사랑이네 ㅇㅂㅇ

* 수업 진도

09. dynamic routing protocol
 [rip, eigrp, ospf]

* 강사님 필기 자료

04-02.txt

rip설정.txt

* 수업 자료 : D:\3월 네트웍기초 서정아\수업자료\PDF => 6장 Routing protocol(RIP).ppt 

6장 Routing protocol(RIP).ppt

* Routing

주소 = 계층구조 = network-id/host-id

서로 다른 네트워크에 존재하는 장비가 통신을 하려면

1. 주소 광고 + 주소 학습 

2. 최적 경로 연산 

2-1. bellman ford - distance vector : RIP //★☆★ 오늘 수업진도!
   advanced distance vector [DUAL] : EIGRP
   path vector : bgp 
2-2. dijkstra algorithm - link state : OSPF 
    연산 소스를 전송한다. -> 연산 부하 높다.

* RIP(Routing Information Protocol - bellman ford)

경로 복잡도가 낮은 곳에서, 연산 부하가 낮다. 
단순한 metric --> count infinite(무한 루프)
** 연산 결과만 전송한다. --> 연산 부하가 낮다. -> 무한루프
*** 정책이 쉽다. // => link state는 또 다른 방식으로 적용해야..,

1> 특징

① hop count의 제한 (RIP의 16hop) -> eigrp (100hop) --> 2^64
② split horizon :
     내가 수신한 정보를 수신한 동일 인터페이스로 다시 돌려보내지 않는다.
③ route poison 
④ poison reverse  
⑤ hold time(수렴 시간) :
    -  hold time이 길면 연산 부하가 낮다. 수렴이 느리다. *****
    -  hold time이 짧으면 연산 부하가 높다. 수렴이 빠르다. @@@@@@@@
 
cf. 무한 루프 : (유투브) 일루수가 누구야

cf. 이력서 필터링 : 포맷팅 주의!!!(맞춤법, 문법 틀린거, 말같지 않은 말.., 국문과 사람있으면 조언 부탁하기!)

** 수업자료(6장 Routing protocol(RIP).ppt)

=> 위에 있음!!!

2> RIP version

RIP : distance vector (distance = hop count = network 수 = router 수)
      *** (링크 상태를 고려할 필요가 없는 곳에 사용한다)
               (연산 부하가 낮다. ******)
rip version 1 : classful
  subnet 정보를 전송하지 않는다. 11.1.1.1 --> 11.0.0.0/8
rip version 2 : classless
  subnet 정보를 전송한다. 11.1.1.1/16 --> 11.1.0.0/16
                multicast(224.0.0.9 --> 0100.5e00.0009)

cf. IPv4 RIP --> UDP 520 // IPv6 RIP = RIPng : UDP 521

3> 최적 경로 순서

① PBR(policy base routing) // 라우팅 관련 정책
② longest match rule
③ AD(admin distance)  // 관리 거리값
④ metric(rip metric = hop count)(cisco ospf = interface BW) (eigrp = 복합 metric)

ip route 1.1.1.0 255.255.255.0 1.1.12.1 [1]
ip route 1.1.1.0 255.255.255.0 1.1.13.1 50
ip route 1.0.0.0 255.255.255.0 1.1.14.1 100
ip route 0.0.0.0 255.255.255.0 1.1.15.1 200
--> static => floating static // ???
de_ip 1.1.1.1

cf. floating static

https://blog.naver.com/comp13578/221026629993

Static Route의 경우 목적지까지 경로가 다수 존재할 경우에도  Best Path에 장애가 발생하면 자동으로 경로를 우회할 수 없다.
(즉, Convergence(수렴) X)
이 경우 관리자가 Static Route의 AD값을 임의적으로 조정하여 미리 Backup Path를 설정하는 것이 가능하다.
이러한 방식을 'Floating Static Route' 라고 한다.

cisco
rip 120
ospf 110

4> 장/단점

* RIP 실습

- topology

설정 순서

1> R1 ~ R4 : Change Symbol => S1 ~ S4

2> Router 5개 전체 블로그 씌우고 오.버 >  Configure > Slots

다음과 같이 설정 해주기~!

3> S1 ~ S4, R1 ~ R5 ip setting 해주기!!!

=> 내가 한거

[작업순서]

1. 사용할 routing protocol을 호출한다.
2. 조정
3. 사용하려는 인터페이스 선언 -> network ***
4. 광고할 고객 정보 선언하기 = network

// 1. 사용할 routing protocol을 호출한다.

모든 장비
conf t
router rip *****

(config-router)#?

// 2. 조정

// 3. 사용하려는 인터페이스 선언 -> network ***

cf. classful(prefix)

A
0~127    (/8)
B
128~191 (/16)
C
192~223 (/24)

S1
conf t
router rip
network 11.0.0.0

S2
conf t
router rip
net 22.0.0.0
end
show run | sec router rip
conf t
// no router rip

S3
conf t
router rip
net 33.0.0.0
end

S4
conf t
router rip
net 44.0.0.0
end

R1
conf t
router rip
net 1.0.0.0
net 150.1.0.0
net 11.0.0.0
exi

R2
conf t
router rip
net 1.0.0.0
net 200.1.25.0
net 2.0.0.0
net 22.0.0.0
exi

R3
conf t
router rip
net 2.0.0.0
net 1.0.0.0
net 170.1.0.0
net 33.0.0.0
exi

R4
conf t
router rip
net 199.1.45.0
net 1.0.0.0
net 44.0.0.0
exi

R5
conf t
router rip
net 150.1.0.0
net 200.1.25.0
net 199.1.45.0
net 170.1.0.0
exi

// 확인
show run | sec router rip

// 4. 광고할 고객 정보 선언하기 = network

S1
conf t
interface Loopback1

ip address 1.1.0.1 255.255.255.0
ip address 1.1.1.1 255.255.255.0 secondary
ip address 1.1.2.1 255.255.255.0 secondary
ip address 1.1.3.1 255.255.255.0 secondary
ip address 1.1.4.1 255.255.255.0 secondary
ip address 1.1.5.1 255.255.255.0 secondary
exi
router rip
net 1.0.0.0 --> 이 정보를 내가 줄께
passive-interface loopback 1 **************
// net 11.0.0.0 --> 이 인터페이스로 rip을 통해서 정보를 교환
exi

cf. passive-interface

서버들끼리만 서로 정보를 공유하되,

고객들은 (loopback == End device) rip ptc.을 광고는 하되,
정보를 받아서는 안된다.
따라서 loopback들은(고객들) 데이타 수신정보 받지 못하도록
차단하는 기능이 passive-interface임!

ex> kt 기지국은 국정원의 정보를 쏘지 않는다. (설명 부족 -_;)

S2
conf t
interface Loopback2

ip address 2.1.0.1 255.255.255.0
ip address 2.1.1.1 255.255.255.0 secondary
ip address 2.1.2.1 255.255.255.0 secondary
ip address 2.1.3.1 255.255.255.0 secondary
exi
router rip
net 2.0.0.0
passive-inter lo 2
exi

S3
conf t
interface Loopback3

ip address 3.1.0.1 255.255.255.0
ip address 3.1.1.1 255.255.255.0 secondary
ip address 3.1.2.1 255.255.255.0 secondary
ip address 3.1.3.1 255.255.255.0 secondary
ip address 3.1.4.1 255.255.255.0 secondary
ip address 3.1.5.1 255.255.255.0 secondary
exi
router rip
net 3.0.0.0
passive-inter lo 3
exi

S4
conf t
interface Loopback4

ip address 4.1.0.1 255.255.255.0
ip address 4.1.1.1 255.255.255.0 secondary
ip address 4.1.2.1 255.255.255.0 secondary
exi
router rip
net 4.0.0.0
passive-inter lo 4
exi

===============
조정?
확인..,

S1
show ip route rip // rip을 통해 학습한 정보 보여줌
ping 22.1.1.1
ping 33.1.1.1
ping 44.1.1.1

모든 정보 저장~!
#wr
 

＊ 빠뜨린거!

[srv12]

=> NAT 설정 관련 보조 DNS 셋팅~!

[mem12]

=> DNS 서버가 구축된 mem12로 ip 주소 셋팅~!

[mem13]

itbank12.edu의 도메인 관련 내용들은 srv12에 있으므로 itbank12.edu에 조건부 전달자를 걸어준다(srv12 ip로!)

