VRF란?

Virtual Routing and Forwarding 의 약자이다.

2계층에서 스위치로 vlan 을 설정할 수 있는 것처럼 3계층에서 라우터로 가상 네트워크를 구축할 수 있는 기술이다.

한 라우터에서 동시에 여러 개의 라우팅 테이블을 관리할 수 있게 해준다.

라우팅 테이블을 새로 생성하여 Forwarding 을 분리시키는 것이다.

*Forwarding : 라우터의 입력 포트에서 출력 포트로 데이터를 이동시키는 것

하나의 라우터에 여러개의 VRF 를 설정할 수 있고, 같은 IP 주소를 사용해도 각각 독립적으로 동작한다.

VRF의 장점

• 네트워크 간의 라우팅 정보, 트래픽 등이 완벽히 분리되어 보안성이 향상된다.
• 여러개의 VRF 를 사용하면 네트워크 리소스를 효과적으로 사용할 수 있다.
• VRF 를 수정하거나 새로 생성하며 네트워크 요구 사항에 맞춰 빠르게 대응할 수 있다.
• MPLS 같은 프로토콜과 함께 사용될 수 있다.

*MPLS : 데이터 패킷에 IP 주소가 아닌 라벨을 붙여 스위칭이나 라우팅을 더 효율적으로 할 수 있도록 하는 프로토콜

VRF Lite ?

VRF 의 일부 기능을 단순화하고 경량화한 것이다.

VRF 보다 간단하게 구성할 수 있다.

MPLS 와 결합하지 않고 VRF 만 단독으로 사용할 때에도 VRF-Lite라고 말하기도 한다.

VRF 설정 (vrf lite)

(config)# ip vrf [ 생성할 vrf 이름 ]

(config)# interface [ vrf 적용할 인터페이스 ]

(config-if)# ip vrf forwarding [ 생성한 vrf 이름 ]

설정량에 따라 반복한다.

각각 vrf 를 설정하고 나서 show ip route 명령어로 라우팅 테이블을 조회해도 각 인터페이스들이 각각의 vrf로 이동했기 때문에 아무것도 뜨지 않는다.

특정 vrf의 라우팅 테이블을 조회하고 싶을 때는 show ip route vrf [ vrf 이름 ] 을 입력하면 적용된 인터페이스들이 잘 나타난다.

그리고 ping 통신을 진행할 때에도 vrf를 지정해 주어야 한다. (ex) ping vrf Red 192.168.3.2

라우터에서 라우팅을 해주면 각각 인터페이스에 해당하는 vrf의 라우팅 테이블이 업데이트된다.

Frame relay 란?

WAN 내에서 효율적인 통신을 위한 고가용성 데이터링크 프로토콜이다.

만약 라우터 세개가 서로 연결되어야 한다면 원래 한 라우터 당 두개의 회선을 연결해야 하지만 프레임 릴레이로 하나의 물리 회선에 여러 가상 회선을 만들어 통신할 수 있다.

이때 놓이는 가상회선에는 SVC(스위치드 가상회선)와 PVC(고정가상회선)가 있다.

주로 영구적 가상회선인 PVC를 사용한다.

Frame relay 의 장단점 (특징)

통신할 때의 비용과 서비스 유지 시간을 최소화할 수 있다.

연결 지향성 데이터 전송으로 전용 회선과 동급의 서비스를 제공받을 수 있다.

가변적인 길이의 데이터를 전송하기 때문에 지연에 민감한 형태의 데이터 전송에는 비효율적이다.

대역폭의 차이가 큰 구간에서 지속적으로 많이 통신하면 병목현상이 발생한다.

*병목현상 : 전체 시스템의 성능이나 용량이 하나의 구성 요소로 인해 제한을 받는 현상

DLCI

Data Link Connection Identifier 의 약자로, frame relay에서 연결된 가상회선들을 식별할 수 있게 해주는 물리적 주소이다.

따라서 각 라우터의 가상회선마다 DLCI를 설정하고 통신할 회선의 ip 주소끼리 매핑해주어야 한다.

