천꾸

[CCNA 정리] 라우팅 프로토콜 2

천꾸 — Sun, 7 Jun 2026 15:43:04 +0900

라우팅 프로토콜

1. 라우팅의 기본 개념

라우터의 역할: 서로 다른 네트워크를 연결하는 3계층 장비로 라우팅 테이블(Routing Table)을 참조하여 패킷을 목적지 방향의 다음 라우터(Next-hop)로 전달한다.
경로 설정 방식:
- 정적 라우팅(Static Routing): 관리자가 수동으로 경로를 지정하는 방식으로 소규모 환경이나 보안이 중요한 곳에 적합하다.
- 동적 라우팅(Dynamic Routing): 라우터들이 서로 경로 정보를 교환하여 자동으로 최적의 경로를 찾아내는 방식이다.

2. Routing Protocol (능동)

라우터들이 최적의 경로를 결정하기 위해 사용하는 프로토콜로 RIP, OSPF, EIGRP 등이 있다.

3. Routed Protocol (수동)

전송되는 데이터를 담고 있는 프로토콜로 IPv4, IPv6, IPX, Apple Talk 등이 있다.

4. Dynamic Routing (동적 라우팅 프로토콜)

동적으로 다른 라우터와 정보를 주고 받으며 데이터를 쌓고 토폴로지 장애 시 최적 경로를 찾아 자동으로 라우팅 테이블을 갱신한다.
필요성: 네트워크 규모가 커질 때 관리의 효율성과 유연성(장애 시 자동 우회)을 확보하기 위해 사용한다.
(정적이면 수동으로 경로를 입력해서 좋지 않고 루프 발생 위험이 존재, 경로 장애 발생 시 관리자가 수동으로 경로 설정을 해야하는데 안되어있으면 해당 경로로 가는 통신이 안됨)
주요 개념:
- AD 값(Administrative Distance): 라우팅 정보의 신뢰도를 나타내며 낮을수록 우선순위가 높다. (예: 직접 연결 0, 정적 1, OSPF 110, RIP 120, EIGRP 90)
- Metric: 최적의 경로를 선택하는 비용(Cost)으로 프로토콜마다 기준이 다르다. (RIP: 홉 수, OSPF: 대역폭 기반 비용 누적합 등)

5. Default Routing (0.0.0.0/0)

라우팅 테이블에 자세한 경로 정보가 없을 때 전달하는 경로이다. 원래는 경로 정보가 없을 때 drop 시키지만 default routing이 있으면 default routing으로 보내게한다.
여러 네트워크에 모두 전송할 때 일일히 지정하지 않고 모든 트래픽이 한 번에 갈 수 있도록 하기 위해 필요하다.
정적, 동적 모두 가능하다.

6. 라우팅 프로토콜의 분류 및 체계

AS(Autonomous System): 동일한 관리 범위에 있는 네트워크의 집합
분류:
- IGP (Interior Gateway Protocol): AS 내부에서 사용하며, RIP, OSPF, IGRP, EIGRP, IS-IS 등이 있다.
- EGP (Exterior Gateway Protocol): AS 간의 연결에 사용하며, 현재 BGP가 대표적이다.
알고리즘 기준: 크게 거리 벡터(Distance Vector)와 링크 상태(Link State) 계열로 구분된다.

라우팅 프로토콜 분류

[CCNA 정리] 라우팅 프로토콜 1

천꾸 — Fri, 29 May 2026 18:28:52 +0900

라우팅

1. 라우팅

서로 다른 네트워크를 연결하여 패킷을 전달하는 3계층 장비(라우터)의 핵심 기능이다.
스위치(2계층 장비)가 동일 네트워크 내의 통신을 담당한다면 라우터는 네트워크 경계를 넘어 목적지까지 패킷을 보낸다.
라우터는 1계층(신호 처리), 2계층(프레임 처리), 3계층(IP 기반 경로 결정)의 기능을 모두 수행한다.

2. 라우팅 테이블

라우팅 테이블: 라우터가 패킷의 목적지 네트워크를 확인하고 어느 포트로 내보낼지 결정하는 핵심 데이터베이스 (스위치는 MAC Address 테이블)
Hop-by-Hop 라우팅: 전체 경로를 미리 다 결정하는 것이 아니라, 각 라우터가 자신의 테이블을 참고해 다음 단계인 넥스트 홉으로 패킷을 독립적으로 전달하는 방식이다.
넥스트 홉까지 가는 정보만 담겨있으므로 라우팅 테이블의 크기가 감소하지만 경로 제어가 어렵고 루프 가능성이 존재한다.

hop by hop 라우팅

3. 라우터 하드웨어와 메모리

ROM: 초기 하드웨어 테스트(POST)와 롬몬(Rommon) 모드 제공
Flash: 운영체제(IOS) 파일 저장
NVRAM: 장치 부팅 시 필요한 초기 설정값(Startup-config) 저장 (비휘발성)
RAM: 실행 중인 설정(Running-config)과 라우팅 테이블이 올라가는 공간 (휘발성)

4. 패킷 전달 프로세스

ARP(주소 결정 프로토콜): 서로 다른 네트워크 간 통신 시 패킷은 목적지까지 도달하기 위해 해당 네트워크의 게이트웨이(라우터)의 ip 주소로 요청을 보낸다. (동일 네트워크 통신 시에는 목적지 ip 주소에 ARP Request를 보냄)
캡슐레이션의 변화: 라우터를 거칠 때마다 2계층 헤더는 새롭게 재작성되어 MAC 주소가 변하지만, 3계층의 IP 주소는 출발지와 목적지 사이에서 절대 변하지 않는다. (2계층은 동일 네트워크에서 사용하는 주소고, 3계층은 종단까지 사용할 수 있는 주소이기 때문)

캡슐레이션 변화

라우팅 절차: (비트)수신 -> FCS 에러 체크 -> 목적지 MAC 확인 -> L2 헤더 제거(디캡슐레이션) -> IP 헤더 기반 경로 결정 -> 새로운 L2 헤더 부착(재인캡슐레이션) -> (비트)송신

라우팅 절차

1: 에러체크와 목적지 주소 확인 후 L2 헤더 제거하여 L3만 라우터에 올림

2, 3. 라우터는 ip 주소와 목적지 주소를 라우팅 테이블을 보고 어디로 보낼지 결정

4. 결정이 되면 다시 L2 헤더를 붙여 송신

라우팅 테이블 구성

1. 라우팅 테이블 핵심 요소

목적지 네트워크 주소: 패킷을 보낼 최종 네트워크 범위를 식별한다. 이때 모든 주소를 넣을 순 없으니 네트워크 주소로 식별한다. 라우팅 테이블에 경로가 없으면 패킷을 버린다.
Outgoing Interface: 패킷이 나갈 포트를 의미한다.
Next Hop: 패킷이 다음으로 전달될 인접 라우터의 IP 주소이며 다중 접속 환경(1:n)에서 경로를 명확히 하기 위해 필수적이다. (1:1로 연결되어 있으면 별 의미는 없음)

G0/n이 outgoing interface, .n이 next hop

2. 주요 개념

AD (Administrative Distance): 라우팅 프로토콜 간의 신뢰도 우선순위이며 값이 낮을수록 우선순위가 높다. (예: 직접 연결 0, EIGRP 90, OSPF 110, RIP 120)
Metric: 동일한 목적지로 가는 여러 경로 중 최적의 경로를 산정하는 기준이며 프로토콜마다 기준이 다르고(RIP은 홉 수, OSPF는 대역폭 등) 값이 작을수록 유리하다.
Load Balancing(ECMP): 최적 경로의 매트릭 값이 동일할 경우 여러 경로를 동시에 활용하여 트래픽을 분산한다.

