CCNP | CCIE Concept

CCNP/CCIE ENCOR 350-401

Lewis Joo 2025. 4. 18. 23:54

1.0 Architecture

1.1 기업 네트워크 설계 원칙 (Enterprise Network Design Principles)

1.1.a 고수준 기업 네트워크 설계 구조

  • 2-tier (Collapsed Core):
    • 액세스 계층과 배포 계층이 통합된 구조.
    • 중소형 기업 및 단순 네트워크에 적합.
    • 관리가 용이하며 비용 절감 가능.
  • 3-tier (Core-Distribution-Access):
    • 코어(Core), 배포(Distribution), 액세스(Access) 계층으로 분리.
    • 확장성, 관리성, 고성능 지원.
    • 대규모 엔터프라이즈 환경에 적합.
  • Fabric (SD-Access 등):
    • 소프트웨어 정의 접근 방식을 활용.
    • 자동화, 정책 기반 관리, 보안성 향상.
    • 유연한 네트워크 관리와 구성 간소화 가능.
  • Cloud:
    • 퍼블릭/프라이빗 클라우드와 온프레미스 네트워크의 통합.
    • 확장성 및 민첩성 향상.
    • 네트워크 리소스의 효율적 활용 및 유연한 서비스 제공 가능.

1.1.b 고가용성 기술 (High Availability Techniques)

  • Redundancy (이중화):
    • 장비 및 경로의 중복 배치로 단일 장애점 방지.
  • FHRP (First Hop Redundancy Protocol):
    • 게이트웨이의 장애 시 백업 게이트웨이가 자동으로 역할 인계.
    • 예: HSRP, VRRP, GLBP.
  • SSO (Stateful Switchover):
    • Supervisor 및 컨트롤 플레인의 상태 정보를 실시간으로 복제.
    • 장애 발생 시 즉각적인 전환 가능, 중단 시간 최소화.

1.2 무선 네트워크 설계 원칙 (Wireless Network Design Principles)

1.2.a 무선 네트워크 배포 모델

  • Centralized (중앙집중형):
    • 중앙의 무선 컨트롤러(WLC)가 모든 AP를 관리.
    • 관리 효율성 우수, 중소규모 환경에 적합.
  • Distributed (분산형):
    • 일부 제어 기능이 AP로 분산되며 데이터 트래픽 로컬 처리.
    • 대규모 및 분산된 환경에 적합.
  • Controller-less (컨트롤러리스):
    • AP 간 협력을 통한 자율적 관리(예: Cisco Mobility Express).
    • 소규모 환경에서 효율적.
  • Controller-based (컨트롤러 기반):
    • WLC가 모든 AP의 관리 및 제어를 수행.
    • 중앙 관리 및 보안 정책 유지 용이.
  • Cloud (클라우드 관리형):
    • 클라우드 기반 플랫폼을 통해 원격 관리.
    • 분산된 환경 및 원격지 관리 용이.
  • Remote Branch (원격 지사형):
    • 원격지 AP들이 중앙 컨트롤러나 클라우드로 관리.
    • WAN 환경에서의 안정적인 관리 가능.

1.2.b WLAN 위치 기반 서비스 (Location Services)

  • 실시간 위치 추적(RTLS), 자산 관리, 사용자 분석 서비스 제공.
  • Cisco DNA Spaces 및 CMX 등을 활용한 위치 정보 활용 가능.
  • WLAN 설계 시 AP 위치 배치가 중요.

1.2.c 클라이언트 밀도 (Client Density)

  • AP 설계 시 사용자 밀도 고려.
  • 고밀도 환경(컨퍼런스룸, 강당 등)은 AP 밀도 높여 설계.
  • 저밀도 환경(사무실 등)은 적절한 거리 유지하며 AP 배치.

1.3 Cisco SD-WAN 동작 원리

1.3.a SD-WAN Control/Data Plane 구성 요소

  • Control Plane:
    • vSmart (정책 관리 및 라우팅 결정)
    • vBond (오케스트레이션, 인증 및 초기 접속 관리)
    • vManage (중앙집중 관리 GUI 제공)
  • Data Plane:
    • vEdge 또는 cEdge 라우터
    • 실제 데이터 트래픽의 라우팅 및 보안 처리 수행

1.3.b SD-WAN의 이점과 한계점

  • 이점:
    • 중앙 관리 및 프로비저닝 자동화.
    • 비용 효율적 WAN 연결 (인터넷 등 공용 회선 활용).
    • 유연한 보안 정책 및 애플리케이션 가시성 향상.
  • 한계점:
    • 초기 구축 비용 및 복잡성 존재.
    • 전통적 네트워크와의 통합 시 복잡성 증가 가능.
    • 높은 보안 요구 사항에 따라 별도의 추가 보안 솔루션 필요.

