper, Alcatel Lucent, Huawei, Enterasys, Nortel, VMWare

sFlow supported by Alaxala, Alcatel Lucent, Allied Telesis, Arista Networks, Brocade, Cisco, Dell, D-Link, Enterasys, Extreme, Fortinet, Hewlett-Packard, Hitachi, Huawei, IBM, Juniper, LG-Ericsson, Mellanox, MRV, NEC, Netgear, Proxim Wireless, Quanta Computer, Vyatta, ZTE and ZyXEL (see sFlow link)

PCAP 파일에서 UNIX 도구를 이용한 IP 주소 요약 
서핑하다가 본 패킷 관련 블로그 글 하나를 소개하고자 한다. 유닉스 환경에 익숙한 사용자 분들이라면
awk, uniq, sed 와 같은 유틸리티들이 얼마나 막강하고 유용한지를 알 것이다. tcpdump 의 출력내용을 
이 도구를 이용해 활용하는 방법이다. 원문의 글은 아래 경로에서 볼 수 있고,

http://isc.sans.edu/diary.html?storyid=8515

필자가 명령어 관점에서 적절히 내용을 요약 소개하도록 하겠다. 일부 명령어는 조금 수정하였다. 이 글은 SANS 의 Incident Handler 인 Guy Bruneau 가 작성한 글이며, 여러분들에게 소개해도 좋다는 승낙을 받았다. 

수집된 큰 파일의 PCAP 파일을 분석하려고 하면 시간이 많이 소요될 뿐만 아니라 복잡하기만 하다. 3개의 예제를 소개할 것인데, 한개는 의심스러운 포트를 찾기 위한 것과 출발지 IP 를 찾는 것이다.
참고로 여기서 사용한 IP 는 필자가 가지고 있는 PCAP 파일의 IP 를 랜덤하게 rewrite 한 것이다.

첫번째 예제는 어떤 소스IP 가 목적지 107.251.237.45 번에 80 번 포트로 SYN 패킷을 보냈는지 찾는 것이다.

일단 사용한 명령어를 보면 아래와 같으며, 하나하나 살펴볼 것이다.

#  tcpdump -ntr fake2.pcap 'dst host 107.251.237.46 and tcp[13] = 0x02 and dst port 80' | awk '{print $2}' | tr . ' '| awk '{print $1"."$2"."$3"."$4}' | sort | uniq -c | awk '{print $2 "t" $1 }'

1) tcpdump 를 사용하면서 -n 은 resolving 을 하지 말라는 것이다. 그리고 -t 옵션은 날짜/시간을 출력하지 않으며, -r 은 fake2.pcap 파일을 읽어들이라는 뜻이다. resolving 이라고 표현한 것은 tcpdump 를 통해서 볼때 IP 주소로 안 나오고 DNS 로 변환되어 나오는 것들을 말하는데, -n 은 IP 로만 출력된다고 보면 된다.

2) 'dst host 107.251.237.46 and tcp[13] = 0x02 and dst port 80' 는 필터 문법을 사용한 것으로 tcp[13] = 0x02 는 TCP SYN 패킷을 뜻하고 dst host 107.251.237.46 가 목적지 IP 주소와 dst port 80 은 목적지 포트 80번을 뜻한다. 아래와 같은 결과를 얻을 수 있다.

# tcpdump -ntr fake2.pcap 'dst host 107.251.237.46 and tcp[13] = 0x02 and dst port 80'
reading from file fake2.pcap, link-type EN10MB (Ethernet)
IP 45.129.53.45.1107 > 107.251.237.46.80: S 2848095605:2848095605(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1109 > 107.251.237.46.80: S 2969874981:2969874981(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1113 > 107.251.237.46.80: S 3283036520:3283036520(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1117 > 107.251.237.46.80: S 1316869520:1316869520(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1118 > 107.251.237.46.80: S 416262863:416262863(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1119 > 107.251.237.46.80: S 1231482360:1231482360(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1120 > 107.251.237.46.80: S 4007769174:4007769174(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1121 > 107.251.237.46.80: S 2037777415:2037777415(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1122 > 107.251.237.46.80: S 2064521910:2064521910(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1125 > 107.251.237.46.80: S 2824615168:2824615168(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1126 > 107.251.237.46.80: S 578435425:578435425(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1127 > 107.251.237.46.80: S 3649101981:3649101981(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1128 > 107.251.237.46.80: S 4156669539:4156669539(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1130 > 107.251.237.46.80: S 2942142219:2942142219(0) win 65535 <mss 1460,nop,nop,sackOK>
IP 45.129.53.45.1131 > 107.251.237.46.80: S 1880140019:1880140019(0) win 65535 <mss 1460,nop,nop,sackOK>

