PBR 실습 기초_GNS3

서론

GNS3 환경에서 구축했다.
각 라우터 인터페이스 아이피는 할당되어있는 상태이다.
ACL 기반 정책을 적용하고, PBR이론에 대해서 알아본다.

 

목표

PC1은 위쪽 회선, PC2는 아래쪽 회선을 타도록 PBR을 설정한다.
ACL을 대상을 지정하고 route-map으로 next-hop을 지정

일반 라우팅 테이블이 없는 상태에서 PBR 정책만으로 경로를 지정한다.
-> 라우터가 라우팅 테이블보다 PBR 정책을 최우선으로 처리함을 증명

 
 

 

PBR 이란?

 
PBR은 관리자가 정의한 정책에 따라 트래픽의 경로를 결정하는 기술이다.
일반적인 라우터가 오직 목적지 주소 하나만 보고 길을 안내하는 '내비게이션' 이라면,
PBR은 '출발지가 어디인지' '어떤 애플리케이션인지' 등
다양한 조건을 따져서 관리자가 원하는 특정 경로로 트래픽을 강제 이동시키는 '지능형 교통 경찰'과 같다고 보면 된다.

 

PBR 핵심 동작 원리 3요소

1. ACL : 누구를 제어할 것인가?
2. route-map : 어떻게 처리할 것인가?
3. interface 적용 : 어디서 감시할 것인가?
 

왜 PBR을 사용할까?

1.출발지 기반 경로 제어 
-> 목적지가 같더라도 누가 보내느냐에 따라 서로 다른 회선을 타게 할 수 있다.
 
2. 트래픽 부하 분산 ( 로드 밸런싱 )
-> 일반 라우팅이라면 하나의 좋은 경로에만 트래픽이 쏠리지만, PBR을 사용하면 여러 회선에 트래픽을 골고루 분산시켜
네트워크 효율을 극대화할 수 있다.
 
3. 보안 및 경로 격리
-> 뒤에 볼 실습에서 확인해 보겠지만, 정책에 허용된 경로 외에는 통신을 제한함으로써 특정 부서나 사용자 그룹 간의 망 분리 효과를 낼 수도 있다. 
 

---

 

PBR 기초 실습

각 PC ip 설정 , R1 , R2 인터페이스 ip 설정은 완료되어 있는 상태이다.
 

R1 설정

ACL 설정 

R1(config)#access-list 101 permit ip host 192.168.1.1 host 192.168.2.1
R1(config)#access-list 102 permit ip host 192.168.1.2 host 192.168.2.2

 
route-map 설정

R1(config)#route-map PBR permit 10
R1(config-route-map)#match ip address 101
R1(config-route-map)#set ip next-hop 1.1.67.2

R1(config)#route-map PBR permit 20
R1(config-route-map)#match ip address 102
R1(config-route-map)#set ip next-hop 1.1.76.2

 
인터페이스 적용

R1(config)#int g2/0
R1(config-if)#ip policy route-map PBR

 

R2 설정

ACL 설정

R2(config)#access-list 101 permit ip host 192.168.2.1 host 192.168.1.1
R2(config)#access-list 102 permit ip host 192.168.2.2 host 192.168.1.2

 
route-map 설정

R2(config)#route-map PBR permit 10
R2(config-route-map)#match ip address 101
R2(config-route-map)#set ip next-hop 1.1.67.1

R2(config)#route-map PBR permit 20
R2(config-route-map)#match ip address 102
R2(config-route-map)#set ip next-hop 1.1.76.1

 
인터페이스 적용

R2(config)#int g2/0
R2(config-if)#ip policy route-map PBR

 

 

 

실습 결과

PC 1 -> PC3 , PC4 핑테스트

PC1에서 PC3 통신 정상 , PC4 통신 X
 

PC2 -> PC3, PC4 핑테스트

pc2에서 PC3 통신 X , PC4 통신 정상
 

 

 

와이어샤크 확인

왼쪽 :  위쪽 회선 
오른쪽 : 아래쪽 회선

PC1 -> PC3 핑테스트 
 

PC2 -> PC4 핑테스트
 
PBR 정책에 따라 트래픽이 정확하게 분리되어 흐르고 있는걸 확인 할 수 있다.
 

 

 

결론

최종적으로 R1가 R2의 PBR 설정을 검증한 결과,
PC1과 PC3 간의 트래픽은 위쪽 경로를 , PC2와 PC4 간의 트래픽은 아래쪽 경로를 이용함을 확인했다.
 
라우팅 테이블이 없는 상황에서도 통신이 성공했다는 점은,
라우터가 PBR 정책을 라우팅 테이블보다 최우선으로 처리한다는 이론을 직접 증명한 것이다.
 
또한 와이어샤크 분석을 통해 두 회선에 트래픽을 분산시킴으로써 
단순한 경로 지정을 넘어서 트래픽 부하 분산 ( 로드 밸런싱 )이 성공적으로 구현되었고,
 
나아가 PBR 정책에 매칭되지 않은 트래픽은 통신이 실패하는 것을 확인했는데, 이는 PBR이 단순한 라우팅 기능을 넘어
허용된 대상끼리만 통신을 가능케 하는 '보안 및 망 분리' 도구로도 강력하게 활용될 수 있다고 본다.
 
 
 
** 궁금하신 부분 댓글 남겨주시면 아는 선에서 최대한 빠르게 답변 남겨드리겠습니다.
** 틀린 부분 있을시 댓글로 남겨주시면 더 공부하겠습니다.