CCNA - pds8.egloos.compds8.egloos.com/pds/200803/11/70/CCNA_Chapter8~9.pdf · (Ethernet, Token Ring, WAN, others) 1 Physical IPX IPX는 OSI 모델의 레이어 3과 4에서 기능을

CC NAC is c o Ce rt if ie d

Ne tw o rk As s o c ia teS tudy Gu ide

서문

평가 문제

제 1 장 인터네트워킹

제 2 장 스위칭 기술

제 3 장 인터넷 프로토콜

제 4 장 환경 설정과 IOS 관리 명령

제 5 장 IP 라우팅

제 6 장 가상 LAN(VLAN)

제 7 장 Cis co 인터네트워크 관리

제 8 장 No v e l IPX 구성

제 9 장 엑세스 리스트를 이용한 트래픽 관리

제 10 장 WAN 프로토콜

부록 A 연습문제

부록 B Cata lyst 1900 스위치 설정방법

부록 C 이 책에서 사용된 명령어

용어해설

Ind e x

차 례

제8 장 NOVELL IPX 구성

Nove ll IPX 개요 2

Nove ll IPX 프로토콜 스택 2

클라이언트와 서버 간의 통신 3

서버 대 서버간의 통신 4

IPX 어드래싱 7

캡슐화 7

Cisc o 라우터에서의 IPX 설정 9

IPX 라우팅의 활성화 9

개별 인터페이스에 대한 IPX 설정 9

인터네트워크에서의 IPX 설정 10

262 1A 라우터에서의 IPX 설정 11

250 1A 라우터에서의 IPX 설정 11

250 1B 라우터에서의 IPX 설정 11

250 1C 라우터에서의 IPX 설정 11

IPX 라우팅 테이블 검증 12

Seco nda ry 어드레스의 추가 13

Se co nda ry 어드레스의 설정 13

서브인터페이스 14

인터네트워크에 다중 Ethe rne t 프레임 타입 설정 14

262 1A 라우터상의 다중 프레임 타입 설정 14

250 1A 라우터상의 다중 프레임 타입 설정 15

250 1B 라우터상의 다중 프레임 타입 설정 16

250 1C 라우터상의 다중 프레임 타입 설정 16

IPX 라우팅 테이블의 검증 17

Cisc o 라우터의 IPX에 대한 모니터링 18

S how IPX S e rve rs 18

S how IPX Ro ute 18

S how IPX Traff ic 19

S how IPX Inte rfac e 20

S how Protoco ls 2 1

De bug IPX 2 1

Route rA# IPX Ping 22

요약 23

주요 용어

8 장에서 사용된 명령어

필기시험 25

실기시험 26

실습 8 .1 IPX 설정

실습 8 .2 IPX를 통한 Se co nda ry 네트워크 어드레스 추가 및 다중 프레임 타입 설정

복습문제 29

제9 장 엑세스 리스트를 이용한 트래픽 관리

엑세스 리스트 35

표준 IP 엑세스 리스트 36

VTY(Te lnet) 접속 관리 39

확장 IP 엑세스 리스트 39

IP 엑세스 리스트 모니터링 43

IPX 엑세스 리스트 43

표준 IPX 엑세스 리스트 43

확장 IPX 엑세스 리스트 44

IPX SAP 필터 45

IPX 엑세스 리스트 검증 45

요약 47

주요 용어


필기시험 48

실기시험 49

실습 9 .1: 표준 IP 엑세스 리스트

실습 9 .2 : 확장 IP 엑세스 리스트

실습 9 .3 : 표준 IPX 엑세스 리스트

복습문제 53

8 장

No v e ll IPX 구성8 장에서 다룰 CCNA 시험의 내용은 다음과 같다

- IPX 어드레스 내의 네트워크와 호스트의 식별

- Cisc o 라우터에서 IPX의 설정과 인터페이스의 설정

- Seco nda ry 인터페이스와 서브인터페이스를 사용하여 다중 캡슐화 구성하기

- 라우터 상에서 IPX 작동 상황의 모니터와 확인

대부분 네트워크 관리자들은 다음의 두 가지 이유 때문에 IPX를 다루게 된다. 첫째는 Nove ll Netwa re

가 IPX를 기본 프로토콜로 사용한다는 사실이고 두 번째는 이 제품이 1980년대부터 1990년대 초반까

지 가장 널리 쓰이는 네트워크 OS 였다는 점이다. 따라서 수백만의 IPX 네트워크가 설치되었다. 지금

의 Nove ll은 정책을 바꾸어서 Netwa re 5에서는 IPX 대신에 TCP/ IP를 기본 통신 프로토콜로 사용한다.

물론 여전히 IPX를 지원하고는 있다. 아직도 IPX를 포기하지 않는 이유는 무엇일까? 그것은 현재 설

치되어 있는 수많은 IPX 클라이언트와 서버를 고려할 때 지원을 포기하는 것은 불가능한 일이기 때문

이다.

IPX가 당분간은 계속 사용될 것은 의심의 여지가 없는 것이므로 Cis co IOS가 대규모의 IPX 인터네트

워크에 대해 완벽한 지원을 한다는 것은 당연한 일이다. 하지만 정말로 Nove ll IPX의 기능과 특징을

모두 이용하려면 어드레싱(add res s ing)을 조작하고 다루는 방식을 살펴볼 필요가 있다. 왜냐하면 이전

에 우리가 살펴보았던 TCP/ IP와는 상당히 다르기 때문이다. 확실하게 IPX의 특징을 살펴보고 난 후

Cis c o IOS에서 IPX를 설정하는 방법을 알아본다. 그리고 나서 IPX 트래픽을 모니터링하는 것까지 살

펴보기로 한다.

No v e ll IPX 개요Nove ll IPX (Inte rnetwo rk Pac ket Exc ha nge )는 1980 년대 초반에 발표된 이후 계속 사용되어 왔다. 이

프로토콜은 Pa lo Alto 연구센터에 있는 Xe rox사가 1960년대에 개발한 XNS (Xe rox Netwo rk Syste ms )와

매우 유사하다. TCP/ IP와도 비슷한 점도 있다. IPX는 실제로는 견고한 네트워크 통신을 구축하기 위

해 서로 상호 작용하며 공존하는 프로토콜의 집단이다.

No v e ll IPX 프로토콜 스택IPX는 OSI모델에 직접적으로 매칭되는 것은 아니며, 레이어 상에서 그 기능을 수행한다. IPX를 처음

설계했던 당시로 되돌아가 보면, 설계자들은 당시 이미 존재하던 표준이나 모델에 얽매이기보다는 보다

빠른 속도에 관심이 많았다. 그렇다고 하더라도 기존 모델들과의 비교 평가를 했음은 물론이다.

그림8 . 1은 IPX 프로토콜, 레이어와 이에 대응하는 OSI 모델의 기능을 나타낸 것이다.

그림 8 . 1 IPX 프로토콜 스택과 OS I 모델

OS I 모델 No ve ll Ne tWa re 프로토콜

7 Applic at io n

RIP

NLSPSAP NCP NETBIOS Applications6 Pres e ntat ion

5 Ses s io n

4 Tra ns po rt S PX

3 NetworkIPX

(Inte rne twork Pac ket Exc ha nge )

2 Data LinkMed ia Ac ces s Protoco ls

(Ethe rnet , To ke n Ring , WAN, othe rs )1 Phys ica l

IPX

IPX는 OS I 모델의 레이어 3과 4 에서 기능을 수행한다. 각각의 개별적인 노드에 대해 IPX 어드레스

(s oftwa re add res s ing)를 할당하는 기능을 수행한다. 또한 인터네트워크를 통해 전송되는 패킷을 통

제하며 RIP이나 NLS P와 같은 라우팅 프로토콜에 의해 제공되는 정보를 바탕으로 라우팅을 수행한

다. IPX는 비연결성(c o nne ctio nles s ) 프로토콜이다(TCP/ IP의 UDP와 유사하다). 따라서 패킷이 제

대로 수신지 노드에 도착했는지에 대해 어떠한 통보도 받을 필요가 없다. 상위 레이어의 프로토콜과

통신하기 위해서 IPX는 소켓을 사용한다. 동일한 장비에서 실행되는 여러 개의 독립된 어플리케이션

을 어드레싱하기 위해 소켓을 사용한다는 점에서는 TCP/ IP 포트와 유사하다.

S PX

SPX(Se que nce d Pac ket Exc ha nge )는 IPX가 비연결성(co nne ctio nle s s ) 프로토콜인데 반해 연결지향

적 통신기능을 실현한다. 이를 통해 상위 레이어의 프로토콜은 출발지와 수신지 노드간의 데이터 송

수신을 보장받는다. S PX는 기계사이에 가상 회선이나 연결을 맺음으로써 작동한다. 이때 각 연결

은 S PX 헤더 내에 특정 Connec tion ID를 갖게 된다.

R IP

RIP(Ro uting Info rmation Protoco l)은 인터네트워크 내의 IPX 라우팅을 알아내기 위해 사용되는

d ista nc e - ve cto r 라우팅 프로토콜이다. 이 프로토콜은 우선권이 있는 경로를 결정하기 위한 특정수

단으로 1/ 18초 간격으로 발생시킨 t ic k과 hop co unt (노드 사이에 있는 라우터의 수)를 이용한다.

S AP

SAP(Se rvic e Adve rt is ing Protoco l)은 서비스를 통보하거나 요청하기 위해 사용된다. 서버는 자신들

이 제공하는 서비스를 통보하기 위해 사용하고 클라이언트는 네트워크 서비스의 위치를 알아내기 위

- 2 -

해 사용한다.

NLS PNLS P(NetWa re Link Se rvic es Protoc o l)는 Nove ll이 개발하여 확장한 link s tate 라우팅 프로토콜이

며, RIP과 SAP를 대체할 목적으로 개발되었다.

NC P

NCP(NetWa re Co re Protoc o l)는 클라이언트가 서버의 자원에 액세스 할 수 있도록 한다. 파일에 대

한 액세스나 프린팅, 동기화, 보안 등은 모두 NCP에 의해 제어된다.

라우팅 프로토콜이나 연결/ 비연결성 프로토콜, 어플리케이션 프로토콜의 존재는 무엇을 의미하는 것일

까? 이것은 모두 IPX가 수많은 어플리케이션을 실행시키고 있는 대규모 인터네트워크를 지원하기에

충분한 능력을 갖고 있다는 사실을 말한다. Nove ll이 어떻게 이러한 프로토콜을 사용하고 있는지 이해

하면 다른 업체 장비(Cis c o의 라우터와 같은)를 IPX 네트워크에 사용할 때 큰 도움이 된다.

클라이언트와 서버간의 통신

Nove ll NetWa re 는 엄격하게 서버- 클라이언트 모델을 따른다. 임의의 NetWa re 노드는 클라이언트나

서버 어떤 것이라도 될 수 있다. 네트워크 자원을 제공도 하고 동시에 사용하기도 하는 pee r- to- pe e r

방식의 장비는 찾을 수 없다. 클라이언트는 Ma cOS , DOS , MS Windows , Window NT, OS/ 2 , Unix,

VMS와 같은 운영체제를 탑재한 어떤 워크스테이션이라도 될 수 있다. 서버에는 보통 Nove ll Ne tWa re

가 실행된다. NetWa re 서버는 다음과 같은 서비스를 클라이언트에게 제공한다.

파일

프린팅

메시지

어플리케이션

데이터베이스

NetWa re 클라이언트는 모든 네트워크 자원의 위치를 알아내기 위해 서버가 필요하다. 모든 NetWa re

서버는 자신이 알고 있는(어떻게 알아내는지는 8 장 후반에서 살펴볼 것이다) 모든 네트워크 자원에

대한 정보로 구성된 SAP 테이블을 구축한다. 클라이언트가 어떤 자원에 대한 액세스를 요청하면 서버

는 GNS (GetNe a re st Se rve r)라고 하는 IPX 브로드캐스트를 수행하여, 클라이언트가 필요로 하는 특정

자원을 제공하는 NetWa re 서버의 위치를 알 수 있도록 한다.

GNS를 수신한 서버는 자신의 SAP 테이블을 참조하여 특정 요구와 일치하는 NetWa re 서버의 위치를

알아내고 클라이언트에게 GNS 회신으로 응답한다. GNS 회신에는 클라이언트가 요구한 자원에 대해

액세스할 수 있도록 특정 서버에 대한 정보가 포함된다. 만일 어떠한 서버도 클라이언트의 GNS 요청

을 받아들이지 못하거나 요청한 서비스를 제공해 주는 서버를 발견하지 못하면 그냥 무시해 버리게 된

다. 따라서 요청한 클라이언트는 요구한 자원을 액세스하지 못하게 된다.

우리는 이 점에 주의해야 한다. 왜냐하면 Cisc o 라우터 역시 SAP 테이블을 구축하고, 클라이언트의

GNS 요청에 대해 마치 NeWa re 서버인 양 응답을 할 수 있어야 하기 때문이다.

그러나, 이 말이 곧 라우터들도 NetWa re 서버가 할 수 있는 서비스를 제공해야 한다는 것을 의미하지

는 않는다. 클라이언트에 대한 GNS 회신은 로컬 NetWa re 서버로부터 올 수도 있고, 원격 NetWa re

서버로부터 올 수도 있으며, Cisc o 라우터 역시 가능하다. 일반적으로 로컬 NetWa re 서버가 존재하는

경우에는 이들이 클라이언트의 요청에 응답한다.

로컬에 NetWa re 서버가 존재하지 않을 때 클라이언트의 세그먼트와 IPX 인터네트워크를 연결하는 로

컬 Cisc o 라우터가 클라이언트의 GNS 에 응답한다. 따라서 클라이언트는 원격지의 NetWa re 서버로부

터 응답을 기다려야 할 필요가 없다. 이렇게 네트워크를 배치함으로써 얻을 수 있는 두 번째 이점은

귀중한 WAN 대역폭이 로컬 NetWa re 서버가 없는 세그먼트에 위치한 클라이언트와 원격 NetWa re 서

버간에 이루어지는 GNS 통신에 의해 점유 당하지 않는다는 점이다(그림8 .2 참조).

- 3 -

그림 8 .2 서버가 존재하지 않는 네트워크 상에서의 원격 IPX 클라이언트

G NS 요청

GNS 회신

위 그림은 원격지 사무실의 클라이언트 워크스테이션들이 본사 서버에 존재하는 자원을 액세스하려 함

을 나타낸다. B 라우터는 원격지에 있는 본사 서버에 WAN을 통해 요청을 전달하는 대신 자신의 SAP

테이블을 사용하여 응답할 것이다. 클라이언트는 그들의 LAN상에 NetWa re 서버가 없다는 사실을 전

혀 알 수 없고 관심을 갖지도 않는다.

이러한 통신 방법은 클라이언트가 사용 가능한 네트워크 자원을 찾기 위해 별도의 작업을 하지 않아도

된다. 대신에 서버가 그 임무를 맡게 된다. 클라이언트는 단지 GNS를 브로드캐스트로서 응답을 기다

리기만 하면 된다. 클라이언트 입장에서 본다면 네트워크상의 모든 자원은 물리적인 실제 위치에 상관

없이 마치 로컬에 위치한 것처럼 응답해 주는 것이다.

서버 대 서버간의 통신두 대의 NetWa re 서버간의 통신은 클라이언트- 서버간의 통신보다 약간 더 복잡하다. 이미 언급한 바

와 같이, 서버는 네트워크 상의 사용 가능한 자원에 대해 그 위치가 어디에 있든지 상관없이 테이블을

유지할 책임이 있다. 또한, 각 서버는 인터네트워크상의 어떤 자원이라도 찾을 수 있어야 한다는 사실

을 명심해야 한다.

서버는 2개의 분리된 프로토콜을 사용해서 두 가지 형태의 정보를 서로 교환하는데 바로 SAP과 RIP

프로토콜이다. 그 이름에서 알 수 있듯이 SAP는 서비스에 대한 정보를 전달하며 RIP는 라우팅 정보를

전달한다.

주의사항 IPX에서 말하는 RIP과 TCP/ IP의 RIP를 혼동하지 말 것. 이들은 모두 라우팅 프로토콜이지만 동일

한 라우팅 프로토콜은 아니다.

서비스 통보 프로토콜

NetWa re 서버는 자신이 제공하는 서비스를 알리기 위해 SAP을 이용한다. 매 60초마다 SAP 브로드캐

스트를 보내는데, 이 브로드캐스트에는 다른 서버로부터 알아낸 모든 서비스가 포함되어 있다. SAP

브로드캐스트를 받은 모든 서버들은 그 정보를 자기 자신의 SAP 테이블에 통합시킨 후 수정된 SAP 정

보를 다시 브로드캐스트한다. SAP 정보는 모든 서버간에 공유되기 때문에, 모든 서버는 결국 모든 사

용 가능한 서비스에 대해서 알게 되고, 이 덕분에 클라이언트의 GNS 요청에 대해 응답할 수 있게 된

다. 새로운 서비스가 도입되면, 이들은 로컬 서버의 SAP 테이블에 그 정보를 추가시키고, 모든 서버

가 이 서비스의 존재와 위치를 알게 될 때까지 다시 브로드캐스트를 한다.

이때 Cis co의 라우터는 어떤 식으로 작동할까? SAP에 관한한 Cisc o 라우터는 마치 NetWa re 서버의

한대처럼 작동한다. 디폴트로는 SAP 브로드캐스트는 Cisc o 라우터를 가로질러 가지는 않는다.

Cis c o 라우터는 IPX가 사용된 인터페이스로부터 얻은 모든 SAP를 SAP 테이블에 분류해 넣는다. 설정

을 바꾸지 않는 한, 라우터는 모든 테이블의 내용을 매 60초마다 브로드캐스트한다(NetWa re 서버와 동

일하다). 이것은 특히 WAN 연결에 있어 아주 중요한 점이다. 라우터는 SAP 브로드캐스트를 개별적

인 세그먼트로 분리하고, 각 세그먼트로 요약된 정보만을 보낸다. Ethe rpee k a na lyze r를 이용해서

SAP 브로드캐스트를 살펴보자

Flags : 0x00

Status : 0x00

Packet Length : 306

- 4 -

T imestamp: 23:48:36.362000 06/ 28/ 1998

Ethernet Header

D e s tin ation : ff :ff :ff :ff :ff :ff Ethernet Brdcast

S ourc e : 00:80:5f :ad:14:e4

Protocol T ype: 81- 37 NetW are

IPX - NetW are Protocol

Ch ec k s um : 0xffff

Len g th : 288

T ransport Control :

Re s erv e d : %0000

H op Count : %0000

P ac k et T y pe : 4 P E P

Destinat ion Netw ork : 0xcc715b00

D e s tin ation N ode : ff :ff :ff :ff :ff :ff Ethernet Brdcast

D e s tin ation S oc k et : 0x0452 Service Advertising Protocol

S ourc e N etw ork : 0xcc715b00

S ourc e N ode : 00:80:5f :ad:14:e4

S ourc e S oc ket : 0x0452 Service Advertising Protocol

SAP - Service Advertising Protocol

Operation : 2 NetW are General Service Response

Service Advertising Set #1

S erv ic e T y pe : 263 N etWare 386

S erv ic e N am e :

BORDER3....................................

Netw ork Number : 0x 12db8494

N ode N um b er : 00:00:00:00:00:01

Socket Number : 0x8104

Hops to Server : 1

Service Advertising Set #2

S erv ic e T y pe : 4 F ile S erver

S erv ic e N am e :

BORDER3...................................


N ode N um b er : 00:00:00:00:00:01


Hops to Server : 1

Service Advertising Set # 3

Service T ype: 632

S erv ic e N am e : BORDER__________________

R.S .I@@@@@D.PJ ..


N ode N um b er : 00:00:00:00:00:01


Hops to Server : 1

이 SAP는 BORDER3 라는 NetWa re 서버로부터 온 것이다. 이 프로토콜은 자신들이 제공하는 세 가

지 독립된 서비스를 통보하고 있다는 사실에 주목할 필요가 있다. 서비스들 자신의 어드레스와 소켓에

대한 정보는 네트워크(라우터도 포함된다)상에 설치된 IPX- e na ble된 장비의 SAP 테이블에 포함된다.

그리고 인터네트워크를 통해 다시 브로드캐스트 된다.

- 5 -

라우팅 정보 프로토콜

서버들은 SAP와 거의 유사한 방식으로 RIP 정보를 서로 교환한다. 서버는 자신이 직접 연결된 네트워

크에 대한 항목을 포함하고 있는 라우팅 테이블을 구성하고, 이 정보를 모든 IPX- e na b le 된 인터페이스

로 브로드캐스트한다. 그 세그먼트 상에 있는 다른 서버들은 갱신된 정보를 받아들여 자신의 RIP 테

이블을 IPX 인터페이스로 브로드캐스트한다. SAP 정보가 모든 서버들이 알게 될 때까지 한 서버에서

다른 서버로 이동하는 것처럼, RIP 정보 역시 모든 서버와 라우터가 알 때까지 계속해서 알린다. SAP

정보와 마찬가지로, RIP 정보는 60초 간격으로 브로드캐스트 된다.

