본문 바로가기
조회 수 3563 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

+ - Up Down Comment Print
?

단축키

Prev이전 문서

Next다음 문서

+ - Up Down Comment Print

http://cafe.naver.com/neteg/60313


3) 디스트리뷰트 리스트(distribute-list) 설정

 

디스트리뷰트 리스트(distrubute-list)란 엑세스 리스트(access-list) 또는 프리픽스 리스트(prefix-list)를 이용하여 라우터들간에 라우팅 테이블 업데이트에 대해 필터링을 적용하는 기술이다. 일반적으로 엔지니어들 세계에서는 줄어서 그냥 (dib)’이라고도 불리운다. 엑세스 그룹(access-group)이 라우티드(routed) 프로토콜에 대한 필터링의 개념이라면, 디스트리뷰트 리스트는 라우팅 프로토콜에 대한 필터링을 하는 개념이다.

<?xml:namespace prefix = o /> 

기억해야 할 점은 디스트리뷰트 리스트는 동일한 라우팅 프로토콜내에서 라우트 필터링을 위해 사용될 수도 있지만, 상이한 라우팅 프로토콜간의 라우팅 업데이트시에 발생하는 라우트 필터링 기능도 제공한다. 다시 풀어 얘기하면, OSPF와 다른 OSPF 라우터간의 라우트 필터링의 역할과, OSPF EIGRP간에 재분배를 할 경우, 여기서 업데이트 되는 라우팅 테이블에 대한 필터링 기능도 제공한다는 것이다. 이 기능은 뒤에서 리디스트리뷰트(redistrubute)를 다루는 장에서 언급할 것이다.

 

디스트리뷰트 리스트는 앞서 설명한대로 라우트 업데이트시에 필터링 할 IP 네트웍에 대해서 일반적으로 엑세스 리스트를 사용하여 정의한다. 특히 엑세스 리스트중에 스텐다드(standard) 엑세스 리스트를 주로 사용한다. 스텐다드 엑세스 리스트는 일반적으로 특정 IP나 특정 IP 대역에 대한 필터링을 위해 사용되어 진다. 예를 들어 스텐다드 엑세스 리스트에서 199.172.0.0/16을 적용했다면, 여기에 포함되는 199.172.1.0/24192.168.2.0/24에 대한 업데이트 수신시에 필터링이 적용된다.

 

그러나 가끔 특정 IP 네트웍에서 특정 프리픽스에 대한 필터링도 필요하다. 예를 들어 199.172.0.0/16라는 서브넷에 대해 16bit의 프리픽스만 받고자 한다면 어떻게 해야 할까? , 199.172.0.0/16, 199.172.1.0/24, 199.172.2.0/24 모두에 대한 라우팅 테이블 수신시에  24bit 정보는 수신하지 아니하고 199.172.0.0/16에 매칭되는 프리픽스만 수신하고자 할 경우를 얘기한다. 이런 경우에는 엑세스 리스트보다 프리픽스 리스트(prefix-list)를 사용하는 것이 유리하다.

 

프리픽스 리스트는 스텐다드 엑세스 리스트가 가지는 서브넷 범위라는 개념 이외에도 특정 프리픽스 그 자체에 대한 필터링도 가능하기 때문이다. 물론 그 기능에 있어 절대적인 우위는 없으므로 상황에 따라 관리자가 적절히 선택하여 사용하면 된다. 그러나 CCIE R&S 시험에서는 라우트 필터링시에 일반적으로 서브넷 또는 특정 프리픽스에 대한 필터링 시에 모두 프리픽스 리스트를 쓰면 여러모로 편리하다.

 

참고로 재분배를 할 경우에는 엑세스 리스트도 프리픽스 리스트처럼 특정 프리픽스 그 자체에 대한 필터링이 가능하다. 일반적으로 사용되지는 않지만 재분배시에 익스텐디드 엑세스 리스트를 쓰면 IP 서브넷내의 특정 프리픽스, 예를 들어 16bit 이내의 24bit 정보만 수신 또는 거부가 가능하다. 여기서는 스텐다드 엑세스 리스트와 프리픽스 이용한 라우트 필터링에 대해 먼저 알아보도록 하자.


① 서브넷 범위에 디스트리뷰트 리스트 적용

 

라우팅 프로토콜에 관계없이 디스트리뷰트 리스트 명령어는 모두 동일하다. 여기서는 R1이 수신하는 BB1 RIP 라우팅 테이블중에 199.172.0.0/16에 포함된 서브넷들에 대한 업데이트만을 허용하는 경우를 확인해 보자.

