단편화
전송 블록을 같은 크기로 나눔

재합성
수신 측에서 단편화된 데이터 합쳐서 복원

“흐름”제어
데이터 양, 통신 속도

“연결”제어
비연결성, 가상회선 -> 통신로 유지, 개설, 종료

TCP 헤더
- Source Port
- Destination Port
- Acknowledge
- Flags
- Windows Size
- Checksum

3-way-handshake
SYN -> SYN-ACK -> ACK

UDP 헤더
- Source Port
- Destination Port
- Length
- Checksum

Well-known-port
- FTP : 20, 21
- SSH : 22
- Telnet : 23
- DNS : 53
- DHCP : 67, 68
- TFTP : 69
- HTTP : 80
- HTTPS : 443
-> 포트 확인 명령어 : netstat -ano

IPv6 (128bit)
16비트씩 “8쌍”
0000 인 부분 생략 가능 ( ::: )

IPv6 헤더
-  “Version”
- Traffic Class
- Flow label
- Payload Length
- Next Header
- Hop Limit : 데이터 생존 기간

MTU (Maximum Transmission Unit)
최대 패킷 크기
(Ex)
Data : 2400
MTU : 980
Ipv4 헤더크기 : 20bytes
[ 20 + 960 ] [ 20 + 960 ] [20 + 480 ] = 2400 + 60

ARP <-> RARP
ARP : IP 주소 -> MAC 주소
RARP : MAC 주소-> IP 주소

ARP 헤더
- Opcode (Request 1 or Response 2)
- Hardware / Protocol Type / Addr Length
- HardWare / Protocol Address

ICMP (Internet Control Message Protocol)
- Type : 0, 8 / Name : echo Req, Res / desc : 디버깅용 응답, 요청
- Type : 4 / Name : Source Quench / desc : 송신측 전송 속도를 늦춰라
- Type : 5 / Name : Redirection / desc : 라우팅 테이블 주소 변경 시 업데이트
- Type : 3 / Name : Destination unreachable / desc : 클라이언트 문제
- Type : 11 / Name : TTL exceeded / desc : 서버 문제

IGMP (Internet Group Message Protocol)
Ipv4 사용하는 네트워크에서 멀티캐스팅 설정 시 사용
여러 장치가 하나의 ip 주소를 공유해서 모두 동일한 데이터 수신 가능
TTL 제공하는 비대칭 프로토콜

SMTP (Simple Mail Transfer Protocol)
이메일 송신
TCP 응용 프로토콜
ASCII로 전송
SSL 암호화
포트 #25

IMAP (Internet Message Access Protocol)
서버로부터 이메일 관리, 수신, 저장, 동기화
포트 #143

POP3 (Post Office Protocol 3)
이메일 수신, 확인 후 삭제
포트 #110

SNMP (Simple Network Management Protocol)
TCP / IP 를 사용하는 망 관리 프로토콜
UDP 데이터그램 방식 사용 (보안, 관리 감소)
GET, GET NEXT, SET, TRAP 네가지 기능
비동기식

DNS
Default = UDP
512bytes 이상의 패킷이면 TCP 사용

SDN (Software Defined Networking)
가상 네트워크 생성 및 제어, 소프트웨어가 포함된 기존 하드웨어 제어

LAN 표준 IEEE
- 802.1 : 상위 계층 인터페이스, MAC BRIDGE
- 802.2 : LLC(Label Link Control)
- 802.3 : CSMA / CD
- 802.4 : 토큰 버스
- 802.5 : 토큰 링
- 802.6 : MAN
- 802.7 : 광대역 LAN
- 802.8 : 광섬유 LAN
- 802.10 : 보안 (security)
- 802.11 : 무선 네트워크, CSMA / CA

