네트워크 차단 Distribute-list, Prefix-list, 루트맵

 

 

※ 네트워크 차단

 

 - 네트워크 차단은 특정 네이버에게 라우팅 정보를 전송할 때 또는 수신할 때 적용할 수 있다. 또, 특정 네트워크를 차단하거나, 특정 네트워크를 허용할 수 있다. 일반적으로 ISP간의 접속시에는 특정 네트워크만 차단하고 나머지는 모두 허용한다.

 

 

 

 

 

▶ Distribute-list 네트워크 차단

 

- Distribute-list 명령어 다음에 차단 또는 허용하고자 하는 네트워크를 지정한 액세스 리스트를 설정하면 된다.

 

  ◎ Distribute-list 설정방법

 

R1(config)# access-list 1 deny 1.1.2.0 0.0.0.0 R1(config)# access-list 1 permit any R1(config)# router bgp 1 R1(config-router)# nei 1.1.12.2 distribute-list 1 in

 

위의 예제를 보고 1.1.2.0 네트워크를 차단한다.

 

  ◎ BGP 테이블 확인

적용전 테이블을 보면 1.1.2.0 네트워크가 테이블에 광고되어 있다. 하지만 적용후를 보면 1.1.2.0 AS 2 가 차단되었다는 것을 확인 할 수 있다.

 

 

 

 ▶ Prefix-list 네트워크 차단

 

액세스 리스트를 개선하여 만든 것으로, BGP 뿐만 아니라 모든 라우팅 프로토콜에서 정책 설정을 위한 대상 네트워크를 지정할 때 사용된다. 프리픽스 리스트를 해당 경로를 검색하는 시간이 빠르고 내용의 일부를 지우거나 추가할 있어 사용이 편리하다.

 

◎ Prefix-list 설정방법

R1(config)#ip prefix-list EXCEPT-R2 deny 1.1.2.0/24                                             ①          ②         ③ ④ R1(config)#ip prefix-list EXCEPT-R2 permit 0.0.0.0/0 le 32     R1(config)#router bgp 1 ⑤ R1(config-router)#neighbor 1.1.12.2 prefix-list EXCEPT-R2 in

① 프리픽스 리스트의 이름 지정, 대소문자 구분

 

② deny 또는 permit 옵션사용

 

③ 적용할 네트워크와 서브넷 마스크 길이 설정. 옵션 ge나 le를 사용하지 않는다면 서브넷 마스크 길이만큼만 적용.

ge : 지정하는 길이 이상의 서브넷 마스크 의미.

      예) ge24란 서브넷 마스크의 길이가 24부터 32비트까지의 네트워크 모두를 의미.

    le : 네트워크에서 지정하는 길이 이상과 여기서 지정하는 길이 이하의 서브넷 마스크 의미.

      예) 10.1.1.0/16 le 24란 서브넷 마스크 길이가 16부터 24비트까지인 네트워크 모두를 의미.

 

④ permit 0.0.0.0/0 le 32 모든 네트워크는 허용.

 

⑤ 프리픽스 설정이 끝난 후 bgp 모드에서 프리픽스 리스트를 in 또는 out 으로 지정

 

 

 ◎ 사설 ip 주소를 지정하는 프리픽스 리스트

R1(config)#ip prefix-list PRIVATE-ADDRESS deny 10.0.0.0/8 le 32  R1(config)#ip prefix-list PRIVATE-ADDRESS deny 172.16.0.0/12 le 32  R1(config)#ip prefix-list PRIVATE-ADDRESS deny 192.168.0.0/16 le 32

액세스 리스트와 마찬가지로 프리픽스 리스트도 마지막에는 항상 'deny 0.0.0.0/0 le 32', 즉 나머지 모든 네트워크는 차단하라는 묵시적인 문장이 있다는 것을 주의한다. 프리픽스 리시트의 각 문장에 특별히 번호를 부여하지 않으면 자동으로 처음 문장은 5번이 되고, 이후로는 10,15,20 등으로 5씩 증가한다.

 

 

 

 

▶ 루트맵을 네트워크 차단

 

단순히 특정 네트워크를 차단 또는 허용만 하는 경우에는 앞서 설명한 프리픽스 리스트 또는 필터 리스트를 이용하는 방법을 주로 사용한다. 그러나, 특정 네트워크를 허용함과 동시에 BGP 속성도 조정하는 경우에는 루트맵을 사용한다. 예를 들어, 1.1.2.0/24 네트워크의 로컬 프레퍼런스는 200, AS 3에서 시작된 네트워크의 로컬 프레퍼런스는 300으로 설정하는 방법을 보자.

 

R1(config)# ip prefix-list R2 seq 5 permit 1.1.2.0/24  (원하는 대상을 프리픽스로 지정한다) R1(config)# ip as-path access-list 1 permit 3$ (원하는 대상을 AS 경로 액세스 리스트로 지정한다.)   R1(config)# route-map rang permit 10  (루트맵 설정모드) R1(config-route-map)# match ip address prefix-list R2  (프리픽스로 지정한 대상을 불러온다.) R1(config-route-map)# set local-preference 200 (지정한 대상의 BGP 속성을 설정한다.) ! R1(config)# route-map rang permit 20  R1(config-route-map)# match as-path 1  (AS 경로 액세스리스트로 지정한 대상을 불러온다.) R1(config-route-map)# set local-preference 300  (지정한 대상의 BGP 속성을 설정한다.)   R1(config)# router bgp 1 R1(config-router)# neighbor 1.1.12.2 route-map rang in  (네이버에게 루트맵 적용)

 

루트맵의 마지막 문장도 묵시적으로 '나머지는 모두 차단하라'  것이다. 루트맵에서 1.1.2.0/24 네트워크와 AS 3에서 출발한 네트워크 1.1.3.0/24에 대해서만 속성을 조정하고 광고 수신을 허용했으므로 나머지 네트워크는 모두 차단된다. 동시에 로컬 프레퍼런스 값이 조정된다. 그러나, 나머지 네트워크는 모두 차단되.

 

 

 

 ◎ R1의 BGP 테이블

테이블 확인을 해보면 로컬프레퍼런스 값과 1.1.4.0/24 네트워크가 차단되었다.