Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN 및 VPLS

VPN은 디바이스에서 네트워크로의 인터넷을 통해 암호화된 연결로, 트래픽에 대한 무단 액세스 도청을 방지하고 사용자가 원격으로 작업을 수행할 수 있도록 합니다. 자세한 내용은 다음 주제를 참조하십시오.

VPLS 소개

VPLS는 이더넷 기반의 포인트 투 멀티포인트 레이어 2 VPN입니다. 이를 통해 지리적으로 분산된 이더넷 LAN(Local Area Network) 사이트를 MPLS 백본에서 서로 연결할 수 있습니다. VPLS를 구현하는 고객의 경우, 트래픽이 서비스 프로바이더의 네트워크를 통해 이동하더라도 모든 사이트가 동일한 이더넷 LAN에 있는 것으로 보입니다.

VPLS는 구현 및 구성에서 레이어 2 VPN과 많은 공통점을 가지고 있습니다. VPLS에서 서비스 프로바이더 고객의 네트워크 내에서 발생하는 패킷은 먼저 고객 에지(CE) 디바이스(예: 라우터 또는 이더넷 스위치)로 전송됩니다. 그런 다음 서비스 프로바이더의 네트워크 내 프로바이더 에지(PE) 라우터로 전송됩니다. 패킷은 MPLS 레이블 스위칭 경로(LSP)를 통해 서비스 프로바이더의 네트워크를 통과합니다. 송신 PE 라우터에 도달한 다음 대상 고객 사이트의 CE 디바이스로 트래픽을 전달합니다.

참고:

VPLS 문서에서 PE 라우터와 같은 용어의 단어 라우터는 라우팅 기능을 제공하는 모든 디바이스를 참조하는 데 사용됩니다.

차이점은 VPLS의 경우 패킷이 서비스 프로바이더의 네트워크를 포인트 투 멀티포인트 방식으로 트래버스할 수 있다는 것입니다. 즉, CE 디바이스에서 생성되는 패킷이 VPLS 라우팅 인스턴스에 참여하는 모든 PE 라우터에 브로드캐스트될 수 있다는 의미입니다. 반면, 레이어 2 VPN은 패킷을 포인트 투 포인트 방식으로만 전달합니다.

라우팅 인스턴스에 참여하는 각 PE 라우터 간에 VPLS 트래픽을 전달하는 경로를 의사 회선이라고 합니다. 유사 배선은 BGP 또는 LDP를 사용하여 신호됩니다.

예: 논리적 시스템을 사용하여 레이어 3 VPN 및 VPLS 시나리오에서 프로바이더 에지 및 프로바이더 라우터 구성

이 예는 논리적 시스템을 사용하여 VPN 및 VPLS 시나리오에서 프로바이더 에지(PE) 및 프로바이더(P) 라우터를 구성하는 단계별 절차를 제공합니다.

요구 사항

이 예에서는 디바이스 초기화를 제외한 특별한 구성이 필요하지 않습니다.

개요

이 예에서 VPN은 공급자 백본을 통해 고객 트래픽을 분리하는 데 사용됩니다.

토폴로지

그림 1은 MPLS 백본을 가로질러 연결된 4쌍의 CE 라우터를 보여줍니다.

  • 라우터 CE1 및 CE5는 빨간색 VPN의 일부입니다.

  • 라우터 CE2 및 CE6은 파란색 VPN에 있습니다.

  • 라우터 CE3 및 CE7은 VPLS 도메인에 속합니다.

  • 라우터 CE4 및 CE8은 표준 프로토콜로 연결됩니다.

PE 라우터 PE1 및 PE2 및 프로바이더 코어 라우터 P0에 두 개의 논리적 시스템이 구성됩니다. 이들 3개의 라우터 각각에는 LS1과 LS2라는 두 개의 논리적 시스템이 있습니다. 논리적 시스템의 개념을 설명하기 위해 두 VPN은 논리적 시스템 LS1의 일부이고, VPLS 인스턴스는 논리적 시스템 LS2에 속하며, 나머지 라우터는 라우터 PE1, P0 및 PE2의 메인 라우터 부분을 사용합니다.