NAT, DNS 관련 ip 셋팅

* 강사님 필기 노트 :

03-30.txt

* 내꺼 :

0330_me.txt

* NAT(Network Address Translation; 주소 변환)
=> 1:1 static NAT
=> dynamic NAT

1> 사용 이유

① IPv4 (ICANN | ANA RIP) 의 고갈 *** (NAT를 사용하게 되면 공인IP 주소 절약)
② 환경에 따라 적절하게 주소 변경 --> 보안성 향상 효과 (변환 전 주소가 가려진다)

사설 주소 : 공인 주소
    1            1 --> (1:1) static nat 
    m            m      --> dynamic nat
약60000개    1개 이상  --> PAT

2> 단점

답변: ip 주소 변경에 따른 세션 연결에 문제가 생길 수 있고, 주소 변환에 따른
연산 부하가 높습니다.

① NAT traversal
② STUN(Session Traversal Utilities for NAT)
③ 연산 부하
...

* 실습 ( 1:1 static NAT)

- 변경 전

↓

// 작업순서

0. 기본 체크

1. in/out
2. 범위
3. nat 문법

// 0. 기본 체크

3월 28일에 저장했던 GNS 호출

show ip access-list
show run | in access-list
conf t
no access-list xx

show ip int brief
인접핑
show ip route

// 1. in/out

inside(internal)= 노란색 포트 : 사설주소 연결, 내부, 변환전 대상
outside(external) = 빨간색 포트 : 외부 네트워크 연결, 변환후 주소

R1
conf t
int fa 0/0
ip nat inside
int fa 0/1
ip nat outside
exi

R5
conf t
int fa 0/1
ip nat inside
int fa 0/0
ip nat outside
exi

// 2. 범위

내부에서 사용하는 사설주소의 범위 => access-list
외부로 나갈때 변환될 공인주소의 범위 => pool 
cisco는 1:1 인 경우 생략

// 3. nat 문법

R1
conf t
ip nat inside source static 10.1.1.1 11.1.1.1
--> 10.1.1.1 신호를 11.1.1.1 로 변경
end
show run | in ip nat inside

R5
conf t
ip nat inside source static 10.1.1.1 22.1.1.1
--> 10.1.1.1 신호를 22.1.1.1 로 변경
end
show run | in ip nat inside

// S1, S2 IP 주소 변경 ( 11.1.1.1 (22.1.1.1) → 10.1.1.1)

S1
conf t
int fa 0/0
ip add 10.1.1.1 255.255.255.0
end
show ip int brief
show run int fa 0/0
show run | in ip route
conf t
// 하기 전에 show ip route로 확인!
no ip route 0.0.0.0 0.0.0.0 11.1.1.254
ip route 0.0.0.0 0.0.0.0 10.1.1.254

S2
conf t
int fa 0/1
ip add 10.1.1.1 255.255.255.0
end
show ip int brief
show run int fa 0/1
show run | in ip route
// 하기 전에 show ip route로 확인!
conf t
no ip route 0.0.0.0 0.0.0.0 22.1.1.254
ip route 0.0.0.0 0.0.0.0 10.1.1.254

// R1, R5 도 IP 변경! ( 11.1.1.254 (22.1.1.254) → 10.1.1.254)

R1
// show ip int brief
conf t
int fa 0/0
ip add 10.1.1.254 255.255.255.0
exi

R5
// show ip int brief
conf t
int fa 0/1
ip add 10.1.1.254 255.255.255.0

// 변환 확인

R1

show ip nat translations
debug ip nat detailed

S1

ping 22.1.1.1

R1

* 실습 ( m:n dynamic NAT)

- 실습 들어가기 전에 준비물!

// static NAT 주소 삭제

R1
show run | in ip nat inside
conf t
no ip nat inside source static 10.1.1.1 11.1.1.1
end
show run | in ip nat inside
R5
show run | in ip nat inside
conf t
no ip nat inside source static 10.1.1.1 22.1.1.1
end
show run | in ip nat inside

*
나 자신
all
cache --> fast switching // process switching

// 통신 장비는 분리되어 있다.
control plane : 제어부
data plane 전송부

// 작업 순서

1. in/out
2. 범위
3. nat 문법

// 2. 범위

내부에서 사용하는 사설주소의 범위 => access-list
외부로 나갈때 변환될 공인주소의 범위 => pool      
cisco는 1:1 인 경우 생략 (static NAT)

*pool : 내가 사용할 자원 범위

R1
conf t
access-list 15 permit 10.1.1.0 0.0.0.255
access-list 15 remark nat_private_address_scoup

ip nat pool s1 -> s2 11.1.1.1 11.1.1.254 netmask 255.255.255.0

ip nat inside soure list 15 pool s1->s2

R5
conf t
access-list 15 permit 10.1.1.0 0.0.0.255
access-list 15 remark nat_private_address_scoup

ip nat pool s2->s1 22.1.1.1 22.1.1.254 netmask 255.255.255.0

ip nat inside source list 15 pool s2->s1

R1/5
show run | in access-list
show run | in ip nat inside

show ip nat translations *** // 테이블이 없어야 맞음 있으면 삭제!

// 변환 확인
R1
#show ip nat translations  // table 안 생겨 있음

S1
#ping 22.1.1.1 => x        // 처음엔 ping 안됨 어떤 ip를 변환할지 몰라서???

S2
#ping 11.1.1.1 => ○       

R1
#show ip nat translations   // table 생김

S1
#ping 22.1.1.1 => ○

// 추가
S2 : 10.1.1.2  ip 변경
R5 : nat table 보기(translation) => 22.1.1.2로 변환
S1 : ping 22.1.1.1 // (x) => ping 22.1.1.2 (o)
????

OSI 7 layer -> [IP, ARP, DHCP, DNS, NAT]
개념 필!!!!

** CCNA 시험
D:\3월 네트웍기초 서정아\수업자료\덤프\NA덤프_샘플\CCNA시뮬레이션
=> CCNA_simulation_NAT.pkt

CCNA_simulation_NAT.pkt

1> 작업 순서
1. in/out
2. 범위
3. nat 문법

R1>CLI
en
cisco
conf t

int fa 0/0
ip nat inside
exi
int s 0/0
ip nat outside
exi

사설주소 범위 => acl : 192.168.100.17 ~ 192.168.100.30/28
access-list 1 permit 192.168.100.16 0.0.0.15
        ↑넷 대표주소(1st)
ip nat pool AA 198.18.184.105 198.18.184.110 netmask 255.255.255.248

ip nat inside source list 1 pool AA overload ****

  0000 [16]
X.X.X.0001 0001 [17]
~
X.X.X.0001  1110 [30]

// pc> desktop
ping 192.0.2.114   // S0/1 OUT == Internet 영역

==================

* 구글링(NAT란?)

http://jwprogramming.tistory.com/30

1> 개념
네트워크 주소 변환(Network Address Translation, 줄여서 NAT)은 IP 패킷의 TCP/UDP 포트 숫자와
소스 및 목적지의 IP 주소 등을 재기록하면서 라우터를 통해 네트워크 트래픽을 주고 받는 기술

2> 사용 이유
NAT를 이용하는 이유는 대개 사설 네트워크에 속한 여러 개의 호스트가 하나의 공인 IP 주소를
사용하여 인터넷에 접속하기 위함

3> 목적
첫째, 인터넷의 공인 IP주소를 절약할 수 있다는 점

둘째, 인터넷이란 공공망과 연결되는 사용자들의 고유한 사설망을 침입자들로부터 보호할 수
있다는 점

* 구글링2(사설IP vs. 공인 IP)
1> 사설 IP  => RFC1918
- 네트워크(Network) 안에서 사용되는 주소. ( 내부적으로 사용되는 고유한 주소 )
- 사설 IP는 하나의 네트워크 안에서 유일.
- 사설 IP(private IP)는 이 이름에서 보듯이 인터넷상에서 확인할 수 없고,
  내부 네트워크에서만 사용 가능한 IP를 말합니다.

ㅇ 사설IP 범위
   A class 1개 : 10.0.0.0 - 10.255.255.255 (8 bit prefix)
   B class 16개 : 172.16.0.0 - 172.31.255.255 (12 bit prefix)
   C class 256개 : 192.168.0.0 - 192.168.255.255 (16 bit prefix)  

2> 공인 IP
- 공인아이피 (Public IP Address)란 공인이 된 IP를 뜻(전세계에서 유일)
- 홈 LAN에서는 서버가 하나의 공인 IP를 할당받아서 프로그램 등을 통해 여러
  컴퓨터가 나누어 쓰는 방식으로 이루어집니다.

