멀티캐스트 터널 인터페이스를 통한 유니캐스트 패킷 필터링
유니캐스트 터널 구성
유니캐스트 터널을 구성하려면 인터페이스(GRE 캡슐화를 사용하기 위해) 또는 ip- 인터페이스(IP-IP 캡슐화를 사용)를 구성 gr- 하고 및 family 문을 포함합니다tunnel.
gr-fpc/pic/port or ip-fpc/pic/port {
unit logical-unit-number {
copy-tos-to-outer-ip-header;
reassemble-packets;
tunnel {
allow-fragmentation;
destination destination-address;
do-not-fragment;
key number;
routing-instance {
destination routing-instance-name;
}
source address;
ttl number;
}
family family {
address address {
destination address;
}
}
}
}
다음 계층 수준에서 이러한 문을 구성할 수 있습니다.
[edit interfaces][edit logical-systems logical-system-name interfaces]
각 GRE 또는 IP-IP 인터페이스에 대해 여러 논리적 장치를 구성할 수 있으며 유닛당 하나의 터널만 구성할 수 있습니다.
M Series T 시리즈 라우터에서는 서비스 PIC 또는 터널 PIC에서 인터페이스를 구성할 수 있습니다. MX 시리즈 라우터에서 멀티서비스 DPC에서 인터페이스를 구성합니다.
각 터널 인터페이스는 포인트 투 포인트 인터페이스여야 합니다. 포인트 포인트는 기본 인터페이스 연결 유형이므로 논리적 인터페이스 구성에 문을 포함 point-to-point 할 필요가 없습니다.
터널의 대상 및 소스 주소를 지정해야 합니다. 나머지 문은 선택 사항입니다.
터널을 나가는 전송 패킷의 경우, RPF(Reverse Path Forwarding), 포워딩 테이블 필터링, 소스 클래스 사용, 대상 클래스 사용, 스테이트리스 방화벽 필터링과 같은 포워딩 경로 기능은 터널 소스로 구성하는 인터페이스에서 지원되지 않지만 터널 pic 인터페이스에서 지원됩니다.
그러나 GRE 또는 IP-IP 헤더에서 얻은 CoS(Class of Service) 정보는 터널을 통해 전달되며 패킷에 다시 유입되는 데 사용됩니다. 자세한 내용은 Junos OS 라우팅 디바이스용 서비스 등급 사용자 가이드를 참조하십시오.
잘못된 구성을 방지하기 위해 Junos OS 계층 수준에서 또는 destination 문에 의해 source 지정된 주소를 [edit interfaces gr-fpc/pic/port unit logical-unit-number family family-name] 계층 수준의 문 [edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel] 으로 지정된 address 인터페이스의 자체 서브넷 주소와 동일하게 설정하는 것을 허용되지 않습니다.
캡슐화 헤더에 포함된 TTL(Time-to-Live) 필드를 설정하려면 문을 포함합니다 ttl . 터널에 대한 TTL 값을 명시적으로 구성하는 경우 터널의 홉 수보다 큰 값으로 구성해야 합니다. 예를 들어 터널에 7개의 홉이 있는 경우 TTL 값을 8로 구성해야 합니다.
논리적 인터페이스에서 하나 이상의 체계를 구성해야 합니다. GRE 터널 인터페이스를 통해 MPLS 활성화하려면 GRE 인터페이스 구성에 문을 포함 family mpls 해야 합니다. 또한 GRE 터널을 통해 리소스 예약 프로토콜(RSVP), MPLS 및 레이블 스위칭 경로(LSP)를 활성화하려면 계층 수준에 적절한 문을 [edit protocols] 포함해야 합니다. 유니캐스트 터널은 양방향입니다.
구성된 터널은 목적지까지 가는 도중에 어떤 지점에서도 네트워크 주소 변환(NAT)를 통과할 수 없습니다. 자세한 내용은 터널 서비스 개요 및 MPLS 애플리케이션 사용자 가이드를 참조하십시오.
