이 페이지의 내용
멀티캐스트 터널 인터페이스를 통한 유니캐스트 패킷 필터링
유니캐스트 터널 구성
유니캐스트 터널을 구성하려면 인터페이스(GRE 캡슐화 사용) 또는 ip- 인터페이스(IP-IP 캡슐화 사용)를 구성하고 gr- 및 family 문을 포함합니다tunnel.
gr-fpc/pic/port or ip-fpc/pic/port {
unit logical-unit-number {
copy-tos-to-outer-ip-header;
reassemble-packets;
tunnel {
allow-fragmentation;
destination destination-address;
do-not-fragment;
key number;
routing-instance {
destination routing-instance-name;
}
source address;
ttl number;
}
family family {
address address {
destination address;
}
}
}
}
이러한 명령문은 다음과 같은 계층 수준에서 구성할 수 있습니다.
[edit interfaces][edit logical-systems logical-system-name interfaces]
각 GRE 또는 IP-IP 인터페이스에 대해 여러 논리적 단위를 구성할 수 있으며 단위당 하나의 터널만 구성할 수 있습니다.
M 시리즈 및 T 시리즈 라우터에서는 서비스 PIC 또는 터널 PIC에서 인터페이스를 구성할 수 있습니다. MX 시리즈 라우터의 경우 멀티서비스 DPC에서 인터페이스를 구성합니다.
각 터널 인터페이스는 포인트 투 포인트 인터페이스여야 합니다. 포인트 투 포인트는 기본 인터페이스 연결 유형이므로 논리적 인터페이스 구성에 문을 포함할 point-to-point 필요가 없습니다.
터널의 대상 및 소스 주소를 지정해야 합니다. 나머지 문은 선택 사항입니다.
터널을 나가는 전송 패킷의 경우, RPF(Reverse Path Forwarding), 포워딩 테이블 필터링, 소스 클래스 사용, 대상 클래스 사용, 스테이트리스 방화벽 필터링과 같은 포워딩 경로 기능은 터널 소스로 구성하는 인터페이스에서는 지원되지 않지만 터널-PIC 인터페이스에서는 지원됩니다.
그러나 GRE 또는 IP-IP 헤더에서 얻은 CoS(class-of-service) 정보는 터널을 통해 전달되며 재진입 패킷에 의해 사용됩니다. 자세한 내용은 라우팅 디바이스용 Junos OS 서비스 등급 사용 설명서를 참조하십시오.
잘못된 구성을 방지하기 위해 Junos OS는 계층 수준에서 또는 문으로 source 지정된 주소를 [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] 계층 수준의 문에 의해 address 지정된 인터페이스의 자체 서브넷 주소와 동일하게 설정하는 것을 허용하지 [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] 않습니다.destination
캡슐화 헤더에 포함된 TTL(Time-to-Live) 필드를 설정하려면 문을 포함합니다 ttl . 터널에 대한 TTL 값을 명시적으로 구성하는 경우, 터널의 홉 수보다 1 큰 값으로 구성해야 합니다. 예를 들어 터널에 7개의 홉이 있는 경우 TTL 값을 8로 구성해야 합니다.
논리적 인터페이스에서 하나 이상의 패밀리를 구성해야 합니다. GRE 터널 인터페이스를 통해 MPLS를 활성화하려면 GRE 인터페이스 구성에 문을 포함해야 family mpls 합니다. 또한 GRE 터널에서 [edit protocols] RSVP(Resource Reservation Protocol), MPLS 및 LSP(Label-Switched Path)를 활성화하려면 계층 수준에서 적절한 문을 포함해야 합니다. 유니캐스트 터널은 양방향입니다.
구성된 터널은 목적지로 가는 길에 어떤 지점에서도 NAT(네트워크 주소 변환)를 통과할 수 없습니다. 자세한 내용은 터널 서비스 개요 및 MPLS 애플리케이션 사용자 가이드를 참조하십시오.
