살구네가족일기

기술이전교육을 받다가 교육자가 사설아이피에 있는 서버를 마음대로 접근하는 것을 보고 어떻게 하는것인지를 물어왔다.. 신기..신기…
교육자는 PuTTY를 이용하면 연결된 세션을 통하여 터널링을 만들어 사용하는 방법이 있다고 알려줬다. 문서를 찾아보니 아래와 같은 URL에 그러한 내용이 있는 것을 확인했다..
http://cyberknights.com.au/doc/PuTTY-tunnelling-HOWTO.html

아침마다 인터넷 관련기사들을 읽어보는 것은 새로운 신기술들이 어떤것들이 있는지를 알아보기 위한것이다. 최근기사들에서 웹2.0에 대한 많은 글들이 올라오는 것을 볼 수 가 있다. 이슈인것 같은데 얼마지나지 않아서 사라질 내용이라는 글도 보이고….

이 글은 Indian computer emergency response팀에서 작성한 “Impelmentation of Central logging server using syslog-ng”문서를 통한 설치방법입니다.

네트워크장비나 서버를 운영하다보면 원격상에 로그를 저장할 필요를 많이 느끼게 된다. 하지만 원격에 저장된 데이터는 텍스트로 봐야하므로 인터페이스가 불편한 점이 있었다. 그런데 이 문서를 읽다보면 로그데이터를 DB에 저장하고 브라우저를 통하여 그 내용을 볼 수 있는 방안을 제공하기 때문에 편리한 점이 있는것 같다.

우선 리눅스의 기본 syslog서버는 원격에서 들어오는 로그를 받지 못하도록 설정되어있다. 그런데 이 syslog서버를 이용해서 원격에서 들어오는 로그를 받기 위해서는 syslog구동시에 -r옵션을 지정하면 되는데 이 옵션지정은 /etc/sysconfig/syslog파일의 내용중에
SYSLOGD OPTIONS=”-m 0 -r -x”
와 같이 지정을 하면된다. 이것을 몰라서 /etc/init.d/syslog내용에 직접 -r옵션을 주었었는데 그렇게 하는게 아니었군…

하지만, 이 syslog를 사용하지 않고 더 많은 기능을 제공해주는 syslog-ng를 사용하도록 한다. syslog-ng는 TCP/UDP를 통해서 전송할 수 있고, 메세지의 내용을 기반으로 필터링이 가능하고, 암호화도 가능하고 등등 많은 장점을 가지고 있다.
syslog-ng는 아래의 사이트에서 받을 수 있다.
http://www.balabit.com/downloads/syslog-ng/1.6/src/
받은 syslog-ng를 설치하고 config파일인 /usr/local/etc/syslog-ng/syslog-ng.conf파일의 내용을 아래와 같이 작성한다.
options { sync (0);
time_reopen (10);
log_fifo_size (1000);
long_hostnames (off);
use_dns (no);
use_fqdn (no);
create_dirs (no);
keep_hostname (yes);
};

source net { unix-stream(”/dev/log”);
internal();
udp(ip(0.0.0.0) port(514));};

destination localhost { file(”/var/log/syslog-ng.all”); };

log { source(net); destination(localhost); };
위와같이 작성하고 syslog-ng를 구동하면 syslog-ng가 514/udp에서 Listen을 하면서 네트워크를 통해서 들어오는 메세지를 받아서 /var/log/syslog-ng.all파일에 저장하게 된다. 이것이 정상적으로 이루어지는지를 확인한다.

로그를 DB에 저장하기 위해서 DB구조를 아래와 같이 만든다.
CREATE DATABASE syslog;
USE syslog;
CREATE TABLE logs (
host varchar(32) default NULL,
facility varchar(10) default NULL,
priority varchar(10) default NULL,
level varchar(10) default NULL,
tag varchar(10) default NULL,
date date default NULL,
time time default NULL,
program varchar(15) default NULL,
msg text,
seq int(10) unsigned NOT NULL auto_increment,
PRIMARY KEY (seq),
KEY host (host),
KEY seq (seq),
KEY program (program),
KEY time (time),
KEY date (date),
KEY priority (priority),
KEY facility (facility)
) TYPE=MyISAM;

그 다음에는 데이터베이스에 저장하기 전에 임시로 syslog-ng레코드를 저장하는 fifo pipe를 아래와 같이 만든다.
# mkfifo /tmp/mysql.pipe

syslog-ng.conf파일의 내용을 아래와 같이 수정한다.
destination d_mysql {
pipe(”/tmp/mysql.pipe”
template(”INSERT INTO logs (host, facility, priority, level, tag, date,time, program, msg)
VALUES ( ‘$HOST’, ‘$FACILITY’, ‘$PRIORITY’, ‘$LEVEL’,'$TAG’,'$YEAR-$MONTH-$DAY’,
‘$HOUR:$MIN:$SEC’, ‘$PROGRAM’, ‘$MSG’ );\n”)
template-escape(yes));
};

log { source(net); destination(d_mysql);};
그리고 syslog-ng를 제구동하고 mysql pipe를 mysql 데이타베이스와 연결하기 위하여 아래의 명령을 실행한다.
# mysql -u root –password= syslog< /tmp/mysql.pipe
이 명령은 시스템이 부팅될때 구동되도록 지정해준다.

