★ 보안관

장거리 통신망(WAN, wide area network)에서 사용하는 링크 레이어 프로토콜에 대해서 살펴본다. 근거리 통신망(LAN)에서는 대부분의 경우 이더넷을 사용하지만 장거리 통신망에서 사용하는 L2 프로토콜은 종류가 많다. 그중에서 많이 사용되는 HDLC, PPP 및 프레임 릴레이에 대해서 알아보기로 한다. 장거리 통신망과 접속하기 위한 인터페이스의 종류도 많지만 가장 많이 사용하는 시리얼(serial)인터페이스를 이용하여 실습을 진행한다. HDLC HDLC(high level data link control)는 IBM에서 사용하는 SDLC(synchronous data link control) 이후에 개발된 프로토콜로 프레임 릴레이, PPP, ATM 등보다 먼저 개발되었다. 표준 HDLC는 하나..

장거리 통신망 (WAN, wide area network) - CPE(customer permises equipment)는 가입자 댁내장치 즉, 장거리 통신망을 사용하는 고객 측에 위치한 장비를 의미한다. 라우터 및 라우터를 장거리 통신망에 접속하기위한 장치인 CSU/DSU, 모뎀 등이 여기에 해당한다. - 디마케이션 포인트(demarcation point) 또는 디마크(demarc)는 장거리 통신망과 연결되는 가입자 측 접속지점을 의미한다. - 가입자 선로(subscribe line)는 가입자와 장거리 통신망이 연결되는 구간으로 우리나라는 보통 10km 이내이다. 이 구간을 퍼스트 마일 액세스(first mile access), 라스트 마일 액세스(last mile access) 또는 로컬 루프(loc..

http://blog.naver.com/whenrnjs/60090855355

IEEE가 2001년 6월 RSTP(rapid spanning tree protocol)을 만들었는데 이는 프로토콜 장애 발생 시 대체 경로로 동작하는 시간을 빠르게 해 주었다. RSTP는 처음 IEEE 802.1W에서 표준화하였으며, IEEE의 내부 절차에 따라 지금은 IEEE 802.1D-2004에 정의되어 있다. RSTP는 STP의 단점인 컨버전스 시간(convergence time)을 획기적으로 단축시켜준다. 컨버전스 시간이란 네트워크 상태가 변화되었을 때 이것을 반영하여 포트의 역할과 상태가 변경되기까지의 시간을 말한다. STP의 컨버전스 시간이 경우에 따라 30초 또는 50초인 반면 TSTP는 토폴로지 변화가 즉시 반영된다. RSTP에서 루트 스위치를 선택하고, 루트 포트와 지정 포트를 결정하..

포트 패스트 스위치의 각 포트는 PC 등의 종단 장비가 접속되어 이썽도 스패닝 트리 프로토콜에 의해 청취, 학습 및 전송 상태 단계를 거친다. 포트 패스트(portfast)는 포트가 활성화되면 바로 전송 상태가 되게 하는 것을 말한다. 포트 패스트는 PC, 서버 등과 같이 종단장치와 연결된 포트에 많이 설정한다. 포트 패스트가 설정된 포트라도 BPDU를 수신하면 그에 따른 적절한 STP 동작을 취한다. 예를 들어, 포트의 역할이 대체 포트이면 차단 상태로 변경된다. 포트 패스트가 동작하는 것을 다음과 같이 # debug spanning-tree events 명령어로 사용해보자 포트를 셧다운 시키면 해당 포트의 STP 상태가 비활성화로 변경되고, 프레임 송수신이 차단된다. 포트를 활성화시키면 바로 청취(l..

스패닝 트리 프로토콜 이더넷 프레임이 장비들 사이에서 빙빙 도는 것을 이더넷 프레임 루핑(looping)이라고 한다. 스위치에서 이더넷 프레임의 루핑을 방지해주는 것이 스패닝 트리 프로토콜(STP, spanning tree protocol)이다. IP 패킷은 헤더에 TTL(time to live) 필드가 있어 패킷의 무한 루프를 막아준다. 그러나, 이더넷 프레임 헤더에는 루프를 방지하는 필드가 없어 대신 STP가 사용된다. STP는 IEEE에서 2004년에 개정한 802.1D-2004 표준에 의해서 RSTP(rapid STP)로 대체되었다. 그러나, 현재 필드에서 사용 중인 다수의 스위치들은 아직 RSTP 대신 STP를 사용하고 있다. 프레임 루프의 영향 이더넷 프레임 루프가 발생하면 다음과 같은 현상이..

