[PBR] 정책기반 라우팅 설정

      [PBR] 정책기반 라우팅 설정에 댓글 없음

PBR에 관한 쉽게 서술한 문서여서.. 역시 여기에 올려봅니다.
출처: http://rainly.com/zb41/view.php?id=network

정책기반 라우팅은 대단히 유용하다고 할수있는데…
웜을 block할때도 응용해서 사용할수있고…
또 정책에 따라 다른 루트의 네트웍을 이용하게 할수도 있습니다.

이를테면.. 회사의 중요한 사내네트웍과 인터넷을 분리할수있습니다.
사내의 중요한 서버나 네트웍에 접근하는 경로엔
일반 인터넷트래픽이 들어오지못하도록…
아예 저렴한 회선(VDSL이나 파워콤)을 통해 일반 인터넷에
연결되도록 설정할수있답니다.
그러면 P2P등의 트래픽발생이 사내망에 영향을 미치지못하겠죠..^^


정책에 따라 라우팅 경로를 변경해야 할 필요가 생겼을때 PBR(Policy Based Routing)은 아주 유용하다. 예를 들어 특정 크기의 패킷을 모두 드롭시키거나, 특정 그룹에 대해 라우팅 경로를 바꾸는 등 특정 그룹에 대한 QoS를 적용하기 전에 우선순위 값을 바꾸는 등에 사용될 수 있다.
정책 기반의 라우팅을 실행하기 위해서는 route-map을 정의하고, 그 이후에 인터페이스에 적용해야 한다. route-map 정의 과정에는 매치(match) 조건 설정과 액션(action) 설정이 있는데, 매치 조건 설정에는 패킷 길이와 액세스리스트 설정 등이 필요하며, 액션 설정 과정에는 패킷 드롭, next-hop 변경, precedence bit 값 변경 등이 필요하다. 이 같은 사항을 실제 사례에 적용시켜보자.

사례 1 : 92바이트 핑(ping) 패킷 필터링


얼마 전에 유행했던 welchia/nachi 웜의 핑 공격에 대한 필터링 예를 들어보자. welchia/nachi에 감염되면 무수히 많은 92바이트 핑 패킷을 발생한다. 필자가 있었던 모 사이트의 경우 이 웜이 유행했을 때 일반적인 패킷보다 핑 패킷이 거의 10배 가까이 많이 나온 적이 있다. 물론, ACL을 이용해서 핑을 모두 막을 수도 있지만, 네트워크에서 핑은 중요한 역할을 하기 때문에 이를 모두 막으면 문제가 될 수 있다.
이럴 경우에 PBR을 이용해 일반적인 핑 패킷은 모두 허용하고, 패킷 크기가 92바이트인 핑 패킷만 막으면 된다. 다만, 한 가지 유의할 점은 윈도우에서는 핑이 되지만 tracert는 안된다는 것이다. 왜냐하면, 윈도우에서 traceroute는 92바이트 핑 패킷을 이용하기 때문이다. 물론, 유닉스/리눅스는 관련이 없다.

ip access-list extended ping
permit icmp any any echo
permit icmp any any echo-reply

route-map welchia permit 10
match ip address ping // ACL 핑에 속하고
match length 92 92 // 패킷 크기가 92바이트이면
set interface Null0 // 패킷을 드롭시켜라

interface Ethernet0
ip policy route-map welchia

사례 2 : 특정 그룹에 대한 경로 변경

A사는 전용회선을 두 개 사용하고 있는데, 10.10.10.0/24는 전용회선1을 사용하고, 10.10.20.0/24는 전용회선2를 사용하게끔 설정하려고 한다. 여기서도 PBR는 유용하게 사용된다.

access-list 10 permit ip 10.10.10.0 0.0.0.255
access-list 20 permit ip 10.10.20.0 0.0.0.255

route-map test permit 1
match ip address 10 // ACL 10번에 해당하면
set ip next-hop 10.10.1.2 // 10.10.1.2로 보내라

route-map test permit 2
match ip address 20 // ACL 20번에 해당하면
set ip next-hop 10.10.2.2 // 10.10.2.2로 보내라

interface Ethernet 0
ip policy route-map test // 패킷이 들어오면 test라는 route-map을 따른다.

위의 설정에서 ACL을 포트 번호 기준으로 변경하면, 특정 애플리케이션별로 사용할 수도 있다. 본사와 지사간 두 회선으로 연결돼 있는 이 같은 사례에서 PBR는 아주 유용하게 사용될 수 있다.

사례 3 : 특정 그룹에 대한 우선권(precedence bit) 값 변경

PBR는 QoS에서 우선권(precedence) 값을 변경하는 데도 이용된다.

access-list 10 permit ip 10.10.10.0 0.0.0.255
access-list 20 permit ip 10.10.20.0 0.0.0.255

route-map test permit 1
match ip address 10 // ACL 10번에 해당하면
set ip precedence priority // precedence bit 값을 priority로 바꿔라

route-map test permit 2
match ip address 20 // ACL 20번에 해당하면
set ip precedence critical // precedence bit 값을 critical로 바꿔라

interface Ethernet 0
ip policy route-map test

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.