RIP
This presentation is the property of its rightful owner.
Sponsored Links
1 / 68

RIP PowerPoint PPT Presentation


  • 226 Views
  • Uploaded on
  • Presentation posted in: General

RIP. 2. IBGP 가 다수일 경우 IGP(rip, OSPF,….) 가 가까운 곳 ( 목적지까지 비용이 적은 곳 ) 이 최적경로로 선정. 이 라우터는 IBGP 2 개경로 ( 위 , 아래 ) 가 있음. 1. 위의 그림에서 Rip 이 돌고 있다고 가정하면 아래쪽라우터 (1) 와 맨위라우터 (2) 중 아래쪽 라우터가 가까우므로 이 쪽 경로를 최적경로로 취급. 출력경로정책 Weight, load- proference 등이 여기에 속함. ①. 1. ②.

Download Presentation

RIP

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Rip

RIP

2

IBGP가 다수일 경우

IGP(rip, OSPF,….)가 가까운 곳(목적지까지 비용이 적은 곳)이 최적경로로 선정

이 라우터는IBGP 2개경로(위, 아래)가 있음

1


Rip

위의 그림에서

Rip이 돌고 있다고 가정하면 아래쪽라우터(1)와 맨위라우터(2) 중

아래쪽 라우터가 가까우므로 이 쪽 경로를 최적경로로 취급

출력경로정책

Weight, load-proference등이 여기에 속함

1

1라우터에서 ①과 ② 중 어디로 나가야할지 결정


Rip

입력경로정책

1

1라우터에서 ①과 ② 중 어디로 들어와야 하는지 결정


Rip

As 1000

Local-preference

ebgp경로 다수일 때 먼저 연결된 경로가 아닌 내가 임의로 조정할 수 있도록 하는 속성값

ibgp에서만 전파

As간 여러 경로가 있을 때 내가 원하는 쪽으로 정보를 보내고 싶을 때 사용

As100안에서는 local-preference전파됨

어디로 갈지 속성값 조절하여 어디로 보낼지 결정

500

200

400

300

As 100


Rip

Weight(in만 가능)

Neighbor 13.13.13.1 route-map weight in

in

상대방

자신

Weight : 전파x

Local-preference : AS내에서만 전파

나머지 : 전파가능


Rip

2

GPN은 터널이 있어야 열어서 읽을 수 있음

9.2

8.2

9.1

8.3

1

3

DATA

L3

L3

L2

102

SA:9.1

G

P

N

SA:13.2

ICMP

8

DA:8.3

DA:13.4

공중망에서

3라우터에서

4

5

2라우터는1라우터에서 보낸 정보에서 GPN앞의 정보만 읽어서 볼 수 있음

13.2

13.4


Rip

AH-인증, ESP-암호화, 인증

1. 데이터 암호화<-비밀키로

2. 비밀키암호화<-공개키로

무결성– 중간에 정보가 안 바뀐 것 확인

black sypher – 블록 단위 암호화

stream syphter –비트, 바이트단위 암호화


Rip

IPSec의 동작

phase 1

phase 2

라우터

라우터

라우터

라우터

SA

SA

서로 맞는지 인증(확인), 세션키 협상, 세션연결

공개키 분배(IKE프로토콜을 이용하여 분배)

비밀키 설정, 공개키를 이용한 비밀키 공유방식

설정

phase1의 sa는 phase2의 sa를 보호함

암호화된 데이터를 주고 받을 sa생성

sa를 이용한실제 실제 암호화된 정보 보냄

데이터 암호화, 인증방식 설정

phase 1의 세션

phase 2의 세션


Rip

phase 1에서 암호화 방식

phase 2에서 사용할 비밀키방식의 비밀키를 암호화하여 각각의 라우터에게 분배하여

암호화 데이터가 송수신 될 수 있도록 해야 함

암호화

복호화

비밀키

암호화된 비밀키

공개키방식의

개인키

+

공개키방식의

공개키

비밀키방식

비밀키(대칭키)

=

개인키 +공개키

= 복호화키


Rip

phase 1에서 암호화 방식

키 모음

비밀키방식

비밀키(대칭키)

공개키방식의

개인키

+

공개키방식의

공개키

키 분배

(IKE프로토콜이용)

