[네트워크] EVE-NG로 Proxy-ARP 문제 실습하기

안녕하세요

 

이번 시간에는 이전 포스팅에서 설치했던
EVE-NG로 정적 경로 설정(Static Routing) Proxy-ARP 문제점을 실습해보고자 합니다

 

라우터(Router)가 목적지 정보를 학습하는 방법

- 장치 직접 연결(Conneted)
- 정적 경로 설정(Static Routing)
- 동적 경로 설정(Dynamic Routing)
- 재분배(Redistribution)

정적 경로 설정(Static Routing)이란?

수동적으로 경로를 설정해주는 방법으로 관리자가 일일이 입력해줘야 하기 때문에 설정은 번거로우나 우선순위가 Connected > [ Static ] > Dynamic 으로 다이나믹 라우팅보다 신뢰적인 경로이다.

장점
- Static Routing은 라우팅 설정 시 다른 네트워크를 거치지 않고 연결되어 동적 라우팅 보다 보안성이 좋다
- 경로 설정을 위해 CPU가 동작하지 않아 CPU 사용률이 낮다
- 관리자가 직접 수동으로 설정한 경로이기 때문에 비교적 예측이 쉽다
- Dynamic Routing 보다 신뢰성을 갖는다

단점
- 관리자가 수동으로 일일이 입력해줘야 하기 때문에 초기 설정 및 유지보수에 많은 시간이 든다
- 앞선 이유로 대규모 네트워크에 적합하지 않고 소규모 네트워크에서 사용한다
- 네트워크에 변화가 있을 때마다 관리자가 직접 일일이 경로를 수정해야 하기 때문에 확장성이 떨어진다

 

정적 경로 설정(Static Routing) 순서

1. 라우팅 테이블에 Connected 정보가 잘 올라왔는지 확인

R1# show ip route

2. 학습될 목적지 네트워크와 패킷을 전달할 경로를 확인한다

R1# show ip interface brief

3. 명령어를 사용하여 정적 경로 설정

R1(config)# ip route dst_network mask {interface | next_hop_address}

4. 경로 학습이 잘 되었는지 라우팅 테이블 확인

R1# show ip route

 

Outgoing-Interface로 설정

R1(config)# ip route 172.16.1.0 255.255.255.0 ethernet0/0

1. 프록시 ARP(Proxy-arp) 문제
 - Cisco의 모든 장비는 Proxy-arp가 Enable 되어 있는데 ethernet0/0에 172.16.1.0이 Directly Conneted 된 것처럼 인식하게 된다. 직접 연결되어 있지 않더라도 Proxy-arp가 ARP를 통해 목적지의 Mac Address를 대신 전달하는 문제가 발생한다.

 

정적 경로 설정(Static Routing) Proxy-ARP 실습하기

EVE-NG [add new lab]을 클릭하여 01 Static Routing Proxy-ARP로 Lab 이름 설정 [Save]

 

빈 화면 마우스 우클릭 - [Node] - [Cisco IOL] 클릭

 

라우터 4대, 이미지는 L3, Serial port는 1 추가 후 [Save]
→ Serial은 Dyrect 연결방식이기 때문에 MAC address가 필요가 없음
→ Ethernet과는 다르게 Packet을 잡을 수는 없지만, 현재 Packet이 생성되지 않았기 때문에 Serial로 설정

 

따로 스위치는 사용하지 않기 때문에 토폴로지 구성 용으로 생성
2대, 장비 이미지는 l2, 이름은 SW, 아이콘은 Switch로 바꿔준 후 [Save]

빈 화면 마우스 우클릭 - [Node] - [Virtual PC (VPC5)] 클릭

 

VPC 2대 [Save]

[실습 토폴로지 구성]
[More action] - [Start All Nodes]는 사용하는 컴퓨터에 과부하를 줄 수 있기 때문에
*장비를 하나하나 켜줍니다
Proxy-ARP 실습에서 Packet을 잡아볼 수 있도록 192.168.35.0 네트워크를 ethernet 포트로 연결

 

실습을 위해 기본적인 Configuration 진행

 

각 인터페이스에 IP를 할당해준 후 Interface 상태를 확인한다

 

!-- R1 Config
enable
configure terminal
interface e0/0
ip address 192.168.1.254 255.255.255.0
no shutdown
interface s1/0
ip address 192.168.12.1 255.255.255.0
no shutdown

 

!-- R2 Config
enable
configure terminal
interface s1/0
ip address 192.168.12.2 255.255.255.0
no shutdown
interface s1/1
ip address 192.168.23.2 255.255.255.0
no shutdown

 

!-- R3 Config
enable
configure terminal
interface s1/1
ip address 192.168.23.3 255.255.255.0
no shutdown
interface e0/0
ip address 192.168.4.254 255.255.255.0
no shutdown
interface e0/1
ip address 192.168.35.3 255.255.255.0
no shutdown

 

!-- R4 Config
enable
configure terminal
interface e0/1
ip address 192.168.35.4 255.255.255.0
no shutdown

 

!-- VPC6 Config
ip 192.168.1.7 255.255.255.0 192.168.1.254

 

!-- VPC7 Config
ip 192.168.4.8 255.255.255.0 192.168.4.254

 

- 라우터 1번과 2번 장비는 같은 네트워크이고 Conneted로 연결되어 있기 때문에 ping이 가지만,
라우터 1번과 3번 장비는 다른 네트워크이고 라우팅 테이블에 학습되지 않아 ping이 가지 않은 모습

네트워크: 192.168.1.0/24, 192.168.4.0/24, 192.168.12.0/24, 192.168.23.0/24, 192.168.35.0/24

 

