BGP

이 섹션에서는 BGP(Border Gateway Protocol)를 이용하여 데이터 라우팅, 인증 수행, 라우팅 정보 재배포를 위해 threat defense를 구성하는 방법을 설명합니다.

BGP 소개

BGP는 자율 시스템 간 라우팅 프로토콜과 자율 시스템 내부 라우팅 프로토콜입니다. 자율 시스템은 공통 관리와 공통 라우팅 정책에 따르는 네트워크 또는 네트워크 그룹입니다. BGP는 인터넷을 위한 라우팅 정보 교환에 사용되며 인터넷 서비스 제공자(ISP) 간에 사용되는 프로토콜입니다.

라우팅 테이블 변경 사항

네이버 간 TCP 연결이 처음 설정되면 BGP 네이버가 전체 라우팅 정보를 교환합니다. 라우팅 테이블 변경 사항이 감지되면 BGP 라우터가 변경된 경로만 네이버로 전송합니다. BGP 라우터는 주기적인 라우팅 업데이트를 전송하지 않고 BGP 라우팅 업데이트는 목적지 네트워크로의 최적의 경로만 알립니다.


참고

AS 루프 탐지는 전체 AS 경로를 검사하고(AS_PATH 특성에 지정된대로) 로컬 시스템의 AS 번호가 AS 경로에 나타나지 않는지 확인하여 수행됩니다. 기본적으로 EBGP는 학습된 경로를 동일한 피어에 알려서 루프 확인을 수행하는 데 있어 ASA의 추가 CPU 주기를 방지하고 기존 발신 업데이트 작업의 지연을 방지합니다.

BGP를 통해 학습된 경로에는 특정 목적지로 향하는 경로가 여럿일 때 최적의 경로를 결정하는 데 사용되는 속성이 포함되어 있습니다. 이러한 속성을 BGP 속성이라고 하며 경로 선택 과정에서 사용됩니다.

  • Weight — 이는 Cisco가 정의한 라우터에 대한 로컬 속성입니다. 가중치 속성은 주변의 라우터에 알려지지 않습니다. 라우터가 동일한 목적지에 대하여 하나 이상의 경로를 학습한 경우 가중치가 가장 높은 경로가 우선합니다.

  • Local preference — 로컬 기본 설정 속성은 로컬 AS로부터 출구 지점을 선택하는 데 사용됩니다. 가중치 속성과 달리 로컬 우선 속성은 로컬 AS 전체에 걸쳐 전파됩니다. AS에서 출구 지점이 여럿인 경우 로컬 우선 속성이 가장 높은 출구 지점이 특정 경로에 대한 출구 지점으로 사용됩니다.

  • Multi-exit discriminator — MED(multi-exit discriminator) 또는 메트릭 속성은 메트릭에 알려지는 AS로의 우선 경로에 관한 외부 AS에 대한 제안으로 사용됩니다. MED를 수신하는 외부 AS가 경로 선택을 위해 다른 BGP 속성을 사용할 수도 있기 때문에 제안이라고 하는 것입니다. MED 메트릭이 낮은 경로가 우선합니다.

  • Origin — 발신지 속성은 BGP가 특정 경로에 관해 어떻게 확인하는지 나타냅니다. 발신지 속성은 3가지 값을 가질 수 있으며 경로 선택에 사용됩니다.

    • IGP — 경로가 발신 AS 내부에 있습니다. 이 값은 경로를 BGP로 삽입하기 위해 네트워크 라우터 구성 명령을 사용할 때 설정됩니다.

    • EGP — 경로는 EBGP(Exterior Border Gateway Protocol)를 통해 확인됩니다.

    • Incomplete — 경로의 발신지가 알 수 없거나 확인되지 않았습니다. 경로가 BGP로 재배포되면 불완전한 발신지가 됩니다.

  • AS_path — 경로 알림이 자율 시스템을 통과할 때 경로가 전달된 AS 번호의 주문 목록에 AS 번호가 추가됩니다. 가장 짧은 AS_path 목록을 가진 경로만 IP 라우팅 테이블에 설치됩니다.

  • Next hop — EBGP next-hop 속성은 전달되는 라우터에 도달하기 위해 사용되는 IP 주소입니다. EBGP 피어의 경우 next-hop 주소는 피어 간 연결의 IP 주소입니다. IBGP의 경우 EBGP next-hop 주소가 로컬 AS로 전달됩니다.

  • Community — 커뮤니티 속성은 라우팅 결정(허용, 우선, 재배포)을 적용할 수 있는 커뮤니티라는 대상 그룹화 방법을 제공합니다. 경로 맵은 커뮤니티 속성을 설정하는 데 사용됩니다. 미리 정의된 커뮤니티 속성은 다음과 같습니다.

    • no-export — 이 경로를 EBGP 피어에게 알리지 않습니다.

    • no-advertise — 이 경로를 어느 피어에게도 알리지 않습니다.

    • internet — 이 경로를 인터넷 커뮤니티에 알립니다. 네트워크의 모든 라우터가 여기 포함됩니다.

BGP를 사용해야 하는 시기

대학 및 기업과 같은 고객 네트워크는 일반적으로 네트워크 내 라우팅 정보 교환을 위해 OSPF와 같은 IGP(Interior Gateway Protocol)를 활용합니다. 고객은 ISP에 연결하고 ISP는 BGP를 사용하여 고객 및 ISP 경로를 교환합니다. AS(autonomous system) 사이에서 BGP가 사용될 때 이 프로토콜을 EBGP(External BGP)라고 합니다. 서비스 공급자가 AS 내에서 경로 교환을 위해 BGP를 사용할 때의 프로토콜은 IBGP(Interior BGP)라고 합니다.

BGP를 IPv6 네트워크를 통해 IPv6 접두사를 위한 라우팅 정보를 전달하는 데도 사용할 수 있습니다.

BGP 경로 선택

BGP는 같은 경로에 대해 서로 다른 소스로부터 여러 공지를 수신할 수 있습니다. BGP는 최적의 경로로 하나의 경로만 선택합니다. 이 경로가 선택된 경우 BGP는 선택된 경로를 IP 라우팅 테이블에 놓고 네이버에 전파합니다. BGP는 제시된 순서대로 다음 기준에 따라 목적지에 대한 경로를 선택합니다.

  • 경로가 접근할 수 없는 next hop을 지정하면 업데이트를 삭제합니다.

  • 가중치가 가장 높은 경로가 우선합니다.

  • 가중치가 동일한 경우 로컬 우선이 가장 높은 경로가 우선합니다.

  • 로컬 우선이 동일한 경우 이 라우터에서 실행 중인 BGP에서 발생한 경로가 우선합니다.

  • 경로가 시작되지 않은 경우 AS_path가 가장 짧은 경로가 우선합니다.

  • 모든 경로의 AS_path 길이가 같은 경우 발신지 유형이 가장 낮은 경로(IGP가 EGP보다 낮고 EGP가 incomplete보다 낮은 경로)가 우선합니다.

  • 발신지 코드가 동일한 경우 MED 속성이 가장 낮은 경로가 우선합니다.

  • MED가 같은 경로의 경우 내부 경로보다 외부 경로가 우선합니다.

  • 그래도 경로가 동일한 경우 가장 가까운 IGP 네이버를 통한 경로가 우선합니다.

  • 여러 경로에 BGP 다중 경로에 대한 라우팅 테이블에서의 설치 작업이 필요한지 결정합니다.

  • 두 경로 모두 외부인 경우 먼저 수신된 경로가 우선합니다(오래된 경로).