GRE 터널의 경우 기본값은 외부 IP 헤더의 ToS 비트를 모두 0으로 설정하는 것입니다. 라우팅 엔진이 내부 IP 헤더에서 외부로 ToS 비트를 복사하도록 하려면 문을 포함합니다 copy-tos-bits-to-outer-ip-header . (이 내부-외부 ToS 비트 복사는 이미 IP-IP 터널의 기본 동작입니다.)
적응형 서비스 또는 멀티서비스 인터페이스의 GRE 터널 인터페이스의 경우 다음 섹션에 설명된 대로 추가 터널 속성을 구성할 수 있습니다.
- GRE 터널에서 키 번호 구성
- GRE 캡슐화 전 GRE 터널에서 패킷 단편화 활성화
- 터널에 대한 최대 전송 단위(MTU) 설정 지정
- ToS 비트를 외부 IP 헤더에 복사하도록 GRE 터널 구성
- GRE 캡슐화 후 패킷에서 단편화 및 리어셈블리 활성화
- IPv6 GRE 터널 지원
GRE 터널에서 키 번호 구성
M 시리즈 및 T 시리즈 라우터의 적응형 서비스 및 멀티서비스 인터페이스의 경우, RFC 2890, GRE에 대한 키 및 시퀀스 번호 확장에 정의된 대로 GRE 터널 내의 개별 트래픽 플로우를 식별하는 키 값을 할당할 수 있습니다. 그러나 각 터널 소스 및 대상 쌍에 대해 하나의 키만 허용됩니다.
터널에 들어오는 각 IP 버전 4(IPv4) 패킷은 GRE 터널 키 값으로 캡슐화됩니다. 터널을 나가는 각 IPv4 패킷은 GRE 터널 키 값으로 확인되고 캡슐화 해제됩니다. 적응형 서비스 또는 멀티서비스 PIC는 구성된 키 값과 일치하지 않는 패킷을 삭제합니다.
GRE 터널 인터페이스에 키 값을 할당하려면 문을 포함합니다.key
key number;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces interface-name unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
키 번호는 0에서 4,294,967,295 사이일 수 있습니다. 터널 엔드포인트에서 동일한 GRE 터널 키 값을 구성해야 합니다.
다음 예는 GRE 터널 구성에서 키 문을 사용하는 방법을 보여줍니다.
interfaces {
gr-1/2/0 {
unit 0 {
tunnel {
source 10.58.255.193;
destination 10.58.255.195;
key 1234;
}
...
family inet {
mtu 1500;
address 10.200.0.1/30;
...
}
}
}
}
GRE 캡슐화 전 GRE 터널에서 패킷 단편화 활성화
적응형 서비스 및 멀티서비스 인터페이스의 GRE 터널 인터페이스의 경우에만 GRE 터널에서 GRE 캡슐화되기 전에 IPv4 패킷의 단편화를 활성화할 수 있습니다.
기본적으로 GRE 터널을 통해 전송되는 IPv4 트래픽은 단편화되지 않습니다. GRE 터널에서 IPv4 패킷의 단편화를 활성화하려면 다음과 같은 명령문을 포함합니다.clear-dont-fragment-bit
clear-dont-fragment-bit;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
구성에 명령문을 포함 clear-dont-fragment-bit 하면 터널 최대 전송 단위(MTU)를 초과하지 않는 패킷을 포함하여 모든 패킷에서 DF(Don't-Fragment) 비트가 지워집니다. 패킷의 크기가 터널의 최대 전송 단위(MTU) 값을 초과하면 패킷은 캡슐화 전에 단편화됩니다. 패킷의 크기가 터널의 MTU 값을 초과하지 않으면 패킷이 단편화되지 않습니다.
IP 보안(IPsec) 터널을 통해 전송되는 패킷에서 DF 비트를 지울 수도 있습니다. 자세한 내용은 IPsec 규칙 구성을 참조하십시오.