그림 1: 프로바이더는 에지 및 프로바이더는 논리적 시스템 토폴로지 다이어그램 Provider Edge and Provider Logical System Topology Diagram

라우터 PE1에서 2개의 VPN 라우팅 및 포워딩(VRF) 라우팅 인스턴스가 논리적 시스템 LS1에 생성됩니다. 라우팅 인스턴스를 빨간색과 파란색이라고 합니다. 이 예는 고객 에지(CE) 대면 논리적 인터페이스를 구성하여 라우터 CE1의 트래픽이 빨간색 VPN에 배치되고 라우터 CE2의 트래픽이 파란색 VPN에 배치됩니다. fe-0/0/1.1 의 논리적 인터페이스는 라우터 P0의 논리적 시스템 LS1에 연결됩니다. VPLS 라우팅 인스턴스는 논리적 시스템 LS2에 있습니다. 라우터 CE3의 트래픽이 VPLS 도메인으로 전송되도록 논리적 인터페이스가 구성됩니다. 이 논리적 인터페이스는 라우터 P0에서 논리적 시스템 LS2에 연결됩니다. 이 예에는 논리적 시스템 LS1의 관리자도 포함되어 있습니다. 논리적 시스템 관리자는 이 논리적 시스템의 유지 보수를 담당합니다. 마지막으로, 이 예는 라우터 CE4를 라우터 PE1의 주요 라우터 부분과 상호 연결하는 논리적 인터페이스를 구성하는 방법을 보여줍니다.

라우터 PE2에는 논리적 시스템 LS1의 빨간색과 파란색이라는 두 개의 VRF 라우팅 인스턴스가 있습니다. CE 대면 논리적 인터페이스를 사용하면 라우터 CE5의 트래픽을 빨간색 VPN에 배치하고 라우터 CE6의 트래픽을 파란색 VPN에 배치할 수 있습니다. so-1/2/0.1 의 하나의 논리적 인터페이스는 라우터 P0의 논리적 시스템 LS1에 연결됩니다. VPLS 라우팅 인스턴스는 논리적 시스템 LS2에서 구성됩니다. 논리적 인터페이스를 사용하면 라우터 CE7의 트래픽을 VPLS 도메인으로 전송하고 라우터 P0의 논리적 시스템 LS2에 연결할 수 있습니다. 이 예는 라우터 CE8을 라우터 P0의 주요 라우터 부분과 상호 연결하는 논리적 인터페이스를 구성하는 방법을 보여줍니다. 마지막으로, 논리적 시스템 LS1에 대한 구성 권한과 논리적 시스템 LS2에 대한 보기 권한이 있는 논리적 시스템 관리자를 선택적으로 생성할 수 있습니다.

라우터 P0에서 예제는 논리적 시스템 LS1, LS2 및 기본 라우터를 구성하는 방법을 보여줍니다. 기본 라우터 [edit interfaces] 계층 수준에서 물리적 인터페이스 속성을 구성해야 합니다. 다음으로, 예는 프로토콜(예: RSVP, MPLS, BGP, IS-IS), 라우팅 옵션 및 논리적 시스템에 대한 정책 옵션을 구성하는 방법을 보여줍니다. 마지막으로, 예제에서는 라우터 PE1에 구성된 논리적 시스템 LS1에 대해 동일한 관리자를 구성하는 방법을 보여 줍니다. 논리적 시스템 LS2의 이 시스템 관리자는 LS2 구성을 볼 수 있는 권한이 있지만 논리적 시스템 LS2의 구성은 변경하지 않습니다.

