NAT

Network Address Translation

1. NAT ๊ฐ„๋‹จ ๊ฐœ๋…
2. NAT ๋™์ž‘ ๋ฐฉ์‹
3. NAT ๋งคํ•‘ ๋ฐฉ์‹


IPv4๋Š” 32๋น„ํŠธ์˜ ๊ฐ’์œผ๋กœ ๊ตฌ์„ฑ๋˜์–ด์žˆ๋‹ค. ์ด ๊ฒƒ์„ ๊ฐœ์ˆ˜๋กœ ํ™˜์‚ฐํ•œ๋‹ค๋ฉด์ด 232 = ๋Œ€๋žต 43์–ต๊ฐœ์˜ IP๊ฐ€ ์กด์žฌํ•œ๋‹ค. ํ•˜์ง€๋งŒ ์ธํ„ฐ๋„ท์ด ๊ธ‰๊ฒฉํžˆ ๋ฐœ์ „ํ•˜๋ฉด์„œ 43์–ต๊ฐœ์— ๋„๋‹ฌํ•˜๋Š” IP๋„ ๊ณ ๊ฐˆ๋˜๋Š” ๋ฌธ์ œ๊ฐ€ ๋ฐœ์ƒํ–ˆ๋Š”๋ฐ,, ์ด ๋ฌธ์ œ๋ฅผ ํ•ด๊ฒฐํ•˜๊ธฐ ์œ„ํ•ด ๊ณ ์•ˆ๋œ ๋ฐฉ๋ฒ•์ด NAT์ด๋‹ค. (IPv6๋„ ๊ฐ™์€ ๋งฅ๋ฝ์ด๋‹ค.)

1. “์‚ฌ์„คIP โ†’ ๊ณต์ธIP”

๋ผ์šฐํ„ฐ์—์„œ ํ•ญ์ƒ ์‚ฌ์„ค IP๋ฅผ ๊ณต์ธ IP๋กœ ๋ณ€ํ™˜ํ•œ๋‹ค๋ฉด, ์„œ๋กœ ๋‹ค๋ฅธ ๋กœ์ปฌ ๋„คํŠธ์›Œํฌ๋“ค์˜ IP๊ฐ€ ๊ฒน์ณ๋„ ๋ฌธ์ œ๋˜์ง€ ์•Š๋Š”๋‹ค. ์ฆ‰, IPv4์˜ ๊ณ ๊ฐˆ ๋ฌธ์ œ๋ฅผ ์–ด๋Š์ •๋„ ํ•ด๊ฒฐํ•  ์ˆ˜ ์žˆ๋‹ค. ๋˜ํ•œ, ๋‚ด๋ถ€ ์‚ฌ์„ค IP๋ฅผ ์™ธ๋ถ€๋กœ๋ถ€ํ„ฐ ๋ณดํ˜ธํ•  ์ˆ˜ ์žˆ๋‹ค๋Š” ์ด์ ์ด ์žˆ๋‹ค.

(๋‚ด๋ถ€ IP๊ฐ€ ์‚ฌ์„คIP์ผ ๋•Œ๋งŒ ๊ณต์ธIP๋กœ ๋ณ€ํ™˜ํ•˜๋Š” ๊ฒƒ์€ ์•„๋‹ˆ์ง€๋งŒ, ์ „์ฒด์ ์ธ ๊ฐœ๋…์ด๋ผ๊ณ ๋งŒ ๋ณด๋ฉด ๋  ๊ฒƒ ๊ฐ™๋‹ค. ์ž์„ธํ•œ ๋‚ด์šฉ์€ ๋’ค์— ์„œ์ˆ ํ•˜๊ฒ ๋‹ค.)

NAT์—์„œ์˜ IP ์ฃผ์†Œ ์šฉ์–ด

โ”Œ ๋‚ด๋ถ€ ์ฃผ์†Œ: ์žฅ๋น„ ๊ธฐ์ค€์œผ๋กœ ๋‚ด๋ถ€ ๋„คํŠธ์›Œํฌ์— ์œ„์น˜ํ•œ IP ์ฃผ์†Œ
โ”” ์™ธ๋ถ€ ์ฃผ์†Œ: ๋‚ด๋ถ€ ๋„คํŠธ์›Œํฌ์˜ ์™ธ๋ถ€์— ์žˆ๋Š” IP ์ฃผ์†Œ

์•„๋ž˜์˜ ์ฃผ์†Œ ๊ตฌ๋ถ„์€ ๋‚ด๋ถ€ / ์™ธ๋ถ€ ์ฃผ์†Œ์™€ ๊ด€๊ณ„๊ฐ€ ์—†๋‹ค.
โ”Œ ๋กœ์ปฌ ์ฃผ์†Œ: ๋‚ด๋ถ€ ๋„คํŠธ์›Œํฌ ๋‹ค์ด์–ด๊ทธ๋žจ์— ๋‚˜ํƒ€๋‚˜๋Š” IP์ฃผ์†Œ
โ”” ์ „์—ญ ์ฃผ์†Œ: ์™ธ๋ถ€ ๋„คํŠธ์›Œํฌ ๋‹ค์ด์–ด๊ทธ๋žจ์— ๋‚˜ํƒ€๋‚˜๋Š” IP์ฃผ์†Œ

  • ๋‚ด๋ถ€ ๋กœ์ปฌ ์ฃผ์†Œ (Inside Local)
    ๋กœ์ปฌ ๋„คํŠธ์›Œํฌ์—์„œ ์‚ฌ์šฉ๋˜๋Š” ์ผ๋ฐ˜์ ์ธ ๋กœ์ปฌ IP ์ฃผ์†Œ.
  • ๋‚ด๋ถ€ ์ „์—ญ ์ฃผ์†Œ (Inside Global)
    NAT๋ฅผ ์‚ฌ์šฉํ•˜๋Š” ๋ผ์šฐํ„ฐ์—์„œ ์‚ฌ์šฉํ•  ์ˆ˜ ์žˆ๋„๋ก ํ• ๋‹น๋œ ๊ณต์ธ IP ์ฃผ์†Œ.
    ex) ‘ํ˜ธ์ŠคํŠธ 192.168.0.100’์ด ์™ธ๋ถ€์— ์žˆ๋Š”’์„œ๋ฒ„ 1.2.3.4’๋กœ ์š”์ฒญ์„ ๋ณด๋‚ธ๋‹ค๊ณ  ๊ฐ€์ •ํ•˜์ž. ‘192.168.0.100’์„ ์™ธ๋ถ€์™€ ํ†ต์‹ ํ•˜๊ธฐ ์œ„ํ•ด์„œ ๋ฐ˜๋“œ์‹œ ๊ณต์ธIP ์ฃผ์†Œ๋กœ ๋ณ€ํ™˜ํ•ด์•ผํ•œ๋‹ค. ์ด๋•Œ, ๊ณต์ธIP๊ฐ€ ๋‚ด๋ถ€ ์ „์—ญ์ฃผ์†Œ์ด๋‹ค.
  • ์™ธ๋ถ€ ์ „์—ญ ์ฃผ์†Œ (Outside Global)
    ์ธํ„ฐ๋„ท์—์„œ ์ฐธ์กฐํ•˜๋Š” ์™ธ๋ถ€ ์žฅ๋น„์˜ ์ฃผ์†Œ.
    ์œ„ ์˜ˆ์‹œ์—์„œ 1.2.3.4๊ฐ€ ์™ธ๋ถ€ ์ „์—ญ ์ฃผ์†Œ์ด๋‹ค.
  • ์™ธ๋ถ€ ๋กœ์ปฌ ์ฃผ์†Œ (Outside Local)
    ๋กœ์ปฌ ๋„คํŠธ์›Œํฌ์—์„œ ์ฐธ์กฐํ•˜๋Š” ์™ธ๋ถ€ ์žฅ๋น„์˜ ์ฃผ์†Œ.
    ํŠน์ • ์ƒํ™ฉ์—์„  ์™ธ๋ถ€ ์žฅ๋น„์˜ ์™ธ๋ถ€ ์ „์—ญ ์ฃผ์†Œ์™€ ๋™์ผํ•  ์ˆ˜ ์žˆ๋‹ค.

2. IP NAT ๋™์ž‘ ๋ฐฉ์‹

NAT๋Š” ํฌ๊ฒŒ 4๊ฐ€์ง€์˜ ๋™์ž‘ ๋ฐฉ์‹์œผ๋กœ ๋‚˜๋‰œ๋‹ค.
๋‹จ๋ฐฉํ–ฅ ๋™์ž‘, ์–‘๋ฐฉํ–ฅ ๋™์ž‘, ํฌํŠธ ๊ธฐ๋ฐ˜ ๋™์ž‘, ์ค‘๋ณต/2ํšŒ NAT ๋™์ž‘.

IP NAT ๋‹จ๋ฐฉํ–ฅ ๋™์ž‘

RFC 1631์—์„œ ๋ช…์‹œ๋œ ์ตœ์ดˆ์˜ NAT์ด๋‹ค.

์‚ฌ์„ค ๋„คํŠธ์›Œํฌ์˜ ํ˜ธ์ŠคํŠธ๊ฐ€ ์ธํ„ฐ๋„ท์— ์ ‘๊ทผํ•  ๋•Œ, ๊ณต์ธ IP ์ฃผ์†Œ๋ฅผ ๊ณต์œ ํ•˜๊ณ ์ž ๊ณ ์•ˆ๋๋‹ค. ๋Œ€๋ถ€๋ถ„ ํ˜ธ์ŠคํŠธ๊ฐ€ ๋จผ์ € ๋ฐ์ดํ„ฐ๋ฅผ ์š”์ฒญํ–ˆ๊ธฐ ๋•Œ๋ฌธ์— ‘๋‚ด๋ถ€ ๋„คํŠธ์›Œํฌ โ†’ ์™ธ๋ถ€ ๋„คํŠธ์›Œํฌ๋กœ ์†ก์‹ ๋œ๋‹ค’๋ผ๋Š” ์ „์ œ ์กฐ๊ฑด ํ•˜์— ์„ค๊ณ„๋˜์—ˆ๋‹ค.
๊ทธ๋ž˜์„œ ๋‹จ๋ฐฉํ–ฅ NAT, Outbound NAT๋ผ๊ณ  ํ•œ๋‹ค.

ํŒจํ‚ท์˜ ์ถœ๋ฐœ์ง€ ์ฃผ์†Œ์™€ ๋ชฉ์ ์ง€ ์ฃผ์†Œ๊ฐ€ ๋ฐ”๋€๋‹ค.

IP NAT ์–‘๋ฐฉํ–ฅ ๋™์ž‘

๊ธฐ์กด ๋‹จ๋ฐฉํ–ฅ NAT๋Š” Outbound ํŠธ๋ž˜ํ”ฝ์— ๋Œ€ํ•œ NAT๋งŒ ์ˆ˜ํ–‰ํ•˜๊ธฐ ๋•Œ๋ฌธ์— Inbound ํŠธ๋ž˜ํ”ฝ์— ๋Œ€ํ•œ NAT๋Š” ์ˆ˜ํ–‰ํ•˜์ง€ ์•Š๋Š”๋‹ค. ์–‘๋ฐฉํ–ฅ NAT๋Š” Outbound / Inbound  ํŠธ๋ž˜ํ”ฝ์— ๋Œ€ํ•œ NAT๋ฅผ ๋ชจ๋‘ ์ˆ˜ํ–‰ํ•œ๋‹ค.

์ผ๋ฐ˜์ ์œผ๋กœ ๋‚ด๋ถ€ ๋„คํŠธ์›Œํฌ์—์„œ ์™ธ๋ถ€ ๋„คํŠธ์›Œํฌ IP์ฃผ์†Œ๋Š” ์•Œ์•„๋„, ์™ธ๋ถ€ ๋„คํŠธ์›Œํฌ์—์„œ ๋‚ด๋ถ€ ๋„คํŠธ์›Œํฌ IP ์ฃผ์†Œ๋Š” ๋ชจ๋ฅธ๋‹ค. ์„ค์‚ฌ, ์™ธ๋ถ€ ๋„คํŠธ์›Œํฌ์—์„œ ๋‚ด๋ถ€๋„คํŠธ์›Œํฌ IP ์ฃผ์†Œ๋ฅผ ์•ˆ๋‹ค๊ณ  ํ•ด๋„ ๋ชฉ์ ์ง€ ์ฃผ์†Œ๋กœ ๋„ฃ์„ ์ˆ˜ ์—†๋‹ค. (์ด๊ฒƒ์„ ๋น„๋Œ€์นญ ๊ตฌ์กฐ๋ผ ๋ถ€๋ฆ„.) ๊ทธ๋ž˜์„œ Inbound NAT๋Š” ๋‹จ๋ฐฉํ–ฅ NAT๋ณด๋‹ค ์ ์šฉํ•˜๊ธฐ ๊นŒ๋‹ค๋กญ๋‹ค. ํ•˜์ง€๋งŒ ๋ฐฉ๋ฒ•์€ ์žˆ๋‹ค.

โ‘  ์™ธ๋ถ€์—์„œ ์ ‘๊ทผํ•˜๋Š” ๋‚ด๋ถ€ ๋„คํŠธ์›Œํฌ์˜ ์žฅ๋น„๋ฅผ ์œ„ํ•œ ์ •์  ๋งคํ•‘(Static NAT)
โ‘ก DNS๋ฅผ ํ†ตํ•ด ๋™์  ๋งคํ•‘

์ด๋ ‡๊ฒŒ 2๊ฐ€์ง€๊ฐ€ ์žˆ๋‹ค. 2๊ฐ€์ง€ ๋ฐฉ๋ฒ• ์ค‘ DNS๋ฅผ ํ†ตํ•ด ๋™์  ๋งคํ•‘ํ•˜๋Š” ๊ณผ์ •์„ ์•Œ์•„๋ณด์ž.

DNS๋ฅผ ํ†ตํ•œ ๋™์  ๋งคํ•‘ ๋ฐ ํ†ต์‹  ๊ณผ์ •.

์•„์›ƒ๋ฐ”์šด๋“œ NAT๋‚˜ ์ธ๋ฐ”์šด๋“œ NAT๊ฐ€ ํฌ๊ฒŒ ๋‹ค๋ฅด์ง€ ์•Š๋‹ค.

IP NAT ํฌํŠธ ๊ธฐ๋ฐ˜ ๋™์ž‘

๋‹จ๋ฐฉํ–ฅ, ์–‘๋ฐฉํ–ฅ NAT๊ฐ€ ๊ฐœ์„ ๋œ NAT๋‹ค.
IP์™€ ํฌํŠธ๋ฒˆํ˜ธ๋ฅผ ์‚ฌ์šฉํ•˜๋ฉด์„œ ํ•œ ๊ฐœ์˜ ๋‚ด๋ถ€ ์ „์—ญ IP๋ฅผ ์—ฌ๋Ÿฌ ๋‚ด๋ถ€ ๋กœ์ปฌ ํ˜ธ์ŠคํŠธ๋“ค์ด ๋‚˜๋ˆ„์–ด ์‚ฌ์šฉํ•  ์ˆ˜ ์žˆ๋‹ค.

Overloaded NAT, NAPT, PAT ๋ผ๊ณ  ๋ถˆ๋ฆฌ๊ธฐ๋„ ํ•œ๋‹ค.

โ‘ ๋ฒˆ์—์„œ ‘๋ผ์šฐํ„ฐ โ†’ ์„œ๋ฒ„’ ํŒจํ‚ท์„ ๋ณด๋ฉด ์ถœ๋ฐœ์ง€ ํฌํŠธ๋ฒˆํ˜ธ๋„ ๋ฐ”๋€๋‹ค. ๊ทธ ์ด์œ ๋Š” PC 2์—์„œ ์ด๋ฏธ 7000๋ฒˆ์„ ์‚ฌ์šฉํ•˜๋ฏ€๋กœ ๊ฒน์น˜์ง€ ์•Š๋Š” ํฌํŠธ๋ฒˆํ˜ธ๋กœ ๋งคํ•‘ํ•ด์•ผ ๋˜๊ธฐ ๋•Œ๋ฌธ์ด๋‹ค.

IP NAT Overlapping / Twice NAT

์•„๋ž˜์™€ ๊ฐ™์€ ์ƒํ™ฉ์—์„œ๋Š” IP ์ถฉ๋Œ์ด ๋ฐœ์ƒํ•  ์ˆ˜ ์žˆ๊ณ , ๋‚ด๋ถ€ ๋ผ์šฐํ„ฐ๋Š” ๋ชฉ์ ์ง€ ์ฃผ์†Œ๊ฐ€ ๋‚ด๋ถ€์ธ์ง€ ์™ธ๋ถ€์ธ์ง€ ๊ตฌ๋ณ„ํ•  ์ˆ˜ ์—†๋‹ค.

