IT 끄적이는 물고기

모든 글은 제가 공부하기 위해 편하게 기록하는 블로그입니다.

자세한 설명이 없거나 불편하실 수 있습니다. 감사합니다 !!

오늘은 EVE-NG에서 CISCO IOU/IOL 설정 하는법에 대해서 공부할거에요.

EVE-NG 관련 IOS 이미지도 받아오셔야 합니다. 구글링하면 금방 받을 수 있어요 !!

일단 FileZilla 를 설치해주세요.

filezilla-project.org/download.php?type=client

설치하실때 백신프로그램은 꺼주세요..

설치가 다됐으면 실행하여 호스트 / 사용자명 / 비밀번호 / 포트를 입력해주세요.

호스트는 VirtualBox에 자신의 IP를 넣어주시면 됩니다. (여러 프로토콜로 SSH, FTP 접속도 가능합니다.)

사용자명은 root, 비밀번호는 초기에 자신이 설정한 비밀번호, 포트는 22번으로 설정해주시면 됩니다.

이제 /root 경로가 아닌 리모트 사이트 부분에 직접 입력하시면 됩니다.

/opt/unetlab/addons/iol/bin 폴더로 들어가 CISCO IOU/IOL.bin 파일을 넣어주세요.

그리고 IOU / IOL을 사용하려면 license key가 필요합니다.

그리고 Virtualbox나 자신의 terminal 프로그램을 이용하여 접속합니다.

저는 SecureCRT를 이용하였습니다.

위와같이 입력해주세요.

경로로 이동하여 권한을 수정해주는 작업입니다.

cd /opt/unetlab/addons/iol/bin

/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

그리고 license key를 얻기위해 실행해 주세요.

python CiscoKeyGen.py 

중간에 이부분을 복사해 주세요.

[license]
eve-ng = 972f30267ef51616;

nano 에디터를 이용하여 nano iourc를 입력해 주세요.

아까 복사한 라이센스를 입력하고 ctrl + x 키를 누르고 y를 눌러 저장한다음 enter키를 눌러 나와주세요.

그럼이제 iourc가 저장된 모습을 볼 수 있습니다.

이제 EVE-NG 사이트를 들어가 Add an object를 눌러 Cisco IOL을 눌러주세요.

L2인지 L3인지 선택해주고 Icon, name을 적어주세요.

이제 만들어진 스위치로 우측 클릭하시고 Start 눌른 후 더블클릭 해주시면 콘솔창이 나옵니다.

감사합니다.

모든 글은 제가 공부하기 위해 편하게 기록하는 블로그입니다.

자세한 설명이 없거나 불편하실 수 있습니다. 감사합니다 !!

오늘은 EVE-NG 설치 및 설정 하는법에 대해서 공부할거에요.

일단 VM VirtualBox, VMware 가 설치되어 있어야 합니다.

EVE-NG 관련 IOS 이미지도 받아오셔야 합니다. 구글링하면 금방 받을 수 있어요 !!

먼저 www.eve-ng.net/index.php/download/#DL-COMM 접속하셔서 Free EVE Community Edition을 눌러주세요.

설치가 완료 되면 VirtualBox를 실행해서 새로만들기 눌러주시고 설치한 파일을 불러와 주세요.

그리고 설정을 해야하는데 그냥 작동시키면 WARNING : neither Intel VT-x or AMD-V found 가 발생합니다.

그래서 문제를 해결해줘야 하는데요.

설정 누르고 시스템에 프로세서 부분을 보면 네스티드 VT-x / AMD-V 사용하기가 있는데 아마 회색에 체크가 안될수도 있습니다.

여기서 명령 프롬프트 window + R 키를 눌러 실행창에 cmd 쳐주시면 됩니다.

위와 같이 VirtualBox를 설치한 경로로 이동을 합니다.

그리고 VBoxManage modifyvm <VM-NAME> --nested-hw-virt on 입력해 주세요.

VirtualBox를 기본으로 설치하셨다면 저와 같은 위치에 설치가 되어 있을거에요.

확인을하고 EVE-NG를 작동시켜주세요.

그리고 쭉 넘기다보면 EVE가 설치 완료 되었습니다 .!!

이제 아까 설정한 root / 설정한 암호 입력해주면 아래와같이 나옵니다.