이렇게하고 나면 syslog-ng를 통해서 로그데이터를 DB에 저장하는 작업이 완료된다. 그다음은 웹에서 이 로그를 볼 수 있도록 하는 작업이므로…
apache가 php를 지원할 수 있도록 컴파일에서 설치하거나 기존에 설치된 웹데몬을 이용한다.
준비가 되면 php-syslog-ng라는 툴을 받아서 웹디렉토리에 위치시킨다.
http://www.vermeer.org/projects/php-syslog-ng
에서 받을 수 있다.
받은파일은 php파일이므로 따로 컴파일이 필요없고 웹디렉토리에 위치한후에 DB정보만을 수정해주면 된다.

여러곳에 VPN을 설정하고 나서 보니 Example데로 설정을 해서 개통을 하고 끝난것 같다. 얼마전에 VPN취약점이 나오면서 다시한번 VPN을 살펴보다가 약간의 자세한 내용파악이 필요한것 같아서 자료를 정리중…

(1). IPSec이 뭐여?
- IPSec은 IPv4 ,IPv6의 network layer 트래픽을 보호(protection)하기위한 IETF표준안.
- IPSec은 어디에서든지(anywhere)
end hosts, router나 firewall과 같은 intermediate systems
구현이 가능하고 누구나(anyone)의해서
Service provider, Enterprise
구현이 가능하기 때문에 여러벤더 환경에서 상호연동동작이 보장되어야 한다.
- IPSec은 network layer에서 동작하면서 IPSec devices(peers)들간의 IP packet을 보호(protoect)하고 인증(authenticate)한다.

(2). IPSec은 아래와 같은 문제점들을 해결할 수 있다.
- Many of today’s authentication problems
- IP identity spoofing
- A lot of denial-of-service attacks
- Data confidentiality problems

(3). IPSec의 일반적인 배치 시나리오
- Access VPNs
- Classic Site-to-Site managed VPNs
- Trusted MPLS VPNs

(4). IPSec Building Blocks
- IPSec은 2가지 주요한 protocol이 있다.
* AH(Authentication Header) : packet authentication and integrity(무결성)을 위하여 –> 데이터? 암호화는 하지않고 데이타의 신뢰성에만 제공하는 프로토콜
* ESP(Encapsulating Security Payload) : payload confidentiality(비밀성), authentication,
integrity를 위하여
- IKE(Internet Key Exchange)는 key관리를 위하여 사용된다.

(5). SA(Security Associations)
- 중심이되는 IPSec개념
- 2 peers/hosts간의 계약(contract) : 그들간에 특정 트래픽에 대하여 security service를 어떻게 사용하겠다는 계약
- SA는 그 peers/hosts간에 패킷을 안전하게 전송하기 위하여 필요로 하는 모든 security 파라미터들이 포함된다.
- SA설정은 어떠한 IPSec 서비스이던지 선결 필수조건이다.
- SA는 특정한 트래픽의 흐름에 대하여 peers들간에 사용되어지는 정책을 정의하는 것이다.
예를들면, host A와 host B사이의 트래픽에 대하여 payload encryption을 위하여 keys k1, k2, k3를 가지는 ESP 3DES를 사용하고 authentication위하여 key k4를 가지는 SHA를 사용한다.

(6). SA Contents
SA는 항상 아래의 security parameters를 포함한다.
- Authentication/encryption algorithm, key length, and other encryption parameters
- Keys for authentication and encryption
- Traffic to which the SA will be applied
- IPSec encapsulation protocol and mode

- peer마다 일반적으로 복수개의 SAs가 성립된다. 각 security protocol에 대한 각각의 방향(direction)마다 하나씩.
- SAs는 단방향(unidirectional). security policies는 전체적으로 비대칭이 될수 있다.
- SAs는 VPN장비의 SA database(SADB)에 저장된다.

(7). Security Parameters
- 설정되는 각각의 SA에 32-bit숫자의 SPI가 할당된다.
- SPI는 SADB에서 유일하게 특정한 SA를 가리킨다.
- SPI는 받는 시스템에 적절한 SA위치를 알려주기 위하여 IPSec packet안에 들어간다.

(8). SA Creation/Deletion/Lifetime
- SA는 어떻게 IPSec이 트래픽을 보호해야 하는지에 대한 현재 지시이다.
- IPSec이 트래픽을 보호하기 위하여 SA는 SADB에 반드시 설정이 되어야한다.
- SA는 암호 세션 키(Cryptographic session keys)를 포함한다.
- SA는 rekeying이 필요할때만 삭제되거나 refreshed된다.

(9). Authentication Header
- RFC 2402에서 정의
- 패킷의 신뢰성(authenticity), 무결성(integrity)을 보장하고 replay protection제공하기 위하여 고안되었다.
- AH와 같은 추가적인 header는 현재 IP datagram에 추가된다.
- AH는 IP protocol 51번이다.

(10). AH Security Service
- HMAC기능을 사용함으로써 AH는 다음을 제공한다.
* Packet sender authentication
* Packet integirty assurance
* Replay detection/protection(via sequence numbers)
- encryption은 없기때문에 기밀성(confidentiality)은 제공하지 않는다.

(11). AH Algorithms and Keys
- HMAC의 hashing알고리즘
* SHA-1 hashing(rfc2404)
* MD5 hashing(rfc2403)
- HMAC기능은 SA일부분을 구성한,shared secret key를 필요로 하는데
* SHA-1 : 160-bit
* MD5 : 128-bit

(12). AH Header구조

- SPI는 이 packet을 위하여 사용되는 SA를 보여줌

- 64-bit의 Sequence Number는 packet replay를 방지한다.

- Authentication Data는 이 packet의 HMAC부분이다.