에러 종류와 원인
1. 감쇠 : 이동하면서 신호 세기가 약해짐, 증폭기 or 리피터 로 해결
2. 지연 왜곡 : 주파수에 따라 신호 속도가 달라져서 신호 손상 유발
3. 잡음
- 열 : 진동 스펙트럼 (백색 … )
- 충격 : 순간적인 높은 진폭 (기계적 충격, 낙뢰 …)
- 누화 : 인접 전송매체의 전자기적 상호 유도
- 상호 변조 : 서로 다른 주파수들이 같은 전송매체 공유 -> 주파수 신호 차이
4. 에코 : 약해진 신호가 다시 송신측으로 돌아옴
5. 위상 지터 : 연속적인 위상 변화 -> 편차 커짐

전송 에러 제어 방식
1. 반복 전송 : 송신 -> 동일 데이터 2번 이상 연속 전송 / 수신 -> 데이터 비교, 오류 여부 확인
2. 궤환 전송 : 송신측으로 궤환된 데이터 비교, 검사
3. 전진오류 수정 (FEC) : 송신 -> 정보비트 + 부가코드 전송 / 수신 -> 이 부호로 오류 검출, 수정 (헤밍코드, 순환 잉여 검사 CRC)
4. 후진오류 수정 (BEC) : 오류 발생시 수신측에서 재전송 요구 (ARQ)

IP 주소란?

네트워크에서 장치들이 통신을 하기 위해서 서로를 구분, 식별하도록 해주는 번호이다.

우리가 쓰는 ip주소는 IPv4인데, 2진수 32비트로 이루어져 있으며, 8비트씩 끊어 "옥텟"으로 구분한다.

IP주소는 관리 기관에서 부여한 네트워크 ID와, 네트워크 상에서 개별 호스트를 식별할 수 있도록 하는 호스트 ID로 구성된다.

IP 주소의 유한성

IP주소는 무한한 자원이 아니라 특수 목적으로 예약된 것들을 포함해 약 43억개의 주소를 모두 사용하면 더이상 할당할 수 없다.

특수 IP 주소

• 네트워크 ID가 127이고 호스트 ID가 임의의 값이라면 루프백 주소이다.
• 네트워크 ID가 모두 0이고 호스트 ID만 설정되었다면, 특정 호스트를 식별하기 위한 주소이다.
• 네트워크 ID가 설정되어있고 호스트 ID가 모두 0이라면 네트워크의 경계를 구분하기 위한 네트워크 주소이다.
• 네트워크 ID가 설정되어있고 호스트 ID가 모두 1이라면 브로드캐스트 주소이다.

IP 주소 할당 방식 - Class

A, B, C 클래스는 일반 사용자들에게 부여하는 주소이다. 

A 클래스에서 네트워크 주소의 첫 비트는 0으로 고정되어 있다. B는 10로, C는 110로, D는 1110, E는 1111로 고정되어 있다.

IP 주소 할당 방식 - CIDR

클래스에 따라 IP 주소를 할당하면 사용하지 않는 주소 공간을 많이 낭비하게 되어 유한한 자원인 IP 주소를 효율적으로 사용하기 어렵다.

CIDR은 클래스 구분이 없이 필요한 호스트 수에 따라 적당히 할당하는 방식이다.

기존 클래스 할당 방식에서는 호스트 ID의 길이가 8, 16, 24로 매우 제한적이었지만 CIDR에서는 훨씬 다양한 길이를 제공한다.

접두어 표기법(Prefix)

CIDR 방식에서는 네트워크 ID의 길이(bit)를 슬래쉬 뒤에 나타내는 접두어 표기법을 사용한다.

만약 /24 라면 32bit 중 네트워크 ID 24bit를 제외한 나머지 8bit가 호스트 ID가 된다.

서브넷 마스크 (Subnet Mask)

192.168.23.56 이라는 주소만 보면 어디까지가 네트워크 ID이고 어디부터가 호스트 ID인지 알기 어렵다.

서브넷 마스크는 이러한 주소에서 네트워크 ID와 호스트 ID를 구분하는 역할을 한다.

32비트로 이루어져 있으며, 이진수 표기법으로 IP 주소에서 네트워크에 해당하는 비트는 1로, 호스트에 해당하는 비트는 0으로 표현한다.

