ICT보안실무_DHCP Relay Agent

<ASW>

conf t

vtp mode transparent

vlan 10

vlan 20

vlan 999

exit

int range fa 1/0 - 15

shut

!

int fa 1/0

sw mo acc

sw acc vlan 10

no shut

!

int fa 1/1

sw mo acc

sw acc vlan 20

no shut

!

int fa 1/15

sw mo trunk

sw trunk allowed vlan 1,10,20,1002-1005

sw trunk native vlan 999

no shut

!

<DSW1>

conf t

vlan 10

vlan 20

vlan 999

exit

int range fa 1/0 - 15

shut

!

int fa 1/0

sw trunk encapsulation dot1q

sw trunk allowed vlan 1,10,20,1002-1005

sw trunk native vlan 999

sw mo trunk

no shut

!

int fa 1/15

no switchport

ip add 10.10.100.2 255.255.255.252

no shut

!

int fa 1/1

no switchport

ip add 10.10.250.254 255.255.255.0

no shut

!

int vlan 10

ip add 10.10.10.254 255.255.255.0

!

int vlan 20

ip add 10.10.20.254 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 fa 1/15 10.10.100.1

<CE>

conf t

int fa 0/1

ip add 10.10.100.1 255.255.255.252

ip nat inside

no shut

!

int fa 0/0

ip add dhcp

ip nat outside

no shut

!

ip route 10.10.0.0 255.255.0.0 fa 0/1 10.10.100.2

ip route 0.0.0.0 0.0.0.0 f0/0 192.168.104.1

access-list 10 permit 10.10.0.0 0.0.255.255

ip nat inside source list 10 int fa 0/0 overload

==================================================================

## DHCP_Relay Agent ##

- Client와 DHCP Server가 서로 다른 network에 포함되어

 있는 경우 Client가 전송한 DHCP Discover 메시지가

 Server에게 전송될 수 없다.

 이유는 DHCP Discover 메시지는 Broadcast 방식으로

 전송되기 때문이다.

- 위와 같은 문제를 해결하기 위해서는 Client와 Server

  사이에 위치한 L3 Deivce를 [Relay Agent]로 구성해야 한다.

  (만약 다수의 L3 Device가 위치한 경우 Client와 가장

   가까운, 즉 Broadcast를 직접 수신한 장비가 Relay Agent로

   동작한다.)

- Relay Agent는 특정 Protocol이 전송한 Broadcast 트래픽을

 Unicast로 변환시켜 전송하는 것이다.

  => 이러한 동작을 [ip helper-address]라고 한다.

<DSW>

conf t

int vlan 10

ip helper-address 10.10.250.1

!

int vlan 20

ip helper-address 10.10.250.1

!

=> [ip helper-address] 명령어는 Broadcast를 수신하는 L3

 interface에 입력해야 한다. (gateway 이중화 설정과 동일)

- Relay Agent는 Client가 전송한 Discover/Request 메시지를

 Server에게 중계하는 경우 원본 메시지의 내용을 다음과

 같이 변경하여 전송한다.

  => Source-Port : 68 -> 67번

  => Destination-Port : 67 -> 68번

  => Source-IP : 0.0.0.0 -> 수신 interface IP 주소

  => Destination-IP : 255.255.255.255 -> helper-address

  => Discover 메시지 내부에 ‘Relay-Agent’ 주소가 추가

- DHCP Server는 Discover 메시지 내부의 Relay agent IP 대역을 확인하고,

 해당 대역의 Pool에서 IP 정보를 할당하기 때문에 다수의 Network가 존재

 하는 경우에도 정확한 대역의 IP 정보를 할당할 수 있다.

==================================================================

en

conf t

no ip domain loo

line con 0

exec-time 0 0

logging syn

privilege level 15

!

int range e 0/2 - 3, e 1/0 - 3, e 2/0 - 3, e 3/0 - 3

shut

!

## EtherChannel ##

- EtherChannel은 Cisco 용어이고, 다른 밴더에서는 ‘Link-

 Aggregation’ 혹은 ‘Trunk’라고 표현하기도 한다.

(Cisco에서 Trunk라고 사용되는 용어를 다른 벤더에서는

‘Tagged포트’라고 표현하기도 한다.)

- 두 개의 Switch에 2개 이상의 포트를 연결할 경우 STP

 동작에 의해서 Block 포트가 생성되기 때문에 모든

 포트를 동시에 사용할 수 없다.

 이 경우 EtherChannel을 사용하게 되면 다수의 Link를

 하나의 논리적 Port로 묶어서 사용하기 때문에 STP가

 동작하지 않고, 동시에 모든 포트를 사용할 수 있다.

- 만약 100Mbps 포트 2개를 EtherChannel로 묶게 되면

  200Mbps의 논리적 포트 하나로 사용이 가능하다.

- EtherChannel 협상 프로토콜의 종류는 다음과 같다.

1) PAgP(Port Aggregation Protocol)

 => Cisco 전용, 최대 8개의 물리적 포트를 하나의 논리적

       포트로 묶는 것이 가능하다.

 => PAgp 협상 모드에는 desirable(능동)과 Auto(수동)가 있다.

2) LACP(Link Aggregation Control Protocol)

 => 표준(IEEE) 방식, 최대 16개의 포트를 묶을 수 있지만

      실제 전송에 사용되는 포트는 8개이고, 나머지 8개는

       Backup 용도이다.