터널에 대한 최대 전송 단위(MTU) 설정 지정
GRE 터널에서 키 번호 및 단편화를 활성화하려면( GRE 터널에서 키 번호 구성 및 GRE 캡슐화 전 GRE 터널에서 패킷 단편화 활성화에 설명된 대로) 터널에 대한 MTU 설정도 지정해야 합니다.
터널에 대한 최대 전송 단위(MTU) 설정을 지정하려면 문을 포함합니다.mtu
mtu bytes;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces gr-fpc/pic/port unit logical-unit-number family inet][edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]
최대 전송 단위(MTU) 설정에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리를 참조하십시오.
ToS 비트를 외부 IP 헤더에 복사하도록 GRE 터널 구성
IP-IP 터널과 달리 GRE 터널은 기본적으로 ToS 비트를 외부 IP 헤더에 복사하지 않습니다. 라우팅 엔진이 내부 ToS 비트를 라우팅 엔진에서 보낸 패킷의 외부 IP 헤더(일부 터널링된 라우팅 프로토콜에 필요)로 복사하도록 하려면 GRE 인터페이스의 논리 단위 계층 수준에 문을 포함합니다 copy-tos-to-outer-ip-header . 이 예에서는 내부 ToS 비트를 GRE 터널의 외부 IP 헤더에 복사합니다.
[edit interfaces]
gr-0/0/0 {
unit 0 {
copy-tos-to-outer-ip-header;
family inet;
}
}
GRE 캡슐화 후 패킷에서 단편화 및 리어셈블리 활성화
GRE 터널에 대해 GRE 캡슐화된 후 패킷의 단편화 및 리어셈블리를 활성화할 수 있습니다. GRE 캡슐화 패킷의 크기가 패킷이 통과하는 링크의 MTU보다 크면 GRE 캡슐화 패킷은 단편화됩니다. 터널의 엔드포인트에서 GRE 인터페이스를 구성하여 네트워크에서 추가로 처리되기 전에 단편화된 GRE 캡슐화 패킷을 리어셈블합니다.
인터페이스에 구성하는 각 터널에 대해 또는 do-not-fragment 문을 포함하여 GRE 캡슐화 패킷의 단편화를 활성화하거나 비활성화할 수 있습니다.allow-fragmentation
allow-fragmentation; do-not-fragment;
이러한 명령문은 다음과 같은 계층 수준에서 구성할 수 있습니다.
[edit interfaces interface-name unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
터널에서 구성하는 allow-fragmentation 경우, GRE 캡슐화 패킷의 외부 IP 헤더에 DF 비트가 설정되지 않아 단편화가 활성화됩니다. 기본적으로 링크의 MTU 크기를 초과하는 GRE 캡슐화 패킷은 단편화되지 않고 삭제됩니다.
터널 엔드포인트의 GRE 인터페이스에서 단편화된 GRE 캡슐화 패킷을 리어셈블리할 수 있도록 하려면 문을 포함합니다.reassemble-packets
reassemble-packets;
이 명령문은 다음 계층 수준에서 구성할 수 있습니다.
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Junos OS 릴리스 17.3R1부터 MPC7E, MPC8E 및 MPC9E가 있는 MX 시리즈 라우터의 GRE 터널 인터페이스에서 GRE 캡슐화 패킷의 단편화 및 재조립을 구성할 수 있습니다.
Junos OS 릴리스 17.1R1부터 MPC2E-NG, MPC3E-NG, MPC5E 및 MPC6E가 있는 MX 시리즈 라우터의 GRE 터널 인터페이스에서 GRE 캡슐화 패킷의 단편화 및 재조립을 구성할 수 있습니다.
Junos OS 릴리스 14.2부터 MPC1, MPC2, MPC3, MPC4s 및 MPC-16X10GE가 있는 MX 시리즈 라우터의 GRE 터널 인터페이스에서 GRE 캡슐화 패킷의 단편화 및 재조립을 구성할 수 있습니다.
