패킷 변환 및 GRE 터널링
패킷 변환 및 GRE 터널링 개요
MX 라우터를 엔터프라이즈 에지 라우터로 구축하면 퍼블릭 클라우드 컴퓨팅 플랫폼의 일부가 됩니다. 엔터프라이즈 에지 라우터는 고객 VPN에서 수신된 IPv4 트래픽을 Route Gateway 노드로 터널링합니다. 경로 게이트웨이는 IPv4에서 IPv6로의 변환을 수행하고 변환된 패킷을 PaaS(Platform-as-a-Service) 서버로 보냅니다. PaaS는 클라우드에서 완벽하게 개발 및 구축되는 환경으로, 기업이 단순한 클라우드 기반 애플리케이션부터 정교한 클라우드 지원 엔터프라이즈 애플리케이션에 이르기까지 다양한 애플리케이션을 제공할 수 있도록 지원하는 리소스를 갖추고 있습니다.
Junos OS 릴리스 21.2R1부터 PaaS 서비스를 위한 고객 네트워크 업그레이드의 일환으로 엔터프라이즈 에지 라우터(MX 라우터)에 대한 개선을 지원합니다. JET API를 통해 변환된 패킷의 변환(IPv4에서 IPv6로, IPv6에서 IPv4로) 및 GRE 터널링을 사용하도록 에지 라우터를 구성할 수 있습니다. 이제 에지 라우터는 데이터 센터 게이트웨이를 우회하여 PaaS(Platform as a Service)로 제공되는 Private Link 서비스에 대한 액세스를 제공합니다.
JET API와 상호 작용하도록 게이트웨이 디바이스를 준비하는 방법에 대한 자세한 내용은 JET API 가이드를 참조하세요.
엔터프라이즈 에지 라우터에 의한 패킷 변환 및 GRE 터널링의 이점
- 데이터센터 게이트웨이 우회
- 캡슐화 및 캡슐화 해제와 관련된 비대칭 터널링
- 분리된 변환 및 터널 캡슐화를 통해 고객은 향후 최소한의 소프트웨어 변경으로 다른 캡슐화를 선택할 수 있으며 전달 경로를 별도로 조사할 수도 있습니다
캡슐화 프로세스(에지 라우터-PaaS 서버)
그림 1은 에지 라우터에서 PaaS 서버로의 패킷 플로우를 보여줍니다.
IPv4 패킷은 PRPD API를 통해 컨트롤러가 대상 IPv4 접두사별로 정의한 변환 규칙에 따라 IPv6(IPv4 헤더가 새 IPv6 헤더로 대체됨)로 변환됩니다. 고객 VRF inet 테이블은 변환을 위해 IPv4 대상으로 조회됩니다.
GRE 터널 캡슐화 프로파일은 PRPD API를 통해 컨트롤러에 의해 변환된 IPv6 패킷에 대해 정의됩니다. 변환된 IPv6 목적지는 터널 캡슐화를 위해 고객 VRF inet6 테이블에서 조회됩니다. 여러 접두사가 동일한 터널을 사용할 수 있습니다.
GRE 터널 캡슐화 후 외부 IP 터널 대상은 다음 홉 L2 캡슐화를 위해 마스터 인스턴스 inet.0 테이블에서 조회됩니다. .
이 프로세스는 다음 섹션에 자세히 설명되어 있습니다.
프로필 이해 및 프로필 분리
에지 라우터는 변환 프로파일에 정의된 매개 변수를 기반으로 패킷을 변환합니다. 매개 변수에는 변환 유형(IPv4에서 IPv6으로 또는 IPv6에서 IPv4로), 알고리즘 유형, 접두사 및 기타 관련 정보가 포함됩니다.
패킷은 터널 캡슐화 프로파일에 정의된 매개 변수에 따라 캡슐화됩니다.
프로필의 분리를 구현하기 위해 데이터 컨트롤러는 변환 및 터널 캡슐화를 위해 두 개의 개별 경로를 추가합니다.
- IPv4 RouteAdd() 또는 RouteUpdate()는 VRF inet 테이블의 대상 경로를 translate 작업으로 프로그래밍합니다.
- IPv6 RouteAdd() 또는 RouteUpdate()는 GRE 캡슐화(외부 IPv4 터널 헤더 및 GRE 헤더)로 작업을 사용하여 VRF inet6 테이블에서 변환된 IPv6 경로를 프로그래밍합니다
포워딩 경로 이해
에지 라우터는 IPv4 패킷당 세 가지 경로 조회를 수행합니다.
