9.9

9.9
OSPF 라우터는 모두 하나씩의 라우터 ID를 갖는데 라우터 ID는 그 라우터의 인터페이스 주소 중 가장 높은 주소가 된다. 만약 Loopback 인터페이스가 설정되어 있다면 Loopback 인터페이스의 주소가 라우터의 ID가 된다. 
OSPF에서 DR이 되기 위해서는 Priority가 높아야 한다. OSPF로 동작하는 라우터들은 모두 Priority를 갖는데 이 값이 디폴트로는 1이다. 
OSPF 라우터에서 링크에 어떤 변화가 생기면 우선 그 네트워크에 있는 DR에게 알리고, DR은 다른 OSPF 라우터에게 알려 각자의 라우팅 테이블을 업데이트한다. DR이 작동하지 않으면 BDR이 DR의 역할을 대신한다.

와일드카드 마스크
서브넷 마스크를 이진수로 바꾸었을 때 1인 부분은 0으로, 0인 부분은 모두 1로 바꾸는 성질이 있다. 서브넷 마스크가 255.255.0.0 이라면 와일드카드 마스크는 0.0.255.255가 된다.

area : OSPF에서는 보다 확장성 있는 라우팅 업데이트를 위해서 사용하는 개념이다. 전체 OSPF 영역을 보다 작은 area 단위로 나누어 그 영역 안에 있는 OSPF 라우터들끼리만 우선 링크 정보를 업데이트 하고, 다른 area와의 통신은 area 사이에 있는 라우터들이 정보를 전달하도록 하는 방식이다. area의 가장 기본은 백본 area라고 불리는 area 0이다. 백본 area를 중심으로 다른 area를 구성 주는 것이 가장 일반적이다.

액세스 리스트
스탠더드 액세스 리스트 : 출입 통제를 할 때 출발지 주소만을 참고함
익스텐디드 액세스 리스트 : 출발지, 목적지, 프로토콜, 사용포트 번호 등을 참고함

Hot Unreachable : 액세스 리스트에 걸려서 못 들어가는 경우 나오는 메시지

액세스 리스트 규칙
1. 윗줄부터 하나씩 차례로 수행한다.
2. 액세스 리스트의 맨 마지막 line에 "permit any"를 넣지 않을 경우는 default로, 어느 액세스 리스트도 match되지 않은 모든 address는 deny 된다.
액세스 리스트 맨 마지막에는 deny all이 생략되어 있다.
3. 액세스 리스트의 새로운 line은 항상 맨 마지막으로 추가되므로 access-list line의 선택적 추가나 제거가 불가능하다.
액세스 리스트에서 중간에 있는 액세스 리스트를 지우려고 하면 모든 액세스 리스트가 다 지워진다.
4. interface에 대한 액세스 리스트의 정의가 되어 있지 않은 경우 (즉 interface에 access-group 명령이 들어 있지 않은 경우) 결과는 permit any가 된다.
인터페이스에 액세스 리스트 명령이 없으면 permit all이다.

Congestion managment
1. 사용자와 어플리케이션에 대한 필터링
2 브로드 캐스트를 막음
3. 타이머 맞춤
4. 라우팅 테이블의 관리

스탠더드 액세스 리스트
Source Address 출발지 주소를 제어한다.
# access-list access-list-number {permit | deny} {source [source-wildcard]} | any}
액세스 리스트는 종류에 따라서 access-list 번확 정해져 있다.
와일드카드 마스크는 0.0.0.0 일 때 생략 가능하다.
출발지 주소를 적어넣지 않고 any라고 하면 모든 주소가 포함된다.
IN OUT

텔넷포트(VTY Port)에서의 액세스 리스트
line vty 0 4
텔넷에 접속하기 위한 가상의 포트는 5개가 있음 텔넷을 들어올 때는 이 포트를 이용해서 들어옴
VTY 포트에 액세스 리스트를 적용하면 텔넷으로 들어오는 소스 주소를 제어할 수 있다.
access-list 10 permit 200.10.0 0.0.0.255
line vty 0 4
access-class 10 in
password cisco
login

익스텐디드 액세스 리스트
스탠더드 액세스 리스트와의 차이점
스탠더드 액세스 리스트는 출발지 주소(source address)만을 제어하는 반면, 익스텐디드 액세스 리스트는 출발지 주소와 목적지 주소(destination address) 모두를 제어할 수 있다.
스탠더드 액세스 리스트는 전체 TCP/IP에 대한 제어만을 하는 반면, 익스텐디드 액세스 리스트는 ip, tcp, udp, icmp 등 특정 프로토콜을 지정해서 제어할 수 있다.
스탠더드 액세스 리스트는 1에서 99까지의 숫자를 Access-list 번호로 사용하고, 익스텐디드 액세스 리스트는 100에서 199까지의 숫자를 Access-list 번호로 사용한다.
익스텐디스 액세스 리스트는 출발지 주소 뿐만 아니라 목적지 주소, 프로토콜 등 관리하는 항목이 훨씬 더 많다. 따라서 익스텐디드 액세스 리스트는 스탠더드 액세스 리스트에 비해서 훨씬 정교한 액세스의 제어가 가능하다.