1. ์„œ๋กœ ๋‹ค๋ฅธ ๊ณณ์— ์œ„์น˜ํ•œ ์‚ฌ์„ค ๋„คํŠธ์›Œํฌ ๊ฐ„ ๋™์ผ IP ๋Œ€์—ญ ์‚ฌ์šฉ
2. ๊ณต์ธIP ๋Œ€์—ญ์„ ์‚ฌ์„ค ๋„คํŠธ์›Œํฌ IP ๋Œ€์—ญ์œผ๋กœ ์‚ฌ์šฉ
3. ๊ณต์ธIP ํ• ๋‹น ํ›„ ๋งŒ๋ฃŒ๋์œผ๋‚˜, ๋ฌด์‹œํ•˜๊ณ  ๊ณ„์† ์‚ฌ์šฉ

์˜ˆ๋ฅผ ๋“ค์–ด, ‘ํ˜ธ์ŠคํŠธ 192.168.0.2’๊ฐ€ ๋ชฉ์ ์ง€ ์ฃผ์†Œ๋ฅผ ‘๋‹ค๋ฅธ ๋„คํŠธ์›Œํฌ์˜ ํ˜ธ์ŠคํŠธ 192.168.0.100’๋กœ ์ง€์ •ํ•˜๊ณ  ๋ผ์šฐํ„ฐ๋กœ ์†ก์‹ ํ•œ๋‹ค๋ฉด, ๋ผ์šฐํ„ฐ๋Š” ๋ชฉ์ ์ง€๊ฐ€ ๋‚ด๋ถ€์ธ์ง€ ์™ธ๋ถ€์ธ์ง€ ๋ชจ๋ฅธ๋‹ค. ์ด ๋•Œ, Twice NAT๋ฅผ ์‚ฌ์šฉํ•œ๋‹ค.

EX) ์‚ฌ์„ค ๋„คํŠธ์›Œํฌ์—์„œ ๊ณต์ธ IP๋Œ€์—ญ(160.20.20.2)๋ฅผ ์‚ฌ์šฉํ•˜๋Š”๋ฐ, ํŠน์ • ์„œ๋ฒ„์™€ ํ†ต์‹ ํ•ด์•ผํ•œ๋‹ค. ๊ทธ๋Ÿฌ๋‚˜ ๊ทธ ์„œ๋ฒ„์˜ ๊ณต์ธIP๊ฐ€ 160.20.20.100์œผ๋กœ IP ๋Œ€์—ญ์ด ๊ฒน์น˜๋Š” ์ƒํ™ฉ์ด๋‹ค. ์–ด๋–ป๊ฒŒ ์„ค์ •ํ•ด์•ผ ์ •์ƒ์ ์œผ๋กœ ํ†ต์‹ ํ•  ์ˆ˜ ์žˆ์„๊นŒ?

DNS์™€ NAT๋ฅผ ์‚ฌ์šฉํ•˜๋ฉด ๋œ๋‹ค.

DNS ์š”์ฒญ์„ ํ†ตํ•ด ‘www.nat.com’์˜ IP๋ฅผ ์•Œ์•„๋ƒˆ๋‹ค. ํ•˜์ง€๋งŒ ์ด IP๋Š” ์œ ์š”ํ•œ ๊ณต์ธIP๊ฐ€ ์•„๋‹Œ ์‚ฌ์„คIP์ด๋‹ค. ํ†ต์‹ ์„ ํ•˜๊ธฐ ์œ„ํ•ด์„  NAT๋กœ IP๋ฅผ ๋ณ€ํ™˜ํ•ด์•ผ ํ•œ๋‹ค. ๋˜ํ•œ, PC IP ์—ญ์‹œ ์™ธ๋ถ€ ๊ณต์ธ IP ๋Œ€์—ญ๊ณผ ๊ฒน์น˜๋ฏ€๋กœ NAT๋ฅผ ์‚ฌ์šฉํ•ด์•ผ ํ•œ๋‹ค.


3. IP NAT ๋งคํ•‘ ๋ฐฉ์‹

NAT๊ฐ€ IP๋ฅผ ๋ณ€ํ™˜ํ•  ๋•Œ, ์‚ฌ์ „ ์ •์˜๋œ IP๋กœ ๋ณ€ํ™˜ํ•˜๋Š” ๋ฐฉ๋ฒ•๊ณผ ์‚ฌ์ „ ์ •์˜๋œ IP Pool์—์„œ IP ํ•˜๋‚˜๋ฅผ ์„ ํƒํ•˜์—ฌ ๋ณ€ํ™˜ํ•˜๋Š” ๋ฐฉ๋ฒ•์ด ์žˆ๋‹ค.

Static NAT

IP๋ฅผ 1๋Œ€1 ๋งค์นญ์‹œ์ผœ ๋ณ€ํ™˜์‹œํ‚จ๋‹ค.

๋‚ด๋ถ€/์™ธ๋ถ€ ์žฅ๋น„์˜ ์ „์—ญ ํ‘œํ˜„๊ณผ ๋กœ์ปฌ ํ‘œํ˜„์ด ๊ณ ์ •์ ์œผ๋กœ ์ •์˜๋œ ๊ด€๊ณ„์ด๋‹ค. ์„ค์ •์„ ์‚ญ์ œํ•˜์ง€ ์•Š๋Š” ์ด์ƒ ์˜๊ตฌ์ ์ด๊ธฐ ๋•Œ๋ฌธ์— ์™ธ๋ถ€ ๋„คํŠธ์›Œํฌ์— ํ•ญ์ƒ ๋™์ผํ•œ ๊ณต์ธ IP์ฃผ์†Œ๋กœ ํ‘œํ˜„๋˜์–ด์•ผ ํ•˜๋Š” ์žฅ๋น„์— ์ ํ•ฉํ•˜๋‹ค.

[์„ค์ •]

Router(config)# ip nat inside source static <๋‚ด๋ถ€๋กœ์ปฌIP> <๋‚ด๋ถ€์ „์—ญIP>
Router(config)# int <๋‚ด๋ถ€์ธํ„ฐํŽ˜์ด์Šค>
Router(config-if)# ip nat inside
Router(config)# int <์™ธ๋ถ€์ธํ„ฐํŽ˜์ด์Šค> 
Router(config-if)# ip nat outside

[ํ™•์ธ]

Router(config)# show ip nat translations

Dynamic NAT

IP Pool ์ค‘ IP ํ•˜๋‚˜๋ฅผ ๋งค์นญ์‹œ์ผœ ๋ณ€ํ™˜ํ•œ๋‹ค.

์ „์—ญ ํ‘œํ˜„๊ณผ ๋กœ์ปฌ ํ‘œํ˜„์ด ๊ณ ์ •์ ์ด์ง€ ์•Š๊ณ , ๊ณ„์† ๋ฐ”๋€Œ๋Š” ๊ด€๊ณ„(๋™์ )์ด๋‹ค.  ์ง€์ •๋œ ๋‚ด๋ถ€ ์ „์—ญ ์ฃผ์†Œ ๋ฒ”์œ„์—์„œ ์•„๋ฌด IP ํ•˜๋‚˜๋ฅผ ์„ ํƒํ•ด ๋ณ€ํ™˜ํ•œ๋‹ค.
์–‘๋ฐฉํ–ฅ ํ†ต์‹ ์„ ํ•  ์ˆ˜ ์—†๋‹ค. ์ด์œ ๋Š” ์•„๋ž˜์˜ ์˜ˆ์‹œ๋ฅผ ๋ณด์ž.

192.168.0.0/24์— ์†ํ•œ ํ˜ธ์ŠคํŠธ๋“ค์ด 125.11.22.1~14 ๋ฒ”์œ„์˜ ๊ณต์ธIP๋ฅผ ์‚ฌ์šฉํ•œ๋‹ค๊ณ  ๊ฐ€์ •ํ•ด๋ณด์ž. ๋‚ด๋ถ€์—์„œ ์™ธ๋ถ€๋กœ ํ†ต์‹ ์€ ๋ฌธ์ œ๊ฐ€ ์—†์ง€๋งŒ, ์™ธ๋ถ€์—์„œ ๋‚ด๋ถ€๋กœ ๋จผ์ € ํ†ต์‹ ์‹œ๋„๋ฅผ ํ•  ์ˆ˜๋Š” ์—†๋‹ค. ์™ธ๋ถ€์—์„œ 125.11.22.1๊ณผ ํ†ต์‹ ํ•˜๊ฒ ๋‹ค๊ณ  ํ•˜๋ฉด, ๋ผ์šฐํ„ฐ๋Š” 192.168.0.1~192.168.0.253, ๋‹ค์‹œ ๋งํ•ด 253๊ฐœ ํ˜ธ์ŠคํŠธ ์ค‘ ๋ˆ„๊ตฌ์™€ ํ†ต์‹ ํ•˜๊ณ  ์‹ถ์€์ง€ ์•Œ ์ˆ˜ ์—†๊ธฐ ๋•Œ๋ฌธ์ด๋‹ค.

[์„ค์ •]

Router(config)# access-list [1-99] permit <๋‚ด๋ถ€๋กœ์ปฌIP> 
Router(config)# ip nat pool <์ฒซ๋‚ด๋ถ€์ „์—ญIP> <๋งˆ์ง€๋ง‰๋‚ด๋ถ€์ „์—ญIP> netmask <์„œ๋ธŒ๋„ท>
Router(config)# ip nat inside source list <acl๋ฒˆํ˜ธ> pool <Pool์ด๋ฆ„>
Router(config)# int <๋‚ด๋ถ€์ธํ„ฐํŽ˜์ด์Šค> 
Router(config-if)# ip nat inside 
Router(config)# int <์™ธ๋ถ€์ธํ„ฐํŽ˜์ด์Šค> 
Router(config-if)# ip nat outside


* ์ฐธ๊ณ . SNAT๋Š” Source NAT, DNAT๋Š” Destination NAT๋‹ค.
SNAT = Static NAT, DNAT = Dynamic NAT๊ฐ€ ์•„๋‹ˆ๋‹ค. 
Source NAT๋Š” ์ถœ๋ฐœ์ง€ IP๋ฅผ ๋ณ€ํ™˜ํ•˜๊ธฐ ๋•Œ๋ฌธ์— ์‚ฌ์„ค IP์ฃผ์†Œ(๋‚ด๋ถ€ ๋กœ์ปฌ ์ฃผ์†Œ)๋ฅผ ๊ณต์ธ IP์ฃผ์†Œ(๋‚ด๋ถ€ ์ „์—ญ ์ฃผ์†Œ)๋กœ ๋ณ€ํ™˜ํ•œ๋‹ค. ๋‚ด๋ถ€์—์„œ ์™ธ๋ถ€๋กœ ์ง„ํ–‰๋˜๋ฏ€๋กœ Outbound NAT๋ผ๊ณ ๋„ ํ•œ๋‹ค.

Destination NAT๋Š” ๋ชฉ์ ์ง€ IP๋ฅผ ๋ณ€ํ™˜ํ•˜๊ธฐ ๋•Œ๋ฌธ์— ๊ณต์ธ IP์ฃผ์†Œ(๋‚ด๋ถ€ ์ „์—ญ ์ฃผ์†Œ)๋ฅผ ์‚ฌ์„ค IP์ฃผ์†Œ(๋‚ด๋ถ€ ๋กœ์ปฌ ์ฃผ์†Œ)๋กœ ๋ณ€ํ™˜ํ•œ๋‹ค. ์™ธ๋ถ€์—์„œ ๋‚ด๋ถ€๋กœ ์ง„ํ–‰๋˜๋ฏ€๋กœ Inbound NAT๋ผ๊ณ ๋„ ํ•œ๋‹ค.

Cisco IOS Firewall 3: IP Fragments, ICMP Flooding

โ”Œโ”€ ํŠธ๋ž˜ํ”ฝ ํ•„ํ„ฐ๋ง
โ”œโ”€ Established ํ•„ํ„ฐ๋ง
โ”œโ”€ Dynamic ACL
โ”œโ”€ Reflexive ACL
โ”œโ”€ CBAC
โ”œโ”€ IP Fragments ๊ณต๊ฒฉ ๋ฐฉ์ง€
โ””โ”€ ICMP Flooding ๊ณต๊ฒฉ ๋ฐฉ์ง€


[IP Fragments ๊ณต๊ฒฉ ๋ฐฉ์ง€]

IP ํ”„๋กœํ† ์ฝœ์€ MTUํฌ๊ธฐ(1500Byte)๊ฐ€ ์ดˆ๊ณผํ•  ๋•Œ, ๋ฐ์ดํ„ฐ๋ฅผ ๋ถ„ํ• ํ•˜์—ฌ ์ „์†กํ•œ๋‹ค. ์˜ˆ๋ฅผ ๋“ค์–ด, ๋ฐ์ดํ„ฐ ํฌ๊ธฐ๊ฐ€ 5000Byte๋ฉด, 1500Byte, 1500Byte, 1500Byte, 500Byte๋กœ ๋‚˜๋ˆ„์–ด ์ „์†กํ•˜๋Š” ๊ฒƒ์ด๋‹ค.

๊ทธ๋Ÿฌ๋‚˜ ์ด ํŠน์„ฑ์„ ์ด์šฉํ•˜์—ฌ IP ํ—ค๋”๋ฅผ ์กฐ์ž‘ํ•œ ๋’ค ๋ถ„ํ• ๋œ ํŒจํ‚ท์„ ํŠน์ • ์„œ๋ฒ„์— ๋ฌดํ•œ์œผ๋กœ ์ „์†ก์‹œํ‚จ๋‹ค. ์ง€์†์ ์œผ๋กœ ๋ถ„ํ• ๋œ ํŒจํ‚ท์„ ๋ฐ›๋Š” ์„œ๋ฒ„๋Š” ์„œ๋ฒ„ ์—ฐ๊ฒฐ์ด ๋ถˆ์•ˆ์ •ํ•ด์ง€๊ณ , ์„œ๋ฒ„๊ฐ€ ๋‹ค์šด๋˜๋Š” ๋ฌธ์ œ๊ฐ€ ๋ฐœ์ƒํ•œ๋‹ค.

์ด๋Ÿฌํ•œ ๋ฌธ์ œ๋Š” ๋ผ์šฐํ„ฐ์—์„œ ๋ถ„ํ• ๋œ ํŒจํ‚ท์„ ํ•„ํ„ฐ๋งํ•˜๋ฉด ์‰ฝ๊ฒŒ ํ•ด๊ฒฐํ•  ์ˆ˜ ์žˆ๋‹ค.

R2๋Š” ์™ธ๋ถ€์—์„œ ๋ถ„ํ• ๋œ ํŒจํ‚ท์ด ๋“ค์–ด์˜ค๋Š” ๊ฒƒ์„ ๋ง‰์•„์•ผ ํ•œ๋‹ค.
์„ค์ •์„ ํ•˜๊ธฐ ์ „, R1์—์„œ R3๋กœ ๋ถ„ํ•  ํŒจํ‚ท ๋ณด๋‚ด๋Š” ๊ฒƒ์„ ๋””๋ฒ„๊น…ํ•ด๋ณด์ž.
(๋””๋ฒ„๊น…์€ ์•„๋ž˜์˜ ๋ช…๋ น์–ด ์ฐธ๊ณ )

R1(config)# access-list 110 permit icmp any any
R1(config)# exit
R1# debug ip packet 110

4000Byte๋ฅผ ๋ณด๋‚ด๋ฉด, ํŒจํ‚ท์„ ๋ถ„ํ•  ํ›„ ๋ณด๋‚ด๋Š” ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค.

[์„ค์ •]
– R2์—์„œ ๋ถ„ํ•  ํŒจํ‚ท ํ•„ํ„ฐ๋ง ์„ค์ •.

R2(config)# ip access-list extended Fragments_Deny
R2(config-ext-nacl)# deny ip any 6.6.6.0 0.0.0.3 fragments
R2(config-ext-nacl)# deny ip any 192.168.20.0 0.0.0.255 fragments
R2(config-ext-nacl)# permit ip any any
R2(config-ext-nacl)# exit
R2(config)#
R2(config)# int fa0/0
R2(config-if)# ip access Fragments_Deny in

[ํ™•์ธ]
– R1์—์„œ R3๋กœ ๋ถ„ํ•  ํŒจํ‚ท ์ „์†กํ•˜๋ฉด ์‘๋‹ต์ด ์—†๋‹ค.

– R2์—์„œ ํŒจํ‚ท 4๊ฐœ๊ฐ€ ์ฐจ๋‹จ๋œ ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค.


