*도* 스토어

*도*

개인

팔로워0 팔로우

소개

등록된 소개글이 없습니다.

전문분야 등록된 전문분야가 없습니다.

판매자 정보

학교정보

입력된 정보가 없습니다.

직장정보

입력된 정보가 없습니다.

자격증

입력된 정보가 없습니다.

판매지수

판매중 자료수

7개
전체 판매량

22개
최근 3개월 판매량

0개
자료후기 점수

평균A+
자료문의 응답률

-

전체자료 7개

MSS MTU 상관관계

MSS 와 MTU 의 상관관계Ⅰ.MTU1.MTU(Maximum Transmission Unit) 란?MTU란 TCP/IP 네트워크 등과 같이 패킷 또는 프레임 기반의 네트워크에서 전송될 수 있는 최대 크기의 패킷 또는 프레임을 말한다. 한번에 전송할 수 있는 최대 전송량(Byte)인 MTU 값은 매체에 따라 달라진다.예)Internet Path MTU (RFC 879) 576Ethernet (RFC 1191) 1500802.3 (RFC 1191) 1492802.11[1] 2272802.5 4464FDDI (RFC 1191) 4500Jumbo Frames 1500-9000네트워크마다 MTU값이 다르기 때문에 패킷이 전송되는 과정에서 큰 MTU 를 가진 네트워크에서 온 패킷이 작은 MTU를 가진 네트워크로 전달 되려면 작은 MTU에 맞게 fragmentation(단편화) 되어야 한다.2.인터넷 최소 MTU : 576byte라우터는 최소 576byte 의 MTU를 처리해야 한다. 이 값은 RFC 791에서 지정했으며 적어도 512byte의 데이터와 표준 IP 헤더와 옵션을 포함할 수 있도록 설계됐다. 이것은 IP 표준에서 지정한 최소 크기이기 때문에, 576byte는 IP 패킷에서 사용하는 기본 MTU가 됐다.3.Path MTU Discovery라우팅 경로의 MTU보다 큰 패킷을 보내게 되면 라우터는 자신의 MTU에 맞게 Fragmentation 하느라 바빠지며 상대편 호스트는 조립하느라 바빠진다. 그만큼 비효율적일 뿐 아니라 단편화 된 하나의 패킷 손실 시 전체 메시지를 버리게 될 확률이 높아진다. Fragmentation 이 일어나지 않는 한에서 최대의 MTU를 결정할 필요가 있다.두 장비간 경로에서 사용할 최적의 MTU를 결정하려면 그 경로에 있는 모든 링크의 MTU를 알아야 한다. 그런데 경로의 종단 장비들은 이러한 정보를 알지 못한다. 하지만 ICMP에 내장된 에러 보고방식을 이용하여 Path MTU Discovery 과정을 수행하여 전체 경로의 MTU를 파악할 수 있다.출발지에서 패킷 발송시 헤더에 DF(Don’t Fragment) 비트를 설정해서 Fragmentation 되지 않도록한다. 패킷을 받은 라우터는 DF가 설정돼 있으면서 자신의 MTU보다 클 경우에 ICMP type 3, code 4(Fragmentation needed for DF=1) 에러와 Next Hop의 MTU 값을 출발지 장비에게 반환한다. 에러 메시지를 받은 출발지 장비는 해당 Next Hop의 MTU 값에 맞게 패킷을 재전송 한다. 두 장비간의 경로에서 사용할 수 있는 최대 MTU를 찾을 때까지 그 과정을 반복할 수 있다.4.ADSL에서의 MTU값ADSL은 PPPOE와 PPPOA를 사용합니다. 외장형모뎀과 PC Lan카드를 사용하는 형태를 PPPOE(PPP Over Ethernet)이라고 한다.. PC에서 만들어진 Ethernet frame 이 ADSL serial 구간을 그냥 통과하지 못하기 때문에 이더넷 Frame 안에 PPP frame을 포함해서 전송하기 때문에 1500보단 작아야 한다.Ethernet HeaderIP HeaderTCP HeaderDataEthernet HeaderPPPoE HeaderIP HeaderTCP HeaderData5.MTU 값 계산MTU 는 Ethernet Frame을 제외한 IP datagram의 최대 크기를 의미한다.즉 MTU 가 1500이라고 할 때 IP Header의 크기 20byte 와 TCP Header 의 크기 20byte를 제외하면 실제 사용자 data는 최대 1460까지 하나의 패킷으로 전송 될 수 있다.6.MTU 값 조정Unix. Linux 계열에서는 ifconfig 명령어로 쉽게 변경할 수 있다.Ifconfig eth0 mtu 1200Windows 계열에서는 레지스터리를 수정가능.Ⅱ.MSS1.MSS(Maximum Segment Size) 란?TCP상에서의 전송할 수 있는 사용자 데이터의 최대크기입니다. MSS값은 기본적으로 설정된 MTU 값에 의해 결정된다.MSS = MTU – (IP Header크기) – (TCP Header 크기)Ethernet 일 경우, MTU 1500에 IP 헤더크기 20byte, TCP 헤더 크기 20byte를 제외하면 1460이MSS 값으로 됩니다. TCP로 통신할 때는 통신 양단간에 서로 MSS값을 주고 받는다. TCP는 3-way Hand shaking으로 session을 establish 하며, 이 과정 중에 상대방에게 자신의 MSS 값을 알려 주게 된다.Client Server(MTU 1420) ----------------------------- (MTU 1500)-----------------------------------------------------------*syn 패킷의 옵션 필드에 MSS값 확인.위 과정처럼 Client의 MTU 가 1420이고 Server의 MTU가 1500이라고 가정할 때 클라이언트가 초기 TCP 세션을 성립하기 위해 Syn패킷을 서버로 보낼 때 TCP Header의 Option 필드에 MSS값을 설정하여 서버로 전달합니다. 그러면 서버는 SYN, ACK를 보내면서 역시 TCP 헤더 옵션에 자신의 MSS값을 보냅니다. 그러면 세션이 성립되어 패킷을 전달 할 때 실제 단위 패킷의 사이즈가 1420을 초과하지 않게 패킷을 나누어서 전송하게 됩니다. 서버는 자신의 MTU가 1500이라고 해서 패킷을 1500단위로 나누지 않는다. 만약 패킷을 1500크기로 보내면 Client에서 자신의 용량을 초과하는 데이터를 수신할 수 없기 때문이다.2.MSS선택일반적으로 두가지 성능 문제사이에 균형을 이루는 MSS를 선택한다.-과부하 관리 : TCP헤더는 20byte, IP헤더 역시 20byte 이상을 써야 하는데 모두 데이터와 관련없는 과부하이다. 만약 MSS를 너무 작게 하면 많은 세그먼트 패킷은 비효율적으로 송신될 것이다.-IP의 Fragmentation : TCP 세그먼트는 IP 패킷으로 캡슐화 된다. IP 패킷에는 크기 한계가 있으며 최대 송신 단위(MTU)이상은 송신할 수 없다. 만약 TCP 세그먼트가 너무 크다면 Fragmentation하지 안고는 IP 패킷을 송신할 수 없을 것이다. Fragmentation을 사용하면 효율이 떨어질 뿐 아니라 TCP 세그먼트를 잃어버릴 경우 모든 세그먼트를 재전송해야 할지도 모른다.3.TCP 기본 MSS최소 IP MTU가 576byte이므로 IP헤더(20btye)와 TCP 헤더(20byte)를 제외한 536byte를 기본 MSS값으로 사용한다.

