1. 루프백 주소를 24비트로 전송해야 하는 경우
OSPF를 IGP로 사용하는 경우, 별도의 설정을 하지 않으면 루프백 주소는 호스트 루트 즉, 32비트로 전송된다.
R2에 대해서만 BGP를 설정한다.
router bgp 11
bgp router-id 192.168.2.2
neighbor 10.10.12.1 remote 1
network 192.168.2.0 mask 255.255.255.0
network 192.168.3.0 mask 255.255.255.0
network 192.168.4.0 mask 255.255.255.0
- BGP는 라우팅 테이블에 있는 네트워크에 대해서만 라우팅 정보를 전송할 수 있다.
- 즉, BGP 설정모드에서 network 명령어를 이용하여 네트워크를 지정해도 라우팅테이블에 그 네트워크가 존재하지 않으면 해당 네트워크에 대한 광고를 전송하지 않는다.
R3와 R4에서 하기의 명령어를 입력한다.
int lo0
ip ospf network point-to-point
그 후에 R2의 라우팅 테이블에 192.168.3.0/24와 192.168.4.0/24 네트워크 정보가 추가된 것을 확인할 수 있다.
또한 R2에서 bgp 정보를 확인하면 네트워크가 추가된 것을 확인할 수 있다.
R1에서도 라우팅 정보를 확인해 보자
2. BGP 넥스트 홉
IGP의 넥스트 홉 IP 주소는 항상 물리적으로 접속된 인접 라우터의 IP 주소이다.
BGP는 처음 라우팅 정보를 보낸 라우터가 넥스트 홉으로 설정되고, 다른 AS로 넘어갈 때는 그 AS와 연결되는 라우터가 넥스트 홉이 된다. 또한, 멀티 액세스 네트워크에서는 eBGP, iBGP를 막론하고 처음 라우팅 정보를 보낸 라우터가 넥스트 홉으로 설정되고, 끝까지 바뀌지 않는다.
BGP에서 넥스트 홉의 IP 주소는 네이버를 설정할 때 사용된 IP를 사용한다. 예를 들어 eBGP처럼 인터페이스에 직접 연결된 IP 주소를 사용하여 네이버를 설정한 경우에는 그 주소가 넥스트홉 IP 주소가 된다. iBGP처럼 루프백 주소를 사용하여 에이버를 설정한 경우에는 루프백 주소가 넥스트 홉 iP 주소가 된다.
BGP는 광고받은 네트워크의 넥스트 홉 주소가 라우팅 가능한 것이어야만 해당 네트워크를 사용할 수 있다. 예를 들어, R2, R3, R4에서 AS 1에 속한 192.168.1.0/24 네트워크의 넥스트 홉은 기본적으로 AS 1과 AS 11를 연결하는 라우터인 R1의 인터페이스 주소인 10.10.12.1이 된다.
따라서, AS 11에 속한 각 라우터에서 192.168.1.0/24 네트워크를 사용하려면 넥스트 홉 주소가 포함된 DMZ인 10.10.12.0 네트워크로 라우팅이 가능해야 한다.
3. 넥스트 홉 문제 해결 방법
3-1. DMZ를 IGP에 포함시키기
R2
en
conf t
router bgp 11
bgp router-id 192.168.2.2
neighbor 10.10.12.1 remote-as 1
neighbor 192.168.3.3 remote-as 11
neighbor 192.168.3.3 update-source loopback 0
neighbor 192.168.4.4 remote-as 11
neighbor 192.168.4.4 update-source loopback 0
network 192.168.2.0 mask 255.255.255.0
R3
en
conf t
router bgp 11
bgp router-id 192.168.3.3
neighbor 192.168.2.2 remote-as 11
neighbor 192.168.2.2 update-source loopback 0
neighbor 192.168.4.4 remote-as 11
neighbor 192.168.4.4 update-source loopback 0
network 192.168.3.0 mask 255.255.255.0
R4
en
conf t
router bgp 11
bgp router-id 192.168.3.3
neighbor 192.168.2.2 remote-as 11
neighbor 192.168.2.2 update-source loopback 0
neighbor 192.168.3.3 remote-as 11
neighbor 192.168.3.3 update-source loopback 0
network 192.168.4.0 mask 255.255.255.0
위의 그림처럼 라우팅 테이블이 없어 10.10.12.0/24로 라우팅이 불가능한 것을 확인할 수 있다.
여기서 R2에서 OSPF에 DMZ 네트워크인 10.10.12.0/24를 추가하면 통신이 가능하다.
다음 설정을 위해 R2에서 DMZ 설정은 삭제했다.
3-2. next-hop-self 옵션 사용
해당 옵션은 경계 라우터인 R2가 네이버를 설정하면서, 넥스트 홉 IP 주소를 R3, R4 라우터가 알고 있는 R2 자신으로 변경하는 것이다.
명령어는 아래와 같다.
R2
router bgp 11
neighbor 192.168.3.3 next-hop-self
neighbor 192.168.4.4 next-hop-self
4. 스플릿 호라이즌
BGP도 RIP과 EIGRP 등 과 마찬가지로 디스턴스 백터 라우팅 프로토콜이기에 라우팅 루프를 방지하기 위한 스플릿 호라이즌 룰이 적용된다. 그러나 BGP의 스플릿 호라이즌 룰은 IGP와 약간 다르다.
"iBGP로 광고받은 네트워크는 iBGP로 광고하지 못한다"
즉, iBGP 네이버에게서 광고받은 네트워크에 관한 라우팅 정보는 다른 iBGP 네이버에게 전달하지 못한다.
R2가 R1에게서 192.168.1.0/24 네트워크에 대한 광고를 받을 때는 BGP 스플릿 호라이즌 룰이 적용되지 않는다. 왜냐하면 R1과 R2는 eBGP 네이버이기 때문이다.
