Azure ExpressRoute

## Azure ExpressRoute 개요

Azure ExpressRoute는 온프레미스 네트워크와 Microsoft Azure 클라우드 간에 **전용 프라이빗 연결**을 제공하는 서비스입니다. 이 서비스는 공용 인터넷을 우회하여 더 높은 보안, 낮은 대기 시간, 안정적인 연결을 제공합니다. 이를 통해 기업은 하이브리드 클라우드 환경을 구축하거나 대규모 데이터 전송 및 고성능 애플리케이션을 지원할 수 있습니다.

---

## 주요 특징

1. **프라이빗 연결**:
   - 공용 인터넷을 사용하지 않고 전용 네트워크를 통해 Azure와 연결.
   - 민감한 데이터를 안전하게 전송 가능.

2. **고성능**:
   - 최대 100Gbps의 대역폭 지원.
   - 낮은 대기 시간과 안정적인 속도 제공.

3. **글로벌 연결**:
   - ExpressRoute Premium 옵션으로 전 세계 Azure 리전 간 연결 가능.

4. **동적 라우팅**:
   - BGP(Border Gateway Protocol)를 사용하여 네트워크 간 동적 라우팅 지원.

5. **중복성 및 안정성**:
   - 모든 피어링 위치에서 기본적으로 중복성을 제공하여 높은 가용성을 보장.

6. **QoS 지원**:
   - 비즈니스용 Skype 등 애플리케이션에 대한 품질(QoS) 보장.

---

## 주요 이점

1. **보안 강화**:
   - 공용 인터넷을 우회하여 데이터 유출 위험 감소.
   - 멀티 레이어 보안 제어 제공.

2. **낮은 대기 시간**:
   - 실시간 애플리케이션 및 고속 데이터 전송에 적합.

3. **높은 대역폭**:
   - 대규모 데이터 이동 및 고성능 애플리케이션 지원.

4. **규정 준수 및 제어 강화**:
   - 네트워크 인프라를 사용자 요구에 맞게 커스터마이징 가능.
   - 규제 요건 충족에 도움.

5. **온프레미스 통합**:
   - 기존 데이터 센터와 Azure 자원을 원활하게 통합 가능.

---

## ExpressRoute 연결 모델

1. **지점 간 이더넷(Point-to-Point Ethernet)**:
   - 온프레미스 네트워크와 Azure 간의 전용 이더넷 링크로 연결.
   
2. **IP VPN(Any-to-Any)**:
   - IP VPN 네트워크를 통해 온프레미스와 Azure를 연결, 다른 지사와 동일한 방식으로 Microsoft 클라우드에 접근 가능.

3. **공동 배치 시설(Co-location)**:
   - 데이터 센터 내에서 가상 교차 연결(Virtual Cross-Connection)을 통해 Azure와 연결.

---

## 활용 사례

1. **하이브리드 클라우드 구축**:
   - 온프레미스와 클라우드 리소스를 통합하여 유연한 IT 환경 조성.
   
2. **재해 복구(Disaster Recovery)**:
   - 재해 발생 시 데이터를 Azure로 백업하여 가용성 유지.

3. **고성능 애플리케이션 지원**:
   - SAP HANA, SQL Server 등 고대역폭, 저지연이 필요한 애플리케이션과의 통합.

4. **대규모 데이터 분석 및 백업**:
   - 고속 데이터 전송으로 분석 및 백업 작업 최적화.

---

## ExpressRoute 가격 모델

1. **Local Plan**: 
   - 동일 도시 또는 메트로 지역 내 Azure 리소스와의 연결.
   
2. **Standard Plan**: 
   - 동일 지정학적 지역 내 Azure 리소스와의 연결.
   
3. **Premium Plan**: 
   - 전 세계 Azure 리소스와의 연결 제공.

4. **데이터 플랜 옵션**:
   - *Metered*: 사용한 데이터 양에 따라 요금 부과.
   - *Unlimited*: 무제한 데이터 전송 요금제.

---

 

Border Gateway Protocol (BGP)는 인터넷에서 **자율 시스템(AS)** 간의 라우팅 정보를 교환하고 최적의 데이터 경로를 선택하는 데 사용되는 핵심 프로토콜입니다. 인터넷을 구성하는 수만 개의 독립적인 네트워크(AS)가 서로 연결되어 작동할 수 있도록 하는 핵심 메커니즘입니다.  

---

## 주요 특징

1. **경로 선택 최적화**  
   BGP는 지리적 위치, 네트워크 혼잡도, 전송 비용 등을 고려하여 최적의 데이터 경로를 선택합니다. 예를 들어, 미국의 사용자가 유럽 서버에 접속할 때 가장 효율적인 경로를 동적으로 결정합니다[1][5].

