BGP 기반 VPN
통신사 VPN 이해하기
VPN 서비스 프로바이더의 고객은 최종 고객을 위한 서비스 프로바이더일 수 있습니다. 다음은 RFC 4364에 설명된 바와 같이 통신 사업자 VPN의 두 가지 주요 유형입니다.
고객으로서의 인터넷 서비스 제공자- VPN 고객은 VPN 서비스 프로바이더의 네트워크를 사용하여 지리적으로 분산된 지역 네트워크를 연결하는 ISP입니다. 고객은 지역 네트워크 내에서 MPLS를 구성할 필요가 없습니다.
고객으로서의 VPN 서비스 프로바이더- VPN 고객은 그 자체로 고객에게 VPN 서비스를 제공하는 VPN 서비스 공급자입니다. carrier-of-carriers VPN 서비스 고객은 사이트 간 연결을 위해 백본 VPN 서비스 공급자에 의존합니다. 고객 VPN 서비스 프로바이더는 지역 네트워크 내에서 MPLS를 실행해야 합니다.
그림 1 은(는) 캐리어 VPN 서비스에 사용되는 네트워크 아키텍처를 보여줍니다.
이 주제는 다음에 대해 다룹니다.
고객으로서의 인터넷 서비스 제공자
이러한 유형의 통신 사업자 VPN 구성에서 ISP A는 ISP B에 인터넷 서비스를 제공하도록 네트워크를 구성합니다. ISP B는 인터넷 서비스를 원하는 고객에게 연결을 제공하지만 실제 인터넷 서비스는 ISP A에서 제공합니다.
이러한 유형의 서비스 프로바이더 VPN 구성에는 다음과 같은 특징이 있습니다.
ISP B(carrier-of-carriers VPN 서비스 고객)는 네트워크에서 MPLS를 구성할 필요가 없습니다.
ISP A(carrier-of-carriers VPN 서비스 공급자)는 네트워크에서 MPLS를 구성해야 합니다.
MPLS는 서비스 프로바이더 VPN 서비스 고객 및 서비스 프로바이더 VPN 서비스 프로바이더의 네트워크에 함께 연결된 CE 라우터 및 PE 라우터에서도 구성되어야 합니다.
고객으로서의 VPN 서비스 프로바이더
VPN 서비스 공급자는 VPN 서비스 공급자인 고객을 가질 수 있습니다. 계층적 또는 재귀적 VPN이라고도 하는 이러한 유형의 구성에서 고객 VPN 서비스 프로바이더의 VPN-IPv4 경로는 외부 경로로 간주되며 백본 VPN 서비스 프로바이더는 이를 VRF 테이블로 가져오지 않습니다. 백본 VPN 서비스 프로바이더는 고객 VPN 서비스 프로바이더의 내부 경로만 VRF 테이블로 가져옵니다.
프로바이더 간 VPN과 서비스 프로바이더 VPN의 유사점과 차이점은 에 표 1나와 있습니다.
기능 |
ISP 고객 |
VPN 서비스 프로바이더 고객 |
---|---|---|
고객 에지 디바이스 |
AS 경계 라우터 |
PE 라우터 |
IBGP 세션 |
IPv4 경로 전달 |
연결된 레이블이 있는 외부 VPN-IPv4 경로 전달 |
고객 네트워크 내 포워딩 |
MPLS는 선택 사항입니다 |
MPLS가 필요합니다 |
고객으로서의 VPN 서비스에 대한 지원은 Junos OS 릴리스 17.1R1부터 QFX10000 스위치에서 지원됩니다.
프로바이더 간 및 Carrier-of-Carriers VPN 이해하기
모든 프로바이더 간 및 서비스 프로바이더 VPN은 다음과 같은 특성을 공유합니다.
각 프로바이더 간 또는 서비스 프로바이더 VPN 고객은 내부 및 외부 고객 경로를 구분해야 합니다.
내부 고객 경로는 VPN 서비스 프로바이더가 PE 라우터에서 유지 관리해야 합니다.
외부 고객 경로는 VPN 서비스 프로바이더의 라우팅 플랫폼이 아닌 고객의 라우팅 플랫폼에 의해서만 전송됩니다.
프로바이더 간 VPN과 서비스 프로바이더 VPN의 주요 차이점은 고객 사이트가 동일한 AS에 속하는지 아니면 별도의 AS에 속하는지입니다.
프로바이더 간 VPN - 고객 사이트가 서로 다른 AS에 속합니다. 고객의 외부 경로를 교환하려면 EBGP를 구성해야 합니다.
