728x90
반응형

이전 글에서 iperf 툴을 통한 지점과 지점간 네트워크 대역폭 확인하는 방업에 대해 기술하여서 

http://woorilife.tistory.com/49


이번에는 대역폭이 너무 낮게 나와서 네트워크 장애를 의심할 때 제일 먼저 확인해야 되는 부분을 포스팅 해볼께요..





KN6503A#sh interfaces counters errors

 

        

Port      Single-Col Multi-Col  Late-Col Excess-Col Carri-Sen     Runts    Giants

Gi2/6              0         0         0          0         0         0         0

Gi2/7              0         0         0          0         0         0         0

Gi2/8              0         0         0          0         0         0         0

Gi2/9              0         0         0          0         0         0         0

Gi2/10             0         0         0          0         0         0         0

Gi2/11             0         0         0          0         0         0         0

Gi2/12             0         0         0          0         0         0         0

Gi2/13             0         0         0          0         0         0         0

Gi2/14             0         0         0          0         0         0         0

Gi2/15             0         0         0          0         0         0         0

Gi2/16             0         0         0          0         0         0         0

Gi2/17             0         0         0          0         0         0         0

Gi2/18             0         0         0          0         0         0         0

Gi2/19             0         0         0          0         0         0         0

Gi2/20             0         0         0          0         0         0         0

Gi2/21             0         0         0          0         0         0         0

Gi2/22             0         0         0          0         0         0         0

Gi2/23             0         0         0          0         0         0         0

Gi2/24             0         0         0          0         0         0         0

Gi2/25             0         0         0          0         0         0         0

Gi2/26             0         0         0          0         0         0         0

Gi2/27             0         0         0          0         0         0         0

Gi2/28             0         0         0          0         0         0         0

Gi2/29             0         0         0          0         0         0         0

Gi2/30             0         0         0          0         0         0         0

Gi2/31             0         0         0          0         0         0         0

Gi2/32             0         0         0          0         0         0         0

Gi2/33             0         0         0          0         0         0         0

Gi2/34             0         0         0          0         0         0         0

Gi2/35             0         0         0          0         0         0         0

Gi2/36             0         0         0          0         0         0         0

Gi2/37             0         0         0          0         0         0         0

Gi2/38             0         0         0          0         0         0         0

Gi2/39             0         0         0          0         0         0         0

Gi2/40             0         0         0          0         0         0         0

Gi2/41             0         0         0          0         0         0         0

Gi2/42             0         0         0          0         0         0         0

Gi2/43             0         0         0          0         0         0         0

Gi2/44             0         0         0          0         0         0         0

Gi2/45             0         0         0          0         0         0         0

Gi2/46             0         0         0          0         0         0         0

Gi2/47             0         0         0          0         0         0         0

Gi2/48             0         0         0          0         0         0         0

Gi3/1              0         0         0          0         0         0         0

Gi3/2              0         0         0          0         0         0         0

Gi3/3              0         0         0          0         0         0         0

Gi3/4              0         0         0          0         0         0         0

Gi3/5              0         0         0          0         0         0         0

Gi3/6              0         0         0          0         0         0         0

Gi3/7              0         0         0          0         0         0         0

Gi3/8              0         0         0          0         0         0         0

Gi3/9              0         0         0          0         0         0         0

Gi3/10             0         0         0          0         0         0         0

Gi3/11        188218    204128   1442611          0         0         0         0

Gi3/12             0         0         0          0         0         0         0

      

 


** Col은 Collision 의 약자이며, 해당 탭에 숫자가 카운트되어 있으면, 해당 포트는 문제가 있는 포트이다.



KN6503A#sh interfaces gi3/11

GigabitEthernet3/11 is up, line protocol is up (connected)

  Hardware is C6k 1000Mb 802.3, address is 001a.a296.be3a (bia 001a.a296.be3a)

  MTU 1500 bytes, BW 100000 Kbit, DLY 10 usec,

     reliability 245/255, txload 1/255, rxload 1/255

  Encapsulation ARPA, loopback not set

  Keepalive set (10 sec)

  Half-duplex, 100Mb/s

  input flow-control is off, output flow-control is off

  Clock mode is auto

  ARP type: ARPA, ARP Timeout 04:00:00

  Last input 00:00:44, output 00:00:35, output hang never

  Last clearing of "show interface" counters never

  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0

  Queueing strategy: fifo

  Output queue: 0/40 (size/max)

  30 second input rate 26000 bits/sec, 30 packets/sec

  30 second output rate 309000 bits/sec, 40 packets/sec

     28834875 packets input, 7576467969 bytes, 0 no buffer

     Received 351823 broadcasts (165583 multicasts)