(13). AH Mode
AH는 두가지 동작(operation)방식이 있다.

* Transport mode : end host가 자신 소유의 데이터를 AH encapsulation한다.
- application endpoints또한 IPSec encapsulate할때만 사용된다.
- packet안의 IP addressing이 변경이 없다.
- Header fields의 TTL, source route등과 같은 것들이 변경된다.
- 각각의 packet에 24bytes가 추가된다.

* Tunnel mode : IPSec gateway가 peer-to-peer tunnels에서 다른 hosts들에게 AH서비스를 제공한다.
- IPSec gateways가 AH service를 한다.
- gateways들 사이의 tunnel에서 전체 IP datagrams이 encapsulated된다.
- AH는 tunnel packet에 적용된다.
- payloads나 traffic patterns을 숨기지 않는다.
- tunnel ip와 AH header를 포함하여 44bytes가 포함된다.

(14). ESP(Encapsulation Security Payload)
- RFC2406에서 정의
- 패킷의 기밀성(confidentiality)을 보장하기 위하여 고안됨
- 현재의 RFC에 packet authentication, integrity, replay protection이 추가됨
- ESP는 IP protocol 50번임.

(15). ESP Security Services
- ESP는 대칭형 암호화 알고리즘을 통하여 packet payload를 암호화 함으로써 기밀성을 설정한다.
- 선택적으로 payload(HMAC functions)를 위한 authentication과 integrity를 추가한다.
- 암호화는 선택적으로 null encryption algorithm(rfc2410)을 사용하여 할 수 있다.

(16). ESP Algorithms and Keys
- Encryption은 DES와 3DES로 이루어진다
- 선택적으로 authentication과 integrity가 HMACs(keyed SHA-1, keyed MD5)로 제공된다.
- SA에는 두가지 다른 key가 있다.
* Encryption session key(s)
* HMAC session keys

(17). ESP mode
ESP도 동작에는 두가지 방식이 있다.
* Transport mode
- end host가 자신의 data를 ESP encapsulation한다
- application endpoints또한 IPSec encapsulate할때만 사용된다.
- packet안의 IP addressing이 변경되지 않는다.
- IP Packet(TCP,UDP, ICMP..)의 payload만 보호된다.
- traffic patterns이 감추어지지 않는다. (clear text network headers)

* Tunnel mode
- IPSec gateways가 ESP서비스를 제공한다.
- gateways들 사이의 tunnel에서 전체 IP datagrams이 암호화된다.
- ESP는 tunnel packet에 적용된다.
- payloads와 trafffic patterns(address-based)을 감출것이다.

(18). IKE(Internet Key Exchange)
- Internet Key Exchange(rfc2409)
- IKE프로토콜은 IPSec networks에서 key관리를 위하여 사용된다.
- IPSec peers들간에 IPSec SAs의 자동적인 협상(negotiation)과 생성(creation)을 한다.

(19). IKE History
IKE는 아래의 것들에 근거하는 hybrid protocol이다.
- ISAKMP(rfc2408) : the protocol for negotiated establishment of security associations
* Internet Security Association과 Key관리 프로토콜
* IPSec peers들간에 안전한 관리세션을 성립
* IPSec peers들간에 SAs를 협상한다.

- Oakley(rfc2412) : a key agreement/exchange protocol
* IKE session상에서 key교환을 위한 기법을 정의
* 자동적으로 각각의 IPSec SA에 대한 AH/ESP keying 구성요소를 결정한다.
* key교환을 위하여 기본적으로 인증된 Diffie-Hellman알고리즘을 사용한다.

- SKEME : another key-exchange protocol

(20). IPSec과 IKE의 관계가 뭐여?
- IPSec은 트래픽을 보호하기 위하여 SA가 필요하다.
- 만약에 적절한 SA가 없다면, IPSec은 IPSec SAs를 제공하기 위하여 IKE를 요청할 것이다.
- IKE는 관련된 peer와 관리세션을 open하고 IPSec을 위한 모든 SAs와 keying구성요소를 협상한다.
- IPSec이 트래픽 보호를 시작한다.

(21). IKE Protocol
- 양쪽 peers들의 두개의 IKE processes가 secure session(ISAKMP)을 연결하면 그 위에서 그들이 보호정책(protection policy)을 협상하고 구체화 할것이다.
- policy(SAs)가 설정이 완료되면 모든 SAs를 위하여 keying구성요소가 결정된다.
- IKE session은 UDP로 실행되는데 src/dst port가 다 500이다.
- IKE session성립의 결과는 IKE SAs의 생성이다.
- 그리고 IKE는 요청되는 모든 IPSec SAs와 연결한다.

(22). IKE Peer Identity
각각의 Peer는 다른 peers에게 자신을 소개하기 위하여 사용되어지는 IKE identity를 가진다. 일반적으로…
- IP address
- Fully qualified domain name(FQDN)
- X.500 name
- E-mail address
등을 사용한다.
- IKE peer인증을 교려하였을 경우에 Peer identity는 특별히 중요하다.
- peer를 인증하기 위하여 peer identity(IP address)를 특별한 보증서집합(public key)에 bind한다.

(23). IKE Phases and Modes
IKE는 2가지 phases를 가진다.
- IKE Phase 1
* Uses main or aggressive mode exchange
* Negotiates IKE SA
- IKE Phase 2
* Uses quick mode exchange
* Negotiates IPSec SAs

(24). IPSec이 어떻게 동작하느냐?
IPSec의 동작은 크게 5단계로 구분한다고 한다.
Step1. Interesting Traffic : VPN장비가 보호할 traffic을 인식한다.