이제 크롬을 켜서 위에 Virtualbox에 나와있는 자신의 IP를 넣어주세요.

그리고 https://www.eve-ng.net/index.php/download/#DL-LIN 에서 자신에 운영체제에 맞는 Client Pack을 설치해주세요.

이제 편하게 네트워크 공부하세요 !!

감사합니다.

모든 글은 제가 공부하기 위해 편하게 기록하는 블로그입니다.

자세한 설명이 없거나 불편하실 수 있습니다. 감사합니다 !!

오늘은 Kali linux 2020 무선랜 설정하는 법에 대해서 공부할거에요.

현재 사용중인 버전 입니다.

VMware : 15.5.6 build-16341506

Kali linux : kali-linux-2020.2

무선랜 : TPLink Archer T4U v3

접속하실때에는 root 계정을 사용합니다.

먼저 무선랜을 연결해서 VMware에서 연결됐는지 확인을 해야합니다.

아래와 같이 모델명이랑 Disconnect가 보이면 연결된 상태입니다.

하지만 네트워크 상태를 봤을때에는 연결이 안된 상태입니다.

root@kali:~# ifconfig

root@kali:~# iwconfig

아래 명령어를 입력하여 업데이트를 해주세요.

root@kali:~# apt-get clean
root@kali:~# apt-get update
root@kali:~# apt-get upgrade

아래 명령어를 입력해주시고 Y를 눌러 업데이트를 해주세요.

root@kali:~# apt-get install linux-headers-$(uname -r)

이제 https://github.com/neojou/rtw88-usb 주소로 가서 오른쪽 초록색 버튼 

Clone or download를 눌러 URL주소 옆에 복사를 눌러주세요.

해당 무선랜 드라이브는 rtw88 입니다.

사용 가능한 칩셋 Driver for 802.11ac

• RTL88x2BU
• RTL88x2CU

해당 칩셋을 사용하는 모델

• ASUS AC-53 NANO
  
• ASUS AC-55 (B1) AC1300
  
• Edimax EW-7822ULC
  
• Netgear AC6150
  
• TPLink Archer T4U v3

아래 명령어를 사용하여 rtw88-usb를 받아주세요.

root@kali:~# git clone https://github.com/neojou/rtw88-usb.git

root@kali:~# cd rtw88-usb/

root@kali:~/rtw88-usb# make clean
root@kali:~/rtw88-usb# make

root@kali:~/rtw88-usb# mkdir -p /lib/firmware/rtw88

root@kali:~/rtw88-usb# cp fw/rtw8822* /lib/firmware/rtw88/

root@kali:~/rtw88-usb# cp rtw88.ko /lib/modules/`uname -r`/kernel/drivers/net/wireless/realtek/rtw88

root@kali:~/rtw88-usb# cp rtwusb.ko /lib/modules/`uname -r`/kernel/drivers/net/wireless/realtek/rtw88

root@kali:~/rtw88-usb# depmod -a

root@kali:~/rtw88-usb# echo -e "rtw88\nrtwusb" > /etc/modules-load.d/rtwusb.conf

root@kali:~/rtw88-usb# systemctl start systemd-modules-load

root@kali:~/rtw88-usb# reboot

재부팅 후에 wlan0이 생긴 모습을 볼 수 있습니다.

root@kali:~# ifconfig

root@kali:~# iwconfig

아래 명령어를 이용하여 monitor mode도 사용이 가능합니다.

root@kali:~# airmon-ng start wlan0 

감사합니다.

모든 글은 제가 공부하기 위해 편하게 기록하는 블로그입니다.

자세한 설명이 없거나 불편하실 수 있습니다. 감사합니다 !!

오늘은 Kali linux 2020 한글패치 하는법에 대해서 공부할거에요.

일단 Kali linux 설치한 상태에서 실행시키면 한글이 깨지는 현상이 나타납니다.

일단 관리자 계정 비밀번호부터 설정을 해야합니다.

jinsu@kali:~$ sudo passwd

입력하면 사용자 계정 비밀번호를 입력하라는 창이 뜹니다.

먼저 사용자 계정 비밀번호부터 입력해주세요

사용자 계정 비밀번호를 입력하고 나면 관리자 계정 비밀번호를 설정할 수 있습니다.