통신 사업자 VPN 이해 - 고객 사이트가 동일한 AS에 속합니다. 고객의 외부 경로를 교환하려면 IBGP를 구성해야 합니다.
일반적으로 VPN 계층의 각 서비스 프로바이더는 P 라우터에서 자체 내부 경로를 유지하고 PE 라우터에서 고객의 내부 경로를 유지해야 합니다. 이 규칙을 재귀적으로 적용하면 VPN 계층을 생성할 수 있습니다.
다음은 프로바이더 간 및 캐리어 VPN과 관련된 PE 라우터 유형에 대한 정의입니다.
AS 경계 라우터는 AS 경계에 위치하며 AS에서 들어오고 들어오는 트래픽을 처리합니다.
엔드 PE 라우터는 고객 VPN의 PE 라우터입니다. 최종 고객 사이트의 CE 라우터에 연결됩니다.
VPN 서비스를 제공하는 고객을 위한 통신 사업자 VPN 구성
VPN 서비스를 원하는 고객을 위해 서비스 프로바이더 VPN 서비스를 구성할 수 있습니다.
고객 및 프로바이더의 네트워크에 있는 라우터(또는 스위치)를 구성하여 캐리어 VPN 서비스를 활성화하려면 다음 섹션의 단계를 수행하십시오.
Carrier-of-Carriers 고객의 PE 라우터 구성
캐리어 서비스 프로바이더 고객의 PE 라우터(또는 스위치)는 최종 고객의 CE 라우터(또는 스위치)에 연결됩니다.
다음 섹션에서는 carrier-of-carriers 고객의 PE 라우터(또는 스위치)를 구성하는 방법에 대해 설명합니다.
MPLS 구성
carrier-of-carriers 고객의 PE 라우터(또는 스위치)에서 MPLS를 구성하려면 다음과 같은 명령문을 포함합니다.mpls
mpls { interface interface-name; interface interface-name; }
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit protocols]
[edit logical-systems logical-system-name protocols]
BGP 구성
labeled-unicast
carrier-of-carriers 고객의 CE 라우터(또는 스위치)에 대한 IBGP 세션 구성에 명령문을 포함하고, 네트워크 반대편에 있는 carrier-of-carriers PE 라우터(또는 스위치)에 대한 IBGP 세션 구성에 명령문을 포함합니다family-inet-vpn
.
bgp { group group-name { type internal; local-address address; neighbor address { family inet { labeled-unicast; resolve-vpn; } } } neighbor address { family inet-vpn { any; } } }
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit protocols]
[edit logical-systems logical-system-name protocols]
OSPF 구성
carrier-of-carriers 고객의 PE 라우터(또는 스위치)에서 OSPF를 구성하려면 다음과 같은 명령문을 포함합니다.ospf
ospf { area area-id { interface interface-name { passive; } interface interface-name; } }
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit protocols]
[edit logical-systems logical-system-name protocols]
LDP 구성
carrier-of-carriers 고객의 PE 라우터(또는 스위치)에서 LDP를 구성하려면 다음과 같은 명령문을 포함합니다.ldp
ldp { interface interface-name; }
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit protocols]
[edit logical-systems logical-system-name protocols]
라우팅 인스턴스에서 VPN 서비스 구성
서비스 프로바이더 고객의 PE 라우터(또는 스위치)에서 최종 고객의 CE 라우터(또는 스위치)에 대한 VPN 서비스를 구성하려면 다음 문을 포함합니다.
instance-type vrf; interface interface-name; route-distinguisher address; vrf-import policy-name; vrf-export policy-name; protocols { bgp { group group-name { peer-as as-number; neighbor address; } } }
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
정책 옵션 구성
최종 고객의 CE 라우터(또는 스위치)에서 경로를 가져오고 내보내는 정책 옵션을 구성하려면 및 community
문을 포함합니다policy-statement
.
policy-statement policy-name { term term-name { from { protocol bgp; community community-name; } then accept; } term term-name { then reject; } } policy-statement policy-name { term term-name { from protocol bgp; then { community add community-name; accept; } } term term-name { then reject; } } community community-name members value;
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Carrier-of-Carriers 고객의 CE 라우터(또는 스위치) 구성
서비스 프로바이더 고객의 CE 라우터(또는 스위치)는 공급자의 PE 라우터(또는 스위치)에 연결됩니다. 다음 섹션의 지침을 완료하여 carrier-of-carriers 고객의 CE 라우터(또는 스위치)를 구성하십시오.
