CCNP/CCIE ENCOR 350-401

1.0 Architecture

---

1.1 기업 네트워크 설계 원칙 (Enterprise Network Design Principles)

1.1.a 고수준 기업 네트워크 설계 구조

• 2-tier (Collapsed Core):
  • 액세스 계층과 배포 계층이 통합된 구조.
  • 중소형 기업 및 단순 네트워크에 적합.
  • 관리가 용이하며 비용 절감 가능.
• 3-tier (Core-Distribution-Access):
  • 코어(Core), 배포(Distribution), 액세스(Access) 계층으로 분리.
  • 확장성, 관리성, 고성능 지원.
  • 대규모 엔터프라이즈 환경에 적합.
• Fabric (SD-Access 등):
  • 소프트웨어 정의 접근 방식을 활용.
  • 자동화, 정책 기반 관리, 보안성 향상.
  • 유연한 네트워크 관리와 구성 간소화 가능.
• Cloud:
  • 퍼블릭/프라이빗 클라우드와 온프레미스 네트워크의 통합.
  • 확장성 및 민첩성 향상.
  • 네트워크 리소스의 효율적 활용 및 유연한 서비스 제공 가능.

---

1.1.b 고가용성 기술 (High Availability Techniques)

• Redundancy (이중화):
  • 장비 및 경로의 중복 배치로 단일 장애점 방지.
• FHRP (First Hop Redundancy Protocol):
  • 게이트웨이의 장애 시 백업 게이트웨이가 자동으로 역할 인계.
  • 예: HSRP, VRRP, GLBP.
• SSO (Stateful Switchover):
  • Supervisor 및 컨트롤 플레인의 상태 정보를 실시간으로 복제.
  • 장애 발생 시 즉각적인 전환 가능, 중단 시간 최소화.

---

1.2 무선 네트워크 설계 원칙 (Wireless Network Design Principles)

1.2.a 무선 네트워크 배포 모델

• Centralized (중앙집중형):
  • 중앙의 무선 컨트롤러(WLC)가 모든 AP를 관리.
  • 관리 효율성 우수, 중소규모 환경에 적합.
• Distributed (분산형):
  • 일부 제어 기능이 AP로 분산되며 데이터 트래픽 로컬 처리.
  • 대규모 및 분산된 환경에 적합.
• Controller-less (컨트롤러리스):
  • AP 간 협력을 통한 자율적 관리(예: Cisco Mobility Express).
  • 소규모 환경에서 효율적.
• Controller-based (컨트롤러 기반):
  • WLC가 모든 AP의 관리 및 제어를 수행.
  • 중앙 관리 및 보안 정책 유지 용이.
• Cloud (클라우드 관리형):
  • 클라우드 기반 플랫폼을 통해 원격 관리.
  • 분산된 환경 및 원격지 관리 용이.
• Remote Branch (원격 지사형):
  • 원격지 AP들이 중앙 컨트롤러나 클라우드로 관리.
  • WAN 환경에서의 안정적인 관리 가능.

---

1.2.b WLAN 위치 기반 서비스 (Location Services)

• 실시간 위치 추적(RTLS), 자산 관리, 사용자 분석 서비스 제공.
• Cisco DNA Spaces 및 CMX 등을 활용한 위치 정보 활용 가능.
• WLAN 설계 시 AP 위치 배치가 중요.

---

1.2.c 클라이언트 밀도 (Client Density)

• AP 설계 시 사용자 밀도 고려.
• 고밀도 환경(컨퍼런스룸, 강당 등)은 AP 밀도 높여 설계.
• 저밀도 환경(사무실 등)은 적절한 거리 유지하며 AP 배치.

---

1.3 Cisco SD-WAN 동작 원리

1.3.a SD-WAN Control/Data Plane 구성 요소

• Control Plane:
  • vSmart (정책 관리 및 라우팅 결정)
  • vBond (오케스트레이션, 인증 및 초기 접속 관리)
  • vManage (중앙집중 관리 GUI 제공)
• Data Plane:
  • vEdge 또는 cEdge 라우터
  • 실제 데이터 트래픽의 라우팅 및 보안 처리 수행

---

1.3.b SD-WAN의 이점과 한계점

• 이점:
  • 중앙 관리 및 프로비저닝 자동화.
  • 비용 효율적 WAN 연결 (인터넷 등 공용 회선 활용).
  • 유연한 보안 정책 및 애플리케이션 가시성 향상.
• 한계점:
  • 초기 구축 비용 및 복잡성 존재.
  • 전통적 네트워크와의 통합 시 복잡성 증가 가능.
  • 높은 보안 요구 사항에 따라 별도의 추가 보안 솔루션 필요.

