MX 시리즈 라우터 및 PTX 시리즈 라우터에서 터널 인터페이스 구성
MX 시리즈 라우터의 터널 인터페이스 이해
-
인터페이스(gr, lt 및 ip) 기반 터널 - 대역폭 프로파일 적용이 필요한 경우 인터페이스 기반 터널을 구성할 수 있습니다.GRE 터널은 IPv4, IPv6, MPLS, ISO 및 이더넷 페이로드를 지원하는 반면 IP-IP 터널은 IPv4 및 IPv6 페이로드를 지원합니다.
인터페이스 기반 터널을 구성하여 다음을 구현할 수 있습니다.
- 터널당 대역폭이 적용되는 IP 네트워크를 통한 터널링. 예를 들어, 원격 사이트를 향해.
-
디도스(DDoS) 공격 청소를 위한 스티어링.
-
원격 대상으로 미러링.
GRE 프로세스 중에 GRE 헤더가 패킷에 추가된 후 패킷은 두 번째 조회를 위해 동일한 패킷 전달 엔진으로 루프백됩니다. 패킷은 400G의 제한된 대역폭을 가진 루프백 인터페이스를 통해 수신 파이프라인으로 다시 들어갑니다. 그런 다음 캡슐화된 패킷이 대상으로 전달됩니다.
GRE 터널 캡슐화 해제는 인라인 터널 종료에 의해 구현되며 루프백 스트림을 사용하지 않습니다. 그러나 트래픽 흐름이 한 패킷 전달 엔진에서 다른 패킷 전달 엔진으로 전환될 때 추가 패브릭 홉으로 인해 패킷 전달 엔진의 전반적인 패킷 성능이 영향을 받습니다.
-
유연한 터널 인터페이스(FTI) - 대역폭 프로파일 적용이 필요하지 않은 경우 FTI를 구성할 수 있습니다. FTI는 IPv4 및 IPv6 페이로드를 모두 지원합니다. FTI를 구성하여 다음을 구현할 수 있습니다.
-
원격 대상으로 미러링.
-
IP-IP 오버레이가 있는 IP 패브릭.
-
디도스(DDoS) 공격 청소를 위한 스티어링.
패킷 성능은 캡슐화 및 캡슐화 해제 후 추가 조회로 인해 감소합니다.
-
-
동적 터널 - 동적 터널을 구성하여 데이터센터 게이트웨이를 설계할 수 있습니다.
루프백 회피가 있는 동적 터널 구현에서는 캡슐화 또는 캡슐화 해제 후 추가 조회로 인해 패킷 성능이 저하됩니다.
-
방화벽 필터 기반 터널 - 이러한 터널은 다음을 지원합니다.
-
UDP 캡슐화의 GRE 및 GRE.
-
UDP 캡슐화 해제의 GRE, IP-IP 및 GRE입니다.
방화벽 필터 기반 터널을 구성하여 데이터센터 게이트웨이를 설계할 수 있습니다.
터널 인터페이스를 사용하지 않고 방화벽 필터 동작을 사용하여 GRE 기반 캡슐화 및 캡슐화 해제를 구성할 수 있습니다. 캡슐화 및 캡슐화 해제는 필터를 처리하는 패킷 전달 엔진에서 발생합니다. MX 시리즈 라우터는 다음에서 방화벽 필터를 지원합니다.
-
입력 시 인터페이스 레벨(수신 패킷 전달 엔진에서 실행)
-
출력의 인터페이스 수준(송신 패킷 전달 엔진에서 실행)
-
포워딩 테이블 수준(경로 조회 전 또는 경로 조회 후) 두 경우 모두 필터는 수신 PFE에서 실행됩니다
이 시나리오에서는 캡슐화 후 추가 조회로 인해 패킷 성능이 저하됩니다. 캡슐화 해제의 경우, 필터 구성으로 인해 패킷 성능이 저하됩니다.