[ICMP Flooding ๊ณต๊ฒฉ ๋ฐฉ์ง€]

ํŠธ๋Ÿฌ๋ธ”์ŠˆํŒ…ํ•  ๋•Œ, ๊ธฐ๋ณธ์ ์œผ๋กœ ํ™•์ธํ•ด๋ณด๋Š” ๊ฒƒ ์ค‘ ํ•˜๋‚˜๊ฐ€ PING ํ…Œ์ŠคํŠธ๋‹ค. ์ด PING์ด ๋ฐ”๋กœ ICMP๋ฅผ ์ด์šฉํ•œ๋‹ค. ‘ICMP Echo’ ์š”์ฒญ ๋ฉ”์„ธ์ง€๋ฅผ ์ „์†กํ•˜๋ฉด, ‘ICMP Reply’ ์‘๋‹ต ๋ฉ”์„ธ์ง€๋ฅผ ์ „์†กํ•œ๋‹ค. ICMP Flooding ๊ณต๊ฒฉ์€ ์ด ๋™์ž‘ ๊ณผ์ •์„ ์ด์šฉํ•œ๋‹ค. ‘ICMP Echo’ ์š”์ฒญ ๋ฉ”์„ธ์ง€๋ฅผ ๋ฌดํ•œ์œผ๋กœ ์ „์†กํ•ด ๋ชฉํ‘œ ๋Œ€์ƒ์—๊ฒŒ ์„œ๋น„์Šค ๊ฑฐ๋ถ€, ์„œ๋ฒ„ ๋‹ค์šด ๋ฌธ์ œ๋ฅผ ์•ผ๊ธฐ์‹œํ‚จ๋‹ค. ์•ž์ „์— ์‚ดํŽด๋ณธ ํŠธ๋ž˜ํ”ฝ ํ•„ํ„ฐ๋ง์œผ๋กœ ICMP๋ฅผ ๊ฑฐ๋ถ€ํ•˜๊ฑฐ๋‚˜ QoS Policing์„ ์ด์šฉํ•ด ICMP ์šฉ๋Ÿ‰์„ ์ œํ•œํ•˜์—ฌ ๋ง‰์„ ์ˆ˜ ์žˆ๋‹ค.

R2๋Š” ์™ธ๋ถ€๋กœ๋ถ€ํ„ฐ ์˜ค๋Š” ICMP๋ฅผ ์ฐจ๋‹จํ•ด์•ผ ํ•œ๋‹ค.

[์„ค์ •]

R2(config)# access-list 110 permit icmp any any echo
R2(config)# access-list 110 permit icmp any any echo-reply
R2(config)# 
R2(config)# int fa0/0
R2(config)# rate-limit input access-group 110 128000 8000 8000 conform-action transmit exceed-action drop

[ํ™•์ธ]

– R1์—์„œ R3๋กœ 8000Byte ํŒจํ‚ท ์ „์†ก

PING ํ…Œ์ŠคํŠธ ๊ฒฐ๊ณผ, ์ค‘๊ฐ„ ์ค‘๊ฐ„ ์‹คํŒจ๋˜๋Š” ๊ฒƒ์„ ๋ณผ ์ˆ˜ ์žˆ๋‹ค.

– R2์—์„œ rate-limit ํ™•์ธ

conformed 52 packets: 52๊ฐœ ํŒจํ‚ท ์ฒ˜๋ฆฌ / exceeded 13 packets: ํ•œ๋„ ์ดˆ๊ณผ๋œ 13๊ฐœ ํŒจํ‚ท ๋“œ๋ž

Cisco IOS Firewall 2: Reflexive ACL, CBAC

์ด๋ฒˆ ๊ฒŒ์‹œ๊ธ€์€ Reflexive ACL๊ณผ CBAC์— ๋Œ€ํ•ด ์•Œ์•„๋ณด๋„๋ก ํ•œ๋‹ค.

โ”Œโ”€ ํŠธ๋ž˜ํ”ฝ ํ•„ํ„ฐ๋ง
โ”œโ”€ Established ํ•„ํ„ฐ๋ง
โ”œโ”€ Dynamic ACL
โ”œโ”€ Reflexive ACL
โ”œโ”€ CBAC
โ”œโ”€ IP Fragments ๊ณต๊ฒฉ ๋ฐฉ์ง€
โ””โ”€ ICMP Flooding ๊ณต๊ฒฉ ๋ฐฉ์ง€


[Reflexive ACL]

๋‚ด๋ถ€์—์„œ ์™ธ๋ถ€๋กœ ํŒจํ‚ท์„ ์ „์†กํ•˜๋ฉด, ์™ธ๋ถ€์—์„œ ๋‚ด๋ถ€๋กœ ์‘๋‹ต ํŒจํ‚ท์„ ํ—ˆ์šฉํ•˜๋Š” ACLํ•ญ๋ชฉ์ด ์ž„์‹œ๋กœ ์ž๋™ ์ƒ์„ฑ๋œ๋‹ค. ์™ธ๋ถ€์—์„œ ๋จผ์ € ์š”์ฒญํ•˜๋Š” ํŒจํ‚ท์€ ์ ‘๊ทผ ๊ฑฐ๋ถ€๋œ๋‹ค.
‘established’ ํ•„ํ„ฐ๋ง๊ณผ ๋‹ฌ๋ฆฌ ๋ชจ๋“  ํŒจํ‚ท์— ์ ์šฉํ•  ์ˆ˜ ์žˆ๋‹ค.

  • ํŠน์ง•
    1. ์ž„์‹œ ํ•ญ๋ชฉ์€ ๋ฌด์กฐ๊ฑด permit์œผ๋กœ ์ƒ์„ฑ๋œ๋‹ค.
    2. source๋Š” ์™ธ๋ถ€, destination์€ ๋‚ด๋ถ€
    3. TCP/UDP ํŒจํ‚ท์ธ ๊ฒฝ์šฐ, ์ถœ๋ฐœ์ง€ ํฌํŠธ๋Š” ์™ธ๋ถ€์‹œ์Šคํ…œ, ๋ชฉ์ ์ง€ ํฌํŠธ๋Š” ๋‚ด๋ถ€ ์‹œ์Šคํ…œ์œผ๋กœ ์ƒ์„ฑ๋œ๋‹ค.
    4. ICMP ํŒจํ‚ท์ธ ๊ฒฝ์šฐ, ํฌํŠธ๋ฒˆํ˜ธ๊ฐ€ ์—†์œผ๋ฏ€๋กœ ICMP ๋ฉ”์„ธ์ง€ ํƒ€์ž…์œผ๋กœ ์ƒ์„ฑ๋œ๋‹ค.
    5. ์ƒ์„ฑ๋œ ์ž„์‹œ ํ•ญ๋ชฉ์€ ๋งˆ์ง€๋ง‰ ์‘๋‹ต ํŒจํ‚ท์ด ์ฒ˜๋ฆฌ๋˜๋ฉด ์ œ๊ฑฐ๋œ๋‹ค. ์˜ˆ๋ฅผ ๋“ค์–ด, TCP ‘FIN’ ํŒจํ‚ท์ด๋ฉด 5์ดˆํ›„ ํ•ญ๋ชฉ ์ œ๊ฑฐ, ‘RST’ ํŒจํ‚ท์ด๋ฉด ์ฆ‰์‹œ ์ œ๊ฑฐ, ๋˜๋Š” ํŠน์ •์‹œ๊ฐ„ ๋™์•ˆ ์ž„์‹œํ•ญ๋ชฉ์œผ๋กœ ์ฒ˜๋ฆฌ๋œ ํŒจํ‚ท์ด ์—†์œผ๋ฉด ์ œ๊ฑฐํ•  ์ˆ˜ ์žˆ๋‹ค.
    5. UDP๋Š” ๋น„์—ฐ๊ฒฐ ํ”„๋กœํ† ์ฝœ์ด๋ฏ€๋กœ ํŠน์ •์‹œ๊ฐ„์„ ๊ธฐ์ค€์œผ๋กœ ์ž„์‹œ ํ•ญ๋ชฉ์„ ์ œ๊ฑฐํ•œ๋‹ค.
    6. Named Extended ACL์—์„œ๋งŒ ์„ค์ •ํ•  ์ˆ˜ ์žˆ๋‹ค.

R2๊ธฐ์ค€์œผ๋กœ Reflexive ACL ์„ค์ •.

[์„ค์ •]

R2(confg)# ip access-list extended RACL_OUT
R2(config-ext-nacl)# permit tcp 6.6.6.0 0.0.0.3 192.168.0.0 0.0.0.255 reflect TEST
R2(config-ext-nacl)# permit udp 6.6.6.0 0.0.0.3 192.168.0.0 0.0.0.255 reflect TEST
R2(config-ext-nacl)# permit icmp 6.6.6.0 0.0.0.3 192.168.0.0 0.0.0.255 reflect TEST
R2(config-ext-nacl)# exit
R2(confg)#
R2(confg)# ip access-list extended RACL_IN
R2(config-ext-nacl)# permit ospf any any
R2(config-ext-nacl)# evaluate TEST
R2(config-ext-nacl)# exit
R2(confg)#
R2(confg)# int fa0/0
R2(confg)# ip access-group RACL_OUT outR2
R2(confg)# ip access-group RACL_IN in

2: ‘reflect TEST’๋ผ๋Š” ๊ฐ’์„ ํ†ตํ•ด Reflexivce ACL์ด๋ผ๊ณ  ๋ช…์‹œํ•œ๋‹ค. TEST ๋Œ€์‹  ๋‹ค๋ฅธ ์ด๋ฆ„์„ ์‚ฌ์šฉํ•ด๋„ ๋ฌด๋ฐฉํ•˜๋‹ค.
9: ‘evaluate’ ๋ช…๋ น์„ ํ†ตํ•ด ์™ธ๋ถ€์—์„œ ๋‚ด๋ถ€๋กœ ๋Œ์•„์˜ค๋Š” ํŒจํ‚ท์„ ํ—ˆ์šฉํ•˜๋Š” Reflexive ACL ์ž„์‹œ ํ•ญ๋ชฉ์ด ์ƒ์„ฑ๋˜๋„๋ก ํ•œ๋‹ค.

[ํ™•์ธ]
– Ping ๋ฐ TELNET ํ…Œ์ŠคํŠธ (R1โ†’R3)
์™ธ๋ถ€์—์„œ ๋‚ด๋ถ€๋กœ ์ ‘์†์ด ์‹คํŒจํ•œ๋‹ค.

– Ping ๋ฐ TELNET ํ…Œ์ŠคํŠธ (R3โ†’R1) ํ›„ R2 ACL ์ •๋ณด ํ™•์ธ.
๋‚ด๋ถ€์—์„œ ์™ธ๋ถ€๋กœ ์ ‘์†์ด ์„ฑ๊ณตํ•œ๋‹ค.

์ ‘์† ์„ฑ๊ณต.
Reflexive ACL์— tcp์™€ icmp ์ž„์‹œ ํ•ญ๋ชฉ์ด ์ƒ์„ฑ๋˜์—ˆ๋‹ค.

[CBAC]

Context-Based Access Control

Reflexive ACL๊ณผ ๊ฐ™์ด ๋‚ด๋ถ€์—์„œ ์™ธ๋ถ€๋กœ ๋‚˜๊ฐ€๋Š” ์„ธ์…˜์„ ๊ฒ€์‚ฌํ•˜์—ฌ, ํ•ด๋‹น ์„ธ์…˜์— ๋Œ€ํ•œ ์‘๋‹ต ํŒจํ‚ท์„ ์ˆ˜์‹ ํ•  ์ˆ˜ ์žˆ๋„๋ก ์ž„์‹œ ACL ํ•ญ๋ชฉ์„ ์ƒ์„ฑํ•œ๋‹ค.
ํ•˜์ง€๋งŒ ๋ช‡ ๊ฐ€์ง€ ์ฐจ์ด์ ์ด ์กด์žฌํ•œ๋‹ค.

  1. FTP์™€ ๊ฐ™์ด ์—ฌ๋Ÿฌ ํฌํŠธ๋ฅผ ์‚ฌ์šฉํ•˜๋Š” ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜์— ๋Œ€ํ•ด ๋ฐฉํ™”๋ฒฝ ๊ธฐ๋Šฅ์„ ์ˆ˜ํ–‰ํ•œ๋‹ค.
  2. Layer 3,4๋Š” ๋ฌผ๋ก  Layer 7 ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜ ํ”„๋กœํ† ์ฝœ๊นŒ์ง€ ๊ฒ€์‚ฌํ•œ๋‹ค.
  3. ๊ฐ ์—ฐ๊ฒฐ ์ƒํƒœ๋ฅผ ์ง€์†์ ์œผ๋กœ ๊ฐ์‹œํ•ด์•ผํ•˜๊ธฐ ๋•Œ๋ฌธ์— ‘์ƒํƒœ ๊ฐ์‹œ ๊ฒ€์‚ฌ ๋ฐฉ๋ฒ•’์„ ์‚ฌ์šฉํ•œ๋‹ค.
  4. ํŒจํ‚ท์ด ์ธํ„ฐํŽ˜์ด์Šค์— ๋“ค์–ด๊ฐˆ ๋•Œ๋‚˜ ๋‚˜์˜ฌ ๋•Œ ๊ฒ€์‚ฌ๋˜๊ณ , ์„ธ์…˜ ์ •๋ณด๋ฅผ ์ƒํƒœ ์ •๋ณด ํ…Œ์ด๋ธ”์— ๋“ฑ๋กํ•˜๊ฒŒ ๋œ๋‹ค. ๋”๋ถˆ์–ด, ์ด ์ƒํƒœ ํ…Œ์ด๋ธ”์ด ์กด์žฌํ•˜๋ฏ€๋กœ ๋˜๋Œ์•„์˜ค๋Š” ์‘๋‹ต ํŒจํ‚ท์„ ํ—ˆ์šฉํ•˜๊ธฐ ์œ„ํ•ด ACL ํ•ญ๋ชฉ์„ ์ถ”๊ฐ€ ์„ค์ •ํ•  ํ•„์š”๊ฐ€ ์—†๋‹ค. ์ƒํƒœ ํ…Œ์ด๋ธ”์„ ๋ณด๊ณ  ์ž๋™์œผ๋กœ ์ถ”๊ฐ€ํ•˜๊ธฐ ๋•Œ๋ฌธ์ด๋‹ค.
  5. TCP SYN ํŒจํ‚ท์„ ๊ฒ€์‚ฌํ•˜์—ฌ TCP SYN ํ”Œ๋Ÿฌ๋”” ๊ณต๊ฒฉ์„ ์ฐจ๋‹จํ•  ์ˆ˜ ์žˆ๋‹ค.
  • CBAC ์ฒ˜๋ฆฌ๊ณผ์ •

** ์ฃผ์˜์‚ฌํ•ญ
1. CBAC๋งŒ ๋‹จ๋…์œผ๋กœ ์‚ฌ์šฉํ•˜๋ฉด ๋ชจ๋“  ํŠธ๋ž˜ํ”ฝ์ด ํ—ˆ์šฉ๋˜๋ฏ€๋กœ
CBAC์— ํ•ด๋‹น๋˜๋Š” ํ”„๋กœํ† ์ฝœ์€ CBAC, ๋‚˜๋จธ์ง€ ์ผ๋ฐ˜ ํŠธ๋ž˜ํ”ฝ์€ ACL๋กœ ๊ด€๋ฆฌํ•˜์ž.
2. IPSec์œผ๋กœ ์•”ํ˜ธํ™”๋œ ํŒจํ‚ท์€ ๊ฒ€์‚ฌ๋˜์ง€ ์•Š๋Š”๋‹ค.
3. FTP์˜ ๊ฒฝ์šฐ ํŒจ์‹œ๋ธŒ ๋ชจ๋“œ / 2-way ์ „์†ก๋ชจ๋“œ๋งŒ ์ง€์›ํ•œ๋‹ค.(3-way ๋ชจ๋“œ ์ง€์›์•ˆํ•จ)
4. ๋ชจ๋“  ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜์—์„œ ์ง€์›๋˜๋Š” ๊ฒƒ์ด ์•„๋‹ˆ๊ธฐ ๋•Œ๋ฌธ์— ์ผ๋ถ€ ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜์€ CBAC์„ ์‚ฌ์šฉํ•  ์ˆ˜ ์—†๋‹ค.