Ethe rpee k a na lyze r를 이용해서 IPX RIP 패킷을 살펴보자.

F lags : 0x80 802.3

Status : 0x00

Packet Length : 94

T imestamp: 15:23:05.642000 06/ 28/ 1998

802.3 Header

D e s tin ation : ff :ff :ff :ff :ff :ff Ethernet Brdcast

S ourc e : 00:00:0c :8d:5c :9d

LLC Length : 76

802.2 Logical Link Control (LLC) Header

D e s t . S A P : 0x e0 NetW are

S ourc e S A P : 0x e0 NetW are N ull LSA P

Com m an d : 0x03 Unnumbered Information

IPX - NetW are Protocol

Ch ec k s um : 0xffff

Len g th : 72

T ransport Control :

Re s erv e d : %0000

H op Count : %0000

P ac k et T y pe : 1 R IP

Destinat ion Netw ork : 0x00002300

D e s tin ation N ode : ff :ff :ff :ff :ff :ff Ethernet Brdcast

D e s tin ation S oc k et : 0x0453 Routing Information Protocol

S ourc e N etw ork : 0x00002300

S ourc e N ode : 00:00:0c :8d :5c :9d

S ourc e S oc ket : 0x0453 Routing Information Protocol

RIP - Routing Information Protocol

Operation : 2 R esp onse

Netw ork Number Set # 1

Netw ork Number : 0x00005200

Number of Hops : 3

Number of T icks : 14



Number of Hops : 2




Number of Hops : 1




- 6 -

Number of Hops : 1




Number of Hops : 1


Extra bytes (Padding):

r 72

위의 출력 결과를 보면 IP RIP 패킷과 매우 유사해 보인다. 하지만 IP 어드레스가 없다. 그 자리에는

IPX 어드레스와 네트워크 번호가 있다. 또한 t ic k과 ho p 이 있다는 사실도 주목하라. Tic k은 1/ 18초

간격으로 발생하는데 원격지 네트워크에 도달하는데 걸리는 시간이다. 이것은 원격지 네트워크로 가는

최상의 방법을 찾기 위해 연결 지연(link de lay)을 사용하는 IPX의 방식이다.

위 예에서는 단지 라우터가 세 개만 존재할 뿐이고 이 패킷이 매 60초마다 보내지만 대규모 네트워크

상에서는 수백 개의 라우터에서 이런 일이 벌어진다.

IPX 어드레싱IP 어드레싱이 몹시 힘든 일인 반면, IPX 어드레싱은 좀 더 수월하다. IPX 어드레싱 s c he me 는 TCP/ IP

sc he me보다 이해하기 쉽고 관리하기 쉬운 몇 가지 특징을 가지고 있다.

IPX 어드레스는 80 비트(= 10바이트)의 데이터를 사용한다. TCP/ IP 어드레스와 같이 이들은 계층 구조

를 갖고 있으며 네트워크와 노드 부분으로 나눈다. 첫 번째 4바이트는 언제나 네트워크 어드레스를

나타낸다. 나머지 6바이트는 항상 노드 어드레스를 나타낸다. IPX 어드레싱에서는 TCP/ IP에 있는

Clas s A, B, C가 없다. 어드레스의 네트워크 부분과 노드 부분은 언제나 길이가 같고, 서브넷 마스킹

을 한 후에는 아주 쉬워진다.

IP 네트워크 어드레스와 마찬가지로 어드레스의 네트워크 부분은 관리자들이 할당하며 전체 IPX 인터

네트워크를 통해서 유일해야 하고, 노드 어드레스는 각 노드에 자동적으로 할당된다. 대부분의 경우

장비의 MAC 어드레스가 어드레스의 노드 부분으로 사용된다. 이 점은 TCP/ IP 어드레싱에 비해 몇 가

지 중요한 이점을 제공한다. 클라이언트 어드레싱은 동적이기 때문에 DHCP를 운영할 필요가 없고

IPX 어드레스를 가진 각각의 워크스테이션을 수동으로 일일이 설정할 필요도 없다. 또한 하드웨어 어

드레스(레이어2)는 소프트웨어 어드레스(레이어 3)의 한 부분으로 포함되기 때문에, IPX에서는 TCP/ IP

에서와 같이 ARP가 필요 없다.

TCP/ IP 어드레스처럼, IPX 어드레스는 몇 가지 다른 형식으로 기록할 수 있다. 그렇지만 대부분의 경

우에는 다음과 같이 16 진수로 쓴다. 00007C80 .0000 .8609 .33E9. 첫 번째 8 자리의 16 진수(00007C80)

는 어드레스의 네트워크 부분을 나타낸다. IPX 네트워크를 참조할 때 앞에 있는 0을 제외시키는 것은

IPX의 일반적인 관례이다. 따라서 위의 네트워크 어드레스는 7C80 이 된다.

나머지 12자리 16 진수(0000 .8609 .33 E9)는 노드 부분이고 보통 16 진수 4자리마다3개 부분으로 나누는

데 구분에는 . 을 사용한다. 이 어드레스는 워크스테이션의 MAC 어드레스가 된다.

캡슐화캡슐화, 혹은 프레이밍(fra ming )은 상위 레이어의 프로토콜부터 패킷을 받아서 네트워크를 통해 전송할

수 있도록 프레임을 만드는 과정이다. 기억하겠지만, 프레임은 OSI 모델의 레이어 2에 위치한다. IPX

에 있어서 캡슐화는 IPX da ta gra m(레이어 3)을 받은 다음, 지원되는 미디어 중 하나에 대해 프레임(레

이어 2)을 만드는 처리과정이다. 여기서는 물리적인 네트워크에서 IPX 캡슐화를 살펴볼 것이다.

Ethe rnet

To ke n Ring

FDDI

캡슐화가 중요한 이유는 NetWa re 가 복수의 비호환적인 프레이밍 방법을 지원하며, 동일한 미디어에 대

- 7 -

해 같은 방식으로 작동하기 때문이다. Ethe rnet을 예로 들어보자.

NetWa re는 필요에 따라 표8 . 1 에서 보는 것과 같이 4가지의 서로 다른 프레임 타입을 갖게 된다. 그

리고 각 프레임은 다른 프레임 타입과 호환되지 않는다. 만일 서버가 Ethe rne t_802 .2를 사용하고 있고

클라이언트가 Ethe rnet_ Ⅱ로 설정되어 있다고 가정하자. 이러한 경우에 아무런 문제없이 모든 것이 반

드시 잘 작동하는 것은 아니고, 서버와 클라이언트가 두 가지 프레임 타입을 모두 지원하는 라우터를

통해 통신한다면 작동에 문제가 없을 것이다. 그렇지 않다면 그들은 서로 통신할 수 없다. 동일 네트

워크 상에 있는 어떤 IPX 장비라도(라우터 포함) 설정할 때는 프레임 타입을 맞춰 주어야 한다.

표 8 . 1 Nove ll Ethe rne t 캡슐화

프레임 종류 특 징

Ethe rnet_802 .3

Ethe rnet_802 .2

Ehte rnet_ Ⅱ

Ethe rnet_S NAP

De fa ult up to NetWa re 3 .11

De fa ult s ince NetWa re 3 .12

Supports both TCP/ IP a nd IPX

AppleTa lk, IPX, a nd TCP/ IP

때로는 의도적으로 단일 네트워크 상에 여러 개의 프레임 타입을 구성할 수도 있다. 이미 모든 프레임

타입이 설정되어 있는 네트워크 환경 자체가 작업의 시작이 되는 것이다. 대개 이러한 상황은 관리자

가 어떤 프레임 타입을 설정해야 될지 몰라서 모든 라우터와 서버들에 대해서 사용 가능한 모든 프레

임을 설정해 놓았을 때 발생한다. 그림8 .3 에서 그런 경우를 볼 수 있다.

그림 8 .3 단일 Ethe rne t 세그먼트에서의 다중 프레임 타입

그림8 .3 에서 볼 수 있는 모든 프레임 타입에서는 단일의 IPX 네트워크 어드레스가 있다. 비록

Ethe rnet 세그먼트는 단 하나만 존재하지만, 가상 IPX 네트워크를 3개 가지고 있기 때문에 3개의 단일

IPX 어드레스가 존재하게 된다. 각 네트워크는 매 60초마다 인터네트워크에 브로드캐스트 된다.

그림8 .3 에서 Wo rks tat ion 1은 오로지 Se rve r C하고만 통신할 수 있는데, 이는 양쪽이 모두 Ethe rne t_ Ⅱ

를 사용하고 있기 때문이다. Wo rks ta tin 2는 Se rve r A하고만 통신할 수 있으며, Workstat io n 3은

Se rve r B하고마 놑 신 가능하다. 그렇다면 모든 Workstat io n이 모든 Se rve r와 통신할 수 있도록 하려

면 어떻게 해야 할까? 모든 프레임 타입을 지원하는 라우터를 추가하거나 각 서버에 프레임 타입을

더 추가하면 된다. 라우터를 추가하면 모든 Se rve r와 Wo rks tat io n이 자유롭게 통신할 수 있게 되지만,

라우터는 전체 서버와 클라이언트 사이를 통과하는 프레임 타입이 다른 패킷을 모두 라우팅 해야 한다.

서버와 라우터에 여러 개의 프레임 타입을 추가하는 것은 그다지 좋은 해결책이 아니다. 프레임 타입

은 802 .2와 같이 하나만 정하는 것이 가장 이상적이다. 하지만 NetWa re 5는 자기 자신만의 자체적인

IP를 실행시키기 때문에 오래된 구형 서버를 지원할 필요가 없다면 이러한 작업은 무의미하다.

라우터를 설정할 때는 라우터를 장착할 각 세그먼트에 대한 IPX 네트워크 어드레스 정보와 프레임 타

입을 알 필요가 있다. 이 정보를 알려면 네트워크 관리자에게 문의하거나 NetWa re 서버 중 한 대에

직접 가서 서버 콘솔에서 c o nf ig 명령을 입력하면 된다.

- 8 -

C is c o 라우터에서의 IPX 설정마침내 라우터의 IPX를 설정할 때가 왔다. IP에 비교하면 수월한 작업이다. 여러 개의 프레임 타입을

지정하는 부분은 혼동의 여지가 있다. 다음에 자세히 설명되므로 걱정할 필요는 없다.

Cis c o 라우터에서 IPX를 활성화시키려면 다음의 두 가지 중요한 작업이 있다.

IPX 라우팅의 활성화(e na b ling )

개별 인터페이스에 대한 IPX 설정

IPX 라우팅의 활성화

IPX 라우팅을 설정하려면 ipx ro uting 명령을 이용하면 된다.

아래에 그 예제가 있다.

RouterA#c onfig t

RouterA (config )#ipx routin g

일단 라우터의 IPX 라우팅을 사용 가능하도록 설정하면 RIP과 SAP는 자동적으로 사용이 가능하게 된

다. 하지만 IPX 어드레스와 함께 개별적인 인터페이스를 설정하기 전에는 아무런 일도 일어나지 않는

다.

개별 인터페이스에 대한 IPX 설정

일단 라우터의 IPX 라우팅을 사용 가능하도록 설정했으면 다음 단계는 개별 인터페이스에 대해 IPX를

사용 가능하도록 설정하는 것이다. 이 작업을 하려면 우선 인터페이스 설정 모드에 들어가서 아래의

명령을 입력한다.

ipx ne tw o rk n um b e r [e nc a p s u la t io n e nc a ps u la t io n- ty pe ] [s e c o nd a ry ]

파라미터와 옵션에 대한 설명은 다음과 같다.

n um b e r IPX 네트워크 어드레스

[e nc a ps u la t io n e nc a p s u la t io n- ty p e ]

선택 사양이다. 표8 .2에는 서로 다른 미디어에 대한 캡슐화 타입의 기본 설정 값이 나와있다.

[s e c o nd a ry ]

s eco nda ry e nca ps ulat io n (프레임 타입)과 동일한 인터페이스에 대한 네트워크 어드레스를 가리킨다

250 1A에 대해서 IPX를 설정하는 예는 다음과 같다.

2501A#c onfig t

2501A (config )#ipx routin g

2501A (config )#int e0

2501A (config - if)#ipx n etw ork 10

작업해야 할 것은 이것이 전부이다. 단지 네트워크 번호를 입력하면 모든 작업이 수행된다. IPX는 매

우 탄력성 있는 라우팅 프로토콜이다. 모든 것을 브로드캐스트를 하기 때문이다. 하지만 대규모 인터

네트워크에서는 이 점이 문제를 발생시키는 원인이 되기도 한다.

250 1A의 Ethe rnet 0 에서 실행되는 프레임 타입은 무엇일까? - 디폴트 값으로서의 프레임 타입은

Nove ll- Ethe r(802 .3)이다. 프레임 타입을 변경하려면 캡슐화 명령을 인터페이스 설정에 추가하면 된

다. 표8 .2 에 IPX와 사용할 수 있는 서로 다른 캡슐화(프레임 타입)가 나와 있다.

- 9 -

표 8 .2 Nove ll IPX 프레임 타입

Inte rfa c e No v e ll C is c o Ke yw o rd

Ethe rnet

To ke n Ring

FDDI

Ethe rne t_802 .3

Ethe rne t_802 .2

Ethe rne t_ Ⅱ

Ethe rne t_s na p

Toke n- Ring

Toke n- Ring_s na p

Fddi_s na p

Fddi_802 .2

Fddi_raw

nove ll- ethe r (de fa ult)

sa p

a rpa

s na p

sa p (de fa ult)

s na p

s na p (de fa ult)

sa p

nove ll- fdd i

250 1A의 Ethe rne t 0 에 대한 IPX 프레임 타입을 s a p (802 .2)로 변경하기 위해 다음과 같이 캡슐화 명령

을 사용한다.

2501A#c onfig t


2501A (config - if)#ipx n etw ork 10 enc aps ulation s ap

이 명령은 기존의 네트워크 번호를 대체하고 802 .2 프레임 타입으로 캡슐화한다. 만일 여러 개의 프

레임 타입을 추가하고자 한다면 ne tw o rk 명령어 뒤에 s e c o nd a ry 명령을 사용하거나 서브인터페이스

를 생성하면 된다. s e c o nd a ry 명령과 s u b inte rfa c e 명령 두 가지 모두 8 장의 후반에서 자세히 설

명한다.

기존의 IPX 인터네트워크로 Cis c o 라우터를 설정하기 위해서는 현 단계에서 NetWa re 서버의 c onfig "

화면을 통해 IPX 네트워크 어드레스와 프레임 타입에 대한 정보를 얻을 필요가 있다. 라우터에 캡슐화

형식을 지정할 때는 Nove ll의 프레임 타입을 따르지 말고 반드시 Cis co의 키워드를 사용해야만 한다.

인터네트워크에서의 IPX 설정Cis c o 라우터의 IPX 라우팅 설정을 시작하기 전에 인터네트워크를 다른 면에서 살펴보자. 그림8 .4 는

4개의 라우터와 함께 사용하게 되는 IPX 어드레싱을 보여주고 있다.

이 그림에서 모든 네트워크 세그먼트에 대해 IPX 네트워크 번호가 존재한다는 사실에 주의해야 하며,

IP네트워크 번호는 IP 서브넷 번호와 동일하다. IPX 어드레싱은 IP에 대해서는 작업할 것이 전혀 없다

는 것을 기억하고, 단지 관리상 편의를 위해서 IP 서브넷 번호를 IPX 네트워크 번호로서 사용하는 것이

다.

그림 8 .4 인터네트워크

Nove ll- Ethe r(802 .3) 프레임 타입을 인터네트워크의 Ethe rnet 네트워크에 추가하는 작업부터 시작하자.

이 설정이 기본 캡슐화이기 때문에 설정 작업은 아주 간단하다. 시리얼 링크에 대한 기본 캡슐화는

HDLC이며, 이 또한 사용하게 될 것이다. HDLC는 1 0 장에서 설명한다.

- 10 -

2 6 2 1A 라우터에서의 IPX 설정262 1A 라우터 상에서 IPX를 설정하기 위해 여러분이 할 일은 단지 글로벌 환경설정 명령어인 ipxro ut ing 을 이용해서 라우터의 IPX 라우팅을 시작하는 일이다.그리고 나서 Fas tEthe rnet 0/ 0 인터페이스에는 현재 IPX 네트워크 10 번에 있음을 알려주면 된다.아래에 예가 있다.


2621A (config )#int f0/ 0


위에 나온 것이 전부이다. 이제 262 1A 라우터는 IPX 네트워크 10번을 이용하여 Fas tEthe rne t 0/0 인

터페이스를 통해 IPX 트래픽을 라우팅하게 된다.

2 5 0 1A 라우터에서의 IPX 설정262 1A 라우터와 동일한 명령을 250 1A 라우터에도 사용한다. 하지만 250 1A 라우터는 인터네트워크로

두 개의 연결을 갖고 있다. IPX 네트워크 10 번에 있는 Ethe rnet 0 인터페이스와 IPX 네트워크 20 번에

있는 s e ria l 0 인터페이스가 바로 그것이다.다음 예는 250 1A 라우터에 대한 설정 방법이다.




2501A (config - if)#int s 0


250 1A 라우터의 IPX를 설정하기 위한 것은 이것이 전부이다. IP보다 훨씬 쉽다는 것을 알 수 있다.

2 5 0 1B 라우터에서의 IPX 설정250 1B 라우터의 IPX 라우팅을 설정하려면 세 개의 인터페이스를 설정해야 한다. Ethe rnet 0 인터페이

스는 네트워크 30 번에 있으며 se ria l 0 인터페이스는 IPX 네트워크 20번에 있다. int s e ria l 2는 네트워

크 40 번 상에 존재한다.아래에 250 1B 라우터에 대한 설정 방법이 있다.

2501B(config )#ipx routin g

2501B(config )#int e0

2501B(config - if)#ipx n etw ork 30

2501B(config - if)#int s 0


2501B(config - if)#int s 1


위에 나온 설명이 작업해야 할 일의 전부이다.

2 5 0 1C 라우터에서의 IPX 설정250 1C 라우터에서 IPX 라우팅을 설정하려면 Ethe rne t 0 인터페이스를 IPX 네트워크 50 번으로 설정하

고 se ria l 0 인터페이스를 IPX 네트워크 40번으로 설정한다.아래에 250 1C 라우터에 대한 설정 방법이 있다.

2501C(config )#ipx routin g

2501C(config )#int e0

2501C(config - if)#ipx n etw ork 50

2501C(config - if)#int s 0

2501C(config - if)#ipx n etw ork 40

- 11 -

이제 4개의 라우터가 모두 설정되었으며 정상 작동해야만 한다. 제대로 설정이 되었는지를 확인하는

가장 좋은 방법은 s ho w ipx ro ute 명령을 이용하는 것이다.

IPX 라우팅 테이블 검증IPX 라우팅 테이블을 보려면 s how ipx ro ute 명령을 사용하면 된다. IP와 마찬가지로 IPX 라우터는

기본적으로 직접 연결된 네트워크에 대한 정보만을 알고 있다. 하지만 앞에서 살펴본 설정과 같이 IPX

라우팅을 작동시키면 IPX RIP은 자동적으로 모든 라우터에서 작동한다.

이때 IPX RIP은 인터네트워크 상의 모든 IPX 네트워크를 찾아내서 전체 라우터들의 라우팅 테이블을

최신 정보로 수정한다. 현재 우리가 설정한 인터네트워크 상에 있는 모든 라우터들을 살펴보고, IPX 라

우팅 테이블도 같이 보자.

2 6 2 1A262 1A 라우터는 오직 IPX 네트워크 10번에만 연결되어 있다. 따라서 IPX RIP은 인터네트워크에 있는

다른 4개의 IPX 네트워크의 라우팅 테이블을 갱신해야 한다.

262 1A 라우터 상의 라우팅 테이블은 다음과 같다.

2621A#s h ipx route

Codes : C - Connected primary netw ork , c - Connected secondary netw ork

[생략]

5 T otal IPX routes . Up to 1 parallel paths and 16 hops allow ed.

No default route known .

C 10 (NOVELL- ET HER), Fa0/ 0

R 20 [07/ 01] via 10.0000.0c8d.3a7b , 16s , F a0/ 0

R 30 [07/ 02] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

R 40 [07/ 02] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

R 50 [13/ 03] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

2621A#

C는 IPX 네트워크에 직접 연결되어 있다는 것을 의미하고, R은 IPX RIP이 찾아낸 네트워크를 의미한

다. [07/0 1]은 원격 네트워크에 도달하기 위해 필요한 t ic k 과 ho p 이다.

2 5 0 1A250 1A 라우터는 IPX 네트워크 10번과 20번에 대해서만 직접 연결된 상태이므로 이들에 대한 정보만

갖고 있다. IPX RIP은 250 1A 라우터에게 네트워크 30 , 40 , 50번에 대해 알려줄 것이다.

