OSPF #3(Summarization,Authentication)

[학습 목표]

1) OSPF 축약(Summarization)

2) OSPF 인증(Authentication)

 

OSPF 실습 설정
기본 설정 R1(config)#int e0/0 R1(config-if)#ip add 1.1.1.12 255.255.255.0 R1(config-if)#no shut R1(config)#int lo0       R1(config-if)#ip add 1.1.11.1 255.255.255.0 R1(config)#router ospf 1 R1(config-router)#router-id 1.1.11.1 R1(config-router)#network 1.1.11.1 0.0.0.0 area 1 R1(config-router)#network 1.1.1.12 0.0.0.0 area 1 R1(config)#int e0/0 R1(config-if)#ip ospf netwrok point-to-point 축약 설정 R1(config)#int lo7 R1(config-if)#ip add 7.7.7.7 255.255.255.0 R1(config-if)#ip add 7.7.6.7 255.255.255.0 secondary R1(config-if)#ip add 7.7.5.7 255.255.255.0 secondary R1(config-if)#ip ospf network point-to-point R1(config-if)#exit R1(config)#router ospf 1 R1(config-router)#network 7.7.4.0 0.0.3.255 area 1	기본 설정 R2(config)#int e0/0 R2(config-if)#ip add 1.1.1.21 255.255.255.0 R2(config-if)#no shut R2(config-if)#int e0/1 R2(config-if)#ip add 1.1.2.23 255.255.255.0 R2(config-if)#no shut R2(config)#int lo0 R2(config-if)#ip add 2.2.22.2 255.255.255.0 R2(config)#router ospf 1 R2(config-router)#router-id 2.2.22.2 R2(config-router)#network 2.2.22.2 0.0.0.0 area 0 R2(config-router)#network 1.1.1.21 0.0.0.0 area 1 R2(config-router)#network 1.1.2.23 0.0.0.0 area 0 R2(config)#int range e0/0-1 R2(config-if)#ip ospf netwrok point-to-point 축약 설정 R2(config)#router ospf 1 R2(config-router)#area 1 range 7.7.4.0 255.255.252.0 R2(config-router)#default-information originate always
기본 설정 R3(config)#int e0/1 R3(config-if)#ip add 1.1.2.32 255.255.255.0 R3(config-if)#no shut R3(config-if)#int e0/2 R3(config-if)#ip add 1.1.3.34 255.255.255.0 R3(config-if)#no shut R3(config)#int lo0 R3(config-if)#ip add 3.3.33.3 255.255.255.0 R3(config)#router ospf 1 R3(config-router)#router-id 3.3.33.3 R3(config-router)#network 3.3.33.3 0.0.0.0 area 0 R3(config-router)#network 1.1.2.32 0.0.0.0 area 0 R3(config-router)#network 1.1.3.34 0.0.0.0 area 2 R3(config)#int range e0/1-2 R3(config-if)#ip ospf netwrok point-to-point	기본 설정 R4(config)#int e0/2 R4(config-if)#ip add 1.1.3.43 255.255.255.0 R4(config-if)#no shut R4(config)#int lo0 R4(config-if)#ip add 4.4.44.4 255.255.255.0 R4(config-router)#router-id 4.4.44.4 R4(config-router)#network 4.4.44.4 0.0.0.0 area 2 R4(config-router)#network 1.1.3.43 0.0.0.0 area 2 R4(config)#int e0/2 R4(config-if)#ip ospf netwrok point-to-point 축약 설정 R4(config)#int lo14 R4(config-if)#ip add 14.14.14.14 255.255.255.0 R4(config-if)#ip add 14.14.15.14 255.255.255.0 secondary R4(config-if)#exit R4(config)#router ospf 1 R4(config-router)#redistribute connected subnets R4(config-router)#summary-address 14.14.14.0 255.255.254.0

1) OSPF 축약이란?

