네트워크할래?

TACACS+ & RADIUS 이론

연매출300억 — Tue, 27 Oct 2020 17:50:40 +0900

TACACS+ 란?

- TACACS+는 Terminal Access Controller Access Control System으로 시스코에 지원하는 프로토콜이며

Cisco Client와 Cisco ACS server간의 커뮤니케이션을 위해서 사용되고 있다. 49번 포트를 사용한다.

RADIUS 란?

- RADIUS는 Remote Access Dial In User Service로 open standard protocol이며 AAA Client와 ACS server간의 의사소통을 위해서 사용되고 있다. 만약 클라이언트가 Cisco가 아닌 다른 제품을 사용하고 있다면, RADIUS사용은 필수이다.

인증과 인가를 위해 포트 1812번을 사용하며, 계정관리를 위해서 Port 1813번을 사용한다. 초창기에는 1645, 1646을 쓰기도 하였다.

TACACS, RADIUS와 같은 서비스를 제공하는 인증 서버를 우리는 AAA라고 한다.

AAA는 인증(Authentication), 인가(Authorization), 계정관리(Accounting)을 뜻한다.

인증, 허가, 관리라고하니 이해가 어려울 수 있다. 예를 들어보겠다.

우리가 리그오브레전드 게임을 하려면 로그인이 필요하다. 그건 우리가 롤 유저가 맞느냐 아니냐를 따지는 것이다.

회원이 아닌데도 게임에 접근할 수 없으니 말이다. 이건 인증이다.

인증 완료 후 접속을 하면 우리는 유저의 권한을 부여받는다. 즉 운영자의 권한까지 받진 못한다는 것이다. 그런데
운영자도 게임에 들어올 땐 똑같이 로그인을 한다. 누구한텐 일반 유저 권한을 누군가한텐 운영자의 권한을 주는 이것이 인가이다. 마지막으로 관리는 우리가 게임을 승리하고 패배하고 로그아웃을 하고 등등의 일들을 모두 기록하는 것이 바로 관리이다.

TACACS와 RADIUS의 차이점

TACACS+	RADIU
시스코 프로토콜	표준 프로토콜
TCP	UDP
TCP 포트 49번 사용	UDP 포트 1812, 1813번 사용
AAA패킷 전체를 암호화한다.	password만 암호화하고 나머지는 비 암호화이다.
인증(Authentication)과 권한 검증(Authorization)을 분리하여 다룬다. TACACS+는 AAA를 분리하는 아키텍쳐를 사용한다.	인증(Authentication)과 권한 검증(Authorization)을 하나로 다룬다. RADIUS 서버에서 클라이언트로 보낸 액세스 허용 패킷에 인증 정보가 함께 포함되어 있기에 분리가 어려운 것이다.
멀티 프로토콜을 지원한다.	AppleTalk Remote Access (ARA), NetBIOS 프레임 프로토콜 제어 프로토콜, NoVell 비동기 서비스 인터페이스 등의 지원이 불가능하다.
장비 관리에있어 굉장히 유연하게 작용한다.	장비 관리에 유연하지 않거나, 터미널 서비스에 유연하지 않다.

참고 : cafe.naver.com/netsmaster/13149

sangvak.tistory.com/entry/TACACS-Vs-RADIUS

(차이점 굉장히 자세히 서술되어있음)

google-authenticator config 실습 (google OTP)

연매출300억 — Tue, 27 Oct 2020 15:37:44 +0900

Ubuntu 18.04 환경에서 진행되었음을 참고바랍니다.

OTP란

- OTP는 One Time Password의 약자로 전자 금융 거래같은 보안상 안전을 요구하는 작업을 할 때 일련의 알고리즘을
이용해 수시로 바뀌는 비밀번호를 무작위로 생성하는 기술이다.

우리는 SSH를 통해 서버에 접속하는 경우가 많은데 이 때 중요한 것이 보안이다.

이 OTP 서비스를 사용하면 일반적인 Password만으로 SSH에 연결되지 않고, OTP 번호까지 인증받아야지만

SSh에 접속할 수 있다.

