• 자원 소모가 적은 Distance Vector 방식 사용
• AS 단위로 라우팅 정보 교환
• BGP는 라우터와 라우터 간 정보 교환이 아닌 AS와 AS 간의 정보 교환
• Load-Balancing 지원 X
  • 반드시 하나의 경로만 선택해 사용
• Neighbor는 수동 설정을 통해 성립

iBGP

• 외부 AS로부터 받은 경로를 다른 AS로 전달하기 위해 AS 내부에서 사용
• IGP(OSPF, EIGRP, RIP 등)와 같이 동작
• Full-Mesh 권장
• Loopback interface 통해 Neighbor 성립 권장
• AD: 200

eBGP

• AS와 AS 사이에서 경로 전달 용도로 사용
• AS-Path 확인하여 Loop 방지
• AD: 20
• TCP 179번 사용

BGP Neighbor State

Idle - Connect - Active - Opensent - OpenConfirm - Established

BGP

• BGP가 학습하는 모든 경로는 BGP 테이블에 저장 * : 유효한 경로이며 BGP에서 사용 가능을 의미 >: 최상의 경로로 선택됨을 의미

Next Hop이 0.0.0.0 -> 해당 라우터에서 네트워크가 시작

• Path : AS 경로 표시 R1은 4.4.4.4/32로의 네트워크 경로르 2개 학습 -> >가 표시된 192.168.12.2를 경로로 채택 -> Path에 2 4 i는 지나가는 AS경로 표시 = R1(자신) -> R2 -> R4

• 네트워크 명령을 사용하여 경로를 광고하거나, BGP로 재분배, 축약을 이용한 광고가 있음

  • BGP의 Network 명령은 다르게 동작

• BGP에서 네트워크 명령 사용할 때 BGP는 라우팅 테이블만 확인

  • 네트워크 명령과 일치하는 네트워크가 라우팅 테이블에 존재해야 BGP 테이블에 등록

  • 서브넷마스크도 일치해야함

Next Hop Self

• iBGP로 공유해줄 때 Next Hop Self를 해줘야 함

• 광고 시 Next-Hop으로 자신의 IP주소를 포함해줌

  config#router bgp 1 
  config-router#network 192.168.23.0 mask 255.255.255.0    // 자신의 Network 광고// 자신의 Network 광고 
  config-router#neighbor 192.168.12.1 next-hop-self

• BGP에서 루프 방지하기 위해 스플릿 호라이즌 룰 적용
  • iBGP로 광고 받은 네트워크는 iBGP로 광고 X

R1-R2 연결, R2-R3 연결 -> R3는 1.1.1.0/24 라우팅 테이블에 X -> R1과 R3가 Neighbor 맺어야 함

R1(config)#ip route 192.168.23.3 255.255.255.255 192.168.12.2

R3(config)# ip route 192.168.12.1 255.255.255.255 192.168.23.2

R1(config)# route rgp 1
R1(config-router)# neighbor 192.168.23.3 remote-as 1

R3(config)#router bgp 1
R3(config-router)# neighbor 192.168.12.1 remote-as 1

• ip route로 경로 도달 가능성 보장(OSPF구성으로 해도 됨)

IGP는 매트릭이 가장 낮은 경로 선택

• OSPF: Cost가 가장 낮은 경로 선택
• RIP: 홉 카운트가 가장 낮은 경로 선택

BGP: 최적의 경로 선택(최단경로 X)

• Weight
  • 높은 Weight 선호
  • 라우터의 로컬 값
  • Cisco에서만 사용
  • 기본값 0
• Local Preference
  • AS 내에서 사용되며 iBGP 라우터 간에 교환
  • 높은 Local Preference 선호
  • 기본값 100
• AS Path length
  • Shortest AS path 경로 선호 ex) AS 경로 1 2 3 은 1 2 3 4 5 보다 선호
• MED
  • 낮은 Med 경로 선호
  • AS간에 교환

Route Reflector

• RR은 네트워크에서 iBGP의 Full mesh 제거하는 방법
• RR 사용 시 IBGP중 하나가 RR에게 경로를 알릴 때 다른 모든 IBGP 라우터에 '반영'

규칙 3가지

1. 비 RR 클라이언트에서 학습된 경로는 RR 클라이언트에게는 보급되지만 비 RR 클라이언트에게는 보급 X
2. RR 클라이언트에서 학습된 경로는 RR 클라이언트와 비 RR 클라이언트에게 모두 보급
3. EBGP 인접 네트워크에서 학습된 경로는 RR 클라이언트와 비 RR 클라이언트 모두에게 보급

Config

router bgp 'as-number'

neighbor 'ip-address' remote-as 'as-number'        // 이웃 맺기
neighbor 'ip-address' update-source loopback 0    // 내부 AS에서 이웃 맺을 때 루프백으로 맺을 때
neighbor 'ip-address' next-hop-self // next-hop을 자신의 IP로 전달

show ip bgp summary
show ip bgp

router bgp 123
neighbor 192.168.12.1 remote-as 123
neighbor 192.168.12.1 route-reflector-client

aws 등과 같은 서비스 = cloud computing = 방대한 서비스 제공

✅ 데이터 센터 (DataCenter)

• 어플리케이션의 서버를 호스팅하는 실제 시설
• 데이터 센터 인프라
  • 컴퓨팅 시스템을 위한 하드웨어
  • 네트워킹 장비
  • 전원공급 시스템
  • 전기 기스템
  • 환경 제어장치 (온도 / 습도 ..)
  • 운영 인력
  • 운영 인력을 위한 인프라 (Office 인프라)
  • 기타 인프라

✅ 온프레미스 (on-premises)

• 프레미스 : 기본 , 건물 , 토지 뜻
• 자체적인 공간에 자원을 이용해 사용자가 직접 구축 및 운영하는 방식
• 전통적인 데이터센터 구축 방법
• 사용자가 직접 구축부터 운영까지 모든 것을 수행
  • 부담 크고 , 비용 많이 소모
  • 서버 수요에 상관 없이 구매 후 계속 보유
  • 유저의 수요에 빠른 대처 어려움
  • 장애 서버를 교체하는 시간 필요

✅ cloud computing 의 시작

• 인터넷으로 연결된 컴퓨터를 빌려서 원격을 통해 사용
• 인터넷으로 연결된 컴퓨터 ⇒클라우드(Cloud)
• 인터넷으로 연결된 컴퓨터를 사용 ⇒ 클라우드 컴퓨팅

✅ 클라우드 컴퓨팅의 과거

• Hosting 서비스
  • Host = 인터넷에 연결된 컴퓨터 한대 한대
  • Host를 빌려줘서 서버로 사용할 수 있도록 하는 서비스

✅ Cloud computing / hosting 서비스

• 컴퓨터를 빌려주는 임대 사업
• 클라우드 컴퓨팅의 본질
• 민첩성 , 탄력성 , 비용 절감

✅ 집 짓기 vs 호텔 사용

• 집 짓기 (부지 섭외 → 계약 → 등기 → 집 설계 → 업체 선정 → 집 건축 …)
  • 100% 내가 원하는 대로 커스터마이징 가능
  • 많은 투자 비용 & 시간 필요
  • 유동적 상황에 대처 어려움 (집이 필요 없게 된 경우 , 인원이 늘어나는 경우)
  • 유지 보수 직접
• 호텔 숙박 (체크인 → 체크아웃)
  • 낮은 투자 비용
  • 즉시 사용 가능
  • 유연한 사용 가능
  • 유지 보수 필요 없음
  • 사용한 만큼 돈 지불 (OnDemand)
  • 내 집이 아님

✅ 클라우드 컴퓨팅 Model

1️⃣ IaaS (Infrastructure-as-a-service)

• 클라우드 공급자 - 인프라 영역 (서버, DB , Storage 즉. 하드웨어) = 인프라 형태로 제공
• 클라우드 사용자 - 나머지 직접 관리 / 구성
• Amazon Web Service(EC2), Google Compute Engine(GCE) …

2️⃣ PaaS (Platform-as-a-service)

• 클라우드 공급자 - 인프라 영역 + OS , 미들웨어 , 런타임 = 플렛폼 형태로 제공
  • 애플리케이션 개발에 필요한 모든 것을 제공
  • 복잡한 서버 관리나 인프라 설정 없이도 애플리케이션을 만들고 실행
  • 즉. 개발자는 코드만 작성하고 나머지는 PaaS가 알아서 처리
• 클라우드 사용자 - 필요한 애플리케이션 개발 및 관리
• AWS Elastic Beanstalk , Azure Machine Learning , Heroku , Google App Engine

3️⃣ SaaS (Software-as-a-service)

• 클라우드 공급자 - 모든 영역 = 소프트웨어 형태로 제공
  • 별도의 설치나 유지 보수 없이 웹 브라우저를 통해 소프트웨어를 제공
• 클라우드 사용자 - 별도 구성 없이 소프트웨어 바로 사용
• Google Workspace , Dropbox , office365 , Netflix , Slack

✅ 클라우드 구축 모델

• 클라우드 서비스를 위한 자원의 소유권 , 위치 , 주체에 따라 분류

1️⃣ Private Cloud (= 온프레미스)

• 서비스 주체 - 사용자
• 사용자 전용 클라우드 환경으로 IT자원 소유 ⭕ , IT자원 공간 ⭕

2️⃣ Public Cloud

• 서비스 주체 - 클라우드 공급자
• 사용자는 IT자원 소유 ❌ , IT자원 공간 ❌
• AWS , GCP , Azure

3️⃣ Hybrid Cloud

• 일부 서비스 - Private
• 일부 서비스 - Pubilc

✅ 왜? 클라우드를 사용해야 하는가?

• EC2 (Elastic Compute Cloud)

  • 순수하게 컴퓨터를 빌려주는 서비스
  • 왜? 컴퓨터를 빌려서 사용 할까???
    • 내가 제공하고자 하는 서비스에 맞는 사양을 저렴한 비용으로 임대

  1. A웹사이트 방문자는 1000명이 넘지 않을 때 메모리는 0.5G 면 충분

     1. 4G,8G,16G → Over spec

     2. 0.5G의 메모리를 장착한 H/W는 찾기 어려움

        ➡️ 만약 찾아서 구축해 운영 중에 방문자 수가 많은 서비스는 더 많은 메모리가 필요

  2. aws를 이용해 메모리가 244G인 컴퓨터를 임대할 경우

     1. 1년 약 1800만원 비용 발생

        ➡️ 직접 구축하는 게 장기적으로 이익 아닌가???