     0 runts, 0 giants, 0 throttles

     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored

     0 watchdog, 0 multicast, 0 pause input

     0 input packets with dribble condition detected

     36165753 packets output, 26956756353 bytes, 0 underruns

     1442719 output errors, 392356 collisions, 3 interface resets

     0 babbles, 1442719 late collision, 0 deferred

     0 lost carrier, 0 no carrier, 0 PAUSE output

     0 output buffer failures, 0 output buffers swapped out

KN6503A#



** 문제가 발생한 원인은 다음으로 압축해 볼 수 있고, 하나씩 차례대로 접근해가면서 해결하여야 합니다.


1. L1 문제로 몰리적으로 케이블 어딘가가 찍혀있거나, 등의 문제

2. 네트워크 장비에서는 100 Half, 서버쪽에서는 100 Full 로 Duplex 가 서로 맞지 않아서

3. 위와 비슷한 문제로 MTU가 상호간 맞지 않아서 

728x90
반응형
728x90
반응형

문 서 명 : iperf 툴을 통해 networks bandwidth 점검 방법

문 서 버 전 : Ver_1.0

문 서 구 분 :  Manual  □ Summary

작 성 일 : 2016 08 17

작 성 자 : 우리들의 삶

테 스 트 환 경 : Windows 2008 STD 64bit, Windows 7 32bit




아마 이 글을 보고 있는 분들은 네트워크쪽에 문제가 생겼을 거라 생각되는데, 스위치<->서버 간 Duplex 이상이 없다면
네트워크 장비의 Collision 발생한 카운터를 보면 문제를 확인할 수도 있을 것이다. 

네트워크 장비의 Collision 확인하는 방법은 다음 문서에 기록하겠다.
http://woorilife.tistory.com/50


본 문서는 "iperf" 툴을 사용해서 지점과 지점에 대역폭 및 네트워크 속도를 측정하는 방법을 소개한다.

앞서 설명했다시피 end to end 사이의 점검이므로, 한쪽 지점은 "Server" 가 되어야 하며, 반대쪽은 "Client" 가 되어야 한다.
* Windows의 경우 Server가 64bit 이고, Client가 32bit 일 때도 호환이 가능하다.


아래 설명은 Windows 계열만 설명하지만, Linux 계열도 같은 방법으로 구동한다.

목차 
1. Server 측 설정
2. Client 측 설정

1. Server 측 설정

1) iperf의 압축을 해제한 디렉터리에 위치한다.
   * 반드시 관리자 권한으로 cmd 를 실행하여야 한다.

2) iperf -s  명령을 실행하는데 -s 의 의미는 Server이다.
    이로써 Client 를 받아드릴 준비가 되었으며, 통신은 TCP 5001번 port 를 통해 통신함으로, Server측에서는 TCP:5001 에 대해 open 되어 있어야 한다.



2. Client 측 설정

Client에서 iperf를 사용하는데 있어 옵션이 여러가지 있다. 다음을 참조 한다.


iperf -c {Server IP} : Client 설정으로 Server(IP)와 통신 체크 한다. 가장 기본이 되는 명령어


iperf -t {N} : N초 동안 테스트를 시도한 뒤 종합된 평균 값을 마지막에 출력한다.


iperf -i {N} : N초 단위로 테스트 한 값을 계속 보여준다.


iperf -w {NKB} : N KB사이즈로 TCP Size를 변경하여 측정한다.


728x90
반응형
728x90
반응형

문 서 명 : 회선 장비 기초(MCSU-2)

문 서 버 전 : Ver_1.0

문 서 구 분 :  Manual  Summary

작 성 일 : 2014 10 23

작 성 자 : 우리들의 삶

테 스 트 환 경 : MCSU-2

출 처 : 


본 문서는 네트워크 전용회선 장비의 확인과 원리에 대해서 간략히 기술한다.
아래의 내용은 경험으로 적은 것이므로, 정확한 설명이 될 수 없다. 참고만 하도록 한다.

1. 전면 부








2. 후면 부





장비 확인 방법
1. E1 신호 확인
- E1 신호는 위 그림과 같이 해당 위치에 LED가 위치하고, 청약의 종류에 따라 회선이 나뉘어 져있다. 
후면부 장비에 UTP 혹은 광으로 들어오는 선로의 갯수 별로 LED가 점등되며, STD에 녹색불이 점등되면 정상이다.
만약 상태가 이상할 때에는 회선번호를 통한 장애 접수가 가능하다.



2. 상대측 회선장비, 내 쪽 라우터 확인
아래의 LED에는 CH, STS, TD, RD 이렇게 나누어 져있는데, 
먼저 CH : 후면부에 V.35 케이블 꽃는 인터페이스와 맵핑되는 포트의 개념
STS : 모르겠음..
TD : 후면부 V.35 케이블에 연결되는 우리쪽 라우터의 상태 표시
RD : 전용회선을 따라 상호 연결된 상대측 회선장비의 상태 표시


3. Troubleshooting 
장애를 순차적으로 확인해야되는 방법으로
1. 회선사업자에게 End-to-End 간 Loop back을 요청한다. 즉 상대측 회선장비와 내쪽 회선장비의 중간 선로를 점검한다. 
    이때 상대측과 내쪽에 모두 상호 연락이 가능해야 하며, 회선부서의 도움이 필요하다.