[์„ค์ •]

R2(config)#ip inspect audit-trail
R2(config)#ip inspect name TEST tcp
R2(config)#ip inspect name TEST udp
R2(config)#ip inspect name TEST icmp
R2(config)#ip inspect name TEST http java
R2(config)#ip inspect name TEST http java-list 10 timeout 300
R2(config)#access 10 permit host 192.168.0.10
R2(config)#
R2(config)#
R2(config)#ip access ex Traffic_IN
R2(config-ext-nacl)#permit ospf any any
R2(config-ext-nacl)#exit
R2(config)#int fa0/0
R2(config-if)#
R2(config-if)#ip inspect TEST out
R2(config-if)#ip access
R2(config-if)#ip access-group Traffic_IN in

[ํ™•์ธ]
– R1์—์„œ R3๋กœ Ping ๋ฐ TELNET ํ…Œ์ŠคํŠธ
์™ธ๋ถ€์—์„œ ๋‚ด๋ถ€๋กœ ์ ‘์†์ด ์‹คํŒจํ•œ๋‹ค.

– R3์—์„œ R1์œผ๋กœ Ping ๋ฐ TELNET ํ…Œ์ŠคํŠธ
๋‚ด๋ถ€์—์„œ ์™ธ๋ถ€๋กœ ์ ‘์†์ด ์„ฑ๊ณตํ•œ๋‹ค.

์ด ๋•Œ, R2๋ฅผ ํ™•์ธํ•ด๋ณด๋ฉด ์•„๋ž˜์™€ ๊ฐ™์ด ๋กœ๊ทธ๊ฐ€ ๋ฐœ์ƒ๋˜๊ณ , CBAC ์ •๋ณด๋„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค.

Cisco IOS Firewall 1: ํŠธ๋ž˜ํ”ฝ ํ•„ํ„ฐ๋ง, Established ํ•„ํ„ฐ๋ง, DACL

๋ผ์šฐํ„ฐ์—์„œ ๊ณผ๋‹คํ•œ ํŒจํ‚ท ์ˆ˜์‹ ์œผ๋กœ ์„œ๋ฒ„ ๋ถ€ํ•˜, ๋„คํŠธ์›Œํฌ ๋ถ€ํ•˜ ํ˜„์ƒ์„ ์˜ˆ๋ฐฉํ•  ์ˆ˜ ์žˆ๋Š” ๋ฐฉ๋ฒ•์ด ์žˆ๋‹ค. ํŠธ๋ž˜ํ”ฝ ํ•„ํ„ฐ๋ง๊ณผ ๋ฐฉํ™”๋ฒฝ์„ ๊ตฌ์ถ•ํ•˜๋Š” ๊ฒƒ์ด๋‹ค.
์•„๋ž˜์˜ ๊ธฐ๋Šฅ์„ ์„ค์ •ํ•  ์ˆ˜ ์žˆ๋‹ค.

โ”Œโ”€ ํŠธ๋ž˜ํ”ฝ ํ•„ํ„ฐ๋ง
โ”œโ”€ Established ํ•„ํ„ฐ๋ง
โ”œโ”€ Dynamic ACL
โ”œโ”€ Reflexive ACL
โ”œโ”€ CBAC
โ”œโ”€ IP Fragments ๊ณต๊ฒฉ ๋ฐฉ์ง€
โ””โ”€ ICMP Flooding๊ณต๊ฒฉ ๋ฐฉ์ง€

์ด ๊ฒŒ์‹œ๊ธ€์—์„œ๋Š” ๋ฐ‘์ค„์ด ์ณ์ง„ 3๊ฐ€์ง€ ๊ธฐ๋Šฅ์— ๋Œ€ํ•ด ์•Œ์•„๋ณผ ๊ฒƒ์ด๋‹ค.


[ํŠธ๋ž˜ํ”ฝ ํ•„ํ„ฐ๋ง]

ACL์„ ์ด์šฉํ•ด ๊ตฌ์„ฑํ•œ๋‹ค. ๋จผ์ €, ๋‚ด๋ถ€ ๋„คํŠธ์›Œํฌ ์ ‘๊ทผ์„ ์ฐจ๋‹จํ•  ํ•ญ๋ชฉ์„ ์„ค์ •ํ•œ ๋‹ค์Œ ๋‚ด๋ถ€ ๋„คํŠธ์›Œํฌ ์ ‘๊ทผ์ด ๊ฐ€๋Šฅํ•œ ํ•ญ๋ชฉ์„ ์„ค์ •ํ•œ๋‹ค.

ํŠธ๋ž˜ํ”ฝ ํ•„ํ„ฐ๋ง ์„ค์ • Topology

[์š”์ฒญ์‚ฌํ•ญ]
‘๋ผ์šฐํ„ฐ 3725’์—์„œ ์„ค์ •ํ•  ๊ฒƒ.
1: ์ถœ๋ฐœ์ง€ 192.168.0.0/24์—์„œ ์ ‘๊ทผํ•˜๋Š” ํ…”๋„ท ํŠธ๋ž˜ํ”ฝ ์ฐจ๋‹จ ๋ฐ ๋กœ๊ทธ ํ™•์ธ.
2: ์ถœ๋ฐœ์ง€ 192.168.0.0/24์—์„œ ์‹ค์‹œํ•˜๋Š” PING ์ฐจ๋‹จ.
3: ๋‹จ, 192.168.20.0/24์—์„œ 192.168.0.0/24๋กœ๋Š” PING ํ—ˆ์šฉ.
4: ์ด์™ธ ๋‚˜๋จธ์ง€ ํŠธ๋ž˜ํ”ฝ์€ ์ ‘๊ทผ ํ—ˆ์šฉ.

[์„ค์ •]

3725(config)# ip access-list extended Packet_Filter
3725(config-ext-nacl)# deny tcp 192.168.0.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 23 log-input
3725(config-ext-nacl)# deny icmp 192.168.0.0 0.0.0.255 192.168.20.0 0.0.0.255 echo
3725(config-ext-nacl)# permit ip any any
3725(config-ext-nacl)# exit
3725(config)#
3725(config)# int fa0/0
3725(config-if)# ip access-group Packet_Filter in

[ํ™•์ธ]
– TELNET ์ ‘์† ์‹œ๋„ (37251๋ผ์šฐํ„ฐ โ†’ VPC4)
‘37251’์—์„œ ‘3725’๋กœ ํ…”๋„ท ์ ‘์†์„ ์‹œ๋„ํ•˜๋ฉด ์ ‘์† ๋ถˆ๊ฐ€ํ•˜๋‹ค๊ณ  ๋œฌ๋‹ค. ๋™์‹œ์— ‘3725’ ๋ผ์šฐํ„ฐ์—์„œ๋Š” ๋กœ๊ทธ๊ฐ€ ์ถœ๋ ฅ๋˜๋Š” ๊ฒƒ์„ ๋ณผ ์ˆ˜ ์žˆ๋‹ค.

(์ขŒ) 37251 ๋ผ์šฐํ„ฐ (์šฐ) 3725 ๋ผ์šฐํ„ฐ

– PING ํ…Œ์ŠคํŠธ (VPC3 โ†’ VPC4)
ํŠธ๋ž˜ํ”ฝ ํ•„ํ„ฐ๋ง์„ ๊ฑธ๊ธฐ ์ „์—” ์ •์ƒ์ ์œผ๋กœ PING์ด ๋‚˜๊ฐ€๋Š” ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค. ํŠธ๋ž˜ํ”ฝ ํ•„ํ„ฐ๋ง ์ดํ›„์—๋Š” ICMP Type 3 ์‹œ๊ฐ„ ์ดˆ๊ณผ ์—๋Ÿฌ๋ฅผ ํ‘œ์ถœํ•œ๋‹ค.


[Established ํ•„ํ„ฐ๋ง]

TCP์˜ ACK๋‚˜ RST ํŒจํ‚ท๋งŒ์„ ํ—ˆ์šฉํ•œ๋‹ค. ํ•˜์ง€๋งŒ ACK ํŒจํ‚ท์€ TCP์—๋งŒ ์กด์žฌํ•˜๊ธฐ ๋•Œ๋ฌธ์— TCP ์ด์™ธ์˜ ์„œ๋น„์Šค๋“ค์— ๋Œ€ํ•œ ๋ฐฉํ™”๋ฒฝ ์ˆ˜ํ–‰์€ ์–ด๋ ต๋‹ค.

[์„ค์ •]
์œ„์— ์žˆ๋Š” ํ† ํด๋กœ์ง€ ์ฐธ๊ณ . ๋‚œ OSPF๋กœ ๋ผ์šฐํŒ…์„ ํ•ด๋†จ๊ธฐ ๋•Œ๋ฌธ์— established ํ•„ํ„ฐ๋ง์„ ์ ์šฉํ•˜๊ธฐ ์ „ ospf์— ๋Œ€ํ•œ ํŒจํ‚ท์€ ๋ชจ๋‘ ํ—ˆ์šฉ์œผ๋กœ ํ•ด๋‘”๋‹ค.

3725(config)# access-list 100 permit ospf any any
3725(config)# access-list 100 permit tcp any any established
3725(config)#
3725(config)# int fa0/0
3725(config)# ip access-group 100 in

[ํ™•์ธ]
-37251 ๋ผ์šฐํ„ฐ โ†’ 37252 ๋ผ์šฐํ„ฐ
‘๋ชฉ์ ์ง€์— ๋„๋‹ฌํ•  ์ˆ˜ ์—†๋‹ค’๊ณ  ๋‚˜์˜ด.

– 37252 ๋ผ์šฐํ„ฐ โ†’37251 ๋ผ์šฐํ„ฐ
์ •์ƒ ์ ‘์† ๊ฐ€๋Šฅ


[Dynamic ACL]

‘Lock and Key’๋ผ๊ณ ๋„ ๋ถˆ๋ฆฐ๋‹ค.
์ธ์ฆ๋œ ์™ธ๋ถ€ Network๋กœ๋ถ€ํ„ฐ ์ „์†ก๋˜๋Š” ํŒจํ‚ท์„ ํ—ˆ์šฉํ•˜๊ธฐ ์œ„ํ•ด ๋ผ์šฐํ„ฐ์— ์ž๋™์œผ๋กœ ACL์„ ์ถ”๊ฐ€ํ•œ๋‹ค. ์ธ์ฆ์—ฌ๋ถ€๋Š” TELNET ์ •์ƒ ์ ‘์† ์—ฌ๋ถ€๋ฅผ ํ†ตํ•ด ์ง„ํ–‰ํ•œ๋‹ค. ์ž๋™์œผ๋กœ ์ƒ์„ฑ๋œ ํ•ญ๋ชฉ์€ ์ผ์ • ์‹œ๊ฐ„์ด ๊ฒฝ๊ณผ๋˜๋ฉด ์ž๋™์œผ๋กœ ์‚ญ์ œ๋œ๋‹ค. ์™ธ๋ถ€์— ์žˆ๋Š” ๊ด€๋ฆฌ์ž๊ฐ€ ๋‚ด๋ถ€ ๋„คํŠธ์›Œํฌ๋กœ ์ ‘๊ทผํ•ด์•ผํ•  ๋•Œ, ์‚ฌ์šฉํ•˜๊ธฐ ์ ํ•ฉํ•  ๊ฒƒ ๊ฐ™๋‹ค.

  • ๋™์ž‘๊ณผ์ •
Dynamic ACL Topology
  1. ์™ธ๋ถ€ PC์—์„œ Lock and Key ๊ธฐ๋Šฅ์ด ์„ค์ •๋œ R2๋กœTELNET ์ ‘์† ์‹œ๋„.
  2. R2๋Š” TELNET์œผ๋กœ ์ ‘์†ํ•œ PC์— ๋Œ€ํ•ด ์‚ฌ์šฉ์ž ์ธ์ฆ์„ ์‹ค์‹œ.
    (RADIUS / TACACS+ ์ธ์ฆ ๊ฐ€๋Šฅ)
  3. ์‚ฌ์šฉ์ž๊ฐ€ ์ธ์ฆ๋˜๋ฉด, ์ž๋™์œผ๋กœ TELNET ์ ‘์†์ด ํ•ด์ œ๋œ๋‹ค. ์™ธ๋ถ€ PC์˜ ๋„คํŠธ์›Œํฌ๊ฐ€ ๋‚ด๋ถ€๋กœ ์ ‘๊ทผํ•  ์ˆ˜ ์žˆ๋„๋ก ACL์„ ์ž๋™์œผ๋กœ ์ƒ์„ฑํ•œ๋‹ค.
  4. ์ƒ์„ฑ๋œ ACL์€ ์ผ์ • ์‹œ๊ฐ„์ด ์ง€๋‚˜๋ฉด, ์ž๋™์œผ๋กœ ์‚ญ์ œ๋œ๋‹ค.

[์„ค์ •]

R2(config)# username cisco123 password ciscopwd123
R2(config)# username cisco123 autocommand access-enable host timeout 10
R2(config)#
R2(config)# ip access-list extended LAK_Traffic
R2(config-ext-nacl)# permit ospf any any
R2(config-ext-nacl)# permit tcp any host 5.5.5.6 eq telnet
R2(config-ext-nacl)# dynamic L&K permit ip any 6.6.6.0 0.0.0.3
R2(config-ext-nacl)# deny ip any 6.6.6.0 0.0.0.3
R2(config-ext-nacl)# exit
R2(config)#
R2(config)# int fa0/0
R2(config-if)# ip access-group LAK_Traffic in

2: ‘cisco123’์œผ๋กœ ์‚ฌ์šฉ์ž ์ธ์ฆ์ด ๋˜๋ฉด, ‘autocommand access-enable’์— ์˜ํ•ด TELNET ์ ‘์† ์ข…๋ฃŒ๊ฐ€ ๋˜๊ณ , ‘host’์— ์˜ํ•ด TELNET ์ ‘์† ์‹œ ์‚ฌ์šฉ๋œ ์ถœ๋ฐœ์ง€ IP ์ฃผ์†Œ๊ฐ€ ์ž๋™์œผ๋กœ ์ƒ์„ฑ๋˜๋Š” ACL์˜ ์ถœ๋ฐœ์ง€ ์ฃผ์†Œ๋กœ ์‚ฌ์šฉ๋˜๊ฒŒ๋” ํ•œ๋‹ค. ‘timeout’์— ์˜ํ•ด ์ž๋™์œผ๋กœ ์„ค์ •๋œ ACL์ด ๋ช‡ ๋ถ„ ํ›„์— ์ œ๊ฑฐ๋ ์ง€ ์„ค์ •ํ•œ๋‹ค.
7: ‘dynamic’๋ฅผ ์ด์šฉํ•˜์—ฌ ์‚ฌ์šฉ์ž ์ธ์ฆ์ด ํ—ˆ์šฉ๋œ ์ถœ๋ฐœ์ง€ ์ฃผ์†Œ์— ๋Œ€ํ•ด ์ž๋™์œผ๋กœ ACLํ•ญ๋ชฉ์ด ์ƒ์„ฑ๋˜๋„๋ก ํ•œ๋‹ค.

[ํ™•์ธ]
– TELNET ์ธ์ฆ ์ „, PING ํ…Œ์ŠคํŠธ

R1์—์„œ ‘R3์˜ 6.6.6.2’๋กœ PING ํ…Œ์ŠคํŠธ๋ฅผ ํ•˜์ง€๋งŒ ์‹คํŒจ๋˜๋Š” ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค. R2์—์„œ ACL ์ •๋ณด๋ฅผ ํ™•์ธํ–ˆ์„ ๋•Œ, 40๋ฒˆ ํ•ญ๋ชฉ์— ์˜ํ•ด ํŒจํ‚ท 11๊ฐœ๊ฐ€ ์ฐจ๋‹จ๋œ ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค.

– TELNET ์ธ์ฆ

R1์—์„œ R2๋กœ TELNET ์ ‘์†ํ•˜์ž๋งˆ์ž ๋ฐ”๋กœ ์ข…๋ฃŒ๋˜๋ฉฐ, R2์—์„œ ACL ์ •๋ณด๋ฅผ ํ™•์ธํ•˜๋ฉด 30๋ฒˆ ํ•ญ๋ชฉ๊ณผ 40๋ฒˆ ํ•ญ๋ชฉ ์‚ฌ์ด์— ์ž๋™์œผ๋กœ ACL ํ•˜๋‚˜๊ฐ€ ์ถ”๊ฐ€๋œ ๊ฒƒ์„ ์•Œ ์ˆ˜ ์žˆ๋‹ค.

– TELNET ์ธ์ฆ ํ›„, PING ํ…Œ์ŠคํŠธ

์ •์ƒ์ ์œผ๋กœ PING ํ…Œ์ŠคํŠธ๊ฐ€ ์„ฑ๊ณตํ•˜๊ณ , R2์˜ ACL ์ •๋ณด์—์„  ACL ํ•ญ๋ชฉ์ด ์œ ์ง€๋˜๋Š” ์‹œ๊ฐ„์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค.