HSRP
라우터가 고장나는 것에 대비해서 라우터 한 대를 더 구성에 포함한 후, 메인 라우터가 고장나면 자동으로 두번째 라우터가 메인 라우터의 역할을 대신하는 기능
HSRP는 실제 존재하지 않는 가상의 라우터 IP 주소를 디폴트 게이트웨이로 세팅하게 한 다음, 그 주소에 대해서 Active 라우터와 Standby 라우터의 역할을 두어 처음에는 액티브 라우터가 그 주소의 역할을 대신 수행하다가, 액티브 라우터에 문제가 발생하면 자동으로 스탠바이 라우터가 액티브의 역할을 수행할 수 있게 하는 기술이기 때문에, PC들은 자신의 디폴트 게이트웨이를 고치지 않고도 항상 인터넷을 접속 할 수 있게 됨
HSRP에서 Priority가 높은 라우터가 액티브 라우터가 되며 디폴트 Priority 값은 100이다.

standby 1 preempt delay
preempt : 복귀에 대한 명령
트래킹

NAT
1. 내부의 네트워크에는 비공인 IP 주소를 사용하고 외부 인터넷으로 나가는 경우에만 공인 IP 주소를 사용하고자 하는 경우
(내부의 모든 PC나 호스트에 부여할 공인 주소는 한정되어 있고 인터넷은 모두 사용을 하고자 하는 경우에는, 내부에서는 비공인 주소를 사용하다가 외부로 나갈 때만 공인 주소를 부여 받아 나가는 방식을 사용하면, 다수의 비공인 IP 주소(Inside Local) 사용자가 인터넷을 사용할 수 있기 때문)
2. 기존에 사용하던 ISP에서 새로운 ISP로 바꾸면서 내부 전체의 IP를 바꾸지 않고 기존의 IP 주소를 그대로 사용하고자 하는 경우
(내부의 주소를 자주 바꾸고 싶지 않은 경우)
3. 두 개의 인트라넷을 서로 합하려다 보니 두 네트워크의 IP가 서로 겹치는 경우
(서로 비공인 주소를 사용하던 두 네트워크를 연결하는 경우 사용하던 IP 주소 영역이 겹칠 수 있게 되는데, 이때 NAT를 사용하면 두 네트워크의 주소를 일일이 변경하지 않고서도 이 문제를 해결할 수 있음)
4. TCP 로드 분배가 필요한 경우
(TCP로드 분배는 밖에서는 하나의 주소로 보이는 호스트가 내부에서는 여러 개의 호스트에 매핑되도록 하여 서버의 로드를 분배하는 기술)

NAT는 Inside Local 주소(비공인 주소)를 Inside Global 주소(외부로 나갈 때 변환되어 나가는 주소)로 바꾸어주는 과정이다.
변하지 않는 Global 주소를 가져야 한다면 스태틱 NAT 명령을 이용하면 됨
# ip nat inside source static 10.1.1.100 210.98.100.100
10.1.1.100은 언제나 210.98.100.100으로 변환되어야 하는 경우
# show ip nat translations
NAT 명령어 확인

WAN
1. 전용선 방식(Leased Line)
전화국과 같은 통신업자에게 통신회선을 임대 받아서 쓰는 방식. 나 혼자만 쓸 수 있는 전용라인, 보안에 크게 신경 쓸 필요가 없지만 비용이 많이 듦. HDLC, PPP, SLIP
2. 회선 스위칭 방식(Circuit Switched)
내가 통신을 하는 순간에만 나에게 필요한 회선을 열어주고 통신이 끝나면 회수하는 방식. PPP, SLIP, HDLC
3. 패킷 스위칭 방식(Packet Switched)
패킷 스위칭에서는 우리가 통신하는 순간에도 우리에게 통신회선 전체를 다 빌려주는 것이 아님. 통신회선을 다른 사람들과 나눠서 쓰는 방식. 따라서 패킷 스위칭 방식으로 통신을 할 때 실제로는 내가 가진 회선이 없지만 마치 내가 목적지까지의 회선을 가지고 있고, 데이터를 그 회선을 통해 전달하는 것처럼 동작하도록 해주어야 하는데, 이 목적 때문에 Virtual Circuit과 같은 개념이 나옴. 비추얼 서킷이란 나에게 배정된 회선이 없는데 마치 있는 것처럼 통신하는 방식. 프레임 릴레이, ATM, X25

