Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

멀티프로토콜 BGP

멀티프로토폴 및 멀티프로토폴 BGP(Border Gateway Protocol)

MP-BGP(Border Gateway Protocol)(Multiprotocol BGP(Border Gateway Protocol) BGP(Border Gateway Protocol))은 멀티프로토폴 BGP(Border Gateway Protocol) 라우팅 정보를 전달하고 BGP(Border Gateway Protocol) 패밀리에 대한 라우팅 정보를 전달할 수 있는 확장 기능입니다. MP-BGP(Border Gateway Protocol) 유니캐스트 IP 포우링에 사용되는 경로와 별도로 멀티캐스트 라우팅에 사용되는 유니캐스트 경로를 전달할 수 있습니다.

MP-BGP(Border Gateway Protocol) 활성화하기 BGP(Border Gateway Protocol) 명령문을 포함해 유니캐스트 IPv4가 다른 주소 패밀리에 대해 NLRI(Network Layer Reachability Information)를 전달하도록 family inet 구성합니다.

IPv6 주소 BGP(Border Gateway Protocol) NLRI를 전달하도록 MP-BGP(Border Gateway Protocol)하려면 다음 진술을 family inet6 포함합니다.

라우터에서만, MP-BGP(Border Gateway Protocol) IPv4 주소 패밀리에 대해 Layer 3 VPN(Virtual Private Network) NLRI를 전달할 수 있도록하려면 다음 진술을 family inet-vpn 포함합니다.

라우터에서만, MP-BGP(Border Gateway Protocol) IPv6 주소 패밀리에 대해 Layer 3 VPN NLRI를 수행하도록 지원하려면 다음 진술을 family inet6-vpn 포함합니다.

라우터에서만, MP-BGP(Border Gateway Protocol) IPv4 주소 패밀리에 멀티캐스트 VPN NLRI를 수행하고 VPN 시그널링을 지원하려면 다음 진술을 family inet-mvpn 포함합니다.

MP-BGP(Border Gateway Protocol) IPv6 주소 패밀리에 대한 멀티캐스트 VPN NLRI를 수행하고 VPN 시그널링을 활성화하려면 다음 진술을 family inet6-mvpn 포함합니다.

멀티 프로토콜 및 BGP(Border Gateway Protocol) 멀티캐스트 VPN에 대한 자세한 내용은 Junos OS 사용자 가이드 를 참조하십시오.

이러한 명령문을 포함할 수 있는 계층 수준 목록은 이들 명령문에 대한 명령문 요약 섹션을 참조하십시오.

주:

계층 수준에 지정된 주소 패밀리를 변경하면 라우팅 장비의 모든 현재 BGP(Border Gateway Protocol) 세션이 폐기된 다음 다시 [edit protocols bgp family] 설정됩니다.

릴리스 Junos OS 9.6 이상에서 특정 BGP(Border Gateway Protocol) 루프 값을 지정할 수 있습니다.

기본적으로 BGP(Border Gateway Protocol) 유니캐스트 포우팅 용도로 사용되는 유니캐스트 경로만 제공합니다. 멀티캐스트 BGP(Border Gateway Protocol) 피어를 구성하기 위해 옵션을 multicast 지정합니다. 유니캐스트 BGP(Border Gateway Protocol) 수행하도록 피어를 구성하기 위해 옵션을 any 지정합니다.

MP-BGP(Border Gateway Protocol) 구성되면 BGP(Border Gateway Protocol) MP-BGP(Border Gateway Protocol) 라우팅 테이블에 설치합니다. 각 라우팅 테이블은 프로토콜 패밀리 또는 AFI(Address Family Indicator) 및 SAFI(후속 주소 패밀리 식별자)로 식별됩니다.

다음 목록은 가능한 모든 AFI 및 SAFI 조합을 보여줍니다.

  • AFI=1, SAFI=1, IPv4 유니캐스트

  • AFI=1, SAFI=2, IPv4 멀티캐스트

  • AFI=1, SAFI=128, L3VPN IPv4 유니캐스트

  • AFI=1, SAFI=129, L3VPN IPv4 멀티캐스트

  • AFI=2, SAFI=1, IPv6 유니캐스트

  • AFI=2, SAFI=2, IPv6 멀티캐스트

  • AFI=25, SAFI=65, BGP(Border Gateway Protocol)-VPLS/BGP(Border Gateway Protocol)-L2VPN

  • AFI=2, SAFI=128, L3VPN IPv6 유니캐스트

  • AFI=2, SAFI=129, L3VPN IPv6 멀티캐스트

  • AFI=1, SAFI=132, RT-Constrain

  • AFI=1, SAFI=133, 플로우 사양

  • AFI=1, SAFI=134, 플로우 사양

  • AFI=3, SAFI=128, CLNS VPN

  • AFI=1, SAFI=5, NG-MVPN IPv4

  • AFI=2, SAFI=5, NG-MVPN IPv6

  • AFI=1, SAFI=66, MDT-SAFI

  • AFI=1, SAFI=4, 레이블이 있는 IPv4

  • AFI=2, SAFI=4, 레이블 IPv6(6PE)

inet.2 라우팅 테이블에 설치된 경로는 SAFI를 사용하여 멀티캐스트 소스에 대한 경로로 BGP(Border Gateway Protocol) 있기 때문에 MP-BGP(Border Gateway Protocol) 피어로만 내보낼 수 있습니다. inet.0 라우팅 테이블에 설치된 경로는 표준 피어로만 BGP(Border Gateway Protocol) 수 있습니다.

inet.2 라우팅 테이블은 유니캐스트 트래픽을 전송할 수 없는 멀티캐스트 소스로의 경로가 있을 가능성이 적기 때문에 inet.0에 있는 경로의 일부로 설정해야 합니다. inet.2 라우팅 테이블은 NLRI 멀티캐스트 업데이트에서 MP-BGP(Border Gateway Protocol) 학습한 추가 도달 능력 정보와 멀티캐스트 리버스 경로 포워팅 검사에 사용되는 유니캐스트 경로를 저장합니다. MP-BGP(Border Gateway Protocol)(NLRI를 설정하여)를 구성하면 inet.2 라우팅 테이블이 자동으로 any 생성됩니다.

MP-BGP(Border Gateway Protocol) 활성화하면 다음과 같은 작업을 할 수 있습니다.

네트워크 피어 세션에서 수신되는 prefix BGP(Border Gateway Protocol) 제한

주입된 prefix의 수가 설정된 BGP(Border Gateway Protocol) 피어 세션에서 수신되는 prefix의 수를 제한하고 속도 제한 메시지로 기록할 수 있습니다. 또한 Prefix 수가 제한을 초과하는 경우 피어링을 종료할 수도 있습니다.

BGP(Border Gateway Protocol) 수 있는 prefix 수로 제한을 구성하기 위해 다음 진술을 prefix-limit 포함해야 합니다.

이 명령문을 포함할 수 있는 계층 수준 목록은 이 명령문의 명령문 요약 섹션을 참조하십시오.

maximum number 경우, 1에서 4,294,967,295 범위의 값을 지정합니다. 지정된 최대 프리픽스 수를 초과하면 시스템 로그 메시지가 전송됩니다.

명령문을 포함하면 최대 Prefix 수를 초과하면 teardown 세션이 종료됩니다. 백분율을 지정하면 Prefix 수가 지정된 최대 한도의 해당 비율을 초과하는 경우 메시지가 로깅됩니다. 세션이 종료된 후, 짧은 시간 내로 재구성됩니다(진술을 포함하지 않는 idle-timeout 한). 명령문을 포함하면 특정 시간 또는 영원히 idle-timeout 세션을 유지될 수 있습니다. 지정한 경우 명령어가 발행된 후에만 forever 세션이 재작성됩니다. clear bgp neighbor 명령문을 포함하고 비율을 지정하면 Prefix 수가 해당 비율을 초과하면 초과 경로가 drop-excess <percentage> 삭제됩니다. 명령문을 포함하고 비율을 지정하면 Prefix 수가 해당 비율을 초과하면 초과 hide-excess <percentage> 경로가 숨겨집니다. 비율이 수정된 경우 경로가 자동으로 재평가됩니다.

주:

릴리스 9.2 이상에서 또는 Junos OS 피어 세션에서 허용할 수 있는 prefix 수로 BGP(Border Gateway Protocol) 수 있습니다. 자세한 내용은 피어 세션에서 허용되는 prefix BGP(Border Gateway Protocol) 제한 를 참조하십시오.

피어 세션에서 허용되는 prefix BGP(Border Gateway Protocol) 제한

릴리스 Junos OS 9.2 이상에서 피어 세션에서 허용할 수 있는 prefix의 BGP(Border Gateway Protocol) 수 있습니다. 지정된 제한을 초과하면 시스템 로그 메시지가 전송됩니다. 지정된 prefix 수로 BGP(Border Gateway Protocol) 세션을 재설정하는 방법을 지정할 수도 있습니다.

BGP(Border Gateway Protocol) 피어 세션에서 허용될 수 있는 prefix 수로 제한을 BGP(Border Gateway Protocol) 명령문을 accepted-prefix-limit 포함합니다.

이 명령문을 포함할 수 있는 계층 수준 목록은 이 명령문의 명령문 요약 섹션을 참조하십시오.

maximum number 경우, 1에서 4,294,967,295 범위의 값을 지정합니다.

허용된 prefix 수가 구성된 BGP(Border Gateway Protocol) 초과할 때 시작 피어 세션을 재설정하는 teardown 명령문을 포함합니다. 또한 허용된 Prefix 수가 최대 한도의 해당 비율을 초과할 때 전송되는 시스템 로그 메시지를 1부터 100까지 포함할 수 있습니다. 기본적으로 리셋된 BGP(Border Gateway Protocol) 짧은 시간 내에 다시 구성됩니다. 특정 기간 동안 BGP(Border Gateway Protocol) 세션이 재전시되지 않도록 방지하기 위한 명령문을 idle-timeout 포함합니다. 1~2400분 동안 타임아웃 값을 구성할 수 있습니다. 명령어를 발행할 때까지 BGP(Border Gateway Protocol) 세션이 재전시되지 않도록 forever 하는 옵션을 clear bgp neighbor 포함합니다. 명령문을 포함하고 비율을 지정하면 Prefix 수가 해당 비율을 초과하면 초과 경로가 drop-excess <percentage> 삭제됩니다. 명령문을 포함하고 비율을 지정하면 Prefix 수가 해당 비율을 초과하면 초과 hide-excess <percentage> 경로가 숨겨집니다. 비율이 수정된 경우 경로가 자동으로 재평가됩니다.

주:

NSR(NonStop Active Routing)이 활성화되고 백업 라우팅으로 라우팅 엔진 실행되면 다운된 BGP(Border Gateway Protocol) 피어가 자동으로 재시작됩니다. 명령문이 구성된 경우에도 idle-timeout forever 피어가 재시작됩니다.

주:

또는 특정 피어 세션에서 수신할 수 있는 프리픽스 수(수락하는 경우와 반대로)를 BGP(Border Gateway Protocol) 수 있습니다. 자세한 내용은 네트워크 피어 세션에서 수신되는 prefix BGP(Border Gateway Protocol) 제한 를 참조하십시오.

