접두사의 조건부 설치를 활성화하는 조건부 보급 사용 사례
네트워크는 일반적으로 AS(Autonomous System)라고 하는 관리하기 쉬운 더 작은 단위로 세분화됩니다. 라우터에서 BGP를 사용하여 동일한 AS에서 피어 관계를 구축하면 이것을 내부 BGP(IBGP)라고 합니다. 라우터에서 BGP를 사용하여 서로 다른 AS에서 피어 관계를 구축하면, 이를 외부 BGP(EBGP)라고 합니다.
경로 건전성 검사를 수행한 후, BGP 라우터 해당 피어에서 수신한 경로를 수락하고 라우팅 테이블에 설치합니다. 기본적으로 IBGP 및 EBGP 세션의 모든 라우터는 표준 BGP 광고 규칙을 따릅니다. IBGP 세션의 라우터는 해당 직접 피어로부터 학습한 라우터만 보급하지만, EBGP 세션의 라우터는 직접 및 간접 피어(피어의 피어)로부터 학습한 모든 경로를 보급합니다. 따라서 EBGP로 구성된 일반적인 네트워크에서는 라우터가 EBGP 피어로부터 수신한 모든 경로를 해당 라우팅 테이블에 추가하고 거의 모든 경로를 모든 EBGP 피어에 보급합니다.
인터넷에서 고객과 피어 모두와 BGP 경로를 교환하는 서비스 프로바이더는 트래픽의 적절한 경로와 라우터 작동을 손상시킬 수 있는 악의적이고 의도하지 않는 위협에 노출될 수 있습니다.
여기에는 몇 가지 단점이 있습니다.
Non-aggregated route advertisements—고객은 주소 공간의 총 집계가 아니라 ISP에 모든 접두사를 잘못 보급할 수 있습니다. 인터넷 라우팅 테이블의 크기를 고려했을 때 신중하게 제어해야 합니다. 또한 에지 라우터는 인터넷으로 나가는 기본 경로만 필요하며, 대신 해당 업스트림 피어에서 전체 BGP 라우팅 테이블을 수신해야 합니다.
BGP route manipulation—악의를 가진 관리자가 BGP 라우팅 테이블의 내용을 변경하면 트래픽이 의도한 목적지에 도달하지 못할 수 있습니다.
BGP route hijacking—BGP 피어의 불량한 관리자는 트래픽 콘텐츠에 대한 액세스 권한을 확보하거나 피해자의 온라인 서비스를 차단하기 위해 피해자 네트워크에 의도된 트래픽을 관리자 네트워크로 다시 라우팅하려는 시도 중에 네트워크의 접두사를 악의적으로 알릴 수 있습니다.
BGP denial of service (DoS)—악의를 가진 관리자가 라우터에서 지원되는 모든 BGP 리소스를 사용하려는 시도 중에 예기치 않거나 원하지 않는 BGP 트래픽을 라우터로 보내는 경우, 유효한 BGP 경로 정보를 처리하는 라우터 기능이 손상될 수 있습니다.
접두사의 조건부 설치는 앞에서 언급한 모든 문제를 해결하는 데 사용할 수 있습니다. 고객이 원격 네트워크에 액세스해야 하는 경우, 원격 네트워크와 연결된 라우터의 라우팅 테이블에 특정 경로를 설치할 수 있습니다. 이는 일반적인 EBGP 네트워크에서 발생하지 않으므로 접두사의 조건부 설치가 필수적입니다.
AS는 물리적 관계 뿐 아니라 비즈니스나 기타 조직 관계의 구속을 받습니다. AS는 다른 조직에 서비스를 제공하거나 두 개의 다른 AS 사이에서 전송 AS 역할을 할 수 있습니다. 이러한 전송 AS는 서로 연결하는 방법과 서로를 위해 전달하는 트래픽 유형 및 수량에 대한 매개 변수를 포함하는 당사자 간의 계약에 의해 구속됩니다. 따라서 서비스 제공자는 법적 및 재정적 이유로 BGP 경로가 neighbor과 교환되는 방법, 해당 neighbor에서 수락되는 경로, 이러한 경로가 AS 간의 트래픽에 영향을 미치는 방법을 제어하는 정책을 구현해야 합니다.
BGP 피어에서 수신한 경로를 필터링하여 AS 간에 정책을 시행하고 잠재적으로 유해한 경로를 수신하는 데 발생하는 위험을 완화할 수 있는 다양한 옵션이 있습니다. 기존 경로 필터링은 경로의 속성을 검사하고 해당 속성을 기반으로 경로를 수락하거나 거부합니다. 정책이나 필터는 AS-Path의 콘텐츠, 다음 홉 값, community 값, 접두사 목록, 경로 address family 등을 검사할 수 있습니다.
어떤 경우에는 특정 속성 값과 일치하는 표준 '수락 조건'으로 충분하지 않습니다. 서비스 프로바이더는 경로 자체를 벗어나는 다른 조건(예: 라우팅 테이블의 다른 경로)를 사용해야 할 수 있습니다. 예를 들어, 이 피어가 다른 업스트림 네트워크에 연결할 수 있는지 확인 가능한 경우에만 업스트림 피어에서 수신한 기본 경로를 설치하는 것이 바람직합니다. 이 조건부 경로 설치는 피어가 해당 업스트림의 경로를 손실하여 트래픽이 블랙홀되면 이 피어로 트래픽을 전송하는 데 사용되는 기본 경로가 설치되지 않도록 합니다. 이를 위해 라우터는 라우팅 테이블에서 특정 경로의 존재를 검색하도록 구성할 수 있으며, 이 정보를 기반으로 다른 접두사를 수락 또는 거부할 수 있습니다.
예: 라우팅 테이블에 접두사의 조건부 설치를 활성화하는 조건부 보급의 라우팅 정책 구성에서는 접두사의 조건부 설치를 구성 및 확인하는 방법에 대해 설명합니다.