어떤 IP 주소와 그 주소의 서브넷 마스크를 2진수로 표현한 다음, AND 연산을 수행하면 네트워크 ID는 그대로 남고 호스트 ID는 모두 0으로 나타난다. 즉, 서브넷을 찾을 수 있다.

와일드카드 마스크 (Wildcard Mask)

와일드카드 마스크는 서브넷마스크와 유사하게 필터링 기능을 하지만 정 반대의 표기법을 사용한다.

와일드카드 마스크에서 네트워크 ID 처럼 반드시 변하면 안되는 부분은 0으로 표현하고 변해도 괜찮은 부분은 1로 표현한다.

서브넷 마스크는 네트워크를 구분하는 역할을 하지만 와일드카드 마스크는 훨씬 다양하게 IP 주소를 필터링할 수 있다.

(ex) 홀수 / 짝수 주소 필터링 등

마찬가지로 해당 IP 주소와 AND 연산을 시키면 원하는 주소를 필터링할 수 있다.

서브넷팅 (Subnetting)

서브넷팅이란 하나의 기존 네트워크를 여러개의 더 작은 네트워크로 분할하는 것이다.

서브넷팅을 통해 형성된 작은 네트워크들을 서브넷이라고 한다.

분할된 서브넷들의 크기가 모두 같냐 다르냐에 따라 FLSM 과 VLSM으로 구분된다.

서브넷팅 조건

1. 서브넷에 할당되는 주소는 공백없이 순서대로 할당된다.
2. 서브넷에 할당되는 주소 중에서 첫 번째 주소와 마지막 주소는 반드시 네트워크 주소와 브로드캐스트 주소로 사용한다.

FLSM (Fixed Length Subnet Mask)

기존 네트워크를 모두 같은 크기의 서브넷으로 나누는 방법이다.

각 서브넷의 규모와 상관없이 규모가 가장 큰 서브넷의 크기에 따라 IP 주소가 분배된다.

(ex) 호스트 256개의 기존 네트워크를 4개로 나누려고 한다. 서브넷1은 호스트 최소 60개, 서브넷2는 호스트 최소 32개, 서브넷 3은 호스트 최소 20개, 서브넷4는 호스트 최소 5개가 필요하다.

FLSM 하는 방법

1. 네트워크 주소와 서브넷 마스크를 이진수로 나타낸다.
2. 현재 호스트 비트로 표현할 수 있는 IP 주소가 몇 개인지 파악한다.
3. 호스트 ID의 가장 첫 비트부터 네트워크 ID로 옮기면서 최소한의 필요한 IP 주소만을 포함하도록 한다.
4. 네트워크 주소를 십진수로 변환하고 네트워크 ID의 비트수를 세어 접두어 표기법으로 나타낸다.

VLSM (Variable Length Subnet Mask)

기존 네트워크를 각각 다른 크기의 서브넷으로 나누는 방법이다.

각 서브넷의 규모를 고려하여 IP 주소가 분배된다.

하지만, 서브넷의 크기가 가장 큰 서브넷부터 순차적으로 IP를 분배해야 한다.

(ex) 호스트 256개의 기존 네트워크를 4개로 나누려고 한다. 서브넷1은 호스트 최소 100개, 서브넷2는 호스트 최소 50개, 서브넷 3은 호스트 최소 30개, 서브넷4는 호스트 최소 25개가 필요하다.

VLSM 하는 방법

1. 네트워크 주소와 서브넷 마스크를 이진수로 나타낸다.
2. 현재 호스트 비트로 표현할 수 있는 IP 주소가 몇 개인지 파악한다.
3. 호스트 ID의 가장 첫 비트부터 네트워크 ID로 옮기면서 가장 큰 서브넷이 최소한 필요로 하는 IP 주소만큼을 포함하도록 한다.
4. 가장 마지막 서브넷의 네트워크 주소로 3번 과정을 반복한다.
5. 각 서브넷의 네트워크 주소를 십진수로 변환하고 네트워크 ID 비트수를 세어 접두어 표기법으로 나타낸다.