 

[서브넷 범위에 디스트리뷰트 리스트 설정]

구분

명령어

standard access-list

access-list 1 permit 199.172.0.0 0.0.255.255

!

router rip

 distribute-list 1 in fastethernet 0/0 (특정 인터페이스 적용시)

distribute-list 1 in (전체 인터페이스 적용시)

named access-list

(standard)

ip access-list standard NAMED-STD-ACL

 permit 199.172.0.0 0.0.255.255

!

router rip

distribute-list NAMED-STD-ACL in f0/0

prefix-list

ip prefix-list PREFIX-SAMPLE permit 199.172.0.0/16 le 32

!

router rip

distribute-list prefix PREFIX-SAMPLE in f0/0

 

디스트리뷰트 리스트는 특정 인터페이스에만 적용할 수도 있지만, ‘distrubute 1 in’ 처럼 인터페이스를 지정하지 않으면 모든 인터페이스로 지정되므로 주의해야 한다. CCIE R&S 영역에서는 항상 특정 인터페이스가 주어지므로 여기서도 디스트리뷰트 리스트를 설정할 경우에는 반드시 인터페이스 단위로 설정하도록 한다.

 

참고로 각 인터페이스에는 인바운드와 아웃바운드 방향으로 각각 하나만의 디스트리뷰트 리스트만이 설정이 가능하다. 엑세스 리스트를 사용한 디스트리뷰트 리스트 사용중에 네임드 엑세스 리스트를 해당 인터페이스에 또 적용하면 기 설정된 디스트리뷰트 리스트를 덮어쓰게 된다.

 

그리고 엑세스 리스트를 사용한 디스트리뷰트 리스트를 사용중인 인터페이스에 프리픽스 리스트를 적용하려 하면, 기존의 디스트리뷰트 리스트를 먼저 지우고 작업하라는 에러 메시지가 발생한다. 디스트리뷰트 리스트에서 프리픽스 리스트를 사용하려면 ‘distrubute-list prefix’ 형식으로 뒤에오는 항목이 프리픽스 리스트임을 반드시 기재해 주어야 한다.

 

[디스트리뷰트 리스트를 중복하여 적용시 에러 메시지]

R1(config-router)#distribute-list prefix PREFIX-SAMPLE in f0/0

% Access-list filter exists, de-config first

 

위에서 프리픽스 리스트 뒤에는 ‘le 32’라는 옵션이 있다. 위의 조건에서 ‘199.172.0.0/16에 포함된 모든 서브넷을 수신하라고 표현하였으므로 ‘le 32’ 옵션이 들어가야 한다. 만약에 ‘le 32’ 옵션이 없다면, ‘199.172.0.0’ 네트웍에 대하여 16bit 마스크(mask)를 사용하는 프리픽스만 수신한다. 그러나 ‘199.172.10.0/24’같은 네트웍은 수신을 거부하게 되므로 위의 조건을 만족할 수 없기 때문이다.

 

 

 


② 특정 프리픽스만의 디스트리뷰트 리스트 설정

 

이번에는 서브넷의 레인지 단위가 아닌, 특정 프리픽스 단위로 매치되는 네트웍만 수신하도록 한다. R1에서 EIGRP로 수신하는 198.0.0.0/8 네트웍중에 24bit 네트웍만 수신하도록 하자. 당연히 특정 문구만 수신할 수 있는 프리픽스 리스트가 일반적으로 사용이 되어 진다. 일반적으로 CCIE R&S 시험에서는 향후에 백본에서 네트웍이 추가 되더라도 198.0.0.0/8 네트웍 중에서 C class , 24bit에 대한 업데이트만 받아라 라는 식으로 출제된다면 아래처럼 설정하면 된다.

 

[특정 프리픽스만의 디스트리뷰트 리스트 설정]

구분

명령어

prefix-list

ip prefix-list PREFIX-SAMPLE permit 198.0.0.0/8 ge 24 le 24

!

router eigrp 100

 distribute-list prefix PREFIX-SAMPLE in fastethernet 0/0

 

일반적으로는 사용되지 않지만, 재분배시에 익스텐디드 엑세스 리스트를 사용하면 프리픽스 리스트처럼 서브넷 내의 특정 프리픽스에 대한 라우트 필터링도 가능하다. 이 부분은 CCIE R&S에서 자주 출제되는 문제인데 뒤의 리디스트리뷰트(재분배)에서 설명하도록 한다.

 

참고로 RIP의 경우에는 디스트르뷰트 리스트를 적용하더라도 당장 라우팅 테이블에 적용되지 않는다. , 30초의 주기적인 업데이트시에 디스트리뷰트 리스트를 통한 필터링이 적용된다. 그러나 EIGRP의 경우에는 디스트리뷰트 리스트를 적용하거나 변경할 경우, 자동적으로 네이버 세선이 재설정 되면서 바로 적용이 된다.

 

 

 


③ 모든 라우팅 업데이트에 대한 필터링

 

이번에는 조금 특이한 경우를 확인해 보자. 만약에 임의의 라우터가 네이버에게 라우팅 테이블을 전혀 송신하지 않아야 하는 경우를 확인해 보자. 당연히 엑세스 리스트나 프리픽스 리스트에서 모든 네트웍에 해당되는 문구를 선언해 주면 된다. R3 BB3에세 아무런 라우팅 테이블도 수신하지 않는 경우를 설정해 보자.