3. 라우팅 원칙

홉 바이 홉 라우팅: 각 라우터는 독립적으로 자신의 라우팅 테이블을 보고 다음 경로를 스스로 결정한다.
모든 라우터가 동일한 라우팅 테이블을 가지는 것이 아니기 때문에 특정 목적지에 대한 최적 경로가 라우터마다 다를 수 있다.
단방향 정보: 라우팅 테이블은 가는 경로에 대한 정보만 담고 있으므로 통신을 위해서는 양방향 경로(왕복 경로)가 모두 확보되어야 한다.
최적 경로 관리: 라우팅 테이블은 RAM(Running config)에 저장되며 항상 가장 좋은 경로(Best Path) 하나만 유지하는 것이 원칙이다. 단 최적 경로가 동일하면 동시에 올릴 수 있다.

라우터는 스위치(2계층)와 달리 모르는 목적지의 패킷이 들어오면 경로를 찾지 못할 경우 이를 드랍(Drop)한다는 점이 중요한 차이점

[CCNA 정리] STP(Spanning Tree Protocol)

천꾸 — Wed, 27 May 2026 17:45:11 +0900

STP (802.1D)

1. 스위치 네트워크의 루프 문제

네트워크 안정성을 위해 한쪽이 문제가 생겨도 다른 쪽으로 통신을 할 수 있도록 이중화(Redundancy)를 구성한다. 그러나 이로 인해 브로드캐스트 스톰(Broadcast Storm), 프레임 중복 수신, MAC 주소 테이블 불안정성(동일한 MAC 주소에 대한 포트 번호가 계속 바뀜) 등의 루프 문제가 발생한다.

네트워크 루프 문제

2. STP(Spanning Tree Protocol)

개념: 루프를 방지하기 위해 네트워크를 트리 구조로 재구성하는 프로토콜이다. 사장(Root)과 부하 직원(스위치들)의 계층 구조처럼 데이터 전송 경로를 하나로 통일하여 루프를 막는다.
시스코의 모든 스위치에 STP는 Enable 되어있다.

3. BPDU(Bridge Protocol Data Unit)

스위치 간 정보를 교환하는 제어 데이터로 명함 교환과 같은 역할을 한다. 이를 통해 루트 스위치를 선출하고 네트워크 구조를 파악한다. 즉 사장, 부장, 과장이 있으면 계급별로 사장(root) > 부장 > 과장 순이므로 과장이 사장에게 통신을 하고 싶으면 과장 -> 부장 -> 사장을 통해서 통신이 되어야 한다. 이렇게 되면 과장 -> 사장이 다이렉트 통신이 되지 않으므로 과장 -> 사장 쪽의 링크를 사용하지 않게 된다. 하지만 원래 통신 되는 곳이 장애가 생기면 과장 -> 사장 쪽의 링크를 사용한다.
Timer 정보는 루트 스위치만 전달한다.

BPDU

Message Age: 루트에서 스위치는 0으로 전송하고 스위치 통과시 1씩 증가하여 루트와의 거리를 알 수 있다.

Message Age

4. 루트 스위치 선출

루트 스위치는 기준점이 되며 타이머 정보를 전달하고 BPDU를 생성하며 Topology Change를 전파한다.
Bridge ID(Priority + MAC Address)를 비교하여 가장 낮은 값을 가진 스위치가 루트 스위치로 선정된다.
1. Priority가 가장 낮은 값
2. Priority가 같으면 MAC 주소를 비교해서 더 작은 값
루트 스위치를 선출하는 이유는 고성능의 스위치가 루트가 되어야 하기 때문이다.

5. 경로 선정 기준

Path Cost to Root: 루트에서 스위치까지 가는데 누적되는 총 비용
아래의 그림에서 SW3에서 루트 스위치로 통신한다 할 때 SW3에서 루트 스위치까지는 총 19 COST이고 SW3과 SW2를 거쳐서 루트 스위치까지는 총 38이므로 SW3 -> 루트 경로를 더 선호

Path Cost

루트 스위치까지의 최단 경로(Path Cost)를 우선시하며 비용이 같을 경우 sender의 Bridge ID, sender의 포트 ID 순으로 비교하여 더 낮은 ID를 선택하여 최적의 경로를 결정한다.

[CCNA 정리] VLAN(Virtual LAN) 3

천꾸 — Mon, 25 May 2026 18:37:50 +0900

이전 시간에 여러 대의 스위치 환경에서 VLAN 개수만큼 회선을 연결해야 하는 문제점에서 트렁킹 기술로 하나의 회선에 모든 VLAN 정보가 담기게 전송하는 것을 배웠다. 이번 시간에는 라우터와 연결될 때 VLAN 개수만큼 라우터 포트가 필요한데 이를 하나의 트렁크 포트로 통합하는 Router On a Stick과 라우터와 스위치 기능이 합쳐진 Multilayer Switch 그중에서도 L3 스위치에 대해 학습을 진행한다.

Router On a Stick

1. Router On a Stick

기존에는 VLAN 개수만큼 라우터 포트가 필요했으나 이를 하나의 트렁크 포트로 통합하여 케이블 연결을 단순화하고 효율을 높이는 기술이다.
장점: 구현이 쉽다. 케이블링이 간단하다. 라우터 포트가 적어도 된다.
단점: 회선이 1개이기 때문에 장애시 문제가 모든 포트에 영향을 미친다. 트레픽이 몰려 라우터 부하가 증가한다. 서브 인터페이스를 만들기 때문에 설정이 복잡하다.

2. 기술적 원리

스위치와 라우터 사이를 트렁크(Trunk) 모드로 연결하여 여러 VLAN 데이터를 단일 회선으로 전송한다.
라우터에서는 물리적 포트 하나를 논리적으로 쪼개는 서브 인터페이스(Sub-interface) 개념을 활용하여 VLAN별로 식별하고 라우팅을 수행한다.
예를 들어 라우터의 포트가 f0/0이고, 트렁크에서 VLAN 태그가 10, 20, 30일 때 f0/0.10, f0/0.20, f0/0.30 처럼 서브 인터페이스를 만드는 것이다. (f0/0이 다운되면 f0/0.10, f0/0.20, f0/0.30 모두 다운됨)

3. 구현 단계

스위치 포트를 트렁크 모드로 설정한다.
라우터에서 각 VLAN에 대응하는 서브 인터페이스(예: g0/0.10, g0/0.20)를 생성하고 encapsulation dot1Q 명령어를 통해 태그를 매칭한다.

MultiLayer Switch

1. 네트워크 장비의 계층별 기능

스위치(L2): 데이터 링크 계층 장비로 MAC 주소 테이블을 기반으로 프레임을 전달하며 충돌 도메인을 분리한다.
라우터(L3): 네트워크 계층 장비로 IP 주소를 기반으로 라우팅을 수행하며 브로드캐스트 도메인을 분리하고 네트워크 간 연결을 제공한다.