[SDN] SDN๊ณผ NFV

ํ˜„์—…์ด ์•„๋‹ˆ๋‹ค๋ณด๋‹ˆ SDN์„ ์•Œ๊ฒŒ๋œ ๊ฑด 1๋…„ ์ •๋„? ๊ทธ ๋‹น์‹œ ๋ง‰ ๋‚˜์˜ค๋Š” ์ตœ-์‹  ๊ธฐ์ˆ ์ธ์ค„ ์•Œ์•˜๋‹ค. ํ•˜์ง€๋งŒ ๊ฝค๋‚˜ ์˜ˆ์ „๋ถ€ํ„ฐ ๋…ผ์˜๋˜๊ณ  ์ ์šฉ๋œ ๊ธฐ์ˆ ์ด์—ˆ๋‹ค. ์˜ค๋Š˜์€ SDN์ด ๋ฌด์—‡์ธ์ง€ ์•Œ์•„๋ณด๊ณ ์ž ํ•œ๋‹ค.

(์ž˜๋ชป๋œ ์ •๋ณด๋‚˜ ๋ง๋ถ™์—ฌ์•ผํ•  ๋‚ด์šฉ์ด ์žˆ๋‹ค๋ฉด ์–ธ์ œ๋“ ์ง€ ๋Œ“๊ธ€ ๋ถ€ํƒ๋“œ๋ฆฝ๋‹ˆ๋‹ค.)

SDN

Software Defined Network
์†Œํ”„ํŠธ์›จ์–ด ์ฆ‰, ํ”„๋กœ๊ทธ๋ž˜๋ฐ์„ ํ†ตํ•ด์„œ ๋„คํŠธ์›Œํฌ ๊ธฐ๋Šฅ์„ ๊ตฌํ˜„ํ•˜๋Š” ๊ธฐ์ˆ ์ด๋‹ค.

  • SDN ๋™์ž‘๊ณผ์ •
    ๊ธฐ์กด ๋„คํŠธ์›Œํ‚น์—์„  ๋ผ์šฐํ„ฐ๊ฐ€ ๋ผ์šฐํŒ… ๊ฒฝ๋กœ๋ฅผ ๊ณ„์‚ฐํ•˜๊ณ , ๋ผ์šฐํ„ฐ์— ์žˆ๋Š” ๋ฌผ๋ฆฌ ํฌํŠธ๋กœ ๋ฐ์ดํ„ฐ๋ฅผ ์ „์†กํ–ˆ๋‹ค. ํ•˜์ง€๋งŒ SDN์—์„œ๋Š” ์ด ๊ฐœ๋…์„ ํŒŒ๊ดด(?)์‹œ์ผฐ๋‹ค. ๋ผ์šฐํ„ฐ์˜ ๋„คํŠธ์›Œํ‚น ๊ธฐ๋Šฅ๊ณผ ๋ฌผ๋ฆฌํฌํŠธ๋ฅผ ๊ตฌ๋ถ„์ง€์€ ๊ฒƒ์ด๋‹ค. ๋„คํŠธ์›Œํ‚น ๊ธฐ์„ Control Plane, ๋ฌผ๋ฆฌ ํฌํŠธ ๋ถ€๋ถ„์„ Data Plane์œผ๋กœ ๋‚˜๋ˆ„๊ณ  ์„œ๋กœ๋ฅผ RPC๋ฅผ ํ†ตํ•ด ํ†ต์‹ ํ•˜๋„๋ก ํ•œ๋‹ค.

์ดํ•ด๋ฅผ ๋•๊ธฐ ์œ„ํ•ด ์•„๋ž˜ ๊ทธ๋ฆผ์„ ์ฐธ๊ณ ํ•˜์ž.

์ถœ์ €: Netmanias, 5G ์‹œ๋Œ€ SDN/NFV (1) – ๋„คํŠธ์›Œํฌ ์„ธ์ƒ์„ ๋ฐ”๊พผ SDN, https://www.netmanias.com/ko/?m=view&id=blog&no=13359

ํ•œ์ค„๋กœ ์š”์•ฝํ•˜์ž๋ฉด, “SDN์€ Data plane๊ณผ Control Plane์œผ๋กœ ๋ถ„๋ฆฌํ•˜๊ณ , RPC๋ฅผ ํ†ตํ•ด ์„œ๋กœ ํ†ต์‹ ํ•œ๋‹ค.”

  • SDN ์•„ํ‚คํ…์ฒ˜
์ถœ์ €: Open Networking Foundation, Software-Defined Networking (SDN) Definition, https://opennetworking.org/sdn-definition/

ํฌ๊ฒŒ 3๊ฐ€์ง€ ์š”์†Œ๋กœ ๋‚˜๋‰œ๋‹ค. ์ด ์š”์†Œ๋“ค์€ ์„œ๋กœ ๋‹ค๋ฅธ ๋ฌผ๋ฆฌ์  ์œ„์น˜์— ์กด์žฌํ•  ์ˆ˜ ์žˆ๋‹ค.
1. Application(Application Layer) : ์ „๋ฐ˜์ ์ธ ๋ฆฌ์†Œ์Šค๋ฅผ ์š”์ฒญํ•˜๊ฑฐ๋‚˜ ๋„คํŠธ์›Œํฌ ๊ด€๋ จ ์ •๋ณด๋ฅผ ํ†ต์‹ ํ•œ๋‹ค.
2. Controller(Control Layer) : Application์˜ ์ •๋ณด๋ฅผ ํ™œ์šฉํ•ด ๋ฐ์ดํ„ฐ ํŒจํ‚ท ๋ผ์šฐํŒ… ๋ฐฉ์‹์„ ๊ฒฐ์ •ํ•œ๋‹ค.
3. Networking Device(Infrastructure Layer) : Controller๋กœ๋ถ€ํ„ฐ ๋ฐ์ดํ„ฐ๋ฅผ ์ด๋™ํ•  ์œ„์น˜์— ๋Œ€ํ•œ ์ •๋ณด๋ฅผ ์ˆ˜์‹ ํ•œ๋‹ค.

SDN์˜ Control Plane<->Data Plane

Control Plane

SDN์˜ Controller๊ฐ€ ์—ฌ๊ธฐ์— ์†ํ•˜๋ฉฐ, SDN์˜ Software ๋ถ€๋ถ„์ด๋‹ค. ํŠธ๋ž˜ํ”ฝ(๋ฐ์ดํ„ฐ)๋ฅผ ์–ด๋””๋กœ ๋ณด๋‚ผ์ง€ ๊ฒฐ์ •ํ•œ๋‹ค. Control Plane์—์„œ๋Š” ์•„๋ž˜์˜ 2๊ฐ€์ง€ API๋ฅผ ์ œ๊ณตํ•œ๋‹ค.

  • South-bound API
    ์—ฌ๋Ÿฌ ๋„คํŠธ์›Œํฌ ์žฅ๋น„์™€ ํ†ต์‹ ํ•  ์ˆ˜ ์žˆ๋„๋ก API๋ฅผ ์ œ๊ณตํ•˜๊ณ  ์ถ”๊ฐ€ํ•  ์ˆ˜ ์žˆ๋‹ค.
  • North-bound API
    ์—ฌ๋Ÿฌ ๊ฐ€์ง€ ๊ธฐ๋Šฅ์˜ ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜์„ ๊ฐœ๋ฐœํ•˜๊ณ  ๋‹ค๋ฅธ ์šด์˜ ๋„๊ตฌ์™€ ํ†ต์‹ ํ•  ์ˆ˜ ์žˆ๊ฒŒ ํ•œ๋‹ค.

๋งŽ์ด ์‚ฌ์šฉ๋˜๋Š” ์˜คํ”ˆ์†Œ์Šค SDN Controller์—๋Š” ‘Open Daylight‘์™€ ‘ONOS‘๊ฐ€ ์žˆ๋‹ค.

Data Plane

SDN์˜ Network Device๊ฐ€ ์—ฌ๊ธฐ์— ์†ํ•˜๋ฉฐ, SDN์˜ Hardware ๋ถ€๋ถ„์ด๋‹ค. ์‹ค์ œ ํŠธ๋ž˜ํ”ฝ(๋ฐ์ดํ„ฐ)๋ฅผ ์ „์†กํ•œ๋‹ค.

  • White Box
    ๊ธฐ์กด ๋ ˆ๊ฑฐ์‹œ์˜ ๋„คํŠธ์›Œํฌ ์žฅ๋น„๋“ค์€ ์ œ์–ด ๋ฐฉ์‹์„ ๊ณต๊ฐœํ•˜์ง€ ์•Š์•„์„œ ‘Black Box’๋ผ๊ณ  ๋ถˆ๋ ธ๋‹ค. ์ด ๋‹จ์–ด์˜ ๋ฐ˜๋Œ€๋ง๋กœ ๋‚˜์˜จ ๊ฒƒ์ด ‘White Box’์ด๋‹ค. ๋ง ๊ทธ๋Œ€๋กœ ๋„คํŠธ์›Œํฌ ์žฅ๋น„์˜ ๋™์ž‘ ๋ฐฉ์‹์„ ์‚ฌ์šฉ์ž๊ฐ€ ๊ฒฐ์ •ํ•˜๊ณ  ํˆฌ๋ช…ํ•˜๊ฒŒ ๊ณต๊ฐœ๋œ๋‹ค๋Š” ์˜๋ฏธ๋ฅผ ๋‹ด๊ณ  ์žˆ๋‹ค.

RPC

Control Plane๊ณผ Data Plane์˜ ํ†ต์‹  ๊ทœ์•ฝ์ด๋‹ค. ๋Œ€ํ‘œ์ ์ธ ๊ธฐ์ˆ ๋กœ ‘OpenFlow’๊ฐ€ ์žˆ๋‹ค.

Infrastructure Layer(์ „์†ก๋ถ€ or Network device)์—์„œ OpenFlow์˜ PortStats ๋˜๋Š” FlowStats์„ ํ†ตํ•ด ๊ฐ ๊ฒฝ๋กœ์˜ ํ˜ผ์žก๋„๋ฅผ Control Layer๋กœ ์ „๋‹ฌํ•œ๋‹ค.
Control Layer(์ œ์–ด๋ถ€ or Controller)๋Š” ์ด ์ •๋ณด๋ฅผ ๊ธฐ์ค€์œผ๋กœ ์ตœ์ ์˜ ๊ฒฝ๋กœ๋ฅผ ์ฐพ์•„ Infrastructure Layer๋กœ ์ตœ์ ์˜ ๊ฒฝ๋กœ๋ฅผ ์ „๋‹ฌํ•œ๋‹ค.

๊ทธ๋ž˜์„œ SDN์ด ์™œ ์ข‹์€๋ฐ?

์ฒซ์งธ๋กœ, ์—ฌ๋Ÿฌ ๋ฒค๋”๋ณ„ ์žฅ๋น„๋ฅผ ์ˆ˜๋™์œผ๋กœ ํ”„๋กœ๊ทธ๋ž˜๋ฐํ•˜๋Š” ๋Œ€์‹  ๊ฐœ๋ฐฉํ˜• ํ‘œ์ค€ ์†Œํ”„ํŠธ์›จ์–ด ๊ธฐ๋ฐ˜ ์ปจํŠธ๋กค๋Ÿฌ๋ฅผ ํ”„๋กœ๊ทธ๋ž˜๋ฐํ•˜์—ฌ ๋„คํŠธ์›Œํฌ๋ฅผ ํ†ตํ•œ ํŠธ๋ž˜ํ”ฝ ํ๋ฆ„์„ ์ œ์–ดํ•  ์ˆ˜ ์žˆ๋‹ค. ์ฆ‰, ์†๋„๊ฐ€ ํ–ฅ์ƒ๋˜๊ณ  ์œ ์—ฐ์„ฑ์ด ์žˆ๊ธฐ ๋•Œ๋ฌธ์— ์ œ์–ด ๋Šฅ๋ ฅ์ด ํ–ฅ์ƒ๋œ๋‹ค.

๋‘˜์งธ, ์ค‘์•™์œผ๋กœ ์ง‘์ค‘๋œ ๊ธฐ์ˆ ์ด๊ธฐ ๋•Œ๋ฌธ์— ๊ด€๋ฆฌ์ž๊ฐ€ ์‹ค์‹œ๊ฐ„์œผ๋กœ ๋„คํŠธ์›Œํฌ ์ธํ”„๋ผ๋ฅผ ๋ณ€๊ฒฝํ•  ์ˆ˜ ์žˆ๋‹ค. ๋งž์ถค ์„ค์ •์ด ๊ฐ€๋Šฅํ•œ ๋„คํŠธ์›Œํฌ ์ธํ”„๋ผ๋ผ๋Š” ๋œป์ด๋‹ค.

์ด์™ธ์—๋„ SDN์˜ ์žฅ์ ์ด ๋งŽ๋‹ค!

์กฐ๊ธˆ ๋” ์ž์„ธํ•œ ๋‚ด์šฉ์€ ์•„๋ž˜ ์‚ฌ์ดํŠธ ์ฐธ๊ณ .

Software-Defined Networking (SDN) Definition -ONF
5G ์‹œ๋Œ€ SDN/NFV (1) – ๋„คํŠธ์›Œํฌ ์„ธ์ƒ์„ ๋ฐ”๊พผ SDN -netmanias
์†Œํ”„ํŠธ์›จ์–ด ์ •์˜ ๋„คํŠธ์›Œํ‚น -vmware

NFV

Network Function Virtualization

๋„คํŠธ์›Œํฌ ๊ธฐ๋Šฅ(์žฅ๋น„)๋ฅผ ๊ฐ€์ƒํ™”ํ•˜๋Š” ๊ฒƒ์ด๋‹ค. ํ•œ ๊ฐ€์ง€์˜ ๋„คํŠธ์›Œํฌ ๊ธฐ๋Šฅ์„ ์ถ”์ƒํ™”ํ•˜๊ณ , ์ด ๊ธฐ๋Šฅ์„ ์—ฌ๋Ÿฌ ์‚ฌ์šฉ์ž๋“ค๊ณผ ๋‚˜๋ˆ  ์‚ฌ์šฉํ•  ์ˆ˜ ์žˆ๋„๋ก ํ•œ๋‹ค.
์˜ˆ๋ฅผ ๋“ค์–ด, ๋ผ์šฐํ„ฐ์—์„œ ๋ผ์šฐํ„ฐ ๊ธฐ๋Šฅ๋“ค๋งŒ ๋ถ„๋ฆฌํ•˜์—ฌ ์ผ๋ฐ˜ ๊ฐ€์ƒ ์„œ๋ฒ„๋กœ ์ด๋™ํ•œ๋‹ค. ์ผ๋ฐ˜ ๊ฐ€์ƒ ์„œ๋ฒ„์ง€๋งŒ ๋ผ์šฐํ„ฐ์ฒ˜๋Ÿผ ์šด์šฉ๋˜๋Š” ๊ฒƒ์ด๋‹ค. ์ด ๋•Œ, ๊ฐ€์ƒ ๋จธ์‹ ์—์„œ ๋„คํŠธ์›Œํฌ ๊ธฐ๋Šฅ์„ ๊ตฌํ˜„ํ•˜๋Š” ๊ฒƒ์„ VNF(Virtual Network Function)์ด๋ผ๊ณ  ํ•œ๋‹ค. VNF๋ฅผ ๋ฒ”์šฉ ์„œ๋ฒ„์— ์˜ฌ๋ฆฌ๋Š” ๊ฒƒ์„ NFV๋ผ๊ณ  ํ•œ๋‹ค.

์˜ˆ์ „์—” ‘๋„คํŠธ์›Œํฌ ๊ธฐ๋Šฅ+๋ฌผ๋ฆฌ์žฅ๋น„’๊ฐ€ ์ผ์ฒดํ˜•์œผ๋กœ ์ œ์ž‘๋˜์–ด ํŒ๋งค๋์—ˆ์ง€๋งŒ, NFV๊ฐ€ ๋„์ž…๋˜๋ฉด์„œ ๋„คํŠธ์›Œํฌ ๊ธฐ๋Šฅ๊ณผ ์„œ๋ฒ„๋ฅผ ๋ณ„๋„๋กœ ๊ต์ฒดํ•˜๊ฑฐ๋‚˜ ์—…๊ทธ๋ ˆ์ด๋“œํ•  ์ˆ˜ ์žˆ๋‹ค.

NFV๋Š” SDN์—†์ด ๊ตฌํ˜„ํ•  ์ˆ˜ ์žˆ์ง€๋งŒ, ๊ฐ€์ƒ ๋„คํŠธ์›Œํฌ ๋‚ด์—์„œ VNF๋ฅผ ์—ฐ๊ฒฐํ•˜๋ ค๋ฉด SDN์ด ํ•„์š”ํ•˜๋‹ค.