Step2. IKE Phase 1 : VPN장비들간에 IKE security policy를 협상하고 secure channel을 설정한다.
 IKE Phase 1단계에는 main mode와 aggressive mode 2가지 있다. main mode는 그림처럼 3가지 two-way exchanges가 발생한다.
*First exchange: IKE통신을 암호화하기 위하여 사용되어지는 알고리즘과 hashes를 협상한다.
*Second exchange: shared secret keys를 생성하기 위하여 DH교환을 사용한다.
*Third exchage: peer identity를 확인한다. 원격 peer를 인증하기 위하여 사용되어지는 exchange로 peer authentication method에는 아래와 같은 것들이 있다.
- Pre-shared keys: peer를 인증하기 위하여 사용하는 secret key를 각각의 peer마다 수작업으로 입력한다.
- RSA signature: peer를 인증하기 위하여 디지털인증서 교환을 사용한다.
- RSA encrypted nonces: Nonces(각각의 peer마다 임의로 생성되는 숫자)가 암호화되고 peer간에 교환된다.

aggressive mode는 적은 exchange를 사용한다.

Step3. IKE Phase 2 : VPN장비들간에 IPSec data를 보호하기 위하여 사용되어지는 IPSec security policy를 협상한다.

 IPSec IKE Phase 2의 목적은 IPSec tunnel을 암호화하기 위하여 사용되어지는 security parameters를 협상하는 것이다. IKE Phase2는 다음과 같은 기능을 수행한다.
- Negotiates IPSec security parameters, IPSec transform sets
- Establishes IPSec SAs
- Periodically renegotiates IPSec SAs to ensure security
- Optionally performs an additional DH exchange

Step4. Data transfer : VPN장비가 트래픽에 security service를 적용하고 그 트래픽을 전송한다.

Interesting traffic이 IPSec SA에 지정된 security service에 따라서 암호화 복호화되어진다.

5. Tunnel terminated : tunnel을 종료한다.

뚝딱하면 뭐든지 다된다고 생각하는 사람들.. 에효~
이번에 쓰리콤이란다..쩝..

- 8814 telnet으로 연결하기
8814를 telnet으로 연결할때 사용자 암호가 설정이 되어있지않으면 에러메세지가 나오면서 연결이 안된다. 따라서, 콘솔상에서 아래와 같이 암호설정을 먼저해야 한다.
system-view
[SW8800]user-interface vty 0 4
[SW8800-ui-vty0]set authentication password simple/cipher xxxx –>(해제) undo set authentication password
Ctrl+Z를 누르면 user view모드로 되돌아 간다. 위와같이 설정하면 동시에 5명이 telnet연결을 통하여 시스템에 접근할 수 있다.

- Relation Digram of the View

 

User view : 프롬포트를 가지며 스위치에 연결하면 즉시나타나는 view이다. 기본적인 정보들을 보여준다.
System View:[SW8800]프롬포트를 가지며 user view에서 system-view명령으로 접근한다. 시스템의 파라미터들을 구성한다.
Ethernet Port View :[SW8800-Gigabit Ethernet1/1/1]과 같은 프롬포트를 가지며 Ethernet port들의 속성들을 구성한다.
VLAN View:[SW8800-Vlan1]프롬포트를 가지면 system view에서 vlan 1로 들어간다. VLAN파라미터들을 구성한다.
VLAN interface view:[SW8800-Vlan-interface1]프롬포트를 가지며 system view에서 interface vlan-interface 1로 들어간다. VLAN에 대한 IP interface파라미터들을 구성한다.

등등…

- Port Configuration

System View –> interface {GigabitEthernet} slot/subslot/port로 Ethernet port view에 들어가고 Ethernet port를 구성할 수 있다. port를 enable/disable하기 위해서 shutdown/undo shutdown명령을 사용한다. Ethernet port에서 사용되는 명령들..

duplex {autofullhalf}, undo duplex
speed (101001000auto), undo speed

- Ethernet Port에 cable type지정하기
mdi (auto), undo mdi명령을 사용하여 direct-cable, crossover cable을 자동으로 감지한다.

- Ethernet Port에 link-type지정하기
port link-type access
port link-type hybrid
port link-type trunk
undo port link-type
default로 port의 link-type은 access이다.

- VLAN에 ethernet port를 추가하기
port access vlan vlan_id
port hybrid vlan vlan_id_list {tagged untagged}
port trunk permit vlan {vlan_id_list all}
undo port access vlan
undo port hybrid vlan vlan_id_list
undo port trunk permit vlan {vlan_id_list all }

- Ethernet Port에 Default VLAN ID지정하기
access port는 하나의 VLAN에 소속되기 때문에 상관이 없지만, trunk나 hybrid port는 여러개의 VLAN에 소속되기 때문에 반드시 default VLAN id가 구성되어야 한다.
port hybrid pvid vlan vlan_id
port trunk pvid vlan vlan_id
undo port hybrid pvid
undo port trunk pvid

- Display and Debug Ethernet Port
display interface {interface_type interface_type interface_num interface_name}
display port {hybrid trunk}
reset counters interface [interface_type interface_type interface_num interface_name]

-(예제)Trunk Port에 Default VLAN ID를 구성하기
1. [SW8800]interface gigabitethernet2/1/1
2. [SW8800-GigabitEthernet2/1/1]port link-type trunk
3. [SW8800-GigabitEthernet2/1/1]port trunk permit vlan 2 6 to 50 100
4. [SW8800]vlan 100
5. [SW8800-GigabitEthernet2/1/1]port trunk pvid vlan 100