이렇게 두 번의 인증방식을 거쳐 접근하는 것을 우리는 2factor 방식이라고 한다. 이 OTP 서비스 중 가장 유명하고, 편리한 것이 바로 Google OTP이다.

실습

1. 먼저 필요한 패키지 설치부터 진행한다. ssh와 otp 패키지이다.

apt-get install ssh -y

apt-get install libpam-google-authentication -y

2. ssh 접속 시 google_authentication pam 인증을 받도록 설정한다.

/etc/pam.d/sshd 맨 아래에 config를 추가해준다.

3. /etc/ssh/sshd_config

ChallengeResponseAuthentication 옵션은 기본값이 Yes이지만, 보안상의 이유로 RedHat 계열 리눅스에서 기본값이 No로 되어있는 경우가 많다. 이 옵션은 "키보드 대화 형" 인증 체계를 지원하는 옵션인데, 키보드 대화형 인증체계는 사용자에게 여러 가지 질문을 할 수 있다.

특정 형태의 챌린지 - 응답 인증 (Y/N)를 사용하려면 챌린지를 전송하고 응답을 확인하는 백엔드 (PAM)을 사용하도록

구성하여야 한다.

4. google-authenticator 명령어 실행 후 휴대폰 구글 otp 앱으로 QR코드를 찍어 계정등록

5. 이제 SSH 로그인 시 OTP를 입력하라고 나타날 것이다. OTP 숫자 입력 후, 비번 입력 시 접속 성공이다.

포스팅 미완성. 사진 및 실습 내용 추가 예정

netstat 명령어 옵션 및 사용법

연매출300억 — Tue, 27 Oct 2020 14:13:48 +0900

netstat란?

- 네트워크 접속, 라우팅 테이블, 네트워크 인터페이스의 통계 정보를 보여주는 도구이다.

리눅스 환경과 윈도우 cmd 모두에서 사용할 수 있다.

사용 방법:

netstat [옵션] | [포트번호 or 서비스 명]

netstat 옵션

-l (listen)	연결 가능한 상태
-n (number port)	포트 넘버
-t (tcp)	tcp
-u (udp)	udp
-p (PID)	프로그램 이름 / PID 번호
-a (all)	모두
-i	이더넷 카드별 정상/에러/드랍 송수신 패킷 수 확인
-r (routing table)	라우팅 테이블
-s	네트워크 통계이다. 프로토콜별로 통계를 표시한다. 기본값으로 IP, ICMP, TCP, UDP 이다.
-b	각 연결 또는 수신 대기 포트를 만드는데 관련된 실행프로그램을 표시한다. 잘 알려진 실행 프로그램에서 여러 독립 구성 요소를 호스팅하는 경우에는 연결 또는 수신 대기 포트를 만드는데 관련된 구성 요소의 시퀀스가 표시된다. 이런 경우에는 실행 프로그램 이름이 아래쪽 대괄호 안에 표시되고 위에는 TCP/IP에 도달할 때까지 호출된 구성 요소가 표시되어있다. 이 옵션은 시간이 오래걸리며 권한이 없으면 실패한다.
-e	이더넷 통계를 표시한다. 이 옵션은 s와 같이 사용될 수 있다.
-v	-b 옵션과 함께 사용하면 모든 실행 프로그램에 대한 연결또는 수신 대기 포트를 만드는데 관련된 구성 요소의 시퀀스를 표시한다.

자주 사용하는 옵션 예시

netstat -nap : 연결을 기다리는 목록과 프로그램을 보여준다.

netstat -an | grep 포트번호 : 특정 포트가 사용 중인지 확인한다.

netstat -nlpt : TCP listening 상태의 포트와 프로그램을 보여준다.

netstat -anb : 자세한 라이브러리까지 보여주어 유용성이 커 보이지만 결과를 호출하는 시간이 오래걸린다.

netstat -ano : -anb 대용으로 사용되어서 PID를 표시한다.

netstat 명령어 뒤에 숫자를 붙이면 ex) 5 5초에 한 번씩 명령어를 친 결과가 출력된다.