한글이 깨져서 안보이지만 root 계정 비밀번호를 입력하라는 창이 뜹니다.

root 계정 비밀번호를 두번 입력해주면 설정이 완료 됩니다.

이제 오른쪽 위에 자물쇠를 눌러 계정을 나가주세요.

관리자 권한인 root 계정으로 로그인을 해주세요.

root 계정으로 로그인 하셨으면 터미널을 켜주시고 

root@kali:~# apt update 

업데이트가 완료 됐으면

root@kali:~# apt install fonts-nanum -y 

업데이트가 완료 됐으면 Firefox를 이용해서 한글을 확인해보세요.

한글에 이상이 없으면 한글 자판을 업데이트 해줘야합니다.

root@kali:~# apt install fcitx-lib* -y

업데이트가 끝났으면 마지막으로 reboot을 해주세요.

root@kali:~# apt install fcitx-hangul -y 

root@kali:~# reboot

감사합니다.

모든 글은 제가 공부하기 위해 편하게 기록하는 블로그입니다.

자세한 설명이 없거나 불편하실 수 있습니다. 감사합니다 !!

오늘은 Kali linux 다운로드 설치와 설정하는법에 대해서 공부할거에요.

먼저 www.kali.org/downloads/ 접속하셔서 원하는 버전을 설치해주세요.

저는 kali-linux-2020.2-installer-amd64.iso 파일을 받아서 연습해볼거에요

이제 VMware을 실행해주세요

Linux로 눌러주시고 Version은 Kali linux의 기본 베이스인 Debian 최신버전으로 설정해주세요.

저는 disk size를 256GB로 설정하고 single file로 설정했어요.

저는 Memory를 4GB로 맞추고 Processors를 4core로 설정했습니다

저는 아시아, 한국, 대한민국 등등으로 설정을 했습니다.

봐주셔서 감사합니다.

다음편에는 Kali linux 한글패치에 대해서 공부해볼게요.

모든 글은 제가 공부하기 위해 편하게 기록하는 블로그입니다.

자세한 설명이 없거나 불편하실 수 있습니다. 감사합니다 !!

오늘은 Python 다운로드 설치와 설정하는법에 대해서 배워볼거에요.

먼저 https://www.python.org/ 사이트로 접속해 주세요.

Download Python 3.8.3 을 눌러서 설치해주세요.

다른 버전 설치를 원하시면 메뉴에서 Downloads 눌러보시면 나옵니다.

설치가 완료 됐다면 Close를 눌러주세요.

감사합니다.

Port-Security 란?

특정 포트에 Port-Security 기능을 사용하여 포트에 학습할 수 있는 MAC주소의 수를 제한하거나 포트에 MAC 주소를 설정하여 허가된 MAC 주소만 접속 가능하도록 설정하는 것입니다. 

사용 목적

• 스위치는 하나의 포트에 여러 개의 MAC주소를 학습할 수 있도록 되어있고 제한이 없다.
• 이러한 점을 이용하여 여러 개의 MAC주소를 학습하게 하여 스위치의 MAC Address table을 가득차게 만들고 더이상 MAC주소를 학습하지 못하게 된 스위치는 그 이후에 들어오는 모든 Frame을 Flooding 시켜 허브처럼 동작하게 만든다. 이러한 공격하는 기법을 MAC Flooding Attack이라고 한다.
• 내부 네트워크까지 침입한 공격자는 Sniffing 환경을 구성하여 중간에서 패킷을 훔쳐볼 수 있다. 이런 공격으로 대표적인 것은 MAC주소를 변경하여 네트워크 시스템에 들어갈 수 있는 ARP Spoofing이 있다.

이제 실습을 해보겠습니다.

SW1 가지고 있는 MAC 주소

SW1#show mac address-table 
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 100    0050.7966.6802    DYNAMIC     Et1/0
 100    0050.7966.6804    DYNAMIC     Et1/1
 100    0050.7966.6805    DYNAMIC     Et1/2
Total Mac Addresses for this criterion: 3

SW2 가지고 있는 MAC 주소

SW2#show mac address-table 
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 100    0050.7966.6806    DYNAMIC     Et1/2
 100    0050.7966.6807    DYNAMIC     Et1/1
 100    0050.7966.6808    DYNAMIC     Et1/0
Total Mac Addresses for this criterion: 3

Port-Security 활성화

SW1(config)#interface ethernet 1/0
SW1(config-if)#switchport port-security

Port-Security 학습 가능한 최대 MAC주소 개수 설정

SW1(config)#interface ethernet 0/0 
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 5 (기본은 1개 장비마다 다르지만 최대 4097개까지 가능)

SW2에 MAC주소는 총 3개 입니다. 하지만 Maximum을 2개로 테스트 했을 경우 Log 입니다.