        ➡️ 만약 로컬 환경에서 일주일 정도 걸리는 업무를 메모리가 244G인 컴퓨터를 이용하면 1시간 만에 처리 가능할 경우

        • 1년 1800만원 ⇒ 1시간 약 2000원
        • 1시간만 임대해 사용할 경우 PC방 이용 요금과 비슷한 비용으로 작업 완료 가능
        • 시간 & 돈 모두 절약 → 유연함 → 많은 기업이 사용

• 컴퓨터 임대 서비스와 더불어 소프트웨어 설치 및 운영 까지 해주는 방향으로 클라우드 컴퓨팅이 확장

  • 서버에 직접 소프트웨어 설치 , 운영 , 백업 → 번거로움 , 까다로움 , 위험함

• Relational Database Service (RDS)

  • MySQL , SQL Server , ORACLE 등과 같은 관계형 DB 서비스
  • aws에 신청만 하면 자동으로 설치 되고 바로 사용 가능
    • EC2에 직접 DB 구성해서 사용해도 됨 (상대적으로 저렴)
    • DB는 비지니스의 핵심 데이터를 보관하는 시스템으로 중지 , 해킹 , 파괴 될 경우 큰 타격을 받게 됨
    • RDS서비스는 설치, 운영, 백업, 보안을 알아서 해줌
    • 직접 운영하는 것보단 금액적으로 비쌀 수는 있지만 보안 , 비용 , 편의성을 따져봤을 때 결과적으로 더 저렴

WEB , AI , BIG Data , IOT 등과 같은 여러 분야가 서버 컴퓨터를 필요로 함 이를 위한 서비스들이 클라우드 컴퓨팅에 계속 추가돼 지금의 다양한 서비스를 제공해주는 클라우드 서비스가 됨

1. AWS

2. 사전 실습 준비

3. IAM 기초

4. EC2 기초

Data Center Network Management

• VM 배포
• eth0: DCNM Mgmt
  • 운영자 DCNM GUI / CLI 환경에 접속
• eth1
  • OOB로 DCNM이 N9K의 mgmt0 인터페이스와 통신
• eth2
  • INBAND로 DCNM 확장 링크로 사용

edge trunk = 하이퍼바이저 연결될 예정이라고 생각해서

vrf 생성

vrf 내 network

network View 클릭(오른쪽 상단)

Leaf 더블클릭 해서 인터페이스 선택 후 적용

기본 underlay 작업

All nodes

feature ospf

Spine

interface ethernet1/1
no switchport
ip address 10.1.11.1/30
mtu 9216
ip ospf network point-to-point
ip router ospf 1 area 0

interface ethernet1/2
no switchport
ip address 10.1.12.1/30
mtu 9216
ip ospf network point-to-point
ip router ospf 1 area 0

interface loopback 0
ip address 11.11.11.11/32
ip ospf network point-to-point
ip router ospf 1  area 0

... e1/3, e1/4까지 동일 설정 

router ospf 1

Leaf

interface loopback 0
ip address 1.1.1.1/32
ip ospf network point-to-point
ip router ospf 1 area 0

interface ethernet1/1
no switchport
ip address 10.1.11.2/30
mtu 9216
ip ospf network point-to-point
ip router ospf 1 area 0

interface ethernet1/1
no switchport
ip address 10.1.12.2/30
mtu 9216
ip ospf network point-to-point
ip router ospf 1 area 0

router ospf 1

고객사 overlay 작업

All nodes

feature pim
feature bgp    
feature nv overlay        // vlan과 Vxlan 연결
nv overlay evpn            // BGP에 evpn 활성화

Spine

interface loopback 1
ip address 100.1.1.1/32
ip router ospf 1 area 0

ip pim rp-address 100.1.1.1 group 224.0.0.0/4        // 그룹 224.0.0.0/4 는 랑데뷰 포인트 100.1.1.1로

ip pim anycast-rp 100.1.1.1 11.11.11.11        // 11.11.11.11를 향한 트래픽 100.1.1.1
ip pim anycast-rp 100.1.1.1 22.22.22.22        // 이중화 구성

interface loopback 0-1
ip pim sparse-mode            // multicast 활성화

interface e1/1-4
ip pim sparse-mode

Leaf

ip pim rp-address 100.1.1.1 group-list 224.0.0.0/4

interface loopback 0
ip pim sparse-mode

interface eth1/1-2
ip pim sparse-mode

BGP 연결

Spine

router bgp 65535        // 사설 ASN 사용(자유)
    router-id 11.11.11.11
    template peer LEAF        // 템플릿 생성(동일작업)
        remote as 65535
        update-source loopback 0
        address-family l2vpn evpn        //evpn
            send-community both            // VRF 정보 같이 전달
            route-reflector-client        // Leaf 장비들 RRC로 동작

        neighbor 1.1.1.1
            inherit peer LEAF
        neighbor 2.2.2.2
            inherit peer LEAF
        neighbor 3.3.3.3
            inherit peer LEAF
        neighbor 4.4.4.4
            inherit peer LEAF

Leaf

feature vn-segment-vlan-based        // VNI와 VLAN 매치

router bgp 65535
    router-id 1.1.1.1
    template peer SPINE
        remote-as 65535
        update-source loopback 0
        address-family l2vpn evpn
            send-community both
     neighbor 11.11.11.11
         inherit peer SPINE
     neighbor 22.22.22.22
         niherit peer SPINE

interface nve 1                // VTEP Interface
    no shutdown
        source-interface loopback 0            // VTEP Ip address
        host-reachability protocol bgp        //CP로 배움(control Plane)

Leaf-1

vlan 11
    name Customer-A Network-11        //생략 가능
    vn-segment 10011
vlan 123
    vn-segment 111213

Leaf-2

vlan 11
    vn-segment 10011
vlan 12
    vn-segment 10012
vlan 123
    vn-segment 111213

Leaf-3

vlan 12
    vn-segment 10012
vlan 13
    vn-segment 10013
vlan 123
    vn-segment 111213

Leaf

vrf context Customer-A
    vni 111213

Leaf-1

feature interface-vlan

fabric forwarding anycast-gateway-mac 1234.1234.1234

interface vlan 11
    no shutdown
        vrf member Customer-A
        ip address 1.1.11.1/24
        fabric forwarding mode anycast-gateway

interface vlan 123
    no shutdown
    vrf member Customer-A
    ip forward

interface nve1
    member vni 10011
        mcast-group 239.0.0.11
    member vni 111213 associate-vrf

Leaf-2

feature interface-vlan

fabric forwarding anycast-gateway-mac 1234.1234.1234

interface vlan 11
    no shutdown
        vrf member Customer-A
        ip address 1.1.11.1/24
        fabric forwarding mode anycast-gateway

interface vlan 12
    no shutdown
        vrf member Customer-A
        ip address 1.1.12.1/24
        fabric forwarding mode anycast-gateway        

interface vlan 123
    no shutdown
    vrf member Customer-A
    ip forward

interface nve1
    member vni 10011
        mcast-group 239.0.0.11
    member vni 10012
        mcast-group 239.0.0.12
    member vni 111213 associate-vrf

Leaf-3

feature interface-vlan

fabric forwarding anycast-gateway-mac 1234.1234.1234

interface vlan 12
    no shutdown
        vrf member Customer-A
        ip address 1.1.12.1/24
        fabric forwarding mode anycast-gateway

interface vlan 13
    no shutdown
        vrf member Customer-A
        ip address 1.1.13.1/24
        fabric forwarding mode anycast-gateway        

interface vlan 123
    no shutdown
    vrf member Customer-A
    ip forward

interface nve1
    member vni 10012
        mcast-group 239.0.0.12
    member vni 10013
        mcast-group 239.0.0.13
    member vni 111213 associate-vrf    

Leaf

router bgp 65535
    vrf Customer-A
        address-family ipv4 unicast
        redistribute direct route-map DIRECT

route-map DIRECT permit 10

interface e1/5
switchport mode access
switchport access vlan 11
spanning-tree port type edge
exit
interface e1/6
switchport mode access
switchport access vlan 12
spanning-tree port type edge
exit

기본 config 먼저 하기

N9K-1,2 (Spine 장비)

feature ospf
feature pim

router ospf 1
router-id 10.1.1.1

interface eth1/1
    description ~~        
    no switchport        
    mtu 9216             
    ip address 1.1.13.1/30
    ip router ospf 1 area 0
    ip ospf network point-to-point
    ip pim sparse-mode        // 멀티캐스트 통신위해 필수
    no shut

interface eth1/2
    description ~~
    no switchport
    mtu 9216
    ip address 1.1.14.1/30
    ip router ospf 1 area 0
    ip ospf network point-to-point
    ip pim sparse-mode
    no shut

interface loopback 0
    ip address 10.1.1.1/32
    ip router ospf 1 area 0
    ip pim sparse-mode

N0K-3,4 (Leaf 장비)

feature ospf
feature pim
feature nv overlay        // VTEP 동작/ NVE interface 생성
feature vn-segment-vlan-based        // vlan-xvlan bridge
feature interface-vlan        //SVI

router ospf 1
router-id 10.1.1.3

interface eth1/1
    description ~~
    no switchport
    mtu 9216
    ip address 1.1.13.2/30
    ip router ospf 1 area 0
    ip ospf network point-to-point
    ip pim sparse-mode
    no shut

interface eth1/2
    description ~~
    no switchport
    mtu 9216
    ip address 1.1.23.2/30
    ip router ospf 1 area 0
    ip ospf network point-to-point
    ip pim sparse-mode
    no shut

interface loopback 0
    ip address 10.1.1.3/32
    ip router ospf 1 area 0
    ip pim sparse-mode

N9K-1,2 (Spine 장비)

ip pim rp-address 10.1.1.10 group-list 225.0.0.0/24        // 225.0.0.0/24 내의 주소들 랑데뷰 포인트 10.1.1.10으로 동작
ip pim anycast-rp 10.1.1.10 10.1.1.1        // 10.1.1.1이 10.1.1.10으로 동작(spine1)
ip pim anycast-rp 10.1.1.10 10.1.1.2        // 10.1.1.2가 10.1.1.10으로 동작(spine2)
-> 2중화 구성

interface loopback 1
    description ~~
    ip address 10.1.1.10/32
    ip router ospf 1 area 0
    ip ospf network point-to-point
    ip pim sparse-mode

N9K-3,4 (Leaf 장비)

ip pim rp-address 10.1.1.10        // 랑데뷰 포인트 10.1.1.10으로 인식

vlan 11
    vn-segment 10011        // overlay에서 사용하는 Vxlan (vlan 11을 Vxlan 10011으로 변경)

vlan 20
    vn-segment 10020

interface nve 1
no shut
source-interface loopback 0        // VTEP IP = Outer IP Header
                                // nve 인터페이스에는 IP주소 적용 불가해서 source-interface 명령어로 IP 부여
member vni 10011
    mcast-group 225.0.0.10
member vni 10020
    mcast-group 225.0.0.20

interface e1/6
    switchport mode access
    switchport access vlan 11
    no shutdown

PC끼리 통신 시도하기

만약 통신 안되면 PC에서 서로에게 핑 동시에 보내보기

결과

#show ip route ospf

#show ip pim neighbor

#show nve peers #show macc address-table

L3로 연결되어있는 PC의 MAC address를 배워옴

NX-OS STP Bridge Assurance : 모든 포트가 BPDU 송수신

VPC

Nexus 핵심 기술!!

