정보보안 스터디 - 4주차 7일 - Etherchannel, pvst를 이용한 네트워크 구성

 

저번시간에는 그냥 쉽게 연결 했다면

이번에는 조금 복잡하게

port-channel(ether channel) + pvst을 이용한 작업을 할겁니다.

그만큼 더 링크가 늘어나고 스타폴로지 형식입니다.

 

 

 

 

1. 네트워크 구성 계획

DHCP+ FTP 10.1.13.200

Web+DNS서버 10.1.14.200

Email서버 10.1.15.200

DMZ_Web 10.1.16.200

등 전체적인 IP 설정 및 구성 계획

 

 

2. 기본설정

모든 스위치, GW1
conf t
hostname 이름
no cdp run
no ip domain-lookup

line con 0
logg syn
exec-timeout 0 0

line vty 0 4
password ciscovty
login
transport input all

모든 스위치
+) no ip routing

VPC IP, 게이트웨이,DNS 설정
VPC1
ip 10.1.11.1 255.255.255.0 10.1.11.254
ip dns 10.1.14.200
VPC2
ip 10.1.12.1 255.255.255.0 10.1.12.254
ip dns 10.1.14.200
..
VPC4

 

3. 관리자ip,게이트웨이

모든 스위치
int vlan 1
no sh
ip address 192.168.100.x 255.255.255.0
ip default-gateway 192.168.100.254

 

4. trunk 연결 설정+rstp+portfast

Core1
spanning-tree mode rapid-pvst

int e0/0
no sh
spanning-tree portfast trunk

int range e1/0-1,e3/0-1
switchport trunk encapsulation dot1q
switchport mode trunk

DSW11
spanning-tree mode rapid-pvst

int range e1/0-1,e2/0-1
switchport trunk encapsulation dot1q
switchport mode trunk
int range e0/0-3,e1/2
switchport trunk encapsulation dot1q
switchport mode trunk

DSW12
spanning-tree mode rapid-pvst

int range e2/0-1,e3/0-1
switchport trunk encapsulation dot1q
switchport mode trunk
int range e0/0-3,e1/2
switchport trunk encapsulation dot1q
switchport mode trunk

ASW101~106
spanning-tree mode rapid-pvst

int range e1/1-2,e0/1-2
switchport trunk encapsulation dot1q
switchport mode trunk

int range e0/1-2
spanning-tree fastport

 

5. port-channel

Core1
int range e1/0-1
channel-group 1 mode active
int range e3/0-1
channel-group 3 mode active
DSW11
int range e1/0-1
channel-group 1 mode active
int range e2/0-1
channel-group 2 mode active
DSW12
int range e2/0-1
channel-group 2 mode active
int range e3/0-1
channel-group 3 mode active

show etherchannel summary

show int port-channel 1

로 근처 port-channel이 연결되었고, 내부 포트들도 Up됐는지 확인합니다.

 

6. vlan 설정

모든 스위치
vlan 11
name VLAN_user1
vlan 12
name VLAN_user2
vlan 13
name DHCP+FTP
vlan 14
name DNS
vlan 15
name EMAIL
vlan 16
name DMZ_Web

 

7. access 설정

ASW101
int range e0/1-2
switchport mode access
switchport access vlan 11
ASW102
int range e0/1-2
switchport mode access
switchport access vlan 12
ASW103
int range e0/1-2
switchport mode access
switchport access vlan 13
ASW104
int range e0/1-2
switchport mode access
switchport access vlan 14
ASW105
int e0/1
switchport mode access
switchport access vlan 15
int e0/2
switchport mode access
switchport access vlan 16

 

8. inter-vlan 인터페이스 설정

GW1
int e0/0
no sh

int e0/0.1
encapsulation dot1q 1
ip address 192.168.100.254 255.255.255.0

int e0/0.11~16
encapsulation dot1q 11
ip address 10.1.11.254 255.255.255.0

 

 

9. pvst설정

pvst 즉 vlan별로 누가 루트브릿지인지, 어느포트가 블락킹될지 정해서

장애가 생겼을 때 어디로 데이터를 전송할지 수동설정할 수 있는 기능입니다.

우선순위를 변경해서 루트 브릿지를 설정하면됩니다.

vlan 13~15은 Core1 > DSW12 > ASW103,104,105 루트로 전송하려고 합니다.

기본설정으로는 ASW104 e1/2가 블락킹으로 막혀있습니다.

 

ASW104가 데이터를 받을 때는 더 우선순위가 낮은, 좋은 스위치에게 받기 때문에

DSW12의 우선순위를 낮게 해줘야합니다.

DSW12>DSW11>ASW104 순으로 우선순위를 설정해줍니다.

 

DSW12
spanning-tree vlan 13,14,15 priority 4096
DSW11
spanning-tree vlan 13,14,15 priority 8192
ASW104
spanning-tree vlan 13,14,15 priority 12288

show spanning-tree vlan 13으로 보면

이제 데이터가 e1/1이 블락킹되었기 때문에

Core1 > DSW12 > ASW103,104,105의 e1/2로 전송됩니다.

 

 

내부 네트워크 테스트

각 시스템에서 게이트웨이에 ping 테스트를 합니다.

각 pc끼리 ping테스트 합니다.

 

 

10. 인터넷연결

정적 루트 설정
GW1
ip route 0.0.0.0 0.0.0.0 192.168.2.254

int e0/1
ip address 192.168.2.251 255.255.255.0
no sh

 

외부 kt ping테스트

 

 

11. NAT설정

 

내부 또는 외부에서 나가고/들어오고

아무나 접속하는 것을 방지하기 위해서

NAT(네트워크 변환)이 필요합니다.

GW1
access-list 10 permit 10.1.0.0 0.0.255.255
access-list 10 permit 192.168.100.0 0.0.0.255

ip nat inside source list 10 interface e0/1 overload

int e0/1
ip nat outside
int e0/0.1
ip nat inside
int e0/0.11~16
ip nat inside 

내부 IP가 들어오면 외부로 보내줍니다. 

 

9. DMZ웹서버

ip nat inside source static tcp 10.1.16.200 80 192.168.2.251 80
ip nat inside source static tcp 10.1.16.200 443 192.168.2.251 443

이제 외부에서 198.168로 접속을 하게되면 사설네트워크로 변환되어 접속이 가능하게 됩니다.

 

10. DHCP서버

vlan 11에서 vlan 13의 dhcp서버 10.1.13.200에 dhcp요청을 보내 ip를 받아오려면

dhcp 응답을 받아야합니다. 

dchp relay agent 구성

GW1
int e0/1
ip helper-address 10.1.13.200
int e0/0.11
ip helper-address 10.1.13.200

 

11. FTP서버

ftp 10.1.13.200 접속

 

12. 웹서버(인트라넷)

user1에서 http://10.1.14.200 접속

 

 

12. DNS서버

nslookup www/ftp/mail.megait123.com 확인

 

13. mail서버

pop3/iss 메일 설정

 

 

이렇게만 외워두고 써먹더라도 네트워크 2~3년차 실무자와 맞먹는 능력이라고 합니다.

기초를 확실히 쌓기위해 화이팅