분노한 단타 브레이커

eBGP 구성

• 루프백 네트워크만 BGP에 포함
• 각 라우터를 연결하는 구간의 네트워크는(1.1.23.0/24, 1.1.24.0/24) BGP에 포함시키지 않는다. 해당 네트워크를 광고하려면 BGP 네트워크에 포함시키거나 축약 기법을 사용.
• 1.1.12.0/24 네트워크를 iBGP 라우터들에게 광고하려면 SW2에서 gi1/1 인터페이스를 OSPF에 포함시킨다.

-------------- SW-1 -------------- 
router bgp 1
 bgp router-id 1.1.1.1
 network 1.1.1.1 mask 255.255.255.255
 neighbor 1.1.12.2 remote-as 234

-------------- SW-2 -------------- 
router bgp 234
 bgp router-id 2.2.2.2
 network 2.2.2.2 mask 255.255.255.255
 neighbor 1.1.12.1 remote-as 1

-------------- SW-1 --------------
# sh ip bgp
Network          Next Hop            Metric LocPrf Weight Path
 *>  1.1.1.1/32       0.0.0.0                  0         32768 i
 *>  2.2.2.2/32       1.1.12.2                 0             0 234 i
 *>  3.3.3.3/32       1.1.12.2                               0 234 i
 *>  4.4.4.4/32       1.1.12.2                               0 234 i

# sh ip rou bgp 
B        2.2.2.2 [20/0] via 1.1.12.2, 00:06:14
B        3.3.3.3 [20/0] via 1.1.12.2, 00:03:30
B        4.4.4.4 [20/0] via 1.1.12.2, 00:03:00

-------------- SW-2 --------------
# sh ip bgp
      Network          Next Hop            Metric LocPrf Weight Path
 *>  1.1.1.1/32       1.1.12.1                 0             0 1 i
 *>  2.2.2.2/32       0.0.0.0                  0         32768 i
 r>i 3.3.3.3/32       3.3.3.3                  0    100      0 i
 r>i 4.4.4.4/32       4.4.4.4                  0    100      0 i

# sh ip rou bgp 
 B        1.1.1.1/32 [20/0] via 1.1.12.1, 00:06:14

 -------------- SW-3 --------------
 # sh ip bgp
      Network          Next Hop            Metric LocPrf Weight Path
 *>i 1.1.1.1/32       1.1.12.1                 0    100      0 1 i
 r>i 2.2.2.2/32       2.2.2.2                  0    100      0 i
 *>  3.3.3.3/32       0.0.0.0                  0         32768 i
 r>i 4.4.4.4/32       4.4.4.4                  0    100      0 i

# sh ip rou bgp 
 B        1.1.1.1/32 [200/0] via 1.1.12.1, 00:04:45

 -------------- SW-4 --------------
# sh ip bgp
      Network          Next Hop            Metric LocPrf Weight Path
 *>i 1.1.1.1/32       1.1.12.1                 0    100      0 1 i
 r>i 2.2.2.2/32       2.2.2.2                  0    100      0 i
 r>i 3.3.3.3/32       3.3.3.3                  0    100      0 i
 *>  4.4.4.4/32       0.0.0.0                  0         32768 i
 
# sh ip rou bgp
 B        1.1.1.1/32 [200/0] via 1.1.12.1, 00:04:17

iBGP 구성

• 동일 AS에 포함된 모든 BGP 라우터를 iBGP로 지정하는 Full Mesh 방식 사용.
• 내부 BGP가 제대로 동작하려면 각 iBGP 라우터는 AS 내의 다른 모든 iBGP 라우터와 피어링되어야 한다. eBGP와 달리 iBGP 피어링은 직접 연결될 필요가 없다.
• iBGP 피어링에는 루프백을 사용하는 경우가 많고, 루프백은 한 경로에 장애가 발생하더라도 IGP가 루프백으로 연결되는 다른 경로를 찾을 수 있기 때문에 유용하다.

