몰입의 공간

Part 1에서 전반적인 요구사항 정리 및 시나리오를 구성했으니, 이번엔 이를 구체화시켜 토폴로지로 구체화해보자  1. 전체 토폴로지   2. 본사 네트워크 구성 공인 IP 부여 현황본관: 203.249.192.0/28  동관: 203.251.0.0/29서관: 61.97.224.0/29 DNS 서버: 210.205.96.0/29 Web 서버: 103.143.176.0/28 특이사항모든 네트워크의 Aggregate 스위치를 이중화하고, 두 개의 Backborn 스위치로 연결Data Center와 본사 내부망의 중요성을 고려해 Backborn 스위치도 이중화(3-Tier, Layer 3) 아쉬운 점: 할당된 IP 대역이 적어, 크로스 방식으로 Backborn 이중화를 구현하지 못함Failover는 L3 스위..

첫 번째 프로젝트의 날이 밝았다. 비록 네트워크 공부를 전반적으로 돌아보기 위한 Semi-Project지만 화이팅해보자! 1. 요구 사항 정리 및 시나리오 구성 본사 캠퍼스 네트워크 구성 현황 건물 3동 이상(7층, 10층, 5층 -> 총 22층 구성)본관(7층)동관(5층)서관(10층)층 당 1개 부서, 총 22개 부서11개의 부서는 10명, 11개의 부서는 40명이 있다고 가정(총 550명)DHCP, TFTP 서버는 본관 지하 1층에 위치3-Tier(Layer 3) 구조 Access 스위치Aggregate 스위치 - SNAT 수행 Backborn 스위치 *일반적으로 3-Tier 구조에서 NAT은 Distribution 계층(Aggregation 스위치)에서 일어난다.  사설 IP 주소 현황사내 네트워크..

가장 상용화되어있는 IPv4는 2011년 인터넷 주소 관리기구인 IANA에서 더 이상 IPv4이 없다고 선언할 정도로 IP주소 고갈의 문제에 직면해 있다. 약 43억 개의 IP를 사용할 수 있고, 실질적으로 할당 가능한 약 37억 개의 공인 IP주소가 있음에도 전 세계적으로 디지털화가 빠르게 진행됨에 따라 수요를 따라갈 수 없게된 것이다. IPv4 고갈 문제에 대한 대안으로 IPv6가 오래전 개발되었지만, 호환성 문제, 네트워크 장비 업데이트 문제 등 현실적인 원인들로 느리게 상용화가 되고 있는 상황이다. 하지만 현실에서 수없는 PC와 네트워크 장비들이 쏟아져 나옴에도 불구하고, IP 부족을 체감하기는 쉽지 않다. 이유가 뭘까?이번 포스트에서는 IPv4의 부족 문제를 보완해주는 기술 NAT에 대해 설명하..

1. 트래픽을 제어하는보안 도구, Network ACL ACL(Access Control List)는 컴퓨터 시스템, 네트워크, 파일 시스템 등 다방면에서 누구에게 어떤 리소스에 대한 어떤 권한을 부여할지 정의하는 리소스를 의미한다. 이번 포스트에서는 라우터, 네트워크 방화벽에서 사용되는 Network ACL에 대해 설명하겠다.   Network ACL(네트워크 접근 제어 목록)은 정책 또는 규칙(Access List)을 기반으로 네트워크 장비(라우터, 방화벽)에 들어오는 트래픽을 패킷 단위로 필터링하는 보안 도구이다. 이때 ACL은 주로 IP Header, L4 Header(주로 TCP/UDP)의 정보를 기반으로 출발지(Source), 목적지(Destination) IP 주소, 프로토콜, 출발지, 목적..

*해당 실습 포스트는 실제 장비로 실습한 내용을 복습하기 위해 Packet Tracer로 재구성한 것입니다. 실 사용 장비Piolink Tifront SwitchCisco Router 2911  문제 상황: 라우터를 이용해 LAN들의 1계층을 연결했지만, 라우팅 테이블이 설정되지 않아 LAN 간의 통신이 되지 않는다. Static, Dynamic Routing(RIP v2, OSPF)를 통해 라우팅하라.  1. Static Routing을 통해 라우팅 이해 및 해결하기 아무 설정도 하지 않은 상태에서 라우팅 테이블들을 보면 위와 같이 연결된 서브넷과 연결된 다른 라우터의 게이트웨이의 네트워크 주소만 기록되어 있다. 정적 라우팅을 통해 다른 라우터에 연결된 LAN들과 통신하기 위해서는 해당 네트워크로 직접..