250 1A 라우터의 라우팅 테이블은 다음과 같다.

2501A#s h ipx route


[생략]



C 20 (HDLC), Se0

C 10 (NOVELL- ET HER), Et0

R 30 [13/ 02] via 20.0000.0c8d.2b8c, 16s , Se0

R 40 [07/ 02] via 20.0000.0c8d.2b8c, 17s , Se0

R 50 [07/ 03] via 20.0000.0c8d.2b8c, 17s , Se0

2501A#

위의 라우팅 테이블에서 직접 연결된 네트워크는 2개이고 RIP이 찾아낸 네트워크는 3개라는 사실을 주

목하자. 인접한 인터페이스의 IPX 어드레스는 인터페이스뿐만 아니라 라우팅 테이블에도 포함되어 있

고, 라우터는 이 정보를 원격 네트워크에 도달하기 위해 사용할 것이다.

- 12 -

2 5 0 1B250 1B 라우터에서 IPX RIP으로부터 발견된 경로는 10 번과 20번이다. 250 1B 라우터로부터 받은 정보

는 다음과 같다.

2501B#s h ipx route


[생략]



C 20 (HDLC), Se0

C 40 (HDLC), Se1


R 10 [07/ 01] via 20.0000.0c8d.3d8e, 16s , Se0

R 50 [07/ 01] via 40.0000.0c8d.5c9d, 17s , Se1

2501B#

2 5 0 1C250 1C 라우터에서 IPX RIP에 의해 발견된 경로는 네트워크 10 , 20 , 30번이다. 250 1C 라우터로부터

얻은 정보는 다음과 같다.

2501C#s h ipx route


[생략]



C 40 (HDLC), Se0


R 10 [13/ 02] via 40.0000.0c8d.5c9d, 16s , Se0

R 20 [07/ 01] via 40.0000.0c8d.5c9d, 17s , Se0

R 30 [07/ 01] via 40.0000.0c8d.5c9d, 17s , Se0

2501C#

S e c o nd a ry 어드레스의 추가우리가 예제에서 실행한 Ethe rnet 프레임 타입은 Nove ll- Ethe r(802 .3)이다. e nc a p 명령을 사용하지

않았기 때문에 프레임의 디폴트 값이 사용되었다.

이번 절에서는 Ethe rne t 네트워크 상에서 사용할 수 있는 다른 3개의 프레임 타입을 설정하는 방법에

대해 설명한다. 실제 이 방식을 사용하는 것은 그다지 추천할 만하지 않으며, 오히려 안 좋은 상황이

발생할 수도 있다. 따라서 실제 사용하기보다는 설정 방법을 살펴봄으로써 프레임 타입이 무엇인지,

그리고 문제 발생시 해결하는 방법 등을 알기 위한 것이다.

동일한 LAN 네트워크 상에서 여러 개의 프레임 타입을 설정하려면 se co nda ry 명령을 사용하거나 서브

인터페이스를 만들어야 한다. 인터네트워크 상에서 se co nda ry 나 서브인터페이스가 작동하는 방식은

기능적인 면에서 전혀 차이가 없다. 단지 관리상의 목적으로 차이가 날 뿐이다.

S e c o nd a ry 어드레스 설정여러 개의 프레임 타입을 지원하기 위해 Ethe rnet LAN에 두 번째 어드레스를 설정하려면 ipx ne tw o rk

명령어를 사용할 때 명령어 끝에 s ec o nda ry 파라미터를 붙여주면 된다.

- 13 -

아래에는 250 1A의 Ethe rnet 연결에 두 번째 네트워크를 추가하는 예제가 있다.

2501A#c onfig t

Enter configuration commands , one per line. End w ith CNT L/ Z.


2501A (config - if)#ipx n etw ork 10a enc ap s ap s ec

만일 여러분이 s e c o nd a ry 를 명령어의 끝에 사용하지 않으면 ipx ne tw o rk 명령은 기존의 설정을 대치

한다. (위 예제에서는 캡슐화와 s e c o nd a ry 대신에 단축 명령어로 e nc a p과 s e c 이 사용되었다.)

여기서 중요한 점은 각 프레임 타입은 서로 다른 IPX 네트워크 번호를 가져야 한다는 점이다. 위의

예제에서는 10a 가 사용되었다. 802 .3 프레임 타입이 10번으로 사용되었기 때문에 802 .2는 같은 번호

를 사용할 수 없다.

서브인터페이스여러 개의 네트워크를 지원하는 라우터 인터페이스에 IPX 네트워크 번호를 정의하려면 s e c o nd a ry 명

령어 대신에 s ub inte rfa c e 명령을 사용할 수도 있다. 이 명령을 사용하면 물리적으로 하나인 인터페

이스가 여러 개의 논리적인 IPX 네트워크를 지원할 수 있게 된다. 각 서브인터페이스는 s e c o nd a ry

명령과 마찬가지로, 유일한 IPX 네트워크 번호와 캡슐화 타입을 가져야 한다.

서브인터페이스를 정의하려면 inte rfa c e e the rne t po rt .n um b e r 명령을 사용한다. 이 때 사용되는 숫

자는 e 0 .0부터 e0 .4292967295 사이의 값이다. 802 .2 프레임 타입을 추가하는 예제는 다음과 같다.

2621A (config )#int e0 .10

2621A (config - subif)#ipx n etw ork 10a enc ap s ap

2621A (config - subif)#^Z

2621A#

이미 언급한 바와 같이, IPX 인터네트워크 상에서 s ec onda ry와 s ub inte rfac e 명령간의 기능적 차이는

없다. 단지 관리하는 방법이 다를 뿐이다. 관리를 위해서 se co nda ry 대신에 서브인터페이스를 만들

수 있는데, 이런 경우 서브인터페이스에 특정 명령어를 적용하면 서브인터페이스 및 이와 연결된 네트

워크에 대해 좀 더 개별적인 제어를 할 수 있다. 만일 s ec onda ry 명령어를 쓰면 네트워크는 물리적인

인터페이스 하에 놓이게 되고, 물리적인 인터페이스에 어떤 변화를 가하면, 이것은 그대로 모든 네트워

크에 영향을 미치게 된다.

인터네트워크에 다중 Et he rne t 프레임 타입 설정여러분은 실제상황에서 이러한 설정을 전혀 하려고 하지 않을 것이다. 실제로 이런 작업을 하는 경우

는 802 .2 프레임 타입을 실행하지 못하는 클라이언트를 지원해야 하거나, 802 .3을 지원할 필요가 있을

때뿐이다. IPX 네트워크에서 가장 바람직한 것은 오직 하나의 프레임 타입만을 사용하는 것이다.

하지만 각각의 서로 다른 프레임에 대해 잘 알고 있어야 하며 어떻게 그들을 설정해야 하는지도 알아

야 한다. 이 절에서는 바로 그러한 사항들을 알려줄 것이다. 이제 앞에서 설정했던 인터네트워크에서

Ethe rnet LAN상에 모든 프레임 타입을 실행할 수 있도록 설정해 보자. 이런 방식으로 구성된 실제 상

황을 여러분이 보게 된다면 무엇이 잘못되었고 왜 사람들이 netwo rk"이 notwork" 이라고 불만을 터뜨

리는지 알게 될 것이다.

이 상황은 오직 LAN 인터페이스 상에서만 수행되며 WAN 인터페이스 상에서는 LAN 프레임을 실행시

키지 않는다는 사실을 이해해야 한다.

2 6 2 1A 라우터상의 다중 프레임 타입 설정262 1A 라우터에서 여러 개의 프레임 타입을 설정하려면 3개의 새로운 IPX 네트워크 번호를 추가할 필

요가 있는데 추가하고자 하는 각 프레임 타입에 대해 한 개씩 필요하다. 여러 개의 프레임 타입을 설

- 14 -

정할 때는 네트워크 번호에 보통 알파벳 문자를 붙인다. 예를 들면 802 .2 에 대해서는 10a를 ,

Ethe rnet_ Ⅱ는 10b , SNAP은 10c 가 된다.

아래에 제시된 설정에서 여러분은 각 라우터 상에 하나의 s ec o nda ry 어드레스와 두 개의 서브인터페이

스를 만들 것이다. 어떤 방식으로 작업해도 상관은 없지만 일단 여기서 선택한 방식대로 하자.

262 1A에 대한 예제가 아래에 나와 있다. ipx ne tw o rk 10 a e nc a p 명령을 사용할 때 물음표를 같이

사용하면 지원할 수 있는 모든 캡슐화 형식과 Cis co 키워드가 나타난다.

2621A (config )#int f0/ 0

2621A (config - if)#ipx n etw ork 10a enc ap ?

arpa Novell Ethernet_II

hdlc HDLC on serial links

novell- ether Novell Ethernet_802.3

novell- fddi Novell FDDI RAW

sap IEEE 802.2 on Ethernet , FDDI, T oken Ring

snap IEEE 802.2 SNAP on Ethernet , T oken Ring , and FDDI

RouterA (config - if)#ipx n etw ork 10 a enc ap s ap s ec

se co nda ry 어드레스를 설정한 후에 두 개의 서브인터페이스를 추가해야 한다. 만일 이런 설정을 테스

트용이 아닌 실제 운영 네트워크에 적용하고, 다수의 프레임 타입을 지원해야 할 필요가 있다면 서브

인터페이스만을 사용하여야 하고 se co nda ry 네트워크는 사용하면 안 된다. 왜냐하면 앞으로 Cis co 에

서는 더 이상 s e c o nd a ry 명령을 지원하지 않을 것이기 때문이다. s e c o nd a ry 명령은 오직 이 예제

에서만 사용하는데 이는 여러분이 설정 시에 se co nda ry를 보더라도 그것이 무엇인지 알고 이해할 수

있도록 하기 위해서이다.

서브인터페이스 번호는 도움말(int f0 / 0 ? ) 화면에서 보여주는 범위 내의 어떤 숫자라도 상관없다. 서

브인터페이스 번호는 단지 지역적으로만 중요한 의미를 지니며 IPX가 인터네트워크 상에서 어떻게 실

행되는가에 대해서는 어떠한 관계도 없다.

2621A (config )#int f0/ 0 .?

<0- 4294967295> Ethernet interface number

2621A (config )#int f0/ 0 .10

2621A (config - if)#ipx n etw ork 10b enc ap arpa

2621A (config )#int f0/ 0 .100

2621A (config - if)#ipx n etw ork 10c enc ap s n ap

이제 4개의 모든 프레임 타입이 262 1라우터의 Fa stEthe rnet 0/0 인터페이스에 설정되었다. 262 1A 라

우터와 IPX를 이용해서 통신하는 장비는 무엇이든지 간에 반드시 각 프레임 타입에 대해 설정된 네트

워크 번호와 같은 번호를 지원해야 한다.

2 5 0 1A 라우터상의 다중프레임 타입 설정IPX를 이용해서 262 1A 라우터와 통신하는 250 1A 라우터의 경우에는 설정된 각 프레임 타입에 대해

동일한 IPX 네트워크 번호로 구성해야 한다.

다음 예는 250 1A 라우터에 대한 설정 방법이다.


2501A (config - if)#ipx n etw ork 10a enc ap s ap s ec

2501A (config - if)#int e0 .10

2501A (config - if)#ipx n etw ork 10b enc ap arpa

2501A (config - if)#int e0 .100

2501A (config - if)#ipx n etw ork 10c enc ap s n ap

위의 예와 같이, 동일한 서브인터페이스 번호가 사용되었다. 하지만 숫자 자체는 여러분이 원하는 아

무런 숫자라도 상관 없다. 라우터가 4개의 모든 IPX Ethe rnet 프레임 타입과 함께 설정된 후의

- 15 -

running- c onfig 복사본이 아래에 나와있다.

hostname RouterA

!

ipx routing 0060.7015.63d6

!

interface Ethernet0

ip address 172.16.10.1 255.255.255.0

ipx netw ork 10

ipx netw ork 10A encapsulation SAP secondary

!

interface Ethernet0.10

ipx netw ork 10B encapsulation ARPA

!

interface Ethernet0.100

ipx netw ork 10C encapsulation SNAP

!

interface Serial0

ip address 172.16.20.1 255.255.255.0

ipx netw ork 20

메인 Ethe rne t 인터페이스 하에서 두 개의 IPX 네트워크 번호가 존재하는 것에 주의하자. 하나는

Nove ll- Ethe r(802 .3) 프레임 타입을 위한 것이고 또 하나는 SAP(802 .2) 프레임 타입을 위한 것이다.

Ethe rnet_ Ⅱ(a rpa ) 프레임 타입과 SANP 프레임 타입은 그들 자신만의 서브인터페이스를 갖고 있기 때

문에 s e c o nd a ry 명령을 사용할 필요가 없다.

2 5 0 1B 라우터상의 다중 프레임 타입 설정250 1B 라우터를 설정하려면 Ethe rnet 0 인터페이스에 대해서만 주의하면 된다. IPX 네트워크 30 번은

주(p rima ry) 인터페이스에서 802 .3 프레임 타입을 실행하고 있다. 다른 3개의 가능한 프레임 타입을

Ethe rnet 0에 추가시켜 보자. 다음은 그 예제이다.

2501B(config )#int e0

2501B(config - if)#ipx n etw ork 30 a enc ap s ap s ec

2501B(config - if)#int e0 .30

2501B(config - subif)#ipx n etw ork 30b enc ap arpa

2501B(config - subif)#int e0 .300

2501B(config - subif)#ipx n etw ork 30c enc ap s n ap

250 1B 라우터는 이제 Ethe rnet 0 인터페이스 상에 총 4개의 IPX Ethe rnet 프레임 타입을 갖도록 구성

되었다. 이로 인해 Ethe rnet 네트워크의 대역폭 중 상당량이 허비되고 말 것이다.

2 5 0 1C 라우터상의 다중 프레임 타입 설정250 1C는 오직 한 개의 LAN 연결을 가지고 있으며 IPX 네트워크 50번으로 연결되어 있다. IPX 네트

워크 50번은 802 .3 프레임 타입을 실행한다. Ethe rnet 0의 다른 3개의 IPX 네트워크 번호를 설정해

보자.

2501C(config )#int e0

2501C(config - if)#ipx n etw ork 50a enc ap s ap s ec

2501C(config - if)#int e0 .50

2501C(config - subif)#ipx n etw ork 50b enc ap arpa

2501C(config - subif)#int e0 .500

- 16 -

2501C(config - subif)#ipx n etw ork 50c enc ap s n ap

이제 4개의 라우터가 모두 설정되었으므로 4개의 Ethe rnet 프레임 타입에 대해 모두 사용할 수 있어야

한다.

그렇다면 여러 개의 프레임 타입을 동시에 쓰는 것이 어째서 그토록 네트워크에 안좋은지 알아볼 것이

다. 이제 s ho w ipx ro ute 명령을 이용해서 그 원인을 찾아보자.

IPX 라우팅 테이블의 검증이전에 IPX 라우팅 테이블을 확인했을 때 각 라우터의 라우팅 테이블에서 각각의 IPX 네트워크에 대해

연결(co nne ctio n)이 하나로 되어있었다. 그 때의 명령을 또 한번 실행시켜 그 결과를 살펴보자. (아래

예에서는 262 1A 라우터만 나와 있다. 다른 라우터들 역시 같은 라우팅 테이블을 가지고 있다)

2621A#s h ipx route


[생략]



C 10 (NOVELL- ET HER), Fa0/ 0

C 10A (SAP ), Fa0/ 0

C 10B(ARPA ), Fa0/ 0.10

C 10B(SNAP), Fa0/ 0.100

R 20 [07/ 01] via 10.0000.0c8d.3a7b , 16s , F a0/ 0

R 30A [07/ 02] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

R 30B[07/ 02] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

R 30C[07/ 02] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

R 30D[07/ 02] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

R 40 [07/ 02] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

R 50A [13/ 03] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

R 50B[13/ 03] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

R 50C[13/ 03] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

R 50D[13/ 03] via 10.0000.0c8d.3a7c , 17s , F a0/ 0

2621A#

이전에는 5개의 IPX를 갖고 있었지만 지금의 라우팅 테이블에는 14개의 IPX 경로를 가지고 있다. 여

러분이 실제로 네트워크를 추가하지는 않았지만, 새로운 네트워크는 여러분이 각 네트워크에 추가한 새

로운 캡슐화이다. 3개의 LAN은 각자 4개의 IPX 네트워크를 매 60초마다 활성화된 인터페이스에게 통

보한다. 20개의 라우터가 설치되어 있고 거기다 모든 프레임 타입을 전부 추가했다고 상상해 보면 그

결과를 쉽게 예측할 수 있을 것이다.

LAN에 다중 프레임 타입을 추가할 때는 추가로 고려해야 할 것이 한가지 더 있다. 바로 SAP ac tivity

이다. SAP(Se rvic e Adve rt ise me nt Protoc o l)은 모든 활성화된 인터페이스에게 매 60초마다 브로드캐

스팅을 한다. 만일 LAN에 여러 개의 프레임 타입을 설정해 놓은 상태라면 사용할 수 있는 모든 프레

임 타입에 대해 브로드캐스팅을 보낸다. 단 한 개의 SAP 패킷을 보내더라도 같은 패킷이 4 번 보내지

게 될 것이고, 다중으로 SAP 패킷이 보낼 때는 매 60초마다 4 배의 패킷이 보내진다.

- 17 -

C is c o 라우터의 IPX에 대한 모니터링일단 IPX를 설정해서 실행시키면 라우터가 올바로 통신하고 있는지를 확인하고 추적하는 방법은 여러

가지가 있다. 이러한 명령어들에는 다음과 같은 것이 있다.

s ho w ipx s e rv e rs

s ho w ipx ro ute

s ho w ipx t ra ff ic

s ho w ipx inte rfa c e

s ho w p ro to c o l

d e b ug ipx

ipx p ing

s ho w IPX S e rv e rss ho w ipx s e rve rs 명령은 NetWa re의 d is p la y s e rv e rs 명령과 매우 유사하다. Cis co 라우터에 있는

SAP 테이블의 내용을 보여주므로 여러분은 모든 SAP 서비스의 이름을 볼 수 있다. 라우터가 자기 자

신의 SAP 테이블에 원격 서버에 대한 항목을 갖고 있지 않다면, 로컬 클라이언트는 이 서버들을 전혀

볼 수 없다. 만약 이 테이블에 빠져서는 안될 중요한 서버들이 빠져 있다면 IPX 네트워크 어드레스를

재점검하고 캡슐화 설정을 다시 살펴봐야 한다.

2501A#s h o ipx s erv ers

Codes : S - Static, P - Periodic, E - EIGRP, N - NLSP , H - Holddown, + = detail 9 T otal IPX

Servers

T able ordering is based on routing and server info

T ype Nam e Net Address Port Route Hops Itf

P 4 BORDER1 350ED6D2.0000.0000.0001:0451 2/ 01 1 Et0

P 4 BORDER3 12DB8494.0000.0000.0001:0451 2/ 01 1 Et0

P 107 BORDER1 350ED6D2.0000.0000.0001:8104 2/ 01 1 Et0

P 107 BORDER3 12DB8494.0000.0000.0001:8104 2/ 01 1 Et0

P 26B BORDER 350ED6D2.0000.0000.0001:0005 2/ 01 1 Et0

P 278 BORDER 12DB8494.0000.0000.0001:4006 2/ 01 1 Et0

P 278 BORDER 350ED6D2.0000.0000.0001:4006 2/ 01 1 Et0

P 3E1 BORDER1 350ED6D2.0000.0000.0001:9056 2/ 01 1 Et0

P 3E1 BORDER3 12DB8494.0000.0000.0001:9056 2/ 01 1 Et0

라우터로부터 출력된 정보를 보면 SAP adve rt is e me nt를 통해 발견된 모든 IPX 서버들을 볼 수 있다.

Type 필드는 통보되고 있는 SAP 서비스의 형식을 보여주는데 4는 파일 서비스이고 7은 프린트 서비스

이다. 이 외의 다른 서비스 번호는 NetWa re 서버 상에서 운영되는 어플리케이션의 형태에 따라서 결

정된다. Net 필드와 Add re ss 필드는 각 서버에 설정된 IPX 네트워크 번호이다. Po rt 필드는 상위 레

이어 어플리케이션을 식별한다. NCP(NetWa re Co re Protoc o l)의 소켓번호는 45 1이다.

S ho w IPX Ro utes ho w ipx ro ute 명령은 라우터 자신이 알고 있는 IPX 라우팅 테이블 항목들을 보여준다. 라우터는

자신이 직접 연결되어 있는 네트워크를 보여주고 라우터가 온라인이 된 이후에 학습한 네트워크들을

알려준다.

