자격증) 정보기기운용기능사 실기 (9)

정보기기운용기능사 실기 (9)

access-list

- 라우터에 접근하는 패킷을 제어하는 명령이다

- 패킷의 출발지 ip 주소만을 확인하는 것을 표준 ACL

- 출발지와 목적지의 ip주소와 전송포트, 프로토콜의 번호등을 확인하는 것을 확장 ACL

- 트래픽이 많이 발생하는 것을 위로

 

standard ACL

- 출발지 ip 만 확인

- 넘버는 1-99까지

- router#access-list [number] [permit-허용/deny-차단] [출발지 ip + 와일드카드]

 

모든 ip 접근 허용

router#access-list 99 permit any

 

모든 ip 접근 거부

router#access-list deny 255.255.255.255

 

router(config-line)#access-class 1 in - 접근 ACL1을 제외한 다른 IP접근 제외 설정

 

router#access-list 1 deny any - 접근 ACL 1을 제외한 다른 IP 접근 제외 설정

 

extended ACL

- 접근하는 패킷의 IP add 만이 아닌 출발지 주소, 목적지 주소, 프로토콜까지 확인하여 제어하는 기능

- 넘버 100-199까지 프로토콜 키워드 ip,icmp,udp,tcp 등을 사용한다

- 기본 acl보다 토폴로지의 특정자비의 접근과 차단을 설정할 수 있다

 

형식

- router#access-list [number] [permit/deny] [protocol] [출발지 ip 와일드마스크] [목적지 ip 와일드마스크] [protocol options]

 

- router#access-list 100 deny icmp 168.126.0.0 0.0.0.255 192.168.0.0 0.0.255.255 echo

 

핑을 거부하라는 설정이 되어 있는 것이다 icmp는 ping 명령에 사용되는 프로토콜이다

300x250

AAA (authentication, authorization, accounting)

1. radius-원격 사용자 로그인 인증

- aaa서비스는 장비에 접근하기 위한 사용자의 인증을 위한 설정

- 장비에 접근할 수 있는 권한 aaa서버라는 곳에 지정하고 라우터나 스위치로 접근하느 사용자의 인증을 aaa서버를 통하여 설정하는 서비스

 

router(config)#username [아이디] secret [비밀번호]      1.서버가 아닌 라우터 로컬 계정을 통해 인증 받기 위해 먼저 계정 생성한다

router(config)#aaa new-model                          2.aaa 기능을 활성화하여 선언한다

router(config)#aaa authentication login default group radius local  3. 인증그룹과 인증방식을 지정한다

 

- aaa authentication : AAA 인증 설정

- login : 로그인 시 인증 설정

- default : 인증 시 사용할 소스를 지정하는 부분(별도의 그룹명으로 지정할 수도 있다 default로

 설정하면 모든 계정 사용을 하겠다)

- local : 인증 방식을 지정

 

router(config)#radius-server host [서버 IP] aaa서버 radius 기능을 설정한 서버의 ip add를 설정한다

router(config)#radius-server key [서버키 값] aaa서버의 키 값을 입력한다

router(config)#aaa authorization login default local 권한 지정을 하는 설정으로 인증과동일한 의미가 있다

router(config)#line console 0 console line 인증 지정

router(config-line)#login authentication default AAA기능을 통해 인증하겠다

router(config)#line vty 0 4 vty line 인증 지정

router(config-line)#login authentication default AAA기능을 통해 인증하겠다

 

NAT

- 인터넷 네트워크에서 공인아이피주소를 내부 사설아이피로 변경하거나 숨김으로써 보안상의 기능을 생성시킴

- 공인 아이피를 사설로 전환해주는 기법

- 전환과정에서 네트워크 지연이 발생하고, 네트워크망의 오류 발생시 위치 등을 확인하는데 어려움이 있다는 단점

 

정적 NAT

- 공인 아이피와 내부 사설 아이피가 미리 지정되어 있는 경우를 의미한다

 

router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#ip nat inside source static 10.1.1.2 198.53.12.221

Router(config)#int fa0/0

Router(config-if)#ip 10.1.1.2 255.255.255.0

                     ^

% Invalid input detected at '^' marker.

 

Router(config-if)#ip add 10.1.1.2 255.255.255.0

Router(config-if)#ip nat inside

Router(config-if)#exit

Router(config)#int s0/0/0

Router(config-if)#ip add 198.53.12.221 255.255.255.0

Router(config-if)#ip nat outside

 

동적 NAT

- 통신이 시작되는 그때그때의 상황에 따라 주어진 범위의 IP로 정해지는 것을 말한다

- 동적 NAT는 먼저 공인 IP로 사용할 네트워크 pool로 구성한다 공인IP의 시작과 끝을 선언한 후 netmask 명령 뒤에 서브넷 마스크를 입력한다

 

nat overload(pat)

- 여러 호스트가 사용할 수 있는 공인ip가 1개라면 다른 호스트도 인터넷을 사용할 수 있도록 설정할 수 있는 기술이 nat overload이며,

  하나의 공인 ip주소와 포트번호를 사용하여 여러 개의 사설ip를 지원하는 기능이다

 

nat overload

router(config)#ip nat inside source list [acl]번호 pool [acl이름] overload

앞의 동적 설정 명령과 동일한 설정으로 뒤에 overload라는 옵션을 추가하는 형식