170412 라우터 동적경로설정 OSPF & ACL

1. OSPF

특징

1. Link-state 방식 

2. Classless 방식

3. Metric 설정에 cost 사용 (10^8/Bandwidth(bps)) // 대역폭기준

4. Multicast 정보전달

5. AD는 110

6. SPF (짧은경로 선택) Dijkstra 알고리즘 (최적의 경로 탐색 알고리즘)

7. 부분갱신 

장점:  area 단위로 구성 ( eigrp와 다르게 재분배 하지 않아도 연결이 됨) 축약기능제공 (Stub)  표준 routing protocol VLSM 및 CIDR 지원 빠른 Convergence time = 문제발생시 바로 업데이트

단점: 복잡한 설정 자원소모가 많다 (계산하는 내용이많고 전달하는 내용이많음)

OSPF패킷

Hello Packet	인접한 router간 neighbor 관계 형성
DBD Packet	OSPF의 네트워크 정보인 LSA 들의 요약된 정보를 알려줄때 사용 (정보를 확인하는 용도로 사용, 본인이 가지고 있는 테이블 정보를 다 전달하려면 데이터를 많이 써야 되기때문에 자신이 가지고있는 데이터를 헤더정보만 뽑아서 보여줌)
LSR Packet	DBD를 받아서 확인해 봤는데 자신이 가지고 있지 않은 데이터가 있을 경우 LSR packet을 사용해서 데이터를 요청함
LSU Packet	LSR로 요청을 받았을 경우 요청데이터 전달 자신이 알고있는 네트워크 상태 변경시 해당 네트워크 정보 전송
LS Ack Packet	전달받은 내용에 대해 확인을 해주는 패킷. 따로 데이터를 요청할 필요가없을때 잘 받앗다 라고 전달만해줌.

동작방식

hello packet교환  - 이웃맺기

               ↓

adjancent neighbor - 실질적으로 LSA(라우팅테이블의 정보)를 교환을 하는 이웃을 지칭

              ↓

라우팅 테이블 등록

주기적 hello 교환

네트워크 상태 변화시 위 과정 반복

※ Adjancent Neighbor 

: 다음과 같은 상황에서는 adjancent neighbor라고 한다.

- LSA교환

- DR과 다른 router 

- BDR 과 다른 router

- point - to - point로 연결된 두 router

- point - to - Multipoint로 연결된 두 router

- Virtual-link로 연결된 두 router

OSPF Neighbor 상태

Ⅰ. Down 상태 

- 현재 연결이 안되있는 상태, hello패킷을 전달했지만 받지않은 상태. 

Ⅱ. Init 상태 

- 서로 교환을 해야되는데, 상대방이 보낸 hello packet에 내 정보를 가지고 있지않음

Ⅲ. Two-way 상태 

- 쌍방향 통신이 됬다. (Multi Access네트워크일 경우 

Ⅳ. Exstart 상태

- Adjancent Neighbor 가 되는 첫번째 단계, Master와 slave-router 선출

Ⅴ. Exchange 상태

- 실제로 이부분에서부터 hello패킷이 아닌 실질적인 라우팅 테이블 정보를 교환함.

Ⅵ. Loading 상태

- 없는데이터가 있으면 LSR요청, 요청을 받았으면 LSU로 제공

Ⅶ. Full 상태

- Adjancent Neighbor간 교환 끝

OSPF 테이블 

Neighbor Table	특성	- 모든 인접 router들의 리스트 관리  - 주기적 hello packet 교환  - neighbor 관계 유지 및 확인
	확인	Router# show ip ospf neighbor
Database  Table	특성	- Routing 업데이트 정보 관리 등 갱신되는 데이터들을 모두 관리
	확인	Router# show ip ospf database
routing  Table	특성	- LDSB를 이용해 최적의 리스트 관리
	확인	Router# show ip ospf route

 ※ LSA Type

네트워크 종류 

Broadcast Multi Access

하나의 인터페이스에서 모든 라우터에 연결되 있는 모양   동일 네트워크의 모든장비에 전달 (Broadcast)

Non Broadcast Multi Access

Boradcast packet지원 X 대부분 내부에 Virtual Circuit 방식 사용 가상회로 하나당 하나의 packet 사용

Point to Point

1:1 연결  이기 때문에 어떤 방식을 쓰든 상관없음 네트워크의 말단 부분에서 주로 사용

DR, BDR 

여러 라우터가 연결되 잇을 때 서로 교환시 중복되는 데이터가 많다. 이부분을 필요한 부분만 선택적으로 전송하여 부하를 줄임

이를 방지하기위해 하나의 라우터에 LSA 를 집중 시키고 이 라우터가 모든 라우터에게 정보를 전달하게 되는데 이 방식이 DR/BDR 방식 이다. DR은 앞서말한 기능을 수행하는 라우터 이고 BDR은 DR이 고장났을 경우 DR의 역활을 이어받는다.

DR/BDR 선출과정

1. 우선순위가 가장 높은 것
2. 우선순위가 같을경우 Router-ID가 높은것
3. 네트워크아이디가 높은것. (위 1,2 번안했을 경우)
4. 한번 선출되면 변경 X (재부팅시 재 선출)

DR이 문제가 발생하면 BDR이 DR의 역활을 이어받고 BDR을 새로 선출 한다.

boradcast 형식으로 연결되 있을때 성립하는 개념이다 실습때는 1:1 방식의 라우터배치를 사용했기 때문에 서로간의 주소값의 상하에 따라서 DR이 다수로 보이거나 (사실 1:1 연결상 DR판정이 여러개가 된것) BDR이 상대적인등의 모습을 볼 수있었다.

AREA

안정성이 있도록 , 대역폭을 사용하기 좋게 나누어줌. 나눴을 대는 서로 다르기 때문에 통신을 안하지만 연결을 할때 중간 역할을 해줄 area 를  0 번으로 설정 ( backbone area) 해주면 서로다른 area는 0번area를 통해서 연결이 된다.

stub area : area의 정보를 축약해서 전달 및 저장 가능 

2. ACL

: 보안을 위해 사용. 

- 트래픽을 허용/거부의 규칙을 정함

- 라우터에 설정

- Numbered 와 Named 로 구분

- standard 와 Extended

- 어플리케이션단에서 사용되는게 많기때문에 완벽한 차단은 안되지만 기본적인 보안기능을 제공

standard (1~99)

- 출발지 주소로 허용 여부 판단.

extended(100~199)

- 출발지 주소 + 목적지 주소까지 확인 

- 상세 프로토콜 설정가능(특정 프로토콜을 설정 가능 핑, http 프로토콜등 포트에 속해있는 프로토콜들을 구분하여 차단 및 허용가능)

규칙

윗줄부터 적용 > 좁은 범위부터 설정 - 큰거부터 해봤자 밑으로 내려가면 쓸모가없어져 맞지않음

마지막에는 deny any가 생략  - 모든 설정을 거부하겠다.라는 기본설정

number는 넣는 순서대로 등록이되고 중간에 넣거나 뺄수 없는 단점이 있다.

inbound - router 내부로 들어오는 packet filtering

들어오는 내용을 판단

outbound - router 외부로 나가는 packet filtering  

전달하는 내용을 판단(나가는)

정책설정 - 다음과 같은 규칙으로 설정하면된다.