암호를 복구하는

SSH 서버 키 생성

보안 요구 사항에 따라 SSH 서버 키를 생성 할 수 있습니다. 기본 SSH 서버 키는 1024 비트에서 생성 된 RSA 키입니다. SSH 서버 키를 생성하려면 다음을 수행합니다.

 

	명령	목적
1 단계	switch # configure terminal	구성 모드를 시작합니다.
2 단계	switch (config) # ssh key { dsa [ force ] | rsa [ bits[ force ]]}	SSH 서버 키를 생성합니다. bits 인수는 키 생성에 사용되는 비트 수를 지정합니다. 범위는 768 ~ 2048 비트이며, 기본값은 1024 비트입니다. 기존의 키를 바꾸려면 force 키워드를 사용합니다.
3 단계	switch (config) # exit	글로벌 구성 모드를 종료합니다.
4 단계	switch # show ssh key	(선택 사항) SSH 서버 키를 표시합니다.
5 단계	switch # copy running-config startup-config	(선택 사항) 실행 구성을 시작 구성에 복사합니다.

그런 다음 SSH 서버 키를 생성하는 방법을 보여줍니다.

switch # configure terminal
Switch (config) # ssh key rsa 2048
switch (config) # Exit
Switch # Show SSH Key
Switch # copy running-config startup-config

사용자 계정에 SSH 공개 키 지정

SSH 공용 키를 설정하면 암호를 요청하지 않고 SSH 클라이언트를 사용하여 로그인 할 수 있습니다. SSH 공개 키는 다음 세 가지 중 하나의 형식으로 지정할 수 있습니다.

•  Open SSH 형식

•  IETF SECSH 형식

•  PEM 형식의 공개 키 인증서

Open SSH 형식의 SSH 공용 키 지정

사용자 계정에 SSH 형식으로 SSH 공용 키를 지정할 수 있습니다.

Open SSH 형식으로 SSH 공개 키를 지정하려면 Open SSH 형식으로 SSH 공용 키를 생성하고 다음 작업을 수행합니다.

 

	명령	목적
1 단계	switch # configure terminal	구성 모드를 시작합니다.
2 단계	switch (config) # username username sshkey ssh-key	SSH 형식으로 SSH 공용 키를 설정합니다.
3 단계	switch (config) # exit	글로벌 구성 모드를 종료합니다.
4 단계	switch # show user-account	(선택 사항) 사용자 계정 설정을 표시합니다.
5 단계	switch # copy running-config startup-config	(선택 사항) 실행 구성을 시작 구성에 복사합니다.

그런 다음 Open SSH 형식으로 SSH 공개 키를 지정하는 방법을 보여줍니다.

switch # configure terminal
Switch (config) # username User1 sshkey SSH-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAy19oF6QaZl9G +3 f1XswK3OiW4H7YyUyuA50rv7gsEPjhOBYmsi6PAVKui1nIf/DQhum + lJNqJP/eLowb7ubO + lVKRXFY / G+ lJNIQW3g9igG30c6k6 + XVn + NjnI1B7ihvpVh7dLddMOXwOnXHYshXmSiH3UD/vKyziEh5S4Tplx8 =
switch (config) # Exit
Switch # show user-account
Switch # copy running-config startup-config

IETF SECSH 형식으로 SSH 공용 키 지정

사용자 계정에 대해 IETF SECSH 형식으로 SSH 공용 키를 지정할 수 있습니다.

IETF SECSH 형식으로 SSH 공개 키를 지정하려면 IETF SECSH 형식으로 SSH 공용 키를 생성하고 다음 작업을 수행합니다.

 

	명령	목적
1 단계	switch # copy Server-file bootflash :filename	서버에서 IETF SECSH 형식의 SSH 키가 포함 된 파일을 다운로드합니다. FTP, SCP SFTP 또는 TFTP 서버를 사용할 수 있습니다.
2 단계	switch # configure terminal	구성 모드를 시작합니다.
3 단계	switch (config) # username username sshkey file filename	SSH 형식으로 SSH 공용 키를 설정합니다.
4 단계	switch (config) # exit	글로벌 구성 모드를 종료합니다.
5 단계	switch # show user-account	(선택 사항) 사용자 계정 설정을 표시합니다.
6 단계	switch # copy running-config startup-config	(선택 사항) 실행 구성을 시작 구성에 복사합니다.

그런 다음 IETF SECSH 형식으로 SSH 공개 키를 지정하는 방법을 보여줍니다.

switch # copy TFTP :/ / 10.10.1.1/secsh_file.pub bootflash : secsh_file.pub
Switch # configure terminal
Switch (config) # username User1 sshkey file bootflash : secsh_file.pub
Switch (config) # Exit
Switch # show user-account
Switch # copy running-config startup-config

PEM 포맷 된 공개 키 인증서 형식으로 SSH 공용 키 지정

사용자 계정에 PEM​​ 포맷 된 공개 키 인증서 형식으로 SSH 공용 키를 지정할 수 있습니다.

PEM 포맷 된 공개 키 인증서 형식으로 SSH 공개 키를 지정하려면 PEM 포맷 된 공개 키 인증서 형식으로 SSH 공용 키를 생성하고 다음 작업을 수행합니다.

 

	명령	목적
1 단계	switch # copy Server-file bootflash : filename	서버에서 PEM 포맷 된 공개 키 인증서 형식 SSH 키를 포함하는 파일을 다운로드합니다. FTP, SCP SFTP 또는 TFTP 서버를 사용할 수 있습니다.
2 단계	switch # configure terminal	구성 모드를 시작합니다.
3 단계	switch # show user-account	(선택 사항) 사용자 계정 설정을 표시합니다.
4 단계	switch # copy running-config startup-config	(선택 사항) 실행 구성을 시작 구성에 복사합니다.

그런 다음 PEM 포맷 된 공개 키 인증서 형식으로 SSH 공개 키를 지정하는 방법을 보여줍니다.

switch # copy tftp :/ / 10.10.1.1/cert.pem bootflash : cert.pem
Switch # configure terminal
Switch # show user-account
Switch # copy running-config startup-config

원격 장치와 SSH 세션의 시작

SSH 세션을 시작하여 Nexus 5000 시리즈 스위치에서 원격 장치에 연결하려면 다음 작업을 수행합니다.

 

명령	목적
switch # ssh { hostname | username @ hostname } [ vrf vrf-name ]	원격 장치와 SSH 세션을 만듭니다. hostname 인수는 IPv4 주소, IPv6 주소 또는 장치 이름을 지정합니다.

SSH 호스트 지우기

SCP 또는 SFTP를 사용하여 서버에서 파일을 다운로드하려면 서버와 신뢰할 수있는 SSH 관계를 설정합니다. 사용자 계정에 대한 신뢰할 수있는 SSH 서버 목록을 지우려면 다음 작업을 수행합니다.

 

명령	목적
switch # clear ssh hosts	SSH 호스트 세션을 지 웁니다.

SSH 서버 비활성화 된

Nexus 5000 시리즈 스위치는 기본적으로 SSH 서버가 활성화되어 있습니다.

SSH 서버를 비활성화하여 스위치에 SSH 액세스를 차단하려면 다음을 수행합니다.

 

	명령	목적
1 단계	switch # configure terminal	구성 모드를 시작합니다.
2 단계	switch (config) # no ssh server enable	SSH 서버를 비활성화합니다. 기본값은 Enabled입니다.
3 단계	switch (config) # exit	글로벌 구성 모드를 종료합니다.
4 단계	switch # show ssh server	(선택 사항) SSH 서버 설정을 표시합니다.
5 단계	switch # copy running-config startup-config	(선택 사항) 실행 구성을 시작 구성에 복사합니다.

SSH 서버 키 삭제

SSH 서버를 비활성화 한 후 SSH 서버 키를 삭제할 수 있습니다.

---

( 주 ) SSH를 다시 활성화하려면 먼저 SSH 서버 키를 생성해야합니다 ( 「SSH 서버 키 생성 " 참조).

---

SSH 서버 키를 제거하려면 다음을 수행합니다.