=

개인키 +공개키

= 복호화키

암호화된 비밀키

세션키

키 분배 프로토콜(IKE (Internet Key Exchange))을 이용하여 키 분배

IKE는 를 주기적으로 바꿔서 각각의 라우터에게 분배함

다른 키도 마찬가지로 주기적으로 변경


Rip

phase 2에서 암호화 방식

비밀키방식

비밀키(대칭키)

암호화된 data

암호화된 data

암호화된 data

IKE로부터 받은 비밀키를

이용하여 data암호화,복호화

암호화된 data

data를 암호화하는 방법 설명

비밀키으로

복호화

data

암호화된

data

비밀키으로

암호화


Rip

암호화 방식

비밀키방식

비밀키

비밀키방식로 암호화

암호화된 데이터

데이터

비밀키방식로복호화

비밀키


Rip

암호화 방식

공개키방식

개인키

개인키로 암호화

암호화된 비밀키

비밀키

복호화키로복호화

<개인키+공개키>

= 복호화키


Rip

인증 방식

인증을 하면 데이터 전체를 감싸서

보호하게 됨

감싼 부분이 조금이라도 깨지면 인증은 실패

인증방식에 대해서는 잘 알지 못하다

대충 설명하자면

인증키를

이용한인증

data

data

data

라우터

라우터

data


Rip

IPSec의 동작

[Phase 1]

1. 세션키를 이용한 라우터끼리의 세션연결

라우터

라우터

SA

2. Phase 2에서 데이터 암호화, 복호화하기 사용되는 비밀키 방식의 비밀키를

암호화하기 위한 개인키(공개키방식) 설정


Rip

3. 비밀키를 공유하기 위한 공개키방식 설정

비밀키 방식의 암호화된 비밀키

공개키 방식의 개인키, 공개키

비밀키

공개키방식으로비밀키암호화

키 분배

라우터

라우터

SA

키 분배에는 암호화와 인증이 사용됨

키 분배를 위해 ike프로토콜 이용함

ike프로토콜은 Key의 생성과 교환, 그리고, 안전성을 높이기 위해

열쇠의 정기적으로 갱신을 자동적으로 실시, 세션키를 통한 세션연결

키 분배를 받고 암호화된 비밀키를공개키방식으로복호화하여비밀키를 얻고

그 비밀키를 이용하여 데이터를 암호화하는 것임


Rip

IPSec의 동작

[Phase 2]

1. 데이터 암호화, 인증을 위한 방식 설정

암호화 방식 : 예)esp-3des

인증 방식 : 예)esp-sha-hmac

2. 데이터 암호화, 인증을 위한 세션 설정(설정없이 자동으로 설정됨)


Rip

ipsec소스내용를 크게 본다면

crypto map

crypto isakmp

phase 1

인터페이스

crypto map적용

crypto ipsec transform-set

phase 2


Rip

수동키를 이용한 ipsec (ccnp책 91쪽)

no crypto isakmp enable (자동키disable)

----------------------------------------------------------------------

설명 : isakmp은 phase1을 나타냄

----------------------------------------------------------------------

access-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255

!

crypto ipsec transform-set CISCO esp-des esp-md5-hmac

----------------------------------------------------------------------

설명 : phase2 설정 (데이터 암호화, 인증 설정)

----------------------------------------------------------------------

crypto map IPSEC 10 ipsec-manual

----------------------------------------------------------------------

설명 : crypto map을 통해서 ipsec을 interface에 적용하게 됨

IPSEC = crypto map의 이름, 10 = IPSEC에서 적용되는 순서를 나타냄

인증방식

암호화방식

IPSEC

10 나이

20 이름

30 성별


Rip

위의 내용을 이어서

ipsec-manual (수동키 설정)

----------------------------------------------------------------------

set peer 13.13.10.3 (상대방 phase2 장비의 주소)

set transform-set CISCO (앞에서 정의한 transform-set CISCO phase2 조건 적용)

set session-key outbound esp 768 cipher abcd1234 authenticator 1234

---------------------------------------------------------------------------

설명 : seesion-key (세션키 정의를 하겠다는 의미)

outbound (세션은 입력과 출력별 각각 필요)

esp 768 (세션키 정의, 상대방과 같아야 함)

chipher abcd1234 (암호화키 정의, 16진수 짝수이어야 함, 상대방과 같아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함)

authenticator 1234(인증키 정의, 16진수 짝수이어야 함, 상대방과 같아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함)