VTP VTP(VLAN trunking protocol)란 하나의 스위치에 설정된 VLAN 번호와 이름을 다른 스위치에게 알려줄 떄 사용하는 프로토콜이다. VTP를 사용하면 VLAN 설정작업이 편리하다. VTP 동작 원리 VTP가 동작하는 방식은 다음과 같다. 1) 스위치에서 VLAN을 추가, 수정 또는 삭제한다. 이 경우, VLAN 설정 정보가 변겨오디고, 새로운 VLAN 설정 정보를 다른 스위치에게 전송해야 한다. 2) 스위치는 VTP 설정번호(confguration revision)를 기존값보다 1 증가시켜 다른 스위치에게 변경된 VLAN 정보와 함꼐 전송한다. 3) VTP 정보를 수신한 스위치는 자신의 VTP 설정번호와 수신한 정보를 비교한다. - 수신한 VTP > 자신의 VTP = 새로운 정보로..

DTP (dynamic trunking protocol)란 시스코 스위치에서 상대 스위치와 트렁크 관련 상황을 협상할 때 사용되는 프로토콜이다. 포트전환 여부와 트렁크 포트 동작시 사용할 프로토콜을 협상한다. - 액세스(access) : 상대 포트와 상관없이 자신은 액세스 포트로 동작한다. 스위치 포트를 액세스 모드로 설정하려면 다음 명령어를 사용한다. sw(config-if)# switchport mode access - 트렁크(trunk) : 상대 포트와 상관없이 자신의 트렁크 포트로 동작한다. 상대 포트를 트렁크 포트로 동작시키기 위한 DTP 패킷을 전소한다. 스위치 포트를 트렁크 모드로 설정하려면 인터페이스에서 다음 명령어를 사용한다. sw(config-if)# switchport trunk en..

VLAN Vlan(virtual Lan, 가상 LAN)이란 논리적으로 분할된 스위치를 말한다. VLAN을 사용하는 이유 VLAN을 사용하는 주된 이유는 접속된 장비들의 성능 향상 및 보안성 증대에 있다. pc, 서버를 비롯하여 라우터와 같은 통신 장비들도 ARP 등을 위하여 브로드캐스트 트래픽을 많이 사용한다. PC1이 PC2의 MAC 주소를 알아내기 위하여 브로드캐스트 프레임을 전송하면 SW1은 트랜스패런트 브리징이 동작하여 이를 모든 포트로 플러딩(flooding)시킨다. 결과적으로 PC3은 불필요한 브로드캐스트 프레임을 수신한다. 장비들은 브로드캐스트 프레임을 수신하면 일단 내용을 확인해야 하며, 확인 후 자신과 상관이 없는 내용이면 무시한다. 스위치에 접속된 장비가 많으면 수많은 브로드캐스트 프레..

포트보안 포트 보안(port security)은 스위치의 특정한 포트에 특정한 MAC 주소를 가진 장비만 접속할 수 있도록 하는 것이다. 포트 보안을 사용하면, 기본적으로 지정된 MAC 주소를 가진 PC만 접속할 수 있을 뿐만 아니라, 앞서 살펴보았던 MAC 플러딩 공격 등을 효과적으로 방어할 수 있다. 포트 보안 동작방식 스위치의 특정 포트에 포트 보안을 설정하면 해당 포트에는 지정된 MAC 주소를 가진 장비만 접속할 수 있다. 예를 들어, 다음 그림에서 SW1의 F0/1 포트에는 MAC 주소 0000.0000.0001인 장비만 접속할 수 있도록 설정해 보겠다. Switch(config)#interface f0/1 //보안을 설정할 인터페이스 설정 모드 Switch(config-if)#switchpor..