Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서는
 

논리적 시스템을 이용한 가상화된 데이터센터

논리적 시스템을 통해 VDC 설계는 가상 LANS(Virtual LANs), 가상 라우터, 가상 경로 포워드, 가상 경로 간 포워드와 같은 가상화 기술을 사용하여 유연한 트래픽을 제공합니다. 자세한 내용은 다음 항목을 참조하십시오.

대규모 엔터프라이즈 네트워크를 위한 2계층 가상화된 데이터센터 솔루션

다음은 주니퍼 네트웍스 2개 계층의 고속 멀티 서비스 가상화 데이터센터(VDC)에 대해 설명하고 있습니다. 2계층 아키텍처는 가상화된 서버 환경의 저지연 요구 사항을 충족하며, 다양한 사업부 간에 제어되는 세그먼트 분할을 유지 관리하기 위한 오버가 많은 보안 요구 사항을 충족합니다.

네트워크 트래픽 세그먼트 분할

주니퍼 네트웍스 VDC 설계는 가상 LANS(Virtual LANS), 가상 라우터, 가상 경로 포워드, 가상 경로 간 포워드, 논리적 시스템과 같은 가상화 기술을 사용하여 유연한 트래픽을 제공합니다.

완벽하게 중복된 2계층 데이터센터 설계는 서버 연결을 위한 액세스 레이어의 주니퍼 네트웍스 EX 시리즈 이더넷 스위치, MX 시리즈 5G 유니버설 라우팅 플랫폼 콜락스드 LAN 어그리게이트/코어 레이어로, 클러스터형 SRX 시리즈 서비스 게이트웨이로 구성되어 데이터센터 신뢰 경계 전반에 방화벽 보안 서비스를 제공합니다.

유연성

802.1Q VDC 설계는 802.1Q VLA, MPLS, BGP(Border Gateway Protocol), VRRP(Virtual Router Redundancy Protocol), 트래픽 엔지니어링 및 Fast Reroute를 사용하여 설계 유연성을 제공하는 동시에 표준 기반 접근 방식을 유지할 수 있습니다. 주니퍼 네트웍스 이 설계는 VPLS(Virtual Private LAN Service)를 지원할 수도 있습니다.

보안

VDC 주니퍼 네트웍스 보안 존을 사용하여 정책 적용 지점을 구현합니다. SRX 클러스터는 사업부 신뢰 경계를 통과하는 트래픽은 물론 데이터센터의 모든 수신 및 egress 트래픽에 대한 모든 stateful 패킷 검사를 담당합니다.

이 주니퍼 네트웍스 Junos 운영체제 구성은 네트워크 리소스에 대한 제한적인 액세스를 지원하는 각 논리적 시스템에 대한 서로 다른 관리자 계정으로 구성될 수 있으며 개별 사업부에 맞게 커스터마이즈될 수 있습니다.

액세스 및 가용성

예를 주니퍼 네트웍스 VDC 설계에서 : 대규모 엔터프라이즈 네트워크를 위한 2계층 가상화 데이터센터 구성 TOR(Top-of-Rack) EX 시리즈 스위치는 서버에 대한 액세스를 제공하고 리던던시를 제공합니다.

TOR 스위치의 모든 업링크는 802.1Q 트렁크 링크로, 이는 통합/코어 계층에서 POD(Point of Delivery)를 이루는 각 MX 시리즈 디바이스로 직접 종료됩니다.

VRRP 인스턴스는 MX 시리즈 디바이스 내 각 VLAN에서 정의되어 해당 VLAN에서 모든 서버 호스트의 기본 라우터 역할을 합니다. VRRP가 제대로 작동할 수 있도록 각 브리지 도메인은 상호 연결 링크를 통해 각 MX 시리즈 디바이스 간에 확장됩니다. MX 시리즈 디바이스는 IRB(Integrated Routing and Bridging) 인터페이스를 각 브리지 도메인에 대한 레이어 3 인터페이스로 사용하며, VRRP는 중복을 위해 구성됩니다.

MX 시리즈 디바이스 간에 한 쌍의 802.3ad 통합 이더넷 번들이 사용됩니다. 각 MX 시리즈 디바이스는 여러 논리적 시스템으로 분할됩니다. MX 시리즈 디바이스의 논리적 시스템은 데이터센터 자체 내에서 그리고 각 사업부 간에 논리적 신뢰 경계를 정의하는 데 사용됩니다.

방화벽 역할을 하는 클러스터링된 SRX 시리즈 디바이스 쌍은 데이터센터 신뢰 경계 전반에 걸쳐 보안 서비스를 제공합니다. SRX 시리즈 디바이스의 가상 라우터는 각 고객 에지(CE) 고객 에지(고객 에지(CE)) 라우터의 역할을 합니다.

데이터 플레인을 위한 단일 리던던시 그룹이 SRX 시리즈 서비스 게이트웨이상에 정의되고 2개의 중복 Ethernet 인터페이스가 구성원 인터페이스로 정의됩니다. 이 중복 그룹은 SRX 시리즈 방화벽의 데이터 플레인 장애 조치(failover)를 처리하며 노스바운드 또는 사우스바운드 SRX 시리즈 인터페이스의 손실이 모두 보조 노드로 완전한 장애가 발생하도록 구성됩니다. 이 장애 조치는 기본적으로 Layer 1 장애가 발생하기 때문에, 신속하게 작동하고 그 위에 있는 라우팅 토폴로지가 중단되지 않습니다.

비용 효율적인 증분 확장

VDC 주니퍼 네트웍스 점진적인 네트워크 확장을 지원한다. 이를 통해 VDC를 최소한의 비용으로 생성하여 현재의 요구를 충족할 수 있습니다.

랙 상단에 EX 시리즈 스위치를 추가하여 액세스 레이어를 확장할 수 있습니다.

해당 POD 내에 MX 시리즈 장치를 추가하여 집계/코어 레이어를 확장할 수 있습니다.

SRX Series 장비에 4포트 10기가비트 이더넷 I/O 카드(I/O cards) 및 SPC(Services Processing Cards)를 추가하여 보안 서비스를 확장할 수 있습니다. IC의 추가로 10기가비트 이더넷 포트 집적도도 향상됩니다. 각 SPC 카드를 섀시에 추가하면 10Gbps(5Gbps IMIX)와 200 만 세션이 추가됩니다. 150Gbps (47.5Gbps IMIX), 1000만 세션 및 350,000 CPS(Junos OS Release 10.2에서 측정된)의 플랫폼에서 최대 100,000 연결(CPS)의 최대 정격 용량을 제공합니다.

오케스트레이션 및 자동화

VDC 주니퍼 네트웍스 VDC 설계는 VDC 주니퍼 네트웍스 Junos Space 플랫폼을 활용합니다. Junos Space 확장, 네트워크 운영 간소화, 복잡한 네트워크 환경에 대한 지원 자동화를 위한 애플리케이션 포트폴리오가 포함되어 있습니다.

또한 네트워크 장비는 백그라운드 SCP(Secure Copy Protocol) 파일 전송, 커밋 스크립트 및 파일 아카이브 사이트를 지원하도록 구성됩니다.

다음 참조

대규모 엔터프라이즈 네트워크를 위한 2계층 가상화 데이터센터의 요구 사항

대기업은 데이터센터 설계에 반드시 충족해야 하는 호스팅 환경에 대한 특정 요구 사항을 충족하고 있습니다. 이 섹션에서는 개별 사업부(BUS)에 대한 서비스 제공업체로 운영하는 기업의 요구 사항에 대해 설명합니다.

대기업의 VDC(가상화된 데이터센터)의 주요 요구 사항 중 하나는 사업부별로 네트워크를 분할할 수 있는 능력입니다. 여기에는 트래픽 세그먼트 분할 및 관리 제어 세그먼트 분할이 포함됩니다.

기타 요구 사항으로는 사업부 간의 보안 제어, 회사와 외부 간의 보안 제어, 네트워크를 성장 및 적응하는 유연성, 전체 네트워크를 관리할 수 있는 강력하고 비용 효율적인 방법이 포함됩니다.

네트워크 트래픽 세그먼트 분할

여기에서 설명하는 요구 사항은 네트워크 리소스를 여러 가지 방식으로 격리하기 위한 것입니다. 트래픽은 사업부별로 구분되어야 합니다. 네트워크 세그먼트 간의 트래픽 플로우는 특별히 허용되는 경우를 제외하고 금지되어야 합니다. 트래픽은 지정된 정책 적용 지점에서 제어되어야 합니다. 네트워크 리소스는 세그먼트에 전용해야 하지만 네트워크는 리소스 할당을 변경할 수 있는 유연성을 확보해야 합니다.

세분화된 리소스는 정책에 따라 논리적으로 그룹화되어야 합니다. 예를 들어 테스트 트래픽은 프로덕션 트래픽과 격리되어야 합니다. 또한 비즈니스 엔티티, 계약 요건, 법적 또는 규제 요구 사항, 위험 등급, 기업 표준에 따라 트래픽을 격리해야 합니다.

네트워크 세그먼트 분할 설계는 비즈니스를 방해하지 말아야 합니다. 대규모 데이터센터 및 클라우드 네트워크 설계와 통합되어야 합니다. 사업부는 네트워크 리소스에 전 세계적으로 액세스하고 새로운 비즈니스 기능을 지원해야 합니다.

유연성

네트워크 설계는 최소한의 설계 및 재설계 작업으로 비즈니스 및 환경 변화에 대응할 수 있을 만큼 유연해야 합니다. VDC 설계는 사업부 워크로드를 다른 사업부와 일반 데이터센터 서비스 및 애플리케이션과 유연하게 고르게 할 수 있어야 합니다. 네트워크 솔루션은 네트워크와 세그먼트 분할 변경이 적용된 경우 비즈니스에 미치는 영향을 최소화해야 합니다.