슈퍼넷팅 (Supernetting)

서브넷팅과는 반대로 여러개의 작은 네트워크를 하나의 큰 네트워크로 합치는 작업이다.

여러 네트워크의 중복되는 부분을 하나의 네트워크로 만들기 위해 사용하기도 한다.

PBR(Policy-Based Routing)이란?

네트워크 관리자가 정의한 정책이나 필터를 기반으로 데이터 패킷을 전달 및 라우팅 하는 것이다.

즉, 라우팅 프로토콜 결정을 정책 재정의하는 방법이다.

액세스 목록, 패킷 크기 등 여러 기준에 따라 정책을 선택적으로 적용할 수 있다.

사용자 정의 경로의 라우팅 패킷, 우선 순위 결정, 서비스 비트 유형 등을 수행한다.

PBR과 기존 라우팅의 차이점

기존 라우팅 시스템 : 트래픽 대상을 기반으로 트래픽을 라우팅 한다. 그러나 네트워크의 다양한 애플리케이션 트래픽 유형을 알기 어렵다.

정책 기반 라우팅 : 각각의 애플리케이션의 유형을 개별적으로 처리하기 때문에 성능 또는 가용성의 저하 없이 효과적으로 트래픽의 우선순위를 지정하고 트래픽을 구분하여 라우팅 할 수 있다.

PBR의 장점

• 여러개의 경로를 사용할 수 있는 중요한 작업에 대해 높은 대역폭과 낮은 지연 시간 링크를 선택해 우선순위를 지정한다. (Qos)
• 중요한 작업 트래픽을 실행하는 기본 경로에 정전 등으로 인한 가동 중단 상황이 발생하면 폴백 링크를 생성해 로드를 공유한다.

폴백 : 정확한 경로 선택 방식으로는 적절한 경로를 선택할 수 없을 때 최소 수준의 속성에 일치하는 경로를 찾아내는 메커니즘이다. 시간 지연과 같은 특정 속성을 선택적으로 완화시켜 경로 결정을 시도한다.

• 네트워크 관리자가 심층 검사 및 분석을 해야 하는 트래픽을 구분해 분류한다. 선택적으로 관리자가 이런 트래픽을 다른 장비로 라우팅할 수 있다.
• 적절한 우선순위, 라우팅, 대역폭을 승인된 트래픽에 지정하는 방식으로 특정 트래픽 전송에 대해 보증된 서비스 수준 계약(SLA)를 제공한다. (ex) 비디오 데이터 등
• 애플리케이션을 기반으로 트래픽을 분류하고 WAN 최적화를 위해 옵티마이저(최적화 알고리즘)로 트래픽을 전송해 중요한 작업과 데이터에 대한 액세스 속도를 높일 수 있다.

PBR 설정

1. 관리할 트래픽에 대한 access-list 생성
2. route-map 생성 (match, set으로 설정)
3. 인터페이스에 정책 route-map 적용
4. debug ip policy (동작 확인)

(ex)
Router(config)# ip access-list 100 permit ip 10.10.10.0 0.0.0.127 any
Router(config)# route-map PBR permit 10
Router(config-route-map)# match ip address 100
Router(config-route-map)# set ip next-hop 20.20.20.1

Router(config)# int fa0/0
Router(config-if)# ip policy route-map PBR

Router# debug ip policy

Ether channel?

여러개의 물리적 회선을 하나의 논리적 회선으로 묶는 것이다.
두 장비를 여러개의 회선으로 연결하면 링 형태가 되어서 루핑을 방지하기 위한 STP 가 하나의 회선을 제외한 나머지를 블로킹한다.
그러면 하나의 회선밖에 사용할 수 없어 불편해지는 것을 막기 위해 이더채널을 구성한다.
 

Ether channel 의 장점

여러 물리회선을 하나의 회선인 것처럼 받아들여서 STP가 돌지 않는다. 이에 따른 장점들이 여러개 존재한다.