  • BGP 라우터 ID가 지정한 대로 IP 주소가 가장 낮은 경로가 우선합니다.

  • 여러 경로의 발신자 또는 라우터 ID가 동일할 경우 클러스터 목록 길이가 가장 짧은 경로가 우선합니다.

  • 가장 낮은 네이버 주소에서 시작하는 경로가 우선합니다.

BGP 다중 경로

BGP 다중 경로를 사용하면 동일한 대상 접두사에 대해 비용이 동일한 여러 BGP 경로의 IP 라우팅 테이블에 설치할 수 있습니다. 그러면 대상 접두사에 대한 트래픽이 모든 설치된 경로에서 공유됩니다.

이러한 경로는 로드 공유에 최적의 경로와 함께 테이블에 설치됩니다. BGP 다중 경로는 최적의 경로를 선택할 때는 영향을 주지 않습니다. 예를 들어, 라우터는 알고리즘에 따라 경로 중 하나를 계속해서 최적의 경로로 지정하고 BGP 피어에 이 최적의 경로를 알립니다.

다중 경로의 후보가 되려면 동일한 대상에 대한 경로에 최적의 경로 특성과 동일한 다음 특성이 있어야 합니다.

  • 무게

  • 로컬 기본 설정

  • AS-PATH 길이

  • 출처 코드

  • MED(Multi Exit Discriminator)

  • 다음 중 하나입니다.

    • 네이버 AS 또는 하위-AS(BGP 다중 경로 추가 전)

    • AS-PATH(BGP 다중 경로 추가 후)

일부 BGP 다중 경로 기능은 다중 경로 후보에게 다음과 같은 추가 요구 사항을 제시합니다.

  • 경로는 외부 또는 연합-외부 네이버(eBGP)에서 확인되어야 합니다.

  • BGP next hop에 대한 IGP 메트릭은 최적의 경로 IGP 메트릭과 동일해야 합니다.

다음은 내부 BGP(iBGP) 다중 경로 후보에 대한 추가 요구 사항입니다.

  • 경로는 내부 네이버(iBGP)에서 확인되어야 합니다.

  • 라우터가 동일하지 않은 비용의 iBGP 다중 경로에 대해 구성되지 않은 경우 BGP next hop에 대한 IGP 메트릭은 최적의 경로 IGP 메트릭과 동일해야 합니다.

BGP는 다중 경로 후보에서 가장 최근에 수신한 경로를 최대 n개까지 IP 라우팅 테이블에 삽입합니다. 이때 n은 라우팅 테이블에 설치할 경로의 수이며 BGP 다중 경로를 구성할 때 지정된 수입니다. 다중 경로가 비활성화된 경우 기본값은 1입니다.

비용이 동일하지 않은 로드 밸런싱에 BGP 링크 대역폭을 사용할 수도 있습니다.


참고

동일한 next-hop-self는 내부 피어에 전달되기 전에 eBGP 다중 경로 중에서 선택된 최적의 경로에서 수행됩니다.

BGP 요구 사항 및 사전 요건

모델 지원

Threat Defense

Threat Defense Virtual

지원되는 도메인

모든

사용자 역할

관리자

네트워크 관리자

BGP를 위한 지침

방화벽 모드 지침

투명한 방화벽 모드를 지원하지 않습니다. BGP는 라우티드 모드에서만 지원됩니다.

IPv6 지침

IPv6를 지원합니다. IPv6 주소군에 대해서는 graceful restart가 지원되지 않습니다.

추가 지침

  • 시스템은 CP 경로 테이블에서 PPPoE를 통해 수신된 IP 주소에 대한 경로 항목을 추가하지 않습니다. BGP는 항상 TCP 경로 테이블에서 TCP 세션 시작을 확인하므로 BGP는 TCP 세션을 형성하지 않습니다.

    따라서 PPPoE를 통한 BGP는 지원되지 않습니다.

  • 경로 업데이트가 링크의 최소 MTU보다 큰 경우 경로 업데이트가 삭제되어 인접성 플랩이 발생하지 않도록 하려면 링크의 양쪽에 있는 인터페이스에서 동일한 MTU를 구성해야 합니다.

  • 멤버 유닛의 BGP 테이블이 제어 유닛 테이블과 동기화되지 않습니다. 라우팅 테이블만 제어 유닛 라우팅 테이블과 동기화됩니다.

  • 정적 또는 동적 VTI 인터페이스를 사용하여 경로 기반 사이트 간 VPN을 구성할 때 BGP를 라우팅 프로토콜로 사용하는 경우 TTL 홉의 값이 1 보다 큰지 확인합니다.

BGP 구성

BGP를 구성하려면 다음 주제를 참조하십시오.

프로시저

단계 1

BGP 기본 설정 구성

단계 2

SNMP 일반 설정 구성

단계 3

BGP 네이버 설정 구성

단계 4

BGP 집계 주소 설정

단계 5

BGPv4 필터링 설정

참고

 

필터링 섹션은 IPv4 설정에만 적용됩니다.

단계 6

BGP 네트워크 설정

단계 7

BGP 재배포 설정

단계 8

BGP 라우트 삽입 설정

단계 9

BGP 라우트 가져오기/내보내기 설정 구성

BGP 기본 설정 구성

BGP에 대한 많은 기본 설정을 구성할 수 있습니다.

가상 라우팅을 사용하는 디바이스의 경우, 이 섹션에 설명된 기본 설정이 General Settings(일반 설정)BGP페이지에 구성되어 있어야 합니다. 자세한 내용은 Management Center 웹 인터페이스 - 라우팅 페이지에 대한 수정 사항를 참고하십시오.

프로시저

단계 1

Devices(디바이스) > Device Management(디바이스 관리)를 선택하고 threat defense 디바이스를 편집합니다.

단계 2

Routing(라우팅)을 선택합니다.

단계 3

(가상 라우터 인식 디바이스의 경우) General Settings(일반 설정)에서 BGP를 클릭합니다.

단계 4

BGP 라우팅 프로세스를 활성화하려면 Enable BGP(BGP 활성화) 체크 박스를 선택합니다.

단계 5

AS Number(AS 번호) 필드에 BGP 프로세스에 대한 자율 시스템(AS) 번호를 입력합니다. AS 번호는 내부에 여러 자율 번호를 포함합니다. AS 번호는 1~4294967295 또는 1.0~65535.65535가 될 수 있습니다. AS 번호는 인터넷에서 각 네트워크를 식별하는 고유 할당 값입니다.

단계 6

(선택 사항) General(일반)부터 시작하여 다양한 BGP 설정을 편집합니다. 이러한 설정의 기본값은 대부분의 경우에 적합하지만 네트워크의 필요에 맞게 조정할 수 있습니다. 그룹의 설정을 편집하려면 Edit(수정) (수정 아이콘)을 클릭합니다.

  1. Router ID(라우터 ID) 드롭다운 목록에서 Automatic(자동) 또는 Manual(수동)을 선택합니다. Automatic(자동)을 선택하면 threat defense 디바이스의 최상위 IP 주소가 라우터 ID로 사용됩니다. 고정된 라우터 ID를 사용하려면 Manual(수동)을 선택하고 IP Address(IP 주소) 필드에 IPv4 주소를 입력합니다. 기본값은 Automatic(자동)입니다. 가상 라우터 인식 디바이스의 경우, Virtual Routers(가상 라우터) > BGP 페이지에서 라우터 ID 설정을 재정의할 수 있습니다.