그러나 R3와 R2는 iBGP 네이버이므로 R3는 R2에게서 수신한 192.168.1.0/24 네트워크에 대한 라우팅 정보를 또 다른 iBGP 네이버인 R4에게 전달하지 못한다.
결과적으로 R4의 BGP 테이블에는 192.168.1.0/24 네트워크가 존재하지 않는다.
위의 그림과 같이 설정한다.
아래 그림을 통해 설정값을 확인할 수 있다.
R3에서는 192.168.1.0/24의 경로가 BGP를 통해서 보일 것이며 R4에서는 보이지 않을 것이다.
위의 그림과 같이 "iBGP로 광고받은 네트워크는 iBGP로 광고하지 못한다."를 확인할 수 있다. 해당 법칙을 통해 당연히 R2에서도 R4의 192.168.4.0/24 네트워크에 대한 정보가 없다는 것을 유추할 수 있다.
이와 같은 스플릿 호라이즌 룰을 해결하는 방법은 다음과 같다.
4-1. 풀 메시 설정
풀 메시란 모든 iBGP 라우터 간에 네이버를 설정하는 방법을 말한다.
예를 들어 R2에서 R3, R4와 모두 네이버를 설정하는 것이다. 그러면 192.168.1.0/24 네트워크에 대한 라우팅 정보를 R3, R4에게 동시에 전송한다. 결과적으로는 "iBGP로 광고받은 네트워크는 iBGP로 광고하지 못한다." 법칙이 적용되어 R3가 192.168.1.0/24 네트워크 정보를 R4에게 전달하지 않아도 R4는 R2로부터 직접 전달받았기에 해당 네트워크에 대한 정보를 가지고 된다.
이 방식은 소규모 네트워크일 경우 추천하며 규모가 클 경우엔 물리적으로 불가능하다.
구성 명령어는 R2에서 R4에 대한 값과 R4에서 R2에 대한 값을 추가하면 된다.
4-2. 루트 리플렉터
루트 리플렉터란 iBGP 스플릿 호라이즌 룰이 적용되지 않는 라우터를 말한다. 즉, 루트 리플렉터로 설정된 라우터는 iBGP 네이버게에서 수신한 라우팅 정보를 또 다른 iBGP 네이버에게 전송할 수 있다.
해당 토폴로지에서 R3를 루트리플렉터 라우터로 설정을 하면 R2에게서 얻은 정보를 R4로 전달할 것이다.
상기의 그림과 같이 R3를 루트 리플렉터로 설정하였다. R4에서 192.168.1.0/24 네트워크 정보를 확인할 수 있는지 확인해 보자.
상기의 그림과 같이 R4에서 192.168.1.0/24 네트워크에 대한 정보를 전달받았음을 확인할 수 있다.
루트 리플렉터에 대한 추가 정보
1. 루트 리플렉터
- BGP 스플릿 호라이즌 규칙의 적용을 면제받은 라우터를 말한다.
- iBGP로 받은 정보를 다른 iBGP로 전달할 수 있다.
2. 루트 리플렉터 클라이언트
- 루트 리플렉터에서 neighbor " " route-reflector-client 명령어로 지정된 라우터를 말한다.
3. 비 클라이언트
- 루트 리플렉터와 네이버 관계에 있지만 클라이언트가 아닌 라우터를 비 클라이언트라고 한다.
4. 클러스터
- 루트 리플렉터와 클라이언트의 집합을 클러스터라 한다.
5. 클러스터 ID
- 클러스터의 ID이다.
- 루트 리플렉터 라우터의 ID가 사용된다.
- 그러나, 복수개의 루트 리플렉터와 클라이언트를 하나의 클러스터로 묶으려면 다음과 같이 bgp cluster-id 명령어를 사용하여 지정한다.
6. 클러스터 리스트
- 특정 경로가 통과해 온 클러스터의 ID 리스트다.
- 루트 리플렉터는 iBGP로 수신한 정보를 iBGP 라우팅 정보를 보낼 때는 클러스트 ID를 첨부한다.
- 클러스터 외부에서 받은 라우팅 정보에 자신이 속한 클러스터의 ID가 포함되어 있다면 라우팅 루프가 발생한 것이다.
4-3. 컨페더레이션을 이용한 BGP 스플릿 호라이즌 해결
컨페더레이션을 사용하면 iBGP 네이버가 eBGP 네이버로 변경되기 때문에 "iBGP로 광고받은 네트워크는 iBGP로 광고하지 못한다" 룰 자체가 적용되지 않는다.
[용어/개념] 제로트러스트 가이드라인 2.0 - KISA 한국인터넷진흥원
[용어/개념] 제로트러스트 가이드라인 2.0 - KISA 한국인터넷진흥원
보안취약점 및 침해사고 대응 - 제로트러스트 가이드라인 2.0 본 가이드라인은 산·학·연 보안 전문가들과 국내·외 최신 동향, 도입 사례를 분석하고 수요·공급기관 대상 의견 수렴을 거쳐 국내
infoofit.tistory.com
[TIP] Windows PC 성능을 개선시키는 10가지 방법 - 최신 업데이트 설치, Readyboost, 페이지 파일 크기, 디스크 공간, OneDrive 동기화
[TIP] Windows PC 성능을 개선시키는 10가지 방법 - 최신 업데이트 설치, Readyboost, 페이지 파일 크기,
Windows 11 을 기준으로 Microsoft 사에서 알려주는 팁을 소개시켜 드리고자 합니다. PC의 속도가 느린 경우, 다음 제안 사항을 따르면 작업 속도가 빨라질 수 있습니다. 팁은 순서대로 나열되어 있으
infoofit.tistory.com