BGP(Border Gateway Protocol) 라우팅 테이블 그룹 구성

한 BGP(Border Gateway Protocol) 유니캐스트 또는 멀티캐스트 NLRI를 수신할 경우 적절한 테이블(또는 유니캐스트 또는 멀티캐스트용)에 경로를 inet.0inet6.0inet.2inet6.2 설치합니다. 유니캐스트 및 멀티캐스트 테이블에 유니캐스트 프리픽스를 추가하기 위해 BGP(Border Gateway Protocol) 테이블 그룹을 구성할 수 있습니다. 이는 멀티캐스트 NLRI 협상을 수행할 수 없는 경우 유용합니다.

BGP(Border Gateway Protocol) 테이블 그룹을 구성하기 위해 다음 rib-group 명령문을 포함합니다.

이 명령문을 포함할 수 있는 계층 수준 목록은 이 명령문의 명령문 요약 섹션을 참조하십시오.

다른 ASS에 위치한 PE 라우팅 장비로의 경로 지원

경로 해결을 위해 레이블링된 경로를 라우팅 테이블에 inet.3 배치할 수 있습니다. 그런 다음, 원격 PE가 다른 AS(Autonomous System)에 걸쳐 있는 PE(Provider Edge) 라우팅 디바이스 연결에 대해 해결됩니다. PE 라우팅 디바이스가 VPN 라우팅 및 포우링(VRF) 라우팅 인스턴스에 루트를 설치하려면 다음 홉이 테이블 내에 저장된 경로로 해결되어야 inet.3 합니다.

라우팅 테이블로의 경로를 inet.3 해결하기 위해 다음 문을 resolve-vpn 포함하십시오.

이 명령문을 포함할 수 있는 계층 수준 목록은 이 명령문의 명령문 요약 섹션을 참조하십시오.

Labeled 및 Unlabeled Route 허용

라벨링된 경로와 레이블이 지정되지 않은 경로 모두를 단일 세션에서 교환할 수 있습니다. 레이블링된 경로는 inet.3 또는 inet6.3 라우팅 테이블에 배치될 수 있으며 레이블링된 유니캐스트 경로와 레이블이 지정되지 않은 유니캐스트 경로는 라우팅 장비에 의해 전송 또는 수신될 수 있습니다.

레이블링된 경로와 레이블이 지정되지 않은 경로 모두를 교환할 수 있도록 명령문을 rib 포함하십시오.

이 명령문을 포함할 수 있는 계층 수준 목록은 이 명령문의 명령문 요약 섹션을 참조하십시오.

예를 들면 다음과 같습니다. IPv6 BGP(Border Gateway Protocol) 전송을 위한 경로 구성

이 예에서는 양측이 IPv4 인터페이스로 구성되는 IPv4 연결에서 IPv6 및 IPv4 프리픽스를 모두 내보내는 방법을 보여 제공합니다.

요구 사항

이 예제를 구성하기 전에 장치 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

IPv6 및 프리픽스를 내보내는 경우 BGP(Border Gateway Protocol) 염두에 두기하십시오.

  • BGP(Border Gateway Protocol) IPv4 매핑 IPv6 프리픽스를 사용하여 넥스 홉(Next-Hop) Prefix를 추출합니다. 예를 들어, IPv4 넥스 홉(next-hop) 10.19.1.1 prefix는 IPv6 넥스 홉(next-hop) prefix ::ffff:10.19.1.1로 변환합니다.

    주:

    IPv6 및 프리픽스를 내보내기 위한 IPv4 매핑 IPv6 다음 홉으로 BGP(Border Gateway Protocol) 경로가 있어야 합니다.

  • IPv6 연결은 링크상에서 구성되어야 합니다. 연결은 IPv6 터널 또는 이중 스택 구성이 되어야 합니다. 이 예에서는 이중 스태킹이 사용됩니다.

  • IPv4 매핑 IPv6 프리픽스를 구성할 때 96비트 이상의 마스크를 사용해야 합니다.

  • 일반적인 IPv6 프리픽스를 사용하려는 경우 정적 경로를 구성합니다. 이 예에서는 정적 경로를 사용했습니다.

그림 1 샘플 토폴로지가 표시됩니다.

그림 1: IPv4 전송을 위한 IPv6 BGP(Border Gateway Protocol) 경로 구성을 위한 토폴로지IPv4 전송을 위한 IPv6 BGP(Border Gateway Protocol) 경로 구성을 위한 토폴로지

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령어를 계층 수준에서 CLI [edit] 붙여넣습니다.

디바이스 R1

디바이스 R2

디바이스 R3

디바이스 R1 구성

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 정보는 CLI 사용자 가이드의 CLI Editor 사용 Junos OS CLI 참조하십시오.

장비 R1을 구성하려면:

  1. IPv4 주소와 IPv6 주소를 포함한 인터페이스를 구성합니다.

  2. EBGP를 구성합니다.

  3. 네트워크 BGP(Border Gateway Protocol) IPv4 유니캐스트 및 IPv6 유니캐스트 경로를 전달할 수 있습니다. .

    IPv4 유니캐스트 경로는 기본적으로 활성화됩니다. 이 구성은 완전성을 위해 여기에 표시되어 있습니다.

  4. 라우팅 정책을 구성합니다.

  5. 일부 정적 경로를 구성합니다.

  6. AS(Autonomous System) 번호를 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow policy-optionsshow protocolsshow routing-options 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다. Device R2 및 Device R3에서 구성을 반복하여 필요에 따라 인터페이스 이름과 IP 주소를 변경합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

인접 상태 확인

목적

IPv6 유니캐스트 BGP(Border Gateway Protocol) 지원할 수 있는지 확인합니다.

실행

작동 모드에서 명령어를 show bgp neighbor 입력합니다.

의미

출력에서 다양한 발생은 BGP(Border Gateway Protocol) 유니캐스트 경로를 전달할 수 있는 것으로 inet6-unicast 나타났습니다.

라우팅 테이블 확인

목적

Device R2가 inet6.0 BGP(Border Gateway Protocol) 테이블에 경로가 있는지 확인합니다.

실행

작동 모드에서 명령어를 show route protocol bgp inet6.0 입력합니다.

IPv4 세션의 경로 BGP(Border Gateway Protocol) IPv6 세션 개요

IPv6 네트워크에서는 일반적으로 BGP(Border Gateway Protocol) 피어 간의 IPv6 세션에서 IPv6 네트워크 계층 연결성 BGP(Border Gateway Protocol) 광고합니다. 이전 릴리스에서는 Junos OS inet6 유니캐스트, inet6 멀티캐스트 또는 inet6 Labeled-unicast 주소 패밀리만 교환할 수 있습니다. 이 기능을 사용하면 모든 BGP(Border Gateway Protocol) 교환할 수 있습니다. 코어에 IPv6를 탑재한 이중 스택 환경에서는 이 기능을 사용하면 BGP(Border Gateway Protocol) 세션에서 IPv4 넥스트 홉을 통해 IPv4 유니캐스트 도달 능력을 광고할 BGP(Border Gateway Protocol) 수 있습니다.

이 기능은 IPv6 BGP(Border Gateway Protocol) 두 단말단에서 IPv4가 구성된 전용 세션을 위한 것입니다. IBGP 또는 다중 홉 EBGP 세션을 위한 루프백 주소 또는 ipv4 주소가 될 local-ipv4-address 수 있습니다. 단일 홉 BGP(Border Gateway Protocol) 연합의 일부가 아닌 외부 BGP(Border Gateway Protocol) 스피커의 경우 구성된 로컬 IPv4 주소가 직접 연결되지 않는 경우 BGP(Border Gateway Protocol) 세션이 폐쇄되고 유휴 상태로 유지되고 오류가 생성되어 명령의 출력에 show bgp neighbor 표시됩니다.

IPv6 세션에서 IPv4 경로 광고를 활성화하려면 다음과 같이 local-ipv4-address 구성합니다.

주:

이미 IPv6 BGP(Border Gateway Protocol) 해당 주소군을 광고할 수 있는 기능이 있기 때문에 inet6 유니캐스트, inet6 멀티캐스트 또는 inet6 Labeled-unicast 주소 BGP(Border Gateway Protocol) 이 기능을 구성할 수 없습니다.

구성은 local-ipv4-address 셀프 넥스넥트 홉(self-next hop)BGP(Border Gateway Protocol) 경로를 광고할 때만 사용됩니다. IBGP가 EBGP 피어에서 학습한 경로를 광고하거나 루트 리포터가 BGP(Border Gateway Protocol) 경로에 대해 알려면 BGP(Border Gateway Protocol) 다음 홉을 변경하거나, 구성된 것을 local-ipv4-address 무시하고, 원래의 IPv4 넥스 홉을 사용하게 됩니다.

예를 들면 다음과 같습니다. IPv6 세션을 통해 IPv4 경로 BGP(Border Gateway Protocol) 광고

이 예에서는 IPv6 및 세션에서 IPv4 경로를 광고하는 BGP(Border Gateway Protocol) 방법을 보여줍니다. 코어에 IPv6가 있는 듀얼 스택 환경에서는 원격 IPv4 호스트에 도달해야 합니다. 따라서 BGP(Border Gateway Protocol) IPv4 다음 홉으로 IPv4 경로를 광고하여 IPv6 소스 및 대상 BGP(Border Gateway Protocol) 세션을 통해 BGP(Border Gateway Protocol) 피어를 찾아야 합니다. 이 기능을 통해 IPv6 BGP(Border Gateway Protocol) 세션을 통해 IPv4 넥스트 홉을 통해 IPv4 유니캐스트 도달 능력을 광고할 BGP(Border Gateway Protocol) 수 있습니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 이중 스태킹 기능을 갖추고 있는 3개의 라우터

  • Junos OS Release 16.1 이상이 모든 디바이스에서 실행됩니다.

IPv6 세션에서 IPv4 BGP(Border Gateway Protocol) 전에 다음을 반드시 활성화해야 합니다.

  1. 디바이스 인터페이스를 구성합니다.

  2. 모든 디바이스에서 듀얼 스태킹을 구성합니다.

개요

Release 16.1부터 Junos OS 세션에서 IPv6 BGP(Border Gateway Protocol) IPv4 넥스트 홉을 통해 IPv4 유니캐스트 도달 능력을 광고할 BGP(Border Gateway Protocol) 수 있습니다. 이전 Junos OS 릴리스에서는 iPv6 BGP(Border Gateway Protocol) 세션에서 inet6 유니캐스트, inet6 멀티캐스트 및 inet6 레이블 유니캐스트 주소 패밀리만 광고할 BGP(Border Gateway Protocol) 수 있습니다. 이 기능을 통해 BGP(Border Gateway Protocol) IPv6 세션에서 BGP(Border Gateway Protocol) 모든 주소 패밀리를 교환할 수 있습니다. IPv6 BGP(Border Gateway Protocol) 피어에게 IPv4 넥스 홉을 사용하여 IPv4 경로를 광고할 BGP(Border Gateway Protocol) 수 있습니다. 구성은 local-ipv4-address 셀프 넥스넥트 홉(self-next hop)BGP(Border Gateway Protocol) 경로를 광고할 때만 사용됩니다.