Inverse ARP

inverse arp는 PVC 상에서 라우터 자신의 DLCI와 상대방의 IP 주소를 동적으로 매핑해주는 작업이다.

frame relay 설정 시 no inverse arp를 입력하지 않으면 라우터의 리소스가 낭비되거나 네트워크 지연을 발생시킬 수 있고, 보안상 취약하다.

LMI

Local Management Interface 의 약자로, frame relay는 lmi 시그널링을 통해 frame relay 가상회선의 연결과 상태를 관리한다.

종류에는 ANSI, Cisco, Q933a 가 있다. 

라우터에서 인식하는 여러 PVC들의 동작 상태를 확인한다.

동작 중인 PVC의 정상 동작 상태를 유지하기 위해 Keepalive 메시지를 10초 주기로 교환한다.

동작 가능한 PVC가 어떤 것인지 라우터에게 알려준다.

LMI 정보를 수신했을 때 가상회선은 3가지 상태 중 하나가 된다.

Active : 로컬라우터와 프레임릴레이 관리 장치 (O) 프레임릴레이 관리 장치와 대상 라우터 (O) <패킷 전송 가능>

Inactive : 로컬라우터와 프레임릴레이 관리 장치 (O) 프레임릴레이 관리 장치와 대상 라우터 (X) <패킷 전송 가능>

Deleted : 로컬라우터와 프레임릴레이 관리 장치 (X) 프레임릴레이 관리 장치와 대상 라우터 (X) <패킷 전송 불가능>

가상회선 종류

frame relay 설정 시 가상회선을 만들 때 Point to point 또는 multipoint 로 모드를 설정해 주어야 한다.

point to point 는 연결할 라우터 개수마다 가상회선을 만들어 일대일로 dlci와 매핑하는 방식이다.

multipoint 는 가상회선 하나에 여러 dlci와 ip 주소를 매핑하는 방식이다.

Frame relay 설정

point to point

(config)# interface [ frame relay 적용할 인터페이스 ]

(config-if)# encapsulation frame-relay

(config-if)# no frame-relay inverse-arp (동적 매핑을 사용한다면 생략)

(config)# interface [ 서브 인터페이스 ] point to point

(config-if)# ip address [ ip 주소 ] [ 서브넷마스크 ]

(config-if)# frame-relay interface-dlci [ 매핑할 dlci 번호 ]

설정할 서브인터페이스에 따라 마지막 세 줄을 반복한다.

라우터 세대가 있다고 가정하면 A와 B, B와C, C와A 사이는 각각 다른 네트워크이므로 통신을 위해서는 라우팅을 해야 한다.

multipoint

(config)# interface [ frame relay 적용할 인터페이스 ]

(config-if)# encapsulation frame-relay

(config-if)# no frame-relay inverse-arp (동적 매핑을 사용한다면 생략)

(config)# interface [ 서브 인터페이스 ] multipoint

(config-if)# ip address [ ip 주소 ] [ 서브넷마스크 ]

(config-if)# frame-relay map ip [ 매핑할 ip 주소 ] [ 매핑할 dlci ] (연결할 라우터 수에 따라 반복)

멀티포인트로 설정하면 모두 같은 네트워크 대역대이기 때문에 라우팅을 하지 않는다.

프레임 릴레이를 관리하는 클라우드의 각 인터페이스에 dlci들을 만들어 주고 frame relay 탭에서 dlci들을 매핑해주어야 한다.

이 작업을 PtoP와 Multi 모두 해야 한다.

Point to point protocol 이란?

점대점 통신 즉 두 양쪽 노드 간의 통신을 하도록 도와주는 프로토콜이다.

데이터링크 계층 상에서 동작하는  두 양쪽 노드 사이의 링크에 Connection을 개설하고 유지, 관리, 시험 및 종료하는 역할을 한다.

점대점 데이터링크를 확립하고 그 위에 3계층 프로토콜을 캡슐화한다. 주로 IP 전송을 위주로 하지만 그 외에 여러 3계층 프로토콜의 복합 전송도 가능하다.