Junos OS 릴리스 릴리스 14.1 및 이전 버전에서는 GRE 캡슐화 패킷의 단편화 및 재조립이 MS-DC가 있는 MX 시리즈 라우터에서만 지원됩니다.
IPv6 GRE 터널 지원
Junos OS 릴리스 17.3R1부터 MX 시리즈 라우터에서 IPv6 GRE(Generic Routing Encapsulation) 터널 인터페이스를 구성할 수 있습니다. 이를 통해 IPv6 네트워크를 통해 GRE 터널을 실행할 수 있습니다. IPv6 GRE 터널 내에서 캡슐화할 수 있는 패킷 페이로드 제품군에는 IPv4, IPv6, MPLS 및 ISO가 포함됩니다. IPv6 전송 패킷의 단편화 및 리어셈블리는 지원되지 않습니다.
IPv6 GRE 터널 인터페이스를 구성하려면 계층 수준에서 및 [interfaces gr-0/0/0 unit 0 tunnel] 에 대한 source IPv6 주소를 지정하고, 계층 수준에서 을(를) 지정하고, 계층 수준에서 에 family inet6 [interfaces gr-0/0/0 unit 0] 대한 address [interfaces gr-0/0/0 unit 0 family inet6] IPv6 주소를 지정합니다.destination
또한보십시오
예제: 유니캐스트 터널 구성
번호가 지정되지 않은 IP-IP 터널 2개를 구성합니다.
[edit interfaces]
ip-0/3/0 {
unit 0 {
tunnel {
source 192.168.4.18;
destination 192.168.4.253;
}
family inet;
}
unit 1 {
tunnel {
source 192.168.4.18;
destination 192.168.4.254;
}
family inet;
}
}
계층 수준에서 주소를 포함하여 번호가 매겨진 터널 인터페이스를 구성합니다.[edit interfaces ip-0/3/0 unit (0 | 1) family inet]
[edit interfaces]
ip-0/3/0 {
unit 0 {
tunnel {
source 192.168.4.18;
destination 192.168.4.253;
}
family inet {
address 10.5.5.1/30;
}
}
unit 1 {
tunnel {
source 192.168.4.18;
destination 192.168.4.254;
}
family inet {
address 10.6.6.100/30;
}
}
}
계층 수준에서 문을 포함하여 MPLS over GRE 터널을 [edit interfaces gr-1/2/0 unit 0] 구성합니다.family mpls
[edit interfaces]
gr-1/2/0 {
unit 0 {
tunnel {
source 192.168.1.1;
destination 192.168.1.2;
}
family inet {
address 10.1.1.1/30;
}
family mpls;
}
}
또한보십시오
멀티캐스트 트래픽으로 터널 제한
IPv4 또는 IP 버전 6(IPv6) 트래픽을 전송하는 인터페이스의 경우 멀티캐스트 트래픽만 허용하도록 터널 인터페이스를 구성할 수 있습니다. 멀티캐스트 전용 터널을 구성하려면 다음과 같은 명령문을 포함합니다.multicast-only
multicast-only;
이 명령문은 다음 계층 수준에서 구성할 수 있습니다.
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
멀티캐스트 터널은 모든 유니캐스트 패킷을 필터링합니다. 수신 패킷이 224/8 이상의 접두사로 향하지 않으면 패킷이 삭제되고 카운터가 증가합니다.
GRE, IP-IP, PIM 및 멀티캐스트 터널(mt) 인터페이스에서만 이 속성을 구성할 수 있습니다.
라우터에 터널 서비스 PIC가 있는 경우, Junos OS는 사용자가 구성하는 각 VPN(Virtual Private Network)에 대해 멀티캐스트 터널 인터페이스(mt)를 하나씩 자동으로 구성합니다. 멀티캐스트 터널 인터페이스를 구성할 필요가 없습니다.