GRE 터널의 경우, 기본값은 외부 IP 헤더의 ToS 비트를 모든 0으로 설정하는 것입니다. 라우팅 엔진 내부 IP 헤더에서 외부로 ToS 비트를 복사하도록 하려면 문을 포함합니다 copy-tos-bits-to-outer-ip-header . (이 내부-외부 ToS 비트 복사는 이미 IP-IP 터널의 기본 동작입니다.)
적응형 서비스 또는 멀티서비스 인터페이스의 GRE 터널 인터페이스의 경우, 다음 섹션에 설명된 대로 추가 터널 속성을 구성할 수 있습니다.
- GRE 터널에서 키 번호 구성
- GRE 캡슐화 이전에 GRE 터널에서 패킷 단편화 활성화
- 터널에 대한 MTU 설정 지정
- 외부 IP 헤더로 비트 을(를) 복사하도록 GRE 터널 구성
- GRE-캡슐화 후 패킷에서 단편화 및 리어셈블리 활성화
- IPv6 GRE 터널 지원
GRE 터널에서 키 번호 구성
M Series T 시리즈 라우터의 적응형 서비스 및 멀티서비스 인터페이스의 경우, RFC 2890, GRE에 대한 키 및 시퀀스 번호 확장에 정의된 대로 GRE 터널 내에서 개별 트래픽 흐름을 식별하는 키 값을 할당할 수 있습니다. 그러나 각 터널 소스 및 대상 쌍에 대해 하나의 키만 허용됩니다.
터널에 들어오는 각 IP 버전 4(IPv4) 패킷은 GRE 터널 키 값으로 캡슐화됩니다. 터널을 나가는 각 IPv4 패킷은 GRE 터널 키 값에 의해 검증되고 캡슐화 해제됩니다. 적응형 서비스 또는 멀티서비스 PIC는 구성된 키 값과 일치하지 않는 패킷을 삭제합니다.
GRE 터널 인터페이스에 키 값을 할당하려면 문을 포함합니다 key .
key number;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces interface-name unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
키 번호는 0~4,294,967,295입니다. 터널 엔드포인트에서 동일한 GRE 터널 키 값을 구성해야 합니다.
다음 예는 GRE 터널 구성에서 키 명령문을 사용하는 것을 보여줍니다.
interfaces {
gr-1/2/0 {
unit 0 {
tunnel {
source 10.58.255.193;
destination 10.58.255.195;
key 1234;
}
...
family inet {
mtu 1500;
address 10.200.0.1/30;
...
}
}
}
}
GRE 캡슐화 이전에 GRE 터널에서 패킷 단편화 활성화
적응형 서비스 및 멀티서비스 인터페이스의 GRE 터널 인터페이스의 경우에만 GRE 터널에서 GRE 캡슐화되기 전에 IPv4 패킷의 단편화를 활성화할 수 있습니다.
기본적으로 GRE 터널을 통해 전송되는 IPv4 트래픽은 단편화되지 않습니다. GRE 터널에서 IPv4 패킷의 단편화를 활성화하려면 문을 포함합니다 clear-dont-fragment-bit .
clear-dont-fragment-bit;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
구성에 명령문을 포함 clear-dont-fragment-bit 할 때, DF(Don't Fragment) 비트는 터널 최대 전송 단위(MTU)를 초과하지 않는 패킷까지도 모든 패킷에서 삭제됩니다. 패킷의 크기가 터널의 최대 전송량(MTU) 값을 초과하면 캡슐화 전에 패킷이 단편화됩니다. 패킷의 크기가 터널의 최대 전송량(MTU) 값을 초과하지 않으면 패킷은 단편화되지 않습니다.
IP 보안(IPsec) 터널을 통해 전송되는 패킷의 DF 비트를 지울 수도 있습니다. 자세한 내용은 IPsec 규칙 구성을 참조하십시오.
