[실습] RIP, STATIC, 비밀번호, 서버 연결 23.03.16

 

 

<frame-relay 시리즈>

2023.03.16 - [네트워크 수업] - [실습] RIP, STATIC, 비밀번호, 서버 연결 23.03.16

2023.03.17 - [네트워크 수업] - [실습] RIP STATIC NAT 서버연결 + FTP설정 23.03.17

2023.03.20 - [네트워크 수업] - [실습] 23.03.20

2023.03.21 - [네트워크 수업] - [실습] 확장 ASL ping DoS공격 막기 23.03.21

2023.03.22 - [네트워크 수업] - [실습] ACL 확장 Password 시간지정 텔넷 ftp 23.03.22

 

 

>>기본설정

>>매핑까지 하고 핑까지 날려보기

>>R1과 R2에 RIP설정해주기

>>라우팅하기 

>>hop 수 재분배하기

>>특정 ip만 거부하고 나머지는 통과시켜주자(거부되는것까지 확인)

>>이제 16.16.3.3빼고 다 허용 거부

>>과제1

>>과제2

>>서버, 컴퓨터 연결

>>hop수 재분배

>>Static 으로 라우팅해주기(rip으로 할 필요 당연없음)

>>701과 702에서 telnet 16.16.12.1해보기

>>win2016 에서 FTP구동

>>특정 시간대로만 인터넷 사용 허용

 

 

16.16.0.0

 

 

기본설정]

ena

confi ter

no ip domain lookup

line c 0

logg sync

exec-timeout 0

 

int s1/0

no shut

clock rate 64000

enc frame

no frame inver

 

>>매핑까지 하고 핑까지 날려보기

R1]

conf t
int lo0
 ip add 16.16.1.1 255.255.255.0
 exit
int s1/0
 ip add 16.16.12.1 255.255.255.0
 fram map ip 16.16.12.2 102 br
 exit

 

R2]

conf t
int lo0
 ip add 16.16.2.2 255.255.255.0
 exit
int s1/0.12 m
 ip add 16.16.12.2 255.255.255.0
 fram map ip 16.16.12.1 201 br
 exit
int s1/0.23 m
 ip add 16.16.23.2 255.255.255.0
 fram map ip 16.16.23.3 203 br
 exit

 

R3]

conf t
int lo0
 ip add 16.16.3.3 255.255.255.0
 exit
int s1/0.23 m
 ip add 16.16.23.3 255.255.255.0
 fram map ip 16.16.23.2 302 br
 exit
int s1/0.34 p
 ip add 16.16.34.3 255.255.255.0
 fram inter 304
 exit

 

R4]

conf t
int lo0
 ip add 16.16.4.4 255.255.255.0
 exit
int s1/0.34 p
 ip add 16.16.34.4 255.255.255.0
 fram inter 403
 exit

 

>>여기까지 하고 next hopping 해주

R1]

int s1/0

 ip split-horizon // 주인터페이스에서만 disable이므로 다른 라우터는 설정 필요 x

 -- 의문.. 이거 하면 16.16.4.0 이 라우팅테이블에서 사라진다...

--아니었다 rip해주니까 당연히 .4.0 정보는 r2에게못받아와서 사라지는거다

 

>>R1과 R2에 RIP설정해주기

 

R1, R2]

router rip
 ver 2
 net 16.0.0.0
 no auto
 passive lo0 //lo0에서 sending하는것 방지
 exit

 

 

>>라우팅하기 

R2]

ip route 16.16.3.0 255.255.255.0 s1/0.23 16.16.23.3
ip route 16.16.4.0 255.255.255.0 s1/0.23 16.16.23.3
ip route 16.16.34.0 255.255.255.0 s1/0.23 16.16.23.3

R3]

ip route 0.0.0.0 0.0.0.0 s1/0.23 16.16.23.2 //Rip 인 R1은 모르니까 무조건 디폴트로!
ip route 16.16.4.0 255.255.255.0 s1/0.34 16.16.34.4 //롱기스트매치룰