  2. AS_PATH 속성에 AS 번호의 수를 입력합니다. AS _PATH 경로 속성은 소스와 대상 라우터 간 AS 번호 시퀀스로 패킷이 이동할 방향을 형성합니다. 유효한 값은 1 ~ 254입니다. 기본값은 None(없음)입니다.

  3. Log Neighbor Changes(인접 네이버 변경사항) 확인란을 선택하여 BGP 네이버 변경사항(증가 또는 감소)과 재설정에 대한 로깅을 활성화합니다. 이는 네트워크 연결 문제 해결과 네트워크 안정성 측정에 도움이 됩니다. 기본적으로 활성화되어 있습니다.

  4. Use TCP Path MTU Discovery(TCP 경로 MTU 검색 사용) 확인란을 선택하고 Path MTU 기술을 사용하여 두 IP 호스트 간 네트워크 경로에서 MTU(maximum transmission unit) 크기를 결정합니다. 이는 IP 단편화를 방지합니다. 기본적으로 활성화되어 있습니다.

  5. Reset session upon Failover(장애 조치 시 세션 재설정) 확인란을 선택하여 링크 장애 시 즉시 외부 BGP 세션을 재설정합니다. 기본적으로 활성화되어 있습니다.

  6. Enforce that first AS is peer’s AS for EBGP routes(첫 번째 AS를 EBGP 경로에 대한 피어 AS로 적용) 확인란을 선택하여 AS 번호를 AS_PATH 속성의 첫 번째 세그먼트로 나열하지 않는 외부 BGP 피어에서 수신되는 업데이트를 버립니다. 이는 잘못 구성되거나 권한이 없는 피어가 마치 다른 자율 시스템에서 소싱된 것처럼 경로를 알림으로써 트래픽을 잘못 안내하지 않도록 예방합니다. 기본적으로 활성화되어 있습니다.

  7. Use dot notation for AS number(AS 번호에 대해 점 표기법 사용) 확인란을 선택하여 전체 2진 4바이트 AS 번호를 각각 16비트의 두 단어로 마침표로 구분하여 나눕니다. 0 ~ 65553의 AS 번호는 10진수로 표시되고 65535보다 큰 AS 번호는 마침표를 통해 표시됩니다. 기본적으로 비활성화되어 있습니다.

  8. OK(확인)를 클릭합니다.

단계 7

(선택 사항) Best Path Selection(최적의 경로 선택) 섹션을 편집합니다.

  1. Default Local Preference(기본 로컬 환경설정)을 0~4294967295 사이의 값으로 입력합니다. 기본값은 100입니다. 값이 높을수록 우선순위가 높습니다. 이 우선 값은 로컬 자율 시스템의 모든 라우터와 액세스 서버로 전송됩니다.

  2. Allow comparing MED from different neighbors(다른 네이버의 MED 비교 허용) 확인란을 선택하여 서로 다른 자율 시스템의 네이버로부터 경로에 대한 MED(Multi Exit Discriminator)를 비교합니다. 기본적으로 비활성화되어 있습니다.

  3. Compare Router ID for identical EBGP paths(동일 EBGP 경로의 라우터 ID 비교) 확인란을 선택하여 최적의 경로 선택 과정 중 외부 BGP 피어에서 수신된 비슷한 경로를 비교하고 최적의 경로를 라우터 ID가 가장 낮은 경로로 전환합니다. 기본적으로 비활성화되어 있습니다.

  4. Pick the best MED path among paths advertised from the neighboring AS(인접 디바이스 AS에서 알려진 경로 중에 최적의 MED 경로 선택) 확인란을 선택하여 연합 피어에서 학습된 경로 간 MED 비교를 활성화합니다. MED 간 비교는 경로에 외부 자율 시스템이 없는 경우에만 이루어집니다. 기본적으로 비활성화되어 있습니다.

  5. Treat missing MED as the least preferred one(누락된 MED를 최하위 순위로 처리) 확인란을 선택하여 누락 MED 속성 값을 무한으로 간주하고 이 경로를 최하위 순위로 만듭니다. 따라서 MED가 없는 경로가 최하위 순위가 됩니다. 기본적으로 비활성화되어 있습니다.

  6. OK(확인)를 클릭합니다.

단계 8

(선택 사항) Neighbor Timers(네이버 타이머) 섹션을 편집합니다.

  1. Keepalive interval(Keepalive 간격) 필드에 keepalive 메시지를 보내지 않은 후 BGP 네이버가 활성 상태를 유지하는 시간 간격을 입력합니다. 이 keepalive 간격이 지나면 전송된 메시지가 없는 경우 BGP 피어가 데드로 선언됩니다. 기본값은 60초입니다.

  2. Hold Time(보류 시간) 필드에 BGP 연결이 개시 및 구성되는 동안 BGP 네이버가 활성 상태를 유지할 시간 간격을 입력합니다. 기본값은 180초입니다. 0 ~ 65535 범위의 값을 지정합니다.

  3. (선택 사항)Min Hold Time(최소 보류 시간) 필드에 BGP 연결이 개시 및 구성되는 동안 BGP 네이버가 활성 상태를 유지할 최소 시간 간격을 입력합니다. 3 ~ 65535 범위의 값을 지정합니다.

    참고

     

    보류 시간이 20초 미만이면 피어 플래핑 가능성이 높아집니다.

  4. OK(확인)를 클릭합니다.

단계 9

(선택 사항) Graceful Restart 섹션을 편집합니다.

참고

 

이 섹션은 threat defense 디바이스가 페일오버 또는 스팬 클러스터 모드인 경우에만 사용할 수 있습니다. 이렇게 하면 페일오버 설정에 있는디바이스가 실패할 때 트래픽 흐름에서 패킷이 손실되지 않습니다.

  1. Enable Graceful Restart(Graceful Restart 활성화) 확인란을 선택하여 threat defense 피어가 전환 후 라우팅 플랩을 피할 수 있도록 합니다.

  2. Restart Time(재시작 시간) 필드에 BGP 오픈 메시지를 수신하기 전에 이전 경로를 삭제하기까지 threat defense 피어가 기다릴 시간을 지정합니다. 기본값은 120초입니다. 유효한 값은 1 ~ 3600초입니다.

  3. Stalepath Time(오래된 경로 시간) 필드에 재시작하는 threat defense에서 EOR(end of record) 메시지가 접수된 후 이전 경로를 삭제하기 전에 threat defense에서 대기할 시간을 입력합니다. 기본값은 360초입니다. 유효한 값은 1 ~ 3600초입니다.

  4. OK(확인)를 클릭합니다.

단계 10

Save(저장)를 클릭합니다.

단계 11

BGP 기본 설정을 보려면 Virtual routers(가상 라우터) 드롭다운에서 원하는 라우터를 선택한 다음 BGP를 클릭합니다.

이 페이지에는 Settings(설정) 페이지에 구성된 기본 설정이 표시됩니다. 이 페이지에서 라우터 ID 설정을 편집할 수 있습니다.

단계 12

라우터 ID 설정을 편집하려면 IP Address(IP 주소) 필드에서 IP 주소를 수정합니다. 수정된 값이 General Settings(일반 설정)BGP 페이지에 구성된 라우터 ID 설정을 재정의합니다.

SNMP 일반 설정 구성

경로 맵, 관리 경로 거리, 동기화, Next-hop 및 패킷 전달을 구성합니다. 이러한 설정의 기본값은 대부분의 경우에 적합하지만 네트워크의 필요에 맞게 조정할 수 있습니다.

프로시저

단계 1

Device Management(디바이스 관리) 페이지에서 Routing(라우팅)을 클릭합니다.