2. **TCP 기반 통신**  
   신뢰성 있는 데이터 교환을 위해 TCP 포트 179를 사용하며, 30초마다 **keep-alive 메시지**를 전송해 연결 상태를 유지합니다[6][8].

3. **내부/외부 BGP 구분**  
   - **eBGP(External BGP)**: 서로 다른 AS 간 라우팅 정보 교환[4][6].  
   - **iBGP(Internal BGP)**: 동일 AS 내 라우터 간 정보 공유. 루프 방지를 위해 전체 메시(full mesh) 구성을 권장합니다[6][8].

4. **라우팅 정책 지원**  
   네트워크 관리자가 경로 선택 방식을 제어할 수 있습니다. 예를 들어, 특정 AS를 우회하거나 대역폭 우선 순위를 설정할 수 있습니다[1][5].

---

## 작동 원리

1. **피어링(Peering)**  
   BGP 라우터(피어)는 인접한 라우터와 연결을 설정한 후 ** NLRI(Network Layer Reachability Information) **와 경로 속성(지연 시간, 홉 수 등)을 교환합니다[1][8].

2. **경로 저장 및 업데이트**  
   수신한 라우팅 정보는 **라우팅 테이블(RIB)**에 저장되며, 네트워크 변화가 발생하면 실시간으로 업데이트됩니다[1][6].

3. **최적 경로 선정**  
   여러 경로 중 **AS 경로 길이**, 라우팅 정책, 네트워크 성능 등을 종합적으로 평가해 최적 경로를 선택합니다[5][8].

---

## 보안 및 취약점

BGP는 설계상 보안 기능이 제한적이어서 **경로 하이재킹(route hijacking)** 공격에 취약합니다. 이를 완화하기 위해 다음과 같은 보안 조치가 적용됩니다:  
- **RPKI(Resource Public Key Infrastructure)**: 라우트 광고의 신뢰성을 검증[3].  
- **MD5 인증**: 피어 간 메시지 무결성 보장[5].  
- **접두사 필터링**: 불법적인 IP 대역 광고 차단[3][5].

---

## 활용 사례

| 사례 | 설명 |
|------|------|
| **트래픽 부하 분산** | 다중 데이터센터 간 트래픽 분배로 성능 최적화[3][5]. |
| **재해 복구** | 데이터센터 장애 시 대체 경로로 트래픽 재라우팅[3][4]. |
| **멀티호밍** | 여러 ISP 연결을 통해 중복성 및 안정성 확보[3][8]. |
| **글로벌 IP 관리** | 라우트 집계(route aggregation)로 전역 라우팅 테이블 크기 감소[3]. |

---

## BGP의 한계
- **복잡성**: 설정 및 문제 해결이 어려워 전문 지식이 필요합니다[5].  
- **보안 취약성**: 추가 보안 프로토콜 없이는 라우트 조작 공격 위험이 있습니다[3][5].  
- **대역폭 오버헤드**: 빈번한 라우팅 업데이트로 인한 부하 발생 가능성[5].

BGP는 인터넷의 **"교통 제어 시스템"** 역할을 하며, 전 세계 네트워크를 유기적으로 연결하는 데 필수적입니다. 그러나 보안 강화와 관리 효율성 개선이 지속적으로 요구되는 프로토콜입니다[1][3][8].

NLRI(Network Layer Reachability Information)

NLRI(Network Layer Reachability Information)는 BGP(Border Gateway Protocol)에서 **네트워크 도달성 정보**를 전달하는 핵심 요소로, 라우터가 인접한 BGP 피어에게 특정 네트워크 프리픽스의 경로 정보를 알리는 데 사용됩니다. 아래는 NLRI의 구조와 작동 방식, 그리고 활용 사항에 대한 상세 설명입니다.

---

## NLRI 기본 구조
NLRI는 **** 쌍으로 구성됩니다[1][3]. 예를 들어, `IPv4 192.0.2.0/24`는 `/24`(길이)와 `192.0.2.0`(프리픽스)로 표현됩니다. 이 정보는 BGP UPDATE 메시지에 포함되며, 다음과 같은 특징을 가집니다:
- **CIDR 지원**: 슈퍼네팅(Supernetting) 및 경로 집계(Route Aggregation) 가능[3].
- **멀티프로토콜 확장**: MP-BGP를 통해 IPv6, VPNv4, 멀티캐스트 주소 지원[2][7].

---

## NLRI의 작동 메커니즘
1. **경로 광고**  
   BGP 라우터는 NLRI를 UPDATE 메시지에 담아 피어에게 전송합니다. 예를 들어, AS 100의 라우터가 `203.0.113.0/24`를 광고하면 인접 AS의 라우터는 이를 RIB(Routing Information Base)에 저장합니다[1].