2501A#s h ipx route

Codes : C - Connected primary netw ork , c - Connected secondary netw ork , S - Static, F -

Floating stat ic, L - Local (internal), W - IPXWAN, R - RIP , E - EIGRP, N - NLSP , X -

External, A - Aggregate, s - seconds , u - uses


- 18 -



C 20 (HDLC), Se0

c 10a (sap), Et0

C 10b (ARPA ), Et0.10

R 40 [07/ 01] via 20.00e0.1ea9.c418, 13s , Se0

R 50 [13/ 02] via 20.00e0.1ea9.c418, 13s , Se0

RouterA#

라우팅 테이블에 있는 소문자 c 는 s eco nda ry로 설정된 IPX 네트워크임을 알려준다.

IPX 로드 밸런싱

라우터들 간에 이중화 된 IPX 경로를 설정해 놓았다면, Cis c o IOS는 기본적으로 이 경로에 대해서는

학습하지 못한다. 라우터는 수신지까지 단일 경로만을 학습한 뿐 또 다른 경로는 무시해 버릴 것이다.

s ho w ipx ro ute 명령을 실행한 결과에서 Up to 1 pa ra lle l pa ths a nd 16 hops a llowed " 라는 대목

이 있는 것을 주목하자. 여러 개의 동일비용경로(eq ua l- cost path)에 대해 ro und- ro bin 방식의 로드

밸런싱을 수행하려면 ipx ma x im u m- p a ths [# ] (# 는 64보다 적은 아무 숫자나 상관없다) 명령을 추

가해야 한다. 이 명령을 쓰게 되면 라우터가 동일한 수신지에 도달하기 위해 한 개 이상의 경로가 존재

할 수 있다는 가능성을 고려하게 된다.

Cis c o의 IOS는 디폴트 값으로서 이러한 병렬 회선들에 대해 pe r- pac ke t loads ha ring을 수행한다. 패

킷들은 ro und- ro bin에 근거하여 수신지에 상관없이 모든 동일비용경로로 보내진다. 하지만 만일 모든

패킷이 수신지로 보내지는 것을 보장하려 하거나 호스트가 항상 동일한 경로로 가도록 하려면 ipx

pe r- ho s t- lo a d - s ha re 명령을 사용한다.

ipx m a x im u m- p a ths 명령의 사용 방법이 아래 나와 있다. 아래 예제에서 이 명령은 IPX RIP 프로토

콜에게 동일 비용이 소요되는 두 개의 경로에 대해 ro und- rob in 방식의 로드 밸런싱을 하도록 지시한

다.

Router#c onfig t

Router (config )#ipx m ax im um - path s 2

Router (config )#^Z

Router#s h ipx route

Codes : C - Connected primary netw ork , c - Connected [생략]


[생략]

s ho w ipx ro ute 명령은 이제 2개의 이중화 회선이 지원됨을 알려준다.

S ho w IPX T ra ff ics how ipx tra ffic 명령을 사용하면 라우터에 의해 주고받은 IPX 패킷의 수와 유형을 알 수 있다. 이 명

령은 IPX RIP과 SAP 업데이트 패킷을 모두 보여준다는 사실을 정확히 알아둬야 한다.

2501A#s h ipx traffic

System T raffic for 0.0000.0000.0001 Syst em - Name: RouterA

Rcvd: 15 tot al, 0 format errors , 0 checksum errors , 0 bad hop count , 0 packets pitched, 15

local destination , 0 multicast

Bcast : 10 received, 249 sent

Sent : 255 generated, 0 forw arded

0 encapsulation failed, 0 no route

SAP : 1 SAP requests , 0 SAP replies , 0 servers

0 SAP Nearest Name requests , 0 replies

0 SAP General Name requests , 0 replies

- 19 -

0 SAP advertisem ents received, 0 sent

0 SAP flash updates sent , 0 SAP format errors

RIP : 1 RIP requests , 0 RIP replies , 6 routes

8 RIP advertisements received, 230 sent

12 RIP flash updates sent , 0 RIP form at errors

Echo: Rcvd 0 requests , 5 replies

Sent 5 requests , 0 replies

0 unknow n : 0 no socket , 0 filtered, 0 no helper

0 SAPs throttled, freed NDB len 0

W atchdog :

0 packets received, 0 replies spoofed

Queue lengths :

IPX input : 0, SAP 0, RIP 0, GNS 0

SAP throttling length : 0/ (no limit ), 0 nets pending lost route reply

- - More- -

s ho w ipx t ra ff ic 명령은 라우터가 주고 받은 IPX RIP과 SAP에 대한 정보를 통계적으로 보여준다.

특정 인터페이스 상에서 주고받은 RIP과 SAP에 대한 정보만을 보려면 다음절에서 살펴볼 s ho w ipx

inte rfa c e 명령을 사용하면 된다.

S ho w IPX Inte rfa c es ho w ipx inte rfa c e 명령은 IPX의 인터페이스 상태와 각 인터페이스에 대해 설정된 IPX 파라미터들을

보여주는 명령이다. s ho w ipx inte rfa c e e 0 명령은 그 인터페이스의 IPX 어드레스와 캡슐화 형식을

보여준다. s ho w inte rfa c e e 0 명령을 사용하면 인터페이스의 IPX 어드레스는 보여주지 않고, 단지

IP 어드레스만을 보여준다.

2501A#s h ipx int e0

Ethernet0 is up, line protocol is up

IPX address is 10.0000.0c8d.5c9d, NOVELL- ET HER [up]

Delay of this IPX netw ork , in ticks is 1 throughput 0 link delay 0

IPXWAN processing not enabled on this int erface.

IPX SAP update interval is 1 minute(s )

IPX type 20 propagation packet forw arding is disabled

Incoming access list is not set

Outgoing access list is not set

IPX helper access list is not set

SAP GNS processing enabled, delay 0 ms , output filter list is not set

SAP Input filter list is not set

SAP Output filter list is not set

SAP Router filter list is not set

Input filter list is not set

Output filter list is not set

Router filter list is not set

Netbios Input host access list is not set

Netbios Input bytes access list is not set

Netbios Output host access list is not set

Netbios Output bytes access list is not set

Updates each 60 seconds , aging multiples RIP : 3 SAP : 3

SAP interpacket delay is 55 ms , maximum size is 480 bytes

RIP interpacket delay is 55 ms , maximum size is 432 bytes

- - More- -

- 20 -

일반 소문자 명령은 특정 인터페이스 상에서 받은 RIP과 SAP에 대한 정보만을 보여준다. 만약 라우터

전체가 받은 RIP과 SAP에 대한 정보를 보려면 s ho w ipx t ra ff ic 명령을 사용하면 된다.

S ho w Pro to c o lsIPX 어드레스와 캡슐화 형식을 보여주는 명령이 하나 더 있다. 바로 s ho w p ro to c o ls 명령이다. 이

명령은 라우터에서 설정된 프로토콜과 인터페이스 어드레스를 보여준다. 250 1A 라우터에서 s ho w

p ro to c o ls 명령을 실행하면 아래와 같은 결과를 볼 수 있다.

2501A#s h protoc ols

Global values :

Internet Protocol routing is enabled

IPX routing is enabled


Internet address is 172.16.10.1/ 24

IPX address is 10.0060.7015.63d6 (NOVELL- ET HER)

IPX address is 10A .0060.7015.63d6 (SAP )

Ethernet0.10 is up, line protocol is up

IPX address is 10B.0060.7015.63d6

Ethernet0.100 is up, line protocol is up

IPX address is 10C.0060.7015.63d6

Serial0 is up, line protocol is up

Internet address is 172.16.20.1/ 24

IPX address is 20.0060.7015.63d6

설정된 모든 인터페이스 어드레스를 볼 수 있으며 심지어는 서브인터페이스까지도 볼 수 있음을 주목

하자. 하지만, prima ry, s ec onda ry, s ub inte rfac e 가 인터페이스의 어드레스를 알려주더라도

s ubinte rface 는 캡슐화 형식을 보여주진 않는다.

인터페이스의 IPX 어드레스를 보여주는 명령어는 s ho w ipx inte rfa c e 명령과 s ho w p ro to c o ls 명령

단 두 가지 뿐임을 명심해야 한다.

De b ug IPXd e b ug ipx 명령은 IPX가 현재 네트워크 상에서 실행되고 있는 상태 그대로의 정보를 알려준다. 이

명령을 사용하면 IPX RIP과 SAP의 업데이트 상황을 쉽게 볼 수 있으므로 매우 유용한 명령이다. 하

지만 이 명령은 현명하게 잘 사용하지 않는다면 소중한 CPU 자원을 소비할 수 있기 때문에 조심해서

사용해야 한다.

가장 쓸모 있는 두 가지는 d e b ug ipx ro ut ing a c t iv ity 와 d e b ug ipx s a p a c t iv ity 명령이다. 이 명

령을 실행하면 아래와 같은 출력을 볼 수 있다.

RouterA#debu g ipx routin g ?

activity IPX RIP routing activity

events IPX RIP routing event s

이제 각 명령어에 대해 자세히 알아보자.

De b ug IPX Ro ut ing Ac t iv ityd e b ug ipx ro ut ing a c t iv ity 명령은 라우터를 통해 주고받은 IPX 라우팅 패킷에 대한 정보를 제공한

다.

RouterA#debu g ipx routin g ac t

IPX routing debugging is on

RouterA#

- 21 -

IPXRIP : update from 20.00e0.1ea9.c418

50 in 2 hops , delay 13

40 in 1 hops , delay 7

IPXRIP : posit ing full update to 10.ffff.ffff.ffff via Ethernet0 (broadcast )

IPXRIP : src=10.0000.0c8d.5c9d, dst=20.ffff.ffff.ffff, packet sent

netw ork 50, hops 3, delay 14





여러분은 u nd e b ug a ll (줄여서 un a l)을 사용해서 이 명령을 중지시키거나 아래와 같이 완전하게

전체 명령어를 실행시켜 중지시킬 수도 있다.

RouterA#un debu g ipx routin g ac t

IPX routing debugging is off

RouterA#

De b ug IPX S A P Ac t iv ityde bug ipx sa p activity 명령은 라우터를 통해 주고받은 IPX SAP 패킷을 보여준다. SAP는 IPX RIP과

마찬가지로 모든 활성화된 인터페이스로 매 60초마다 브로드캐스트를 한다. 각 SAP 패킷은 de bug 출

력에서 여러 줄에 걸쳐 그 정보를 볼 수 있다.

아래의 제시한 라우터 출력에서 첫 번째 두 줄은 IPX SAP이고 다른 네 줄은 패킷에 대한 요약 정보와

서비스에 대한 상세 메시지이다.

RouterA#debu g ipx s ap ac tiv ity

05:31:18: IPXSAP : positing update to 1111.ffff.ffff.ffff via Ethernet0 (broadcast ) (full)

02:31:18: IPXSAP : Update type 0x2 len 288 src :1111.00e0.2f5d.bf2e dest :1111.ffff.ffff.ffff (452)

02:31:18: type 0x7, ” MarketingPrint ", 10.0000.0000.0001(451), 2 hops

02:31:18: type 0x4, "SalesF S", 30.0000.0000.0001(451), 2 hops

02:31:18: type 0x4, "MarketingF S", 30.0000.0000.0001(451), 2 hops

02:31:18: type 0x7, "SalesF S", 50.0000.0000.0001(451), 2 hops

unde bug a ll (줄여서 un a l)을 사용해서 이 명령을 중지시키거나 아래와 같이 완전하게 전체 명령어를

실행시켜 중지시킬 수도 있다.

RouterA#un debu g ipx s ap ac tiv ity

IPX routing debugging is off

Ro ute rA# IPX PingTe lne t을 통해 원격지의 라우터에 접속하거나 s how c d p ne ig hbo r de ta il, 또는 s how cd p e ntry * 명

령을 사용하면 인접한 라우터의 IPX 어드레스를 알 수 있다. 이 어드레스를 이용해서 ping을 해보면

네트워크 테스트를 할 수 있다.

일반적인 ping 또는 확장된 ping을 통해서 라우터로부터 IPX 어드레스를 ping 할 수 있다. 아래의 명

령은 라우터 C에서 실행되었고, 라우터 B에 대한 IPX 네트워크 어드레스를 찾기 위해 사용한 것이다.

RouterC#s h c dp entry *

- - - - - - - - - - - - - - - - - - - - - - - - -

Device ID: RouterB

Entry address (es ):

IP address : 172.16.40.1

Novell address : 40.0000.0c8d.5c9d

- 22 -

Platform : cisco 2500, Capabilities : Router

Interface: Serial0, Port ID (outgoing port ): Serial1

Holdtime : 155 sec

이제 라우터B에 대한 IPX 어드레스를 알게 되었으므로 라우터를 ping 할 수 있다.

p ing ipx [a d d re s s ] 명령은 파우터 프롬프트가 어디에 있든지 상관없이 사용 가능하며 아래와 같이

실행할 수 있다.

RouterC#pin g ipx 40 .0000 .0c 8 d .5c 9d

Sending 5, 100- byte IPX Novell Echoes to 40.0000.0c8d.5c9d , timeout is 2 seconds :

!!!!!

경우에 따라서는 확장된 ping을 사용할 수도 있는데, 표준 ping보다 훨씬 더 많은 기능을 제공한다.

RouterC#pin g

Protocol [ip]: ipx

T arget IPX address : 40 .0000 .0c 8d .5c 9 d

Repeat count [5]:

Datagram size [100]:

T imeout in seconds [2]:

Verbose [n]:

Novell Standard Echo [n]: y

T ype escape sequence to abort .

Sending 5, 100- byte IPX Novell Echoes to 40.0000.0c8d.5c9d , timeout is 2 seconds :

!!!!!

Success rate is 100 percent (5/ 5), round- trip min/ avg/ max = 4/ 7/ 12 ms

- 23 -

요 약8 장에서는 다음과 같은 사항들이 언급되었다.

IPX를 실행할 때 Cis co 라우터에서 사용할 수 있는 IPX 어드레스와 캡슐화 형식, 프레임 타입들,

Nove ll IPX 프로토콜을 사용할 수 있도록 구성하는 방법과 라우터 인터페이스를 설정하는 방법, 실제

예를 들어서 Cisc o 라우터와 그 인터페이스 상에서 IPX를 설정하는 방법에 대해 논의하였다.

라우터 상에서 Nove ll IPX의 작동 상황을 모니터링하는 방법, 모니터링을 위해서 사용되는 일부 기본

적인 명령어들의 사용법.

네트워크 어드레싱의 두 부분과 특정 프로토콜의 어드레스 예제.

IPX 호스트 어드레스와 이 어드레스의 세부사항

주요 용어문제를 풀기 전에 다음 용어에 익숙해져야 한다.

Co nnec tio n ID

Encaps ulat io n

Fram ing

Soc ke t

Virtual c irc uit

8 장에서 사용된 명령어명령어 설 명

d e b ug ipx IP와 SAP에 대한 정보를 라우터를 통과하는 그대로 보여준다.

e nc a ps u la t io n 인터페이스상에 사용된 프레임 타입을 설정한다.

ipx e 0 . 10 서브인터페이스를 생성한다.

ipx ne tw o rk IPX 네트워크 번호를 인터페이스에 할당한다.

ipx p ing 인터네트워크 상의 IPX 패킷을 테스트하기 위해 사용되는 Pac ke t Inte rnetGro pe r 이다.

ipx ro ut ing IPX ro uting을 켠다.

s e c o nd a ry 동일한 물리적인 인터페이스 상에 두 번째 IPX 네트워크를 추가한다.

s ho w ipx inte rfa c e 각 개별적인 인터페이스 상에서 주고받는 RIP과 SAP에 대한 정보를 보여준다. 또한 그 인터페이스의 IPX 어드레스도 보여준다.

s ho w ipx ro ute IPX 라우팅 테이블을 보여준다.

s ho w ipx s e rv e rs Cis c o 라우터의 SAP 테이블을 보여준다.

s ho w ipx t ra ff ic Cis c o 라우터 상에서 주고받은 RIP과 SAP에 대한 정보를 보여준다.

s ho w p ro to c o l 라우팅된 프로토콜과 각 인터페이스의 어드레스들을 보여준다.

- 24 -

필기 시험

이번 절에서 여러분은 IPX와 관련된 다음의 질문에 대해 답을 작성하게 된다.

1. 라우터에 설정된 프로토콜을 볼 수 있게 해 주는 명령어를 쓰시오.

2 . IPX- routed 프로토콜을 e na ble 시키는 명령어를 쓰시오.

3 . 개별적인 인터페이스에 대해 IPX를 e na b le 시키는 명령어를 쓰시오. Ethe rnet 0 인터페이스를 IPX

네트워크 11번에 설정하고 To ke n Ring을 IPX 네트워크 15번, 그리고 se ria l 0을 IPX 네트워크 20 번

에 설정하시오.

4 . IPX 라우팅 테이블을 볼 수 있는 명령어를 쓰시오

5 . 인터페이스의 IPX 어드레스를 볼 수 있게 해주는 명령어를 2개 쓰시오.

6 . 인접한 IPX 어드레스를 찾을 수 있는 명령어 2개를 쓰시오.

7. Ethe rnet_ Ⅱ 프레임 타입을 Ethe rnet 0 인터페이스에 추가하시오. 단, 이를 위해 서브인터페이스를

쓰지 말 것. IPX 네트워크 번호는 11a 를 사용하시오.

8 . 802 .2와 S NAP 프레임 타입을 서브인터페이스를 이용하여 Ethe rnet 0 인터페이스에 추가하시오.

IPX 네트워크 번호로 11b와 11c 를 사용하시오.

9 . IPX 설정값을 확인할 때 사용할 수 있는 명령어를 쓰시오.

- 25 -

실기 시험이번 절에서 여러분은 IPX 라우팅을 하는 3대의 250 1 라우터를 설정하게 된다. 2개의 실습이 있는데

첫 번째는 802 .3 프레임 타입으로 IPX 라우팅을 설정하는 것이고, 두 번째는 물리적으로 단일한 LAN

에 여러 개의 프레임 타입을 설정하는 것이다.

실습 8 .1 : IPX(Inte rnetwo rking Pac ket Exc ha nge ) 설정

실습 8 .2 : IPX를 통한 Sec onda ry 네트워크 어드레스 추가 및 다중프레임 타입 설정

두 가지 실습 모두 네트워크를 설정하기 위해 그림8 .5 를 이용할 것이다.

그림 8 .5 IPX 실습 그림

실습 8 . 1 IPX 설정1. 라우터에 로그인 한 후 e n 또는 e na b le 을 입력하여 privileged 모드로 들어간다.

2 . s ho w p ro to c o l 또는 s h p ro t 명령을 입력하여 설정된 프로토콜을 확인한다. 단, 각 인터페이스에

대해 설정된 어드레스뿐만 아니라 라우팅된 프로토콜(IP)도 같이 보인다는 사실을 주목할 것.

3 . ipx ro uting 명령어를 사용하여 IPX- routed 프로토콜을 e na ble 시킨다.

RouterA#c onfig t

RouterA (config )#ipx routin g

RouterA (config )#^Z

4 . s ho w p ro t 나 s ho w p ro to c o ls 명령을 실행시켜서 IPX 라우팅이 e na b le 되었는지 다시 한 번 확인

한다. 단, IPX 라우팅이 e na b le 됐지만 인터페이스는 IPX 어드레스를 갖지 않고 오직 IP 어드레스

만을 가진다는 사실에 주의할 것.

5 . 각각의 개별적인 인터페이스에 대해 IPX를 e na b le 시킨다. 이 때 ipx ne tw o rk 명령어를 사용할 것.

16진수(A~ F, 0~ 9)로 8자리의 어떤 숫자라도 사용할 수 있다. 250 1A 라우터에 대한 다음 예제를

참고할 것.

2501A#c onfig t



2501A (config - if)#int to0


2501A (config - if)#int s 0


6 . 실습의 다른 라우터들을 IPX 네트워킹으로 설정한다.

- 26 -

7. 여러분의 설정을 테스트한다. 가장 좋은 방법은 s ho w ipx ro ute 명령을 사용하는 것이다.

8 . 인터페이스의 IPX 어드레스를 보기 위해 s ho w p ro to c o l과 s ho w ipx inte rfa c e 명령을 사용한다.

9 . 일단 인접한 라우터들의 IPX 어드레스를 알아내면 IPX 프로토콜을 이용하여 ping을 한다(인접한 라

우터의 콘솔 포트로 직접 가서 테스트할 수도 있고, s ho w p ro to c o ls 나 s ho w ipx inte rfa c e 명령

을 사용해도 된다. 또는 프로토콜에 대한 정보를 얻기 위해 CDP프로토콜을 사용할 수도 있다. 이

때 사용되는 명령은 s h c d p e ntry * 이다).

10 . Cisc o 라우터가 원격 네트워크에 하나 이상의 경로가 있을 수도 있다는 사실을 인식하도록 ipx

ma x im um- p a ths 명령을 사용한다(IPX 프로토콜은 기본적으로 원격 네트워크에 접근하기 위해 하

나의 경로만을 찾는다. 일단 올바른 경로를 찾으면, 사용할 수 있는 다른 경로가 존재하더라도 다

른 경로는 찾지 않는다).