ㅇ 공인IP 범위
   Class A : 1 ~ 126 (각각 16M개의 호스트)
   Class B : 128 ~ 191 (각각 65,536개의 호스트)
   Class C : 192 ~ 223 (각각 356개의 호스트)
   Class D : 224 ~ 239 (멀티캐스트 모드)
   Class E : 240 ~ 255 (나중의 위해 예약되었음)

   127.0.0.1 은로컬 커퓨터가 자기자신을 표현하는 루프백 주소이다.

* 작업중...

0329_2.txt

* 정보

ftp 서버 경로: c> inetpub, ftproot

// 작업 순서

[srvx1]
- Router

[memx1]
- DNS
- Hmail
- DHCP

[clix1]
- ip주소 자동 할당
- 썬더버드: memx1에서 구성해놓은 도메인에 맴버 컴퓨터로 가입

[srvx2]
- Router

[memx2]
- AD 환경 (memx2)
  AD 계정명이 DNS 관리자에 주영역으로 만들어짐
- DNS
- Hmail
- DHCP relay-agent

[clix2]
- ip주소 자동 할당
- 썬더버드: memx1에서 구성해놓은 도메인에 맴버 컴퓨터로 가입

// detail..,

====== srv13 ======
[srvx1]
1) router pg 설치
=> routing

[memx1]
2) Netframework 3.5 설치
=> D:\ cd 인식되는지 확인하고 인식 안되면 다시 인식되게 설정
=> 경로:  D:\Sources\Sxs\
3) DNS, DHCP 설치
5) DNS 그림 조건에 맞춰 설정
=> 새 영역 추가
  - itbank13.edu
  - A+ : 10.0.13.130
  - A+ftp: 10.0.12.130
  - MX+ : itbank13.edu
  -위임: eu13 ==> mem12
    // itbank13.edu 오.버> 새 위임>
        위임된 도메인 : eu13
        서버 FQDN : mem12 / ip : 10.0.12.130

6) DHCP
=> 범위 2개 추가
  - 12번, 13번
  - 12번 // IPv4 오.버> 새 범위>
         이름: 12번 영역
         IP : 10.0.12.100(~150) / prefix : 24
         GW : 10.0.12.110  // 라우팅 되있는 srv12, IP range와 같은 네트웍 영역 대 (172. ~ (x))
         DNS : 10.0.12.130 // mem12에 DNS 가 설치되어 있으므로!!!
  - 13번 // IPv4 오.버> 새 범위>
         이름: 13번 영역
         IP : 10.0.13.100(~150) / prefix : 24
         GW : 10.0.13.110  // 라우팅 되있는 srv13, IP range와 같은 네트웍 영역 대 (172. ~ (x))
         DNS : 10.0.13.130 // mem13에 DNS 가 설치되어 있으므로!!!

=> 주의! ncpa.cpl > DNS 경로 확인!!!

[clix1]
4) ncpa.cpl> ip 주소 자동 할당

====== srv12 ======
[srvx2]

1-2) router pg 설치
=> routing

7) DHCP relay-agent 작업
=> [라우팅 및 원격 액세스]> IPv4> 일반 오.버> DHCP Relay Agent 선택>
   새 인터페이스 Eth0, Eth1 둘 다 추가
=> DHCP 릴레이 에이전트 오.버>
   서버 주소는 10.0.13.130 // mem13에 DHCP 서버가 구축 되 있으므로
=> mem13에 임대가 잘 됬는지 확인!
   테스트 방법 [cli12]애서 ip 재 발급 받기!
   > ipconfig /release
   > ipconfig /renew

[memx2]

2-2) Netframework 3.5 설치
=> D:\ cd 인식되는지 확인하고 인식 안되면 다시 인식되게 설정
=> 경로:  D:\Sources\Sxs\
3-2) DNS, DHCP 설치

8) DNS 조건에 맞춰 설정
=> 새 영역 추가
  - eu13.itbank13.edu
  - A+ : 10.0.12.130
  - MX+ : eu13.itbank13.edu
=> 주의! ncpa.cpl > DNS 경로 확인!!!

[clix2]
4-2) ncpa.cpl> ip 주소 자동 할당

// 쌤이 정리해준 순서

1번 pc
1. Router
2. DNS
3. Hmail
4. DHCP relay agent
5. Clix1 IP 주소 할당
6. 썬더버드

2번 pc
1. Router
2. DNS
3. Hmail
4. DHCP
5. Clix2 IP 주소 할당
6. 썬더버드

================

//////////////////////////// AD 환경 구성할 때.., 내일 하나?

srvx1
- Router

memx1
- AD 환경 (memx1)
  AD 계정명이 DNS 관리자에 주영역으로 만들어짐
- DNS
- Hmail
- DHCP (relay-agent)

clix1
- ip주소 자동 할당
- memx1에서 구성해놓은 도메인에 맴버 컴퓨터로 가입, 썬더버드

================

srvx2
- Router

memx2
- AD 환경 (memx2)
  AD 계정명이 DNS 관리자에 주영역으로 만들어짐
- DNS
- Hmail
- DHCP relay-agent

clix2
- ip주소 자동 할당
- memx1에서 구성해놓은 도메인에 맴버 컴퓨터로 가입, 썬더버드
 

* 진도

* 실습 파일

// 실습하기 이전 상태

0328_test4.gns3

* 개념

Access Control List(ACL), access list --> 접근제어목록

ACL은 access control list 의 약자이며 한글로는 접근제어목록 이라고도 한다
네트워크가 구분이 되어있는 구간에 대해서 사용이 가능하며 특정 포트 또는 구간에 대하여
주소,포트번호,옵션,프로토콜등을 구분하여 허가하거나 거부하는 리스트를 생성하여
인터페이스에 적용하는 방법으로 일종의 방화벽 역할을 하기도 한다

cf. 구글링 : Access Control List 몇 계층?

1> 특징

① 특정 트래픽 제어[permit | deny] --> 방화벽
② 정책 대상 지정
  ex> 인천 서구에 사는 30개월 미만의 아동들에게 인근 도서관에서 책가방 공짜
 - 정책 적용 대상 : 30개월 미만 아동들 ==> acl
 - 정책 적용 인터페이스 : 인천 서구 / 인근 도서관 /// R1_fa0/0
 - 정책 문법 : 책가방 공짜 ==> nat, class-map

③ layer 3 이상에서 제어 (ip address, tcp/udp port, icmp...)

2> 종류

standard acl (표준 access list) :
- 기본적인 액세스 제어, IP Packet의 source address(출발지 주소)만 검사하여 제어, L3 장비에서 적용
- 출발지 ip 주소를 근거로 permit|deny 상세 설정 불가/신속한 설정
- ACL Number : 1 ~ 99, 확장: 1300 ~ 1699   // numbered acl (수정, 추가, 삭제 × 처음부터 다시)
                                                          // named acl (수정, 추가, 삭제 ○)
  
extend acl (확장 access list) :
- IP Packet의 source, destination address, Protocol을 검사하여 제어, L3 장비에서 적용.
- 출발지/목적지, protocol
- 특정 프로토콜, 포트번호 등 여러 매게 변수 사용.
- ACL Number : 100 ~ 199, 확장: 2000 ~ 2699

* ping  vs. traceroute

ping, traceroute => ICMP
echo => ping

- traceroute : 패킷이 가는 경로 보여줌
- ping : 통신 유무 확인 가능

* 실습

1> 실습 전

!Check List!

① show ip int brief
② 인접핑  // traceroute IP
  s1
 ping 22.1.1.1/
③ show ip route

cf. show ip int b

R1#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            11.1.1.254      YES NVRAM  up                    up     
FastEthernet0/1            1.1.12.1        YES NVRAM  up                    up     
Loopback1                  1.1.1.1         YES NVRAM  up                    up 

의미 ???
- status
- protocol

2> 실습

standard acl (표준 access list)

R3_fa0/0 --> inbound -- 1
R3_fa0/1 --> outbound

S1에서 시작한 주소 (11.1.1.1/32, 11.1.1.0/24, 11.1.0.0/16, 11.0.0.0/8)

R3
conf t
access-list [숫자] 3 [permit | deny] deny [so_ip] 11.1.1.1 [wildcard]0.0.0.0 [옵션]
-> access-list 3 deny 11.1.1.1 0.0.0.0
   --> access-list 3 deny host 11.1.1.1
   --> access-list 3 deny 11.1.1.1

int fa 0/0
ip access-group 3 in
end

R3
conf t   --> syslog udp 514 *****
logging on
logging host 7.7.7.7
logging trap 7 ---> trap [0-7] -> 0-4 심가 5-7 일반
no logging console ***

access-list 3 deny 11.1.1.1 0.0.0.0
access-list 3 permit any     // 이 외의것은 허용
// ↑ 안 써주면, 암묵적 거부 : access-list 3 deny any ****
int fa 0/0
ip access-group 3 in
end

11.1.1.2???

