태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
 

 
블로그 이미지
[www.netrain.co.kr]에서 네트워크/보안을 공부하시는 분들을 위해 서비스를 제공하는 블로그입니다 승진아빠
Follow silpir  on Twitter


CCIE Open-Ended 과연 어려운가? (3)

네트워크 심화 | 2010.04.15 09:42 | Posted by 승진아빠

안녕하세요. 이경태입니다. CCIE를 준비중이신 분들은 목, 금, 토요일이 기다려지시겠어요. 덤프를 사려니 비싸고, 샀어도 답이 맞는지 확신이 안서고..... 제가 몇주동안은 CCIE를 준비하시는 분들을 위해 Open-Ended와 Troubleshooting은 아무것도 아니다는걸 알려드리도록 하겠습니다.

CCIE 시험을 준비하지 않으시는 분들도 공부해 두시면 좋으실 겁니다. 그래도 CCIE 시험인데 시스코가 중요하지도 않은 이론을 가지고 문제를 내겠습니까! 나름대로 중요하니까 문제로 만든것이겠지요.

이번주는 컨설팅일 때문에 정신이 하도 없어서 바로 문제 풀이로 들어가도록 하겠습니다. ^^

Q1. CLASS-MAP match-any XXX. What's mean match-any?

CCNP 'ONT' 과정에 나오는 QoS 문제군요. 예전에는 주요 서비스의 품질 보장을 위하여 각 Flow마다 Bandwidth와 low latency를 보장해 주는 방법을 사용해 왔습니다. 그런데, 문제가 생겼습니다. 서비스를 보장해 주겠다고 하나의 Flow마다 10Kbps씩 할당을 해 주었더니, 서비스 수가 증가되어 Bandwidth가 부족하기 시작한거죠. 그래서, 사람들이 새로운 방식을 생각해 냅니다.

Flow마다 주지 말고 서비스마다 Bandwidth를 줘보자!

예를 들면 전체 Bandwidth의 30%는 HTTP 서비스를 위해 보장해 주는거죠. 이렇게 하려면 어떻게 해야하죠? 당연히 HTTP만 분류할 수 있어야 하죠? 이렇게 서비스를 보장해 주기 위해서는 해당 서비스 Packet을 분류해야 하는데 이렇때 사용하는 것이 class-map 입니다.

여기서 사용하는 명령어를 묻는 문제군요. 바로 [match-any]!!

class-map을 설정하는 방법은 다음과 같습니다.

class-map [match-all | match-any] class_name
    
match match_conditon_1
    
match match_conditon_2
    
match match_conditon_3
   .....

이 때 잘 보시면 Option으로 'match-all'과 'match-any'가 있는걸 확인하실 수 있으실 겁니다. 만일, Option을 명확하게 설정하지 않으면 'match-all'로 설정됩니다. 그럼 두개의 차이를 간단히 설명드리고 답을 알려드리도록 하겠습니다.

■ match-all

class-map 안에 있는 모든 match_condition 조건에 일치하여야 해당 class로 분류됩니다. 예를 한번 들어 볼까요?

class-map match-all [미인]
   match [이쁜 얼굴]
   match [작은 얼굴]
   match [달걀형]

이렇게 설정해 놓으면 [미인]이라는 class에는 [이쁜 얼굴], [작은 얼굴], [달걀형] 3가지 조건이 모두 만족되어야 들어갈 수 있는 것입니다. match [와이프] 이렇게 한줄 더 되어 설정되어 있으면 class는 둘중에 하나겠군요. [와이프]만 들어갈 수 있던지 [Empty]던지....^^

■ match-any

class-map 안에 있는 match-condition 조건중 하나만 일치하여도 해당 class로 분류됩니다. 위의 예를 이용해서 만들어 보시죠.

class-map match-any [미인]
   match [이쁜 얼굴]
   match [작은 얼굴]
   match [달걀형]

이제는 [미인]이라는 class에는 [이쁜 얼굴]이거나 [작은 얼굴]이거나 [달걀형]이면 누구나 class에 들어갈 수 있습니다. 무슨 문제가 있나요? 달걀형이면 누구나 들어갈 수 있으니 몸이 달걀형이어도 들어갈 수 있겠군요. 달걀형 얼굴이 아니라 달걀형이 조건이니까요. ^^

자! 그럼 답을 한번 알아볼까요? Cisco Site 내용이 정답이겠죠!

match-any - Only one of the match criteria listed in the class map is satisfied to match the network traffic class in the class map, typically match commands of the same type


Q2. in NAT, the inside local and inside global relationships between and describe its role?