2. 멀티레이어 스위치

다양한 계층(L3, L4, L7)의 기능을 복합적으로 수행하는 장비
L3 스위치: 스위칭과 라우팅 기능을 동시에 수행한다.
L4 스위치: 포트 번호를 기반으로 load-balnacer(서버 분산)와 health-check(살았는지 확인) 기능을 수행한다.
L7 스위치: 콘텐츠 내용을 분석하여 더 세분화된 트래픽 분산 및 보안 기능을 제공한다.

3. L3 스위치 vs 라우터 비교

구분	L3 Switch	Router
OSI 계층	2+3 계층	3계층
데이터 처리방식	H/W(ASIC)	과거(S/W) -> 현재(H/W)
처리속도	고속	과거(느림) -> 현재(고속)
Port 수	높음	상대적 적음
지원하는 2계층 프로토콜	이더넷(LAN 환경)	이더넷 PPP, HLDC, Frame Relay (WAN 환경)
라우팅 테이블 크기	보통	매우 큼
NAT, IPsec	과거 미지원 -> 최신장비 일부지원	지원
사용환경	LAN, 데이터 센터	WAN, 복잡한 라우팅 정책

4. SVI(Switched Virtual Interface) - L3 스위치

멀티레이어 스위치는 L2(스위칭)와 L3(라우팅) 기능을 모두 지원한다.
물리 포트는 L2 스위치처럼 작동하지만, 내부적으로 가상의 라우팅 인터페이스인 SVI를 사용하여 VLAN 간 라우팅을 수행한다. (SVI가 Router On a Stick의 서브 인터페이스와 같다고 생각하면 된다.)
Auto-state: 해당 VLAN에 속한 포트가 하나라도 활성화되어야 SVI도 Up 상태가 된다.

L3 스위치의 SVI 인터페이스

5. SVI 인터페이스 설정

기존 라우터와 스위치 조합을 L3 스위치 한 대로 교체하고 구성하는 과정을 단계별로 시연
주요 명령어: ip routing(라우팅 활성화), interface vlan, ip address 등.
트렁크 설정 시 switchport trunk encapsulation dot1q와 같은 필수 설정과 네이티브 VLAN 및 허용 VLAN 설정 중요

VLAN 전체 요약: 과거의 비효율적인 방식(개별 라우터 연결 -> 트렁크 -> 서브 인터페이스)을 거쳐 최종적으로는 L3 스위치 하나로 통합

실습

<Router On a Stick>

이전 시간에서 진행한 실습에서 라우터와 스위치가 연결된 부분을 아래와 같이 g0/0 부분만 남기고 지우고 시작하면 된다.

g0/1-2 포트 회선 삭제

먼저 f0/11 포트에서 스위치를 switchport mode trunk 명령어로 트렁크 모드로 전환해준다.

트렁크 모드 전환

native vlan을 10으로 통일해주기 위해서 switchport trunk native vlan 10 명령어로 변경해준다.

native vlan 변경

다음은 라우터에서 g0/0포트만 up 상태가 되어야하고 물리 ip 주소를 사용하지 않으므로 no ip address 명령어로 ip를 없애줘야한다.

물리 ip 삭제

논리적 주소를 사용하므로 g0/0.10, g0/0.20, g0/0.30을 생성하고 각각 encapsulation dot1Q 명령어를 통해 태그를 매칭한다. 이때 VLAN 10은 native이므로 encapsulation dot1Q 뒤에 native를 붙여줘야한다.

서브 인터페이스 생성

PC에서 ping 명령어로 통신이 잘되는지 확인해보자. 아래와 같이 통신이 잘 되는것을 확인할 수 있다.

통신 확인

추가로 이전에 엑세스 포트로 설정했던 흔적이 남아있을 경우 no switchport access vlan 명령어로 정리하여 깔끔하게 트렁크 모드를 운영하는 것이 좋다.

no switchport access vlan 후 sh run확인

<Router On a Stick을 Multilayer Switch로 변경>

라우터와 스위치의 장비가 별도로 있어 회선이 연결되어 있는 형태인데 더 효율적으로 사용하기 위해 이 둘을 합치는 멀티 레이어 스위치(L3 스위치)를 사용하는 실습을 진행해보자.

참고로 L3 스위치는 아래와 같이 생겼다.

L3 스위치

L2 스위치 세팅은 지난 시간에 수행했으므로 생략하겠다.

L3 스위치 세팅은 먼저 라우팅 활성화를 위해 ip routing 명령어를 입력해주고 vlan 10,20,30 별로 ip 주소를 할당해주면 된다.

ip routing을 해야 L3 기능을 할 수 있다. 반드시 해야한다.

L3 스위치 초기 세팅

show vlan brief와 show int trunk로 vlan과 trunk설정이 잘되었는지 확인하고 아래처럼 나와야한다.

설정 확인 (show 명령어)

PC에서 ping 명령어로 통신이 잘되는지 확인해보자. 멀티레이어 스위치를 사용해도 통신이 잘 되는것을 확인했다.

통신 확인

[CCNA 정리] VLAN(Virtual LAN) 2

천꾸 — Sat, 23 May 2026 17:01:47 +0900

VLAN 정보 저장

저장 위치: 일반적인 스위치 설정은 메모리의 Running-config와 Startup-config에 저장되지만, VLAN 정보는 별도의 플래시 메모리에 있는 vlan.dat라는 파일에 독립적으로 저장된다.

vlan.dat에 저장

초기화 시 주의사항: 단순히 erase startup-config 명령을 실행하고 재부팅해도 vlan.dat 파일이 남아있다면 VLAN 설정은 삭제되지 않고 그대로 유지된다.
올바른 초기화 방법:
1. delete flash:vlan.dat 명령을 통해 파일을 직접 삭제
2. 장치를 재부팅(reload)하면 VLAN 정보가 초기화됨

vlan 초기화

트렁킹

1. 트렁킹 개념

기존 문제점: 여러 대의 스위치 환경에서 VLAN별로 회선을 각각 연결해야 한다.
트렁킹: 이러한 문제를 해결하기 위해 하나의 링크로 여러 VLAN 데이터를 전송하는 방식을 트렁킹(Trunking)이라고 한다.
태깅(Tagging): 트렁크 포트를 통해 흐르는 여러 VLAN 데이터를 구분하기 위해 데이터 프레임에 식별자(VLAN ID)를 붙이는 과정이다. Access Port(단말)은 태깅을 하지 않고, Trunk Port만 태깅을 한다.

트렁킹

2. 트렁킹 방식

ISL: 시스코 전용 방식으로 현재는 거의 사용되지 않는다.
IEEE 802.1Q(dot1Q): 현재 업계 표준 방식이며, 4바이트의 태그를 프레임 중간에 삽입하여 정보를 식별한다.

