Firepower Threat Defense OSPF
이 장에서는 데이터 라우팅, 인증 수행, 라우팅 정보 재배포를 위해 OSPF(Open Shortest Path First) 라우팅 프로토콜을 사용하여 FTD을 구성하는 방법을 설명합니다.
OSPF 정보
OSPF는 경로 선택 시 거리 벡터 대신 링크 상태를 사용하는 내부 게이트웨이 라우팅 프로토콜입니다. OSPF는 라우팅 테이블 업데이트가 아닌 링크 상태 광고를 전파합니다. 전체 라우팅 테이블 대신 LSA만 교환되므로, OSPF 네트워크는 RIP 네트워크보다 더 빠르게 통합될 수 있습니다.
OSPF는 링크 상태 알고리즘을 사용하여 알려진 모든 목적지에 도달하기 위한 최단 경로를 구축하고 계산합니다. OSPF 영역의 각 라우터에는 동일한 링크 상태 데이터베이스가 포함되며, 여기에는 각 라우터의 사용 가능한 인터페이스 및 연결 가능한 네이버 목록이 있습니다.
RIP를 능가하는 OSPF의 장점은 다음과 같습니다.
-
OSPF 링크 상태 데이터베이스 업데이트는 RIP 업데이트보다 전송되는 빈도가 낮으며, 링크 상태 데이터베이스는 천천히 업데이트되지 않고 오래된 정보의 기간이 만료되는 즉시 업데이트됩니다.
-
라우팅 결정은 비용을 기준으로 하며, 이는 특정 인터페이스 전체에 패킷을 전송하는 데 필요한 오버헤드를 나타낸 것입니다. Firepower Threat Defense 디바이스에서는 목적지까지의 홉 개수가 아닌 링크 대역폭을 기준으로 인터페이스의 비용을 계산합니다. 비용을 구성하여 선호하는 경로를 지정할 수 있습니다.
최단 경로 우선 알고리즘의 단점은 CPU 주기 및 메모리가 많이 필요하다는 점입니다.
Firepower Threat Defense 디바이스에서는 OSPF 프로토콜의 프로세스 2개를 다른 인터페이스 집합에서 동시에 실행합니다. 동일한 IP 주소를 사용하는 인터페이스가 있을 경우 2개의 프로세스를 실행하고자 할 수 있습니다(NAT 사용 시 이러한 인터페이스가 공존할 수 있으나, OSPF에서는 중복 주소를 허용하지 않음). 또는 내부에서 한 프로세스를 실행하고 외부에서 다른 프로세스를 실행한 다음, 두 프로세스 간의 경로 하위 집합을 재분배하고자 할 수 있습니다. 이 경우에도 마찬가지로, 사설 주소를 공용 주소에서 분리해야 할 수 있습니다.
경로를 다른 OSPF 라우팅 프로세스, RIP 라우팅 프로세스 또는 OSPF 지원 인터페이스에서 구성된 고정 및 연결된 경로의 OSPF 라우팅 프로세스로 재분배할 수 있습니다.
Firepower Threat Defense 디바이스에서는 다음과 같은 OSPF 기능을 지원합니다.
-
영역 내, 영역 간 및 외부(유형 I 및 유형 II) 경로
-
가상 링크
-
LSA 플러딩
-
OSPF 패킷에 대한 인증(비밀번호 및 MD5 인증)
-
Firepower Threat Defense 디바이스를 전용 라우터 또는 전용 백업 라우터로 구성. Firepower Threat Defense 디바이스는 ABR로 설정할 수도 있습니다.
-
스텁 영역 및 not-so-stubby 영역
-
영역 경계 라우터 유형 3 LSA 필터링
OSPF에서는 MD5 및 일반 텍스트 인접 디바이스 인증을 지원합니다. OSPF와 다른 프로토콜(예: RIP) 간의 경로 재분배 시 공격자가 라우팅 정보를 교란시키기 위해 이를 이용할 우려가 있으므로, 가능한 경우 모든 라우팅 프로토콜에 인증을 사용해야 합니다.
NAT를 사용하면 OSPF가 공용 및 사설 영역에서 가동되며, 주소 필터링이 필요한 경우 2개의 OSPF 프로세스를 실행해야 합니다. 하나는 공용 영역에 사용되는 프로세스이고 다른 하나는 사설 영역에서 사용되는 프로세스입니다.
여러 영역에 인터페이스가 있는 라우터는 ABR(영역 경계선 라우터)라고 합니다. OSPF를 사용하는 라우터와 다른 라우팅 프로토콜을 사용하는 라우터 간에 트래픽을 재분배하는 게이트웨이 역할을 수행하는 라우터를 ASBR(자동 시스템 경계 라우터)이라고 합니다.
ABR에서는 LSA를 사용하여 사용 가능한 경로에 대한 정보를 다른 OSPF 라우터로 전송합니다. ABR 유형 3 LSA 필터링을 사용할 경우, ABR 역할을 수행하는 ASA를 통해 별도의 사설 및 공용 영역을 확보할 수 있습니다. 유형 3 LSA(영역 간 경로)는 한 영역에서 다른 영역으로 필터링할 수 있으며, 이렇게 하면 사설 네트워크를 알리지 않고도 NAT와 OSPF를 함께 사용할 수 있습니다.