1. 한 개의 스위치 두 개의 네트워크, VLAN 우리는 그동안 브로드캐스트 도메인(네트워크) 분리를 위해 라우터에 연결된 스위치를 다르게 하는 물리적인 방법을 사용하였다. 그런데 만약 여러 층에 나눠진 PC들을 하나의 네트워크로 구성하려고 한다면 어떤 방법이 좋을까? 또 한 층의 네트워크를 효율 또는 보안의 이유로 여러 네트워크로 분리하려면 어떻게 하는게 좋을까?  리피터, 스위치 등 네트워크 장비를 추가로 연결하여 해결하는 방법도 있겠지만, 매번 필요할 때마다 새로운 장비를 구매하는 것은 비효율적이다. 이때 사용되는 기능이 VLAN이다.   VLAN(Virtual LAN)은 L2 스위치부터 제공되는(Managed 스위치에서만 제공, 안되는 장비도 있음) 가상의 LAN을 구현하는 기능이다. 하나의 스위..

1. What Layer 4 do?  4계층은 전송 계층(Transport Layer)로 불리는 것처럼 노드 간 통신을 담당한다. L4의 주소 체계는 포트 주소(Port Address, 실무에서는 주로 포트 번호라고 지칭)가 쓰이는데, 뒤에서 더 자세히 서술하겠지만 포트 주소를 통해 프로세스 또는 프로그램을 식별하게 된다. 그리고 목적에 따라 L4의 프로토콜인 TCP와 UDP 중 전송 방식을 결정하고, 흐름 제어 및 오류 제어(TCP)를 수행한다. 마지막으로 필요에 따라 세그먼트(L4 PDU)로 단편화 작업을 하는 기능을 한다. L4의 대표적인 네트워크 장비로는 L4 스위치가 있다. 2. 애플리케이션을 식별하는 주소, 포트 주소(Port Address) 한 가지 가정을 해보자. 만약 필자가 네트워크 외부..

1. 3계층의 핵심 네트워크 장비, 라우터 우리는 이미  같은 네트워크(하나의 LAN)내에서의 통신이 스위치를 통해 이뤄진다는 것을 알고 있다. 그렇다면 LAN을 넘어 멀리 떨어진 다른 네트워크에 속한 호스트와의 통신은 어떻게 이뤄질까? LAN 간의 통신에서 사용되는 네트워크 장비가 라우터(Router)이다. LAN 간의 통신에서 패킷은 다양한 경로로 여러 라우터를 거쳐 이동하게 되는데, 여기서 라우팅 프로토콜(Routing Protocol)을 이용하여 최적의 경로를 선정하여 목적지까지 전송하는 일련의 과정을 라우팅(Routing)이라고 하며, 라우터와 라우터를 이동하는 하나의 과정을 홉(Hop)이라고 한다. 즉, LAN 간의 통신 과정에서 패킷은 목적지에 닿을 때까지 '여러 홉을 거쳐' '라우팅' 되는..

1. MAC 주소를 알아내는 방법, ARP 다른 네트워크에 있는 호스트에 패킷을 송신하고자 할 때, 기본적으로는 상대 호스트의 IP주소를 쳐서 보내지만, 패킷을 올바르게 송신하기 위해서는 MAC주소가 필요하다. 이 과정에서 상대 호스트의 IP주소는 알지만 MAC주소는 모르는 상황이 발생할 수 있다. 이런 상황에서 이용되는 것이 IP주소를 이용해서 MAC주소를 알아오는 프로토콜, ARP(Address Resolutiom Protocol)이다.   실제로 패킷을 보내보면, IP주소만으로는 찾아가고자 하는 호스트의 직전 라우터까지만 가능하다. 마지막 라우터부터 호스트까지는 LAN이기 때문에 MAC주소를 이용하여 호스트를 찾아가게 되는데, 이 때 ARP가 작동한다. 다음은 ARP의 동작 과정을 살펴보자. ARP..

1. MTU(Maximum Transmission Unit)와 IP 단편화 IP 단편화(Fragmentation)에 대해 이야기 하기 전에 먼저 MTU에 대해 알아보자.MTU란 한번에 전송 가능한 IP 패킷의 최대 크기를 의미한다. 여기서 패킷(Packet)은 L3의 PDU이다. 일반적인 MTU 크기는 1500byte이다. 만약 전송하고자 하는 패킷의 크기가 MTU보다 크다면 패킷은 MTU크기 이하로 나누어져 전송된 후 수신지에서 다시 재조합되는데, 이를 IP 단편화라고 한다.   2. IP 단편화를 피하는 방법, 경로 MTU IP 단편화가 많아져 데이터가 여러 패킷으로 쪼개진다면 자연스레 전송해야할 패킷의 헤더들이 많아지고, 이는 불필요한 트래픽 증가와 대역폭의 낭비로 이어질 수 있다. 또한 단편화된 ..