본문 바로가기
조회 수 2425 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

+ - Up Down Comment Print
?

단축키

Prev이전 문서

Next다음 문서

+ - Up Down Comment Print

http://cafe.naver.com/neteg/60310


7. Distrubute-list

 

이번장에서는 라우트 필터링에 대해서 알아본다. 앞 장에서도 언급하였듯이 필터링이라 함은 일반적으로 엑세스 리스트(access-list)에서 정의된 패킷들에 대해 엑세스 그룹(access-group)을 인터페이스에 인바운드(in) 또는 아웃바운드(out) 방향으로 적용함으로써 이에 대한 포워딩 여부를 결정하는 것이다.

<?xml:namespace prefix = o /> 

[표 – IGP 출제 범위]

IP IGP Routing

OSPF

EIGRP

RIPv2

IPv6: Addressing, RIPng, OSPFv3

GRE

ODR

Filtering, redistribution, summarization and other advanced features

 

, 일반 PC나 서버 또는 라우터가 IP 서비스를 목적으로 만들어내는 라우티드(routed) 프로토콜에 대하여 패킷의 포워딩 여부를 결정하는 것이다. 그럼 이번장에서는 라우팅 업데이트시의 필터링을 디스트리뷰트(분배)에 대해서 학습해 본다. 그리고 다음장에서 학습할 리디스트리뷰트(재분배)등에 대해서도 간단히 학습해 보겠다. 그리고 디스트리뷰트 리스트의 구현을 위한 엑세스 리스트와 프리픽스 리스트의 활용에 대해서도 학습해 본다.

 

 

 

1) Concept

 

다시 한번 강조하지만 이번장에서는 라우티드 프로토콜에 대한 필터링이 아닌 라우팅 프로토콜에 대한 필터링에 대해 다룬다. 라우팅 프로토콜이란 최적의 경로를 알기 위해 라우터간에 자신의 라우팅 정보 즉, IP 데스티네이션(destination) 정보와 그리로 가기 위한 넥스트 홉(next-hop) 그리고 각종 메트릭 값을 전달하고 수신한 경로에 대해서는 베스트 라우트를 계산하는 프로토콜이다.

 

라우팅 프로토콜이 상대방 라우터로부터 라우팅 정보를 전달하고 수신할 때는 라우티드 프로토콜과 마찬가지로 IP 패킷을 사용한다. 앞서 설명했듯이 IS-IS CLNS IP를 모두 지원하고 있지만, 이외의 OSPF, RIP, EIGRP 그리고 BGP등은 라우팅 업데이트를 위해 오직 IP 패킷만을 사용한다. 그래서 라우티드와 라우팅 프로토콜의 필터링은 그 기능은 상이하지만 동작은 유사하여 IP 패킷에 대한 필터링 기능을 사용한다. 이런 사유로 두가지 경우 모두 엑세스 리스트를 사용할 수 있는 것이다.

 

라우터가 타 라우터들에게 자신의 라우팅 정보를 전달(update)한다는 것은, 자신이 보유한 네트웍 정보를 광고함으로써 다른 네트웍에서 자신을 찾아오게 하기 위함이다. 라우터가 타 라우터들로부터 라우팅 정보를 수신(receive)하는 것은 자신이 원하는 IP 네트웍의 데스티네이션 즉, 목적지가 어디 있는지를 알기 위함이다. 왜냐하면 일반적으로 IP 통신은 단방향(uni-directional)이 아닌 양방향(bi-directional) 통신의 개념이기 때문이다. 이런 사유로 디스트리뷰트 리스트를 이용한 라우트 필터링은 라우팅 업데이트 패킷의 수신시와 송신시에 모두 적용할 수 있다.

 

 

 

① 라우트 필터링의 필요성

 

그럼 라우트 필터링은 왜 해야 하는 것일까? 결론적으로 라우터는 자신이 가진 모든 라우팅 테이블을 무조건 인접한 라우터들에게 주어야 할 의무도 없고, 불필요하게 많은 라우팅 업데이트를 모두 수신할 필요도 없기 때문이다. 사람의 경우에도 마찬가지로 친구를 사귀게 되었을 때 그 친구에게 자신의 모든 정보를 공개해야 되고, 친구의 모든 정보를 기억해야 한다는 것은 여러 여건상 현실적으로 불가능한 것이다. 결국 중요한 것은 필요한 수준의 자신의 정보를 공개하고 친구의 정보를 기억하면 되는 것이다.