R4]

ip route 0.0.0.0 0.0.0.0 s1/0.34 16.16.34.3

 

여기까지했으면 R2에서 R4까지 핑날리기(R1에선 아직 재분배안해줘서 static못받아옴)

 

 

>>hop 수 재분배하기

## route-map
네트워크 경로 조정 및 차단, metric 값 설정 등의 용도로 사용되는 일종의 루트 조정 도구

## prefix-list //지금 이 방법을 쓸거임
access-list가 발전하여 pprefix 방식 으로 마스크를 표현하는 네트워크 지정 도구

재분배 후 3.0 / 34.0 을 2홉으로, 4.0을 3홉으로 rip에 넘기려면 경계라우터인 R2에서 다음과 같이 조정한다.

R2]

confi ter
ip prefix-list HOP2 permit 16.16.3.0/24 //주의 : access-list나 prefix-list를 짤때 제목 맨 앞이 숫자가 오면안된다!
ip prefix-list HOP2 permit 16.16.34.0/24
ip prefix-list HOP3 permit 16.16.4.0/24

route-map STATIC_NET 10 //이제 홉수를 매긴다. 10은 굳이 안줘도 자동으로 주어진다.
 match ip address prefix HOP2
 set metric 2
 exit
route-map STATIC_NET 20
 match ip address prefix HOP3
 set metric 3
 exit

 

R2]

router rip
 //passive-interface default
redistribute static route-map STATIC_NET //static을 넘길건데 route-map으로 짠 static만 넘길거다
exit

 

R1]

do show ip route 해보면 16.16.3.0 16.16.4.0 두개가 더 추가 된 것을 알수 있다. (첨에 왜 16.16.34.0 이 안나와서 R4랑 R1 loopback이랑 통신 안된건지는 의문;;;; 내가 뭘 잘못적었남..)

 

 

 

>>특정 ip만 거부하고 나머지는 통과시켜주자(거부되는것까지 확인)

R1]

>>16.16.4.4 만 통과시키고 나머지는 통과시켜주겠다.

access-list 10 deny 16.16.4.4 0.0.0.0 // host 16.16.4.4 도 똑같은 말

access-list 10 permit any 

line vty 0 4

password cisco

access-class 10 in // line vty 로 패스워드 걸어주고 access-class 10 만 허용해준다.

 

R3]

R3에서는 텔넷이 허용될것이다.

end

telnet 16.16.12.1

비번 cisco쳐주면 허용 완

 

R4]

ip telnet source-interface lo0 //텔넷을 loopback0에서 출발하겠다 (.34에서 출발할수도있으니까)

end

telnet 16.16.12.1

 

 

이제 16.16.3.3빼고 다 허용 거부

R1]

no access-list 10 //아까 10 전부 허용시켜준거 일단 지워주고

access-list 10 permit 10 16.16.3.3 

access-list 10 deny any

 

 

 

 

과제>>

16.16.4.0/24 만 허용하고 나머지 모두를 거부하도록 R1의 텔넷 프로세스를 설정하세요.

단 numbered access-list를 사용

 

no access-list 10 //아까 한거 먼저 지워주기??

access-list 20 permit 16.16.4.0 0.0.0.255 //와일드 카드

access-list 20 deny any 

line vty 0 4

no access-class 10 in //아까 class 10번도 지워주기

access-class 20 in

 

과제>>

16.16.4.0/24 만 허용하고 나머지 모두를 거부하도록 R1의 텔넷 프로세스를 설정하세요.