공학/기술| 2009.07.17| 4페이지| 1,000원| 조회(1,095)

네트워크, 라우터, 호스트, MSS, mtu

미리보기

닫기
VPN

VPN 개요 VPN의 기능과 종류 IPSEC IPSEC 기술의 대략적인 개념 세부기술 IPSEC의 세부기술 VPN 구성 FutureGate를 이용한 VPN 구성 정리TunnelTunnel본사지사InternetSOHO* SOHO: Small Office Home OfficeIPSECIPSECV P N (Virtual Private Network) 가상 사설 네트워크 약자 공인 네트워크를 사설로 구성하여 사용함 비용절감 효과 회선 비용감소 유지보수 비용감소 보안성 강화 Tunnel 통신 IPSEC 암호화 통신 VPN 접근제어TunnelTunnel본사지사InternetSOHOIPSECIPSEC본사지사InternetSOHO전용선VPN전용선공인망본사와 지사 또는 이동근무자간의 사설망 구성 요구 본사와 지사 간의 전용선을 구성하여 사설망으로 사용 전용선 사용의 증가로 비용증대 전용선을 사설망을 구성한다는 것은 비용측면에서 현실적으로 불가능함 공인망을 이용한 사설망 기술이 대두Tunnel본사지사InternetIPSECTunnel본사InternetIPSECSOHO 이동사업자TunnelTunnelTunnelLinkicInternetIPSECFutureLinkic 지사1Future 지사1Linkic ZoneFuture ZonePoint-to-Point Tunneling Protocol Microsoft에서 제안한 OSI Layer2 프로토콜 이다. 원격 사용자 인증 위해 PPP(Point-to-Point Protocol) 사용 원격 사용자와 Private Network 사이에 보안연결을 제공 PPP 패킷 Encapsulation을 위해 GRE(Generic Routing Encapsulation) 사용 다양한 프로토콜 지원 (IP, IPX, NetBEUI, AppleTalk) 단점 LAN상에서 PC와 Server간 IP로 연결돼 있어야 PPTP 설정이 가능하다. 인터넷 상황에서 터널을 만들경우 터널 설정전 전화접속으로 사전에 연결을 시켜야 한다.Layer 2 Transport 원프로토콜IP, IPX, NetBEUI, AppleTalkIP, IPX, NetBEUI, AppleTalkIP터널 서비스단일 PPP 터널단일 PPP 터널SA 기반 다중 터널데이터암호화/인증없음/PPP없음/PPP로 암호화 IPSEC으로 보고AH/ESP키 관리없음없음ISAKMP/IKE 사용접근제어없음없음패킷 필터링적용분야원격접속원격접속Site-to-Site Intranet Extramet데이터 기밀성 IP 패킷을 암호화를 실시하여 보안을 강화한다. 데이터 무결성 보낸 패킷의 인증을 실시하여 데이터가 전송 중에 변경 되지 않았는지를 확인한다. 데이터 근원지 인증 IPSEC 패킷의 출발지를 인증할 수 있어 인증된 사용자가 보냈는지 확인 하여 무결성을 제공한다. 재생 방지 순서 번호와 데이터 인증을 사용하여 오래된 패킷/중복된 패킷을 거부한다.프로토콜/모드/알고리즘내 용헤더AH비연결 무결성 / 인증 서비스ESP비연결 무결성 / 무결성 / 인증서비스키 교환IKE (ISAKMP)두 개체간의 인증 키 및 보안에 관련된 파라미터 들을 협상 공유 비밀키(Pre-Shared Secret)또는 공인 이증서(Public Key Certificate)Diffie-HellmanPFS(Perfect-Forward Secrecy)제공모드Transport mode종단간(End-to-End)보안 서비스 IP 헤더 제외한 부분에 대해서 보호 서비스 트래픽 분석에 취약할 수 있음 보안 외에 출발지와 도착지 주호를 기반으로 QOS(Quality of Service)를 제공할 수 있음Tunnel modeIP 헤더를 포함한 전체에 대해서 보호 서비스 여러 호스트에 대해서 같은 터널을 쓸 수 있음 트래픽 분석에 대해서 보호 기능 비공인(사설)IP 주소를 사용할 수 있음암호/인증 알고리즘암호 알고리즘DES, 3DES, RC5, IDEA, CAST, BLOWFISH, 3IDEA, RC4인증 알고리즘MD5, SHA-1, DESIPSEC EngineInternetEncryption/ AuthenticationDIPSEC 통신을 하기 위해 자동으로 SA정책들을 교환하는 처리를 한다. 자동 키 생성 자동 키 새로고침 관리 매뉴얼 구성UDP 500VPN210.120.1정책협상 Diff-Hellman Public key B Private Key A 피어 인증정책협상 Diff-Hellman Public key A Private Key B 피어 인증Pre-shared keyIKE Phase1VPN1DES, MD5, Pre-share, DH, LifeTimeA------BUDP 500VPN210.120.1프로토콜 알고리즘 해쉬알고리즘 모드 LifeTimeIKE Phase2VPN1프로토콜 알고리즘 해쉬알고리즘 모드 LifeTimeESPDESSHA-1Tunnel3600 Sec2 단계 SA는 방향성을 가진다. 