네트워크 보안 5일차 - 서브넷과 라우팅

서브넷 

 

네트워크를 쪼개면 나올수있는 경우의 수는 2의 배수만큼 늘어난다 

네트워크를 쪼갤때마다 네트워크 주소는 늘어나고 호스트 주소는 줄어든다

 

네트워크를 쪼개는 이유

네트워크를 쪼개지 않으면 할당되고 남은 네트워크는 버려지게 된다

네트워크를 쪼갤때마다 시작주소와 끝주소 2개만큼 사용을 못 하게 되지만 

할당되고 남은 네트워크가 버려지지 않고 사용이 가능하기에 조금의 손해를 감수하고 

쪼개서 사용한다 

 

 

시작주소와 끝주소(00,11)(서브넷 마스크와 브로드캐스트 주소)가 들어갈만큼은 남겨야 하기 때문에 

네트워크는 /30, 64개 까지만 쪼갤수 있다

11111111.~.111111 00 

 

네트워크 분할에 따른 서브넷 마스크 주소

 

11111111.11111111.11111111.00000000 <= /24 

   255     .   255     .     255   .   0

2진수 00000000 = 0

11111111.11111111.11111111.1 0000000 <= /25 

   255     .   255     .     255   .   192

2진수 10000000 = 128

11111111.11111111.11111111.11 000000 <= /26

   255     .   255     .     255   .   224

2진수 11000000 = 224

                                    :

                                    :

11111111.11111111.11111111.111111 00 <= /30 

   255     .   255     .     255   .   252

2진수 11111100 = 252

 

분할한 네트워크 만큼 2진수가 커짐 => 많이 나눌수록 255에 가까워짐

서브넷 마스크를 보면 네트워크를 쪼갰는지 알 수있음

 

특정 네트워크 주소 공식

 

---

실습 네트워크 2개 분활

스위치에 IP주소 설정

L2스위치 (vlan만)

기본 포트가 L2이기 때문에 IP주소를 설정할 수 없다

그래서 vlan 1을 사용해서 주소를 설정한다 

vlan 1은 스위치라면 무조건 있다(default vlan)

vlan SVI에 설정한다.

- en > conf t > int vlan 1 > ip add x.x.x.x x.x.x.x.x > no sh

외부와 통신하려면 Gateway 설정이 필요하다.

- en > conf t > ip default-gateway x.x.x.x 

 

L3스위치 (포트, vlan)

포트에 IP주소를 설정할 수 있다

기본은 L2이기때문에 L3로 변경해줘야한다

- en > conf t > int fa0/1 > no switchport > ip addr x.x.x.x x.x.x.x.x 

L3로 변경을 하면 L2에서 사용하던 기능들은 사용이 불가능하다

L3 스위치는 vlan에도 설정할 수 있다

외부와 통신하려면 Gateway 설정이 필요하다.

- en > conf t > ip default-gateway x.x.x.x 

 

PC설정

P Address: 192.168.100.2 / 192.168.100.130
Subnet Mask: 255.255.255.128
Default Gateway: 192.168.100.1 / 192.168.100.129
DNS Server: X

 

Switch1/2

en
conf t
hostname SW1/SW2
no ip domain-lookup
line con 0
logging synchronous

ip default-gateway 192.168.100.1 / ip default-gateway 192.168.100.129
int vlan 1 

ip addr 192.168.100.3 255.255.255.128  

no sh

end

wr

 

Router

en
conf t
host R1
no ip domain-lookup
line con 0
logg sync
int fa0/0
ip add 192.168.100.1 255.255.255.128
no sh
int fa0/1
ip add 192.168.100.129 255.255.255.128
no sh
end
sh ip int b
sh ip int b | include Ethernet

---

 

실습 네트워크 4개 분활

network #1

192.168.10.00 000000 0

192.168.10.00 111111 63

network #2

192.168.10.01 000000 64              <= 

192.168.10.01 111111 127

network #3

192.168.10.10 000000 128

192.168.10.10 111111 191

network #4

192.168.10.11 000000 192             <=

192.168.10.11 111111 255

 