 

네트웍의 세계를 예로 들어 보자. 만약 전 세계의 모든 라우터가 자신이 가진 라우팅 테이블을 모두에게 광고한다면 어떻게 될까? 아니면 그 반대로 나의 라우터가 전 세계 네트웍의 라우터들로부터 모든 정보를 수신한다면 어떻게 될까? 내 라우터를 비롯한 전 세계의 모든 네트웍은 극심한 혼돈에 빠지게 될 것이다. 그 사유는 지나친 라우팅 업데이트로 인한 시스템 과부하, 경로 중복, 과도한 정보로 인한 끊임 없는 경로 업데이트 등의 결과를 초래하기 때문이다. 결국 수많은 사유로 라우팅 테이블의 업데이트의 제한은 반드시 이루어져야만 한다.

 

[라우팅 업데이트에 대한 필터의 필요성]

ⓐ 라우터 시스템 퍼포먼스의 한계

ⓑ 사설 IP 사용등의 사유로 인해 동일 IP 네트웍이 세계 곳곳에 존재함

ⓒ 과도한 네트웍 업데이트로 인한 대역폭 손실

RIP과 같은 클래스풀(classful) 라우팅 프로토콜의 존재

ⓔ 심각한 보안 이슈

ⓕ 라우터가 아닌 관리자에 의한 최적 라우팅 경로 선정의 필요성

 

 

 

그럼 위 내용에 대해 상세히 알아보자.

 

ⓐ 라우터 시스템 퍼포먼스의 한계

 

2009년 현재 전세계의 IP 네트웍 정보를 수용하는 BGP 테이블의 수는 약 250,000개 이다. 만약에 이 모든 라우팅 정보를 수신하려면 막강한 라우터의 시스템 메모리와 CPU를 필요하다. 그래서 특별한 경우가 아닌 한, 일반적으로 ISP들은 상호간에 BGP로 국제 라우팅 테이블은 필터링을 적용하여 전달하지 아니하고 약 10,000여개의 국내 라우팅 정보만 교환한다.

 

국내 라우팅 테이블만 수신하려 하더라도 일반적으로 시스코사의 경우는 Catalyst6500급 이상이 권장된다. 물론 BGP 정책을 잘 수립하면 그 이하 급의 장비에서도 가능은 하지만, 권장사항은 아니다. 결국 시스템을 안정적으로 운영하려면 필요한 라우팅 테이블만 수신하고, 나머지 네트웍에 대해서는 디폴트 라우트(default route) 정책 등을 적절히 병행해야만 한다.

 

ⓑ 사설 IP 사용등의 사유로 인해 동일 IP 네트웍이 세계 곳곳에 존재함

 

IANA등의 IP 기관에 정식으로 승인을 받은 공인(public) IP는 전세계적으로 단 하나의 호스트만 사용해야 되는 유니크(unique) IP이다. 현재 IANA에서는 사설(public) IP를 정의하고 있다. 사설 IPIANA ISP에 등록할 필요없이 관리자의 마음대로 개별 네트웍에서 중북되게 사용함을 허용하는 IP들이다.

 

사설 IP IP 부족 현상을 해결해주고, 폐쇄된 네트웍 등에서 IANA등의 허가없이 마음대로 사용해도 되므로 사용에 대한 제한이 전혀없는 장점이 있다. 대신에 사설 IP는 경로 중복을 방지하기 위해 ISP들간에 절대 교환하지 않는다. 이는 각 A, B, C 클래스 별로 하나의 범위씩 정의가 되어 있으며, 범위는 아래와 같다.

 

[– IANA 정의 사설(private) IP 범위]

구분

범위

가용IP

B Class

Class A

10.0.0.0/8

16,711,425

256 EA

Class B

172.16.0.0/20

1,048,560

16 EA

Class C

192.168.0.0/16

65,535

1 EA

 

ⓒ 과도한 네트웍 업데이트로 인한 대역폭 손실

 

앞서서 전세계의 라우팅 테이블의 수가 25,000여개라고 하였다. 이 라우팅 테이블이 다른라우터로 업데이트 되려면 수십 메가의 대역폭이 필요할 것이다. 링크 스테이트 라우팅 프로토콜의 경우에는 그래도 좀 낫지만, RIP과 같은 디스턴트 벡터 방식의 경우에는 30초마다 풀 라우팅 테이블을 업데이트 해야 한다. 이 경우 네트웍 대부분의 대역폭은 라우팅 업데이트만으로 모두 소모하게 될 것이다.