---------------------------------------------------------------------------

match address 110

(앞에서 정의한 access-list 110에 일치한다면 crypto map 적용)


Rip

자동키를 이용한 ipsec (ccnp책 95쪽)

acess-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255

crypto isakmp policy 10

----------------------------------------------------------------------------------------

isakmp (phase 1)적용, 자동키 사용 설정

10 = policy가 적용되는 순서를 나타냄

-----------------------------------------------------------------------------------------

encryption 3des (공개키방식의암호화방식 설정)

hash sha (공개키방식의 인증방식 설정)

group 2 (키 교환 방식 설정 – 밑의 authentication과는 별개, 비밀키를 어떻게 받을 것인가)

authentication pre-share (한번 비밀키를 정하고 바꾸지 않음)

-----------------------------------------------------------------------------------------

비밀키 방식의 비밀키를 어디서 받을 것인지 설정

키 분배 하는 방식

한번 비밀키 정해지면 바꾸지 않음

공개키 방식의 키를 생성하는 서버에서 받음

자동으로 ike에서 생성해서 받음

-----------------------------------------------------------------------------------------

policy

10 나이

20 이름

30 성별


Rip

crypto isakmp key 6 cisco address 13.13.10.3

---------------------------------------------------------------------------------------------

isakmp (phase 1을 나타냄)

6 (적용되는 순서를 나타냄)

cisco (비밀키 방식의 개인키 = phase 2에서 사용)

address (상대방의 ip주소를 설정)

여기까지가 phase 1설정

---------------------------------------------------------------------------------------------

crypto ipsec transform-set CISCO esp-3des esp-sha-hmac

---------------------------------------------------------------------------------------------

phase2 설정

---------------------------------------------------------------------------------------------

crypto map IPSEC 10 ipsec-isakmp

---------------------------------------------------------------------------------------------

set peer 13.13.10.3 (상대방 ip주소 설정)

set transform-set CISCO (crypto phase2의 설정 적용)

match address 110 (access-list 110에 해당되면 crypto map을 적용)

int s1/1.13

crypto map IPSEC (인터페이스에 crypto map 적용)

인증방식

암호화방식


Rip

수동키를 이용한 ipsec은 세션키를 설정해야하지만

자동키를 이용한 ipsec은 세션키를 자동으로 생성하여 자동설정함


Rip

ezvpn

인터넷망을 이용해서

외부 어디서든

회사 내부의 pc에 접속할

수 있도록 함

(내부에서 pc가 연결되었다고

가상으로 만듬)

internet

접속방법

1. 외부 라우터에서 접속

(설정필요)

2. 외부 pc에서 접속

(접속프로그램 필요)

회사내부(사설망)

가상 pc연결

192.168.1.0/24

(사설ip서버컴퓨터)


Rip

ezvpn소스 설명 (p111~p112의 내용 : server)

username admin privilege 15 password cisco

------------------------------------------------------------------------------------------

username (user이름 설정)

privileage (권한 설정)

password (암호 설정)

------------------------------------------------------------------------------------------

aaa new-model (aaa 새로 설정함)

aaa authentication login EZVPN_Client local

aaa authorization network EZVPN_Group local

------------------------------------------------------------------------------------------

authentication (인증설정) -> login(로그인 설정) -> EZVPN_Client(로그인 설정에 대한

이름을 설정) -> local(local DB의 정보를 참조하여 인증)

authorization (권한부여) -> network (Network Service 권한 설정, network 접속허가)

-> EZVPN_Group (권한 설정에 대한 이름을 설정)

-> local(local DB의 정보를 참조하여 권한부여)

--------------------------------------------------------------------------------------------

crypto isakmp policy 10

authentication pre-share

hash md5

encryption 3des

group 2


Rip

ezvpn소스 설명

ip local pool EZ_POOL 150.1.13.100 150.1.13.110

-------------------------------------------------------------------------------------------

local pool (접속이 허락되면 허락할 ip주소를 설정하겠음)

EZ_POOL (local pool의 이름 설정)

150.1.13.100 150.1.13.110 (150.1.13.100 ~ 150.1.13.110 사이의 ip주소를 할당함)