PPP의 특징

1. LCP (Link Control Protocol) : 연결 양끝 노드 간 점대점 직렬 링크를 구성하여 데이터 전달
2. NCP (Network Control Protocol) : 단일 링크 상에서 복수의 네트워크 계층용 프로토콜을 다중화 시켜 사용이 가능하다. 주로 IP 캡슐화용 프로토콜로 많이 사용되지만 다른 프로토콜들도 캡슐화해서 전송이 가능하다.
3. HDLC (High-level Data Link Control)에서 유래되었다. 프레임 형식이 매우 유사하다. 
   플래그 + 주소 + 제어필드 + (프로토콜필드) + 정보데이터 + CRC + 플래그 의 형식이다. ppp에만 프로토콜 필드가 추가되었다.
4. 여러 기능을 지원 : 
   - 에러검출 : 각 PPP 프레임 헤더마다 CRC를 삽입하여 에러검출
   - 압축 : 느린 물리 링크에서 선택적인 압축이 가능해 성능을 향상
   - 인증 : PPP용 인증 프로토콜이 있다. (PAP, CHAP 등)
   - 암호화 : 데이터에 대한 선택적인 암호화가 가능하다.
   - 링크 통합 : 여러 물리적 링크를 통합시켜 하나의 고성능 데이터 링크로 동작시킨다.
5. 기존의 링크 계층 위에 PPP를 올려서 사용할 수 있다.
6. 동적 IP 주소 자동 할당 가능하다.

PPP의 구성 요소

• Encapsulation (캡슐화) : 데이터링크 상에서 3계층 패킷을 프레임화 또는 캡슐화한다. 어떤 직렬 회선에서도 안정된 전송을 보장하며 HDLC 방식에 기초한 프레임화 기법을 사용한다.
• LCP : PPP 데이터 링크를 개설, 유지, 종료, 시험한다. 직렬 연결 회선을 제어관리하고, 최대 프레임 길이, 인증용 프로토콜 등을 결정한다.
• NCP : 서로 다른 계층 프로토콜이 가능하게 하고, 세부적인 제어를 할 수 있게 한다. 단일 PPP 링크에 복수의 계층 프로토콜을 사용할 수 있다.

PPP의 인증 프로토콜

- PAP (Password Authentication Protocol) : 상대쪽 노드에게 신원을 확인 할 때 2-way-handshake를 사용한다.
            username과 password 로 신호를 보내고 인증이 완료되면 통신할 수 있다. 평문을 사용하므로 보안이 약하다.

- CHAP (Challenge Handshake Authentication Protocol) : PAP 보다 보안이 강화된 인증 프로토콜이다. 상태쪽 노드에게 신원을                 확인할 때 3-way-handshake를 사용한다. 또한 해싱을 이용해 암호화한다. 보안성이 증가한 만큼 인증 과정도 증가한다. 

PPP 설정 명령 (최소)

먼저 username 과 password 를 설정한다.

PAP

(config)# interface [ ppp 적용할 인터페이스 ]

(config-if)# encapsulation ppp

(config-if)# ppp authentication pap

(config-if)# ppp pap sent-username [ 통신 보낼 장치의 유저네임 ] password [ 통신 보낼 장치의 패스워드 ]

CHAP

(config)# interface [ ppp 적용할 인터페이스 ]

(config-if)# encapsulation ppp

(config-if)# ppp authentication chap

Layer 3

3.2.c Configure and verify eBGP between directly connected neighbors (best path selection algorithm and neighbor relationships)

BGP(Border Gateway Protocol)이란?

“인터넷에서” 데이터 전송의 최적 경로를 찾는 프로토콜

인터넷은 프로토콜, 디바이스 및 통신 기술을 통해 서로 연결된 수천 개의 프라이빗, 퍼블릭, 기업 및 정부 네트워크로 구성된다.

인터넷을 검색하면 데이터는 목적지에 도달하기 전에 여러 네트워크를 거쳐 이동한다.

BGP의 역할은 데이터가 이동할 수 있는 모든 경로를 살펴보고 최적의 경로를 선택하는 것이다.

예를 들어 미국의 사용자가 유럽의 오리진 서버로 애플리케이션을 로드하면 BGP가 해당 통신을 빠르고 효율적으로 만든다.