VDC는 구현할 수 있을 만큼 유연해야 합니다.

  • 단일 데이터센터 내에서

  • 데이터 홀 내

  • 2개 이상의 데이터센터 전반

  • 데이터센터 내부 또는 데이터센터 간 2개 이상의 데이터 홀

  • 데이터센터와 외부 클라우드 서비스 제공업체 간

보안

네트워크 설계는 호스팅 환경 내에서 사업부를 격리할 수 있도록 해야 합니다. 네트워크 보안 사고가 발생하면 호스팅 환경 및 기타 사업부로부터 사업부를 격리해야 합니다.

사업부 세그먼트 간의 트래픽 흐름은 기본적으로 거부되어야 합니다. 데이터센터 서비스 제공업체가 소유하고 제어하는 정책 적용 지점에서만 명시적으로 허용되어야 합니다.

정책 적용 지점은 액세스 제어 기능을 포함해야하며 위협 보호 기능을 포함해야 합니다.

액세스 및 가용성

VDC는 컴퓨팅, 스토리지, 보안, 트래픽 관리, 운영, 애플리케이션과 같은 공통 데이터센터 서비스에 대한 액세스를 제공해야 합니다. 네트워크는 여러 글로벌 서비스 프로바이더 전반에서 운영되어야 합니다. 네트워크 전반에서 최적화되고 예측 가능하며 일관된 성능을 제공해야 합니다. VDC는 데이터센터 사업부 전반에 걸쳐 구현되어야 합니다.

네트워크 솔루션은 서비스 수준 계약에 정의되어 있는 따라 사업부 가용성 요구 사항을 충족해야 합니다.

비용 효율적인 증분 확장

VDC 설계는 기업이 운영할 수 있도록 비용 효과적이며 새로운 비즈니스 기능을 지원해야 합니다. 기업에 미치는 영향을 최소화하면서 네트워크 솔루션을 추가적으로 구현할 수 있어야 합니다.

오케스트레이션 및 자동화

VDC 설계에는 프로비저닝, 가용성 및 워크로드 모니터링 및 보고를 위한 자동화를 지원하는 관리 시스템이 포함되어야 합니다. 워크로드 및 가용성 보고서는 사업부에서 제공해야 합니다.

다음 참조

예: 대규모 엔터프라이즈 네트워크를 위한 2계층 가상화 데이터센터 구성

이 예에서는 대규모 엔터프라이즈 네트워크를 위해 2계층 가상화된 데이터센터를 구성하기 위한 단계별 프로시저를 제공합니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 2개의 MX 시리즈 5G 유니버설 라우팅 플랫폼 10.Junos OS 릴리스 10.2 이상에서 실행

  • 6개의 EX 시리즈 이더넷 스위치 10.Junos OS 릴리스 10.2 이상에서 실행

  • Junos OS 10.4 이상에서 실행되는 2개의 SRX Series 서비스 게이트웨이

2계층 가상화 데이터센터 구성 개요

이 예에서는 대기업을 위해 2계층 가상화된 데이터센터를 구성하기 위한 단계별 프로시저를 제공합니다. 예제의 단계는 VLAN 17을 사용하여 BU2의 서버에 연결된 인터페이스에서 논리적 시스템 트러스트1, 가상 라우터 MX-VR2를 통해, 가상 라우터 SRX-VR2를 통해, 논리적 시스템 언트러스트에서 VRF2를 통해 코어 네트워크로 연결되는 데이터 경로를 따릅니다.

이 예제의 코어 네트워크는 IP 기반 라우팅과 MPLS 레이블 스위칭을 동시에 제공합니다. SRX 시리즈 디바이스의 가상 라우터는 고객 에지(고객 에지(CE)) 라우터의 기능을 지원합니다. MX 시리즈 디바이스의 VPN 라우팅 및 포우링(VRF) 라우팅 인스턴스는 PE(서비스 제공업체 에지) 라우터의 기능을 실행합니다. 최단 경로 우선(OSPF) 프로토콜은 이 예에서 지원되는 IP 기반 및 MPLS 네트워크의 넥스트 홉 주소로 사용되는 BGP(Border Gateway Protocol) PE 라우터 루프백 주소로 경로를 전달하는 MPLS 프로토콜로 사용됩니다.

참고:

이 예제의 단계는 전체 네트워크 구성을 대표합니다. 이 예에서는 모든 가상 디바이스에 대한 모든 단계를 보여주지 않습니다.

이 예에서 사용된 물리적 연결은 그림 1에 표시하고 있습니다.

그림 1: 가상화된 데이터센터 물리적 토폴로지 Virtualized Data Center Physical Topology

이 예에서 사용된 논리적 연결은 그림 2에 표시하고 있습니다.

그림 2: 가상화된 데이터센터 논리적 토폴로지 Virtualized Data Center Logical Topology

논리적 토폴로지 그림에서:

  • 사용자는 상단에 표시된 엔터프라이즈 코어 네트워크 전반의 데이터센터에 액세스합니다.

  • MX 시리즈 디바이스의 논리적 시스템 언트러스트로 구성된 가상 라우터는 트래픽을 SRX 시리즈 디바이스의 언트러스트 보안 존에 구성된 별도의 가상 라우터로 전달합니다. 이러한 가상 라우터는 다양한 사업부를 위한 에지 라우터의 역할을 합니다.

  • 활성 SRX 시리즈 디바이스에서 구성된 가상 라우터는 트래픽을 트러스트 보안 존으로 전달합니다.

  • MX 시리즈 디바이스의 별도의 논리적 시스템으로 구성된 가상 라우터는 트래픽을 EX 시리즈 디바이스에 구성된 브리지 도메인으로 전달합니다.

  • 1부에서는 추가적인 분리가 필요합니다. 이 경우 SRX 시리즈 디바이스에서 구성된 가상 라우터(VR)는 EX 시리즈 디바이스의 브리지 도메인으로 트래픽을 직접 전달합니다.

  • EX 시리즈 디바이스는 트래픽을 데이터센터 서버로 전환합니다.

  • SRX 시리즈 디바이스는 언트러스트를 통해 전달되는 모든 트래픽에 보안 정책을 적용하여 경계와 논리적 시스템 간에 전달되는 모든 트래픽을 신뢰합니다.

  • SRX 시리즈 디바이스는 액티브/패시브 클러스터에 구성되어 클러스터의 한 노드만 한 때 데이터 포우링 플레인에서 활성화됩니다.

  • SRX 시리즈 디바이스는 데이터 플레인에 대한 단일 중복 그룹으로 구성됩니다. 리던던시 그룹은 2개의 Ethernet 인터페이스reth1reth2(그림 1)를 멤버 인터페이스로 사용합니다.

액세스 레이어 구성

다음을 수행하여 액세스 레이어를 구성합니다.

인터페이스 구성

단계별 절차

이 절차는 액세스 레이어 디바이스에 대한 물리적, 논리적 및 네트워크 관리 인터페이스를 구성하는 방법을 설명합니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 인터페이스에 대한 구성을 표시하지 않습니다.

  1. 액세스 레이어 서버 대면 10기가비트 이더넷 인터페이스를 구성합니다.

    이 예에서는 VLAN ID를 사용하는 ge-0/0/17 인터페이스를 구성합니다 17.

    명령문 member 을 포함하고 계층 수준에서 VLAN ID [edit interfaces ge-0/0/17 unit 0 family ethernet-switching vlan] 17 를 지정합니다.

    적절한 인터페이스 이름과 VLAN 번호를 사용하여 모든 서버 대면 인터페이스에 대해 이 단계를 반복합니다.

  2. EX 시리즈 디바이스에서 두 개의 MX 시리즈 디바이스로 10기가비트 이더넷 트렁크 인터페이스를 구성합니다.

    이 예에서는 인터페이스와 인터페이스를 xe-0/1/2 xe-0/1/0 구성합니다.

    명령문 port-mode 을 포함하고 trunk [edit interfaces xe-0/1/2 unit 0 family ethernet-switching] [edit interfaces xe-0/1/0 unit 0 family ethernet-switching] 계층 수준에서 옵션을 지정합니다.

    명령문 members 을 포함하고 all [edit interfaces xe-0/1/2 unit 0 family ethernet-switching vlan] [edit interfaces xe-0/1/0 unit 0 family ethernet-switching] 계층 수준에서 옵션을 지정합니다.

    적절한 인터페이스 이름을 사용하여 모든 10기가비트 이더넷 인터페이스에 대해 이 단계를 반복합니다.

  3. 루프백 논리적 인터페이스를 위해 IPv4 주소 패밀리를 활성화합니다.

    명령문 family 을 포함 inet 하고 계층 수준에서 IPv4를 활성화하는 옵션을 [edit interfaces lo0 unit 0] 지정합니다.

    해당 디바이스에 적합한 주소를 사용하여 모든 EX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  4. EX 시리즈 디바이스 관리 이더넷 인터페이스를 구성합니다.

    이 예에서는 논리적 인터페이스를 unit 0 구성합니다.

    명령문 family 을 포함하고 inet 계층 수준에서 옵션을 [edit me0 unit 0] 지정합니다.

    명령문 address 을 포함하고 계층 수준에서 10.8.108.19/24 IPv4 주소 [edit interfaces me0 unit 0 family inet] 로 지정합니다.

    해당 디바이스에 적합한 관리 인터페이스 주소를 사용하여 모든 EX 시리즈 디바이스에 대해 이 단계를 반복합니다.