2. **경로 속성과 결합**  
   NLRI는 **AS_PATH**, **NEXT_HOP**, **LOCAL_PREF** 등의 속성과 함께 전달됩니다. 예를 들어:
   ```plaintext
   NLRI: 198.51.100.0/24
   속성: AS_PATH=65530 65540, NEXT_HOP=203.0.113.5
   ```
   이 조합을 통해 수신 라우터는 최적 경로를 계산합니다[2][4].

3. **경로 선택 알고리즘**  
   BGP는 NLRI 정보를 기반으로 다음 기준 순서로 최적 경로를 선택합니다:
   ```plaintext
   1. HIGHEST LOCAL_PREF
   2. SHORTEST AS_PATH
   3. LOWEST ORIGIN TYPE
   4. ...(생략)
   ```

1. HIGHEST LOCAL_PREF (가장 높은 LOCAL_PREF 우선)

• 설명: LOCAL_PREF(Local Preference)는 BGP 경로 선택에서 가장 먼저 평가되는 속성입니다. 이는 동일 자율 시스템(AS) 내에서 어떤 경로를 선호할지를 결정합니다.
• 작동 방식:
  • 값이 높을수록 우선됩니다.
  • iBGP 피어 간에만 공유되며, eBGP 피어 간에는 전파되지 않습니다.
  • 기본값은 100이며, 필요에 따라 수동으로 설정 가능합니다.
• 사용 예시: 멀티호밍 환경에서 특정 ISP를 기본 경로로 설정하고, 다른 ISP를 백업 경로로 사용할 때 LOCAL_PREF 값을 조정합니다.
• 참고: 이 속성은 출발 트래픽(outbound traffic)에 영향을 미칩니다127.

2. SHORTEST AS_PATH (가장 짧은 AS_PATH 우선)

• 설명: AS_PATH는 목적지까지의 경로를 거친 자율 시스템(AS)의 목록입니다. BGP는 루프 방지와 최적 경로 선택을 위해 AS_PATH 길이를 평가합니다.
• 작동 방식:
  • AS_PATH의 길이가 짧을수록 우선됩니다.
  • AS_PATH는 eBGP 피어 간에 전파되며, 각 AS가 자신의 번호를 추가합니다.
  • AS_PATH Prepending 기술을 사용해 특정 경로의 선호도를 낮출 수 있습니다(AS 번호를 추가하여 길이를 늘림).
• 사용 예시: 동일한 목적지에 대해 두 개의 경로가 있을 때, 더 적은 수의 AS를 거치는 경로가 선택됩니다.
• 참고: 이 속성은 주로 들어오는 트래픽(inbound traffic)에 영향을 미칩니다48.

3. LOWEST ORIGIN TYPE (가장 낮은 ORIGIN TYPE 우선)

• 설명: ORIGIN 속성은 라우팅 정보가 어떻게 BGP에 도달했는지를 나타냅니다. 세 가지 유형이 있으며, 우선순위는 다음과 같습니다:
  • i (IGP): 내부 게이트웨이 프로토콜을 통해 학습된 경로. 가장 높은 우선순위.
  • e (EGP): 외부 게이트웨이 프로토콜을 통해 학습된 경로. 현재는 거의 사용되지 않음.
  • ? (Incomplete): 다른 라우팅 프로토콜에서 BGP로 재분배된 경로. 가장 낮은 우선순위.
• 작동 방식:
  • ORIGIN 값이 낮을수록 우선됩니다 (i > e > ?).
• 사용 예시: 동일한 목적지에 대해 다른 ORIGIN 값을 가진 두 개의 경로가 있을 경우, IGP에서 유래한 경로가 선택됩니다.
• 참고: 이 속성은 모든 BGP 업데이트 메시지에 포함되는 필수 속성입니다6910.

 

 

---

## 고급 활용 사례
### 1. BGP-LS(Link-State)
| 기능 | 설명 |
|------|------|
| **네트워크 토폴로지 공유** | IGP(OSPF/IS-IS) 링크 상태 정보를 NLRI로 전송[6] |
| **트래픽 엔지니어링** | 대역폭, 지연 시간 등 TE(Traffic Engineering) 속성 포함 |
| **SDN 통합** | 컨트롤러가 전역 네트워크 뷰 획득 가능 |

### 2. 멀티프로토콜 확장
- **IPv4 over IPv6 넥스트 홉**: IPv4 NLRI를 IPv6 넥스트 홉으로 광고 가능[7].
- **EVPN 지원**: VXLAN 기반 데이터센터 네트워크에서 MAC/IP 학습[2].