Virtual Port Channel

위에 장비2대를 한대처럼 인식해서 가상으로 Port-channel 만듦 -> Loop가 발생하지 않는 토폴로지

VPC 도메인은 2대밖에 사용 불가!

vPC는 두 개의 Nexus 디바이스를 vPC 도메인으로 구성하고, 두 개의 특수 링크를 통해 vPC 피어간에 정보 교환

vPC Peer-Keepalive Link

• 서로의 상태 체크
• 반드시 L3통신 가능해야함
• 별도의 VRF 사용

• Mgmt VRF도 사용 가능

vPC Peer Link

• 서로의 상태 정보 교환
• CFS(Cisco Fabric Services)가 동작

• 두 대의 장비 동기화해줌

  • MAC address
  • IGMP snooping
  • Configuration consistency checking
  • vPC member port status
  • BPDU
• L2(TRUNK) 구성 권고
• 10GBE 이상 필수
• 모듈 이원화 권고 -> 라인카드 2개 구성

config#feature vpc
config#vpc domain 10
 -> 2대의 장비가 숫자 동일해야 함
config-vpc-domain#role priority 4000

#show vpc role

role priority: active/standby와 다르게 둘 다 동작함 낮은 장비가 primary 동작 같으면 MAC주소 비교

primary 장비에서만 해주는 일 2가지

• ARP 응답
• BPDU

Peer-Keepalive Link Config

config# feature lacp
config# feature vpc
config# interface ethernet1/1,2/1
config-if# channel-group 1 mode active

config# vrf context PKAL

config# interface port-channel 1
config-if# no switchport
config-if# vrf member PKAL
config-if# ip address 172.168.1.1/24

config#vpc domain 5
config-vpc-domain# peer-keepalive destination 172.168.1.2 source 172.168.1.1 vrf PKAL

### Keepalive를 MGMT로 맺을 때 ###
config#vpc domain 5
config-vpc-domain# peer-keepalive destination 10.100.42.2 source 10.100.42.1 vrf management

Peer-Link Config

config# feature lacp
config# feature vpc
config# interface ethernet 3/1,4/1
config-if# channel-group 2 mode active
config-if# no shutdown
config# interface port-channel 2
config-if# switchport mode trunk
config-if# switchport trunk allowed vlan 1-100(member,orphan에서 사용하는 vlan)
config-if# spanning-tree port type network(생략 가능)
config-if# no shutdown
config-if# vpc peer-link

Member Port Config

config-if# interface ethernet 2/3
config-if# channel-group 10 mode active
config-if# no shutdown

config# interface port-channel 10
config-if# switchport mode trunk(active도 상관 없음)
config-if# switchport trunk allowed vlan 1-100
config-if# spanning-tree port type normal
config-if# spanning-tree port guard root
config-if# no shutdown
config-if# vpc 10

HSRP

Nexus에서는 HSRP 사용시 2대 모두 active로 작동

SVI 먼저 만들기

config# feature interface-vlan

나머지는 일반 SVI 설정과 동일

HSRP config

config#feature hsrp
config# interface ethernet 2/1
config-if# ip address 10.11.1.1/24
config-if# hsrp 1
config-if-hsrp# ip 10.11.1.2
config-if-hsrp# priority 110

VRRP config

config#feature hsrp
config# interface ethernet 2/1
config-if# vrrp 1
config-if-vrrp# priority 254
config-if-vrrp# address 10.11.1.3

config# interface ethernet 2/3
config-if# vrrp 2
config-if-vrrp# priority 254
config-if-vrrp# address 10.11.2.3

플래그 G -> 자신이 Gateway다

config# show mac address-table vlan ~
-> MAC주소 확인
config# show hsrp interface vlan ~
-> hsrp로 만든 vMAC주소 확인 가능

VPC 작동 시 양쪽 모두 G플래그 붙은거 확인 가능

• 모든 플랫폼에서 일관된 데이터 센터 운영 체제
  • MDS: Cisco의 쎈 스위치?
  • UCS: Cisco의 Server
• 인프라 확장성, 전송 유연성 및 운영 관리성

IOS와 NX-OS의 주요 차이점

• NX-OS는 바로 EXEC 모드 진입(enable 필요 X)

• NX-OS는 사용자가 시스템 기본값을 지정하고, 기본 구성을 수행하고, 미리 정의된 CoPP 보안 정책을 적용할 수 있는 Setup Utility가 있다.

• NX-OS는 Feature 기반 라이센스 모델 사용.

  • 필요에 따라 Enterprise, Advanced Services 라이센스 필요
  • Feature로 OSPF, BGP, show 명령어 등을 활성화 시켜줘야 사용 가능
  • 특정 Feature를 활성화하기 전에는 구성 및 확인 명령어 사용 불가능

• 인터페이스는 Etherenet으로 레이블이 지정됨

  • Port-channel이 Etherchannel을 대체 (PAGP X. LACP만 지원)
    • PAGP: Cisco 전용 링크 이중화 프로토콜

• NX-OS는 물리적 디바이스를 논리적 디바이스로 분할할 수 있는 VDC를 지원

• NX-OS에는 사전 구성된 VRF 두 개가 있다(Default, Management)

  • 기본적으로 모든 Layer3 인터페이스 및 라우팅 프로토콜은 Default VRF에 있음
  • mgmt0 인터페이스는 Management VRF에 있으며 모든 VDC에서 액세스할 수 있음

• 기본적으로 SSHv2 사용

• NX-OS는 사용자 이름과 암호 필수

  • 기본 로그인 관리자는 admin, 부팅 시 암호 지정(처음에는 admin,엔터로 접속)
    • 사용자 계정 안만들면 처음에 admin으로 접속하고 재부팅 시 초기화 전까지 접근 불가!!

• write memory 명령어 사용 X

  • copy running-config startup-config 혹은 alias 명령 사용

• 기본 STP 모드는 Rapid-PVST+

config

• show 명령을 Exec 또는 config Mode에서 실행 가능 config# show interface e1/1

• CIDR 표기법 지원 config#interface e1/1 config-if#ip address 192.168.0.1/23

• 모드 인식 CLI 기록 ** #show cli history ** ** #show cli history config-mode **

• 인터페이스 표시 작동 상태에 이유 표기

• range 명령어 사용 X ** config#interface eth1/1-3** ** config#interface eth1/1,eth1/3**

• Feature별 Config 표시 ** #show running-config ntp**

• 긴 Config 제외 가능(ACL, QoS 등)

• #show running-config exclude ~*

• startup config와 running config 비교

• #show running-config diff*

Role

기본 Role 2가지 있음

• network-admin: all pemrit
• network-operator: all 읽기 허용

admin은 기본적으로 network-admin 역할 위의 2가지 Role로 거의 사용

Rule

• Command, Feature, Feature Group 매개변수가 계층 관계를 갖음
  • Command: 기본적인 제어 명령(가장 작은 단위)
  • Feature: Feature와 관련된 모든 명령
  • Feature group: 관련 Feature 결합한 모든 명령
• Rule 번호는 Rules이 적용되는 순서 결정
  • 내림차순 적용
  • Rule이 3개 있으면 Rule 3이 Rule 1,2보다 먼저 적용

Default Setting

• 기본 Network-operator로 설정

• config 불가함

config#username user-id [password] [role role-name]

스냅샷

• 시스템 체크 포인트
  • 넥서스가 자동으로 스냅샷 저장(Feature가 사라질 때, 라이센스가 만료될 때 등 장비에 크리티컬 문제가 생길 거 같을 때)
• 유저 체크 포인트
  • 작업하기 전 현재 상태를 스냅샷으로 수동으로 지정

• NX-OS는 특정 이벤트가 발생할 때 자동으로 체크포인트 생성

config# feature eigrp config# router eigrp 1 config-router# autonomous-system 100 config-router# exit config# no feature eigrp config# show check all

-> eigrp 체크포인트 존재

user checkpoint

#checkpoint changes

• checkpoint 저장

#rollback running-config checkpoint changes

• checkpoint 원복

롤백 제한 사항

• write erase 및 reload 명령 실행 후 체크포인트 삭제
  • 일반 체크포인트는 메모리에 존재
  • 체크포인트를 파일로 만들면 안사라지게 가능

포트 프로파일

포트 프로파일을 이용해 공통 구성을 적용 가능

range와 포트 프로파일 차이점

range

• range로 config 후 show running-config로 확인 시 각 인터페이스에 설정이 보임

포트 프로파일

• config 적용 후 show running-config로 확인 시 포트 프로파일이 적용되어있다~ 설정만 보임
• 포트 프로파일이 적용된 인터페이스 수정하고 싶을 떄 포트 프로파일 수정하면 인터페이스도 같이 수정

config# port-profile COMMUNITY1 포트 프로파일 생성

config# port-profile COMMUNITY1
config-ppm# switchport mode access
등 설정 
config# interface thernet 2/28
config-if#inherit port-profile COMMUNITY1

config-if# inherit port-profile COMMUNITY1 인터페이스에 프로파일 적용

#show run interface ethernet 2/28

interface Ethernet2/28
  inherit port-profile COMMUNITY1

#show port-profile

port-profile COMMUNITY1
  type: Ethernet description:
  status: enabled
  ...