논리적 시스템 LS1은 라우터 CE1과 CE5 사이에 존재하는 빨간색 VPN에 대한 트래픽을 전송합니다. 논리적 시스템 LS1은 라우터 CE2와 CE6 사이에 존재하는 파란색 VPN도 연결합니다. 논리적 시스템 LS2는 라우터 CE3과 CE7 사이에 VPLS 트래픽을 전송합니다. 라우터 P0의 메인 라우터의 경우, 라우터를 평소대로 구성할 수 있습니다. 메인 라우터는 라우터 CE4와 CE8 사이에 트래픽을 전송합니다. 이 예는 라우터 PE1 및 PE2의 주요 라우터 부분에 연결하도록 인터페이스 및 라우팅 프로토콜(OSPF, BGP)을 구성하는 방법을 보여줍니다.

구성

논리적 시스템에서 PE 및 P 라우터를 구성하려면 다음 작업을 수행하는 것이 포함됩니다.

고객 에지 디바이스의 인터페이스 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. 라우터 CE1에서 라우터 PE1의 논리적 시스템 LS1에서 빨간색 VPN에 연결하도록 OSPF를 구성합니다.

  2. 라우터 CE2에서 라우터 PE1의 논리적 시스템 LS1에서 파란색 VPN에 연결하도록 BGP를 구성합니다.

  3. 라우터 CE3에서 라우터 PE1의 논리적 시스템 LS2에서 VPLS 라우팅 인스턴스와 연결하도록 VLAN 600에서 고속 이더넷 인터페이스를 구성합니다.

  4. 라우터 CE4에서 라우터 PE1의 메인 라우터와 연결하도록 고속 이더넷 인터페이스를 구성합니다.

  5. 라우터 CE5에서 라우터 PE2의 논리적 시스템 LS1에서 빨간색 VPN에 연결하도록 OSPF를 구성합니다.

  6. 라우터 CE6에서 라우터 PE2의 논리적 시스템 LS1에서 파란색 VPN에 연결하도록 BGP를 구성합니다.

  7. 라우터 CE7에서 라우터 PE2의 논리적 시스템 LS2에서 VPLS 라우팅 인스턴스와 연결하도록 VLAN 600에서 고속 이더넷 인터페이스를 구성합니다.

  8. 라우터 CE8에서 고속 이더넷 인터페이스를 구성하여 라우터 PE2의 메인 라우터와 연결합니다.

라우터 PE1 구성

단계별 절차
  1. 라우터 PE1에서 기본 라우터를 구성합니다.

  2. 라우터 PE1에서 논리적 시스템 LS1을 구성합니다.

  3. 라우터 PE1에서 논리적 시스템 LS2를 구성합니다.

라우터 PE2 구성

단계별 절차
  1. 라우터 PE2에서 메인 라우터를 구성합니다.

  2. 라우터 PE2에서 논리적 시스템 LS1을 구성합니다.

  3. 라우터 PE2에서 논리적 시스템 LS2를 구성합니다.

라우터 P0 구성

단계별 절차
  1. 라우터 P0에서 기본 라우터를 구성합니다.

  2. 라우터 P0에서 논리적 시스템 LS1을 구성합니다.

  3. 라우터 P0에서 논리적 시스템 LS2를 구성합니다.

결과

라우터 CE1에서 라우터 PE1의 논리적 시스템 LS1에서 빨간색 VPN에 연결하도록 OSPF를 구성합니다.

라우터 CE1

라우터 CE2에서 라우터 PE1의 논리적 시스템 LS1에서 파란색 VPN에 연결하도록 BGP를 구성합니다.

라우터 CE2

라우터 CE3에서 라우터 PE1의 논리적 시스템 LS2에서 VPLS 라우팅 인스턴스와 연결하도록 VLAN 600에서 빠른 이더넷 인터페이스를 구성합니다.

라우터 CE3

라우터 CE4에서 라우터 PE1의 메인 라우터와 연결할 고속 이더넷 인터페이스를 구성합니다.

라우터 CE4

라우터 PE1에서 논리적 시스템 LS1: 빨간색과 파란색에 두 개의 VPN 라우팅 및 포워딩(VRF) 라우팅 인스턴스를 생성합니다. 라우터 CE1의 트래픽이 빨간색 VPN에 배치되고 라우터 CE2의 트래픽이 파란색 VPN에 배치되도록 CE 대면 논리적 인터페이스를 구성합니다. 다음으로, fe-0/0/1.1 에서 논리적 인터페이스를 생성하여 라우터 P0의 논리적 시스템 LS1에 연결합니다.