3) 파이프와 awk ( | awk '{print $2}') 를 이용하여 tcpdump 의 결과중 출발지 IP 만 출력하게 한 것이다. 필드 $2 가 출발지 IP 이며, 목적지 주소로 할 경우 $4 로 변경하면 된다.

# tcpdump -ntr fake2.pcap 'dst host 107.251.237.46 and tcp[13] = 0x02 and dst port 80' | awk '{print $2}'
reading from file fake2.pcap, link-type EN10MB (Ethernet)
45.129.53.45.1107
45.129.53.45.1109
45.129.53.45.1113
45.129.53.45.1117
45.129.53.45.1118
45.129.53.45.1119
45.129.53.45.1120
45.129.53.45.1121
45.129.53.45.1122
45.129.53.45.1125
45.129.53.45.1126
45.129.53.45.1127
45.129.53.45.1128
45.129.53.45.1130
45.129.53.45.1131

4) 파이프와 tr  (| tr . ' ')를 이용하여  . 을 공백으로 바꾸는 것이다.

# tcpdump -ntr fake2.pcap 'dst host 107.251.237.46 and tcp[13] = 0x02 and dst port 80' | awk '{print $2}' | tr . ' '
reading from file fake2.pcap, link-type EN10MB (Ethernet)
45 129 53 45 1107
45 129 53 45 1109
45 129 53 45 1113
45 129 53 45 1117
45 129 53 45 1118
45 129 53 45 1119
45 129 53 45 1120
45 129 53 45 1121
45 129 53 45 1122
45 129 53 45 1125
45 129 53 45 1126
45 129 53 45 1127
45 129 53 45 1128
45 129 53 45 1130
45 129 53 45 1131

5) 다시 파이프와 awk (| awk '{print $1"."$2"."$3"."$4}') 를 이용하여 IP 주소 형태로 구성한 것이다. $5는 포트인데 제외시킨 것이다.

# tcpdump -ntr fake2.pcap 'dst host 107.251.237.46 and tcp[13] = 0x02 and dst port 80' | awk '{print $2}' | tr . ' '| awk '{print $1"."$2"."$3"."$4}'
reading from file fake2.pcap, link-type EN10MB (Ethernet)
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45

6)  sort 명령어를 ( | sort) 를 이용하여 트래픽을 IP 로 정렬한다.  ** 여기 예에서는 하나의 IP 만 이용되었음을 참고하길 바란다.

0# tcpdump -ntr fake2.pcap 'dst host 107.251.237.46 and tcp[13] = 0x02 and dst port 80' | awk '{print $2}' | tr . ' '| awk '{print $1"."$2"."$3"."$4}' | sort
reading from file fake2.pcap, link-type EN10MB (Ethernet)
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45
45.129.53.45

7) 다음으로 | uniq -c 명령어를 통해 출발지 IP 가 몇번 반복했는지 출력하는 것이다.

# tcpdump -ntr fake2.pcap 'dst host 107.251.237.46 and tcp[13] = 0x02 and dst port 80' | awk '{print $2}' | tr . ' '| awk '{print $1"."$2"."$3"."$4}' | sort | uniq -c
reading from file fake2.pcap, link-type EN10MB (Ethernet)
     15 45.129.53.45

8) 그러면 출발지 IP 45.129.53.45 가 15번 SYN 을 보냈다는 것을 알 수 있다. 다음 명령어인 awk '{print $2 "t" $1 }' 는 보기 좋게 IP 주소와 카운트 출력을 서로 맞바꾼 것이다. 