-
VRF inet 테이블의 경로 조회 - IPv4 헤더가 IPv6 헤더로 변환됩니다. 컨트롤러가 IPv4 경로를 추가합니다.
-
VRF inet6 테이블의 경로 조회 - 내부 IPv6 헤더 위에 GRE 및 터널 IPv4 헤더를 추가하는 터널 캡슐화 프로파일을 얻기 위해 변환된 IPv6 대상 주소를 조회합니다. 컨트롤러가 IPv6 경로를 추가합니다.
-
마스터 인스턴스에서 경로 조회 - 터널 패킷을 터널 대상으로 라우팅하기 위해 마스터 인스턴스 inet 테이블이 조회됩니다. IGP가 경로를 추가합니다.
IPv4에서 IPv6으로 변환
번역 세부 사항은 다음과 같습니다.
-
IPv4가 단편화되거나 IP 옵션이 있는 경우 삭제됩니다.
-
패킷 유형이 IPv4에서 IPv6으로 변경됩니다.
-
ToS/DSCP 필드가 복사됩니다.
-
IPv6 Hop Limit(IPv6 홉 제한)는 IPv4 TTL로 설정됩니다.
-
페이로드 프로토콜이 복사됩니다(오류/불일치 검사 없이).
-
IPv6 패킷 대상 주소는 TranslationDestinationIPv6으로 설정됩니다.
-
IPv6 패킷 원본 주소의 가장 중요한 96비트가 TranslationSourceIPv6Prefix로 설정됩니다.
-
IPv6 패킷 소스 주소의 최하위 비트 32개가 원래 패킷 IPv4 주소로 설정됩니다.
변환된 IPv6 패킷은 그림 2와 같이 설명되어 있습니다
GRE 캡슐화
컨트롤러는 PRPD API를 통해 변환된 IPv6 대상에 대한 GRE 터널 캡슐화 프로파일을 정의합니다. 에지 라우터는 터널 캡슐화를 위해 고객 VRF inet6 테이블에서 변환된 IPv6 대상을 찾습니다. 자세한 내용은 다음과 같습니다.
-
외부 GRE IPv4 터널 헤더가 추가됨
-
GRE 키는 사용자가 구성할 수 있는 GREKey로 설정됩니다.
-
IPv4 대상이 TunnelDestinationIPv4로 설정되어 있습니다.
-
IPv4 소스가 TunnelSourceIPv4로 설정됨
-
참고:
터널 캡슐화 프로파일의 수는 변환 규칙의 수보다 작거나 같을 수 있습니다. 기본적으로 여러 최종 고객 VRF에서 단일 GRE 터널을 공유할 수 있습니다. PFE에는 동일한 프로필 매개 변수를 사용하므로 동일한 터널 넥스트 홉을 사용하는 많은 GRE 캡슐화 경로가 있을 수 있습니다. 그러나 많은 변환 경로가 동일한 GRE 경로를 사용하지 않을 수 있습니다.
캡슐화 후 에지 라우터의 패킷 형식은 그림 3과 같습니다
후의 패킷 형식
캡슐화 해제 프로세스(PaaS 서버에서 에지 라우터로)
PaaS 서버에서 에지 라우터로의 패킷 플로우에는 그림 4와 같이 GRE 캡슐화 해제 및 역변환이 포함됩니다.
PaaS 서버에서 수신된 GRE는 IPv6 패킷을 캡슐화하고 터널 종료 조회를 거치며, 이 조회는 GRE 또는 IPv4 헤더의 캡슐화를 해제하고 역변환에 대한 후속 조회가 발생하는 VRF를 가리킵니다. 컨트롤러가 대상 IPv6 접두사별로 정의한 변환 규칙에 따라 IPv6 페이로드가 변환됩니다(IPv6 헤더가 IPv4로 대체됨). 역변환 후, 최종 고객 VRF inet 테이블에서 변환된 주소를 조회하여 최종 고객 네트워크를 향한 L2 캡슐화를 얻습니다.
프로필 이해 및 프로필 분리
캡슐화 해제 프로파일과 역변환 프로파일의 분리는 필수적입니다. 컨트롤러는 별도의 GRPC 호출을 통해 역변환 및 터널 캡슐화 해제를 위한 두 개의 개별 경로를 추가합니다.
-
FlexibleTunnelAdd()는 전역 변환 VRF를 가리키도록 터널 종료를 프로그래밍합니다.
- IPv6 RouteAdd() 또는 RouteUpdate()는 글로벌 변환 VRF의 VRF inet6 테이블에 있는 내부 대상 IPv6 경로를 역변환으로 프로그래밍하고 VRF를 최종 고객 VRF로 대상으로 지정합니다.