SW1(config-if)#switchport port-security maximum 2

Port-Security의 학습 3가지 방식

Static Port-Security MAC Address

특정 포트에 사용할 사용자의 MAC주소를 직접 입력하여 설정하고 NVRAM에 저장할 수 있다.

SW1(config)#int ethernet 1/0
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address 0050.7966.6804

해당 포트에 다른 MAC주소를 설정해놨을때 차단되었다는 Log 입니다.

Dynamic Port-Security MAC Address

특정 포트에 사용할 사용자의 MAC주소를 동적으로 학습하지만 학습한 MAC주소는 NVRAM에 저장할 수 없다

스위치가 Reboot이 되면 Port-Security에 학습했던 MAC주소는 삭제된다.

(명령어 X)

Sticky Port-Security MAC Address

특정 포트에 사용할 사용자의 MAC주소를 동적으로 학습하고, 학습한 MAC주소는 NVRAM에 저장할 수 있다.

스위치가 Reboot이 되어도 Port-Security에 학습했던 MAC주소는 NVRAM에 저장된다.

SW1(config)#interface ethernet 0/0
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address sticky

Port-Security Violation Mode 3가지

Violation shutdown

Port-Security가 동작하는 포트에서 위반했을 경우 해당 포트는 Shutdown이 되며 err-disabled 상태로 넘어간다.

Port-Security Default Violation 이다.

SW1(config)#interface ethernet 0/0
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address 0050.7966.6804
SW1(config-if)#switchport port-security violation shutdown

Violation restrict

Port-Security가 동작하는 포트에서 위반한 MAC주소를 가진 장비의 모든 Frame을 Drop시킨다.

Drop과 동시에 위반한 MAC주소에 대해서 Log가 발생한다.

SW1(config)#interface ethernet 0/0
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 2
SW1(config-if)#switchport port-security violation restrict

최대 2개까지 가능하게 했을때 0050.7966.6806의 MAC주소가 제한 되었다는 Log 입니다.

Violation protect

Port-Security가 동작하는 포트에서 위반한 MAC주소를 가진 장비의 모든 Frame을 Drop시킨다.

restrict와 동일하게 동작하지만, protect는 Log를 발생시키지 않는다.

SW1(config)#interface ethernet 0/0
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 2
SW1(config-if)#switchport port-security violation
SW1(config-if)#switchport port-security violation protect

Port-Security Aging Time 2가지

특정 포트에 Port-Security가 동작하면 해당 포트의 연결된 장비의 MAC주소에 대한 유지 시간을 설정할 수 있다.

포트의 MAC주소 개수를 제한하면서 기존의 MAC주소를 수동으로 삭제하지 않고 aging time을 설정하여 관리할 수 있다. 기본 aging time 은 0분이고 최대 1440분이다.

Absolute

특정 포트 Port-Security에 등록된 MAC주소가 설정한 aging time이 만료되어야 Port-Security에 등록된 MAC주소가 삭제된다. 

SW1(config)#interface ethernet 0/0
SW1(config-if)#switchport port-security 
SW1(config-if)#switchport port-security aging time 10
SW1(config-if)#switchport port-security aging type absolute 

Inactivity

특정 포트 Port-Security에 등록된 MAC주소로 설정한 aging time동안 Data Traffic이 없는 경우에 해당 Port-Security에 등록된 MAC주소가 삭제된다.

SW1(config)#interface ethernet 0/0 
SW1(config-if)#switchport port-security  
SW1(config-if)#switchport port-security aging time 10
SW1(config-if)#switchport port-security aging type inactivity

해당 포트에 Port-Security 설정 확인입니다.

SW1#show port-security interface ethernet 0/0
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0050.7966.6806:100 - 가장 마지막에 연결된 MAC주소
Security Violation Count   : 20 - 위반된 MAC주소 횟수

저는 스탠다드로 이렇게 사용합니다.