-
PTX 시리즈 라우터의 터널 인터페이스 이해
PTX 시리즈 라우터에서 다양한 기능을 구현하도록 터널 인터페이스를 구성할 수 있습니다. 다음 섹션에서는 다양한 PTX 시리즈 라우터에서 구현된 기능에 대한 개요를 제공합니다.
- PTX10001-36MR, PTX10004, PTX10008 및 PTX10016-Overview의 터널 인터페이스
- PTX1000, PTX5000 및 PTX10002-50C의 터널 인터페이스-개요
PTX10001-36MR, PTX10004, PTX10008 및 PTX10016-Overview의 터널 인터페이스
이 섹션에서는 Junos OS Evolved를 사용하는 PTX10001-36MR, PTX10004, PTX10008 및 PTX10016 라우터에서 다양한 기능을 구현하기 위한 터널 인터페이스 구성에 대한 정보를 제공합니다.
-
유연한 터널 인터페이스(FTI) - FTI 기반 터널을 구성하여 다음을 구현할 수 있습니다.
-
디도스(DDoS) 공격 청소를 위한 스티어링.
-
모든 동적 터널 사용 사례에 대한 캡슐화 해제.
이러한 터널은 GRE, UDP, IP-IP 캡슐화 및 캡슐화 해제 옵션을 지원합니다. 패킷 성능의 감소는 캡슐화 옵션에 따라 다릅니다. 캡슐화는 플랫된 다음 홉 토폴로지를 지원합니다.
유연한 터널 인터페이스에서 GRE 터널을 구성할 수 있습니다. 계층에서
tunnel-termination문을[edit interfaces fti0 unit unit-number family (inet | inet6)]활성화하면 샘플링, 포트 미러링 또는 필터링과 같은 다른 작업이 적용되기 전에 WAN 인터페이스에서 터널이 종료됩니다. -
-
루프백을 통한 유연한 터널 인터페이스(FTI) - 원격 대상으로의 미러링을 구현하도록 FTI를 구성할 수 있습니다.
FTI에서 터널 캡슐화 후 트래픽은 루프백 인터페이스(수신 패킷 전달 엔진)로 전송되고 나중에 최종 대상으로 전송됩니다. 대상에는 SR-TE(Segment Routing Traffic Engineer) 다음 홉 뒤에 있는 대상이 포함될 수 있습니다. 루프백 인터페이스의 대역폭은 400G로 제한됩니다.
루프백 인터페이스를 사용하여 FTI에서 GRE/IP-in-IP/UDP 터널 캡슐화를 구성할 수 있습니다. 계층에서 명령을
tunnel encapsulation (gre|ipip|udp) source address destination address사용하여 캡슐화를 구성할 수 있습니다[edit interfaces fti0 unit unit-number. 이 기능을 구성하는 동안 다음 사항을 고려해야 합니다.-
추가하면
tunnel-termination터널 디캡 전용 터널이 되고 캡슐화가 비활성화됩니다. -
명령을 구성하지 않을 때는 소스 주소와 대상 주소를 모두 지정해야 합니다.
-
소스 주소에서 변수 접두사 마스크를 구성하는 것은 허용되지 않습니다
캡슐화 해제를 위해 방화벽 필터를 구성할 때 frewall 필터는 구성된 일치 조건 및 작업에 따라 패킷을 캡슐화 해제합니다. 그런 다음 캡슐화 해제된 패킷은 내부 헤더 조회를 수행하기 위해 수신 블록으로 다시 순환되고 그에 따라 전달됩니다. 그러나 터널 종료는 패킷 처리의 단일 패스에서 완료되므로 필터 기반 프로세스에 비해 성능이 향상됩니다.