์ฐธ๊ณ  – 5G ์‹œ๋Œ€ SDN/NFV (2) – ๋‹ค๊ฐ€์˜ฌ 5G ์‹œ๋Œ€์˜ ํ•ต์‹ฌ? SDN ๊ธฐ๋ฐ˜ ๊ฐ€์ƒ ๋„คํŠธ์›Œํฌ๋ฅผ ์ด์šฉํ•œ NFV -netmanias

Q. Ansible๊ณผ SDN? ์„œ๋กœ ๋น„์Šทํ•œ ๊ธฐ์ˆ ์ธ๊ฐ€?

‘์†Œํ”„ํŠธ์›จ์–ด๋กœ ์ •์˜ํ•œ๋‹ค.’๋Š” ์ ์—์„œ ์„œ๋กœ ๋น„์Šทํ•œ ๊ธฐ์ˆ ์ด๋ผ๊ณ  ์ƒ๊ฐํ•  ์ˆ˜๋„ ์žˆ๋‹ค. ํ•˜์ง€๋งŒ ๊ทธ๋ ‡์ง€ ์•Š๋‹ค.

Ansible์€ Orchestration Tool๋กœ์จ ๋‚ด๊ฐ€ ์–ด๋–ค ์žฅ๋น„, ์–ด๋–ค ๊ธฐ๋Šฅ์„ ์‚ฌ์šฉํ• ์ง€ ์ •์˜ํ•œ๋‹ค. ์ด ์ •์˜๋œ ๋‚ด์šฉ์„ ๋ฐ”ํƒ•์œผ๋กœ ์žฅ๋น„๋ฅผ ์ž๋™์œผ๋กœ ์ž‘๋™์‹œํ‚จ๋‹ค. ์ž๋™ํ™”, ์‚ฌ์šฉํŽธ์˜์„ฑ์„ ์ถ”๊ตฌํ•œ๋‹ค.
SDN์€ Data plane, Control plane์œผ๋กœ ๋„คํŠธ์›Œํฌ ๊ฐœ๋…์„ ๋‚˜๋ˆ„๊ณ  ์ „์ฒด์ ์ธ ๋„คํŠธ์›Œํฌ๋ฅผ ๋™์ž‘์‹œํ‚ค๋Š” ๊ฒƒ์ด๋‹ค.

๊ฒฐ๋ก , SDN์œผ๋กœ ๊ตฌ์„ฑ๋œ ๋ง์—์„œ Ansible์„ ์‚ฌ์šฉํ•˜๋ฉด ๋” ์œ ์—ฐํ•˜๊ณ  ํšจ์œจ์ ์œผ๋กœ ๋„คํŠธ์›Œํฌ๋ฅผ ๊ด€๋ฆฌํ•  ์ˆ˜ ์žˆ๋‹ค.

ACL์„ ์•Œ์•„๋ณด์ž 2: ์„ค์ •

ACL์„ ๊ตฌ์„ฑํ•˜๋Š” ๋‹จ๊ณ„๋Š” 2๊ฐ€์ง€๋กœ ๋‚˜๋ˆŒ ์ˆ˜ ์žˆ๋‹ค.

“โ‘  ACL ์„ค์ • โ†’ โ‘ก ACL ์ ์šฉ

ACL ์„ค์ •์€ Global mode์—์„œ ์ง„ํ–‰ํ•˜๊ณ , ACL ์ ์šฉ์€ ์ธํ„ฐํŽ˜์ด์Šค๋‚˜ ๋ผ์ธ์—์„œ ํ•œ๋‹ค.

1. Standard ACL ์„ค์ •

๊ฐ„๋‹จํ•œ ๊ตฌ๋ฌธ์œผ๋กœ ์ด๋ฃจ์–ด์ ธ์žˆ๋‹ค.

โ‘ด [1-99] : ACL ์œ ํ˜•๋ณ„๋กœ ๋ฒ”์œ„๊ฐ€ ์žˆ์œผ๋ฉฐ, Standard ACL์€ 1~99 ๋‚ด์—์„œ ์‚ฌ์šฉํ•œ๋‹ค.

โ‘ต {permit | deny} : permit – ์ ‘๊ทผ ํ—ˆ์šฉ, deny – ์ ‘๊ทผ ์ฐจ๋‹จ.

โ‘ถ source : ์ถœ๋ฐœ์ง€ ํ˜ธ์ŠคํŠธ์˜ IP.

โ‘ท wildcard-mask : source์˜ ์™€์ผ๋“œ์นด๋“œ ๋งˆ์Šคํฌ.

โ‘ธ {log} : ACL ํ•ญ๋ชฉ์ด ์ผ์น˜ํ•ด ํ•„ํ„ฐ๋ง๋˜๋Š” ๊ฒฝ์šฐ, ๋กœ๊ทธ๋ฅผ ์ถœ๋ ฅํ•˜๋Š” ์˜ต์…˜.

1-2. ACL ์ ์šฉ

Standard ACL ๋ฐ Extended ACL ๋ชจ๋‘ ์ ์šฉํ•˜๋Š” ๋ฐฉ๋ฒ•์€ ๋™์ผํ•˜๋‹ค.
(ACL์ด ์ ์šฉ๋ผ์•ผ ํ•˜๋Š” ์ธํ„ฐํŽ˜์ด์Šค๋กœ ๋จผ์ € ์ ‘์† ํ•œ๋‹ค.)

โ‘ด [1-99] : ์•ž์„œ ์„ค์ •ํ•œ ACL์˜ ํ•ญ๋ชฉ ๋ฒˆํ˜ธ๋ฅผ ์ž…๋ ฅํ•œ๋‹ค.

โ‘ต {in | out} : ๋ผ์šฐํ„ฐ ๊ธฐ์ค€์œผ๋กœ in / out์— ํ•ด๋‹นํ•˜๋Š” ๊ฐ’์„ ๋„ฃ๋Š”๋‹ค.

1-3. Standard ACL ๋ช…๋ น์–ด ๋‹ค๋ค„๋ณด๊ธฐ

Q. 192.168.0.0/24 ๋ง์ด 10.0.0.0/8 ๋ง์— ์ ‘๊ทผํ•  ์ˆ˜ ์—†๋„๋ก ์ฐจ๋‹จํ•ด์ฃผ์„ธ์š”. ๋‹จ, ํ˜ธ์ŠคํŠธ 192.168.0.200์€ ์ ‘๊ทผํ•  ์ˆ˜ ์žˆ์–ด์•ผ ํ•ฉ๋‹ˆ๋‹ค.

Router(config)# access-list 10 permit 192.168.0.200 host
Router(config)# access-list 10 deny 192.168.0.0 0.0.0.255
Router(config)# access-list 10 deny any
Router(config)# 
Router(config)# int fa0/0
Router(config-if)# ip access-group 10 in
Router(config-if)# int fa0/1
Router(config-if)# ip access-group 10 out

2. Extended ACL ์„ค์ •

Standard ACL๋ณด๋‹ค ๋ณต์žกํ•ด๋ณด์ด์ง€๋งŒ ์ดํ•ดํ•˜๊ณ  ๋‚˜๋ฉด ๋ง‰์ƒ ์–ด๋ ต์ง€ ์•Š์œผ๋‹ˆ ์ผ๋‹จ ‘์•„, ์ด๋Ÿฐ๊ฒŒ ์žˆ๊ตฌ๋‚˜’ ์ •๋„๋กœ๋งŒ ๋ด๋„ ๋  ๊ฒƒ ๊ฐ™๋‹ค.

โ‘ด,โ‘ต : 1๋ฒˆ ์ฐธ๊ณ 

โ‘ถ protocol : ํŒจํ‚ท์˜ ํ”„๋กœํ† ์ฝœ์„ ์ •์˜ํ•œ๋‹ค. (TCP, UDP, ICMP, EIGRP, OSPF, IP)

โ‘ท,โ‘ธ : ์ถœ๋ฐœ์ง€ ํ˜ธ์ŠคํŠธ IP์™€ ์™€์ผ๋“œ์นด๋“œ ๋งˆ์Šคํฌ

โ‘น eq / โ‘บ [port-numer] : ์ถœ๋ฐœ์ง€ ํฌํŠธ ๋ฒˆํ˜ธ๋ฅผ ์ •์˜ํ•˜๊ฒ ๋‹ค๋Š” ํ‚ค์›Œ๋“œ / ์ถœ๋ฐœ์ง€ ํฌํŠธ ๋ฒˆํ˜ธ๋ฅผ ์ž…๋ ฅ ๋ถ€๋ถ„

โ‘ป, โ‘ผ : ๋ชฉ์ ์ง€ ํ˜ธ์ŠคํŠธ IP์™€ ์™€์ผ๋“œ์นด๋“œ ๋งˆ์Šคํฌ

โ‘ฝ eq / โ‘พ [port-numer] : ๋ชฉ์ ์ง€ ํฌํŠธ ๋ฒˆํ˜ธ๋ฅผ ์ •์˜ํ•˜๊ฒ ๋‹ค๋Š” ํ‚ค์›Œ๋“œ / ์ถœ๋ฐœ์ง€ ํฌํŠธ ๋ฒˆํ˜ธ๋ฅผ ์ž…๋ ฅ ๋ถ€๋ถ„

โ‘ฟ log / log-input : 1๋ฒˆ ์ฐธ๊ณ  / ๋กœ๊ทธ ๋ฉ”์„ธ์ง€ ์ถœ๋ ฅ ์‹œ ACL ํ•„ํ„ฐ๊ฐ€ ๋™์ž‘ํ•œ ์ธํ„ฐํŽ˜์ด์Šค ์ •๋ณด๋„ ํ•จ๊ป˜ ์ถœ๋ ฅํ•œ๋‹ค.

โ’€ {time-range} : ์ •ํ•ด์ง„ ์‹œ๊ฐ„ ๋™์•ˆ์—๋งŒ ACL ๋™์ž‘ํ•˜๊ฒŒ ํ•˜๋Š” ์˜ต์…˜์ด๋‹ค.

โ’ {tos | precedence | dscp} : IP ํŒจํ‚ท ๋งˆํ‚น์ด ์‹ค์‹œ๋œ ํŠธ๋ž˜ํ”ฝ์„ ์ •์˜ํ•  ๋•Œ ์‚ฌ์šฉ๋œ๋‹ค.

โ’‚ {TCP Flag} : TCP ํ”Œ๋ž˜๊ทธ๊ฐ€ ์„ค์ •๋œ ํŒจํ‚ท์„ ์ •์˜ํ•œ๋‹ค.

(16) {fragment} : ๋ถ„ํ• ๋œ IP ํŒจํ‚ท์„ ์ •์˜ํ•œ๋‹ค.

(17) {established} : TCP ํ”Œ๋ž˜๊ทธ ์ค‘ ACK, RST๊ฐ€ ์„ค์ •๋œ ํŠธ๋ž˜ํ”ฝ์„ ์ •์˜ํ•œ๋‹ค.

2-2. Extended ACL ๋ช…๋ น์–ด ๋‹ค๋ค„๋ณด๊ธฐ

Q1. ํ˜ธ์ŠคํŠธ 172.30.5.2๊ฐ€ ์›น์„œ๋ฒ„ 192.168.0.2๋กœ ์ ‘๊ทผํ•˜๋Š” ๊ฒƒ์„ ์ฐจ๋‹จํ•˜๊ณ , 172.30.1.0/24 ๋ง์—์„œ๋Š” ์›น์„œ๋ฒ„ 192.168.0.2๋กœ ์ ‘๊ทผํ•  ์ˆ˜ ์žˆ์–ด์•ผ ํ•ฉ๋‹ˆ๋‹ค. ์ด์™ธ ๋‚˜๋จธ์ง€ ํŠธ๋ž˜ํ”ฝ์€ ์ ‘๊ทผํ•  ์ˆ˜ ์žˆ์–ด์•ผํ•ฉ๋‹ˆ๋‹ค. (R2์—์„œ ์„ค์ •)

R2(config)# access-list 100 deny tcp host 172.30.5.2 host 192.168.0.2 eq 80 
R2(config)# access-list 100 permit tcp 172.30.1.0 0.0.0.255 host 192.168.0.2 eq 80 
R2(config)# access-list 100 permit ip any any 
R2(config)# 
R2(config)# int s0/0 
R2(config-if)# ip access-group 100 in

Q2. 172.30.5.0/24 ๋ง์˜ ๋ชจ๋“  ํ˜ธ์ŠคํŠธ๋“ค์€ ์›น์„œ๋ฒ„ 192.168.0.2๋กœ ping์„ ํ•  ์ˆ˜ ์—†๊ณ , ํ˜ธ์ŠคํŠธ 192.168.0.100์œผ๋กœ๋Š” ping์„ ํ•  ์ˆ˜ ์žˆ์–ด์•ผ ํ•ฉ๋‹ˆ๋‹ค. ์›น์„œ๋ฒ„์— ์ถ”๊ฐ€๋กœ ftp ๊ธฐ๋Šฅ์„ ์ถ”๊ฐ€ํ•˜๋ฉด์„œ, ๋ชจ๋“  ์™ธ๋ถ€ ํ˜ธ์ŠคํŠธ๋“ค์€ 09์‹œ๋ถ€ํ„ฐ 21์‹œ๊นŒ์ง€ 192.168.0.2๋กœ ftp ์ ‘์†์„ ํ•  ์ˆ˜ ์žˆ์–ด์•ผ ํ•ฉ๋‹ˆ๋‹ค. ์ด์™ธ ๋ชจ๋“  ํŠธ๋ž˜ํ”ฝ์€ ์ฐจ๋‹จ๋˜์–ด์•ผ ํ•ฉ๋‹ˆ๋‹ค.(R2์—์„œ ์„ค์ •)

R2(config)# time-range TR
R2(config-time-range)# periodic weekdays 09:00 to 21:00
R2(config-time-range)# exit
R2(config)# 
R2(config)# access-list 120 deny icmp 172.30.5.0 0.0.0.255 host 192.168.0.2 echo
R2(config)# access-list 120 permit icmp 172.30.5.0 0.0.0.255 host 192.168.0.2 echo
R2(config)# access-list 120 permit tcp any host 192.168.0.2 eq 21 time-range TR
R2(config)# access-list 120 deny ip any any
R2(config)# 
R2(config)# int s0/0
R2(config-if)# ip access-group 120 in

3. Named ACL ์„ค์ •

Named ACL์„ ์‚ฌ์šฉํ•˜๋ฉด ํ•ญ๋ชฉ ๋ฒˆํ˜ธ๊ฐ€ ์•„๋‹Œ ์ด๋ฆ„์œผ๋กœ๋„ ์ง€์ •ํ•  ์ˆ˜ ์žˆ๋‹ค. ๊ทธ๋ฆฌ๊ณ  ACL์„ ๋ถ€๋ถ„์ ์œผ๋กœ ์ถ”๊ฐ€ํ•˜๊ฑฐ๋‚˜ ์‚ญ์ œํ•  ์ˆ˜์žˆ๋‹ค.

โ‘ด {standard | extended} : ACL ์ข…๋ฅ˜๋ฅผ ์„ ํƒํ•œ๋‹ค.

โ‘ต {num | name} : num์€ ํ•ญ๋ชฉ๋ฒˆํ˜ธ, name์€ ์ด๋ฆ„์ด๋‹ค.
1-99(Standard), 100-199(Extended)๋ฅผ ๋„ฃ๊ฑฐ๋‚˜ ํ…์ŠคํŠธ๋กœ ๋œ ์ด๋ฆ„์„ ๋„ฃ์œผ๋ฉด ๋œ๋‹ค.

์œ„ ๋ช…๋ น์–ด๋ฅผ ์ˆ˜ํ–‰ํ•˜๋ฉด ์•„๋ž˜์˜ ๋ชจ๋“œ๋กœ ๋ณ€๊ฒฝ๋œ๋‹ค.
Router(config-std-nacl)#
Router(config-ext-nacl)#

์„ค์ • ๋ฐฉ๋ฒ•์€ ๊ธฐ์กด ACL๊ณผ ๋งค์šฐ ์œ ์‚ฌํ•˜์ง€๋งŒ, sequence number๋ฅผ ํ†ตํ•ด ๋ถ€๋ถ„์ ์œผ๋กœ acl ์„ค์ •์„ ์ถ”๊ฐ€ํ•˜๊ฑฐ๋‚˜ ์‚ญ์ œํ•  ์ˆ˜ ์žˆ๋‹ค.
Named ACL ์„ค์ •์€ CISCO ๊ฐ€์ด๋“œ๋ฅผ ์ฐธ๊ณ ํ•˜์ž.