인바운드 아웃바운드 어느곳에 적용할것 인지 선택IPSEC 프로토콜 ESP (Encapsulation Security Payload) ESP uses IP Protocol number 50 AH (Authentication Protocol) AH uses IP Protocol number 51 IPSEC 모드 Tunnel or Transport mode Transport 모드는 OSI 4계층 구조 까지 캡슐화 Tunnel모드는 OSI 3계층 구조 모두를 캡슐화 하고 패킷 헤더에 새로운 IP를 붙인다.VPN210.10.10.120..20.20.1InternetVPN1EncryptionNew IPESP HeaderDATAAHESP TrailerESP AuthNew IPDATAIP+Data+KeyHash암호화인증인증EncryptionIPESP HeaderDATAAHESP TrailerESP AuthIPDATAData+KeyHash암호화인증인증Trans portTunnelTunnelCenter ServerNet3 192.168.1.180Net1 10.10.10.110.10.10.10NET 20.20.20.1GATE 100InternetGATE 100Net3 192.168.1.1812 500,192.168.1.180- 192.168.1.181,eth2] len[180] *** isakmp_RCV[from 192.168.1.181,500, eth2] len[76] sd=c5fe3a00 *** isakmp_SEND[500- 500,192.168.1.180- 192.168.1.181,eth2] len[76] ike_p1_finish: job[c6345134] event[0] rc[0] SA1[1] nat[0] ike_p1_finish: event[0:E_NEGOTIATION_COMPLETE] ____ikeRC[0,IKE_OK] SA1_vpntab_sync[SAB1:0,SA1:1,type:1]: ip[192.168.1.181] I[0] if[2] vpntab[1] save_SA1[SAB1:0- SA1:1]: begin. ip[192.168.1.181] SA2_num[0] I[0] if[2] save_SA1[ex_type:2] ip[192.168.1.181] SA1[1] SAB1[0] vpntab[1] I[0] sab1_log[1단계 완료][0,192.168.1.181,500,500]sa2_log[2단계 시작][1,192.168.1.181,500,500] *** isakmp_RCV[from 192.168.1.181,500, eth2] len[140] sd=c5fe3a00 *** isakmp_SEND[500- 500,192.168.1.180- 192.168.1.181,eth2] len[60] ike_p2_finish: job[c631d7ec] event[0] rc[0] SA2[0,257/c6297990,1,1/c6266990] ike_p2_finish: event[0:E_NEGOTIATION_COMPLETE] ____ikeRC[0,IKE_OK] save_SA2: ESP HeadLen[0] BlockSiz[0] Warning: Cannot find esp_mac_init(alg no.:12, mac no.:2) function. save_SA2: SA- 0, id:2dc01676] ~~~~~~~~~ nat_oa[0.0.0.0,0] xauth[0.0.0.0] domain[0xc4ece130][count:2] domain[ 0] [7][ 20. 20. 20. 1 - 20. 20. 20.254] domain[ 1] [1][192.168. 1.181 - 0. 0. 0. 0] [GATE@root]$ sainfo -s *** Table Status *** *** TED : count[ 2 / 256 ] size[ 216 x 256 = 55296 ] *** KT : count[ 0 / 128 ] size[ 1804 x 128 = 230912 ] *** SAB1: count[ 1 / 256 ] size[ 220 x 256 = 56320 ] *** SA1 : count[ 1 / 256 ] size[ 60 x 256 = 15360 ] *** SA2 : count[ 1 / 256 ] size[ 784 x 256 = 200704 ][248/300][1][0,0,1,0,0,] *** IKE_SA1 : count[ 1 / 256(1+255) ] size[ 288 x 256 = 73728 ] *** IKE_SA2 : count[ / 25 ] size[ 192 x 25 = 4800 ] *** IKE_ID : count[ 0 / 256 ] size[ 72 x 256 = 18432 ][GATE@root]$ capture 10.10.10.10 capture ip = 10.10.10.10/32 capture port = 0 [GATE@root]$ 155717 eth0 in 10.10.10.10- 20.20.20.20 id=5a1 l=60 ICMP:Echo Request Create Session : 10.10.10.10- 20.20.20.20 ICMP EN 10.10.10.10- 20.20.20.20 ID=5a1 L=60 ICMP:type=08, code=00 Accept : sess(4), spd rule(2), nat rule(X) 19w}

