profile image

L o a d i n g . . .

IPX에 대한 이야기

IPX 특징

- Novell 에서 나온 라우티드 프로토콜
- IP처럼 주소 체계가 별도로 존재
- 라우터에서 별도 구성 필요
- 사용하는 라우팅 프로토콜이 IP와 차이가 있음
- IP는 인터넷에서 사용되지만 IPX는 그렇지 않음

  • (즉, 인터넷을 사용하려면, TCP/IP가 동작해야하나 IPX가 동작할 필요는 없음)

- OSI 7 계층 중 네트워크 계층에 해당
SAP 와 GNS 를 사용


SAP, Service Advertising Protocol
 - IPX/SPX 상의 서버나 라우터들이 자신이 제공하는 서비스를 네트워크 상에 알리기 위해 사용하는 브로드 캐스트, 즉 서로의 서비스 내용 교환 프로토콜
- 60초마다 브로드캐스팅
- 16진수를 사용해서 서비스 구분

  • (예) 16진수 4: 네트워에 파일 서버, 16진수 7 : 프린터 서버

- IPX에서는 모든 정보가 SAP를 이용하므로, 효율적인 트래픽이 관건이므로 IPX에서는 SAP 필터링이 중요한 기술이 됨



GNS, Get Nearest Server
- 네트워크 상의 PC(클라이언트)가 NetWare 파일 서버에 접속하고자 하는 경우에는 GNS에 대한 서버로부터의 응답을 받아야 함
- 응답이 없는 경우는, 존재하지 않는 서버로 간주함

// NetWare: 가장 광범위하게 설치되었던 Novell의 네트워크 서버 운영체계


IPX의 인캡슐레이션 방식

- Novel NetWare 서버는 default encapsulation이 여러개가 있기에, 이 방식을 통일해야 통신 가능
- 파일서버가 사용하는 캡슐화 방식과 라우터가 사용하는 캡슐화 방식은 반드시 맞춰야만 통신 가능
- IPX 구성의 대부분의 문제는 캡슐화 방식이 맞지 않아 발생
- 시스코 라우터는 ethernet interface에 IPX가 설정되면 default encapsulation 방식이 802.3으로 세팅 됨


IPX의 라우팅 프로토콜
RIP (= IPX RIP)
- Dynamic Routing protocol, Distance-vector Routing algorithm
- TCP/IP에서 사용하는 RIP와 다른 프로토콜로 호환성도 없음
- 시스코에서 IPX 설정시 defualt로 세팅되는 프로토콜


NLSP, Netware Link Services Protocol
- Link State Protocol
- IP에서 OSPF와 유사한 프로토콜, 즉 IPX RIP보다 크고 복잡한 IPX 네트워크 구성에 유리


EIGRP
- IP 뿐만 아니라 IPX도 라우팅 할 수 있는 멀티 프로토콜
- Apple Talk 라우팅도 지원 가능


라우터, 그 속으로 전진!

액세스리스트

  • Standard Access list
  • Extended Access list
  • Dynamic Access list - user name & password 를 이용한 통제 가능

Standard Access List

- Source IP를 이용한 접근 제어


Extended Access List

-  Source IP, Destination IP, Protocol, Port Number 등 모든 가능한 조건을 이용한 접근 제어


Dynamic Access list

- user name & password 를 이용한 통제 가능
- 
자주 사용되지는 않음



Access list
에 걸려 못들어가는 경우 라우터의 메시지 표시

- Host unreachable


액세스리스트를 움직이는 4가지 규칙
- 액세스 리스트는 윗줄부터 하나씩 차례로 수행된다.