 

RIP과 같은 클래프풀(classful) 라우팅 프로토콜의 존재

 

RIP의 경우 클래스풀 라우팅 프로토콜이다. 예를들어 R1 R2 R3에 각각 연동되어 있다고 가정하자. R2 1.1.2.0/24를 보유하고 있고, R3 1.1.3.0/24를 보유해서 각각 R1에게 RIP으로 업데이트 하였다면 R1 R2 R3 1.0.0.0/8이라고 간주하므로 심각한 경로 문제가 발생한다. 이런 경우 부득이하게도 한쪽 경로에서 수신되는 라우팅 테이블을 차단해야만 한다.

 

ⓔ 심각한 보안 이슈

 

일반적으로 국가정보원 또는 금융권의 네트워크는 최고 수준의 보안을 필요로 한다. 보안의이유로 자신의 네트웍 정보를 최대한 숨겨야 하는 입장이다. 만약 불필요하게 자신의 네트웍 정보를 공유할 경우에는 정보 유출 또는 해킹으로부터 자유로울 수 없을 것이다.

 

ⓕ 라우터가 아닌 관리자에 의한 최적 라우팅 경로 선정의 필요성

 

마찬가지로 R1 R2 R3과 각각 OSPF EIGRP로 연동되어 있다고 가정하자. R2 R3이 각각 R4 RIP으로 연동되어 있고, R4로부터 1.1.4.0/24 정보를 수신후 R1에게 전달했다고 가정하자. 이 경우 R1 AD값이 의거하여 R3가 전달해 준 EIGRP를 더 신뢰한다. 그런데 R1 R2간에는 1Gbps 회선으로, R1 R3간에는 100Mbps로 연동되어 있다면 당연히 R1 R2 경로를 선택하는 것이 유리하다. 이런 경우 R1 R3로부터 1.1.4.0/24에 대한 정보를 수신하지 않는 것이 더 나을수도 있다.

 

 


 

② 라우트 필터링의 방법

 

이런 여러 가지의 사유로 라우터는 인근 라우터로부터 수신하는 라우팅 업데이트에 대한 필터가 필요하다. 물론 보안 등의 사유로 인근 라우터에게 자신의 네트웍 정보를 일부러 광고하지 않아야 하는 경우도 있다.

 

이렇듯이 경로를 알려준 다음에 라우티드(route) 패킷을 필터링하는 방법 보다는 원천적으로 경로를 수신 또는 송신하지 않는다면 다음과 같은 대표적인 장점이 있다. 먼저 라우터의 불필요한 부하를 줄일수 있다. 두번째로 관리자가 원하는 최적의 라우팅 경로를 선택할 수도 있다. 세번째로 자신의 네트웍 정보를 숨김으로써 보안을 유지할 수 있기도 하다. 네번째는 재분배시에 발생하는 서브 옵티멀 라우팅(sub-optimal routing)이슈나 루핑 이슈를 방지할 수 있다. 끝으로 동일한 IP 네트웍 정보를 여러 개의 라우터에서 반복되게 사용하여도 경로 이슈나 IP 충돌이 발생하지 않는 장점이 있다.

 

[라우트 필터링 장점]

ⓐ 라우터나 네트웍 대역폭의 부하를 줄일 수 있음

ⓑ 관리자가 원하는 라우팅 정책을 설정할 수 있음

ⓒ 원치않는 네트웍 정보를 공개하지 않을 수 있으므로 보안을 유지할 수 있음

ⓓ 재분배시 발생하는 서브 옵티멀 라우팅이나 루핑 이슈를 해결할 수 있음

ⓔ 사설IP등의 사용으로 IP의 재사용이 가능함

 

라우터가 라우팅 업데이트에 대한 필터링을 하는 기술을 디스트리뷰트 리스트(distrubute-list)라는 기술을 사용한다. 디스트리뷰트 리스트는 엑세스 리스트에서 정의된 IP 패킷을 참조하여 특정 인터페이스나 특정 라우팅 프로세서로의 라우팅 정보의 수신 또는 송신을 필터링 하는 역할을 한다. 디스트리뷰트 리스트는 동일한 라우팅 프로세스내에서 라우터간의 라우팅 업데이트에 대한 필터링을 하지만, OSPF RIP 같은 상이한 라우팅 프로토콜간의 라우팅 업데이트에 대한 필터링도 가능하다.

