시스코 네트워크 보안 - 13 : HSRP, 라우팅 프로토콜

엑셀 정리하는거 진짜 극도로 지겹다.... 그래서 진짜 할거 없을 때 정리하려고 했던 9/30, 10/1에 공부했던 내용을 지금 정리한다.

 

HSRP(Hot Standby Routing Protocol) 

 - 시스코 장비에만 사용되는 기능

 - 라우터가 고장나는 것에 대비해서 라우터 한대를 더 구성에 포함한 후 메인 라우터가 고장나면 자동으로 두번째 라우터가 메인 라우터의 역할을 대신하는 기능

 

예를 들어, PC는 인터넷을 사용하기 위해 디폴트 게이트웨이(Default Gateway)를 세팅한다. PC들에게 라우터가 디폴트 게이트웨이로 설정돼있고, 라우터B도 정상적으로 작동하고 있을 때, A가 shutdown 됐다고 해서 바로 B를 통해 인터넷으로 갈 수 없음.

 

>> 이러한 디폴트 게이트웨이 문제까지 HSRP가 해결

 

작동방식

 

 HSRP는 실제 존재하지 않는 가상의 라우터 IP주소를 디폴트 게이트웨이로 설정하게 한 다음, 그 주소에 대해서 Active 라우터와 Standby 라우터의 역할을 두어 처음에는 Active 라우터가 그 주소의 역할을 대신하다가 Active라우터에 문제가 발생하면 자동으로 Standby 라우터가 Active 라우터의 역할을 수행할 수 있게 함.

 

+) 라우터 자체의 다운 뿐만 아니라 라우터 시리얼 인터페이스에 문제가 생겨도 액티브 라우터에서 스탠바이 라우터로 역할 교대 이를 Tracking이라고 함.

Tracking : 라우터의 시리얼에 문제가 생겼을 때도 액티브 라우터를 교체해야 하는데, 이것이 트래킹이다.

 

HSRP에서 Priority가 높은 라우터가 액티브 라우터가 되며, 디폴트 Priority 값은 100.

 

 

IP주소의 변환 NAT(Network Address Translation)

한쪽 네트워크의 IP주소가 다른 네트워크로 넘어갈 때 변환이 되어서 넘어감.

 

사용되는 이유

1) *가장 주된 이유) 내부 네트워크에는 비공인 IP를 사용하고, 외부 네트워크에 나가는 경우에만 공인 IP주소를 사용하고자 하는 경우

2) 기존에 사용하던 ISP에서 새로운 ISP로 바꾸면서 내부 전체의 IP를 바꾸지 않고 기존 IP주소를 그대로 사용하고자 하는 경우

3) 2개의 인트라넷을 서로 합하려다보니 두 네트워크의 IP가 서로 겹치는 경우

4) TCP 로드분배가 필요한 경우

 

  +) 비공인 IP주소: Inside Local 주소 / 외부로 나갈때 변환되는 IP주소: Inside Global 주소

 

 

 

WAN(Wide Area Network)

직접 네트워크 케이블을 깔아서 통신을 연결할 수 없을 때 사용하는 네트워킹 방식

ex. 넓은 지역의 네트워킹에서 중간에 통신회사를 통해 네트워킹을 구축하는 것이 가장 일반적인 WAN의 구성.

 

사용하는 목적, 사용료, 거리, 방법 등에 따라 다양한 종류가 있음.

 

크게 3가지 방식

 

1. 전용선 방식(Leased Line)

 전화국과 같은 통신사업자에게 통신회선을 임대 받아서 쓰는 방식 하지만 비용이 많이 듦.

 

2. 회선 스위칭 방식(Circuit Switched)

 내가 통신을 하는 순간에만 나에게 필요한 회선을 열어주고 끝나면 회수하는 방식. 가장 일반적인 예가 전화.

 

3. 패킷 스위칭 방식(Packet Switched) 

 패킷 하나하나가 나뉘어서 통신 회선을 타고 목적지까지 전달되는 방식. Virtual Circuit 같은 개념 출현.

 ex. 프레임 릴레이, ATM, X25

 

 

HDLC (High-level Data Link Control)

HDLC는 표준 프로토콜이다. 하지만 시스코에서 사용하는 HDLC는 표준 프로토콜이 아니다. (시리얼 라인에서 주로 사용)

 

PPP(Point to Point) 프로토콜

WAN에서 가장 일반적인, 가장 괜찮은 인캡슐레이션 방식.

강력한 보안 기능과 여러가지 네트워크 계층 프로토콜을 한꺼번에 지원하는 장점을 가진 표준 프로토콜.

 - NCP (Network Control Protocol) : IP, IPX, AppleTalk등 멀티 프로토콜 지원

 - LCP (Link Control Protocol) : 링크 접속에서의 보안, 에러체크, 압축기능 등 다양한 접속 옵션 제공.

   특히 보안기능을 제공함으로써 안전한 PPP 통신을 책임진다.

   보안 인증 과정 1단계) 데이터 링크 계층 세션 구축  ->  2단계) 보안인증 단계  ->  3단계)  네트워크 계층 세션 구축

 

PPP의 대표적인 보안 인증 방법

1. PAP(PPP Authentication Protocol / Password Authentication Protocol)

- 라우터가 갖고 있는 username/password와의 일치 여부를 확인하여 인증.

- 2-way handshake (인증을 위해 2번의 통신)

- Host 이름과 암호가 암호화 되지 않고 그대로 네트워크를 타고 이동하기 때문에 중간에서 해킹 노출될 수 있음

    => Host 이름과 암호가 Clear Text로 이동한다.

 

2. CHAP(Challenge Handshake Authentic Protocol)

- 접속 요청을 받은 라우터는 접속 요청을 한 라우터에게 챌린지 값을 보내고 그 값을 받은 라우터는 챌린지 값으로 자신의 패스워드를 해싱하여 그것을 다시 보냄

- 3-way hanshake