또한 라우터 PE1에서 논리적 시스템 LS2에서 VPLS 라우팅 인스턴스를 생성합니다. 라우터 CE3의 트래픽이 VPLS 도메인으로 전송되고 라우터 P0의 논리적 시스템 LS2에 연결되도록 논리적 인터페이스를 구성합니다.

논리적 시스템 LS1의 관리자를 생성합니다. 논리적 시스템 관리자는 이 논리적 시스템의 유지 보수를 담당할 수 있습니다.

마지막으로 라우터 CE4를 라우터 P0의 주요 라우터 부분과 상호 연결하도록 논리적 인터페이스를 구성합니다.

라우터 PE1

라우터 P0에서 논리적 시스템 LS1, LS2 및 기본 라우터를 구성합니다. 논리적 시스템의 경우, 기본 라우터 [edit interfaces] 계층 수준에서 물리적 인터페이스 속성을 구성하고 논리적 시스템에 논리적 인터페이스를 할당해야 합니다. 그런 다음, 프로토콜(예: RSVP, MPLS, BGP 및 IS-IS), 라우팅 옵션 및 논리적 시스템에 대한 정책 옵션을 구성해야 합니다. 마지막으로, 라우터 PE1에서 구성한 논리적 시스템 LS1에 대해 동일한 관리자를 구성합니다. 논리적 시스템 LS2에 대해 이 동일한 관리자를 구성하여 LS2 구성을 볼 수 있는 권한을 가지지만 LS2의 구성은 변경하지 않습니다.

이 예에서 논리적 시스템 LS1은 라우터 CE1과 CE5 사이에 존재하는 빨간색 VPN의 트래픽을 전송합니다. 논리적 시스템 LS1은 라우터 CE2와 CE6 사이에 존재하는 파란색 VPN도 연결합니다. 논리적 시스템 LS2는 라우터 CE3과 CE7 사이에 VPLS 트래픽을 전송합니다.

라우터 P0의 메인 라우터의 경우, 라우터를 평소대로 구성할 수 있습니다. 이 예에서 메인 라우터는 라우터 CE4와 CE8 간에 트래픽을 전송합니다. 그 결과, 인터페이스 및 라우팅 프로토콜(OSPF, BGP)을 구성하여 라우터 PE1 및 PE2의 주요 라우터 부분에 연결합니다.

라우터 P0

라우터 PE2에서 논리적 시스템 LS1에서 빨간색과 파란색이라는 두 개의 VRF 라우팅 인스턴스를 생성합니다. 라우터 CE5의 트래픽이 빨간색 VPN에 배치되고 라우터  CE6의 트래픽이 파란색 VPN에 배치되도록 CE 대면 논리적 인터페이스를 구성합니다. 다음으로 , so-1/2/0.1에서 하나의 논리적 인터페이스를 생성하여 라우터 P0의 논리적 시스템 LS1에 연결합니다.

또한 라우터 PE2에서 논리적 시스템 LS2에서 VPLS 라우팅 인스턴스를 생성합니다. 라우터 CE7의 트래픽이 VPLS 도메인으로 전송되고 라우터 P0의 논리적 시스템 LS2에 연결되도록 논리적 인터페이스를 구성합니다.

라우터 CE8을 라우터 P0의 주요 라우터 부분과 상호 연결하는 논리적 인터페이스를 구성합니다.

마지막으로, 논리적 시스템 LS1에 대한 구성 권한과 논리적 시스템 LS2에 대한 보기 권한이 있는 논리적 시스템 관리자를 선택적으로 생성할 수 있습니다.

라우터 PE2

라우터 CE5에서 라우터 PE2의 논리적 시스템 LS1에서 빨간색 VPN에 연결하도록 OSPF를 구성합니다.