용어	설명
LSA (Link-State Advertisement)	라우터 상태 정보를 전달하는 OSPF 메시지
ABR (Area Border Router)	OSPF Area 간 경계를 잇는 라우터 (두 개 이상의 Area에 속함)
ASBR (Autonomous System Boundary Router)	OSPF 외부에서 경로를 가져오는 라우터 (예: BGP, Static 연결 등)
Inter-Area	OSPF 내부(영역 간)에서 일어나는 라우팅 정보 교환
External	OSPF 외부 네트워크 정보 (type 5, type 7 LSA)

 

✅ 내부 축약 (Inter-Area Summarization)

• 내부 축약이란, ABR가 OSPF 여러 내부 영역에서 들어오는 라우팅 정보를 요약(Summarize) 해서 다른 영역으로 전파하는 방식입니다.
• 예: Area 1에 여러 네트워크가 있을 때, Area 0으로 전파할 때 이걸 한 줄로 요약해서 보내는 것

🔎 이유 및 장점

• 라우팅 테이블 간소화: 요약된 하나의 경로로 정리
• LSDB 크기 감소: 불필요한 LSA 수 줄임
• 자연재해 효과 감소: 하나의 요약 경로가 다운되더라도 전체 경로 영향 방지

🔎 실습

R3 OSPF 테이블

설정 후 R3에서 OSPF 테이블을 본 사진이다.

 

R1(config)#int lo7
R1(config-if)#ip add 7.7.7.7 255.255.255.0
R1(config-if)#ip add 7.7.6.7 255.255.255.0 secondary
R1(config-if)#ip add 7.7.5.7 255.255.255.0 secondary

R1(config)#router ospf 1
R1(config-router)#network 7.7.4.0 0.0.3.255 area 1

# loopback interface에 여러개의 네트워크 주소를 설정할 수 있는데, secondary 명령어를 넣어야 한다.

넣지 않을경우 마지막에 입력된 네트워크 주소 하나만 덮어 씌어진다.

---

축약 설정 후 R3 OSPF 테이블

 

OSPF 축약은 에어리어 단위로 하기 때문에 Area 1의 ABR인 R2에서 OSPF 축약 설정을 입력한 후 R3 OSPF 테이블이다.

 

R2(config)#router ospf 1
R2(config-router)#area 1 range 7.7.4.0 255.255.252.0

# 7.7.5.7 , 7.7.6.7 , 7.7.7.7 을 순서대로 이진수로 표기하면

00000111.00000111.000001|01.00000111

00000111.00000111.000001|10.00000111

00000111.00000111.000001|11.00000111

왼쪽에서 부터 22bit 까지 동일한 것을 알 수 있고, 3번째 옥텟 2bit를 추가적으로 호스트 주소로 사용하기 때문에

00 , 01 , 10, 11 순서대로 4,5,6,7 이 포함된 7.7.4.0 255.255.252.0 로 축약했다.

---

Area 1 의 ABR R2에서 본 OSPF 테이블

빨간네모 안에 Null0 표시를 볼 수 있는데, 알고 있는 경로를 제외한 패킷은 Drop 시킨다는 의미이다.

이를 통해 라우팅 루프나 잘못된 전달을 방지한다.

---

 

✅ 외부 축약 (External Route Summarization)

• ASBR가 외부에서 학습한 경로 (예: Static, BGP 등)를 OSPF 내부로 요약해서 광고하는 방식입니다.
• 내부 영역에서는 외부 경로를 하나의 요약된 경로로 보게 됩니다.

🔎 이유 및 장점

• 외부 LSA (type 5) 수 감소
• 라우팅 테이블 단순화
• 효율적인 경로 광고 및 안정성 증가

🔎 실습

R1에서 본 OSPF 테이블

R4 ASBR에서 외부네트워크를 OSPF 재분배 후 R1에서 OSPF 테이블을 확인한 모습이다.

 

R4(config)#int lo14
R4(config-if)#ip add 14.14.14.14 255.255.255.0
R4(config-if)#ip add 14.14.15.14 255.255.255.0 secondary

R4(config)#router ospf 1
R4(config-router)#redistribute connected subnets

---

 

축약 후 R1 OSPF 테이블

R4 ASBR에서 외부네트워크를 축약 후 R1 OSPF 테이블 모습이다.

 

R4(config-router)#summary-address 14.14.14.0 255.255.254.0

# ASBR는 외부 라우팅을 OSPF로 가져오므로 외부 네트워크 정보를 그대로 유지 해야 하기 때문에 서브넷 마스크 사용.

ABR는 내부 라우팅 요약이므로 OSPF 내부 논리를 사용 하기 때문에 축약할 때 와일드카드 마스크 사용

즉, 내부에서 요약 "조건"은 와일드 마스크로 설정하지만, ABR에서 광고 자체는 서브넷 마스크 기반으로 LSA에 실려 전송.