SW1(config)#interface ethernet 0/0 
SW1(config-if)#switchport port-security  
SW1(config-if)#switchport port-security aging time 1
SW1(config-if)#switchport port-security aging type inactivity
SW1(config-if)#switchport port-security maximum 5
SW1(config-if)#switchport port-security violation restrict

감사합니다 !!

부족한 부분이나 빠진 부분이 있으면 댓글로 남겨주세요.

자세한 내용은 CISCO 홈페이지에서 확인 가능합니다.

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/port_sec.html#wp1054687

네트워크 공부를 하거나 실습을 하기 위해서는 시뮬레이션 프로그램 중에서 GNS3 만큼 좋은게 없다 !!

이제 GNS3 프로그램을 설치 및 설정 과정을 설명해 드리겠습니다.

참고로 제가 공부하기 위해 편하게 기록하는 블로그입니다.

자세한 설명이 없거나 불편하실 수 있습니다. 감사합니다 !!

오늘은  IOUKeygen과 GNS3 & Virtualbox 연동 설정하는 법을 배워볼거에요.

1편을 못보신 분들은 참고해주세요.

https://light-touch-fish.tistory.com/10

IOU L2, L3 이미지이름으로 구글 검색만 하셔도 바로 나옵니다.

i86bi-linux-l2-ipbasek9-15.1a.bin

i86bi-linux-l3-adventerprisek9-15.5.2T.bin

wget http://www.ipvanquish.com/download/CiscoIOUKeygen3f.py 

python3 CiscoIOUKeygen3f.py

다음에는 스위치에 대해서 공부해봐요 !!

네트워크 공부를 하거나 실습을 하기 위해서는 시뮬레이션 프로그램 중에서 GNS3 만큼 좋은게 없다 !!

이제 GNS3 프로그램을 설치 및 설정 과정을 설명해 드리겠습니다.

참고로 제가 공부하기 위해 편하게 기록하는 블로그입니다.

자세한 설명이 없거나 불편하실 수 있습니다. 감사합니다 !!

오늘은 GNS3 와 Virtualbox 를 설치 및 설정하는 것을 배워볼거에요.

Virtualbox를 설치하면서 큰 문제는 없으니 next를 누르시면서 설치해주세요.

다음편에는 IOUKeygen과 GNS3 & Virtualbox 연동 설정하는 법을 공부하겠습니다.

RIP(Routing Information Protocol) 이란 ?

• RIP(Routing Information Protocol)은 이동 할 수 있는 경로 수(hop count)를 metric하여 사용한다.
  
• 목적지까지 가능 경로가 2개 이상 있을 경우, 목적지까지 도달하는데 필요한 라우터 개수가 가장 적은 쪽의 경로를 최적의 경로로 선출하여 라우팅 테이블에 등록하여 사용한다.
• hop count란 경로를 통과할 수 있는 장치의 수입니다.
  같은 네트워크는 0의 metric을 가지고 다른 네트워크는 1로 계산하여 최대 15의 metric을 가진다.
• 제한적인 경로 때문에 소규모 네트워크 환경이나 네트워크 변화가 적은 환경에서 사용하기 적합하다.

*metric이란?

목적지로 가는 경로가 여러개일 경우 알고리즘을 통하여 경로값을 계산해 메트릭이 낮게 나오는 경로를 최적 경로로 선출하는데 사용합니다. 

RIPv1 특징

• 서브넷 정보가 없는 라우팅을 전송하는 Classful routing protocol
• 인접라우터 간에 브로드캐스트 패킷(UDP / port : 520)을 사용하며 라우팅 정보를 교환한다.
• 목적지에 대한 최적 경로가 2개 이상이면 라우터는 균등하게 패킷을 분산 처리한다.

RIPv2 특징

• 서브넷 정보가 있는 라우팅을 전송하는 Classless routing protocol
• 인접라우터 간에 멀티캐스트 패킷을 사용하여 라우팅 정보를 교환한다.
• 다른 Dynamic Routing들과 같이 라우팅 정보를 인증할 수 있어 보안성이 강화된다.
• 라우팅 정보를 교환할 때 tag를 설정할 수 있어 경로 관리가 편리하다.
• 패킷에 Next-hop을 표시하여 불필요한 경로를 방지한다.