 

- 액세스 리스트의 맨 마지막 line "permit any"를 넣지 않을 경우는 default, 어느 액세스 리스트와도 match되지 않은 나머지 모든 address deny 됨

  • 즉 액세스 리스트 맨 마지막 줄에는 항상 모든 것을 막는 deny all이 들어있다고 생각하면 됨
  • 만약 액세스 리스트를 윗줄부터 수행하다가 어디에도 해당되지 않는 주소가 있으면 맨마지막까지 내려온 다음 deny all해서 모두 막혀버림
  • 액세스 리스트는 정의되어있지만 자기가 속할 액세스 리스트가 없는 것

- 액세스 리스트의 새로운 line은 항상 맨 마지막으로 추가되므로 access-list line의 선택적 추가나 제거가 불가능함

  • 즉 액세스 리스트를 구성할다가 실수를 해서 수정을 하면 아예 리스트의 내용이 모두 사라짐
  • 그러므로 메모장같은데서 작업을 먼저해야함

- interface에 대한 액세스 리스트의 정의가 되어 있지 않은 경우(, interface access-group명령이 들어있지 않은 경우) 결과는 permit any가 됨

  • 즉 액세스 리스트가 정의되어 있지 않은 인터페이스는 액세스 리스트를 거치지 않고 바로 통과되므로 당연히 permit any가 됨
  • 아예 자기 네트워크에는 액세스 리스트 자체가 정의되어 있지 않은 경우임

컨제션 (Congestion)
- 
혼잡, 네트워크에서 혼잡이 발생하는 것
- Congestion Management
 (발생한 컨제션을 해결)

 

- 사용자와 어플리케이션에 대한 필터링 하기

  • 모든 사용자와 모든 어플리케이션을 다 통과시키면 네트워크의 트래픽이 너무 증가함
  • 그러므로 액세스 리스트를 사용해 불필요한 것을 아예 네트워크에 들어올 수 없게 함

- 브로드캐스트를 막기

  • 브로드캐스트는 필요하지만 네트워크에 트래픽을 많이 가중시키므로 불필요한 부분을 막아줌

- 타이머 맞추기

  • 일정 시간마다 한 번씩 일어나는 일을 시간간격을 늘리든지 해서 네트워크의 트래픽을 줄이기

- 라우팅 테이블 관리하기

  • 라우팅 정보의 교환 역시 트래픽을 발생시킴
  • 그러므로 이들 중 일부를 Static으로 조정해주면 트래픽이 줄어들게 됨

- 트래픽의 우선 순위를 매기기

  • 중요한 트래픽은 우선 처리해주고 느려도 되는 트래픽은 뒤로 빼는 것임

스탠더드 액세스 리스트
- 액세스 리스트는 인터페이스에 IN OUT으로 구성될 수 있음
- IN
은 인터페이스 쪽에서 라우터로 들어오는 것을 말함
- OUT
은 라우터에서 해당 인터페이스로 나가는 것을 말함
- IN
에 액세스 리스트를 걸었을 때

  1. 라우터의 인터페이스로 패킷이 들어오면 이 인터페이스에 액세스 리스트가 설정되어 있는지 확인
  2. 액세스 리스트가 설정되어 있지 않다면 바로 통과(패킷을 정해진 경로로 바로 보냄)
  3. 액세스 리스트가 설정되어 있다면 리스트의 주소와 패킷의 출발지 주소를 비교함
  4. 액세스 리스트의 주소와 패킷출발지의 주소가 일치하면 액세스 리스트를 수행
  5. 이 때 액세스 리스트의 조건이 Deny이면 패킷의 흐름을 막고 host unreachable이라는 ICMP메시지를 뿌림
  6. 액세스 리스트의 조건이 Permit이면 패킷을 정해진 경로로 뿌림

와일드 카드 마스크
- 
서브넷 마스크랑 유사한 기능이지만, 의미는 정반대임
-
서브넷 마스크의 일부를 봐서 1111 1000이면 와일드 카드 마스크는 0000 0111
- OSPF,
액세스 리스트에서 사용됨