PPP
HDLC는 PPP에 비해 좋은 프로토콜이 아님. PPP는 여러 가지 프토로콜을 통합해서 인캡슐레이션 하는 기능, 다양한 보안 기능이 있어 HDLC보다 효과적이다. 
시리얼 해주지 않아도 디폴트가 HDLC이다. PPP(Point-to-Point) 프로토콜은 WAN에서 가장 일반적인 인캡슐레이션 방식이다. ISDN 방식에서나 모뎀 접속에서는 거의 대부분의 접속을 PPP를 이용해서 구현하게 된다.
PPP는 강력한 보안기능과 여러 가지 네트워크 계층 프로토콜을 한꺼번에 지원하는 장점을 가진 표준 프로토콜이다.
LCP는 보안 기능을 제공함으로써 안전한 PPP통신을 책임진다. LCP의 보안인증 과정은 데이터 링크 계층의 세션을 맺고 나서 네트워크 계층간의 통신이 일어나기 직전에 발생한다. 먼저 데이터 링크 계층을 서로 연결하고, 그 다음에 보안인증을 거치고, 보안인증 과정을 무사히 마치면 마지막으로 네트워크 계층을 서로 연결하게 된다.
PPP의 세션 구축 단계
1. 데이터 링크 계층의 세션 구축
2. 보안 인증 단계(옵션 단계)
3. 네트워크 계층 세션 구축

PAP
PAP에서 접속을 원하는 라우터는 자신의 Host name과 패스워드를 같이 실어서 상대방 라우터에 보내고, 이를 받은 상대방 라우터는 방금 받은 Host name/ Password 자료와 자신이 보유하고 있는 Username/Password 자료를 비교해서 같으면 접속을 허가하고, 틀리면 접속을 막는 방식
간단하지만 호스트 이름과 암호가 그대로 네트워크를 타고 이동하기 때문에 중간에서 해킹에 노출 될 가능성이 있다. 호스트 이름과 암호가 암호화되어 이동하지도 않음--> 호스트 이름과 암호가 Clear Text로 이동한다.

CHAP
1. CHAP는 PAP처럼 중간에서 해킹을 할 수 없다.
2. PAP가 2-Way Handshake라면 CHAP은 3-Way Handshake(SYN, SYN-ACK, ACK) 방식이다.
Hashing : 기존의 데이터를 어떤 코드 값을 이용해서 완전히 변형시켜서 절대 원본 데이터로 돌아갈 수 없게 만드는 것
CHAP은 패스워드 자체가 네트워크로 이동하지 않기 때문에 중간에 해킹해도 패스워드를 알 수 없다.

프레임 릴레이
기존 WAN 에서 쓰던 통신 방식은 X.25이다. 프레임 릴레이 방식은 X.25의 에러복구와 흐름 제어 등의 데이터 처리 과정을 생략함으로써 보다 효율적인 데이터 전송 방법을 제공한다.
Data-Link Connection Identifier(DLCI)는 프레임 릴레이 연결을 위한 주소. 하나의 논리적인 링크에 하나씩의 DLCI가 배정된다. 따라서 실제 하나의 인터페이스에 여러 개의 DLCI가 존재할 수 있다. 한 인터페이스가 여러 개의 논리적 링크를 가지고 있을 수 있기 때문이다.

프레임 릴레이 가상회선

SVC(Switched Virtual Circuit)
           임시적인 패킷 전송해 사용되는 회선이며, 논리적인 경로가 고정되어있는게 아닌
           전달할 때마다 별도로 경로가 제공되는 임시적 회선
PVC(Permanent Virtual Circuit)
           고정적인 논리경로를 가지고 있는 회선이며, 가입자마다 고유식별변호(DLCI)가 제공됨
           데이터가 전송되는 중이던지 아니면 회선에 따라 전송되지 않던지 둘중에 하나의 상태를 
           유지

LMI
DLCI 정보와 함께 설정된 PVC 정보를 알려줌으로써 인터페이스의 다양한 정보와 동작 상태 등을 제공하는 기능. 즉 LMI는 특정 동작 상태에 관련된 정보를 인접 라우터들에게 알려줌으로써 프레임 릴레이 네트워크상의 Virtual Circuit의 상태를 쉽게 파악할 수 있게 해주는 기능을 제공한다.
원활한 프레임 릴레이 설정을 위해서 서비스 공급자(ISP)에게 반드시 정확한 LMI 종류를 알아봐야 한다. 시스코 라우터의 인터페이스는 서비스 공급자의 LMI 종류와 일치하는 LMI로 세팅되어 있어야만 제대로 작동될 수 있다. LMI는 현재의 DLCI 값, global 또는 local significance DLCI 값, 그리고 virtual circuit의 현재 작동 상태 등의 정보를 알려주기 위한 값
# frame-relay lmi-type ?

