IPX에 대한 이야기
IPX 특징
- Novell 에서 나온 라우티드 프로토콜
- IP처럼 주소 체계가 별도로 존재
- 라우터에서 별도 구성 필요
- 사용하는 라우팅 프로토콜이 IP와 차이가 있음
- IP는 인터넷에서 사용되지만 IPX는 그렇지 않음
- (즉, 인터넷을 사용하려면, TCP/IP가 동작해야하나 IPX가 동작할 필요는 없음)
- OSI 7 계층 중 네트워크 계층에 해당
- SAP 와 GNS 를 사용
SAP, Service Advertising Protocol
- IPX/SPX 상의 서버나 라우터들이 자신이 제공하는 서비스를 네트워크 상에 알리기 위해 사용하는 브로드 캐스트, 즉 서로의 서비스 내용 교환 프로토콜
- 60초마다 브로드캐스팅
- 16진수를 사용해서 서비스 구분
- (예) 16진수 4: 네트워에 파일 서버, 16진수 7 : 프린터 서버
- IPX에서는 모든 정보가 SAP를 이용하므로, 효율적인 트래픽이 관건이므로 IPX에서는 SAP 필터링이 중요한 기술이 됨
GNS, Get Nearest Server
- 네트워크 상의 PC(클라이언트)가 NetWare 파일 서버에 접속하고자 하는 경우에는 GNS에 대한 서버로부터의 응답을 받아야 함
- 응답이 없는 경우는, 존재하지 않는 서버로 간주함
// NetWare: 가장 광범위하게 설치되었던 Novell의 네트워크 서버 운영체계
IPX의 인캡슐레이션 방식
- Novel NetWare 서버는 default encapsulation이 여러개가 있기에, 이 방식을 통일해야 통신 가능
- 파일서버가 사용하는 캡슐화 방식과 라우터가 사용하는 캡슐화 방식은 반드시 맞춰야만 통신 가능
- IPX 구성의 대부분의 문제는 캡슐화 방식이 맞지 않아 발생
- 시스코 라우터는 ethernet interface에 IPX가 설정되면 default encapsulation 방식이 802.3으로 세팅 됨
IPX의 라우팅 프로토콜
RIP (= IPX RIP)
- Dynamic Routing protocol, Distance-vector Routing algorithm
- TCP/IP에서 사용하는 RIP와 다른 프로토콜로 호환성도 없음
- 시스코에서 IPX 설정시 defualt로 세팅되는 프로토콜
NLSP, Netware Link Services Protocol
- Link State Protocol
- IP에서 OSPF와 유사한 프로토콜, 즉 IPX RIP보다 크고 복잡한 IPX 네트워크 구성에 유리
EIGRP
- IP 뿐만 아니라 IPX도 라우팅 할 수 있는 멀티 프로토콜
- Apple Talk 라우팅도 지원 가능
라우터, 그 속으로 전진!
액세스리스트
- Standard Access list
- Extended Access list
- Dynamic Access list - user name & password 를 이용한 통제 가능
Standard Access List
- Source IP를 이용한 접근 제어
Extended Access List
- Source IP, Destination IP, Protocol, Port Number 등 모든 가능한 조건을 이용한 접근 제어
Dynamic Access list
- user name & password 를 이용한 통제 가능
- 자주 사용되지는 않음
Access list에 걸려 못들어가는 경우 라우터의 메시지 표시
- Host unreachable
액세스리스트를 움직이는 4가지 규칙
- 액세스 리스트는 윗줄부터 하나씩 차례로 수행된다.