netstat 상태 값 분석

CLOSED	완전히 연결이 종료된 상태
CLOSING	흔하지 않으나 주로 확인 메세지가 전송 도중 유실된 상태
CLOSE_WAIT	TCP연결이 상위 응용프로그램 레벨로부터 연결 종료를 기다리는 상태
ESTABLISHED	서버와 클라이언트 간에 세션 연결이 성립되어 통신이 이루어지고 있는 상태 (클라이언트가 서버의 SYN을 받아서 세션이 연결된 상태)
FIN_WAIT1	클라이언트가 서버에게 연결을 끊고자 요청하는 상태 (FIN을 보낸 상태)
FIN_WAIT2	서버가 클라이언트로부터 연결 종료 응답을 기다리는 상태 (서버가 클라이언트로부터 FIN 받은 후, 클라이언트에게 ACK 보냈을 때)
LAST_ACK	호스트가 원격지 호스트의 연결 종료 요구 승인을 기다리는 상태 (서버가 클라이언트에게 FIN을 보냈을 때)
LISTEN	서버의 데몬이 떠 있어서 클라이언트의 접속 요청을 기다리고 있는 상태
SYN_SENT	클라이언트가 서버에게 연결을 요청한 상태
SYN_RECEIVED	서버가 클라이언트로부터 접속 요구(SYN)를 받아 클라이언트에게 응답 (SYN/ACK)하였지만, 아직 클라이언트에게 확인 메세지 (ACK)는 받지 못한 상태
TIME_WAIT	연결은 종료되었지만 당분간 소켓을 열어놓은 상태, 약 1분정도이며 시간이 지나면 사라짐
UNKNOWN	소켓의 상태는 알 수 없음

SYN_RECEIVED를 이용한 공격도 가능하다. 웹서버에 요청을 하고 연결을 끊어버리는 공격을 지속적으로 수행하면,

웹 서버는 대기 상태로 남아있게 되는데, 서버의 자원은 한정적이기에 자원 부족으로 기타 서비스들까지 hang 상태로

빠지게 된다.

SSL/TLS 이론

연매출300억 — Wed, 22 Jan 2020 18:25:33 +0900

SSL & TLS ?

SSL과 TLS의 차이점은 무엇일까? 사실 SSL과 TLS는 같은 것이다. SSL은 암호화 통신 프로토콜로써, 넷스케이프에서 만들었다. SSL 3.0 버전부터 국제 표준화기구 IETF 표준으로 선정되어 TLS 1.0이되었다. 한마디로 SSL 3.0 = TLS 1.0 이다.

SSL에서 사용하는 암호화 종류

1. 대칭키

- 대칭키 암호화 방식은 암호화시에 사용하는 암호화키, 복호화시 사용하는 복호화키가 동일한 방식이다.

- 암호화 연산 속도가 굉장히 빠르다는 장점이 있다.

- 키 전달 및 관리를 굉장히 신경써서 해야하며, 키가 노출되는 순간 정보가 다 노출되는 굉장히 보안이 약한 방법이다.

- 예전에는 DES 방식을 주로 사용했지만 요즘은 AES 방식이 사용된다.

암호화, 복호화 키 동일

2. 공개키 (비대칭키)

- 공개키 암호화 방식은 한 쌍의 키가 존재하여 하나는 특정 사람만이 가지는 개인키 (비밀키)이고, 다른 하나는

누구에게나 공개할 수 있는 공개키로 이루어진다.

- 개인키로 암호화 한 정보는 그 쌍이 되는 공개키로만 복호화 가능하고, 반대로 공개키로 암호화 한 정보는

그 쌍이 되는 개인키로만 복호화 할 수 있다. 즉, 공개키 암호화 방식은 암호화, 복호화 시 키가 서로 다르기에

비대칭키 암호화 방식이라고도 한다.

- 암호화, 복호화를 위해 복잡한 수학 연산을 하기에 대칭키에 비해 속도가 느리다.