-------------- SW-2 -------------- 
router ospf 234
 router-id 2.2.2.2
 passive-interface GigabitEthernet1/1
 network 1.1.12.2 0.0.0.0 area 0
 network 1.1.23.2 0.0.0.0 area 0
 network 2.2.2.2 0.0.0.0 area 0
 
router bgp 234
 bgp router-id 2.2.2.2
 network 2.2.2.2 mask 255.255.255.255
 neighbor 3.3.3.3 remote-as 234
 neighbor 3.3.3.3 update-source Loopback0
 neighbor 4.4.4.4 remote-as 234
 neighbor 4.4.4.4 update-source Loopback0

-------------- SW-3 -------------- 
router ospf 234
 router-id 3.3.3.3
 network 1.1.23.3 0.0.0.0 area 0
 network 1.1.34.3 0.0.0.0 area 0
 network 3.3.3.3 0.0.0.0 area 0
 
 router bgp 234
 bgp router-id 3.3.3.3
 network 3.3.3.3 mask 255.255.255.255
 neighbor 2.2.2.2 remote-as 234
 neighbor 2.2.2.2 update-source Loopback0
 neighbor 4.4.4.4 remote-as 234
 neighbor 4.4.4.4 update-source Loopback0

-------------- SW-4 -------------- 
router ospf 234
 router-id 4.4.4.4
 network 1.1.34.4 0.0.0.0 area 0
 network 4.4.4.4 0.0.0.0 area 0

router bgp 234
 bgp router-id 4.4.4.4
 network 4.4.4.4 mask 255.255.255.255
 neighbor 2.2.2.2 remote-as 234
 neighbor 2.2.2.2 update-source Loopback0
 neighbor 3.3.3.3 remote-as 234
 neighbor 3.3.3.3 update-source Loopback0

-------------- SW-2 -------------- 
O        1.1.34.0/24 [110/2] via 1.1.23.3, 00:07:03, GigabitEthernet1/2
O        3.3.3.3 [110/2] via 1.1.23.3, 00:07:03, GigabitEthernet1/2
O        4.4.4.4 [110/3] via 1.1.23.3, 00:07:03, GigabitEthernet1/2

-------------- SW-3 -------------- 
O        1.1.12.0/24 [110/2] via 1.1.23.2, 00:07:07, GigabitEthernet1/2
O        2.2.2.2 [110/2] via 1.1.23.2, 00:07:07, GigabitEthernet1/2
O        4.4.4.4 [110/2] via 1.1.34.4, 00:07:07, GigabitEthernet1/3

-------------- SW-4 -------------- 
O        1.1.12.0/24 [110/3] via 1.1.34.3, 00:06:58, GigabitEthernet1/3
O        1.1.23.0/24 [110/2] via 1.1.34.3, 00:07:08, GigabitEthernet1/3
O        2.2.2.2 [110/3] via 1.1.34.3, 00:06:58, GigabitEthernet1/3
O        3.3.3.3 [110/2] via 1.1.34.3, 00:07:08, GigabitEthernet1/3

• BGP는 광고받은 네트워크의 next hop 주소가 라우팅 가능한 것이어야만 해당 네트워크를 사용할 수 있다.
• 예) SW2, SW3, SW4에서 AS1에 속한 1.1.1.1/32 네트워크의 next hop은 AS 1과 AS 234를 연결하는 SW1의 인터페이스의 주소인 1.1.12.1이다. 따라서 AS 234에 속한 각 라우터에서  1.1.1.1/32 네트워크와 통신이 되려면 next hop 주소가 포함된 1.1.12.0 네트워크로 라우팅이 가능해야 한다.

BGP에서 next hop 문제를 해결하는 방법

1. DMZ를 IGP에 포함

• SW2에서 OSPF 설정 시 gi1/1 인터페이스를 포함시킨다.

router ospf 234
 passive-interface GigabitEthernet1/1 ----- 1
 network 1.1.12.2 0.0.0.0 area 0 ----- 2

1. SW1이 광고하는 1.1.1.1 네트워크의 next hop 1.1.12.0 네트워크를 AS 234에 소속된 라우터들에게 알리기 위해 OSPF에 포함 시킨다.
2. AS 1로 전송되는 불필요한 OSPF Hello 패킷을 차단한다.