# tcpdump -ntr fake2.pcap 'dst host 107.251.237.46 and tcp[13] = 0x02 and dst port 80' | awk '{print $2}' | tr . ' '| awk '{print $1"."$2"."$3"."$4}' | sort | uniq -c | awk '{print $2 "t" $1 }'
reading from file fake2.pcap, link-type EN10MB (Ethernet)
45.129.53.45    15

다른 예제로 사용한 것은 목적지 80 번 포트로 목적지 IP 의 건수를 출력한 것이다.  위 예제와 큰 차이는 없다.

# tcpdump -ntr fake2.pcap 'dst port 80' | awk '{print $4}' | tr . ' '| awk '{print $1"."$2"."$3"."$4}' | sort | uniq -c | awk '{print $2 "t" $1 }'
reading from file fake2.pcap, link-type EN10MB (Ethernet)
103.215.23.19   119
105.143.221.251 5
105.143.229.47  5
107.211.203.241 20
107.251.105.215 34
107.251.237.46  75
111.157.46.185  653
111.190.92.253  12
111.200.248.236 21
111.212.148.21  40
121.166.117.57  25
121.205.250.221 10
121.205.250.223 24
123.187.14.83   31
123.187.14.89   15
125.167.70.221  15
159.180.121.215 11
189.252.57.215  5
189.252.57.217  5
43.197.190.189  6
45.219.248.116  15
59.185.219.21   5
59.185.219.245  28
59.185.219.57   113

다음은 목적지 포트번호인 $5 를 사용하였는데 출력을 시키고 정렬하면서 , sed 명령어로 제일 끝부부의 출력인 : 를 삭제하여 출력한 것이다.

# tcpdump -n -r fake2.pcap | awk '{print $5}' | tr . ' ' | awk '{print $5}' | sort | uniq -c | sed 's/:$//'
reading from file fake2.pcap, link-type EN10MB (Ethernet)
      2
     16 1039
      3 1040
      3 1041
     30 1042
     10 1043
     10 1044
      7 1045
      6 1046
      6 1047
      7 1048
      9 1049
      7 1050
      3 1051
      3 1052
      3 1053
     21 1054
     42 1055
     64 1056
     15 1057
     10 1058
     77 1059
     49 1060
     22 1061
     16 1062
     24 1063
     22 1064
     19 1065
     21 1066
   
간단하게 원문의 예제와 다르게 수정한 것을 소개해 보았는데, 아주 기본적인 형태를 언급한 것이다. awk, sed 와 파이프 문만 잘 사용해도 출력되는 스트링을 자유자재로 편집하여 유용한 수치를 뽑아낼 수 있다. 나 또한 즐겨쓰는 유틸리티 인데, 이 각각의 도구가 책 한권씩 소개되어 있을만큼 문자열을 다루는데 있어서는 최고다.

tcpdump 를 예로 들어 설명했는데 tshark 의 결과를 이용하는데도 유용하다. tshark 는 출력시키고자 하는 내용을 원하는 포맷 형태로 맞추어 출력도 가능하여 효과적으로 사용할 수 도 있는데, 정리가 되는대로 여러분들에게 소개할 것이다.

power off
power on ctrl + break 여러번
>o/r 0x2142
>i
sh version

Would you like to enter the initial configuration dialog? [yes]: no

Router> en
Router#

conf t
enable secret cisco
config-register 0x2102
end
write
reload

sh flash (4096K bytes)
----------------------------------------------------------------------

*test2*

#router config#
en
conf t
hostname r1
int s0       
ip address 10.1.1.1 255.255.255.0
no shut
clock rate 64000
enc ppp
end
sh run
sh ip int brief
ping 10.1.1.2


#ethernet config#
conf t
int e0
ip address 192.168.1.1 255.255.255.0
no shut
end
sh ip int brief
#pc config#
ipconfig ip/ip 192.168.1.2 255.255.255.0
ipconfig dg 192.168.1.1

#network add#
conf t
router rip
network 10.0.0.0     <--자신이 서비스 하는 네트웍
network 192.168.1.0  <--   상동 
end