2. 내쪽 회선장비와 라우터 사이를 Loop back 시켜 본다. 이는 네트워크 네트워크 엔지니어가 라우터쪽에서 모니터링 해줘야 된다.

3. 상대측 회선장비와 라우터 사이를 Loop back 시켜 달라고 요청한다.







728x90
반응형
728x90
반응형

설정모드에서exec 명령어사용하기

 

exec 명령어: 이용자모드나관리자모드에서사용하는명령어

show, ping, debug 등동작확인또는장애처리용명령어가대부분임

설정모드에서exec 명령어를사용하려면do로시작함

도움말기능이나명령어완성기능동작하지않음

 

Router(config)#do show version

 

현단계사용가능명령어보기

 

물음표(?)를입력하면현재단계에서사용가능한모든명령어예시

물음표다음에엔터키를누르지않음

 

Router#?

Exec commands:

access-enable Create a temporary Access-List entry

access-profile Apply user-profile to interface

access-template Create a temporary Access-List entry

alps ALPS exec commands

 

 

 

특정글자로시작하는명령어보기

 

특정글자에연속하여물음표를치면해당글자로시작하는명령어예시

 

Router#e?

enable ephone-hunt erase event

Exit

Router#e

 

명령어옵션보기

 

명령어입력후스페이스다음물음표를치면사용가능한옵션예시

 

Router#erase ?

/all Erase all files(in NVRAM)

/no-squeeze-reserve-space Do not reserve space for squeeze operation

flash: Filesystem to be erased

nvram: Filesystem to be erased

pram: Filesystem to be erased

slot0: Filesystem to be erased

slot1: Filesystem to be erased

startup-config Erase contents of configuration memory

Router#erase

 

(Tab) 키를이용한명령어완성

 

명령어에연속하여탭(Tab) 키를치면명령어를완성시킨다

 

Router#en[Tab]

 

모호한명령어입력시의에러메시지

 

모호한명령어입력시‘Ambiguous command’메시지표시

현설정단계에서해당철자로시작하는명령어가2개이상있다는의미

 

Router(config)#i

% Ambiguous command: "i

미완성명령어입력시의에러메시지

 

명령어에필요한옵션미입력시‘Incomplete command’메시지표시

현재의명령어다음에필요한옵션을입력해야한다는의미

 

Router(config)#interface

% Incomplete command.

Router(config)#

 

잘못된명령어입력시의에러메시지

 

잘못된명령어입력시잘못된철자에^ 표시

‘^ 표시부분에Invalid (잘못된) 입력이발견되었다라는메시지표시

 

Router(config)#intreface

^

% Invalid input detected at '^' marker.

728x90
반응형
728x90
반응형

시스코 장비 접속방법

윈도우7사용자

1. 설치시디, 인터넷으로 RS232 Draver 다운받아서 설치                                      

2.  RS232케이블 연결 후 내컴퓨터-> 속성(마우스오른쪽버튼)-> 장치관리자(클릭)

 3.RS232드라이버가정상적으로인식되었는지확인

                                        

                 4. Secure CRT 실행 후 장치관리자에서 인식되어있는

해당 시리얼 포트넘버선택 후 확인(참고 시스코 기본 Baud rate : 9600)

              

5. 초기장비접속시 user모드(>)이므로 장비 설정상태를 변경하거나 확인하기위해선 명령어 : enable 입력한 후 프리빌리지 모드로 엑세스                                          <시스코(cisco2960)장비 접속화면>

 



스위치(CISCO) 장비점검에 필요한 명령어 리스트

명령어 

내용 

 show process cpu

CPU 상태 확인 

show process memory 

메모리 상태 확인 

 show environment all

H/W 상태 확인 

show log 

로그 확인 

show version 

IOS 버전 확인 

show interface status 

Interface 상태 확인 

show vlan 

VLAN 상태 확인 



1. CPU 상태 확인

   명령어 : show process cpu 

설명 

%는 스위치의 프로세스들이 처리하는데 소요되는 CPU 소요량

/이후에 나오는%는 인터럽트 발생으로 소비되는 CPU 소요량입니다.

switch#show process cpu

CPU utilization for five seconds: 6%/0%; one minute: 5%; five minutes: 6%

 

 

 



2. 메모리 상태 확인

   명령어 : show process memory

설명

Processor POOL Total : 보유한 메모리의 전체용량

I/O POOL Total : 보유한 메모리의 전체용량

Used : 사용한 메모리의 전체용량

Free : 사용가능한 메모리의 전체용량   

switch#show process memory

Processor Pool Total:  388645840  Used:   90185760  Free:  298460080

I/O Pool Total: 67108864          Used:   16487640  Free:   50621224

 