액세스 레이어에서 VLA 구성

단계별 절차

이 절차에서는 VLAN 이름 및 태그 ID와 액세스 레이어 디바이스 중 하나에 연관된 트렁크 인터페이스를 구성하는 방법을 설명합니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 VLAN에 대한 구성을 표시하지 않습니다.

  1. EX 시리즈 디바이스의 각 VLAN에 대해 VLAN 이름 및 태그 ID(번호)를 구성합니다.

    이 예에서는 이름 및 태그 ID가 있는 VLAN vlan17 을 구성합니다 17.

    명령문 vlan-id 을 포함하고 계층 수준에서 17 VLAN 태그 ID [edit vlans vlan17] 로 지정합니다.

    적절한 VLAN 이름 및 태그 ID를 사용하여 각 EX 시리즈 디바이스의 모든 VLAN에 대해 이 단계를 반복합니다.

  2. EX 시리즈 디바이스의 각 VLAN에 논리적 트렁크 인터페이스를 연결합니다.

    이 예는 논리적 인터페이스를 xe-0/1/0.0 에 연결합니다vlan17xe-0/1/2.0.

    명령문 interface 을 포함하고 계층 수준에서 [edit vlans vlan17] xe-0/1/0.0 지정합니다.

    명령문 interface 을 포함하고 계층 수준에서 [edit vlans vlan17] xe-0/1/2.0 지정합니다.

    적절한 트렁크 인터페이스 이름을 사용하여 각 EX 시리즈 디바이스의 모든 VLAN에 대해 이 단계를 반복합니다.

중복 트렁크 그룹 구성 및 트렁크 인터페이스에 대한 스패닝 트리 프로토콜 비가동

단계별 절차

이 절차에서는 중복 트렁크 그룹을 구성하고 트렁크 인터페이스에서 RSTP(Rapid Spanning Tree Protocol)를 비활성화하는 방법을 설명합니다.

  1. 트렁크 인터페이스를 중복 트렁크 그룹으로 구성합니다.

    이 예에서는 으로 명 xe-0/1/0.0 xe-0/1/2.0 명된 중복 트렁크 그룹에서 및 트렁크 인터페이스를 구성합니다 rtgroup1.

    계층 수준에서 interface 명령 [edit ethernet-switching-options redundant-trunk-group group rtgroup1] 문을 포함하고 각 트렁크 인터페이스 이름을 지정합니다.

    계층 수준에서 primary 명령 [edit ethernet-switching-options redundant-trunk-group group rtgroup1 xe-0/1/2.0] 문을 포함합니다.

    적절한 인터페이스 이름을 사용하여 모든 중복 트렁크 그룹에 대해 이 단계를 반복합니다.

  2. 트렁크 인터페이스에서 RSTP를 비활성화합니다.

    EX 시리즈 디바이스에서 RSTP는 기본적으로 활성화됩니다. RSTP는 라우팅과 동일한 인터페이스에서 활성화할 수 없습니다.

    이 예에서는 및 트렁크 인터페이스에서 RSTP xe-0/1/0.0 xe-0/1/2.0 를 비활성화합니다.

    명령문 disable 과 계층 [edit protocols rstp interface xe-0/1/0.0] [edit protocols rstp interface xe-0/1/2.0] 수준에 명령문을 포함합니다.

    적절한 인터페이스 이름을 사용하여 모든 코어 대면 트렁크 인터페이스에 대해 이 단계를 반복합니다.

관리 자동화 구성

단계별 절차

이 절차에서는 백그라운드 SCP(Secure Copy Protocol) 파일 전송, 커밋 스크립트 및 이벤트 아카이브 사이트를 지원하는 알려진 호스트인 관리 네트워크에 정적 경로를 구성하는 방법을 설명합니다.

  1. 이더넷 관리 인터페이스가 관리 네트워크에 도달할 수 있도록 정적 경로를 구성합니다.

    명령문 route 을 포함하고 계층 10.8.0.0/16 수준에서 관리 네트워크의 IPv4 [edit routing-options static] 서브넷 주소로 지정합니다.

    명령문 next-hop 을 포함하고 계층 수준에서 넥스홉 라우터의 IPv4 [edit routing-options static route 10.8.0.0/16] 호스트 주소를 지정합니다.

    EX 시리즈 디바이스의 모든 이더넷 관리 인터페이스에 대해 이 단계를 반복합니다.

  2. SSH 알려진 호스트를 구성합니다.

    명령문 host 을 포함하고 계층 수준에서 신뢰할 수 있는 서버에 대한 IPv4 주소 및 RSA 호스트 [edit security ssh-known-hosts] 키 옵션을 지정합니다. 이 예에서는 RSA 호스트 키를 잘라 읽기 쉽게 합니다.

    모든 EX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  3. JSS(Juniper Systems)로의 Juniper Message Bundle(Juniper SSH)을 구성합니다.

    이 예에서 클라이언트 ID는 으로 구성됩니다 00187D0B670D.

    명령문 client 을 포함하고, 00187D0B670D 클라이언트 ID로 지정하고 10.8.7.32 , 계층 수준에서 IPv4 주소 [edit system services outbound-ssh] 로 지정합니다.

    명령문 port 을 포함하고 계층 수준에서 7804 TCP [edit system services outbound-ssh client 00187D0B670D 10.8.7.32] 포트로 지정합니다.

    명령문 device-id 을 포함하고 계층 수준에서 FA022D 장비 ID [edit system services outbound-ssh client 00187D0B670D] 로 지정합니다.

    계층 수준에서 secret 명령 [edit system services outbound-ssh client 00187D0B670D ] 문을 포함합니다.

    명령문 services 을 포함하고 계층 수준에서 가 netconf 용 서비스 [edit system services outbound-ssh client 00187D0B670D ] 로 지정합니다.

    모든 EX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  4. 커밋 스크립트를 구성합니다.

    이 예에서는 스크립트 파일 이름이 입니다 jais-activate-scripts.slax.

    계층 수준에서 allow-transients 명령 [edit system scripts commit] 문을 포함합니다.

    계층 수준에서 optional 명령 [edit system scripts commit file jais-activate-scripts.slax] 문을 포함합니다.

    모든 EX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  5. 이벤트 아카이브 사이트를 구성합니다.

    이 예에서는 아카이브 URL이 로컬 /var/tmp/ 디렉토리이자 대상에 제공된 이름은 입니다 juniper-aim.

    명령문 archive-sites 을 포함하고 계층 수준에서 아카이브 URL을 [edit event-options destinations juniper-aim] 지정합니다.

    모든 EX 시리즈 디바이스에 대해 이 단계를 반복합니다.

신뢰할 수 있는 논리적 시스템에서 통합 레이어 구성

다음을 수행하여 집계 계층을 구성합니다.

신뢰할 수 있는 논리적 시스템에서 인터페이스 구성

단계별 절차

이 절차는 어그리게이션 레이어의 신뢰할 수 있는 보안 존에서 논리적 시스템을 위해 물리적, 논리적, 레이어 3 라우팅 인터페이스를 구성하는 방법을 설명합니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 인터페이스에 대한 구성을 표시하지 않습니다.

  1. 물리적 인터페이스에서 유연한 VLAN 태깅이 가능

    이 예에서는 물리적 인터페이스를 구성합니다 xe-1/0/0.

    명령문 encapsulation 을 포함하고 flexible-ethernet-services 계층 수준에서 옵션을 [edit interfaces xe-1/0/0] 지정합니다.

    계층 수준에서 flexible-vlan-tagging 명령 [edit interfaces xe-1/0/0] 문을 포함합니다.

    적절한 인터페이스 이름을 사용하여 EX 시리즈, SRX 시리즈 및 MX 시리즈 디바이스에 연결된 모든 물리적 인터페이스에 대해 이 단계를 반복합니다.

  2. EX 시리즈 액세스 레이어 디바이스에 연결된 10기가비트 이더넷 인터페이스를 구성합니다.

    이 예는 이라는 논리적 시스템 17xe-1/0/0 하의 인터페이스에 논리적 인터페이스를 구성합니다Trust1.

    명령문 encapsulation 을 포함하고 vlan-bridge 계층 수준에서 옵션을 [edit logical-systems Trust1 interfaces xe-1/0/0 unit 17] 지정합니다.

    명령문 vlan-id 을 포함하고 계층 수준에서 17 VLAN ID [edit logical-systems Trust1 interfaces xe-1/0/0 unit 17] 로 지정합니다.

    적절한 인터페이스 이름, 논리적 인터페이스 번호, VLAN ID 및 논리적 시스템 이름을 사용하여 액세스 레이어 장치에 연결된 모든 인터페이스에 대해 이 단계를 반복합니다.

  3. 그림 1과 같이 다른 MX 시리즈 장치에 연결된 10-Gigabit Ethernet 인터페이스를 구성합니다.

    이 예에서는 인터페이스에 논리적 인터페이스를 17 구성 xe-0/1/0 합니다.

    명령문 encapsulation 을 포함하고 vlan-bridge 계층 수준에서 옵션을 [edit logical-systems Trust1 interfaces xe-0/1/0 unit 17] 지정합니다.

    명령문 vlan-id 을 포함하고 계층 수준에서 17 VLAN 태그 ID [edit logical-systems Trust1 interfaces xe-0/1/0 unit 17] 로 지정합니다.

    적절한 인터페이스 이름, 논리적 인터페이스 번호, VLAN ID 및 논리적 시스템 이름을 사용하여 그림 1 에 표시된 다른 MX 시리즈 디바이스에 연결된 모든 인터페이스에 대해 이 단계를 반복합니다.