주:

이미 IPv6 BGP(Border Gateway Protocol) 해당 주소군을 광고할 수 있는 기능이 있기 때문에 inet6 유니캐스트, inet6 멀티캐스트 또는 inet6 Labeled-unicast 주소 BGP(Border Gateway Protocol) 이 기능을 구성할 수 없습니다.

토폴로지

에서 그림 2 IPv6 외부 BGP(Border Gateway Protocol) 세션이 라우터 R1과 R2 간에 실행됩니다. IPv6 IBGP 세션은 라우터 R2와 라우터 R3 사이에 설정됩니다. IPv4 정적 경로가 R1의 BGP(Border Gateway Protocol) 재분산됩니다. IPv6 BGP(Border Gateway Protocol) IPv4 경로를 재배포하려면, 계층 레벨의 모든 라우터에서 새로운 기능을 [edit protocols bgp address family] 활성화해야 합니다.

그림 2: IPv6 세션을 통해 IPv4 경로 BGP(Border Gateway Protocol) 광고IPv6 세션을 통해 IPv4 경로 BGP(Border Gateway Protocol) 광고

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

라우터 R1

라우터 R2

라우터 R3

구성 라우터 R1

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 대한 자세한 내용은 CLI 사용자 가이드의 CLI Editor 사용 CLI 참조하십시오.

라우터 R1 구성:

주:

적절한 인터페이스 이름, 주소 및 기타 매개 변수를 수정한 후 다른 라우터에 대해 이 절차를 반복합니다.

  1. IPv4 및 IPv6 주소로 인터페이스를 구성합니다.

  2. 루프백 주소를 구성합니다.

  3. 광고해야 하는 IPv4 정적 경로를 구성합니다.

  4. 호스트에 대해 자율 시스템을 BGP(Border Gateway Protocol) 구성합니다.

  5. 외부 에지 라우터에서 EBGP를 구성합니다.

  6. 이 기능을 통해 IPv4 추가 세션을 IPv6 세션에 대해 140.1.1.1 BGP(Border Gateway Protocol) 수 있습니다.

  7. 모든 정적 경로를 허용하는 정책 p1을 정의합니다.

  8. EBGP 그룹 ebgp-v6에 정책 p1을 적용합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow protocolsshow routing-optionsshow policy-options 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 구성을 커밋합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

BGP(Border Gateway Protocol) 세션이 설정되어 있는지 확인

목적

구성된 인터페이스에서 BGP(Border Gateway Protocol) 실행되고 각 이웃 주소에 대해 BGP(Border Gateway Protocol) 세션이 활성 상태인지 검증합니다.

실행

작동 모드에서 라우터 show bgp summary R1에서 명령을 실행합니다.

의미

BGP(Border Gateway Protocol) 세션이 실행되고 BGP(Border Gateway Protocol) 설정됩니다.

IPv4 주소가 광고되고 있는지 검증

목적

구성된 IPv4 주소가 Router R1에 의해 구성된 이웃에게 BGP(Border Gateway Protocol) 있는지 확인합니다.

실행

작동 모드에서 라우터 show route advertising-protocol bgp ::150.1.1.2 R1에서 명령을 실행합니다.

의미

IPv4 정적 경로가 네트워크 인접 라우터 R2에 BGP(Border Gateway Protocol) 있습니다.

BGP(Border Gateway Protocol) Neighbor 라우터 R2가 공시된 IPv4 주소를 수신하는지 확인

목적

라우터 R2가 IPv6를 통해 라우터 R1에 대한 BGP(Border Gateway Protocol) IPv4 주소를 수신하는지 확인합니다.

실행
의미

Router R2 라우팅 테이블에 정적 IPv4 경로가 있는 경우, 라우터 R1에서 공시된 IPv4 경로를 수신하고 있는 것으로 나타났습니다.

IPv6 Next Hop을 통해 IPv4 경로의 재배포 이해 BGP(Border Gateway Protocol)

IPv6 트래픽을 전송하는 네트워크에서 필요할 때 IPv4 경로를 라우팅해야 합니다. 예를 들어, IPv6 전용 서비스 프로바이더 있지만 여전히 IPv4 트래픽을 라우팅하는 고객이 있는 인터넷 네트워크가 있습니다. 이 경우, 이러한 고객을 지원하고 IPv6 네트워크로 IPv4 트래픽을 전달해야 합니다. RFC 5549에서 설명한 바와 같이, Advertising IPv4 네트워크 레이어 Reachability Information with iPv6 Next Hop IPv4 트래픽은 고객 구내 장비(CPE) 디바이스에서 IPv4-over-IPv6 게이트웨이로 터널링됩니다. 이들 게이트웨이는 모든 캐스트 주소를 통해 CPE 디바이스에 발표됩니다. 그러면 게이트웨이 디바이스가 원격 CPE 디바이스에 동적 IPv4-over-IPv6 터널을 생성하고 트래픽을 이동하기 위한 IPv4 총 경로에 대해 알려야 합니다.

주:

동적 IPv4-over-IPv6 터널 기능은 릴리스 릴리스에서 통합 ISSU를 Junos OS 지원하지 17.3R1.

프로그래밍 가능한 인터페이스를 사용하는 RS(Route Reflectors)는 IBGP를 통해 게이트웨이 라우터에 연결되고 다음 홉으로 IPv6 주소를 사용하는 라우터를 호스트합니다. 이러한 R은 IPv4/32 주소를 광고하여 터널 정보를 네트워크에 투입합니다. 게이트웨이 라우터는 원격 고객 제공업체 에지로 동적 IPv4-over-IPv6 터널을 생성합니다. 또한 이 게이트웨이 라우터는 트래픽을 스티어링하기 위해 IPv4 어그리게이트 경로를 광고합니다. 그런 다음 RR은 터널 소스 경로를 ISP에 알려야 합니다. RR에서 터널 경로를 제거하면 BGP(Border Gateway Protocol) 경로를 제거하여 터널이 해체되어 CPE를 지원할 수 없습니다. 또한 게이트웨이 라우터는 모든 통합 라우트 기여자 경로가 제거될 때 IPv4 어그리게이트 경로와 IPv6 터널 소스 경로를 제거합니다. 게이트웨이 라우터는 앵커 패킷 전달 엔진 다운될 때 루트 인출을 전송하여 트래픽을 다른 게이트웨이 라우터로 리디렉션합니다.

IPv6 Next Hop을 통해 IPv4 경로를 지원하기 위해 다음 확장이 도입됩니다.

BGP(Border Gateway Protocol) 넥스 홉 인코딩

BGP(Border Gateway Protocol) IPv6 넥스 홉을 통해 IPv4 경로를 전송하는 데 사용되는 다음 홉 인코딩 기능을 통해 확장됩니다. 이 기능을 원격 피어에서 사용할 수 없는 경우, BGP(Border Gateway Protocol) 이 인코딩 기능을 기반으로 피어를 그룹화하고 협상된 NLRI(Network Layer Reachability information) 목록에서 인코딩 BGP(Border Gateway Protocol) 없이 BGP(Border Gateway Protocol) family를 제거합니다. Junos OS inet.0과 같은 해결 테이블 하나만 허용합니다. IPv4가 IPv6 BGP(Border Gateway Protocol) 경로를 허용하기 BGP(Border Gateway Protocol) 해결 트리를 생성합니다. 이 기능을 사용하면 Junos OS 라우팅 테이블에 여러 해결 트리가 있을 수 있습니다.

RFC 5549, Advertising IPv4 네트워크 레이어 Reachability Information with IPv6 Next Hop RFC 5512에 지정된 새로운 캡슐화 커뮤니티가 추가되는 경우, BGP(Border Gateway Protocol) 캡슐화 후속 주소 가족 식별자(SAFI) 및 BGP(Border Gateway Protocol) Tunnel 캡슐화 속성이 넥스홉 주소의 주소 패밀리를 결정하기 위해 소개됩니다. 캡슐화 커뮤니티는 ingress 노드가 생성해야 하는 터널의 유형을 나타냅니다. BGP(Border Gateway Protocol) IPv6 다음 홉 주소와 V4oV6 캡슐화 커뮤니티가 있는 IPv4 경로를 수신하면 BGP(Border Gateway Protocol) IPv4-over-IPv6 동적 터널을 생성합니다. 캡슐화 BGP(Border Gateway Protocol) 없이 경로를 수신하면 V4oV6 터널을 BGP(Border Gateway Protocol) 없이 경로가 해결됩니다.

새로운 정책 조치는 계층 수준에서 지원하여 새로운 확장 dynamic-tunnel-attributes dyan-attribute 캡슐화(encapsulation)를 [edit policy-statement policy name term then] 지원할 수 있습니다.

터널 현지화

동적 터널 인프라는 터널 현지화를 통해 향상하여 많은 수의 터널을 지원합니다. 앵커에 장애가 발생하면 트래픽을 처리할 수 있는 탄력적인 터널 현지화가 필요합니다. 하나 이상의 섀시가 다른 섀시를 백업하고 라우팅 프로토콜 프로세스(rpd)가 장애 지점에서 백업 섀시로 트래픽을 스티어링할 수 있습니다. 섀시는 네트워크에 대한 개별 루프백 주소 대신 이러한 통합 프리픽스만 광고합니다.

터널 처리

IPv6 터널을 통해 IPv4는 터널 앵커링과 함께 동적 터널 인프라를 사용하여 필요한 섀시의 광범위한 확장을 지원합니다. 터널 상태는 패킷 패킷 전달 엔진 로컬화됩니다. 다른 패킷 전달 엔진은 트래픽을 터널 앵커로 스티어링합니다.

터널 Ingress

터널 ingress 또는 터널 캡슐화는 네트워크 트래픽을 고객 사이트로 전달합니다. 섀시에 들어온 트래픽이 패킷 전달 엔진 경로에 터널 상태가 있는 경우, 라우팅 프로토콜 프로세스(rpd)는 다음과 같은 프로시저를 사용하여 IPv6 터널에 IPv4 경로를 재배포합니다.
그림 3: 터널 상태가 동일한 PFE에서 사용 가능한 경우 터널 Ingress 처리터널 상태가 동일한 PFE에서 사용 가능한 경우 터널 Ingress 처리
그림 4: 터널 상태가 다른 PFE에 있을 때 터널 Ingress 처리터널 상태가 다른 PFE에 있을 때 터널 Ingress 처리
  1. IPv6 헤더 내부에서 IPv4 트래픽을 캡슐화합니다.

    최대 전송 장치(최대 전송 단위(MTU)) 적용이 캡슐화되기 전에 수행됩니다. 캡슐화된 패킷 크기가 터널 최대 전송 단위(MTU) 초과하고 IPv4 패킷이 설정되지 않은 경우 패킷이 단편화되어 이러한 패킷 조각이 DF-bit 캡슐화됩니다.

  2. 내부 패킷 헤더에서 해시 기반 트래픽 로드 밸런싱을 사용

  3. 트래픽을 대상 IPv6 주소로 전달합니다. IPv6 주소는 IPv6 헤더에서 취해지습니다.