-
변환된 IPv4 주소에 대한 최종 고객 VRF inet 경로는 BGP 프로토콜에 의해 프로그래밍됩니다.
포워딩 경로 이해
PaaS 서버에서 수신된 GRE 캡슐화된 IPv6 패킷은 GRE 또는 IPv4 헤더의 캡슐화를 해제하고 역변환에 대한 후속 조회가 발생하는 VRF를 가리키는 터널 종료 조회를 거칩니다.
-
GRE 터널 종료 조회 및 터널 캡슐화 해제
-
캡슐화 해제 속성은 조회 키 GRE 키, 터널 대상 IPv4 주소, 터널 소스 IPv4 접두사를 형성합니다.
-
터널 종료 조회는 고객 VPN 인스턴스를 식별하고 터널 헤더(외부 IPv4 헤더 및 GRE 헤더)를 제거합니다.
-
PaaS 서버에서 수신된 GRE 헤더에는 키 비트 집합과 32비트 GRE 키 값이 있습니다. 전달 조회에는 다른 조회 키와 함께 GRE 키가 포함됩니다.
-
패킷은 글로벌 변환 VRF인 대상 VRF로 전달됩니다.
-
-
역변환 및 최종 고객 VRF 식별
-
터널 캡슐화 해제 후에는 트래픽을 최종 고객 VRF로 라우팅해야 합니다. 이 라우팅은 고객이 IPv6 변환 경로를 보유하기 위해 생성하는 라우팅 인스턴스인 글로벌 변환 VRF의 InnerDestinationIPv6 주소에 대한 변환 경로 조회를 사용하여 수행됩니다.
InnerDestinationIPv6 주소를 차별화 요소로 사용하여 최종 고객 VRF를 식별할 수 있습니다.
-
변환 경로(InnerDestinationIPv6) 조회에서 역방향 변환 프로파일은 IPv6 헤더를 IPv4 헤더로 변환하고 최종 고객 VRF를 가리킵니다. IPv6 주소의 하위 32비트는 변환된 IPv4 주소를 형성합니다.
-
-
최종 고객 VRF inet 테이블의 경로 조회
-
변환된 IPv4 주소는 패킷을 고객 네트워크로 라우팅하기 위해 VRF inet 테이블에서 조회됩니다.
-
InnerIPv6Src 주소 이해
FlexibleTunnelAdd API는 선택적 매개 변수인 InnerSourceIPv6 필드도 지원합니다. 이 선택적 매개 변수를 사용하여 GRE 터널을 종료하고 고객 VRF를 식별하기 위한 InnerSourceIPv6 주소를 포함할 수 있습니다.
InnerSourceIPv6 주소가 차별화 요소로 사용되는 경우 FlexibleTunnelAdd API에서 최종 고객 VRF를 대상 VRF로 전달하여 최종 고객 VRF를 가리키도록 터널 종료 조회를 구성할 수 있습니다. 이 경우 변환 경로(InnerDestinationIPv6)는 각 최종 고객 VRF 테이블에 프로그래밍될 수 있습니다. 그러나 선택 사항인 InnerSourceIPv6를 사용하도록 설정해도 글로벌 변환 VRF와 함께 캡슐화 해제 흐름을 사용하는 것이 제한되지는 않습니다.
를 사용한 캡슐화 해제
GRE 캡슐화 해제
GRE 캡슐화 해제 프로세스에는 다음 단계가 포함됩니다.
-
터널 조회 및 TargetVRF 인스턴스는 앞에서 정의한 조회 키를 사용하여 결정됩니다.
-
외부 GRE 헤더는 폐기됩니다.
IPv6에서 IPv4로 변환
번역 세부 사항은 다음과 같이 설명됩니다.
-
내부 패킷 유형이 IPv6에서 IPv4로 변경됩니다. 내부 패킷 유형이 IPv6이 아닌 경우 패킷이 삭제되고 오류 카운터가 증가합니다.
-
페이로드 프로토콜 필드는 오류 또는 불일치 검사 없이 복사됩니다.
-
TC 필드가 DSCP 필드에 복사됩니다.
-
IPv4 TTL이 내부 IPv6 홉 제한으로 설정됨
- 패킷의 IPv4 대상 주소는 내부 IPv6 대상 주소의 최하위 비트 32개에서 파생됩니다.
-
패킷의 IPv4 소스 주소는 내부 IPv6 소스 주소의 최하위 비트 32개에서 파생됩니다.
에지 라우터에서 수신되는 패킷의 구조는 그림 7과 같습니다.