3. Fan상태, LED상태 및 파워모듈의 입출력 전압, 장비내부별 온도 및 전압 등 확인 

   명령어: show environment / show environment all

                 



4. 로그 상태 확인

   명령어 : show log



5. IOS 버전상태확인

   명령어 : show version




6. 인터페이스 상태확인 (명령어 : show interface status)

  설명

각 포트별 링크상태, 소속된 vlan 그룹 및 속도상태 표시

 

 

Cisco#show interface status

Port    Name               Status       Vlan       Duplex  Speed Type

Gi5/1                      connected    trunk         full   1000 1000BaseSX

Gi5/2                      connected    trunk         full   1000 1000BaseSX

Gi7/1                        disabled      1           full   1000 1000BaseSX

Gi7/2                      connected      1           full   1000 1000BaseSX

Gi7/3                      connected      1           full   1000 1000BaseSX

Gi7/4                      connected      1           full   1000 1000BaseSX

Gi7/5                      connected      1           full   1000 1000BaseSX

Gi7/6                      connected      1           full   1000 1000BaseSX

Gi7/7                      connected      1           full   1000 1000BaseSX

Gi7/8                      connected      1           full   1000 1000BaseSX

Gi7/9                      connected      1           full   1000 1000BaseSX

Gi7/10                     connected      1           full   1000 1000BaseSX

Gi7/11                     connected      1           full   1000 1000BaseSX

Gi7/12                     connected      1           full   1000 1000BaseSX

Gi7/13                     notconnect     1           full   1000 1000BaseSX

Gi7/14                     connected      1           full   1000 1000BaseSX

Gi7/15                     connected      1           full   1000 1000BaseSX

Gi7/16                     connected      1           full   1000 1000BaseSX

Gi7/17                     connected      1           full   1000 1000BaseSX

Gi7/18                     connected      1           full   1000 1000BaseSX

Gi7/19                     connected      1           full   1000 1000BaseSX

Gi7/20                     connected      1           full   1000 1000BaseSX

Gi7/21                     connected      1           full   1000 1000BaseSX

Gi7/22                     connected      1           full   1000 1000BaseSX

Gi7/23                     connected      1           full   1000 1000BaseSX

Gi7/24                     connected      1           full   1000 1000BaseSX

 

7. VLAN 설정상태확인 (명령어: show vlan)

※ 설명

각 포트별 소속되어있는 vlan 그룹 및 활성화상태확인

 -------- -------


728x90
반응형
728x90
반응형

서브넷팅(subnetting)

 

서브넷팅이란?

 

하나의네트워크주소를여러개로분할하는것

라우터인터페이스별로다른네트워크주소를사용해야함

사용인터페이스수보다네트워크수가부족할때서브넷팅을해야함

 

 

서브넷마스크(subnet mask)

 

이진수로표기한IP 주소중네트워크를나타내는숫자위에는1, 호스트를나타내는숫자위에는0을적은것

 

11111111.11111111.00000000.00000000(서브넷마스크)

10101100.00010000.00000110.00001010 (2진표기IP 주소)

172. 16. 6. 10 (10진표기IP 주소)

IP 주소중에서어디까지가네트워크주소인지를표시할때사용

 

 

 

서브넷마스크표현법

 

•IP 주소다음점으로구분된10진수사용172.16.6.10 255.255.0.0

서브넷마스크로사용된1의개수로표시172.16.6.10/16

 

 

서브넷팅

추가적으로네트워크로사용하려는비트위에1을표시

11111111.11111111.11111111.00000000 (서브넷마스크)

10101100.00010000.00000110.00001010 (2진표기IP 주소)

172.16.6.10 (10진표기IP 주소)

네트워크수: 추가마스크수(256) 만큼증가

네트워크당호스트수: 추가마스크수(256) 만큼감소

 

 

서브넷계산방법(1)

기존마스크에n을더하면2n개의서브넷이만들어짐

서브넷당호스트수는256/2n

192.168.1.0/242(21)로분할

1)서브넷마스크:25 (24+1)

2)서브넷당호스트수:128(256/2)

3)서브넷: 0, 128

4)192.168.1.0/25, 192.168.1.128/25

 

 

서브넷계산방법(2)

 

192.168.1.0/244(22)로분할

1)서브넷마스크:26 (24+2)

2)서브넷당호스트수:64(256/4)

3)서브넷: 0, 64, 128, 192

4)192.168.1.0/26, 192.168.1.64/26, 192.168.1.128/26 , 192.168.1.192/26

 

 

서브넷계산방법(3)

192.168.1.0/248(23)로분할

1)서브넷마스크:27 (24+3)

2)서브넷당호스트수:32(256/8)

3)서브넷: 0, 32, 64, 96, 128, 160, 192, 224

4)192.168.1.0/27, 192.168.1.32/27, 192.168.1.64/27, 192.168.1.96/27, 192.168.1.128/26, 192.168.1.160/27, 192.168.1.192/26, 192.168.1.224/27