라우터 CE5

라우터 CE6에서 라우터 PE2의 논리적 시스템 LS1에서 파란색 VPN에 연결하도록 BGP를 구성합니다.

라우터 CE6

라우터 CE7에서 라우터 PE2의 논리적 시스템 LS2에서 VPLS 라우팅 인스턴스와 연결하도록 VLAN 600에서 고속 이더넷 인터페이스를 구성합니다.

라우터 CE7

라우터 CE8에서 라우터 PE2에서 기본 라우터와 연결하도록 고속 이더넷 인터페이스를 구성합니다.

라우터 CE8

확인

다음 명령을 실행하여 구성이 제대로 작동하는지 확인합니다.

  • show bgp summary (논리적 시스템 logical-system-name)

  • show isis adjacency (논리적 시스템 logical-system-name)

  • show mpls lsp (논리적 시스템 logical-system-name)

  • show(ospf | ospf3) neighbor (논리적 시스템 logical-system-name)

  • show route (논리적 시스템 logical-system-name)

  • show route protocol (논리적 시스템 logical-system-name)

  • show rsvp 세션 (논리적 시스템 logical-system-name )

다음 섹션에는 구성 예와 함께 사용된 명령의 출력이 표시됩니다.

라우터 CE1 상태

목적

연결을 확인합니다.

작업

라우터 CE2 상태

목적

연결을 확인합니다.

작업

라우터 CE3 상태

목적

연결을 확인합니다.

작업

라우터 PE1 상태: 메인 라우터

목적

BGP 작업을 확인합니다.

작업

라우터 PE1 상태: 논리적 시스템 LS1

목적

BGP 작업을 확인합니다.

작업

빨간색 VPN

기본 관리자 또는 논리적 시스템 관리자는 다음 명령을 실행하여 특정 논리적 시스템의 출력을 확인할 수 있습니다.

파란색 VPN

기본 관리자 또는 논리적 시스템 관리자는 다음 명령을 실행하여 특정 논리적 시스템의 출력을 확인할 수 있습니다.

라우터 PE1 상태: 논리적 시스템 LS2

목적

VPLS 작업을 확인합니다.

작업

라우터 P0 상태: 메인 라우터

목적

연결을 확인합니다.

작업

라우터 P0 상태: 메인 라우터

목적

라우팅 프로토콜 작동을 확인합니다.

작업

라우터 P0 상태: 논리적 시스템 LS1

목적

라우팅 프로토콜 작동을 확인합니다.

작업

라우터 P0 상태: 논리적 시스템 LS2

목적

라우팅 프로토콜 작동을 확인합니다.

작업

라우터 PE2 상태: 메인 라우터

목적

라우팅 프로토콜 작동을 확인합니다.

작업

라우터 PE2 상태: 논리적 시스템 LS1

목적

라우팅 프로토콜 작동을 확인합니다.

작업

빨간색 VPN

파란색 VPN

라우터 PE2 상태: 논리적 시스템 LS2

목적

라우팅 프로토콜 작동을 확인합니다.

작업

라우터 CE5 상태

목적

연결을 확인합니다.

작업

라우터 CE6 상태

목적

연결을 확인합니다.

작업

라우터 CE7 상태

목적

연결을 확인합니다.

작업

논리적 시스템 관리자 검증 출력

목적

논리적 시스템 관리자는 할당된 논리적 시스템의 구성 정보에만 액세스할 수 있기 때문에 확인 출력은 이러한 논리적 시스템에도 제한됩니다. 다음 출력은 이 예의 구성에서 논리적 시스템 관리자 LS1 관리자 가 무엇을 볼 수 있는지 보여줍니다.

각 CE 라우터 쌍에 엔드 투 엔드 연결이 있는지 확인하려면 라우터 CE1, CE2 및 CE3에 대한 명령을 실행 ping 합니다.

작업

CE1에서 CE5(빨간색 VPN)를 핑합니다.

CE2에서 CE6(Blue VPN)을 핑합니다.

CE3에서 CE7(VPLS)을 핑합니다.