(기존의 rip, ospf와 같은 igp 라우팅 기술들은 이를 수행하지 못한다.)

인터넷은 수십만 개의 소규모 네트워크로 이루어져 있다.

각 소규모 네트워크를 자율 시스템이라고 하고, 이들은 인터넷 할당 번호 관리 기관 (IANA) 에서 지정한 고유 번호로 식별한다.

BGP는 TCP 포트 179번을 사용하고 유니캐스트 방식으로 교환한다.

IGP와 다르게 직접 연결되어 있지 않은 장비와 BGP Peer 관계를 수립할 수 있다.

IGP(Interior Gateway Protocol) : 임의의 AS 내부에서 동작하는 프로토콜

AS (Autonomous System) : 하나의 단일 기관 아래에서도 동일한 정책으로 관리되는 네트워크

BGP의 기능

1. 네트워크 연결 변경 사항 검색 - 인터넷의 구조는 동적이다. 새로운 자율 시스템이 추가됨에 따라 기존 시스템이 지속적으로 제거된다. 모든 자율 시스템은 새 경로와 이전 경로에 대한 정보를 지속적으로 업데이트해야 한다. BGP는 시스템이 이러한 네트워크 변경 사항을 검색하고 그에 따라 지속적으로 업데이트되도록 한다.
2. 네트워크 정책 관리 - 예를 들어 BGP를 실행하는 라우터가 자율 시스템의 내부 및 외부 경로를 구분하도록 구성할 수 있다고 한다. 관리자는 데이터를 내부로 라우팅할지 아니면 외부로 라우팅할지를 결정하는 규칙을 설정할 수 있다. BGP는 자율 시스템 관리자가 자체 라우팅 정책을 구현할 수 있는 유연성을 제공한다.
3. 네트워크 보안 계층 추가 - BGP는 네트워크 관리의 보안을 지원한다. 예를 들어 BGP는 사전 구성된 암호를 사용하여 라우터 간에 메시지를 인증할 수 있다고 한다. 관리자는 정상적인 자율 시스템에서 들어오는 BGP 메시지를 확인하고 무단 트래픽을 걸러낼 수 있다.

BGP 작동 원리

BGP는 피어링(peering) : “다운스트림” 사용자 간에 관리상 분리된 인터넷을 트래픽 교환을 위해 자발적으로 상호 연결하는 것이다.

*업스트림 : 클라이언트 → 서버 로 보내는 데이터  *다운스트림 : 서버 → 로컬 기기 데이터 흐름

관리자는 특정 라우터를 BGP 피어 또는 스피커 라우터로 할당한다.

(피어 : 자율 시스템의 엣지 또는 경계에 있는 장치)

• 경로 검색 - NLRI(Network Layer Reachability Information) 및 경로 속성을 통해 인접 BGP 라우터와 라우팅 정보를 교환한다. NLRI에는 인접 피어에 대한 연결 정보(지연 시간, 홉카운트, 전송 비용 등)가 포함된다. 정보 교환 후 각 BGP 피어는 주변 네트워크 연결의 그래프 구성 가능
• 경로 저장 - 위의 검색 프로세스 중 모든 BGP 라우터는 경로 알림 정보를 수집해 라우팅 테이블 형태로 저장한다. 라우팅 테이블을 사용해 경로를 선택하고 주기적으로 업데이트한다. (ex)BGP 라우터는 30초마다 인접 라우터로부터 연결 유지 메시지를 수신하고 그 메시지에 따라 저장된 경로를 업데이트한다.
• 경로 선택 - 저장된 정보를 사용하여 트래픽을 최적으로 라우팅한다.(당연함) 경로 선택의 주된 요소는 저장된 경로 그래프에 의해 결정되는 최단 경로. 여러 경로 선택지가 있을 경우 경로 속성을 순차적으로 비교해서 최상의 대상 선택.

iBGP와 eBGP

BGP session 관계를 맺는 AS 에 따라 타입이 나뉘며 서로 다른 특성을 가진다.