공학/기술| 2009.07.17| 37페이지| 1,000원| 조회(479)

VPN, 가상사설망, 네트워크보안, Tunnel 통신

미리보기

닫기
Static routing

IP Routing _ Static 2009 년 3 월 29 일목 차 라우팅의 기본기능 라우팅 프로토콜 종류 경로설정 방법 정적 경로 정적 경로 설정 스위칭 방식별 부하분산라우팅의 기본기능 _ 구성도 Client Server 경로를 결정하는 기능 결정된 경로에 따라 패킷을 전송 하는 것이다 .라우팅의 기본기능 _ 스위치와 라우터 비교 비교항목 이더넷 스위치 라우터 참조테이블 MAC 테이블 IP 테이블 참조 PDU 이더넷 프레임 IP 패킷 참조필드 목적지 MAC 주소 목적지 IP 주소 사용자 프레임 이더넷 이더넷 , 프레임릴레이 , PPP 등 레이어 2 헤더 변동없음 새로운 헤더로 교체라우팅의 기본기능 _ 경로결정 동적 경로 (Dynamic route) 라우팅 프로토콜을 사용하여 동적으로 알아낸 경로를 의미한다 . 라우팅 프로토콜 (Routing Protocol) RIP, IGRP, OSPF, BGP, IS-IS 등 정적 경로 (Static route) 네트워크 관리자가 특정 목적지에 대하여 직접 지정한 경로를 말한다 .라우팅의 프로토콜 종류 라우팅 정보 (Routing Update) 거리벡터 라우팅 프로토콜 링크상태 라우팅 프로토콜 서브넷 마스크 정보 포함 여부에 따라 Classful routing Classless routing 영역간의 통신 (AS: Autonomous System) IGP (Interior gateway protocol) EGP(Exterior gateway protocol)라우팅의 프로토콜 종류 _ 거리벡터 라우팅 라우팅 정보 전송시 목적지 네트워크와 해당 목적지 네트워크의 메트릭 값을 알려준다 . 소문에 의한 라우팅 (Routing by rummor ) 메트릭이란 최적 경로를 선택하기 위한 기준 이 되는값 R1 R2 R3 R4 10.10.10.0 20.20.20.0 30.30.30.0 Destination IP 192.168.2.0 Source IP 192.168.1.0 192.168.1.1 192.168.2.1 Network 192.5 Destination IP 192.168.2.0 Source IP 192.168.1.0/ 24라우팅의 프로토콜 종류 _ 링크상태 라우팅 네트워크가 접속되어 있는 라우터 , 그 라우터와 인접한 라우터 광고 전체 네트워크 토폴로지를 알고 , 각 라우터의 입장에서 목적지 까지 최적 경로를 계산한다 . R1 R2 R3 R4 10.10.10.0 20.20.20.0 30.30.30.0 192.168.1.1 192.168.2.1 Network 192.168.1.0 Network 192.168.1.0 Network 192.168.1.0 Metric 1 Metric 1 Metric 1 Event update 접속 라우터 R1 접속 라우터 R1 접속 라우터 R1 인접 라우터 R2 인접 라우터 R2 인접 라우터 R2라우팅의 기본기능 _ 클래스 AS 라우팅 클래스 라우팅 프로토콜 Classful : 라우팅 정보 전송시 서브넷 마스크 없는 라우팅 프로토콜 RIP v1, IGRP Classless : 라우팅 정보 전송시 서브넷 마스크를 포함시키 는 라우팅 프로토콜 RIP v2, EIGRP, OSPF, BGP IGP EGP IGP (Interior gateway protocol) : AS (Autonomous System) 내부에서 사용되는 사용되는 프로토콜 RIP, EIGRP, OSPF, EGP(Exterior gateway protocol) : 서로 다른 AS 간에 사용되는 프로토콜 BGP AS : 동일 조직에 의한 라우팅 정책이 적용되는 네트워크를 하나의 AS 라고한다 .경로 결정 방법 _ 경로결정 방법 동일 라우팅 프로토콜내 에서 “ 메트릭 ” 값 참조 . 복수개의 라우팅 프로토콜 사용중일때는 “ 관리거리 ” 값 참조 네트워크 주소가 가장 길게 일치하는 롱기스트 매치 룰 참조 .경로 결정 방법 _ Metric 라우팅 프로토콜 메트릭 RIP 홉 카운트 EIGRP 속도 , 지연 , 신뢰도 , 부하 , MTU OSPF 코스트 ( 속도 ) BGP Attribute ( 속성 ) 동일 192.168.1.0/25 192.168.1.0/24 Longest match R 192.168.1.0 /25 [120/1] 10.10.10.1 Ethernet 0 R 192.168.1.0 /24 [120/1] 20.20.20.2 Ethernet 1 E0_2 E1_1 E1_2 E0_1정적 경로 _ 장 단점 네트워크 관리자가 직접 경로를 직접 지정 소규모 네트워크에서는 정적경로 사용 주송 규모 이상에서는 정적과 , 동적을 혼합사용 장점 라우팅 프로토콜 자체로 인한 부하가 거의 없다 . 경로를 네트워크 관리자의 의도대로 정밀하게 제어 할 수 있다 . 단점 네트워크 변화를 제대로 반영하지 못한다 . 네트워크 규모가 커지면 관리가 어렵다 .