일반적인 GBP 사용 사례

대규모 캠퍼스 네트워크는 일반적으로 액세스 레이어, 배포 레이어로 구성된 IP Clos 패브릭으로 구성되며, 대규모 구축의 경우 개별 코어 레이어로 구성됩니다. 이러한 배열을 통해 최종 사용자 디바이스 간의 고확장, 비차단 연결이 가능합니다. EVPN-VXLAN과 같은 오버레이 기술과 함께 사용하면 과도한 브로드캐스트와 플러딩을 제한하면서 물리적 위치에 대한 제약 없이 캠퍼스 전체에 레이어 2 연결을 확장할 수 있습니다.

EVPN-VXLAN은 물리적(언더레이) 토폴로지에서 가상(오버레이) 토폴로지를 분리하여 네트워크에 확장성과 유연성을 제공합니다. 이는 운영 오버헤드와 구축 시간을 줄이고 이식성을 향상합니다. IP Clos 패브릭은 물리적 애니 투 애니 연결을 제공하는 반면 EVPN-VXLAN 네트워크는 최종 사용자 장비 간의 가상 연결을 제어합니다. 보다 구체적으로 말하자면, 마이크로세그먼테이션의 맥락에서 EVPN-VXLAN을 사용하면 그룹 기반 정책(GBP)을 확장하여 전체 캠퍼스 네트워크에 걸쳐 마이크로세그먼테이션을 제공할 수 있습니다.

액세스 스위치는 VXLAN 터널 엔드포인트(VTEP) 역할을 합니다. 수신 시 액세스 링크의 패킷은 VXLAN에 캡슐화되어 적절한 터널을 통해 전달됩니다. 송신 시 VTEP에서 나가는 패킷의 캡슐화가 해제되어 액세스 링크로 전송됩니다.

VTEP의 본거지인 액세스 스위치는 GBP를 사용한 마이크로세그먼테이션을 지원하기에 완벽한 위치에 있습니다. 액세스 스위치는 GBP 태그를 획득하기 위해 수신 패킷을 분류하고 적절한 터널을 통해 VXLAN 캡슐화 프레임을 전달하기 전에 이 태그를 VXLAN 헤더에 삽입합니다. 터널의 원격 끝에 있는 액세스 스위치는 VXLAN 캡슐화 프레임의 캡슐화를 해제하고 태그를 추출합니다. 그러면 원격 액세스 스위치가 로컬 및 원격 태그를 사용하여 정책을 시행할 수 있습니다.

이는 그림 1에 나와 있습니다.

이러한 유형의 아키텍처는 대규모 캠퍼스 사이트에 이상적입니다. 모든 정책 시행을 액세스 스위치에 위임함으로써 계층 2/계층 3 세그먼테이션을 대규모로 지원할 수 있습니다. 확장성이 뛰어난 EVPN-VXLAN 인프라에서 모든 기능을 갖춘 GBP 마이크로세그먼테이션 솔루션의 이점을 누릴 수 있습니다.

CLI 또는 RADIUS 인증 중 하나를 사용하여 태그 할당을 구성할 수 있지만 대규모 네트워크에서는 RADIUS 인증을 사용하는 것이 선호되는 접근 방식입니다. RADIUS를 사용하면 CLI에서처럼 클라이언트 네트워킹 구성에 대한 사전 지식이 필요하지 않습니다. 각 클라이언트에 원하는 GBP 태그를 제공하도록 RADIUS 서버를 구성하기만 하면 됩니다. 태그는 인증의 일부로 VSA를 지원하는 모든 RADIUS 서버와 호환되는 특별한 VSA(Vendor-Specific Attribute)로 전달됩니다. GBP 구성에 사용되는 VSA에 대한 자세한 내용은 RADIUS를 사용하여 GBP 태그 할당을 참조하십시오.

RADIUS를 사용하여 태그를 할당할 때 고려해야 할 두 가지 상황이 있습니다.

• 클라이언트 디바이스가 액세스 스위치에 직접 연결됩니다. 이 상황에서 액세스 스위치는 인증자 역할을 하며 인증 서버와 주고받는 RADIUS 메시지를 처리합니다. 따라서 액세스 스위치는 인증 서버의 응답에서 할당된 GBP 태그를 추출하고 스위치에서 로컬로 자동 구성할 수 있습니다.