단계 2

(가상 라우터를 인식하는 디바이스의 경우) 가상 라우터 드롭다운에서 BGP를 구성할 가상 라우터를 선택합니다.

단계 3

BGP > IPv4 또는 IPv6을 선택합니다.

단계 4

General(일반)을 클릭합니다.

단계 5

General(일반)에서 다음 섹션을 업데이트합니다.

  1. Settings(설정) 섹션에서 Route Map 개체를 입력하거나 선택하고 next-hop 확인을 위해 BGP 라우터의 Scanning Interval(검색 간격)을 입력합니다. 유효한 값은 5초 ~ 75초입니다. 기본값은 60입니다. OK(확인)를 클릭합니다.

    참고

     

    Route Map(경로 맵) 필드는 IPv4 설정에만 적용됩니다.

  2. Routes and Synchronization(경로 및 동기화) 섹션에서 필요에 따라 다음을 업데이트하고 OK(확인)를 클릭합니다.

    • (선택 사항) Generate default routes(기본 경로 생성) - 기본 정보 출처를 구성하려면 이 옵션 체크 박스를 선택합니다.

    • (선택 사항) Summarize subnet routes into network-level routes(네트워크 수준 경로로의 서브넷 경로 요약) - 네트워크 수준 경로로의 서브넷 경로 자동 요약을 구성하려면 이 체크 박스를 선택합니다. 이 확인란은 IPv4 설정에만 적용됩니다.

    • (선택 사항) Advertise inactive routes(비활성 경로 알림) - RIB(Routing Information Base)에 설치되지 않은 경로를 알리려면 이 체크 박스를 선택합니다.

    • (선택 사항) Synchronise between BGP and IGP system(BGP와 IGP 시스템 간 동기화) - BGP와 IGP(Interior Gateway Protocol) 시스템 간의 동기화를 사용하려면 이 체크 박스를 선택합니다. 일반적으로 BGP 스피커는 경로가 로컬이거나 IGP에 존재하지 않는 한 외부 네이버에 경로를 전달하지 않습니다. 이 기능을 사용하면 자동 시스템 내의 라우터 및 액세스 서버가 BGP에서 다른 자동 시스템에 사용할 수 있도록 지정하기 전에 경로를 가질 수 있습니다.

    • (선택 사항) Redistribute iBGP into an IGP(IGP로 iBGP 재배포) - OSPF와 같은 내부 IGP(내부 게이트웨이 프로토콜)로의 iBGP 재배포를 구성하려면 이 체크 박스를 선택합니다.

  3. Administrative Route Distances(관리 경로 거리) 섹션에서 필요에 따라 다음을 업데이트하고 OK(확인)를 클릭합니다.

    • External(외부) - 외부 BGP 경로를 위한 관리 거리를 입력합니다. 외부 자동 시스템에서 학습한 경로는 외부 경로입니다. 이 인수 값 범위는 1 ~ 255입니다. 기본값은 20입니다.

    • Internal(내부) - 내부 BGP 경로를 위한 관리 거리를 입력합니다. 로컬 자동 시스템의 피어에서 학습한 경로는 내부 경로입니다. 이 인수 값 범위는 1 ~ 255입니다. 기본값은 200입니다.

    • Local(로컬) - 로컬 BGP 경로를 위한 관리 거리를 입력합니다. 로컬 경로는 다른 프로세스에서 재배포되는 라우터나 네트워크에 대한 네트워크 라우터 구성 표시 명령을 통해 종종 백도어로 나열된 네트워크입니다. 이 인수 값 범위는 1 ~ 255입니다. 기본값은 200입니다.

  4. Next Hop 섹션에서 선택적으로 Enable address tracking(주소 추적 활성화) 확인란을 선택하여 BGP next hop 주소 추적을 활성화하고 라우팅 테이블에 설치된 next hop 업데이트 경로의 검사 사이의 Delay Interval(지연 간격)을 입력합니다. OK(확인)를 클릭합니다.

    참고

     

    Next Hop 섹션은 IPv4 설정에만 적용됩니다.

  5. Forward Packets over Multiple Paths(여러 경로를 통해 패킷 전달) 섹션에서 필요에 따라 다음을 업데이트하 고 OK(확인)를 클릭합니다.

    • (선택 사항) Number of Paths(경로 개수) - 라우팅 테이블에 설치 가능한 BGP(Border Gateway Protocol) 경로의 최대 수를 입력합니다. 값의 범위는 1~8입니다. 기본값은 1입니다.

    • (선택 사항) IBGP Number of Paths(IBGP 경로 개수) - 라우팅 테이블에 설치 가능한 병렬 내부 Border Gateway Protocol(iBGP) 경로의 최대 수를 입력합니다. 값의 범위는 1~8입니다. 기본값은 1입니다.

단계 6

Save(저장)를 클릭합니다.

BGP 네이버 설정 구성

BGP 라우터는 업데이트를 교환하기 전에 각 피어와 연결해야 합니다. 이러한 피어를 BGP 네이버라고 합니다. Neighbor(네이버)를 사용하여 BGP IPv4 또는 IPv6 네이버 및 네이버 설정을 정의합니다.

Threat Defense 기능 기록:

프로시저

단계 1

Device Management(디바이스 관리) 페이지에서 Routing(라우팅)을 클릭합니다.

단계 2

(가상 라우터를 인식하는 디바이스의 경우) 가상 라우터 드롭다운에서 BGP를 구성할 가상 라우터를 선택합니다.

단계 3

BGP > IPv4 또는 IPv6을 선택합니다.

단계 4

Neighbor(인접 디바이스)를 클릭합니다.

단계 5

Add(추가)를 클릭하여 BGP 네이버 및 네이버 설정을 정의합니다.

단계 6

BGP 네이버 IP 주소를 입력합니다. 이 IP 주소는 BGP 네이버 테이블에 추가됩니다. 정적 VTI에서 BGP IPv6를 구성하는 경우 인접한 라우터(neighbor router)의 가상 터널 IP 주소를 입력합니다.

단계 7

BGP 네이버 인터페이스를 선택합니다.

참고

 

Interface(인터페이스) 필드는 IPv6 설정에만 적용됩니다.

단계 8

BGP 네이버가 속하는 자율 시스템을 Remote AS(원격 AS) 필드에 입력합니다.

단계 9

Enabled address(주소 활성화) 체크 박스를 선택하여 BGP 인접한 라우터와의 통신을 활성화합니다. 추가 네이버 설정은 Enabled address(주소 활성화) 확인란이 선택된 경우에만 구성됩니다.

단계 10

(선택 사항) Shutdown administratively(관리자 자격으로 종료) 체크 박스를 선택하여 인접한 라우터 또는 피어 그룹을 비활성화합니다.

단계 11

(선택 사항) Configure graceful restart(정상 재시작 구성) 체크 박스를 선택하여 이 인접한 라우터에 대한 BGP Graceful Restart 기능의 구성을 활성화합니다. 이 옵션을 선택한 후에는 Graceful restart(정상 재시작)(페일오버/스팬 모드) 체크 박스를 선택하여 정상 재시작이 이 인접한 라우터에 대해 활성화 또는 비활성화되어야 하는지 여부를 지정해야 합니다.

참고

 

  • Graceful Restart 필드는 IPv4 설정에만 적용됩니다.

  • Graceful Restart는 디바이스가 HA 모드이거나 L2 클러스터(동일한 네트워크의 모든 노드)가 구성된 경우에만 활성화됩니다.