N9K: - 진짜 DC Switch - module형, Box형

N7K: - Module형

N5K: - Box형

N2K: - 단독 동작 X, 포트도 없음

N1K: - virtual 장비

1대 yes, 나머지 skip 강력한 패스워드 취소 ->** no password strengh-check**

alias로 running config 저장

config#cli alias name wr copy run start

alias 목록 확인 config#show cli alias

checkpoint 파일로 만들기 #checkpoint file bootflash://이름

rollback 하는법 #rollback running-config file bootflash:1023checkpoint

mgmt까지만 설정하고 checkpoint 만들어놓기

• 라우터는 정적 또는 동적 라우팅 프로토콜을 통해 학습된 모든 직접 연결된 네트워크를 포함하는 단일 전역 라우팅 테이블 사용
  • 단일 전역 라우팅 테이블: show ip route로 쳤을 때 나오는 테이블
• VRF는 라우터를 쪼개서 사용하게 해줌
  • VLAN같은 기능
  • 자신만의 라우팅테이블을 가지게 됨
• 라우터의 각 인터페이스는 서로 다른 VRF에 할당

VRF Lite Configure

• VRF 이름은 대소문자 구분

• BGP 환경에서 VRF는 식별을 위해 고유 RD값 필요

  • RD: route-distinguisher

  Router(config)# ip vrf [vrf_name] Router(config-vrf)#rd [ASN:nn] - ASN: nn 또는 a.b.c.d: nn형식 - nn은 ISP에서 할당

4개의 네트워크가 connected로 연결 -> Red 와 Blue가 통신 가능하게 됨

vrf 설정 시 인터페이스 설정 초기화 됨

vrf 확인 config# show ip vrp #show ip route connected -> 아무것도 안뜸

• vrp 이름을 명시해줘야 함
• #show ip route vrp Blue connected*
• #show ip route vrp Red connected*

ping -> #ping vrp Blue 192.168.1.1 static 설정 -> ip route vrp Blue 1.1.1.1 255.255.255.255 192.168.1.1

OSPF 사용할 때도 분리 config#router ospf 1 vrp Blue config-router# network 192.168.1.0 0.0.0.255 area 0 ...

• ISP만 vrp로 분리해야하고 연결된 장비는 vrp 설정 필요 없음

한 호스트에서 다른 호스트, 한 데이터스토어에서 다른 데이터스토어 등으로 VM을 이동시키는 것

Migration 종류

1. 옮기는 VM 전원 상태에 따라 종류가 다름

• Cold
  • 전원이 꺼져있는 VM을 이동
• Suspended
  • 대기중인 VM을 이동
• Hot
  • 전원이 켜져있는 VM을 이동

2. 어떤 내용을 옮기는지에 따라 하위종류 3가지가 있음

• Memory
  • VM이 다른 host로 이동
• Storage
  • VM이 다른 데이터스토어로 이동
• Shared-nothing (Memory + Storage)
  • VM이 다른 host와 데이터스토어로 이동

ex) 전원이 켜져있는 상태에서 VM이 다른 host로 이동 -> Hot Memory Migration

vMotion

전원이 켜진 가상 시스템을 한 호스트에서 다른 호스트로 이동

• 전반적인 하드웨어 사용 개선
• 스케줄링된 하드웨어 다운타임을 수용하는 동시에 지속적인 가상 시스템 작동
• vSphere DRS가 호스트 간에 시스템의 균형을 조정할 수 있도록 동작

조건

• Local 이미지가 CD/DVD 같은 가상 디바이스에 연결되어 있으면 안됨
• 공유 스토리지 필수(호스트1에서 호스트2로 넘어가려면 호스트2에서도 그 VM의 파일에 접근 가능해야 함)
  • VM의 파일이 공유 스토리지에 설치되어 있어야 함
• 호스트는 vMotion을 위해 최소 1GE 이상의 전용 네트워크 구성 필요
  • 1GE 사용 시 동시 vMotion 마이그레이션은 4개로 제한
  • 10GE 이상 사용시 동시 vMotion 마이그레이션은 8개로 제한
• 호스트의 CPU 호환성

vMotion 종류

• L2 vMotion vMotion 설정이 동일(보통 동일한 데이터센터)
• L3 vMotion 서로 다른 데이터센터간에 vMotion

Cluster

• 여러 개의 ESXi 호스트를 그룹화해 자원을 효율적으로 관리
• 고가용성(HA), 부하분산(DRS), vSAN 제공

Cluster 구성 조건

• Host는 유지보수 모드 동작 필요
• 유지보수 모드 동작을 위해 모든 VM 전원 OFF
• 유지보수 모드: VM또는 호스트의 유지 보수 작업을 위해 호스트를 안전한 상태로 유지하는 모드

1. 클러스터 기본

• 클러스터 이름, 클러스터 기능 활성화(HA, DRS, vSAN)

2. 호스트 추가

• 새 호스트, 기존 호스트 추가 가능

3. 클러스터 구성

HA

High Ability(고가용성)

• Cluster 구성 필요
  • Cluster 리소스 사용해 HA 제공
• VMware의 HA는 Host 기반 동작
  • 가상머신 장애가 아니라 호스트 장애(ESXi Host) 발생 시 동작!!
  • HA does not provide 100% uptime
• ESXi Host 장애 발생 시 Cluster 내의 다른 Host에서 VM 동작
• vMotion으로 이동하는 것이 아니라 다시 불러오는거라 재부팅됨
  • 부팅 시간만큼 Downtime 발생
• 공유 스토리지 필수!

HA 시나리오

1. VM이 켜진 상태에서 Host 종료

-> VM이 다른 Host에서 재시작됨

2. VM이 꺼진 상태에서 Host 종료

-> VM이 다른 Host로 이동하고 부팅은 X

3. VM이 꺼진 상태에서 Host가 유지보수 모드 진입 후 Host 종료

-> VM 이동 X, Host와 함께 연결 끊김 상태

회사끼리 계약할 때 SLA 정함 = SLA 95% 제공하겠다 -> 5%정도 downtime 될 수 있다.

FT

Fault Tolerance

vSAN

• 클러스터 필수
• SSD와 HDD 혼합으로 사용해야 함
  • SSD: 캐싱용
  • HDD: 저장소

기본값으로 다음

• 하드디스크는 용량계층으로밖에 사용 불가
  • 50GB: 용량계층(저장소)
  • 10GB: 캐시계층(플래시로 표시 클릭해서 SSD로 속인거)

• RAID5로 동작
• vSAN도 전용선이 필요

DRS

Distributed Resource Scheduler

• 클러스터 필요
• vMotion 필요
• 공유 스토리지 필요
• 호스트의 리소스를 최적화 관리
  • Host 리소스 부하 분산

편집

(테스트 위해 적극성 최대로)

스냅샷

스냅샷 너무 많이 사용하지 말기 오래된 스냅샷은 삭제하는게 좋음

초록색 입장 -> 원본=파랑 연두색 입장 -> 원본=파랑 + 초록 초록색 스냅샷 삭제 -> 초록색과 파랑색이 합쳐짐 -> 파랑색으로 되돌아갈 수 없음

연두색 삭제 -> 현재 정보를 유지하기 위해 초록색이 연두색과 합쳐짐 현재보다 뒤의 데이터를 지우는건 영향 X

현재 데이터를 유지하기 위해 지우는 델타 데이터들이 파랑색과 합쳐짐

NFS 클라이언트 접속

iSCSI Server

iSCSI Client

원격 접속 허용

DHCP Server

DNS Server

• 데이터센터 내부의 많은 ESXi Host들을 통합 관리하기 위한 솔루션
• 데이터센터에 등록된 모든 ESXi Host의 VM / Storage / Network 통합 관리, 운영
• ESXi Host Client에서 지원하지 않는 고급 기능 지원
  • HA, FT, DRS, vMotion ...
  • Vsphere Client (GUI)
• vCenter Virtual Appliances 형태로 배포(VM)
  • 7.x release 이후: VCSA 지원
• vCenter 설치 방식
  • 7.x release 이후: PSC 내장 설치

vCenter 구성 요소

• vCenter Server
  • vCenter에서 지원하는 대부분의 기능 포함
• Platform Service Controller (PSC)
  • SSO domain 생성 (보안토큰을 통해 추가 인증 없이 ESXi Host 통합 관리)
    • vCenter Login : vCenter SSO domain login (username은 e-mail 형식)
  • 인증서, 라이센스 관련 서비스 포함

vCenter 설치

Installer 사용(추천)

• Stage1, Stage2 직접 진행

  Stage1, Stage2 설치

• Stage1(VM 배포)

  • vCenter VM 배포할 Target (ESXi-3)
  • VM이름, VM사이즈, Storage 선택
  • IP, DNS, FQDN, PG...
  • Stage1 종료 후 installer는 Stage2 진행을 위해 vCenter FQDN에 접근
    1. installer 실행되는 PC의 hosts 파일 수정
    2. installer 실행되는 PC의 DNS IP 변경

• Stage2(vCenter 설정 -> SSO domain 생성)

  • NTP 설정, SSH 설정
  • SSO domain 생성
  • SSO domain 계정 패스워드 생성(아이디 adinistrator 자동)
  • Stage2 진행 중 자신의 FQDN 과 IP확인을 위해 DNS에 정방향/역방향 체크
    • 정방향: vCenter FQDN에 대한 IP 질의
    • 역방향: vCenter IP에 대한 FQDN 질의

vCenter 접근

• https://vcenter-fqdn (vCenter FQDN에 접근 하는 PC의 Hosts 수정 또는 DNS IP 변경)
• login 화면 -> SSO domain login
• administrator@vcsa.local / VMware1!