---

1.4 Cisco SD-Access 동작 원리

1.4.a SD-Access Control/Data Plane 구성 요소

• Control Plane:
  • Cisco DNA Center (정책 및 관리 중앙화)
  • LISP 프로토콜 (IP 주소 매핑 및 Endpoint ID 관리)
• Data Plane:
  • VXLAN (가상 오버레이 네트워크를 통한 데이터 전송)

---

1.4.b 기존 캠퍼스와 SD-Access 간 연동

• 기존 네트워크(Traditional Campus)는 SD-Access 네트워크와 IP 기반 연동 가능.
• VXLAN과 전통적 라우팅 사이의 상호 연동 시 주의 필요.
• 점진적인 SD-Access 도입이 가능.

---

1.5 유무선 QoS 설정 분석

1.5.a QoS 구성 요소

• Classification (트래픽 분류)
• Marking (트래픽 마킹: DSCP 등)
• Policing/Shaping (트래픽 제한 및 조정)
• Queuing/Scheduling (큐 관리 및 처리 순서 지정)

---

1.5.b QoS 정책 (Policy)

• Voice 및 Video 트래픽의 우선 순위 설정.
• Best-effort 및 Bulk 트래픽의 낮은 우선 순위 처리.
• Wired와 Wireless 간 QoS 정책 일관성 유지 필요.

---

1.6 하드웨어 및 소프트웨어 스위칭 메커니즘

• CEF (Cisco Express Forwarding):
  • IP 패킷의 고속 전달을 위한 스위칭 기술.
• CAM (Content Addressable Memory):
  • MAC 주소 등 L2 정보를 빠르게 처리하는 하드웨어 메모리.
• TCAM (Ternary CAM):
  • ACL, QoS, 라우팅 정책 등 L3/L4 정보를 고속으로 처리.
• FIB (Forwarding Information Base):
  • 목적지 IP 주소 기반 빠른 패킷 포워딩 정보 저장.
• RIB (Routing Information Base):
  • 라우팅 프로토콜을 통해 얻은 경로 정보 저장(소프트웨어).
• Adjacency Tables (인접 테이블):
  • 다음 홉(Next-hop)의 L2 정보 저장, 빠른 프레임 전달 수행

2.0 Virtualization (가상화)

2.1 장치 가상화 기술(Device Virtualization Technologies)

2.1.a 하이퍼바이저 유형 (Hypervisor Types)

• Type 1 (베어 메탈)
  • 하드웨어 위에 직접 설치됨(예: VMware ESXi, Hyper-V).
  • 성능이 뛰어나고 안정적이며 엔터프라이즈 환경에서 주로 사용.
• Type 2 (호스트 기반)
  • 기존 OS 위에서 동작(예: VMware Workstation, Oracle VirtualBox).
  • 성능은 상대적으로 낮지만 관리 및 사용 용이.

---

2.1.b 가상 머신(Virtual Machine, VM)

• 하나의 물리적 하드웨어에서 여러 독립적인 OS 실행 가능.
• VM은 가상화된 CPU, 메모리, 디스크 등 가상 하드웨어 리소스를 사용.
• 리소스 격리를 통해 효율성, 보안성 향상 가능.

---

2.1.c 가상 스위칭(Virtual Switching)

• 가상 머신 간 네트워크 연결을 제공하는 가상화된 스위치.
• 물리적 NIC와 가상 NIC를 연결하여 트래픽 전환 가능.
• 대표적 예시: VMware vSwitch, Cisco Nexus 1000V.

---

2.2 데이터 경로 가상화 기술 (Data Path Virtualization)

2.2.a VRF (Virtual Routing and Forwarding)

• 하나의 물리적 라우터에서 여러 독립적인 라우팅 도메인을 운영.
• 네트워크 분리 및 보안성 강화에 활용.

2.2.b GRE 및 IPsec 터널링

• GRE(Generic Routing Encapsulation)
  • 다양한 프로토콜을 IP 네트워크상에서 캡슐화하여 전송.
• IPsec(Internet Protocol Security)
  • 데이터 기밀성, 무결성, 인증 제공, 보안 터널링 기능 수행.

---

2.3 네트워크 가상화 개념(Network Virtualization Concepts)

2.3.a LISP (Locator/ID Separation Protocol)

• Endpoint의 위치(Locator)와 식별자(ID)를 분리하여 관리.
• IP 주소 이동성, 효율적 라우팅 및 가상 네트워크 오버레이 지원.

2.3.b VXLAN (Virtual Extensible LAN)

• Layer 2 네트워크를 IP 네트워크 위에서 가상화하여 확장 가능.
• VXLAN ID(VNI)를 사용해 대규모 네트워크 환경에서 VLAN 한계 극복 가능.