- 라우터 1번 장비는 12, 23, 35 네트워크
- 라우터 2번 장비는 1, 4, 35 네트워크
- 라우터 3번 장비는 1, 12 네트워크를
정적 경로 설정(Static Routing) Proxy-ARP 문제를 실습하기 위해 Outgoing-Interface로 설정해보자

 

!-- R1 Config
ip route 192.168.4.0 255.255.255.0 S1/0
ip route 192.168.23.0 255.255.255.0 s1/0
ip route 192.168.35.0 255.255.255.0 s1/0
do show ip route

라우터 1번 정적 경로 설정 후 정상적으로 등록된 모습
Static Routing으로 연결된 것은 Routing Table을 확인할 때 S로 표기된다
Outgoing-Interface로 설정했기 때문에 Next-Hop address는 표시되지 않고 인터페이스만 보이는 모습

 

!-- R2 Config
ip route 192.168.1.0 255.255.255.0 s1/0
ip route 192.168.4.0 255.255.255.0 s1/1
ip route 192.168.35.0 255.255.255.0 s1/1
do show ip route

라우터 2번 정적 경로 설정 후 정상적으로 등록된 모습

 

!-- R3 Config
ip route 192.168.1.0 255.255.255.0 s1/1
ip route 192.168.12.0 255.255.255.0 s1/1
do show ip route

라우터 3번 정적 경로 설정 후 정상적으로 등록된 모습

 

!-- R4 Config
ip route 192.168.1.0 255.255.255.0 e0/1
ip route 192.168.12.0 255.255.255.0 e0/1
ip route 192.168.23.0 255.255.255.0 e0/1
ip route 192.168.4.0 255.255.255.0 e0/1
do show ip route

라우터 4번 정적 경로 설정 후 정상적으로 등록된 모습

 

여기서 Outgoing-Interface로 연결하면 문제가 생기는데 현재 라우터 4번의 e0/1번 포트 192.168.35.4가 라우터 3과는 Directly 하게 연결되어 있지만 라우터 1, 2와는 Direct 하게 연결되어 있지 않은데도 Directly 하게 연결되어 있다고 뜨는 것이 문제

Complete 하게 연결되었을 때 모습

 

Outgoing-Interface Proxy-ARP 문제

!-- R4
show arp
// 현재 ARP-Cache에 자신의 IP와 MAC 주소만 보이는 모습

 

!-- R4
ping 192.168.12.1
// 라우터 1번과 통신이 되는 모습. 라우터 1번과 라우터 4번이 어떻게 연결되었는지 확인해봅시다

 

!-- R4
show arp
// Address 192.168.12.1 / Hardware Address aabb.cc00.3010 새로 생긴 것을 확인할 수 있습니다

 

ping 명령어를 수행하게 되면 라우터 4번에서 라우터 1번으로 ARP를 보내
라우터 1번의 물리적인 주소(MAC Address)를 알아와야 하는데 여기서 Proxy-arp 문제가 생깁니다

 

R4에서 확인한 이 물리 주소(MAC add)는 어떤 라우터의 것일까?

 

바로 R3의 물리 주소입니다

 

---

 R4에서 ARP를 보냈으면 R1의 물리 주소(MAC add)를 알아와야 하는데

1. 왜 R3의 물리 주소(MAC add)를 알아온 것일까?
- 이 문제는 Proxy-ARP가 대신 R1의 물리 주소를 알아오는 일을 하기 때문입니다.

2. R3의 물리 주소(MAC add)를 알아왔는데 어떻게 R1과 통신이 되는 것일까?
- Cisco 라우터 장비는 기본적으로 Proxy-ARP 설정이 Enabled 되어 있는데 이것은 자신이 패킷을 받아서 응답해주는 것인데 보안상 취약하고 이 Proxy-ARP 설정이 R1과 R4를 논리적으로 Directly 하게 연결하고 있는 것처럼 보이게 합니다.

3. R4는 R1과 왜 Directly Conneted로 연결된 것일까?
- Proxy-ARP 설정을 Disabled 하면 Directly Connected로 뜨지 않는다. 

---

Proxy-ARP 기능 끄기

!-- R4 Config
clear arp-cache
// R4가 이미 R3의 물리 주소(MAC)를 학습하고 있기 때문에 학습하고 있던 mac 주소를 지워줍니다.

 

!-- R4 Config
show arp
// 192.168.12.1에 대해 학습하고 있던 물리 주소(MAC)가 없어진 모습입니다.

이 상태에서 Proxy-ARP를 Disabled 시키면 어떻게 될까?

 

!-- R3 Config
interface e0/1
no ip proxy-arp
end
show ip interface e0/1
// R3 e0/1 인터페이스에서 Proxy-ARP를 Disabled 시켜본 후 R4에서 R1로 ping을 쳐봅니다.

 

!-- R4 Config
ping 192.168.12.1
// 이번에는 R1과 R4가 통신이 되지 않는 모습입니다.

 

!-- R4 Config
show arp
// R1이나 R3에 대한 정보를 학습하지 않는 것을 볼 수 있습니다.

지금 보신 것처럼 Cisco Router에는 Proxy ARP 기능이 기본적으로 Enable 되어 있기 때문에
Subnet 설정이 잘못되어 있어도 통신이 되는 경우가 많이 있습니다
하지만 Proxy ARP가 켜져 있으면 잘못된 테이블이 생기는 것뿐 아니라
앞서 말씀드린 것처럼 보안상 취약합니다

Proxy-ARP 설정은 Disabled 해주시는 게 좋고,
정적 경로 설정(Static Routing)하실 때 Outgoing-Interface 방식을 지양하고
Complete Static Routing Protocol로 설정해줍니다

이번 시간에는 정적 경로 설정(Static Routing)에서
Outgoing-Interface를 할 때 발생하는 문제인 Proxy-ARP에 대해 알아보고 실습을 진행했습니다

감사합니다