단계 12

(선택 사항) BGP에 대한 BFD 지원 구성을 활성화하려면 BFD Fallover(BFD 폴오버) 드롭다운 목록에서 BFD 유형(단일 홉, 멀티 홉 또는 자동 탐지 홉)을 선택합니다. 이 선택은 BGP 네이버를 등록해 BFD에서 전달 경로 탐지 실패 메시지를 수신하게 합니다. BFD를 지원하지 않으려면 None(없음)을 선택합니다.

단계 13

(선택 사항) BGP 네이버에 대한 설명을 Description(설명)에 입력합니다.

단계 14

(선택 사항) Filtering Routes(경로 필터링)에서 필요에 따라 액세스 목록, 경로 맵, 접두사 목록 및 AS 경로 필터를 사용하여 BGP 네이버 정보를 배포합니다. 다음 섹션을 업데이트합니다.

  1. 적절한 수신 또는 발신 Access List(액세스 목록)를 선택하여 BGP 인접한 라우터 정보를 배포합니다.

    참고

     

    액세스 목록은 IPv4 설정에만 적용됩니다.

  2. (선택 사항) 적절한 수신 또는 발신 Route Maps(루트 맵)를 선택하여 수신 또는 발신 경로에 루트 맵을 적용합니다.

  3. 적절한 수신 또는 발신 Prefix List(접두사 목록)를 선택하여 BGP 인접한 라우터 정보를 배포합니다.

  4. 적절한 수신 또는 발신 AS path filter(AS 경로 필터)를 선택하여 BGP 인접한 라우터 정보를 배포합니다.

  5. Limit the number of prefixes allowed from the neighbor(인접한 라우터로부터 허용되는 접두사의 수 제한) 체크 박스를 선택하여 인접한 라우터에서 수신할 수 있는 접두사 수를 제어합니다.

    • Maximum Prefixes(최대 접두사) 필드에 특정 네이버에서 허용할 최대 접두사 개수를 입력합니다.

    • Threshold Level(임계값 레벨) 필드에 라우터가 경고 메시지 생성을 시작할 최대 비율을 입력합니다. 유효한 값은 1부터 100 사이의 정수입니다. 기본값은 75입니다.

  6. Control prefixes received from the peer(피어에서 수신한 접두사 제어) 체크 박스를 선택하여 피어에서 수신된 접두사에 대한 추가 제어를 지정합니다. 다음 중 하나를 수행합니다.

    • Terminate peering when prefix limit is exceeded(접두사 제한 초과 시 피어링 종료) 체크 박스를 선택하여 접두사 한도에 도달할 때 BGP 인접한 라우터를 중단합니다. Restart interval(재시작 간격) 필드에 BGP 네이버가 재시작하는 간격을 지정합니다.

    • Give only warning message when prefix limit is exceeded(접두사 제한 초과 시 경고 메시지만 표시) 체크 박스를 선택하여 최대 접두사 한도가 초과되었을 때 로그 메시지를 생성합니다. 여기에서는 BGP 네이버가 종료되지 않습니다.

  7. OK(확인)를 클릭합니다.

단계 15

(선택 사항) Routes(경로)에서 기타 네이버 경로 매개변수를 지정합니다. 다음 업데이트를 계속 진행합니다.

  1. Advertisment Interval(알림 간격) 필드에 BGP 라우팅 업데이트 전송 최소 간격(초)을 입력합니다. 유효한 값은 1~600입니다.

  2. Remove private AS numbers from outbound routing updates(아웃바운드 라우팅 업데이트에서 비공개 AS 번호 삭제) 체크 박스를 선택하여 아웃바운드 경로에서 비공개 AS 번호를 알림에서 제외합니다.

  3. Generate default routes(기본 경로 생성) 체크 박스를 선택하여 로컬 라우터가 기본 경로 0.0.0.0을 인접한 라우터로 전송하도록 허용합니다. Route map(경로 맵) 필드에서 경로 0.0.0.0의 조건부 삽입을 허용할 경로 맵을 입력하거나 선택합니다.

  4. 조건부 알림 경로를 추가하려면 Add Row(행 추가) + 기호를 클릭합니다. Add Advertised Route(알림 경로 추가) 대화 상자에서 다음을 수행합니다.

    1. exist 맵 또는 non-exist 맵의 조건을 충족할 경우 Advertise Map(알림 맵) 필드에서 루트 맵을 추가하거나 선택합니다.

    2. Exist Map을 클릭하고 루트 맵 개체 선택기에서 루트 맵을 선택합니다. 이 경로 맵을 BGP 테이블의 경로와 비교하여 경로 맵을 알릴지 결정합니다.

    3. Non-Exist Map을 클릭하고 루트 맵 개체 선택기에서 루트 맵을 선택합니다. 이 경로 맵을 BGP 테이블의 경로와 비교하여 경로 맵을 알릴지 결정합니다.

    4. OK(확인)를 클릭합니다.

단계 16

Timers(타이머)에서 Set Timers for the BGP Peer(BGP 피어에 대한 타이머 설정) 체크 박스를 선택하여 keepalive 빈도, 보류 시간 및 최소 보류 시간을 설정합니다.

  • Keepalive frequency(Keepalive 빈도) - threat defense 디바이스에서 네이버에 keepalive 메시지를 보내는 빈도(초)를 입력합니다. 유효한 값은 0 ~ 65535입니다. 기본값은 60초입니다.

  • Hold time(보류 시간) - threat defense 디바이스가 데드 피어를 선언하는 keepalive 메시지를 수신하지 않은 후 간격(초)을 입력합니다. 유효한 값은 0 ~ 65535입니다. 기본값은 180초입니다.

  • Min hold time(최소 보류 시간) - threat defense 디바이스가 데드 피어를 선언하는 keepalive 메시지를 수신하지 않은 후 최소 간격(초)을 입력합니다. 유효한 값은 3 ~ 65535입니다. 기본값은 3초입니다.

    참고

     

    보류 시간이 20초 미만이면 피어 플래핑 가능성이 높아집니다.

단계 17

Advanced(고급)에서 다음을 업데이트합니다.

  1. (선택 사항) Enable Authentication(인증 활성화) 확인란을 선택하여 두 BGP 피어 사이의 TCP 연결에 대한 MD5 인증을 활성화합니다.

    1. Enable Encryption(암호화 활성화) 드롭다운 목록에서 암호화 유형을 선택합니다.

    2. Password(비밀번호) 필드에 비밀번호를 입력합니다. Confirm Password(비밀번호 확인) 필드에 비밀번호를 다시 입력합니다. 비밀번호는 대/소문자를 구분하며 service password-encryption 명령이 활성화된 경우 최대 25자, service password-encryption 명령이 활성화되지 않은 경우 최대 81자입니다. 문자열은 공백을 포함하여 모든 영숫자 문자를 포함할 수 있습니다.

      참고

       

      number-space-anything 형식의 비밀번호는 지정할 수 없습니다. 숫자 뒤에 공백이 오면 인증이 실패할 수 있습니다.

  2. (선택 사항) 커뮤니티 속성을 BGP 네이버에 전송해야 한다고 지정하려면 Send Communty attribute to this neighbor(이 네이버에 커뮤니티 속성 보내기) 확인란을 선택합니다.

  3. (선택 사항) Use FTD as next hop for this neighbor(네이버의 next hop으로 FTD 사용) 확인란을 선택하여 라우터를 BGP speaking 네이버 또는 피어 그룹을 위한 next-hop으로 구성합니다.