터널 이그레그(Egress)

터널 egress는 고객 사내 장비에서 네트워크 측으로 트래픽을 전달합니다.
그림 5: 터널 상태가 동일한 PFE에서 사용 가능한 경우 터널 Egress 처리터널 상태가 동일한 PFE에서 사용 가능한 경우 터널 Egress 처리
그림 6: 터널 상태를 원격 PFE에서 사용할 수 있는 터널 Egress 처리터널 상태를 원격 PFE에서 사용할 수 있는 터널 Egress 처리
  1. IPv6 패킷 내부에 IPv4 패킷의 캡슐화 디캡슬리(Decapsulates)

  2. IPv6, IPv4 쌍이 터널 설정에 사용된 정보와 일치하는지 확인할 수 있도록 스푸핑 방지 검사를 수행합니다.

  3. 디캡뮬레이터된 패킷의 IPv4 헤더에서 IPv4 대상 주소를 찾아 지정된 IPv4 주소로 패킷을 전달합니다.

터널 로드 밸런싱 및 앵커 패킷 전달 엔진 장애 처리

네트워크 패킷 전달 엔진 에 고정된 터널 트래픽의 null 경로 필터링을 피하기 위해 신속히 패킷 전달 엔진. 터널 현지화에는 전역적으로 장애를 복구하기 위해 BGP(Border Gateway Protocol) 광고를 사용하는 것이 수반됩니다. 터널 트래픽은 장애 지점에서 동일한 터널 상태를 포함하는 다른 백업 섀시로 전환됩니다. 트래픽 로드 밸런싱의 경우, 각 Prefix set에 대해 서로 다른 MED(Exit Discriminator) 값을 광고하도록 섀시가 구성되어 터널의 1분의 1에 대한 트래픽만 각 섀시를 통과합니다. 또한 CPE 트래픽은 각 섀시에서 동일한 어니캐스트 주소 세트를 구성하고 각 섀시로 트래픽의 14분의 1만 처리하여 유사한 방식으로 처리됩니다.

Anchor 패킷 전달 엔진 터널에 대한 모든 프로세싱을 하는 단일 엔티티입니다. 앵커 패킷 전달 엔진 선택은 정적 프로비저닝을 통해 이루어지며 패킷 전달 엔진 물리적 인터페이스에 연계됩니다. 패킷 전달 엔진 중 하나가 다운되는 경우, 데몬은 라인 카드에 모든 패킷 전달 엔진을 마킹하고 이 정보를 라우팅 프로토콜 프로세스 라우팅 프로토콜 프로세스 및 기타 데몬에 전달합니다. 라우팅 프로토콜 프로세스는 실패한 패킷 전달 엔진 있는 prefix에 대한 BGP(Border Gateway Protocol) 인출을 보내고 다운된 네트워크로 할당된 IPv6 주소는 패킷 전달 엔진 전송합니다. 이러한 광고는 트래픽을 다른 백업 섀시로 재라우트합니다. 실패한 패킷 전달 엔진 다시 발생하면 섀시는 패킷 전달 엔진 프로토콜 프로세스를 up 업데이트합니다. 라우팅 프로토콜 프로세스는 특정 BGP(Border Gateway Protocol) 터널이 트래픽 라우팅에 사용할 수 있도록 하는 피어에 대한 패킷 전달 엔진 업데이트가 트리거됩니다. 이 프로세스는 대규모 터널 구성에 몇 분이 걸릴 수 있습니다. 따라서 이 메커니즘은 시스템에 내장되어 트래픽을 원래 섀시로 스위칭하는 동시에 최소한의 트래픽 Ack 손실을 보장합니다.

터널 루프백 스트림 통계

동적 터널 인프라는 패킷 캡슐화 이후의 패킷 패킷 전달 엔진 루프백 스트림을 사용하여 네트워크에서 루프백 스트림을 지원합니다. 이 루프백 스트림의 대역폭은 제한적이기 때문에 터널 루프백 스트림의 성능을 모니터링할 필요가 있습니다.

루프백 스트림의 통계를 모니터링하기 위해 포링 속도, 드롭 패킷 속도 및 byte rate를 포함한 통합 루프백 스트림 통계를 표시하는 운영 명령을 show pfe statistics traffic detail 사용하십시오.

IPv6 BGP(Border Gateway Protocol) IPv4 경로를 재배포하기 위한 구성

릴리즈 17.3R1 디바이스는 Junos OS IPv4 트래픽을 일반적으로 전달할 수 없는 IPv6 전용 네트워크를 통해 IPv4 트래픽을 포워드할 수 있습니다. RFC 5549에서 설명한 바와 같이 IPv4 트래픽은 CPE 디바이스에서 IPv4-over-IPv6 게이트웨이로 터널링됩니다. 이들 게이트웨이는 모든 캐스트 주소를 통해 CPE 디바이스에 발표됩니다. 그런 다음 게이트웨이 디바이스는 원격 고객 프레미스 장비에 동적 IPv4-over-IPv6 터널을 생성하고 트래픽을 제어하는 IPv4 어그리게이션 경로를 광고합니다. 프로그래밍 가능한 인터페이스가 있는 루트 반영기는 터널 정보를 네트워크에 주입합니다. 루트 반영기는 IBGP를 통해 게이트웨이 라우터에 연결됩니다. 게이트웨이 라우터는 다음 홉으로 IPv6 주소를 IPv6 주소를 사용하여 호스트 경로의 IPv4 주소를 광고합니다.

주:

동적 IPv4-over-IPv6 터널 기능은 릴리스 릴리스에서 통합 ISSU를 Junos OS 지원하지 17.3R1.

IPv6 넥스홉 주소로 IPv4 BGP(Border Gateway Protocol) 경로 배포를 시작하기 전에 다음을 진행하십시오.

  1. 디바이스 인터페이스를 구성합니다.

  2. 모든 최단 경로 우선(OSPF) 또는 기타 모든 IGP 구성합니다.

  3. 구성 MPLS 및 LDP를 구성합니다.

  4. 구성 BGP(Border Gateway Protocol).

IPv6 BGP(Border Gateway Protocol) IPv4 경로를 배포하도록 구성하기 위해 다음을 제공합니다.

  1. IPv6 피어를 사용하는 BGP(Border Gateway Protocol) 그룹을 위해 확장된 넥스홉 인코딩 옵션을 구성하여 IPv6 세션에서 IPv4 주소 패밀리를 라우팅합니다.
  2. 동적 IPv4-over-IPv6 터널을 구성하고 해당 속성을 정의하여 IPv6 전용 네트워크에서 IPv4 트래픽을 포워드합니다. IPv4 트래픽은 CPE 디바이스에서 IPv4-over-IPv6 게이트웨이로 터널링됩니다.
  3. 터널 속성을 구성합니다.

    예를 들어, 다음과 같은 속성을 가지고 있는 동적 first_tunnel 터널을 구성합니다.

  4. 구성된 동적 터널 속성 프로필을 prefix 목록 또는 경로 필터에 연결하기 위한 정책을 정의합니다.

    예를 들어, dynamic_tunnel_policy 터널 first_tunnel 속성을 특정 Route 2.2.2.2/32로의 트래픽에만 연결하도록 first_tunnel 정책을 정의합니다.

  5. 정의된 정책을 내보낼 수 있습니다.

    예를 들어 구성된 dynamic_tunnel_policy 내보내기할 수 있습니다.

Layer 2 VPN 및 VPLS 시그널링 활성화

레이어 2 VPN BGP(Border Gateway Protocol) VPLS NLRI 메시지를 전달할 수 있습니다.

VPN 및 VPLS 시그널링을 활성화하려면 다음 family 진술을 포함합니다.

이 명령문을 포함할 수 있는 계층 수준 목록은 이 명령문의 명령문 요약 섹션을 참조하십시오.

최대 프리픽스 수를 구성하기 위해 다음 문을 prefix-limit 포함합니다.

이 명령문을 포함할 수 있는 계층 수준 목록은 이 명령문의 명령문 요약 섹션을 참조하십시오.

최대 프리픽스 수를 설정하면 해당 번호에 도달하면 메시지가 로깅됩니다. 명령문을 포함하면 최대 Prefix 수에 도달하면 teardown 세션이 종료됩니다. 백분율을 지정하면 Prefix 수가 해당 비율에 도달하면 메시지가 로깅됩니다. 세션이 종료된 후, 짧은 시간 내 재구성됩니다. 특정 시간, 또는 언제까지나 세션을 계속할 수 있는 idle-timeout 명령문을 포함합니다. 지정한 경우 명령어를 사용한 후에만 forever 세션이 clear bgp neighbor 재작성됩니다. 명령문을 포함하고 비율을 지정하면 Prefix 수가 해당 비율을 초과하면 초과 경로가 drop-excess <percentage> 삭제됩니다. 명령문을 포함하고 비율을 지정하면 Prefix 수가 해당 비율을 초과하면 초과 hide-excess <percentage> 경로가 숨겨집니다. 비율이 수정된 경우 경로가 자동으로 재평가됩니다.

트래픽 BGP(Border Gateway Protocol) 플로우 경로 이해

플로우 경로는 IP 패킷에 대한 일치 조건을 집계하는 것입니다. 플로우 경로는 플로우 사양 NLRI(Network-Layer Reachability Information) 메시지를 사용하여 네트워크를 통해 전파되어 플로우 라우팅 테이블에 instance-name.inetflow.0 설치됩니다. 패킷은 특정 일치 조건을 충족하는 경우만 플로우 경로를 통과할 수 있습니다.

플로우 경로 및 방화벽 필터는 구성 요소에 따라 패킷을 필터링하고 일치하는 패킷에 대해 조치를 수행하는 유사합니다. 플로우 경로는 방화벽 필터와 마찬가지로 트래픽 필터링 및 속도 제한 기능을 제공합니다. 또한, 여러 자율 시스템 전반에 걸쳐 플로우 경로를 전파할 수 있습니다.

플로우 경로는 플로우 사양 BGP(Border Gateway Protocol) NLRI 메시지를 통해 전달됩니다. 이러한 NLIS를 BGP(Border Gateway Protocol) 수 있도록 해야 합니다.

Junos OS Release 15.1부터 기존 inet-flow 및 inetvpn-flow 패밀리에 대한 무중단 활성 라우팅(NSR) 지원을 확장하고 draft-ietf-idr-bgp-flowspec-oid-01당 BGP(Border Gateway Protocol) flowspec에 대한 경로 검증을 확장하기 위해 변경이 구현됩니다. 이 개선의 일환으로 2개의 새로운 명령문이 소개됩니다. 적용 우선(enforce-first) 및 설치 안(no-install)를 참조합니다.

주:

Junos OS Release 16.1부터 IPv6 지원이 IPv6 및 VPN-IPv6 패킷에 대한 트래픽 플로우 규격 규칙을 BGP(Border Gateway Protocol) 플로우 규격으로 확장됩니다. BGP(Border Gateway Protocol) 플로우 규격은 NSR(Nonstop Active Routing) 중에 트래픽 필터링 분산 서비스 거부 공격 트래픽 필터링 규칙의 조정을 자동화합니다.

Junos OS Release 16.1R1, BGP(Border Gateway Protocol) 트래픽 마킹 필터링 조치를 extended-community 지원한다. IPv4 트래픽의 경우 Junos OS IPv4 패킷의 DSCP(DiffServ Code Point) 비트를 확장 커뮤니티의 해당 값으로 수정합니다. IPv6 패킷의 경우 Junos OS 확장 커뮤니티의 해당 값으로 전송 IPv6 패킷 필드의 처음 traffic class 6비트를 수정합니다.