-------------------------------------------------------------------------------------------

crypto isakmp client configuration address-pool local EZ_POOL

-------------------------------------------------------------------------------------------

isakmp (crypto의 phase1 설정)

client configuration (접속이 허락된 client에대한 설정)

address-pool (주소를 설정하는 pool설정)

local EZ_POOL (local에 있는 EZ_POOL을 설정적용)

-------------------------------------------------------------------------------------------

crypto isakmp client configuration group EZ_Group

-------------------------------------------------------------------------------------------

group (그룹인증을 설정)

EZ_Group (그룹인증에 대한 이름설정)

-------------------------------------------------------------------------------------------

key cisco1234 (그룹에 대한 인증을 위한 암호(키)를 설정)

pool EZ_POOL (그룹에 위에서 설정한 EZ_POOL적용)

acl 113 (access-list 113을 적용, split 터널링 설정(터널기법을 사용함))


Rip

ezvpn소스 설명

crypto isakmpxauth timeout 45

--------------------------------------------------------------------------------------------

isakmpxauth (1.5phase로ipsec를 이용하기 위해서 id와 password를

물어보도록 설정)

time out (45초 이후에는 자동으로 id와 password 묻는 것을 종료, 접속끊음)

--------------------------------------------------------------------------------------------

access-list 113 permit ip 150.1.13.0 0.0.0.255 any

--------------------------------------------------------------------------------------------

가상으로 터널을 뚫도록 하기위해서 설정

--------------------------------------------------------------------------------------------

crypto ipsec transform-set TEST esp-3des esp-md5-hmac

crypto dynamec-map EZVPN 10

--------------------------------------------------------------------------------------------

crypto map (정해져 있는 장비 연결)

crypto dynamic-map (정해지지 않은 장비 연결)

--------------------------------------------------------------------------------------------

?

?

어디서에서 무슨 장비가 연결이 될 지 모름


Rip

ezvpn소스 설명

settransform-set TEST (phase2의 내용 crypto dynamic-map에 적용)

reverse-route (원래는 정보가 전달 될때 회사의 라우터까지 정보가 왔다가 가야 되지만

이 설정을 통해서 자신의 위치에 가까운 라우터의라우팅정보를 보고 정보가 전달 됨)

internet

회사내부(사설망)

가상 pc연결


Rip

ezvpn소스 설명

crypto map EZVPN client authentication list EZVPN_Client

crypto map EZVPN isakmp authorization list EZVPN_Group

crypto map EZVPN client configuration address respond

crypto map EZVPN 10 ipsec-isakmp dynamic EZVPN

-------------------------------------------------------------------------------------------

위의 2개는 aaa내용, 아래 2개는 vpn내용

인터페이스에는 crypto map만 적용 가능하므로 aaa와 vpn을 crypto map으로 변환시킴

respond (설정한 내용으로 반응을 함)

-----------------------------------------------------------------------------------------------

int s1/1

crypto map EZVPN (인터페이스에 crypto map을 적용)


Rip

ezvpn소스 설명 (p112~p113의 내용 : client)

crypto isakmp policy 10

authentication pre-share

hash md5

encryption 3des

group 2

crypto ipsec client ezvpnVPN_Connection (ezvpn의 client에 대한 crypto 설정)

connect auto (자동으로 연결함)

group EZ_Group key cisco1234 (이용할 수 있는 권한을 받기위한 그룹에 대한 내용을 입력)

mode network-extension (외부에서 접속을 가능하게 함)

peer 13.13.10.1 (상대방 ip주소)

int s1/1

crypto ipsec client ezvpnVPN_Connection outside (ezvpn을 연결할 라우터 쪽의 인터페이스

임을 나타냄)

int f0/1

crypto ipsec client ezvpnVPN_Connection inside (자신의 내부망을 연결하는 인터페이스임을

나타냄)

alias exec ezvpn crypto ipsec client ezvpnxauth

(exec명령어창에서 crypto ipsec client ezvpnxauth을 ezvpn명령어로 축약하여 사용)

alias exec bye clear ipsec client ezvpnVPN_Connection

(exec명령어창에서 clear ipsec client ezvpnVPN_Connection을 bye명령어로 축약하여 사용)