터널이 단방향인 종료 전용 모드를 활성화하려면 FTI의 계층에서
[edit interfaces fti0 unit unit_number tunnel encapsulation (gre|ipip|udp)]구성할tunnel-termination수 있습니다.[edit interfaces fti0] unit unit-number { tunnel { encapsulation < gre | ipip | udp > { tunnel-termination; key key; source { address source_ip; } destination { address dst_ip}; } tunnel-routing-instance { routing-instance instance}; } } } family < inet | inet6 | mpls >; } }[edit interfaces fti0] unit unit-number { tunnel { encapsulation < gre | ipip | udp > { tunnel-termination; source { address device-loopback; } } } family < inet | inet6 | mpls >; }소스 주소를 제외할 수 있으며, 이는 터널이 구성된 대상 주소에서 종료됨을 나타냅니다. 선택 사항은
tunnel-routing-instance캡슐화 해제 후 routing-instance에 해당하는 VRF ID로 내부 IP 조회가 완료됨을 나타냅니다.캡슐화 해제할 패킷은 소스 조회 유닛에서 처리됩니다. 검색 키에는 IPv4 또는 IPv6 대상 주소가 포함되며, 모든 인터페이스에서 터널을 종료할 필요가 없는 경우 L3VPN 주소(선택 사항)가 포함됩니다. 첫 번째 조회가 성공하면 더 이상 소스 조회가 필요하지 않으며 터널이 종료됩니다. 원본 주소에 대해 두 번째 조회가 필요한 경우 원본 조회 단위는 원본 주소와 첫 번째 조회 결과를 키로 사용하여 다른 조회를 수행합니다. 두 번째 조회가 성공하면 터널이 종료됩니다.
계층에서 tunnel-termination 명령문을 활성화하면 [edit interfaces fti0 unit unit-number] 샘플링, 포트 미러링 또는 필터링과 같은 다른 작업이 적용되기 전에 WAN 인터페이스에서 터널이 종료됩니다.
수신 인터페이스에서 터널 종료를 활성화하려면 에서 를 구성합니다
tunnel-termination.[edit interfaces et fpc/pic/port unit unit_number]{edit interfaces et-fpc/pic/port] unit unit_number { family inet { tunnel-termination; } family inet6 { tunnel-termination; } } }
-
-
동적 터널 - 동적 터널을 구성하여 다음을 설계할 수 있습니다.
-
IP 패브릭.
-
IP 오버레이.
-
데이터센터 게이트웨이.
이러한 터널은 IP-IP 캡슐화를 지원합니다.
Junos OS Evolved를 사용하는 PTX 시리즈 라우터는 캡슐화 해제를 위한 동적 터널을 지원하지 않습니다. 대신 대상 주소를 지정하지 않고 캡슐화 해제를 위해 정적 FTI 터널을 사용할 수 있습니다. 터널은 캡슐화 해제 전용 옵션으로 구성됩니다.
MPLS-over-UDP 터널이라고도 하는 다음 홉 기반 동적 UDP 터널을 구성할 수 있습니다. Junos OS는 터널 대상 경로를 해결하기 위해 다음 홉을 동적으로 생성합니다. 또한 정책 제어를 사용하여 특정 IP 접두사를 통해 MPLS-over-UDP 터널을 해결할 수 있습니다. 다음 홉이 기본적으로 활성화되면 MPLS-over-UDP 기능이 라우터에서 지원되는 IP 터널 수에 대한 확장 이점을 제공하기 때문입니다.
-
PTX1000, PTX5000 및 PTX10002-50C의 터널 인터페이스-개요
이 섹션에서는 Junos OS Evolved를 통해 PTX1000, PTX5000 및 PTX10002-50C 라우터에서 다양한 기능을 구현하도록 터널 인터페이스를 구성하는 방법에 대한 정보를 제공합니다.
-
유연한 터널 인터페이스(FTI) - IP 패브릭을 구현하도록 FTI를 구성할 수 있습니다. IP를 통해 터널 대상에 도달해야 할 때 이 옵션을 선호합니다. 이러한 터널은 다음을 지원합니다.