---

3.0 Infrastructure (네트워크 인프라)

3.1 Layer 2 (Data Link Layer)

3.1.a 802.1Q Trunking 프로토콜

• 정적 트렁킹(Static): 수동 설정으로 VLAN 전달.
• 동적 트렁킹(DTP): 자동 협상 프로토콜로 트렁크 포트 설정.
• 트렁킹 이슈는 VLAN mismatch, native VLAN mismatch가 주 원인.

3.1.b EtherChannel

• 여러 물리적 링크를 묶어 논리적 링크로 구성, 대역폭 증가 및 이중화 지원.
• 정적 모드(Static On), 동적 협상(PAgP, LACP) 방식 지원.
• Troubleshooting: mode mismatch, 속도/이중 설정 mismatch 주의.

3.1.c STP(Spanning Tree Protocol) 및 향상 기술

• RSTP(Rapid STP):
  • 빠른 컨버전스 제공(STP 대비).
• MST(Multiple STP):
  • 여러 VLAN 그룹을 하나의 인스턴스로 묶어 관리 효율화.
• Root Guard: 지정되지 않은 장비의 Root Switch 방지.
• BPDU Guard: 비허가 스위치 연결 시 포트 자동 차단.

---

3.2 Layer 3 (Network Layer)

3.2.a EIGRP vs OSPF 비교

구분EIGRPOSPF

방식	고급 Distance Vector	Link-State
메트릭	대역폭, 지연 기반 복합 메트릭	비용(Cost) 기반
로드밸런싱	동등/비동등 로드 밸런싱 가능	동등 로드 밸런싱
영역(Area)	미사용	Area 기반 분할
경로 결정	DUAL 알고리즘	SPF 알고리즘

3.2.b OSPF 구성 (OSPFv2/v3)

• 일반 Area 설정, 경로 요약, 경로 필터링 지원.
• Neighbor adjacency 관리 및 Network 유형 설정(point-to-point, broadcast 등).
• passive-interface로 불필요한 neighbor 관계 차단 가능.

3.2.c eBGP 설정 및 검증

• 이웃 관계 설정, best-path 알고리즘에 따라 최적 경로 선택.
• Directly connected neighbor와의 세션 설정 및 유지 필수.

3.2.d 정책 기반 라우팅(Policy-Based Routing, PBR)

• 패킷의 조건에 따라 경로 결정(출발지 IP, 포트 등 조건 기반 경로 설정).

---

3.3 Wireless 네트워크

3.3.a Layer 1 개념 (무선)

• RF 파워, RSSI, SNR, 간섭, 노이즈, 주파수 대역, 채널 등 신호 품질 관련 항목.
• 클라이언트 장치 능력에 따른 최적 설계 필요.

3.3.b AP 모드 및 안테나 타입

• AP 모드: Local, FlexConnect, Monitor, Sniffer, Bridge 등.
• 안테나: 전방향성(omni), 지향성(directional) 등 설치 환경에 맞게 선택.

3.3.c AP Discovery 및 Join 프로세스

• AP가 WLC 발견 후 CAPWAP/LWAPP 터널 생성.
• Discovery 알고리즘: broadcast, DHCP 옵션, DNS, Static.

3.3.d Layer 2, 3 로밍 원리

• Layer 2 로밍: 같은 subnet 내에서 seamless 이동.
• Layer 3 로밍: subnet 간 이동 시 mobility anchor를 통해 seamless 유지.

3.3.e WLAN 설정 및 클라이언트 문제 해결

• GUI(WLC web 인터페이스)에서 클라이언트 상태 점검, 로그 및 association 이슈 확인 가능.

3.3.f Wireless segmentation (그룹, 프로파일, 태그)

• WLAN 그룹, 프로파일, Policy Tag로 네트워크를 논리적으로 분리/관리.

---

3.4 IP 서비스

3.4.a NTP 및 PTP 설정 해석

• NTP: Network-wide 시계 동기화, 정확성 보통.
• PTP: 고정밀 시계 동기화, 금융 거래 등 정확한 시간 필수 환경에 적합.

3.4.b NAT/PAT 설정

• Private IP 주소를 Public IP로 변환, IP 주소 자원 절약 및 보안.

3.4.c FHRP (HSRP, VRRP)

• 게이트웨이 이중화, 장애 대비하여 서비스 연속성 제공.

3.4.d Multicast 프로토콜

• RPF 체크: Multicast 루프 방지, 소스 경로 검증.
• PIM: Multicast 라우팅, Sparse/Dense 모드.
• IGMP(v2/v3): 클라이언트 Multicast 그룹 가입 관리.