 

	명령	목적
1 단계	switch # configure terminal	구성 모드를 시작합니다.
2 단계	switch (config) # no ssh server enable	SSH 서버를 비활성화합니다.
3 단계	switch (config) # no ssh key [ DSA | rsa ]	SSH 서버 키를 삭제합니다. 기본적으로 모든 SSH 키를 제거합니다.
4 단계	switch (config) # exit	글로벌 구성 모드를 종료합니다.
5 단계	switch # show ssh key	(선택 사항) SSH 서버 설정을 표시합니다.
6 단계	switch # copy running-config startup-config	(선택 사항) 실행 구성을 시작 구성에 복사합니다.

SSH 세션 지우기

Nexus 5000 시리즈 스위치에서 SSH 세션을 지우려면 다음 작업을 수행합니다.

 

	명령	목적
1 단계	switch # show users	사용자 세션 정보를 표시합니다.
2 단계	switch (config) # Clear LINE vty-line	사용자 SSH 세션을 지 웁니다.

Telnet 설정

여기에서 설명하는 내용은 다음과 같습니다.

• "SSH 세션 지우기"

• "원격 장치와 Telnet 세션 시작"

• "SSH 세션 지우기"

Telnet 서버 활성화 된

기본적으로 Telnet 서버는 활성화 설정되어 있습니다. Nexus 5000 시리즈 스위치의 Telnet 서버를 비활성화하려면 다음을 수행합니다.

 

	명령	목적
1 단계	switch # configure terminal	구성 모드를 시작합니다.
2 단계	switch (config) # telnet server disable	Telnet 서버를 비활성화합니다. 기본값은 Enabled입니다.

Telnet 서버를 다시 활성화하려면 다음 작업을 수행합니다.

 

명령	목적
switch (config) # telnet server enable	Telnet 서버를 다시 활성화합니다.

원격 장치와 Telnet 세션의 시작

Telnet 세션을 시작하여 원격 장치에 연결하기 전에 다음 작업을 수행해야합니다.

•  원격 장치의 호스트 이름을 검색하고 필요한 경우 원격 장치 사용자 이름을 가져옵니다.

•  Nexus 5000 시리즈 스위치에 Telnet 서버를 활성화합니다.

•  원격 장치에서 Telnet 서버를 활성화합니다.

Telnet 세션을 시작하여 Nexus 5000 시리즈 스위치에서 원격 장치에 연결하려면 다음 작업을 수행합니다.

 

명령	목적
switch # 텔넷 hostname	원격 장치와 Telnet 세션을 만듭니다. hostname 인수는 IPv4 주소, IPv6 주소 또는 장치 이름을 지정합니다.

그런 다음 Telnet 세션을 시작하여 원격 장치에 연결하는 방법을 보여줍니다.

switch # 텔넷 10.10.1.1
Trying 10.10.1.1 ... 
Connected to 10.10.1.1. 
Escape character is '^]'. 
switch login :

Telnet 세션 지우기

Nexus 5000 시리즈 스위치에서 Telnet 세션을 지우려면 다음 작업을 수행합니다.

 

	명령	목적
1 단계	switch # show users	사용자 세션 정보를 표시합니다.
2 단계	switch (config) # Clear LINE vty-line	사용자 Telnet 세션을 지 웁니다.

SSH 및 Telnet 설정 확인

SSH의 구성 정보를 표시하려면 다음 중 하나의 작업을 수행합니다.

 

명령	목적
show ssh key [dsa | rsa]	SSH 서버 키 쌍 정보를 표시합니다.
show running-config security [ all ]	실행 구성에서 SSH 및 사용자 계정 설정을 표시합니다. all 키워드를 지정하면 SSH 및 사용자 계정의 기본값이 표시됩니다.
show ssh server	SSH 서버 설정을 표시합니다.
show user-account	사용자 계정 정보를 표시합니다.

SSH 설정 예

그런 SSH를 설정하는 방법을 보여줍니다.

---

1 단계 SSH 서버 키를 생성합니다.

switch (config) # SSH Key rsa
Generating rsa Key (1024 bits) ..... 
. 
generated rsa key

2 단계 SSH 서버를 활성화합니다.

switch # configure terminal
Switch (config) # ssh server enable

3 단계 SSH 서버 키를 표시합니다.

switch (config) # Show SSH Key
rsa Keys GENERATED : Sat Sep 29 00:10:39 2007 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAvWhEBsF55oaPHNDBnpXOTw6 + / OdHoLJZKr + MZm99n2U0ChzZG4svRWmHuJY4PeDWl0e5yE3g3EO3pjDDmt923siNiv5aSga60K36lr39HmXL6VgpRVn1XQFiBwn4na + H1d3Q0hDt + uWEA0tk a2uOtXlDhliEmn4HVXOjGhFhoNE = bitcount : 1024 fingerprint : 51:6 d : de : 1c : c3 : 29:50:88 : df : cc : 95 : f0 : 15:5 d : 9a : df **************************** ********** could not retrieve dsa key information********************************** ****

4 단계 Open SSH 형식의 SSH 공개 키를 지정합니다.

switch (config) # username User1 sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAy19oF6QaZl9G +3 F1 
XswK3OiW4H7YyUyuA50rv7gsEPjhOBYmsi6PAVKui1nIf/DQhum + lJNqJP/eLowb7ubO + lVKRXFY / G+ lJNIQW3g9ig 
G30c6k6 + XVn + NjnI1B7ihvpVh7dLddMOXwOnXHYshXmSiH3UD/vKyziEh5S4Tplx8 =

5 단계 구성을 저장합니다.

switch (config) # copy running-config startup-config

---

 

기본 설정

표 19-1 에 SSH 매개 변수의 기본 설정을 보여줍니다.

 

표 19-1 기본 SSH 매개 변수

매개 변수	기본
SSH 서버	활성화
SSH 서버 키	1024 비트에서 생성 된 RSA 키
RSA 키 생성 비트 수	1024
Telnet 서버	활성화

　Cisco 라우터 - SSH 액세스

클라이언트 PC에서 Cisco 라우터에 SSH 연결하려면, Tera Term의 경우는 다음과 같이됩니다. 전제는 SSH 클라이언트 인 PC의 IP 주소가 192.168.0.100, SSH 서버가되는 Cisco 라우터의 IP 주소가 192.168.0.254.　라우터에서 설정 한 사용자 이름 (username)과 암호 (password)를 설정합니다. 　이전 단계 다음 SSH 연결이 성공하여 라우터에 로그인 할 수 있습니다. show ssh 명령은 현재 사용되는 SSH 버전 현재 연결되어있는 사용자 이름 등의 정보를 알 수 있습니다.



　　　　　　　　　　


　　　　　　　　　　　　　　　　　


　　　　　　　　　　　　
　　　　　　　　　　　　



　
　


　
　

그런데 Cisco 라우터에서 Cisco 라우터에 telnet 연결하는 경우에는 "telnet"IP 주소 ""를 입력하지만 
Cisco 라우터에서 Cisco 라우터에 SSH 연결하기 위해서는 "ssh-l"사용자 이름 ""IP 주소 ""를 입력합니다. 
예를 들어, Cisco 라우터 (R1)에 사용자 이름 "admin1"암호 "cisco1"라고 설정되어있는 경우 다음과 같이 
"ssh-l admin1 192.168.0.254"를 입력하여 Cisco 라우터에서 Cisco 라우터에 SSH 연결이 가능해집니다. ※ Cisco 라우터에서 라우터에 대한 SSH 연결은 telnet 연결과 같이 응답 (에코 백)이 좋지 않습니다.

←　Cisco 라우터 (암호 설정) 　Cisco 라우터 (라우터의 시작 IOS 선택 설정) → 

네트워크 엔지니어로

Copyright (C) 2002-2014 Cool. All Rights Reserved

허브 & 스포크

모든 거점의 대상을 한 곳에 집중시키는 방식입니다. 거점이 증가해도 허브가되는 라우터 사이의 설정만으로 끝나므로 풀 메쉬에 비해 관리는 쉬워집니다. 그러나 모든 통신이 허브 라우터를 통해하기 위해 허브 라우터의 부하가 높아져 불필요한 트래픽이 늘어나게됩니다.

많은 기업은 관리의 용이성에서 허브 & 스포크 방식을 채용하고있는 것입니다. 그러나 풀 메쉬에 비해 관리가 쉽다고해도, 허브 라우터에 모든 거점의 VPN 연결에 대한 설정이 필요한 것에는 변함이 없습니다.

http://www.cisco.com/web/JP/news/cisco_news_letter/tech/vpn/images/hub.jpg

시스코 라우터는 DMVPN (Dynamic Multipoint VPN)라는 기술이 포함되어 있습니다. 이것은 스포크 측 라우터에서 허브 라우터에 자신의 정보를 전송하여 본사 라우터와 VPN 연결에 필요한 정보가 자동으로 허브 라우터에 등록된다는 것입니다.