• 대역폭 증가 : 여러 회선이 하나의 회선처럼 동작하면 대역폭이 증가해서 높은 대역폭이 필요한 장비들이 빠르게 통신할 수 있다.
• 로드 밸런싱 : 트래픽이 여러 회선 사이에서 분산되어 더 효율적으로 대역폭을 활용할 수 있다.
• 고가용성 : 하나의 회선을 사용할 수 없게 되어도 다른 회선들이 작동하기 때문에 가용성과 신뢰성을 높인다.
• 쉬운 관리 : 여러 회선 대신 하나의 논리적 회선을 관리하기 때문에 훨씬 단순하게 관리할 수 있다.
• 장애 복구 : 고가용성과 비슷하게 하나의 회선이 다운되어도 다른 회선으로 자동으로 장애를 복구한다.

Ether channel 프로토콜

LACP (Link Aggregaction Control Protocol) 

• IEEE 표준 방식이다.
• 최대 16개의 물리 회선을 묶을 수 있는데, 실제로 8개가 사용되고 나머지 8개는 백업용으로 사용된다.
• Active (능동) , Passive (수동) 협상모드가 있다.
• Active : 상대 스위치와 협상 후 활성화시킨다.
• Passive : 상대가 LACP를 사용하고 있는 경우에만 활성화시킨다. 

 
 PAgP (Port Aggregaction Protocol)

• Cisco 전용 프로토콜이다.
• Desirable (능동) , Auto (수동) 협상모드가 있다.
• Auto 끼리는 연결되지 않는다.
• Desirable : 상대 스위치와 협상 후 활성화시킨다.
• Auto : 상대가 PAgP를 사용하고 있는 경우에만 활성화시킨다. 

 
ON

• 강제적 이더채널 사용 모드이다.
• 상대 스위치와 협상 없이 모든 포트를 활성화시킨다.
• ON 끼리만 연결할 수 있다.
• 패킷 손실이나 프레임 루핑이 발생할 수 있다.

Ether channel 설정 조건

1. VLAN, Speed, STP 등의 설정값이 모두 동일해야 한다. (Access 포트)
2. Encapsulatioin 방식(dot1Q, ISL, NativeVlan, AllowedVlan 등)이 모두 동일해야 한다. (Trunk 포트)
3. port security 를 설정한 포트는 사용할 수 없다.
4. Fast, Gigabit Ethernet 에서는 구성 가능하지만 Ethernet(10Mbps)은 지원하지 않는다.

Ether channel 설정

(config)# interface port-channel [ 1 ~ 48 ]
포트 채널 인터페이스를 생성한다.
(config)# interface range [ 인터페이스 타입(f or g) ] [ range 포트 ]
실수를 줄이기 위해 range 방식이 권장된다.
(config-if)# channel-protocol [ 프로토콜 (lacp, pagp)
(config-if)# channel-group [ group 번호 ] mode [ 모드(active, passive, desirable, auto, on ]
 
(config-if)# lacp port-priority [ 0 ~ 65535 ] (lacp 일 경우에만)

(config-if)# pagp learn-method [ port-down / continuous ]
port-down : 포트가 다운될 때만 정보를 학습한다. 포트가 다운되면 학습정보를 삭제한다. (default)
continuous : 포트가 다운되어도 프레임을 수신한다. 포트가 다운되어도 학습정보를 유지한다.
(config-if)# pagp port-priority [ 1 ~ 32768 ] (default 128)
(config-if)# pagp rate [ slow / fast ]
slow : 30초에 한번 pagp 패킷을 전송한다.
fast : 1초에 한번 pagp 패킷을 전송한다. (default)
(config-if)# pagp timer [ 1000 ~ 10000 ] (default 3000)

Port security?

네트워크에 연결할 수 있는 장치와 연결 방법을 제한하여 네트워크에 대한 액세스를 제한하는 것이다.
특정 포트에 Port security 를 적용하면 포트에 학습할 수 있는 MAC 주소의 수를 제한하거나 허가된 MAC 주소만 접근할 수 있게 한다.
 