  4. SRX 시리즈 디바이스에 연결된 10기가비트 이더넷 인터페이스를 구성합니다.

    이 예에서는 인터페이스에 논리적 인터페이스를 15 구성 xe-1/1/0 합니다. 명령문 encapsulation 을 포함하고 vlan-bridge 계층 수준에서 옵션을 [edit logical-systems Trust1 interfaces xe-1/1/0 unit 15] 지정합니다.

    명령문 vlan-id 을 포함하고 계층 수준에서 15 VLAN 태그 ID [edit logical-systems Trust1 interfaces xe-1/1/0 unit 15] 로 지정합니다.

    적절한 인터페이스 이름, 논리적 인터페이스 번호, VLAN ID 및 논리적 시스템 이름을 사용하여 SRX 시리즈 디바이스에 연결된 모든 인터페이스에 대해 이 단계를 반복합니다.

  5. Layer 3 IRB(Integrated Routing and Bridging) 인터페이스 주소를 구성합니다.

    이 예에서는 으로 명 unit 17 10.17.2.2/24 명된 논리적 시스템 하의 IPv4 주소로 논리적 인터페이스를 구성합니다 Trust1. 명령문 address 을 포함하고 계층 수준에서 10.17.2.2/24 IPv4 주소 [edit logical-systems Trust1 interfaces irb unit 17 family inet] 로 지정합니다.

    [edit logical-systems Trust1 interfaces irb unit 17 family inet]
user@mx# set address 10.17.2.2/24

    적절한 논리적 인터페이스 이름과 IPv4 주소를 사용하여 모든 Layer 3 IBR에 대해 이 단계를 반복합니다.

  6. VRRP(Virtual Router Redundancy Protocol)에 참여하도록 IRB 인터페이스를 구성합니다.

    이 예에서는 unit 17 17 VRRP 그룹 이름으로 논리적 인터페이스를 구성합니다.

    명령문 virtual-address 을 포함하고 계층 10.17.2.1 수준에서 가상 라우터의 IPv4 [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] 주소로 지정합니다.

    인터페이스가 accept-data 가상 IP 주소 [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] 로 전달되는 패킷을 허용할 수 있도록 계층 수준에서 명령문을 포함합니다.

    명령문 priority 을 포함하고 계층 200 수준에서 라우터의 우선 [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] 순위로 지정합니다.

    명령문 fast-interval 을 포함하고 계층 수준에서 200 VRRP [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] 광고 사이의 간격으로 지정합니다.

    계층 수준에서 preempt 명령 [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] 문을 포함합니다.

    적절한 논리적 인터페이스 이름, IPv4 주소, VRRP 그룹 이름 및 우선 순위를 사용하여 모든 Layer 3 IBR 인터페이스에 대해 이 단계를 반복합니다.

통합 레이어에서 VLA 구성

단계별 절차

이 절차에서는 VLAN 이름 및 태그 ID와 associate Trunk 인터페이스, 레이어 3 라우팅 인터페이스를 각 VLAN과 함께 구성하는 방법을 설명하고 있습니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 VLAN에 대한 구성을 표시하지 않습니다.

  1. MX 시리즈 디바이스의 각 VLAN에 대해 VLAN 이름 및 태그 ID(번호)를 구성합니다.

    이 예에서는 논리적 시스템의 이름과 태그 ID 17 를 사용하여 VLAN vlan17 을 구성합니다Trust1. 명령문 vlan-id 을 포함하고 계층 수준에서 17 VLAN ID [edit logical-systems Trust1 bridge-domains vlan17] 로 지정합니다.

    적절한 VLAN 이름 및 태그 ID를 사용하여 각 MX 시리즈 디바이스의 모든 VLAN에 대해 이 단계를 반복합니다.

  2. MX 시리즈 디바이스의 각 VLAN에 논리적 트렁크 인터페이스를 연결합니다.

    다음 예제는 xe-1/0/0.17 EX 시리즈 xe-0/1/0.17 디바이스에 연결된 논리적 인터페이스와 다른 MX 시리즈 디바이스에 연결된 논리적 인터페이스를 연계합니다 vlan17.

    명령문 interface 을 포함하고 계층 수준에서 [edit logical-systems Trust1 bridge-domains vlan17] xe-1/0/0.17 지정합니다.

    명령문 interface 을 포함하고 계층 수준에서 [edit logical-systems Trust1 bridge-domains vlan17] xe-0/1/0.17 지정합니다.

    적절한 트렁크 인터페이스 이름을 사용하여 각 MX 시리즈 디바이스의 모든 서버용 VLAN에 대해 이 단계를 반복합니다.

  3. MX 시리즈 디바이스의 각 VLAN과 레이어 3 인터페이스를 연결합니다.

    이 예는 인터페이스를 에 irb.17 연결합니다 vlan17.

    명령문 routing-interface 을 포함하고 계층 수준에서 [edit logical-systems Trust1 bridge-domains vlan17] irb.17 지정합니다.

    적절한 Layer 3 인터페이스 이름을 사용하여 각 MX 시리즈 디바이스의 모든 서버용 VLAN에 대해 이 단계를 반복합니다.

  4. MX 시리즈 디바이스의 각 상호 연결 VLAN에 논리적 인터페이스를 연결합니다.

    다음 예제는 xe-1/1/0.15 SRX xe-0/1/0.15 시리즈 디바이스에 연결된 논리적 인터페이스와 다른 MX 시리즈 디바이스에 연결된 논리적 인터페이스를 연계합니다 vlan15.

    명령문 interface 을 포함하고 계층 수준에서 [edit logical-systems Trust1 bridge-domains vlan15] xe-1/1/0.15 지정합니다.

    명령문 interface 을 포함하고 계층 수준에서 [edit logical-systems Trust1 bridge-domains vlan15] xe-0/1/0.15 지정합니다.

    적절한 상호 연결 인터페이스 이름을 사용하여 각 MX 시리즈 디바이스의 모든 상호 연결 VLAN에 대해 이 단계를 반복합니다.

  5. MX 시리즈 디바이스의 각 상호 연결 VLAN과 Layer 3 인터페이스를 연결하여 네트워크 프로토콜에 대한 적극적인 참여를 최단 경로 우선(OSPF) 수 있습니다.

    이 예는 인터페이스를 에 irb.15 연결합니다 vlan15.

    명령문 routing-interface 을 포함하고 계층 수준에서 [edit logical-systems Trust1 bridge-domains vlan15] irb.15 지정합니다.

    적절한 Layer 3 인터페이스 이름을 사용하여 각 MX 시리즈 디바이스의 모든 서버용 VLAN에 대해 이 단계를 반복합니다.

가상 라우터 라우팅 인스턴스 구성

단계별 절차

이 절차에서는 단일 가상 라우터 라우팅 인스턴스를 구성하는 방법을 설명합니다. 이 절차는 예제 구성의 대표 샘플을 보여줍니다. 이 예에서는 모든 디바이스에 대한 구성을 표시하지 않습니다.

  1. 라우팅 인스턴스 유형을 구성합니다.

    이 예에서는 라우팅 인스턴스에 이름을 지정합니다 MX-VR2. 명령문 instance-type 을 포함하고 계층 수준에서 virtual-router type [edit logical-systems Trust1 routing-instances MX-VR2] 으로 지정합니다.

    적절한 가상 라우터 이름을 사용하여 각 MX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  2. 가상 라우터 라우팅 인스턴스에서 사용되는 IRB 인터페이스를 추가합니다.

    명령문 interface 을 포함하고 계층 수준에서 각 IRB 인터페이스의 이름을 [edit routing-instances MX-VR2] 지정합니다.

    적절한 인터페이스 이름을 사용하여 각 MX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  3. 가상 라우터 라우팅 인스턴스에서 사용하는 IGP 프로토콜 액티브 인터페이스를 구성하여 라우팅 테이블에 서버로의 경로가 채워질 수 있도록 합니다.

    이 예에서는 하나의 IRB 인터페이스를 구성하여 네트워크 프로토콜 영역에 최단 경로 우선(OSPF) 있습니다 0.0.0.0.

    명령문 interface 을 포함하고 계층 수준에서 IRB 인터페이스의 이름을 [edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0] 지정합니다.

    적절한 가상 라우터 이름을 사용하여 각 MX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  4. 가상 라우터 라우팅 인스턴스 내의 각 VLAN과 연관된 내부 게이트웨이 프로토콜 패시브 인터페이스를 구성합니다.

    다음 예제는 IRB 인터페이스를 수동적으로 네트워크 프로토콜 영역에 최단 경로 우선(OSPF) 구성합니다 0.0.0.0.

    계층 수준에서 passive 명령 [edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0 interface irb-name] 문을 포함합니다.

    적절한 가상 라우터 이름을 사용하여 각 MX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  5. 논리적 시스템 라우터 식별자를 구성합니다.

    명령문 router-id 을 포함하고 계층 수준에서 10.200.11.101 라우터 식별자 [edit logical-systems Trust1 routing-instances MX-VR2 routing-options] 로 지정합니다.

    적절한 라우터 식별자를 사용하여 각 MX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

관리 인터페이스 구성

단계별 절차

이 절차는 루프백 논리적 인터페이스를 위해 관리 네트워크와 IPv4 주소 패밀리에 대한 정적 경로를 구성하는 방법을 설명합니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 인터페이스에 대한 구성을 표시하지 않습니다.

  1. 이더넷 관리 인터페이스가 관리 네트워크에 도달할 수 있도록 정적 경로를 구성합니다.

    명령문 route 을 포함하고 계층 10.0.0.0/8 수준에서 관리 네트워크의 IPv4 [edit routing-options static] 서브넷 주소로 지정합니다.