1.4 Cisco SD-Access 동작 원리

1.4.a SD-Access Control/Data Plane 구성 요소

  • Control Plane:
    • Cisco DNA Center (정책 및 관리 중앙화)
    • LISP 프로토콜 (IP 주소 매핑 및 Endpoint ID 관리)
  • Data Plane:
    • VXLAN (가상 오버레이 네트워크를 통한 데이터 전송)

1.4.b 기존 캠퍼스와 SD-Access 간 연동

  • 기존 네트워크(Traditional Campus)는 SD-Access 네트워크와 IP 기반 연동 가능.
  • VXLAN과 전통적 라우팅 사이의 상호 연동 시 주의 필요.
  • 점진적인 SD-Access 도입이 가능.

1.5 유무선 QoS 설정 분석

1.5.a QoS 구성 요소

  • Classification (트래픽 분류)
  • Marking (트래픽 마킹: DSCP 등)
  • Policing/Shaping (트래픽 제한 및 조정)
  • Queuing/Scheduling (큐 관리 및 처리 순서 지정)

1.5.b QoS 정책 (Policy)

  • Voice 및 Video 트래픽의 우선 순위 설정.
  • Best-effort 및 Bulk 트래픽의 낮은 우선 순위 처리.
  • Wired와 Wireless 간 QoS 정책 일관성 유지 필요.

1.6 하드웨어 및 소프트웨어 스위칭 메커니즘

  • CEF (Cisco Express Forwarding):
    • IP 패킷의 고속 전달을 위한 스위칭 기술.
  • CAM (Content Addressable Memory):
    • MAC 주소 등 L2 정보를 빠르게 처리하는 하드웨어 메모리.
  • TCAM (Ternary CAM):
    • ACL, QoS, 라우팅 정책 등 L3/L4 정보를 고속으로 처리.
  • FIB (Forwarding Information Base):
    • 목적지 IP 주소 기반 빠른 패킷 포워딩 정보 저장.
  • RIB (Routing Information Base):
    • 라우팅 프로토콜을 통해 얻은 경로 정보 저장(소프트웨어).
  • Adjacency Tables (인접 테이블):
    • 다음 홉(Next-hop)의 L2 정보 저장, 빠른 프레임 전달 수행

2.0 Virtualization (가상화)

2.1 장치 가상화 기술(Device Virtualization Technologies)

2.1.a 하이퍼바이저 유형 (Hypervisor Types)

  • Type 1 (베어 메탈)
    • 하드웨어 위에 직접 설치됨(예: VMware ESXi, Hyper-V).
    • 성능이 뛰어나고 안정적이며 엔터프라이즈 환경에서 주로 사용.
  • Type 2 (호스트 기반)
    • 기존 OS 위에서 동작(예: VMware Workstation, Oracle VirtualBox).
    • 성능은 상대적으로 낮지만 관리 및 사용 용이.

2.1.b 가상 머신(Virtual Machine, VM)

  • 하나의 물리적 하드웨어에서 여러 독립적인 OS 실행 가능.
  • VM은 가상화된 CPU, 메모리, 디스크 등 가상 하드웨어 리소스를 사용.
  • 리소스 격리를 통해 효율성, 보안성 향상 가능.

2.1.c 가상 스위칭(Virtual Switching)

  • 가상 머신 간 네트워크 연결을 제공하는 가상화된 스위치.
  • 물리적 NIC와 가상 NIC를 연결하여 트래픽 전환 가능.
  • 대표적 예시: VMware vSwitch, Cisco Nexus 1000V.

2.2 데이터 경로 가상화 기술 (Data Path Virtualization)

2.2.a VRF (Virtual Routing and Forwarding)

  • 하나의 물리적 라우터에서 여러 독립적인 라우팅 도메인을 운영.
  • 네트워크 분리 및 보안성 강화에 활용.

2.2.b GRE 및 IPsec 터널링

  • GRE(Generic Routing Encapsulation)
    • 다양한 프로토콜을 IP 네트워크상에서 캡슐화하여 전송.
  • IPsec(Internet Protocol Security)
    • 데이터 기밀성, 무결성, 인증 제공, 보안 터널링 기능 수행.

2.3 네트워크 가상화 개념(Network Virtualization Concepts)

2.3.a LISP (Locator/ID Separation Protocol)

  • Endpoint의 위치(Locator)와 식별자(ID)를 분리하여 관리.
  • IP 주소 이동성, 효율적 라우팅 및 가상 네트워크 오버레이 지원.

2.3.b VXLAN (Virtual Extensible LAN)

  • Layer 2 네트워크를 IP 네트워크 위에서 가상화하여 확장 가능.
  • VXLAN ID(VNI)를 사용해 대규모 네트워크 환경에서 VLAN 한계 극복 가능.

