[Cisco IOS]동적 라우팅 (1) RIP 프로토콜과 Passive-interface

1. RIP(Routing Information Protocol)이란?

RIP는 가장 오래된 거리 벡터(Distance Vector) 라우팅 프로토콜이다.

복잡한 계산보다는 '거리'와 '방향'만을 따지는 단순한 방식이 특징이다.

RIP의 주요 특징

• 경로 결정 기준 (Metric): 홉 카운트(Hop Count)를 사용한다. 거쳐가는 라우터의 개수만 센다. (최대 15개, 16개는 도달 불능)
• 업데이트 주기: 30초마다 자신의 라우팅 테이블 전체를 인접 라우터에게 전송한다.
• 전송 방식: * RIPv1: 브로드캐스트(255.255.255.255)
  • RIPv2: 멀티캐스트(224.0.0.9)
  • RIPv2 특징: 클래스리스(Classless) 지원, 멀티캐스트(224.0.0.9) 업데이트를 통해 효율성 향상

 

2. RIP 설정

1️⃣ 네트워크 토폴로지

2️⃣ RIPv2 기본 설정

각 라우터에서 직접 연결된 네트워크 대역을 선언한다. RIPv2를 사용하며, 자동 요약(Auto-summary) 기능을 해제하여 서브넷 정보를 정확히 전달한다.

 

R1 설정

 

R1(config)# router rip
R1(config-router)# version 2
R1(config-router)# no auto-summary
R1(config-router)# network 10.10.10.0
R1(config-router)# network 1.1.1.4

 

R2 설정

R2(config)# router rip
R2(config-router)# version 2
R2(config-router)# no auto-summary
R2(config-router)# network 10.20.10.0
R2(config-router)# network 1.1.1.4
R2(config-router)# network 1.1.1.0

 

2. Passive-interface

RIP는 30초마다 모든 연결된 포트로 라우팅 테이블을 던진다.

하지만 PC나 스위치가 연결된 사용자 구간(LAN)에서는 이러한 라우팅 테이블 광고가 불필요하다.

 

불필요한 업데이트로 인해 자원 낭비 문제와 보안 취약점 문제가 생길 수 있기 때문에 해결책으로 Passive-interface를 설정하여 해당 포트로 나가는 업데이트만 차단할 수 있다.

🟢 패시브 인터페이스(Passive interface)란? 

패시브 인터페이스(Passive-interface)는 라우팅 프로토콜(RIP, OSPF, EIGRP 등)이 활성화된 상태에서, 특정 인터페이스로 라우팅 업데이트 정보를 송신하지 않도록 설정하는 기능이다.

쉽게 말해, 해당 인터페이스를 통해 "나 여기 있고, 이런 경로들을 알고 있어"라고 외치는 광고(Advertisement)를 중단시키는 것이다.

물론 해당 인터페이스에 연결된 네트워크 대역 정보는 여전히 다른 라우터들에게 광고된다.

🟢 왜 호스트와 연결된 인터페이스에 설정하는가?

Passive-interface는 주로 PC(호스트)나 스위치가 연결된 사용자 단말 인터페이스(LAN 구간)에 설정한다.

 

그 이유는 크게 세 가지다.

 

① 자원 낭비 방지 (Traffic Efficiency)

PC는 라우팅 프로토콜을 해석할 수 있는 능력이 없다.

그렇기에 라우터가 PC를 향해 주기적으로 라우팅 업데이트 패킷을 보내는 것은 불필요한 네트워크 대역폭을 점유하고 PC의 CPU 자원을 소모시킨다.

 

② 보안 강화 (Security)

라우팅 업데이트 정보에는 네트워크의 전체 구조(토폴로지) 정보가 담겨 있다.

만약 악의적인 사용자가 PC 구간에서 패킷을 가로채면 네트워크 구성을 쉽게 파악할 수 있다.

또한, 가짜 라우팅 정보를 라우터에 주입하는 공격을 시도할 수도 있으므로 이를 사전에 차단하는 것이 보안상 유리하다.

 

③ 인접 관계(Neighbor) 형성 방지

OSPF나 EIGRP 같은 프로토콜은 Hello 패킷을 주고받으며 인접 관계를 맺는다.

PC가 연결된 곳에 굳이 Hello 패킷을 보낼 필요가 없으므로, Passive-interface를 통해 불필요한 프로세스를 종료시킨다.

 

🟢 Passive-interface 설정

위에 제시된 토폴로지에서 PC가 연결된 LAN 구간(Network #1, #4, #5)에는 라우팅 정보를 보낼 필요가 없다.

 

R1 (PC1 연결 구간 차단)

R1(config)# router rip
R1(config-router)# passive-interface fastethernet 0/0

 

R2 (PC2 연결 구간 차단)

 

R2(config)# router rip
R2(config-router)# passive-interface fastethernet 1/0

 

R3 (PC3 연결 구간 차단)

R3(config)# router rip
R3(config-router)# passive-interface fastethernet 0/0

 

🟢 결과 확인 및 검증

설정 후에는 라우팅 테이블이 정상적으로 유지되는지, 그리고 특정 인터페이스가 패시브 상태인지 확인해야 한다.

• 프로토콜 상세 확인: show ip protocols 명령어를 입력하면 Passive Interface(s) 항목에서 설정된 인터페이스 목록을 볼 수 있다.
• 라우팅 테이블 확인: show ip route 명령어를 통해 패시브 설정을 했음에도 상대방 라우터로부터 LAN 대역 정보를 정상적으로 받아오는지 확인한다. (패시브 인터페이스는 송신만 차단할 뿐, 해당 대역의 광고 자체를 막지는 않는다.)

 

📌Tip: 실무에서는 default로 모두 막고 필요한 곳만 no passive-interface로 여는 방식을 선호한다.

 

🟢 정리

RIP 환경에서 passive-interface는 호스트가 연결된 접점의 보안과 효율을 챙길 수 있는 설정이다.

라우터 간의 업데이트는 유지하되, 사용자 구간으로 흐르는 불필요한 정보 유출을 막는 것이 핵심이다.