----------------------------------------
telnet.console 접속및 비밀번호 설정 과 접속 해제실습
conf t
line con 0
login
password cisco
line vty 0 4
login password sist
exit
1.enable password cisco
2.enable secret router
sh run
telnet
<ctrl+shift+6>x
sh sess
sh user
resum 1e

disconnect
세션은 끊는다(자신이 연결한것을 자신이 끊는다)
clear line 11
세션을 끊는다(상대방이 접속한 세션을 강제로 끊는다)

*부팅 플러쉬내용을 램으로 불러온다
bootstrap rom(sub ios)
ios        flash
설정 파일 nvram  <sh startup>
          ram    <sh run> 

0x2142 :nvram설정파일을 무시하고 부팅하라
네크웍이 연결된곳에서 ios가져온다
롬모드
0x0 수동으로 부팅
0x1 자동으로 부팅 
0x2 to 0xF 정상적으로 플래쉬에서 부팅
command configer-regeister 0x2102
ctol+z =end
reload =reboot

ram <-------->pc  ip로 통신한다
라우터와      랜카드 L3 L3 cross cable
라우터와 연결된 스위치(etrhnet interface)와 랜카드 L2-L3 direct cable
랜카드가 2개인경우 남는 이더넷카드와 라우터와 연결
ㄱ.2번째랜카드에 ip.gateway설정
ㄴ.ping 확인
ㄷ.tftp server 활성
ㄹ.copy run tftp
ㅁ.tftp>cisco system>cisco tftp server>file 저장확인

*버전 다른 라우터
라우터  ㅡㅡ네트웍서버ㅡㅡ라우터
access,space,filename contconvention
=>sh flash 로 파일명 확인
copy flash tftp
copy fftp  flash(filename 주의)
----------------------------------------------------------------------
*스위치 중요한 3가지 기능
1 address learning(mac)
2 forward/filter decision
3 loop avoidance 
unicast / broadcast
동일 프레임이 쌓이므로(broadcast storm)
맥테이블이 불안

stp :포트를 블락 시킴으로서 루프를 없앨수 있다

*스위치설정*

r1 192.168.1.1
r2 192.168.1.2
sw 192.168.1.6
송pc 192.168.1.5
second lan192.168.1.4
스위치에 아이피 부여
텔넷설정
라우터에서 텔넷접근
conf t
int vlan 1
ip address 192.168.1.6 255.255.255.0
no shut
exit
enable pasword cisco
line vty 0 4
login
password cisco
end
telnet 192.168.1.5//라우터에서 스위치로 테스트

*스위치 명령어
interface vlan 1
ip address
duplx auto full 전화 half 무전
sh mac address
sh port-security
*erase startip-config*
show version
reload

*Spanning Tree Protocol
역할:루프 해결
동작방법:한포트를 블락
어떤 포트를 블락 할 것인가..
stp
rstp
*stp 포트 결정
네트웍당 루트 브릿지는 하나 (패킷을 받는다)이며 각포트들은 designated port
루트포트 :루트 브릿지로 가는 최적경로   norootbrige 는 하나의 루트 포트만 있다
dp;세그먼트당 지정이 포트는 하나

루트브릿지 결정
*브릿지 아이디(브릿지 piority+mac address)를 보고 결정
BPDU 
root bridge =brige with the lowest brigde id

*
새로운루트스위치 추가시 연결되는 norootbridge의 root port를 막는 후에 루트스위치를 설정


BPDU 루프가 어디서 돌고 있는지 알아낼수 있다
root id = b id 자신이 바로 루트인경우
root id x b id    자신이 루트가 아닌경우

세션을 연결하기 위해 확인 :헬로우 타임bpdu 2초
----------------------------------
sw1실습
1홀수:192.168.1.0/24
짝수 :192.168.2.0/24

2홀수:vlan3
짝수 :valn4

3domail:sist
4server:s1(s2.s3 client mode)
--------------------------------
router 활성