스위치에서 하나의 포트에 연결된 모든 장치의 MAC 주소가 학습되면 MAC 주소 테이블이 가득 차면 그 이후에 들어오는 패킷들을 학습할 수 없게 된다. 그러면 모두 플러딩시켜 스위치가 마치 허브처럼 동작하게 되는데, 이 문제를 유도하는 공격 기법은 MAC Flooding Attack 이다. 이를 방지하기 위해 Port security 를 설정해야 하는 것이다.
 

mac 주소 학습 방법

1. static : MAC주소를 직접 입력하여 설정하고 NVRAM에 저장할 수 있다.
2. dynamic : MAC주소를 동적으로 학습하고 삭제한다. 스위치가 재부팅되면 학습했던 MAC주소는 삭제된다. (default)
3. sticky : MAC주소를 동적으로 학습하고, 스위치가 재부팅되어도 Port-Security에 학습했던 MAC주소가 유지된다.

*nvram : 전원이 공급되지 않아도 저장된 정보를 계속 유지하는 컴퓨터 메모리
 

port security 보안 정책 (violation mode)

1. shutdown : 해당 포트가 Shutdown(비활성화)이 되며 err-disabled 상태로 넘어간다. (default)
2. restrict : 위반한 MAC주소를 가진 장비의 모든 Frame을 Drop(폐기)시킨다. Drop과 동시에 위반한 MAC주소에 대해서 Log가 남는다.
3. protect : restric와 동일하게 작동하지만 log가 남지 않는다.

유지 시간 (aging time)

port security를 설정하고 난 후 연결된 장비의 mac 주소에 대한 유지 시간이다.
0(default) ~ 1440분

1. absolute : 직접 입력해 설정한 시간이 지나면 만료된다.
2. Inactivity : 설정한 시간동안 데이터 트래픽이 없는 경우에 만료된다.

Port security 설정

포트에 port security를 설정하기 위해서는 포트가 dynamic 즉, trunk 모드이면 안된다. 
 

(config)# interface [ port security 적용할 인터페이스 ]
(config-if)# switchport mode access
(config-if)# switchport port-security
(config-if)# switchport port-security maximum [ 최대 학습 가능한 mac 주소 수 ] (default 1)
(config-if)# switchport port-security mac-address [ mac 주소 학습 방법 ]
(config-if)# switchport port-security violation [ 보안 정책 ]
(config-if)# switchport port-security aging time [ 유지 시간 ]
(config-if)# switchport port-security aging type [ 유지시간 타입 ]

 
확인 명령어

# show port-security interface [ 확인할 인터페이스 ]

GRE (Generic Routing Encapsulation) 란?

라우터의 논리적 인터페이스를 만들어서 포인트-투-포인트(point-to-point) 캡슐화 방식 터널링 프로토콜이다.

GRE 터널은 완전히 스테이트리스(stateless)로 설계되었기 때문에 각 터널이 상대쪽의 상태 또는 가용성에 대한 정보를 유지하지 않는다. 따라서 터널의 상대쪽에 연결할 수 없는 경우 로컬 라우터가 GRE 터널 인터페이스의 라인 프로토콜을 작동을 중지시킬 수 없다.

링크의 상대쪽을 사용할 수 없을 때 인터페이스를 중단으로 표시하는 것은 해당 인터페이스를 아웃바운드 인터페이스로 사용하는 라우팅 테이블에서 경로(특히 고정 경로)를 제거하기 위해 사용된다.

특히 인터페이스에 대한 라인 프로토콜이 down으로 변경되면 해당 인터페이스를 가리키는 모든 고정 경로가 라우팅 테이블에서 제거된다. 이렇게 하면 대체(부동) 고정 경로를 설정하거나 대체 다음 홉 또는 인터페이스를 선택하기 위해 PBR(Policy Based Routing)을 설정한다.