릴리스부터 Junos OS 릴리스 17.1R1 BGP(Border Gateway Protocol) 제 PTX5000 3세대 FPC(FPC3-PTX-U2 및 FPC3-PTX-U3)를 설치하고 FPC3-SFF-PTX-U0 및 FPC3-SFF-PTX-U1을 설치한 PTX 시리즈 라우터에서 플로우 사양의 NLRI(network layer reachability information) 메시지를 PTX3000. 방화벽 필터 정보를 일부로 전파하면 BGP(Border Gateway Protocol) 시스템 전반에서 DOS(서비스 거부) 공격에 대해 방화벽 필터를 전파할 수 있습니다.

Junos OS Release 17.2R1 시작하여 BGP(Border Gateway Protocol) 제 3세대FPC를 설치한 PTX1000 라우터에서 플로우 규격 NLRI(Network Layer Reachability Information) 메시지를 전달할 수 있습니다. 방화벽 필터 정보를 일부로 전파하면 BGP(Border Gateway Protocol) 시스템 전반에서 DOS(서비스 거부) 공격에 대해 방화벽 필터를 전파할 수 있습니다.

CRPD Release 20.3R1 플로우 사양을 통해 전파되는 플로우 경로 및 정책 규칙은 BGP(Border Gateway Protocol) 환경에서 Linux Netfilter 프레임워크를 통해 Linux 커널로 cRPD 있습니다.

플로우 경로에 대한 일치 조건

명령문의 작업이 플로우 루트에 대해 실행되기 전에 패킷이 일치해야 하는 조건을 then 지정합니다. 조치가 취해지기 위해 명령문의 모든 조건이 from 일치해야 합니다. 패킷이 발생할 수 있는 용어의 모든 조건과 일치해야 하기 때문에 일치 조건을 지정하는 순서는 중요하지 않습니다.

일치 조건을 구성하기 위해 계층 수준에서 match[edit routing-options flow] 명령문을 포함합니다.

표 1 플로우 경로 일치 조건을 설명합니다.

표 1: 플로우 경로 일치 조건

일치 조건

설명

destination prefix prefix-offset number

IP 대상 주소 필드.

모드로 구성된 고급MPC가 있는 Junos 장치에서만 사용할 수 있는 옵션 필드를 사용하여 prefix-offset IPv6 prefix를 사용하기 전에 건너 뜁니다 Junos OS 비트 수를 지정할 수 enhanced-ip 있습니다.

destination-port number

TCP 또는 UDP(User Datagram Protocol) 대상 포트 필드. 동일한 용어에서 일치 조건과 조건을 portdestination-port 모두 지정할 수 없습니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열됨). afs(1483), bgp (179), biff (512), bootpcbootps (68), cmd (67), (514), cvspserver (2401), dhcp (67), domain (53), ekloginekshell (2105), exec (2106), (512), finger (79), ftpftp-data (21), http (80), (80), https (443), identimap (113), (143), kerberos-secklogin (88), (543), kpasswdkrb-prop (761), krbupdate (754), (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), (138) netbios-nsnetbios-ssn 137), (139), nfsdnntp (2049), (119), ntalk (518), ntppop3 (123), pptp (110), (1723), printer (515), radacct (1813), radiusrip (1812), (520), rkinit (2108), smtpsnmp (161), (161), snmptrap (162), snpp (444), socks (1080), sshsunrpc (22), syslog (111), (514), tacacs-dstalk (65), (517), telnet (517), tftp (69), timed (525), who (513), xdmcp (177), zephyr-clt (2103) 또는 zephyr-hm (2104).

dscp number

DSCP(Differentiated Services Code Point). DiffServ 프로토콜은 IP 헤더에서 ToS(Type-of-Service) byte를 사용합니다. 이 바이트 중 가장 중요한 6비트는 DSCP를 형성합니다.

DSCP를 희소식(hexadecimal) 또는 소수(decimal) 형태로 지정할 수 있습니다.

flow-label numeric-expression

플로우 레이블 값을 일치합니다. 이 필드의 가치는 0에서 1048575까지 범위가 있습니다.

이 일치 조건은 모드로 구성되는 향상된MPC를 통해 Junos 디바이스에서만 enhanced-ip 지원됩니다. 이 일치 조건은 IPv4에서 지원되지 않습니다.

fragment type

단편화 유형 필드. 키워드는 연관된 단편화 유형으로 그룹화됩니다.

  • dont-fragment

    주:

    이 옵션은 IPv6에서 지원되지 않습니다.

  • first-fragment

  • is-fragment

  • last-fragment

  • not-a-fragment

이 일치 조건은 모드로 Junos OS 향상된 JUNOS OS 디바이스에서만 enhanced-ip 지원됩니다.

icmp-code numbericmp6-code icmp6-code-value;

ICMP 코드 필드를 실행합니다. 이 값 또는 키워드는 에 비해 더 구체적인 정보를 icmp-type 제공합니다. 값의 의미는 관련 값에 따라 달라지기 때문에 를 함께 icmp-typeicmp-type 지정해야 icmp-code 합니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열). 키워드는 연관된 ICMP 유형으로 그룹화됩니다.

  • 매개 변수 문제: ip-header-bad (0), required-option-missing (1)

  • 리디렉션할: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-hostredirect-for-tos-and-net (3), (2)

  • 초과 시간: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

  • 연결할: communication-prohibited-by-filtering(13), destination-host-prohibited (13), destination-host-unknowndestination-network-prohibited (7), destination-network-unknown (9), fragmentation-needed (6), host-precedence-violation (4), host-unreachable (14), host-unreachable-for-TOS (1), (12), network-unreachable (12), network-unreachable-for-TOS (11), (11), port-unreachableprecedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-type number icmp6-type icmp6-type-value

ICMP 패킷 유형 필드입니다. 일반적으로, 포트에서 사용되는 프로토콜을 결정하기 위해 일치 명령문과 함께 이 일치를 protocol 지정합니다.

숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). echo-reply(0), echo-requestinfo-reply (8), info-request (16), mask-request (15), mask-reply (17), parameter-problem (18), redirect (12), router-advertisement (9), router-solicit (9), (10), source-quenchtime-exceeded (4), (11), timestamp (13), timestamp-reply (14) 또는 unreachable (3).

packet-length number

총 IP 패킷 길이.

port number

TCP 또는 UDP 소스 또는 대상 포트 필드. 동일한 용어에서 일치 조건과 일치 조건 모두를 지정할 portdestination-portsource-port 없습니다.

숫자 값을 대신하여 에 나열된 텍스트 동의어 중 하나를 지정할 수 destination-port 있습니다.

protocol number

IP 프로토콜 필드에 대한 것입니다. 숫자 값을 대신하여 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). ah, egp(8), espgre (50), (47), icmpigmp (1), ipip (4), ipv6 (4), ospf (41), (89), pim (103), rsvp (46), tcp (6) udp  또는 (17).

이 일치 조건은 모드로 구성된 향상된MPC를 통해 Junos 장치에서만 IPv6에 대해 enhanced-ip 지원됩니다.

source prefixprefix-offset number

IP 소스 주소 필드입니다.

모드로 구성된 고급MPC가 있는 Junos 장치에서만 사용할 수 있는 옵션 필드를 사용하여 prefix-offset IPv6 prefix를 사용하기 전에 건너 뜁니다 Junos OS 비트 수를 지정할 수 enhanced-ip 있습니다.

source-port number

TCP 또는 UDP 소스 포트 필드. 동일한 용어에서 일치 조건을 지정할 portsource-port 수 없습니다.

숫자 필드 대신 에 나열된 텍스트 동의어 중 하나를 지정할 수 destination-port 있습니다.

tcp-flag type

TCP 헤더 형식.

플로우 경로에 대한 작업

패킷이 플로우 경로에서 구성한 조건과 일치하는지 조치를 지정할 수 있습니다. 작업을 구성하기 위해 계층 수준에서 then[edit routing-options flow] 명령문을 포함합니다.

표 2 플로우 경로 작업을 설명합니다.

표 2: 플로우 경로 작업 수정자

조치 또는 조치 수정자

설명

액션

accept

패킷을 허용합니다. 이는 기본 설정입니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 전송하지 않고도 패킷을 자동으로 폐기합니다.

community

경로에 있는 모든 커뮤니티를 특정 커뮤니티로 교체합니다.

마크

이 플로우와 일치하는 트래픽에 대한 DSCP 값을 설정합니다. 값을 0에서 63까지 지정합니다. 이 작업은 모드로 구성되는 향상된MPC를 통해 Junos 디바이스에서만 enhanced-ip 지원됩니다.

next term

평가를 위한 다음 일치 조건 계속.

routing-instance extended-community

패킷이 전달되는 라우팅 인스턴스를 지정합니다.

rate-limit bits-per-second

플로우 경로의 대역폭 제한. 초당 비트(bps)로 제한을 표현합니다. 릴리스 Junos OS 릴리스 16.1R4 범위는 [0 ~ 1000000000]입니다.

sample

플로우 경로에서 트래픽을 샘플링합니다.

플로우 경로 검증

또한 Junos OS 절차를 통해 검증된 경우 플로우 라우팅 테이블에 플로우 경로를 설치합니다. 라우팅 엔진 라우팅 테이블에 루트를 설치하기 전에 검증을 합니다.

NLRI(network layer reachability information) BGP(Border Gateway Protocol) 메시지를 사용하여 수신된 플로우 경로는 플로우 기본 인스턴스 라우팅 테이블에 설치되기 전에 instance.inetflow.0 검증됩니다. 검증 절차는 Flow Specification Rules의 draft-ietf-idr-flow-spec-09.txt, Dissmination of Flow Specification Rules에 설명되어 있습니다. NLRI 메시지를 사용하여 플로우 경로에 대한 검증 프로세스를 우회하고 BGP(Border Gateway Protocol) 가져오기 정책을 사용할 수 있습니다.

검증 작업을 추적하기 위해 계층 수준에서 validation[edit routing-options flow] 명령문을 포함합니다.

BGP(Border Gateway Protocol) Flow-Specification 알고리즘 버전 7 이상 지원

기본적으로 Junos OS 플로우 규격 초안의 버전 6에서 정의된 용어 BGP(Border Gateway Protocol) 사용합니다. Junos OS Release 10.0 이상에서, BGP(Border Gateway Protocol) Flow 규격의 버전 7에서 최초로 정의된 용어 순서 지정 알고리즘을 준수하도록 라우터를 구성하고 플로우 사양 경로의 배포인 RFC 5575를 통해 지원할 수 있습니다.

모범 사례:

먼저 Junos OS 플로우 규격 초안의 버전 7에서 정의된 용어 순서 지정 알고리즘을 사용하도록 BGP(Border Gateway Protocol) 것이 좋습니다. 또한 라우터에 Junos OS 모든 라우팅 인스턴스에서 동일한 용어 순서 알고리즘을 사용하도록 구성하는 것이 좋습니다.

인터넷 BGP(Border Gateway Protocol) 버전 7에서 처음 정의된 플로우 규격 알고리즘을 사용할 수 있도록 구성하려면 계층 수준에서 standard[edit routing-options flow term-order] 명령문을 포함합니다.