3.0 Infrastructure (네트워크 인프라)

3.1 Layer 2 (Data Link Layer)

3.1.a 802.1Q Trunking 프로토콜

  • 정적 트렁킹(Static): 수동 설정으로 VLAN 전달.
  • 동적 트렁킹(DTP): 자동 협상 프로토콜로 트렁크 포트 설정.
  • 트렁킹 이슈는 VLAN mismatch, native VLAN mismatch가 주 원인.

3.1.b EtherChannel

  • 여러 물리적 링크를 묶어 논리적 링크로 구성, 대역폭 증가 및 이중화 지원.
  • 정적 모드(Static On), 동적 협상(PAgP, LACP) 방식 지원.
  • Troubleshooting: mode mismatch, 속도/이중 설정 mismatch 주의.

3.1.c STP(Spanning Tree Protocol) 및 향상 기술

  • RSTP(Rapid STP):
    • 빠른 컨버전스 제공(STP 대비).
  • MST(Multiple STP):
    • 여러 VLAN 그룹을 하나의 인스턴스로 묶어 관리 효율화.
  • Root Guard: 지정되지 않은 장비의 Root Switch 방지.
  • BPDU Guard: 비허가 스위치 연결 시 포트 자동 차단.

3.2 Layer 3 (Network Layer)

3.2.a EIGRP vs OSPF 비교

구분EIGRPOSPF
방식 고급 Distance Vector Link-State
메트릭 대역폭, 지연 기반 복합 메트릭 비용(Cost) 기반
로드밸런싱 동등/비동등 로드 밸런싱 가능 동등 로드 밸런싱
영역(Area) 미사용 Area 기반 분할
경로 결정 DUAL 알고리즘 SPF 알고리즘

3.2.b OSPF 구성 (OSPFv2/v3)

  • 일반 Area 설정, 경로 요약, 경로 필터링 지원.
  • Neighbor adjacency 관리 및 Network 유형 설정(point-to-point, broadcast 등).
  • passive-interface로 불필요한 neighbor 관계 차단 가능.

3.2.c eBGP 설정 및 검증

  • 이웃 관계 설정, best-path 알고리즘에 따라 최적 경로 선택.
  • Directly connected neighbor와의 세션 설정 및 유지 필수.

3.2.d 정책 기반 라우팅(Policy-Based Routing, PBR)

  • 패킷의 조건에 따라 경로 결정(출발지 IP, 포트 등 조건 기반 경로 설정).

3.3 Wireless 네트워크

3.3.a Layer 1 개념 (무선)

  • RF 파워, RSSI, SNR, 간섭, 노이즈, 주파수 대역, 채널 등 신호 품질 관련 항목.
  • 클라이언트 장치 능력에 따른 최적 설계 필요.

3.3.b AP 모드 및 안테나 타입

  • AP 모드: Local, FlexConnect, Monitor, Sniffer, Bridge 등.
  • 안테나: 전방향성(omni), 지향성(directional) 등 설치 환경에 맞게 선택.

3.3.c AP Discovery 및 Join 프로세스

  • AP가 WLC 발견 후 CAPWAP/LWAPP 터널 생성.
  • Discovery 알고리즘: broadcast, DHCP 옵션, DNS, Static.

3.3.d Layer 2, 3 로밍 원리

  • Layer 2 로밍: 같은 subnet 내에서 seamless 이동.
  • Layer 3 로밍: subnet 간 이동 시 mobility anchor를 통해 seamless 유지.

3.3.e WLAN 설정 및 클라이언트 문제 해결

  • GUI(WLC web 인터페이스)에서 클라이언트 상태 점검, 로그 및 association 이슈 확인 가능.

3.3.f Wireless segmentation (그룹, 프로파일, 태그)

  • WLAN 그룹, 프로파일, Policy Tag로 네트워크를 논리적으로 분리/관리.

3.4 IP 서비스

3.4.a NTP 및 PTP 설정 해석

  • NTP: Network-wide 시계 동기화, 정확성 보통.
  • PTP: 고정밀 시계 동기화, 금융 거래 등 정확한 시간 필수 환경에 적합.

3.4.b NAT/PAT 설정

  • Private IP 주소를 Public IP로 변환, IP 주소 자원 절약 및 보안.

3.4.c FHRP (HSRP, VRRP)

  • 게이트웨이 이중화, 장애 대비하여 서비스 연속성 제공.

3.4.d Multicast 프로토콜

  • RPF 체크: Multicast 루프 방지, 소스 경로 검증.
  • PIM: Multicast 라우팅, Sparse/Dense 모드.
  • IGMP(v2/v3): 클라이언트 Multicast 그룹 가입 관리.