Rip

wan, lan둘다layer2에 속함

layer2는 같은네트워크를 나타냄

hub (하나의 collison)

switch (ethernet을 사용, collsion분할)

ethernet이 없으므로 데이터 전송시

충돌이 있음

숫자가 낮을수록 우선순위가 높음

모든 포트 열려있음

포트마다 cpu할당량이 있음

포트 0은기본 예약되어 있음


Rip

라우터

브로드캐스트 분할

숫자가 높을수록 우선순위 높음

모든 포트 닫혀있음


Rip

sw

pc 4: 192.168.1.4

mac : 444.444.444

pc 1: 192.168.1.1

mac : 111.111.111

데이터 전송시ip만 알고 mac address를 모를 때

1. 브로드캐스트 보냄

2. sw는 들어온 포트의 mac address 저장

3. sw는 flooding수행(들어온 곳 빼고 전부 데이터 전파)

4. 모든 pc는 들어온 패킷의 정보확인

5. 목적지에 해당하는 pc4에서 패킷을 확인하고 응답패킷 보냄


Rip

6. sw가 mac address를 보고 데이터를 보낸 pc1로 정보 전달

7. 알아낸 pc4의 mac address를 이용하여 패킷 보냄

8. pc1 -> sw -> pc4(icmp정보 전달)

pc4 -> sw -> pc1(icmp응답 정보 전달)


Rip

스위치 주요기능

ageing

flooding

filtering (들어온 패킷 포트로 패킷을 내보내지 않음 (loop방지))

forwarding

learning

브로드캐스트 많아지면 장비 부하, 대역폭 사용할 수 있는 양이 감소

vlan 2

vlan 1

vlan 3

vlan 4

vlan 4

vlan 5

trunk : 한 포트로 vlan을 여러 개 사용가능하게 함


Rip

v10

v10

v10

1

2

3

v30

v30

v20

v20

v20

2에 vlan 30에 대한 내용이 없으므로

vlan 30의 내용은 1 -> 3으로 전달 안됨

(trunk 설정해도 안됨)

서브인터페이스 – ethethernet불가능

fastethernet가능


Rip

vlan한번에 여러 개 추가하면 revision 1만 증가됨

일치시키는 개수만큼 revision수 증가

trans parent는 revision 무조건 0

server

client

일치

standard vlan, extended vlan설정 = trans parent

trans parent만 extendedvlan설정가능

standard vlan설정 = server 또는 client

no switchport <- l2 기능 끄기 (l3 스위치만 사용가능)

switchport <- l2 기능 사용


Rip

blk

기존 bpdu

자신이 만든 bpdu

root

back up

기존의 bpdu보다 오른쪽에서 들어온 bpdu가 안 좋으므로 오른쪽에서 들어온 bpdu

무시

20초 경과 후 밑에 쪽에서 연결이 오류되었다고 생각하고 blk된 것을 listen -> learning

->forwarding으로 상태변환 (50초 소요)

root-bridge와 back up-bridge 연결이 아닌 곳은 30초 소요


Rip

스위치끼리 trunk를 자동 잡음

access모드는 trunk 안 잡힘

access모드는 하나의 vlan만 사용 (다른 vlan이 없기 때문에 브로드캐스트

생성x)

access와 trunk를 연결하면 trunk가 안 잡힘

trunk면 모르는 vlan도 다른 곳에 전달

access면 모르는 vlan은 다른 곳에 전달x

1

①이 고장나면 1스위치는 blk포트를 열음

②이 고장나면 superior bpdu를 받게 되어

20초 후 listen상태가 됨

blk


Rip

loop guard현상

blk

①이 대역폭을 너무 사용하여 bpdu가 오지

못하여 blk이 열리는 현상이 자주 발생하는

현상

기존 pvst

rstp

root

root

tc

tcubpdu

tc

back up

back up

tc

tcu : 변경 승인 요청

tc : 변경 승인(root만 가능)

먼저 고친 후 tc보고

어디서든 tc발생


Rip

mst

v1 ~ 10 stp각각 하나의 그룹

v11 ~ 20 stp

v21 ~ 30 stp

mst 0 <- 설정하지 않은 모든 vlan을 관리

port-chanel에 trunk를 설정 -> interface에 적용됨

L3

L2

L2

L3

R

R

SW

SW

SW

SW

vlan에 ip에 대응되는 설정

vlan

ip

data

패킷


Rip

L3스위치

ip routing -> router 기능 사용

port-security

protect:설정한 mac만 허용

restict:추가설명내용

shutdown:설정한 mac주소 이외는 차단

sticky:처음 들어온 장비의 mac주소를 기억함(허용으로)

switchport port-security : 마지막에 이걸 넣어야 적용됨

switch mode access 여야함(trunk 모드이면 access보다 많은 vlan이 가능하므로

여러 mac주소가 들어오게 됨)


