네트워크
HSRP
Mostlove
2025. 4. 22. 10:46
728x90
반응형
🔧 구성 요소 요약
| 항목 | 설명 |
| HSRP 활성 라우터 | 좌측 라우터 (Priority 150, Active 역할) |
| HSRP 대기 라우터 | 우측 라우터 (Priority 110, Standby 역할) |
| 가상 게이트웨이 | 192.168.1.254 |
| 내부 네트워크 | 192.168.1.0/24 |
| 웹서버 | 192.168.1.10, 게이트웨이: 192.168.1.254 |
| 외부망 (ISP) | ISP 라우터를 통해 외부망 연결 |
| 공격자 | 172.16.1.2 – 가상 게이트웨이를 흉내 내는 악의적인 장비 |
| 라우터 연결 | 라우터 간 EIGRP로 라우팅됨 (eigrp 10 Network) |
⚠️ 보안 위험 요소 (스푸핑 가능성)
- 위쪽에 연결된 hacker: .2 장비가 HSRP 가상 게이트웨이 주소를 스푸핑하여 내부 네트워크로부터 트래픽을 가로채려는 시도가 가능해 보입니다.
- HSRP는 기본적으로 인증이 설정되지 않으면 스푸핑 공격에 취약합니다.
🔐 보안 강화를 위한 권장 설정
- HSRP 인증 설정또는동일한 키를 모든 HSRP 참여 라우터에 설정해야 함.
- standby 1 authentication text
- standby 1 authentication md5 key-string YOUR_SECRET_KEY
- DHCP Snooping + Dynamic ARP Inspection 설정 (스위치에서)
→ 가짜 게이트웨이 MAC을 막기 위해 필요. - ACL로 외부에서 내부 인터페이스 접근 차단
→ hacker 장비가 내부에 연결되지 못하도록 접근 제어 리스트 설정. - HSRP Preempt 설정 확인
- Active 라우터가 다운됐다 복구되었을 때 다시 Active가 되도록:
- standby 1 preempt
🛠 좌측 라우터 (Active, Priority 150) 설정 예시
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
standby 1 ip 192.168.1.254
standby 1 priority 150
standby 1 preempt
standby 1 authentication md5 key-string SECURE_KEY
🛠 우측 라우터 (Standby, Priority 110) 설정 예시
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
standby 1 ip 192.168.1.254
standby 1 priority 110
standby 1 preempt
standby 1 authentication md5 key-string SECURE_KEY
💡 설명
| 설정 항목 | 설명 |
| standby 1 | HSRP 그룹 번호 (같아야 함) |
| ip 192.168.1.254 | 가상 게이트웨이 IP (웹서버에서 이 IP로 설정) |
| priority | 우선순위. 숫자가 클수록 Active로 선출됨 |
| preempt | 우선순위가 더 높은 라우터가 올라오면 Active로 다시 전환 |
| authentication | 스푸핑 방지용 인증 설정 (선택적이지만 강력 추천) |
✅ 전체 라우터 설정 요약 (좌측/우측 공통 포함)
📍 좌측 라우터 (R1) – Active
hostname R1
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
standby 1 ip 192.168.1.254
standby 1 priority 150
standby 1 preempt
standby 1 authentication md5 key-string SECURE_KEY
interface FastEthernet1/0
ip address 10.0.0.1 255.255.255.0
router eigrp 10
network 192.168.1.0
network 10.0.0.0
no auto-summary
📍 우측 라우터 (R2) – Standby
hostname R2
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
standby 1 ip 192.168.1.254
standby 1 priority 110
standby 1 preempt
standby 1 authentication md5 key-string SECURE_KEY
interface FastEthernet1/0
ip address 10.0.0.2 255.255.255.0
router eigrp 10
network 192.168.1.0
network 10.0.0.0
no auto-summary
📍 중앙 ISP 라우터
hostname ISP
interface FastEthernet0/0
ip address 172.16.1.3 255.255.255.252
interface FastEthernet1/0
ip address 10.0.0.3 255.255.255.0
router eigrp 10
network 10.0.0.0
no auto-summary
⚠️ 추가 보안 팁 – Switch 보안 설정 예시 (DHCP 스누핑/DAI)
! DHCP Snooping
ip dhcp snooping
ip dhcp snooping vlan 1
interface Fa0/1
ip dhcp snooping trust
! Dynamic ARP Inspection
ip arp inspection vlan 1
interface Fa0/1
ip arp inspection trust
위 설정은 라우터 연결 스위치에서 적용해야 하며, 스푸핑 공격 방지에 매우 유효합니다.
반응형