Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

조건부 광고로 접두사 조건부 설치 사용 사례

네트워크는 일반적으로 자율 시스템(ASs)이라고 하는 보다 작고 관리가 손쉽게 관리되는 장치로 세분화됩니다. 라우터가 동일한 AS에서 피어 관계를 형성하는 데 BGP를 사용하면 내부 BGP(IBGP)라고 합니다. 라우터가 서로 다른 AS에서 피어 관계를 형성하는 데 BGP를 사용하면 EBGP(외부 BGP)라고 합니다.

경로 상태 검사를 수행한 후 BGP 라우터는 피어(peers)로부터 수신된 경로를 수용하고 라우팅 테이블에 설치합니다. 기본적으로 IBGP 및 EBGP 세션의 모든 라우터는 표준 BGP 광고 규칙을 따릅니다. IBGP 세션의 라우터는 직접 피어에서 배운 경로만 광고하지만 EBGP 세션의 라우터는 직접 및 간접 피어(피어)에서 학습한 모든 경로를 광고합니다. 따라서 EBGP로 구성된 일반적인 네트워크에서 라우터는 EBGP 피어로부터 받은 모든 경로를 라우팅 테이블에 추가하고 거의 모든 EBGP 피어에 대한 경로를 알 수 있습니다.

BGP 경로를 인터넷상의 고객 및 동료와 교환하는 서비스 프로바이더는 적절한 트래픽 라우팅과 라우터 운영을 저하시킬 수 있는 악의적이고 의도하지 않은 위협의 위험에 처해 있습니다.

여기에는 다음과 같은 몇 가지 단점이 있습니다.

  • Non-aggregated route advertisements—고객은 주소 공간을 집계하는 것이 아니라 모든 접두사에 ISP를 잘못 광고할 수 있습니다. 인터넷 라우팅 테이블의 크기를 감안할 때, 이를 신중하게 제어해야 합니다. 또한 에지 라우터는 인터넷을 향해 나가는 기본 경로만을 필요로 하며 업스트림 피어로부터 전체 BGP 라우팅 테이블을 수신해야 할 수도 있습니다.

  • BGP route manipulation—악의적인 관리자가 BGP 라우팅 테이블의 내용을 변경하면 트래픽이 대상에 도달하는 것을 방지할 수 있습니다.

  • BGP route hijacking—BGP 피어의 불량 관리자는 피해 네트워크에 의도된 트래픽을 관리자의 네트워크로 재라우딩하여 트래픽 내용에 액세스하거나 피해자의 온라인 서비스를 차단하기 위해 네트워크의 접두사(prefix)를 악의적으로 발표할 수 있습니다.

  • BGP denial of service (DoS)—악의적인 관리자가 라우터의 모든 가용 BGP 리소스를 사용하기 위해 예기치 않거나 바람직하지 않은 BGP 트래픽을 라우터로 보내는 경우, 라우터가 유효한 BGP 경로 정보를 처리하는 기능이 손상될 수 있습니다.

접두사 조건부 설치는 이전에 언급된 모든 문제를 해결하는 데 사용할 수 있습니다. 고객이 원격 네트워크에 액세스해야 하는 경우, 원격 네트워크에 연결된 라우터의 라우팅 테이블에 특정 경로를 설치할 수 있습니다. 이는 일반적인 EBGP 네트워크에서는 발생하지 않기 때문에 접두사에 조건부 설치가 필수적입니다.

AS는 물리적인 관계뿐만 아니라 비즈니스 또는 기타 조직 관계에 의해 구속됩니다. AS는 다른 조직에 서비스를 제공하거나 다른 2개의 AS 간에 전송 AS의 역할을 할 수 있습니다. 이러한 전송 AS는 서로 연결하는 방법에 대한 매개 변수와 가장 중요한 트래픽 유형 및 양에 대한 매개 변수를 포함하는 당사자 간의 계약 계약에 구속됩니다. 따라서 법적 및 재정적인 이유로 서비스 프로바이더는 BGP 경로가 neighbor와 교환되는 방법, 이웃에서 허용하는 경로, 해당 경로가 AS 간의 트래픽에 미치는 영향을 제어하는 정책을 구현해야 합니다.

BGP 피어로부터 수신된 경로를 필터링하여 AS 간 정책을 적용하고 잠재적으로 유해한 경로를 수신할 때 발생할 수 있는 위험을 완화하는 데 사용할 수 있는 다양한 옵션이 있습니다. 기존의 루트 필터링은 루트의 속성을 검사하고 해당 속성을 기반으로 루트를 수락하거나 거부합니다. 정책 또는 필터는 AS-Path의 내용, 넥트 홉 값, 커뮤니티 가치, 접두사 목록, 경로의 주소 제품군 등을 검사할 수 있습니다.

어떤 경우에는 특정 속성 값에 부합하는 표준 "수용 조건"만으로는 충분하지 않습니다. 서비스 프로바이더는 라우팅 테이블의 다른 경로와 같이 라우트 외부의 다른 조건을 사용해야 할 수도 있습니다. 예를 들어, 업스트림 피어로부터 수신되는 기본 경로를 설치하는 것이 바람직할 수 있지만, 이 피어가 다른 네트워크로의 연결 가능성이 더 높은지 확인할 수 있는 경우에만 가능합니다. 이 조건부 경로 설치는 피어가 경로 업스트림의 손실로 인해 검은색 구멍이 있는 트래픽으로 이어지는 이 피어로 트래픽을 전송하는 데 사용되는 기본 경로를 설치하는 것을 방지합니다. 이를 위해 라우터는 라우팅 테이블 내 특정 루트의 존재를 검색하도록 구성될 수 있으며, 이 지식을 토대로 다른 Prefix를 수락하거나 거부할 수 있습니다.

예를 들면 다음과 같습니다. 조건부 광고를 위한 라우팅 정책 구성 라우팅 테이블에 접두사 조건부 설치를 조건부로 설치하는 방법에 대해 설명합니다.