 

✅ 4. Network Assurance (네트워크 보장 및 관리)

4.1 네트워크 문제 진단 도구

  • Debugs: 장비의 실시간 동작을 점검하는 명령
  • Conditional debugs: 특정 조건을 만족할 때만 출력하는 디버그
  • Traceroute: 경로 및 지연 시간 추적
  • Ping: 네트워크 연결 상태 확인
  • SNMP: 네트워크 장비 상태 및 성능 모니터링 프로토콜
  • Syslog: 시스템 로그 메시지의 중앙 집중식 관리

4.2 Flexible NetFlow 구성 및 검증

  • 트래픽 흐름 기반의 분석 및 모니터링 기능
  • 맞춤형 flow record, exporter, monitor 설정을 통한 트래픽 모니터링

4.3 SPAN/RSPAN/ERSPAN 구성

  • SPAN (Switch Port Analyzer): 로컬 스위치에서 특정 포트 트래픽 미러링
  • RSPAN (Remote SPAN): 원격 스위치 간 미러링 (L2 기반)
  • ERSPAN (Encapsulated RSPAN): IP 기반 원격 미러링 (L3 기반)

4.4 IPSLA 구성 및 검증

  • 네트워크 성능 모니터링 도구 (지연시간, jitter, 패킷 손실 등)
  • 서비스 품질(QoS) 검증 및 경로의 신뢰성 평가

4.5 Cisco DNA Center 워크플로우

  • 구성: 자동화된 네트워크 장비 설정 및 관리
  • 모니터링: 네트워크 성능, 장애, 트래픽 상태 실시간 모니터링
  • 관리: 단일 대시보드 기반의 중앙 집중형 네트워크 관리 및 분석 기능 제공

4.6 NETCONF / RESTCONF 구성 및 검증

  • NETCONF: XML 기반의 네트워크 장비 설정 프로토콜 (SSH 기반)
  • RESTCONF: REST API를 통한 네트워크 장비 관리 (HTTP 기반, JSON/XML 데이터 형식)

🔐 5. Security (보안)

5.1 장비 접근 제어 구성 및 검증

  • Lines 및 로컬 사용자 인증: 로컬 계정 설정 및 line vty, console 접근 제한
  • AAA(Authentication, Authorization, Accounting):
    • TACACS+, RADIUS 서버 연동을 통한 인증 및 권한 부여

5.2 인프라 보안 기능 구성 및 검증

  • ACLs(Access Control Lists): 트래픽 필터링 규칙 설정
  • CoPP(Control Plane Policing): 제어 평면 보호 (DOS 공격 등 차단)

5.3 REST API 보안

  • HTTPS, Token 기반 인증 (OAuth), API Key 인증 등의 보안 메커니즘

5.4 무선 보안 기능 구성 및 검증

  • 802.1X: 기업용 무선 인증 (EAP 기반)
  • WebAuth: 웹 기반 사용자 인증
  • PSK(Pre-Shared Key): 공통 키 기반 인증
  • EAPOL(4-way handshake): WPA2/WPA3 무선 키 교환 과정 검증

5.5 네트워크 보안 설계 구성요소

  • Threat Defense: 침입 탐지 및 방어 시스템(IDS/IPS)
  • Endpoint Security: 단말 보안 관리
  • Next-generation firewall(NGFW): 애플리케이션 및 사용자 기반의 방화벽 관리
  • TrustSec & MACsec: 네트워크 내 데이터 암호화 및 정책 기반 보안 접근
  • Network Access Control(NAC): 802.1X, MAB, WebAuth 기반의 접근 제어

⚙️ 6. Automation (자동화)

6.1 Python 기초 구성요소 및 스크립트 해석

  • Python 기본 문법, 자료형, 조건문, 반복문, 함수, 라이브러리 활용

6.2 JSON 파일 작성

  • JSON 데이터 형식의 작성, 구조화, 유효성 검증

6.3 데이터 모델링 언어(YANG)의 원리 및 이점 설명

  • 네트워크 구성 및 상태를 구조화하고 표준화하는 YANG 모델 이해

6.4 Cisco DNA Center 및 vManage API 설명

  • DNA Center, vManage의 REST API를 활용한 자동화 및 관리 방법 이해
  • 장치 구성, 운영 상태 조회 등 자동화 API 활용법 숙지

6.5 REST API 응답코드 및 payload 결과 해석

  • REST API HTTP 응답 코드 (200, 400, 401, 403, 404, 500 등)의 이해 및 처리
  • JSON/XML 응답 데이터(payload) 처리 및 분석

6.6 EEM Applet 구성

  • Embedded Event Manager(EEM)를 활용한 장비 설정 자동화, 트러블슈팅, 데이터 수집 등 자동화 앱릿 작성 및 실행

6.7 Agent 및 Agentless Orchestration 도구 비교

  • Agent 기반 도구: Chef, Puppet 등, 관리대상 장치에 에이전트 설치
  • Agentless 도구: Ansible, SaltStack 등, SSH/WinRM으로 장비 관리 (주로 Ansible 추천됨)
반응형