<목차>
1. 프로토콜의 구조
2. IP주소
3. Class & Bogon IP
4. Subnet Mask
5. Bitmask
6. Routing
7. ARP, ICMP
8. IP를 이용한 네트워크 구성방식
1) NAT
2) VLAN
1. 프로토콜의 구조
DataLink-Layer의 프로토콜은 ARP, NIC, RARP등이 있다.
RARP프로토콜은 Boot TP 프로토콜로 현재는 DHCP로 대신해 사용중이다.
ARP프로토콜이 중요한 이유는 사용하기 쉽기때문에 ARP프로토콜을 이용한 공격이 많아 방어가 쉽지 않기 때문이다.
Network단의 ICMP는 데이터 송수신용이 아닌 시스템 질의용으로 사용 계륵같은 느낌이다.
IP는 데이터 송수신용으로 사용한다.
2. IP주소
네트워크를 구축할때 반드시 세팅해야 하는 것들이 IP주소, Subnet Mask, Gateway이다.
IP주소는 네트워크 내에서 식별하기 위해 사용한다. Subnet Mask는 자신이 네트워크 유효범위를 표현하기 이해 사용하는 것이다. IP주소, Subnet Mask는 한 세트로 생각 하는 것이 좋다.
네트워크를 식별할때 IP주소 값 만으로는 고유 식별이 불가능 하고 동일한 네트워크 내에서만 식별하기 위해 사용한다.
따라서 모든 환경에서 고유 식별을 위해 사용하는 것이 MAC주소이다. MAC주소는 네트워크상의 주소가 아닌 랜카드에 등록된 정보 이다. IP 만으로 네트워크 식별이 가능한가에 대한 얘기는 극히 일부에만 가능하다. 네트워크의 첫자리가 다른경우가 예시 중 하나이다.
Packet은 같은 네트워크에서만 송수신가능하다.
Gateway는 패킷을 다른 네트워크로 보내는 아이피 주소이다.
IP주소는 2진수 그대로 사용하면 인식이 어렵기 때문에 사람이 인식가능한 정도로 분할하고 10진수로 변경하여 읽는다.
IP주소의 구조는 네트워크 주소 부분과 호스트 주소 부분으로 이루어진다. 네트워크주소가 같아야 통신 가능하다. 호스트주소는 네트워크 주소내에서의 식별이 가능한 정보이기 때문에 임의로 정할 수 있다.
네트워크 주소와 네트워크 주소 범위 내의 주소는 계산하여 저장되어 있어 통신시마다 네트워크주소를 계산하는 것이 아니라 계산되어있는 주소를 찾는다. 네트워크 주소가 다르면 Gateway로 전송하여 통신한다.
3. Class & Bogon IP
- Class 정책
Class 정책은 엔지니어와 무관하고 ISP가 IP주소를 할당하는 것과 관련되어있다.
Class와 Subnet Mask는 서로 무관하다.
용도 | 범위 | 네트워크 숫자 | Host 숫자 | 할당의 예 | |
A Class | 국제 기구 같은 규모가 큰 곳 | 0 ~ 127 | 128개 | 256^3개 | 110.0.0.0 ~ 110.255.255.255 |
B Class | 대기업 | 128 ~ 191 | 64*256개 | 256^2개 | 180.10.0.0 ~ 180.10.255.255 |
C Class | 일반 기업 혹은 가정 | 192 ~ 223 | 32*256^2개 | 256개 | 210.198.65.0 ~ 210.198.65.255 |
D Class | 멀티 캐스트 백업망 | 224 ~ 239 | 224.0.0.0 ~ 239.255.255.255 |
유니 캐스트(Unicast) |
브로드 캐스트(Broadcast) | 멀티 캐스트(Multicast) | |
특징 |
1:1로 수신측을 정하고 |
1:N으로 불특정다수에게 패킷 송신 |
1:M으로 특정다수에게 패킷 송신 |
응답 |
응답이 있다. |
응답이 없다. | 응답이 있다. |
- Bogon IP
Zero add |
0.0.0.0 ~ 0.255.255.255 |
특수한 목적으로 사용하도록 예약됨 |
특수 목적에 지정하여 사용하는 주소 |
Network add |
네트워크에 첫 번째 IP |
네트워크 ID | 쓰면 안되는 주소 |
Direct broadcast add |
네트워크에 마지막 IP |
소속된 네트워크의 broadcast | |
Local broadcast add |
255.255.255.255 |
전체 네트워크의 broadcast (설정에서는 호스트를 의미한다.) |
사용하지 않는 주소
브로드캐스트 주소는 라우터를 통과하지 못한다.
루프백은 실제 인터페이스가 아닌 가상의 인터페이스 자기 자신으로 회귀하여 랜카드가 없는 경우에도 네트워크 구축이 가능하게 한다.
사설 IP는 주로 C클래스를 사용한다. |
Multicast add |
D class |
Mulitcast를 위한 IP | |
Loopback add |
127.0.0.0 ~ 127.255.255.255 |
자기 자신을 나타내는 IP | |
Zero Configuration Networking |
169.254.0.0 ~ 169.254.255.255 |
DHCP 환경이 없는 Peer to Peer연결이나 Wireless환경에서 관리자의 수동적인 설정이 없이 네트워크에 자동 설정되는 IP | |
사설 |
A class : 10.0.0.0 ~ 10.255.255.255 |
사설 IP |
4. Subnet Mask
Subnet Mask가 255.255.255.0인 경우와 255.255.0.0인 경우의 차이는 몇번째 비트까지 네트워크 주소로 사용하고 몇번째 비트를 호스트 주소로 사용할 것 인지를 정하는 것이다.
prefix표현법은 Subnet Mask의 비트값이 1인 마킹 수를 10진수로 표현한 것이다.
