정보보안 스터디 - 5주차 6일 - 병원 가상 네트워크 구성 2

Notice

Contact: publicwonder12@g⋯

Recent Posts

Recent Comments

Link

« 2025/05 »
일	월	화	수	목	금	토
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Tags more

Archives

Today

Total

관리 메뉴

wonder

정보보안 스터디 - 5주차 6일 - 병원 가상 네트워크 구성 2 본문

Security/Network

정보보안 스터디 - 5주차 6일 - 병원 가상 네트워크 구성 2

wonder12 2022. 11. 15. 22:00

헷갈리는 부분이 있었지만 다듬어서

이번 포스팅으로 확실하게 총정리 하겠습니다.

기본설정

모든 장비
conf t
hostname 이름
enable secret cisco
no ip domain-lookup
no cdp run

line con 0
logg syn
exec-timeout 0 0

line vty 0 4
logg syn
exec-timeout 0 0
password ciscovty
login
transport input all
end
wr

모든 스위치
no ip routing

VPC IP 수동 설정

VPC1
ip 10.20.11.1 255.255.255.0 10.20.11.254
ip dns 10.20.16.200
save

내부 네트워크 연결

트렁크,RSTP 연결 하면서 etherchannel

GW1
int e0/1
no sh
int e0/1.1
encapsulation dot1q 1

core1
spanning-tree mode rapid-pvst

int range e2/0-1
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 2 mode active

int range e0/1-2
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode active

DSW11
spanning-tree mode rapid-pvst

int range e2/0-1
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 2 mode active

int range e0/1-2
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode active

int range e1/0-3
switchport trunk encapsulation dot1q
switchport mode trunk

ASW101
spanning-tree mode rapid-pvst

int range e1/0-1
switchport trunk encapsulation dot1q
switchport mode trunk

관리용 IP,게이트웨이 설정

모든스위치
int vlan 1
no sh
ip address 172.16.100.x 255.255.255.0
ip default-gateway 172.16.100.254

스위치끼리 ping 테스트

vtp를 통한 vlan 생성

core1
vtp domain cisco
모든 스위치
vtp password cisco

vlan 11
name vlan_11
vlan 12
name vlan_12
vlan 13
name vlan_13
vlan 14
name email
vlan 15
name dhcp+ftp
vlan 16
name web+dns
vlan 17
name dmz_web

access,portfast

core1
int e0/0
switchport trunk encapsulation dot1q
switchport mode trunk
spanning-tree portfast trunk

ASW101
int range e0/0-1
switchport mode access
switchport access vlan 11
spanning-tree portfast
ASW104
int e0/0
switchport mode access
switchport access vlan 14
int e0/0
switchport mode access
switchport access vlan 14

inter-vlan 게이트웨이 설정 (SVI 인터페이스)

GW1
int e0/1
no sh
int e0/1.1
encapsulation dot1q 1
ip address 172.16.100.201 255.255.255.0
int e0/1.11
encapsulation dot1q 11
ip address 10.20.11.201 255.255.255.0
..

GW2
int e0/1
no sh
int e0/1.1
encapsulation dot1q 1
ip address 172.16.100.202 255.255.255.0
int e0/1.11
encapsulation dot1q 11
ip address 10.20.11.202 255.255.255.0
..

HSRP 설정 (standby 대기 라우팅 프로토콜)

평소엔
vlan 1,11-13은 GW1에서 흐르고

GW1
track 10 interface e0/0 line-protocol

int e0/1.1
standby 1 ip 172.16.100.254
standby 1 priority 120
standby 1 preempt
standby 1 track 10 decrement 30

int e0/1.11
standby 11 ip 10.20.11.254
standby 11 priority 120
standby 11 preempt
standby 11 track 10 decrement 30
..
int e0/1.13
standby 13 ip 10.20.12.254
standby 13 priority 120
standby 13 preempt
standby 13 track 10 decrement 30

GW2

int e0/1.1
standby 1 ip 172.16.100.254
standby 1 preempt
..
int e0/1.13
standby 13 ip 10.20.13.254
standby 13 preempt

vlan 14-17은 GW2에서 흐르기
...

VPC,서버 > 게이트웨이 201,254 까지 ping

외부 인터넷 연결

GW1 ip 설정
int e0/0
no sh
ip address 192.168.2.251 255.255.255.0
정적경로
ip route 0.0.0.0 0.0.0.0 192.168.2.254

GW> Kt ping

내부>외부 여러 리스트인 동적 nat설정
access-list 10 permit 172.16.100.0 0.0.0.255
access-list 10 permit 10.20.0.0 0.0.255.255

ip nat inside source list 10 interface e0/0 overload

int e0/0
ip nat outside
int e0/0.1
ip nat inside
int e0/0.11
ip nat inside
..
int e0/0.17
ip nat inside

VPC> KT ping

외부> DMZ_web만을 위한 정적nat설정

GW1
ip nat inside source static tcp 10.20.17.200 80 192.168.2.251 80
ip nat inside source static tcp 10.20.17.200 443 192.168.2.251 443
GW2
ip nat inside source static tcp 10.20.17.200 80 192.168.2.252 80
ip nat inside source static tcp 10.20.17.200 443 192.168.2.252 443

실제로 접속
192.168.2.252으로만 접속 됩니다. GW2에서만 vlan 17이 평소에 흘러서.

PVST 블락킹

vlan 11-13은
GW1-core1-DSW11로 흐르고

core1
spanning-tree vlan11-13 priority 4096

core2
spanning-tree vlan11-13 priority 8000

DSW11
spanning-tree vlan11-13 priority 12000

vlan 14-17은
GW2-core2-DSW12로 흐르게
core2
spanning-tree vlan11-13 priority 4096

core1
spanning-tree vlan11-13 priority 8000

DSW12
spanning-tree vlan11-13 priority 12000

VPC,서버> ping KT

서버 구성

DHCP서버 구성
dhcp 받으려면 relay agent가 필요합니다.
왜? DHCP요청하는 메세지에는 브로드캐스트방식으로 discover를 보내는데,

브로드캐스트라서 다른 네트워크에 못보냅니다. 그래서 유니캐스트 주소(특정 IP주소)로 바꿔줘야 됩니다.
모든 서브 인터페이스에 넣어야합니다.

GW1,GW2
int e0/1.11
ip helper-address 1.20.15.200
int e0/1.12
ip helper-address 1.20.15.200
int e0/1.13
ip helper-address 1.20.15.200

>할당

FTP 서버 구성

intra_web

DNS 서버 구성

dns서버는 snuh.org

nslookup 테스트

EMAIL 서버 구성

저작자표시

'Security > Network' 카테고리의 다른 글

정보보안 스터디 - 6주차 2일 - 리눅스 OS 세팅 (0)	2022.11.18
정보보안 스터디 - 5주차 5일 - 병원 가상 네트워크 구성 (0)	2022.11.15
정보보안 스터디 - 5주차 2일 - HSRP/VRRP (0)	2022.11.12
정보보안 스터디 - 5주차 1일 - SVI인터페이스 (0)	2022.11.11
정보보안 스터디 - 4주차 7일 - Etherchannel, pvst를 이용한 네트워크 구성 (0)	2022.11.10

'Security/Network' Related Articles

Comments

wonder

정보보안 스터디 - 5주차 6일 - 병원 가상 네트워크 구성 2 본문

정보보안 스터디 - 5주차 6일 - 병원 가상 네트워크 구성 2

'Security > Network' 카테고리의 다른 글

티스토리툴바