Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

GRE Keepalive Time 구성

GRE(Generic Routing Encapsulation) 터널 인터페이스에는 터널이 다운되면 감지하기 위한 내장 메커니즘이 없습니다. 유지 메시지는 GRE 터널 인터페이스가 터널 다운 시 감지하는 데 도움이 됩니다. 아래 주제는 GRE Keepalive Time의 작동 및 구성에 대해 설명합니다.

GRE Keepalive Time 이해

GRE(Generic Routing Encapsulation) 터널 인터페이스에는 터널이 다운되면 감지하기 위한 내장 메커니즘이 없습니다. 유지(keepalive) 메시지를 탐지 메커니즘으로 사용할 수 있습니다.

Keepalive 시간(Keepalive times)은 ATM-over-ADSL 인터페이스에만 구성할 수 있습니다. 이는 릴리스 릴리스에서 시작되는 SRX300, SRX320, SRX340, SRX380 및 SRX550HM에서 더 이상 지원되지 Junos OS 릴리스 15.1X49-D10. 다른 인터페이스에서는 기본적으로 Keepalive 시간을 사용할 수 있습니다.

물리적 또는 논리적 인터페이스에서 Keepalive를 구성할 수 있습니다. 물리적 인터페이스에서 구성된 경우, Keepalive는 물리적 인터페이스의 일부인 모든 논리적 인터페이스상에 전송됩니다. 개별 논리적 인터페이스에서 구성된 경우, keepalive는 해당 논리적 인터페이스로만 전송됩니다. Keepalive를 구성할 뿐만 아니라, 보관 시간을 구성해야 합니다.

명령문과 명령문을 계층 수준에서 모두 포함시 하여 GRE(Generic Routing Encapsulation) 터널 인터페이스에서 Keepalive를 구성할 keepalive-time hold-time[edit protocols oam gre-tunnel interface interface-name] 있습니다.

참고:

GRE 인터페이스에서 적절한 Keepalive를 작동하려면 계층 수준에서 family inet 명령문을 [edit interfaces interface-name unit unit] 포함해야 합니다. 이 명령문을 포함하지 않는 경우 인터페이스가 다운됩니다.

GRE Keepalive Time 구성

Keepalive 시간(Keepalive times)은 ATM-over-ADSL 인터페이스만 구성할 수 있습니다. 이는 릴리스 릴리스에서 시작되는 SRX300, SRX320, SRX340, SRX380 및 SRX550HM에서 더 이상 지원되지 Junos OS 릴리스 15.1X49-D10.

GRE 터널 인터페이스의 Keepalive Time 및 Hold Time 구성

명령문과 명령문을 계층 수준에서 모두 포함시 하여 GRE(Generic Routing Encapsulation) 터널 인터페이스에서 Keepalive를 구성할 keepalive-time hold-time[edit protocols oam gre-tunnel interface interface-name] 있습니다.

참고:

GRE 인터페이스에서 적절한 Keepalive를 작동하려면 계층 수준에서 family inet 명령문을 [edit interfaces interface-name unit unit] 포함해야 합니다. 이 명령문을 포함하지 않는 경우 인터페이스가 다운됩니다.

GRE 터널 인터페이스를 구성하는 경우:

  1. 인터페이스 이름이 [edit interfaces interface-name unit unit-number] gr-x/y/z인 경우, inet 계층 수준에서 GRE 터널 인터페이스를 구성하고 이 패밀리가 으로 설정됩니다.
  2. 요구 사항에 따라 나머지 GRE 터널 인터페이스 옵션을 구성합니다.

GRE 터널 인터페이스에 대한 유지 시간 구성:

  1. GRE 터널 인터페이스에 대한 계층 수준에서 OAM(Operation, Administration, and Maintenance) [edit protocols] 프로토콜을 구성합니다.

  2. OAM 프로토콜을 위한 GRE 터널 인터페이스 옵션을 구성합니다.

  3. GRE 터널 인터페이스에 대해 1~50초의 유지 시간을 구성합니다.

  4. 5~250초 동안의 보류 시간을 구성합니다. 보유 시간은 최소 2회의 유지 시간(keepalive time)을 유지해야 합니다.

GRE Keepalive Time Configuration 표시

목적

구성된 Keepalive Time Value를 10으로 표시하고 GRE 터널 인터페이스에서 시간 값을 30으로 표시합니다(예: gr-1/1/10.1):

작업

GRE 터널 인터페이스에 구성된 값을 표시하기 위해 계층 수준에서 show oam gre-tunnel [edit protocols] 명령을 실행합니다.