RIP Timer

주기적인 RIP 라우팅 업데이트를 할 때 시간 간격을 제어하거나,

네트워크 토폴로지가 변경될 때 RIP 경로를 갱신할 때 사용된다. 

• Update Timer (0 ~ 30초)
  주기적으로 라우팅 업데이트할 때 사용되는 시간 (수신하면 0초로 리셋)
• Invaild Timer (30 ~ 180초)
  라우터가 다른 라우터로부터 180초 이상 업데이트를 받지 못하는 경우 
  업데이트 하지 않는 라우터의 경로를 사용 할 수 없는 경로로 표시한다.
• Hold Down Timer (180 ~ 360초)
  라우팅 업데이트를 수신하지 않는다.
• Flushed Timer (0 ~ 240초)
  라우터가 다른 라우터로부터 240초 이상 업데이트를 받지 못하는 경우
  업데이트 하지 않는 라우터의 모든 라우팅 테이블 항목을 제거한다.

RIP Timer 설정하는 법

R0(config-router)#timers basic update invalid holddown flush

R0(config-router)#timers basic 50 100 150 300

Cisco Packet Tracer 프로그램을 사용하여 구성했습니다.

이제 RIPv1 설정 명령어를 알아봅시다.

R0 라우터

R0(config)#router rip

R0(config-router)#network 10.10.10.0

R0(config-router)#network 20.20.20.0

R1 라우터

R1(config)#router rip

R1(config-router)#network 20.20.20.0

R1(config-router)#network 50.50.50.0

R1(config-router)#network 60.60.60.0

R2 라우터

R2(config)#router rip

R2(config-router)#network 60.60.60.0

R2(config-router)#network 100.100.100.0

R2(config-router)#network 150.150.150.0

R3 라우터

R3(config)#router rip

R3(config-router)#network 150.150.150.0

R3(config-router)#network 200.200.200.0

 - 라우팅 설정 완료 후 - 

R0#sh ip route rip

20.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

R 50.0.0.0/8 [120/1] via 20.20.20.2, 00:00:02, GigabitEthernet0/0

R 60.0.0.0/8 [120/1] via 20.20.20.2, 00:00:02, GigabitEthernet0/0

R 100.0.0.0/8 [120/2] via 20.20.20.2, 00:00:02, GigabitEthernet0/0

R 150.150.0.0/16 [120/2] via 20.20.20.2, 00:00:02, GigabitEthernet0/0

R 200.200.200.0/24 [120/3] via 20.20.20.2, 00:00:02, GigabitEthernet0/0

* R - RIP 라우팅 사용 

* 200.200.200.0/24 - 목적지 네트워크

* [120/3] via 20.20.20.2 - hop count 와 패킷이 나가는 인접한 인터페이스 IP

* 00:00:02 - 인접한 라우터와 라우팅 업데이트 후 시간

* GigabitEthernet0/0 - 패킷이 나가는 인접한 인터페이스

*RIPv1의 문제점

Classful routing protocol을 사용하여 서브넷 경계가 자동요약이 일어나기 때문에 서브넷 구간에 라우팅 문제가 발생할 수 있습니다.

*해결방법

Offset-list를 이용하여 경로로 들어오는 metric과 나가는 metric 을 증가시킨다.

R0(config-router)#offset-list [access-list-number | access-list-name] {in | out} offset [interface-type interface-number]

R0(config-router)#offset-list 98 in 1 fastEthernet 0/2

이제 RIPv2 설정 명령어를 알아봅시다.

기본 구성은 RIPv1 이랑 같습니다.

R0 라우터

R0(config)#router rip

R0(config-router)#version 2

R0(config-router)#no auto-summary

R0(config-router)#network 10.10.10.0

R0(config-router)#network 20.20.20.0

R0(config-router)#passive-interface gigabitEthernet 0/0  (Gi0/0으로 업데이트 하지 않는다.)