서브인터페이스
프레임 릴레이 인터페이스에서 서브 인터페이스를 만들때 지정한 인터페이스 타입은 라우터를 껐다 켤 때까지 지울 수 없다.
서브 인터페이스 종류
1. 한 곳에서 여러 곳으로 연결해주는 서브 인터페이스 타입인 multipoint
2. 일대일 연결 타입인 point-to-point
피지컬 인터페이스를 구성하고 나면 서브 인터페이스를 구성하게 된다.

인캡슐레이션(Encapsulation)
프레임 릴레이 망을 통과할 때 마치 캡슐로 덮어 씌우는 것처럼 포장

Cisco 방식
시스코 라우터끼리 사용하는 경우
# encapsulation frame-relay
IETF 방식
시스코 라우터와 타사 라우터를 서로 같이 사용하는 경우
# encapsulation frame-relay ieft

피지컬 인터페이스에서 세팅하는 것은 인터페이스의 인캡슐레이션 방식과 여기서 사용된 LMI 타입이다 LMI 타입은 프레임 릴레이 망에 연결된 모든 라우터에서 같이 맞추어야 한다. 디폴트는 Cisco
피지컬 인터페이스를 구성하고 나면 이제 서브 인터페이스를 구성하게 된다. 서브 인터페이스를 하나 만든 다음에 서브 인터페이스의 타입은 point-to-point로 정의한다. 그리고 이 서브 인터페이스에 IP 주소를 입력하게 된다.
그 후 DLCI 연결을 한다. frame-relay map 명령과 Inverse ARP는 같이 동작하지 않는다. 만약 Inverse ARP를 사용하는 경우에는 절대로 frame-relay map을 같이 사용하면 안된다.
맨 처음 프레임 릴레이를 세팅하면 자동으로 Inverse ARP가 동작하므로 연결된다. 만약 다른 하나를 더 프레임 릴레이 망에 붙일때 frame-relay map을 사용하면 재부팅했을 때 정상적인 연결이 되지 않는다. 이럴 때에는 frame-relay map과 frame-relay interface-dlci를 이용해서 수동으로 연결해야 한다.

frame-realy map 명령 사용 형식
# frame-relay map <protocol> <address> <dlc> broadcast
프레임 릴레이에서 사용할 프로토콜(여기서는 IP)을 쓰고 상대편의 주소(여기서는 상대의 IP주소)를 넣은 다음 자신의 DLCI 번호를 넣고 맨 마지막에 브로드캐스트를 넣게 된다.
라우터 현재 상태 점검
# show frame-relay pvc

ISDN
Circuit Switched Network의 한 예. 디지털 네트워크를 통해 여러가지 서비스(음성, 데이터 등의 서비스)를 전송하는 방식
BRI : 두 개의 B(bearer)채널과 하나의 D(delta)채널
B채널은 데이터, 음성, 여앙 등의 사용자 데이터 전송을 담당한다.
D채널은 16Kbps의 대역폭을 갖기 때문에 데이터의 최대 전송 대역폭은 128Kbps이다. 데이터 대역폭은 128K(64Kbps 2개)이지만, 총 대역폭은 128K+16K = 144Kbps
PRI : T1 PRI의 전체 대역폭은 1.544Mbps이고 23개의 B채널과 한 개의 D채널을 가지며, 주로 미국이나 일본 등에서 사용된다. E1 PRI는 약 2.048Mbps의 대역폭으로 30개의 B채널과 한 개의 D 채널을 가지며, 주로 유럽에서 많이 사용된다.


OpenFlow
클라우드 환경에서는 간단한 사용자 조작으로 네트워크 부하를 분산하고 트래픽을 모니터링하며 서로 다른 데이터 센터나 서로 다른 지역 또는 서로 다른 국가에서 운영 중인 서버에 대해 네트워크를 관리할 수 있도록 하는 기술이 필요합니다. 이번 글에서는 클라우드 네트워크를 효율적으로 관리할 수 있는 기술 중 하나