 

✅ 4. Network Assurance (네트워크 보장 및 관리)

4.1 네트워크 문제 진단 도구

• Debugs: 장비의 실시간 동작을 점검하는 명령
• Conditional debugs: 특정 조건을 만족할 때만 출력하는 디버그
• Traceroute: 경로 및 지연 시간 추적
• Ping: 네트워크 연결 상태 확인
• SNMP: 네트워크 장비 상태 및 성능 모니터링 프로토콜
• Syslog: 시스템 로그 메시지의 중앙 집중식 관리

4.2 Flexible NetFlow 구성 및 검증

• 트래픽 흐름 기반의 분석 및 모니터링 기능
• 맞춤형 flow record, exporter, monitor 설정을 통한 트래픽 모니터링

4.3 SPAN/RSPAN/ERSPAN 구성

• SPAN (Switch Port Analyzer): 로컬 스위치에서 특정 포트 트래픽 미러링
• RSPAN (Remote SPAN): 원격 스위치 간 미러링 (L2 기반)
• ERSPAN (Encapsulated RSPAN): IP 기반 원격 미러링 (L3 기반)

4.4 IPSLA 구성 및 검증

• 네트워크 성능 모니터링 도구 (지연시간, jitter, 패킷 손실 등)
• 서비스 품질(QoS) 검증 및 경로의 신뢰성 평가

4.5 Cisco DNA Center 워크플로우

• 구성: 자동화된 네트워크 장비 설정 및 관리
• 모니터링: 네트워크 성능, 장애, 트래픽 상태 실시간 모니터링
• 관리: 단일 대시보드 기반의 중앙 집중형 네트워크 관리 및 분석 기능 제공

4.6 NETCONF / RESTCONF 구성 및 검증

• NETCONF: XML 기반의 네트워크 장비 설정 프로토콜 (SSH 기반)
• RESTCONF: REST API를 통한 네트워크 장비 관리 (HTTP 기반, JSON/XML 데이터 형식)

---

🔐 5. Security (보안)

5.1 장비 접근 제어 구성 및 검증

• Lines 및 로컬 사용자 인증: 로컬 계정 설정 및 line vty, console 접근 제한
• AAA(Authentication, Authorization, Accounting):
  • TACACS+, RADIUS 서버 연동을 통한 인증 및 권한 부여

5.2 인프라 보안 기능 구성 및 검증

• ACLs(Access Control Lists): 트래픽 필터링 규칙 설정
• CoPP(Control Plane Policing): 제어 평면 보호 (DOS 공격 등 차단)

5.3 REST API 보안

• HTTPS, Token 기반 인증 (OAuth), API Key 인증 등의 보안 메커니즘

5.4 무선 보안 기능 구성 및 검증

• 802.1X: 기업용 무선 인증 (EAP 기반)
• WebAuth: 웹 기반 사용자 인증
• PSK(Pre-Shared Key): 공통 키 기반 인증
• EAPOL(4-way handshake): WPA2/WPA3 무선 키 교환 과정 검증

5.5 네트워크 보안 설계 구성요소

• Threat Defense: 침입 탐지 및 방어 시스템(IDS/IPS)
• Endpoint Security: 단말 보안 관리
• Next-generation firewall(NGFW): 애플리케이션 및 사용자 기반의 방화벽 관리
• TrustSec & MACsec: 네트워크 내 데이터 암호화 및 정책 기반 보안 접근
• Network Access Control(NAC): 802.1X, MAB, WebAuth 기반의 접근 제어

---

⚙️ 6. Automation (자동화)

6.1 Python 기초 구성요소 및 스크립트 해석

• Python 기본 문법, 자료형, 조건문, 반복문, 함수, 라이브러리 활용

6.2 JSON 파일 작성

• JSON 데이터 형식의 작성, 구조화, 유효성 검증

6.3 데이터 모델링 언어(YANG)의 원리 및 이점 설명

• 네트워크 구성 및 상태를 구조화하고 표준화하는 YANG 모델 이해

6.4 Cisco DNA Center 및 vManage API 설명

• DNA Center, vManage의 REST API를 활용한 자동화 및 관리 방법 이해
• 장치 구성, 운영 상태 조회 등 자동화 API 활용법 숙지

6.5 REST API 응답코드 및 payload 결과 해석

• REST API HTTP 응답 코드 (200, 400, 401, 403, 404, 500 등)의 이해 및 처리
• JSON/XML 응답 데이터(payload) 처리 및 분석

6.6 EEM Applet 구성

• Embedded Event Manager(EEM)를 활용한 장비 설정 자동화, 트러블슈팅, 데이터 수집 등 자동화 앱릿 작성 및 실행

6.7 Agent 및 Agentless Orchestration 도구 비교

• Agent 기반 도구: Chef, Puppet 등, 관리대상 장치에 에이전트 설치
• Agentless 도구: Ansible, SaltStack 등, SSH/WinRM으로 장비 관리 (주로 Ansible 추천됨)