Junos BGP #2 기초 구성해보기 (Import)

2. 남의 경로 받아보기 (Import 기본)

목표

• “상대가 준 경로를 내가 테이블에 올릴 수 있다” 확인

핵심 개념

• Import 정책: 남이 준 경로를 받을지/거절할지 결정
• Import = 내가 받는 것의 필터
• 안전을 위해 사설/보곤 대역 거절부터 습관화
• 실제 네트워크에서는 받는 걸 무조건 다 믿으면 위험합니다.
  • 상대방이 보곤(bogon) 대역이나, 엉뚱한 prefix(예: 0.0.0.0/0)를 줄 수도 있음.
  • 잘못 받으면 내 네트워크가 통째로 엉뚱한 경로로 빠지거나, 보안 사고로 이어짐.
• 그래서 Import Policy를 걸어서 “이 prefix만 받아” 또는 “특정 조건에 맞는 것만 허용”을 실습

- 실습 내용

= lo0 interface를 추가한 뒤, 추가한 IP 대역은 받지 않도록 Filter 생성

 

[1] BB2 설정

[1-1] lo0 IP 추가 및 추가한 IP 광고 설정

- BB2에서 lo0를 추가 생성하고 해당 IP를 광고한다. 이후 BB1에서 광고대역을 확인한다. 한 개의 대역이 추가되어 다음으로 넘어간다.

set interfaces lo0 unit 0 family inet address 10.22.22.22/32

set protocols bgp group TO-BB1 export EXPORT-LOOPBACK
set policy-options policy-statement EXPORT-LOOPBACK term 1 from route-filter 10.2.2.2/32 exact
set policy-options policy-statement EXPORT-LOOPBACK term 1 from route-filter 10.22.22.22/32 exact
set policy-options policy-statement EXPORT-LOOPBACK term 1 then accept
set policy-options policy-statement EXPORT-LOOPBACK term ELSE then reject

commit

 

 

[2] BB1 설정

[2-1] Import 설정으로 받고 싶은 대역만 받기

- BB2는 10.2.2.2/32와 10.22.22.22/32 를 광고하고 있다. 이때, BB1는 이 모든 것을 받을 수도 있지만 Import 정책을 통하여, 받고 싶은 IP 대역만 받을 수 있다. BB1에서 10.2.2.2/32만 받고(accept) 나머지는 차단(reject)하는 policy를 세운 뒤, BGP 설정에서 import에 이 정책을 지정한다.

set policy-options policy-statement DENY-BB term 1 from route-filter 10.2.2.2/32 exact
set policy-options policy-statement DENY-BB term 1 then accept
set policy-options policy-statement DENY-BB term REJECT then reject

set protocols bgp group TO-BB2 import DENY-BB

commit

내 라우터(AS65001)가 AS65002(192.0.2.2)와 eBGP 세션을 맺고, Loopback 네트워크를 Export 정책에 따라 광고하며, 상대방이 보내는 경로는 Import 정책(DENY-BB)에 따라 받아들이거나 거부한다.

 

[3] BB1 확인하기

[3-1] Routing Table 확인

- Routing Table을 확인해보면, 아까 존재했던 10.22.22.22/32는 사라지고 위에서 지정했던 10.2.2.2/32 만 남는다. 외부에서 광고하는 정보를 구별하여 수용할 수 있다.

 

- BGP 이웃에서 광고하고 있는 IP 대역을 확인할 수 있다. Routing Table과 동일하다.

 

- 물론, 정책에 따라 숨겨진 IP대역도 확인할 수 있다.