ACL์„ ์•Œ์•„๋ณด์ž 1: ๊ฐœ๋…

ACL์€ ‘Inbound ๋˜๋Š” Outbound ํŒจํ‚ท์„ ํ—ˆ์šฉํ•˜๊ฑฐ๋‚˜ ์ฐจ๋‹จํ•œ ํ•„ํ„ฐ’ ๋กœ ๊ตฌ์„ฑ๋˜์–ด ์žˆ๋‹ค. ๋ผ์šฐํ„ฐ์—์„œ ์‚ฌ์šฉํ•œ๋‹ค.

๊ทธ๋ ‡๋‹ค๋ฉด ACL์€ ์–ธ์ œ ์‚ฌ์šฉ๋ ๊นŒ

๋ณดํ†ต ๋ผ์šฐํ„ฐ๋กœ ํŠธ๋ž˜ํ”ฝ์ด ์ ‘๊ทผํ•˜๋Š” ๊ฒƒ์„ ์ œ์–ดํ•˜๊ฑฐ๋‚˜ ๋ผ์šฐํ„ฐ๋ฅผ TELNET, SSH์˜ ์ ‘๊ทผ์œผ๋กœ๋ถ€ํ„ฐ ๋ณดํ˜ธํ•  ๋•Œ ์‚ฌ์šฉ๋œ๋‹ค.  ๋”๋ถˆ์–ด QoS ์ •์ฑ…์„ ๊ตฌํ˜„ํ•˜๊ฑฐ๋‚˜ NAT,PAT ๊ธฐ๋Šฅ์„ ๊ตฌํ˜„ํ•˜๊ธฐ ์œ„ํ•ด ์‚ฌ์šฉ๋˜๊ธฐ๋„ ํ•˜๊ณ , IPSec VPN์„ ์ ์šฉํ•˜๊ธฐ ์ „ ํŠธ๋ž˜ํ”ฝ์„ ์ •์˜ํ•˜๊ธฐ ์œ„ํ•ด ์‚ฌ์šฉ๋˜๊ธฐ๋„ ํ•œ๋‹ค.

์ด๋ ‡๊ฒŒ ๋ณด๋ฉด ACL์ด ์—†์œผ๋ฉด ์•ˆ๋  ๊ฒƒ ๊ฐ™๋‹ค. ๊ทธ๋Ÿผ ๊ทธ๋ƒฅ ๋ช…๋ น์–ด๋งŒ ์šฐํ›„์ฃฝ์ˆœ ์‹คํ–‰์‹œํ‚ค๋ฉด ์ ์šฉ์ด ๋ ๊นŒ? ๊ทธ๋ ‡์ง€๋งŒ์€ ์•Š๋‹ค.

์šฐ๋ฆฌ๊ฐ€ ACL์„ ํšจ์œจ์ ์œผ๋กœ ์“ฐ๊ธฐ  ์œ„ํ•œ ์ฃผ์˜์‚ฌํ•ญ

1. ACL ์„ค์ •ํ•  ๋•Œ, ์„œ๋ธŒ๋„ท ๋ฒ”์œ„๊ฐ€ ์ž‘์€ ํ•ญ๋ชฉ๋ถ€ํ„ฐ ์„ค์ •ํ•œ๋‹ค.
2. ACL ๋งˆ์ง€๋ง‰์—๋Š” ํ•ญ์ƒ ‘deny any’๋กœ ์ฒ˜๋ฆฌ๋œ๋‹ค.
3. ACL์€ ๋ถ€๋ถ„์ ์œผ๋กœ ์ถ”๊ฐ€ํ•˜๊ฑฐ๋‚˜ ์‚ญ์ œํ•  ์ˆ˜ ์—†๋‹ค.

์•„๋ž˜์™€ ๊ฐ™์€ ACL ์„ค์ • ๊ตฌ๋ฌธ์ด ์žˆ๋‹ค๊ณ  ๊ฐ€์ •ํ•˜์ž!
(์„ค์ •๊ฐ’์€ ์ด๋”ฐ๊ฐ€ ๋‹ค์‹œ ๋‹ค๋ฃจ๊ธฐ๋กœ..)

– ์ž˜๋ชป๋œ ์„ค์ •

[1๋ฒˆ์งธ ์ƒํ™ฉ] IP ‘10.0.0.1’์„ ๊ฐ€์ง„ ํ˜ธ์ŠคํŠธ๋Š” ์ ‘๊ทผ์ด ๋ ๊นŒ?
๋‹น์—ฐํžˆ ์ ‘๊ทผํ•  ์ˆ˜ ์—†๋‹ค. โ‘ ์„ ๋ณด๋ฉด ‘10.0.0.0/8’์— ํ•ด๋‹นํ•˜๋Š” ๋„คํŠธ์›Œํฌ ๋Œ€์—ญ์€ ‘deny’ ๋˜์–ด ์žˆ์œผ๋‹ˆ๊นŒ ๋ง์ด๋‹ค.

[2๋ฒˆ์งธ ์ƒํ™ฉ] IP ‘10.1.0.1’์„ ๊ฐ€์ง„ ํ˜ธ์ŠคํŠธ๋Š” ์ ‘๊ทผ์ด ๋ ๊นŒ?
์•„์‰ฝ๊ฒŒ๋„ ์ ‘๊ทผํ•  ์ˆ˜ ์—†๋‹ค. ์ด๋ฏธ โ‘ ์—์„œ ‘10.0.0.0/8’์— ์†ํ•˜๋Š” IP๋กœ ๋ถ„๋ฅ˜ํ–ˆ๊ธฐ ๋•Œ๋ฌธ์—ย ์ ‘๊ทผ์„ ๊ฑฐ๋ถ€ํ•œ๋‹ค.

โ‘ก์—์„œ ์„ค์ •ํ•œ ๊ฑด ๋ฌด์šฉ์ง€๋ฌผ์ด๋ผ๊ณ ?
๊ทธ๋ ‡๋‹ค. โ‘ก๊ฐ€ ์ œ๋Œ€๋กœ ๋™์ž‘ํ•˜๊ธธ ์›ํ•œ๋‹ค๋ฉด โ‘ ๊ณผ โ‘ก๋ฅผ ์„œ๋กœ ๋ฐ”๊ฟ”์ฃผ์–ด์•ผ ํ•œ๋‹ค.

์ด๋ ‡๊ฒŒ ๋ง์ด๋‹ค.

– ์˜ฌ๋ฐ”๋ฅธ ์„ค์ •

ACL ์œ ํ˜•

1. Standard ACL
ํ•ญ๋ชฉ๋ฒˆํ˜ธ 1~99, ์•„์ฃผ ๊ธฐ๋ณธ์ ์ธ ACL๋งŒ ๊ตฌ์„ฑํ•  ์ˆ˜ ์žˆ๋‹ค. ์ถœ๋ฐœ์ง€ ํ˜ธ์ŠคํŠธ์™€ ์„œ๋ธŒ๋„ท๋งŒ ์ •์˜ํ•  ์ˆ˜ ์žˆ๋‹ค.

2. Extended ACL
100~199, ์ถœ๋ฐœ์ง€๋Š” ๋ฌผ๋ก  ๋ชฉ์ ์ง€ ์ฃผ์†Œ์™€ ์„œ๋ธŒ๋„ท, ํ”„๋กœํ† ์ฝœ ์œ ํ˜•๊ณผ ํฌํŠธ๋ฒˆํ˜ธ๋ฅผ ์ •์˜ํ•  ์ˆ˜ ์žˆ๋‹ค. ์—ฌ๋Ÿฌ ์˜ต์…˜์„ ์ด์šฉํ•˜์—ฌ QoS, IOS Firewall์„ ์œ„ํ•œ ํŒจํ‚ท ํ•„ํ„ฐ๋ง๋„ ๊ฐ€๋Šฅํ•˜๋‹ค.

3. Ethernet ACL
700~799, ๋ผ์šฐํ„ฐ๋กœ ์ ‘๊ทผํ•˜๋Š” ์ถœ๋ฐœ์ง€ MAC์ฃผ์†Œ๋ฅผ ์ •์˜ํ•  ์ˆ˜ ์žˆ๋‹ค.

4. Extended Ethernet ACL
1100~1199, ์ถœ๋ฐœ์ง€์™€ ๋ชฉ์ ์ง€ MAC์ฃผ์†Œ๋ฅผ ์ •์˜ํ•  ์ˆ˜ ์žˆ๋‹ค.

5. Named ACL
ํ•ญ๋ชฉ๋ฒˆํ˜ธ ๋Œ€์‹  ํ…์ŠคํŠธ๋กœ ๋œ ์ด๋ฆ„์œผ๋กœ ACL ํ•ญ๋ชฉ์„ ์„ค์ •ํ•  ์ˆ˜ ์žˆ๋‹ค.
Named ACL๋กœ ์‚ฌ์šฉํ•  ์ˆ˜ ์žˆ๋Š” ์œ ํ˜•์€ Standard, Extended, Extended Ethernet ์ด๋‹ค. Ethernet ACL์€ Named ACL๋กœ ์‚ฌ์šฉํ•  ์ˆ˜ ์—†๋‹ค.

Router์—์„œ์˜ IN / OUT

ACL์„ ์ ์šฉํ•˜๋ ค๋ฉด, ํŠน์ • ์ธํ„ฐํŽ˜์ด์Šค๋กœ ์ง„์ž…ํ•˜์—ฌ ‘in’์ธ์ง€ ‘out’์ธ์ง€ ์„ค์ •ํ•ด์ฃผ์–ด์•ผ ํ•œ๋‹ค. ์ฒ˜์Œ ์ด ๊ฐœ๋…์„ ์ ‘ํ•  ๋•Œ, ํ—ท๊ฐˆ๋ฆฌ๋Š” ๊ฒฝ์šฐ๊ฐ€ ์ข…์ข… ์žˆ์—ˆ๋‹ค.

๊ฐœ๋…์€ ๊ฐ„๋‹จํ•˜๋‹ค.
์™ธ๋ถ€ โ†’ย Router๋กœ ๋ฐ์ดํ„ฐ๊ฐ€ ๋“ค์–ด์˜ค๋ฉด IN
(์—ฌ๊ธฐ์„œ ์™ธ๋ถ€๋ž€ ๋„คํŠธ์›Œํฌ ์™ธ๋ถ€๋ง ๊ฐœ๋…๊ณผ๋Š” ๋‹ค๋ฅด๋‹ค.)

fa0/0์„ ํ†ตํ•ด ๋ฐ์ดํ„ฐ๊ฐ€ ๋“ค์–ด์˜ค๊ณ  ์žˆ๋‹ค. fa0/0 ์ธํ„ฐํŽ˜์ด์Šค๊ฐ€ ‘IN’ ๋ฐฉํ–ฅ์ธ ๊ฒƒ์ด๋‹ค.


์™ธ๋ถ€ โ† Router๋กœ ๋ฐ์ดํ„ฐ๊ฐ€ ๋‚˜๊ฐ€๋ฉด OUT

Router๊ฐ€ s0/0 ์ธํ„ฐํŽ˜์ด์Šค๋กœ ๋ฐ์ดํ„ฐ๋ฅผ ๋‚ด๋ณด๋‚ด๋ ค๊ณ  ํ•œ๋‹ค. s0/0 ์ธํ„ฐํŽ˜์ด์Šค๋Š” ‘OUT’ ๋ฐฉํ–ฅ์ด๋ผ๊ณ  ํ•  ์ˆ˜ ์žˆ๋‹ค.

[protocol] PPP 5: ํ”„๋ ˆ์ž„

PPP๋Š” HDLC์™€ ๋™์ผํ•œ ํ”„๋ ˆ์ž„ ํฌ๋งท์„ ์‚ฌ์šฉํ•œ๋‹ค. ๊ทธ๋Ÿฌ๋‹ค๋ณด๋‹ˆ ๋ง‰์ƒ PPP์—์„œ๋Š” ํ•„์š”ํ•˜์ง€ ์•Š์€ ํ•„๋“œ๊นŒ์ง€ ํฌํ•จ๋œ๋‹ค. Address ํ•„๋“œ์™€ Control ํ•„๋“œ๋‹ค. PPP์™€ HDLC ํ”„๋ ˆ์ž„์˜ ์ฐจ์ด๋Š” PPP ํ”„๋ ˆ์ž„์—์„œ ์บก์Šํ™”๋œ ๋ฐ์ดํ„ฐ์˜ ํ”„๋กœํ† ์ฝœ์„ ์ง€์ •ํ•˜๊ธฐ ์œ„ํ•œ ์ƒˆ ํ•„๋“œ๋ฅผ ์ถ”๊ฐ€ํ–ˆ๋‹ค๋Š” ๊ฒƒ์ด๋‹ค.

PPP ํ”„๋ ˆ์ž„

์•„๋ž˜์˜ PPP ํ”„๋ ˆ์ž„์„ ๋ณด์ž.
๋ชจ๋“  PPP ํ”„๋ ˆ์ž„์€ ์•„๋ž˜์™€ ๊ฐ™์€ ํฌ๋งท์œผ๋กœ ๊ตฌ์„ฑ๋˜์–ด์žˆ๋‹ค.

–ย Flag (1 Byte) : PPP ํ”„๋ ˆ์ž„์˜ ์‹œ์ž‘ ์ง€์ ์„ ๋‚˜ํƒ€๋‚ธ๋‹ค. ํ•ญ์ƒ ‘01111110’์œผ๋กœ ๊ณ ์ •๋œ๋‹ค.
Address (1 Byte) : HDLC์—์„œ ํ”„๋ ˆ์ž„ ๋ชฉ์ ์ง€ ์ฃผ์†Œ๋ฅผ ์˜๋ฏธํ•œ๋‹ค. ํ•˜์ง€๋งŒ PPP๋Š” ๋‘ ์žฅ๋น„๊ฐ„ ์—ฐ๊ฒฐ์ด๋ฏ€๋กœ ์˜๋ฏธ ์—†๋Š” ํ•„๋“œ๋‹ค. ๊ทธ๋ž˜์„œ ๋ธŒ๋กœ๋“œ์บ์ŠคํŠธ ์ฃผ์†Œ ‘11111111’์˜ ๊ฐ’์œผ๋กœ ๊ณ ์ •๋œ๋‹ค.
Control (1 Byte) : HDLC์—์„œ ์—ฌ๋Ÿฌ ์ œ์–ด ๋ชฉ์ ์— ์‚ฌ์šฉ๋˜๋‚˜, PPP์—์„œ๋Š” ‘00000011’์œผ๋กœ ๊ณ ์ •๋œ๋‹ค.
Protocol (2 Byte) : ํ”„๋ ˆ์ž„ ๋‚ด Information์— ์บก์Šํ™”๋œ ๋ฐ์ดํ„ฐ๊ทธ๋žจ์˜ ํ”„๋กœํ† ์ฝœ์„ ์‹๋ณ„ํ•œ๋‹ค. ์•„๋ž˜์— ์ข€ ๋” ์ž์„ธํžˆ ์‚ดํŽด๋ณด๋„๋ก ํ•˜๊ฒ ๋‹ค.
Information (๊ฐ€๋ณ€) : ๋ฐ์ดํ„ฐ ๋˜๋Š” ์ œ์–ด ์ •๋ณด๋ฅผ ํฌํ•จํ•œ๋‹ค.
Padding (๊ฐ€๋ณ€) : PPP ํ”„๋ ˆ์ž„ ํฌ๊ธฐ๋ฅผ ๋งž์ถ”๊ธฐ ์œ„ํ•ด ๋”๋ฏธ ๋ฐ”์ดํŠธ๋ฅผ ์ถ”๊ฐ€ํ•  ์ˆ˜ ์žˆ๋‹ค.
FCS (2 or 4 Byte) : ์ „์†ก ์ค‘ ์—๋Ÿฌ๋กœ๋ถ€ํ„ฐ ํ”„๋ ˆ์ž„์„ ๋ณดํ˜ธํ•˜๊ธฐ ์œ„ํ•œ ๋ฐฉ๋ฒ•์ด๋‹ค. CRC checksum๊ณผ ๋น„์Šทํ•˜๋‹ค.
Flag (1 Byte) : PPP ํ”„๋ ˆ์ž„์˜ ๋ ์ง€์ ์„ ๋‚˜ํƒ€๋‚ธ๋‹ค. ํ•ญ์ƒ ‘01111110’์œผ๋กœ ๊ณ ์ •๋œ๋‹ค.