GRE 터널 인터페이스에 Keepalive Time 정보 표시

목적

유지 시간 및 보유 시간 매개 변수가 구성될 때 및 보류 시간이 만료될 때 GRE 터널 인터페이스의 현재 상태 정보를 표시합니다.

작업

GRE 터널 인터페이스(예: gr-3/3/0.3)에서 현재 상태 정보를 확인하기 위해, 및 운영 명령을 show interfaces gr-3/3/0.3 terse show interfaces gr-3/3/0.3 extensive 실행합니다.

인터페이스 gr-3/3/0.3 terse를 표시

인터페이스 gr-3/3/0.3 광범위한 표시

참고:

보류 시간이 만료된 경우:

  • GRE 터널은 인터페이스가 트래픽을 송수신할 수 없는 경우에도 계속 유지됩니다.

  • 상태는 Link 으로 Up Gre keepalives adjacency state Down 표시됩니다.

의미

유지 시간 및 보유 시간 매개 변수가 있는 GRE 터널 인터페이스의 현재 상태 정보는 보유 시간이 만료될 때 예상대로 표시됩니다.

예: GRE 구성

GRE(Generic Routing Encapsulation)는 네트워크를 통해 패킷을 전송하는 데 사용되는 IP 캡슐화 프로토콜입니다. 정보는 GRE 터널을 통해 한 네트워크에서 다른 네트워크로 전송됩니다. GRE는 페이로드를 GRE 패킷으로 캡슐화합니다. 이 GRE 패킷은 외장 프로토콜(제공 프로토콜)에 캡슐화됩니다. GRE 터널 엔드포인트는 패킷을 대상에 라우팅하기 위해 GRE 터널로 페이로드를 포부합니다. GRE 캡슐화가 엔드포인트에 도달하면 GRE 캡슐화가 제거되고 페이로드가 최종 목적지로 전송됩니다. GRE의 주요 사용은 IP 네트워크를 통해 비 IP 패킷을 전달하는 것입니다. 그러나 GRE는 IP 클라우드를 통해 IP 패킷을 전달하는 데도 사용됩니다.

요구 사항

  • GRE(gr-) 인터페이스를 구성합니다. gr- 인터페이스에는 로컬 주소와 대상 주소가 포함되어 있습니다. 구성이 시작되면 즉시 실행됩니다. GR 인터페이스에서 IP 주소를 구성할 수도 있습니다.

  • 대상 서브넷(엔드-to-엔드 연결)에 도달하는 경로를 구성합니다. gr- 인터페이스를 통해 정적 경로를 구성하거나 IGP 프로토콜(예: 최단 경로 우선(OSPF).

개요

GRE 터널은 완벽하게 스테이트리스(stateless)하도록 설계됐기 때문에 각 터널 엔드포인트가 원격 터널 엔드포인트의 상태 또는 가용성에 대한 정보를 유지하지 않는다는 의미입니다. 일반적으로 GRE 터널 인터페이스는 구성되면 즉시 표시하며 유효한 터널 소스 주소 또는 인터페이스가 설정되면 계속 구성됩니다.

구성

기본적으로 로컬 서브넷 인터페이스는 ge-0/0/0, IPv4 주소는 10.10.11.1/24입니다. 대상 서브넷은 10.10.10.0/24입니다. 터널 엔드포인트 IPv4 인터페이스는 10.10.10.1/24입니다.

GRE 구성은 SRX 시리즈 디바이스의 터널 인터페이스 간의 기본 구성을 보여줍니다.

그림 1: GRE 구성 GRE Configuration

대상 하위 세트에 도달하기 위한 경로 구성

단계별 절차

gr- 인터페이스를 통해 또는 네트워크 인터페이스를 통해 정적 경로를 구성하거나 IGP.

  1. 로컬 서브넷 인터페이스 ge-0/0/0 인터페이스를 구성합니다.

  2. 인터페이스 ge-0/0/1을 구성합니다.

  3. gr-tunnel 엔드포인트를 구성하고 터널 엔드포인트의 소스 주소, 대상 주소 및 패밀리를 inet로 지정합니다.

  4. 구성된 인터페이스는 계층 수준에서 보안 존에 [edit security] 연결됩니다. 명령을 show zones 사용하여 존을 볼 수 있습니다. 존을 다음과 같이 구성합니다.