11. s how ipx ro ute 명령을 이용하여 확인한다.

실습 8 .2 IPX를 통한 S e c o nd a ry 네트워크 어드레스 추가 및 다중 프레

임 타입 설정실습 8 .1에서 여러분은 IPX 라우팅을 라우터에 추가하고 인터페이스에 IPX 네트워크 번호를 추가했다.

기본적으로 Cis co 라우터는 802 .3 Ethe rne t 프레임 타입을 실행한다. 여러분의 Ethe rnet 에 두 번째

프레임 타입을 추가하려면 e nc a p s u la t io n 명령을 사용해야 한다.

하지만 두 가지 기억해야 할 것이 있다. 하나는 각 프레임에 대해 서로 다른 네트워크 번호를 부여해

야 한다는 것이고, 또 하나는 Ethe rne t 프레임 타입을 시리얼 링크에는 추가할 수 없다는 사실이다.

라우터 A에 두 번째 프레임 타입을 설정해 본다.

1. Ethe rnet 설정 모드에서 서로 다른 네트워크 번호와 함께 ipx ne tw o rk 명령을 사용한다. 그 후에

e nc a p s u la t io n 명령을 사용한다.

라우터 A에 대한 예제가 아래에 있다.

RouterA#c onfig t

RouterA (config )#int e0

RouterA (config - if)#ipx n etw ork 11a enc aps ulation ?







2 . 서로 다른 옵션을 사용할 수 있다. Ethe rne t_ Ⅱ 프레임 타입을 사용하려면 a rp a 키워드를 이용한

다. s e c o nd a ry 명령 대신에 그 축약형인 se c 명령을 사용해도 된다. 여러분은 지금 Ethe rnet_ Ⅱ

프레임 타입을 라우터 A에 있는 e0 인터페이스의 Ethe rne t LAN에 추가하고 있는 것이다.

RouterA (config - if)#ipx n etw ork 11a enc aps ulation arpa ?

secondary Make this netw ork a secondary netw ork

< cr>

RouterA (config - if)#ipx n etw ork 11a enc aps ulation arpa s ec on dary

- 27 -

3 . 서브인터페이스를 이용하여 두 번째 네트워크 번호와 프레임 타입을 추가할 수 있다. s e c o nd a ry

명령과 서브인터페이스의 기능적인 차이는 전혀 없다. 하지만 서브인터페이스를 사용하면

s e c o nd a ry 명령을 쓰는 것보다 좀 더 자세하게 설정을 제어할 수 있다. Ethe rne t 네트워크에

s ub inte rfa c e 명령을 사용한다.

RouterC#c onfig t

RouterC(config )#int e0 .?

< 0- 4294967295> Ethernet interface number

RouterC(config )#int e0 .1500

RouterC(config - subif)#ipx n etw ork 10b enc ap ?







RouterC(config - subif)#ipx n etw ork 10b enc ap s ap

4 . 여러분은 40 억개의 서브인터페이스를 생성해 낼 수 있다는 사실에 주목해야 한다. 위의 명령에서

는 1500번이 사용되었는데 특별한 의미는 없다. 또한 LAN상에서 802 .2 프레임 타입을 실행하도록

설정되었다. 서브인터페이스를 사용할 때는 s e c o nd a ry 명령을 사용할 필요가 없다.

5 . Ethe rnet상에서 사용할 수 있는 프레임 타입이 하나 더 있다. 바로 SNAP이다. Ethe rnet 0 에 또

다른 서브인터페이스를 생성한다.

RouterC#c onfig t

RouterC(config )#int e0 .?

<0- 4294967295> Ethernet interface number

RouterC(config )#int e0 .1600

RouterC(config - subif)#ipx n etw ork 10c enc ap ?







outerC(config - subif)#ipx n etw ork 10c enc ap s n ap

6 . s ho w ipx ro ute , s ho w ipx inte rfa c e 명령과 s ho w p ro to c o ls 명령을 이용하여 IPX 설정을 확인

한다.

7. 연습을 위해서 다른 모든 라우터에 대해서도 s ec onda ry와 서브인터페이스를 설정한다.

- 28 -

복습 문제

1. 다음 중 어떤 것이 연결 지향적인 t ra ns po rt를 상위 레이어 프로토콜에 제공하는가?

A. RIP

B. NLS P

C. S PX

D. NCP

2. 다음 중 어떤 것이 클라이언트의 DNS 요청에 응답할 수 있는가? (해당 항목은 모두 선택)

A. Loc a l Ne tWa re se rve r

B. Re mote NetWa re s e rve r

C. Loca l c lie nt

D. Cis co ro ute r

3 . 기본적으로 서버들은 얼마나 자주 RIP과 SAP 정보를 주고받는가?

A. 매 15초마다

B. 매 30초마다

C. 매 60초마다

D. 매 120초마다

4 . Ethe rnet 인터페이스에 두 번째 서브인터페이스를 설정하려면 다음 중 올바른 것은?

A. Co nfig t , int e0 .240 10

B. Co nfig t , int e 100 .0

C. co nfig t , 24000 e 0

D. c onfig t , 24000 e 100

5 . 주어진 IPX 어드레스 71.00A0.2494 .E939에서 관련된(a s soc iated ) IPX 네트워크와 오느 어드레스는

다음 중 어느 것인가?

A. Net 00a0 . node 2494 E939

B. Net 7 1 node 00a0 .2494 .e939

C. Net 00A0 .2492 . node E939

D. Net 7 1 00a0 node 2494 .e 939

6 . 새로운 NetWa re 서버가 추가되었는데 Nove ll 클라이언트가 이 서버를 볼 수 없다. 어떤 문제가 있

는가?

A. 클라이엍용 소프트웨어를 업그레이드해야 한다.

B. NetWa re 패치를 해주어야 한다.

C . 프레임 타입을 제대로 맞추지 못한 것이다.

D. 새로운 NetWa re 서버가 IPX를 지원하지 않는다.

7. 단일 인터페이스에 대해 여러 개의 e nca ps ulat ion을 포함하는 다음 방법 중 올바른 것은? (가능한 것

은 모두 선택하시오)

A. Sec onda ry 네트워크

B. 서브인터페이스

C. 추가적인 물리적 인터페이스

D. 단일 인터페이스 상에서 여러 개의 캡슐화를 사용하는 방법은 없다.

- 29 -

8 . 인터페이스 상에서 SAP와 RIP 정보를 수신하고 있는지를 보려면 다음 중 어떤 명령을 사용하는가?

A. s ho ipx ro ute

B. s ho ipx tra ffic

C. s ho ipx inte rfac e

D. s ho ipx se rve rs

9 . 라우터가 여러분의 서버가 보낸 SAP를 수신하고 있는지를 점검하려면 어떤 명령어를 사용해야 하는

가?

A. s ho ipx ro ute

B. s ho ipx tra ffic

C. s ho ipx inte rfac e

D. s ho ipx se rve rs

10 . inte rfac e의 IPX어드레스를 보려면 어떤 명령어를 사용하는가? (가능한 것을 모두 선택)

A. s h ipx route

B. s h int

C. s h prot

D. de bug ipx int

E. s how ipx inte r

11. IPX 패킷을 여러 개의 경로로 보내길 원한다. 어떤 명령을 사용해야 하는가?

A. ipx fo rwa rd maximum- paths

B. ipx maximum- paths

C. ipx fo rwa rd

D. ipx fo rwa rd- paths

12 . 다음 중 Cis c o e nc a ps ulat io n 이름으로서 적절한 것은? (가능한 것을 모두 선택)

A. a rpa = IPX Ethe rne t

B. hd lc = HDLC on s e ria l links

C. nove ll- e the r = IPX Ethe rne t_802 .3

D. nove ll- fdd i = IPX Fddi_Raw

E. as p = IEEE 802 .2 o n Ethe rnet , FDDI, a nd To ke n Ring

F. s na p = IEEE 802 .2 S NAP on Ethe rne t , FDDI, a nd To ke n Ring

13 . IPX 네트워킹을 e na b le 시키기 위해서 필요한 최소한의 명령은?

A. IPX ro uting , IPX numbe r, netwo rk 790

B. IPX ro uting , int e0 , IPX netwo rk numbe r 980

C. IPX routing , int e 0 , IPX ne twork 77790 e nca ps ulat ion a rpa

D. IPX routing , IPX e nca ps ulat ion SAP, int e0 , netwo rk 789

14 . Nove ll을 e na ble 시켰을 때 Ethe rnet 인터페이스 상의 기본 e nca ps ulat ion은?

A. SAP

B. 802 .2

C. S NAP

D. To ke n_S NAP

E. 802 .3

F. Ethe rnet_ Ⅱ

- 30 -

15 . IPX 패킷이 원격 네트워크에 도달하는데 소용되는 t ic k의 양을 보여주는 명령어는?

A. s how tic ks

B. s how ip ro ute

C. s how ipx ro ute

D. s how ipx tra ffic

16 . Ethe rnet 인터페이스에서 802 .2 프레임 타입을 실행하려고 한다. 어떤 e nca ps ulat ion 형식을 선

택해야 하는가?

A. S NAP

B. 802 .2

C. Ethe rne t_ Ⅱ

D. SAP

E. Nove ll- Ethe r

17 . 여러분의 Ethe rne t 인터페이스에 대해 Ethe rnet_ Ⅱ 프레임 타입을 e na ble 시키려면 어떤

e nca ps ulat io n을 사용해야 하는가?

A. a rpa

B. ra rpa

C. s a p

D. rip

E. s na p

F. nove ll- ethe r

18 . Cisc o 라우터에서 실행되고 있는 라우팅 프로토콜을 보기 위해서 다음 중 어떤 명령어를 사용해야

하는가?

A. s how ipx tra ffic

B. s how ip ro ute

C. s how protoco ls

D. s how ipx protoc o ls

19 . 네트워크 상에서 adve rt is ing을 하고 있는 서버를 보기 위해 사용하는 명령은?

A. s h nove ll

B. s h ipx s a p

C. s h ipx s e rve rs

D. s h s e rve rs

20 . 라우터 상에서 주고받는 IPX RIP 패킷에 대한 정보를 보여주는 명령은 다음 중 어느 것인가?

A. s how ip rip

B. s h ipx int

C. de bug ipx ro uting ac tivity

D. de bug ipx inte rfac e

- 31 -

필기시험 해답

1. show protocol

2 . Config t , Ipx routing

3 . RouterA#config t

Enter configuration commands , one per line End w ith CNT L/ Z.


RouterA (config - if)#ipx n etw ork 11

RouterA (config - if)#int to0


RouterA (config - if)#int s 0


4 . show ipx route

5 . show proto and show ipx int

6 . sh cdp nei det ail and show cdp entry *



RotuerA (config - if)#ipx netw ork 11a encap arpa sec


RouterA (config )#int e0 .10

RouterA (config - subif)#ipx n etw ork 11b enc ap s ap

RouterA (config - subif)#int e0 .11

RouterA (config - subif)#ipx n etw ork 11c enc ap s n ap

9 . Sh ipx route

Sh protocol

Sh ipx int

- 32 -

복습문제 해답

1. C. S PX(Seq ue nc ed Pac ket Exc ha nge )는 Tra ns port 레이어에서 연결 지향적인 서비스를 제공하기위해 IPX와 함께 작동한다.

2 . A, D. 오직 로컬 NetWa re 서버나 라우터만이 GNS 요청에 응답할 수 있다. 원격 서버는 요청을받지 못한다.

3 . C. IPX RIP과 SAP는 기본적으로 매 60초마다 인터네트워크 상의 모든 라우터와 서버들에게 브로드캐스트를 한다.

4 . A. 정답은 A 하나 뿐이다. 서브인터페이스를 생성하는 명령은 int type int .numbe r(예를 들면 inte 0 .10)이다.

5 . B. IPX 어드레스는 네트워크를 위한 4바이트와 노드 어드레스(16진수)를 위한 6 바이트로 구성된다.

6 . C. LAN 인터페이스 상에서 프레임 타입들이 서버와 클라이언트 간에 서로 다른 것은 가능하다.다만 이때 클라이언트는 서버를 볼 수 없게 된다.

7. A, B. 여러 개의 가상 네트워크를 생성하기 위해 s ec onda ry 명령을 사용하거나 LAN 인터페이스에서브인터페이스를 생성할 수 있다.

8 . C. s how ipx tra ffic 명령은 라우터가 받은 모든 RIP과 SAP 정보를 보여준다. 하지만 s how ipxinte rface 는 특정 인터페이스에서 받은 RIP과 SAP 정보만을 보여준다.

9 . D. s how ipx s e rve rs 명령은 서버가 SAP를 수신하고 있는지 아닌지를 보여준다. s how ipx tra ffic과 s how ipx inte rface 명령도 주고받은 SAP에 대한 정보를 보여주지만 어디로부터 받았는지는 알려주지 않는다.

10 . C, E. s how inte rfac e 명령은 인터페이스의 IPX 어드레스를 보여주지 않고 단지 IP 어드레스만을보여준다. s how ipx inte rface 와 s how protoco ls 명령어만이 라우터 인터페이스의 주소를 보여준다.

11. B. ipx maximum- paths 명령은 여러 개의 eq ua l- c os t 경로 중에서 ro und- ro b in 방식의 로드 밸런싱을 제공한다.

12 . A,B,C,D,E,F. 각가의 답은 각자의 Cis co 키워드와 일치한다.

13 . C. 최소한 IPX 라우팅을 켜고 IPX 네트워크 어드레스와 함께 하나의 인터페이스를 e na b le 시켜놓아야 한다.

14 . E. Ethe rnet 인터페이스에 대한 Cisc o의 기본 인캡슐레이션은 Nove ll Ethe r(802 .3) 이다.

15 . C. s how ipx ro ute 명령은 각 원격 네트워크에 도달하기 위해 소요되는 t ic k과 hops 의 갯수를 보여준다.

16 . D. Cis c o의 키워드 sa p는 Ethe rnet 에 802 .2 프레임 타입을 e na b le 시키기 위해 사용된다.

17 . A. Cisc o의 키워드 a rpa는 Ethe rnet 에 Ethe rnet_ Ⅱ 프레임 타입을 e na ble 시키기 위해 사용된다.

18 . C. s how protoco ls 명령은 라우팅된 프로토콜과 현재 설정된 인터페이스, 그리고 각 프로토콜의어드레스를 보여준다.

19 . C. s how ipx s e rve rs 명령은 네트워크 상에서 SAP를 adve rt is ing하고 있는 모든 IPX 서버들을 보여준다.

20 . C. de bug ipx ro uting a ct ivity 명령은 라우터에서 주고받는 IPX RIP 패킷에 대한 정보를 보여줄것이다.

- 33 -

9 장

액세스 리스트를 이용한 트래픽 관리9 장에서 다룰 CCNA 시험의 내용은 다음과 같다

- IP와 IPX 표준 액세스 리스트 설정

- IP와 IPX 확장 액세스 리스트 설정

- IPX SAP 필터의 설정

- 액세스 리스트의 모니터링과 확인(Ve rifying)

액세스 리스트는 네트워크에서 필수적인 존재이므로 적절한 설정과 사용은 라우터 설정의 핵심적인 부

분이다. 또한 액세스 리스트는 네트워크의 최적화와 효율적인 운영에 지대한 영향을 미치기 때문에 이

를 이용하여 네트워크 관리자는 인터네트워크를 통해 전송되는 트래픽에 대해 상당히 세밀한 통제를

할 수 있다. 관리자는 패킷의 전송상태에 대한 기본적인 통계 자료를 얻을 수 있고 이를 통해 보안 정

책을 수립할 수 있다.

또한 보안이 필요한 장비는 인증되지 않은 액세스로부터 보호될 수 있다.

액세스 리스트는 라우터를 통해 전달되는 패킷을 허용하거나 거부하기 위해 사용할 수도 있고 Te lne t

(VTY)을 통한 라우터 접속에도 적용할 수 있다. 또 다이얼링을 통해 원격지 접속을 t rigge ring 하는

dia l- on de ma nd (DDR)을 만드는데 사용된다.

9 장에서는 TCP/ IP와 IPX에 대한 액세스 리스트에 대해 공부할 것이다. 또 적용한 액세스 리스트의

기능을 테스트하고 모니터링하기 위해 사용되는 몇 가지 도구의 사용법도 살펴볼 것이다.

액세스 리스트액세스 리스트는 접근을 제어하는 조건들의 리스트이다. 이는 네트워크 세그먼트의 입출력을 통제하는

상당히 강력한 도구이다. 원하지 않는 패킷을 필터링 하거나 보안정책을 구현하는데 사용되기도 한다.

액세스 리스트를 제대로 조합하면 네트워크 관리자는 원하는 대로 액세스 정책을 구현할 수 있다.

IP와 IPX 액세스 리스트는 유사하게 작동한다. 이들은 모두 패킷 필터로서, 패킷을 비교, 분류, 작동시

킨다. 일단 리스트가 만들어지면, 인터페이스를 통해 들어오거나 나가는 모든 트래픽에 대해 적용이

가능하다. 액세스 리스트가 적용되면 라우터는 지정된 방향으로 해당 인터페이스를 통과하는 모든 패

킷을 분석하고 미리 정의된 행동을 취하게 된다.

패킷이 액세스 리스트와 비교될 때는 몇 가지 중요한 규칙이 있다.

언제나 액세스 리스트의 각 줄과 순차적인 순서로 비교된다. 즉, 1전째 줄에서부터 시작하여 그

다음 2 번째 줄, 3번째 줄, 이런 식으로 진행된다.

패킷의 액세스 리스트와의 비교 작업은 일치가 일어날 때까지만 계속된다. 일단 일치하는 패킷이

액세스 리스트에서 발견되면 그 즉시 해당하는 작업이 일어나며, 리스트의 나머지 부분에 대한 비

교는 수행하지 않는다.

각 액세스 리스트의 마지막에는 암시적인 거부(de ny)"가 존재한다. 즉 액세스 리스트에 있는 어

떤 항목과도 일치하지 않는 패킷은 거부된다.

위에 나열된 각 규칙들은 액세스 리스트를 이용하여 IP/ IPX 패킷을 필터링할 때 상당히 중요한 암시적

의미를 내포하고 있다.

IP/ IPX와 함께 사용되는 액세스 리스트는 다음의 두 가지가 존재한다.

표준 액세스 리스트(S ta nd a rd Ac c e s s Lis ts )

네트워크를 필터링 하기 위해 IP 내에 있는 발신지 IP만을 사용한다. 기본적으로 프로토콜 전체에

대해 허용 또는 거부하게 된다. 표준 IPX는 발신지와 수신지 어드레스를 이용하여 필터링 할 수 있

다.

확장 액세스 리스트(Exte nd e d Ac c e s s Lis ts )

발신지와 수신지 양쪽 모두의 IP 어드레스에 대해 체크하며, Netwo rk 레이어 헤더의 프로토콜 영역

과 Tra ns po rt 레이어 헤더에서의 포트 번호에 대해서도 체크한다. 확장 IPX 액세스 리스트는 발신지

와 수신지 IPX 어드레스, Ne twork 레이어 프로토콜 영역, Tra ns port 레이어 헤더에 있는 소켓 번호

등을 사용한다.

일단 액세스 리스트를 만들면, 입력방향(inbo und )이나 출력방향(o utbo und)으로 적용시킬 수 있다.

In bo und Ac c e s s Lis t

패킷들을 outbo und 인터페이스로 라우팅 하기 전에 액세스 리스트를 통해 처리한다.

O utbo und Ac c e s s Lis t

패킷들을 outbo und 인터페이스로 라우팅 한 후 패킷 전달 전에 액세스 리스트를 통해 처리한다.

라우터에 액세스 리스트를 만들고 구현할 때 지켜야 할 지침이 몇 가지 더 있다.

각 인터페이스 당 한 개의 액세스리스트만을 할당할 수 있으며 이는 프로토콜, 적용방향(d ire ct io n)

에 대해서도 마찬가지이다. 이것이 의미하는 바는, 만일 여러분이 IP 액세스 리스트를 만들었다면

인터페이스 당 한 개의 inbo und 액세스리스트와 o utbo und 액세스 리스트를 가질 수 있다는 것이

다.

좀 더 구체적인 항목이 액세스 리스트의 최상위에 오도록 액세스 리스트를 구성할 것

액세스리스트에 새로운 항목이 추가될 때는 리스트의 최하단에 위치하도록 할 것

액세스리스트에서 한 개의 줄만 제거할 수 없다. 이를 원한다면 전체 리스트를 제거해야 한다.

액세스리스트를 수정하려 하기 전에 일반 텍스트 에디터 등을 이용하여 복사본을 만들어 두는 것

이 가장 최선의 방법이다. 단 한 가지 예외는 명명된(na med ) 액세스리스트(ac ces s - lis t 숫자대신

이름을 사용한)를 사용할 때이다.