- 대칭키 암호의 장점과 공개키 암호의 장점을 채택하여 용량이 큰 정보는 대칭키로 암호화하고, 암호화에 사용된 대칭키는 공개키로 암호화하여 대상에게 전달하는 하이브리드 암호화 방법이 일반적으로 활용된다.

암호화, 복호화 키 서로 다름

SSL 통신 과정

1. 웹 서버에서는 자신의 SITE정보 & SITE 공개키를 인증기관으로 제출. 이것이 요청파일이다.

2. 검증을 거친 후 인증기관은 사이트 정보 & 공개키를 인증기관 개인키로 암호화하여 인증서 제작

3. 사이트로 인증서를 발급

4. 인증 기관은 사용자에게 자신의 공개키를 제공. (브라우저에 내장되어 있음)

5. 사용자가 사이트로 접속 요청

6. 사이트는 발급받은 인증서를 전달

7. 사이트 정보 & 공개키 획득

8. 대칭키 획득

9. 획득한 사이트의 공개키로 자신의 대칭키를 암호화하여 전송

10. 사이트는 개인키로 해독하여 대칭키를 획득

11. 안전하게 전달된 대칭키를 이용해 암호화 통신을 주고 받음

요약

- 한 마디로 실제 통신 과정은 대칭키 방식을 사용하지만, 대칭키를 주고받기 위해 공개키 방식을 사용한다.

- 인증기관은 사이트의 공개키가 신뢰할 수 있는지 인증하는 역할을 한다.

(인증기관의 개인키로 사이트의 공개키를 전자서명 + 암호화한 것 = 인증서인데 이는 인증기관의 공개키로만

풀 수 있기에 인증기관에서 발급한 인증서가 신뢰할 수 있다고 판단할 수 있는 것)

NFS (Network File System)

연매출300억 — Wed, 22 Jan 2020 14:21:12 +0900

NFS란?

컴퓨터 사용자가 원격 컴퓨터에 있는 파일을 마치 자신의 컴퓨터에 있는 것 처럼 검색하고 사용하며 수정할 수 있다.

SMB와 거의 흡사하지만 Linux와 Windows간 파일공유에는 대부분 SMB를 쓰고, Linux간에는 대부분 NFS를 쓰는 경우가 많은 것 같다. NFS는 TCP/IP 프로토콜을 사용하며, 포트번호는 고정되어있지 않다.

NFS의 단점

NFS는 앞서 말했다시피 포트번호가 고정되어있지 않기때문에, 방화벽을 사이에 두고 사용하기에 굉장히 취약하다.

기본적으로 NFS는 사용하지 않는 포트를 임의로 사용할 수 있도록 해주는 RPC를 사용하기때문에 특정 포트를 사용하지 않고 무작위로 사용한다.

NFS 패키지 설치 후 rpcinfo -p 명령어를 사용하면 현재 사용중인 포트를 볼 수 있다.

만약 방화벽을 거친다면 사용하는 포트를 모두 뚫어줘야 하기에 보안에 취약하다. 물론 거의 방화벽을 거쳐서 쓰는 일은 없겠지만!

NFS 통신과정

NFS클라이언트들은 NFS 서버와 통신을 할 때 rpc program number를 이용하여 통신한다.

rpc program number들은 /etc/rpc 에 지정되어있다.

/etc/rpc

NFS server에서는 portmap이 111port에서 정보를 받아서 해당 서버 프로세스와 연결을 해준다. portmap과 rpcbind는 중계역할을 해준다. nfs서버의 nfsd는 2049에서 listen하지만 그 외의 다른 서버 프로세스는 임의의 포트에서 실행되고 nfs server쪽에 실행되는 daemon들과 port에 대한 정보는 portmap에 등록된다.

rpcinfo 명령어로 portmap에 등록된 정보를 볼 수 있고,

rpcinfo -p 명령어로 nfs서버에서 실행되는 서버 daemon들의 port를 볼 수 있다.

nfs 서버에서 실행되는 서버 daemon들의 포트

Site to Site VPN (PSK)

연매출300억 — Tue, 21 Jan 2020 19:08:23 +0900

본사와 지사를 연결할 때 주로 사용되는 site to site VPN을 리눅스에서 구성 해보겠다.

