<Network-3 Summary>
+ L1허브(더미 허브)는 이제 잘 사용하지 않는다(-> 스위칭 허브)
Ref. 스위칭 허브 vs L2SW
: (제품마다 다르지만) 스위칭 허브의 경우, L2 Switching(; 들어오는 MAC정보를 보고 MAC Table을 작성하여 통신)을 하지만
L2SW의 MAC정보의 Management나 Configuration에서 기능이 떨어지거나 포트의 다양한 설정(Ex. 위협 탐지, 흐름제어 등)에서 기능이 부족할 수 있다.
+ L2스위치 환경에서 BackBone 장비(L3SW)의 *SPOF 대책으로 이중화(; 장비 이중화 or 케이블 이중화) 작업
-> 물리적인 루핑 발생 -> STP 사용
Ref. 큰 망(; 대기업 or 국가 단위)에서는 루핑 구조를 가지지 않도록 물리적 설계를 하지만, 중소 네트워크에서는 아직 가지고 있다
+ *SPOF(Single Point of Failure): 하나의 지점으로 인한 전체 서비스/연결이 끊기는 상황
-> 해결책: 이중화 진행 (Ex. *EtherChannel(IEEE 802.3ad) )
+ *EtherChannel(IEEE 802.3.ad) = Link Aggregation = NIC Teaming = (Channel) Bonding
※ IEEE 802.3 <- Ethernet 관련 표준
목적1). 대역폭 확장
목적2). Redundancy(Failover(장애극복기능), 다중화)
; 안정성(데이터를 안정적으로 전송)을 위해 -> Active-Standby 이중화
+ RAID(Redundant Array Independent(inexpensive) Disks)
- Storage; 하드디스크가 많은 서버
- Stripe 기술(~ RAID 3) ; 하드 디스크 읽는 속도 개선을 위해 <- 디스크 여러 개를 묶어서, 병렬로 읽는다
=> 독립을 묶는 2가지 목적
(1). 속도 ~ Striping (Ex. RAID 3)
(2). 안정성(이중화) ~ Mirroring (Ex. RAID 1)
※ RAID 5, 6의 경우, 둘 다 기능
+ VLAN
: 브로드캐스트 도메인 관리 (네트워크 Traffic 관리를 위해)
Ref. 브로드캐스트 도메인을 나누는 2가지 기술: VLAN & Subnetting
Plus). trunk 기술; VLAN을 식별하기 위해
+ Routing 기술
- 경로 결정
- 목적지 네트워크 정보 수집 & 목적지 네트워크로 경로 수집 -> 라우팅 테이블 작성 -> L3 스위칭(; L3정보를 기반으로 데이터 전송)
- Destination Routing + Network Routing + Unicast Routing + Hop by Hop Routing
+ 라우팅 테이블 작성 방식:
- 학습 방식 2가지: Static(관리자가 직접 작성하여 학습) & Dynamic(프로토콜을 통해, 라우터끼리 교환하여 학습)
Ref. Static Routing이 Dynamic Routing보다 우선적이다
+ Link-state Routing Protocol 예시: IS-IS, OSPF
+ Stub Network: 외부와의 연결이 한쪽(한 부분)인 경우
+ Dual Homed : ISP 이중화 구조 <- BGP를 반드시 사용해야 가능한 구조
<IP Saving>
(1). Subnetting ; Class 별 IP 분배 낭비 매우 많기에
* Subnetting의 목적 중 하나, Local/Remote 구분
(2). DHCP; Dynamic Host Configuration Protocol: UDP 67(Server),UDP 68(Client)
(2).1. C -> S : DHCP Discovery
SIP: 0.0.0.0 255.255.255.255 UDP/68
DIP: 255.255.255.255 255.255.255.255 UDP/67
(2).2. C <- S : DHCP Offer
SIP: DHCP Server’s IP
DIP: 255.255.255.255 255.255.255.255 UDP/68
(2).3. C -> S : DHCP Request ; 재차 확인 과정
SIP: 0.0.0.0 255.255.255.255
DIP: 255.255.255.255 255.255.255.255
(2).4. C <- S : DHCP Ack
SIP: DHCP Server’s IP
DIP: 255.255.255.255 255.255.255.255
<- 4과정 전부 (브로드캐스트 IP를 통해) 브로드캐스트 통신한다
+ DHCP Discovery’s Broadcast Packet ; DHCP Request와 구조가 같다
| Data | SIP | DIP | SMAC | DMAC |
| DHCP Discovery | 0.0.0.0 | 255.255.255.255 | Client’s MAC | FF:FF:FF:FF:FF:FF |
-> DIP가 브로드캐스트이면 DMAC 또한 브로드캐스트로 매핑 진행, DIP가 Unicast이면 Unicast으로 DMAC 매핑 -> 100%는 아니다
-> 시스템에 영향을 주는 브로드캐스트는 Broadcast Packet인가?Broadcast Frame인가?