 

IP 주소가소속된서브넷계산방법

 

192.168.1.50/27이속한네트워크주소

 

1)추가된서브넷마스크:27 (24+3)

2)서브넷당호스트수:32(256/8)

3)서브넷: 0, 32, 64, 96, 128, 160, 192, 224

4)192.168.1.0/27, 192.168.1.32/27, 192.168.1.64/27, 192.168.1.96/27, 192.168.1.128/26, 192.168.1.160/27, 192.168.1.192/26, 192.168.1.224/27

5)192.168.1.32 -192.168.1.63

서브넷마스크 10진수 표기

마스크 수

서브넷마스크

//IN 표기

 10진 표기

24+1

1000 0000

/25

255.255.255.128

24+2

1100 0000

/26

255.255.255.192

24+3

1110 0000

/27

255.255.255.224

24+4

11110000

/28

255.255.255.240

24+5

1111 1000

/29

255.255.255.248

24+6

1111 1100

/30

255.255.255.252

24+7

1111 1110

/31

255.255.255.254

24+8

1111 1111

/32

255.255.255.255

 

 

수퍼넷팅(supernetting)

 

수퍼넷팅이란?

 

여러개의네트워크를하나로표시하는것

네트워크축약(summary)

네트워크안정화

네트워크자원(메모리, CPU,대역폭) 절약

장애처리용이

루트서머라이제이션(route summarization), 수퍼넷팅(supernetting), CIDR (Classless Inter-Domain Routing)

 

서머리네트워크계산방법

 

서브넷마스크–n = 현재의마스크를가진네트워크2n

서머리시작수가2n의배수이면2n개까지동시서머리가능

 

192.168.0.0/24, 192.168.1.0/24 = 192.168.0.0/23 :2 (21)

192.168.0.0/24 -192.168.127.0/24 = 192.168.0.0/17 :128 (27)

        


728x90
반응형
728x90
반응형
  topology


AP <-> Clinet 구간 vlan설정
AccessPoint#configure terminal
AccessPoint(config)#interface dot11radio 0 <-인터페이스 무선 설정 device
AccessPoint(config if)#ssid Admin <- ssid name 생성
AccessPoint(config if ssid)#vlan 20
AccessPoint(config if ssid)#authentication open .
AccessPoint(config if ssid)#end
AccessPoint(config)#interface fastethernet 0.20
AccessPoint(config subif)#encapsulation dot1Q 20 <- IEEE 802.1q 방식으로 캡슐화시켜서전송
AccessPoint(config subif)#bridge group 20
AccessPoint(config subif)#exit
AccessPoint(config)#interface dot11radio 0.20
AccessPoint(config subif)#encapsulation dot1Q 20 .
AccessPoint(config subif)#bridge group 20
AccessPoint#configure terminal
AccessPoint(config)#interface dot11radio 0
AccessPoint(config if)#ssid Guest <- SSID 활성화
AccessPoint(config if ssid)#vlan 30
AccessPoint(config if ssid)#authentication open
AccessPoint(config if ssid)#end
AccessPoint(config) # interface fastethernet 0.30
AccessPoint(config subif)# encapsulation dot1Q 30
AccessPoint(config subif)# bridge group 30
AccessPoint(config subif)# exit
AccessPoint(config) # interface dot11radio 0.30
AccessPoint(config subif)# encapsulation dot1Q 30
AccessPoint(config subif)# bridge group 30
AccessPoint(config subif)# exit




AP <-> Switch 구간 Trunk 설정
Switch#configure terminal
Switch<config>#interface fastethernet 0/5 .
Switch<config if>#switchport mode trunk
Switch<config if>#switchport trunk encapsulation dot1q
Switch<config if>#switchport trunk native vlan 2
Switch<config if>#switchport trunk allowed vlan add 2,20,30 .
Switch<config if>#switchport nonegotiate
Switch#configure terminal
Switch<config>#interface fastethernet 0/10
Switch<config if>#switchport mode trunk .
Switch<config if>#switchport trunk encapsulation dot1q .
Switch<config if>#switchport trunk native vlan 2
Switch<config if>#switchport trunk allowed vlan add 2,20,30