정적 경로 _ 경로결정 방법 _ 정밀제어 192.168.1.0/24 는 S0 으로 보내라 192.168.1.128/25 는 S1 측으로 보내라 목적지로 가기위한 넥스트 홉을 네트워크 관리자 마음대로 지정할수 있다 . R1 R2 R3 10.10.10.0 20.20.20.0 192.168.1.128/25 192.168.1.0/24 정밀제어 S 192.168.1.128 /25 [120/1] 10.10.10.1 Ethernet 0 S 192.168.1.0 /24 [120/1] 20.20.20.2 Ethernet 1 S0_2 S1_1 S1_2 S0_1 R2 에서정적 경로 _ 경로결정 방법 _ 링크감지 R1 R2 Peer-to-Peer S1_2 S0_1 링크단절감지 R1 R2 S1_2 S0_1 링크단절감지 R1 R2 S1_2 S0_1 링크단절감지 ATM 교환망 Ethernet정적 경로 _ 경로결정 방법 _ 링크감지 R1 R2 S1_2 S0_1 링크 단절 감지 못함 R1 R2 S1_2 S0_1 링크 단절 감지 못함 ATM 교환망 Ethernet정적 경로 _ 경로결정 방법 _ 경로설정 R1 R2 Fa0/0 S1/0 S1/0 Hub Fa0/0 10.10.10.1 10.10.10.2 172.16.1.1 192.168.1.1 192.168.1.2 19route 생략 Gateway of last resort is 10.10.10.2 to network 0.0.0.0 10.0.0.0/28 is subnetted , 1 subnets C 10.10.10.0 is directly connected, Serial1/0 --- 직접연결된 네트워크 172.16.0.0/24 is subnetted , 1 subnets ----172. 대역은 S1/0 을 통해 연결되어있다 . S 172.16.1.0 [1/0] via 10.10.10.2 --- Static route C 192.168.1.0/24 is directly connected, FastEthernet0/0 --- 직접연결된 네트워크 S* 0.0.0.0/0 [1/0] via 10.10.10.2 --- Default route정적 경로 _ 경로결정 방법 _ Ping R1 R2 Fa0/0 S1/0 S1/0 Hub Fa0/0 10.10.10.1/28 10.10.10.2/28 172.16.1.1 192.168.1.1 192.168.1.2 192.168.1.3 172.16.1.2 172.16.1.3 R1#debug ip packet IP: tableid =0, s=192.168.1.2 (FastEthernet0/0), d=172.16.1.3 (Serial1/0), routed via RIB IP: s=192.168.1.2 (FastEthernet0/0), d=172.16.1.3 (Serial1/0), g=10.10.10.2, len 0, forward IP: tableid =0, s=172.16.1.3 (Serial1/0), d=192.168.1.2 (FastEthernet0/0), routed via RIB IP: s=172.16.1.3 (Serial1/0), d=192.168.1.2 (FastEthernet0/0), g=192.168.1.2, len 0, forward Ping 172.16.1.3정적 경로 _ 경로결정 방법 _ Routing R1 Fa0/0 20.20.2d , 1 subnets S 100.100.100.0 [1/0] via 20.20.20.3 C 192.168.1.0/24 is directly connected, FastEthernet0/1 S 200.200.200.0/24 [1/0] via 30.30.30.3 S* 0.0.0.0/0 [1/0] via 192.168.1.2 Default 100.100.100.0 200.200.200.0정적 경로 _ 경로결정 방법 _ 플로팅 스태틱 루트 R1 R2 Fa0/0 Loopback 0 1.1.1.1/24 Loopback 1 2.2.2.2/24 10.10.10.0 R1( config )# ip route 1.1.1.0 255.255.255.0 10.10.10.2 R1( config )# ip route 1.1.1.0 255.255.255.0 20.20.20.2 150 ---AD 3.0.0.0/24 is subnetted , 1 subnets S 3.3.3.0 [1/0 ] via 10.10.10.2 4.0.0.0/24 is subnetted , 1 subnets S 4.4.4.0 [1/0] via 10.10.10.2 IP: s=10.10.10.1 (local), d=3.3.3.3 (FastEthernet0/0), len 0, sending IP: tableid =0, s=3.3.3.3 (FastEthernet0/0), d=10.10.10.1 (FastEthernet0/0), routed via RIB IP: s=3.3.3.3 (FastEthernet0/0), d=10.10.10.1 (FastEthernet0/0), len 0, rcvd 3! IP: tableid =0, s=10.10.10.1 (local), d=3.3.3.3 (FastEthernet0/0), routed via RIB 3.0.0.0/24 is subnetted , 1 subnets S 3.3.3.0 [150/0] via 20.20.20.2 4.0.0.0/24 is subnetted , 1 subnets S