IEEE 802.1Q(dot1Q)

802.1Q 프레임 구조: TPID(2바이트)와 TCI(2바이트)
TPID - 항상 고정(0x8100) -> 802.1Q 프레임 의미
TCI - PCP(우선순위 부여), DEI(혼잡시 폐기 여부), VID(VLAN ID: 12비트, 1~4094번까지 사용 가능, 0과 4095는 사용 X)

3. VLAN 영역

VLAN 범위: 일반 VLAN(1~1005번)과 확장 VLAN(1006~4094번)으로 나뉜다. (스위치별로 지원하는 최대 VLAN은 다를 수 있음) VLAN 1과 VLAN 1002~1005는 항상 만들어져 있고 삭제도 안된다.
설정 및 명령어
- switchport mode trunk: 포트를 트렁크 모드로 설정한다.
- switchport trunk allowed vlan [VLAN ID]: 특정 트렁크 포트를 통해 허용할 VLAN을 지정하여 불필요한 트래픽을 방지
- show interface trunk: 설정된 트렁크 포트 정보를 확인

Native VLAN

1. Native VLAN 개념

트렁크 포트에서는 일반적으로 VLAN 태그를 붙여 데이터를 전송하지만 태그가 없는 프레임이 들어올 경우 이를 처리하기 위한 기준이 필요하다. 이때 사용하는 것이 Native VLAN이다. (스위치 중간에 허브 연결시에 발생함)
시스코 스위치에서 기본값은 VLAN 1이며, 설정을 통해 다른 번호로 변경할 수 있다.
양쪽 스위치의 네이티브 VLAN 설정이 일치하지 않으면 통신 오류(MISMATCH)가 발생한다.
switchport trunk native vlan [번호] 명령어를 사용하여 특정 VLAN을 네이티브로 지정할 수 있다.

Native VLAN

2. 제어 트래픽

스위치 간 통신을 위한 제어 트래픽은 차단되지 않으며 시스코 전용 프로토콜(CDP, DTP, PAgP, VTP)은 항상 VLAN 1을 사용한다.
allowed vlan 설정(특정 VLAN만 허용)을 적용하더라도 제어 트래픽은 이와 무관하게 통과되므로 네트워크 관리가 끊기지 않는다.

실습

여러 대의 스위치 환경을 구성하기 위해 네트워크를 아래와 같이 구성했다. 구성하는 과정은 생략하겠다. 모르겠으면 https://s1owly-steadily.tistory.com/25 여기서 실습을 진행하고 오면 된다.

네트워크 구성

스위치 1,2가 아래와 같이 세팅이 되어야한다.

SW1, SW2 세팅

아무 PC에 들어가서 ping을 날려 아래와 같이 통신이 잘되는 것을 확인한다.

다른 vlan과 통신

위와 같이 네트워크를 구성하면 회선이 vlan 개수만큼 필요하고 설정도 복잡하다 보니 효율성이 떨어진다. 그래서 트렁크로 바꿔서 진행할 것이다.

스위치끼리 연결된 회선을 f0/5 포트만 남겨두고 지운다. 이 부분을 트렁크로 바꿀 것이다.

f0/6-7 포트 회선 삭제

스위치에서 1,2 각각 5번 포트로 들어가서 switchport mode trunk 명령어로 트렁크 모드로 바꿔준다.

SW1, SW2 트렁크 모드

show int trunk 명령어로 확인해보니 트렁크 모드로 되어있고 802.1Q를 지원하고 native vlan이 기본으로 1로 되어있다.

show int trunk

트렁크 모드로 변경해도 통신이 잘되는 것을 확인할 수 있다.

통신 확인

스위치1,2 둘다 native vlan을 10으로 변경하고 통신이 잘되는지 확인해보자.

native vlan 변경

양쪽 스위치 native vlan이 10으로 일치하기 때문에 오류없이 잘 통신이 된다.

일반 VLAN은 1~1005번이 동작(기본이 all)하게 되어있다. switchport trunk allowed vlan [숫자] 명령어로 10,20,30 만 동작하게 하고 확인하면 10,20,30 만 허용하는 것을 볼 수 있다.

switchport trunk allowed vlan

[CCNA 정리] VLAN(Virtual LAN) 1

천꾸 — Fri, 22 May 2026 16:45:44 +0900

VLAN

1. 이전 내용 복습

LAN(Local Area Network): 1개 건물 내 고속 통신하는 것을 말하며 여러 개의 네트워크로 구성되어 있다. 그러나 좁은 의미의 LAN은 1개의 네트워크를 의미한다. (VLAN)

좁은 의미의 LAN

Broadcast Domain: Broadcast frame이 전달되는 영역을 말하며 라우터 포트별로 분리된다. (예: ARP Request, DHCP Discovery) Collision Domain은 스위치 포트별로 분리

Broadcast Domain과 Collision Domain

2. VLAN 필요성

네트워크 설계의 문제점: 기존의 Flat한 네트워크 구조는 하나의 라우터 포트 아래 모든 단말이 연결되어 있어 브로드캐스트 도메인이 너무 커지는 문제가 있어 네트워크 효율 저하, 보안 위험, 관리의 어려움을 초래한다.
VLAN: 가상으로 네트워크(브로드캐스트 도메인)를 쪼개는 기술로 물리적 장비의 제약 없이 스위치 포트별로 논리적인 그룹을 나누어 관리할 수 있다. (원래 스위치는 Collision Domain만 분리했음. Broadcast Domain도 추가적으로 분리할 수 있는 기능을 줌)

VLAN

VLAN 장점
1. 성능 개선: Broadcast Domain 분리로 불필요한 트래픽 감소
2. 보안성 강화: 서로 다른 VLAN간 기본적 통신불가
3. 비용절감: 고가의 라우터 장비 없이도 네트워크 분리 가능
4. 유연성: 단말의 물리적 재구성 없이 논리적으로 재구성 가능
5. 관리용이: 트래픽 특성별 별도의 VLAN을 분리하여 관리

3. 논리적 분할

스위치를 가상으로 분할하여 서로 다른 VLAN 간에는 통신이 불가능하다. 이를 연결하기 위해서는 3계층 장비인 라우터가 필수적이다.

서로 다른 VLAN 통신

IP 설계의 중요성: VLAN을 도입하면 VLAN 개수만큼 서브네팅이 필요하며 각 VLAN별로 IP 대역을 체계적으로 설계해야 한다. 기존에는 라우터 포트만 보면 됐는데 이제는 스위치 포트 별로 나뉘기 때문
VLAN 범위: 1부터 4094까지 사용 가능하며 1번 VLAN은 기본값으로 모든 포트가 속해 있다.

4. VLAN 설정

Static: 인터페이스 단위로 수동으로 VLAN을 할당한다. 대부분 Static을 사용함
switchport access vlan <숫자> - 이 명령어로 VLAN 수동 설정. VLAN이 없을 땐 자동 생성됨
Dynamic: Mac주소 기반으로 VLAN을 할당한다.
Voice VLAN

실습

먼저 아래와 같이 하나의 네트워크를 구성해보자.

라우터, 스위치, PC의 선을 잘 연결해주고 라우터에서 ip주소(10.1.1.0)를 부여해주고, PC의 Desktop에서 PC의 ip주소와 서브넷 마스크(255.255.255.0), 라우터 ip주소인 Default Gateway(10.1.1.1)를 각각 부여해주자. 잘 모르겠으면 IPv4(https://s1owly-steadily.tistory.com/22)여기서 실습을 진행하고 와야한다.

네트워크 구성

라우터에서 ping을 브로드캐스트 주소로 날려보자. 네트워크 안의 모든 호스트 들이 응답을 하는 것을 볼 수 있다. 즉 단일 Broadcast Domain이다. 여기서 문제점은 1개의 네트워크로 구성되어 있을 때 단말이 많아지면 응답이 너무 많아진다는 단점이 있다. (보안, 관리 문제)

브로드캐스트 도메인

다음으로 VLAN 실습을 진행해보자.