-
GRE, UDP, IP-IP 캡슐화 옵션.
-
UDP 및 IP-IP 캡슐화 해제 옵션.
패킷 성능은 캡슐화 및 캡슐화 해제 후 추가 조회로 인해 감소합니다.
-
-
동적 터널 - 동적 터널을 구성하여 데이터센터 게이트웨이를 설계할 수 있습니다. 캡슐화 및 캡슐화 해제 후 추가 조회로 인해 패킷 성능이 저하됩니다.
-
방화벽 필터 기반 터널 - 방화벽 필터 기반 터널을 구성하여 EPE(송신 피어링 엔지니어링)를 구현할 수 있습니다. 추가 조회로 인해 캡슐화 중에 패킷 성능이 저하됩니다.
-
원격 대상으로 미러링 - 미러링된 패킷을 원격 대상으로 터널링하도록 구현할 수 있습니다. 추가 조회로 인해 캡슐화 중에 패킷 성능이 저하됩니다.
MX 시리즈 및 PTX 시리즈 라우터에서 터널을 구성하여 구현된 사용 사례
이 섹션에서는 MX 시리즈 및 PTX 시리즈 라우터에서 다양한 기능(사용 사례)을 구현하기 위해 터널 인터페이스를 구성하는 몇 가지 사용 사례에 대한 정보를 제공합니다.
원격 대상으로 포트 미러링
허브와 달리 대상 디바이스의 모든 포트에 패킷을 브로드캐스트하지 않는 라우터와 스위치에서 트래픽 분석을 위해 포트 미러링을 사용할 수 있습니다. 포트 미러링은 모든 패킷 또는 정책 기반 샘플 패킷의 사본을 데이터를 모니터링하고 분석할 수 있는 로컬 또는 원격 분석기로 보냅니다.
서비스 프로바이더 네트워크의 고객 대면 에지에서 프로바이더 에지(PE) 라우터로 구성된 MX 시리즈 라우터의 경우, 수신 및 송신 지점에 레이어 2 포트 미러링 방화벽 필터를 적용하여 MX 시리즈 라우터와 라우터 및 이더넷 스위치와 같은 고객 에지(CE) 디바이스 간의 트래픽을 미러링할 수 있습니다.
MX 시리즈 라우터에서는 터널 인터페이스에 도착하는 트래픽을 여러 대상으로 미러링할 수 있습니다. 다음 홉 그룹에서 두 개 이상의 목적지를 지정하고, 다음 홉 그룹을 필터 동작으로 참조하는 방화벽 필터를 정의한 다음, MX 시리즈 라우터의 논리적 터널 인터페이스(lt-) 또는 가상 터널 인터페이스(vt-)에 필터를 적용합니다.
포트 미러링 구성 및 원격 대상에 대한 포트 미러링 구성을 참조하십시오.
데이터 경로가 FTI(Flexible Tunnel Interface) 기반 터널을 통과할 때 라우터는 터널 캡슐화를 통해 출력 패킷을 보냅니다. 인터페이스를 나갈 때 원래 패킷과 모든 캡슐화가 있는 패킷을 미러링하는 구성을 설정할 수 있습니다.
FTI에 설치된 필터를 기반으로 미러링을 활성화하려면:
-
FTI에서 정책 작업을 사용하여 미러링을 위해 패킷을 표시합니다. 라우터는 일반적으로 정책 작업을 사용하여 송신 다시 쓰기 규칙을 선택하지만, 이 경우 정책 작업을 사용하여 특별한 다시 쓰기 규칙을 구성하지 않고 흥미로운 패킷을 내부 정책 속성으로 표시합니다.
-
소프트웨어가 송신 WAN 측의 특정 정책과 일치하는 패킷을 가로채 작업을 시작하도록
l2-mirror합니다. 패킷은 터널 캡슐화를 포함한 레이어 2 헤더 정보와 함께 보고됩니다.보다 예: PTX 라우터에서 로컬 포트 미러링 구성예: PTX 라우터에서 로컬 포트 미러링 구성및 예: PTX 라우터에서 원격 포트 미러링 구성.