LAN Card를 통과하는가? 못하는가? 의 대상은 Frame이기에, Broadcast Frame이 문제가 된다
+ DHCP 공격 중 하나인, IP Starvation Attack
-> 많은 브로드캐스트를 보내서 네트워크 마비 발생 -> DoS(Denial of Service) 공격
-> 브로드캐스트 노출을 최소화하기 위해서, DHCP Discovery는 여전히 Broadcast이지만, DHCP Offer에서 DIP는 브로드캐스트이지만 DMAC을 Client’s MAC으로 지정한다.
※ TCP/IP 기존의 동작 방식을 바꾸기는 어렵다. -> 인터넷 전체가 바뀌어야 하기에
+ DHCP Offer’s Broadcast Packet; DHCP Ack와 구조가 같다
| Data | SIP | DIP | SMAC | DMAC |
| DHCP Offer(Client’s IP) | DHCP Server’s IP | 255.255.255.255 | DHCP Server’s MAC | DHCP Client’s MAC |
+ DHCP Relay Agent <- DHCP Server’s IP를 알고 넘겨준다
: 브로드캐스트를 받으면 서버가 있는 쪽으로 넘겨주게 된다
- 일종의 서버
- Client의 요청(Broadcast(Packet))를 Unicast(Packet)로 전달 ~ 다른 네트워크이기에 Packet으로
※ DHCP Relay Agent로 DHCP 서비스를 받으면 어떻게 알고 서버는 거기에 맞는 네트워크 대역으로 IP를 할당하는 가?-> 서버가 받은 DHCP Request의 SIP가 Router에서 요청 받은 포트의 IP이며, DHCP 서버에서 (Client로 부터 DHCP 요청 받은 Port의) 네트워크에 맞게 IP 할당해 준다.
(3). NAT
(3).1. Network Address Translation <- 1대1 주소 변환 ~ 제한적
(3).2. PAT Port Address Translation
<- 공인IP의 따른 인터넷으로의 통신 병목현상을 해결해준다
; 포트 번호까지 이용해서 Address Translation
Ex. 192.168.1.0/24 (내부망) & 203.239.185.1(공인 IP)
~ 사설 IP를 사용 시, 외부로 통신에서 Dst로 가는 건 문제가 없다. But, 돌아오지 못 할 뿐
+ IPv6 필요로 했던 주소 부족 문제 해결? 하지만, 한 시스템 상의 여러 서비스 세션으로 포트 수 한계
+ ICMP TCP UDP 만 NAT를 통해 변환이 가능하기에, transport 계층의 여러 프로토콜들이 있기에 커버 불가한 문제 & IPsec에서 VPC(사내 Local+Remote)구성에서 중간에 NAT가 들어가면 구성이 안된다 & VoIP(ex. SIP protocol) & IoT 환경의 Protocol들이 NAT 환경을 통과하지 못한다.
-> 지금은 넘겨야 하는 경우, 1차적으로 UDP로 감싸서 지금은 NAT 환경에서 보내기 가능하다.
※ 이중 NAT & 삼중 NAT 존재
※ 현재 IPv6를 핸드폰에서는 사용하고 있다.
+ NAT의 두가지 :
- NAT(PAT)
(1). 정적 NAT: 변환전 주소(사설IP): 변환후 주소(공인IP) = 1 : 1 매핑
; 대외 Server용으로 사용 <- 보안 취약
(2). 동적 NAT: 변환전 주소(Network 범위): 변환후 주소(공인IP 범위) = M : N 매핑
; (내부에서 외부로 나가는 동작을 할 때)변환하는 시점에서 동적으로 테이블이 생기기에 <- (동적인 테이블의 정보는 외부에서 없기에) 내부망을 보호하는 보안적 특성이 있다.