    명령문 next-hop 을 포함하고 계층 수준에서 넥스홉 라우터의 IPv4 [edit routing-options static route 10.0.0.0/8] 호스트 주소를 지정합니다.

    계층 수준에서 retain no-readvertise 명령문을 [edit routing-options static route 10.0.0.0/8] 포함합니다.

    모든 MX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  2. MX 시리즈 디바이스 관리 이더넷 인터페이스를 구성합니다. 이 예에서는 논리적 인터페이스를 unit 0 구성합니다.

    명령문 family 을 포함하고 inet 계층 수준에서 옵션을 [edit fxp0 unit 0] 지정합니다.

    명령문 address 을 포함하고 계층 수준에서 10.8.3.212/24 IPv4 주소 [edit interfaces fxp0 unit 0] 로 지정합니다.

    해당 장비에 적합한 관리 인터페이스 주소를 사용하여 모든 MX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  3. 루프백 논리적 인터페이스를 구성합니다.

    명령문 family 을 포함하고 inet 계층 수준에서 옵션을 [edit interfaces lo0 unit 0] 지정합니다.

    모든 MX 시리즈 디바이스에 대해 이 단계를 반복합니다.

논리적 시스템 관리자 계정 구성

단계별 절차

이 절차는 할당된 논리적 시스템의 컨텍스트에 국한된 관리자 계정 클래스를 구성하고 관리자가 각 논리적 시스템을 위해 계정을 구성하는 방법을 설명합니다.

  1. 관리자 계정 클래스를 생성합니다.

    이 예에서는 사용자 trust1-admin 클래스가 논리적 시스템에 all 대한 권한으로 Trust1 생성됩니다.

    명령문 class 을 포함하고 계층 수준에서 trust1-admin 클래스 이름 [edit system login] 로 지정합니다.

    명령문 logical-system 을 포함하고 계층 수준에서 Trust1 논리적 시스템 이름 [edit system login class trust1-admin] 으로 지정합니다.

    명령문 permissions 을 포함하고 all 계층 수준에서 옵션을 [edit system login class trust1-admin] 지정합니다.

    적절한 논리적 시스템 이름을 사용하여 각 MX 시리즈 디바이스의 trust2-admin 및 신뢰할 수 없는 관리자 클래스에 대해 이 단계를 반복합니다.

  2. MX 시리즈 디바이스의 각 논리적 시스템에 해당하는 관리자 계정을 생성합니다.

    이 예에서는 사용자 trust1 계정이 생성되어 클래스에 할당 trust1-admin 됩니다.

    명령문 class 을 포함하고 계층 수준에서 trust1-admin 사용자 클래스 [edit system login user trust1] 로 지정합니다.

    명령문 encrypted-password 을 포함하고 [edit system login user trust1 authentication] 계층 수준에서 암호화된 암호 문자열을 입력합니다.

    각 MX 시리즈 디바이스의 trust2 및 신뢰할 수 없는 사용자 계정에 대해 이 단계를 반복합니다.

관리 자동화 구성

단계별 절차

이 절차는 백그라운드 SCP 파일 전송, 커밋 스크립트 및 아카이브 사이트를 지원하기 위해 알려진 호스트를 구성하는 방법을 설명합니다.

  1. 커밋 스크립트를 구성합니다.

    이 예에서는 스크립트 파일 이름이 입니다 jais-activate-scripts.slax.

    계층 수준에서 allow-transients 명령 [edit system scripts commit] 문을 포함합니다.

    계층 수준에서 optional 명령 [edit system scripts commit file jais-activate-scripts.slax] 문을 포함합니다.

  2. 이벤트 아카이브 사이트를 구성합니다.

    이 예에서는 아카이브 URL이 로컬 /var/tmp/ 디렉토리며 대상에 제공된 이름은 입니다 juniper-aim.

    명령문 archive-sites 을 포함하고 계층 수준에서 아카이브 URL을 [edit event-options destinations juniper-aim] 지정합니다.

언트러스드 논리적 시스템에서 코어 레이어 구성

다음을 수행하여 코어 레이어를 구성합니다.

언트러스드 논리적 시스템의 인터페이스 구성

단계별 절차

이 절차는 코어 레이어의 언트러스트 보안 존에서 논리적 시스템에 대한 물리적, 논리적, 레이어 3 라우팅 인터페이스를 구성하는 방법을 설명합니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 인터페이스에 대한 구성을 표시하지 않습니다.

  1. 그림 1과 같이 다른 MX 시리즈 장치에 연결된 10기가비트의 중복 이더넷 인터페이스를 구성합니다.

    이 예에서는 19 xe-0/3/0 Untrust VLAN 19에 참여하도록 명명된 논리적 시스템 하의 인터페이스에 논리적 인터페이스를 구성합니다. 명령문 encapsulation 을 포함하고 vlan-bridge 계층 수준에서 옵션을 [edit logical-systems Untrust interfaces xe-0/3/0 unit 19] 지정합니다.

    명령문 vlan-id 을 포함하고 계층 수준에서 19 VLAN 태그 ID [edit logical-systems Untrust interfaces xe-0/3/0 unit 19] 로 지정합니다.

    적절한 인터페이스 이름, 논리적 인터페이스 번호, VLAN ID 및 논리적 시스템 이름을 사용하여 다른 MX 시리즈 장치에 연결된 모든 중복 Ethernet 인터페이스에 대해 이 단계를 반복합니다.

  2. SRX 시리즈 디바이스에 연결된 10기가비트 이더넷 인터페이스를 구성합니다.

    이 예에서는 19 xe-2/2/0 Untrust VLAN 19에 참여하도록 명명된 논리적 시스템 하의 인터페이스에 논리적 인터페이스를 구성합니다.

    명령문 encapsulation 을 포함하고 vlan-bridge 계층 수준에서 옵션을 [edit logical-systems Untrust interfaces xe-2/2/0 unit 19] 지정합니다.

    명령문 vlan-id 을 포함하고 계층 수준에서 19 VLAN 태그 ID [edit logical-systems Untrust interfaces xe-2/2/0 unit 19] 로 지정합니다.

    적절한 인터페이스 이름, 논리적 인터페이스 번호, VLAN ID 및 논리적 시스템 이름을 사용하여 SRX 시리즈 디바이스에 연결된 모든 중복 Ethernet 인터페이스에 대해 이 단계를 반복합니다.

  3. IP 기반/네트워크 기반 코어 네트워크에 연결된 10기가비트 MPLS 인터페이스를 구성합니다.

    이 예는 이라는 논리적 시스템 0 xe-1/3/0 하의 인터페이스에 논리적 인터페이스를 구성합니다 Untrust.

    명령문 address 을 포함하고 계층 수준에서 10.200.4.1/30 IPv4 주소 [edit logical-systems Untrust interfaces xe-1/3/0 unit 0 family inet] 로 지정합니다.

    명령문 family 을 포함하고 mpls 계층 수준에서 옵션을 [edit logical-systems Untrust interfaces xe-1/3/0 unit 0] 지정합니다.

    적절한 인터페이스 이름, 논리적 인터페이스 번호, IPv4 주소 및 논리적 시스템 이름을 사용하여 서비스 제공업체 네트워크에 연결된 모든 10-Gigabit Ethernet 인터페이스에 대해 이 단계를 반복합니다.

  4. 레이어 3 IRB 인터페이스 주소를 구성합니다.

    다음 예제는 으로 명 unit 19 명된 논리적 시스템 하의 IPv4 주소로 VLAN 19 10.19.2.1/24 에 참여하는 논리적 인터페이스를 구성합니다 Untrust.

    명령문 address 을 포함하고 계층 수준에서 10.19.2.1/24 IPv4 주소 [edit logical-systems Untrust interfaces irb unit 19 family inet] 로 지정합니다.

    적절한 논리적 인터페이스 이름과 IPv4 주소를 사용하여 모든 Layer 3 IRB 인터페이스에 대해 이 단계를 반복합니다.

  5. 논리적 시스템의 루프백 논리적 인터페이스를 위해 IP 주소를 구성합니다 Untrust.

    명령문 address 을 포함하고 계층 수준에서 10.200.11.1/32 IPv4 주소 [edit logical-systems Untrust interfaces lo0 unit 1 family inet] 로 지정합니다.

    적절한 IPv4 주소를 사용하여 모든 MX 시리즈 디바이스에 대해 이 단계를 반복합니다.

코어 레이어에서 VLA 구성

단계별 절차

이 절차에서는 각 코어 상호 연결 VLAN과 VLAN의 VLAN 이름 및 태그 ID 및 associate 인터페이스, Layer 3 라우팅 인터페이스를 구성하는 방법을 설명하고 있습니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 VLAN에 대한 구성을 표시하지 않습니다.

  1. MX 시리즈 디바이스의 각 코어 상호 연결 VLAN에 대해 VLAN 이름 및 태그 ID(번호)를 구성합니다.

    이 예에서는 논리적 시스템의 이름과 태그 ID 14 를 사용하여 VLAN vlan14 을 구성합니다Untrust.

    명령문 vlan-id 을 포함하고 계층 수준에서 14 VLAN ID [edit logical-systems Untrust bridge-domains vlan14] 로 지정합니다.

    적절한 VLAN 이름 및 태그 ID를 사용하여 각 MX 시리즈 디바이스의 모든 VLAN에 대해 이 단계를 반복합니다.

  2. MX 시리즈 디바이스의 각 VLAN에 논리적 인터페이스를 연결합니다.

    이 예제는 xe-0/3/0.14 다른 MX xe-2/2/0.14 시리즈 디바이스에 연결되어 를 사용하여 SRX 시리즈 디바이스에 연결된 논리적 인터페이스를 연결합니다 vlan14.