먼저 네트워크 구성을 아래와 같이 변경해준다.

네트워크 구성 (VLAN)

VLAN 10, 20, 30으로 나뉘어 있으므로 VLAN 별로 PC의 IP 주소가 변경되어야 한다. 그리고 라우터도 3개의 포트를 갖게 되므로 각각 맞는 라우터 ip 주소를 할당해줘야한다. PC11은 아래와 같고 각각 변경해주면 된다.

PC IP Configuration

라우터도 각 포트별로 ip주소를 아래와 같이 할당해주면 된다.

라우터 포트별 ip 주소 부여

show ip route 명령어로 연결이 잘되었는지와 서브넷 마스크가 잘 되었는지를 확인해보자.

연결 확인

다음으로 스위치에서 valn 10, 20, 30을 만들어준다. 아래와 같이 하면 된다.

vlan 생성

그리고 단말에 연결된 포트별로 switchport access vlan명령어로 vlan을 수동 할당해줘야 한다. range 명령어로 아래와 같이 한번에 할당해주면 된다.

vlan 수동 할당 (단말)

마찬가지로 라우터도 수동 할당해주면 된다.

vlan 수동 할당 (라우터)

show vlan brief 명령어로 vlan 할당이 잘되었는지 확인을 해보자.

vlan 할당 확인

PC 11에서 통신을 확인하기 위해 Broadcast로 ping을 날려보자.

10.1.10.255가 10.1.10.0/24의 브로드캐스트 주소이므로 여기에 속해있는 10.1.10.12와 10.1.10.1로 부터 응답이 오는 것을 확인할 수 있다.

direct broadcast

[Wireshark 실습] IP 단편화(Fragmentation) 패킷 분석 (MTU)

천꾸 — Thu, 21 May 2026 18:07:20 +0900

MTU: 한 번에 보낼 수 있는 최대 데이터 패킷의 크기 (프로토콜 별로 MTU가 다름)

네트워크 구간마다 MTU가 다르기 때문에 패킷이 클 경우 분할(송신측 or 중간에서)이 발생한다.

이를 위해 Identification(식별자), Flag(DF, MF), Fragment Offset 필드를 사용하여 수신측(종단)에서 재조립한다.
Identification: 분할된 모든 패킷은 동일한 ID
Flag: DF(Don't Flagment) - 0일 때 분할 가능. 1일 때 분할 X, MF(More Flagment) - 0이면 마지막. 1이면 분할 더 있음.
Fragment Offset: 분할된 패킷의 1번째 byte 위치를 8로 나눔

일반적인 이더넷(Ethernet) 환경에서는 1500바이트가 표준 규격이다.

만약 애플리케이션에서 MTU(1500바이트)보다 큰 데이터를 전송하려고 하면 네트워크 계층(L3)의 IP 프로토콜은 이 데이터를 안전하게 전달하기 위해 MTU 크기에 맞춰 잘게 쪼개게 되는데 이 과정을 IP 단편화(Fragmentation)라고 부른다.

실습

먼저 와이어샤크에 필터창에 ip.addr == 8.8.8.8을 입력한다.
주의: icmp로만 검색하면 쪼개진 후속 패킷(순수 IP 데이터 조각)들이 필터링되어 화면에 보이지 않으므로 프로토콜과 관계없이 구글 목적지 주소로 오가는 모든 패킷을 보기 위해 이 필터를 사용해야 한다.

이후 CMD를 열고 표준 MTU인 1500바이트를 2배 이상 초과하는 3000바이트짜리 패킷을 강제로 전송한다. (-l 3000: 페이로드 크기를 3000바이트로 지정하는 옵션)

3000bytes 패킷 강제 전송

아래와 같이 3개의 패킷을 분할해서 전송되는 것을 확인할 수 있다. (4개의 패킷을 각각 3개씩 분할)

분할된 패킷

패킷이 3개로 분할 되었으므로 각각 하나씩 분석 해보자.

먼저 첫 번째 패킷이다.

먼저 빨간색 박스를 보면 Total Length는 1500인데 Data는 1480인 것을 볼 수 있다. Total Length는 IP 헤더와 순수 데이터를 합친 값으로 IPv4에서는 IP헤더가 기본으로 20바이트이다. 이는 캡슐화의 원리이다. 그리고 Identification: 0x9a27이라고 되어 있는데 패킷이 분할되어도 분할된 패킷은 모두 같은 ID를 갖는다. 다음 패킷에서 이 패킷의 ID와 같은지 확인해 볼 것이다.

다음으로 파란색 박스 부분을 보면 Flags: 0x01, More fragments: Set이라고 되어있다. 즉 수신 측 라우터나 호스트에게 "아직 조각이 더 남았으니 합칠 준비를 하라"고 알리는 신호이다.

첫 번째 패킷

아래는 두 번째 패킷이다. ID가 첫 번째 패킷과 동일한 것을 볼 수 있다.

두 번째 패킷

마지막 패킷을 분석해보자.

먼저 빨간색 박스를 보면 ID가 역시 똑같은 것을 확인할 수 있고 Total Length: 68로 되어있다. 68인 이유는 ICMP 헤더(8바이트)와 IP헤더(20바이트), 남은 데이터(3000-1400+1400)이기 때문이다. 첫 번째 조각에만 들어있던 ICMP 헤더가 마지막 조각에 포함되어 조립을 마무리한다.

다음으로 파란색 박스를 보면 More fragments: Not set (0x00)으로 바뀌며 더 이상 분할 할 것이 없음을 알린다.

세 번째 패킷

실습 도중 단편화된 패킷의 Length 필드가 1500이 아닌 1514바이트로 캡처되는 현상을 발견했다.

네트워크 표준에서 규정하는 MTU 1500바이트는 데이터 링크 계층(L2)의 페이로드 즉 'L3 IP 패킷'의 최대 크기를 의미한다. 하지만 와이어샤크의 Length 열은 이 IP 패킷이 랜선을 타고 나가기 위해 데이터 링크 계층에서 감싸지는 L2 이더넷 헤더(Ethernet II Header)의 크기인 14바이트까지 포함하여 계산한다.

L3 IP 패킷 크기 (MTU 최대치): 1500바이트
L2 에더넷 헤더 크기: 14바이트 (출발지 MAC 6B + 목적지 MAC 6B + Type 2B)
와이어샤크 실측 크기(Length): 1500 + 14 = 1514바이트

[CCNA 정리]IP와 ICMP

천꾸 — Wed, 20 May 2026 18:30:51 +0900

IP 프로토콜

L3(Network Layer)의 대표적인 프로토콜로 IP, ICMP, ARP 등이 있다. 앞에서도 ARP를 공부하면서 IP에 대해서 학습을 하였지만 좀 더 자세한 내용을 학습하는 것이 목표이다.