SW-3#sh ip bgp 1.1.1.1
----- 적용 전
BGP routing table entry for 1.1.1.1/32, version 9
Paths: (1 available, no best path)
  Not advertised to any peer
  Refresh Epoch 1
  1
    1.1.12.1 (inaccessible) from 2.2.2.2 (2.2.2.2)
      Origin IGP, metric 0, localpref 100, valid, internal
----- 적용 후  
Paths: (1 available, best #1, table default)
  Not advertised to any peer
  Refresh Epoch 1
  1
    1.1.12.1 (metric 2) from 2.2.2.2 (2.2.2.2)
      Origin IGP, metric 0, localpref 100, valid, internal, best

2. next-hop-self 옵션 사용

• SW2에서 네이버를 설정하면서 next hop IP 주소를 SW3, SW4가 알고 있는 SW2 자신의 주소로 변경한다.

SW-2(config-router)#do sh run | s r b
router bgp 234
 neighbor 3.3.3.3 update-source Loopback0
 neighbor 4.4.4.4 update-source Loopback0

SW-3#sh ip bgp
     Network          Next Hop            Metric LocPrf Weight Path
 *>i 1.1.1.1/32       2.2.2.2                  0    100      0 1 i
 
 SW-3#sh ip bgp 1.1.1.1       
BGP routing table entry for 1.1.1.1/32, version 12
Paths: (1 available, best #1, table default)

    2.2.2.2 (metric 2) from 2.2.2.2 (2.2.2.2)
      Origin IGP, metric 0, localpref 100, valid, internal, best

1. Static NAT (SNAT)

ㆍ명령어를 통해 사설 IP 주소와 공인 IP 주소가 수동으로 1:1 매핑된다.

ㆍ외부 호스트가 내부로의 연결을 시작할 수 있다.

ㆍPC1의 10.1.1.1은 항상 59.1.1.1로 대체된다.

ㆍPC 세 대가 추가되는 경우 공인 IP도 세 개가 필요하다.

ㆍ공인 IP의 서브넷이 /28이므로 최대 16개의 주소만 사용할 수 있다.

ㆍStatic NAT는 특정 내부 사설 IP가 특정 공용 IP에 항상 매핑되기 때문에 웹 서버, 메일 서버와 같이 외부에서 지속적으로 접속해야 하는 서비스에 유용하다.

2. Dynamic NAT

ㆍ동적 NAT는 미리 정의된 글로벌 IP Pool에서 로컬 주소와 글로벌 IP 주소간 동적으로 매핑한다.

ㆍNAT Pool의 크기는 인터넷에 액세스할 수 있는 내부 호스트의 최대 수를 정의한다.

ㆍ외부에서 내부로 직접 접근 불가

ㆍ트래픽이 전송될 때만 공인 IP가 사설 IP에 할당되고 세션이 종료되면 해제된다.

Dynamic 동작 순서

ㆍ1단계: 내부 호스트 PC2에서 외부(8.8.8.8)로 향하는 트래픽을 보낸다.

ㆍ2단계: 라우터는 Inside 인터페이스에서 패킷을 수신.

ㆍ3단계: 라우터는 NAT 구성에 따라 호스트의 IP를 NAT Pool에서 사용 가능한 첫 번째 공인 IP 주소에 매핑, PC2의 IP(10.1.1.2)와 NAT Pool에서 사용 가능한 첫 번째 공인 IP(59.1.1.1) 간에 1:1 매핑되어 NAT Table에 저장된다. 이후 테에블에서 항목이 삭제되면 공인 IP는 NAT Pool에 반환된다.

3. PAT(=NAPT)

 ㆍNAT overload라고도 하며, 여러 사설 주소를 하나의 공인 IP 주소로 변환하여 여러 클라이언트의 TCP 세션을 한 클라이언트의 여러 TCP 세션처럼 보이게 한다. (클라이언트-서버 통신의 클라이언트에만 적용된다.)

각 연결에 다른 port 번호를 사용하여 외부 네트워크에 액세스할 수 있도록 한다.

 ㆍ 1:N(포트 기반)

 ㆍ대규모 사용자 환경에서 인터넷 접속을 위해 사용.

 ㆍ외부에서 내부로 접근이 제한적 또는 불가.

호스트 10.1.1.1이 동일한 서버에 여러 TCP 연결을 하려면 다른 TCP 포트를 사용해야 한다.