토폴로지

leftsrv config

1. 일단 먼저 site-to-site vpn을 위한 패키지를 설치한다.

apt-get install strongswan

2. /etc/ipsec.conf 에서 VPN을 위한 설정을 한다.

/etc/ipsec.conf

conn leftsrv (연결 이름이다. 원하는 이름으로 설정한다.)

leftsubnet (내 서버의 내부 IP주소 대역을 써준다.)

right (연결할 상대방의 공인 IP주소이다.)

rightsubnet (상대방의 내부 IP주소 대역을 써준다.)

keyexchange (키 교환 방식을 지정한다.)

authby (인증 방법을 지정한다.)

auto (자동으로 연결을 시작할지 설정한다.)

그 외 옵션들로는

left (내 공인 IP주소) ex) left=210.0.0.100

type (연결 유형 지정) ex) type=tunnel

ike (암호화 유형) ex) ike=aes256-sha1; modp2048

ikelifetime (키 유효기간) ex) ikelifetime 25000s

esp (ipsec암호화 프로토콜) ex) aes256-sha1-modp 1536

등 매우 많다.

3. /etc/ipsec.secrets

형식 : <source-ip> <destination-ip> : PSK <사전 공유 키>

Pre-Shared-Key 한마디로 공개키 방식을 이용해서 상호 암호교환방식으로 인증을 한다는 소리이다.

사전 공유 키는 12345로 진행했다.

4. service strongswan restart 로 서비스를 재시작한다.

rightsrv config

설명은 생략.

/etc/ipsec.conf

/etc/ipsec.secrets

TEST!

leftsrv

상대의 내부 IP주소로 PING이 잘 가진다.

rightsrv

상대의 내부 IP주소로 PING이 잘 가진다.

iptables 이론

연매출300억 — Thu, 2 Jan 2020 15:32:41 +0900

iptables의 개념

iptables ?

- iptables란 쉽게 말해 리눅스상에서 방화벽을 설정하는 도구이다.

- 패킷 필터링 기능을 제공한다.

패킷필터링 ?

- 패킷 필터링은 패킷의 헤더를 보고 그 패킷 전체를 어떻게 처리할지 결정하는 것이다.

- 패킷에는 일반적으로 헤더와 데이터를 가지고 있다.

- 헤더에는 필터링할 정보인 출발지, 도착지, checksum, 프로토콜 등을 가지며 데이터에는 각각의 정보가 들어가있다.

- 특정 조건을 가지고있는 패킷에 대해 허용(ACCEPT), 차단(DROP) 등을 지정할 수 있다.

iptables에서 중요한 Chain이라는 것이 존재한다. Chain은 패킷이 어떻게 조작될지 상태를 지정한다. iptables에는

기본적인 Chain이 내장되어있다. 물론 -N 옵션을 이용해 사용자 정의 체인을 만들 수 있다.

- INPUT : 서버로 들어오는 패킷에 대한 기본 정책

- FORWARD : 서버를 거쳐 나가는 패킷에 대한 기본 정책

- OUTPUT : 서버에서 나가는 패킷에 대한 기본 정책

--------> INPUT --------> My server ---------> OUTPUT

( <---------------------------FORWARD-------------------------> )

가운데에 있는 내 서버를 기준으로 내 서버를 목적지로 삼는 패킷은 INPUT Chain을 통과한다.

내 서버에서 생성되어 외부로 나가는 패킷은 OUTPUT Chain을 통과하게 된다.

내 서버를 통과해 다른 서버가 목적지인 패킷은 FORWARD Chain을 통과하는 것이다.

- PREROUTING : NAT 관련 설정을 위해 주로 사용된다. 들어오는 패킷에 대해 처리하는 지점.

- POSTROUTING : 나가는 패킷에 대해 처리하는 지점.

마스커레이드 (Masquerade) ?

- 내부의 사설 IP들이 외부 인터넷에 연결되도록 해주는 기능

NAT (Network Address Translation) ?

- SNAT (Source NAT) : 내부 사설 IP들이 외부로 나갈 때 공인 IP로 변환되는 것. 마스커레이드와 유사함.

