이번 포스팅은 이전에 다뤄보았던 WEB, DNS, FTP, DHCP, MAIL에서 추가적으로 AAA와 무선 라우터에 대해 알아볼 것이다.
https://insoobaik.tistory.com/131
기본 설정 조건
1. 서버는 Network 대역 앞쪽부터 순차적으로 고정 IP 사용
2. PC는 DHCP 서버의 의해서 31번째 IP 사용
3. Gateway 주소는 네트워크의 마지막 IP 사용
4. DNS 설정은 서버의 역할 참조
5. Seoul Router에 Local DHCP 서비스
6. 부산 서버에서 부산 및 제주도 DHCP 서비스
7. FTP나 Mail에서 사용할 계정은 Seoul : a, Busan : b, Jeju : c
8. 모든 장비의 패스워드는 isbaik로 설정
9. 라우터 및 스위치는 SSH Version 2로 설정
10. SSH 접속 사용자는 root이며, Login시 바로 관리자 모드 접속, 모든 권한을 갖음
11. 무선 장비는 반드시 AAA Server의 Radius 서비스 이용, 공유키 값들은 isbaik로 설정
- WEB, DNS, FTP, DHCP, MAIL은 이전 포스팅에서 한번 다뤄보았기 때문에 이번 포스팅은 AAA와 무선 라우터(WRP 300N)를 중점으로 알아볼 것이다.
[ 무선 라우터 설정 ]
[ 공유기 기본 조건 ]
1. IP : 3.3.3.251/24
2. Gateway : 3.3.3.254
3. DNS : 1.1.1.1
4. SSID : Test
5. Security Mode : WPA2-ENT
6. Encryption : AES
7. Radius Server : 3.3.3.1
8. Shared Key : isbaik
- Setup -> Static IP -> 조건에 맞게 설정 입력
- 무선 라우터에서 사용하는 사설 IP 및 DHCP 관련 정보들을 확인 할 수 있다.
- 공유기 SSID와 공유기를 통해 IP 주소를 할당 받을 무선 장비들의 SSID가 동일해야 무선 통신이 가능하다.
- SSID가 다를경우 무선 통신이 안된다.
- Security Mode : 암호 방식으로, 무선 라우터를 사용할 장비들도 무선 라우터에 맞춰줘야 한다.
- Encryption AES : 암호화 방식을 AES 방식으로 설정하겠다는 의미다.
- RADIUS Server : 원격지 이용자의 접속 요구 시 이용자 ID나 패스워드 , IP주소 등의 정보를 인증 서버에 보내어 이용자의 식별 및 인증을 실행하는 것을 말하며 무선 네트워크 사용자 계정을 관리하고 할 수 있도록 도와준다.
- Shared Secret : 암호 같은 것이다.
[ Server AAA 설정 ]
AAA
1. AAA는 일관된 방식으로 3개의 독립적인 보안 기능의 세트를 구성하기 위한 프레임 워크이다.
1.1 인증(Authentication) : 사용자가 장비에 접속해도 될 것인지 결정하기 위해 사용자의 신원을 검증하는 과정
2.2 권한부여(Authorization) : 사용자의 신원이 확인 되었으면, 해당 장비의 어떤 기능까지 접근 가능, 또는 불가 하도록 하는 행위
3.1 계정관리(Accounting) : 인가가 이루어진 후 사용자가 행한 행위의 기록, 사용자의 자원에 대한 사용 정보를 모아서 과금, 감사, 용량증설, 리포팅 등...
-> 즉, 인증, 권한 검증 계정관리를 위해 사용한다.
2. AAA Protocol 종류
2.1 RADIUS
- RADIUS Server : 원격지 이용자의 접속 요구 시 이용자 ID나 패스워드 , IP주소 등의 정보를 인증 서버에 보내어 이용자의 식별 및 인증을 실행하는 것을 말하며 무선 네트워크 사용자 계정을 관리하고 할 수 있도록 도와준다.
2.2 TACACS+
2.3 Kerberos
2.4 DIAMETER Protocol
- AAA를 적용 시킬 무선 라우터의 정보를 입력해준다. Name, IP, Secret(위에서 Secret Shared에 작성했던 내용), ServerType(무선 라우터에서 설정한 Type)
- AAA 사용자들을 입력해준다.
[ 무선 장비 설정 ]
- 무선 장비인 노트북과 테블릿 PC에서 설정을 해줄 것이다.
- SSID는 무선 공유기와 일치시키고, Security Mode에서 설정했던 WPA2 모드를 체크 한 다음, AAA Server에서 만든 사용자와 Password를 입력해주고 마지막으로 Encryption Type 지정을 해준다.
- 다음과 같이 무선 라우터로부터 주소를 DHCP로 받아 IP가 설정된 모습을 확인 할 수 있다.
- 노트북에서 외부 대역에 있는 다른 Server로 ping이 가는 것을 확인 할 수 있다.
- 하지만 외부 대역에서 노트북으로 ping은 가지 않는다.
-> 노트북에서 외부 대역으로 나갈 때는 NAT에 의해 공인 IP로 변환되어 외부로 나가지만, 외부에서 사설 IP의 노트북을 찾기 위해선 포트 포워딩을 해주어야 한다. 왜냐하면 사설 IP는 같은 IP가 다른 곳에서도 사용될 수 있기 때문에 어떤 공인 IP의 사설 IP로 찾아가야 하는지 모르기 때문이다.