    명령문 interface 을 포함하고 계층 수준에서 [edit logical-systems Untrust bridge-domains vlan14] xe-0/3/0.14 지정합니다.

    명령문 interface 을 포함하고 계층 수준에서 [edit logical-systems Untrust bridge-domains vlan14] xe-2/2/0.14 지정합니다.

    적절한 인터페이스 이름을 사용하여 각 MX 시리즈 디바이스의 모든 코어 상호 연결 VLAN에 대해 이 단계를 반복합니다.

  3. MX 시리즈 디바이스의 각 VLAN과 레이어 3 인터페이스를 연결합니다.

    이 예는 인터페이스를 에 irb.14 연결합니다 vlan14.

    명령문 routing-interface 을 포함하고 계층 수준에서 [edit logical-systems Untrust bridge-domains vlan14] irb.14 지정합니다.

    적절한 Layer 3 인터페이스 이름을 사용하여 각 MX 시리즈 디바이스의 모든 코어 상호 연결 VLAN에 대해 이 단계를 반복합니다.

언트러스드 논리적 시스템에서 프로토콜 구성

단계별 절차

이 절차에서는 논리적 시스템 언트러스트를 위해 BGP(Border Gateway Protocol), MPLS, RSVP 및 최단 경로 우선(OSPF) 프로토콜을 구성하는 방법을 설명하고 있습니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 디바이스에 대한 구성을 표시하지 않습니다.

  1. MX 시리즈 디바이스에서 최단 경로 우선(OSPF) 프로토콜에 인터페이스를 추가합니다.

    이 예에서는 코어 네트워크 xe-1/3/0.0 lo0.1 에서 사용되는 논리적 인터페이스와 최단 경로 우선(OSPF) 프로토콜에 추가합니다.

    명령문 interface 을 포함하고 계층 수준에서 lo0.1 xe-1/3/0.0 [edit logical-systems Untrust protocols ospf area 0.0.0.0] 인터페이스와 인터페이스를 지정합니다.

    적절한 인터페이스 이름을 사용하여 코어 레이어 장치에 연결된 모든 10기가비트 이더넷 인터페이스에 대해 이 단계를 반복합니다.

  2. GRE(Generic Router Encapsulation) 터널을 구성합니다.

    이 예에서는 동적 GRE 터널을 으로 지정합니다 GRE1.

    계층 수준에서 gre 터널 [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] 유형을 지정하는 명령문을 포함합니다.

    명령문 source-address 을 포함하고 계층 10.200.11.1 수준에서 IPv4 소스 주소 [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] 로 지정합니다.

    명령문 destination-networks 을 포함하고 계층 수준에서 0.0.0.0/0 대상 prefix로 [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] 지정합니다.

    해당 소스 주소를 사용하여 각 MX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  3. 논리적 시스템 로컬 자율 시스템 번호 및 라우터 식별자를 구성합니다.

    명령문 autonomous-system 을 포함하고 계층 64500 [edit logical-systems Untrust routing-options] 수준에서 자율 시스템 번호로 지정합니다.

    명령문 router-id 을 포함하고 계층 수준에서 10.200.11.101 라우터 식별자 [edit logical-systems Untrust routing-options] 로 지정합니다.

    적절한 라우터 식별자 및 자율 시스템 번호 64500을 사용하여 각 MX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  4. 내부 BGP(Border Gateway Protocol) 피어 그룹을 구성합니다.

    명령문 type 을 포함하고 internal 계층 수준에서 옵션을 [edit logical-systems Untrust protocols bgp group int] 지정합니다.

    명령문 local-address 을 포함하고 논리적 시스템 언트러스트의 라우터 ID(10.200.11.1)를 계층 수준에서 로컬 주소 [edit logical-systems Untrust protocols bgp group int] 로 지정합니다.

    명령문 unicast 과 계층 [edit logical-systems Untrust protocols bgp group int family inet] [edit logical-systems Untrust protocols bgp group int family inet-vpn] 수준에 명령문을 포함합니다.

    명령문 local-as 을 포함하고 계층 64500 수준에서 로컬 [edit logical-systems Untrust protocols bgp group int] 자율 시스템 번호로 지정합니다.

    명령문 peer-as 을 포함하고 계층 64500 수준에서 피어 자율 시스템 번호 [edit logical-systems Untrust protocols bgp group int] 로 지정합니다.

    명령문 neighbor 을 포함하고 계층 수준에서 이웃 IPv4 주소를 [edit logical-systems Untrust protocols bgp group int] 지정합니다.

    인접 주소는 로컬 데이터센터의 다른 MX 시리즈 디바이스의 라우터 ID 주소, 원격 데이터센터의 MX 시리즈 디바이스, IP 기반/MPLS 코어 네트워크에 있는 라우터입니다.

    모든 MX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  5. 서비스 제공업체 코어 네트워크에서 사용되는 MPLS 프로토콜에 인터페이스를 추가합니다.

    이 예에서는 서비스 xe-1/3/0.0 xe-2/3/0.0 제공업체 코어 네트워크에 연결된 인터페이스와 인터페이스를 추가합니다.

    명령문 interface 을 포함하고 계층 수준에서 xe-2/3/0.0 xe-1/3/0.0 [edit logical-systems Untrust protocols mpls] 인터페이스와 인터페이스를 지정합니다.

    모든 MX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  6. LSP를 MPLS 기반 코어 네트워크에 있는 라우터에 MPLS LSP를 생성합니다.

    이 예에서는 으로 명명된 LSP를 만듭니다 to-core-router.

    명령문 to 을 포함하고 계층 10.200.11.3 수준에서 코어 라우터의 IPv4 [edit logical-systems Untrust protocols mpls label-switched-path to-core-router] 주소로 지정합니다.

    계층 수준에서 no-cspf 명령 [edit logical-systems Untrust protocols mpls] 문을 포함합니다.

    모든 MX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  7. 네트워크 기반 코어 네트워크에서 사용되는 RSVP MPLS 추가합니다.

    명령문 interface 을 포함하고 계층 수준에서 xe-2/3/0.0 xe-1/3/0.0 [edit logical-systems Untrust protocols rsvp] 인터페이스와 인터페이스를 지정합니다.

    모든 MX 시리즈 디바이스에 대해 이 단계를 반복합니다.

보안 디바이스 구성

다음 절차에서는 액세스 레이어의 신뢰할 수 있는 보안 존에 대해 중복 Ethernet 인터페이스, 노드 클러스터, 보안 존, 보안 정책 및 라우팅 정책을 구성하는 방법을 설명하고 있습니다.

Redundant Ethernet Interface Link Aggregation Group 구성

단계별 절차

이 절차에서는 중복 Ethernet 인터페이스 링크 어그리게이트 그룹을 구성하는 방법을 설명하고 있습니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 인터페이스에 대한 구성을 표시하지 않습니다.

  1. 노드에서 지원되는 통합 Ethernet 인터페이스의 수를 구성합니다.

    이 예에서는 두 인터페이스를 지원할 수 있습니다.

    명령문 device-count 을 포함하고 계층 수준에서 2 지원되는 인터페이스 [edit chassis aggregated-devices ethernet] 수로 지정합니다.

    적절한 디바이스 수를 사용하여 모든 SRX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  2. 10-Gigabit Ethernet 자식 인터페이스를 중복 이더넷(reth) 상위 인터페이스에 할당합니다.

    다음 예제는 xe-1/0/0 Node0의 상위 인터페이스에 10기가비트 이더넷 자 reth1 식 인터페이스를 할당합니다.

    명령문 redundant-parent 을 포함하고 계층 수준에서 reth1 상위 [edit interfaces xe-1/0/0 gigether-options] 인터페이스로 지정합니다.

    적절한 인터페이스 이름과 중복 상위 이름을 사용하여 모든 중복 Ethernet 인터페이스에 대해 이 단계를 반복합니다.

  3. 중복 Ethernet 상위 인터페이스 옵션을 구성합니다.

    이 예에서는 중복 reth1 상위 인터페이스를 구성합니다.

    명령문 redundancy-group 을 포함하고 계층 수준에서 1 [edit interfaces reth1 redundant-ether-options] 그룹 번호로 지정합니다.

    계층 수준에서 vlan-tagging 명령 [edit interfaces reth1] 문을 포함합니다.

    적절한 중복 상위 이름과 중복 그룹 번호를 사용하여 모든 중복 상위 인터페이스에 대해 이 단계를 반복합니다.

  4. 중복 이더넷 상위 논리적 인터페이스를 구성합니다.

    이 예에서는 논리적 인터페이스를 unit 15 구성합니다.

    명령문 address 을 포함하고 계층 수준에서 10.15.2.2/24 IPv4 주소 [edit interfaces reth1 unit 15 family inet] 로 지정합니다.

    명령문 vlan-id 을 포함하고 계층 수준에서 15 VLAN 식별자 [edit interfaces reth1 unit 15] 로 지정합니다.

    적절한 중복 상위 이름, IPv4 주소 및 VLAN 식별자를 사용하여 모든 중복 상위 인터페이스에 대해 이 단계를 반복합니다.

SRX 시리즈 클러스터 구성

단계별 절차

이 절차는 클러스터의 노드 간 패브릭 연결을 구성하는 방법을 설명합니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 인터페이스에 대한 구성을 표시하지 않습니다.

  1. 클러스터 노드 간 패브릭으로 사용할 10-Gigabit Ethernet 인터페이스를 구성합니다.

    이 예에서는 자식 패 xe-1/0/1fab0 릭 인터페이스와 상위 패브릭 인터페이스로 구성합니다. 연결이 SRX0에서 SRX1로 연결됩니다.