--------------------------

[gns3]

// 동영상 1 참고!

// S1
S1#ping 22.1.1.1 repeat 100000

Type escape sequence to abort.
Sending 100000, 100-byte ICMP Echos to 22.1.1.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

// R3
R3#
R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#
R3(config)#access-list 3 deny 11.1.1.1 0.0.0.0    // 해당 네트웍 주소 거부
R3(config)#
R3(config)#int fa 0/0    
R3(config-if)#
R3(config-if)#ip access-group 3 in

// S1
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

//R3
R3(config-if)#no ip access-group 3 in
R3(config-if)#

// S1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

// R3
R3(config-if)#ip access-group 3 in  
R3(config-if)#
R3(config-if)#end

// S1
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

===========================

// ip 변경, access-list 조정

// S1

S1#
S1#conf t

S1(config)#int f0/0                      
S1(config-if)#ip address 11.1.1.2 255.255.255.0
S1(config-if)#
S1(config-if)#no shutdown
S1(config-if)#
S1(config-if)#end                             
S1#ping 22.1.1.1 repeat 100000
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

// R3

R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#

R3(config)#access-list 3 permit any        // 위에서 거부한 것 외에 나머지 허용
R3(config)#end

// S1
UU!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!                      // ping 다시 되는 것 확인 가능

// R3

R3#show ip access-lists
Standard IP access list 3
    10 deny   11.1.1.1 (39851 matches)
    20 permit any (245 matches)

// S1
S1#ping 1.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/9/12 ms
S1#ping 2.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/20/32 ms
S1#ping 3.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.1.1.1, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)
S1#
S1#ping 3.1.1.1    // R3> .3에서 차단했으므로 안됨

// access-list 변경

// R3

R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#
R3(config)#int fa 0/0
R3(config-if)#
R3(config-if)#no ip access-group 3 in
R3(config-if)#
R3(config-if)#exit
R3(config)#
R3(config)#int fa 0/1
R3(config-if)#
R3(config-if)#ip access-group 3 out

R3#show run int fa 0/1    // 설정 확인
Building configuration...

Current configuration : 116 bytes
!
interface FastEthernet0/1
 ip address 1.1.34.3 255.255.255.0
 ip access-group 3 out
 duplex auto
 speed auto
end

========================

========================

========================

standard acl (표준 access list) :

// numbered

access-list 2 permit 1.1.1.1
access-list 2 permit 2.1.1.1
access-list 2 permit 3.1.1.1
access-list 2 permit 4.1.1.1
access-list 2 permit 5.1.1.1
access-list 2 permit 6.1.1.1
access-list 2 permit 7.1.1.1
...R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#
R3(config)#access-list 3 per
R3(config)#access-list 3 permit any
R3(config)#end

1번째 줄. 문법을 수정하고 싶다. XXXX
conf t
no access-list 2  // 모든 acl 2번은 삭제
access-list 2 permit 1.1.2.1  // 첫번째 줄 수정
access-list 2 permit 2.1.1.1
access-list 2 permit 3.1.1.1
access-list 2 permit 4.1.1.1
access-list 2 permit 5.1.1.1
access-list 2 permit 6.1.1.1
access-list 2 permit 7.1.1.1
...

2번째 줄과 3번째 줄 사이에 새 명령어 추가 XXXX
==>  전부 지우고 처음부터 다시!

=======================

// named

conf t
ip access-list standard(extend) CCC(적당한 이름)

permit 1.1.1.1
permit 2.1.1.1
permit 3.1.1.1
permit 4.1.1.1
permit 5.1.1.1
permit 6.1.1.1
permit 7.1.1.1
...
1번째 줄. 문법을 수정하고 싶다. OK

ip access-list standard CCC
no 10 <-  첫 줄 삭제된다.
10 permit 1.1.5.1 <--  첫 줄에 추가된다.

2번째 줄과 3번째 줄 사이에 새 명령어 추가 ok
ip access-list standard CCC
25 permit 3.4.5.6

표준 ANSI
- 예약어 금지

<실습 2>

s1
conf t
access-list ?
access-list 2 remark boss_ip  // 주석문 달기 : remark
end
show run | in remark

conf t
int fa 0/1
description boss_pc_connect
end

show interfaces description

--------------------------------------

[gns3]

S1#
S1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#
S1(config)#int fa 0/1
S1(config-if)#
S1(config-if)#description boss_pc_connect
S1(config-if)#end
S1#
S1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#
*Mar  1 01:38:13.451: %SYS-5-CONFIG_I: Configured from console by console
S1(config)#end    
S1#show interfaces description
Interface                      Status         Protocol Description
Fa0/0                          up             up      
Fa0/1                          admin down     down     boss_pc_connect
S1#

// access-list 삭제

R3
R3#show run | in access-list
access-list 3 deny   11.1.1.1   // 얘내 복사
access-list 3 permit any
R3#
R3#
R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#
R3(config)#no access-list 3 deny   11.1.1.1    // 붙여넣기> Ctrl + a 하면 맨 앞으로 커서 감
R3(config)#no access-list 3 permit any
R3(config)#
R3(config)#end
R3#show run | in access-list
*Mar  1 01:50:08.795: %SYS-5-CONFIG_I: Configured from console by console
R3#show run | in access-list
R3#
R3#

=========================
<실습 3>

extend acl (확장 access list) :

R1_fa0/1 <-- outbound

1)
S1에서 출발해서 S2로 가는 icmp_echo [ping] 차단
S1에서 출발해서 R5_lo5로 가는 icmp_echo [ping] 허가
2)
S1에서 출발해서 R4_lo4로 가는 telnet [ping] 차단 [23]
S1에서 출발해서 R3_lo3로 가는 telnet [ping] 허가
3)
S1에서 출발해서 R2_lo2로 가는 http 차단 [80]
S1에서 출발해서 S2로 가는 ssl 허가  [443] // 복잡해서 생략! sdm 올리고 인증서 어쩌구???
4)
S1에서 출발해서 R5_lo5로 가는 ssh 허가  [22]
S1에서 출발해서 R4_lo4로 가는 ssh 차단
5)
S1에서 출발해서 R3_lo3로 가는 ftp 차단  ***[20, 21]

// numbered

R1
conf t
1)
access-list [숫자] 100 [permit|deny] deny [protocol] icmp [so_ip] 11.1.1.0 [wildcard]
 0.0.0.255 [de_ip] 22.1.1.0 [wildcard] 0.0.0.255 [옵션] 생략
--> access-list 100 deny icmp 11.1.1.0 0.0.0.255 22.1.1.0 0.0.0.255
--> access-list 100 permit icmp 11.1.1.0 0.0.0.255 5.1.1.0 0.0.0.255

2)
access-list [숫자] 100 [permit|deny] deny [protocol] tcp [so_ip] 11.1.1.0 [wildcard]
 0.0.0.255 [de_ip] 22.1.1.0 [wildcard] 0.0.0.255 [옵션] eq 23  //telnet : 23
--> access-list 100 deny tcp 11.1.1.0 0.0.0.255 4.1.1.0 0.0.0.255 eq 23
--> access-list 100 permit tcp 11.1.1.0 0.0.0.255 3.1.1.0 0.0.0.255 eq 23
3)
--> access-list 100 deny tcp 11.1.1.0 0.0.0.255 2.1.1.0 0.0.0.255 eq 80
--> access-list 100 permit tcp 11.1.1.0 0.0.0.255 22.1.1.0 0.0.0.255 eq 443
4)
--> access-list 100 permit tcp 11.1.1.0 0.0.0.255 5.1.1.0 0.0.0.255 eq 22
--> access-list 100 deny tcp 11.1.1.0 0.0.0.255 4.1.1.0 0.0.0.255 eq 22
5)
--> access-list 100 deny tcp 11.1.1.0 0.0.0.255 3.1.1.0 0.0.0.255 range 20 21
          eq 20 | eq 21
    access-list 100 permit ip any any ****** 이거 나머지는 허용

[gns3]

// numbered

// R1
int fa 0/1
ip access-group 100 out
end
conf t
// 위에 1) ~ 5) 까지 모두 쳐줄것!
show run | in access-list
show run int fa 0/1

