CCNP Part 2 - 7

Control Plane Policing(CoPP) Theory

네트워크 장비가 data forwarding을 하기위해 필요한 정보들을 모으는 메카니즘

예) 라우팅 프로토콜 (OSPF EIGRP BGP) , 라우터로 향하는 Telnet Traffic, Ping, SSH도 Control Plane

 

라우터의 Control Plane 을 향해 대규모의 작업 부하를 줘서 제대로 동작 하지 못하도록 하는 (DoS) 것을 막기위해 CoPP 가 나옴. (Route Processor를 보호하는 역할)

 

QoS에서 사용하는 late limit 기능을 이용해서 route processor를 보호 하는 것임

Data Plane = Forwarding Only (예: 내가 네이버로 데이터를 보냈을때 중간에 forwarding 해주는 중간 다리 역할할때 data plane을 씀)

Management Plane = Management 용 Control Plane의 부분 집합(관리, 구성, 모니터링 텔넷접속, SSH 구성이 될수 있도록)

Control Plane = 라우터 자체로 향하는 트래픽, 라우터로부터 발생한 트래픽 -> 콘트롤 플레인의 트래픽 양을 제어할 필요가 있음

라우터 안의 분리된 객채로써 control plane이 working을 함

컨트롤 플레인 자체로 ingress & egress port를 가지고 있음 -> traffic control 가능

 

MQC concepts 

ClassMaps : 어떤 트래픽을 정의 할거냐

Policy Maps : Class map에서 정의 된 트래픽에 대해 어떤 제한을 가할 거냐?

Service Policies : 만들어 놓은 이런 service 정책들을 어디다가 걸꺼냐?

 

 

Control Plane Policing 설정

ACl을 통해 어떤 QoS정책을 정의 할건지 부터 

Class map -> policy map -> service policy 순으로 설정

핑을 계속 치면 route process에 영향을 주기때문에 ping에 대해 qos를 정의해보자

Extended ACL을 일단 만들어 주고(ex ACL은 Layer 3 에서 작동함)

Ping이라고 하는 Class-map을 만들자 , ACL과 연동시키는 것

ACL(PING class map과 연동된)에 policy map 걸어주고

초당 8000비트는 allow 하고 8000넘어가는건 멈추게 하는 policy를 최종적으로 보면 ACL에 걸어주는 그림이 나옴

이렇게 만들어진 정책을

control plane interface로 들어가서

아까 Policy map에서 만들어놓은 정책을 적용 시키자

이런식으로 service policy가 정상적으로 돌아간다는 거 확인 가능함

show policy-map control-plane

 

Extensible Authentication Protocol (EAP)

확장 가능한 인증 프로토콜

네트워크에 어떤 디바이스가 연결되는 과정에, 그 디바이스가 정말로 인증받은 디바이스인지 확인하는 2계층 프로토콜

 

802.1x protocol , port기반 프로토콜

포트에 꽂았을때 진짜 그 사용자가 우리 사용자가 맞는지 그 포트에 대해 허용 하는지 안하는지 체크하는 것

(포트기반 인증이라고 말 할수 있음)

왜 확장가능한 인증 프로토콜인가?

사용자가 인증하는 과정에서 굉장히 다양한 방식으로 인증한다. 일회용 패스워드.. 생체정보.. 등등  이렇게 인증할때 구체적인 인증을 할때 EAP라는 단순한 인증 방식만 사용 한다는 것. 뭔가 이미 만들어진, 앞으로 만들어진 인증 정보를 보내는 프로토콜 가운데 그 data format? 이라고 말 할수 있을것 같음

 

보통 이런 Structure로 구성하게 됨, Authenticator = Switch , 인증 정보를 안전한 형태로 바꿈(Radius or Tacacs)

 

 

Supplicant = 특별한 프로그램을 설치가 됨, =! 앤드 유저 -> 물리적으로 authentication server로 연결되게 만듬. 인증에 관련된 정보만 보내고 나머지는 다 차단 해버림