PPP Protocol ํ•„๋“œ ๊ฐ’

PPP ํ”„๋ ˆ์ž„์—์„œ Protocol ํ•„๋“œ๋Š” Information ํ•„๋“œ์— ์บก์Šํ™”๋œ ๋ฐ์ดํ„ฐ๊ทธ๋žจ์˜ ํ”„๋กœํ† ์ฝœ์„ ์‹๋ณ„ํ•œ๋‹ค๊ณ  ํ–ˆ๋‹ค.

์˜ˆ๋ฅผ ๋“ค์–ด, Information ํ•„๋“œ์— ๋ฐ์ดํ„ฐ๊ฐ€ ๋“ค์–ด์žˆ๋‹ค๋ฉด, ์ด Protocolย ํ•„๋“œ๋Š” ๋„คํŠธ์›Œํฌ ๊ณ„์ธต ๋ฐ์ดํ„ฐ๊ทธ๋žจ ๋ฒ”์œ„ ๋‚ด ๊ฐ’์„ ๊ฐ€๋ฆฌํ‚ฌ ๊ฒƒ์ด๋‹ค.
์ œ์–ด ์ •๋ณด๊ฐ€ ๋“ค์–ด์žˆ๋‹ค๋ฉดย  PPP ํ”„๋กœํ† ์ฝœ๊ณผ ๊ด€๋ จ๋œ ๊ฐ’์„ ๊ฐ€๋ฆฌํ‚จ๋‹ค.
์••์ถ•์ด๋‚˜ ์•”ํ˜ธํ™” ๊ฐ™์ด ๋ฐ์ดํ„ฐ๋ฅผ ์ˆ˜์ •ํ•œ ํ”„๋กœํ† ์ฝœ์ธ ๊ฒฝ์šฐ ๋ฐ์ดํ„ฐ๊ฐ€ ์••์ถ•๋๋Š”์ง€ ์•”ํ˜ธํ™”๋๋Š”์ง€ ๋‚˜ํƒ€๋‚ด๋Š” ๊ฐ’์„ ํฌํ•จํ•œ๋‹ค.

PPP ํ‘œ์ค€์€ ์ฒซ Protocol 1 Byte๋Š” ์ง์ˆ˜, ๋‘๋ฒˆ์งธ Protocol 1 Byte๋Š” ํ™€์ˆ˜์—ฌ์•ผ ํ•œ๋‹ค.

์ด๋Ÿฌํ•œ Protocol ํ•„๋“œ ๊ฐ’์€ IANA์—์„œ ๊ด€๋ฆฌํ•˜๋ฉฐ, ์•„๋ž˜ ์‚ฌ์ง„์„ ์ฐธ๊ณ ํ•˜์ž. ์ด ๋ฐ–์˜ ์ž์„ธํ•œ ํ”„๋กœํ† ์ฝœ ํ•„๋“œ ๊ฐ’์€ IANA ์ฐธ๊ณ .

์ถœ์ €: TCP/IP Guide P185. Common Protocols Carried in PPP Frames and Protocol Field Values
PPP ํ•„๋“œ ์••์ถ•

Address and Control Field Compression
์•ž์„œ Address ํ•„๋“œ์™€ Control ํ•„๋“œ๋Š” PPP์—์„œ ํ•„์š” ์—†๋Š” ํ•„๋“œ๋ผ๊ณ  ํ–ˆ๋‹ค. ๋”ฐ์ง€๊ณ  ๋ณด๋ฉด, 2 Byte๋ฅผ ๊ณ„์† ๋‚ญ๋น„ํ•˜๋Š” ๊ผด์ด ๋˜๋Š”๊ฑด๋ฐ..ย ๋‹คํ–‰ํžˆย ์ด๋Ÿฌํ•œ ๋‚ญ๋น„๋ฅผ ๋ง‰์„ ์ˆ˜ ์žˆ๋‹ค. LCP๋ฅผ ํ†ตํ•ด ์ดˆ๊ธฐ ๋งํฌ ์ˆ˜๋ฆฝํ•˜๋Š” ๋‹จ๊ณ„์—์„œ ACFC ๊ธฐ๋Šฅ์„ ์‚ฌ์šฉํ•˜๋Š” ๊ฒƒ์ด๋‹ค. (์‚ฌ์‹ค ์••์ถ•์ด ์•„๋‹ˆ๊ณ  ํ•„๋“œ ์ž์ฒด๋ฅผ ๋ฒ„๋ฆฌ๋Š”๊ฑฐ๋‹ค.)
Flag ๊ฐ’์ธ 0x7E(2์ง„์ˆ˜ 01111110) ๋‹ค์Œ์— 0xFF03(2์ง„์ˆ˜ 11111111 00000011)๊ฐ€ ์•„๋‹ˆ๋ผ๋ฉด Address ํ•„๋“œ์™€ Control ํ•„๋“œ๊ฐ€ ์••์ถ•๋๋‹ค๊ณ  ๋ณด๋ฉด ๋œ๋‹ค.

Protocol Field Compression
Protocol ํ•„๋“œ์˜ ์ฒซ 1 Byte ๊ฐ€ 0์ผ ๊ฒฝ์šฐ ์ฒซ 1 Byte๋Š” ๋ณด๋‚ด์ง€ ์•Š๋Š”๋‹ค. ๊ทธ๋ž˜์„œ ์ฒซ 1 Byte๋Š” ์ง์ˆ˜, ๋‘๋ฒˆ์งธ 1 Byte๋Š” ํ™€์ˆ˜๊ฐ€ ๋“ค์–ด๊ฐ€์•ผ ๋œ๋‹ค๊ณ  ํ•œ ๊ฒƒ์ด๋‹ค.
ํ”„๋กœํ† ์ฝœ ํ•„๋“œ ์ฒ˜์Œ ์‹œ์ž‘ 1 Byte๊ฐ€ ํ™€์ˆ˜๋ฉด ์ฒซ๋ฒˆ์งธ 1 Byte๊ฐ€ ์••์ถ•๋๋‹ค๊ณ  ์ธ์‹ํ•˜๊ธฐ ๋•Œ๋ฌธ์ด๋‹ค.

AAA

Authentication Authorization Accounting

๊ณ ๋Œ€๋กœ ๋ฒˆ์—ญํ•˜๋ฉด “์ธ์ฆ, ์ธ๊ฐ€, ๊ณ„์ •๊ด€๋ฆฌ”๊ฐ€ ๋˜๊ฒ ๋‹ค.
(Accounting์„ TTA์ •๋ณดํ†ต์‹ ์šฉ์–ด์‚ฌ์ „์—์„œ ‘๊ณผ๊ธˆ’์ด๋ผ๊ณ  ํ‘œํ˜„ํ–ˆ์ง€๋งŒ, ์ข€ ๋” ํฌ๊ด„์ ์ธ ์˜๋ฏธ๊ฐ€ ์–ด์šธ๋ฆฐ๋‹ค๊ณ  ์ƒ๊ฐ์ด ๋“ค์–ด ‘๊ณ„์ •๊ด€๋ฆฌ’๋ผ๊ณ  ํ–ˆ๋‹ค. ์ด ๋ฐ–์— ‘ํšŒ๊ณ„’, ‘๊ฐ์‹œ’๋ผ๋Š” ์˜๋ฏธ๋กœ ๋ฒˆ์—ญํ•˜๋Š” ๋ถ„๋“ค๋„ ์žˆ์œผ๋‹ˆ ์ฐธ๊ณ .)

์ธ์ฆ๋œ ์‚ฌ์šฉ์ž(Authentication)๊ฐ€ ์ธ๊ฐ€๋œ ๊ถŒํ•œ(Authorization)์„ ํ†ตํ•ด ํ™œ๋™์„ ํ•˜๊ณ , ๊ทธ ํ–‰์œ„๋ฅผ ๊ธฐ๋ก(Accounting)ํ•˜๋Š” ๊ฒƒ์ด๋‹ค.

์ด ๊ฐœ๋…์„ ๊ทธ๋Œ€๋กœ ๋„คํŠธ์›Œํฌ ์žฅ๋น„์— ๊ฐ€์ ธ์˜ค๋ฉด ์ธ์ฆ๋œ ์‚ฌ์šฉ์ž๋งŒ์ด ์ธ๊ฐ€๋œ ๊ถŒํ•œ์„ ํ†ตํ•ด ๋ช…๋ น์–ด๋ฅผ ์ˆ˜ํ–‰ํ•  ์ˆ˜ ์žˆ๊ณ , ์ด ํ–‰์œ„๋ฅผ ์–ด๋”˜๊ฐ€์— ๊ธฐ๋กํ•˜๋Š” ๊ฒƒ์ด๋‹ค.

๊ธฐ์กด Console๊ณผ VTY์—์„œ ์„ค์ •๋œ Password๊ฐ€ ์žˆ๋Š” ์ƒํƒœ์—์„œ AAA๋ฅผ ํ™œ์„ฑํ™”ํ•œ๋‹ค๋ฉด ๋ชจ๋“  ์ ‘์† ์ธ์ฆ์€ AAA๋ฅผ ์‚ฌ์šฉํ•œ๋‹ค.

๋ช…๋ น์–ด

AAA ๋ช…๋ น์–ด๋ฅผ ์ˆ˜ํ–‰ํ•˜๊ธฐ ์ „ ํ•„ํžˆ ์•„๋ž˜ ๋ช…๋ น์–ด๋กœ ํ™œ์„ฑํ™”์‹œ์ผœ์•ผ ํ•œ๋‹ค.

Router(Config)# aaa new-model
Authentication ๋ช…๋ น์–ด

๋กœ๊ทธ์ธ ์ธ์ฆ ๋ถ€๋ถ„๋งŒ ์‚ดํŽด๋ณด์ž.

## 1. ์ธ์ฆ ๋ฏธ์‚ฌ์šฉ
Router(Config)# aaa authentication login default none

## 2. enable secret ์ธ์ฆ
Router(Config)# aaa authentication login default enable

## 3. ์ฝ˜์†”/VTY์˜ ๊ฐœ๋ณ„ ๋น„๋ฐ€๋ฒˆํ˜ธ๋กœ ์ธ์ฆ
Router(Config)# aaa authentication login default line

## 4. username/password๋กœ ์ธ์ฆ
Router(Config)# aaa authentication login default local

## 5. Radius ์ธ์ฆ
Router(Config)# aaa authentication login default group radius

## 6. Tacacs+ ์ธ์ฆ
Router(Config)# aaa authentication login default group tacacs+ local

Authorization ๋ช…๋ น์–ด
1. ์ธ์ฆ๋œ ์‚ฌ์šฉ์ž์—๊ฒŒ EXEC ๋ชจ๋“œ๋กœ ๋ฐ”๋กœ ์ ‘๊ทผ
Router(Config)# aaa authorization exec default

2. Privilege ๋ ˆ๋ฒจ์— ๋”ฐ๋ผ ๋ช…๋ น์–ด ๊ถŒํ•œ ์ œ์–ด
Router(Config)# aaa authorization commands {0-15} default group radius local
Router(Config)# privilege exec level {0-15} conf t
Router(Config)# privilege configure level {0-15} interface

3. ๋„คํŠธ์›Œํฌ ์„œ๋น„์Šค ์š”์ฒญ ๊ถŒํ•œ ์„ค์ •
Router(Config)# aaa authorization network default group radius local

4. ์ฝ˜์†” ์ ‘์† ์‹œ ์ธ์ฆ๋œ ์‚ฌ์šฉ์ž์—๊ฒŒ Privileged mode๋กœ ์ ‘๊ทผ
Router(Config)# aaa authorization console

Accounting ๋ช…๋ น์–ด
Router(Config)# aaa accounting {options}

options์—๋Š” ์•„๋ž˜์™€ ๊ฐ™์€ ๊ฐ’์„ ๋„ฃ์„ ์ˆ˜ ์žˆ๋‹ค.

exec: Privilege mode์—์„œ ์ˆ˜ํ–‰ํ•˜๋Š” ํ–‰์œ„์— ๋Œ€ํ•œ ๊ธฐ๋ก
command: ์ง€์ •๋œ privilege level์—์„œ ๋ชจ๋“  ๋ช…๋ น์–ด ํ–‰์œ„์— ๋Œ€ํ•œ ๊ธฐ๋ก
connection: ๋ชจ๋“  ์•„์›ƒ๋ฐ”์šด๋“œ ์—ฐ๊ฒฐ์— ๊ด€ํ•œ ์ •๋ณด ๊ธฐ๋ก
system: ์‹œ์Šคํ…œ์˜ ๋ชจ๋“  ์ด๋ฒคํŠธ์— ๋Œ€ํ•œ ๊ธฐ๋ก
start-stop: ํ”„๋กœ์„ธ์„œ๊ฐ€ ์‹œ์ž‘ํ•  ๋•Œ ‘start’, ์ข…๋ฃŒํ•  ๋•Œ ‘stop’ ๊ธฐ๋ก
stop-only: ํ”„๋กœ์„ธ์„œ์˜ ๋งˆ์ง€๋ง‰์— ‘stop’ ๊ธฐ๋ก

CISCO Commands Mode & privilege level

AAA๋ฅผ ๋‹ค์‹œ ๋ณต์Šตํ•˜๋‹ค๊ฐ€ ๋ช…๋ น์–ด ๋ชจ๋“œ์™€ ํ”„๋ฆฌ๋นŒ๋ฆฌ์ง€ ๋ ˆ๋ฒจ์ด ํ—ท๊ฐˆ๋ ค ์•Œ์•„๋ณด์•˜๋‹ค. ๋ญฃ ๋ชจ๋ฅด๊ณ  ๋ช…๋ น์–ด๋งŒ ์™ธ์šธ ๋•Œ, privileged mode์™€ privilege level์ด ํ—ท๊ฐˆ๋ ธ๋Š”๋ฐ ๊ผญ ํ—ท๊ฐˆ๋ฆฌ์ง€ ๋ง์ž.

๋ช…๋ น์–ด ๋ชจ๋“œ ๊ณ„์ธต ๊ตฌ์กฐ

User EXEC mode โ†’ Privileged EXEC mode โ†’ Global mode

์ถœ์ฒ˜: Cisco IOS Command Hierarchy, https://www.cisco.com/E-Learning/bulk/public/tac/cim/cib/using_cisco_ios_software/02_cisco_ios_hierarchy.htm

๋ช…๋ น์–ด๋ฅผ ์ข€ ์ณ๋ณธ ์‚ฌ๋žŒ๋“ค์€ ๋…ธ๋ž€ ๋ฐ•์Šค๋ฅผ ๋ณด๋ฉด ์•„~ ํ• ๊ฑฐ๋‹ค.

์ถœ์ฒ˜: Cisco IOS Command Hierarchy

์ด ์‚ฌ์ง„์ด ์ข€ ๋” ์™€๋‹ฟ๋Š”๋‹ค.

ํŠน๊ถŒ ๋ ˆ๋ฒจ

ํŠน๊ถŒ ๋ ˆ๋ฒจ(Privilege level)์„ ํ†ตํ•ด ์‚ฌ์šฉ์ž ๋ณ„๋กœ ๊ถŒํ•œ์„ ์ง€์ •ํ•˜์—ฌ ์‚ฌ์šฉ๊ฐ€๋Šฅํ•œ ๋ช…๋ น์–ด ๋ฒ”์œ„๋ฅผ ์ œํ•œํ•˜๋Š” ๊ฒƒ์ด๋‹ค. ์ฐธ๊ณ ๋กœ User EXEC mode๋Š” Privilege level 1, Privilege EXEC mode๋Š” Privilege level 15์ด๋‹ค.
Privilege level 0 ~ 15๊นŒ์ง€ ์žˆ์œผ๋ฉฐ 0,1,15๋Š” ์‚ฌ์ „์ •์˜๋œ ๋ ˆ๋ฒจ์ด๋‹ค.

Privilege level 0
5๊ฐ€์ง€ ๋ช…๋ น์–ด(disable, enable, exit, logout, help)๋งŒ ์‚ฌ์šฉํ•  ์ˆ˜ ์žˆ๋‹ค.
Privilege level 1
์„ค์ •์ด๋‚˜ ์ค‘์š”ํ•œ ๋‚ด์šฉ์€ ์ œ์™ธํ•˜๊ณ , ๊ธฐ๋ณธ์ ์ธ ์žฅ๋น„ ๋™์ž‘์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค.
Privilege level 15
๋ชจ๋“  ๋ช…๋ น์–ด๋ฅผ ์‚ฌ์šฉํ•  ์ˆ˜ ์žˆ๋‹ค. ์ตœ์ƒ์œ„ ๊ถŒํ•œ์ธ ์…ˆ์ด๋‹ค.

๋‚˜๋จธ์ง€ level 2~14๋Š” ์ง์ ‘ ์ •์˜ํ•˜์—ฌ ์‚ฌ์šฉํ•  ์ˆ˜ ์žˆ๋‹ค.