설치 과정

ESXi host name: ESXi3의 아이디/비밀번호 (설치될 장소)

VM 이름/비밀번호

Thin Mode 설정

Network: VM Network IP version: IPv4 IP assignment: Static FQDN: pod42.vcsa.com IP address: 10.1.42.110 Subent mask: 255.255.255.0 Default GW: 10.1.42.254 DNS Server: 192.168.2.144(내 Win Srv)

2단계

NTP 서버 설정

ESXi host 등록

1. DataCenter 생성 이름: POD42-DC

2. ESXi Host 추가 IP / Hostname (관리할 ESXi host)

• 사용안함
  • DCUI(Console), Host Client, vSphere Client 접근 자유로움
• 일반
  • DCUI(console), vSphere Client로 접근 가능 (Host Client가 잠김.)
• 엄격
  • vSphere Client로만 접근 가능(Host Client, Console 잠김)

생성 후 구성 - 보안 프로파일 - 잠금모드에서 권한 수정 가능

vCenter는 폴더 기능 제공(그룹, 종류별로 분류 가능)

vCenter 자체 관리 : https://pod42.vcsa.com:5480

VM 생성 방법

• Host Client -> VM 생성/등록

  • 새 가상 시스템 생성
  • OVF / OVA 배포
  • 기존 가상 시스템 등록

• vSphere Client -> Host 선택(우클릭) -> 새 가상 시스템 + OVF 배포 (메뉴 따로 있음) + 기존 가상 시스템 등록

  • vSphere Client -> ESXi DataStore -> 파일 메뉴에서 가능

• vSphere Client에서는 클론&템플릿 제공(Host Client에서는 제공 X)

클론

• VM선택 -> 우클릭 -> 복제 -> 가상 시스템으로 복제
• 가상머신 또는 템플릿 복제

템플릿

• 마스터 이미지(=도장)
• 가상머신 X (동작 불가, 전원 ON/OFF 불가)

  템플릿 생성 방법

1. VM을 템플릿으로 복제
   • VM 선택(우클릭) -> 복제 -> 템플릿으로 복제
   • Host 선택(우클릭) -> 새 가상 시스템 -> 템플릿에서 가상시스템 복제
     • VM-1(on/off) -> VM-1, Temp-1
       • 가상시스템을 템플릿으로 복제
       • VM전원 상태와 상관 X
       • VM은 남아있고 템플릿 생성
2. VM을 템플릿으로 변환
   • VM선택(우클릭) -> 템플릿 -> 템플릿으로 변환
   • Host선택(우클릭) -> 새 가상 시스템 -> 가상 시스템으로 템플릿 변환
     • VM-1(off) -> Temp-1
       • 가상시스템을 템플릿으로 변환
       • VM전원 종료되어있어야 함
       • VM 사라지고 템플릿 생성
3. 기존 템플릿 복제
   • 템플릿(우클릭) -> 템플릿으로 복제
   • Host 선택(우클릭) -> 새 가상 시스템 -> 템플릿 간 복제
     • Temp-1 -> Temp-1, Temp-2
       • VM과 관계 X
       • 기존 템플릿 남아있고 새로운 템플릿 생성

• 복제 : 원본 크기에 따라 시간소요 다름
• 변환 : 원본 크기 관계 없이 시간소요 같음

템플릿 배포 방법

1. 템플릿을 통해 VM 배포
   • 템플릿(우클릭) -> 이 템플릿에서 새 VM 생성
     • Temp-1 -> Temp-1, VM-1
       • 템플릿을 이용해 가상 시스템 생성
       • 템플릿은 남아 있고, VM 생성
       • 동작과정: Temp-1 복제 -> Temp-1, Temp-2 -> 변환 -> Temp-1, VM-1
2. 템플릿을 VM으로 변환
   • 템플릿(우클릭) -> 가상 시스템으로 변환
     • Temp-1 -> VM-1
       • 템플릿을 가상 시스템으로 변환
       • 템플릿은 사라지고, VM 생성

왜 VM 복제를 안하고 템플릿을 만들어서 VM을 생성할까??

• VM 복제 중에는 병렬작업 불가능
  • 하나의 복사본 생성될때까지 다른 복사본 생성 불가능
  • 복사하면서 VM 설정 불가능
• 템플릿은 실행 불가능 파일이라 변경 가능성 X

템플릿과 가상머신 파일 구성 똑같음

vSphere에서 인벤토리 제거 -> ESXi host Client에서도 목록에서 사라짐 ( 데이터스토어에는 남아있음) - 반대도 동일-

VM-Tools

• VM을 위해 제공되는 소프트웨어 패키지를 VM의 성능과 기능 개선을 위한 드라이버 및 유틸리티 포함해 VM의 전반적인 성능이 크게 향상

  • 향상된 성능: 그래픽, 네트워크, 메모리 공유와 같은 VM의 하드웨어 성능 최적화

  • 게스트 운영체제 통합: 호스트와 게스트 운영체제 간의 시간 동기화, 클립보드 공유, 파일 드래그 앤 드롭

  • 관리 기능 향상: VM의 상태 정보를 보고, VM의 전원 상태를 더 정확하게 관리

  • 드라이버 제공: VM 내 네트워크, 비디오, 스토리지 드라이버 등을 포함

- 기본 구성 - MAIN 스위치와 SW4의 연결: Trunk

Switch 4 g1/0/24: switchport mode access 192 g1/0/2: access vlan 41 g1/0/3: access vlan 42 g1/0/4: access vlan 43

MGMT IP: 192.168.2.141

Port Group

• 물리적 스위치의 Port와 유사 -> VM의 NIC와 연결
• 1(PG):n(VM) 연결 가능
• vlan, trunk, qos 등 가능
  • 0: default, Tagging 동작 X
  • 1~4094
    1. outbound: vSW가 끝나는 지점에서 Tagging 동작 -> 업링크 통해 물리적 NIC로 전달
    2. inbound: Tagging된 트래픽이 PG까지 전달되고 VM에 전달되기 직전에 TAG 제거
    3. 반드시 물리적 NIC와 연결되는 네트워크 인프라 장비의 Port는 Trunk 동작
    4. 다양한 Network를 VM에서 사용 가능
  • 4095: PG자체가 Trunk 동작
    • PG가 VM과 Trunk 통신이 필요한 경우

      Uplink(옵션)

• vSW에 구성된 PG에 연결되어 VM이 외부통신이 가능하도록 물리적 NIC와 연결되는 논리적 링크
• vSW의 PG에 연결된 VM들이 외부 통신이 필요하지 않다면 업링크 불필요
• 물리적 NIC를 통해 물리적 인프라 통해 외부 통신 가능

VM Kernal Interface(옵션)

• ESXi Host가 IP통신 할 때 (VM X)
  • ESXi Host는 물리적 NIC를 갖지만 물리적 NIC에 IP 할당 불가능
  • VMKint에 IP를 할당해 해당 IP를 이용해 ESXi Host가 IP 통신(SVI 유사)
• IP와 역할 할당 가능
• MGMT 역할 VMKint는 필수
  • ESXi 설치 과정에서 VMK0 생성
  • DCUI Management Network 메뉴 통해 할당된 IP는 VMK0이 갖게 됨

서버는 통신이 왜 안될까?? Port-Group 에 VLAN을 192 할당한 상태. SW 4에서 vSwitch로 들어올 때 Trunk 가 아니라 access 모드이기 때문에 Tagging X -> 받았을 때 VLAN 설정 알 수 없어서 Default(vlan 0)으로 보내게 됨

그렇다면 g1/0/24를 access 모드에서 trunk로 바꾼다면??

서버는 외부통신이 가능해짐 하지만 VMkint와 통신 불가능해짐 -> SW 4에서 vlan 192를 태깅해서 보내기 때문에 Management 는 VLAN 설정이 안되어있어(vlan 0) 통신이 불가능해짐 -> vmk0의 VLAN을 192로 변경

현재 구성

vSW는 자신에게 연결된 모든 연결의 MAC 학습 but 중첩 가상화 환경 -> 모르는 MAC Address 존재 vSW는 모르는 MAC주소 들어오면 Flooding X(자신이 모든 MAC 주소 알고 있다고 생각) -> 통신 불가

• 중첩가상화 환경에서 ESXi 0 입장에서는 ESXi 1 위에서 동작하는 VM의 MAC은 모르는 MAC주소
  • ESXi 0 입장에서는 ESXi 1번으로 전달해야 하는 트래픽이 들어올 경우 unknown unicast로 인식
  • 하지만 vSW는 unknown unicast 처리 X

->

• 모르는 MAC 허용 (위조 방지 기능)
  • Unknown Unicast에서 트래픽 허용하기 위해 사용
• 모르는 MAC Flooding (비규칙 방식)
  • 어떤 통신방식이던 (Unicast, Broadcast) 무조건 관련된 포트로 flooding
  • Unknown Unicast에서 트래픽 받기 위해 사용
  • 가상머신이 모니터링 서비스 할 때(트래픽 캡쳐하고 싶을 때)

가상 시스템: 물리적 컴퓨터와 해당 구성 요소를 소프트웨어로 표현 가상화 소프트웨어: 물리적 시스템과 해당 구성 요소를 파일로 변환

physical Machines

• 이동, 복사 어려움
• 특정 하드웨어 구성 요소 집합에 바인딩
• 하드웨어 업그레이드시 외부지원 필요

Virtual Machines

• 이동, 복사 간편함

  • 파일로 캡슐화
  • 물리적 하드웨어에 구애 받지 않음

• 관리 용이성:

  • 동일한 물리적 하드웨어에서 실행되는 다른 가상머신과 분리
  • 물리적 하드웨어 변경으로부터 격리

• 모든 OS의 애플리케이션은 가상 시스템(=VM, 가상머신, 게스트)에서 실행되며 호스트기반 리소스의 CPU, 메모리, 디스크 및 네트워크 사용 가능

• VMware들의 CPU 합은 물리적 CPU 넘게 할당 가능(= overcommit) (권장 X)
• 1 VM CPU는 물리적 CPU보다 크게 할당 불가능

CPU, RAM, Storage는 커널에서 자동 관리

NIC는 관리자가 100% 관리해야됨

VM이 Host의 Storage를 공유받는 방법

• 씬 방식
  • 가상 시스템에서 필요에 따라 스토리지 공간 사용
  • 필요한 용량만 사용

  • overcommit 가능

• 씩 방식
  • 가상 디스크를 생성할 때 정의된 모든 디스크 공간을 사용
  • 빠르게 비워지는 씩 프로비저닝
    • 디스크의 모든 블록을 0으로 미리 채워줌
  • 느리게 비워지는 씩 프로비저닝
    • 있는 블록 그대로 떼서 줌

중요한 서버일수록 Thick 방식 선호!!!