Authenticator = Authentication Server로 전송해주는 중간다리(Switch or Wireless controller), 인증 정보를 갖고 있지않지만, 실질적으로 인증이 이루어졌을때, Traffic Transmitting을 해주는 개채로써 port 단위 로 controll 할 수 있도록, 해주는 실질적인 역할

Authentication = End device를 control하기위한 실질적인 정보들을 가지고 있음

 

EAP 동작과 종류

실질적으로 데이터를 전달하는 전반적인 절차를 정의 한 것

 

 

EAPoL(EAP over LAN)

 

사용자가 인증이 완료 되기전까진 Unauthorized 상태 (EAP정보만 왔다 갔다 할수 있도록)

Authenticaton Server에서 Challenge 함

 

실제로 이 Supplicant 와 Authenticator 인증 방법 들은 엄청 많음! 그러나 EAP는 단순히 이 정보를 전달하는 Protocol일뿐임

가장 대표적인 방법으로는 EAP-TLS가 있음 -> 가장 안전한 종류 (삼성에서 New Jearsy Wireless Network 쓸때 certification 다운 받아서 apply 한게 이거 인듯) , 쌍방이 인증서를 갖고 있어야함

 

MD5 = 그냥 Hash 값 만 있으면 사용 가능 , End device가 단독적으로 존재하는 환경에서 사용 가능

 

SCHAPv2 라는 Session을 통해서 사용자 정보만 받아 오기만 하면 Network 사용 할 수 있도록 해주는 것 -> Windows AD랑 연동 해서 사용 가능

GTC = 다양한 환경에서 인증

크게 이 4 종류가 있다는 것임!!!

쌍방인지, 한쪽만 인증 하는 것 인지.

 

이런 EAP Type을 전송 하는 과정에서 좀 더 안전하게 구현 하기 위해서 Tunnelled EAP Type이 나옴

Tunnel을 통해서 암호화된 EAP 정보들을 전송 하는 역할

PACs = 이미 인증받은 디바이스들은, 재 인증 과정에서 과거의 정보들을 이용해서 엄청 빨리 인증이 이루어진다

 

빨간색이 EAP PEAP랑 EAP-FAST의 역할

바깥 터널을 이용해서 더 안전하게 전송 한다는 것임

802.1x는 실습하기에는 좀 어려움, 즉 보안 영역에서 다뤄짐 security 영역에서 실습을 통해서 다뤄지는 경우가 많음

 

EAP 데모

 

왼쪽 Windows(User)에서 ID/PW 인증 완료되면 Internet으로 넘어 가게 끔 만드는 Structure로 구성하기위한 SW의 Configuration을 한번 보자

 

SW = 802.11x authentication 구성 해야함

 

aaa new-model => aaa인증을 하기 위한 서버 설정

radius server my_Radius = Elektron 이라는 서버 돌고 있음(사용자 명으로 인증)

Authentication Server 등록 하기

인증 포트 1813

키 = 인증서버랑 서버 간 정보 교환을 위한 pre-shared key

dot1x 구성

 

 

supplicant 디바이스들의 스위치 연결을 위한 설정

 

 

 

이렇게 Server <-> Switch 간 설정이 완료 되면 이제 Enduser단에서 설정 할 필요 있음

 

Wired AutoConfig 활성화 뒤 Network Tab에 Authentication tab 확인 가능

 

후, 이런식으로 EAP 정보 인증 수행 시작

 

 

 

Pre-Shared Key(PSK) Theory

보통 가정 홈 네트워크에서 많이 사용

1. Personal Mode(aaa)

2. Enterprise (ID/PW Mode)

 

1. 사전에 공유하고 있는 passowrd 를 가지고 있다 (PSK Mode) 사용

 

WPA 같은경우 TIKIP을 사용

RC4 알고리즘을 강화 시킨 것