 

PC설정

P Address: 192.168.100.66 / 192.168.100.194
Subnet Mask: 255.255.255.192
Default Gateway: 192.168.100.64 / 192.168.100.192
DNS Server: X

 

Switch1/2

en

conf t 

host SW1 / SW2

ip default-gateway 192.168.10.63 / 192.168.10.192

int vlan 1 

ip addr 192.168.10.67 255.255.255.192 / ip addr 192.168.10.195 255.255.255.192

no sh

end

wr

 

Router

en

conf t

int fa0/0

ip addr 192.168.10.65 255.255.255.192

no  sh

int fa0/1

ip addr 192.168.10.193 255.255.255.192

no sh

end

wr

---

 

라우팅

데이터를 송신지에서 수신지로 전달하기 위해서 최적의 경로를 결정하는 과정이다.

라우터는 직접 연결된 로컬 네트워크 정보는 가장 신뢰적인 Connected로 경로정보 학습 실시하고

직접 연결되지 않은 다른 네트워크는 Static Routing Protocol, Dynamic Routing Protocol을 사용하여
경로정보 학습을 실시한다. 

 

라우팅 설정

특정 네트워크로 가는 방법을 라우터에 설정하는것

라우팅 테이블은 sh ip route로 확인할 수 있다 

정적 라우팅과 동적 라우팅이 있다

 

정적 라우팅(Static Routing) Protocol
관리자가 네트워크 목적지 정보를 직접 설정한다.
라우터가 가지고 있지 않는 모르는 네트워크를 수동으로 설정한다. 

즉 관리자는 목적지 주소를 알고있지만 라우팅 테이블에는 없는 주소를 

관리자가 직접 설정해서 통신이 가능하게 해주는 것이다 

정적 라우팅 설정 방법
형식:
ip route <목적지의 네트워크주소> <서브넷마스크> <넥스트홉IP주소>(다음 라우터 주소)
ip route <목적지의 네트워크주소> <서브넷마스크> <인터페이스명>

 

동적 라우팅(Dynamic Routing) Protocol

관리자가 네트워크 목적지 정보를 직접 설정한다.

라우터가 가지고 있는 아는 네트워크를 설정한다.

설정 후에는 라우터끼리 서로 라우팅 정보를 주고 받아서 라우터에 경로가 자동으로 설정된다.

동적 라우팅 설정 방법은 프로토콜 마다 다름

---

실습 정적 라우팅 설정하기 

라우터는 라우터에 연결되어있지 않는 네트워크는 모르고 그 주소로 패킷이 오면 폐기한다

R1 에서는 PC2와 R2의 네트워크는 모르는 네트워크이다

즉 PC1에서 PC2로 ping을 쳐도 R2가 폐기해버린다

 

PC설정

IP Address: 10.10.10.2 / 10.10.20.2

Subnet Mask: 255.255.255.252
Gateway: 10.10.10.1 / 10.10.20.1

 

Router 1/2

en

conf t

host R1 / R2

int fa0/0

ip addr 10.10.10.1 255.255.255.0 / 10.10.20.1 255.255.255.0

no sh

int fa0/1

ip addr 1.1.1.1 255.255.255.252 / 1.1.1.2 255.255.255.252

no sh

ip route 10.10.20.0 255.255.255.0 1.1.1.2 / 10.10.10.0 255.255.255.0 1.1.1.1

end

wr

 

실행결과

PC1에서 정적 라우팅없이 R2로 ping을 보내면 R2로 ping이 가기는 한다

하지만 R2에서 폐기되어서 돌아오지를 못한다

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

R1에서 목적지인 1.1.1.2는 1.1.1.0/30으로 fa0/1에 설정을 했으므로 R1의 라우팅 테이블에 등록이 

되어있다

R2에서는 10.10.10.2로 패킷을 보내려 하는데 R2의 라우팅 테이블엔 10.10.10.0/24 네트워크가

등록되어있지 않기 때문에 폐기를 해서 Request timed out.이 출력된다. 

