#1(네트워크 보안)

• OSI 7 Layer

 

• Physical Layer: 물리적으로 만져지는 대부분의 물체 (utp 케이블, 허브, 리피트) / 전송 매체의 물리적 인터페이스 사항 bit 컴퓨터는 2진수이므로, 아날로그 신호를 인코딩 디코딩 해서 통신을 해야할 필요가 있음.

https://velog.io/@jeongs/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-OSI-7-%EA%B3%84%EC%B8%B5-%EA%B7%B8%EB%A6%BC%EA%B3%BC-%ED%95%A8%EA%BB%98-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0

• Data Link Layer: 물리적 전송 오류 해결(전송 기능, 흐름 제어) (스위치, 브릿지) frame 단위
• Network Layer: 라우팅 문제 해결 (최적 경로 설정, 혼잡 제어) (라우터) packet 단위 [IP, ICMP, IGMP]
• Transport Layer: End to End 통신 segment 단위 [TCP, UDP]
• Session Layer: 통신 연결 관리 (토큰 제어, 동기화)
• Presentation Layer: 데이터의 의미와 표현 방법(암호화, 압축) 확장자나 포맷에 관한 것
• Application Layer: 사용자 인터페이스 제공 (사용자층의 인터넷 서비스 지원) [FTP, TELNET, SMTP, HTTP, SNMP]

 

IP 주소 체계

 

Network Class	Start Octets	Address Range	Private Address	특수 용도
A	1~126	1.0.0.0~126.255.255.254	10.0.0.0/8
B	128~191	128.0.0.1~191.255.255.254	172.16.0.0/12	169.254.0.0  -링크 로컬
C	192~223	192.0.0.1~223.255.255.254	192.168.0.0/16
D	224~239	224.0.01~239.255.255.254	Multicasting
E	240~255	240.0.0.1~255.255.255.254	실험용

 

Private Address 즉 사설 ip대역은 개인이 자유롭게 사용하기 때문에, 다른 지역의 각각의 개인들이 같은 ip를 가질 수 있기 때문에, 외부에는 노출되면 안되고 Network Address Translation으로 변환 후 나가야함.

 

• link local address (링크 로컬 주소) 란?
• 브로드 캐스트 도메인 내의 통신에 대해서만 유효한 네트워크 주소
• 169.254.1.0 ~ 169.254.254.255 의 범위로 특별히 예약되어 있는 네트워크 주소 (IPv4)

• 사용 이유
• 장치가 DHCP 서버를 찾지 못하여 IP 를 할당 받지 못하거나 static IP 로의 설정 또한 지정되어 있지 않을 경우, 
  자동적으로 자신의 IP 를 할당하기 위하여 사용함.
• 추후 장치에 대한 검색이나 IP 변경을 원격으로 진행할 수 있도록 링크 로컬 주소가 사용됨.
  
  

• 사용 방법  
• 장치에 자동 IP 할당 방법으로 zero conf 를 사용
• zero conf 란?
• DHCP 가 존재하지 않을 경우, 자동으로 link local 범위에서 ip 를 할당
• 선택한 주소의 유효성을 확인하기 위해 ARP 를 이용

출처: https://sjlim5092.tistory.com/38 [My Own Sty le:티스토리]

 

L2 장비 스위치

MAC주소로 내부에서 통신 스위치의 mac table에 정보가 없으면  mac flooding으로 출발지를 제외한 나머지 포트에 전달 후 해당하는 mac address를 가진 장비의 mac주소를 switch의 mac table에 저장함.

 

기본 서브넷 마스크에서 네트워크 영역을 늘리기 위해서 사용자가 직접 만드는 형식을 서브네팅이라고 한다.

물리적으로 스위치에 연결되어있는 매체도 네트워크 영역이 다르다면 통신이 되지 않음.

 

예를들어 학교의 교무실과 정보실의 네트워크가 같은 영역을 가지고 있다면 교무실의 pc에 정보실의 pc로 접근 가능할 수도 있다.

그래서 서브네팅으로 교무실과 정보실의 네트워크 영역을 분할하여 보안성을 보장해줄 수 있고, ip주소의 부족도 어느정도 해결할 수 있다.

 

3L수준에서 분할하려면 서브네팅 2L수준에서 분할하면 VLAN을 사용함.

 

 

cisco 장비 명령어

enable -> privilege모드 [en]

configure terminal -> global configure mode(GCM) [장치 전체에 영향] [conf t]

interface fa0/0 -> 장비의 인터페이스(fa0/0 다를 수 있음)의 내용만 조작하기 위한 명령어 sub global configure mode [int fa0/0]

 

show running-config [show run]

 

시작 명령어는 ram에 저장되서 휘발성이 있으므로 non-volatile ram인 nvram에 저장해야함

write memory [wr]이 대부분 되나, 안되면 따로 copy해줘야함

ex) copy ruuning-config startup-config [copy r s]

 

DTE - Data Terminal Equipment 데이터 단말기 (단말기, 라우터)

DCE - Data Circuit Equipment - 선 모뎀(클럭발생)

라우터 연결시  DCE로 연결