CPU, Memory

• CPU 및 메모리 리소스를 추가, 변경 또는 구성하여 가상 시스템 성능을 향상시킬 수 있음
  • 호스트의 논리적 CPU 수(물리 CPU 개수)
  • 설치된 게스트 운영 체제의 유형

ESXi

ESXi 하이퍼바이저는 물리적 호스트의 프로세서, 메모리, 스토리지 및 네트워킹 리소스를 추상화하여 여러 가상 시스템에 할당하는 가상화 계층 제공

ESXi 통해 VM 생성하는 방법

1. 새 VM 생성

   • 가상 시스템 -> VM 생성/등록 -> 새 가상 시스템 생성
   • GuestOS Free
   • H/W 구성 요소 직접 구성(조립 서버)
     • CPU, RAM, HDD, NIC -> ESXi Host에 요청
     • OS 설치 수동

2. OVA, OVF 배포

3. 기존 VM 등록

ESXi Network

• VM에 할당된 CPU, RAM, Storage 리소스는 ESXi에서 알아서 관리해줌
• 네트워크는 직접 관리해야함
  • 생성 / 관리 / 운영
• 네트워크는 컴퓨터 관점에서는 핵심 구성 요소는 아니지만 서비스를 제공해야 하는 서버 관점에서는 핵심 구성 요소
• vSwitch(표준 스위치)
  • Port-Group(VSW의 필수 요소)
  • VM Kernal Interface(선택)
  • Uplink(선택)

물리 SW Port = Port 번호, 1(Port) : 1(End device) VSW Port = Port-Group, 1(PG) : N(VM)

VM Kernal Interface: HOST가 IP통신이 필요한 경우

• ESXi 설치 및 DCUI 통해 기본생성
• VMK0의 IP를 이용해 관리자는 ESXi HOST와 통신(MGMT)
• 단독동작 X. 반드시 PG소속 필요(MVK가 소속된 PG는 다른 VM 연결)

설정 -> 설치 후 DCUI 통해

VM 필수 조건

1. 구성 요소
2. 1개 이상의 PG(Port-Group)와 연결

어떤 포트와 연결되어있는지 확인하는법

1. MAC Address 확인
2. show mac address ~~ 로 어떤 포트랑 연결되어 있는지(port40)
3. show etherchannel summary로 어떤 인터페이스 묶었는지
4. show cdp neighbor로 어떤 스위치랑?
5. 그 스위치 들어가서 show mac address ~~ 로 어떤 포트인지

ESXi 설정 순서

• 원래 데이터를 GRE 헤더로 캡슐화 후 NEW IP Header 부착
• L2 | 211.239.123.1 61.250.123.1 | GRE | 192.168.1.1 192.168.2.2 | DATA
  • ISP는 61.250.123.1을 목적지 IP로 확인하고 라우팅
• 암호화, 인증, 무결성 제공 X
• 멀티 프로토콜 지원(IPv4, IPv6, Multicast, Unicast ...)
  • Tunnel 통해 Dynamic Routing Protocol 운영 가능
  • 보안 취약하기 때문에 GRE만 사용하지 않고 다른 기술과 같이 사용
• Tunnel 인터페이스를 통해 논리적 Connected 환경 제공
  • 10초마다 Tunnel Src, Dest IP 이용해 Keepalive 전송
• Dynamic Routing Protocol 운영 시 Tunnel Source IP 광고하지 않도록 주의
• Tunnel에 설정되는 Src와 Dest 통신이 되어야 Tunnel 활성화
• Tunnel 생성 후 내부 Network의 Next-hop은 Tunnel IP, Outgoing Interface는 Tunnel Interface

IPsec

• Unicast만 지원
• 암호화, 인증, 무결성 제공
• GRE는 항상 tunnel이 up 되어 있지만, IPsec은 트래픽 발생 시 tunnel이 up됨.

  협상 과정

  P1

  ISAKMP SA(P2를 위한 사전협상)
• 6단계

  P2

  IPsec SA(실제 Data 통신방식 결정)
• 3단계

Encapsulation & mode

• Transport Mode

  • 종단 장비 사이에 직접 IPsec VPN을 이용한 통신이 이루어지는 경우에 사용
  • 20바이트 길이의 추가적인 IP 헤더를 사용하지 않는 반면, 보안통신을 하는 두 장비의 IP 주소가 외부 노출

• Tunnel Mode

  • 종단 장비들이 전송경로 사이에 있는 IPsec VPN 게이트웨이를 이용해 통신
  • IPsec VPN 관련 처리는 VPN G/W에서 이루어지고 종단 장비들은 VPN 존재 인식 X
  • 종단 장비의 IP 주소가 외부 노출 X

Dynamic CrpytoMap

• 각 Peer에 대한 Crypto MAP을 Dynamic하게 생성
• 지사의 잦은 이동, 지사 인터넷 회선이 고정 IP가 아닌 유동 IP를 사용하는 경우
• Crypto MAP
  • Peer IP, IPsec SA, ACL
• Dynamic MAP
  • IPsec SA, ACL
• DMAP이 적용된 본사는 Peer IP를 모르기 때문에, 지사에서 먼저 통신을 시도 해야 Tunnel 생성
• Dynamic MAP 생성 -> Crypto MAP 적용 -> 인터페이스 적용

본사-지사 통신 지사가 먼저 터널협상 시도해야 통신가능

지사-지사 통신 각 지사가 서로에게 터널협상 시도해야 통신가능

ASA1 설정

config#failover lan unit primary

config#interface Ethernet 0/3 config-if#no shutdown

config#failover lan interface FAILOVER Ethernet 0/3 config#failover link FAILOVER Ethernet 0/3 config#failover interface ip FAILOVER 192.168.12.1 255.255.255.0 standby 192.168.12.2 config#failover

config#interface Ethernet 0/0 config-if#no shutdown config-if#nameif INSIDE config-if#ip address 192.168.1.254 255.255.255.0 standby 192.168.1.253 ->평소 254로 작동하다가 standby로 작동 시 253으로 작동

ASA2 설정

config#failover lan unit secondary config#failover lan interface FAILOVER Ethernet 0/3 config#failover link FAILOVER Ethernet 0/3 config#failover interface ip FAILOVER 192.168.12.1 255.255.255.0 standby 192.168.12.2 config#failover

config#interface Ethernet 0/3 config-if#no shutdown

• 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이의 장벽
• LAN과 WAN 사이에 적용
  • 즉, 데이터 전달 경로에 배치되어 패킷을 드롭/ 허용

Stateless Filtering

• 라우터는 ACL을 이용해 Source, Destination, Port number 확인
• 수천개의 패킷을 수신해도 각 패킷을 개별적으로 처리

  Stateful Filtering

• 방화벽은 모든 들어오는 또는 나가는 Connection 추적

  Security Zone

• 라우터는 기본적으로 라우팅 테이블을 기반으로 데이터를 허용/처리
• 방호벽은 Zone 기반으로 데이터를 허용/처리 High Security Level -> Low Security Level: 허용 Low Security Level -> High Security Level: 거부
  • 외부에서 시작해 내부로 접근하는 트래픽에 대해 ACL을 이용해 예외 적용
• 방화벽은 Stateful 동작으로 나가는 Connection 추적해 되돌아 오는 트래픽 허용

ASA

• 시스코 방화벽 제품으로 방화벽 외에도 VPN 등 여러 보안 기능 탑재

  Command

• #show run interface

• #show verison

  • OS Release, Uptime, Serial Num 등 표시

• #show ip address

• #show interface ip brief

• ***** #show nameif

• #show firewall

  • ASA는 L2모드, L3모드 동작 가능
  • Default L3 모드
  • L2모드: #firewall transparent
  • L3모드: no firewall transparent

• #route [egress nameif] 0.0.0.0 0.0.0.0 [next-hop] route [나가는 인터페이스] ~ ex) route outside 0.0.0.0 0.0.0.0 1.1.40.2

• #show route

  • 라우팅테이블 확인

• #show run route

  • 일부 설정 확인

• show interface ip brief

  • 인터페이스 확인

security level 설정

interface e0/2 nameif DMZ security-level 50 ip address ~ no shut

SSH 설정

config# username admin password cisco123

config# aaa authentication ssh console LOCAL -> 콘솔 통해 ssh 접속할 때 인증 방식인데, 데이터베이스 외부가 아니라 로컬에 있다~

config# crypto key generate rsa modules 1024 -> 비대칭 키 생성

config# ssh 10.10.10.1 255.255.255.255 inside -> Inside에 있는 10.10.10.1이 자신에게 SSH 사용하는거 허용

config# ssh 1.1.10.1 255.255.255.255 outside -> outside에 있는 1.1.101.1이 자신에게 SSH 사용하는거 허용

ASA Security Levels

• Security Level은 인터페이스의 신뢰도 -> Security Level이 높을수록 신뢰도가 높음

• Low Security Level에서 High Security Level 통신은 ACL통해 예외설정 해야함 -> ACL이 Security Level보다 상위 정책

• Security Level 0

  • 가장 낮음
  • 일반적으로 Outside Interface에 적용
  • ACL없이는 다른 Zone에 접근 불가

• Security Level 100

  • 가장 높음
  • 일반적으로 Inside Interface에 할당
  • 다른 모든 Zone에 접근 가능

• Security Level 1~99

  • 원하는 수준의 Security Level 할당 가능

• zone = nameif

• 1 Interface = 1 nameif 소속

  • ip주소 부여되어 있어도 소속이 안되면 인터페이스 작동 X

• zone 이름, Inside, Outside 많이 사용

  • Inside로 이름 할당 시 자동으로 Security Level 100

ACL 적용은 Global Configuration Mode에서, 인터페이스 대신 nameif 사용 AS의 모든 설정은 nameif(zone) 기반 config# access-list INSIDE_INBOUND deny tcp any host 192.168.2.2 eq 80 config# access-grouop INSIDE_INBOUND in interface INSIDE

ASA Inspection

• ASA는 자신을 통과하는 모든 연결에 대해 추적하고 conn table에 기록(Stateful, Inspect)
• 유일하게 ICMP만 추적/기록 예외
• 추적/기록하기 위해 ICMP 추가해주기

config#policy-map global_policy config-pmap#class inspection_default config-pmap-c#inspect icmp

ACL

config# access-list ALL_OUTBOUND permit udp any host 192.168.2.2 eq 53 config# access-list ALL_OUTBOUND deny udp any any eq 53

확인

show access-list ALL_OUTBOUND

규칙 추가

access-list ALL_OUTBOUND line 3 extended deny tcp any any -> 라인 3번에 추가되고 밑에 규칙들은 한칸씩 밀림

규칙 삭제

no access-list ALL_OUTBOUND line 3 extended deny tcp any any

ACL 삭제

clear configure access-list MY_ACL ACL 삭제 시 ACL 적용된 Access-Group 같이 삭제됨!!! 다시 access-group도 해줘야됨!!!