공학/기술| 2009.07.17| 25페이지| 1,000원| 조회(519)

네트워크, 라우팅, protocol, 정적라우팅

미리보기

닫기
802.11n 요약정리

802.11nIEEE 802.11 개념흔히 무선 랜, 와이파이(Wi-Fi Alliance)라고 부르는 좁은 지역(Local Area)을 위한 컴퓨터 무선 네트워크에 사용되는 기술. IEEE의 LAN/MAN 표준 위원회 (IEEE 802)의 11번째 워킹 그룹에서 개발된 표준 기술. 차세대표준 네트워크 IEEE 802.11n 으로 대두. * 802.11과 와이파이라는 용어가 번갈아 사용되기도 하지만 와이파이 얼라이언스는 와이파이 라는 용어를 다른 집합의 표준으로 정의IEEE 802.11 표준안StandardRelease DataFrequencyThroughput (Typical)Data Rate (Max)Transmi-ssionRange Distance802.11a1999년 10월5GHZ23Mbps54MbpsDSSS~ 35Meter802.11b1999년 10월2.4GHZ4.3Mbps11MbpsDSSS~38Meter802.11g2003년 1월2.4GHZ19Mbps54MbpsDSSS OFDM38Meter802.11n2009년 1월 (Draft 2.0)2.4GHZ or 5GHZ74Mbps248MbpsMIMO OFDM~70Meter*DSSS(Direct Sequence Spread Spectrum, 직접 시퀀스 확산 스펙트럼) 더 넓은 주파수 대역으로 신호를 확산 시키기 위해 확산 코드를 사용해서 데이터 스트림 신호율을 증가시키는 일종의 분산 스펙트럼. *OFDM(Orthogonal Ferequency Division Multiplexing, 직교 주파수 분활 당중화) 성능향상을 위해, 무선으로 전송하기 전에 변조 신호를 여러 개의 부 캐리어로 나누는 방식802.11n의 기술OFDM (Orthogonal Frequency Division Multiplexing)112233nn다수의 데이터를 동시에 전송한다.다중 서브케리어(Sub Carrer)로 나누어 전송한다. OFDM은 다중 전송 전파 문제를 최소화할 뿐만 아니라 높은 데이터율을 제공한다. 고속전송에 사용된다. 802.11a, 802.11gMIMO(Multiple Input, Multiple Output)다중 안테나 기술 :Beam Forming송신 측에서 구현 되어 구동 (송신율 강화)더강한 신호를 받을수 있도록 송신함수신감도를 더 높여줌Non-MIMO, MIMO 클라이언트 모두 지원MIMO(Multiple Input, Multiple Output)다중 안테나 기술 : Maximal Ratio Combining수신 측에서 구현 되어 구동 (송신율 강화)더강한 신호를 받을수 있도록 수신함수신감도를 더 높여줌Non-MIMO, MIMO 클라이언트 모두 지원MIMO(Multiple Input, Multiple Output)다중 안테나 기술 : Spatial Multiplexing송수신 수신 측에서 모두 구현/ 구동 되어야함 (송수신율 강화)동일 채널에 동시 송신할 수 있는 기능Bandwidth를 증가시킴MIMO 반드시 필요40MHZ Chanel40-MHz=2개의 20-MHz 채널을 묶어 사용하여 Guard 대역까지 사용하여 2개의 20-MHz 를 따로 사용하여 합친 Bandwidth보다 높은 성능을 제공 한다.Packet Aggregation하위 호환성동작원리IEEE 802.11n 표준화 동향04.1월 802.11n을 위한 표준화 논의를 처음 시작한 이래로 표준화 활동은 TGnSync, WWiSE, MITMOT에 의해서 주도로 기술제안을 하게 되었다. 05.6월 샌프란시스코 회의에서 서로 절충하여 하나의 표준안을 도출 하기로 결정 하였다. 06.1월 IEEE 802.11n Tasking Group은 위 세 기술제안 그룹의 절충안과 EWC의 제출안을 기초로 한 802.11n초안(Draft 1.0)을 도출 하게되었다. 07.1월 Draft 1.10이 승인되었으며, 기존의 초안에 기초한 Draft 2.0을 만들기로 런던회의에서 결정 하게 되었다.국내무선시장 전망802.11n 무선랜이 본격 공급되고 메시(mesh) 방식 무선랜이 활성화되는 것이 무선랜 시장의 성장을 이끄는 요인이라고 분석했다. “무선랜 장비 시장은 802.11a/b/g 통합 모듈이 탑재된 액세스포인트와 콘트롤러의 확산, 기업 시장과 SOHO시장 부문에서의 장비 도입 등에 힘입어 2007년 약 518억원 규모로, 2007년 도 437 억원 보다 2008년도에는 18.5% 증가하였다. 무선랜 장비 시장은 메시 네트워크가 활성화되고, 802.11n 장비가 계속 출시됨에 따라 앞으로 5년 간 연평균 15.4%씩 성장해 2012년에는 1000억원을 넘는 규모로 커질 것이라는 게 한국IDC의 전망이다. 세계 무선랜 칩 판매량이 향후 크게 증가할 것으로 예상됨에 따라 많은 업체들이 경쟁적으로 기술 및 시장 선점을 위한 노력이 진행 중결론무선시장의 확대와 무선보안에 대하여 소비자들은 많은 관심을 보이는 만큼 보안이 시급한 상태. IEEE 802.11n(Draft 2.0)은 차세대 무선 LAN 기술 이며 기술적 업그 레이드 가능성. 다양한 응용 분야 및 Mesh와 같은 기술 접목으로 유비쿼터스 네트워킹의 핵심기술로 대두됨. 이러한 표준화 동향에 세심한 분석과 국내 산업 활성화를 위한 적정한 대응이 요구 됨. IEEE 802.16 에 대한 2006년도 표준화 추진으로 인하여 802.11n에 대한 발전 가능성은 미지수.정리{nameOfApplication=Show}

공학/기술| 2009.07.17| 16페이지| 1,000원| 조회(1,018)