단 named access-list를 사용

 

do show ip access-list 로 access-list 다 지워주기

ip access-list standard R4_ONLY
permit 16.16.4.0 0.0.0.255
deny any

 

do show run | begin vty

line vty 0 4

no access-class 20 in // show vty 해서 access-class 20 in 긁어서 지우기

 

line vty 0 4

no access-class 20 in
access-class R4_ONLY in

 

 

 

 

서버, 컴퓨터 연결

R1]

confi ter

int f0/0

no shut
ip add 16.16.11.1 255.255.255.0

 

R3] 701 vmnet3과 연결

confi ter
int f0/0
no shut
ip add 16.16.33.3 255.255.255.0

 

R4] 702 vmnet4와 연결

confi ter
int f0/0
no shut
ip add 16.16.44.4 255.255.255.0

 

hop수 재분배

R2]

confi ter
ip prefix-list HOP2 permit 16.16.33.0/24
ip prefix-list HOP3 permit 16.16.44.0/24

 

 

 

ping 16.16.33.3

ping 16.16.44.4

 

R1]

ip access-list standard R4_ONLY
15 permit 16.16.44.0 0.0.0.255 // 702 16.16.44.0 은 허용해야하니까

 

 

Static 으로 라우팅해주기(rip으로 할 필요 당연없음)

R2]

ip route 16.16.33.0 255.255.255.0 s1/0.23 16.16.23.3
ip route 16.16.44.0 255.255.255.0 s1/0.23 16.16.23.3

 

R3]

ip route 16.16.44.0 255.255.255.0 s1/0.34 16.16.34.4

 

701과 702에서 telnet 16.16.12.1해보기

702에서는 telnet 16.16.12.1 성공

701은 실패

 

 

 

 

 

 

 

인터넷을 44.44에만 안되게 하기

2016에서 IIS &rarr; 바인딩 설정

 

R2]

ip access-list extended R4_WEB_DENY
deny tcp 16.16.44.0 0.0.0.255 host 16.16.11.100 eq 80
permit ip any any
exit
int s1/0.23 //여기서 필터링하고 44에서 오는 웹 트래픽을 막는다.

ip access-group R4_WEB_DENY in //이제 인터넷이 33.33에선 되고 44.44에선 안된다

 

702에서 인터넷 사용기록 삭제 후 http://16.16.11.100 하면 인터넷 안됨

나중에 회사에서 특정 시간엔 인터넷 사용안되게 하는 방법 쓸 수 있다.

 

 

 

 

 

 

 

 

win2016 에서 FTP구동

inetmgr.exe

폴더없으 만들어

서버의 ip주소 선

 

 

모든사용자&읽기쓰기체크 => anonymous 계정

 

 

인터넷상에서 iis에 접근하는 모든 사용

 

 

 

WIN702에서 바탕화면 - 알드라이브

 

>>특정 시간대로만 인터넷 사용 허용

ip access-list extended R4_WEB_DENY
no 10
ip access-list extended R4_WEB_DENY
 permit tcp 16.16.44.0 0.0.0.255 host 16.16.11.100 eq www time-range WORK_ONLY //낮시간에만 인터넷할수있게
 permit ip any any

 

R2(config-ext-nacl)#do show ip access 
Extended IP access list R4_WEB_DENY
    5 permit tcp 16.16.44.0 0.0.0.255 host 16.16.11.100 eq www time-range WORK_ONLY (active)
    20 permit ip any any (3407 matches)

 

 time-range WORK_ONLY
periodic weekdays 09:00 to 18:00

 

do show ip access-lists
Extended IP access list R4_WEB_DENY
    5 permit tcp 16.16.44.0 0.0.0.255 host 16.16.11.100 eq www time-range WORK_ONLY (inactive) //이 줄은 무효라는 뜻 왜냐면 지금은 새벽이기 때문

    20 permit ip any any (3407 matches)

clock set 14:08:00 16 march 2023//지금 시간으로 이렇게해주고 다시 show ip access-lists해보면

 

do show ip access-lists
Extended IP access list R4_WEB_DENY
    5 permit tcp 16.16.44.0 0.0.0.255 host 16.16.11.100 eq www time-range WORK_ONLY (active)//다시 사용가능
    20 permit ip any any (3407 matches)

 

다시 win702에서 http://16.16.11.100하면 인터넷 사용 가능