---

## NLRI 보안 고려사항
1. **경로 하이재킹 방지**  
   RPKI(Resource Public Key Infrastructure)를 통해 NLRI의 유효성 검증[5].
2. **접두사 필터링**  
   예: `route-map FILTER permit 10  
   match ip address prefix-list VALID_PREFIXES`[3].

---

## NLRI 데이터 처리 예시
```plaintext

BGP UPDATE Message
-------------------------
Withdrawn Routes: 0
Path Attributes:
  - ORIGIN: IGP
  - AS_PATH: 65530 65540
  - NEXT_HOP: 2001:db8::1
NLRI:
  - 198.51.100.0/24
  - 203.0.113.0/28
```
이 메시지는 IPv6 넥스트 홉(`2001:db8::1`)을 사용해 두 개의 IPv4 프리픽스를 광고합니다[7].

1. Withdrawn Routes: 0

• 의미: 철회할 네트워크 경로가 없음을 의미합니다.
• 활용: Withdrawn Routes 필드에 프리픽스를 명시하면 해당 경로가 더 이상 유효하지 않음을 알립니다.
• 예시: Withdrawn Routes: 192.0.2.0/24 → 해당 프리픽스의 경로 삭제.

2. Path Attributes (경로 속성)

경로의 특성을 정의하는 속성 집합입니다.

ORIGIN: IGP

• 의미: 이 경로가 내부 게이트웨이 프로토콜(예: OSPF, EIGRP)을 통해 학습되었음을 나타냅니다.
• 우선순위: IGP (i) > EGP (e) > Incomplete (?)
• 사용 사례: 동일한 프리픽스에 대해 다른 ORIGIN 값을 가진 경로가 있을 때 IGP 경로가 우선 선택됩니다.

AS_PATH: 65530 65540

• 의미: 경로가 통과한 **자율 시스템(AS)**의 목록입니다.
• 구조: 오른쪽에서 왼쪽으로 경로 순서를 표시합니다.
  • 65540 → 65530 → 현재 AS 순으로 전파됨.
• 목적: 루프 방지 및 경로 선택 시 최적화 기준으로 사용됩니다.
• 예시: AS_PATH: 65530 65540 65550 → 더 긴 AS_PATH는 일반적으로 선호도가 낮습니다.

NEXT_HOP: 2001:db8::1

• 의미: 다음 홉 라우터의 IPv6 주소를 지정합니다.
• 특징: IPv4 프리픽스를 광고할 때 IPv6 넥스트 홉을 사용할 수 있습니다(멀티프로토콜 BGP 지원).
• 중요성: 데이터 패킷이 목적지까지 전달되기 위한 다음 라우터 주소입니다.

3. NLRI (Network Layer Reachability Information)

광고되는 네트워크 프리픽스 목록입니다.

프리픽스설명

198.51.100.0/24	IPv4 서브넷 (256개 IP 주소)
203.0.113.0/28	IPv4 서브넷 (16개 IP 주소)

 

• CIDR 표기: /24는 24비트 서브넷 마스크를 의미합니다.
• 활용: 수신 라우터는 이 정보를 라우팅 테이블에 추가하고, 경로 선택 알고리즘을 적용합니다.

전체 메시지 의미 종합

이 UPDATE 메시지는 다음을 전달합니다:

1. IPv4 프리픽스 광고: 198.51.100.0/24와 203.0.113.0/28을 광고합니다.
2. 경로 속성:
   • AS 65530과 65540을 거쳐 학습된 경로입니다.
   • 넥스트 홉 라우터는 IPv6 주소 2001:db8::1입니다.
3. 멀티프로토콜 지원: IPv4 프리픽스와 IPv6 넥스트 홉의 조합이 사용되었습니다(RFC 4760).

실제 네트워크에서의 동작

1. 수신 라우터는 이 정보를 RIB(Routing Information Base)에 저장합니다.
2. BGP 의사 결정 프로세스가 실행되어 최적 경로를 선택합니다:
3.  

   text

   LOCAL_PREF > AS_PATH 길이 > ORIGIN > ... (기타 속성)
4. RPKI 검증: 광고된 프리픽스가 실제 AS 65530/65540에 할당된 주소인지 확인합니다.

이 메시지는 BGP의 유연성과 멀티프로토콜 지원을 잘 보여주는 예시입니다.

---

NLRI는 **인터넷 라우팅의 DNA**로 작동하며, 단순한 프리픽스 광고를 넘어 네트워크 아키텍처의 유연성을 확장하는 핵심 메커니즘입니다. 현대 클라우드 네트워크와 SDN 환경에서 그 중요성이 더욱 부각되고 있습니다[2][6].