무선, 802.11, 802.11n, 주파수 대역

미리보기

닫기
무선보안의 전반적인 내용

Wireless Security2009년 7월 16일1. WEP (Wired Equivalent Privacy)무선 LAN 표준을 정의하는 IEEE 802.11 규약의 일부분으로 무선 LAN 운용간의 보안을 위해 사용되는 기술이다.무선 LAN은 운용간에 전파를 이용하기 때문에, 전선이나 장비에 물리적으로 접근해야만 통신 내용을 도청할 수 있는 유선 통신과는 달리 외부의 침입에 의한 정보 유출의 가능성이 높다. 1997년에 도입된 WEP는 그 당시 전통적인 유선 네트워크와 맞먹는 보안성을 가지도록 만들어졌다.2001년 초, 암호학자들이 몇 가지 치명적인 약점을 발견하였으며, 오늘날 그 약점을 이용하면 누구나 구할 수 있는 소프트웨어를 사용해 몇 분 만에 WEP 연결을 크랙할 수 있다. 약점이 발견된 지 몇 달 내로 IEEE는 그것을 해결하기 위한 802.11i 팀을 새로 만들었다. 2003년에 Wi-Fi 얼라이언스에서는 뒤에 나올 802.11i 수정안의 일부였던 WPA가 WEP를 대체하게 되었다고 발표했다. 마침내 2004년에 802.11i 표준안(일명 WPA2)이 완전히 비준되었고, IEEE는 WEP-40 및 WEP-104 모두 원래의 보안 목적을 달성하지 못하여 추천하지 않는다고 선언하였다. 그런 약점이 있음에도 불구하고, WEP는 아직 널리 사용되고 있다. 라우터의 설정 화면에서 제공하는 보안 옵션 중에서 맨 위에 나오는 것이 WEP인 경우가 많다.2. WPA(Wi-Fi Protected Access)Wi-Fi 무선 랜의 사용자를 위해 개발된 무선 랜 보안 표준의 하나로서 IEEE의 802.11i 표준이 완성될 때까지 임시로 사용되는 표준이다. WPA는 원래의 Wi-Fi 보안 표준인 WEP 보다 개량된 것이다. WPA는 WEP에 비해 보다 정교한 데이터 암호화를 제공하는 것은 물론, 사용자 인증이 다소 불충분했던 WEP와는 달리 완전한 사용자 인증 기능을 제공한다. WEP는 그리 복잡하지 않은 가정용으로는 아직도 유용하지만, 대량의 메시지 흐름으로 인해 암호화키가 보다 신속하게 발견될 수 있는 기업용에는 충분치 않은 것으로 여겨지고 있다.WPA는 암호화 기법으로 TKIP을 사용한다. TKIP은 패킷당 키 할당, 메시지 무결성 확인, 확장 초기화 벡터, 킷값 재설정 기능 등을 포함함으로써 WEP의 약점을 해결하였다. WPA는 802.1X와 확장 인증 프로토콜인 EAP에 기초하여 강력한 사용자 인증을 제공한다.IEEE 802.11i를 기반으로 하고 있으며, 이와 호환성을 유지한다.1). WPA-PSK의 사용 배경과 동작원리기존의 WEP 암호화 방식은 취약한 보안으로 인해 기업 환경에서는 거의 사용이 불가능해진 상태입니다. WEP 알고리즘은 IV(Initialization Vector)의 평문전송, 키 스트림의 단순성, 고정키 사용에 따른 RC4 키 갱신 부재 등으로 인해 키 길이에 상관없이 그 보안기능이 취약하다고 판명되었다.사용자들이 WEP 사용에 인색한 이유는, 대부분의 무선 랜 제품들이 "WEP 사용안함"을 기본 설정으로 출고되기 때문에, 사용자들 역시 이 기능을 "사용함"으로 설정 하는 것을 잊거나 방치하는 것이 첫 번째이며, 두 번째는 WEP 설정 시 연결이 잘 안된다거나, 초보자들의 경우 여러 가지 옵션(ASCII, Hexadecimal, PassPhrase등)이나 키 입력 과정의 복잡함이 그 이유였다.WPA는 옵션이나 키 입력의 방식이 WEP방식 보다 간단하여 설정하기 더욱 편리해 졌다.WPA는 대칭벡터(IV : Initialization Vector)라 불리는 WEP 헤더의 취약점(고정 암호키 방식)을 해결하기 위해 그 대응책으로 개발되었다.무선 통신상의 전송내용을 암호화하는 암호키가 기존 WEP에서는 고정되어 있던 것과 달리, WPA는 암호키를 특정 시간이나 일정 크기의 패킷 전송 후에 자동으로 변경시키기 때문에 해킹이 불가능하다는 것이다. 또한, 암호키 생성 진행과정이 매우 정교하고 키 갱신이 매우 신속하게 이루어지기 때문에, 암호를 해독하기 위한 충분한 데이터를 모으기가 불가능하다.시스템 성능에 영향을 주지 않으며 소프트웨어 업그레이드를 통해 이용 가능 하여 개인 사용자들에겐 WPA-PSK라는 특정 모드로, 기업과 같이 인증서버 없이도 강력한 보안을 제공한다.인증 방법들의 보안성의 우수한 순위가 다음과 같이 정리 된다.오픈 시스템(WEP사용안함) < 쉐어드 키 인증 < 오픈 시스템(WEP사용함) < WPA - PSK2). WPA의 종류① 기업모드 : 기업 모드는 RADIUS 또는 다른 인증 서버를 통해 네트워크 사용자를 확인합니다. WPA는 128비트 암호화 키 및 동적 세션 키를 사용하여 무선 네트워크에 대한 개인 정보와 엔터프라이즈 보안을 보증한다. 기업 모드는 회사나 정부를 위한 것이다.