이유는 OSPF LSA 포맷에서 네트워크를 표현하는 방식이 서브넷 마스크 기반이기 때문이다.

 

---

 

✅디폴트 루트 (Default Route in OSPF)

• 디폴트 루트(0.0.0.0/0)는 목적지를 모를 때 사용하는 기본 경로
• OSPF에서는 ABR 또는 ASBR가 default route를 다른 영역 또는 전체 OSPF에 광고할 수 있음

🔎  사용 이유

• 인터넷 접속 시 모든 트래픽을 ASBR로 보내기
• 작은 지사 라우터에서 전체 경로 정보를 받을 필요 없을 때

🔎  실습

R1 OSPF 테이블

Area 1 ABR인 R2에서 OSPF 드폴트 루트를 설정 후 R1 OSPF 테이블 사진이다.

 

R2(config-router)#default-information originate always

# ABR에서 디폴트 루트 설정 후 내부 라우터인 R1 OSPF 테이블을 보면 모르는 경로는 1.1.1.21 을 통하면 된다는 디폴트 루트가 설정되어 있다.

---

2) OSPF 인증이란?

OSPF는 링크 상태 기반 프로토콜이기 때문에, 이웃 라우터와의 정확한 통신이 매우 중요합니다.

그래서 OSPF에서는 누가 이웃인지, 진짜 맞는지를 검증하기 위해 인증(Authentication) 기능을 제공합니다.

---

OSPF 실습 설정
기본 설정 R1(config)#int e0/0 R1(config-if)#ip add 1.1.1.12 255.255.255.0 R1(config-if)#no shut R1(config)#int lo0       R1(config-if)#ip add 1.1.11.1 255.255.255.0 R1(config)#router ospf 1 R1(config-router)#router-id 1.1.11.1 R1(config-router)#network 1.1.11.1 0.0.0.0 area 1 R1(config-router)#network 1.1.1.12 0.0.0.0 area 1 R1(config)#int e0/0 R1(config-if)#ip ospf netwrok point-to-point 네이버 인증 설정 R1(config)#int e0/0 R1(config-if)#ip ospf authentication message-digest  R1(config-if)#ip ospf message-digest-key 1 md5 cisco R1(config)#service password-encryption	기본 설정 R2(config)#int e0/0 R2(config-if)#ip add 1.1.1.21 255.255.255.0 R2(config-if)#no shut R2(config-if)#int e0/1 R2(config-if)#ip add 1.1.2.23 255.255.255.0 R2(config-if)#no shut R2(config)#int lo0 R2(config-if)#ip add 2.2.22.2 255.255.255.0 R2(config)#router ospf 1 R2(config-router)#router-id 2.2.22.2 R2(config-router)#network 2.2.22.2 0.0.0.0 area 0 R2(config-router)#network 1.1.1.21 0.0.0.0 area 1 R2(config-router)#network 1.1.2.23 0.0.0.0 area 0 R2(config)#int range e0/0-1 R2(config-if)#ip ospf netwrok point-to-point 네이버 인증 설정 R2(config)#int e0/0 R2(config-if)#ip ospf authentication message-digest  R2(config-if)#ip ospf message-digest-key 1 md5 cisco R1(config)#service password-encryption
기본 설정 R3(config)#int e0/1 R3(config-if)#ip add 1.1.2.32 255.255.255.0 R3(config-if)#no shut R3(config-if)#int e0/2 R3(config-if)#ip add 1.1.3.34 255.255.255.0 R3(config-if)#no shut R3(config)#int lo0 R3(config-if)#ip add 3.3.33.3 255.255.255.0 R3(config)#router ospf 1 R3(config-router)#router-id 3.3.33.3 R3(config-router)#network 3.3.33.3 0.0.0.0 area 0 R3(config-router)#network 1.1.2.32 0.0.0.0 area 0 R3(config-router)#network 1.1.3.34 0.0.0.0 area 2 R3(config)#int range e0/1-2 R3(config-if)#ip ospf netwrok point-to-point 에어리어 인증 설정 R3(config)#router ospf 1 R3(config-router)#area 2 authentication message-digest  R3(config-router)#exit R3(config)#int e0/2 R3(config-if)#ip ospf message-digest-key 1 md5 cisco R3(config)#service password-encryption	기본 설정 R4(config)#int e0/2 R4(config-if)#ip add 1.1.3.43 255.255.255.0 R4(config-if)#no shut R4(config)#int lo0 R4(config-if)#ip add 4.4.44.4 255.255.255.0 R4(config-router)#router-id 4.4.44.4 R4(config-router)#network 4.4.44.4 0.0.0.0 area 2 R4(config-router)#network 1.1.3.43 0.0.0.0 area 2 R4(config)#int e0/2 R4(config-if)#ip ospf netwrok point-to-point 에어리어 인증 설정 R4(config)#router ospf 1 R4(config-router)#area 2 authentication message-digest  R4(config-router)#exit R4(config)#int e0/2 R4(config-if)#ip ospf message-digest-key 1 md5 cisco R4(config)#service password-encryption