ㆍ모든 TCP 세션은 한 쌍의 소켓 간에 이루어진다. 로컬 소켓과 우너격 소켓의 조합은 호스트가 각 연결에 대해 서로 다른 TCP 포트를 사용하기 때문에 고유하다.

세 개의 서로 다른 호스트가 동일한 서버에 단일 연결을 하는 경우

ㆍ각 호스트가 동일한 TCP 포트를 사용하고, IP 주소가 다르기 때문에 서버 관점에서는 세 개의 TCP 세션이 서로 다르다.

IT 분야에서의 offload

IT 분야에서 offload는 주로 부하를 분산시키거나 특정 작업을 다른 시스템이나 프로세스에 맡기는 행위를 의미한다.

주요 예시

서버 오프로딩(Server Offloading): 서버의 처리 부하를 줄이기 위해 일부 작업을 다른 시스템으로 이전하는 것

예: 로드 밸런서가 트래픽을 여러 서버로 분산.

출처: https://jibinary.tistory.com/612#google_vignette

ㆍ일반 Area에서 default route를 만들어 동일 Area에 속한 라우터들에게 전달하려면 default-information originate 명령어를 사용한다.

ㆍStub Area에서는 ABR이 자동으로 default route를 만들어 LSA type 3을 이용하여 내부로 전송한다.

ㆍdefault-information originate always 명령어를 사용하면 default route가 모두 다운되어도 항상 디폴트 루트를 생성하여 다른 라우터로 광고한다.

SW-2#sh run | include ip rou
ip route 0.0.0.0 0.0.0.0 1.1.23.3

SW-2#sh run | s r o
router ospf 10
 default-information originate

SW-1#sh ip rou ospf | b res
O*E2  0.0.0.0/0 [110/1] via 1.1.12.2, 00:01:11, GigabitEthernet1/1

SW-2(config-router)#do sh ip rou | b res
S*    0.0.0.0/0 [1/0] via 1.1.23.3

SW-3#sh ip rou ospf | b res
O*E2  0.0.0.0/0 [110/1] via 1.1.23.2, 00:01:41, GigabitEthernet1/2

OSPF 내부 네트워크 축약

OSPF 내부 네트워크는 해당 네트워크가 소속된 Area의 ABR에서만 축약이 가능하다.

축약 전

SW-2

interface Loopback30
 ip address 3.3.31.3 255.255.255.0 secondary
 ip address 3.3.30.3 255.255.255.0
 ip ospf network point-to-point

router ospf 10
 network 3.3.30.0 0.0.1.255 area 10

SW-1#sh ip rou ospf | b set
O IA     3.3.30.0/24 [110/3] via 1.1.12.2, 00:00:30, GigabitEthernet1/1
O IA     3.3.31.0/24 [110/3] via 1.1.12.2, 00:00:30, GigabitEthernet1/1

SW-2(config-router)#do sh ip rou ospf | b set
O        3.3.30.0/24 [110/2] via 1.1.23.3, 00:00:28, GigabitEthernet1/2
O        3.3.31.0/24 [110/2] via 1.1.23.3, 00:00:28, GigabitEthernet1/2

축약 후

SW-3

router ospf 10
 network 3.3.30.0 0.0.1.255 area 10

SW-1#sh ip rou | b set
O IA     3.3.30.0/23 [110/3] via 1.1.12.2, 00:00:06, GigabitEthernet1/1

SW-2(config-router)#do sh ip rou | b set                
O        3.3.30.0/23 is a summary, 00:01:30, Null0
O        3.3.30.0/24 [110/2] via 1.1.23.3, 00:01:30, GigabitEthernet1/2
O        3.3.31.0/24 [110/2] via 1.1.23.3, 00:01:30, GigabitEthernet1/2

OSPF 외부 네트워크 축약

OSPF로 재분배된 네트워크는 그 네트워크를 재분배한 ASBR에서만 축약이 가능하다.