버전 6에서 정의된 용어 순서 변경 알고리즘을 사용하는 것으로 되 되겠지만, 계층 수준에서 legacy[edit routing-options flow term-order] 명령문을 포함해야 합니다.

주:

구성된 용어 순서는 지역적 중요성만 가산됩니다. 즉, 순서란 용어가 자체 용어 주문 구성에 의해 BGP(Border Gateway Protocol) 원격 원격 연결 피어로 전송되는 플로우 경로와 함께 전파되지 않습니다. 따라서 원격 피어의 주문 구성이라는 용어를 인식하지 못하면 주문 종속적인 조치를 구성할 때 next term 신중해야 합니다. 로컬은 next term 원격 피어에서 구성된 next term 피어와 다를 수 있습니다.

주:

진화된 Junos OS 작업의 마지막 next term 용어로 나타나지 않습니다. 필터 용어는 조치로 지정되지만 구성된 일치 조건이 없는 경우 next term 지원되지 않습니다.

릴리스 16.1에 Junos OS 필터를 특정 인터페이스에서 수신된 트래픽에 적용하지 않는 flowspec 옵션이 있습니다. 필터의 처음에 이러한 특정 인터페이스에서 수신된 패킷을 허용하는 새로운 용어가 flowspec 추가됩니다. 새로운 용어는 플로우 규격 필터의 일부로 포우링 테이블 필터에 연결된 용어의 제외 목록을 생성하는 변수입니다.

특정 인터페이스에서 수신되는 트래픽에 필터를 적용하지 못하려면 먼저 계층 수준에서 family 필터 그룹 명령문을 포함한 다음, 계층 수준에서 명령문을 포함해 필터를 인터페이스 그룹과 연결하여 이러한 인터페이스에서를 구성해야 flowspecgroup-idinetgroup-id[edit interfaces]flowspecflow interface-group group-id exclude[edit routing-options] 합니다. 명령문을 사용하여 라우팅 인스턴스당 하나만 group-id 구성할 수 set routing-options flow interface-group group-id 있습니다.

예를 들면 다음과 같습니다. 플로우 BGP(Border Gateway Protocol) 전달 가능

이 예에서는 SSLRI가 플로우 규격 BGP(Border Gateway Protocol)(NLRI) 메시지를 전달하도록 허용하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

  • 디바이스 인터페이스를 구성합니다.

  • 내부 게이트웨이 프로토콜(IGP)을 구성합니다.

  • 구성 BGP(Border Gateway Protocol).

  • 라우팅 테이블에서 경로(예: 직접 경로 또는 IGP 경로)를 경로로 내보낼 수 있는 라우팅 BGP(Border Gateway Protocol).

개요

방화벽 필터 정보를 일부로 전파하면 BGP(Border Gateway Protocol) 시스템 전반에서 DOS(서비스 거부) 공격에 대해 방화벽 필터를 전파할 수 있습니다. 플로우 경로는 플로우 규격 NLRI로 캡슐화되어 네트워크 또는 VPN(Virtual Private Network)을 통해 전파되어 필터와 같은 정보를 공유합니다. 플로우 경로는 일치 조건을 집계하고 패킷에 대한 조치를 생성합니다. 방화벽 필터와 마찬가지로 트래픽 필터링 및 속도 제한 기능을 제공합니다. 유니캐스트 플로우 경로는 기본 인스턴스, VRF(VPN Routing and Forwarding) 인스턴스 및 가상 라우터 인스턴스에 대해 지원됩니다.

가져오기 및 내보내기 정책은 다른 BGP(Border Gateway Protocol) 적용하는 방식과 마찬가지로 수락되거나 광고되는 플로우 경로에 영향을 미치기 위해 가족 또는 BGP(Border Gateway Protocol) 적용할 inet flowinet-vpn flow 수 있습니다. 유일한 차이점은 플로우 정책 구성이 from statement을 포함해야 하다는 rib inetflow.0 것입니다. 이 명령문은 정책을 플로우 경로에 적용합니다. 정책에 명령문과 명령문이 없는 경우 then rejectthen accept 예외가 from 발생합니다. 그런 다음, 정책은 IP 유니캐스트 및 IP 플로우를 비롯한 모든 경로에 영향을 미치게 된다.

플로우 경로 필터는 먼저 라우터에 정적으로 구성되어 일치 기준 집합이 뒤를 이은 조치가 뒤따르게 됩니다. 그런 다음, 이 BGP(Border Gateway Protocol) 장치와 피어 사이에 ( family inet unicastfamily inet flowfamily inet-vpn flow 또는) 를 구성합니다.

기본적으로 정적으로 구성된 플로우 경로(방화벽 필터)는 family inet flow nLRI 또는 NLRI를 지원하는 다른 BGP(Border Gateway Protocol) 활성화된 장비에 family inet-vpn flow 광고됩니다.

수신 BGP(Border Gateway Protocol) 지원 장비는 플로우 라우팅 테이블에 방화벽 필터를 설치하기 전에 검증 프로세스를 instance-name.inetflow.0 수행합니다. 검증 절차는 RFC 5575, Flow Specification Rules의 Dissemination에 설명되어 있습니다.

수신 BGP(Border Gateway Protocol) 기반 장비는 다음 기준을 통과할 경우 플로우 경로를 허용합니다.

  • 플로우 경로의 발원지는 경로에 내장된 대상 주소에 대해 최상의 일치 유니캐스트 경로의 발원지와 일치합니다.

  • 활성 경로가 다른 넥스트 홉 자율 시스템에서 수신된 플로우 경로의 대상 주소와 비교할 때 더 이상 특정 유니캐스트 경로는 없습니다.

첫 번째 기준은 플로우 경로에 내장된 대상 주소에 대해 유니캐스트 포우팅이 사용하는 넥스트 홉에 의해 필터가 광고되도록 합니다. 예를 들어, 플로우 경로가 10.1.1.1, proto=6, port=80으로 제공되면 수신 BGP(Border Gateway Protocol) 지원 디바이스는 대상 prefix 10.1.1.1/32와 일치하는 유니캐스트 라우팅 테이블에서 보다 구체적인 유니캐스트 경로를 선택합니다. 10.1/16 및 10.1.1/24를 포함하는 유니캐스트 라우팅 테이블에서 후자는 비교할 유니캐스트 경로로 선택됩니다. 활성 유니캐스트 경로 엔트리만 고려됩니다. 이는 최상의 유니캐스트 경로의 발신자에 의해 광고되는 경우 플로우 경로가 유효하다는 개념을 따르고 있습니다.

두 번째 기준은 주어진 주소 블록이 서로 다른 엔티티에 할당되는 상황을 해결합니다. 통합 경로인 최적의 유니캐스트 경로로 해결되는 플로우는 서로 다른 넥스트 홉 자율 시스템으로 라우팅되는 특정 경로를 지원하지 않는 경우만 허용됩니다.

NLRI 메시지를 사용하여 플로우 경로에 대한 검증 프로세스를 우회하고 BGP(Border Gateway Protocol) 가져오기 정책을 사용할 수 있습니다. BGP(Border Gateway Protocol) 규격 NLRI 메시지를 전달하는 경우, 계층 수준의 명령문은 정책에 의해 패킷을 수락한 후 플로우 경로 검증 절차를 no-validate[edit protocols bgp group group-name family inet flow] 생략합니다. 커뮤니티, Next-hop, AS 경로와 같은 대상 주소 및 경로 속성에 일치하도록 가져오기 정책을 구성할 수 있습니다. 패킷이 플로우 경로에서 구성한 조건과 일치하는 경우 취할 조치를 지정할 수 있습니다. 작업을 구성하기 위해 계층 수준에서 [edit routing-options flow] 명령문을 포함합니다. 플로우 규격 NLRI 유형에는 RFC 5575에 정의되어 있는 대상 Prefix, 소스 Prefix, 프로토콜 및 포트와 같은 구성 요소가 포함됩니다. 가져오기 정책은 플로우 규격 NLRI에서 경로 속성 및 대상 주소를 사용하여 인바운드 경로를 필터링할 수 있습니다. 가져오기 정책은 RFC 5575의 다른 컴포넌트를 필터링할 수 없습니다.

플로우 규격은 IPv4 유니캐스트 및 VPN 유니캐스트 필터링의 가장 일반적인 애플리케이션을 해결하기 위해 필요한 프로토콜 확장을 정의합니다. 동일한 메커니즘을 다시 사용하며 다른 BGP(Border Gateway Protocol) 주소(예: IPv6 유니캐스트)에 대한 유사한 필터링을 해결하기 위해 새로운 일치 기준을 추가할 수 있습니다.

플로우 경로가 테이블에 설치되면 커널의 방화벽 필터 목록에 inetflow.0 추가됩니다.

라우터에서만 플로우 규격 NLRI 메시지가 VPN에서 지원됩니다. VPN은 NLRI의 경로 대상 확장 커뮤니티를 가져오기 정책과 비교합니다. 일치하는 경우 VPN은 플로우 경로를 사용하여 패킷 트래픽을 필터링하고 속도 제한(rate-limit) 패킷 트래픽을 필터링할 수 있습니다. 수신된 플로우 경로는 플로우 라우팅 테이블에 instance-name.inetflow.0 설치됩니다. 플로우 경로는 VPN 네트워크 전반에 걸쳐 전파되고 VPN 간 공유될 수 있습니다. 다중protocol BGP(Border Gateway Protocol)(MP-BGP(Border Gateway Protocol))가 주소 패밀리에 대해 플로우 규격 NLRI를 전달하도록 지원하려면 계층 수준에서 명령문을 inet-vpnflow[edit protocols bgp group group-name family inet-vpn] 포함합니다. VPN 플로우 경로는 기본 인스턴스에만 지원됩니다. Family를 사용하여 구성된 플로우 경로는 자동으로 검증되지 않습니다. 따라서 명령문은 계층 수준에서 inet-vpnno-validate[edit protocols bgp group group-name family inet-vpn] 지원되지 않습니다. 플로우 경로가 단일 AS에 있는 장치 간에 로컬로 구성되는 경우 검증이 필요하지 않습니다.

가져오기 및 내보내기 정책은 다른 BGP(Border Gateway Protocol) 적용하는 방식과 마찬가지로 승인되거나 광고되는 플로우 경로에 영향을 미치기 때문에 또는 family inet flowfamily inet-vpn flow NLRI에 적용할 수 있습니다. 유일한 차이점은 플로우 정책 구성이 명령문을 포함해야 하다는 from rib inetflow.0 것입니다. 이 명령문은 정책을 플로우 경로에 적용합니다. 정책에 명령문과 명령문이 없는 경우 then rejectthen accept 예외가 from 발생합니다. 그런 다음, 정책은 IP 유니캐스트 및 IP 플로우를 비롯한 모든 경로에 영향을 미치게 된다.

다음 예제에서는 다음과 같은 내보내기 정책을 구성하는 방법을 보여줍니다.

  • 경로 필터에 의해 지정된 플로우 경로의 광고를 허용하는 정책 10.13/16 블록으로 커버되는 플로우 경로만이 광고됩니다. 이 정책은 유니캐스트 경로에는 영향을 미치지 않습니다.