(내부 --> 외부)

- DNAT (Destination NAT) : 외부에서 요청이 들어오는 IP주소를 내부 사설 IP주소로 변환한다.

(외부 --> 내부)

iptables 명령어 및 옵션

체인 옵션	설명
-N	새로운 체인을 생성한다.
-X	비어있는 체인을 제거한다. 기본 (INPUT, OUTPUT, FORWARD)는 제거 X
-P	체인에 어떤 정책을 적용할 지 설정한다. (ACCEPT, DROP)
-L	현재 구성되어 있는 체인의 정책을 본다
-F	체인의 규칙을 제거
-Z	체인 내 모든 규칙들의 패킷 & 바이트를 0으로 설정
-C	패킷 테스트

체인 내부 규칙 옵션	설명
-A	체인에 새로운 규칙을 추가한다. 자동으로 맨 뒤에 추가된다.
-I	체인에 규칙을 맨 앞에 추가한다.
-R	체인의 규칙을 교환한다.
-D	체인의 규칙을 제거한다.

옵션	설명
-s (--source), -d (--destination)	각각 출발지와 목적지를 지정하는 옵션
-j (--jump)	특정한 정책 설정 (규칙에 맞는 패킷을 어떻게 처리할지 지정)
-p (--protocol)	프로토콜을 지정하는 옵션
-t (--table)	테이블을 선택할 때 사용하는 옵션
--sport [source port] --dport [destination port]	각각 출발지 포트번호, 도착지 포트번호 설정 옵션
-i (--in-interface) -o (--out-interface)	각각 패킷이 들어오고, 나가는 인터페이스 관련 설정 옵션
-m (--match)	특정 모듈과의 매칭

명령어 예시

웹 포트포워딩

iptables -t nat -A PREROUTING -s 210.0.0.0/24 -d 210.0.0.2/24 -p tcp --dport 80 -j DNAT --to 192.168.0.1

(80번 포트에 대해 210.0.0.0 대역에서 출발해 목적지가 210.0.0.2인 패킷은 DNAT로 변환하여 192.168.0.1로 보내라)

데비안 리눅스 서버 설치방법

연매출300억 — Fri, 27 Dec 2019 15:52:56 +0900

VMware 프로그램을 이용하여 진행 Debian 버전은 9.8 사용

1. 맨 처음 화면

맨 처음 화면에서는 Install을 눌러준다. 위에 Graphical install은 GUI버전으로 설치하는 것인데, 굳이 서버용으로 사용할 때 설치할 필요는 없다. 또, No GUI로 설치하더라도 나중에 GUI 버전으로 사용할 수 있다.

2. English 선택

언어는 가장 편한 English를 선택한다.

3. 지역 설정

지역은 그 외 other로 들어간다.

4. Asia 선택

아시아를 선택한다.

5. 한국!

Republic of Korea를 선택한다.

6. 언어의 디코딩 설정이다.

앞서 선택했던 것과 같이 United States (en_US.UTF-8)을 선택한다.

7. key관련 설정

key 관련 설정이다. 기본적인 아메리칸 잉글리쉬로 선택한다.

그 이후에는 쭉 알아서 뭔가 그래프가 0% ~ 100%로 차면서 알아서 아래 화면으로 갈 것이다.

8. 컴퓨터 이름 설정

hostname 즉, 컴퓨터 이름을 설정하는 창이다. 기본은 debian으로 되어있지만 자신이 원하는 이름으로 설정하자.

9. Domain 설정

Domain Name을 입력하라는 창이 나오는데 일단 넘어간다. 후에 설정 가능하다.

10. Root Password

Root password 설정 즉, 관리자의 비밀번호를 설정하는 창이다. 원하는 비밀번호로 설정하자.

11. User 생성

관리자가 아닌 일반 사용자를 추가하는 창이다. 후에도 삭제나 추가가 가능하니 부담갖지 말고 원하는 이름으로 설정 해 준다.

12. User password

유저 비밀번호 설정이다.