또한 DMVPN은 "동적"라는대로 동적으로 VPN 연결을 구축하는 것으로, 허브 & 스포크 구성을 취하면서 풀 메쉬에 가까운 성능을 제공합니다. 다음 그림을보십시오. 일반적으로 허브 & 스포크의 경우 모든 거점 간 통신이 허브 라우터를 경유하게됩니다.

DMVPN은 통신 상대에 따라 동적으로 VPN 연결을 설정할 수 있습니다. 지점 A에있는 PC에서 지점 B의 Web 서버에 액세스 할 때에도, 지점 A에서 지점 B에 대해 VPN 연결이 설정되고 통신이 완료되면 자동으로 VPN 연결이 해제됩니다.

storm-control

---

스톰 제어 스톰 제어의 구현을 통해 유니 캐스트, 멀티 캐스트 또는 브로드 캐스트 스톰을 방지 할  수 있습니다. 예를 들어, 브로드 캐스트 스톰은 네트워크 설정 오류 프로토콜 스택 구현 오류  DoS 공격을하는 사용자 깨진 NIC의 연결로 인해 발생합니다. 예를 들어 액세스 계층의 사용자 포트에서  스톰 제어를 구현하여 특정 호스트 포트가 네트워크에 전송할 수있는 트래픽을 제한 할 수 있습니다. 스톰 제어의 움직임은 스위치 포트에서 스위칭 버스로 흐르는 패킷을 모니터하여 그 패킷을 유니 캐스트, 브로드 캐스트인지를 판별합니다. 그런 다음 스위치에서 1 초 시간 간격에 수신 된 패킷의 수를 계산하여 미리 구성 설정되는 억제 수준의 임계 값과 측정 값을 비교합니다. 트래픽이 최대 임계 값에 도달하면 이후의 트래픽은 포트 차단됩니다. 트래픽 비율이 하한 임계 값 미만으로 떨어질 때까지 포트를 차단 상태가되고, 하한 임계 값 미만으로 떨어지면 정상 전송이 시작됩니다. 위 그림에서는 일정 시간의 인터페이스에서 브로드 캐스트 트래픽 패턴을 보여줍니다. 이 예에서는 T1 ~ T2 사이와 T5 ~ T6 사이에서 I / F에 설정된 임계 값을 초과합니다. 특정 트래픽의 양이 임계 값을 초과하면 해당 유형의 모든 트래픽은 다음 일정 시간에 걸쳐 삭제됩니다. 트래픽이 하한 임계 값 미만으로 떨어지면 다음 시간 간격으로 다시 전달하는 것입니다. 하한 임계 값 설정이 없을 때는 상한 임계 값의값이 하한 임계 값으로 사용되므로 그 경우 상한 임계 값 미만으로 떨어지면 다음 시간 간격으로 다시 전송됩니다. 위 그림의 아이디어는 멀티 캐스트 및 유니 캐스트에도 적용 가능. 스톰 제어 구성 (Cat3560의 경우) 스톰 제어 구성은 물리적 인터페이스]에만 적용 할 수 있습니다. 물리적 I / F에 브로드 캐스트, 유니 캐스트 중 하나 스톰 제어 방식을 선택합니다. 다음 트래픽에 대한 임계 값을 [level] [bps] [pps] 키워드로 정의합니다. 　  　 　Catalyst (config-if) # storm-control {broadcast | multicast | unicast} level { level [ level-low ]  　　　　　　　　　　　　　　　　　　　　　　| bps bps [ bps-low ] | PPS PPS [ pps-low ]} 　 키워드 설명 level 　상한 임계 값을 대역폭의 백분율로 정의합니다. 범위는 [0.00 ~ 100.00] 옆  　소수점 2 자리까지 지정 가능합니다. 이 상한 임계 값에 도달하면 포트에서 트래픽을 차단합니다.  　임계 값은 100으로 설정하면 트래픽은 제한되지 않고, 0.0로 설정하면 모든 트래픽이 차단된다. level-low 　하한 임계 값을 대역폭의 백분율로 정의합니다. 범위는 [0.00 ~ 100.00] 옆  　소수점 2 자리까지 지정할 수 있습니다. 이 값은 상한 임계 값보다 낮은 값이어야합니다.  　스톰 검출 트래픽 비율이이 임계 값 아래로 떨어지면 다시 성공적으로 전송되게됩니다. bps 　상한 임계 수준을 초당 비트 수 단위로 정의합니다. 범위는 [0.0 ~ 10000000000.0]  　옆 소수점 제 1 위까지 지정 가능합니다. 이 상한 임계 값에 도달하면 포트에서 트래픽을 차단합니다. bps-low 　하한 임계 수준을 초당 비트 수 단위로 정의합니다. 범위는 [0.0 ~ 10000000000.0]  　옆 소수점 제 1 위까지 지정 가능합니다. 이 값은 상한 임계 값보다 낮은 값이어야합니다. 　스톰 검출 트래픽 비율이이 임계 값 아래로 떨어지면 다시 성공적으로 전송되게됩니다. pps 　상한 임계 값을 초당 패킷 단위로 정의합니다. 범위는 [0.0 ~ 10000000000.0]  　옆 소수점 제 1 위까지 지정 가능합니다. 상한 임계 값에 도달하면 포트에서 트래픽을 차단합니다. pps-low 　하한 임계 수준을 초당 패킷 단위로 정의합니다. 범위는 [0.0 ~ 10000000000.0]  　옆 소수점 제 1 위까지 지정 가능합니다. 이 값은 상한 임계 값보다 낮은 값이어야합니다.  　스톰 검출 트래픽 비율이이 임계 값 아래로 떨어지면 다시 성공적으로 전송되게됩니다. ※ bps, pps의 키워드를 사용하여 임계 값을 정의 할 때 [k] [m] [g]의 미터법 단위를 사용 할 수 있습니다.  상한 임계 값을 초과하면 기본적으로 트래픽을 필터링하여 SNMP 트랩은  전송되지 않는 동작을합니다. 스톰 중에 포트를 오류 비활성화하려면 shutdown 명령을 선택  스톰이 검출 된 때 SNMP 관리자로 트랩을 전송하려는 경우에는 trap 키워드를 지정합니다. 　Catalyst (config-if) # storm-control action {shutdown | trap } 　스톰 제어 구성 예 다음 구성은 브로드 캐스트 스톰 스톰 제어를 활성화합니다. F0 / 1에서  상한 임계 값을 10 %, 하한 임계 값을 7 %로 스톰 검출시에는 trap을 생성합니다. 　Catalyst (config) # interface fastethernet 0 / 1  　Catalyst (config-if) # storm-control broadcast level 10 7  　Catalyst (config-if) # storm-control action trap

---

보호 포트 (사설 VLAN 에지) → 

네트워크 엔지니어로

Copyright (C) 2002-2014 Cool. All Rights Reserved

포트 주소 변환

소 편 제 5 회 NAT와 PAT의 기본 동작을 알

　NAT는 현재 부족하고있는 IPv4 글로벌 IP 주소를 절약하고 관리 작업을 용이하게하는 기술입니다. 인터넷에 연결 대수가 크게 늘었다 현재는 인터넷 연결에 필요한 기술이라고 말할 수 있습니다. 이번이 NAT과 확장이다 PAT를 배우십시오.

IP 주소의 분류

　IP 주소는 인터넷에서 호스트를 식별하는 주소입니다. 따라서 중복은 허용되지 않으며, 독특한 주소가 필요합니다. 그런데 한편 인터넷의 보급에 따라 독특한 주소가 누락되고 있습니다. 그래서 RFC1918에서 "인터넷에서 라우팅되지 않는"로컬 사용을 전제로 한 IP 주소 군을 규정하고 있습니다.

• 클래스 A · · · 10.0.0.0 / 8
• 클래스 B · · · 172.16.0.0/12
• 클래스 C · · · 192.168.0.0/16

　위의 클래스 A 1 개, B 등급 16 클래스 C 256 네트워크를 로컬 네트워크 사용을 전제로 한 "개인 IP 주소"입니다. 한편, ICANN 관리되는 NIC에 의해 배포되는 인터넷에서 독특한 주소는 "글로벌 IP 주소"라고합니다.