##si setting##
vlan database
vtp domain sist
vtp server
vlan 3 name vlan3
vlan 4 name vlan4
end
sh vtp status//확인명령
sh vlan      //확인명령

client(s2.s3)
vlan database
vtp domain sist
vtp client

*trunk port 설정
conf t
int f0/11  
switchport trunk enc 
switchport mode trunk

sh spanning-tree
sh vlan


*vlan setting*
int f0/1
switchport mode access
switchport access vlan 3

sh span
sh run

sh run - ram info
sh start - nvram info
sh conf

// 복사
copy running-config startup-config = write

// 인터페이스 정보
show interfaces ehternet 0 - Layer1, Layer2

// 명령어 취소
명령 앞에 no 혹은 clear

sh cdp neighbors

라우터 텔넷 접속후 ctrl+shift+6 x 하면 자기 라우터로 돌아옴
resume 1 하면 다시 접속함

## sh ##
ip int brief - Layer1 Layer2 Layer3
ip route
logging - log
processes
memory
protocols

## 라우터 상호 통신하기 ##

// Router1 Router2 세팅
conf t
hostname r1
int s0
ip address 10.1.1.1 255.255.255.0
no shut
clock reate 64000
enc ppp
end
sh run
sh ip int brief

// Ethernet 세팅
conf t
int e0
ip address 192.168.1.1 255.255.255.0
no shut
end
sh ip int brief

// PC 세팅
ipconfig /ip 192.168.1.2 255.255.255.0
ipconfig /dg 192.168.1.1

// 네트워크 세팅
conf t
router rip
network 10.0.0.0
network 192.168.1.0
end

Router2도 위처럼 셋팅..

// 스위치
conf t
int vlan 1
ip address 192.168.1.4 255.255.255.0
no shut
end
sh ip int brief

description 

## 패스워드 설정 ##
line console 0 - 콘솔에 패스워드 설정 - enable 하기 전에도 패스워드 물어봄
login
passwd cisco

// 텔넷 패스워드
conf t
line vty 0 4 - 텔넷 접속 vty, con, aux
login
password cisco
end

ctrl+break
o/r 0x2142
en
conf t
enable secret cisco
config-register 0x2142
end
write
reload

sh run

패스워드 확인 enable secret ..................

sh flash

int atm 0/0

power off
power on ctrl + break 여러번
>o/r 0x2142
>i
sh version

Would you like to enter the initial configuration dialog? [yes]: no

Router> en
Router#

conf t
enable secret cisco
config-register 0x2102
end
write
reload

sh flash (4096K bytes)
----------------------------------------------------------------------

*test2*

#router config#
en
conf t
hostname r1
int s0 
ip address 10.1.1.1 255.255.255.0
no shut
clock rate 64000
enc ppp
end
sh run
sh ip int brief
ping 10.1.1.2


#ethernet config#
conf t
int e0
ip address 192.168.1.1 255.255.255.0
no shut
end
sh ip int brief
#pc config#
ipconfig ip/ip 192.168.1.2 255.255.255.0
ipconfig dg 192.168.1.1

#network add#
conf t
router rip
network 10.0.0.0 <-- 자신이 서비스 하는 네트웍
network 192.168.1.0 <-- 상동 
end

----------------------------------------
telnet.console 접속및 비밀번호 설정 과 접속 해제실습
conf t
line con 0
login
password cisco
line vty 0 4
login password sist
exit
1.enable password cisco
2.enable secret router
sh run
telnet
x
sh sess
sh user
resum 1e

disconnect
세션은 끊는다(자신이 연결한것을 자신이 끊는다)
clear line 11
세션을 끊는다(상대방이 접속한 세션을 강제로 끊는다)

*부팅 플러쉬내용을 램으로 불러온다
bootstrap rom(sub ios)
ios flash
설정 파일 nvram 
ram 

0x2142 :nvram설정파일을 무시하고 부팅하라
네크웍이 연결된곳에서 ios가져온다
롬모드
0x0 수동으로 부팅
0x1 자동으로 부팅 
0x2 to 0xF 정상적으로 플래쉬에서 부팅
command configer-regeister 0x2102
ctol+z =end
reload =reboot

ram <-------->pc ip로 통신한다
라우터와 랜카드 L3 L3 cross cable
라우터와 연결된 스위치(etrhnet interface)와 랜카드 L2-L3 direct cable
랜카드가 2개인경우 남는 이더넷카드와 라우터와 연결
ㄱ.2번째랜카드에 ip.gateway설정
ㄴ.ping 확인
ㄷ.tftp server 활성
ㄹ.copy run tftp
ㅁ.tftp>cisco system>cisco tftp server>file 저장확인

