1. 개요
라우팅은 최선의 경로를 결정하는 과정
라우터는 분리된 네트워크를 연결하는 장치
정적 라우팅 | 수동으로 라우팅 테이블 관리 (운영 요원이 작업함) 단일 경로에 적합하고, 변화에 대처하기 힘듦 |
동적 라우팅 | 자동으로 라우팅 테이블 관리 다중 경로에 적합하고, 변화가 많을 때 능동적 대처 가능 |
- 규모가 큰 네트워크는 테이블을 동적으로 갱신하는 라우팅 프로토콜이 필요함
- AS: 하나의 관리 도메인에 속한 라우터 집합
- IGP: AS 내부에서 운영되는 라우팅 프로토콜
- EGP: AS 간에 라우팅 정보를 교환하는 프로토콜
2. 유니캐스트 라우팅
2-1. 라우팅 알고리즘
- 거리벡터 라우팅 (DV)
- 자신의 모든 이웃에게 네트워크 정보를 알려줌
- 거리 벡터: 최소 비용 트리로, 목적지까지의 경로는 제공하지 않음
- 링크-상태 라우팅
- LSDB: 최소 비용 트리를 만들기 위한 각 링크의 상태 집합
- 플러딩 과정을 통해 LSDB가 만들어짐
- 경로 벡터 라우팅 (PV)
- 스패닝 트리에 의해 경로를 결정
- 하나 이상의 경로가 있을 때, 최선의 규칙 사용
2-2. 유니캐스트 라우팅 프로토콜
- RIP
- DV 알고리즘 사용, 거리를 홉수로 저장함 (최대 15)
- 문제점과 해결법
- 느린 수렴, 무한 루프, 무한 세기, 작은 무한값
- Triggered update, Hold down, Split horizon, Route poisoning
- RIPv2
- RIPv1의 기능을 확장함 (서브넷마스크 식별, 경로정보 인증, AS 구별, 브로드캐스트 등)
- 호환성을 위해 동일한 메시지 포맷을 쓰고, 최대 홉수도 동일
- IGRP
- 시스코에서 제안한 프로토콜, 다섯 가지의 파라미터로 DV를 계산
- 파라미터: 대역폭, 지연, 신뢰도, 부하, MTU
- EIGRP
- 시스코에서 IGRP를 확장한 프로토콜
- DV 프로토콜이지만 링크-상태에 가까운 특성을 가짐
- OSPF
- 링크-상태 라우팅 프로토콜 (다익스트라 알고리즘 사용)
- 인증 지원 및 계층 토폴로지 구성 가능 (영역과 논리적 백본)
- BGP4
- PV 기반의 인터도메인 라우팅 프로토콜
- 홉수 대신 AS 번호 사용
3. 라우터 보안
3-1. 라우터 모드
- Privileged 모드: 모든 명령어 이용 가능
- 구성 모드: 구성 파일 변경
- Setup 모드: 라우터를 처음 켰거나 구성 파일이 없을 때 부팅하면서 들어가는 모드
3-2. 라우터 보안 설정
- RAM은 휘발성, NVRAM은 비휘발성 메모리이므로 셋팅값을 NVRAM에 저장하면 리부팅 시에도 적용됨
- enable을 통해 Privileged EXEC 모드로 들어갈 때, 패스워드 설정
- enable password (평문으로 저장) 또는 enable secret (암호문으로 저장) 가능
- 액세스 리스트 (access-list)
- 소스 IP만으로 패킷을 허용하거나 차단 가능
- Extended 액세스 리스트: 소스 IP뿐만 아니라 목적지, 포트, 프로토콜 등 다양한 정책으로 차단 가능
- access-list-number: 액세스 리스트 명령을 인터페이스에 연결해줌
- 규칙
- 윗줄부터 차례로 수행됨
- 마지막 line에 permit any를 넣지 않으면 default로 deny함
- 새로운 line은 항상 맨 마지막에 추가되므로 선택적 추가, 제거가 불가
- 인터페이스에 대해 액세스 리스트가 정의되지 않으면 permit any가 됨
- 네트워크 보안 설정
Ingress 필터링 | access-lit로 유입되는 패킷을 필터링함 |
Egress 필터링 | 내부에서 라우터 외부로 나가는 패킷을 필터링함 |
Blackhole 필터링 | 특정 IP에 대해 Null이라는 가상의 쓰레기 인터페이스로 보내 통신을 차단함 (DDoS 대응) |
Unicast RPF | 패킷이 들어온 인터페이스로 다시 나가는지 확인 |
- 소스 라우트
- 대략적으로 경로를 지정하는 루즈 소스라우팅과 정확하게 지정하는 스트릭트 소스 라우팅 존재
- 리소스 점검
- show 명령어를 통해 라우터의 리소스 점검 가능