-
OSPF + Lookback 인터페이스, Extended access-listCISCO 2022. 1. 12. 01:03
네트워크 대역 크기와 상관없이 자동으로 /32크기로 서브넷팅이 이루어짐
int lo 0
ip addr 210.105.102.1 255.255.255.0
=> 210.105.102.0/24
conf)#router ospf 100
conf-router)#network 210.105.102.0 0.0.0.255 area 0 (하나만 사용하는데 0.0.0.255를 사용하는 것이 불필요)
OSPF에서 Loopback 사용 용도는 router-id 용도로 개발원래 OSPF에서 사용하는 네트워크 TYPE
point-to-point
point-to-multipoint
broadcast
Non-broadcast* 추가로 OSPF + loopback을 만나면 Loopback 인터페이스의 네트워크을 Loopback 타입으로 인식하도록 설계,
Loopback 타입으로 동작 할 때 자동으로 /32크기로 서브넷팅하는 기능이 동작Extended access-list
100 ~ 199 사이의 숫자를 사용할 수 있다.
출발지 주소 & 목적지 주소가 매칭될때 permit/deny 적용
특정 서비스 포트에만 적용이 가능
위에서 아래로 순차적으로 적용
한줄만 삭제 불가맨 아랫줄에 deny ip any any동작을 함(show run에서 안보임)
* ip : 프로토콜 단위 (deny ip any any에서)
* ip단위란? 모든 종류의 서비스 포트를 포함1.0/30 s1/0 s1/1 1.4/30
R1----------------R2----------------R3
102.1/32 104.1/32
OSPF 100102.1 -> 104.1 icmp, telnet만 허용한다고 할 때,
R2(conf)#access-list 100 permit icmp 210.105.102.1 0.0.0.0 210.105.104.1 0.0.0.0 (특정 서비스 포트만 적용 가능)
=> ping 210.105.104.1 so 210.105.102.1 이 신호만 지나갈 수 있게 설정
R2(conf)#access-list 100 permit tcp 210.105.102.1 0.0.0.0 210.105.104.1 0.0.0.0 eq 23 (telnet : TCP 23)
=>telnet 210.105.104.1 /so lo 0 (telnet은 TCP 안에서만 움직인다)
(PC나 네트워크 장비에서 TCP 접속을 시도할 때 다이나믹 서비스 포트가 랜덤으로 생성되어서 접속을 시도하기 때문에 접속을 시도하는 쪽에는 eq가 없음)
R2(conf)#access-list 100 permit ospf any any
R2(conf)#int s1/0
R2(conf-if)#ip access-group 100 in (access-list 100번으로 permit 된 것만 통과시킨다.)
다른 방법(ospf any any 명령어가 없는 경우)
R2(conf)#access-list 100 permit ip any 224.0.0.5
구성도 구성도에 나온 조건을 보고 설정을 진행한다.
R5 telnet 설정 https://one-day-one-coding.tistory.com/entry/OSPF?category=985533
이전에 OSPF설정 했던 것을 이어서 R5에 telnet을 설정해주도록 한다.
R4 access-list 설정 icmp의 경우 eq를 사용하지 않아도 된다. (독립적)
R4에서 access-list를 설정해준다.
R3 show ip ospf neighbor R3에서 보면 R4와 연결된 것을 확인할 수 있다(Dead Time이 증가)
R4 show ip ospf neighbor 하지만 R4로 돌아와서 다시 확인해보면 Dead Time이 0이 되어 죽은 것을 확인할 수 있다.
R3 show ip ospf neighbor R4가 죽은 것을 확인하고 R3로 돌아와서 다시 확인해보면 INIT으로 죽어있는 것을 확인할 수 있다.
R4 ospf any any 이때 R4에 ospf any any 명령을 주면 다시 살아난 것을 확인할 수 있다.
그러면 R3 역시 INIT에서 FULL로 상태가 전환된다.
R4 show access-lists R4의 access-lists를 확인하면 standard IP access list는 2 matches로 고정인데, 지나가는 정보는 고정이기 때문에 2에서 변화가 없다.(하지만 연결이 끊어지면 바뀜)(재분배 관련)
Extended IP access list 는 13 -> 16으로 증가하는 것을 볼 수 있는데, 이는 지나가는 트래픽의 양을 보여주기 때문에 계속 바뀐다.
deny된 것은 보여주지 않는다.
R4 icmp, telnet설정 
R3.cap ICMP와 TCP 신호 보낸 것을 확인할 수 있고 SYN, ACK라는 신호가 나온다.
먼저 신호를 보낼 때는 syn가 동작하고 상대의 첫번째 응답은 syn/ack가 같이 동작하며 그 다음부터는 서로 ack가 동작한다.
연결을 끊는 쪽에서 FIN을 보낸다.
FIN은 한쪽에서만 보내는 것은 아니다. (누가 보내는 것이 중요함)