만일 액세스리스트가 p e rm it a ny 명령으로 끝나지 않는다면 리스트에서 일치하는 값을 찾지 못한

- 35 -

패킷들은 모두 무시된다. 모든 리스트는 적어도 하나의 허용 문장(pe rmit s tate me nt)을 가져야만

한다. 그렇지 않을 경우에는 인터페이스를 s hut down 한 것과 마찬가지 효과가 있다.

액세스리스트 항목을 먼저 만들고 그 후에 인터페이스에 적용한다. 액세스리스트의 항목 없이 인

터페이스에 적용된 액세스리스트는 트래픽을 필터링하지 않는다.

액세스리스트는 라우터를 통과해 가는 트래픽을 필터링 하도록 설계한다. 라우터 자신으로부터 방

생된 트래픽은 필터링하지 않는다.

IP 표준 액세스리스트는 가능한 한 수신지에 가까운 곳에 위치시킬 것.

IP 확장 액세스리스트는 가능한 한 원래 출발지에 가까운 곳에 위치시킬 것.

표준 IP 액세스 리스트표준 IP 액세스 리스트는 IP 패킷 내에 있는 발신지 IP 어드레스를 이용하여 네트워크를 필터링 한다.

1~ 99 사이에 있는 숫자를 액세스 리스트 번호로 이용하여 IP 액세스 리스트를 만든다.

다음에 네트워크를 필터링하기 위해 여러분이 사용할 수 있는 액세스 리스트 번호에 대한 예제가 나와

있다. 액세스 리스트와 함께 사용할 수 있는 프로토콜의 종류는 라우터의 IOS 버전에 따라 달라진다.

RouterA (config )#ac c e s s - lis t ?

< 1- 99> IP standard access list

< 100- 199> IP extended access list

< 1000- 1099> IPX SAP access list

< 1100- 1199> Extended 48- bit MAC address access list

< 1200- 1299> IPX summary address access list

< 200- 299> Protocol type- code access list

< 300- 399> DECnet access list

< 400- 499> XNS standard access list

< 500- 599> XNS extended access list

< 600- 699> Appletalk access list

< 700- 799> 48- bit MAC address access list

< 800- 899> IPX standard access list

< 900- 999> IPX extended access list

1 ~ 99 사이의 액세스 리스트 번호를 사용함으로써, 여러분은 라우터에게 표준 IP 액세스 리스트를 사

용할 것임을 알려주게 된다.

RouterA (config )#ac c e s s - lis t 10 ?

deny Specify packets to reject

permit Specify packets to forw ard

액세스 리스트 번호를 선택한 후에는 허용할 것인지 거부할 것인지를 결정해야 한다. 다음 예에서는

de ny 문장을 선택하였다.

RouterA (config )#ac c e s s - lis t 10 deny ?

Hostname or A.B.C.D Address to match

any Any source host

host A single host address

다음 단계는 좀 더 자세한 설명이 필요하다. 세 가지의 옵션을 사용할 수 있다. 어떤 호스트나 네트

워크에 대해서도 허용 또는 거부하기 위해서는 a ny 명령을 사용할 수 있다. 특정 네트워크나 IP 호스

트를 일치시키려면 IP어드레스를 사용할 수도 있다. 혹은 특정 호스트만을 지정하려면 ho s t 명령을

사용하면 된다. 아래에 ho s t 명령의 사용 예가 나와있다.

RouterA (config )#ac c e s s - lis t 10 deny h os t 172 .16 .30 .2

위의 예는 호스트 172 .16 .30 .2로부터 오는 어떠한 패킷도 거부하도록 하는 예이다. 디폴트 명령은

- 36 -

ho s t 이다. 즉, a c c e s s - lis t 10 d e ny 17 2 . 16 .3 0 .2 라고 쓰면 라우터는 172 .16 .30 .2 호스트로 가정

한다.

하지만, 특정 호스트를 지정하는 방법은 또 있다. 와일드 카드를 쓰는 방법이다. 사실, 네트워크나

s ubnet을 지정하려 한다면 액세스 리스트에서 와일드카드를 쓰는 방법 외에는 선택의 여지가 없다.

와일드카드(W ild c a rd )와일드카드 문자는 호스트나 네트워크, 또는 네트워크의 일부만을 지정할 때 사용된다. 와일드카드 문

자를 이해하려면 블록 크기를 이해할 필요가 있다. 블록 크기는 어드레스의 범위를 지정하기 위해 사

용된다. 아래 나온 리스트는 사용할 수 있는 여러 블록 크기를 나타낸다.

블록크기

64

32

16

8

4

어드레스의 범위를 지정할 때는 요구 사항과 가장 근접한 블록 크기를 지정하면 된다. 예를 들어 34

개의 네트워크를 지정할 필요가 있다면 블록 크기를 64로 지정한다. 18개의 호스트를 지정하려면 블

록 크기를 32로 지정한다. 단지 두 개의 네트워크를 지정한다면 4를 쓸 수 있다.

와일드 카드는 라우터에게 필터링할 어드레스의 범위를 알려주기 위해 호스트나 네트워크 어드레스와

함께 사용된다. 호스트를 지정하려면 어드레스는 아래와 같이 쓴다.

172.16.30.5 0.0.0.0

4개의 0은 어드레스의 각 oc tet를 나타낸다. 0 이 있으면, 어드레스 내의 octet가 정확하게 일치해야

함을 의미한다. oc tet가 어느 값이 되어도 상관없도록 지정하려면 255를 쓰면 된다. 전체 서브넷이

와일드카드와 함께 어떻게 지정되는지 보여주는 예제가 아래에 나와 있다.

172.16.30.0 0.0.0.255

예는 라우터에게 처음 3개의 octe t가 정확히 일치해야 하지만 마지막 oc tet는 어떤 값이 되더라도 상관

없음을 지정한 것이다.

지금까지는 쉬운 경우였다. 일부 범위의 s ubnet 만을 지정하기 원한다면 어떻게 해야 할까? 블록 크

기를 사용해야 하는 이유가 여기 있다. 여러분은 블록 크기 내에 있는 값의 범위를 지정해야 한다.

다시 말하면, 20개의 네트워크만을 지정하도록 선택할 수는 없다는 의미이다. 여러분은 블록 크기와

정확하게 일치한 만큼의 양만을 지정할 수 있다. 예를 들어, 16이나 32는 사용할 수 있지만 20은 안

된다는 것이다.

172 .16 .8 .0 에서 172 .16 .15 .0까지의 범위에 속한 네트워크를 지정하려 한다고 가정하자. 해당 블록크

기는 8이다. 네트워크 번호는 172 .16 .8 .0 일 것이고 와일드카드는 0 .0 .7.255일 것이다. 7.255는 라우

터가 블록크기를 결정하기 위해 사용한다. 네트워크와 와일드카드는 라우터에게 172 .16 .8 .0에서부터

시작해서 172 .16 .15 .0까지 블록 크기를 의미함을 알리게 된다.

실제 사용은 보기보다 쉽다. 여러분의 이해를 돕기 위해 간혹 이진수까지 언급했지만 실제로 여러분이

기억해야 할 것은 단 한가지뿐이다. 언제나 와일드카드는 블록크기보다 1만큼 작다는 것이다. 따라

서, 예제에서 와일드카드는 7이 되어야만 한다. 블록크기가 8 이기 때문이다. 블록크기로 16을 사용한

다면 와일드카드는 15를 쓰면 된다.

좀 더 쉽게 이해하기 위해 실제로 예제를 보면서 검토해 보자. 아래의 예제에서 라우터는 처음 3개의

oc tet는 정확하게 일치해야 하지만 4 번째 oc tet는 어떤 값이라도 상관없도록 설정된다.

RouterA (config )#ac c e s s - lis t 10 deny 172 .16 .10 .0 0 .0 .0 .255

다음의 예는 처음 2개의 octe t는 정확히 일치하고 나머지 2개는 어떤 값도 될 수 있는 예제이다.

- 37 -


다음 명령을 이해해 보자


위의 설정은 라우터가 네트워크 172 .16 .16 .0으로부터 시작해서 블록크기 4를 사용하도록 한다. 즉 설

정범위는 172 .16 .16 .0 에서 172 .16 .19 .0 이 된다.

아래의 예는 172 .16 .16 .0 에서 시작해서 블록크기 8로 172 .16 .23 .0에 이르는 액세스리스트이다.


다음 예는 네트워크 172 .16 .32 .0에서 시작하여 블록크기 32로 172 .16 .63 .0 에 도달한다.

RouterA (config )#ac c e s s - lis t 10 deny 172 .16 .3 2 .0 0 .0 .3 1 .255

마지막 예제는 네트워크 172 .16 .64 .0에서 시작하여 블록크기 64로 172 .16 .127.0까지로 되어 있다.


블록 크기와 와일드 카드를 이용해서 작업해야 할 때 명심해야 할 두 가지 사항은 다음과 같다.

각 블록 크기는 0 에서부터 시작한다. 예를 들어, 블록크기를 8로 하고 12 에서 시작하도록 할 수

는 없다. 반드시 0~ 7 , 8~ 15 , 16~ 23 등과 같이 사용해야 한다. 블록 크기가 32일 때 범위는

0~ 3 1, 32~ 63 , 64~ 95 등과 같이 써야 한다.

a ny 명령어는 와일드 카드 0 .0 .0 .0 255 .255 .255 .255와 같은 의미이다.

표준 IP 액세스 리스트 예제

이번 절에서는 여러분은 특정 사용자의 재무부서의 LAN에 접근을 막는 표준 IP 액세스 리스트 사용방

법에 대해 학습할 것이다.

그림9 . 1에서 라우터는 세 개의 LAN 연결을 가지고 있고 인터넷과 연결된 하나의 WAN 연결을 갖고 있

다. 판매부서의 LAN에 속한 사용자들은 재무부서의 LAN에 접근하지 못하도록 해야 하지만 인터넷과

마켓팅 부서에는 접근할 수 있어야 한다. 마켓팅 부서의 LAN은 어플리케이션 서비스를 하려면 재무부

서의 LAN에 접근할 필요가 있다.

그림 9 . 1 세 개의 LAN과 한 개의 WAN으로 연결된 IP 액세스 리스트 예

Ac me 라우터에서 다음의 표준 IP 액세스 리스트를 적용한다.

Acme#c onfig t

Acme(config )#ac c e s s - lis t 10 deny 17 2 .16 .40 .0 0 .0 .0 .255

Acme(config )#ac c e s s - lis t 10 perm it any

- 38 -

다음의 명령 역시 a ny 명령과 같다는 것을 반드시 이해하도록 하자.

Acme(config )#ac c e s s - lis t 10 perm it 0 .0 .0 .0 255 .255 .255 .255

현재까지의 설정에서 액세스 리스트는 판매부서의 LAN으로부터의 접근만을 거부하고 그 밖의 모든 사

용자들은 접근이 가능하다. 하지만 이 액세스 리스트는 어디에 위치해야 할까? 만일 inc oming 액세

스 리스트로 E2 위에 놓는다면 Ethe rnet 인터페이스를 s hut down 시킨 것과 마찬가지이다. 왜냐하면

판매부서의 모든 LAN 장비들이 라우터에 부착된 모든 네트워크에 대한 접근을 거부당하고 있기 때문

이다. 이것을 넣는 가장 좋은 위치는 outbo und lis t로서 E0 인터페이스이다.

Acme(config )#int e0

Acme(config - if)#ip ac c e s s - g roup 10 out

위 명령은 네트워크 172 .16 .40 .0 이 Ethe rnet 0으로 나가는 것을 완벽히 막아주지만 마켓팅 부서의

LAN과 인터넷에는 여전히 접근할 수 있도록 해준다.

VTY(Te lne t) 접속 관리Te lne t을 통해서 라우터로 들어오는 사용자를 막는 것이 어렵다고 느낄 수도 있다. 왜냐하면 VTY 접

속에서는 라우터에서 활성화된 어떠한 포트로 들어오더라도 정당한 것이기 때문이다. 하지만 접근을

통제하기 위해 표준 IP 액세스 리스트를 사용할 수 있는데 VTY 라인설정에 액세스 리스트를 위치시키

면 된다.

이 기능을 수행하려면,

1. 표준 IP 액세스 리스트를 만든다. 이 때 Te lne t을 통해 라우터로 들어올 수 있도록 하려는 호스

트만을 허용한다.

2 . 작성한 액세스 리스트를 VTY 라인설정에 a c c e s s - c la s s 명령을 이용하여 적용한다.

아래 나온 예제는 172 .16 .10 .3 호스트만이 Te lnet을 통해 라우터에 접근할 수 있도록 하는 예제이다.

RouterA (config )#ac c e s s - lis t 50 perm it 17 2 .16 .10 .3

RouterA (config )#lin e v ty 0 4

RouterA (config - line)#ac c e s s - c las s 50 in

리스트의 마지막에는 암시적으로 de ny a ny 명령이 있기 때문에 172 .16 .10 .3 호스트를 제외하고 Te lnet

을 통한 라우터 접근을 모두 막아버린다.

확장 IP 액세스 리스트표준 IP 액세스 리스트의 예에서, 재무부서에 대한 접근을 막기 위해서 판매부서 전체 서브넷으로부터

의 통신을 막아버렸다. 하지만 만약 재무부서의 LAN에 있는 특정 서버로의 접근은 허용하고 보안상의

이유로 그 밖의 다른 네트워크 서비스는 이용할 수 없도록 하려면 어떻게 할 것인가? 표준 IP 액세스

리스트를 사용한다면 특정 네트워크 상의 특정 서비스에는 접근할 수 있으면서 다른 서비스에는 접근

하지 못하도록 할 방법이 없다. 하지만 확장 IP 액세스 리스트를 이용하면 이러한 작업이 가능해진다.

확장 IP 액세스 리스트를 사용하면 프로토콜과 포트 번호뿐만 아니라 IP 발신지와 수신지 어드레스에

대해서도 접근을 제어할 수 있게 된다.

확장 IP 액세스 리스트를 이용함으로써 여러분은 사용자들이 물리적인 LAN에 접근하는 것과 특정 서비

스에 대한 제한을 효과적으로 가할 수 있다.

아래에 확장 IP 액세스 리스트의 예제가 있다. 첫 번째 명령은 사용 가능한 액세스 리스트 번호를 보

여준다. 100에서 199 사이의 숫자를 이용하면 된다.

RouterA (config )#ac c e s s - lis t ?

< 1- 99> IP standard access list

< 100- 199> IP extended access list

< 1000- 1099> IPX SAP access list

- 39 -

< 1100- 1199> Extended 48- bit MAC address access list

< 1200- 1299> IPX summary address access list

< 200- 299> Protocol type- code access list

< 300- 399> DECnet access list

< 400- 499> XNS standard access list

< 500- 599> XNS extended access list

< 600- 699> Appletalk access list

< 700- 799> 48- bit MAC address access list

< 800- 899> IPX standard access list

< 900- 999> IPX extended access list

현 시점에서, 여러분은 만들고자 하는 항목의 유형을 결정해야 한다. 다음 보기에서는 d e ny lis t 항목

을 선택해 보기로 하자.

RouterA (config )#ac c e s s - lis t 110 ?

deny Specify packet

dynamic Specify a DYNAMIC list of PERMIT s or DENYs

permit Specify packets to forw ard

일단 액세스 리스트의 유형을 선택했으면, 네트워크 레이어 프로토콜 영역의 항목을 선택해야 한다.

어들리케이션 레이어에 의해 네트워크를 필터링 하고자 한다면, 여기서 OSI 모델을 통해 도달할 수 있

는 항목을 선택해야 한다. 예를 들어, Te lne t 이나 FTP에 의한 필터링을 수행하려면 여기서 TCP를 선

택해야 한다. IP를 선택했다면 결코 네트워크 레이어의 범주를 넘어설 수 없고 결국 상위 레이어의 어

플리케이션에 근거한 필터링을 하는 것이 불가능해진다.

RouterA (config )#ac c e s s - lis t 110 deny ?

< 0- 255> An IP protocol number

eigrp Cisco' s EIGRP routing protocol

gre Cisco' s GRE tunneling

icmp Int ernet Control Message Protocol

igmp Int ernet Gatew ay Message Protocol

igrp Cisco' s IGRP routing protocol

ip Any Internet Protocol

ipinip IP in IP tunneling

nos KA9Q NOS compatible IP over IP tunneling

ospf OSPF routing protocol

tcp T ransmission Control Protocol

udp User Datagram Protocol

TCP를 통해 어플리케이션 레이어에 도달하도록 선택했다면 호스트나 네트워크의 발신지 IP어드레스를

입력해야 한다. 어떤 발신지 어드레스에 대해서도 허용하고자 한다면 a ny 명령을 사용한다.

RouterA (config )#ac c e s s - lis t 110 deny tc p ?

A .B.C.D Source address

any Any source host

host A single source host

발신지 어드레스를 선택한 후에는 수신지 어드레스를 선택한다.

RouterA (config )#ac c e s s - lis t 110 deny tc p any ?

A .B.C.D Destination address

any Any destination host

eq Match only packets on a given port number

gt Match only packets with a greater port number

- 40 -

host A single destination host

lt Match only packets with a low er port number

neq Match only packets not on a given port number

range Match only packets in the range of port numbers

아래의 예에서는 172 .16 .30 .2인 수신지 IP 어드레스를 갖는 어떠한 발신지 IP 어드레스도 거부하도록

설정하였다.

RouterA (config )#ac c e s s - lis t 110 deny tc p any h os t 172 .16 .30 .2 ?


est ablished Match established connections

fr agments Check fragments


log Log matches against this entry

log- input Log matches against this entry ,including inputinterface



precedence Match packets with given precedence value


tos Match packets with given T OS value

< cr>

여기서 e nte r를 치고 액세스 리스트를 그대로 놓아두자. 하지만 여기서 좀 더 구체적으로 지정할 수도

있다. 호스트 어드레스가 들어 있으면 설정된 후에는 거부하고자 하는 서비스의 종류를 지정할 수도

있다. 다음의 도움말 화면이 선택 가능한 옵션들을 보여준다. 포트 번호를 선택하거나 어플리케이션

을 사용할 수도 있고 심지어는 프로그램 이름을 사용할 수도 있다.

RouterA (config )#ac c e s s - lis t 110 deny tc p any h os t 172 .16 .30 .2 eq ?

< 0- 65535> Port number

bgp Border Gatew ay Protocol (179)

chargen Character generator (19)

cm d Remote commands (rcmd, 514)

daytime Daytime (13)

discard Discard (9)

domain Domain Name Service (53)

echo Echo (7)

exec Exec (rsh , 512)

finger Finger (79)

ftp File T ransfer Protocol (21)

ftp File T ransfer Protocol (21)

gopher Gopher (70)

hostname NIC hostname server (101)

ident Ident Protocol (113)

irc Int ernet Relay Chat (194)

klogin Kerberos login (543)

kshell Kerberos shell (544)

login Login (rlogin , 513)

lpd Printer service (515)

nntp Netw ork New s T ransport Protocol (119)

pop2 Post Office Protocol v2 (109)

pop3 Post Office Protocol v3 (110)

smtp Simple Mail T ransport Protocol (25)

- 41 -

sunrpc Sun Remote Procedure Call (111)

syslog Syslog (514)

tacacs T AC Access Control System (49)

talk T alk (517)

telnet T elnet (23)

time T ime (37)

uucp Unix - to- Unix Copy Program (540)

w hois Nicname (43)

w ww World Wide W eb (HT T P , 80)

이제, 172 .16 .30 .2 번 호스트로의 Te lne t 접속에 대해서만 막아보자. 만일 사용자가 FTP를 원한다면,

이것은 허용된다. log 명령을 사용해서 액세스 리스트가 참조될 때마다 콘솔로 메시지를 보내게 할 수

도 있다. 작업량이 많은 상황에서 콘솔 메시지는 그다지 바람직하다고는 할 수 없지만 소규모의 네트

워크에서는 쓸만하다.

RouterA (config )#ac c e s s - lis t 110 deny tc p any h os t 172 .16 .30 .2 eq 23 lo g

이 다음 줄에 디폴트로 암시적으로 d e ny a ny 로 설정되어 있다는 사실을 명심해야 한다. 따라서 이

액세스 리스트를 인터페이스에 적용한다면 인터페이스를 s hut down 시킨 것이나 다름없게 된다. 왜냐

하면 각 액세스 리스트의 마지막 줄에는 암시적으로 d e ny a ny 라는 명령어가 기본으로 설정되기 때문

이다. 본 예의 액세스 리스트의 마지막에는 다음의 명령을 반드시 붙여야 한다.

RouterA (config )#ac c e s s - lis t 110 perm it ip any 0 .0 .0 .0 255 .255 .255 .255

255 .255 .255 .255는 a ny 와 그 의미가 같다는 사실을 다시 한 번 상기하자.

액세스 리스트가 작성되었으면 인터페이스에 적용시켜야 한다. IP 표준리스트 일때와 동일한 명령을

쓴다.