NAT는 Network Address Translation으로 Source IP address를 변경하여 전송할 때 사용을 합니다. 그럼, 왜 IP address를 변경할까요? Source IP address를 변경하면 Spoofing 공격이잖아요! NAT를 하는 경우는 매우 다양한 경우가 있지만 대표적으로 두가지 경우가 있습니다.

■ Case 1. Internet 사용 시

사설 IP address는 누구나 사용할 수 있기 때문에 '10.0.0.0/8'를 그림과 같이 Company A와 Company B가 사용을 하고 있다고 가정해 보시죠. 인터넷망에서 목적지가 '10.0.0.1'인 Packet이 전달되었을 때, ISP Router는 이 Packet을 Company A로 보내야 하는지 Company B로 보내야 하는지 알 수가 없을 겁니다.
 


그럼 어떻게 해야 할까요? Company A와 Company B는 인터넷망을 사용하기 위해서는 공인 IP address를 사용해야 할 것입니다. 즉, 회사 내부에서는 사설 IP address를 인터넷망에서는 공인 IP address를 사용하여야 한다는 이야기죠. 이런 경우 사설망의 Packet이 인터넷망으로 전달되면서 Source IP address가 공인 IP address로 변경되어야 하는데, 이런 경우 사용하는 기술이 'NAT'라는 기술입니다.

■ Case 2. 대외망 연결 시

만일 사설 IP address '10.0.0.0/8'를 사용하는 두 회사간에 업무협조를 위하여 전용회선으로 연결을 한다고 가정해 보시죠. 그럼 다음 그림과 같은 상황이 발생하게 될 것입니다.



Company B의 Router는 '10.0.0.0/8' Network이 자신의 Network이기 때문에 Company B로 전달하지 않을 것이며, 망일 Static으로 '10.1.1.0/24'에 대해 설정을 해서 Company B로 보냈다고 하더라도, Company A에서 Packet을 받은 PC가 응답 Packet을 보낼 때, Company A 내에 있는 10.1.1.1로 보내게 되어 상호간 통신이 되지 않을 것입니다.

그럼, 어떻게 해야 하나요? 예, 인터넷은 Packet이 나갈 때 NAT를 했지만, 이번 경우는 각 회사에서 Packet이 들어올 때 NAT를 해줘야겠지요. 그건 이론이고요 일반적으로 두 회사중 '을'입장인 회사가 들어오고 나갈 때 다 NAT를 수행합니다. '갑'은 장비설정을 최소화하고 싶어하거든요. 그래야 문제가 생겨도 '너희 문제다. 우리는 설정변경한 것이 없다' 라고 말할 수 있을테니까요. ^^

자, 문제로 돌아와서 우리가 NAT를 사용하는데 'inside local'과 'inside global'에 대한 정의와 그 연관관계를 설명하라고 하는군요. 저게 뭐냐구요? 간단합니다. 다음 그림을 보시죠!



인터페이스에 먼저 Inside와 Outside를 설정합니다. 그러면 위와 같이 어느쪽이 Inside이고 어느쪽이 Outside인지 구분이 되겠죠? 그 다음 inside에 있는 장비의 주소가 Local에서 사용하는 주소가 Inside local address이고, Global에서 사용하는 주소가 Inside global address가 됩니다.

그런가 하면 Outside에 있는 장비가 Local에서 사용하는 주소는 Outside local address, Global에서 사용하는 주소는 Outside global address가 되는 것이죠! 별거 아니군요. ^^

그럼 답을 풀어야죠.

이번에는 시스코 공인교재에 있는 말을 가져다 쓰겠습니다. CCNA Press에 있는 정의입니다.

Inside local : the actual IP address assigned to a host in the private enterprise network
Inside global : the IP address to use to represent the inside host as the packet is sent through the outside network
inside local and inside global relationships : A NAT changes the source IP address of a packet sent by an inside host from an inside local address to an inside global address as the pascket goes from the inside to the outside network.
 

티스토리 툴바