터널에 대한 MTU 설정 지정
GRE 터널에서 키 숫자와 단편화를 활성화하려면( GRE 터널에서 키 번호 구성 및 GRE 캡슐화 이전에 GRE 터널에서 패킷 단편화 활성화에 설명된 바와 같이), 터널에 대한 MTU 설정을 지정해야 합니다.
터널에 대한 MTU 설정을 지정하려면 문을 포함합니다 mtu .
mtu bytes;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces gr-fpc/pic/port unit logical-unit-number family inet][edit logical-system logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number family inet]
MTU 설정에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리를 참조하십시오.
외부 IP 헤더로 비트 을(를) 복사하도록 GRE 터널 구성
IP-IP 터널과 달리 GRE 터널은 기본적으로 ToS 비트를 외부 IP 헤더로 복사하지 않습니다. 라우팅 엔진 라우팅 엔진 보낸 패킷에서 내부 ToS 비트를 외부 IP 헤더(일부 터널링된 라우팅 프로토콜에 필요)로 복사하려면 GRE 인터페이스의 논리적 장치 계층 수준에서 문을 포함합니다 copy-tos-to-outer-ip-header . 이 예는 GRE 터널의 외부 IP 헤더에 내부 ToS 비트를 복사합니다.
[edit interfaces]
gr-0/0/0 {
unit 0 {
copy-tos-to-outer-ip-header;
family inet;
}
}
GRE-캡슐화 후 패킷에서 단편화 및 리어셈블리 활성화
GRE 터널에 대해 GRE 캡슐화된 후 패킷의 단편화 및 리어셈블리를 활성화할 수 있습니다. GRE-캡슐화 패킷의 크기가 패킷이 통과하는 링크의 MTU보다 클 경우 GRE 캡슐화 패킷은 단편화됩니다. 네트워크에서 추가로 처리되기 전에 단편화된 GRE 캡슐화 패킷을 리어셈블하도록 터널 엔드포인트에서 GRE 인터페이스를 구성합니다.
인터페이스에서 구성하는 각 터널에 대해 또는 do-not-fragment 문을 포함하여 allow-fragmentation GRE-캡슐화 패킷의 단편화를 활성화하거나 비활성화할 수 있습니다.
allow-fragmentation; do-not-fragment;
다음 계층 수준에서 이러한 문을 구성할 수 있습니다.
[edit interfaces interface-name unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number tunnel]
터널에서 구성하는 allow-fragmentation 경우 DF 비트는 GRE 캡슐화 패킷의 외부 IP 헤더에 설정되지 않아 단편화가 활성화됩니다. 기본적으로 링크의 MTU 크기를 초과하는 GRE-캡슐화 패킷은 단편화되지 않고 누락됩니다.
터널의 엔드포인트에서 GRE 인터페이스에서 단편화된 GRE 캡슐화 패킷의 리어셈블리를 활성화하려면 문을 포함합니다 reassemble-packets .
reassemble-packets;
이 명령문은 다음 계층 수준에서 구성할 수 있습니다.
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Junos OS 릴리스 17.3R1부터 MPC7Es, MPC8Es 및 MPC9Es를 사용하는 MX 시리즈 라우터의 GRE 터널 인터페이스에서 GRE-캡슐화 패킷의 단편화 및 재설계를 구성할 수 있습니다.
Junos OS 릴리스 17.1R1부터 MPC2E-NGs, MPC3E-NGs, MPC5E 및 MPC6Es를 사용하는 MX 시리즈 라우터의 GRE 터널 인터페이스에서 GRE-캡슐화 패킷의 단편화 및 리센셈블리를 구성할 수 있습니다.
Junos OS 릴리스 14.2부터 MPC1, MPC2, MPC3, MPC4 및 MPC-16X10GEs를 사용하는 MX 시리즈 라우터의 GRE-캡슐화 패킷에서 GRE-캡슐화 패킷의 단편화 및 재구성을 구성할 수 있습니다.