축약 전

SW-3

interface Loopback30
 ip address 3.3.31.3 255.255.255.0 secondary
 ip address 3.3.30.3 255.255.255.0
 ip ospf network point-to-point

router ospf 10
 router-id 3.3.3.3
 network 1.1.23.3 0.0.0.0 area 10
 network 3.3.3.3 0.0.0.0 area 10

축약 후

SW-3

router ospf 10
 summary-address 3.3.30.0 255.255.254.0
 redistribute connected subnets

SW-1#sh ip rou | b set
O E2     3.3.30.0/23 [110/20] via 1.1.12.2, 00:00:08, GigabitEthernet1/1

SW-2(config-router)#do sh ip rou os | b set
O E2     3.3.30.0/23 [110/20] via 1.1.23.3, 00:00:05, GigabitEthernet1/2

Hello/Dead interval

ㆍdead 주기는 hello 주기의 4배

ㆍhello 주기를 변경하면 자동으로 dead 주기도 변경.

ㆍdead 주기는 변경하는 경우에는 hello 주기가 자동으로 변경되지 않는다. 

재전송 타이머

ㆍDDP, LSR, LSA 전송 후 재전송 타이머 기간 내에 상대에게서 ACK를 받지 못하면 문제가 발생한 것으로 간주하고 재전송하는 간격이다.

ㆍ주기는 5초

ip ospf retransmit-interval

Throttle 타이머

ㆍLSA 수신 후 다음 SPF 알고리즘을 계산할 때까지의 시간.

show ip ospf

 Initial SPF schedule delay 5000 msecs --- 1
 Minimum hold time between two consecutive SPFs 10000 msecs --- 2
 Maximum wait time between two consecutive SPFs 10000 msecs --- 3
       ...........
        SPF algorithm last executed 00:31:05.574 ago --- 4
        SPF algorithm executed 5 times --- 5

1 - LSA를 수신한 다음 SPF 알고리즘을 계산할 때까지의 지연 시간.

2 - SPF 계산 간의 초기 지연 시간. 이 지연 시간 내에 추가로 LSA를 수신하면 두 배로 늘어난다.

3 - 네트워크가 불안정하여 추가적인 LSA를 연속적으로 받는 경우 SPF 계산을 이 기간 이상 지연시키지 않는다.

     SPF 계산 지연 시간을 최대 10초를 넘기지 않는다.

4 - 가장 최근에 이루어진 SPF 계산 후의 경과 시간

5 - SPF 계산 회수 표시.

router ospf 10
 timers throttle spf 10 5000 10000
 
 sh ip ospf
       .........
 Initial SPF schedule delay 10 msecs
 Minimum hold time between two consecutive SPFs 5000 msecs
 Maximum wait time between two consecutive SPFs 10000 msecs

• passive가 적용된 인터페이스로는 OSPF Hello 패킷을 전송하지 않고 상대에게 받아도 무시한다.
• 해당 인터페이스를 통해 OSPF 네이버가 맺어지지 않으므로 잘못된 OSPF 라우팅 정보로 인판 피해를 최소화활 수 있다.

router ospf 10
 router-id 2.2.2.2
 passive-interface GigabitEthernet1/2

OSPF Area

▪ OSPF는 네트워크를 복수개의 에어리어로 나누어 설정한다.

▪ 두 개 이상의 Area로 구성할 때에는 그 중 하나는 반드시 Area 번호를 0으로 설정해야 한다.

▪ OSPF의 라우팅 정보를 LSA라고 하며, 이 중 LSA type1, 2는 동일 Area 내부로만 전달된다.

  (토폴로지 변화가 심한 네트워크에서 그 영향을 하나의 Area 내부에만 국한시킬 수 있다.)

▪ Area별로 축약을 한다. 특정 Area에 소속된 네트워크를 축약함으로써 특정 Area의 네트워크 정보를 광고하는 LSA type 3의 전송을 최소화할 수 있다. 

  (특정 에어리어에서 발생하는 토폴로지 변화가 다른 에어리어에 미치는 영향을 최소화시킬 수 있다.)

▪ Stub Area란 OSPF 외부 네트워크(재분배된) 또는 Area의 라우팅 정보가 모두 차단되어 Routing Table이 획기적으로 줄어든 Area를 말한다.

▪ Backbone Area (Area 0)

 ㆍBackbone Area에 속한 라우터.

 ㆍOSPF Domain 내의 모든 라우팅 정보는 Backbone Area를 통해 공유.

 ㆍ모든 Area는 반드시 Backbone Area에 물리적으로 연결되어야한다.

▪ Non Backbone Area

 ㆍBackbone Area 외의 Area.