② 개인 모드 : 개인 모드의 경우 액세스 포인트 및 클라이언트에서 미리 공유된 키(PSK)를 수동으로 구성해야 합니다. PSK는 클라이언트 스테이션과 액세스 포인트 모두에서 암호 또는 식별 코드를 통해 사용자를 인증한다. 인증 서버는 필요하지 않다. 개인 모드는 가정 및 소규모 회사 환경을 위한 것이다.③ WPA-기업 및 WPA2-기업 : 802.1x RADIUS 서버가 있는 기업 네트워크에서의 보안 수준을 제공한다. 802.1x 서버의 인증 포르토콜과 일 인증지 확인하기 위해 인증 유형을 선택한다. (WPA-기업 및 WPA2-기업은 상호 운용성이 없다.)④ WPA-개인 및 WPA2-개인 : 개인은 소규모 네트워크 또는 가정 환경에서의 보안 수준을 제공하며 미리 공유된 키(PSK)라는 암호를 사용한다. 암호가 길수록 무선 네트워크에 대한 보안이 강력해진다. 무선 액세스 포인트 또는 라우터가 WPA-개인 및 WPA2-개인을 지원하는 경우 액세스 포인트에서 WPA-PSK를 활성한 다음 길고 강력한 암호를 지정해야 한다. 이 컴퓨터 및 무선 네트워크에 액세스하는 다른 모든 무선 장치에서, 액세스 포인트에 입력한 암호와 동일한 암호를 사용해야 한다.(WPA-개인 및 WPA2-개인은 상호 운용성이 없다.)* IETF(Internet Engineering Task Force) : 인터넷의 운영, 관리, 개발에 대해 협의하고 프로토콜과 구조적인 사안들을 분석하는 인터넷 표준화 작업기구, TCP/IP 와 같은 인터넷 운영 프로토콜의 표준을 정의하는 주체.3). WPA의 암호화 기법WEP(Wired Equivalent Privacy) 키 암호화를 보완하는 TKIP(Temporal Key Integrity Protocol)라는 IEEE 802.11i 표준을 기반으로 하고 있으며, 인증 부문에서도 802.1x 및 EAP(Extensible Authentiction Protocol)를 도입해 성능을 높인 것이다. 특히 패킷당 키 할당 기능, 키값 재설정 등 다양한 기능이 있기 때문에 해킹이 불가능하고 네트워크에 접근 시 인증 절차를 요구한다.① TKIP(Temporal Key Integrity Protocol)무선 랜을 위한 IEEE 802 11i 암호 표준 802 11 무선 랜 보안에 사용된 WEP Wired Equivalent Privacy 키 암호화를 보완한 것으로 패킷당 키 할당 키값 재설정 등 WEP의 흐름을 개선한 것이다 네트워크에 접근하는 사람을 제한할 수 있는 기능도 있다② AES( advanced encryption standard )미국 국립 표준·기술 연구소(NIST)가 데이터 암호화 표준(DES)의 차세대 국제 표준 암호로 대체하는 순서 공개형의 대칭 키 암호 방식. 블록 길이는 128비트, 키의 길이는 128/192/256 비트 중에서 선택 가능하며, 주요 평가 항목은 안정성과 암호화 처리 속도이다. NIST는 1999년에 미국, 영국, 노르웨이, 이스라엘 등을 대상으로 한 공모를 통해 2000년에 벨기에 암호학자가 개발한 ‘Rijindeal’을 최종 채택하였다.4) WPA 공식WPA = {802.1X + EAP + TKIP + MIC + (RADIUS×X)}If WPA-PSK, X=0; ELSE X=1WPA는 IEEE 802.1x, EAP, TKIP 및 래디우스와 같은 기존의 기술을 사용하며, 그 인증은 유선 네트워크뿐만 아니라 EAP(Extensible Authentication Protocol)용으로 개발된 802.1x 인증 프로토콜을 기반으로 한다. 여기서 EAP는 래디우스 서버로 클라이언트를 인증하기 위해 다양한 알고리즘을 이용할 수 있게 해준다.기밀성과 무결성 부분은 WEP의 취약한 키 관리가 아니라 TKIP를 기반으로 하지만, WEP의 RC4 사이퍼 스트림(cipher-stream) 알고리즘은 데이터 암호화용으로 사용된다. TKIP는 순서 규칙이 있는 48비트 초기화 벡터(WEP에서는 24비트 초기화 벡터)를 이용하는데, 이것은 키 재사용 및 재생 공격을 방지해준다. 또한 이것은 WEP 취약 키 공격을 막아주는 패킷당 키 혼합 기능과, 패킷 위조 공격을 막아주는 암호 체크섬 키 기능이 있다. 이 마지막 기능은 새로운 MIC(Message Integrity Code)인 최소 CPU 이용의 64비트 암호 태그를 기반으로 한다.3. IEEE 802.1X기존 LAN시스템에서는 대부분의 STA들이 인증 절차 없이 브릿지의 물리적 포트를 통해 core LAN에 접속된 다른 STA나 서버에 접근할 수 있기 때문에 무선 네트워크에 대한 공격이 가능하다는 문제점이 있다. 이러한 문제점을 해결하기 위해 IEEE 802.1X 표준[6]이 제안되었으며, 이 표준의 목표는 망 시스템의 종당인 브릿지 역할을 하는 무선 액세스 포인트에서 인증을 수행한 후 사용자들이 망에 접근할 수 있게 하는 것이다.

공학/기술| 2009.07.17| 7페이지| 1,000원| 조회(544)

무선, 보안, WPA, 무선보안, WEP, 802.1x

미리보기

닫기