-(예제)Link Aggregation구성의예제
1. [SW8800] link-aggreation group 1 mode manual
2. [SW8800] interface gigabitethernet2/1/1
3. [SW8800-GigabitEthernet2/1/1] port link-aggregation group 1
4. [SW8800-GigabitEthernet2/1/1] interface gigabitethernet2/1/2
5. [SW8800-GigabitEthernet2/1/2] port link-aggregation group 1
6. [SW8800-GigabitEthernet2/1/2] interface gigabitethernet2/1/3
7. [SW8800-GigabitEthernet2/1/3] port link-aggregation group 1

- VLAN생성과 삭제
vlan vlan_id
undo vlan {vlan_id [to vlan_id] / all}

- VLAN에 Ethernet Port를 추가하기
port interface_list
undo port interface_list

- VLAN interfaces를 지정하고 삭제하기
interface vlan-interface vlan_id
undo interface vlan-interface vlan_id

- Displaying and Debuggubg a VLAN
display interface vlan-interface [vlan_id]
display vlan [vlan_id all static dynamic]

-(예졔)vlan구성하고 포트추가하는 예
[SW8800] vlan 2
[SW8800-vlan2] port GigabitEthernet3/1/1 GigabitEthernet4/1/1
[SW8800-vlan2] vlan 3
[SW8800-vlan3] port GigabitEthernet3/1/2 GigabitEthernet4/1/2

- VLAN interface에 ip address설정하기
ip address ip-address net-mask [sub]
undo ip address [ip-address {net-mask mask-length} [sub]]

display ip interface vlan-interface vlan-id

- DHCP Relay설정하기
1. DHCP서버그룹에 DHCP서버의 ip address를 지정한다.
dhcp-server groupNo ip ipaddress1 [ipaddress2]
undo dhcp-server groupNo

2. VLAN interface에 DHCP server group을 정의한다.
dhcp-server groupNo
undo dhcp-server

- Static Route설정하기
ip route-static ip-address {mask mask-length} {interface-name gateway-address} [preference value] [reject blackhole]

undo ip route-static ip-address {mask mask-length} {interface-name gateway-address} [preference value]

ip route-static 0.0.0.0 {0.0.0.0 0} {interface-name gateway-address} [preference value] [reject baclhole]

undo ip route-static 0.0.0.0 {0.0.0.0 0} {interface-name gateway-address}

display ip routing-table
display ip routing-table verbose
display ip routing-table ip-address

- OSPF설정하기
1.enabling OSPF and entering OSPF view
ospf [process-id [[router-id router-id]]
undo ospf [process-id]

2. entering OSPF area view
area area-id
undo area area-id

3. interface정의
network ip-address ip-mask
undo network ip-address ip-mask

4. router-id정의
router id router-id
undo router id

5. VLAN interface 마다 ospf특성정의
ospf network-type {broadcast MBMA P2MP P2P}
undo ospf network

ospf cost value
undo ospf cost

- OSPF process리셋
reset ospf [statistics] {all process-id}
- displaying and debuggung OSPF
display ospf [process-id] brief
display ospf [process-id] cumulative
display ospf [process-id] peer [brief]
display ospf [process-id] nexthop
display ospf [process-id] routing
display ospf [process-id] interface
display ospf [process-id] error

- Basic ACLs정의
Enter basic ACL view (system view)
acl { number acl-number name acl-name basic } [ match-order { config auto } ]

Define an ACL rule (basic ACL view)
rule [ rule-id ] { permit deny } [ source { source-addr wildcard any } fragment time-range name vpn-instance instance-name ]*

Delete an ACL rule (basic ACL view)
undo rule rule-id [ source fragment time-range vpn-instance instance-name ]*

Delete an ACL or all ACLs (system view)
undo acl { number acl-number name acl-name all}

-Advanced ACL정의
Enter advanced ACL view (system view)
acl { number acl-number name acl-name advanced } [ match-order { config auto } ]

Define an ACL rule (advanced ACL view)
rule [ rule-id ] { permit deny } protocol [ source { source-addr wildcard any } ] [ destination { dest-addr wildcard any } ] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type type code ] [ established ] [ [ precedence precedence tos tos ]* dscp dscp ] [ fragment ] [ time-range name ] [ vpn-instance instance-name ]

Delete an ACL rule (advanced ACL view)
undo rule rule-id [ source destination source-port destination-port icmp-type precedence tos dscp fragment time-range vpn-instance ]*

Delete an ACL or all ACLs (system view)
undo acl { number acl-number name acl-name

- L2 ACLs정의
Enter L2 ACL view (system view)
acl { number acl-number name acl-name link } [ match-order { config auto } ]

Define an ACL rule (L2 ACL view)
rule [ rule-id ] { permit deny } [ protocol ingress { { source-vlan-id source-mac-addr source-mac-wildcard }* any } egress { dest-mac-addr dest-mac-wildcard any } time-range name ]*

Delete an ACL rule (L2 ACL view)
undo rule rule-id

Delete an ACL or all ACLs (system view)
undo acl { number acl-number name acl-name all}

- ACL적용하기
Activate IP group ACL
packet-filter inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ]

Deactivate IP group ACL
undo packet-filter inbound ip-group { acl-number acl-name } [ rule rule ]

Activate IP group ACL and link group ACL at same time
packet-filter inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name } [ rule rule [ system-index index ] ] link-group { acl-number acl-name } rule rule }