RouterA (config - if)#ip ac c e s s - g roup 110 in

또는

RouterA (config - if)#ip ac c e s s - g roup 110 out

확장 IP 액세스 리스트 예제

표준 IP 액세스 리스트에서 예로 사용했던, 그림9 .1에 나와 있는 네트워크를 다시 사용한다. 재무부서

의 LAN에 있는 172 .16 .10 .5 서버에 대한 접근은 Te lnet 및 FTP 모두 거부한다. LAN상에 있는 다른

나머지 서비스는 판매부서와 마케팅 부서에서 모두 접근이 가능하다.

아래와 같이 액세스 리스트르 생성한다.

Acme#c onfig t

Acme(config )#ac c e s s - lis t 110 deny tc p any ho s t 17 2 .16 .10 .5 eq 21

Acme(config )#ac c e s s - lis t 110 deny tc p any ho s t 17 2 .16 .10 .5 eq 23

Acme(config )#ac c e s s - lis t 110 perm it ip any any

왜 de ny가 리스트의 첫 번째에 위치하는 이유를 이해해야 한다. 이렇게 한 이유는 만일 pe rmit가 먼

저 나오고 두 번째에 거부가 위치한다면 리스트의 마지막에 암시적인 거부가 있기 때문에 재무부서의

LAN은 다른 어떤 LAN이나 인터넷에도 갈 수가 없게 되기 때문이다. 어떤 방식으로 하든지 간에 앞서

의 예제보다는 설정 방법이 어려울 것이다. 리스트를 생성한 후에는 Ethe rnet 0 포트에 적용해야 한

다. 이것은 라우터에 있는 다른 3개의 인터페이스들은 LAN에 접근할 수 있어야 하기 때문이다.

하지만, 만일 리스트가 단지 판매부서만을 막기 위해 생성되었다면, 이 리스트를 발신지와 가장 가까운

곳에 위치시키거나, Ethe rnet 인터페이스 2에 위치시키면 된다.

Acme(config - if)#ip ac c e s s - g roup 110 out

- 42 -

IP 액세스 리스트 모니터링라우터의 설정을 확인하는 것은 중요한 일이다. 설정을 확인하기 위해서 다음과 같은 명령어들을 사용

할 수 있다.

s ho w a c c e s s - lis t

모든 액세스 리스트를 보여주고 라우터에 설정된 파라미터를 보여준다. 이 명령은 리스트가 어떤 인

터페이스에 적용되었는지를 보여주지 않는다.

s ho w a c c e s s - lis t 1 10

110 번 액세스 리스트에 대한 파라미터만을 보여준다. 이 명령 역시 리스트가 적용된 인터페이스는

보여주지 않는다.

s ho w ip a c c e s s - lis t

라우터에 설정된 IP 액세스 리스트만을 보여준다.

s ho w ip inte rfa c e

해당 인터페이스에 어떤 액세스리스트가 적용되었는지를 보여준다.

s ho w ru nn ing - c o nf ig

액세스 리스트를 보여주고 액세스 리스트가 적용된 인터페이스를 보여준다.

IPX 액세스 리스트IPX 액세스 리스트는 다른 리스트와 동일한 방식으로 설정한다. acc es s - list 명령을 이용해서 패킷 테

스트를 위한 액세스 리스트를 작성하고 이 리스트를 인터페이스에 적용시킬 때는 ac ce ss - g roup 명령

을 이용한다.

앞으로 아래에 설명하는 IPX 액세스 리스트에 대해 공부할 것이다.

IPX 표준

이 액세스 리스트는 IPX 발신지와 수신지 호스트, 또는 네트워크 번호를 근거로 필터링 한다. 사용

되는 acc es s - list 번호는 800~ 899이다. IPX 표준 액세스 리스트는 표준 IP 액세스리스트와 매우 유

사한데, 다른 점은 IP 표준은 단지 발신지 IP에 대해서만 필터링 하는데 반해 IPX 표준은 발신지와

수신지 IPX 어드레스 모두에 대해 필터링 한다는 점이다.

IPX 확장

이 액세스 리스트는 IPX 발신지와 수신지 호스트, 또는 네트워크 번호, 네트워크 레이어 헤더 내의

프로토콜 영역(fie ld ), 그리고 Tra ns po rt 레이어 헤더 내의 소켓번호를 근거로 필터링한다. 사용되는

ac ces s - lis t 번호는 900~ 999 이다.

IPX S AP Filte r

이 필터는 LAN과 WAN 상의 SAP 트래픽을 제어하기 위해 사용한다.

IPX S AP

이 필터는 acc es s - list 번호로 1000~ 1099까지의 숫자를 이용한다. 네트워크 관리자는 IPX 트래픽

(낮은 대역폭의 WAN 연결을 통과하는 IPX SAP등 포함)의 양을 조절하기 위해 IPX 액세스 리스트를

설정할 수 있다.

표준 IPX 액세스 리스트표준 IPX 액세스 리스트는 네트워크를 필터링하기 위해서 발신지나 수신지 IPX 호스트, 또는 네트워크

어드레스를 사용한다. IP 표준 액세스 리스트와 상당히 유사한 방식으로 설정한다. IPX 표준 액세스

리스트를 설정하기 위한 파라미터는,

- 43 -

ac c e s s - lis t 800- 899 deny or perm it source_Address destination_address

와일드카드는 발신지와 수신지 IPX 어드레스에 대해 사용할 수도 있다. 하지만 와일드 카드문자로 - 1

이 사용된다면 이는 어떠한 호스트나 네트워크도 가능하다는 의미이다.

그림9 .2 는 IPX 네트워크의 예를 보여주고 있으며 IPX 표준 액세스 리스트가 어떻게 설정될 수 있는가

를 알 수 있다.

그림 9 .2 IPX 액세스 리스트 예

다음의 설정은 그림9 .2 를 참조하여 구성된 것이다. Ethe rnet 0 인터페이스는 네트워크 40번에 있다.

Ethe net 1 인터페이스는 네트워크 10 번에, Ethe rnet 2 인터페이스는 네트워크 20 번에, Ethe rne t 3 인

터페이스는 네트워크 30번에 설정되어 있다.

액세스 리스트는 그림에서 보는 바와 같이 설정한 후에 적용하였다. 이 IPX 액세스 리스트는 IPX 네

트워크 20 번으로부터 생성된 패킷이 Ethe rnet 0 을 통해 네트워크 40번으로 가는 것을 혀용한다.

Router (config )#ac c e s s - lis t 8 10 perm it 20 40

Router (config )#int e0

Router (config - if)#ipx ac c e s s - g roup 8 10 out

이러한 설정을 통해 어떤 일을 할 수 있는가 생각해보자. 먼저, 가장 명백하게 알 수 있는 사실은 IPX

네트워크 20번 상에 있는 어떠한 IPX 장비도 Ethe rnet 2 인터페이스를 통해 네트워크 40 번의 서버와

통신할 수 있다는 것이다. 하지만 이런 사실 외에도 위의 단 한 줄의 명령으로 어떤 효과들이 나타나

는지를 살펴보자. (맨 마지막 줄에는 암시적으로 d e ny a ny 명령어가 있음을 기억해야 한다)

네트워크 10번의 호스트는 네트워크 40번에 있는 서버와 통신할 수 없다.

네트워크 40번에 있는 호스트는 네트워크 10 번에 도달할 수 있지만 패킷은 되돌아 올 수 없다.

네트워크 30 번에 있는 호스트는 네트워크 10 번과 통신 가능하다. 또한 네트워크 10번에서 네트워

크 30 번으로 통신할 수 있다.

네트워크 40 번에 있는 호스트는 네트워크 30 번에 있는 호스트에 도달할 수 있다. 하지만 패킷은

네트워크 30번으로부터 40으로 갈 수는 없다.

네트워크 20번의 호스트는 인터네트워크와 연결된 모든 장비들과 통신 가능하다.

확장 IPX 액세스 리스트확장 IPX 액세스 리스트는 다음 중 어느 한 가지에 기반을 두고 필터링을 수행한다.

발신지 네트워크/ 노드

수신지 네트워크/ 노드

IPX 프로토콜(SAP, S PX 등)

IPX 소켓

이들은 900~ 999 범위에 속하는 액세스 리스트이고 표준 액세스 리스트와 같은 방식으로 설정한다.

단, 프로토콜과 소켓에 대한 추가적인 정보를 제공해야 한다.

IPX 확장 엑세스 리스트를 만들기 위한 형식을 살펴보면 다음과 같다.

- 44 -

ac c e s s - lis t {number } {perm it/ deny } {protocol} {source} {socket } {destination } {socket }

표준에서 확장 액세스 리스트로 이동시킬 때는 단지 프로토콜과 소켓(IP에 대한 포트)에 근거해서 필터

링 기능만 추가하면 된다.

IPX S A P 필터IPX SAP필터는 9 장에서 계속해서 논의해 왔던 것과 동일한 도구를 이용해서 구현할 수 있다. 이들

은 IPX SAP 트래픽을 통제하는데 있어서 중요한 위치를 차지하고 있다. 이들이 중요한 이유는 만일

여러분이 SAP를 통제할 수 있다면 IPX 장비에 대한 접근을 통제할 수 있게 되기 때문이다. IPX SAP

필터가 사용하는 액세스 리스트 번호는 1000~ 1099 사이의 숫자이다. IPX SAP 필터는 가능한 한

SAP 브로드캐스트의 발신지로부터 가까운 곳에 위치해야 한다. 이렇게 하면 원하지 않는 SAP 트래픽

이 필터링에 의해 걸러지므로 불필요하게 네트워크를 타고 돌아다니는 것을 차단할 수 있다.

두 가지 형태의 액세스 리스트 필터가 SAP 트래픽을 제어한다.

IPX in p ut S AP f ilte r 이것은 특정 SAP 항목이 라우터로 들어와서 SAP 테이블을 수정하는 것을

차단한다.

IPX o utp ut S AP f ilte r 이 필터는 규칙적인 60초 간격의 SAP 업데이트에서 특정 SAP를 제외시키

는 경우로, 사용 구분은 아래와 같다.

ac c e s s - lis t {number } {perm it/ deny } {source} {service type}

서비스 타입이 4번(파일 서비스)인 Sa les 라는 이름의 NetWa re 서비스를 허용하는 IPX SAP 필터 예제

는 다음과 같다.

Router (config )#ac c e s s - lis t 10 10 perm it ?

- 1 Any IPX net

< 0- FFFFFFFF > Source net

N.H.H.H Source net .host address

Router (config )#ac c e s s - lis t 10 10 perm it - 1 ?

< 0- FFFF > Service type- code (0 matches all services )

N.H.H.H Source net .host mask

< cr>

Router (config )#ac c e s s - lis t 10 10 perm it - 1 4 ?

W ORD A SAP server name

< cr>

Router (config )#ac c e s s - lis t 10 10 perm it - 1 4 S ale s

액세스 리스트에 있는 - 1은 어떠한 네트워크나 노드도허용한다는 와일드카드 문자이다. 리스트가 작

성된 후에는 다음의 두 명령 중 하나를 써서 인터페이스에 적용해야 한다.

RouterA (config - if)#ipx input - s ap - filt er

RouterA (config - if)#ipx output - s ap - fi lt er

in p ut- s a p - f ilte r는 SAP 항목이 라우터의 SAP 테이블에 추가되는 것을 방지하며, o ut- s a p- f ilte r는

SAP 항목이 라우터 바깥으로 전파되어 나가는 것을 차단한다.

IPX 액세스 리스트 검증IPX 액세스 리스트와 라우터 상에서 이들의 적용위치를 확인하려면 s ho w ipx inte rfa c e 명령과 s ho w

ipx a c c e s s - lis t 를 이용한다.

s ho w ipx inte rfa c e 명령을 실행한 뒤에 나오는 출력 결과에서 IPX 어드레스가 보인다는 것을 주목한

다. o utgo ing 액세스 리스트는 8 10번 리스트와 함께 설정되어 있고, SAP input 필터는 10 10 이 지정

되어 있다.

- 45 -

Router#s h ipx int


IPX address is 10.0060.7015.63d6, NOVELL- ET HER [up]

Delay of this IPX netw ork , in ticks is 1 throughput 0 link delay 0

IPXWAN processing not enabled on this int erface.

IPX SAP update interval is 1 minute(s )

IPX type 20 propagation packet forw arding is disabled

Incoming access list is not set

Outgoing access list is 810

IPX helper access list is not set

SAP GNS processing enabled, delay 0 ms , output filter list is not set

SAP Input filter list is 1010

SAP Output filter list is not set

SAP Router filter list is not set

Input filter list is not set

Output filter list is not set

Router filter list is not set

Netbios Input host access list is not set

Netbios Input bytes access list is not set

Netbios Output host access list is not set

Netbios Output bytes access list is not set

Updates each 60 seconds , aging multiples RIP : 3 SAP : 3

SAP interpacket delay is 55 ms , maximum size is 480 bytes

RIP interpacket delay is 55 ms , maximum size is 432 bytes

- - More- -

s ho w ipx a c c e s s - lis t 명령은 라우터에 설정된 두 개의 IPX 리스트를 보여준다.

Router#s h ipx ac c e s s - li s t

IPX access list 810

permit FFFFFFFF 30

IPX SAP access list 1010

permit FFFFFFFF 4 Sales

Router#

F는 16진수이며 모두 1인 경우, 또는 pe rm it a ny 와 동일하다. IPX 명령에서 - 1을 사용했기 때문에

running- c onfig 명령은 이들을 모두 F로 표시하는 것이다.

- 46 -

요 약9 장에서는 다음과 같은 내용들을 다루었다.

IP 트래픽을 필터링하기 위해 표준 액세스 리스트를 설정하는 방법.

표준 액세스 리스트가 무엇인지, 그리고 Cisc o 라우터에 이를 적용하고 네트워크에 보안을 추가하기

위해 어떻게 해야 하는지에 대해 배웠다.

IP 트래픽을 필터링하기 위해 확장 액세스 리스트를 설정하는 방법.

표준 액세스 리스트와 확장 액세스 리스트 간의 차이점을 배우고 Cis co 라우터에 이들 리스트를 적

용하는 방법에 대해 배웠다.

IPX 액세스 리스트와 기본적인 Nove ll 트래픽을 통제하기 위해 SAP 필터를 설정하는 방법.

표준 IPX 액세스 리스트와 확장 액세스 리스트 간의 차이를 알아보고 이 리스트를 Cis c o 라우터에

적용하는 방법에 대해 배웠다.

라우터에 선택된 액세스 리스트의 작동을 확인하고 모니터링하는 방법.

IP/ IPX 액세스 리스트를 테스트하고 확인하기 위해서 기초적인 모니터링 명령을 배웠다.

주요 용어문제를 풀기 전에, 다음 용어에 익숙해져야 한다.

acc es s list

exte nde d IP acc es s lis t

exte nde d IPX ac ce ss lis t

standart IP acc es s list

standard IPX ac ces s lis t

w ildc ard


명렁어 설명

0 .0 .0 .0 2 5 5 .2 5 5 .2 5 5 .2 5 5 와일드카드 명령이다. a ny 명령과 동일하다.

a c c e s s - c la s s 표준 IP 액세스 리스트를 VTY 회선에 적용한다.

a c c e s s - lis t 네트워크를 필터하기 위한 테스트 lis t 를 생성한다

a ny 어떤 호스트나 네트워크라도 상관이 없음을 지정한다.0 .0 .0 .0 255 .255 .255 .255 명령과 동일하다.

ho s t 단일 호스트 에드레스를 지정한다.

ip a c c e s s - g ro up IP 액세스 리스트를 인터페이스에 적용한다.

ipx a c c e s s - g ro up IPX 액세스 리스트를 인터페이스에 적용한다.

ipx in p ut- s a p - f ilte r inbound IPX SAP필터를 인터페이스에 적용한다.

ipx o utp ut- s a p - f ilte r o utbound IPX SAP 필터를 인터페이스에 적용한다.

s ho w a c c e s s - lis t 라우터에 설정된 모든 액세스리스트를 보여준다.

- 47 -

s ho w a c c e s s - lis t 1 10 오로지 110 번 액세스 리스트만을 보여준다.

s ho w ip a c c e s s - lis t IP 액세스 리스트만 보여준다.

s ho w ip inte rfa c e IP 액세스 리스트가 어떤 인터페이스에 적용되었는지 보여준다.

s ho w ipx a c c e s s - lis t 라우터에 설정된 IPX 액세스 리스트를 보여준다.

s ho w ipx inte rfa c e IPX 액세스 리스트가 어떤 인터페이스에 적용되었는지 보여준다.

필기시험

아래 질문에 대한 답을 쓰시오.

1. 172 .16 .0 .0 네트워크에 있는 모든 기기가 여러분의 Ethe rnet 네트워크에 접근하지 못하도록 표준 IP

액세스 리스트를 설정하시오.

2 . 여러분의 Ethe rne t 인터페이스에 액세스 리스트를 적용하시오.

3 . 196 .22 .15 .5 호스트가 여러분의 Ethe rnet 네트워크에 접근하는 것을 금지하는 액세스 리스트를 작

성하시오.

4 . 액세스 리스트에 올바로 생성하였는지 확인하는 명령어를 쓰시오.

5 . 액세스 리스트가 Ethe rnet 인터페이스에 올바로 적용되었는지를 확인하는 두 개의 명령어를 쓰시오.

6 . Ethe rnet 0에 있는 172 .16 .10 .1 호스트가 Ethe rne t 1에 있는 172 .16 .30 .5 호스트에 Te lnet으로 들어

가는 것을 막는 확장 액세스 리스트를 작성하시오.

7. 위의 액세스 리스트를 올바른 인터페이스에 적용하시오.

8 . IPX 어드레스 45 .0000 .0000 .000 1로부터 오는 메시지 이외의 어떠한 다른 파일 서비스 SAP 메시지

도 Ethe rnet 0 네트워크를 떠나지 못하도록 IPX SAP 액세스 리스트를 설정하시오.

9 . Ethe rnet 인터페이스에 IPX SAP 액세스 리스트를 적용하시오.

- 48 -

실기시험여기서는 세 개의 연습을 완벽히 수행해야 한다. 이들을 완결하려면, 적어도 3대의 2500 시리즈 라

우터나 Route rS im 제품이 있어야 한다.

실습 9 .1 : 표준 IP 액세스 리스트

실습 9 .2 : 확장 IP 액세스 리스트

실습 9 .3 : 표준 IPX 액세스 리스트

3개의 실습 모두 라우터의 설정을 위해 그림9 .3 을 이용한다.

그림 9 .3 액세스 리스트 실습

실습 9 . 1 표준 IP 액세스 리스트이번 실습에서, 여러분은 172 .16 .30 .0 네트워크에 있는 호스트 B만 172 .16 .10 .0 네트워크에 들어올 수

있도록 설정할 것이다.

1. 250 1A 라우터에 가서 c o nf ig t라고 입력하여 글로벌 설정 모드(g loba l co nfig urat io n mode )로 들어

간다.

2 . 글로벌 환경설정 모드에서, a c c e s s - lis t ? 를 입력하여 사용 가능한 모든 액세스 리스트를 알아낸

다.

3 . IP 표준 액세스 리스트를 생성할 때 필요한 액세스 리스트 번호를 선택한다. 이 숫자는 1~ 99 사이

의 수가 될 것이다.

4 . 172 .16 .30 .2 호스트에 허용 권한을 선택한다.

2501A (config )#ac c e s s - lis t 10 perm it 172 .16 .30 .2 ?

A .B.C.D Wildcard bits

< cr>

오직 172 .16 .30 .2 에 대해서만 권한을 주려면, 와일드카드 0 .0 .0 .0을 사용한다.

RouterA (config )#ac c e s s - lis t 10 perm it 17 2 .16 .30 .2 0 .0 .0 .0

5 . 이제 액세스 리스트가 생성되었으므로 작동하도록 하려면 인터페이스에 적용해야 한다.


2501A (config - if)#ip ac c e s s - g roup 10 out

6 . 다음 명령을 이용하여 액세스 리스트를 확인한다.

RouterA#s h ac c e s s - li s t

Standard IP access list 10

- 49 -

permit 172.16.30.2

RouterA#s h run

- 생략-

interface Ethernet0

ip address 172.16.10.1 255.255.255.0

ip access - group 10 out

ipx netw ork 10A

7. 호스트 B(172 .16 .30 .2 )로부터 호스트 A(172 .16 .10 .2 )로 p ing 을 실행하여 액세스 리스트가 올바로

작동하는지 테스트한다.

8 . 250 1B와 250 1C에서 호스트 A(172 .16 .10 .2)로 p ing 을 실행해 본다. 만든 액세스 리스트가 맞는다

면 이 p ing 은 분명히 실패할 것이다.