 => LACP 협상 모드에는 Active(능동)과 Passive(수동)가 있다.

- Access / Trunk / Routed(L3) 포트를 EtherChannel로 묶는 것이 가능하다.

 주의점은 하나의 논리적 Port로 묶이는 실제 물리적 포트의 상태가

 서로 일치해야 한다.

   => Access의 경우 할당 VLAN / Duplex / Speed 등의 내용이 서로

        일치해야 묶는 것이 가능하다.

   => Trunk의 경우 encapsulation 방식(dot1q or isl)/ allowed vlan/

         native VLAN 등의 내용이 일치해야 묶는 것이 가능하다.

- 논리적인 포트(Port-channel)로 묶은 이후에 설정을 변경하려는 경우, 실제

 물리적 포트가 아니라 논리적 포트인 ‘port-channel’에서 설정을 변경해야

 한다.

- EtherChannel은 다양한 방식으로 Load-balancing이 가능하다.

 현재 장비의 load-balancing 방식은 [show etherchannel load-balance]

 명령어로 확인이 가능하다.

 만약 load-balancing 방식을 변경하고 싶은 경우에는 [port-channel

  load-balance ?] 명령어로 변경이 가능하다.

** IOU의 경우 L3 EtherSwitch 모듈의 경우 Switchport(L2) 포트만 On 모드로

   묶는 것이 가능하다. (PAgP/LACP 지원 X) **

==================================================================

[1. Access Port]

=> PAgP 협상 방식으로 EtherChannel을 구성해보자.

<IOU1>

vlan 10

exit

int range e 0/0 - 1

switchport mode access

switchport access vlan 10

channel-group 1 mode desirable               -> 장비에 따라 묶일수 있는 범위가 다르다~!

IOU1(config-if-range)#channel-group 1 mode ? 5가지가 있다!

 active     Enable LACP unconditionally

 auto       Enable PAgP only if a PAgP device is detected

 desirable  Enable PAgP unconditionally

 on         Enable Etherchannel only

 passive    Enable LACP only if a LACP device is detected

IOU1(config-if-range)#do sh etherchannel summary

Flags:  D - down        P - bundled in port-channel

       I - stand-alone s - suspended

       H - Hot-standby (LACP only)

       R - Layer3      S - Layer2

       U - in use      f - failed to allocate aggregator

       M - not in use, minimum links not met

       u - unsuitable for bundling

       w - waiting to be aggregated

       d - default port

Number of channel-groups in use: 1

Number of aggregators:           1

Group  Port-channel  Protocol    Ports

------+-------------+-----------+-----------------------------------------------

1      Po1(SD)         PAgP      Et0/0(I)    Et0/1(I)    

<IOU2>

vlan 10

exit

int range e 0/0 - 1

switchport mode access

sw acc vlan 10

channel-group 1 mode auto

->위 와 같이 IOU2까지 설정하면 SD가 SU로 변경되는 걸 볼수 있다.

Group  Port-channel  Protocol    Ports

------+-------------+-----------+-----------------------------------------------

1      Po1(SU)         PAgP      Et0/0(P)    Et0/1(P)    

-verify-

[sh etherchannel summary] 명령어로 확인 시 ‘SU’가 정상 동작이다.

[sh vlan brief] 명령어로 확인 가능.

[sh int port-channel 1] 명령어로 Bandwidth 확인.

- Port-Channel로 묶인 이후에 설정을 변경할 경우 반드시 물리적

 포트가 아니라 Port-Channel 안에서 변경해야 한다.

<IOU1/IOU2>

vlan 20

exit

int port-channel 1

switchport access vlan 20

!

=> 정상적으로 Port-Channel의 Access VLAN이 변경되었다.

int range e 0/0 - 1

switchport access vlan 10

!

=> 물리적 포트 변경시 Port-Channel에 적용이 되지 않고,

    상태가 SD로 변경된다.

==================================================================

[2. Trunk]

=> LACP 협상 방식으로 Trunk 포트를 EtherChannel로 묶어보자.

<IOU1/IOU2>

conf t

no int port-channel 1

default int range e 0/0 - 1

<IOU1>

conf t

int range e 0/0 - 1

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 10,20

switchport trunk native vlan 888

switchport mode trunk

channel-group 10 mode active

!

<IOU2>

conf t

int range e 0/0 - 1

sw trunk en dot1q

sw trunk all vlan 10,20

sw trunk na vlan 888

sw mo trunk

channel-group 10 mode passive

!

==================================================================

[3. Routed Port]

=> On 모드를 사용하여 협상 없이 Etherchannel을 묶어 보자.

<IOU1/IOU2>

conf t

no int port-channel 10

default int range e 0/0 - 1

<IOU1/IOU2>

int range e 0/0 - 1

no switchport

no shut

channel-group 5 mode on

!

<IOU1> 묶은 그룹으로 들어가서 라우티드포트 아이피부여한다!

int port-channel 5

ip add 1.1.1.1 255.255.255.0

!

<IOU2>

int port-channel 5

ip add 1.1.1.2 255.255.255.0

!

=> 설정 후 정상적으로 Port-channel이 활성화되어 있지만

     IOU 버그로 ping test는 실패한다.