라우터 <-> 스위치 구간 Trunk 설정
Router#configure terminal
Router<config>#interface fastethernet 0/0.2
Router<config subif>#encapsulation dot1q 2 native
Router<config subif>#ip address 172.16.1.1 255.255.255.0
Router<config subif>#exit
Router<config>#interface fastethernet 0/0.20
Router<config subif>#encapsulation dot1q 20
Router<config subif>#ip address 172.16.2.1 255.255.255.0
Router<config subif>#exit
Router<config>#interface fastethernet 0/0.30
Router<config subif>#encapsulation dot1q 30
Router<config subif>#ip address 172.16.3.1 255.255.255.0
Router<config subif>#exit
DHCP Configuration starts here
Router<config>#ip dhcp excluded address 172.16.2.1
Router<config>#ip dhcp excluded address 172.16.3.1
Router<config>#ip dhcp pool pool1
router<dhcp config>#network 172.16.2.0 /24
router<dhcp config>#default router 172.16.2.1
Router<config>#ip dhcp pool pool2
router<dhcp config>#network 172.16.3.0 /24
router<dhcp config>#default router 172.16.3.1
Router#configure terminal
Router<config>#interface fastethernet 0/0.2
Router<config subif>#encapsulation dot1q 2 native <-태깅을하지않은 untag
Router<config subif>#ip address 172.16.1.1 255.255.255.0
Router<config subif>#exit
Router<config>#interface fastethernet 0/0.20
Router<config subif>#encapsulation dot1q 20
Router<config subif>#ip address 172.16.2.1 255.255.255.0
Router<config subif>#exit
Router<config>#interface fastethernet 0/0.30
Router<config subif>#encapsulation dot1q 30
Router<config subif>#ip address 172.16.3.1 255.255.255.0
Router<config subif>#exit
DHCP Configuration starts here
Router<config># ip dhcp excluded address 172.16.2.1 <-해당네트워크에서 제외되주소
Router<config># ip dhcp excluded address 172.16.3.1 .
Router<config># ip dhcp pool pool1  <-사용할주소 목록이름 
router<dhcp config>#network 172.16.2.0 /24  <-할당될 ip주소범위
router<dhcp config>#default router 172.16.2.1 <-게이트웨이 주소
Router<config>#ip dhcp pool pool2
router<dhcp config>#network 172.16.3.0 /24
router<dhcp config>#default router 172.16.3.1


AP접속된 클라이언트들 보기
AccessPoint#show dot11 associations <-AP접속된 클라이언트들 보기
802.11 Client Stations on Dot11Radio0:
SSID [Admin] :
MAC Address IP address Device Name Parent State
0040.96ac.e657 172.16.2.50 CB21AG/PI21AG Admin User self Assoc


VLAN 설정확인
AccessPoint#show vlan <- vlan 설정확인
Virtual LAN ID: 2 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.2
FastEthernet0.2
This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 1 1380 712
Other 0 63
0 packets, 0 bytes input
733 packets, 50641 bytes output
Bridging Bridge Group 1 1380 712
Other 0 63
1381 packets, 98016 bytes input
42 packets, 12517 bytes output
Virtual LAN ID: 20 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.20
FastEthernet0.20
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 20 798 622
Other 0 19
247 packets, 25608 bytes input
495 packets, 43585 bytes output
Bridging Bridge Group 20 798 622
Other 0 19
552 packets, 37536 bytes input
148 packets, 21660 bytes output
Virtual LAN ID: 30 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.30
FastEthernet0.30
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 30 693 609
Other 0 19
106 packets, 13373 bytes input
517 packets, 48029 bytes output
Bridging Bridge Group 30 693 609
Other 0 19
605 packets, 47531 bytes input
112 packets, 15749 bytes output
 

HOST에서 핑 테스트
D:\>ping 172.16.2.60
Pinging 172.16.2.60 with 32 bytes of data:
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Ping statistics for 172.16.2.60:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

D:\>ping 172.16.3.60
Pinging 172.16.3.60 with 32 bytes of data:
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Ping statistics for 172.16.3.60:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms




 

728x90
반응형
728x90
반응형
  Port-Security란?

Switch의 MAC 주소공간제약으로인해 장비의스펙에따라 MAC 주소가제한이된다. MAC
Flooding은 이러한점을이용하여 Switch의 MAC Address Table의 공간을 한계에도 달하게하여
Switch를마치 Hub처럼 동작을 시켜버린다. 보통 Switch의 Mac Address Table이 가득차게되면,
Hub와 동일하게들어온 포트를 제외한 다른모든포트로 Flooding한다. 이러한공격방법들이 증가함
에따라서나오게된 Solution이 Port-Security이다.
Port-Security는 각port마다 Mac-address를 제한시켜 MAC Flooding등의 공격을 방지할수있습니다.
이러한경우가 아니더라도 사내에서 User 임의대로 Hub를 사용하는것에대해 제한하기 위해서도

쓰인다.


Port-Security의3가지방식

1. Static Secure MAC-Address : 해당port에사용할User의MAC-Address를관리자가직접입력하여
설정하는방식으로관리자가지정한MAC-Address 이외에다른

MAC-Address를가진Device는해당포트를사용할수없다

Switch(config)# interface gigabitEthernet1/0/1
Switch(config-if)# switchportport-security mac-address 001F.1629.E6F8

->해당Interface에Static으로Mac-address를지정하여, Port-Security 적용


2. Dynamic Secure MAC-Address : 해당port에사용할User의MAC-Address를동적으로학습하여
Port-Security가적용이된다. Switch가Reboot이되면
Port-Security에등록된MAC-Address는삭제된다.