• internal BGP(iBGP) - 같은 AS 번호 아래에 있는 라우터와 BGP 관계를 맺거나 같은 BGP confederation(컨페더레이션)에 참여하고 라우터와 BGP 관계를 맺을 때. iBGP의 AD(Administrative Distance)는 200으로 라우팅 테이블에 표시된다. TTL의 기본값이 255이다. 이웃 관계를 맺을 때 루브팩 인터페이스 주소를 사용한다.
• external BGP(eGBP) - 서로 다른 AS 에 속해 있는 라우터간에 이웃 관계를 맺으면 eBGP가 된다. TTL의 기본값이 1이다. 멀티 홉 eBGP 이웃 관계를 맺기 위해 TTL값을 늘려줘야 한다. eBGP가 경로를 광고하면 local AS 번호가 추가된다. 수신한 경로 정보에 로컬 AS 번호가 포함되어 있으면 라우팅 루프라고 판단해서 해당 경로정보를 버린다. 이웃 관계를 맺을 때는 물리 인터페이스의 주소를 사용한다. AD는 20.

*BGP confederation : AS 내부에 사설 AS인 하위 AS를 생성해서 하위 AS 간에 eBGP 형식으로 연결하는 Fake eBGP로 하나의 공이 AS 를 구성하여 라우팅 루프를 방지한다.

*Administrative Distance : 서로 다른 두 라우팅 프로토콜에서 동일한 대상에 대해 둘 이상의 서로 다른 경로가 있는 경우 라우터가 최상의 경로를 선택하기 위해 사용하는 기능인 관리 거리이며 라우팅 프로토콜을 결정하는 데 사용하는 첫 번째 기준이다. 라우팅 정보 소스의 신뢰성을 측정하는 척도이다. 관리 거리는 로컬에만 해당하며 라우팅 업데이트에서는 알려지지 않는다.

BGP neighbor? network?

BGP를 설정할때 neighbor 와 network 를 지정해 주는데, 개인적으로 두가지가 초반에 헷갈렸다.

Neighbor : BGP neighbor 은 다른 BGP 라우터와의 관계를 나타낸다.

                    neighbor 관계를 맺은 두 라우터 간에 BGP가 설정되어 있어야 한다.

                    특정 neighbor 라우터의 IP 주소와 AS 번호를 정의한다. 그외에 BGP 버전, 연결 속성 및 세션 관리 등을 설정할 수 있다.

=> BGP 피어 간의 관계를 설정하고 유지하는 데 사용

Network : 자신의 AS에서 전파하려는 네트워크를 지정한다.

                   특정 네트워크를 BGP 피어에게 알리도록 하는 역할을 한다. (주로 Loopback 사용)

                   특정 네트워크와 그 네트워크를 라우팅하기 위한 BGP 정보를 BGP 피어에게 전송한다. 

=> BGP가 어떤 네트워크를 전파할지 정의하는 데 사용

BGP Message (헤더)

Message 종류

- Open : BGP 피어 관계를 형성하는 메시지. tcp 포트 179번을 이용한 회선 연결 시도를 위한 메시지. 라우터 간 BGP neighbor 설정을 위해 사용한다.

- Update : 자신의 BGP 정보를 알려주기 위한 메시지. 메시지 하나 당 하나의 경로 정보만 포함한다. 

- Notification : 기존에 광고했던 경로 정보에 문제가 발생한 경우 또는 neighbor 관계의 단절을 알려주는 메시지. 

- Keepalive : BGP 피어 상태를 확인하기 위한 메시지. Hold-time (180초)동안 이 메시지를 수신하지 못하면 피어 관계를 끊는다. (ospf hello 패킷과 유사)

• Marker : 들어오는 메시지의 인증 및 상대 BGP 피어 간의 동기를 위해 사용한다. BGP Open 메시지이거나, 인증이 아닐 경우 모두 1로 채운다.
• Length : 공통헤더를 포함한 각 BGP 메시지의 길이 (19 ~ 4096 byte)
• Type : 위의 BGP 메시지 유형 중 하나를 표시한다.

