https://404notonc.tistory.com/68
221114 산업인력공단 숙련기술원 네트워크 심화 1일차
Symmetric Key (대칭키) 1. DES 2. 3DES 3. AES Asymmetric Key (비대칭키) : 대칭키의 키 교환 문제를 위해 개발 1. DH 2. RSA : PKI 기반 -> 인증기관이 필요함 PKI : 공개키 기반 구조 CA : 공인인증기관 CSR Code : 인증
404notonc.tistory.com
https://404notonc.tistory.com/66
gre tunnel
VPN VPN 에 대한 간단한 개념을 알고 넘어가시는게 좋습니다. vpn 은 보안성과 가용성을 높이기 위한 솔루션인데요. 본사와 지사가 같은 사설망을 가지기엔 물리적인 거리가 너무 멀시 경제적으로
404notonc.tistory.com
앞선 포스팅에서 gre tunnel 과 gre tunnel over ipsec 에 대해 서술했었습니다. 이때 gre over ipsec 은 ipsec 의 문제인 1ㄷ1 point to point 방식으로 밖에 연결하지 못하는 문제를 해결하기 위해 사용한다고 했었습니다. 이번 포스팅에서는 multi point gre 를 서술합니다. 위 방법으로 mgre 를 설정하고 그 위에 ipsec 을 설정하면 ipsec 을 multipoint 로 이용할 수 있는 것입니다.
NHRP (next hop resolution protocol)
nhrp는 wan 구간에서 arp와 같이 작동하여 종단점 간의 최상의 라우팅 경로(가장 적은 홉 수)를 검색하여 데이터를 라우팅하는 기술입니다. 노드는 크게 nhs (next hop server) ,nhc(next hop client)로 구분되며 nhc 는 nhs 에 주소를 등록하고 등록된 주소의 nhc 끼리 서로 직접 통신할 수 있게 되어 성능 향상에 큰 도움을 줍니다. NBMA 네트워크에서 효과적으로 사용할 수 있습니다.
https://www.techtarget.com/searchnetworking/definition/Next-Hop-Resolution-Protocol
What is NHRP and how does it work?
Learn what Next Hop Resolution Protocol (NHRP) is and how it enables a computer sending data to determine the most direct route to a receiving computer.
www.techtarget.com
https://docs.frrouting.org/en/latest/nhrpd.html
NHRP — FRR latest documentation
© Copyright 2017, FRR Revision 0fce20b8.
docs.frrouting.org
nhrp 에 대한 더 깊이 있는 설명은 위 두 문헌을 보는게 더 좋을 것 같습니다.
MGRE configure
일반적으로 하나의 허브 라우터와 나머지로 구성되게 됩니다. CISCO 에서 권장하는 방식으로 동적 NHRP 를 통해서 매핑합니다. 앞에서 NHRP 는 ARP 처럼 tunnel ip 를 논리 ip 로 매핑 해줍니다.
스포크 라우터
ip nhrp map [tunnel ip] [논리 ip]허브 라우터
ip nhrp map multicast dynamic원래는 허브 라우터에서도 매핑을 하나하나 써줘야 하지만 동적 할당을 통해 하나의 명령문으로 줄어들게 됩니다.
허브 라우터 // eigrp 로 구성한다고 했을때로 가정
int tunnel 10
ip nhrp map multicast dynamic
// 중요 실수록 적어주지 않을시 recursive routing 발생 , 주소 정보를 매핑하지 못함
ip nhrp network-id 1
no ip next-hop-self eigrp 100
no ip split-horizon eigrp 100
tunnel source [ip]
tunnel mode gre multipoint
스포크 라우터
int tunnel 10
ip nhrp map [허브 라우터 터널 ip] [허브라우터 source ip]
ip nhrp map multicast [허브 라우터 source ip]
ip nhrp network-id 1
ip nhrp nhs [허브 라우터 터널 ip]
tunnel source [ip]
tunnel mode gre multipointeigrp as num 처럼 mgre를 설정해줄때 nhrp network-id 를 반드시 같게 해야합니다.
허브 라우터
no ip next-hop-self eigrp [as num]
no ip split-horizon위 두 명령어는 이럴때 필요합니다. no ip split-horizon은 거리 백터 라우팅을 이용하게 될때 split-horizon에 의해 라우팅 테이블이 전송되지 않을 수 있습니다. no ip next-hop-self 는 없이 구성하고 tracert 를 통해 확인해볼 경우 무조건 허브 라우터를 경유하는 것을 알 수 있습니다. 이를 허용하지 않고 스포크 대 스포크의 통신의 경우 허브를 경유하지 않도록 하는 설정입니다.
'네트워크 > 네트워크 일반' 카테고리의 다른 글
| 네트워크 보안 프로젝트 기록 (마셜 플랜 - DNS 공격을 이용한 시스템 침투 및 방어) (0) | 2023.01.06 |
|---|---|
| 인프라 NMS 구축 및 이중화 솔루션 구축 프로젝트 기록 (1) | 2023.01.06 |
| 221114 산업인력공단 숙련기술원 네트워크 심화 1일차 (0) | 2022.11.14 |
| 라우터 dhcp relay agent (0) | 2022.11.10 |
| frame-relay(point to point, multi point) (0) | 2022.11.04 |