참고 |
유형 3 LSA만 필터링할 수 있습니다. 사설 네트워크에서 Firepower Threat Defense 디바이스를 ASBR로 구성하면 사설 네트워크를 설명하는 유형 5 LSA가 전송되며, 이 경우 공용 영역을 비롯한 전체 AS에 플러딩이 발생합니다. |
NAT가 적용되었으나 공용 영역에서 OSPF만 실행 중인 경우, 공용 네트워크에 대한 경로가 사설 네트워크 내부에 기본 또는 유형 5 AS 외부 LSA로서 재배포될 수 있습니다. 그러나 Firepower Threat Defense 디바이스에서 보호하는 사설 네트워크에 대한 고정 경로를 구성해야 합니다. 또는 동일한 Firepower Threat Defense 디바이스 인터페이스에서 공용 네트워크와 사설 네트워크를 혼합할 수 없습니다.
Firepower Threat Defense 디바이스에서 하나는 RIP 라우팅 프로세스, 다른 하나는 EIGRP 라우팅 프로세스로 된 2개의 OSPF 라우팅 프로세스를 동시에 실행할 수 있습니다.
Fast Hello 패킷에 대한 OSPF 지원
OSPF의 Fast Hello 패킷 지원은 hello 패킷을 1초 미만의 간격으로 전송하도록 구성하는 방법을 제공합니다. 이러한 컨피그레이션을 통해 OSPF(Open Shortest Path First) 네트워크에서 통합 속도를 단축할 수 있습니다.
OSPF의 Fast Hello 패킷 지원 사전 요구 사항
OSPF는 네트워크에서 기존에 구성해야 하거나 OSPF의 Fast Hello 패킷 지원 기능과 동시에 구성해야 합니다.
OSPF Hello 간격 및 Dead 간격
OSPF Hello 패킷은 OSPF 프로세스에서 OSPF 네이버와의 연결을 유지하기 위해 이러한 네이버에 전송하는 패킷입니다. Hello 패킷은 구성 가능한 간격(초 단위)으로 전송됩니다. 기본값은 이더넷 링크의 경우 10초이고, 비 브로드캐스트 링크의 경우 30초입니다. Hello 패킷에는 Dead 간격 내에 수신된 Hello 패킷에 대한 모든 네이버 목록이 포함됩니다. Dead 간격도 구성 가능한 간격(초 단위)이며, 기본값은 Hello 간격 값의 4배로 설정됩니다. 모든 Hello 간격의 값은 네트워크 내에서 동일해야 합니다. 마찬가지로, 모든 Dead 간격의 값도 네트워크 내에서 동일해야 합니다.
이러한 두 간격의 상호 작용을 통해 링크가 작동 중임을 나타내어 연결을 유지할 수 있습니다. 라우터가 Dead 간격 내에 네이버에서 Hello 패킷을 수신하지 못할 경우, 해당 네이버는 중단된 것으로 선언됩니다.
OSPF Fast Hello 패킷
OSPF Fast Hello 패킷은 1초 미만의 간격으로 전송되는 Hello 패킷을 참조합니다. Fast Hello 패킷에 대한 내용을 이해하려면 OSPF Fast Hello 패킷과 Dead 간격 간의 관계에 대해서도 숙지해야 합니다. OSPF Hello 간격 및 Dead 간격의 내용을 참조하십시오.
OSPF Fast Hello 패킷 기능은 ospf dead-interval 명령을 사용하여 구현할 수 있습니다. Dead 간격은 1초로 설정되고, hello 승수 값은 1초 동안 전송하려는 Hello 패킷의 수로 설정되므로 1초 미만의 또는 "빠른" Hello 패킷이 제공됩니다.
Fast Hello 패킷이 인터페이스에서 구성되면, 이 인터페이스로 전송되는 Hello 패킷에서 광고되는 Hello 간격은 0으로 설정됩니다. 이 인터페이스를 통해 수신되는 Hello 패킷의 Hello 간격은 무시됩니다.
1초로 설정하든(Fast Hello 패킷의 경우) 다른 값으로 설정하든 Dead 간격은 세그먼트에서 일정해야 합니다. Hello 승수의 경우에는 Dead 간격 내에 최소 하나 이상의 Hello 패킷이 전송된다면 전체 세그먼트에서 동일하지 않아도 됩니다.
OSPF Fast Hello 패킷 기능의 이점
OSPF Fast Hello 패킷 기능의 이점은 OSPF 네트워크에서 Fast Hello 패킷을 사용하지 않는 경우와 비교했을 때 더 빠른 통합이 가능하다는 점입니다. 이 기능을 사용하면 1초 내에 손실된 네이버를 감지할 수 있습니다. 이 기능은 특히 OSI(Open System Interconnection) 물리적 레이어 및 데이터 링크 레이어로 감지할 수 없는 네이버가 손실된 LAN 세그먼트에 유용합니다.
OSPFv2와 OSPFv3의 구현 차이점
OSPFv3는 이전 버전인 OSPFv2와 호환되지 않습니다. OSPF를 사용하여 IPv4와 IPv6 트래픽을 모두 라우팅하려면 OSPFv2와 OSPFv3를 동시에 실행해야 합니다. 이들은 서로 공존하지만 상호 작용을 수행하지는 않습니다.
OSPFv3에서 제공하는 추가 기능은 다음과 같습니다.
-
링크당 프로토콜 처리
-
주소 지정 시맨틱 제거
-
플러딩 범위 추가
-
링크당 다중 인스턴스 지원
-
IPv6 링크-로컬 주소를 사용하여 네이버 검색 및 기타 기능 지원
-
LSA를 접두사와 접두사 길이로 표시
-
LSA 유형 2개 추가
-
알 수 없는 LSA 유형 처리
-
RFC-4552에 지정된 대로, OSPFv3 라우팅 프로토콜 트래픽에 IPsec ESP 표준을 사용한 인증 지원