juk의 블로그

Passive interface는 해당 Routing Protocol에 대한 정보를 아무것도 주지 않는 것

RIP같은 경우 저런 구성이 있다면 R1에서 R2에 연결 되있는 인터페이스를 Passive interface로 설정하는 경우 R1에서는 R2의 라우팅 테이블이 올라 오지만 R2에서는 R2에서는 R1의 라우팅테이블이 올라오지 않는다.

그럼 OSPF는 어떨가? R1에서 R2에 연결 되있는 인터페이스를 Passive interface로 설정하는 경우 R1과 R2둘다 라우팅 테이블이 올라 오지 않는다.

이유인 즉 RIP같은 경우는 자신의 장비의 인터페이스로 아무 조건 없이 계속 업데이트 정보를 상대로 전달한다.(물론 거기서 passive interface가 설정된 곳은 보내지 않겟지만) 그래서 자기 자신의 인터페이스에 passive itnerface를 걸어 놓으면 자신의 정보를 상대에게 보내지 않으니 R2는 R1의 라우팅 테이블을 받지 못한다. 하지만 R2쪽은 passive interface를 설정 하지 않았으니 당연히 정보를 계속 보냄으로 R1의 라우팅 테이블에는 R2의 라우팅 테이블이 올라온다.

허나 OSPF같은 경우는 다르다. OSPF는 Neighbor관계가 맺힌 라우터에만 라우팅 테이블 정보를 전달한다. 그런데 위 구성도 에서는 R2가 neighbor관계를 형성 하기위해 hello패킷을 보내지만 R1은 hello패킷을 받았지만 인터페이스에는 Passive interface가 걸려있기 때문에 hello패킷을 다시 보내지 못한다. 그러므로 둘 사이에는 neighbor관계가 형성되지 않음으로 라우팅 정보를 한쪽이라도 받을 수가 없는 것이다.

Lock and Key(dynamic acl)

동적인 access-list로 필요시 규칙이 활성화 되고 필요 없을시 비활성화 되게 설정할 수 있다.

- 커맨드

router(config)#access-list <acl_number> dynamic <규칙 이름> <permit|deny> <protocol> <source> <destination>

- 실습

클라이언트에서 서버로의 다른 접속은 가능하지만 ftp는 불가능 하게 설정을 하고 ssh인증을 통과할시 ftp가 가능하도록 설정

router(config)#access-list 100 dynamic FTP permit tcp any host 10.0.0.1 eq ftp

router(config)#access-list 100 deny tcp any host 10.0.0.1 eq ftp

router(config)#access-list 100 permit ip any any

router(config)#int fa 0/0

router(config-if)#ip access-group 100 in

router(config-if)#line vty 0 4

router(config-line)#autocommand access-enable host timeout 10

ftp서버는 192.168.0.2

유저이름:user01 패스워드:user01@pass

IOS파일이름 c2800nm-advipservicesk9-mz.124-15.T10.bin

라우터 측 셋팅

(config)#ip ftp username user01

(config)#ip ftp password user01@pass

(config)#boot system ftp c2800nm-advipservicesk9-mz.124-15.T10.bin 192.168.0.2

확인

#show version

....

System image file is "ftp://192.168.0.2/c2800nm-advipservicesk9-mz.124-15.T10.bin"

...

위 와 같은 줄이 있다면 성공 System image file을 ftp://192.168.0.2/c2800nm-advipservicesk9-mz.124-15.T10.bin로부터 불러 왔다는 뜻

IPSec VPN

사설망끼리 통신하는 경우만 VPN터널을 타고 통신되도록 설정 터널구간은 20.0.0.0/30 네트워크를 사용 하며 IPSec를 이용한 VPN를 구성