 ㆍ자신의 Area에 속한 라우팅 정보는 갖고 있지만 다른 Area의 라우팅 정보는 갖고 있지 않음.

 ㆍ라우팅 정보는 Backbone Area에게 요약(summary)된 네트워크 형태로 전달된다.

▪ Stub Area

 ㆍ외부로 나가는 경로가 ABR을 통한 경로 밖에 없는 Area 이다.

 ㆍ ASBR을 통한 재분배 경로가 존재해서는 안된다. (OSPF 이외의 네트워크는 존재하지 않음)

 ㆍABR은 내부 라우터에게 모든 외부 Network 경로에 대한 LSA를 차단하고, 대신 Default Route 정보를 전달한다. (stub area에 포함된 라우터들은 자신의 routing table에 없는 경로로 패킷을 전달해야 될 경우에 default route인 ABR에게 패킷을 전달.)

▪ Totally Stubby Area

 ㆍCisco 장비에만 설정 가능한 Area

 ㆍStub Area보다 더 많은 정보를 차단

 ㆍOSPF Domain 외부 Network 정보와 다른 Area의 Network 정보도 모두 Default Route로 대체

▪ NSSA Area

 ㆍstub area는 ASBR이 존재해서는 안되는데 NSSA에서는 있을 수 있고, 외부에서 재분배되어 유입되는 네트워크도 있을 수 있다.

 ㆍABR 외에도 외부 경로가 있을 수 있으므로 기본적으로 default route 정보를 내부로 전달하지 않는다. 

 ㆍ보통 OSPF 외부에서 재분배되어 들어오는 경로가 host 수준의 경로이고 그쪽을 통해 다른 네트워크로 가기 힘든 구조이다. 이런 경우에는 ABR로부터 default route 정보를 받는다. (default-information-originate)

▪ Totally NSSA Area

 ㆍTotally Stubby와 NSSA를 합쳐 놓은 개념.

 ㆍOSPF 외부 경로가 있지만 해당 경로가 Stub Netowrk일 경우 외부로 나가기 위한 경로가 ABR을 통하는 경로밖에 없을 경우에 선언한다. 이 때 ABR에서 no-summary를 적용하여 default-route를 내부 라우터들에게 전달 한다.

OSPF Router의 종류

OSPF Router는 소속된 Area와 역할에 따라서 내부 라우터, ABR, ASBR로 구분된다.

OSPF LSA Type

LSA Type-1,2는 OSPF Intra Area 정보로 동일한 Area에 소속된 라우터로부터 정보를 수신한 경우이며, 라우팅 테이블에 'O'로 표시된다. LSA Type-3,4는 OSPF Internal Area로서 다른 Area에 소속된 네트워크 정보이며 'O IA'로 표시된다.

LSA Type-5는 ASBR에 의해 다른 라우팅 프로토콜에서 OSPF로 재분배된 외부 네트워크 정보이다. ‘O E1’ 또는 ‘O E2’로 기록이 표시됨. E2의 경우는 재분배될 때 적용된 OSPF Metric(cost)이 OSPF 내부 라우터들을 거쳐 전파되어도 변하지 않는 고정 코스트 값을 가지며, 재분배시 적용되는 기본값이다. E1의 경우는 재분배시에 Metric이 한 번 적용된 후 OSPF 내부 라우터 구간을 거칠수록 Metric 값들이 추가되는 변동 코스트 값을 가진다.

LSA Type-7은 ASBR에 의해 재분배되어 넘어온 외부 네트워크 정보이다. NSSA(Not-So-Stub-Area)에서 사용되며, Type-5와 차이점은 일반 ASBR이 아닌 NSSA ASBR이 재분배 한다. 라우팅 테이블에는 ‘O N1’ 또는 ‘O N2’로 표시되며 E1/E2와 마찬가지로 OSPF 내부 metric을 더하느냐, 더하지 않느냐의 차이이다. (기본은 ‘O N2’) 참고로 해당 정보를 OSPF 내부로 재분배한 NSSA ASBR이 포함된 에어리어 에서는 ‘O N1’ 또는 ‘O N2’로 나타나지만, 이 정보가 ABR에 의해 타 Area로 전파될 때는 LSA Type-5로 변환이 되어 ‘O E1’ 또는 ‘O E2’로 변경된다.