 

✅OSPF Neighbor 인증

• 이웃 라우터 간에 직접 인증을 설정해서, OSPF Hello 패킷을 주고받을 때 암호를 확인함
• Hello 패킷에 포함된 인증 정보를 확인해서 서로 신뢰할 수 있는지 판단하고 인접 형성

🔎 사용 이유

• 같은 네트워크 내 스푸핑 공격 방지
• 잘못된 라우터와의 인접 형성 방지
• 구성 오류 및 보안 강화를 위함

🔎 동작 방식

• 모든 OSPF Hello 패킷에 Authentication 필드가 포함됨
• 인증 정보가 다르면 Neighbor 관계 형성 안됨

🔎 실습

service password-encryption 설정 전(좌) 후(우)

R1 e0/0 Authentication 필드 추가됨

네이버 인증은 인접한 인터페이스가 같은 인증방식을 사용해야 네이버가 맺어진다.

OSPF 헬로패킷에 인증 필드가 추가된 모습이다.

 

R1(config)#int e0/0
R1(config-if)#ip ospf authentication message-digest 
R1(config-if)#ip ospf message-digest-key 1 md5 cisco
R1(config)#service password-encryption

# md5 인증을 설정 해도 인터페이스에 들어가보면 평문으로 설정되 있다.

service password-encryption 설정 해줘야 암호화 된다.

MD5는 입력된 값을 고정된 길이의 해시값으로 변환한다.

 

 

✅OSPF Area 인증

• 하나의 OSPF Area 전체에 대해 인증을 요구하는 방식
• Area 내 모든 라우터 인터페이스에 인증 설정이 필요함
• ABR가 해당 Area에 인증 요구를 설정하면,
  그 Area에 속한 모든 인터페이스도 인증 사용해야 함

🔎 사용 이유

• 네트워크 정책에 따라 Area 전체에 보안 일관성 적용
• 관리가 쉬움 (Area 단위로 적용하니까)

🔎 실습

 

R3(config)#router ospf 1
R3(config-router)#area 2 authentication message-digest 
R3(config-router)#exit
R3(config)#int e0/2
R3(config-if)#ip ospf message-digest-key 1 md5 cisco
R3(config)#service password-encryption

# 양 장비간에 네이버 단절없이 인증 키를 변경하기 위해 MD5 인증 방식에서는 인증키를 여러개 사용할 수 있다.

ex)

ip ospf message-digest-key 1 md5 cisco

ip ospf message-digest-key 2 md5 cisco

각 장비간에 일치하고, 높은 인증키로 인증한다.

 

✅인증 종류 (OSPF 인증 방식)

인증방식	설명
Null (없음)	인증 안 함
Plain Text (Simple Password)	패스워드가 Hello 패킷에 평문으로 포함
MD5 Authentication	암호화된 메시지 다이제스트 사용

 

✅ Neighbor 인증 vs Area 인증 차이점 정리

항목	Neighbor 인증	Area 인증
적용 범위	특정 인터페이스 (이웃 라우터 단위)	전체 Area
설정 위치	인터페이스 단위로 직접 설정	router ospf + 인터페이스 둘 다 설정
인증 필수 여부	선택 가능	ABR가 area 인증 요구하면 필수
유연성	높음 (부분 적용 가능)	낮음 (전체 적용됨)
일반 사용 상황	단순한 토폴로지에서 부분 인증	보안정책상 전체 일괄 적용 시