[확인]
s1# ping 22.1.1.1
R1# show ip access-lists 100

s1# ping 5.1.1.1
R1# show ip access-lists

-----------------------------

// R3, R4 (telnet 만들기; )
R3/4
conf t
username admin privilege 15 password cisco
line vty 0 4
login local
end

// 확인

//S1  
telnet 4.1.1.1 // deny
//R1
show ip access-lists
//S1
telnet 3.1.1.1 // permit
//R1
show ip access-lists

-----------------------------

// R2 (http 만들기; 80)

conf t
username admin privilege 15 password cisco
ip http server
ip http authentication local

// 확인

//S1  
telnet 2.1.1.1 80 //80 http(web)
//R1
show ip access-lists

-----------------------------

// R5 (ssh 만들기; 22)

// key 만들기
conf t
ho xxx -- 1
ip domain name junga.com --2
crypto key generate rsa modulus 1024 --- 3

username admin privilege 15 password cisco *****

ip ssh version 2 -- 4 옵션
line vty 0 4
transport input ssh
login local
end

// 확인

//S1
ssh -c aes128-cbc -l admin - v 2 5.1.1.1
//R1
show ip access-lists

-----------------------------

// R4 (ssh 만들기; 22)

// key 만들기
conf t
ho xxx -- 1
ip domain name junga.com --2
crypto key generate rsa modulus 1024 --- 3

username admin privilege 15 password cisco *****

ip ssh version 2 -- 4 옵션
line vty 0 4
transport input ssh
login local
end

// 확인

//S1
ssh -c aes128-cbc -l admin - v 2 5.1.1.1
//R1
show ip access-lists

===============

// named

R1
conf t
ip access-list extend TEST

deny icmp 11.1.1.0 0.0.0.255 22.1.1.0 0.0.0.255
permit icmp 11.1.1.0 0.0.0.255 5.1.1.0 0.0.0.255

deny tcp 11.1.1.0 0.0.0.255 4.1.1.0 0.0.0.255 eq 23
permit tcp 11.1.1.0 0.0.0.255 3.1.1.0 0.0.0.255 eq 23

deny tcp 11.1.1.0 0.0.0.255 2.1.1.0 0.0.0.255 eq 80
permit tcp 11.1.1.0 0.0.0.255 22.1.1.0 0.0.0.255 eq 443

permit tcp 11.1.1.0 0.0.0.255 5.1.1.0 0.0.0.255 eq 22
deny tcp 11.1.1.0 0.0.0.255 4.1.1.0 0.0.0.255 eq 22

deny tcp 11.1.1.0 0.0.0.255 3.1.1.0 0.0.0.255 range 20 21
permit ip any any // 이거 나머지는 허용

=================

*** CCNA 시험 문제
D:\3월 네트웍기초 서정아\수업자료\덤프\NA덤프_샘플\CCNA시뮬레이션

=> CCNA_Simulation_ACL.pkt     //  실습 파일

CCNA_Simulation_ACL.pkt

=> acl_dump.mp4 동영상 참조   // 풀이 동영상

R2_Fa0/1 out
conf t
access-list 100 permit host 192.168.240.3 host 172.22.242.23 eq 80
access-list 100 deny tcp any host 172.22.242.23 eq 80
access-list 100 permit ip any any

int fa 0/1
ip access-group 100 out
end

Desktop192.

순서는 작은것부터 먼저 적용
송명석 permit
송씨 drop

...

D:\송영석강사\CCNA자료\15년NA동영상

* 실습 pg

   hMailServer-5.6-B2145.exe   

+ Thunderbird Setup 31.3.0.exe

* 메일 서버 구축

- 작업 순서 

1> 관련 pg 설치
hMailServer-5.6-B2145.exe    // 메일 서버 구축 
Thunderbird Setup 31.3.0.exe // 메일 전송 클라이언트용 pg

=> srv12, mem12에 복.붙

2> D:\ 에 cd 들어가 있는지 확인!

// 없으면 windows12 cd 삽입

// VM Settings> [CD/DVD] >  Connected 체크, use ISO image file: 에서 파일 다시 삽입!

3> 서버관리자에서 다음 pg들 설치
=> srv12, mem12 둘다 똑같이 설치!

=> DNS ★★★
따로 따로 설치!!!

설치 후
대체 원본 경로 지정 클릭
경로: D:\Sources\Sxs\   // cd가 들어가 있는 장치가 D:\임!
=> Netframework 3.5 ★★★
설치

4> DNS 구성 [srv12]

1) srv12 : 정방향 조회
itbank12.edu

2) A레코드 추가  : IP 주소만 => 10.0.12.110

3) MX 추가
메일 주소가 어디있다!
얘를 만드려면, A 레코드가 필요함

5> [mem12]

1) 정방향 : itbank1200.edu
2) A 레코드 : IP 주소만 => 10.0.12.130
3) ncpa.cpl : 도메인 네임 자기 자신으로 인식하기 위해서
기본설정 DNS 서버를 자기자신으로 바꾸기!
=> 10.0.12.130

6> srv12, mem12 둘다 조건부 전달자 추가

=> 서로 도메인 네임 인식 가능해짐

======================= DNS 구축

7> srv12 => hMailServer-5.6-B2145.exe 설치
동의> pwd : P@$$w0rd
한타로 됨??? -.,
> localhost 클릭 , pwd 입력!!!
> 계정 등록
...
> pwd 입력 후 > save (S********8)

도메인 등록
계정 등록
Auto-ban 풀어주기

7-2> mem12도 7> 해주기!

======================= 메일 서버 구축

8> Thunderbird Setup 31.3.0.exe 설치

s1@itbank12.edu
m1@itbank1200.edu

======================= 메일 전송 pg 설치 및 셋팅

* 개념 정리

>itbank1200.edu => 조건부 전달자
>A, MX를 가지고 메일 주소, 메일 서버 분석
>메일서버에서 먼저 받은 후
> client 에게 전달해줌 //받기 버튼 누를 때

전송: SMTP,
수신: POP3

* 실습1- 메일서버 구축

[srv12] => dns 구축

1> 라우팅
2> dns 구축
- 주 영역 추가
- A 호스트 추가 : 메일 서버가 있는 곳으로! (mem12)
- 조건부 전달자 추가 : srv13

=> [srv13] 도 동일하게 해주기!

[mem12] => 메일 서버 구축

0> Netframework 3.5 설치! // D:\에 window CD 있는지 확인!
1> hMailServer-5.6 설치
2> 메일 서버 셋팅

=> [mem13] 도 동일하게 해주기!

==> itbank12.edu, itbank13.edu
도메인 서로 전달 되는지 ping  test!!

[cli12] => 메일 전송 pg 설치 및 셋팅
0> 기본 설정 DNS는 DNS 서버가 구축 된 곳으로 하는 게 맞음!!!

* 실습2- 인터넷 연결

[srv12] => dns 구축

0> Eth0 : DHCP로 변경
1> NAT 추가
- Eth0 : 공용, Eth1 : 개인

[mem12] => 메일 서버 구축

[cli12] => 메일 전송 pg 설치 및 셋팅

1> 보조 DNS 추가
2> [srv12] 캐쉬 지워주고, cmd> ipconfig /flushdns 해주고 나서 메일계정 다시 접속 ★★★★★

<실습 1> 전달자, cache-only 루트힌트 실습

* 작업순서
전달자
전달자 지우고 루트힌트

* 메뉴

전달자 : srv1 클릭> 루트힌트, 다 지우기., 뭘?

루트힌트 : srv1 클릭> 전달자

* 실습순서

① srvx1 : DNS, Router 설치 / srvx2 : DNS, Router / memx2 : IIS 설치

② srvx1, xrvx2 : routing

③ srvx1, srvx2 : dns 주 영역 추가 / memx2 : index.html 설정(그림파일은 안됨 -.,-)

④ srvx1 : 전달자 추가

⑤ memx1 : Test 

> ping www.naver.com // 웹 서버가 없는 곳에서

// 서버 캐쉬 지우고 ← srvx1

> ipconfig /flushdns ← memx1

④ srvx1 : 루트 힌트 추가

⑤ memx1 : Test  ping www.naver.com // 웹 서버가 없는 곳에서

// 서버 캐쉬 지우고 ← srvx1

> ipconfig /flushdns ← memx1

※ 라운드 로빈

: s/w적 네트워크 부하분산

조건
호스트 네임이 동일해야..,(www == www)

* 라운드 로빈 2

적용 순서
① 넷마스크 우선순위 적용
② 라운드 로빈

* 라운드 로빈 실습

1> 테스트 방법
                                            ↓IIS 서비스
멤버에서 인터넷 키고 => srvx1 웹 서버 연결되는지 테스트
멤버에서 인터넷 키고 => srvx2 웹 서버 연결되는지 테스트
부하분산 테스트

! Check

- 넷마스크 우선순위 꺼주기

- 캐시 무조건 지우기 !!! (cmd> ipconfig /flushdns   // mem13에서 (Cli PC))

2> 작업 순서

[srvx1]

1) routing
[라우팅 및 원격 액세스] > >route add -p 10.0.13.0 mask 255.255.255.0 172.16.0.13
3) ping 테스트! ????
5) 넷마스크 우선순위 꺼주기
[DNS]> SRV12 오.버> 속성> 고급 탭 : ■ 네트워크 마스크 순서 사용 꺼주기!

