목차
1. 허브 vs 스위치
2. 프레임 헤더, IP 헤더
3. ARP 기능 및 구조
- WireShark 로 확인
4. VLAN
- Packet Tracer 로 세팅(1, 2, 3, 4)
허브 vs 스위치
허브
- Port1 에서 Port4를 찾을 때, 허브는 arp를 통해 aa, dd의 정보를 알아온다
- 허브는 dd의 위치가 어딘지 모르므로 모든 포트에 다 신호(패킷)를 뿌리게 된다
- collision 신호가 계속 들어가게 된다
- CSMA/CD(Collision Dectection) 방식을 사용한다
- 모든 포트에 신호를 뿌리기 때문에 스니핑이 가능하다
- 스니핑 : 네트워크 상에서 자신이 아닌 다른 상대방의 패킷 교환을 엿듣는 해킹 기법
스위치
- 스위치도 허브와 마찬가지로 arp를 통해 aa, dd의 정보를 알아온다
- 스위치는 MAC address table을 통해 작업
- MAC address table : MAC주소, 포트 번호가 기록
- 저장기능을 가지고 있어 허브에 비해 고가이다(메모리를 사용하므로)
- 첫 부팅 시점에 스위치도 허브와 마찬가지로 네트워크 정보를
알기 위해 신호(패킷)를 모든 포트에 보낸다
- 순간 정보들을 MAC address table에 저장한다
- 이것을 플러딩(flooding)이라 한다(스위치의 목적)
- 서로의 포트 위치를 기억하고 있기 때문에 신호(패킷)를 다 뿌릴
필요없이 원하는 포트와 통신이 가능해진다
- 둘끼리만 통신을 하기 때문에 스니핑이 불가능하다
프레임 헤더, IP 헤더
- Preamble : 동기화 신호(와이어샤크에서 잡히지 않는다)
- FCS : 프레임 검사 시퀀스(와이어샤크에서 마찬가지로 잡히지 않는다)
- 프레임 헤더에서는 목적지 주소(6) + 소스 주소(6) + 이더넷 타입(2) + 데이터(46) = 60
- 최소 60 바이트가 있어야 한다!
- 만약, 60 바이트가 되지 않는다면 패딩(0)으로 자리를 매꾸게 된다
예시
- 예를 들어, Port1(AA)에서 Port2(BB)로 핑테스트를 진행한다고 해보자
- Port1, Port2의 IP는 각각 알고 있지만, MAC주소는 서로 모르는 상태이다
- 송신시 프레임 헤더의 Source 주소에는 Port1의 주소를 넣게 되며, Destination 주소에는
Port2의 주소를 모르므로 FF(전체 네트워크로) 채우게 된다
- IP 헤더에는 Source의 IP, MAC 주소를 넣게 되며, 목적지인 Port2의 IP는 알고 있기 때문에
목적지의 IP를 넣을 수 있지만 MAC 주소를 모르기 때문에 00(모든 MAC)로 세팅
- 응답시 프레임 헤더엔 Source 주소에는 Port2의 주소를
Destination 주소에는 Port1의 주소가 세팅될 것이다
- IP 헤더에는 Port2의 IP, MAC과 Port1에게 받은 IP, MAC이 세팅된다
- 그 후에는 Port1, Port2가 서로에 대한 정보를 모두 알기 때문에 통신이 가능해진다
ARP 기능 및 구조
- Hardware Type : 하드웨어 주소(MAC)의 유형을 나타내며 이더넷 통신시 항상 1로 설정
- Protocol Type : 매핑 대상인 프로토콜 주소의 유형을 나타내며 IPv4의 경우 0x0800 설정
- Hardware Address Length : 하드웨어의 길이, Byte로 표시, 이더넷상에서는 0x06으로 설정
- Protocol Address Length : 프로토콜 주소 길이, Byte로 표시, IPv4의 경우 0x04로 설정
- Operation Code : ARP의 구체적인 동작을 나타냄
- Source Hardware Address : 송신자의 MAC 주소
- Source Protocol Address : 송신자의 IP 주소
- Destination Hardware Address : 수신자의 MAC 주소, ARP Request 동작 시 0으로 설정
- Destination Protocol Address : 수신자의 IP 주소
- 서로 같은 네트워크 상에 있으므로 통신이 가능
- ARP를 통해 10.0.0.2의 MAC 주소를 알 수 있다
WireShark로 확인
- ff ff ff ff ff ff : 목적지(W11-1)의 MAC주소를 모르므로 전체 주소로 설정
- 00 00 00 00 00 01 : 송신자(W10-1)의 MAC 주소 - 자신이 뿌렸다라는 내용
- 08 06 : ARP(이더넷 타입)
- 00 01 : 이더넷 통신시 하드웨어 타입은 항상 1로 세팅
- 08 00 : 프로토콜 타입은 IPv4
- 06 : 하드웨어 길이
- 04 : 프로토콜 주소 길이(IPv4인 경우)