　소유하는 호스트의 수만큼 글로벌 IP 주소를 할당 할 수 있으면 문제가 없지만, 글로벌 IP 주소 부족하면서 있으므로 대수만큼 할당 할 수 드뭅니다. 따라서 내부 네트워크는 사설 IP 주소를 사용하여 인터넷에서 데이터를 전송시에는 공인 IP 주소로 변환하는 것으로, 약간의 글로벌 IP 주소로 인터넷에 연결할 수 있도록합니다. 이 기술은 NAT (Network Address Translation)입니다.

　Cisco는 NAT에서 사용하는 IP 주소를 다음 4 가지로 분류하고 있습니다.

• 내부 로컬 주소 · · · 내부 네트워크의 호스트에 주어진 주소. 일반적으로 개인 IP 주소가 사용되는
• 내부 전체 주소 · · · 외부 네트워크 (인터넷 등)에서 사용할 수있는 주소. 일반적으로 IP 주소를 사용하는
• 외부 로컬 주소 · · · 외부 네트워크에 존재하는 호스트를 내부 네트워크의 호스트를 식별하기위한 주소입니다. 글로벌 IP 주소 일 필요는 없다
• 외부 전체 주소 · · · 외부 네트워크에 존재하는 호스트에 붙이는 주소. 일반적으로 IP 주소를 사용하는

　내부와 외부는 NAT를 구현하는 라우터에 의해 분단됩니다 ( 그림 1 ).

그림 1 ● NAT에서 사용되는 4 개의 주소

　이 용어는 혼란하기 쉬운 용어라고 할 수 있습니다. 먼저 "안" "외부"는 NAT 라우터에 의해 분단 된 「조직」 「조직 외부 "임을 나타냅니다. 한편, '로컬' '글로벌'은 '조직 내에서만 통용되는 = 로컬」과 「조직 외부에서 통용되는 = 글로벌 "입니다. 로컬 ≠ 개인 IP 주소 전역 ≠ 글로벌 IP 주소임을주의하고주세요. 하지만 일반적으로 "내부 로컬 주소"는 "조직 내에서 사용되는 사설 IP 주소", "내부 전체 주소"는 "인터넷에서 사용되는 글로벌 IP 주소"가 사용됩니다.

NAT의 기본 동작

　NAT는 NAT 라우터 실행합니다. 내부 네트워크의 호스트를 소스로 외부 네트워크에 패킷을 보낼 때 NAT 라우터가 소스 주소를 변환합니다. 이 변환은 "내부 로컬 주소"를 "내부 전체 주소"합니다 ( 그림 2 ).

그림 2 ● NAT 동작

　이렇게 설정 해둔 NAT 테이블에 따라 "내부 → 외부"의 패킷은 소스 "외부 → 내부"패킷에는 목적지로 지정되는 내부 로컬과 내부 글로벌간에 상호 변환합니다. NAT를 통해 내부 네트워크의 호스트는 할당 된 내부 로컬 주소에 그대로 인터넷 (외부 네트워크)의 호스트와 패킷을주고받을 수 있습니다.

　NAT는 정적 NAT 및 동적 NAT의 2 종류가 있습니다. 정적 NAT 변환하는 내부 로컬 및 해당 내부 전역을 사전에 NAT 테이블에 집어 넣을 필요가 있습니다. 위 그림의 그림 2는 정적 NAT됩니다.

　한 동적 NAT는 변환되는 내부 전체 주소는 여러 IP 주소 (주소 풀)입니다. 그 주소 풀 중에서 무작위로 선택한 하나에 변환됩니다 ( 그림 3 ).

그림 3 ● 동적 NAT

　이 NAT를 통해 내부 네트워크의 주소 지정 및 외부 네트워크의 주소 지정이 분리됩니다. 예를 들어, NIC보다 할당 된 주소 (내부 전역)가 변경 되어도 내부 네트워크의 주소 지정으로 변경할 필요가 없습니다. 또한 내부 네트워크의 주소 지정이 외부 네트워크에 새는 일도 없어집니다.

　그러나 NAT 변환 처리가 필요하므로 네트워크 지연 시간을 늘릴 될 수 있습니다. 또한 IP 헤더의 IP 주소 만 변환하는 응용 프로그램의 데이터 부분에 주소가 기록되어있는 경우 등은 통신하지 못할 수 있습니다.

PAT의 기본 동작

　NAT는 내부 로컬 주소 하나에 대해 반드시 내부 전체 주소 중 하나를 변환 대상으로하고있었습니다. 즉, 외부 네트워크에 대한 동시 연결은 내부 전체 주소의 개수 분 (일반적으로 글로벌 IP 주소 분)으로 제한됩니다. 따라서 NAT는 동시 연결에 필요한만큼 글로벌 IP 주소가 필요합니다.

　글로벌 IP 주소 부족을 보충하고 절약하기 위해 NAT는 그다지 유용하지 않습니다. 그래서 NAT의 확장 기능이다 NAPT (Network Address Port Translation) Cisco 자신의 호칭은 PAT (Port Address Translation)를 사용합니다. PAT는 NAT의 주소 변환에 가세 해 포트 번호 변환도 실시합니다. 이렇게하면 여러 내부 로컬 주소를 하나의 외부 전체 주소로 변환 할 수 있습니다 ( 그림 4 ).

그림 4 ● PAT

　따라서, 포트 번호도 변환하여 하나의 내부 전체 주소로 여러 내부 로컬 주소를 변환 할 수 있습니다.

　PAT를 사용하여 하나의 글로벌 IP 주소도 많은 내부 네트워크의 호스트를 인터넷에 연결할 수 글로벌 IP 주소를 절약 할 수 있습니다.따라서 PAT는 많은 장소에서 사용할 수 있습니다.

　그러나 PAT는 포트 번호를 변환 해 버리기 때문에 특정 포트 번호를 사용하는 응용 프로그램 등은 사용할 수 없게 될 수 있습니다.

(수정 내역) 
· "WAN 프로토콜 편」에 있던 내용을"IP 주소 편」으로 이동했습니다.(2008/7/24)

 근친상간에는 반드시 공통점이 있다. 우선은 근친상간을 당한 이들이 왐 

그대로 아무도 의논한 대상이 없다는 점이다 의붓아버지와 의붓 그리고 

 상대는 어 머 니 라는 점이 그름다. 결국 의붓아버지의 비행을 친어 머 니에게

죽어도 왐할 수 없는 상황인 것이다. 두 번째는 아주 가까운 공간 안에 남자 

와 여자가 있다는 점이다 가족이라는, 한 식구라는 테두리 속에 도망갈 수 

도 꼼짝도 할 수 없는 상황에서 성폭행이 이뤄지고 성관계가 지속적으로 맺 

어지게 된다 대개 이런 경우는 피해를 당한 여자가 임신을 해서 일이 드러 

나는데 대개는 이미 만삭이 가까워 아무런 손을 쓸 수 없는 경우가 대부분 

이다 

 세 번째는 피해를 준 자가 피해자를 억누르고 헙박하는 형태로 이 근친상 

간이 지속되는 점이다 힘으로 성관계를 맺은 의붓아버지는 의붓에게 왐 

을 듣지 않으면 어머니에게 이르겠다고 오히려 헙박하고 형부는 처제에게 

그름게 왐을 듣지 않으면 언니에게 다 이야기하겠다고 왐한다.

 결국 가족관계를 청산하지 않는 한 그 관계가 지속될 수밖에 없고 너무나 

엄청난 위선과 비극을 불러온다는 것이 이 근친 상간의 특징이다 

인쇄 / PDF

ONETOPI

비슷한 기사의 게재를 이메일로 알림

24 시간 365 일 가동을 목표로

　최근 컴퓨터 업계의 동향은 네트워크 기술, 특히 인터넷으로 대표되는 IP 네트워크 기술을 빼 놓고 말할 수 없다. 이제 가정에서도 PC를 구입하면 인터넷 연결이 당연이 사무실에서 PC 필기 도구 등의 사무용품과 동등한 (또는 그 이상)의 도구이다. 여러 컴퓨터가 있으면 인터넷 인프라 등의 자산을 공유하기 위해 자연과 LAN 등의 네트워크가 구축된다.