1. IP 프로토콜의 특성

비연결 지향적(Connectionless)이며 신뢰성을 보장하지 않는 Best-effort~~(최선을 다했지만 잘 안됐을 수도 있다라고 설명)~~ 방식의 전달을 수행한다. (에러 제어, 흐름 제어, 혼잡 제어를 지원 x)
신뢰성이 필요한 경우 상위 계층(L4)인 TCP(3way-handshake)를 통해 보완한다.
초기 설계 당시 보안에 대한 고려가 거의 없었기 때문에 보안이 취약하다. 이를 해결하기 위해 IPsec이 등장했고 AH나 ESP 프로토콜을 사용하여 데이터를 암호화하고 인증한다.

2. IP 헤더 필드의 주요 기능

Header: 택배를 보낼 때 상자에 붙어있는 스티커(주소와 번호 등이 써있는)와 같은 제어정보를 헤더라고 한다.
Version: IP 버전(주로 IPv4)을 사용한다.
IHL(Internet Header Length): 제어정보(헤더)의 길이를 나타내며 4바이트 단위로 계산된다. 헤더의 크기는 20 ~ 60바이트로 가변적이다. IPv6에서는 헤더크기를 고정(기존의 Processing 불편함을 해결)
Service Type: 패킷의 우선순위를 결정하거나 혼잡 제어(ECN - 병목해결, 2비트 사용)를 위해 사용된다. 초기에는 3비트를 사용했지만 현재는 6비트 사용
Total Length: 헤더와 데이터를 포함한 전체 길이를 나타낸다. 실제 데이터와 패딩을 구분하기 위해 필요하다.
Protocol: 상위 계층의 프로토콜 정보(TCP, UDP)를 나타낸다.
TTL(Time To Live): 패킷이 무한 루프(예: 설정이 잘못되어 2개의 라우터끼리 라우팅할 때)에 빠지는 것을 방지하기 위해 라우터를 거칠 때마다 1씩 감소하며 0이 되면 폐기된다.
TTL(1) - 로컬 네트워크에서만 동작하는 것을 말한다.
Header Checksum: 오류를 확인하는 기능을 말하며 오류 발견시 드랍시킨다.
헤더만 체크하는 이유: 고속처리, 비효율성 제거(4계층인 TCP/UDP에서 End to End 체크)

헤더 구조

3. 패킷 분할

MTU: 한 번에 보낼 수 있는 최대 데이터 패킷의 크기 (프로토콜 별로 MTU가 다름)
네트워크 구간마다 MTU가 다르기 때문에 패킷이 클 경우 분할(송신측 or 중간에서)이 발생한다.
이를 위해 Identification(식별자), Flag(DF, MF), Fragment Offset 필드를 사용하여 수신측(종단)에서 재조립한다.
Identification: 분할된 모든 패킷은 동일한 ID
Flag: DF(Don't Flagment) - 0일 때 분할 가능. 1일 때 분할 X, MF(More Flagment) - 0이면 마지막. 1이면 분할 더 있음.
Fragment Offset: 분할된 패킷의 1번째 byte 위치를 8로 나눔

Flag와 Fragment Offset

ICMP 프로토콜

1. ICMP의 필요성

기존 IP 프로토콜은 패킷 드랍(TTL=0) 시 송신 측에 알림을 주거나(에러 리포팅), 경로 정보 및 처리 시간을 확인하는(쿼리) 기능이 제한적이었다. ICMP는 별도의 제어 메시지를 통해 이를 보완한다.

2. 주요 메시지 유형

2-1. Error Reporting Message

Destination Unreachable (3번 타입): 네트워크, 호스트, 포트 등이 도달 불가능할 때 발생한다.
no ip unreachable: 보안성(네트워크 정보 미제공) 및 CPU 부하 감소 등의 이유로 사용 안함을 지정할 수 있다.

Destination Unreachable

Time Exceeded (11번 타입): Code 0 - TTL 값이 0이 되어 패킷이 폐기될 때 최초 송신자에게 통보한다. Code 1 - 분할된 패킷이 제한 시간 내 host에 도착하지 않을 때 사용된다.
Source Quench: 네트워크 혼잡을 송신자에 알려(패킷 단위) 속도를 줄이게 하는 기능이나 현재는 거의 사용되지 않는다. (속도 감소 시키는 기능 밖에 없어서 보안적으로 취약.)
Parameter Problem: IP 헤더가 이상할 때 알려줌(헤더 필수 옵션 누락, 헤더 길이 잘못됨)
ICMP Redirect: 더 효율적인 경로가 있을 때 라우터가 호스트에게 알리는 기능 (로컬 내에서 default gateway(라우터 인터페이스)는 한 개 밖에 설정 못함)
ICMP Redirect 보안 문제: 공격자가 라우터인척 하여 위조적인 ICMP 메시지를 보냄(MITM 공격) 즉 모든 트래픽이 공격자에 경유하게 됨. - no ip redirect로 비활성화 가능

MITM 공격

2-2. Query Message

Echo Request/Reply: Ping 테스트를 통해 호스트의 생존 여부와 응답 시간(RTT)을 확인
echo request를 받으면 echo reply를 생성 후 초기 송신자에 전달한다.
Timestamp Request/Reply: 시간 동기화나 RTT 측정을 위해 사용되지만 최근에는 사용 빈도가 낮다. (NTP가 더 정확)

활용 예시

Traceroute/Tracert: TTL 값을 1씩 증가시키며 경로상의 라우터들을 추적한다. 목적지까지의 hop 수와 경로를 확인하고 hop간 전송지연을 확인한다. - 윈도우(Tracert): ICMP ping 패킷 전송, 리눅스(Traceroute): UDP 패킷 전송

Traceroute와 Tracert

[CCNA 정리] IPv4 (서브넷팅)

천꾸 — Mon, 18 May 2026 20:13:47 +0900

IPv4 주소 체계

1. 네트워크 계층별 주소의 역할

L4(포트): 어떤 서비스를 이용할지 구분 (예: 웹, FTP, 카톡)
L3(IP 주소): 네트워크(동네)와 호스트(개인)를 구분하는 논리적 식별자
L2(MAC 주소): 하드웨어 장비에 고정된 물리적 주소로 같은 로컬 네트워크 내에서 통신할 때 사용

2. IPv4 주소의 구조

32비트(4바이트)로 구성되며 이진수 32개로 단말을 식별한다. 사용할 수 있는 최대 주소 개수는 2^32개 이다.
글로벌하고 계층적인 구조를 가져 전화번호 체계와 유사한 특징을 가진다. (예: 82-043-123-4567)

3. Classful Addressing

네트워크 규모에 따라 A, B, C, D(멀티캐스트), E(reserved) 클래스로 구분하며 첫 번째 옥텟(바이트)의 값으로 클래스를 식별한다.
- A 클래스: 1~126 (대규모 네트워크) special address 제외 (0, 127) -> 2^7 - 2개의 네트워크와 2^24 - 2개의 호스트
- B 클래스: 128~191 (중규모 네트워크) -> 2^14개(10000000~10111111)의 네트워크와 2^16 - 2개의 호스트
- C 클래스: 192~223 (소규모 네트워크) -> 2^21개(11000000~11011111)의 네트워크와 2^8 - 2개의 호스트
- A, B, C 모두 유니캐스트

Classful Addressing

Network ID: Host가 속한 네트워크(동네) 식별
Host ID: Host(사용자) 식별
Major Network: 클래스풀 어드레스에서 네트워크 부분