Junos OS 릴리스 14.1 및 이전 버전에서는 GRE 캡슐화 패킷의 단편화 및 재설계가 MS-DPC가 있는 MX 시리즈 라우터에서만 지원됩니다.
IPv6 GRE 터널 지원
Junos OS 릴리스 17.3R1부터 MX 시리즈 라우터에서 IPv6 일반 라우팅 캡슐화(GRE) 터널 인터페이스를 구성할 수 있습니다. 이를 통해 IPv6 네트워크를 통해 GRE 터널을 실행할 수 있습니다. IPv6 GRE 터널 내에서 캡슐화할 수 있는 패킷 페이로드 제품군에는 IPv4, IPv6, MPLS 및 ISO가 포함됩니다. IPv6 딜리버리 패킷의 단편화 및 조합은 지원되지 않습니다.
IPv6 GRE 터널 인터페이스를 구성하려면, 및 에 대한 source IPv6 주소를 계층 수준에서 지정하고 [interfaces gr-0/0/0 unit 0 tunnel] destination, 계층 수준에서 을(를[interfaces gr-0/0/0 unit 0]) 지정 family inet6 하고, 계층 수준에서 에 대한 address [interfaces gr-0/0/0 unit 0 family inet6] IPv6 주소를 지정합니다.
더 보기
예: 유니캐스트 터널 구성
두 개의 번호가 지정되지 않은 IP-IP 터널을 구성합니다.
[edit interfaces]
ip-0/3/0 {
unit 0 {
tunnel {
source 192.168.4.18;
destination 192.168.4.253;
}
family inet;
}
unit 1 {
tunnel {
source 192.168.4.18;
destination 192.168.4.254;
}
family inet;
}
}
계층 수준에서 주소를 포함하여 번호가 매겨진 터널 인터페이스를 [edit interfaces ip-0/3/0 unit (0 | 1) family inet] 구성합니다.
[edit interfaces]
ip-0/3/0 {
unit 0 {
tunnel {
source 192.168.4.18;
destination 192.168.4.253;
}
family inet {
address 10.5.5.1/30;
}
}
unit 1 {
tunnel {
source 192.168.4.18;
destination 192.168.4.254;
}
family inet {
address 10.6.6.100/30;
}
}
}
계층 수준에서 문을 포함하여 GRE 터널을 family mpls [edit interfaces gr-1/2/0 unit 0] 통해 MPLS 구성합니다.
[edit interfaces]
gr-1/2/0 {
unit 0 {
tunnel {
source 192.168.1.1;
destination 192.168.1.2;
}
family inet {
address 10.1.1.1/30;
}
family mpls;
}
}
더 보기
멀티캐스트 트래픽으로 터널 제한
IPv4 또는 IP 버전 6(IPv6) 트래픽을 전달하는 인터페이스의 경우 멀티캐스트 트래픽만 허용하도록 터널 인터페이스를 구성할 수 있습니다. 멀티캐스트 전용 터널을 구성하려면 문을 포함합니다 multicast-only .
multicast-only;
이 명령문은 다음 계층 수준에서 구성할 수 있습니다.
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
멀티캐스트 터널은 모든 유니캐스트 패킷을 필터링합니다. 수신 패킷이 224/8 이상 접두사로 향하고 있지 않으면 패킷이 누락되고 카운터가 증가합니다.
GRE, IP-IP, PIM 및 멀티캐스트 터널(mt) 인터페이스에서만 이 속성을 구성할 수 있습니다.
라우터에 터널 서비스 PIC가 있는 경우, Junos OS 구성하는 각 가상 프라이빗 네트워크(mtVPN)에 대해 하나의 멀티캐스트 터널 인터페이스()를 자동으로 구성합니다. 멀티캐스트 터널 인터페이스를 구성할 필요가 없습니다.