　또한 기업에서는 메일이나 Web과 같은 서비스를 제공하는 경우가 많다. 이러한 서비스는 단순히 사내 메일 시스템이거나 대규모 e 비즈니스의 근간을 이루는 서비스이거나와 다양하다. 많은 사용자가 사용하는 시스템은 규모에 따라 요구되는 심각성에 차이는 있지만, 보통 24 시간 365 일 쉬지 않고 가동하는 것이 이상적이다. 그러나 불행히도, 시스템을 구성하는 회선, 하드웨어, 소프트웨어는 반드시 실패한다. 절대로 멈추지 않는 시스템을 구축하는 것은 불가능하다. 시스템 관리자의 역할은 "한없이 100 %에 가까운 상태에서 시스템을 실행하는"것에 있다고 할 수있다.

프리 모니터링 및 시스템 관리 포인트

　시스템 관리에있어서 무엇을해야 할 것인가. 시판의 관리 도구를 사용하거나 전문 업체에 맡기는 방법도있을 것이다. 하지만 회사 (부서) LAN 등 중소 규모의 시스템에서는 비용면에서의 문제에서 어려운 것도 많다. 이 경우 시스템 관리자는 어느 정도 전문적인 지식이 필요하지만 정기적으로 명령이나 스크립트를 실행하여 시스템을 모니터링 할 수있는 옵션이있다. 또한, 프리 모니터링 도구를 사용하여 모니터링하는 것도 가능하다.정기적으로 모니터링해야한다 항목이 많은 경우는 전용 모니터링 도구를 사용하여 모니터링을 자동화하는 것이 결과적으로 시스템 관리 비용을 줄일 수있다.

　시스템 모니터링 도구는 크게 두 가지 동작이있다. 하나는 모니터링 서버 (모니터링 도구 실행중인 서버)에서 원격으로 모니터링하는 방식으로 주로 ICMP와 TCP의 사활 감시, SNMP 폴링 등을들 수있다. 다른 하나는 모니터링 에이전트에 의한 모니터링 방식으로 모니터링 장비에 모니터링을 수행하는 에이전트를 설치하고 취득한 시스템 모니터링 정보를 모니터링 서버에 통지한다. 어느 방식에도 장점 / 단점이 있기 때문에, 감시 목적에 맞는 방식을 선택할 필요가있다.

원격 모니터링

모니터링 서버는 정기적으로 ICMP, TCP 등으로 대상 장치를 모니터링

그림 1 원격 모니터링의 장점으로는 모니터링 대상 시스템에 영향을주지 않고 감시 할 수있는 것을들 수있다. 단점은 취득 할 수있는 모니터링 정보에 한계가있는 것이다

에이전트 모니터링

모니터링 에이전트는 모니터링 대상 장비의 관리 정보를 모니터링 서버에 통지한다

그림 2 에이전트 모니터링에서는 추가 모니터링 데이터를 검색 할 수있는 장점이있다 (다른 시스템 운용이 가능하게되는 에이전트 수있다). 반면 모니터링 대상 시스템에 영향을 미치는 단점이있다

　모니터링 도구는 무료 도구를 포함하여 상당한 종류가 존재한다. 그 중에서도 역시 UNIX 또는 Linux에서만 동작 가능하다는 것이 많다. 대표적인 프리 모니터링 도구는 네트워크의 상태를 그래프 화하는 「MRTG "나 고기능 모니터링 도구" NetSaint "등이있다. 어느쪽으로도 모니터링 도구를 사용하는 경우에는 도구를 실행시키는 "모니터링 서버"를 독립시키는 것을 권장한다.

　는 구체적으로 시스템 관리자는 어떻게 시스템 관리를 수행하기 위하여 것일까. 최근에는 PC 나 서버 장비 이외에도 라우터 등 다양한 기기가 네트워크에 연결되도록되었다.관리자에게 시스템을 어떻게 관리 하는가는 중요한 과제이며, 항상 시스템 전체 상황을 파악할 필요가있다. 따라서 시스템을 모니터링하고 장애 발생에 신속하게 대처할 수 있도록하는 것이 중요하다.

　시스템 관리의 주요 포인트는 다음과 같이 정리할 수있다.

● 기기의 상태 모니터링

　장비가 제대로 작동하고 있는지 정기적으로 모니터링한다. ICMP (ping) 및 TCP에 의한 폴링 및 SNMP를 통한 트랩 (이벤트) 등으로 감시 대상 기기의 사활을 모니터링하고 HTTP, SMTP/POP3 등의 서비스 실행을 모니터링 할 수도있다. 또한 서비스 가동 시간 모니터링에는 부정 액세스에 의한 Web 페이지 변조 등의 검사가 포함되기도한다

● 시스템 자원 모니터링

　네트워크 트래픽과 CPU, HDD 같은 서버의 시스템 리소스를 모니터링한다. 네트워크 트래픽에 대한 패킷의 흐름과 처리량을 정기적으로 측정하는 방법 등을 생각할 수있다.또한 현저하게 성능이 저하되거나하는 경우에는 그 원인을 파악하여 해결해야

● 시스템의 안전성 확보

　방화벽의 도입 등 다양한 방법을 생각할 수있다. 방화벽을 도입했을 경우, 또한 모니터링이 필요하다. 그러나 방화벽의 설계 및 구체적인 구현 내용은 시스템 관리와는 약간 취지가 다르므로 Security & Trust 포럼 등에서 추가 기사를 참조 해 주시길 바란다

프리 모니터링 도구 "MRTG」 「NetSaint"

● MRTG (Multi Router Traffic Grapher)

　MRTG는 SNMP를 사용하여 네트워크 상태를 모니터링하는 툴이다. 트래픽 외에도 2 계열의 데이터를 집계하여 단기 / 중기 / 장기 트랜드 그래프를 HTML 페이지 (GIF 이미지 그래프 포함)로 만들기위한 네트워크의 부하를 확인하고 경과를 모니터링 할 수 가능하게된다. 또한 직접 SNMP 기능을 구현하고 있기 때문에, 별도 SNMP 패키지를 준비 할 필요가 없다. MRTG는 GNU General Public License하에 무료로 배포되고있다.

● NetSaint

　NetSaint는 ICMP / TCP 기반의 원격 관리를 기본으로 한 관리 도구이다. 기본적인 조작은 Web 브라우저에서 가능하고, 설정을 변경하거나 정보의 열람 등 모든 Web 브라우저 기반이된다. 또한 시스템의 오류를 감지하면 전자 메일이나 호출기 등에 통지하는 기능을 구현하고 있기 때문에 시스템 관리자가 작은 경우에는 매우 유용합니다. 플러그인을 사용하여 Web에서 로그 파일보기 등 다양한 기능 확장을 할 수있는 것도 특징의 하나 다.

모니터링에 사용되는 명령 및 프로토콜

　시스템 관리에 자주 사용하는 명령은 다음과 같은 것을들 수있다. 기본적으로 UNIX 명령이지만, Windows 계 플랫폼에서도 사용할 수있는 것이 많다. 그러나 UNIX와 Windows에서 작동이 다르거 나 미묘하게 명령 이름이 다르거 나하므로주의하기 바란다.

명령	용도
arp	ARP (주소 확인 프로토콜)에서 테이블을 보거나 수정하려면
ifconfig	IP 구성을 보거나 수정한다. Windows 계 플랫폼에서 " ipconfig "명령 이름
hostname	현재 사용하고있는 컴퓨터의 호스트 이름을 표시 / 수정
route	라우팅 테이블을 표시 / 수정
ping	ICMP 프로토콜에 의해 호스트 (또는 게이트웨이)에서 응답을 요청하여 소통을 확인하는
traceroute	전송 패킷의 TTL 값을 작게 설정하고 중간 경로에서 회신되는 "ICMP time exceeded"을 사용하여 패킷의 경로와 대략적인 소요 시간을 확인한다. Windows 계 플랫폼에서는 "tracert"명령 이름
netstat	현재 네트워크 연결 정보를 확인한다. 프로토콜 통계도 볼 수
nslookup	IP 주소 또는 FQDN을 인수로 DNS에 쿼리를 실행하는
표 1 시스템 관리에 자주 사용하는 명령 목록

　모니터링에 사용되는 주요 프로토콜에는 다음과 같은 것을들 수있다. 만약 모니터링 서버 및 모니터링 대상 장비 사이에 라우터 나 방화벽 등이 설치되어 액세스 제어를 수행하는 경우에는 이러한 프로토콜에 대해 양방향 액세스 권한을 설정할 필요가있다.