Deactivate IP group ACL and link group ACL at same time
undo packet-filter inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name } [ rule rule ] link-group { acl-number acl-name } rule rule }

Activate link group ACL
packet-filter inbound link-group { acl-number acl-name } [ rule rule [ system-index index ] ]

Deactivate link group ACL
undo packet-filter inbound link-group { acl-number acl-name } [ rule rule ]

- VRRP구성예제

- Configuration관리하기
display saved-configuration : 저장된 구성을 보여줌
display current-configuration [controller interface interface-type [ interface-number] configuration [configuration ][ {begin exclude include} regular-expression ]

save : 구성저장하기
reset saved-configuration : 공장초기화로 하기

- 8814스위치를 FTP서버로 설정하기
ftp server enable,
undo ftp server

- FTP서버에 대한 인증을 설정
local-user username
undo local-user [ user-name all[service-type ftp]]
password [cipher simple] password
service-type ftp ftp-directory directory
undo password
undo service-type ftp [ftp-directory]

- 확인하는 방법
display ftp-server
display ftp-user

- 8814스위치 재부팅
reboot
reboot [ slot slot-num] slot-num 은 0~13이고 0은 fabric module을 reset하는 것으로 전제 시스템을 reset하는 것과 동일하다. 1~13은 IO module에 대한 reset이다.

-device정보 확인하기
display cpu [slot slot-num] : CPU정보를 출력
display device [detail {shelf shelf-no frame frame-no slot slot-num}] : module의 type고ㅓㅏ 각각의 card의 상태를 보여줌.
display fan [fan-id]
display environment
display memory [ slot slot-number]
display power [ power-ID]

- 시스템의 기본정보 구성하기
sysname sysname : 스위치의 이름을 설정한다.
undo sysname

clock datetime HH:MM:SS YYYY/MM/DD :시스템의 clock을 설정한다.
clock timezone zone_name { add minus} HH:MM:SS :localtime을 설정한다.
undo clock timezone

display clock
display version
display users [ all ]
display saved-configuration
display current-configuration
display debugging

- SNMP설정하기
snmp-agent community { read write } community-name [[mib-view view-name][acl acl-list]] : community이름과 접근제한을 설정한다.
undo snmp-agent community community-name

snmp-agent sys-info { contact sysContact location syslocation version {{v1v2cv3}all}} : SNMP system정보를 설정한다.
undo snmp-agent sys-info { contact sysContact location syslocation version {{v1v2cv3}all}}

display snmp-agent statistics
display snmp-agent ?

- NTP Peer Mode로 구성하기
ntp-service unicast-peer ip-address [ version number authentication-key keyid source-interface { interface-name interface-type interface-number } priority]
undo ntp-service unicast-peer ip-address

display ntp-service sessions

Cisco라우터에서 PPTP VPN을 받아주는 시험을 해봤다. 원격에서 VPN연결하면 사설을 사용하는 사무실의 네트웍과 많은 일을 할 수 있을것이다. Cisco2621 Ver 12.2(31)과 Windows Xp를 이용하여 시험했다. 아래는 구성도와 라우터의 샘플이다.

2621#show run
Building configuration…
Current configuration : 1566 bytes
!
version 12.2
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
no service password-encryption
!
hostname 2621
!
boot system flash
logging queue-limit 100
enable secret 5 $1$dGFC$VA28yOWzxlCKyj1dq8SkE/
!
username cisco password 0 cisco123
username client password 0 testclient
ip subnet-zero
ip cef
!
no ip domain lookup
ip domain name cisco.com
!
vpdn enable
!— Enable VDPN.
vpdn-group 1
!— Default PPTP VPDN group.
accept-dialin
protocol pptp
virtual-template 1
!
voice call carrier capacity active
!
no voice hpi capture buffer
no voice hpi capture destination
!
mta receive maximum-recipients 0
!
controller T1 0/0
framing sf
linecode ami
!
controller T1 0/1
framing sf
linecode ami
!
interface Loopback0
ip address 10.100.100.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/0
ip address 172.16.142.191 255.255.255.0
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.130.13.13 255.255.0.0
duplex auto
speed auto
!
!— Create virtual-template interface used for “cloning”
!— virtual-access interfaces using address pool “test”
!— with CHAP authentication, PAP, and MS-CHAP.
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool test
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
!— Create IP Pool named “test” and specify IP range.
ip local pool test 192.168.1.1 192.168.1.250
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.142.1
!
ip pim bidir-enable
!
call rsvp-sync
!
mgcp profile default
!
dial-peer cor custom
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
password cisco
login
!
!
end
2621#

1. 기본헤더뒤엔 확장헤더가 와요..
IPv6는 필요없는 기능을 과감히 줄이고 모든것을 구조화 해서 성능을 높이는데 집중한 흔적이 많은데 앞의 checksum을 없애것과 더불어 extension header가 또 한가지라고 할 수 있다. IPv4에도 이와 유사한 개념의 확장헤더가 있었지만 IP헤더뒤에 어떤 헤더가 오느냐에 따라 전체 길이가 들쑥날쑥했고 짜임새가 없었던과 달이 IPv6에서는 앞에오는 IP헤더의 Next Header field에서 다음오는 Extension header의 정보를 알려주고 Extension header도 64비트 단위로 되어있어 처리시간을 줄일수 있게했다. 또한 extension헤더에는 그 뒤에 오는 extension헤더의 정보를 넣는 방식을 사용하는데 데이지체인 방식으로 구성되어 있는 것도 특징이다.