데이터센터 게이트웨이
데이터센터 게이트웨이는 한 쪽에서는 인터넷 또는 엔터프라이즈 VPN을, 다른 쪽에서는 서버에 호스팅된 가상 머신을 상호 연결합니다. MPLS-over-GRE 또는 MPLS-over-UDP와 같은 오버레이 전송 기술은 데이터센터 설계의 일부입니다. 호스트 경로는 SDN 컨트롤러에서 데이터센터 게이트웨이로 전달되고 가상 라우팅 및 포워딩(VRF) 또는 인터넷 라우팅 컨텍스트로 가져옵니다. 데이터센터 서버는 넥스트 홉 기반 동적 터널을 통해 연결할 수 있습니다. 터널은 BGP 경로 프로토콜 다음 홉 확인 프로세스에서 서버에 설정됩니다.
RFC 5549에 설명된 대로 IPv4 트래픽은 CPE 디바이스에서 IPv4-over-IPv6 게이트웨이로 터널링됩니다. 이러한 게이트웨이는 애니캐스트 주소를 통해 CPE 디바이스에 공지됩니다. 그런 다음 게이트웨이 디바이스는 원격 CPE 디바이스에 동적 IPv4-over-IPv6 터널을 만들고 IPv4 집계 경로를 보급하여 트래픽을 조정합니다. 프로그래밍 가능한 인터페이스가 있는 경로 리플렉터는 터널 정보를 네트워크에 주입합니다. 경로 리플렉터는 내부 BGP(IBGP)를 통해 게이트웨이 라우터에 연결되며, 게이트웨이 라우터는 IPv6 주소를 다음 홉으로 사용하여 호스트 경로의 IPv4 주소를 보급합니다.
MPLS-over-UDP 터널은 다음과 같이 처리됩니다.
-
MPLS-over-UDP 터널이 구성된 후, inet.3 라우팅 테이블의 터널에 대해 터널 컴포지트 다음 홉이 있는 터널 대상 마스크 경로가 생성됩니다. 이 IP 터널 경로는 동적 터널 구성이 삭제되어야만 철회됩니다.
터널 컴포지트 다음 홉 속성에는 다음이 포함됩니다.
-
레이어 3 VPN 컴포지트 다음 홉이 비활성화된 경우—소스 및 대상 주소, 캡슐화 문자열 및 VPN 레이블.
-
레이어 3 VPN 컴포지트 다음 홉 및 접두사별 VPN 레이블 할당이 활성화된 경우—소스 주소, 목적지 주소 및 캡슐화 문자열.
-
레이어 3 VPN 컴포지트 다음 홉이 활성화되고 접두사별 VPN 레이블 할당이 비활성화된 경우—소스 주소, 목적지 주소 및 캡슐화 문자열. 이 경우 경로는 보조 경로와 함께 다른 VRF 인스턴스 테이블에 추가됩니다.
-
-
프로바이더 에지(PE) 디바이스는 IBGP 세션을 사용하여 상호 연결됩니다. 원격 BGP neighbor에 대한 IBGP 경로 다음 홉은 프로토콜 다음 홉이며, 터널 다음 홉과 함께 터널 마스크 경로를 사용하여 확인됩니다.
-
프로토콜 다음 홉이 터널 복합 다음 홉을 통해 해결된 후 포워딩 다음 홉이 있는 간접 다음 홉이 생성됩니다.
-
터널 복합 다음 홉은 간접 다음 홉의 다음 홉을 포워딩하는 데 사용됩니다.
예: 다음 홉 기반 MPLS-over-UDP 동적 터널 구성 및 예: 다음 홉 기반 IP-over-IP 동적 터널 구성을 참조하십시오