실습 9 .2 확장 IP 액세스 리스트이번 실습에서는 확장 IP 액세스 리스트를 이용해서 172 .16 .10 .2 호스트가 250 1B 라우터(172 .16 .20 .2 )

로 Te lnet 접속하는 것을 막을 것이다. 하지만, 호스트는 여전히 250 1B 라우터에 p ing 을 할 수 있어

야 한다. IP 확장 리스트는 발신지로부터 가장 가까운 곳에 위치하는 것이 바람직하므로, 250 1A 라우

터에 확장 리스트를 추가한다.

1. 250 1A에 있는 어떠한 액세스 리스트도 전부 제거하고 확장 리스트를 250 1A에 추가한다.

2 . 확장 IP리스트를 생성하기 위한 숫자를 선택한다. IP 확장 리스트에 사용할 숫자로는 100~ 199의

숫자를 선택한다.

3 . de ny 문장을 사용한다.(7단계에서 다른 트래픽들은 여전히 작동될 수 있게 하기 위해서 p e rm it 문

장을 추가할 것이다)

2501A (config )#ac c e s s - lis t 110 deny ?

<0- 255> An IP protocol number

ahp Authentication Header Protocol

eigrp Cisco' s EIGRP routing protocol

esp Encapsulation Security Payload

gre Cisco' s GRE tunneling

icmp Int ernet Control Message Protocol

igmp Int ernet Gatew ay Message Protocol

igrp Cisco' s IGRP routing protocol

ip Any Internet Protocol

ipinip IP in IP tunneling

nos KA9Q NOS compatible IP over IP tunneling

ospf OSPF routing protocol

pcp Payload Compression Protocol

tcp T ransmission Control Protocol

udp User Datagram Protocol

4 . Te lnet 접속은 금지할 것이므로, Tra ns po rt 레이어 프로토콜로 반드시 TCP를 선택해야 한다.

2501A (config )#ac c e s s - lis t 110 deny tc p ?

A .B.C.D Source address

any Any source host

host A single source host

- 50 -

5 . 필터링하려는 발신지 IP 어드레스를 추가하고, 수신지 호스트 IP 어드레스를 추가한다. 와일드카드

대신에 ho s t 명령을 사용하자.

2501A (config )#ac c e s s - lis t 110 deny tc p ho s t 17 2 .16 .10 .2 h os t 17 2 .16 .20 .2 ?

ack Match on the ACK bit


established Match established connections

fin Match on the FIN bit

fragm ents Check fragments


log Log matches against this entry

log- input Log matches against this entry , including input interface



precedence Match packets with given precedence value

psh Match on the PSH bit


rst Match on the RST bit

syn Match on the SYN bit

tos Match packets with given T OS value

urg Match on the URG bit

< cr>

6 . 현 시점에서, 여러분은 e q te lne t 명령을 추가할 수 있다. 액세스 리스트가 참조될 때마다 콘솔에

로그가 생성되도록 하기 위해서 명령의 끝에 lo g 명령을 사용할 수도 있다.

2501A (config )#ac c e s s - lis t 110 deny tc p ho s t 17 2 .16 .10 .2 h os t 17 2 .16 .20 .2 eq teln et lo g

7. p e rm it 문장을 만들기 위해 아래의 명령줄을 추가하는 것이 중요하다.

2501A (config )#ac c e s s - lis t 110 perm it ip any 0 .0 .0 .0 255 .255 .255 .255

8 . 이제 여러분은 반드시 p e rm it 문장을 만들어야 하는데, 만일 d e ny 문장만 추가하여 리스트를 만든

다면 어떠한 것도 허용되지 않게 된다. pe rm it 명령에 대해 좀 더 자세한 정보를 원한다면 9 장의

앞 절을 보도록 한다.

9 . 첫 번째 라우터의 인터페이스에 도달하자마자 Te lnet 트래픽을 끊어버리도록 250 1A의 Ethe rne t 0에

액세스 리스트를 적용한다.

RouterB (config )#int e0

RouterB (config - if)#ip ac c e s s - g roup 110 in

RouterB (config - if)#^Z

10 . 172 .16 .10 .2 호스트에서 Ro ute r B로 Te lnet 접속을 시도해 보자. 이때 수신지 IP 어드레스는

172 .16 .20 .2를 사용해야 한다. 아래의 메시지가 250 1A 라우터의 콘솔에 나와야 한다. 하지만

p ing 명령은 작동해야 한다.

F rom host 172.16.10.2: >telnet 172.16.20.2

Ro ute r B의 콘솔에는 다으과 같은 메시지가 나타난다.

01:11:48: %SEC- 6- IPACCESSLOGP : list 110 denied tcp

172.16.10.2(1030) - > 172.16.20.2(23), 1 packet

01:13:04: %SEC- 6- IPACCESSLOGP : list 110 denied tcp

172.16.10.2(1030) - > 172.16.20.2(23), 3 packets

- 51 -

실습 9 .3 표준 IPX 액세스 프로토콜이번 연습에서, 여러분은 IPX Netwo rk 30번에서 오는 IPX 트래픽만을 허가하고 IPX Network 50 번에서

오는 트래픽은 거부하도록 설정한다.

1. 250 1A 라우터 상에 존재하는 액세스 리스트를 모두 제거한다. 새로 작성할 리스트는 IPX 표준 액

세스 리스트이므로, 필터링은 네트워크상의 어느 곳에 적용하여도 상관없다. 왜냐하면 IPX 발신지

와 수신지 IP 어드레스를 근거로 해서 필터링을 할 것이기 때문이다.

2 . 그림9 .3 에서 보이는 것과 같이 IPX 네트워크가 작동하는지 확인한다. s ho w ipx ro ute 명령을 이

용하여 라우터에 있는 모든 네트워크를 확인한다.

3 . 250 1A 라우터에 있는 액세스리스트를 오직 Network 30 번으로부터 오는 트래픽만을 허용하고 IPX

Network 50번으로부터 오는 트래픽은 거부하도록 설정한다. IPX 표준 리스트는 액세스 리스트 번

호로서 800~ 899의 숫자를 사용한다.

2501A#c onfig t

RouterC(config )#ac c e s s - lis t 8 10 ?

deny Specify packets to reject

permit Specify packets to permit

4 . 먼저, IPX Netwo rk 50번을 거부하고, 이 외에는 모두 허가한다. - 1은 IPX 내의 와일드카드 문자이

다.

2501A (config )#ac c e s s - lis t 8 10 deny ?

- 1 Any IPX net

<0- FFFFFFFF > Source net

N.H .H.H Source net .host address

5 . Ne twork 50번을 발신지 어드레스로 선택한다.

2501A (config )#ac c e s s - lis t 8 10 deny 50

- 1 Any IPX net

<0- FFFFFFFF > Destination net

N.H .H.H Destinat ion net .host address

<cr >

6 . Ne twork 10번을 수신지 어드레스로 선택한다.

2501A (config )#ac c e s s - lis t 8 10 perm it 50 10

7. IPX 와일드카드를 써서 다른 모든 것들을 허가한다.

2501A (config )#ac c e s s - lis t 8 10 perm it .1 - 1

8 . 250 1A의 se ria l 인터페이스에 리스트를 적용하여 패킷이 라우터에 도달하는 것을 차단한다.

2501A (config )#int s 0

2501A (config - if)#ipx ac c e s s - g roup 8 10 in

2501A (config - if)#^Z

9 . IPX 라우팅 테이블을 보고 리스트를 검증한다. Netwo rk 50 번은 250 1A의 라우팅 테이블에 있으면

안된다. 또한, s ho w a c c e s s - lis t와 s ho w ipx a c c e s s - lis t 명령을 써서 리스트를 검증한다.

- 52 -

복습 문제

1. IP 표준 액세스 리스트에서 패킷을 허가하거나 거부하기 위한 근거로 사용하는 것은?

A. 발신지 어드레스

B. 수신지 어드레스

C. 프로토콜

D. 포트

2 . IP 확장 액세스 리스트에서 패킷을 허가하거나 거부하기 위한 근거로 사용하는 것은?

A. 발신지 어드레스

B. 수신지 어드레스

C. 프로토콜

D. 포트

E. 위의 보기 모두

3 . Clas s B인 IP 네트워크 172 .16 .0 .0의 모든 호스트들을 지정할 때 다음 중 와일드카드를 올바로 쓴

것은?

A. 255 .255 .0 .0

B. 255 .255 .255 .0

C. 0 .0 .255 .255

D. 0 .255 .255 .255

E. 0 .0 .0 .255

4 . IP 액세스 리스트에서 172 .16 .30 .55 호스트만을 참조하고자 할 때 올바른 방법은?

A. 172 .16 .30 .55 0 .0 .0 .255

B. 172 .16 .30 .55 0 .0 .0 .0

C. a ny 172 .16 .30 .55

D. hos t 172 .16 .30 .55

E. 0 .0 .0 .0 172 .16 .30 .55

F. ip a ny 172 .16 .30 .55

5 . 196 .15 .7.0 네트워크로 www 트래픽만을 허용하는 액세스 리스트는 다음 중 어느 것인가?

A. ac ce ss - lis t 100 pe rmit tc p a ny 196 .15 .7.0 0 .0 .0 .255 eq www

B. a cc es s - lis t 10 de ny tc p a ny 196 .15 .7 .0 e q www

C. ac ces s - lis t 100 pe rmit 196 .15 .7 .0 0 .0 .0 .255 e q www

D. ac ce ss - lis t 110 pe rmit ip a ny 196 .15 .7 .0 0 .0 .0 .255

E. acc es s - list 110 pe rmit www 196 .15 .7.0 0 .0 .0 .255

6 . 다음 중 IP 액세스 리스트가 적용된 포트를 보여주는 명령은?

A. s how ip po rt

B. s how ac ce ss - lis t

C. s how ip inte rfac e

D. s how acc es s - list inte rfac e

E. s how running- co nfig

- 53 -

7. 172 .16 .16 .0 에서 172 .16 .23 .0 까지의 네트워크를 필터링할 때 사용하는 와일드 카드는?

A. 172 .16 .16 .0 0 .0 .0 .255

B. 172 .16 .255 .255 255 .255 .0 .0

C. 172 .16 .0 .0 0 .0 .255 .255

D. 172 .16 .16 .0 0 .0 .8 .255

E. 172 .16 .16 .0 0 .0 .7.255

F. 172 .16 .16 .0 0 .0 .15 .255

8 . 다음 중 올바른 IPX 표준 액세스 리스트는?

A. ac ce ss - lis t 800 pe rmit 30 50

B. a cc es s - lis t 900 pe rmit 30 50

C. ac ces s - lis t pe rmit a ll 30 50

D. ac ce ss - lis t 800 pe rmit 30 50 eq SAP

E. acc es s - list 900 pe rmit . 1 50

9 . 172 .16 .30 .0 에서 172 .16 .63 .0까지의 네트워크를 나타내는데 사용할 수 있는 와일드카드는?

A. 172 .16 .0 .0 0 .0 .0 .255

B. 172 .16 .255 .255 0 .0 .0 .0

C. 0 .0 .0 .0 255 .255 .255 .255

D. 172 .16 .32 .0 0 .0 .0 .255

E. 172 .16 .32 .0 0 .0 .0 .3 1

F. 172 .16 .32 .0 0 .0 .3 1.255

G. 172 .16 .32 .0 0 .3 1.255 .255

H. 172 .16 .32 .0 0 .0 .63 .255

10 . 인터페이스 설정이 이미 완료된 상태일 때, inco ming 트래픽에 대해 IPX SAP 액세스 리스트 1050

을 적용하는 명령은 다음 중 어느 것인가?

A. ipx a cc es s - gro up 1050 in

B. ipx input- sa p- filte r 1050

C. ipx ac ce ss - lis t 1050 in

D. ipx input- s a p- filte r 1050 in

E. ipx acc es s - g ro up 1050

11. 다음 중 확장 액세스 리스트 187을 보여주는 명령은?

A. s h ip int

B. s h ip a c c e s s - lis t

C . s h a c c e s s - lis t 18 7

D. s h a c c e s s - lis t 18 7 exte nd e d

12 . IP 확장 액세스 리스트의 범위는?

A. 1- 99

B. 200- 299

C. 1000- 1999

D. 100- 199

13 . 확장 IP 액세스 리스트를 작성하고자 한다. 다음 중 올바른 명령은?

A. ac ce ss - lis t 10 1 pe rmit ip hos t 172 .16 .30 .0 a ny e q 2 1

B. a cc es s - lis t 10 1 pe rmit tc p hos t 172 .16 .30 .0 a ny eq 2 1 log

C. ac ces s - lis t 10 1 pe rmit ic mp hos t 172 .16 .30 .0 a ny ftp log

D. ac ce ss - lis t 10 1 pe rmit ip a ny eq 172 .16 .30 .0 2 1 log

- 54 -

14 . 확장 IPX 액세스 리스트의 범위는?

A. 100- 199

B. 900- 999

C. 1000- 1999

D. 700- 799

15 . 확장 IPX 액세스 리스트에서 - 1의 의미는 무엇인가?

A. 호스트를 거부한다.

B. 어떠한 네트워크나 호스트도 거부한다.

C . 로컬네트워크만 허용하며 ho ps는 거부한다.

D. 어떤 호스트나 네트워크도 허용

16 . IP 액세스 리스트를 모니터링할 때 상요할 수 있는 3개의 명령은?

A. s h int

B. s h ip inte rfac e

C. s h run

D. s h ac ces s - lis t

17 . 다음 명령 뒤에 따라 나올 수 있는 명령은 다음 중 어느 것인가?

ac ce ss - lis t 110 de ny tfp a ny a ny eq ftp

A. ac ce ss - lis t 110 de ny ip a ny a ny

B. a cc es s - lis t 110 pe rmit tc p a ny a ny

C. ac ces s - lis t 110 pe rmit ip a ny

D. ac ce ss - lis t 110 pe rmit ip a ny 0 .0 .0 .0 255 .255 .255 .255

18 . 172 .16 .0 .0 네트워크로부터 int s 0로 들어가는 트래픽만 허용하는 액세스 리스트는 다음 중 어느

것인가?

A. Ac ce ss - lis t 10 pe rmit 172 .16 .0 .0 0 .0 .255 .255 , int s 0 , ip acc es s - list 10 in

B. Acc es s - gro up 10 pe rmit 172 .16 .0 .0 0 .0 .255 .255 , int s 0 , ip acc es s - list 10 o ut

C. Ac ces s - lis t 10 pe rmit 172 .16 .0 .0 0 .0 .255 .255 , int s0 , ip a cc es s - gro up 10 in

D. Ac ce ss - lis t 10 pe rmit 172 .16 .0 .0 0 .0 .255 .255 , int s 0 , ip acc es s - g ro up 10 o ut

19 . 표준 액세스 리스트는 네트워크 상의 어디에 위치해야 하는가?

A. 스위치와 가장 가까운 곳

B. 발신지와 가장 가까운 곳

C. 수신지와 가장 가까운 곳

D. 인터넷

20 . 확장 액세스 리스트는 네트워크 상의 어디에 위치해야 하는가?

A. 스위치와 가장 가까운 곳

B. 발신지와 가장 가까운 곳

C. 수신지와 가장 가까운 곳

D. 인터넷

- 55 -

필기시험 해답

1 . ac ces s - lis t 10 de ny 172 .16 .0 .0 0 .0 .255 .255 ac ces s - lis t 10 pe rmit ip a ny

2 . ip ac ce ss - group 10 out

3 . ac ces s - lis t 10 de ny hos t 196 .22 .15 .5 acc es s - list 10 pe rmit a ny

4 . s how acc es s - list

5 . s how running- c onfig s h ip inte rface

6 . ac ces s - lis t 110 de ny host 172 .16 .10 .1 hos t 172 .16 .30 .5 eq 23 ac ces s - lis t 110 pe rmit ip a ny

a ny

7 . Int e 0 IP Acc es s - g ro up 110 in

8 . Ac ces s - lis t 10 10 pe rmit 45 .0000 .0000 .000 1 4

9 . Int e 0 input- s a p- filte r 10 10

복습문제 해답

1. A. 네트워크를 필터링 하기 위해 오직 발신지 IP만이 사용된다.

2 . E. IP 확장 lis t는 발신지와 수신지 IP 어드레스, 네트워크 레이어 프로토콜 파일, Tra ns port 레이어

헤더의 포트 영역을 사용한다.

3 . C. 0 .0 .255 .255는 처음 두 개의 oc tet는 정확히 일치하고 나머지 두 개의 octet는 어떤 값이든지

상관 없다는 의미이다.

4 . B, D. 와일드카드 0 .0 .0 .0은 4개의 oc tet 모두에 대해서 일치해야 함을 나타낸다. 와일드카드 명

령은 ho s t 명령으로 대치될 수 있다.

5 . A. 이와 같은 질문에서 먼저 점검해야 할 사항은 액세스 리스트 번호이다. 그렇다면 바로 B 항목

은 틀렸다는 것을 알 수 있다. 표준 IP 액세스 리스트 번호를 사용하기 때문이다. 두 번째 살펴보

아야 할 것은 프로토콜이다. 상위 레이어 프로토콜에 의해서 필터링하려 한다면 UDP나 TCP 중의

하나를 사용해야 한다. 여기서 D를 제외시킬 수 있다. C와 E는 문법이 잘못되었다.

6 . C, E. 액세스 리스트가 어떤 포트에 적용되었는지 알려주는 명령어는 오직 s ho w ip inte rfa c e 와

s ho w run n ing - c o nf ig 명령어 밖에 없다.

7. E. 172 .16 .23 .0을 통과하는 172 .16 .16 .0 네트워크는 블록크기가 8 이 되어야 한다. 와일드카드는

언제나 블록크기보다 1만큼 적다. 이번 예에서는 7이 된다.

- 56 -

8 . A. 표준 IPX 액세스 리스트에서 올바른 액세스 리스트 번호를 갖는 보기는 A와 D 뿐이다. 그렇지

만 표준 IPX 액세스 리스트는 상위 레이어 어플리케이션이나 서비스에 대해 필터링할 수 없기 때문

에 보기 D는 답이 될 수 없다.

9 . F. 172 .16 .63 .0을 통과하는 172 .16 .32 .0 네트워크는 블록크기가 32가 되어야 한다. 와일드카드는

0 .0 .3 1.255가 된다.

10 . B. SAP 액세스 리스트에서는 리스트의 마지막에 in/ o ut 파라미터를 추가하지 않는다.

11. B, C. 액세스 리스트를 보려면 s ho w ip a c c e s s - lis t 명령이나 s ho w a c c e s s - lis t # 명령을 사

용한다.

12 . D. IP 확장 리스트는 100~ 199 사이의 숫자를 사용한다.

13 . B. 항상 액세스 리스트 번호를 먼저 살펴보는 것을 잊지 말 것. 보기 모두 10 1을 사용하기 때문

에 이들은 모두 IP 확장 액세스 리스트에 대해 설정된 것이다. 두 번째 볼 것은 프로토콜이다. 보

기 중 단 하나만이 TCP를 사용한다. 이 프로토콜을 FTP프로토콜을 사용하는데 필요하다.

14 . B. 표준 IPX는 800~ 899의 숫자를 사용하고 확장 IPX는 900~ 999를 사용한다.

15 . D. - 1은 IPX 액세스 리스트에서 와일드카드이다.

16 . B, C, D. s ho w inte rfa c e 명령은 액세스 리스트에 대한 어떤 정보도 알려주지 않기 때문에 틀리

다. s ho w ip inte rfa c e 와 s ho w ru n 그리고 s ho w a c c e s s - lis t 명령은 액세스 리스트에 대한

모니터링 정보를 제공한다.

17 . D. a c c e s s - lis t 1 10 pe rm it ip a ny a ny 는 모든 트래픽을 지정하고 허가하는데 사용된다.

0 .0 .0 .0 2 5 5 .2 5 5 .2 5 5 .2 5 5 는 a ny 와 동일한 명령이다.

18 . C. 발신지 IP 어드레스에 대해서만 필터링을 하는 것은 표준 IP 액세스 리스트이다. 액세스 리스

트 번호의 범위는 1~ 99이다. IP 액세스 리스트를 인터페이스에 적용하는 명령어는 ip

a c c e s s - g ro u p 이다. 질문이 inc oming 트래픽에 대해서만 물어보았기 때문에 보기 C만 정답이

될 수 있다.

19 . C. Cisc o의 원칙은 표준 리스트의 경우 수신지로부터 가장 가까운 곳에 위치해야 하고 확장 lis t

의 경우에는 발신지에 가장 가까워야 한다는 것이다.

20 . B. Cis co의 원칙은 표준 리스트의 경우 수신지로부터 가장 가까운 곳에 위치해야 하고 확장 lis t

의 경우에는 발신지에 가장 가까워야 한다는 것이다.

- 57 -

Documents

CCNA - pds8.egloos.compds8.egloos.com/pds/200803/11/70/CCNA_Chapter8~9.pdf · (Ethernet, Token Ring, WAN, others) 1 Physical IPX IPX는 OSI 모델의 레이어 3과 4에서 기능을