규칙 잠시동안 비활성화

access-list ALL_OUTBOUND permit tcp host 10.10.10.1 172.16.1.0 255.255.255.0 eq telnet inactive

NAT

• Static NAT/PAT
• Dynamic NAT/PAT
• Policy NAT/PAT
• Bypass NAT

구현방법

• Object NAT(Auto NAT)
• Manual NAT

Static NAT/PAT

• 정적 NAT는 주소 변환에 필요한 정보를 저장하는 NAT 테이블에 반영구적으로 NAT 정책을 저장

  • 어느 방향에서도 통신 시작 가능

• 정적 PAT는 TCP/UDP 포트 번호까지 변환

  • 다수의 사설 IP 주소에 하나의 공인 IP 사용하는 경우
  • 서로 다른 사설 IP 주소를 가진 웹 서버, FTP 서버, 메일 서버 등에 하나의 공인 IP 주소를 이용해 접속
  • 표준 포트번호와 비표준 포트를 매핑(8080 -> 80)

Dynamic NAT/PAT

• 동적 NAT는 정책에 부합하는 트래픽이 발생한 순간 변환 주소가 할당

  • 해당 정보는 NAT 테이블에 임시적으로 저장되고 통신이 끝나면 제거(3분)
  • 평소에는 NAT 테이블에 등록된 정보가 없어, 정책의 반대 방향에서는 통신 불가

• 동적 PAT는 수 개의 사설 IP 주소를 하나의 공인 IP 또는 공인 IP 풀 주소로 변환하면서 포트번호도 함께 변환

  • PAT은 사설 IP 주소와 출발지 포트 번호를 공인 IP 주소와 1024 이후의 포트 번호로 변환
  • 접속이 종료되면 30초 후 포트 변환이 해제

  Policy NAT/PAT

  • Policy NAT는 출발지와 목적지에 따라 변환
    • 일반 NAT는 Source를 보고 변환하지만, Policy NAT/PAT는 출발지, 목적지를 모두 참고하여 주소변환
    • 서버1 접속할 때는 공인 IP1로 변환, 서버2 접속할 때는 공인IP2로 변환

  Bypass NAT

  • Bypass NAT는 특정 출발지와 목적지를 가진 패킷만 주소 변환을 하지 않음

  NAT 구현 방식

  Object NAT

  • 하나의 Network Object 안에서 NAT 정책 설정
  • 오브젝트 NAT에서는 패킷의 출발지 주소만 변환할 수 있지만, 설정이 매우 간단
  • AUTO NAT이라고도 부름
    • 설정 순서와 상관없이 세부적인 정책일수록 테이블 상위에 존재

      Manual NAT

• 출발지 주소와 목적지 주소 모두 참고하여 주소 변환

  • 특정 출발지 주소를 가진 패킷이 특정 목적지를 향할 때
    • 출발지 주소만 원하는 IP로 변환
    • 출발지와 목적지 주소 모두 원하는 IP로 변환

• NAT 테이블에서 정책 순위를 관리자가 직접 지정 가능

  • 설정 순서대로 NAT 테이블에 등록.

NAT 동작 순서

• NAT가 설정된 방화벽을 통과하는 모든 패킷은 NAT 테이블에 등록된 정책을 참조해 주소 변환 결정
• show nat 명렁어를 통해 확인 가능
• 정책 우선순위
  1. Manual NAT
  2. Auto NAT
  3. Manual NAT with after-auto

ip주소와 nameif, security-level 설정해주기

config#object network PUBLIC_POOL

config-network-object#range 192.168.2.100 192.168.2.200 -> Dynamic NAT 범위 지정해주기(설정해준 IP로 바뀜)

config#object network INSIDE_TO_OUTSIDE config-network-object#subnet 192.168.1.0 255.255.255.0 -> 변환해줄 IP 설정(이 대역이 지나갈 때 IP주소 변경됨) config-network-object#nat (INSIDE,OUTSIDE) dynamic PUBLIC_POOL

TCP(Transmission Control Protocol)

• 신뢰할 수 있는 전송 프로토콜
• 전송여부 확인, 재전송 가능(오류수정)
• 대부분의 데이터 전송 용도로 사용

UDP(User Datagram Protocol)

• 신뢰할 수 없는 전송 프로토콜
• 전송여부 미확인, 재전송 불가
• 음성 및 스트리밍 등 실시간 데이터 전송에 사용

• RIP, EIGRP, ISIS, OSP
• 하나의 조직이 IGP 전체를 관리
• 라우팅 정책이 다른 조직에 영향을 받지 않음
• 최적의 경로 선택 -> 가장 빠른 경로가 최적의 경로 -> Metric값
• 사설 Network

EGP(Exterior Gateway Protocol)

• BGP
• 수많은 AS로 구성
• 조직간 계약된 정책에 따라 최적의 경로 선택 -> 가장 빠른 경로가 아님
  • 11가지 BGP 속성
• 장애 발생 시 국가 혹은 전 세계적으로 영향(ISP 기준)
• 공인 Network

• IGP는 모두 최단 경로가 목표
  • OSPF: Cost
  • EIGRP: Bandwidth, Delay...
  • RIP: Hop Count
• BGP는 AS간 연결에 사용
• 인터넷은 최단 경로를 신경 쓰지 않고, 교통 경로를 조작할 수 있는 것이 더 중요
• 인터넷에서 사용하는 라우팅 프로토콜은 BGP가 유일

iBGP

• 외부 AS로부터 받은 경로를 다른 AS로 전달하기 위해 AS 내부에서 사용
• IGP와 같이 동작
• Full-Mesh 권장
• AD 200
• Loopback interface를 통해 Neighbor 성립 권장

eBGP

• AS와 AS 사이에서 경로 전달 용도로 사용
• AS-Path 확인하여 Loop 방지
• AD 20
• AS 경로 뒤에 AS번호를 붙여 루프 방지
  • AS번호는 unique(중복 불가)

AS2는 Transit AS

• Transit AS: 경로를 받아서 전달해주는 AS = 1개 이상의 다른 AS와 연결되어 지나가는 트래픽 있음 = ISP

AS1, AS3= Non Transit AS

• 1개 이상의 다른 AS와 연결이 되지만 지나가는 트래픽이 있는게 아니라 Local 정보만 전달하는 AS

AS1과 AS2는 서로 다른 AS이기 때문에 EBGP가 필요 또한 AS2와 AS3 사이에도 EBGP가 필요

• R2가 R1에게 배운 경로를 R5에게 전달해야 함

• R2와 R4는 IBGP를 구성해야 R4가 R5게 광고

• IBGP가 필요한 첫 번째 이유

R2에서 R4로 전달은 iBGP로 하지만 도달가능성 보장받기 위해 IGP구성이 필요한거임

• AS내부에 IGP: OSPF 등...
• 경로전달 Protocol: BGP(iBGP,eBGP)
• OSPF: AS내부에 BGP를 맺기 위한 도달가능성 보장

IGP는 인접장비와 neighbor 가능 BGP는 인접장비가 아니어도 neighbor 가능(iBGP, eBGP 둘다)

BGp Neighbor State

• Neighbor는 수동으로 구성하고, BGP는 TCP 179번 사용
• 유니캐스트 사용

Idle

• BGP가 아무런 동작을 하지 않은 상태
• 인접 장비를 기다리는 상태

• 인접 장비는 직접연결 상관 없음(BGP는 리모트도 연결 가능)

• 원격 BGP 장비에 대한 TCP 연결 시작 / 대기

Connect

• 3WAY-handshake 완료를 기다리는 상태
• TCP 연결의 시도가 이루어진 상태

Active

• TCP연결이 되지 않은 상태(ACK가 안오는 등 연결 완성이 안된 상태)

• Retransmission 시도

• 30Sec 유지
• BGP 재설정 등의 이유로 Idle 상태 진입 가능
• TCP SYN 패킷을 막고있거나, 방화벽 등의 이유가 있을 수 있음

연결 성공한 상태

OpenSent

• TCP 연결이 이루어지고 Open Message를 보내거나 기다리는 상태
• iBGP, eBGP 결정되는 순간(AS 번호 확인)

• AS번호가 동일하면 iBGP, 다르면 eBGP

• Keepalive 타이머 재설정 / 송신(낮은값으로)
• Active상태에서 30Sec 기다리다가 연결되어도 OpenSent상태로 됨

OpenConfirm

• 원격 BGP keepalive 메시지를 기다리는 상태
• keepalive를 수신하면 Neighbor 관계 완성

Established

• BGP Neighbor 완료되고 BGP 라우터가 업데이트 패킷을 전송해 라우팅 정보를 교환
• keepalive 또는 update 메시지를 받을 때마다 hold 타이머 재설정
• Notification 메시지를 수신하면 다시 Idle 상태로 이동