• 클라이언트 디바이스가 AP(무선 액세스 포인트)에 연결됩니다. 그런 다음 무선 AP가 액세스 스위치에 연결됩니다. 이 상황에서는 액세스 스위치에 직접 연결된 클라이언트 디바이스인 것처럼 AP를 인증할 수 있습니다. 그러나 이것은 AP 수준에서만 인증(및 GBP 태그 할당)을 제공하므로 AP의 모든 무선 클라이언트가 인증되고 함께 그룹화됩니다.

  클라이언트 수준까지 세분성을 제공하려면 클라이언트 수준에서 인증을 수행하고 GBP 태그를 할당해야 합니다. 이를 위해서는 무선 AP가 액세스 스위치가 아닌 인증자 역할을 해야 합니다. 인증자로서 무선 AP는 각 클라이언트에 할당된 GBP 태그에 대한 지식을 가지고 있지만 이 태그를 업스트림 액세스 스위치로 전달하는 방법이 필요합니다.

  Junos OS 릴리스 25.4R1부터 무선 액세스 포인트가 Mist AP인 경우 Mist AP는 전용 메시징을 사용하여 할당된 GBP 태그를 업스트림 액세스 스위치로 전달할 수 있습니다. 이 알림을 받으면 액세스 스위치는 할당된 태그가 로컬에서 구성되거나 학습된 것처럼 구성합니다. 이 시나리오에 대한 자세한 내용은 통합 액세스 정책을 참조하십시오.

브랜치 또는 소규모 캠퍼스 환경에는 전체 EVPN-VXLAN 구현을 실행할 수 있는 인프라가 없을 수 있습니다. 네트워크는 단순히 레이어 2 스위치 집합에서 실행되는 VLAN으로 구성될 수 있습니다. 다행히도, 그렇다고 해서 주니퍼의 GBP 솔루션을 사용하여 네트워크를 세그멘테이션하는 것을 방해하지는 않습니다. Junos OS 릴리스 25.4R1부터 주니퍼의 GBP 솔루션은 이러한 유형의 순수 레이어 2 환경에서 작동할 수 있습니다(일부 제한 있음).

그림 2 는 WAN 라우터를 통해 외부 네트워크에 연결된 레이어 2 액세스 스위치를 보여줍니다. 레이어 2 필드를 기반으로 GBP 태그를 할당하도록 액세스 스위치를 구성합니다. VXLAN 캡슐화 또는 EVPN 신호가 없기 때문에 할당된 GBP 태그는 네트워크를 통해 전파되지 않습니다. 따라서 정책 시행은 수신 시 로컬에서 사용 가능한 레이어 2 및 레이어 3 정보를 사용하여 순전히 이루어집니다.

이러한 제약에도 불구하고 GBP를 사용하여 이와 같은 소규모 네트워크에서 트래픽을 분할할 수 있는 기능은 전체 GBP 솔루션이 제공하는 것과 동일한 많은 이점, 즉 운영 단순성, 일관된 정책 적용, 높은 확장성을 제공합니다.

대규모 캠퍼스 네트워크의 GBP와 마찬가지로 CLI 또는 RADIUS 인증을 사용하여 태그 할당을 구성합니다.

참고:

이 사용 사례에 대해 CLI를 사용하여 구성할 수 있는 GBP 마이크로세그먼테이션 필터에는 제한이 있습니다. 자세한 내용은 GBP Pure L2 프로필 사용을 참조하십시오.

RADIUS 인증 사용 시 동작은 대규모 캠퍼스 네트워크와 동일합니다.

• 액세스 스위치는 유선 사용자의 인증자 역할을 하며 유선 사용자가 인증되면 태그 할당을 자동으로 구성합니다.

• Mist AP는 무선 사용자의 인증자 역할을 하며 독점 메시징을 사용하여 액세스 스위치에 태그 할당을 알립니다. 이 알림을 받으면 액세스 스위치는 태그 할당을 MAC 주소 테이블 및 내부 데이터 구조에 구성합니다.

브랜치 및 소규모 캠퍼스 네트워크에 GBP를 구축하는 방법에 대한 자세한 내용은 통합 액세스 정책을 참조하십시오.