Rip

INTERNET

INTERNET

1

2

가상 라우터

가상라우터가1라우터를 기본으로 사용함

2라우터는대기중(포트열려있음)

1라우터가고장시가상라우터는2라우터 사용

가상라우터의 포트주소를 사용함

내부만 HSRP & VRRP 관리


Rip

라우팅프로토콜을이용할때고장시 다른 것으로 대체 – 약 30초

hsrpor vrrp이용시– 약 2초

INTERNET

mac을 얻기 위해 브로드캐스트를 이용

arp테이블을 만들때가상라우터의mac를

얻는데 그 mac주소는 규칙이 있음

hsrp–> vrrp (동시에 두가지 돌아가지 않음

장비 초기화하고 해야 함)


Rip

원래 스위치는 감시 안됨

스위치는 포트별로cpu사용량 할당됨

f0/0 – sw자체 사용

line vty 0 4

login local(local은 자신의 컴퓨터에서 정보를 참조한다는 뜻

원래는 서버주소가 적혀야 함)

privilige exec level 2 configure terminal

configure level 2 configure terminal

interface level 2 configure terminal

router level 2 configure terminal

r1(config-if)#

r1(config-router)#

r1#

r1(config)#


Rip

공개키 방식

자신

(a, p ,q)

암호화키: AK

상대편

(a, p ,q)

암호화키: Bk

암호화키 계산법 : pa mod q = Ak

복호화키 계산법 : Bk(상대방 암호화키)mod q = 복호화키

암호화키는 서로 다르고 복호화키는 서로 같음


Rip

ACL 에서

ip는 모든 트래픽의미

eq를 생략하면 any의 의미

=> 모든 포트 번호

출발지 주소 : 나가는 인터페이스가 됨 (어떤 프로토콜을 사용하던지)

telnet 연결 시도 끊는 단축키 = crtl + shift+6 다음에 x

telnet 150.1.13.254 80(포트번호) /source-interface f0/1(출발지 ip설정)

deny any any <- 방화벽개념

이것하기 전에 허용하고자 하는 것을 설정해놔야 함

establish 에서 RST는 RESET(강제종료)을 의미 (request x)


Rip

reflect ACL

트래픽을 못 나가도록 통제하는 목적이 아니라 나간 트래픽에 대한 응답의 내용을

받을 수 있도록 하기 위한 것


Rip

tcp

flag비트

fragementation offset -> 쪼개진 순서 나타냄

protocol -> L4(상위프로토콜)가 무슨 프로토콜을 나타내는지 표시

mr (1로 설정되면 뒤에 패킷이 더 있음을 의미)

자르지 말것

(1로설정시

패킷을 나누지 말것을 의미

1

1

1

0

L2

L3

L4


Rip

acl -=> layer4계층까지 밖에 안됨

cbac => 응용프로그램 계층까지 지원

cbac -> access-list

dos공격

host

1. host가 syc만 계속 보냄

2. server가 열 수 있는 포트제한

에 도달해서 더 이상 포트를

열 수 없음

라우터

① syc

②ack, syc

server

③ack를 주지않음


Rip

intercapt

host

1. host와 라우터가 간에

syn와 ack를 주고 받음

(라우터는임시로 server로 역할함)

2. ③ack가 오면 host와 server를 연결시킴

4. ③ack가 오지 않으면 라우터가 server이름으로

RST보냄

① syc

②ack, syc

라우터

③ack

server


Rip

intercapt

host

라우터는패킷을 감시만 하고 있음

③ack가 오지 않으면 라우터가

강제로 라우터가host이름으로

server에게 RST를 보냄

① syc

라우터

②ack, syc

③ack

server


Rip

queening

라우터

queen는 들어올때는 관련없음

나갈때만관련있음

Q

Q

인터페이스

queen

데이터가 쌓이고 이중 queen의 특성에 따라 데이터를 전송

queen의 특성(우선순위, 선착순 등…)

queen와 버퍼는 별개

queen는 인터페이스에서 사용되지만

버퍼는 정보를 받아 저장해놓는 공간


Rip

jitter (편차)