3. Stick Secure MAC-Address : 해당port에사용할User의MAC-Address를동적으로학습하여
Port-Security가적용이된다. Dynamic 방식과동일하지만, 다른점은
Dynamic은Switch가Reboot 될경우Port-Security에등록된
MAC-Address가삭제되지만, Sticky는NVRAM에저장하여Reboot된

후에도그대로해당MAC이Port-Security에저장된다.

Switch(config)# interface gigabitEthernet1/0/1
Switch(config-if)# switchportport-security mac-address sticky

->해당Interface를Port-Security Sticky 방식으로지정


Port-SecurityViolation


1. Violation Shutdown : Port-Security Default Violation이며, Port-Security가동작하는Interface에서

위반했을경우“Shutdown”되며, Err-Disable 상태로넘어간다.

Switch(Config)# interface gigabitethernet1/0/1
Switch(Config-if)#switchportport-securit ymac-address001F.1629.E6F7
Switch(Config-if)# switchportport-security violation shutdown
->해당Interface를Port-Security Static으로지정하여001F.1629.E6F7 이외의다른Mac이학습되면, 해당포트를 Shutdown 상태로만든다.

 

%PM-4-ERR_DISABLE: psecure-violation error detected on Gi1/0/1, putting Gi1/0/1 in err-disable state%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001f.1629.e6f8 on port GigabitEthernet1/0/1.

->Port-Security 정책을위반하여발생하는Event Log


2. Violation restrict : Port-Security에서정책을위반한MAC-Address가연결되었을때, 위반한
MAC-address를가진Device의모든Frame은Drop된다. Drop됨과동시에

위반한MAC-Address에대해서Event log를발생한다.

Switch(Config)# interface gigabitethernet1/0/1
Switch(Config-if)# switchportport-security maximum 1
Switch(Config-if)# switchportport-security violation restrict

->해당Interface를Port-Security maximum-macaddress를지정하여1로지정하여이외의다른MAC이올라왔을경우위반한MAC-Address에대해서만모든Frame을폐기하며, Violation Event log를발생한다

%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001f.1629.e6f8 on port GigabitEthernet1/0/1.

->Port-Security Violation이발생하여,001f.1629.e6f8의MAC-Address를제한되었다는log


3. Violation Protect : restrict와동일하게동작하지만, Violation Event log를발생하지않는다.

Switch(Config)# interface gigabitethernet1/0/1
Switch(Config-if)# switchportport-security maximum 1
Switch(Config-if)# switchportport-security violation protect

->해당Interface를Port-Security maximum-macaddress를지정하여1로지정하여이외의다른MAC이올라왔을경우위반한MAC-Address에대해서만모든Frame을폐기하며, Violation Event log를발생하지않는다.


Port-Security Aging Time ?

Port-Security에는Port-Security에등록된MAC-Address에대한Aging Time이존재하는데Default로
Infinity 이다. Aging Time은Port-Security가Static or Dynamic으로적용된port에서만적용가능하다.
Aging Time은0-1440 Minute까지설정가능하며, 0=infinity로동작한다.

Port-Security Aging Time에는2가지방식이있다.


-Absolute :Port-Security에등록된MAC-Address가무조건해당

Aging Time이만료되어야Port-Security에등록된MAC-Address가삭제된다.

Switch(config)# interface gigabitEthernet1/0/1
Switch(config-if)# switchportport-security aging time 1
Switch(config-if)# switchportport-security aging type absolute


-Inactivity : Port-Security에등록된MAC-Address의Data Traffic이없는경우에무조건해당

Port-Security에등록된MAC-Address가삭제된다.

Switch(config)# interface gigabitEthernet1/0/1
Switch(config-if)# switchportport-security aging type inactivity
Switch(config-if)# switchportport-security aging time 1
Sample Configuration
ConfigurationSwitch(Config)# interface gigabitethernet1/0/1
Switch(Config-if)# switchportport-security ßPort-security enable
Switch(Config-if)# switchportport-security maximum 2 ß
->해당interface로학습될MAC-address 제한
Switch(Config-if)#switchportport-security mac-address[sticky,static]
->port-security type,default dynamic
Switch(Config-if)# switchportport-security violation [shutdown / restrict / protect]
Switch(Config-if)# switchportport-security aging static ß
->static으로지정한mac-address에대한aging time
Switch(Config-if)# switchportport-security aging time [0-1440 min] ß
->default 0sec, 0sec->infinity
Switch(Config-if)# switchportport-security aging type [absolute / inactivity] ß
->aging time type 결정


Show port-security interface [type_num]
Switch# show port-security interface gigabitethernet1/0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 1 mins
Aging Type : Absolute
SecureStaticAddress Aging : Enabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan: 001f.1629.e6f8:1
Security Violation Count : 0