BGP

• 개별 라우터에 도달하는 경로가 아닌 각 AS에 도달하는 경로를 선택하는 방식

• Load-Balancing 지원 XX

• 반드시 하나의 경로만 선택

• Neighbor는 수동 설정을 통해 성립

• 신뢰성 있는 경로 전달을 위해 TCP 179 사용

• TCP 세션 성립 후 Neighbor 맺음

• 최초 Neighbor 성립 직후 BGP Table 전체 update

• 최초 전체 Update 후 Triggered update iBGP 5초, eBGP 30초

  BGP config

  config#router bgp as-number

  • 사설 AS 넘버: 64512~65535

config-router#neighbor ip-address *remote-as *as-number

• ip 주소와 as-number는 remote 라우터의 정보들

R2 #router bgp 2 #neighbor 1.1.1.1 remote-as 1

옵션

설명 넣을 때

config-router#neighbor ip-address description ~

summary 확인

#show ip bgp summary PfxRcd에 2: 2개의 네트워크를 광고받고 있다

패스워드 설정

config-router# neighbor ip-address password string

잠시 neighbor 끊을 때

config-router#neighbor ip-address shutdown

이웃맺은 장비 상세 정보

#show ip bgp neighbors ip-address

iBGP Config

config-router#neighbor ip-address remote-as as-number

물리적 링크 이용한 iBGP

R1 router bgp 1 neighbor 10.10.10.2 remote-as 1 R2 router bgp 2 neighbor 10.10.10.1 remote-as 1

Loopback 이용한 iBGP

R1 neighbor 2.2.2.2 remote-as 1 neighbor 2.2.2.2 update-source loopback 1 R2 neighbor 1.1.1.1 remote-as 1 neighbor 1.1.1.1 update-source loopback 1

loopback으로 neighbor 권장!! 이유: 물리적 링크로 neighbor를 맺게 되면 그 포트에 이상이 생겼을 경우 neighbor가 끊김. 하지만 loopback으로 neighbor을 맺었을 경우 그 라우터가 죽기 전까지 항상 loopback 인터페이스가 활성화되어 있기 때문에 다른 경로로 찾아갈 수 있음

BGP Table

• BGP가 학습하는 모든 경로는 BGP 테이블에 저장
  • *: 유효한 경로이며 BGP에서 사용 가능한 경로를 의미
  • >:이 경로가 최상의 경로로 선택됨
• Next-Hop이 0.0.0.0 -> 자신이 이 네트워크 광고했음을 의미 = 자신의 네트워크

• Metric, LcoPrf, Weight 등은 경로의 우선순위 비교하는 항목들의 일부
  • 총 옵션 11개정도 됨
• Path에 AS 경로가 표시
  • 이 경로는 자신의 라우터에서 광고되었기 때문에 AS 경로가 없음
• 'i'는 오리진 코드이며 이 경로가 네트워크 명령을 사용해 BGP에 보급되었음을 의미

• R2는 Next-Hop으로 192.168.24.4에서 이 네트워크 학습
• *와 >로 표시되었기 때문에 이 경로가 라우팅 테이블에 올라갈 것을 의미
• Path에 AS가 4라고 표시되어 있음

• eBGP -> Connected 구간
  • 문제 없음
• iBGP -> Remote 구간
  • BGP는 AS를 Router로 인식
  • eBGP는 라우터와 라우터의 경로 전달
  • iBGP는 라우터 내부동작 -> 관심없음

• bgp 테이블 그대로 갖고오기 때문에 Next Hop도 그대로 갖고와서 찾아갈 수 없음

해결방법

• Static 설정
• OSPF로 경로 알려주기
• 더 근본적인 문제 해결
  • BGP 테이블 공유할 때 Next Hop을 바꿔주자

  • Next Hop을 자기 자신으로 변경해서 전달해주자

  • neighbor ip address next-hop-self
  • loopback으로 iBGP neighbor를 맺었으면 ip address 부분에 loopback ip주소 작성

2번째 문제 iBGP로 전달받은 경로는 iBGP로 또 전달해주지 않음 R1 -> R2 -> R3 순서로 iBGP를 받을 수 없음

-> R1이랑 R3를 neighbor 맺어줘야 함

BGP Attributes

• BGP 라우터는 일반적으로 동일한 대상에 대한 여러 경로 수신

• IGP는 메트릭이 가장 낮은 경로 선택

  • RIP: Hop Count
  • OSPF: Cost

• BGP는 특성 목록을 기반으로 최적의 경로 선택

• 주로 1,2,4번까지의 값을 조절해서 우선순위 변경

• Weight

  • Cisco에만 있는 값으로, Cisco장비끼리 통신할 때만 사용 가능
  • Highest Weight 경로 선호
  • eBGP Neighbor로 광고하는 경로 기본값은 0
  • 자신이 광고하는 경로는 32768 붙여 등록(최댓값) (show bgp로 확인 가능)
  • OUTBOUND Traffic 조정 용도로 INBOUND 적용
    • neighbor 1.1.1.1 weight 100

    • 1.1.1.1로부터 받는 경로는 weight값 100으로 받음

    • 다른 경로보다 우선순위

• Local Preference

  • AS 내에서 사용되며 iBGP 라우터 간에 교환
  • Highest Local Preference 경로 선호
  • iBGP로 광고하는 경우 기본값은 100
  • eBGP로 광고 시 붙지 않음
  • Weight와 다르게 iBGP Neighbor로 전파 가능
  • OUTBOUND Traffic 조정 용도로 INBOUND 적용

• AS Path length

  • Shortest AS path 경로 선호
    • AS 1 2 3 4 5 보다 AS 1 2 3 선호
  • AS Path는 eBGP로 전파되는 경우, 자신의 AS를 붙임
  • Inbound Traffic 조정 용도로 OUTBOUND 적용 -> 광고 할 때 AS를 1 1 1 1 1 와 같이 광고하여 AS Path를 길게 만듦
  • MED
    • Lowest MED 경로 선호
    • MED는 AS 간에 교환
    • As-path랑 같은 역할이라 잘 사용하진 않음
    • EBGP로 전파되는 경우 Default 0, iBGP로 전파되는 경우 변경 없이 전달
    • 다른 AS로 전달되는 경우, MED가 삭제되어 비교하지 않음

Weight 값 변경

특정 라우터에서 들어오는 일부 대역 weight 값 변경

config#access-list 1 permit 22.22.22.0 0.0.0.255 config#route-map SETWEIGHT permit 10 config-route-map#match ip address 1 config-route-map#set weight 400 config-route-map#exit config#route-map SETWEIGHT permit 20 config-route-map#set weight 0 config-route-map#exit

• 적용

neighbor 192.168.13.3 route-map SETWEIGHT in

192.168.13.3에게서 받아오는 경로(인바운드)에 Weight값 적용

특정 라우터에서 들어오는 모든 경로 Weight값 변경

config#router bgp 1 config-router#neighbor 192.168.13.3 weight 500

Local Preference 값 변경

config#route-map LOCAL permit 10 config-route-map#set local-preference 700 config#route bgp 2 config-router#neighbor 192.168.13.1 route-map LOCAL in

혹은

config#router bgp 2 config-router#bgp default local-preference 600

AS Path 값 변경

config#route-map PREPEND permit 10 config-route-map#set as-path prepend 1 1 1 1 1(자신의 AS값) config#router bgp 1 config-router#neighbor 192.168.12.2 route-map PREPEND out

MED 값 변경

config#route-map MED permit 10 config-route-map#set mertric 700 config#router bgp 1 config-router#neighbor 192.168.12.2 route-map MED out

• OSPF Network 명령어의 동작

1. Network 명령어로 지정한 네트워크에 포함되는 Connected 경로 광고(전파)
2. Network 명령어로 지정한 네트워크에 포함되는 Interface에 OSPF 활성화
   • Mcast 224.0.0.5를 대상으로 Hello 전송

• 인접 라우터에 네트워크 광고를 위해서는 Network 명령어 반드시 필요

  • 1)을 위해 Network 명령어 사용시 2) 같이 동작

• 불필요한 Hello 전송을 차단 하기 위해 사용

  • Black-List : 필요한 인터페이스만 passive 설정
  • White-List : 모두 차단 후 필요한 인터페이스만 no passive 설정

OSPF LSA TYPE

• Type1 (Router LSA)
  • OSPF 구성하는 모든 장비가 생성
  • Area 내부에만 전달
  • ‘O’ 경로
• Type2 (Network LSA)
  • DR 장비가 생성
  • DR 정보 및 DR과 Neighbor 맺은 장은 장비 포함
  • P2P 환경에서는 생성되지 않음
  • Area 내부에만 전달
• Type3 (Summary LSA)
  • ABR 장비가 생성
  • Area 내부에서 전달 되는 Router LSA를 ABR이 받게되면 Type 3으로 변경돼 다른 Area에 전달
  • 축약도 가능
  • ‘O IA’ 경로
• Type4 ( Summary ASBR LSA)
  • ABR 장비가 생성
  • Area 내부에 있는 ASBR 장비가 생성한 Router LSA를 ABR이 받게 되면 Type 4로 변경돼 다른 Area에 전달
  • 다른 Area의 장비가 ASBR 장비의 위치를 학습
• Type5 (external LSA)
  • ASBR 장비가 생성하는 외부 경로 정보
  • 외부 경로 정보를 Type5로 Area 내부 전파 , ABR에 의해 다른 Area로 전파
  • ‘O E1’ , ‘O E2’ 경로 (Default = O E2)

OSPF Default Route

• OSPF 통해 Dynamic Default Route 전파
  • ‘O E2’ Type으로 전파 (LSA Type - 5)
• Default information originate
  • 전파하는 장비가 Default Route 를 갖고 있는 경우
• Default information originate alway
  • 전파하는 장비가 Default Route 를 갖고 있지 않는 경우
    • Default information originate alway를 사용하는 장비간에는 Default 경로 전파 X

OSPF Reference Bandwidth

• Cisco IOS Default refernece Bandwidth = 100,000,000 bps = 100Mbps
• Cost = reference bandwidth / interface bandwidth = Fast Ethernet Cost = 1 = Serial Cost = 64
• 소수점은 1로 계산함.

• Fast Ethernet보다 느리면 계산이 가능하지만 GigabitEthernet 등 Fast Ethernet보다 빠른 이더넷들은 다 Cost 값이 1임

• Fast Ethernet = 1 Gigabit Etherent = 10 Gigabit Etherent = Cost 1

• FE, GE 둘다 연결하면 로드밸런싱 됨