  5. 명령어를 사용하여 계층 수준에서 [edit interfaces] 구성된 인터페이스를 볼 수 show 있습니다.

  6. 정적 경로를 정의하지 최단 경로 우선(OSPF) 측면의 gr-0/0/0 인터페이스와 패시브 네이버(passive neighbor) 내부 서브넷 간에 모든 내부 경로를 수신하도록 구성할 수 있습니다. 계층 최단 경로 우선(OSPF) 구성하고 [edit protocols] 명령을 사용하여 show 구성합니다.

결과

구성 모드에서 명령을 입력하여 장비에서 구성을 show 확인할 수 있습니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

정적 경로를 사용하는 GRE 구성:

GRE 구성은 최단 경로 우선(OSPF) 인터페이스 gr-0/0/0과 패시브 네이티브(passive neighbor) 내부 서브넷 간에 구성됩니다.

확인

SRX 시리즈 디바이스의 GRE 구성이 성공적이지 확인하려면 다음 작업을 수행합니다.

GRE 인터페이스 검증

목적

GRE 인터페이스가 구성 중이지 확인

작업

계층 show interfaces 수준에서 명령을 [edit interfaces] 실행합니다.

경로 검증

목적

GRE 터널 인터페이스를 통해 대상 네트워크의 경로에 도달할 수 있는지 확인합니다.

작업

계층 show route forwarding-table matching 10.10.10.0/24 수준에서 명령을 [edit interfaces] 실행합니다.

GRE 터널을 통한 트래픽 검증

목적

트래픽을 대상 서브넷으로 전송하고 GRE 인터페이스가 설정 중일 때 확인

작업

운영 명령을 show interfaces gr-0/0/0 extensive 실행합니다. 또한 패킷이 gr- 인터페이스를 통과하는지 검증합니다.

예: IPsec 터널을 통해 GRE 구성

요구 사항

개요

GRE 터널은 최소한의 보안 기능을 제공하는 반면, IPsec 터널은 기밀성, 데이터 인증 및 무결성 보장 측면에서 향상된 보안을 제공합니다. 또한 IPsec은 멀티캐스트 패킷을 직접 지원할 수 없습니다. 그러나 캡슐화 GRE 터널을 먼저 사용하는 경우 IPsec 터널을 사용하여 멀티캐스트 패킷에 보안을 제공할 수 있습니다. GRE over IPsec 터널에서 모든 라우팅 트래픽(IP 및 비 IP)을 통해 라우팅할 수 있습니다. 원래 패킷(IP/비 IP)이 GRE 캡슐화되어 있는 경우, GRE 터널에 정의된 IP 헤더가 있는 경우 일반적으로 터널 인터페이스 IP 주소가 됩니다. IPsec 프로토콜은 IP 패킷을 이해할 수 있습니다. GRE 패킷을 캡슐화하여 IPsec에서 GRE로 만들 수 있습니다.

GRE over IPsec 구성과 관련된 기본 단계는 다음과 같습니다.

  • 경로 기반 IPsec 터널을 구성합니다.

  • GRE 터널을 구성합니다.

  • gr- 인터페이스를 통해 대상을 원격 서브넷으로 정적 경로를 구성합니다.

  • ST0 인터페이스를 다음 홉으로 사용하여 GRE 엔드포인트에 대한 정적 경로를 구성합니다.

구성

이 예제에서 기본 구성에는 IPv4 주소가 10.10.11.1/24인 ge-0/0으로 로컬 서브넷 인터페이스가 있습니다. 대상 서브넷은 10.10.10.0/24입니다. gr-0/0/0 인터페이스 터널 엔드포인트는 양측의 루프백 주소로, 로컬 루프백 IPv4 주소는 172.20.1.1로, 원격 루프백 IPv4 주소는 172.20.1.2로 표시됩니다. gr-0/0/0, st0 및 lo0 인터페이스는 보안 존에 연계하고 정책이 그에 따라 생성됩니다.

IPsec 터널을 통해 GRE 인터페이스 구성

단계별 절차
  1. 인터페이스 이름이 [set interfaces interface-name unit unit-number] ge-0/0/0인 계층 수준에서 GRE를 구성하고 이 패밀리가 inet로 설정됩니다.

  2. gr-tunnel 엔드포인트를 구성하고 터널 엔드포인트의 소스 주소, 대상 주소 및 패밀리를 inet로 지정합니다.

  3. 마찬가지로 inet으로 설정된 lo0 및 st0 인터페이스를 구성합니다.