BGP 설정하기

1. 기본 라우터 설정 (아이피 할당, 포트 설정 등)
2. AS 내부에서 IGP 라우팅 설정 (AS 경계의 시리얼 포인트 투 포인트 구간은 어느 AS에도 소속되지 않으며 BGP DMZ라고 한다.)
3. BGP DMZ의 두 라우터에 eBGP 설정
4. router bgp [AS number]
5. bgp router-id [router id]
6. neighbor [네이버 라우터의 아이피 주소] remote-as [네이버가 소속된 AS number]
7. network [다른 라우터들에게 전송할 네트워크] mask [서브넷마스크]
8. 해당 네트워크가 라우터에 접속된 것이 아니라도 network 명령어를 사용할 수 있지만 라우팅 테이블에는 반드시 저장되어있어야 한다.
9. 위에서 나온 DMZ 네트워크는 BGP에 포함시키지 않는다.
10. DMZ 네트워크의 라우터에 각각 디폴트 루트를 설정해서 설정한 IGP를 통해 내부 네트워크 방향으로 광고하도록 한다.

아래는 eBGP 설정 명령이다. 생각보다 간단하게 이웃을 맺을 수 있다.

<Router 0>

router bgp 300
bgp router-id 10.10.10.1
neighbor 10.10.10.2 remote-as 400

<Router 1>

router bgp 400
bgp router-id 10.10.10.2
neighbor 10.10.10.1 remote-as 300

IP 주소란?

(Internet Protocol address, IP address)

: 컴퓨터 네트워크에서 장치들이 서로를 인식하고 통신하기 위해서 사용하는 특수한 번호이다.

네트워크에 연결된 장치들은 모두 IP 주소를 가지고 있다. 그리고 IP 주소를 사용해서 목적지와 출발지를 식별해 통신을 한다.

IPv4 클래스란?

: 하나의 IP 주소에는 네트워크 아이디와 호스트 아이디가 존재한다.

IP 클래스는 A, B, C, D, E로 나뉘어 네트워크 아이디와 호스트 아이디를 구분한다.

알파벳이 뒤로 갈수록 네트워크 아이디의 비트수는 증가하고 호스트 아이디의 비트수는 감소한다.

또, 네트워크를 할당할 수 있는 곳이 많아지며, 최대 호스트 수도 증가한다.

클래스 D는 멀티캐스트, E는 미래에 사용하기로 예약된 주소들이다.

특수한 IP 주소

: IPv4 주소에서 특수한 목적으로 사용되는 주소들이다.

- 0.0.0.0 : 패킷을 전송하고자 하는 컴퓨터가 자신의 IP 주소를 모르는 경우 통신을 하기 위해 사용

- 127.0.0.1 : localhost 또는 루프백 주소, 자기 자신을 나타낸다.

- 네트워크 주소 : 호스트 아이디 부분이 모두 0인 주소, 네트워크를 구분하는데 사용

- 브로드캐스트 주소 : 호스트 아이디 부분이 모두 1인 주소, 브로드캐스트를 위해 사용 

OSI 7계층이란

TCP / IP 와 같은 네트워크 계층 모델 중 하나

ISO (국제표준화기구) 에서 지정해 교육용으로 주로 쓰이는 공적 표준 모델

데이터의 흐름을 쉽게 파악할 수 있고, 네트워크를 공부할 때 편해서 사용됨

TCP / IP 5계층의 제 4계층인 전송 계층을 3개로 나누어 표현한 모델

따라서 물리계층, 데이터링크계층, 네트워크계층, 응용계층은 TCP / IP 와 같습니다.

2023.08.27 - [네트워크/기초] - 네트워크 기초 이론

제 4계층 전송 계층 (Transport Layer)

• 데이터를 분할하거나 합치고, 흐름 제어와 에러 제어 수행
• 포트번호를 통해 데이터 전송 관리

제 5계층 세션 계층 (Session Layer)

• 세션을 열고 닫으며 양쪽 통신이 끊기지 않게 유지
• 데이터 교환을 위한 로그인, 로그아웃, 데이터 동기화 등을 관리
• 세션을 설정하고 유지하며, 데이터 교환의 시작과 종료를 조절

제 6계층 표현 계층 (Presentation Layer)

• 전송 데이터의 형식 결정 (jpg, mp4, avi, gif ...)
• 데이터의 형식 변환, 암호화, 압축 등을 수행