그 외 설정들(DHCP, DNS, FTP, MAIL, WEB)
DNS
FTP
DHCP
- DHCP의 경우 2가지 방법이 있다
1. Server에서 설정
2. Router에서 설정
1. Server에서 설정
라우터 설정 명령어
[ Seoul Router ]
en
conf t
hostname Seoul_R1
enable password isbaik
enable secret isbaik1
no ip domain-lookup
service pas
line con 0
password isbaik2
login
exec-timeout 0 0
logging syn
exit
ip domain-name isbaik.com
ip ssh version 2
cry key gen rsa
2048
username root pri 15 password isbaikroot
line vty 0 4
login local
trans in ssh
exit
---DHCP---
ip dhcp pool isbaik
network 1.1.1.0 255.255.255.0
default-router 1.1.1.254
dns-server 1.1.1.1
exit
ip dhcp excl 1.1.1.1 1.1.1.30
ip dhcp excl 1.1.1.251 1.1.1.254
----------
int gi0/1
ip ad 1.1.1.254 255.255.255.0
no shut
int gi0/0
ip ad 100.100.100.1 255.255.255.252
no shut
exit
router eigrp 65000
no auto-summary
network 1.1.1.0 0.0.0.255
network 100.100.100.0 0.0.0.3
pa gi0/1
exit
do wr
[ Seoul Switch ]
en
conf t
hostname Seoul_S1
enable password isbaik
enable secret isbaik1
no ip domain-lookup
service pas
line con 0
password isbaik2
login
exec-timeout 0 0
logging syn
exit
ip domain-name isbaik.com
ip ssh version 2
cry key gen rsa
2048
username root pri 15 password isbaikroot
line vty 0 4
login local
trans in ssh
exit
int vlan1
ip add 1.1.1.253 255.255.255.0
no sh
exit
ip default-ga 1.1.1.254
do wr
[ Busan Router ]
en
conf t
hostname Busan_R1
enable password isbaik
enable secret isbaik1
no ip domain-lookup
service pas
line con 0
password isbaik2
login
exec-timeout 0 0
logging syn
exit
ip domain-name isbaik.com
ip ssh version 2
cry key gen rsa
2048
username root pri 15 password isbaikroot
line vty 0 4
login local
trans in ssh
exit
int gi0/1
ip ad 200.200.200.1 255.255.255.252
no shut
int gi0/0
ip ad 100.100.100.2 255.255.255.252
no shut
int gi0/2
ip ad 2.2.2.254 255.255.255.0
no shut
exit
---DHCP---
ip dhcp pool Busan
network 2.2.2.0 255.255.255.0
default-ga 2.2.2.254
dns-server 1.1.1.1
exit
ip dhcp excl 2.2.2.1 2.2.2.30
ip dhcp excl 2.2.2.251 2.2.2.254
ip dhcp pool jeju
network 3.3.3.0 255.255.255.0
default-ga 3.3.3.254
dns-server 1.1.1.1
exit
ip dhcp excl 3.3.3.1 3.3.3.30
ip dhcp excl 3.3.3.251 3.3.3.254
----------
router eigrp 65000
no auto-summary
network 100.100.100.0 0.0.0.3
network 200.200.200.0 0.0.0.3
network 2.2.2.0 0.0.0.255
exit
do wr
[ Busan Switch ]
en
conf t
hostname Busan_S1
enable password isbaik
enable secret isbaik1
no ip domain-lookup
service pas
line con 0
password isbaik2
login
exec-timeout 0 0
logging syn
exit
ip domain-name isbaik.com
ip ssh version 2
cry key gen rsa
2048
username root pri 15 password isbaikroot
line vty 0 4
login local
trans in ssh
exit
int vlan1
ip add 2.2.2.253 255.255.255.0
no sh
exit
ip default-ga 2.2.2.254
do wr
[ Jeju Router ]
en
conf t
hostname Jeju_R1
enable password isbaik
enable secret isbaik1
no ip domain-lookup
service pas
line con 0
password isbaik2
login
exec-timeout 0 0
logging syn
exit
ip domain-name isbaik.com
ip ssh version 2
cry key gen rsa
2048
username root pri 15 password isbaikroot
line vty 0 4
login local
trans in ssh
exit
int gi0/1
ip ad 3.3.3.254 255.255.255.0
ip helper-address 2.2.2.1
no shut
int gi0/0
ip ad 200.200.200.2 255.255.255.252
no shut
exit
router eigrp 65000
no auto-summary
network 200.200.200.0 0.0.0.3
network 3.3.3.0 0.0.0.255
exit
do wr
[ Jeju Switch ]
en
conf t
hostname Jeju_S1
enable password isbaik
enable secret isbaik1
no ip domain-lookup
service pas
line con 0
password isbaik2
login
exec-timeout 0 0
logging syn
exit
ip domain-name isbaik.com
ip ssh version 2
cry key gen rsa
2048
username root pri 15 password isbaikroot
line vty 0 4
login local
trans in ssh
exit
int vlan1
ip add 3.3.3.253 255.255.255.0
no sh
exit
ip default-ga 3.3.3.254
do wr
'Network > Network' 카테고리의 다른 글
Serial (0) | 2022.08.10 |
---|---|
Routing Table, ARP Table, MAC Table (0) | 2022.08.09 |
Network - NAT(Network Address Translation) (0) | 2022.04.22 |
Network - ACL(Access Control List) (0) | 2022.04.22 |
Network - DNS, DHCP(Server, Router, FTP, MAIL) (0) | 2022.04.21 |