- 액세스 리스트의 맨 마지막 line에 "permit any"를 넣지 않을 경우는 default로, 어느 액세스 리스트와도 match되지 않은 나머지 모든 address는 deny 됨
- 즉 액세스 리스트 맨 마지막 줄에는 항상 모든 것을 막는 deny all이 들어있다고 생각하면 됨
- 만약 액세스 리스트를 윗줄부터 수행하다가 어디에도 해당되지 않는 주소가 있으면 맨마지막까지 내려온 다음 deny all해서 모두 막혀버림
- 액세스 리스트는 정의되어있지만 자기가 속할 액세스 리스트가 없는 것
- 액세스 리스트의 새로운 line은 항상 맨 마지막으로 추가되므로 access-list line의 선택적 추가나 제거가 불가능함
- 즉 액세스 리스트를 구성할다가 실수를 해서 수정을 하면 아예 리스트의 내용이 모두 사라짐
- 그러므로 메모장같은데서 작업을 먼저해야함
- interface에 대한 액세스 리스트의 정의가 되어 있지 않은 경우(즉, interface에 access-group명령이 들어있지 않은 경우) 결과는 permit any가 됨
- 즉 액세스 리스트가 정의되어 있지 않은 인터페이스는 액세스 리스트를 거치지 않고 바로 통과되므로 당연히 permit any가 됨
- 아예 자기 네트워크에는 액세스 리스트 자체가 정의되어 있지 않은 경우임
컨제션 (Congestion)
- 혼잡, 즉 네트워크에서 혼잡이 발생하는 것
- Congestion Management (발생한 컨제션을 해결)
- 사용자와 어플리케이션에 대한 필터링 하기
- 모든 사용자와 모든 어플리케이션을 다 통과시키면 네트워크의 트래픽이 너무 증가함
- 그러므로 액세스 리스트를 사용해 불필요한 것을 아예 네트워크에 들어올 수 없게 함
- 브로드캐스트를 막기
- 브로드캐스트는 필요하지만 네트워크에 트래픽을 많이 가중시키므로 불필요한 부분을 막아줌
- 타이머 맞추기
- 일정 시간마다 한 번씩 일어나는 일을 시간간격을 늘리든지 해서 네트워크의 트래픽을 줄이기
- 라우팅 테이블 관리하기
- 라우팅 정보의 교환 역시 트래픽을 발생시킴
- 그러므로 이들 중 일부를 Static으로 조정해주면 트래픽이 줄어들게 됨
- 트래픽의 우선 순위를 매기기
- 중요한 트래픽은 우선 처리해주고 느려도 되는 트래픽은 뒤로 빼는 것임
스탠더드 액세스 리스트
- 액세스 리스트는 인터페이스에 IN과 OUT으로 구성될 수 있음
- IN은 인터페이스 쪽에서 라우터로 들어오는 것을 말함
- OUT은 라우터에서 해당 인터페이스로 나가는 것을 말함
- IN에 액세스 리스트를 걸었을 때
- 라우터의 인터페이스로 패킷이 들어오면 이 인터페이스에 액세스 리스트가 설정되어 있는지 확인
- 액세스 리스트가 설정되어 있지 않다면 바로 통과(패킷을 정해진 경로로 바로 보냄)
- 액세스 리스트가 설정되어 있다면 리스트의 주소와 패킷의 출발지 주소를 비교함
- 액세스 리스트의 주소와 패킷출발지의 주소가 일치하면 액세스 리스트를 수행
- 이 때 액세스 리스트의 조건이 Deny이면 패킷의 흐름을 막고 host unreachable이라는 ICMP메시지를 뿌림
- 액세스 리스트의 조건이 Permit이면 패킷을 정해진 경로로 뿌림
와일드 카드 마스크
- 서브넷 마스크랑 유사한 기능이지만, 의미는 정반대임
- 서브넷 마스크의 일부를 봐서 1111 1000이면 와일드 카드 마스크는 0000 0111
- OSPF, 액세스 리스트에서 사용됨
텔넷포트(VTY Port)에서의 액세스 리스트
- 익스텐디드 액세스 리스트
- 스탠더드 액세스 리스트는 출발지 주소만을 제어하지만 익스텐디드는 출발, 목적지 주소 모두 제어
- 스탠더드는 TCP/IP에 대한 제어만 하지만
- 익스텐디드는 IP, TCP, UDP, ICMP 등 특정 프로토콜을 지정해서 제어가능
- 스탠더드는 1~99를 Access-list 번호로 사용하고