R1(config)#int tunnel 0

R1(config)#ip address 20.0.0.1 255.255.255.252

R1(config-if)#tunnel source 10.0.0.1

R1(config-if)#tunnel destination 10.0.0.2

R1(config-if)#exit

R1(config)#crypto isakmp policy 1

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#hash sha

R1(config-isakmp)#group 2

R1(config-isakmp)#exit

R1(config)#crypto isakmp key 0 cisco address 10.0.0.2

R1(config)#crypto ipsec transform-set IPSEC esp-3des ah-sha-hmac

R1(cfg-crypto-trans)#exit

R1(config)#crypto map VPN 1 ipsec-isakmp

R1(config-crypto-map)#set peer 10.0.0.2

R1(config-crypto-map)#set transform-set IPSEC

R1(config-crypto-map)#match address 100

R1(config)#access-list 100 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255

R1(config)#route-map SKILL permit 1

R1(config-route-map)#match ip address 100

R1(config-route-map)#set ip next-hop 20.0.0.2

R1(config)#int tunnel 0

R1(config-if)#crypto map VPN

R1(config-if)#int fa 0/0.10

R1(config-if)#ip policy route-map SKILL

R1(config-if)#int fa 0/0.20

R1(config-if)#ip policy route-map SKILL

R2(config)#int tunnel 0

R2(config)#ip address 20.0.0.2 255.255.255.252

R2(config-if)#tunnel source 10.0.0.2

R2(config-if)#tunnel destination 10.0.0.1

R2(config-if)#exit

R2(config)#crypto isakmp policy 1

R2(config-isakmp)#encryption 3des

R2(config-isakmp)#hash sha

R2(config-isakmp)#group 2

R2(config-isakmp)#exit

R2(config)#crypto isakmp key 0 cisco address 10.0.0.1

R2(config)#crypto ipsec transform-set IPSEC esp-3des ah-sha-hmac

R2(cfg-crypto-trans)#exit

R2(config)#crypto map VPN 1 ipsec-isakmp

R2(config-crypto-map)#set peer 10.0.0.1

R2(config-crypto-map)#set transform-set IPSEC

R2(config-crypto-map)#match address 100

R2(config)#access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255

R2(config)#route-map SKILL permit 1

R2(config-route-map)#match ip address 100

R2(config-route-map)#set ip next-hop 20.0.0.1

R2(config)#int tunnel 0

R2(config-if)#crypto map VPN

R2(config-if)#int fa 0/0

R2(config-if)#ip policy route-map SKILL

- 해설

crypto isakmp key 0 cisco address 10.0.0.1// cisco는 서로간의 인증암호 이며 10.0.0.1은 암호를 교환하며 터널링을 맺을 라우터의 실제 인터페이스 주소

crypto ipsec transform-set IPSEC esp-3des ah-sha-hmac// ipsec를 구성하기 위한 문장이며 IPSEC는 자신이 만들 정책이름을 뜻함

crypto map VPN 1 ipsec-isakmp// ipsec를 인터페이스에 씌우기 위해 정책을 만드는 것이며 VPN은 자신이 만들 정책이름

set peer 10.0.0.1// ipsec VPN을 맺을 라우터의 실제 인터페이스 주소

set transform-set IPSEC// ipsec VPN을 맺을때 사용하는 transform으로 IPSEC정책을 이용

match address 100// ipsec VPN은 이 주소에 정의된 주소규칙만 허용

route-map SKILL permit 1// 강제로 통신경로를 지정하기위해 사용

match ip address 100// 통신시킬 주소를 정의

set ip next-hop 20.0.0.1// 위의 acl이 움직일 때 반드시 이 주소로 통신하게 설정, 그러니 쉽게 풀자면 acl100이 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255 이렇게 되어있다면 192.168.0.0/24 네트워크가 172.16.0.0/24로 통신하는 경우는 상대편 라우터의 20.0.0.1 주소로 패킷전송

crypto map VPN// 정의한 인터페이스에 VPN정책을 적용

ip policy route-map SKILL// 정의한 인터페이스에 강재라우팅 정책을 적용