R1 라우터

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-router)#network 20.20.20.0

R1(config-router)#network 50.50.50.0

R1(config-router)#network 60.60.60.0

R2 라우터

R2(config)#router rip

R2(config-router)#version 2

R2(config-router)#no auto-summary

R2(config-router)#network 60.60.60.0

R2(config-router)#network 100.100.100.0

R2(config-router)#network 150.150.150.0

R3 라우터

R3(config)#router rip

R3(config-router)#version 2

R3(config-router)#no auto-summary

R3(config-router)#network 150.150.150.0

R3(config-router)#network 200.200.200.0

*RIPv1 문제를 해결하기 위한 RIPv2

Classless routing protocol을 사용하여 no auto-summary 명령어를 이용하여 자동요약을 해지시킨다.

Passsive-interface 명령어를 사용하여 불필요한 인터페이스로 RIP 업데이트 전송하는 패킷을 차단시킨다.

R0#sh ip route rip

30.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

R 30.0.0.0/8 [120/3] via 20.20.20.2, 00:00:09, GigabitEthernet0/0

R 30.30.30.0/30 [120/3] via 20.20.20.2, 00:00:09, GigabitEthernet0/0

50.0.0.0/24 is subnetted, 1 subnets

R 50.50.50.0 [120/1] via 20.20.20.2, 00:00:09, GigabitEthernet0/0

60.0.0.0/30 is subnetted, 1 subnets

R 60.60.60.0 [120/1] via 20.20.20.2, 00:00:09, GigabitEthernet0/0

100.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

R 100.0.0.0/8 [120/2] via 20.20.20.2, 00:00:09, GigabitEthernet0/0

R 100.100.100.0/24 [120/2] via 20.20.20.2, 00:00:09, GigabitEthernet0/0

150.150.0.0/16 is variably subnetted, 2 subnets, 2 masks

R 150.150.0.0/16 [120/2] via 20.20.20.2, 00:00:09, GigabitEthernet0/0

R 150.150.150.0/30 [120/2] via 20.20.20.2, 00:00:09, GigabitEthernet0/0

R 200.200.200.0/24 [120/3] via 20.20.20.2, 00:00:09, GigabitEthernet0/0

* MD5 해시

MD5 해시 함수를 이용하여 라우팅 정보를 인증할 수 있는 기능이 있습니다.

수신한 라우팅 정보가 인증이 맞지 않는다면 라우터는 수신한 라우팅 정보를 무시하고 폐기시켜 버립니다.

R0(config)# key chain (name-of-chain)

R0(config-keychain)# key (number)

R0(config-keychain-key)# key-string (string)

R0(config)#interface (type number)

R0(config-if)# ip rip authentication key-chain (name-of-chain)

R0(config-if)# ip rip authentication mode {text | md5}

R0(config)# key chain rip-md5 - 인접한 라우터간 Chain name은 달라도 됨

R0(config-keychain)# key 123123 - 인접한 라우터간 number 동일해야 함

R0(config-keychain-key)# key-string abcdef - 인접한 라우터간 string 동일해야 함

R0(config)# interface gigabitEthernet 0/0

R0(config-if)# ip rip authentication key-chain rip-md5

R0(config-if)# ip rip authentication mode md5

Loop 방지를 위한 기능들 

*트리거드 업데이트 방식

WAN처럼 대역폭이 제한된 네트워크 주기적으로 라우팅 업데이트 하는 대신, 변화가 있을 때 라우팅 업데이트를 한다.

(WAN Point-to-Point, 시리얼 인터페이스에서만 지원)

R1(config)#int serial 0/0
R1(config-if)#ip rip triggered

*루트 포이즈닝

특정 네트워크가 장애나 삭제된 것을 인식한 라우터가 인접 라우터에게 metic 16 정보를 광고하여 더 이상 도달할 수 없는 네트워크 정보를 업데이트 해준다.

R1(config)#interface ethernet 1/2

R1(config-if)#ip rip poison-reverse

*스프릿 호라이즌

라우팅 정보를 수신한 라우터는 전달해준 인터페이스 포트를 기록해두고 해당 인터페이스로는 동일한 라우팅 정보를 중복 전달하지 않는다.

R0(config)#interface gigabitEthernet 0/0

R0(config-if)#ip split-horizon

감사합니다 !!

자세한 내용은 CISCO 홈페이지에서 확인 가능합니다.

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_rip/configuration/15-mt/irr-15-mt-book/irr-cfg-info-prot.html#GUID-B773C338-DC20-4DC0-9B21-F6E9FE0921BC