BGP 레이어 3 VPN over IP-IP 터널 개요

기존 VPN 서비스는 MPLS의 레이블 기반 포워딩 기술을 사용합니다. 일부 네트워크는 MPLS 네트워크에서 IP 패브릭 코어 네트워크로 전환될 수 있습니다. VPN 레이블은 IP 패브릭 코어 네트워크에서 지원되지 않습니다.

송신 PE에서 VRF를 식별하기 위해 VPN 레이블이 필요하지 않은 새로운 전송 서비스를 생성하기 위해 IP-IP(IP over IP) 터널을 통한 BGP 레이어 3 VPN에 대한 지원을 도입했습니다. 이 오퍼는 IP-IP 네트워크를 통해 RD 및 경로 대상과 함께 동일한 인프라와 동일한 BGP 토폴로지를 사용하여 다양한 유형의 트래픽을 전달합니다. IP-IP 터널은 서비스 레이어 VRF로 종료되므로 서비스 레이블을 사용할 필요가 없습니다. 이 기능을 사용하면 새로운 VRF와 기존 VRF 간의 상호 운용성이 가능하므로 두 가지 유형의 오버레이가 네트워크에서 공존할 수 있습니다. 이 기능을 사용하여 MPLS 네트워크에서 IP 패브릭 코어 네트워크로 전환하고 DDoS(분산 서비스 거부) 공격으로부터 네트워크를 보호할 수 있습니다.

그림 1에서 PE1은 기존 터널과 새로운 유형의 터널을 모두 지원하는 송신 PE이므로 L3VPN 경로에 이 두 가지 유형의 터널을 모두 보급합니다. PE2는 새로운 유형의 터널을 사용하여 CE1에 도달하는 수신 PE이며, PE3은 기존 터널을 사용하여 CE1에 도달하는 수신 PE입니다. 트래픽을 전달하기 위해 IP-IP 터널을 선택한 경우 애플리케이션 서비스 레이블이 무시되고 방화벽 필터를 사용하여 트래픽을 역다중화합니다. IPv4/IPv6 트래픽이 캡슐화 해제되는 동안 L3VPN 트래픽은 캡슐화 해제된 다음 VRF에서 경로 조회를 수행하고 inet.0/inet6.0 테이블에서 경로 조회를 수행합니다.

위협 완화 시스템 접두사는 BGP inetvpn 또는 inet6vpn 유니캐스트 업데이트를 통해 교환됩니다. 이러한 BGP 업데이트는 터널 캡슐화 속성을 전달합니다. BGP L3VPN은 위협 완화 접두사를 인터넷 경로와 분리하고 인터넷 경로의 최적 경로 선택에 영향을 미치지 않으므로 라우팅 루프를 형성할 가능성을 최소화합니다. Junos OS 20.3R1 이상 릴리스에서는 터널 속성에 따라 VPN over MPLS 전송을 사용하거나 IP 터널을 통해 IP로 전환하도록 선택할 수 있습니다. 수신기 라우터가 Junos OS 20.2 또는 이전 릴리스에서 실행되는 경우 경로 속성은 무시되고 기존 MPLS 전송 서비스를 사용합니다.

IP-IP 터널을 통해 VPN을 사용하려면 터널 속성을 구성해야 합니다. 경로가 VRF 테이블에서 직접 보급되는 경우 BGP 또는 VRF 내보내기 정책을 사용하여 터널 속성을 연결할 수 있습니다. advertise-from-main-vpn-tables 문이 활성화되거나 디바이스가 경로 리플렉터 또는 AS 경계 라우터 역할을 하는 경우, BGP에서 BGP 내보내기 정책을 사용하여 터널 속성을 연결해야 합니다.

신뢰할 수 있는 BGP 피어에서 tunnel-attribute를 활성화하기 위해 터널 속성을 사용하여 동적 터널을 프로그래밍하도록 수신기를 구성할 수 있습니다. 경로 리플렉터는 구성되지 않은 경우에도 터널 속성이 있는 경로를 반영할 수 있습니다.