 

참고로 디스트리뷰트를 우리말로 분배정도로 번역한다면, 리디스트리뷰트는 재분배정도로 번역된다. 재분배는 상이한 라우팅 프로토콜간에 라우팅 정보를 전달하는 기술이다. 한대의 라우터에서 여러 개의 라우팅 프로토콜이 운영되고 있고, 상호간 경로 정보를 전달해야 할 때 사용되어 진다. 재분배는 다음장에서 집중적으로 다루어 보겠다.

 

한대의 라우터 입장에서는 여러 개의 라우팅 프로토콜이 알아온 모든 경로를 알고 있지만, 인근 라우터에게는 구동되는 라우팅 프로토콜이 알지 못하는 외부의 경로에 대한 정보를 주어야 하는 경우도 있기 때문이다. 리디스트뷰트를 사용하는 경우에도 라우팅 업데이트에 대한 필터링이 가능하다. 리디스트리뷰트시의 라우팅 필터링은 디스트리뷰트 리스트를 사용할 수도 있지만, 일반적으로 엑세스 리스트(access-list)(prefix-list)에서 정의된 경로 정보와 연계하여 사용하는 루트맵(route-map)의 사용이 권장되어 진다.

 

 

 

[copy right by CrazyWoo(우명하); woomha@naver.com]


Title
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 How To Install GNS3 on Ubuntu 10.04 LTS Hojung 2011.04.25 6160
50 Cisco SPAN Hojung 2013.04.17 2139
49 f/r setting on main interface Hojung 2011.05.03 2241
48 Reset configuration in router/switch Hojung 2011.05.03 2554
47 Basic Configuration (password, domain-lookup, hostname, timeout) Hojung 2011.05.03 3023
46 [Crazy4CCIE-R&S편]VII.Security Hojung 2011.04.27 5029
45 [Crazy4CCIE-R&S편]VI. IP QoS (완료) Hojung 2011.04.27 9022
44 [Crazy4CCIE-R&S편]V.IP Multicast (완료) Hojung 2011.04.27 8636
43 [Crazy4CCIE R&S편]번외편 - 다이나밉스 운영 환경 최적화 Hojung 2011.04.27 5019
42 [Crazy4CCIE-R&S편]IV.IP and IOS Feature (완료) Hojung 2011.04.27 6258
41 [Crazy4CCIE-R&S편]II.IGP(9-IPv6-(3)-OSPFv3) Hojung 2011.04.27 4766
40 [Crazy4CCIE-R&S편]II.IGP(9-IPv6-(2)-RIPng) Hojung 2011.04.27 3457
39 [Crazy4CCIE-R&S편]II.IGP(9-IPv6-(1)-Concept) Hojung 2011.04.27 3278
38 [Crazy4CCIE-R&S편]II.IGP(8-Redistribute(재분배)-(3)-Red&Filter) Hojung 2011.04.27 2848
37 [Crazy4CCIE-R&S편]II.IGP(8-Redistribute(재분배)-(2)-Red&Metric) Hojung 2011.04.27 4963
36 [Crazy4CCIE-R&S편]II.IGP(8-Redistribute(재분배)-(1)-Concept) Hojung 2011.04.27 6934
35 [Crazy4CCIE-R&S편]II.IGP(7-Distribute-(3)-distribute-list-설정) Hojung 2011.04.27 3702
34 [Crazy4CCIE-R&S편]II.IGP(7-Distribute-(2)-labconfig) Hojung 2011.04.27 2559
» [Crazy4CCIE-R&S편]II.IGP(7-Distribute-(1)-concept Hojung 2011.04.27 2425
32 [Crazy4CCIE-R&S편]II.IGP(6-Filtering-(1~5)access-list&prefix-list Hojung 2011.04.27 3951
31 [Crazy4CCIE-R&S편]II.IGP(5-EIGRP-(5)-Authentication) Hojung 2011.04.27 2821
Board Pagination ‹ Prev 1 2 3 Next ›
/ 3

Designed by sketchbooks.co.kr / sketchbook5 board skin

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5