- 익스텐디드는 100~199까지의 숫자를 Access-list번호로 사용
- Access-list가 있는가? ->(없으면) 바로 차단 또는 통과
- Source Address? ->(불일치) 다음 Access-list로 이동
- (일치) Destination Address? -> (불일치) 다음 Access-list로 이동
- (일치) Protocol? -> (불일치) 다음 Access-list로 이동
- (일치) Protocol Option? -> (불일치) 다음 Access-list로 이동
- (일치) Access-list적용 ->(불일치) 다음 Access-list로 이동
- (일치) 차단 또는 통과
HSRP(Hot Standby Routing Protocol)
- 시스코 장비에서만 사용되는 기능
// 다른 회사 장비도 비슷한 기능이 있지만, 이 프로토콜과 호환은 불가능
- 라우터 고장에 대비해, 라우터 한 대를 더 구성함
- 메인 라우터가 고장나면 자동으로 두번째 라우터가 메인 라우터의 역할을 대신하는 기능
- 가상의 라우터 IP를 PC의 디폴트 게이트웨이로 세팅
- 가상의 IP에 대해 Active / standby 라우터 구분
- Active 라우터 문제 발생시 stndby 라우터가 역할 대신 수행
- 가상의 IP로 인해 PC들은 라우터가 바뀌어도 디폴트게이트웨이 주소 수정 필요 없음
- 트래킹(Tracking) : Active 라우터가 다운된건 아니지만, 시리얼 회선에 문제가 생겨 통신이 불가능해진 경우, Active 라우터를 교체하는 기법
NAT(Network Address Translation) 을 사용하는 이유
- 내부의 네트워크에 비공인 IP 주소를 사용하고 외부 인터넷으로 나가는 경우에만 공인 IP 주소를 사용하고자 하는 경우
- 기존에 사용하던 ISP에서 새로운 ISP로 바꾸면서 내부 전체의 IP를 바꾸지 않고 기존의 IP 주소를 그대로 사용하고자 하는 경우
- 두 개의 인트라넷을 서로 합하려다 보니 두 네트워크의 IP가 서로 겹치는 경우
- TCP 로드 분배가 필요한 경우 - 외부에서는 하나의 주소로 보이는 호스트가 내부에는 여러개의 호스트에 매핑되도록 해서 서버의 로드를 분배
용어
1) Inside local 주소 : 내부 네트워크에서 사용하는 비공인 주소
2) Inside Globla 주소 : 외부로 나갈때 변환되어 나가는 주소, 즉 NAT는 inside local 주소를 inside global 주소로 바꾸어 주는 과정
3) Outside local 주소: NAT는 내부 사설망을 통해 패킷을 전송할때 외부 호스트를 나타내기 위해서 outside 로컬 주소를 사용한다.
4) Outside Global 주소 : 이는 인터넷에 존재하는 호스트에 할당된 실제 IP
Inside Vs. Outside
- Inside는 기업 내부에 있는 호스트 주소를 언급하기 위한 용어
- Outside는 기업의 외부 즉, 인터넷에 존재하는 호스트들이 사용하는 주소를 언급하기 위한 용어
NAT 의 종류
- Static NAT : 특정 사설 IP에 고정된 특정 공인 IP를 지정, 1:1 매핑
- Dynamic NAT : 1:1 매핑이긴 하나, 특정 IP가 아닌, 사용 가능한 임의의 IP들로 변환 됨
참고
'책 > 후니의 쉽게 쓴 시스코 네트워킹' 카테고리의 다른 글
[책] 후니의 쉽게 쓴 시스코 네트워킹 - Part 11 (0) | 2023.03.15 |
---|---|
[책] 후니의 쉽게 쓴 시스코 네트워킹 - Part 7, 8 (0) | 2023.03.01 |
[책] 후니의 쉽게 쓴 시스코 네트워킹 - Part 5, 6 (0) | 2023.02.11 |
[책] 후니의 쉽게 쓴 시스코 네트워킹 - Part 3, 4 (0) | 2023.02.09 |
[책] 후니의 쉽게 쓴 시스코 네트워킹 - Part 1, 2 (0) | 2023.02.08 |