[srvx2]

2)  routing
[라우팅 및 원격 액세스] > >route add -p 10.0.12.0 mask 255.255.255.0 172.16.0.12
4) ping 테스트!
6) mem13에서 테스트
=> www.naver.com>
[cmd] ipconfig /flushdns
=> 새 창 키고> www.naver.com>

=======================================

※ 하위 도메인, 영역 위임

1> 개념

- 하위 도메인 : 내가 관리
- 영역 위임 : 남이 관리

2> 실습

① 방법

- 하위 : naver.com 오.버> 새 도메인> 또 A레코드 생성 가능!
- 위임 :
[srvx1]
새 위임> usx1> 위임 대상 추가: srvx2(fqdn) / 172.16.0.13
[srvx2]
정방향 조회, 주, 새 영역 하나 추가 해줘야..,
ip 주소도 맵핑!

② 작업 순서

[srvx1]
1) routing, ping test
3) dns 새영역 추가: 주, w 레코드 추가 => ping 테스트!
5) 하위 영역 추가 => ping 테스트!
7) 위임 추가
8-2) srvx2 위임 주소 정방향 추가 => mem13에서 ping 테스트!

[srvx2]
2) routing, ping test
4) dns 새영역 추가: 주, w 레코드 추가
6) 하위 영역 추가 => ping 테스트!
7-2) srvx1 위임 주소 정방향 추가 => mem12에서 ping 테스트!
8) 위임 추가

================

// mem13 Test

위임의 경우 양쪽에 다 해줬기 때문에 한 cli에서 2개의 domain 모두 ping~!!!

* 강사님 정리 노트 :

* 실습 파일 :

0322_test2.gns3

* 현재 진도

* Port number

console 접속
remote 접속 [ip통신]
 평문  암호문
CLI telnet [tcp23] ssh [tcp22]
GUI  http [tcp80] ssl [tcp443] *

* Review

R1
conf t
ho xx
int f 0/0
no shut
ip add 10.1.1.1 255.255.255.0
end

R2
conf t
ho aa
int f 0/0
no shut
ip add 10.1.1.2 255.255.255.0
exi

R3
conf t
ho song
int f 0/0
no shut
ip add 10.1.1.3 255.255.255.0
exi
int fa 0/1
no shut
ip add  dhcp
end

R1/2/3/
show ip int brief
show cdp nei
인접핑

* Http

1) [R1]
http 접속
계정 생성
http 인증

configure terminal
ip http server
username admin privilege 15 password cisco             
ip http authentication local

2) [VMware]
internet exploer> 10.1.1.11> admin/cisco

-------------------------------

// 1) [R1]

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#

// http 접속
R1(config)#ip http server
R1(config)#

// 계정 생성
R1(config)#username admin privilege 15 password cisco
R1(config)#
R1(config)#
R1(config)#ip http ?
  access-class                   Restrict http server access by access-class
  active-session-modules         Set up active http server session modules
  authentication                 Set http server authentication method
  client                         Set http client parameters
  help-path                      HTML help root URL
  max-connections                Set maximum number of concurrent http server
                                 connections
  path                           Set base path for HTML
  port                           Set http port
  secure-active-session-modules  Set up active http secure server session
                                 modules
  secure-ciphersuite             Set http secure server ciphersuite
  secure-client-auth             Set http secure server with client
                                 authentication
  secure-port                    Set http secure server port number for
                                 listening
  secure-server                  Enable HTTP secure server
  secure-trustpoint              Set http secure server certificate trustpoint
  server                         Enable http server
  session-module-list            Set up a http(s) server session module list
  timeout-policy                 Set http server time-out policy parameters

// http 인증
R1(config)#ip http authentication ?
  aaa     Use AAA access control methods
  enable  Use enable passwords
  local   Use local username and passwords

R1(config)#ip http authentication local

// 2) [VMware]
// internet exploer> 10.1.1.11> admin/cisco

* Https (보안 웹)

1) [VMware]
C:\Documents and Settings\Administrator\바탕 화면\다운받기\SDM-V25
=> setup.exe  설치

2-1) 폴더옵션> 보기> 알려진 파일 형식의 파일 확장명 숨기기 해제,
                 > 숨김 파일 및 폴더 표시 체크
2) C:\Program Files\Cisco Systems\Cisco SDM\common\common
=> runAPP.shtml => runAPP.html  //확장자에서 s 지우기!
=> launchTask.html 파일 들어가서 shtml> html로 바꾸기!

3) R2 작업

conf t
no ip http server
ip http secure-server
username admin privilege 15 password cisco
ip http authentication local

4)[VMware] Cisco SDM 실행
> 차단된 콘텐츠 허용
> admin/cisco

5) R2 작업

6) [VMwre] https 그래픽 접속 설치 방법
Cisco SDM> Configure 에서 진행

-------------------------------

// 1) [VMware]
C:\Documents and Settings\Administrator\바탕 화면\다운받기\SDM-V25
=> setup.exe  설치

// 2) C:\Program Files\Cisco Systems\Cisco SDM\common\common
// => runAPP.shtml => runAPP.html  //확장자에서 s 지우기!
// => launchTask.html 파일 들어가서 shtml> html로 바꾸기!

// 3) R2 작업

// 4)[VMware] Cisco SDM 실행
// > 차단된 콘텐츠 허용
// > admin/cisco

// 5) R2 작업

R2#wr
Building configuration...
[OK]
R2#
R2#dir nvram:
Directory of nvram:/

  249  -rw-        1264                    <no date>  startup-config
  250  ----        1939                    <no date>  private-config
    1  ----          15                    <no date>  persistent-data
    2  -rw-         574                    <no date>  IOS-Self-Sig#1.cer
    3  -rw-           0                    <no date>  ifIndex-table

260088 bytes total (253761 bytes free)
R2#
R2#more nvram:IOS-Self-Sig#1.cer
0^B^B:0^B^A# ^C^B^A^B^B^A^A0
^F      *^FH^Fw
^A^A^D^E^@011/0-^F^CU^D^C^S&IOS-Self-Signed-Certificate-42792565170^^^W
020301010627Z^W
200101000000Z011/0-^F^CU^D^C^S&IOS-Self-Signed-Certificate-42792565170^A^_0
^F      *^FH^Fw
^A^A^A^E^@^C^A
^@0^A   ^B^A^A^@0U^N}^K^VN^_^UGwR^[o'mE^E^[^Ur4XG61;^YA^O0IZxNeLj
^P      ]%\y^AT!|^[^EPn
^C^]xl#*9<jbNbLX^N4=^B^_^_-ik%}^^K^_^@^QD^}IM^Z>DZ;2^Tw^!5P^Od2%%5C1^AGa)KK}|^^y?I(     ^B^C^A^@^A#b0`0^O^F^CU^]^S^A^A^D^E0^C^A^A0
^F^CU^]^Q^D^F0^D^B^BR20^_^F^CU^]#^D^X0^V^@^T>f:^L3yk?^X|es-/,;6^^T0^]^F^CU^]^N^D^V^D^T>f:^L3yk?^X|es-/,;6^^T0
^F      *^FH^Fw
^A^A^D^E^@^C^A^A^@P%!e0^QxGz|   .^X^C
7w^FS^KMW#?^Xp8^^^.-uhm`ZBU
P^T$dce]UAH8^PhRIil\ajK(^Cy5^O^NqEg^A^^}^@:=jv=^U
^Qmj}^_/ZO^_^YvVUQ]W$^B I^DPzbU@:^\^S}^Pn^\Xj>;n?+Tt+w
R2#
  

// 6) [VMwre] https 그래픽 접속 설치 방법
// Cisco SDM> Configure 에서 진행

R2#show ip interface brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            10.1.1.22       YES NVRAM  up                    up     
FastEthernet0/1            7.7.7.7         YES TFTP   up                    up   

* ntp 서버

1) R3 작업

R3
conf t
int fa 0/1
no shut
ip add dhcp
end
show ip int b

2) ntp 서버로 지정된 R3 에서 R1, R2 시간 받아오기

Rx
conf t
ntp server time.nist.gov
end
show run | in ntp
conf t
no ntp server

// 3) pc 시간도 셋팅 해주기!
=> [VMware]> 작업표시줄 시계 클릭> 인터넷 시간에서 서버: R3로 셋팅!

