정보보안 스터디 - 5주차 5일 - 병원 가상 네트워크 구성

 

 

네트워크에서 스위치는 보통

ASW(엑세스 스위치)/ DSW(분배 스위치) / core(코어 스위치)

3계층으로 구성됩니다.

 

Etherchannel으로 네모로 링크를 연결하는 이유는 

장애가 온다고 하더라도 다른 링크로 대비할 수 있기 때문입니다.

 

 

 

기본설정

 

1. 기본설정

모든 장비
conf t
hostname 이름
enable secret cisco
no ip domain-lookup
no cdp run

line con 0
logg syn
exec-timeout 0 0

line vty 0 4
logg syn
exec-timeout 0 0
password ciscovty
login
transport input all
end
wr

ip routing 해제
모든스위치 
no ip routing
wr

 

2. VPC IP 수동 설정

VPC1~4
ip 172.16.11.1 255.255.255.0 172.16.11.254
ip dns 172.16.14.100

save

 

 

내부 연결

 

 

 

3. 트렁크,RSTP 연결

core1
int range e0/1-2
switchport trunk encapsulation dot1q
switchport mode trunk
하면서 이더채널 설정
channel-group 1 mode active
int range e2/0-1
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 2 mode active

DSW11
int range e0/1-2
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode active
int range e2/0-1
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 2 mode active
int range e1/0-3
switchport trunk encapsulation dot1q
switchport mode trunk

ASW101
int range e1/0-1
switchport trunk encapsulation dot1q
switchport mode trunk

 

 

 

4. 관리용IP 설정

모든 스위치
core1
int vlan 1
no sh
ip address 172.16.100.1 255.255.255.0
ip default-gateway 172.16.100.254

스위치끼리 ping 테스트

 

5. vtp> vlan 

 

vtp는 스위치간에만 설정됩니다.

core1
vtp domain cisco
모든 스위치
vtp password cisco

vlan 11
name VLAN_A
..
vlan 14
name VLAN_DNS
..

 

6. access하면서 portfast

core1
int e0/0
switchport trunk맞나?
spanning-tree portfast trunk

ASW101
int range e0/0-1
switchport mode access
switchport access vlan 11
spanning-tree portfast 

 

7. inter-vlan 게이트웨이(SVI 인터페이스 설정)

 

GW1
int vlan 1 or int e0/1.1
encapsulation dot1q 1 
ip address 172.16.100.201 255.255.255.0 
int vlan 11
encapsulation dot1q 11
ip address 172.16.11.201 255.255.255.0


VPC에서 게이트웨이까지 ping테스트 > 아직 HSRP 설정을 안해서 안됩니다. 

 

 

 

외부 인터넷 연결

 

 

GW1
int e0/0
no sh
ip address 192.168.1.251 255.255.255.0

정적경로 설정
GW1
ip route 0.0.0.0 0.0.0.0 192.168.1.254

GW1> KT ping

 

 

 

 

여러 PC가 외부에서 내부로 오는 응답을 받으려면

동적 NAT설정

 

NAT란?

etwork address translation ip 주소를 변환시켜주는 서비스. 
일반적으로는 사설ip> 공인ip로 이용하기 위해.
필요한 이유는?
내부에서 외부로 보내기 위해서 필요한 게 아니라
외부로 보낸 패킷이 다시 되돌아올 수 있도록 하는겁니다.
보낼 수는 있지만 근데 올 때 외부에서 사설ip에 접속못하니까 접속하도록 전환 해주는 겁니다.

 

GW1
access-list 10 permit 172.16.0.0 0.0.255.255

ip nat inside source list 10 interface e0/0 overload

int e0/0
ip nat outside
int vlan 1
ip nat inside
int vlan 11~19
ip nat inside

VPC > ping KT > 아직 연결이 안됩니다.

 

 

외부>내부

DMZ_web 웹서버만을 위한 정적 nat 구성

 

동적nat vs 정적nat
여러 PC리스트를 변환 vs

내부안에 특정 서버/특정 포트(웹서버)에 대해서만 접속가능하게 변환
설정을 안하며 그 서버의 ftp등 포트 서비스를 다 쓸 수 있습니다.

 

ip nat inside source static tcp 172.16.17.100 80 192.168.1.251 80
ip nat inside source static tcp 172.16.17.100 443 192.168.1.251 443

실제PC 192.168.1.251접속

 

PVST = vlan마다 한쪽으로만통하도록 설정합니다.

우선순위를 달리하여 블락킹을 정할 수 있습니다.

스위치에만 설정가능합니다.

vlan 11-12는 GW1쪽으로

core1
spanning-tree vlan 11-12 priority 4096
DSW11
spanning-tree vlan 11-12 priority 8000
ASW101
spanning-tree vlan 11-12 priority 12288

show spanning-tree vlan 11-12

 

HSRP 끌어오기.

= standby 대기로 평소에는 우선순위높아서 GW1쪽으로 통신하지만

장애가 생길 때는 우선순위를 낮춰서 재빨리 다른 방향으로 통신합니다.
vlan 별로 설정 가능합니다.

 

 

HSRP는 뭔가? 

외부 장애가 생겼을 때 바로 재빨리 방향 바꿔주는 기능.
평소에는 GW1쪽으로 우선순위를 정해서 흘렀다가 
외부로든 내부로든 장애가 생기면
GW2가 우선순위가 더 강해져서 GW2쪽으로 흐릅니다.

 

 

게이트웨이를 끌어오는 방식이기 때문에

standby ip Virtual Router 게이트웨이 주소로 지정합니다.

그리고 pc들은 게이트웨이를 VR에 잡습니다.

vlan 11-12는 GW1에서 active
vlan 13-19는 GW2에서 active

GW1
track 10 interface e0/0 line-protocol

int vlan 11
standby 11 ip 172.16.11.254
standby 11 priority 120
standby 11 preempt
standby 11 stack 10 decrement 30

GW2

int vlan 11
standby 11 ip 172.16.11.254
standby 11 preempt

내부,외부 장애/복구 테스트
스위치
show mac address-table
VPC
ping 168.126.63.1
trace 168.126.63.1

 

 

서버 구성, 연결

 

 

 

 

DHCP 서버 구성 > IP 할당

FTP서버

DMZ_web

web서버

DNS서버

EMAIL서버