패킷 간의 전송간격(시간)

RTP(real time protocol) – 실시간 처리 해야하는 것 (예)음성

tcp통신시 window크기가 찼을 때 서로 통신하도록 되어 있음

type of service

예약이 되어있음

ip precedence (3bit)

0 1 2 3 4 5 6 7

dscp(6bit)

예약되어 있음

아무것도 아닌것 기본(무등급)


Rip

음성 트래픽 포트 = 16384 ~ 32767

cs3 001 | 00 | 0

af31 011 | 01 | 0

.

.

.

DE -> 패킷을DROP할때DE가 마킹되어 있으면 제일 먼저 drop


Rip

TC = BC의 내용이 꽉찬상태에서

완전비어 있게 되는데걸리는 시간

CIR

BC의 용량에 맞게 물(처리해야 할 일)을 채울

수 있음

BC

해야할 일을 수용할 수 있는 용량

주용량

일이 처리되면 BC의 용량이 처리된 만큼 증가

BE

보조용량


Rip

policing - 주로 입력에 사용됨(버리려면 받을 때 버려야 함)

shaping - 주로 출력에 사용됨(가지고 있다가 천천히 처리)

CAR(commit access rate)

numbered acl만 적용가능, named acl은 적용불가능

CIR : bit

BC : byte

MQC – 모든 단계에서 통합사용됨


Rip

본사

본사의 bandwidth가 지사들의 총 bndwidth보다

작으므로 입력 받기도 힘들어 출력을 못하므로

버퍼를 이용 나누어서 천천히 출력

1.5M

F/R

1M

1M

1M

1M

지사

지사

지사

지사


Rip

장비가 받을 수 있는 용량(임계치)

= 장비의 수용량– 장비가 받아 가지고 있는 아직 출력되지 않은 정보량

FRTS

min clr (BECN을 받으면 25%감소, 계속받으면 계속 25%감소하지만

minCIR까지만 감소)

입력속도 > 출력속도


Rip

Congestion Avoidance (장비의 임계값 초과시 어떻게 처리할 것인지?)

Conditioner (장비의 임계치(장비의 정보수용력)을 넘을 때 어떻게 처리?)

WFQ(단점:bandwidth 할당량 조절 불가)

custom-queue

3

2

1

0

4배

bandwidth 사용량 할당

3배

2배

큐는 입력 받을 것을 출력하는 데 쓰므로 출력하는데 사용


Rip

TCP는 ack가 안오면 전송량을 점차 줄였다가 일정시간이 지나면 다시 전송량 증가

(random에서 이 특징을 이용함)

아래 그림처럼 꽉 찼다가(100%) 내려갔다가(80%) 왔다 갔다 함


Rip

IP공간

ISP

R

SW

PBX

PSTN

VOICE 공간


Rip

IP망을 이용 <- 전화이용(아날로그 망)

ISP

아날로그(전화) -> 디지털(VOIP)

SW

이렇게 구성할 수 있지만

이렇게 하면 SW가 많이 필요

R

SW

디지털(전화) -> 디지털(IPT)


Rip

전화기

SW

음성, data는 서로 다른 vlan

R

ip를 라우터한테 받아옴(수동 셋팅x)


Rip

SW

vlan생성가능 (sw가 vlan을 나눠줌)

vlan생성x

ip정보 생성가능

SW

vlan생성x

PBX

전화걸면

신호보냄

전화걸음(call발생)

R

전화걸면

신호보냄

전화걸음(call발생)


Rip

CO스위치

전원과 정보를 같이 주는 스위치는 따로 있음

ip전화기 초기화 방법 : setting + ** + erase(상위버튼에서)

R

서브인터페이스(vlan구분)

컴퓨터(vlan)

전화(vlan)

SW


Rip

pstn망에서 사용되는 통신프로토콜

e1, t1

e1 = 16개 채널

t1 = 24개 채널

e1 = 0~14(사용가능 채널), 15(controll용 채널)

t1 = 0~22(사용가능 채널), 23(controll용 채널)


Rip

라우터와PSTN연결됨

IP지역이 동작이 안되면 PSTN지역을 통해서

연결

SW

R

PSTN

R

R


  • Login