텔넷포트(VTY Port)에서의 액세스 리스트
- 익스텐디드 액세스 리스트

  • 스탠더드 액세스 리스트는 출발지 주소만을 제어하지만 익스텐디드는 출발, 목적지 주소 모두 제어
  • 스탠더드는 TCP/IP에 대한 제어만 하지만
  • 익스텐디드는 IP, TCP, UDP, ICMP 등 특정 프로토콜을 지정해서 제어가능
  • 스탠더드는 1~99를 Access-list 번호로 사용하고
  • 익스텐디드는 100~199까지의 숫자를 Access-list번호로 사용
  1.  Access-list가 있는가? ->(없으면) 바로 차단 또는 통과
  2.  Source Address? ->(불일치) 다음 Access-list로 이동
  3. (일치) Destination Address? -> (불일치) 다음 Access-list로 이동
  4. (일치) Protocol? -> (불일치) 다음 Access-list로 이동
  5. (일치) Protocol Option? -> (불일치) 다음 Access-list로 이동
  6. (일치) Access-list적용 ->(불일치) 다음 Access-list로 이동
  7. (일치) 차단 또는 통과

HSRP(Hot Standby Routing Protocol)

- 시스코 장비에서만 사용되는 기능

// 다른 회사 장비도 비슷한 기능이 있지만, 이 프로토콜과 호환은 불가능

- 라우터 고장에 대비해, 라우터 한 대를 더 구성함 

- 메인 라우터가 고장나면 자동으로 두번째 라우터가 메인 라우터의 역할을 대신하는 기능

- 가상의 라우터 IP PC의 디폴트 게이트웨이로 세팅

- 가상의 IP에 대해 Active / standby 라우터 구분

- Active 라우터 문제 발생시 stndby 라우터가 역할 대신 수행

- 가상의 IP로 인해 PC들은 라우터가 바뀌어도 디폴트게이트웨이 주소 수정 필요 없음

- 트래킹(Tracking) : Active 라우터가 다운된건 아니지만, 시리얼 회선에 문제가 생겨 통신이 불가능해진 경우, Active 라우터를 교체하는 기법


NAT(Network Address Translation) 을 사용하는 이유

- 내부의 네트워크에 비공인 IP 주소를 사용하고 외부 인터넷으로 나가는 경우에만 공인 IP 주소를 사용하고자 하는 경우

- 기존에 사용하던 ISP에서 새로운 ISP로 바꾸면서 내부 전체의 IP를 바꾸지 않고 기존의 IP 주소를 그대로 사용하고자 하는 경우

- 두 개의 인트라넷을 서로 합하려다 보니 두 네트워크의 IP가 서로 겹치는 경우

- TCP 로드 분배가 필요한 경우 - 외부에서는 하나의 주소로 보이는 호스트가 내부에는 여러개의 호스트에 매핑되도록 해서 서버의 로드를 분배



용어

1)  Inside local 주소 : 내부 네트워크에서 사용하는 비공인 주소
2) Inside Globla 
주소 : 외부로 나갈때 변환되어 나가는 주소,  NAT inside local 주소를 inside global 주소로 바꾸어 주는 과정

3) Outside local 주소: NAT는 내부 사설망을 통해 패킷을 전송할때 외부 호스트를 나타내기 위해서 outside 로컬 주소를 사용한다
4) Outside Global 
주소 : 이는  인터넷에 존재하는 호스트에 할당된 실제 IP


Inside Vs. Outside 

- Inside는 기업 내부에 있는 호스트 주소를 언급하기 위한 용어 

- Outside는 기업의 외부 즉, 인터넷에 존재하는 호스트들이 사용하는 주소를 언급하기 위한 용어


NAT 의 종류

- Static NAT : 특정 사설 IP에 고정된 특정 공인 IP를 지정, 1:1 매핑

- Dynamic NAT : 1:1 매핑이긴 하나, 특정 IP가 아닌, 사용 가능한 임의의 IP들로 변환 됨


참고

1. http://jvinci.tistory.com/22

복사했습니다!