그림에서 보시듯이 맨앞의 IP헤더에서 extension헤더의 정보를 가르키고, 그 extension헤더는 그 다음 extension헤더정보를 가르키는 데이지체인 방식이다.

2. 움직이는 네트워크 Network Mobility..
IPv6에서는 IPv4에 비해 Mobility기능이 훨씬 향상되어 빠르고 안정된 이동성보장이 가능해졌다. 따라서 이동하면서도 네트워크 접속이 유지되도록 해주는 네트워크 Mobility기능이 IPv6에서는 기본장착되어 있어 훨씬 사용이 편해졌고 Mobility구현역시 IPv4에 비해 효과적이 되었다.

3. IPv6의 보안
보안을 얘기하게 되면 자주 듣게 되는 단어가 IPSec(IP Security)입니다. IPSec이란 네트워크 계층에서 암호화 및 인증등의 보안을 제공해줌으로써 TCP/IP기반의 인터넷상에서 안전한 통신을 가능하도록 해주는 보안 표준이다.
이 IPSec은 물론 IPv4에서도 지원이 가능했지만 IPv6에서는 필수요소가 되었다는 것이 중요하다. 이 의미는 언제 어디서나 IPSec이 설정되어 있으며 즉시 활용가능하다는 것이다. 따라서 더욱 완벽한 보안이 이루어 졌다는 것이다. Extension Header에 헤더번호가 50번과 51번일 경우 각각, Encapsulating Security Payload와 Authentication Header가 나오게 되며, 여기서 패킷의 보안을 책임져주게 된다.

4. IPv6에서의 간단한 주소적기
IPv4에서는 십진수를 점(.)으로 분리하여 표기를 하였지만, IPv6에서는 16진수를 사용하여 주소를 표기하게 되고, 16진수 4개를 쓰고 콜론(:)을 찍고, 또 16진수 4자리를 쓰고 콜론(:)..이렇게 16진수로 4개씩 8번을 쓰고 중간에 콜론7개를 찍어 주소를 표기하게 된다.
xxxx:xxxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
예를들면,
2001:0DB8:010F:0001:0000:0000:0000:0D0C

5. IPv6의 주소쓸때 규칙
16진수 A ~ F까지의 알파벳은 문자가 아니라 16진수 숫자이므로 대소문자 구분을 안한다는 것을 알아야 한다.
2001:0DB8:010F:0001:0000:0000:0000:0D0C 와
2001:0db8:010f:0001:0000:0000:0000:odoc는 동일하다.

두번째 규칙은 앞에오는 0은 안써도 된다는 것이다.
2001:0db8:010f:0001:0000:0000:0000:0d0c 라는 주소는
2001:db8:10f:1:0:0:0:d0c 로도 쓸수있다.
하지만, 중간에 있는 0은 생략하면 안된다.

세번째 규칙은 0이 연속으로 나올때는 ::로 표시할 수 있다.
2001:db8:10f:1:0:0:0:doc를
2001:db8:10f:1::doc로 표기할 수 있다.
하지만 이러한 방식을 두번이상이 사용하면 안된다.
2001:0db8:0000:0000:ffff:0000:0000:0d0c이란 주소를
2001:0db8::ffff:0000:0000:0d0c
또는
2001:0db8:0000:0000:ffff::0d0c
로는 표기할 수 있지만,
2001:0db8::ffff::0d0c로는 표기할 수 없다.

6. IPv4 compatible address
IPv6가 아무리 좋아도 당분간은 IPv4와 같이 공존해야하는 기간이 필요하기 때문에 IPv4망위에서 어떻게 IPv6를 연결할까 하는 논의가 많이 되고 있다고 한다.
IPv4 compatible address는 IPv4망에서 IPv6트레픽을 전송하기 위한 방법중 자동 터널링을 구성해 줄때 사용하는 주소방식으로 IPv4주소를 자동으로 IPv6주소형식으로 만들어 주는 것이다.

IPv4 compatible address의 예는:
0:0:0:0:0:0:192.0.2.100
= ::192.0.2.100
= ::c000:0264

또 다른 주소방식은 IPv4-mapped방식이다.
0:0:0:0:0:FFFF:192.0.2.100
= ::ffff:c000:0264
IPv4-compatible주소와 다른점은 IPv4주소앞에 FFFF를 넣는 다는것이다.
또, URL주소를 넣을때 도메인 이름대신 IP주소를 쓸때는 IPv6에서는 아래와 같인 대괄호[]로 묶어준다.
http://[2001:df0:1003::f]:8080/index.html

7. IPv6주소의 삼형제
우선, IPv4 주소종류에는 받는 사람이 한명인 unicast와 받는 사람이 한명이 아닌 특정그룹인 multicast, 그리고 모든 호스트들에게 다 받으라고 하는 broadcast가 있다.
그런데, IPv6에서는 달라졌다. 말도많고 탈도 많던 broadcast가 사라지고 좀더 강력해진 multicast가 그 역할을 대신하게 되었고, 새로운 anycast가 등장했다.
anycast는 말그대로 아무나 받으라는 것인데 그룹멤버중에 가장 가까이 있는 녀석에게 패킷을 보내는 방식으로 가장 가까운 포인트를 찾는 탐색메카니즘을 위해 사용되어진다고 한다.