프로토콜	용도
ICMP	소통을 감시하는 ping 명령이나 traceroute 등으로 사용
UDP	DNS 및 traceroute (Linux 등에서는 기본적으로 ICMP 대신 UDP를 사용) 등으로 사용
TCP	특정 서비스 포트 모니터링에 사용하는 것 외에 많은 TCP 기반 프로토콜에서 사용하는
HTTP / FTP 등	HTTP를 사용하여 Web, FTP SMTP/POP3 등의 서비스가 실행되고 있는지를 실제로 이용하는 것으로 확인하려면 각 서비스에서 사용하는 프로토콜에 권한을 설정하는
SNMP	시스템 관리에 사용되는 표준 프로토콜입니다. 공급 업체에 관계없이 많은 장비를 모니터링 할 수있다. 모니터링 서버 측에서 SNMP 데몬을 실행하거나 모니터링 장비에 SNMP 에이전트를 설치하여 특정 조건에서 SNMP 트랩 통지시킴으로써 모니터링
기타	사용하는 모니터링 도구에 따라 상기 이외에도 다양한 프로토콜을 사용할 수있는
표 2 모니터링에 사용되는 주요 프로토콜의 예

관리 정책

　또한 시스템 관리자는 먼저 다음과 같은 관리 정책을 수립 해 둘 필요가있다.

• 관리 대상 기기
• 구체적인 관리 범위
• 담당자 (또는 책임자)
• 평상시 관리 절차
• 장애 발생시 관리 절차
• 관리 보고서 등 정보 공유 방법

　이러한 정책을 확실히 해 두는 것으로, 효율적으로 안전하게 네트워크를 모니터링 할 수있다. 또한 여러 시스템 관리자가있는 경우에는이 정보를 공유하는 구조를 확립하는 것이 중요하다. 관리 정책 수립에는 "무엇을 모니터링 할 것인가」 「알고 싶은 정보는 무엇인가」 「장애가 발생하면 어떻게해야 좋은 것인가」등을 검토 할 필요가있다. 관리 정책이 모호한 상태에서 시스템을 모니터링하면 본래의 모니터링 목적 사이에 위화감이 발생하거나 문제 구별 할 수 없거나 할 수있다. 특히 시스템 장애 발생시 그 문제 구별이 지연되면 적절한 조치를 할 수 없기 때문에 복구가 큰폭으로 늦는 원인이된다.

　각각의 관리 정책은 모니터링 및 감시 목적에 따라 크게 다르기 때문에 구체적인 관리 정책 수립 내용은 다음번에 설명한다.

시스템 관리 전문가 "MSP"

　24 시간 365 일 가동을 이상으로하고 있다고해도, 아무것도 자신의 직원이 교대로 24 시간 계속 감시 필요는 없다. 이 부분을 전문 업체에 맡기는 방법도있다. 그것이 기업의 시스템을 전문적으로 관리하는 MSP (Management Service Provider)의 존재 다. 필자가 소속 된 인터넷 베인도 그 MSP의 한개이다.

　고객은 콘텐츠 공급자 등의 e 비즈니스를 전개하는 기업도 많아 서비스 중지 치명적인 손상을 초래할 수있다. MSP는 시스템 관리 전용 모니터링 툴과 전문성을 갖춘 운영자는 고객 네트워크 시스템을 24 시간 365 일 항상 모니터링하고 시스템 문제를 감지하여 그 취지를 통지한다. 또한 장애 발생 기록 및 네트워크 트래픽의 기록 등을 바탕으로 고객 네트워크 시스템 컨설팅 등을 할 수있다.

　인터넷 베인 모니터링 서비스 메뉴 중에서 대표적인 것을 몇 가지 들어 보자.

서비스 이름	서비스 내용
ping 모니터링	모니터링 노드에 대해 정기적으로 ping 명령을 실행하고 모니터링 할 장비의 사활을 모니터링
포트 모니터링	모니터링되는 장치에 TCP 포트 (포트 번호 고객 지정)에 대해 정기적으로 connection establish 수 있는지를 감시한다. 특정 서비스 포트에 연결을 설정하고 모니터링 할 장비에서 실제로 서비스가 실행되고 있는지 확인하기
서비스  가동 시간 모니터링	HTTP, FTP SMTP/POP3, NNTP, DNS RADIUS, Oracle 등의 각 서비스가 제대로 작동하는지 "실제로 서비스를 이용하여"확인
자원 모니터링	CPU 사용량, 메모리 사용량, 디스크 사용량을 모니터링한다. 미리 정상치의 범위를 규정하는 것이 아니라, 정상치를 초과하면 알림
네트워크  트래픽  모니터링	모니터링 장비가 가지는 네트워크 인터페이스 당 패킷 유량 오류 패킷, 삭제 된 패킷을 감시한다. 미리 정상치의 범위를 규정하는 것이 아니라, 정상치를 초과하는 경우에 통지한다. 트렌드 데이터를 축적하여 정기적으로 데이터를 그래프 등에서 찾을 수있다
로그 모니터링	항상 시스템 로그를 모니터링하여 사전에 지정한 내용이 기록 될 때 통지
SNMP 트랩  모니터링	모니터링 대상 장비에서 발생하는 SNMP 트랩을 감시한다. 모니터링되는 SNMP 트랩은 미리 설정해 둘
표 3 모니터링 서비스 메뉴 예제

---

　이번에는 네트워크 시스템 관리에 대한 개요를 설명했다. 다음 번부터는 시스템 관리에 대한 구체적인 예를 들어 설명 할 예정이다.

"다음"에

 

http://www.atmarkit.co.jp/ait/articles/0111/23/news002.html

관리 체제 (네트워크 시스템 감사) 체크리스트

Catalyst 스위치 - 부팅 시퀀스 

Catalyst 스위치 Cisco 라우터의 부팅 순서뿐만 아니라 전원 공급받은 후 다음의 순서로 시작. 
POST (하드웨어 진단) 실행 ⇒ 레지스터 값 참조 ⇒ IOS의 검색,로드 ⇒ 구성 검색, 
로드 ⇒ Cisco IOS 소프트웨어를 실행하는 형태가됩​​니다. 성공적으로 시작할 수 있었던 경우 Catalyst 스위치 앞면에있는 "SYST"의 LED 램프에 녹색 불이 들어옵니다. SYST에 오렌지가 켜지면이 Catalyst 자신에 시스템 오류가 발생합니다. 점등하지 않는 경우 (다음 상태) 전원 케이블이 연결되어 있지 않은 상태. 





각각의 LED의 견해는 다음과 같다. 다음 설명은 고정형 Catalyst 스위치 전반에 적용될 수있다. 또한 위 그림은 WS-C2960-8TC-L. 

※ 모드 버튼을 10 초 이상 누르고 있으면 구성이 초기화되어 자동으로 재부팅이 발생하므로주의합시다! 

Cisco 라우터 - SSH 설정하기 

Cisco 라우터에 telnet 연결하려는 경우 Cisco 라우터 측의 설정은 앞서 소개 한 바와 같이, line vty 부분에 
password 명령 및 login 명령을 입력하면된다뿐입니다. 한편, Cisco 라우터에 SSH 연결하려는 경우 SSH 서버로 동작시키기위한 다양한 설정이 필요합니다. 절차는 다음과 같습니다. 
※ telnet 및 SSH 차이점은 " TCP / IP를 처음부터 - Telnet / SSH 란 "을 참조 해 주시면이라고. 


① 사용자 인증 설정 
SSH의 사용자 인증 방법에는 암호 인증과 공개 키 인증의 두 종류가 있습니다. 일반적으로 암호 인증을 사용합니다. SSH 클라이언트는 여기서 설정 한 사용자 이름과 암호를 입력하여 Cisco 라우터에 SSH 연결하여 로그인 할 수 있습니다. 다음의 설정 예제에서는 사용자 이름에 
"admin1"암호 "cisco1"라고하고 있습니다. 사용자 이름과 암호는 대소 문자를 구별한다. 




SSH 연결을 통해 VTY 포트에 로그인 할 때, line vty에 설정된 암호가 아니라 상기에서 설정 한 사용자 이름과 암호를 인증 할 때 사용되는 것과 같이, line vty 로컬 인증 설정하기 . 
※ VTY 포트를 5 개 만들려는 경우, 예를 들어 16 개의 VTY 포트를 작성하려는 경우 "line vty 0 15"로 명령을 입력합니다. 