- 00 01 : 요청하는 것이므로 Operation code는 1
- 00 00 00 00 00 01 : 송신자의 MAC 주소
- 0a 00 00 65 : 송신자의 IP 주소(16진수로 표현 되어 있음)
- 00 00 00 00 00 00 : 수신자의 MAC 주소를 모르므로 전부 0으로 세팅
- 0a 00 00 c9 : 수신자의 IP 주소
- 00 00 00 00 00 01 : 송신자(W10-1)의 MAC 주소
- 00 00 00 00 00 02 : 수신자(W11-1)의 MAC 주소
- 08 06 : ARP(이더넷 타입)
- 00 01 : 이더넷 통신시 하드웨어 타입은 항상 1로 세팅
- 08 00 : 프로토콜 타입은 IPv4
- 06 : 하드웨어 길이
- 04 : 프로토콜 주소 길이(IPv4인 경우)
- 00 02 : 응답하는 것이므로 Operation code는 2
- 00 00 00 00 00 02 : 수신자의 MAC 주소
- 0a 00 00 c9: 수신자의 IP 주소
- 00 00 00 00 00 01 : 송신자의 MAC 주소
- 0a 00 00 65 : 송신자의 IP 주소
- 00 ~ : 최소 길이인 60byte가 넘지 않아 padding으로 대체
VLAN
- 보안성 향상
- 동일한 vlan 끼리만 통신이 가능해지므로 보안성 향상
- broadcast domain 분리
- collision domain / broadcast domain
- 스위치는 기본적으로 collision domain 분리 가능(허브는 x)
- broadcast 영역이 달라지므로 분리 가능하다(기본적으로는 x)
- vlan이 구성된 곳에서 다른 vlan 끼리 통신이 안되는 이유는 ARP를 넘겨주기 않아서이다
collision domain, broadcast domain 문제
- Collision Domain 수는 7개
- 허브는 collision Domain 분리가 안되므로 1개
- 라우터와 스위치 간의 collsion domain 분리 1개
- 스위치는 기본적으로 가능하기 때문에 5개
- Broadcast Domain 수는 2개
- 허브, 스위치 둘다 기본적으로 분리가 불가능
- 라우터만 가능하므로 2개
Packet Tracer VLAN 세팅 - 1
- Cisco 장비는 모든 포트가 기본적으로 vlan 1번에 붙어있다
- 그래서 처음에 구성하게 되면 ping 테스트가 가능한 것이다
- 1002번 뒷 번호(1024번까지)부터는 다른 용도로 쓰이기 위해 예약되어 있다
- 전체 설정 모드에서 'vlan 번호'를 통해 생성
- show vlan을 통해 확인
- 이름은 크게 중요하지 않고 번호가 중요하다
- 해당 포트로 접속
- switchport access vlan 번호로 가입시킨다
- range를 사용하고 ,(쉼표)를 사용하여 한꺼번에 해당 포트로 접속이 가능
- 한꺼번에 가입이 가능
- range를 사용하고, -를 사용하면 연속된 포트로 접속이 가능
테스트
- 같은 네트워크 상에 있어도 vlan이 다르기 때문에 통신이 안되는 것을 확인
- 같은 vlan 선상에 있기 때문에 통신이 잘 된다
Packet Tracer VLAN 세팅 - 2
- 같은 vlan 선상인데도 통신이 되지 않는 것을 확인
- 스위치간 vlan10이 통신할 수 있도록 통로를 만들어주면 통신은 된다
- 스위치 포트는 비싸므로 이건 별로 좋지않음
- VLAN들이 다 지나갈 수 있는 통로를 만들자!
- 트렁크 포트(다수의 vlan이 지나갈 수 있게)
- 포트를 아끼자!!!!
- switchport mode trunk로 trunkmode 설정 가능
- trunkmode : 모든 vlan이 지나갈 수 있게 된다
- ISL 방식 : 프레임 전체에 식별 코드 부여(암호화 시키는 느낌)
- 단점 : 복호화하는데 시간이 오래걸림 / 전송속도가 느려짐
- 802.1Q : 이름표를 붙임
테스트
Packet Tracer VLAN 세팅 - 3
테스트
- 같은 VLAN 그룹을 제외하고는 통신이 안되는 것을 확인
- 같은 vlan 그룹끼리 통신이 잘 되는 것을 확인
- 같은 vlan 그룹끼리 통신이 잘 되는 것을 확인
- 같은 vlan 그룹이고 trunkmode까지 설정하였는데 통신이 되지않는 것을 확인
- 네트워크 상에서 vlan10이 중간 스위치에 없었기 때문에 vlan 10간에 통신이 되지 않았다
- 포트를 사용하지 않아도 vlan 생성만 해주면 통신이 가능해진다
Packet Tracer VLAN 세팅 - 4
- L3 스위치와 L2 스위치의 다른점을 확인 하자
테스트
- 같은 VLAN 그룹을 제외하고는 통신이 안되는 것을 확인