MPLS 구성
서비스 프로바이더 고객의 CE 라우터(또는 스위치)에 대한 MPLS 구성에서 프로바이더의 PE 라우터(또는 스위치)와 고객 네트워크의 P 라우터(또는 스위치)에 대한 인터페이스를 포함합니다.
mpls { traffic-engineering bgp-igp; interface interface-name; interface interface-name; }
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit protocols]
[edit logical-systems logical-system-name protocols]
BGP 구성
carrier-of-carriers 고객의 CE 라우터(또는 스위치)에 대한 BGP 구성에서 최종 고객의 CE 라우터(또는 스위치)에 연결된 PE 라우터(또는 스위치)로 VPN 서비스를 확장하는 문을 포함하는 labeled-unicast
그룹을 구성합니다.
bgp { group group-name { type internal; local-address address; neighbor address { family inet { labeled-unicast; } } } }
다음 계층 수준에서 bgp
명령문을 포함시킬 수 있습니다.
[edit protocols]
[edit logical-systems logical-system-name protocols]
레이블이 지정된 내부 경로를 프로바이더의 PE 라우터(또는 스위치)로 전송하도록 그룹을 구성하려면 다음과 같은 명령문을 포함합니다.bgp
bgp { group group-name { export internal; peer-as as-number; neighbor address { family inet { labeled-unicast; } } } }
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit protocols]
[edit logical-systems logical-system-name protocols]
OSPF 및 LDP 구성
carrier-of-carriers 고객의 CE 라우터(또는 스위치)에서 OSPF 및 LDP를 구성하려면 및 ldp
문을 포함합니다ospf
.
ospf { area area-id { interface interface-name { passive; } interface interface-name; } } ldp { interface interface-name; }
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit protocols]
[edit logical-systems logical-system-name protocols]
정책 옵션 구성
carrier-of-carriers 고객의 CE 라우터(또는 스위치)에서 정책 옵션을 구성하려면 다음과 같은 명령문을 포함합니다.policy-statement
policy-statement policy-statement-name { term term-name { from protocol [ ospf direct ldp ]; then accept; } term term-name { then reject; } }
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
프로바이더의 PE 라우터 또는 스위치 구성
서비스 프로바이더 프로바이더의 PE 라우터(또는 스위치)는 서비스 프로바이더 고객의 CE 라우터(또는 스위치)에 연결됩니다. 다음 섹션의 지침을 완료하여 프로바이더의 PE 라우터(또는 스위치)를 구성하십시오.
MPLS 구성
MPLS 구성에서 적어도 두 개의 인터페이스를 지정합니다. 하나는 고객의 CE 라우터(또는 스위치)에 연결하고, 다른 하나는 프로바이더의 네트워크 반대편에 있는 프로바이더의 PE 라우터(또는 스위치)에 연결합니다.
interface interface-name; interface interface-name;
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit protocols mpls]
[edit logical-systems logical-system-name protocols mpls]
PE-TO-PE BGP 세션 구성
프로바이더의 PE 라우터(또는 스위치)에서 PE-to-PE BGP 세션을 구성하여 VPN IPv4 경로가 PE 라우터(또는 스위치) 간에 통과할 수 있도록 하려면 다음과 같은 명령문을 포함하십시오.bgp
bgp { group group-name { type internal; local-address address; family inet-vpn { any; } neighbor address; } }
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit protocols]
[edit logical-systems logical-system-name protocols]
IS-IS 및 LDP 구성
프로바이더의 PE 라우터(또는 스위치)에서 IS-IS 및 LDP를 구성하려면 및 ldp
문을 포함합니다isis
.
isis { interface interface-name; interface interface-name { passive; } } ldp { interface interface-name; }
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit protocols]
[edit logical-systems logical-system-name protocols]
정책 옵션 구성
프로바이더의 PE 라우터(또는 스위치)에서 정책 문을 구성하여 서비스 프로바이더 고객의 네트워크로 경로를 내보내고 서비스에서 경로를 가져오려면 및 community
문을 포함합니다policy-statement
.
policy-statement statement-name { term term-name { from { protocol bgp; community community-name; } then accept; } term term-name { then reject; } } policy-statement statement-name { term term-name { from protocol bgp; then { community add community-name; accept; } } term term-name { then reject; } } community community-name members value;
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
CE 라우터로 경로를 전송하도록 라우팅 인스턴스 구성
레이블이 지정된 경로를 통신사 고객의 CE 라우터(또는 스위치)로 전송하도록 프로바이더의 PE 라우터(또는 스위치)에서 라우팅 인스턴스를 구성하려면 다음 문을 포함합니다.
instance-type vrf; interface interface-name; route-distinguisher value; vrf-import policy-name; vrf-export policy-name; protocols { bgp { group group-name { peer-as as-number; neighbor address { family inet { labeled-unicast; } } } } }
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
참조
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.