  4. Disable connection verification(연결 확인 비활성화) 확인란을 선택하여 single hop으로 도달 가능하지만 루프백 인터페이스에 구성되어 있거나 직접 연결되지 않은 IP 주소로 구성된 eBGP 피어링 세션에 대한 연결 확인 프로세스를 비활성화합니다. 선택이 해제되면(기본값) eBGP 피어가 기본적으로 동일한 네트워크 세그먼트에 직접 연결되어 있는지 확인하기 위해 BGP 라우팅 프로세스는 single-hop eBGP 피어링 세션(TTL=254)의 연결을 확인합니다. 피어가 동일한 네트워크에 직접 연결되어 있지 않은 경우 연결 확인을 수행하면 피어링 세션의 연결이 차단됩니다.

  5. Allow connections with neighbor that is not directly connected(직접 연결되지 않은 네이버로의 연결 허용)를 선택하여 직접 연결되지 않은 네트워크에 상주하는 외부 피어로의 BGP 연결을 승인 및 시도합니다. (선택 사항) TTL(time-to-live)을 TTL hops(TTL 홉) 필드에 입력합니다. 유효한 값은 1~255입니다. Limited number of TTL hops to neighbor(네이버에 대한 제한된 TTL 홉 수)를 선택하여 BGP 피어링 세션을 보호합니다. eBGP 피어를 구분하는 최대 홉 수를 TTL hops(TTL 홉) 필드에 입력합니다. 유효한 값은 1 ~ 254입니다.

  6. (선택 사항) Use TCP MTU path discovery(TCP 경로 MTU 검색 사용) 확인란을 선택하여 BGP 세션에 대한 TCP 전송 세션을 활성화합니다.

  7. TCP Transport Mode(TCP 전송 모드) 드롭다운 목록에서 TCP 연결 모드를 선택합니다. 옵션은 Default(기본), Active(액티브) 또는 Passive(패시브)입니다.

  8. (선택 사항) BGP 네이버 연결에 대한 Weight(가중치)를 입력합니다.

  9. 드롭다운 목록에서 threat defense 디바이스가 수락할 BGP Version(BGP 버전)을 선택합니다. 버전을 4로 설정하여 소프트웨어가 지정된 네이버에서 버전 4만 사용하도록 강제할 수 있습니다. 기본값은 버전 4를 사용하고 요청 시 동적으로 버전 2까지 사용할 수 있도록 하는 것입니다.

단계 18

AS 마이그레이션이 고려되는 경우에만 Migration(마이그레이션)을 업데이트합니다.

참고

 

AS 마이그레이션 맞춤 설정은 전환이 완료된 후 제거되어야 합니다.

  1. (선택 사항) Customize the AS number for routes received from the neighbor(인접 디바이스에서 수신된 경로에 대한 AS 번호 사용자 지정) 확인란을 선택하여 eBGP 인접 디바이스에서 수신된 경로에 대한 AS_PATH 속성을 사용자 정의합니다.

  2. Local AS Number(로컬 AS 번호) 필드에 로컬 자율 시스템 번호를 입력합니다. 유효한 값은 1~4294967295 또는 1.0~65535.65535 사이의 유효한 자율 시스템 번호입니다.

  3. (선택 사항) 로컬 AS 번호가 eBGP 피어에서 수신된 모든 경로 앞에 추가되지 않도록 하려면 Do not prepend local AS number for routes received from neighbor(인접한 라우터에서 수신한 경로에 로컬 AS 번호를 접두사로 붙이지 않음) 체크 박스를 선택합니다.

  4. (선택 사항) 실제 자율 시스템 번호를 eBGP 업데이트의 로컬 자율 시스템 번호로 바꾸려면 Replace real AS number with local AS number in routes received from neighbor(인접한 라우터에서 수신한 경로에서 실제 AS 번호를 로컬 AS 번호로 대체) 체크 박스를 선택합니다. 로컬 BGP 라우팅 프로세스에서의 자동 시스템 번호는 접두사로 추가되지 않습니다.

  5. (선택 사항) eBGP 인접한 라우터가 실제 자율 시스템 번호(로컬 BGP 라우팅 프로세스)를 사용하거나 로컬 자율 시스템 번호를 사용하여 피어 세션을 설정하도록 eBGP 인접한 라우터를 구성하려면 Accept either real AS number or local AS number in routes received from neighbor(인접한 라우터에서 수신한 경로에서 실제 AS 번호 또는 로컬 AS 번호 중 하나를 허용) 체크 박스를 선택합니다.

단계 19

OK(확인)를 클릭합니다.

단계 20

Save(저장)를 클릭합니다.

BGP 집계 주소 설정

BGP 네이버는 라우팅 정보를 저장하고 교환하며 더 많은 BGP 스피커가 구성되면 라우팅 정보의 양이 증가합니다. 경로 어그리게이션은 여러 경로의 속성을 결합하여 하나의 경로만 알리는 프로세스입니다. 종합 접두사는 CIDR(Classless Interdomain Routing) 원칙을 사용하여 연속 네트워크를 라우팅 테이블에 요약할 수 있는 하나의 클래스리스 IP 주소 집합으로 결합합니다. 결과적으로 더 적은 경로를 알리게 됩니다. Add/Edit Aggregate Address(종합 주소 추가/편집) 대화 상자를 사용하여 특정 경로의 집합을 하나의 경로로 정의합니다.

프로시저

단계 1

threat defense 디바이스를 편집할 때 Routing(라우팅)을 클릭합니다.

단계 2

(가상 라우터를 인식하는 디바이스의 경우) 가상 라우터 드롭다운에서 BGP를 구성할 가상 라우터를 선택합니다.

단계 3

BGP > IPv4 또는 IPv6을 선택합니다.

단계 4

Add Aggregate Address(종합 주소 추가)를 클릭합니다.

단계 5

Aggregate Timer(종합 타이머) 필드에서 종합 타이머 값(초)을 입력합니다. 유효한 값은 0 또는 6과 60 사이의 모든 값입니다. 기본값은 30입니다.

단계 6

(아이콘 추가)Add(추가)를 클릭하고 Add Aggregate Address(종합 주소 추가) 대화 상자를 업데이트합니다.

  1. Network(네트워크) - IPv4 주소를 입력하거나 원하는 네트워크/호스트 개체를 선택합니다.

  2. Attribute Map(속성 맵) - (선택 사항) 종합 경로 속성 설정에 사용할 경로 맵 이름을 입력하거나 선택합니다.

  3. Advertise Map(알림 맵) - (선택 사항) AS_SET 오리진 커뮤니티 생성을 위한 경로 선택에 사용할 경로 맵 이름을 입력하거나 선택합니다.

  4. Suppress Map(억제 맵) - (선택 사항) 억제할 경로를 선택하는 데 사용되는 경로 맵을 입력하거나 선택합니다.

  5. Generate AS set path Information(AS 설정 경로 정보 생성) - (선택 사항) 체크 박스를 선택하여 자율 시스템 설정 경로 정보 생성을 활성화합니다.

  6. Filter all routes from updates(업데이트의 모든 경로 필터링) - (선택 사항) 체크 박스를 선택하여 업데이트의 보다 구체적인 모든 경로를 필터링합니다.

  7. OK(확인)를 클릭합니다.

다음에 수행할 작업

BGPv4 필터링 설정

필터링 설정은 발신 BGP 업데이트에서 수신된 경로나 네트워크를 필터링하는 데 사용됩니다. 필터링은 라우터가 학습하거나 알리는 라우팅 정보를 제한하는 데 사용됩니다.

시작하기 전에

필터링은 BGP IPv4 라우팅 정책에만 적용 가능합니다.