  4. GRE 인터페이스를 보안 존으로 구성합니다. 명령어를 사용하여 구성된 터널 show zones 인터페이스, lo0 및 st0이 표시되는 존을 볼 수 있습니다.

결과

구성 모드에서 명령을 입력하여 인터페이스 구성을 show 확인 구성된 인터페이스는 계층 수준에서 보안 존에 [edit security] 연결됩니다. 명령어를 사용하여 구성된 show zones 인터페이스(gr-, st0.0 및 lo0)가 표시되는 존을 볼 수 있습니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

GRE 인터페이스 구성을 위한 매개 변수:

보안 존을 사용하여 GRE 인터페이스를 구성하기 위한 매개 변수:

확인

IPsec 터널 검증

목적

IPsec 터널이 설정 중인지 확인

작업

명령 및 명령을 show security ike security-associations show security ipsec security-associations 실행합니다.

예: 터널 대상이 라우팅 인스턴스에 있는 경우 GRE 터널 구성

요구 사항

개요

터널 대상이 기본 라우팅 인스턴스 또는 비보안 라우팅 인스턴스인 경우 GRE 터널을 구성할 수 있습니다. GRE 터널을 구성하려면 터널 소스 및 터널 대상 주소를 정의해야 합니다. 터널 대상이 라우팅 인스턴스에 있는 경우, 두 개 이상의 라우팅 인스턴스가 있는 경우 올바른 라우팅 인스턴스를 지정하고 구성된 터널 대상 주소에 도달하는 데 사용할 라우팅 테이블도 지정해야 합니다.

참고:

터널 대상 주소는 기본적으로 기본 라우팅 테이블 "inet.0"을 사용하여 도달할 수 있는 것으로 간주됩니다.

구성

이 예에서는 두 개의 인스턴스를 사용하는 SRX 시리즈 디바이스의 gr- 인터페이스 사이에 GRE 터널을 구성할 수 있습니다. 인스턴스는 터널 대상이 기본 라우팅 인스턴스인 경우와 터널 대상이 비 기본 라우팅 인스턴스인 경우입니다.

터널 대상이 기본 라우팅 인스턴스인 경우 GRE 터널 구성

이 예에서는 기본 라우팅 인스턴스를 사용하여 터널 대상에 도달합니다. 이 때문에 라우팅 테이블 inet.0은 기본적으로 사용됩니다.

단계별 절차
  1. 터널의 소스 및 대상 주소를 지정합니다.

  2. 이 패밀리 세트를 사용하여 ge-interface 및 lo0 인터페이스를 구성합니다.

  3. GRE 구성 주제에서 언급한 라우팅 옵션에 대해 GRE 터널 인터페이스를 구성합니다.

GRE 터널 구성 터널 대상이 기본이 아닌 라우팅 인스턴스에 있는 경우

기본이 아닌 라우팅 인스턴스의 경우 gr-0/0/0 인터페이스를 이미 구성한지 확인

단계별 절차
  1. GR-0/00 인터페이스 및 패밀리 세트를 inet로 사용하여 GRE 터널을 구성합니다.

  2. 터널의 소스 및 대상 주소를 지정합니다.

  3. 이 패밀리 세트를 사용하여 ge-interface 및 lo0 인터페이스를 구성합니다.

  4. 터널 인터페이스에 사용되는 라우팅 인스턴스를 구성합니다.

  5. GRE 터널 인터페이스에 대한 라우팅 인스턴스를 구성합니다.

  6. 터널 대상에 대한 정적 경로 추가

    참고:

    SRX 시리즈 디바이스가 패킷 모드인 경우, inet.0에서 터널 대상에 도달하기 위해 정적 경로를 구성할 필요가 없습니다. Gr-0/0/0 인터페이스에서 올바른 라우팅 인스턴스를 지정해야 합니다.

결과

구성 모드에서 명령을 입력하여 장비에서 구성을 show 확인할 수 있습니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

터널 대상이 기본 라우팅 인스턴스인 경우:

터널 대상이 기본이 아닌 라우팅 인스턴스인 경우:

확인

정적 경로 사용 검증

목적

정적 경로가 사용되는지 확인

작업

show route forwarding table명령어를 실행합니다.

기본 인스턴스에서 사용되는 정적 경로 검증

목적

기본 인스턴스에 정적 경로가 사용되는지 확인

작업

show route forwarding table명령어를 실행합니다.