예를 들어 255.255.255.0인 Subnet Mask를 prefix표현법을 사용하면 24가 된다.
5. Bitmask
실제로는 불가능 하지만 위와 같이 두개의 네트워크를 구성했다고 가정하자. 1.1.1.2/24와 1.1.1.5/24가 통신이 불가능하다. 왜냐하면 1.1.1.2/24는 1.1.1.5/24와 같은 1.1.1.0네트워크주소를 가지기 때문에 Gateway인 1.1.1.1/24로 패킷을 보내지 않고 자신이 속한 네트워크에서만 통신하려고 한다.
이 경우에 통신이 가능하게 하기 위해서는 Submask를 이용해 네트워크 주소를 1자리 더 추가해서 지정한다.
Subnet Mask가 24면 255.255.255.0이 된다.
마지막 8비트만 2진수로 표현하면 255.255.255.00000000이 된다.
마지막 8비트에서 첫비트까지 네트워크 주소의 비트로 생각하면 두가지로 나눠진다.
이렇게 구성하면 호스트 주소의 개수는 반으로 줄지만 네트워크는 2개로 나눠 사용이 가능하다.
그리고 Subnet Mask는 255.255.255.128이 된다.
수식으로 정리하면 네트워크 비트를 N개씩 늘릴때마다 네트워크의 개수는 2^N개씩 늘어나고 호스트 주소는 255/(2^N)-2개가 된다.
2N개를 빼주는 이유는 호스트 주소의 첫번째 주소인 0은 네트워크주소를 의미하기 때문이고, 마지막 주소인 255는 브로드 캐스트 주소이기 때문이다.
6. Routing
라우팅은 두가지 방식이 있는데 정적 라우팅 방식인 Static Routing방식과 동적 라우팅 방식인 Dynamic Routing방식이 있다.
Static Routing방식은 Traffic 발생량이 적은 경우에 사용하고 외부로 나가는 경로가 한정적이기 때문에 경로를 관리자가 직접 설정해서 그 포트만을 이용해서 통신이 이루어지게 한다. 실시간으로 변화하는 환경에는 부적절하며 소규모 네트워크에서 사용한다.
Dynamic Routing방식은 전체 경로가 아닌 라우터에서 다음 라우터로 가는 경로만을 선택하여 최단거리 경로를 기준으로 하는 프로토콜이다. 서킷망에서는 전체적인 경로를 파악하여 네비게이션화 된다.
ICMP redirect방식은 해킹사례가 많아 감지에 집중해야한다. ICMP redirect방식은 기본 라우터에 문제가 생겼을때 백업라인을 확보하여 가용성을 높인 네트워크 망에서 사용한다. 기본 라우터에 패킷 전송을 하는데 기본 라우터보다 예비 라우터를 통해 통신을 하는것이 통신속도가 더 빠른경우 기본 라우터에서 End system으로 ICMP redirect 패킷을 보내 해당 네트워크 통신 시도시 예비 라우터를 이용하게 하는 것이다. 공격이 많은 이유는 공격자가 기본 라우터인것처럼 ICMP redirect패킷을 보내 해당 네트워크 수행시 자신에게 패킷이 오게 하는 것이다. 이 패킷을 다시 원래 라우터로 전송하게 되면 통신이 정상적으로 이루어지기 때문에 공격받는 쪽은 알수없다. 최근에는 보안상의 공격을 방지하기 위해서 OS자체에서 무시하는 경우가 많다.
7. ARP, ICMP
ARP(Address Resolution Protocol)는 상대방의 IP주소는 알지만 MAC주소를 알지 못해 통신이 불가능 한 경우에 IP주소를 이용해 MAC주소를 알아내는 프로토콜이다. IP주소는 사용자가 네트워크를 할 대상의 MAC주소를 연결하기 편하게 하기 위해서 사용하는 것이고, 실제 PC간의 패킷에 사용하는 송신측/수신측 구분은 MAC주소를 이용한다. ARP는 질의(Request)는 브로드캐스트 방식으로 하고, 응답(Reply)는 유니캐스트 방식을 사용한다.
ICMP(Internet Control Message Protocol)는 데이터 전송을 하기위한 프로토콜이 아닌 네트워크의 상태를 질의하기 위해 사용하는 프로토콜이다.
8. IP를 이용한 네트워크 구성방식
1) NAT(Net Address Translation)
공유기가 대표적으로 NAT 네트워크 구성 방식을 사용한다. 외부에서 볼때는 NAT 내부에 네트워크 구성방식은 알수없지만 NAT 네트워크 포트가 가진 real IP를 사용해 통신을 한다. 기본적으로 OS기능에는 공유기, 라우터 기능이 있다. NAT 내부의 네트워크 IP는 메모리 상에만 있다.
2) VLAN
동일한 IP주소로 다른 네트워크에 연결할 때 IP변경없이 다른 네트워크에 연결이 가능하도록 허브에서 포트별로 다른 네트워크를 사용하게 하는 것이다. 참고로 DMZ는 라우터나 공유기를 이용해 네트워크 연결을 할때 지정된 PC로 접속하는 것이다.
'교육 > Netwrok' 카테고리의 다른 글
Day 53 (Network) (0) | 2020.02.04 |
---|---|
Day 52 (네트워크) (0) | 2020.02.03 |
보안 영역 구성을 위한 로컬 라우터 구현(수정) (0) | 2019.12.29 |
보안 영역 구성을 위한 로컬 라우터 구현 (0) | 2019.12.20 |
Day 11 (0) | 2019.12.02 |