 

[모든 라우팅 업데이트 수신에 대한 필터링]

구분

명령어

access-list

access-list 1 deny 0.0.0.0 255.255.255.255

또는

access-list 1 deny any

!

router eigrp 100

 distribute-list 1 in fastethernet 0/0

named access-list

(standard)

ip access-list standard NAMED-STD-ACL

 deny 0.0.0.0 255.255.255.255

또는

ip access-list standard NAMED-STD-ACL

deny any

!

router eigrp 100

 distribute-list NAMED-STD-ACL in fastethernet 0/0

prefix-list

ip prefix-list PREFIX-SAMPLE deny 0.0.0.0/0 le 32

!

router eigrp 100

 distribute-list prefix PREFIX-SAMPLE in fastethernet 0/0

 

지금까지 수신의 경우만 필터링을 적용했는데, 송신의 경우는 방향만 인바운드를 아웃바운드로 설정해주면 된다.

 

[모든 라우팅 업데이트 송신에 대한 필터링]

구분

명령어

access-list

access-list 1 deny 0.0.0.0 255.255.255.255

또는

access-list 1 deny any

!

router eigrp 100

 distribute-list 1 out fastethernet 0/0

named access-list

(standard)

ip access-list standard NAMED-STD-ACL

 deny 0.0.0.0 255.255.255.255

또는

ip access-list standard NAMED-STD-ACL

deny any

!

router eigrp 100

 distribute-list NAMED-STD-ACL out fastethernet 0/0

prefix-list

ip prefix-list PREFIX-SAMPLE deny 0.0.0.0/0 le 32

!

router eigrp 100

 distribute-list prefix PREFIX-SAMPLE out fastethernet 0/0

 

 

 

정리하자면, 디스트리뷰트 리스트란 엑세스 리스트나 프리픽스 리스트와 연동하여 인바운드 또는 아웃바운드 방향으로 특정 인터페이스에서 수신되는 라우트 업데이트에 대한 필터링 기능을 제공하는 것이다. 다음 장에서는 리디스트리뷰트 리스트에 대해 알아본다.

 

 

 

- distribute-list 편 최종회 - 

 

 

 

[copy right by CrazyWoo(우명하); woomha@naver.com]


Title
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 How To Install GNS3 on Ubuntu 10.04 LTS Hojung 2011.04.25 5880
50 Cisco SPAN Hojung 2013.04.17 2031
49 f/r setting on main interface Hojung 2011.05.03 2142
48 Reset configuration in router/switch Hojung 2011.05.03 2434
47 Basic Configuration (password, domain-lookup, hostname, timeout) Hojung 2011.05.03 2922
46 [Crazy4CCIE-R&S편]VII.Security Hojung 2011.04.27 4883
45 [Crazy4CCIE-R&S편]VI. IP QoS (완료) Hojung 2011.04.27 8730
44 [Crazy4CCIE-R&S편]V.IP Multicast (완료) Hojung 2011.04.27 8347
43 [Crazy4CCIE R&S편]번외편 - 다이나밉스 운영 환경 최적화 Hojung 2011.04.27 4899
42 [Crazy4CCIE-R&S편]IV.IP and IOS Feature (완료) Hojung 2011.04.27 6100
41 [Crazy4CCIE-R&S편]II.IGP(9-IPv6-(3)-OSPFv3) Hojung 2011.04.27 4626
40 [Crazy4CCIE-R&S편]II.IGP(9-IPv6-(2)-RIPng) Hojung 2011.04.27 3319
39 [Crazy4CCIE-R&S편]II.IGP(9-IPv6-(1)-Concept) Hojung 2011.04.27 3143
38 [Crazy4CCIE-R&S편]II.IGP(8-Redistribute(재분배)-(3)-Red&Filter) Hojung 2011.04.27 2719
37 [Crazy4CCIE-R&S편]II.IGP(8-Redistribute(재분배)-(2)-Red&Metric) Hojung 2011.04.27 4824
36 [Crazy4CCIE-R&S편]II.IGP(8-Redistribute(재분배)-(1)-Concept) Hojung 2011.04.27 6759
» [Crazy4CCIE-R&S편]II.IGP(7-Distribute-(3)-distribute-list-설정) Hojung 2011.04.27 3563
34 [Crazy4CCIE-R&S편]II.IGP(7-Distribute-(2)-labconfig) Hojung 2011.04.27 2422
33 [Crazy4CCIE-R&S편]II.IGP(7-Distribute-(1)-concept Hojung 2011.04.27 2299
32 [Crazy4CCIE-R&S편]II.IGP(6-Filtering-(1~5)access-list&prefix-list Hojung 2011.04.27 3786
31 [Crazy4CCIE-R&S편]II.IGP(5-EIGRP-(5)-Authentication) Hojung 2011.04.27 2687
Board Pagination ‹ Prev 1 2 3 Next ›
/ 3

Designed by sketchbooks.co.kr / sketchbook5 board skin

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5