*PBR(policy based routing)정책기반라우팅: 네트워크 관리자가 라우팅 결정을 정의하고 특정 데이터 또는 패킷을 다른 경로로 유도하기 위한 접근

일반적으로 GRE 터널 인터페이스는 구성되는 즉시 나타나며, 유효한 터널 소스 주소 또는 인터페이스가 가동 상태라면 그대로 유지된다.

터널 대상 IP 주소도 라우팅 가능해야 한다. 이는 터널의 다른 쪽이 구성되지 않은 경우에도 마찬가지이다.

즉, GRE 터널 패킷이 터널의 다른 쪽 끝에 도달하지 않더라도 GRE 터널 인터페이스를 통한 패킷의 경로 또는 PBR 전달은 계속 유효해야 한다는 뜻이다.

라우팅이 불가능한 패킷을 라우팅이 가능한 패킷의 내부에 넣어서 전송하고, 기존 IP 헤더 앞에 새로운 IP 헤더를 생성해 캡슐화하는 VPN 기능을 제공한다. ⇒ Cisco에서 개발한 터널링 프로토콜

GRE Keepalive

GRE keepalive는 터널이 연결되었는지 확인하고 상태를 모니터링하기 위한 메커니즘이다.

GRE 터널이 활성 상태인지 여부를 주기적으로 확인한다.

keepalive 패킷이 엔드포인트 간에 주기적으로 전송되며 터널이 활성 상태인지 확인한다.

만약 터널 한쪽이 장애인 경우 keepalive 패킷을 수신할 수 없어 장애가 발생했음을 탐지하고 조치를 취할 수 있다.

일시적인 장애인 경우 장애가 해결되었음을 탐지하고 터널을 자동으로 복구한다.

GRE keepalive가 구현되기 전에는 라우터의 로컬 문제를 확인할 수 있는 방법만 있었고 중간 네트워크의 문제를 확인할 수 있는 방법은 없었다. 예를 들어, GRE 터널링 패킷이 성공적으로 전달되지만 터널의 다른 끝에 도달하기 전에 손실되는 경우라면 PBR을 사용하는 대체 경로 또는 다른 인터페이스를 통한 경로를 사용할 수 있더라도 GRE 터널을 통과하는 데이터 패킷이 "블랙홀"이 된다. GRE 터널 인터페이스의 Keepalive는 물리적 인터페이스에서 Keepalive를 사용하는 것과 동일한 방법으로 이 문제를 해결하기 위해 사용된다.

GRE 설정

Router 2

(config)# interface tunnel 3

(config-if)# ip address 210.110.50.1 255.255.255.0

(config-if)# tunnel mode gre ip

(config-if)# tunnel source s0/0/0 (터널 반대쪽 라우터와 가까운 인터페이스)

(config-if)# tunnel destination 210.110.20.254 (실제 라우터의 주소)

(config)# ip route 210.110.40.0 255.255.255.0 210.110.50.254

Router 3

(config)# interface tunnel 3

(config-if)# ip address 210.110.50.254 255.255.255.0

(config-if)# tunnel mode gre ip

(config-if)# tunnel source s0/0/0

(config-if)# tunnel destination 210.110.10.254

(config)# ip route 210.110.30.0 255.255.255.0 210.110.50.1

Router 4

# traceroute 210.110.40.2 (router 5)

router 4에서 위와 같이 router 5로 경로를 추적해보면 router 1을 거치지 않고 터널을 통해 통신한다는 것을 확인할 수 있다.

GRE Keepalive 설정

keepalive [주기] [재시도 횟수]

[주기] 안에는 keepalive 패킷을 전송하는 주기 (초 단위)를 숫자로 입력한다.

[재시도 횟수] 안에는 keepalive 패킷 전송 후 몇번까지 응답을 기다릴지를 숫자로 입력한다.

Ex) keepalive 5 4

5마다 keepalive 패킷을 전송하고, 전송 후 4번까지 응답을 기다린다.

IPsec란?

네트워크에서 안전한 연결을 설정하기 위한 통신 규칙 또는 프로토콜 모음이다.

GRE 와 달리 데이터 인증, 암호화 및 무결성 확인과 같은 보안성들을 제공한다.