    명령문 member-interfaces 을 포함하고 xe-1/0/1 계층 [edit interfaces fab0 fabric-options] 수준에서 인터페이스를 지정합니다.

    적절한 자식 인터페이스 이름과 상위 인터페이스 이름을 사용하여 클러스터 패브릭의 일부인 모든 10-Gigabit Ethernet 인터페이스에 대해 이 단계를 반복합니다.

  2. 클러스터가 지원하는 중복 Ethernet 인터페이스의 수를 구성합니다.

    이 예에서는 인터페이스 4 수로 구성합니다.

    명령문 reth-count 을 포함하고 계층 수준에서 4 [edit chassis cluster] 인터페이스 수로 지정합니다.

    클러스터의 모든 SRX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  3. 중복 그룹에 대한 노드 우선 순위를 구성하여 어떤 노드가 기본 노드인지, 또는 보조 노드인지를 결정합니다.

    이 예에서는 더 높은 우선 순위 node 0 로 구성됩니다.

    명령문 priority 을 포함하고 계층 수준에서 [edit chassis cluster redundancy-group 1 node 0] 200 지정합니다.

    명령문 priority 을 포함하고 계층 수준에서 [edit chassis cluster redundancy-group 1 node 1] 100 지정합니다.

    클러스터의 모든 SRX 시리즈 디바이스의 모든 중복 그룹에 대해 이 단계를 반복합니다.

  4. 보다 높은 우선 순위의 노드가 장애 발생을 시작하여 중복 그룹의 주요 노드가 되기 위한 노드를 허용합니다.

    계층 수준에서 preempt 명령 [edit chassis cluster redundancy-group 1] 문을 포함합니다.

    클러스터의 모든 SRX 시리즈 디바이스의 모든 중복 그룹에 대해 이 단계를 반복합니다.

  5. 제어 링크 복구가 자동으로 수행될 수 있도록 합니다.

    계층 수준에서 control-link-recovery 명령 [edit chassis cluster] 문을 포함합니다.

    클러스터의 모든 SRX 시리즈 디바이스의 모든 중복 그룹에 대해 이 단계를 반복합니다.

  6. 인터페이스 모니터링을 통해 인터페이스의 상태 모니터링 및 중복 그룹 장애 조치 트리거

    이 예에서는 의 가중치가 xe-1/0/0 있는 인터페이스를 구성합니다 255.

    계층 수준에서 weight 명령 [edit chassis cluster redundancy-group 1 interface-monitor xe-1/0/0] 문을 포함합니다.

    클러스터의 모든 SRX 시리즈 디바이스의 모든 중복 그룹 인터페이스에 대해 이 단계를 반복합니다.

보안 존 생성 및 인바운드 트래픽 정책 작업 구성

단계별 절차

이 절차는 SRX 시리즈 디바이스에서 신뢰할 수 있는 및 신뢰할 수 없는 보안 존을 구성하는 방법을 설명합니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 존에 대한 구성을 표시하지 않습니다.

  1. 신뢰할 수 있는 존에 중복 이더넷 논리적 인터페이스를 할당합니다.

    이 예에서는 존 reth1.15 에 인터페이스를 할당 Trust2 합니다.

    명령문 interfaces 을 포함하고 계층 수준에서 reth1.15[edit security zones security-zone Trust2] 의 인터페이스로 지정합니다.

    적절한 존 이름과 중복 이더넷 논리적 인터페이스 이름을 사용하여 모든 신뢰할 수 있는 보안 존에 대해 이 단계를 반복합니다.

  2. 언트러스트 존에 중복 이더넷 논리적 인터페이스를 할당합니다.

    이 예에서는 존 reth2.19 에 인터페이스를 할당 Untrust2 합니다.

    명령문 interfaces 을 포함하고 계층 수준에서 reth2.19[edit security zones security-zone Untrust2] 의 인터페이스로 지정합니다.

    적절한 존 이름과 중복 이더넷 논리적 인터페이스 이름을 사용하여 언트러스티드 보안 존에 대해 이 단계를 반복합니다.

  3. 신뢰할 수 있는 보안 존에서 모든 인바운드 시스템 서비스 트래픽을 활성화합니다.

    이 예에서는 존에 대한 모든 서비스를 사용할 수 Trust2 있습니다.

    명령문 system-services 을 포함하고 all 계층 수준에서 옵션을 [edit security zones security-zone Trust2 host-inbound-traffic] 지정합니다.

    시스템 서비스가 허용되는 SRX 시리즈 디바이스의 모든 보안 존에 대해 이 단계를 반복합니다.

  4. 신뢰할 수 있는 보안 존에서 인바운드 트래픽에 대한 모든 프로토콜을 활성화합니다.

    이 예에서는 존에 대한 모든 프로토콜을 사용할 수 Trust2 있습니다.

    명령문 protocols 을 포함하고 all 계층 수준에서 옵션을 [edit security zones security-zone Trust2 host-inbound-traffic] 지정합니다.

    모든 프로토콜이 인바운드 트래픽을 허용하는 SRX 시리즈 디바이스의 모든 보안 존에 대해 이 단계를 반복합니다.

보안 존 정책 구성

단계별 절차

이 절차는 SRX 시리즈 디바이스에서 보안 존 정책을 구성하는 방법을 설명합니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 정책에 대한 구성을 표시하지 않습니다.

  1. 생성되는 정책에서 어떤 존 트래픽이 유치될지, 어떤 존 트래픽이 생성될지 정의합니다.

    다음 예제에서는 존을 존과 를 으로 Trust2 정의합니다 Untrust2.

    단일 명령행에서 명령 from-zone 문을 포함하고, policy Untrust2to-zone denyftp Trust2statement을 포함 및 지정하고, statement을 포함하며, policy name으로 지정하고, match 계층 수준에서 명령 [edit security policies] 문을 포함함.

    존 간의 트래픽을 제어하는 모든 정책에 대해 이 단계를 반복합니다.

  2. 트래픽 거부에 대한 정책 일치 기준을 구성합니다.

    다음 예제는 Junos OS 정책의 소스에서 대상 주소까지의 Junos OS 애플리케이션과 일치합니다 denyftp.

    명령문 source-address 을 포함하고 계층 수준에서 any IPv4 주소 [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] 로 지정합니다.

    명령문 destination-address 을 포함하고 계층 수준에서 any IPv4 주소 [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] 로 지정합니다.

    명령문 application 을 포함하고 계층 수준에서 junos-ftp 애플리케이션 [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] 으로 지정합니다.

    올바른 프로토콜을 사용하여 모든 프로토콜 매칭 정책에 대해 이 단계를 반복합니다.

  3. 특정 애플리케이션이 트러스트2 존에서 언트러스트2 존으로 전달되지 못하도록 차단합니다.

    다음 예제는 존에서 Junos OS FTP 애플리케이션을 거부 Trust2 Untrust2 합니다.

    계층 수준에서 deny 명령 [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp then] 문을 포함합니다.

    모든 거부 정책에 대해 이 단계를 반복합니다.

  4. 트래픽 허용에 대한 정책 일치 기준을 구성합니다.

    이 예는 모든 소스에서 명명된 정책의 대상 주소와 모든 애플리케이션을 일치합니다 allow_all.

    명령문 source-address 을 포함하고 계층 수준에서 any IPv4 주소 [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] 로 지정합니다.

    명령문 destination-address 을 포함하고 계층 수준에서 any IPv4 주소 [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] 로 지정합니다.

    명령문 application 을 포함하고 계층 수준에서 any 애플리케이션 [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] 으로 지정합니다.

    모든 애플리케이션 매칭 정책에 대해 이 단계를 반복합니다.

  5. 모든 애플리케이션 트래픽이 트러스트2 존에서 언트러스트2 존으로 전달됩니다.

    이 예는 존에서 Trust2 존으로의 모든 애플리케이션 트래픽을 허용 Untrust2 합니다.

    계층 수준에서 permit 명령 [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all then] 문을 포함합니다.

    모든 허용 정책에 대해 이 단계를 반복합니다.

라우팅 정책 생성

단계별 절차

이 절차는 적절한 라우팅 인스턴스에 적용할 수 있는 SRX 시리즈 디바이스에 라우팅 정책을 생성하는 방법을 설명합니다. 이 절차는 구성의 대표적인 샘플을 보여줍니다. 이 예에서는 모든 정책에 대한 구성을 표시하지 않습니다.

  1. 120으로의 라우팅에 대한 로컬 BGP(Border Gateway Protocol) 정책을 생성합니다.

    다음 예제에서는 local-pref-120 에 대해 광고하는 수신된 BGP(Border Gateway Protocol) 로컬 기본 설정 값을 BGP(Border Gateway Protocol) 정책을 만듭니다 120.

    명령문 protocol 을 포함하고 계층 수준에서 bgp 값으로 [edit policy-options policy-statement local-pref-120 term term1 from] 지정합니다.

    명령문 local-preference 을 포함하고 계층 수준에서 120 값으로 [edit policy-options policy-statement local-pref-120 term term1 then] 지정합니다.

    각 SRX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  2. 모든 통합( default-ospf 생성된) 경로를 허용하도록 이름된 정책에 대한 일치 기준을 구성합니다.

    명령문 protocol 을 포함하고 계층 수준에서 aggregate 일치할 프로토콜 [edit policy-options policy-statement default-ospf term term1 from] 로 지정합니다.

    명령문 route-filter 을 포함하고 계층 수준에서 0.0.0.0/0 exact 일치 조건으로 [edit policy-options policy-statement default-ospf term term1 from] 지정합니다.

    각 SRX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  3. 메트릭을 0설정하고 외부 경로 유형을 에 설정하는 정책에 대한 작업을 구성합니다 1.

