유무선 통신 사업자나 일반 기업 전산망은 그들의 정책/필요성에 따라 IP 네트워크에 PBR(Policy Based Routing)을 적용하고 있습니다. 오늘은 이 PBR의 개념과 관련 CLI(configuration)에 대해서 설명을 드리고, 다음 시간에는 국내외 통신 사업자망에서의 PBR적용 사례를 보여 드리도록 하겠습니다.

일반적인 IP 포워딩은...

원래 IP 라우터는 수신된 IP 패킷의 Destination IP 주소를, 자신이 가지고 있는 Forwarding Table과 비교(LPM; Longest Prefix Match 수행)하여 송신 포트(Outgoing Interface)를 결정하고, 그 포트로 패킷을 전달(패킷 포워딩)합니다. 

참고: Control Plane은 Routing Table 혹은 RIB(Routing Information Base), Data Plane은 Forwarding Table 혹은 FIB (Forwarding Information Base)라 부르며, OSPF, IS-IS, BGP와 같은 라우팅 프로토콜에 의해서 배워온 라우팅 정보를 RIB에 쓰게 되고, 그 RIB 정보는 그대로 FIB로 복사되어, 라우터는 패킷이 수신되면 FIB를 참조하여(RIB는 참조하지 않음) Wire Speed로 패킷을 포워딩함

위 그림에서 R1, R2, R3, R4, R5에는 OSPF나 IS-IS와 같은 IGP(Interior Gateway Protocol)가 돌고 있으며, IGP를 통해 R1과 R3에 연결된 S1, S2의 주소 대역(네트워크 주소)인 1.1.1.0/24와 2.2.2.0/24를 모든 라우터가 배우게 됩니다.

• 각 라우터의 링크 cost가 모두 같다는 가정에서, IGP의 Shortest Path Algorithm(cost가 작은 경로 선택)에 따라,
• S1에서 Destination IP 주소를 2.2.2.2로 하여 패킷을 R1으로 보내면, R1은 자신의 Forwarding Table을 lookup하여 "Destination IP 주소 2.2.2.2에 대한 Next Hop(다음 라우터의 IP 주소)은 10.1.1.2(R2의 Interface IP)이고, 나는 ge2 포트로 이패킷을 송신하면 되는구나"를 알게 되어 패킷을 R2로 전달합니다. 
• 여기서 잠깐! 왜 Next Hop 주소가 필요할까요? 다들 잘 아시죠 ^^ 그건 바로 Next Hop의 MAC 주소를 알기 위함입니다. IP over Ethernet 환경(라우터의 포트가 Ethernet)에서는 항상 Source MAC 주소(송신 라우터의 MAC 주소, 여기서는 R1의 ge2에 할당된 MAC 주소)와 Destination MAC 주소(수신 라우터의 MAC 주소, 여기서는 R2의 ge1에 할당된 MAC 주소)가 붙어야 하기 때문입니다.
• R1으로 부터 패킷을 수신한 R2는 자신의 Forwarding Table을 lookup하여 "Next Hop은 10.1.2.2(R3의 Interface IP)이고 송신 포트는 ge2인 것"을 알고 패킷을 R3로 송신합니다.
• R2로 부터 패킷을 수신한 R3도 역시 자신의 Forwarding Table을 lookup하여 "Destination IP 주소 2.2.2.2는 나와 바로 붙어 있는 device이고 송신 포트는 ge3인 것"을 알고 2.2.2.2에 대해 ARP resolving 수행 후, S2로 패킷을 송신합니다.
• 따라서 S1이 S2로 보낸 패킷은 S1 -> R1 -> R2 -> R3 -> S2 흐름을 통해 S2에 도착합니다.

그럼 PBR(Policy Based Routing)은?

반면 PBR은 패킷의 Destination IP 주소 이외에 다른 필드들(Source IP 주소, TCP/UDP port # 등)을 참조하여 송신 포트를 결정(패킷 포워딩)하는 기술로, 시스코(Cisco)에서는 이를 PBR(Policy Based Routing)이라 부르지만, 주니퍼(Juniper)의 경우 FBF(Filter Based Forwarding)이라 부릅니다.

이제 PBR/FBF 설정을 통해 S1에서 S2으로 가는 패킷을 S1 -> R1 -> R4 -> R5 -> R3 -> S2로 변경해 보도록 하겠습니다. (아래 그림)

이를 위해 R1에 다음과 같은 설정을 합니다.

• S1과 연결된 Interface인 ge1으로 Source IP 대역이 1.1.1.0/24인 패킷이 수신되면
• 이 패킷은 R4(10.1.3.2)로 포워딩함

그리고 나머지 라우터 R4, R5, R3에는 별다른 설정이 필요 없습니다. 왜냐면 Destination IP 주소 2.2.2.2인 패킷에 대해서 Forwarding Table lookup에 의해 S2로 전달 될 수 있기 때문입니다.

만약 S2에서 S1으로의 패킷 흐름도 R5, R4를 거치도록 하려면 R3에 역시 PBR/FBF 설정을 하면 됩니다.

Cisco PBR(Policy Based Routing) CLI

R1 PBR Configuration

1. ACL 1은 Source IP 주소가 1.1.1.0 ~ 1.1.1.255인 패킷을 분류하는 classification rule입니다.
2. "S1-to-S2"라는 route-map을 선언하여, ACL 1에 match 되는 패킷은 Next Hop이 10.1.3.2(R4의 ge1 interface IP 주소)인 라우터로 보냅니다. "set ip next-hop 10.1.3.2" 대신에 "set interface ge3"으로 하여 패킷을 R4로 PBR하게 할 수도 있습니다.
3. 위에서 정의한 route-map "S1-to-S2"를 패킷이 수신되는 interface인 ge1에 적용합니다. 이를 통해 R1은 ge1으로 수신되는 패킷 중에 Source IP 대역이 1.1.1.0 ~ 1.1.1.254인 패킷에 대해서 R4로 PBR을 하게 됩니다.

Juniper FBF(Filter Based Forwarding) CLI

R1 FBF Configuration

Juniper CLI는 Cisco 보다 좀 많이 복잡합니다. 전 그래도 Juniper가 좋더라구요. ^^*

1. "S1-to-S2"라는 이름의 filter rule을 정의합니다. 이 rule에는 Source IP 주소 대역이 1.1.1.0/24(1.1.1.0 ~ 1.1.1.255)인 패킷에 대해서는 일반 Forwarding Table(inet.0)이 아닌 "s1-to-s2-route"라는 이름의 Forwarding Table에 의해서 패킷이 포워딩이 되도록 정의합니다.
2. 이제 "s1-to-s2-route"라는 이름의 routing-instance(Forwarding Table)를 정의할 차례입니다. 여기에 선언된 Forwarding Entry는 하나만 필요합니다. 모든 패킷(0.0.0.0/0, default route)을 Next Hop 10.1.3.2로 포워딩합니다. 위에 1번과 함께 묶어 생각하면 Source IP 주소 대역이 1.1.1.0/24인 패킷은 Destination IP 주소에 상관없이(0.0.0.0/0)  모두 10.1.3.2를 Next Hop으로 합니다.
3. skip 하겠습니다. -.-;;
4. 앞서 선언한 filer rule "S1-to-S2"를 패킷이 수신되는 interface인 ge1에 적용합니다. 이로써  R1은 ge1으로 수신되는(input) 패킷 중에 Source IP 대역이 1.1.1.0 ~ 1.1.1.254인 패킷에 대해서 R4로 FBF를 하게 됩니다.