두 네트워크나 장치 간 안전하고 암호화된 연결을 만드는 데 사용한다.

IPsec 의 특징

• 데이터 암호화, 무결성 보장, 인증을 제공한다.

• 여러 프로토콜과 알고리즘을 포함하는 프로토콜 스위트이다.

• 네트워크 관리자가 보안 정책을 ‘사용자 정의’할 수 있는 유연성이 있다.

• 사이트 간 원격 액세스 VPN을 구축하고 제공한다.

• 트래픽을 필터링할 수 있고, 감시를 통해 트래픽을 모니터링한다.

IPsec SA ? SP ?

• SA(Security Association) : 보안 통신을 지원하기 위해 두 peer 간에 공유 보안 속

성을 설정하는 것이다. IPsec 동작을 위해 필수로 설정해야 한다.

1. Sequence number counter : 패킷의 tcp 세그먼트 데이터 번호 설정

2. Anti-Reply Window : 재전송 공격방어를 위한 window 값

3. AH/ESP : IPsec에서 주로 사용되는 프로토콜

4. Lifetime : 세션 만료 기간

5. Mode : 동작 모드(Transport ,Tunnel)

6. path MTU : 경로 MTU 값

• SP(Security Policy) : 패킷을 필터링하기 위한 패킷 필터링 정책

• 외부 ➝ 내부 : incoming Traffic

• 내부 ➝ 외부 : outgoing Traffic

1. Source/destination IP address : 송수신 ip 주소

2. Source/destination Port : 송수신 포트번호

3. Name : DNS 식별자 등의 이름

4. Transport Layer Protocol : TCP or UDP

IPsec 프로토콜

1. AH (Authentication Header) : MAC을 이용하여 인증 및 무결성 제공한다. 패킷의 변경 가능한 필드를 제외한 모든 부분을 인증한다. 재전송 공격을 방지한다.
2. ESP (Encapsulated Security Payload) : AH 기능에 암호화를 이용한 기밀성을 추가로 제공한다.
3. IKE (Internet Key Exchange) : SA를 설정하는 과정에서 두 peer 간에 특정 요소에 어떤 설정 값을 사용할지 정하는 과정이다.     먼저 IKE SA를 설정하고 그걸 바탕으로 IPsec SA를 설정한다.
4. ISAKMP : 인터넷 환경에서 안전하게 SA 및 세션 키를 관리할 수 있다.

IPsec vs GRE

1. 데이터의 보안 제공 GRE(X) IPsec(O)

2. 목적과 기능

• GRE : 두 지점 간 데이터를 안전하게 전송하기 위해 패킷을 포장하고 전송하며, 패킷의 라우팅과 관련된 정보를 유지한다.
• IPsec : 데이터 암호화, 무결성 확인, 통신 인증으로 안전한 통신을 제공하며, 주로 VPN을 구축하여 데이터를 안전하게 전송한다.

3 .사용 사례

• GRE : 라우터나 네트워크 장치 사이에 가상 연결을 만들거나 라우팅 정보 공유
• IPsec : VPN을 구축하고 안전한 원격 액세스 또는 사설 네트워크 연결 구현

Relationship

• GRE가 VPN을 만들기 위한 기본적인 캡슐화 형태일 수 있지만, 암호화나 인증과 같은 추가적인 보안 메커니즘 없다.
• GRE가 VPN을 위해 사용될 때 데이터의 기밀성과 무결성을 보장하기 위해 IPsec와 같은 추가 보안 메커니즘이 상위에 추가되기도 한다.
• IPsec VPN은 특정 네트워크나 장치 간의 통신을 안전하게 하기 위해 IPsec 프로토콜 모음을 사용하는 특정 유형의 VPN이다.
• 일반적으로 VPN은 공개 네트워크 위에 사설 네트워크를 만드는 다양한 기술 및 방법을 포함하는 넓은 개념이고, IPsec VPN은 보안을 위해 IPsec를 사용하는 특정 하위 집합이다.