    다음 예제는 메트릭을 default-ospf 01설정하고 외부 루트를 입력하도록 설정하며 라우팅 테이블에 대한 통합 경로를 수락하는 정책을 구성합니다.

    명령문 metric 을 포함하고 계층 수준에서 0 외부 유형 [edit policy-options policy-statement default-ospf term term1 then] 으로 지정합니다.

    명령문 type 을 포함하고 계층 수준에서 1 외부 경로 유형 [edit policy-options policy-statement default-ospf term term1 then external] 으로 지정합니다.

    계층 수준에서 accept 명령 [edit policy-options policy-statement default-ospf term term1 then] 문을 포함합니다.

    각 SRX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  4. 지정된 prefix가 있는 최단 경로 우선(OSPF) 허용하는 정책을 생성합니다.

    다음 예제에서는 trust2-ebgp-out 각 트러스트 VLAN의 서브넷에 해당하는 최단 경로 우선(OSPF) 프리픽스와 함께 최단 경로 우선(OSPF) 이름을 지정하는 정책을 만듭니다.

    명령문 protocol 을 포함하고 계층 수준에서 ospf 프로토콜 [edit policy-options policy-statement trust2-ebgp-out term term1 from] 로 지정합니다.

    명령문 route-filter 을 포함하고 VLAN 서브넷 주소 exact 와 계층 수준에서 일치 키워드 [edit policy-options policy-statement trust2-ebgp-out term term1 from] 를 지정합니다.

    계층 수준에서 accept 명령 [edit policy-options policy-statement trust2-ebgp-out term term1 then] 문을 포함합니다.

    각 SRX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  5. 경로 유형이 외부인 경우 BGP(Border Gateway Protocol) 허용하는 정책을 생성합니다.

    다음 예제에서는 라우팅 유형이 check-bgp-routes 외부인 BGP(Border Gateway Protocol) 라우팅을 허용하는 정책을 만듭니다.

    명령문 protocol 을 포함하고 계층 수준에서 bgp 프로토콜 [edit policy-options policy-statement check-bgp-routes term term1 from] 로 지정합니다.

    명령문 route-type 을 포함하고 external 계층 수준에서 옵션을 [edit policy-options policy-statement check-bgp-routes term term1 from] 지정합니다.

    계층 수준에서 accept 명령 [edit policy-options policy-statement check-bgp-routes term term1 then] 문을 포함합니다.

    각 SRX 시리즈 디바이스에 대해 이 단계를 반복합니다.

  6. 다른 가상 라우터 라우팅 인스턴스의 경로를 허용하는 정책을 생성합니다.

    이 예에서는 라우팅 인스턴스 from_srx_vr1 의 경로를 허용하는 이름을 지정하는 정책을 만듭니다 SRX-VR1.

    명령문 instance 을 포함하고 계층 수준에서 SRX-VR1 라우팅 인스턴스 이름 [edit policy-options policy-statement from_srx_vr1 term term1 from] 로 지정합니다.

    계층 수준에서 accept 명령 [edit policy-options policy-statement from_srx_vr1 term term1 then] 문을 포함합니다.

    각 SRX 시리즈 디바이스의 각 가상 라우터에 대해 이 단계를 반복합니다.

가상 라우터 라우팅 인스턴스 구성

단계별 절차

이 절차에서는 단일 가상 라우터 라우팅 인스턴스를 구성하는 방법을 설명합니다. 이 절차는 예제 구성의 대표 샘플을 보여줍니다. 이 예에서는 모든 가상 라우터 라우팅 인스턴스에 대한 구성을 표시하지 않습니다.

  1. 라우팅 인스턴스 유형을 구성합니다.

    이 예에서는 SRX-VR2 이름의 라우팅 인스턴스를 구성합니다.

    명령문 instance-type 을 포함하고 계층 수준에서 virtual-router type [edit routing-instances SRX-VR2] 으로 지정합니다.

    적절한 가상 라우터 이름을 사용하여 각 SRX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  2. 가상 라우터 라우팅 인스턴스에서 사용되는 중복 Ethernet 인터페이스를 추가합니다.

    이 예는 라우팅 reth1.15 reth2.19 인스턴스에 인터페이스 SRX-VR2 와 추가됩니다.

    명령문 interface 을 포함하고 계층 수준에서 중복 Ethernet 인터페이스 [edit routing-instances SRX-VR2] 의 이름을 지정합니다.

    적절한 가상 라우터 이름과 인터페이스 이름을 사용하여 각 SRX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  3. 가상 라우터 라우팅 인스턴스에서 사용하는 라우팅 옵션을 구성합니다.

    이 예에서는 자율 시스템 번호를 구성하고 라우팅 인스턴스에서 Graceful Restart SRX-VR2 기능을 실행합니다.

    명령문 autonomous-system 을 포함하고 계층 65019 [edit routing-instances SRX-VR2 routing-options] 수준에서 자율 시스템 번호로 지정합니다.

    계층 수준에서 graceful-restart 명령 [edit routing-instances SRX-VR2 routing-options] 문을 포함합니다.

    적절한 가상 라우터 이름과 인터페이스 이름을 사용하여 각 SRX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  4. 외부 BGP(Border Gateway Protocol) 허용하고 라우팅 인스턴스에 대해 생성된 경로로 사용하는 라우팅 정책을 적용합니다.

    이 예에서는 라우팅 인스턴스에 명 check-bgp-routes SRX-VR2 명된 정책을 적용합니다.

    명령문 policy 을 포함하고 계층 수준에서 [edit routing-instances SRX-VR2 routing-options generate route 0.0.0.0/0] check-bgp-routes 지정합니다.

    계층 수준에서 graceful-restart 명령 [edit routing-instances SRX-VR2 routing-options] 문을 포함합니다.

    적절한 가상 라우터 이름과 인터페이스 이름을 사용하여 각 SRX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  5. 다른 라우팅 인스턴스의 경로를 허용하는 라우팅 정책을 적용합니다.

    이 예에서는 라우팅 인스턴스에 명 from_srx_vr1 SRX-VR2 명된 정책을 적용합니다.

    명령문 instance-import 을 포함하고 계층 수준에서 [edit routing-instances SRX-VR2 routing-options] from_srx_vr1 지정합니다.

    SRX-VR1 인스턴스를 제외한 각 SRX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  6. 트러스트 IGP 가상 라우터 라우팅 인스턴스에서 사용하는 프로토콜 수출 정책을 구성합니다.

    이 예에서는 정책을 구성 default-ospf 합니다.

    명령문 export 을 포함하고 계층 수준에서 default-ospf 정책 이름 [edit routing-instances SRX-VR2 protocols ospf] 으로 지정합니다.

    적절한 가상 라우터 이름과 정책 이름을 사용하여 각 SRX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  7. 신뢰할 수 IGP 가상 라우터 라우팅 인스턴스에서 사용하는 IGP 프로토콜 액티브 및 패시브 인터페이스를 구성합니다.

    이 예에서는 reth1.15 최단 경로 우선(OSPF) 프로토콜 영역 0.0.0.0 reth2.19 에 적극적으로 참여하도록 중복 Ethernet 인터페이스와 수동적으로 참여할 중복 Ethernet 인터페이스를 구성합니다.

    명령문 interface 을 포함하고 계층 수준에서 [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0] reth1.15 지정합니다.

    명령문 interface 을 포함하고 계층 수준에서 [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0] reth2.19 지정합니다.

    계층 수준에서 passive 명령 [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0 reth2.19] 문을 포함합니다.

    적절한 가상 라우터 이름과 인터페이스 이름을 사용하여 각 SRX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  8. 언트러스트 BGP(Border Gateway Protocol) 가상 라우터 라우팅 인스턴스에서 사용하는 프로토콜 피어 그룹을 구성합니다.

    명령문 type 을 포함하고 external 계층 수준에서 옵션을 [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] 지정합니다.

    명령문 peer-as 을 포함하고 계층 64500 수준에서 피어 자율 시스템 번호 [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] 로 지정합니다.

    명령문 neighbor 을 포함하고 계층 10.19.2.1 수준에서 IPv4 neighbor [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] 주소로 지정합니다. 이웃 주소는 MX 시리즈 디바이스의 VRF 라우팅 인스턴스의 IRB 논리적 인터페이스 주소입니다.

    적절한 가상 라우터 이름, 인스턴스 유형, 이웃 주소 및 피어 AS 번호를 사용하여 각 SRX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

  9. 언트러스트 보안 BGP(Border Gateway Protocol) 가상 라우터 라우팅 인스턴스에서 사용하는 프로토콜 피어 그룹 내보내기 및 가져오기 정책을 구성합니다.

    statement을 export 포함하고 계층 수준에서 trust2-ebgp-out 내보내기 정책 이름 [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] 으로 지정합니다.

    statement을 import 포함하고 계층 수준에서 import local-pref-120 policy name [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] 으로 지정합니다.

    적절한 가상 라우터 이름, 내보내기 정책 및 가져오기 정책을 사용하여 각 SRX 시리즈 디바이스의 모든 가상 라우터에 대해 이 단계를 반복합니다.

결과

이 예의 구성 단계가 완료되었습니다. 다음 섹션은 귀하의 참고용입니다.

EX 시리즈 디바이스에 대한 관련 샘플 구성은 다음과 같습니다.

EX 시리즈 디바이스

MX 시리즈 디바이스에 대한 관련 샘플 구성은 다음과 같습니다.

MX 시리즈 디바이스

SRX 시리즈 디바이스에 대한 관련 샘플 구성은 다음과 같습니다.

SRX 시리즈 디바이스

다음 참조

관련 문서