클래스별 네트워크, 호스트

4. 네트워크 주소와 브로드캐스트 주소

네트워크 주소: 네트워크 부분이 아닌 호스트 부분이 모두 0인 경우 (네트워크 전체를 나타내는 주소)
브로드캐스트 주소: 네트워크 부분이 아닌 호스트 부분이 모두 1인 경우 (네트워크 안에 있는 모든 곳에 뿌릴 때 사용되므로 할당이 안됨.)
두 주소는 각 네트워크에는 할당할 수 없는 주소이다.
즉 호스트에게 할당 가능한 개수는 2^n - 2 이다. (n: 호스트 비트 수)

5. 서브넷 마스크

서브넷 마스크: 장비가 네트워크와 호스트 영역을 구분하기 위해 사용하며 네트워크 부분을 1로 채워 표현한다.
CIDR(/기호): 서브넷 마스크를 일일이 적는 대신 비트 수(네트워크 부분의 1의 개수)로 간단히 표기하는 방식이다.
(예: 10.1.1.1/8)

서브넷팅

1. 서브넷팅의 필요성

Classful addressing 문제점: 클래스 기반(A, B, C 클래스) IP 할당 방식은 네트워크 당 호스트 수가 고정되어 있어 IP 주소 낭비와 브로드캐스트 도메인 비효율성 문제가 있다.
서브넷팅: 큰 네트워크를 작은 단위로 분할하여 IP 자원을 효율적으로 관리하고 네트워크 성능을 개선하는 기법이다.

2. 서브넷팅의 핵심 원리

호스트 ID의 일부분을 네트워크 ID로 전환하여 사용한다.
디자인 시 필요한 서브넷 개수와 각 서브넷에 필요한 호스트 개수를 고려하여 서브넷 마스크(Subnet Mask)와 CIDR 프리픽스를 결정한다.

서브넷팅

3. 계산 방법 및 예제

~~8분30초~~

서브네팅 계산

매직 넘버(Magic Number) 개념: 256에서 서브넷 마스크의 값을 빼서 네트워크가 증가하는 블록 단위(간격)를 빠르게 계산한다. 아래 예시를 보면 256에서 서브넷 마스크(240)을 뺀 값인 16만큼 증가한다.

매직 넘버 예시

예제

포인트 투 포인트 링크: 30비트 프리픽스 사용할 때 사용된다.

P-P Link

4. 직관적인 방법

서브넷팅 직관적 원리: 8비트(256개)로 구성된 하나의 네트워크를 서브넷팅한다는 것은 큰 방을 여러 개의 작은 방으로 나누는 과정이다.
예시(C클래스 일때)
- 25비트 (/25): C클래스는 네트워크가 24비트 이므로 25비트이면 1비트가 추가된 것이다. 즉 하나의 큰 네트워크를 2(2^1)개로 분할하여 각각 128개씩 할당한다. 시작 번호인 0과 128을 기준으로 범위를 나눈다.
- 26비트 (/26): 네트워크를 4개(2^2)로 분할하여 각각 64개씩 할당한다. 64 단위로 증가하며 범위를 구분한다.
- 27비트 (/27): 네트워크를 8(2^3)개로 분할하여 각각 32개씩 할당한다.

subnet 원리

이러한 직관적인 이해 방식은 나중에 VLSM을 학습할 때 매우 큰 도움이 되므로 단순 암기보단 네트워크가 어떻게 분할되는지 구조를 파악하는 것이 중요하다.

CIDR과 VLSM

1.CIDR (Classless Inter-Domain Routing)

기존의 클래스 기반 주소 체계(Classful Addressing)가 가진 주소 낭비 문제를 해결하기 위해 등장했다.
클래스 구분 없이 Prefix 길이(네트워크 부분길이)를 슬래시(/)로 표현하여 네트워크 영역을 유연하게 할당하는 방식
Classless addressing이라고도 한다.

2. VLSM (Variable Length Subnet Mask)

네트워크별로 필요한 호스트 수에 맞춰 서로 다른 길이의 서브넷 마스크를 사용하는 것을 말한다. (FLSM: 모든 서브넷은 동일한 Prefix 길이)
모든 네트워크에 동일한 크기를 할당하던 FLSM 방식의 비효율성을 극복하여 IP 주소를 더욱 경제적으로 사용하게 해준다.

VLSM 예제

위의 예제를 아래와 같이 피자 모양으로 풀 수 있다.

실습

192.168.10.0/24 에서 2개의 서브넷을 분할한다.

2개의 서브넷을 분할하기 때문에 0~127과 128~255를 갖는 두 개의 네트워크로 나뉘게 된다. 여기서 0과 128은 네트워크 주소이므로 아래와 같이 192.168.10.0/25와 192.168.10.128/25로 두 개의 네트워크 주소 할당했고, 각각 네트워크와 브로드캐스트 주소를 제외한 1~126과 129~254의 호스트를 할당받을 수 있다.

아래와 같이 라우터, 스위치, PC를 구성하여 두 개의 네트워크를 나누었다. 라우터도 ip 주소를 할당해야하므로 가장 첫 번째 주소를 할당하면 된다. 즉 Gig0/0은192.168.10.1을 Gig0/1은 192.168.10.129를 할당해주었다. PC의 경우는 네트워크 별로 2개만 넣었는데 PC0은 192.168.10.2, PC1은 192.168.10.3을 할당했고 다른 네트워크에 있는 PC2와 PC3은 각각 192.168.10.130, 192.168.10.131을 할당했다.

네트워크 구성

먼저 호스트의 ip를 할당하기 위해 PC의 Desktop -> IP Configuration에 들어가서 아래와 같이 설정해주면 된다. 아래는 PC0의 예시이고 PC1,2,3 모두 각각의 ip주소를 아래와 같이 할당해주면 된다.

여기서 Subnet Mask는 CIDR이 25비트 이므로 255.255.255.128이고, Defalt Gateway는 라우터의 IP 주소이다.

호스트 IP 설정

다음은 라우터의 IP 주소를 할당하는 과정이다. 네트워크별로 interface에 들어가서 아래와 같이 해주면 된다.

라우터 IP 설정

만약 첫 번째 네트워크에서 두 번째 네트워크에 있는 ip 주소를 할당하려 하면 아래와 같이 ip 충돌 오류가 발생한다.

IP 충돌 오류

다음은 show ip route명령어로 라우팅 테이블을 확인하는 과정이다. C(conneted)는 연결된 네트워크 주소를 알려주고 L(local)은 라우터의 ip 주소를 알려준다.