8. 유니캐스트라고 다 같은게 아니다??
IPv4에서 유니캐스트의 종류를 나눠보면 아래과 같이 나눌 수 있다.
- 공인IP주소
- 비공인 IP주소
- 기타주소
0.0.0.0 : 디폴트 네트워크 구성을 해줄때 사용하는 주소로 나머지 모든것을 의미한다. 즉, 라우팅 경로를 찾지못한 나머지 모든 것을 나타내는 의미로 쓰인다.
127.0.0.1 : loopback 주소

IPv6에서 역시 유니캐스트 주소는 몇가지 종류로 구분된다.
- Global unicast address
: IPv4의 공인IP주소와 같다. 가장 일반적인 IP주소이다.
- Site-local address
: 어떤 사이트내에서만 사용할 수 있는 주소로써 IPv4의 비공인 IP주소와 비슷한 개념이다.
- Link-local address
: Site-loca주소보다 그 영역이 조금더 줄어든 그 링크안에서만 통용되는 주소이다. 즉, 그 링크
를 벗어나선 사용될 수 없는 주소이다.
- 기타 address
: IPv4처럼 loopback, IPv4호환주소가 있다.
아래의 그림은 범위에 대한 개념을 나타낸 것이다.

9. 유니캐스트란 찐빵에 들어가는 단팥^^

유니캐스트 주소를 배우기전에 먼저 알아야 하는 것이 있는데 바로 주소를 만들때 꼭 따라다니는 interface ID(identifier)이다. interface ID는 링크상에서 인터페이스를 identify,즉 링크상에서 그 인터페이스를 딱 꼬집어 지정하기 위해 사용되는 인터페이스별 이름이다. 따라서, 인터페이스 ID는 그 링트상에서 만큼은 유일해야 한다.

interface ID는 64비트로 만들어 지며 모든 유니캐스트 주소에 사용되고 128비트 주소중에 뒤에오는 64비트는 interface ID가 차지한다. (예외적으로 유니캐스트에서 interface ID를 사용하지 않는 경우도 있다.)

그럼, interface ID는 어떻게 만들어 지는가? 이더넷의 경우에는 48비트의 MAC주소를 이용해서 만드는데 이 방식을 Modified EUI-64포멧이라고 한다. 프레임 릴레이 구성에서는 DLCI주소를 이용해서 interface ID를 만들게 된다.

10. IPv6 유니캐스트 주소하나.. 링크로컬 주소는..

Link-local address는 말그대로 링크상에서만 사용되는 주소이다. 즉, 링크안에서만 구분할 수 있다면 된다는 뜻이다. 링크는 예를들면 1대1연결의 경우는 호스트가 2개만 존재할 수 도 있구..여러개의 호스트가 연결되는 링크일수도 있는데 collision domain정도로 이해하면 될것 같다.

이러한 Link-local address는 특징이 있는데 그것은 주소의 맨앞이 FE80(1111 1110 1000 0000)으로 시작된다는 것이다. 그런데 좀더 정확이 Link-local address의 앞부분은 FE80::/10이 맞고, 이것의 의미는 일단 맨앞은 FE80으로 시작하는데 prefix가 10비트까지라는 의미 이므로 앞에서 2진수로 만들었던 주소중에 맨 왼쪽에서 10개까지만 prefix로 사용한다는 의미이다. 그럼 앞에 10자리가 정해졌는데 나머지 118비트는 어떻게 정해지는가? 그것은 아래의 그림과 같다.

이렇게 만들어진 Link-local address는 Neighbor discovery, Router discovery등의 용도로 사용되어지며 나중에 배우게될 global주소나 site-local주소없이 동일 링크상에서 접속이 필요할 경우에도 사용되는 주소이다.

11. IPv6에서의 공인주소는?

IPv4에서 주로 공인IP주소라고 불렀던 인터넷 사용을 위한 주소가 IPv6에서는 Global Unicast Address라고 부른다. Global Unicast Address는 아래의 그림과 같이 구성된다.

Global Unicast Address는 그림에서 보듯이 3가지 부분으로 나누어진다.

- Provider부분 : 48비트이고 맨앞이 이진수 001로 시작된다. 이것은 IANA(Internet Assigned Numbers Authority)라는 단체에서 정해놓은 약속이다. 따라서, IPv6에서 2000::/3은 global unicast address를 나타내는 것이다.

Provider부분의 나머지 45비트는 IANA에서는 각 대륙에 배분하고 각 대륙에서는 각 ISP에 배정하는 용도로 사용된다.

-Site부분: ISP에서 48비트를 배정받게되면 각 사이트에서는 그 사이트의 상황에 따라 다시 네트워크를 분해해주게 되는데 이때 나머지 16비트의 Subnet ID를 사용한다. 이 부분은 다른말로 LAN prefix라고도 한다.

-Interface부분: 이전에 언급한 Interface ID

이렇게 global unicast address는 각 대륙별, ISP별, SITE별로 배정되기 때문에 IPv4와는 달리 여러개의 라우팅 테이블을 하나로 묶어주기가 용이해서 훨씬 효과적인 라우팅이 가능하게 된다.

12. Uunicast의 기타주소 시리즈

- Unspecified address : 무기명주소, 어떤 특정주소를 사용하지 못하는 경우(예. 초기 DHCP request를 한다거나, duplicate address detection(DAD)를 수행)는 출발지 주소를 정해줄 수 없으므로 unspecified address를 사용한다. unspecified address는 0:0:0:0:0:0:0:0(::)을 사용한다.

- Loopback address: IPv4에서 127.0.0.1로 사용되어 IP스택내부의 로컬 인터페이스를 표기하던 것과 같이 IPv6에서도 loopback주소가 있는데 0:0:0:0:0:0:0:1(::1)이다.

- IPv4 compatiable address