원자시계 → NTP 서버 → NTP client
NTP : UDP 123 /

------------------------------------------

// 1) R3 작업

R3#
R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#
R3(config)#interface fastEthernet 0/1
R3(config-if)#no shut
R3(config-if)#
R3(config-if)#ip address dhcp
R3(config-if)#
R3(config-if)#end
R3#
R3#
Mar 26 01:54:51.520: %SYS-5-CONFIG_I: Configured from console by console
R3#
Mar 26 01:54:54.532: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/1 assigned DHCP address 192.168.0.242, mask 255.255.255.0, hostname R3

R3#
R3#show ip interface brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            10.1.1.33       YES NVRAM  up                    up     
FastEthernet0/1            192.168.0.242   YES DHCP   up                    up     
R3#
R3#ping 8.8.8.8

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R3#
R3#traceroute 8.8.8.8

Type escape sequence to abort.
Tracing the route to google-public-dns-a.google.com (8.8.8.8)

  1 192.168.0.1 8 msec 8 msec 12 msec
  2  *  *  *
  3  *  *  *
  4 112.190.32.9 4 msec
    112.190.32.5 12 msec
    112.190.32.9 12 msec
  5 112.174.104.189 16 msec 16 msec 8 msec
  6 112.174.7.34 8 msec 8 msec 8 msec
  7 72.14.194.194 40 msec 40 msec 40 msec
  8  *  *  *
  9 209.85.243.241 40 msec
    108.170.238.73 48 msec
    209.85.143.75 32 msec
 10 google-public-dns-a.google.com (8.8.8.8) 40 msec 40 msec 44 msec
R3#
R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#
R3(config)#ip domain lookup
R3(config)#
R3(config)#end
R3#
R3#show dhcp server
   DHCP server: ANY (255.255.255.255)
    Leases:   4
    Offers:   2      Requests: 2     Acks : 2     Naks: 0
    Declines: 0      Releases: 3     Query: 0     Bad: 0
    DNS0:   168.126.63.1,   DNS1:  168.126.63.2
    Subnet: 255.255.255.0

R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#
R3(config)#ntp server 3.asia.pool.ntp.org
Translating "3.asia.pool.ntp.org"...domain server (168.126.63.1) [OK]

R3(config)#
R3(config)#end
R3#show running-config
Building configuration...

Current configuration : 1539 bytes
!
! Last configuration change at 11:01:11 kor Mon Mar 26 2018
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
clock timezone kor 9
no ip icmp rate-limit unreachable
!
!
ip cef
ip domain name junga.com
         
R3#
R3#show run | in ntp
ntp clock-period 17179843
ntp server 82.200.209.194
ntp server 94.237.64.20
R3#
// R3(config)#clock timezone kor +9
R3#show clock
11:01:38.416 kor Mon Mar 26 2018

// 2) ntp 서버로 지정된 R3 에서 R1, R2 시간 받아오기

[R1]

R1(config)#ntp server 10.1.1.33    
R1(config)#
R1(config)#end
R1#show clock
02:15:43.043 UTC Mon Mar 26 2018
R1#conf t                 
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#clock timezone kor +9
R1(config)#
R1(config)#
Mar 26 02:20:36.419: %SYS-6-CLOCKUPDATE: System clock has been updated from 02:29:36 kor Mon Mar 26 2018 to 11:20:36 kor Mon Mar 26 2018, configured from console by console.
R1(config)#end
R1#
R1#
Mar 26 02:20:39.735: %SYS-5-CONFIG_I: Configured from console by console
R1#show clock
11:20:44.683 kor Mon Mar 26 2018
R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
R1(config)#no ntp server

[R2]

R2(config)#ntp server 10.1.1.33
R2(config)#end
R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#
R2(config)#clock timezone kor +9
R2(config)#
Mar 26 02:20:54.886: %SYS-6-CLOCKUPDATE: System clock has been updated from 02:29:54 kor Mon Mar 26 2018 to 11:20:54 kor Mon Mar 26 2018, configured from console by console.
R2(config)#end
R2#
R2#show clock
11:20:59.886 kor Mon Mar 26 2018
R2#
R2#
R2#
R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#no ntp server
% Incomplete command.

// 3) pc 시간도 셋팅 해주기!
=> [VMware]> 작업표시줄 시계 클릭> 인터넷 시간에서 서버: R3로 셋팅!

* syslog

log 전송해주는 protocol = syslog [UDP 514]
log 등급 [0-7] / 0-4 심각 / 5-7 일반

[gns3]
1) R1 : syslog
2) host pc => server로 변경
   오.버> change symbol > server로 변경

[VMware]
3) C:\Documents and Settings\Administrator\바탕 화면\다운받기
=> Kiwi_Syslog_Server_8.3.52.exe 설치  // 얘는 허접한 pg ㅋㅋ. solarwins 추천!!!
4) 윈도우 방화벽: 사용안함 설정

[gns3]
5) R1 설정

------------------------------------------

// [gns3]
// 1) R1 : syslog
// 2) host pc => server로 변경
//    오.버> change symbol > server로 변경

// [VMware]
// 3) C:\Documents and Settings\Administrator\바탕 화면\다운받기
// => Kiwi_Syslog_Server_8.3.52.exe 설치  // 얘는 허접한 pg ㅋㅋ. solarwins 추천!!!
// 4)[제어판] 윈도우 방화벽: 사용안함 설정

// [gns3]
// 5) R1 설정

R1#
R1#conf t
R1(config)#
R1(config)#
R1(config)#syslo?
% Unrecognized command
R1(config)#    
R1(config)#ud?
% Unrecognized command
R1(config)# 
R1(config)#logg?
logging 

R1(config)#logging on
R1(config)#
R1(config)#logging ?   
  Hostname or A.B.C.D  IP address of the logging host
  buffered             Set buffered logging parameters
  buginf               Enable buginf logging for debugging
  cns-events           Set CNS Event logging level
  console              Set console logging parameters
  count                Count every log message and timestamp last occurrence
  discriminator        Create or modify a message discriminator
  dmvpn                DMVPN Configuration
  esm                  Set ESM filter restrictions
  exception            Limit size of exception flush output
  facility             Facility parameter for syslog messages
  filter               Specify logging filter
  history              Configure syslog history table
  host                 Set syslog server IP address and parameters
  message-counter      Configure log message to include certain counter value
  monitor              Set terminal line (monitor) logging parameters
  on                   Enable logging to all enabled destinations
  origin-id            Add origin ID to syslog messages
  persistent           Set persistent logging parameters
  queue-limit          Set logger message queue size
  rate-limit           Set messages per second limit
  reload               Set reload logging level
  server-arp           Enable sending ARP requests for syslog servers when
                       first configured
  source-interface     Specify interface for source address in logging
                       transactions
  trap                 Set syslog server logging level
  userinfo             Enable logging of user info on privileged mode enabling
R1(config)#logging trap ?
  <0-7>          Logging severity level
  alerts         Immediate action needed           (severity=1)
  critical       Critical conditions               (severity=2)
  debugging      Debugging messages                (severity=7)
  emergencies    System is unusable                (severity=0)
  errors         Error conditions                  (severity=3)
  informational  Informational messages            (severity=6)
  notifications  Normal but significant conditions (severity=5)
  warnings       Warning conditions                (severity=4)
  <cr>

R1(config)#logging trap 7
R1(config)#
R1(config)#logging host 10.1.1.100
R1(config)#
R1(config)#no logging cons   
R1(config)#no logging console ***** // log를 서버에 뿌려주세용~
R1(config)#

[R2]

R2#ping 10.1.1.11 repeat 10 

Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 10.1.1.11, timeout is 2 seconds:
...!!!.!.!
Success rate is 50 percent (5/10), round-trip min/avg/max = 108/113/128 ms

※ DNS 2

* DNS 관련 메뉴창

1> 서버관리자 > dns 서버 설치

2> 관리도구> DNS

   - SRV12 오.버> 속성
     - [인터페이스] ip 체크 => 바인딩 속성
     - [고급] : 라운드 로빈 사용, 네트워크 마스크 순서 사용
     - [루트 힌트] : 루트 서버 관련? 정의된 도메인
  
     - 전역로그 : 로그 기록
     - SRV12 오.버> 캐시 지우기
     - 보기 탭> 고급 : 캐시된 조회메뉴 새로 생김
   - 서버 캐시 기록

3> 영역 만들기(내가 사온 도메인에 대한 영역 설정)

  dns도 이중화 가능
  main, 보조 구분해줘야..,
  - srv : 주, mem : 보조

* 주 vs. 보조

주 : 영역 만들고 → 보조에게 전달
     => 영역 전송 
보조 : standby

[작업순서]

[srvx1]

1) 주 영역 만들기
2) 보조 영역 만들기
  구축되면, 주 서버가 갖고 있는 레코드가 보조 서버에 자동으로 올라옴

3) A, Cname 레코드 만들기
  - 만들고
  - cmd 테스트
    C:\Users\Administrator>ipconfig /flushdns    // 필수 작업!