② 도메인 이름 설정 
SSH 암호화 키의 생성을 위해 호스트 이름과 도메인 이름을 설정합니다. 호스트 이름과 도메인 이름 모두 로컬 알맞은 내용에 문제 없기 때문에, 여기에서는 예를 들어 호스트 이름을 "R1"도메인 이름 "cisco.com"하고 있습니다. 





③ RSA 암호화 키 설정 
SSH를 사용하는 RSA 암호화 키를 생성하기 위해 crypto key generate rsa 명령을 입력합니다. 이 명령을 입력 한 후 키 길이의 크기를 지정하라는 메시지 오므로, 거기에 1024라고 지정합니다. 





④ SSH 버전 설정 
SSH 버전 1과 2가 있습니다. 버전 2가 더 안전한 때문에 SSH 클라이언트 측에서 
SSH version 2가 지원하는 경우 ip ssh version 2로 설정하고 SSH version2를 사용하도록합시다. SSH versioin 1을 사용한다면 ip ssh version 1로 설정합니다. 여기서 version 2를 지정한다. 





⑤ SSH 연결을 허용하도록 설정 기본적으로 Cisco 라우터에 대한 SSH 연결을 할 수 있습니다. 그래서, 아무것도 설정 변경할 필요가 없습니다. ⇒ All protocols are allowed on virtual terminal lines (vtys). Default is transport input all. 

그러나 예를 들어, Cisco 라우터에 연결 SSH 만 원한다면 line vty 설정 transport input ssh로 설정하면 얻을 수 있습니다. 또한 transport input telnet ssh로 설정하여 Cisco 라우터는 telnet 연결 및 SSH 연결의 어디라도 가능합니다. 보안, Cisco 라우터에 대한 관리 액세스는 SSH 연결 만 허용하고 싶다는 경우 transport input ssh로 설정하세요. 이번 설정 예제는 그 전제의 내용입니다. 

 Cisco 라우터 - SSH 액세스 

클라이언트 PC에서 Cisco 라우터에 SSH 연결하려면, Tera Term의 경우는 다음과 같이됩니다. 
전제는 SSH 클라이언트 인 PC의 IP 주소가 192.168.0.100, SSH 서버가되는 Cisco 라우터의 IP 주소가 192.168.0.254. 








라우터에서 설정 한 사용자 이름 (username)과 암호 (password)를 설정합니다. 




이전 단계 다음 SSH 연결이 성공하여 라우터에 로그인 할 수 있습니다. 



show ssh 명령은 현재 사용되는 SSH 버전 현재 연결되어있는 사용자 이름 등의 정보를 알 수 있습니다. 

그런데 Cisco 라우터에서 Cisco 라우터에 telnet 연결하는 경우에는 "telnet"IP 주소 ""를 입력하지만 
Cisco 라우터에서 Cisco 라우터에 SSH 연결하기 위해서는 "ssh-l"사용자 이름 ""IP 주소 ""를 입력합니다. 
예를 들어, Cisco 라우터 (R1)에 사용자 이름 "admin1"암호 "cisco1"라고 설정되어있는 경우 다음과 같이 "ssh-l admin1 192.168.0.254"를 입력하여 Cisco 라우터에서 Cisco 라우터에 SSH 연결이 가능해집니다. 



※ Cisco 라우터에서 라우터에 대한 SSH 연결은 telnet 연결과 같이 응답 (에코 백)이 좋지 않습니다. 

새로운 이성 만나면 도파민 수치 높아져
 암소와 수소를 같은 우리 속에 키울 때 수컷은 암컷과의 교미가 거듭될수록 성교 주기가 길어지는데, 암컷을 매번 바꿔주면 교미 횟수와 주기는 원래 상태로 회복된다. 이렇게 수컷이 새로운 파트너를 만나면 정력이 복원되는 현상을 ‘쿨리지 이펙트’라고 하는데, 인간을 포함해 쥐, 황소, 양 등 포유동물에게 나타난다.

 Cisco 라우터 - 최적화 (콘솔 입력을 다시 표시 설정) 

예를 들어, 구성 모드에서 exit를 입력하여 모드를 변경 한 후 show run을 입력하려고했는데, 몇 초 후, show run 입력 도중에 메시지가 표시됩니다 입력을 방해되어 버립니다. 





그래서 line console이나 line vty에 대해 logging synchronous 명령을 설정하면 메시지가 표시 되어도 자동으로 줄 바꿈하여 명령을 입력 할 때 행에 자동으로 돌아 가기 때문에 명령 입력이 방해되지 않습니다. 

line console 0 logging synchronous을 설정 








 Cisco 라우터 - 최적화 (세션 시간 초과 설정) 

이 호스트 이름을 변경하면 네트워크 관리자가 장치를 쉽게 관리 할 수​​ 있습니다. 
Cisco 라우터는 일정 시간 CLI 작업이 없으면 자동으로 세션을 로그 아웃하도록되어 있습니다. 
기본값 인 10 분 후 콘솔 연결의 경우 로그 아웃 한 다음 화면이되므로, 다시 로그인해야 안됩니다. 

[10 분간 작업이 없으면 자동으로 로그 아웃되는] 




일정 시간 조작이 없을 경우 자동으로 세션 아웃하는 것은 보안 상 더 좋을 수도 있지만 예를 들어 검증 환경에서는이 로그 아웃과 다시 로그인의 반복은 의외로 시간 낭비입니다. 

그래서 기본 10 분에서 변경 될 수 있습니다. "exec-timeout 분 초"라는 구문이기 때문에 다음 설정은 자동 세션 제한 시간이 30 분 사이입니다. 이 30 분을 기본 10 분으로 되돌리려면 "no exec-timeout"라고 입력하는 것이 아니라 "exec-timeout 10 0"을 입력합니다. 기본값은 구성에 표시되지 않습니다. 또한 exex-timeout 0 0을 입력하면 자동 로그 아웃이 무효가된다. 

[30 분간 작업이 없으면 자동으로 로그 아웃되는 상태로 변경] 

 Cisco 라우터 - 로그인 배너 설정 

라우터로 동작에는 전혀 관계 없지만 라우터에 로그인 할 때 메시지를 표시 할 수 있습니다. 행정 메시지로 도움이됩니다. 다음의 설정 예제에서는 라우터에 로그인하면 (^ - ^) This is my Cisco Router. Do not Access.이 표시되도록 설정합니다. banner motd 
명령 후, 배너 메시지의 시작과 끝을 나타내는 #을 입력하여 설정해야합니다. 




exit 명령을 입력하여 로그인 해 보면 다음과 같다 메시지가 표시됩니다. 

Cisco 라우터 - show interfaces 

show interface 명령을 통해 Cisco 라우터 인터페이스 상태 상태를 확인할 수뿐만 아니라 인터페이스에서주고받은 패킷의 통계와 5 분 평균 처리량 정보 등을 확인할 수 있습니다. 
이상의 내용에서 네트워크 장애 대응시에 매우 도움이 명령 할 수 있습니다. 네트워크 엔지니어가되고 싶다면, show interfaces 명령에서 출력되는 모든 항목의 내용을 이해하고 있어야합니다. 

단순히 show interfaces 명령을 입력하면 Cisco 라우터의 모든 인터페이스의 정보가 차례대로 표시되어 가므로, 다음 명령 입력과 같이 show interfaces 명령 후 상태 여부 확인하려는 특정 인터페이스 (이번 경우 FastEthernet 0)을 지정하여 명령 입력하는 것이 일반적이다. 

※ 경력은 와이어가 다른 전송 장치에서 사용되고 있는지 여부를 감지하는 이더넷 장비에 사용되는 전기 신호. 

 Cisco 라우터 - show interfaces (물리 계층과 데이터 링크 계층의 성공적 확인) 

show interface 명령의 표시 항목 중 가장 중요한 것은 첫 번째 행의 부분입니다. 이 첫 번째 행에서 그 인터페이스가 물리 계층과 데이터 링크 계층에서 정상인지 여부를 확인 할 수 있습니다. 
이번에는 Serial 인터페이스를 예로 설명하지만, LAN 인터페이스에서도 기본적인 생각은 바뀌지 않습니다. 

덧붙여 "Interface is up / line protocol is up"이라는 항목은 show interfaces 명령이 아니라, 
show ip interfaces brief 명령을 입력하여이 항목 만 목록에서 확인할 수 있습니다. 