이후에는 또 그래프가 올라가고 다시 아래와 같은 화면이 나올 것이다.

13. 디스크 사용 설정

Guided - user entire disk 를 선택한다. 기본 디스크 설정을 따르자.

14. 디스크 선택

처음 VMware에서 기본으로 생성했던 20GB 디스크가 보인다. 선택

15. 하나의 파티션으로 설정

16. 디스크 설정 종료

17. 디스크 설정대로 디스크 변경 yes

18. 설문 참여하겠습니까? NO

19. 필요한 것만 선택 후 설치

20. GRUB 부트로더 설치? yes

21. 부트로더 설치를 /dev/sda 로 선택

22. 설치완료!

이렇게 설치가 완료되었다.

Ether Channel

연매출300억 — Thu, 26 Dec 2019 10:12:07 +0900

Ether Channel?

- 이더채널은 두 스위치 포트 간 연결된 여러개의 포트를 1개의 논리적 포트로 동작시켜 대역폭을 향상시키고, 이중화를 제공하는 기술이다.

- 이더채널을 구성할 때 사용하는 프로토콜은 두 가지로 Cisco에서 만든 PAgp (Port Aggregation Protocol)과
IEEE에서 만든 표준 LCAP(Link Aggregation Control Protocol) 가 있다. 프로토콜을 사용하지 않도록 설정할 수도 있다.

구성 주의사항

- 이더채널을 구성할 때는 포트끼리 반드시 동일한 포트를 사용해야한다.

- 하나의 이더채널을 구성하는 모든 포트의 속도와 듀플렉스 모드가 같아야 한다.

- 동작 모드를 상황에 맞게 신중히 선택한다.

-encapsulation을 맞춰주는 것이 좋다.

이더채널 프로토콜

PAgp : channel-group 1 mode [on | auto | desirable]

LACP : channel-group 1 mode [on | passive | active]

on : 이더채널 프로토콜을 사용하지 않고 동작하는 모드이다. 한 쪽이 on이라면 다른 쪽도 on으로 설정해야 한다.

auto(passive) : 이더채널 협상 정보를 수신하고 대기하는 대기모드다. 양 쪽이 모두 auto거나 passive로 설정되어 있으면 안된다.

desirable(active) : 상호 이더채널 협상 정보를 교환하고 동작하는 동적모드이다. 양 쪽 모두 desirable (active)로 설정하거나 한 쪽은 auto(passive)로 설정하여도 된다.

실습

구성 전 모습

Trunk Port EtherChannel

SW1(config)# interface range fa0/1 - fa0/2 (이더채널로 설정할 인터페이스를 범위로 묶어 진입)

SW1(config-if-range)# switchport mode trunk (trunk port로 설정)

SW1(config-if-range)# channel-group 1 mode desirable

SW2(config)# interface range fa0/1 - fa0/2

SW2(config-if-range)# switchport mode trunk

SW2(config-if-range)# channel-group 1 mode auto

SW1 & SW2 config

구성 후 모습

Layer 3 EtherChannel

SW1(config)# interface port-channel 1 (port channel 인터페이스 생성)

SW1(config-if)# no switchport (L3 포트로 변경)

SW1(config-if)# ip address 192.168.0.1 255.255.255.0 (아이피 주소 할당)

SW1(config)# interface range g1/0/1 - g1/0/2 (인터페이스 묶어서 한 번에 설정)

SW1(config-if-range)# no switchport (이더채널로 설정할 포트 모두 L3포트로 변경)

SW1(config-if-range)# channel-group 1 mode desirable (이더채널 모드 설정)

SW2(config)# interface port-channel 1

SW2(config-if)# no switchport

SW2(config-if)# ip address 192.168.0.2 255.255.255.0

SW2(config)# interface range g1/0/1 - g1/0/2

SW2(config-if-range)# no switchport

SW2(config-if-range)# channel-group 1 mode auto

SW1 & SW2 config

구성 후 모습

Easy VPN

연매출300억 — Thu, 26 Dec 2019 01:36:57 +0900

패킷트레이서 버전은 7.2.1로 진행하였습니다.