 

정적 라우팅 등록

ip route <목적지의 네트워크주소> <서브넷마스크> <넥스트홉IP주소>
ip route <목적지의 네트워크주소> <서브넷마스크> <인터페이스명>

ip route 10.10.20.0 255.255.255.0 1.1.1.2 / 10.10.10.0 255.255.255.0 1.1.1.1    <= 네트워크 관리자가 주소를 이미 알기                                                                                                                                        때문에 라우터에 등록을 해주는 과정

 

 

정적 라우팅 삭제

no ip route 10.10.10.0 255.255.255.0

주소 + 서브넷 마스크까지 작성해야 삭제가 된다 그 뒤는 없어도 된다 

---

Static Route(정적 라우트)
S       10.10.10.0/24 [1/0] via 1.1.1.1
S: Static의 약자로 관리자가 직접 ip route 명령으로 수동 등록한 경로라는 의미이다.
10.10.10.0/24: 목적지 네트워크를 의미하며 10.10.10.x 대역으로 가는 패킷에 적용된다.
[1/0]: 대괄호 안 숫자는 [AD/Metric]을 의미한다.
1: Administrative Distance로 정적 라우트의 기본 AD는 1이다.
숫자는 낮으면 우선순위가 높아서 정적 라우트(S)는 1이라서 우선순위가 높음을 의미한다.

0: Metric 넥스트홉 주소 

C       1.1.1.0/30 is directly connected, FastEthernet0/1
  . 1.1.1.0/30 네트워크는 Fa0/1에 직접 연결되어 있다는 의미다.
L       1.1.1.2/32 is directly connected, FastEthernet0/1
  . 이 라우터 자신의 FastEthernet0/1 인터페이스 IP 주소가 1.1.1.2로 설정되어 있다는 의미이다.
    - 1.1.1.2/32 에서 프리픽스 길이가 /32 이면 단일 IP주소를 말한다.
    - 1.1.1.128 이렇게 했을 때 네트워크인지 아니면 단일 IP주소인지?
      정답은 /?  프리픽스 길이가 없으면 네트워크인지 단일 IP주소인지 모른다.
      왜냐하면 1.1.1.128/25 이면 네트워크 주소이고 1.1.1.128/32는 1.1.1.0/24 네트워크 주소의 속해있는 단일 IP주소이지만 1.1.1.128만 있으면 어떤상태인지 모른다

 

실습

/26

Network#1
192.168.100.00 000000 <= 0
192.168.100.00 111111 <= 63
Network#2
192.168.100.01 000000 <= 64
192.168.100.01 111111 <= 127
Network#3
192.168.100.10 000000 <= 128
192.168.100.10 111111 <= 191
Network#4
192.168.100.11 000000 <= 192
192.168.100.11 111111 <= 255

 

PC설정

IP Address: 192.168.100.2 / 192.168.100.130

Subnet Mask: 255.255.255.192
Gateway: 192.168.100.1 / 192.168.100.129

 

SW1/2

en

conf t

ip default-gateway 192.168.100.1 / 192.168.100.129

int vlan 1

ip addr 192.168.100.3 255.255.255.192 / 192.168.100.130 255.255.255.192

no sh

end 

wr

 

R1 / R3

en

conf t

int fa0/0 

ip addr 192.168.100.1 255.255.255.192 / 192.168.100.129 255.255.255.192

no sh

int fa 0/1

ip addr 1.1.1.1 255.255.255.252 / 1.1.1.6 255.255.255.252

no sh

ip route 0.0.0.0 0.0.0.0 1.1.1.2 / 1.1.1.5  <= IP주소와 서브넷 마스크를 다 0으로 채우면 모든 IP주소를 의미한다

end

wr

 

R2

en
conf t
hostname R2
no ip domain-lookup
line con 0
logging synchronous
exec-timeout 0 0 
int fa0/0
ip add 1.1.1.2 255.255.255.252
no sh
int fa0/1
ip add 1.1.1.5 255.255.255.252
no sh
exit
ip route 192.168.100.0 255.255.255.192 1.1.1.1
ip route 192.168.100.128 255.255.255.192 1.1.1.6
end
copy run start

---