  • 모든 유니캐스트 및 플로우 경로를 이웃에 광고할 수 있는 정책

  • 이웃에 모든 경로(유니캐스트 또는 플로우)를 광고하는 것을 금지하는 정책

토폴로지

구성

정적 플로우 경로 구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령어를 계층 수준에서 CLI [edit] 붙여넣습니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 정보는 CLI 사용자 가이드의 CLI Editor 사용 Junos OS CLI 참조하십시오.

네트워크 피어 BGP(Border Gateway Protocol) 구성:

  1. 일치 조건을 구성합니다.

  2. 작업을 구성합니다.

  3. (권장) 플로우 규격 알고리즘의 경우 표준 기반 용어 순서를 구성합니다.

    Flowspec RFC draft Version 6에 지정된 기본 용어 순서 지정 알고리즘에서는 보다 구체적인 일치 조건을 갖는 용어가 더 구체적인 매칭 조건을 갖는 용어가 항상 평가되기 전에 평가됩니다. 이는 평가되지 않는 보다 구체적인 매칭 조건을 가지게 됩니다. RFC 5575 버전 7은 덜 구체적 매칭 조건이 적용되기 전에 보다 구체적인 일치 조건을 평가할 수 있도록 알고리즘을 개정했습니다. 최신 알고리즘이 더 의미가 있는 경우에도 역행 호환성을 위해 기본 동작은 Junos OS 변경되지 않습니다. 새로운 알고리즘을 사용하려면 term-order standard 구성에 명령문을 포함해야 합니다. 이 명령문은 Junos OS Release 10.0 이상에서 지원됩니다.

결과

구성 모드에서 명령을 입력하여 구성을 show routing-options 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

경로 필터에 의해 지정된 광고 플로우 경로

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령어를 계층 수준에서 CLI [edit] 붙여넣습니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 정보는 CLI 사용자 가이드의 CLI Editor 사용 Junos OS CLI 참조하십시오.

네트워크 피어 BGP(Border Gateway Protocol) 구성:

  1. 네트워크 BGP(Border Gateway Protocol) 구성합니다.

  2. 플로우 정책을 구성합니다.

  3. 로컬 AS(Autonomous System) 번호를 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show protocolsshow policy-optionsshow routing-options 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

모든 유니캐스트 및 플로우 경로 광고

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령어를 계층 수준에서 CLI [edit] 붙여넣습니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 정보는 CLI 사용자 가이드의 CLI Editor 사용 Junos OS CLI 참조하십시오.

네트워크 피어 BGP(Border Gateway Protocol) 구성:

  1. 네트워크 BGP(Border Gateway Protocol) 구성합니다.

  2. 플로우 정책을 구성합니다.

  3. 로컬 AS(Autonomous System) 번호를 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show protocolsshow policy-optionsshow routing-options 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

유니캐스트 또는 플로우 경로 없음

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령어를 계층 수준에서 CLI [edit] 붙여넣습니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 정보는 CLI 사용자 가이드의 CLI Editor 사용 Junos OS CLI 참조하십시오.

네트워크 피어 BGP(Border Gateway Protocol) 구성:

  1. 네트워크 BGP(Border Gateway Protocol) 구성합니다.

  2. 플로우 정책을 구성합니다.

  3. 로컬 AS(Autonomous System) 번호를 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show protocolsshow policy-optionsshow routing-options 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

라우팅 테이블에 설치된 플로우 경로 수 제한

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령어를 계층 수준에서 CLI [edit] 붙여넣습니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 정보는 CLI 사용자 가이드의 CLI Editor 사용 Junos OS CLI 참조하십시오.

주:

라우트 제한을 적용하면 예측할 수 없는 동적 라우팅 프로토콜 동작이 나타날 수 있습니다. 예를 들어, 제한에 도달하고 루트가 거부되고 나면 BGP(Border Gateway Protocol) 루트 수가 제한 이하로 드롭된 후에 거부된 경로를 재설치하려고 시도하지 않을 수 있습니다. BGP(Border Gateway Protocol) 이 문제를 해결하기 위해 세션을 지워야 할 수 있습니다.

플로우 경로 제한:

  1. 테이블에 설치된 Prefix 수에 대한 inetflow.0 상한을 설정합니다.

  2. 임계값을 50% 설정하면 500개 루트가 설치되면 시스템 로그에 경고가 기록됩니다.

결과

구성 모드에서 명령을 입력하여 구성을 show routing-options 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

피어링 세션에서 수신되는 prefix BGP(Border Gateway Protocol) 제한

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령어를 계층 수준에서 CLI [edit] 붙여넣습니다.

주:

를 포함하거나 명령문 teardown <percentage>drop-excess <percentage>hide-excess<percentage> 옵션(statement option)을 동시에 포함할 수 있습니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 정보는 CLI 사용자 가이드의 CLI Editor 사용 Junos OS CLI 참조하십시오.

특정 이웃에 대한 Prefix 제한을 구성하면 플로우 경로 수를 알 수 있는 피어에 대해 보다 예측 가능한 제어가 가능합니다.

Prefix 수를 제한하는 경우:

  1. 이웃 10.12.99.2에서 BGP(Border Gateway Protocol) 1000개 경로 제한을 설정합니다.

  2. 세션 또는 Prefix가 그 한계에 도달하면 인접 세션 또는 prefix를 구성하여 명령문 옵션을 teardown <percentage>drop-excess <percentage>hide-excess<percentage> 실행합니다.

    명령문을 지정하고 비율을 지정하면 Prefix 수가 해당 비율에 도달하면 teardown <percentage> 메시지가 로깅됩니다. 세션이 다운된 후 명령문을 포함하지 않는 한 세션이 짧은 시간 내 idle-timeout 재지정됩니다.

    명령문을 지정하고 비율을 지정하면 Prefix 수가 해당 비율을 초과하면 초과 경로가 drop-excess <percentage> 삭제됩니다.

    명령문을 지정하고 비율을 지정하면 Prefix 수가 해당 비율을 초과하면 초과 hide-excess <percentage> 경로가 숨겨집니다.

결과

구성 모드에서 명령을 입력하여 구성을 show protocols 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

NLRI 검증

목적

이웃에 대한 NLRI 활성화를 확인합니다.

실행

작동 모드에서 명령을 show bgp neighbor 10.12.99.5 실행합니다. 출력을 inet-flow 찾아라.

경로 검증

목적

플로우 경로를 살펴보고, 샘플 출력에는 네트워크에서 학습된 플로우 경로와 BGP(Border Gateway Protocol) 구성된 플로우 경로가 표시되어 있습니다.

로컬로 구성된 플로우 경로(계층 수준에서 구성)의 경우, 경로는 플로우 프로토콜에 [edit routing-options flow] 의해 설치됩니다. 따라서 라우팅 인스턴스 이름의 테이블 또는 위치 를 지정하여 플로우 경로를 표시할 show route table inetflow.0show route table instance-name.inetflow.0instance-name 있습니다. 또는 명령을 실행하여 여러 라우팅 인스턴스에 로컬로 구성된 모든 플로우 경로를 표시할 수도 show route protocol flow 있습니다.

플로우 경로가 로컬 구성되지는 않지만 라우터의 BGP(Border Gateway Protocol) 피어에서 수신되는 경우 이 플로우 경로가 라우팅 테이블에 BGP(Border Gateway Protocol). 테이블을 지정하거나 실행하여 플로우 경로를 표시할 수 있으며BGP(Border Gateway Protocol) 경로(플로우 및 비 플로우)를 표시할 수 show route protocol bgp 있습니다.

실행

작동 모드에서 명령을 show route table inetflow.0 실행합니다.

의미

플로우 경로는 방화벽 필터의 용어입니다. 플로우 루트를 구성할 때 일치 조건과 작업을 지정합니다. 일치 속성에서 소스 주소, 대상 주소 및 포트 및 프로토콜과 같은 기타 인증을 일치할 수 있습니다. 다중 일치 조건을 포함하는 단일 플로우 경로의 경우 모든 일치 조건은 경로의 prefix 필드에 캡슐화됩니다. 플로우 경로에서 명령을 발행하면 경로의 prefix 필드가 모든 일치 조건과 함께 표시됩니다. 즉, 일치 조건이 show route10.12.44.1,*match destination 10.12.44.1/32 됩니다. 출력의 prefix가 있는 경우, 이는 일치 조건이 *,10.12.44.1 였다는 match source 10.12.44.1/32 의미입니다. 일치 조건에 소스와 대상이 모두 포함된 경우,sterisk는 주소로 대체됩니다.

용어 순서 번호는 방화벽 필터에서 평가되는 조건(플로우 경로)의 시퀀스를 나타냅니다. show route extensive명령어는 각 용어(라우팅)에 대한 작업을 표시합니다.

플로우 검증

목적

플로우 경로 정보를 표시합니다.

실행

작동 모드에서 명령을 show route flow validation detail 실행합니다.

방화벽 필터 검증

목적

커널에 설치된 방화벽 필터를 표시합니다.

실행

작동 모드에서 명령을 show firewall 실행합니다.

허용 플로우 경로 수를 초과하는 경우 시스템 로깅 검증

목적

에 설명된 바와 같이 설치된 플로우 경로 수에 대한 제한을 구성하는 경우 임계값에 도달하면 시스템 로그 메시지를 라우팅 테이블에 설치된 플로우 경로 수 제한 본다.

실행

작동 모드에서 명령을 show log <message> 실행합니다.

BGP(Border Gateway Protocol) 피어링 세션에서 수신된 Prefix 수를 초과하는 경우 시스템 로깅 확인

목적

에 설명된 바와 같이 설치된 플로우 경로 수에 대한 제한을 구성하는 경우 임계값에 도달하면 시스템 로그 메시지를 피어링 세션에서 수신되는 prefix BGP(Border Gateway Protocol) 제한 본다.

실행

작동 모드에서 명령을 show log message 실행합니다.

명령문 옵션을 teradown <percentage> 지정하면 다음을 지정할 수 있습니다.

명령문 옵션을 drop-excess <percentage> 지정하면 다음을 지정할 수 있습니다.

명령문 옵션을 hide-excess <percentage> 지정하면 다음을 지정할 수 있습니다.

예를 들면 다음과 같습니다. IPv6 BGP(Border Gateway Protocol) 전달하기 위한 구성

이 예에서는 트래픽 필터링을 위한 IPv6 플로우 사양을 구성하는 방법을 보여줍니다. BGP(Border Gateway Protocol) 플로우 규격은 트래픽 필터링 규칙의 도메인 간 및 도메인 내 조정을 자동화하는 데 사용하여 공격을 완화할 서비스 거부 수 있습니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 2개의 MX 시리즈 라우터

  • Junos OS Release 16.1 이상

IPv6 플로우 BGP(Border Gateway Protocol) 전달하려면 먼저 다음을 수행해야 합니다.

  1. 디바이스 인터페이스에서 IP 주소를 구성합니다.

  2. 구성 BGP(Border Gateway Protocol).

  3. 라우팅 테이블에서 경로(예: 정적 경로, 직접 경로 또는 IGP 경로)를 경로로 내보낼 수 있는 라우팅 BGP(Border Gateway Protocol).

개요

플로우 규격은 서비스 거부 공격을 차단하고 대역폭을 소모하는 불량 트래픽을 제한하고 근원 근처에서 차단합니다. 이전 버전의 Junos OS 플로우 규격 규칙은 IPv4를 네트워크 계층 연결성 BGP(Border Gateway Protocol) 정보로 전파되었습니다. Junos OS Release 16.1부터 시작하여 IPv6 패밀리에서 지원되는 플로우 사양 기능은 IPv6 및 IPv6 VPN에 대한 트래픽 플로우 사양 규칙을 전파할 수 있습니다.