프로시저

단계 1

Device Management(디바이스 관리) 페이지에서 Routing(라우팅)을 클릭합니다.

단계 2

(가상 라우터를 인식하는 디바이스의 경우) 가상 라우터 드롭다운에서 BGP를 구성할 가상 라우터를 선택합니다.

단계 3

BGP > IPv4를 선택합니다.

단계 4

Filtering(필터링)을 클릭합니다.

참고

 

Filtering(필터링) 필드는 IPv4 설정에만 적용됩니다.

단계 5

(아이콘 추가)Add(추가)를 클릭하고 Add Filter(필터 추가) 대화 상자를 업데이트합니다.

  1. Access List(액세스 목록) - 라우팅 업데이트에서 어떤 네트워크를 수신하고 어떤 네트워크를 억제할지 정의하는 액세스 제어 목록을 선택합니다.

  2. Direction(방향) - 필터를 인바운드 업데이트에 적용할지 아웃바운드 업데이트에 적용할지 지정하는 방향을 선택합니다.

  3. Protocol(프로토콜) - (선택 사항) 필터링할 라우팅 프로세스(None(없음), BGP, Connected(연결됨), OSPF, RIP 또는 Static(정적))를 선택합니다.

  4. Process ID(프로세스 ID) - (선택 사항) OSPF 라우팅 프로토콜의 프로세스 ID를 입력합니다.

  5. OK(확인)를 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

BGP 네트워크 설정

네트워크 설정은 BGP 라우팅 프로세스 및 경로 맵을 통해 알릴 네트워크를 추가하는 데 사용됩니다. 이때 알릴 네트워크는 경로 맵을 검사하여 필터링됩니다.

프로시저

단계 1

Device Management(디바이스 관리) 페이지에서 Routing(라우팅)을 클릭합니다.

단계 2

(가상 라우터를 인식하는 디바이스의 경우) 가상 라우터 드롭다운에서 BGP를 구성할 가상 라우터를 선택합니다.

단계 3

BGP > IPv4 또는 IPv6을 선택합니다.

단계 4

Networks(네트워크)를 클릭합니다.

단계 5

Add(추가)를 클릭하고 Add Networks(네트워크 추가) 대화 상자를 업데이트합니다.

  1. Network(네트워크) - BGP 라우팅 프로세스가 알릴 네트워크를 입력합니다.

    참고

     

    네트워크 접두사를 알리려면 디바이스 경로가 라우팅 테이블에 있어야 합니다.

  2. (선택 사항) Route Map(루트 맵) - 알릴 네트워크를 필터링하기 위해 검사해야 할 루트 맵을 입력하거나 선택합니다. 지정하지 않으면 모든 네트워크를 재배포합니다.

  3. OK(확인)를 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

BGP 재배포 설정

재배포 설정을 통해 다른 라우팅 도메인의 경로로부터 BGP로 재배포하는 조건을 정의하기 위한 단계를 설명할 수 있습니다.

프로시저

단계 1

Device Management(디바이스 관리) 페이지에서 Routing(라우팅)을 클릭합니다.

단계 2

(가상 라우터를 인식하는 디바이스의 경우) 가상 라우터 드롭다운에서 BGP를 구성할 가상 라우터를 선택합니다.

단계 3

BGP > IPv4 또는 IPv6을 선택합니다.

단계 4

Redistribution(재배포)을 클릭합니다.

단계 5

Add(추가)를 클릭하고 Add Redistribution(재배포 추가) 대화 상자를 업데이트합니다.

  1. Source Protocol(소스 프로토콜) - Source Protocol(소스 프로토콜) 드롭다운 목록에서 BGP 도메인으로 경로를 재배포할 프로토콜을 선택합니다.

    참고

     

    사용자 정의 가상 라우터는 RIP의 재배포 트래픽을 지원하지 않습니다.

  2. Process ID(프로세스 ID) - 선택한 소스 프로토콜의 식별자를 입력합니다. OSPF 프로토콜에 적용됩니다. 가상 라우팅을 사용하는 디바이스의 경우 BGP 설정을 구성할 가상 라우터에 할당된 프로세스 ID가 이 드롭다운에 나열됩니다.

  3. Metric(메트릭) - (선택 사항) 재배포된 경로에 대한 메트릭을 입력합니다.

  4. Route Map(경로 맵) - 재배포할 네트워크를 필터링하기 위해 검사해야 할 경로 맵을 입력하거나 선택합니다. 지정하지 않으면 모든 네트워크를 재배포합니다. 새 경로 맵 개체를 생성하려면 Add(추가) (추가 아이콘)를 클릭합니다. 새 경로 맵을 추가하는 절차는 경로 맵 항목 구성을 참조하십시오.

  5. Match(일치) - 하나의 라우팅 프로토콜에서 다른 라우팅 프로토콜로 경로를 재배포하는 데 사용되는 조건입니다. 경로는 재분배하려고 선택한 조건과 일치해야 합니다. 다음과 같은 하나 이상의 일치 조건을 선택할 수 있습니다. OSPF를 소스 프로토콜을 선택한 경우에 이 옵션이 활성화됩니다.

    • 내부

    • 외부 1

    • 외부 2

    • NSSA 외부 1

    • NSSA 외부 2

  6. OK(확인)를 클릭합니다.

BGP 라우트 삽입 설정

라우트 삽입 설정을 통해 BGP 라우팅 테이블에 조건부로 삽입할 경로를 정의하기 위한 단계를 설명할 수 있습니다.

프로시저

단계 1

Device Management(디바이스 관리) 페이지에서 Routing(라우팅)을 클릭합니다.

단계 2

(가상 라우터를 인식하는 디바이스의 경우) 가상 라우터 드롭다운에서 BGP를 구성할 가상 라우터를 선택합니다.

단계 3

BGP > IPv4 또는 IPv6을 선택합니다.

단계 4

Route Injection(경로 삽입)을 클릭합니다.

단계 5

Add(추가)를 클릭하고 Add Route Injection(경로 삽입 추가) 대화 상자를 업데이트합니다.

  1. Inject Map(삽입 맵) - 로컬 BGP 라우팅 테이블로 삽입할 접두사를 지정하는 경로 맵의 이름을 입력하거나 선택합니다. 새 경로 맵 개체를 생성하려면 Add(추가) (추가 아이콘)를 클릭합니다. 새 경로 맵을 추가하는 절차는 경로 맵 항목 구성을 참조하십시오.

  2. Exist Map(Exist 맵) - BGP 스피커가 추적하는 접두사가 포함된 경로 맵의 이름을 입력하거나 선택합니다.

  3. Injected routes will inherit the attributes of the aggregate route(삽입된 경로가 종합 경로의 속성을 상속 받음) - 이 체크 박스를 선택하여 삽입된 경로가 종합 경로의 속성을 상속 받도록 구성합니다.

  4. OK(확인)를 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

BGP 라우트 가져오기/내보내기 설정 구성

BGP에서 대상 및 소스 가상 라우터의 경로 대상 확장 커뮤니티를 각각 사용하여 경로를 가져오거나 내보내 가상 라우터 간 경로 유출을 구현할 수 있습니다. 전체 라우팅 테이블을 유출하는 대신 경로 맵을 사용하여 원하는 경로 대상을 필터링할 수 있습니다. 전역 가상 라우터의 경로를 사용자 정의 가상 라우터로 유출할 수 있으며, 그 반대의 경우도 마찬가지입니다.