Port-Security Configuration

Show port-security address
Switch# show port-security address
Switch# showport-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan  Mac Address      Type           Ports Remaining Age(mins)
------------------------------------------------------------------------
1   001f.1629.e6f8  SecureDynamic        Gi1/0/1 < 1
------------------------------------------------------------------------
Total Addresses in System (excluding one macper port) : 0Max Addresses limit in System (excluding one macper port) : 6144

 


->해당Interface에Static으로Mac-address를지정하여, Port-Security 적용

728x90
반응형
728x90
반응형

CLI기반의 초기 설정 모드

 

Pre-configure Firewall now through interactive prompts [yes]? Firewall Mode [Routed]:

->Routed Mode(Layer3) 또는Bridge(Transparent-Layer2) Mode 지정Routed Mode 시반드시NAT 구성을해야하며, Network 변경이필요하지만, Transparent 모드는네트워크구성이없음

 

Enable password [<use current password>]: cisco

->패스워드구성

Allow password recovery [yes]?

->패스워드복구기능을활성화시킬것인지정의

 

Clock (UTC):

Year [2005]:

Month [Nov]:

Day [2]:

Time [01:14:54]:17:48:00

->System Clock 정의

Inside IP address: 192.168.1.1

Inside network mask: 255.255.255.0

Host name: ASA

->Inside IP Address 정의및Host 이름정의

Use this configuration and write to flash? Yes

->Setup모드에서 구성한Config 저장여부

 

 

 

 

 

 

 

초기설치시에는Setup Setup 모드지정후Inside(Gigabit0/1) Inside 를통해ASDM으로바로접속가능

 

기본 환경 설정

Inside Interface or Management Interface 설정

 

ManagementInterface 설정하기

Interface Management0/0

no shutdown

description Interface for Management

nameifMgmt-Interface

management-only

->Management 용으로만사용할경우설정

ipaddress 1.1.1.1 255.255.255.0

->Mgmt IP Address 정의

 

외부접속용Interface(Outside) 정의

Interface GigabitEthernet0/0

no shutdown

nameifoutside

->Internet 접속용Interface 정의

security-level 0

->외부에서들어오는Interface 이므로보안등급이가장낮게정의0

ipaddress 10.10.10.1 255.255.255.0

->외부접속용IP Address 정의

 

내부접속용Interface(Inside) 정의

interface GigabitEthernet0/1

nameifinside

->내부Network을위한interface 정의

 

security-level 100

->내부Network 이므로가장높은보안등급정의100

ipaddress 192.168.1.1 255.255.255.0

interface GigabitEthernet0/2

description interface for LAN

nameifinside-2

->내부Network 가운데다른네트워크추가정의가능(보안등급0~100)

security-level 100

ipaddress 20.20.20.1 255.255.255.0

 

Same-Security-Level 정의

same-security-traffic permit inter-interface

->두개이상의서로다른nameif를가진물리적인터페이스가동일한보안등급

(Security-level)을가질경우Same-Security-level 정의를통한구성가능

 

ASA Firmware Upload 하기

ASA# copy ftp://anonymous@192.168.1.10/asa704-k8.bin disk0:   

  ->기본적으로장비에이미내장되어있음

 

ASA 운영을위한ASDM Upload 하기

ASA# copy ftp://anonymous@192.168.1.10/asdm504.bin disk0:   

->기본적으로장비에이미내장되어있음

 

다중Firmware 구성시Boot 환경설정

ASA(config)# boot system disk0:asa704-k8.bin

ASA# shbootvar

Current BOOT variable = disk0:/asa704-k8.bin

 

Disk0: 의정보확인

ASA# dirDirectory of disk0:/

2706 -rw-1589 00:06:14 Oct 10 2005 old_running.cfg

2707 -rw-1009 00:06:14 Oct 10 2005 admin.cfg

2709 -rw-1318 15:17:08 Jul 25 2005 c-a.cfg

2711 -rw-2167 00:30:14 Oct 16 2005 logo.gif

2712 -rw-5437440 19:07:04 Nov 02 2005 asa704-k8.bin

4040 -rw-5958324 19:08:22 Nov 02 2005 asdm504.bin

 

ASDM 접속을위한기본구성

ASA(config)# http server enable

->Web Service Enable

ASA(config)# http 192.168.0.0 255.255.0.0 inside

->웹서비스를접속할수있는Network 정의

 

ASA(config)# asdmimage disk0:/asdm504.bin

->ASDM image가있는디스크URL 정의

 

Telnet 접속을위한 기본구성

ASA(config)#telnet 0.0.0.0 0.0.0.0 inside

->Telnet 이가능한Network 정의

 

Inside Network 접속유무 Check를위한 ICMP허용

ASA(config)#icmp permit any inside

->inside Interface Ping Test 허용

 

 

 

 

 

 

728x90
반응형

+ Recent posts