토폴로지

그림 7 샘플 토폴로지가 표시됩니다. 라우터 R1과 라우터 R2는 서로 다른 자율 시스템에 속합니다. IPv6 플로우 사양은 Router R2에서 구성됩니다. 모든 수신 트래픽은 플로우 규격 조건에 따라 필터링되어 트래픽은 지정된 동작에 따라 다르게 처리됩니다. 이 예에서는 플로우 규격 조건과 일치하는 abcd:11:11:11:10/128로의 모든 트래픽을 폐기합니다. 반면 abcd:11:11:11:11:30/128로 예정된 트래픽과 플로우 규격 조건에 일치하는 것이 허용됩니다.

그림 7: IPv6 BGP(Border Gateway Protocol) 전달하기 위한 구성IPv6 BGP(Border Gateway Protocol) 전달하기 위한 구성

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

라우터 R1

라우터 R2

구성 라우터 R2

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 대한 자세한 내용은 CLI 사용자 가이드의 CLI 편집기사용 CLI 참조하십시오.

라우터 R2 구성:

주:

적절한 인터페이스 이름, 주소 및 기타 매개 변수를 수정한 후 라우터 R1에 대한 이 프로시저를 반복합니다.

  1. IPv6 주소로 인터페이스를 구성합니다.

  2. IPv6 루프백 주소를 구성합니다.

  3. 라우터 ID 및 AS(Autonomous System) 번호를 구성합니다.

  4. 라우터 R1과 라우터 R2 간에 EBGP 피어링 세션을 구성합니다.

  5. 정적 경로와 다음 홉을 구성합니다. 따라서 이 예에서 기능을 검증하기 위해 라우팅 테이블에 루트가 추가됩니다.

  6. 플로우 사양 조건을 지정합니다.

  7. 지정된 일치 조건에 일치하는 패킷을 discard 폐기하는 작업을 구성합니다.

  8. 플로우 사양 조건을 지정합니다.

  9. 지정된 일치 조건에 일치하는 패킷을 허용하는 작업을 accept 구성합니다.

  10. 정적 라우팅을 허용할 BGP(Border Gateway Protocol) 정책을 정의합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow protocolsshow routing-optionsshow policy-options 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

inet6flow 테이블에서 IPv6 플로우 사양 경로의 존재 확인

목적

라우터 R1 및 R2의 테이블에 경로를 표시하고 BGP(Border Gateway Protocol) 플로우 경로를 학습한지 inet6flow 확인합니다.

실행

작동 모드에서 라우터 show route table inet6flow.0 extensive R1에서 명령을 실행합니다.

작동 모드에서 라우터 show route table inet6flow.0 extensive R2에서 명령을 실행합니다.

의미

표에 경로 abcd:11:11:11:10/128 및 abcd:11:11:11:11:30/128이 존재하여 BGP(Border Gateway Protocol) 흐름 경로를 학습한 것을 확인할 수 inet6flow 있습니다.

요약 BGP(Border Gateway Protocol) 검증

목적

BGP(Border Gateway Protocol) 구성이 올바른지 확인합니다.

실행

작동 모드에서 라우터 show bgp summary R1 및 R2에서 명령을 실행합니다.

의미

테이블에 인접한 BGP(Border Gateway Protocol) 포함되고 피어링 세션이 BGP(Border Gateway Protocol) inet6.0 있는지 확인

플로우 검증

목적

플로우 경로 정보를 표시합니다.

실행

작동 모드에서 라우터 show route flow validation R1에서 명령을 실행합니다.

의미

출력은 테이블의 플로우 경로를 inet6.0 표시합니다.

IPv6 경로의 플로우 사양 검증

목적

지정된 플로우 사양 경로를 기반으로 폐기 및 승인된 패킷 수를 표시합니다.

실행

작동 모드에서 라우터 show firewall filter_flowspec_default_inet6_ R2에서 명령을 실행합니다.

의미

출력은 abcd:11:11:11:10/128로 전달되는 패킷이 폐기되고 경로 abcd:11:11:11:11:11:30/128에 대해 88826 패킷이 허용된 것으로 나타났습니다.

플로우 BGP(Border Gateway Protocol) 작업 IP로 리디렉션하여 DDoS 트래픽 필터링

Junos OS Release 18.4R1, BGP(Border Gateway Protocol) Flow-Spec 인터넷 draft-ietf-idr-flowspec-redirect-ip-02.txt에 설명된 바와 같이 BGP(Border Gateway Protocol) BGP(Border Gateway Protocol) Flow 규격이 지원됩니다. IP 작업 리디렉션은 확장된 BGP(Border Gateway Protocol) 커뮤니티를 사용하여 서비스 제공업체 네트워크에서 DDoS 완화를 위한 트래픽 필터링 옵션을 제공합니다. IP로의 레거시 플로우 사양 리디렉션은 BGP(Border Gateway Protocol) 특성을 사용한다. Junos OS 커뮤니티를 사용하여 IP 플로우 규격 조치로 리디렉션하는 것을 광고합니다. 이 기능은 vSCG(Virtual Service Control Gateway)에서 서비스 체인을 지원하기 위해 필요합니다. IP 작업으로 리디렉션하면 매칭 플로우 사양 트래픽을 전 세계적으로 연결 가능한 주소로 전환할 수 있으며, 필터링 장비는 DDoS 트래픽을 필터링하고 egress 장비로 클린 트래픽을 전송할 수 있습니다.

플로우 사양 경로를 위해 IP로 트래픽을 재지정하기 BGP(Border Gateway Protocol) 다음을 합니다.

  1. 디바이스 인터페이스를 구성합니다.

  2. 모든 최단 경로 우선(OSPF) 또는 기타 모든 IGP 구성합니다.

  3. 구성 MPLS 및 LDP를 구성합니다.

  4. 구성 BGP(Border Gateway Protocol).

확장 커뮤니티를 사용하여 IP 기능으로 BGP(Border Gateway Protocol) 구성합니다.

  1. BGP(Border Gateway Protocol) Flow-Spec 인터넷 초안 draft-ietf-idr-flowspec-redirect-ip-02.txt, IP 작업 리디렉션에 대해 정적 IPv4 플로우 사양 경로에 대한 IP 작업 리디렉션을 구성합니다.

    Junos OS 확장 커뮤니티를 사용해 IP 플로우 규격 조치로 리디렉션하는 것을 기본적으로 광고합니다. 수신 디바이스는 DDoS 트래픽을 감지하여 지정된 IP 주소로 전송합니다.

    예를 들어 DDoS 트래픽을 IPv4 주소 10.1.1.1로 리디렉션합니다.

  2. 정적 IPv6 플로우 사양 경로에 대한 IP 작업으로 리디렉션을 구성합니다.

    예를 들어, DDoS 트래픽을 IPv6 주소 1002:db8::

  3. 특정 네트워크 커뮤니티의 트래픽을 필터링하는 BGP(Border Gateway Protocol) 정의합니다.

    예를 들어, 커뮤니티 재지정에서 트래픽을 필터링하는 BGP(Border Gateway Protocol) p1을 정의합니다.

  4. 커뮤니티를 설정, 추가 또는 삭제하고 BGP(Border Gateway Protocol) 커뮤니티를 지정하는 정책을 정의합니다.

    예를 들어 커뮤니티 재지정, 확장 커뮤니티의 설정, 추가 또는 삭제를 위한 정책 p1을 정의하여 IP 주소 10.1.1.1로 트래픽을 재지정합니다.

  5. VRF.inet.BGP(Border Gateway Protocol) 테이블을 사용하여 VRF 플로우 사양 경로에 계층 수준에서 명령문을 포함하도록 구성합니다.

넥스톰 속성을 사용하여 레거시 플로우 사양을 IP 기능으로 리디렉션합니다.

주:

확장 커뮤니티와 넥넥트 홉 IP 주소로의 레거시 리디렉션을 BGP(Border Gateway Protocol) IP 주소로 트래픽을 재지정하도록 정책을 구성할 수 없습니다.

  1. 인터넷 draft-ietf-idr-flowspec-redirect-ip-00.txt , BGP(Border Gateway Protocol) Flow-Spec Extended Community for Traffic Next Hop에 대한 IP Next Hop은 계층 수준에서 포함되어 있습니다.

  2. 다음 홉 속성에 일치하는 정책을 정의합니다.

    예를 들어 다음 홉 IP 주소 10.1.1.1로 트래픽을 리디렉션하는 정책 p1을 정의합니다.

  3. 레거시 플로우 사양 다음 홉 속성을 BGP(Border Gateway Protocol) IP 작업으로 리디렉션하여 애플리케이션 커뮤니티를 설정, 추가 또는 삭제하는 정책을 정의합니다.

    예를 들어, 정책 p1을 정의하고 BGP(Border Gateway Protocol) 커뮤니티 재지정을 통해 DDoS 트래픽을 다음 홉 IP 주소 10.1.1.1로 리디렉션합니다.

출시 내역 표
릴리스
설명
20.3R1
CRPD Release 20.3R1 플로우 사양을 통해 전파되는 플로우 경로 및 정책 규칙은 BGP(Border Gateway Protocol) 환경에서 Linux Netfilter 프레임워크를 통해 Linux 커널로 cRPD 있습니다.
17.2R1
Junos OS Release 17.2R1 시작하여 BGP(Border Gateway Protocol) 제 3세대FPC를 설치한 PTX1000 라우터에서 플로우 규격 NLRI(Network Layer Reachability Information) 메시지를 전달할 수 있습니다.
17.1R1
릴리스부터 Junos OS 릴리스 17.1R1 BGP(Border Gateway Protocol) 제 PTX5000 3세대 FPC(FPC3-PTX-U2 및 FPC3-PTX-U3)를 설치하고 FPC3-SFF-PTX-U0 및 FPC3-SFF-PTX-U1을 설치한 PTX 시리즈 라우터에서 플로우 사양의 NLRI(network layer reachability information) 메시지를 PTX3000.
16.1R4
릴리스 Junos OS 릴리스 16.1R4 범위는 [0 ~ 1000000000]입니다.
16.1
Junos OS Release 16.1부터 IPv6 지원이 IPv6 및 VPN-IPv6 패킷에 대한 트래픽 플로우 규격 규칙을 BGP(Border Gateway Protocol) 플로우 규격으로 확장됩니다.
16.1
Junos OS Release 16.1R1, BGP(Border Gateway Protocol) 트래픽 마킹 필터링 조치를 extended-community 지원한다.
16.1
릴리스 16.1에 Junos OS 필터를 특정 인터페이스에서 수신된 트래픽에 적용하지 않는 flowspec 옵션이 있습니다.
15.1
Junos OS Release 15.1부터 기존 inet-flow 및 inetvpn-flow 패밀리에 대한 무중단 활성 라우팅(NSR) 지원을 확장하고 draft-ietf-idr-bgp-flowspec-oid-01당 BGP(Border Gateway Protocol) flowspec에 대한 경로 검증을 확장하기 위해 변경이 구현됩니다.