Cisco 라우터 - show version 

Cisco 라우터에서 확인할 수있는 상태 명령은 매우 많지만 이번에는 기본이며 중요한 명령을 소개합니다.우선은 show version 명령. 이 명령은 Cisco 라우터의 IOS 버전 정보에서 
FLASH 메모리 / DRAM 크기 라우터의 가동 시간 등 다양한 정보를 얻을 수 있습니다. 다음보기는 
Cisco 1812J에서 show version을 입력 한 결과이지만, 다른 Cisco 라우터 모델에서도 견해는 동일합니다. 

Catalyst 스위치 - 암호를 잊어 버리면 · · · 

Catalyst 스위치에서 권한 EXEC 모드로 전환하기 위해 암호 (enable password / enable secret) 
를 잊어 버린 경우, 또는 모르는 경우 Catalyst 스위치의 설정 상태를 확인할 수 없게되거나 또는 설정 변경 할 수 없게되어 버립니다. 이러한 상황이되었을 경우 암호를 복구해야합니다. 




 Catalyst 스위치 - 암호 복구 

다음에서 소개하는 암호 복구의 내용은 Catalyst2960/3560/3750 시리즈에 적용 할 수 있습니다. 
※ 다음 ④ 이후에 입력하는 명령은 TAB 입력하고 다시 입력 수 없기 때문에 입력시 오타가 없도록 전체 입력합니다. 
※ 패스워드 복구 중에 플래시 메모리 "config.text"을 조작하고 있지만 왠지 .. 그 대답은 show boot보기 결과이다. 

※ load_helper가 있으면 위의 단계에서 설명한대로 load_helper를 입력하세요. 

 Catalyst 스위치의 초기화 (으뜸 패) 

상기 절차도 암호 복구가 성공하지 못한 경우 또는 mode 버튼을 길게 (10 초 이상)도 초기화되지 않는 경우 등의 상황이 발생하여 암호 불명 의해 액세스 할 수없는 경우에는 최후의 수단이 있습니다 . 이 최후의 수단은 어쨌든 초기화하고 싶은 사람을위한 단계입니다. 먼저 위의 비밀번호 복구 상태의 ① ~ ⑥의 단계를 밟습니다. 그런 다음 dir flash :로 확인할 수있는 「config.text ","private-config.text " 
"vlan.dat"파일을 delete flash :/ 명령은 삭제합니다. 그리고 마지막에 boot 명령을 입력합니다. 
이에 따라 초기화 된 상태로 시작됩니다. ※이 최후의 수단은 자기 책임에 의해 실시해주세요. 

Cisco Router - tftpdnld

그럼 실제로 암호 복구를 실행하는 화면을보고하자. 다음은 ① ~ ④의 내용입니다. 





reset하여 라우터를 다시 시작하여 부팅이 완료되면 설치 모드가 표시된다. 이것은 ⑤의 내용입니다. 






초기 기본 running-config에서 시작하고 있기 때문에, enable 명령을 입력해도 암호가 표시되지 않습니다.이렇게하면 권한이있는 EXEC 모드로 전환하고 기존 startup-config 상태로 되돌리기 위해 다음과 같다 
copy start run을 입력합니다. copy run start가 없습니다. 틀리지 않도록. 다음은 ⑥의 내용입니다. 






마지막으로 "비밀번호 변경 레지스터 값을 변경 설정 저장"하여 암호 복구 완료가됩니다. 
여기에서 설정 한 "test"라는 암호를 잊어 버리면 또 암호 복구를해야 안되므로주의! 

이상이 시스코의 암호 복구 설명서 내용입니다 만, 이쪽으로는이 후 라우터를 다시 시작하는 것을 권장합니다. 위의 단계 후에 show version을 확인하면 다음과 같다 현재 configuration 레지스터 값이 0x2142 (Configuration register is 0x2142), 그리고 재부팅 후 0x2102 (will be 0x2102 at next reload)가된다고 표시됩니다. 이 상황은 문제가 발생하는 것은 아니지만,이 장비는 암호 복구를 실시한 흔적을 남겨 버리므로, 납품 장비 인 경우 사용자로부터 무언가 지적을받을 수 있습니다. 


[라우터 다시 시작하기 전에] 




[라우터를 다시 시작한 후] 




암호 복구 후 라우터를 다시 시작하면 위와 같이 기본 표시되므로, 암호 복구를 실시한 흔적을 지울 수 있습니다. 네트워크 엔지니어들에게 증거 인멸하는 기술은 매우 중요합니다. 

※ Break 키 신호는 Tera Term의 경우 "Alt + B"키를 눌러 Hyper Terminal의 경우 'Ctrl + Break "키를 누릅니다. 

네트워크 엔지니어로 구성 레지스터의 모든 비트에 대해 잘 알고 있어야하지 않지만 다음의 4 개는 알고 두도록합시다. CCNA와 같은 시험시에도 반드시 도움이되는 지식입니다. 

 3CDaemon (TFTP 서버)의 사용 방법 

3CDaemon 하나의 소프트웨어에서 FTP 서버, TFTP 서버, SYSLOG 서버, TFTP 클라이언트의 네 가지 역할을 담당 할 수 있기 때문에 네트워크 엔지니어에게 확실히 필수 소프트웨어 의 하나라고 할 수 있습니다.

3CDaemon의 "3cdv2r10.zip"를 다운로드하면 ZIP 파일 속에 "SETUP.EXE"파일이 있습니다. 그것을 선택하고 "실행"하면 설치가 시작됩니다. 그리고는 "Next>"와 "Yes"를 선택하면 설치가 완료됩니다. 그런 다음 3CDaemon 아이콘을 선택하여 3CDaemon을 시작합니다. 




3CDaemon을 시작 시키면 TFTP 서버, FTP 서버, SYSLOG 서버 모두 기본적으로 서비스가 유효한 상태이므로, 이러한 서비스를 활성화하는 작업이 필요하지 않습니다. 기본 화면은 위와 같습니다. 
이 화면에서 빨간색 테두리로 묶은 "Configure TFTP Server"의 곳을 선택합니다. 그러면 아래 그림이 표시됩니다. 
변경 내용은 하나의 항목 만 "Upload / Download directory :"부분에서 Cisco IOS 파일을두고있는 디렉토리를 지정합니다. 이 PC (TFTP 서버)에서는 C 드라이브 부하의 "ciscoios"디렉토리에두고있다. 







다음 화면은 Cisco 라우터에서 copy flash : tftp :를 입력하여 Cisco IOS를 TFTP 서버 (PC)에 업로드 한 결과입니다. 덧붙여서 copy flash : tftp : 실행 중은 "Bytes"항목에서 전송 크기가 실시간으로 반영됩니다. 

※ debug 명령 이외에 show tech-support 명령도 매우 부하가 높은 명령이므로 안이하게 운영 환경에서 입력 말라.

마지막으로 중요한 것을 알려드립니다. debug 명령은 일반적으로 장애 분리시에 일시적으로 사용하거나 또는 Cisco 장비의 도입시 작성하는 동안 사용하기도합니다. debug 명령은 아주 유용한 명령어이지만 

매우 CPU를 소모하는 명령입니다. 네트워크 관리자가 현재 실행중인 Cisco 장비에 명령을 입력 할 것이라면 debug 명령의 내용에 따라 CPU를 너무 기기가 정상적으로 작동하지 않을 가능성이 있습니다. 예를 들어, debug all을 사용하면 운영 환경이라면 틀림없이 기기 정지합니다. 

네트워크 관리자 분들은 결코 안이하게 운영 환경의 Cisco 장비에 명령을 입력하지 않도록주의! 

또한, debug 명령을 입력 한 후 그 debug를 중지하려면 다음 undebug all 명령을 입력합니다. 

debug 명령은 undebug 명령을 입력 할 때까지 또는 장치를 다시 시작하지 않는 한 계속 움직 때문에 반드시 undebug 명령을 입력하십시오. 이것을 입력하고 잊지 아픈 눈에 있던 네트워크 엔지니어는 적지 않은 것이 아닐까요. debug를 입력 한 후에는 반드시 undebug입니다. 이것을 결코 잊지 마십시오. 

rename

Use the rename boot loader command to rename a file.

rename filesystem:/source-file-url filesystem:/destination-file-url

Syntax Description