라우팅 테이블

PC0에서 Desktop -> Command Prompt에 들어가서 네트워크에 잘 연결되었는지, 통신이 잘되는지 확인하기 위해 아래와 같이 ping을 날려보자. 통신이 잘 이루어지는 것을 확인할 수 있다.

ping test

[CCNA 정리] CLI 보안명령

천꾸 — Sat, 16 May 2026 22:00:04 +0900

Console 접속 보안

1. 장비 접속 방식 및 보안 개요

네트워크 장비에 접속하는 3가지 경로(line 접속): Console(최초 장비 관리자가 접속), AUX(전화선으로 라우터에 접속), VTY(원격 접속: telnet/SSH)
Console: 인증없이 접속 허용, VTY: 인증 반드시 필요(원격이기 때문) - 인증 성공 후 User mode 진입
장비 보안을 위해 관리자는 User mode와 Enable mode에서 각각 2단계 패스워드 인증을 설정해야 한다. -> line(원격)에서 인증, User mode에서 Enable mode로 넘어갈 때 인증(enable password, enable secret)
콘솔 포트는 물리적 접근이 가능하므로 최초 설정 시 편의를 위해 인증 없이도 접속이 허용되지만, 보안을 위해 반드시 비밀번호를 설정해야 한다.
Service-Password-Encryption(type7): line에서 password 입력할 때 평문으로 보이는 것을 방지

2. 콘솔 보안 설정

패스워드 설정: line console 0 모드 진입 후 password와 login(aply) 명령어를 사용하여 설정한다. (password 입력 먼저 - login 설정 후 password 사용 안할 경우 모든 접속이 차단됨을 방지)
Rommon mode: password 잊어버릴 때 복구
로그 메시지 제어: 설정 중 로그가 출력되어 명령어가 잘리는 것을 방지하기 위해 logging synchronous 명령어를 활성화한다.
세션 타임아웃: 사용자가 자리를 비웠을 때 보안을 유지하기 위해 exec-timeout 명령어로 자동 로그아웃 시간을 설정할 수 있다.

원격 접속 보안(Telnet)

1. Telnet의 특징과 필요성

기본 설정 차단: 원격 접속(VTY)은 보안상 기본적으로 접속이 차단되어 있다. 따라서 접속을 위해서는 반드시 비밀번호 설정이 필요하다.
동시 접속: VTY는 기본적으로 0부터 15까지 총 16개의 세션을 동시에 지원한다.
취약점: Telnet은 평문으로 데이터를 전송하기 때문에 중간에 패킷이 가로채지면 내용이 노출되는 보안 문제가 있다 .

2. 설정 방법

line vty 0 15 명령어로 설정 모드에 진입한 후 password [비밀번호]와 login 명령어를 입력하여 인증을 활성화해야한다.
no login 명령어를 사용하면 비밀번호 없이 접속이 가능하지만, 이는 매우 위험하므로 사용을 권장하지 않는다.

3. 추가 사항

비밀번호 설정 후에도 별도의 enable 비밀번호가 설정되어 있지 않으면 원격 접속 후 Enable 모드 진입이 불가능하다.
비밀번호가 평문으로 보이는 문제를 해결하기 위해 service password-encryption 기능이 필요하다.

원격 접속 보안(SSH)

1.SSH 설정 사전 조건

호스트 네임과 도메인 네임 설정이 필요(키 생성 조건)하며 이를 통해 FQDN(둘을 합친 것)을 생성한다.
RSA 기반 암호화를 위한 키 생성 과정이 필수이다.
ssh는 계정(username)이 있어야 한다.

2. 사용자 인증 방식

SSH는 로컬 데이터베이스를 이용한 사용자 인증 방식을 사용해야 하므로 login local 명령어를 설정해야 한다.

ssh 세팅

3. 설정 절차 요약

호스트/도메인 네임 설정: hostname, ip domain-name 명령어 사용
RSA 키 생성: crypto key generate rsa 명령어 사용
SSH 버전 지정: ip ssh version 2 권장
사용자 계정 생성: username과 password 설정
라인 설정: line vty 구간에서 login local 적용

Enable mode 보안

1. Enable mode 보안 필요성

시스코 장비는 User mode와 Enable mode로 나뉘며 보안을 위해 단계별 인증이 필수적이다.
특히 원격 접속(Telnet, SSH) 시에는 User mode와 Enable mode 모두 비밀번호 설정이 중요하다.

2. Enable Password vs Enable Secret

Enable Password: 비밀번호가 평문으로 저장되어 보안에 취약하다. (Type 0)
Enable Secret: 해시 알고리즘(MD5)과 SHA를 사용하여 암호화하므로 보안성이 훨씬 높다. (Type 5)
보안이 강력한 enable secret 명령어를 사용할 것을 권장

3. 최신 암호화 알고리즘

기존 MD5 외에도 최근 시스코 장비는 SHA-256 기반 더 강력한 알고리즘(Type 8, 9 등)을 지원한다.
enable algorithm-type 명령어를 통해 설정을 변경하여 보안 수준을 강화할 수 있다.

패스워드 암호화

service password-encryption 명령어: 설정 파일(Running-config)에 평문으로 노출된 패스워드를 Type 7 방식으로 암호화해준다.
보안 한계: Type 7 암호화는 복호화 툴을 통해 원본 패스워드를 쉽게 알아낼 수 있어 보안이 취약하다. 그래서 더 강력한 보안을 위해 enable secret 명령어를 사용하는 것을 권장한다. MD5(또는 상위 알고리즘)로 해시 처리되어 훨씬 안전하다.
암호화 작동 원리
- 기능을 해제(no service password-encryption)하더라도 이미 암호화된 값은 즉시 평문으로 돌아가지 않으며 패스워드를 새로 변경할 때 평문으로 저장된다.
- 이미 enable secret 으로 암호화된 값(Type 5 등)에는 service password-encryption이 영향을 주지 않는다.

실습

콘솔 접속 실습을 진행해보자.

console접속을 해주고 password를 설정한다. user 모드로 갈 때 password를 입력하라는 것을 볼 수 있다.

console 접속

password 요구

다음은 원격 접속 실습을 진행해보자.

원격 접속을 위해 vty로 접속해서 암호 설정(abv)를 해주고 show 명령어로 확인해보면 평문으로 나오는 것을 알 수 있다.

다음으로 PC의 desktop에서 telnet으로 원격 접속을 해보자.

telnet [ip 주소]를 입력하여 접속을 하고 암호를 입력해 user 모드에 진입해준다.

그리고 enable 모드에 들어갔더니 password가 설정되지 않아 접속이 차단된 것을 확인할 수 있다.

다음은 ssh 실습을 진행해보자

먼저 호스트네임과 도메인 네임을 설정해주고 key생성을 해준다. bit 수는 1024로 설정한 뒤 ssh 버전을 2로 설정해준다.(권장)

다음은 원격 접속을 위해 vty접속을 해준다. ssh는 로컬 인증을 사용해야 하므로 local login을 해줘야한다. (ssh와 telnet 모두 local인증으로 바뀐다.)

계정과 암호를 설정해야 하므로 username을 aaa로 password를 abc로 설정해주었다.

이제 pc에서 ssh로 원격 접속을 해보자.

ssh -l [username] [ip주소]로 접속을 해야한다.

접속후 password를 입력해주면 user 모드로 진입한다. 마찬가지로 enable 모드로 접속하기 위해 암호 설정이 안되어있으면 차단이 된다.

Enable mode 보안 실습을 진행해보자.

아래와 같이 enable password와 enable secret으로 암호를 지정해주었다. 조회 해본 결과 password는 평문으로, secret은 암호화되어 나오는 것을 확인할 수 있다.

이제 PC에서 ssh(혹은 telnet)로 원격 접속해주고 enable 모드에 접속해보자.

이전까지는 enable 모드에 암호를 설정을 해주지 않아서 접속이 되지 않았지만 암호를 설정해주어 암호를 입력 후 접속에 성공한 것을 확인할 수 있다.

마지막으로 설정 파일(Running-config)에 평문으로 노출된 패스워드를 암호화해주기 위해 service password-encryption 명령어어를 입력해보자. type 7으로 암호화가 된 것을 확인할 수 있다.