*버전 다른 라우터
라우터 ㅡㅡ네트웍서버ㅡㅡ라우터
access,space,filename contconvention
=>sh flash 로 파일명 확인
copy flash tftp
copy fftp flash(filename 주의)
----------------------------------------------------------------------
*스위치 중요한 3가지 기능
1 address learning(mac)
2 forward/filter decision
3 loop avoidance 
unicast / broadcast
동일 프레임이 쌓이므로(broadcast storm)
맥테이블이 불안

stp :포트를 블락 시킴으로서 루프를 없앨수 있다

*스위치설정*

r1 192.168.1.1
r2 192.168.1.2
sw 192.168.1.6
송pc 192.168.1.5
second lan192.168.1.4
스위치에 아이피 부여
텔넷설정
라우터에서 텔넷접근
conf t
int vlan 1
ip address 192.168.1.6 255.255.255.0
no shut
exit
enable pasword cisco
line vty 0 4
login
password cisco
end
telnet 192.168.1.5//라우터에서 스위치로 테스트

*스위치 명령어
interface vlan 1
ip address
duplx auto full 전화 half 무전
sh mac address
sh port-security
*erase startip-config*
show version
reload

*Spanning Tree Protocol
역할:루프 해결
동작방법:한포트를 블락
어떤 포트를 블락 할 것인가..
stp
rstp
*stp 포트 결정
네트웍당 루트 브릿지는 하나 (패킷을 받는다)이며 각포트들은 designated port
루트포트 :루트 브릿지로 가는 최적경로 norootbrige 는 하나의 루트 포트만 있다
dp;세그먼트당 지정이 포트는 하나

루트브릿지 결정
*브릿지 아이디(브릿지 piority+mac address)를 보고 결정
BPDU 
root bridge =brige with the lowest brigde id

*
새로운루트스위치 추가시 연결되는 norootbridge의 root port를 막는 후에 루트스위치를 설정


BPDU 루프가 어디서 돌고 있는지 알아낼수 있다
root id = b id 자신이 바로 루트인경우
root id x b id 자신이 루트가 아닌경우

세션을 연결하기 위해 확인 :헬로우 타임bpdu 2초
----------------------------------
sw1실습
1홀수:192.168.1.0/24
짝수 :192.168.2.0/24

2홀수:vlan3
짝수 :valn4

3domail:sist
4server:s1(s2.s3 client mode)
--------------------------------
router 활성

##si setting##
vlan database
vtp domain sist
vtp server
vlan 3 name vlan3
vlan 4 name vlan4
end
sh vtp status//확인명령
sh vlan //확인명령

client(s2.s3)
vlan database
vtp domain sist
vtp client

*trunk port 설정
conf t
int f0/11 
switchport trunk enc 
switchport mode trunk

sh spanning-tree
sh vlan


*vlan setting*
int f0/1
switchport mode access
switchport access vlan 3

sh span
sh run

SLB 구성 - DSR vs Inline

SLB 구성에 대해 알아본다.
SLB 구성을 어떻게 하느냐에 따라 보안 구성도 달라진다.

1. DSR

Client request는 SLB를 통해 서버로 전달되고 Server response은 SLB를 거치지 않고 직접 직접 Client으로 전달된다.

대용량 트래픽이 처리되는 환경에 적합하며 SLB에서 Response를 보지 않기 때문에 비용을 절감할 수 있다.

반면 SSL/TCP Offload는 불가능하다는 제약이 있다.

DSR 종류는 L2-DSR과 L3-DSR로 나누어지는데 이 부분은 추후 별도로 기재하겠다.

2. Inline 

우측의 그림이 Inline 구성이다. request/response가 모두 SLB를 통해 전달되는 구성으로 가장 일반적으로 사용된다.

단, 이때 SLB는 Proxy 모드로 동작하기때문에 Client IP가 SLB에 설정된 아이피로 변경되어 서버로 전달된다.

실제 서버단의 로그를 보면 실제 Client IP는 확인되지 않고 모두 SLB IP가 확인된다.