// 1) 주 영역 만들기

// 2) 보조 영역 만들기
  구축되면, 주 서버가 갖고 있는 레코드가 보조 서버에 자동으로 올라옴

// 주 영역에서 했던 것과 똑같이 해주면 됨~!

// 3) A, Cname 레코드 만들기
  - 만들고
  - cmd 테스트
    C:\Users\Administrator>ipconfig /flushdns    // 필수 작업!

[cmd]

Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.

C:\Users\Administrator>ipconfig /flushdns        // 필수~!

Windows IP 구성

DNS 확인자 캐시를 플러시했습니다.

C:\Users\Administrator>
C:\Users\Administrator>ipconfig

Windows IP 구성

이더넷 어댑터 Ethernet1:

   연결별 DNS 접미사. . . . :
   링크-로컬 IPv6 주소 . . . . : fe80::a94c:4d94:83ed:4527%14
   IPv4 주소 . . . . . . . . . : 172.16.0.12
   서브넷 마스크 . . . . . . . : 255.255.0.0
   기본 게이트웨이 . . . . . . :

이더넷 어댑터 Ethernet0:

   연결별 DNS 접미사. . . . :
   링크-로컬 IPv6 주소 . . . . : fe80::917f:3374:46fc:2fdd%12
   IPv4 주소 . . . . . . . . . : 10.0.12.110
   서브넷 마스크 . . . . . . . : 255.255.255.0
   기본 게이트웨이 . . . . . . :

터널 어댑터 isatap.{DBCC31F6-DB21-43EA-BBBD-A21506091B9B}:

   미디어 상태 . . . . . . . . : 미디어 연결 끊김
   연결별 DNS 접미사. . . . :

터널 어댑터 isatap.{4EF2D1F3-E9DC-4FE2-A074-23CEABCCF74E}:

   미디어 상태 . . . . . . . . : 미디어 연결 끊김
   연결별 DNS 접미사. . . . :

C:\Users\Administrator>ping www.itbank.edu

Ping www.itbank.edu [10.0.12.110] 32바이트 데이터 사용:
10.0.12.110의 응답: 바이트=32 시간<1ms TTL=128
10.0.12.110의 응답: 바이트=32 시간<1ms TTL=128
10.0.12.110의 응답: 바이트=32 시간<1ms TTL=128
10.0.12.110의 응답: 바이트=32 시간<1ms TTL=128

10.0.12.110에 대한 Ping 통계:
    패킷: 보냄 = 4, 받음 = 4, 손실 = 0 (0% 손실),
왕복 시간(밀리초):
    최소 = 0ms, 최대 = 0ms, 평균 = 0ms

C:\Users\Administrator>ping aaa.itbank.edu

Ping www.itbank.edu [10.0.12.110] 32바이트 데이터 사용:
10.0.12.110의 응답: 바이트=32 시간<1ms TTL=128
10.0.12.110의 응답: 바이트=32 시간<1ms TTL=128
10.0.12.110의 응답: 바이트=32 시간<1ms TTL=128
10.0.12.110의 응답: 바이트=32 시간<1ms TTL=128

10.0.12.110에 대한 Ping 통계:
    패킷: 보냄 = 4, 받음 = 4, 손실 = 0 (0% 손실),
왕복 시간(밀리초):
    최소 = 0ms, 최대 = 0ms, 평균 = 0ms

<실습 1>

- 조건

dns index 1,2 : 순사 맞춰서 입력해주기!

보조에서 영역 전송 구축한 순간 주 서버의 레코드가 자동으로 들어오면 성공!

- Test

mem에서 주로 ping~!
Cache 지우고 주 일시 정지 다시 ping
처음엔 안되는데 보조에서 갖고옴

[srv12]

=> dns-주

1) 새 영역 추가
 - itbank.edu
2) dns 추가
 A-www:10.0.12.110
 A-www:10.0.13.110
3) 영역 전송 허용 : 172.16.0.13

[srv13]

=> dns-보조
1) 새 영역 추가
 - itbank.edu
2) 마스터 DNS 설정 : 172.16.0.12

[MEM13]

=> cli ????

ncpa.cpl>
주 dns : 172.16.0.12    // dns-주
보조 dns: 10.0.13.110   // dns-보조 

*** 빠뜨린거
srv12-srv13 라우팅 해줘야!!!
[srv12]
// 라우팅 pg 설치 후
// cmd
> ip route -p 10.0.13.0 mask 255.255.255.0 172.16.0.13
> route -4 print

[srv13]
// 라우팅 pg 설치 후
// cmd
> ip route -p 10.0.12.0 mask 255.255.255.0 172.16.0.12
> route -4 print

=> 10.0.12.0/24 대 네트웍은 host-only니까 통신하려면 라우팅 필수!
또 mem13에서 ping 때려주는거니까(cli) 라우팅 필요!

안하고도 왜 돌아갔지?
ping 10.0.12.110 (10.0.13.110) // 10.0.x.110 얘내들 ping 통신 될까???
srv12 끄고 돌리면???

<실습 2>
=> wireshark로 ixfr 패킷 확인

위에 <실습1>에 이어서 호스트를 생성시 wireshark> info에 'IXFR' 이라는 패킷이 전송되는 것을 확인 할 수 있다.

이는 주 dns 서버와 보조 dns 서버가 둘 다 생성되 있고 연결전송 되있는 조건에서

호스트나 별칭등을 생성하면(dns record) IXFR 패킷이 전송되는 것을 확인할 수 있다.

그런데 별칭은 패킷을 감지 못했는지 안나옴 -.,-

- DNS AXFR,

- DNS IXFR???

<실습 3>

A, B 회사가 기존에 갖고 있는 DNS 서버 외에 서로의 DNS 정보를 추가로 더 요구할 때 조건부 전달자를 사용한다.

여기서는 보조 dns는 존재하지 않고, A, B 둘다 주 dns 서버이다.

이 후 테스트는 mem13에서할 것!!! (mem12도 됨!)

[작업순서]

[srv12]

=> 주 dns

0) mem13에서 (cli pc) 테스트 하므로 라우팅은 필수!

- 라우팅 pg 설치 및 가동

- [cmd] >route add -p 10.0.13.0 mask 255.255.255.0 172.16.0.13  // 네트워크 영역대!!!

1) 새 영역 추가

[srv13]

=> 주 dns

0) mem13에서 (cli pc) 테스트 하므로 라우팅은 필수!

- 라우팅 pg 설치 및 가동

- [cmd] >route add -p 10.0.13.0 mask 255.255.255.0 172.16.0.13  // 네트워크 영역대!!!

1) 새 영역 추가 - 주 영역
2) A 주소 추가: WWW-10.0.12.110
3) 조건부 전달자 추가 : itbank13.edu, 172.16.0.13

[srv13]

=> 주 dns

0) mem13에서 (cli pc) 테스트 하므로 라우팅은 필수!

- 라우팅 pg 설치 및 가동

- [cmd] >route add -p 10.0.13.0 mask 255.255.255.0 172.16.0.13  // 네트워크 영역대!!!

1) 새 영역 추가
2) A 주소 추가: WWW-10.0.13.110
3) 조건부 전달자 추가 : itbank12.edu, 172.16.0.12

// testing

srv12

srv13 or mem13

srv12

ipcomfig /flushdns

ping www.itbank12.edu
ping www.itbank13.edu