  • 경로 대상 확장 커뮤니티를 사용하여 두 개의 사용자 정의 가상 라우터 간에 경로를 유출하도록 BGP를 구성할 수 있습니다.

    • 경로 대상 내보내기를 사용하여 소스 가상 라우터의 경로 대상으로 경로에 태그를 지정합니다.

    • 경로 대상 가져오기를 사용하여 경로 대상과 일치하는 경로를 대상 가상 라우터로 가져옵니다.

    • 선택적으로 경로 맵 내보내기 또는 가져오기를 각각 사용하여 소스 가상 라우터의 경로 또는 대상 가상 라우터로의 경로를 필터링할 수 있습니다. 경로를 필터링하기 위해 확장 커뮤니티 목록과 일치하는 경로 맵을 구성할 수 있습니다. 마찬가지로, 설정된 확장 커뮤니티 경로 대상으로 경로 맵을 구성하여 경로 대상 확장 커뮤니티로 경로에 태그를 지정할 수 있습니다.

  • 전역 가상 라우터에서 사용자 정의 가상 라우터로 경로를 가져오려면 전역 가상 라우터 가져오기 경로 맵에서 IPv4/IPv6 경로 맵을 지정하여 사용자 정의 가상 라우터로 가져옵니다.

  • 대상 경로를 내보내는 것 외에도 사용자 정의 가상 라우터에서 전역 가상 라우터로 경로를 내보내려면 사용자 정의 가상 라우터에서 내보낼 전역 가상 라우터 내보내기 경로 맵을 지정할 수도 있습니다.

BGP 가상 라우터 간 경로 유출은 ipv4 및 ipv6 접두사를 모두 지원합니다.

시작하기 전에

프로시저

단계 1

Device Management(디바이스 관리) 페이지에서 Routing(라우팅)을 클릭합니다.

단계 2

(가상 라우터를 인식하는 디바이스의 경우) 가상 라우터 드롭다운에서 BGP를 구성할 가상 라우터를 선택합니다.

단계 3

BGP > IPv4 또는 IPv6을 선택합니다.

단계 4

Route Import/Export(경로 가져오기/내보내기)를 클릭합니다.

단계 5

Route Targets Import(경로 대상 가져오기) 필드에 가져올 경로와 일치시킬 경로 대상 확장 커뮤니티를 입력합니다. 구축 시 이 값과 일치하는 대상 가상 라우터의 경로를 소스 가상 라우터의 BGP 테이블로 가져옵니다.

참고

 

  • 경로 대상은 ASN:nn 형식이어야 합니다.

  • 경로 대상이 여러 개인 경우 쉼표로 구분한 값으로 입력할 수 있습니다.

  • 이 값의 범위는 0:1에서 65534:65535까지입니다.

단계 6

Route Targets Export(경로 대상 내보내기) 필드에 경로 대상 확장 커뮤니티를 입력하여 소스 가상 라우터의 경로에 경로 대상 값을 태그로 지정합니다. 구축 시 소스 가상 라우터의 경로는 이 값으로 태그가 지정됩니다.

참고

 

  • 경로 대상은 ASN:nn 형식이어야 합니다.

  • 경로 대상이 여러 개인 경우 쉼표로 구분한 값으로 입력할 수 있습니다.

  • 이 값의 범위는 0:1에서 65534:65535까지입니다.

단계 7

경로 맵을 사용하면 전체 라우팅 테이블을 유출하는 대신 공유할 경로를 좁힐 수 있습니다. 경로 맵 필터링은 지정된 경로 대상 값으로 얻은 경로 목록에 적용됩니다.

  1. (선택 사항) User Virtual Router(사용자 가상 라우터)Import Route Map(가져오기 경로 맵) 드롭다운 목록에서 경로 맵을 선택하여 대상 가상 라우터의 경로를 필터링합니다.

    참고

     

    사용자 가상 라우터 가져오기 루트 맵은 경로 대상 가져오기가 구성된 경우에만 유효합니다.

  2. (선택 사항) User Virtual Router(사용자 가상 라우터)Export Route Map(내보내기 경로 맵) 드롭다운 목록에서 경로 맵을 선택하여 다른 가상 라우터로 경로를 내보내기 전에 소스 가상 라우터의 경로를 필터링합니다.

    참고

     

    다른 기준에 따라 필터링하거나 경로 대상 커뮤니티 값으로 경로에 태그를 지정하기 위해 경로 대상 확장 커뮤니티 목록과 함께 경로 맵의 match 및 set 절을 사용할 수 있습니다. 자세한 내용은 경로 맵 항목을 참조하십시오.

단계 8

사용자 정의 가상 라우터와 전역 가상 라우터 간에 경로를 공유하려면 Global Virtual Router(전역 가상 라우터) 아래에서 경로 맵을 지정합니다.

  1. 전역 가상 라우터 경로를 사용자 정의 가상 라우터로 유출하려면 Import Route Map(가져오기 경로 맵) 드롭다운 목록에서 경로 맵을 선택합니다. IPv4 또는 IPv6 경로 맵을 사용자 정의 가상 라우터로 가져옵니다.

  2. 사용자 정의 가상 라우터 경로를 전역 가상 라우터로 유출하려면 Export Route Map(내보내기 경로 맵) 드롭다운 목록에서 경로 맵을 선택합니다. IPv4 또는 IPv6 경로 맵을 전역 가상 라우터로 내보냅니다.

    참고

     

    경로 맵 지정과는 별도로 내보낼 경로 대상을 지정해야 합니다.

참고

 

경로 맵 개체의 match 절을 사용하여 유출 경로를 필터링할 수 있습니다. 자세한 내용은 경로 맵를 참고하십시오.

단계 9

절차(3단계~8단계)에 따라 다른 가상 라우터에 대한 관련 BGP 경로 가져오기 및 내보내기 설정을 구성합니다.

단계 10

Save(저장)를 클릭하고 Deploy(구축)를 클릭합니다.

패킷이 인그레스 가상 라우터로 이동하면 BGP는 일치하는 경로 대상 값이 있는 대상 가상 라우터에서 경로를 가져오고, 경로 맵이 구성된 경우 경로가 추가 필터링되고 패킷 라우팅에 가장 적합한 경로를 식별하는 데 사용됩니다.

Secure Firewall Threat Defense의 BGP 기록

기능

버전

세부 사항

가상 라우터를 상호 연결하는 BGP 구성

7.1

사용자 정의 가상 라우터 간에, 그리고 전역 가상 라우터와 사용자 정의 가상 라우터 간에 동적으로 경로를 유출하도록 BGP 설정을 구성할 수 있습니다. 경로 대상으로 태그를 지정하고 선택적으로 경로 맵을 사용하여 일치하는 경로를 필터링하여 가상 라우터 간에 경로를 교환하기 위해 경로 가져오기 및 내보내기 기능이 도입되었습니다. 이 BGP 기능은 사용자 정의 가상 라우터를 선택하는 경우에만 액세스할 수 있습니다.

신규/수정된 화면: 선택한 사용자 정의 가상 라우터의 경우 Devices(디바이스) > Device Management(디바이스 관리) > Routing(라우팅) > BGPv4/v6 > Route Import/Export(경로 가져오기/내보내기) 탭.

사용자 정의 가상 라우터에서 BGPv6 지원

7.1

Secure Firewall Threat Defense에서는 이제 사용자 정의 가상 라우터에서 BGPv6 구성을 지원합니다.

신규/수정된 화면: 선택한 사용자 정의 가상 라우터의 경우 Devices(디바이스) > Device Management(디바이스 관리) > Routing(라우팅) > BGPv6 페이지.