Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4 네트워크 전반의 필터 기반 터널링 이해

IPv4 네트워크 전반의 필터 기반 터널링 이해

GRE(Generic Routing Encapsulation)는 다른 네트워크 계층 프로토콜을 통해 모든 네트워크 계층 프로토콜을 캡슐화하여 서로 연계되지 않은 네트워크를 연결합니다. 스테이트리스(connectionless) 및 스테이트리스(stateless) Layer 3 캡슐화 프로토콜로, 안정성, 플로우 제어 또는 시큐어링을 위한 메커니즘을 제공합니다.

GRE 터널링은 표준 방화벽 필터 작업으로 시작됩니다. 터널 대상이 라우팅 가능한 경우, 트래픽은 터널을 통해 흐르게 됩니다. MX 시리즈 라우터의 경우 이 기능은 논리적 시스템에서도 지원됩니다.

MX 시리즈 5G 유니버설 라우팅 플랫폼 방화벽 필터가 있는 GRE 터널링을 구성할 경우 터널 서비스 물리적 인터페이스 카드(PIC) 또는 MPC3E MPC(Modular Port Concentrators)에서 터널 인터페이스를 만들 필요가 없습니다. 대신, 모듈형 인터페이스 카드( MIC) 또는MPC의 PF는 GRE 페이로드 캡슐화 및 디캡슬리화를 처리하고 관련 인터페이스에 터널 서비스를 제공합니다. 따라서 한 쌍의 MX 시리즈 라우터를 PE(Provider Edge) 라우터로 설치하여 서로 상이한 두 네트워크에서 고객 에지(고객 에지(CE)) 라우터에 대한 연결을 제공할 수 있습니다.

PTX 시리즈 라우터의 경우 필터 기반 GRE 터널링이 작동하려면 네트워크 서비스를 enhanced-mode 설정해야 합니다. PTX의 필터 기반 터널링에 대한 자세한 내용은 을 tunnel-end-point 참조하십시오.

Ingress PE 라우터의 Ingress Firewall Filter

ingress PE 라우터에서 귀하는 한방향 GRE 터널을 지정하는 터널 정의를 구성합니다. MIC 또는 MPC ingress 논리적인터페이스를 사용하는 MX 시리즈 라우터의 경우 캡슐화 방화벽 필터를 연결합니다. 방화벽 필터 작업은 터널 정의를 참조하고 매치된 패킷의 캡슐화(encapsulation)를 개시합니다. 캡슐화 프로세스는 IPv4 헤더와 GRE 헤더를 페이로드 패킷에 연결한 다음, 생성된 GRE 패킷을 필터 지정 터널로 전달합니다.

Egress PE 라우터의 Ingress Firewall Filter

egress PE 라우터에서 라우터에 광고된 주소로 광고되는 모든 MIC 또는 MPC 논리적 인터페이스의 입력에 캡슐화 제거 방화벽 필터를 연결합니다. 방화벽 필터는 GRE 프로토콜 패킷의 캡슐화 제거를 시작됩니다. 캡슐화 제거는 내부 GRE 헤더를 제거한 다음 원래 페이로드 패킷을 대상 고객 네트워크의 원래 목적지로 전달합니다. 조치가 선택적 라우팅 인스턴스를 지정하는 경우 기본 테이블이 아닌 보조 테이블을 사용하여 루트 룩업이 수행됩니다.

IPv4 네트워크 전반의 필터 기반 터널링의 특성

IPv4 네트워크 전반의 필터 기반 터널은 한방향 터널입니다. 전송 패킷만 전송하며 터널 인터페이스가 필요하지 않습니다.

한방향 터널링

필터 기반 GRE 터널을 사용하기 위해 먼저 각 터널 엔드포인트 입력 시 표준 방화벽 필터를 연결(ingress PE 라우터 및 egress PE 라우터 모두에서)에 연결하기만 합니다. ingress PE 라우터에 대한 입력에서 캡슐화 방화벽 필터를 적용합니다. egress PE 라우터에 대한 입력에서 캡슐화 제거 방화벽 필터를 적용합니다.

양방향 터널링

양방향 GRE 터널링의 경우 동일한 쌍의 PE 라우터를 사용할 수 있지만, 역방향으로 두 번째 터널을 구성해야 합니다.

전송 트래픽 페이로드

필터 기반 GRE IPv4 터널은 유니캐스트 또는 멀티캐스트 전송 트래픽 페이로드만 전송할 수 있습니다. 필터 초기화 캡슐화 및 디캡 캡슐화 작업은 이더넷 논리적 인터페이스와 통합 이더넷 인터페이스를 위한 P 여과에서 실행됩니다. 이러한 설계를 통해 터널 인터페이스를 사용하는 GRE 터널링에 비해 PFE 대역폭을 더욱 효율적으로 사용할 수 있습니다. 방화벽 기반 터널 위에 라우팅 프로토콜 세션을 구성할 수 없습니다.

PFES는 로컬 저장된 포우링 테이블을 사용하여 입력 및 출력 인터페이스 간에 패킷을 전달하여 패킷을 처리하기 위해 포우링 플레인에서 작동하며, 이는 RE(정보의 로컬 라우팅 엔진).

한편, RES는 시스템 관리, 라우터에 대한 사용자 액세스, 라우팅 프로토콜, 라우터 인터페이스 제어 및 일부 섀시 구성 요소 제어를 위한 프로세스를 처리하기 위해 컨트롤 플레인에서 작동하고 있습니다. 이 Junos OS 아키텍처는 이들 플레인의 기능을 분리하여 플랫폼 지원의 유연성과 플랫폼 성능의 확장성을 지원합니다. 수신 제어 패킷은 PES의 GRE 캡슐화 및 디캡캡 캡슐화 프로세스가 지원되지 않는 컨트롤 플레인으로 전달됩니다.

방화벽 필터를 루프백 주소에 적용할 수 있습니다. GRE 캡슐화 및 캡슐화 제거 방화벽 필터 작업은 라우터 루프백 인터페이스에서 지원되지 않습니다.

여러 GRE 터널을 위한 소형 구성

방화벽 필터는 다양한 일치 기준을 지원하며, 확장에 따라 단일 방화벽 필터 정의에 지정된 기준과 일치하는 여러 GRE 터널을 종료할 수 있습니다. 각 터널은 자체적인 일치 조건 세트를 가지고 여러 터널을 생성하여 고객 GRE 패킷이나 다른 패킷과 간섭하지 않는 터널을 생성하고, 캡슐화 후 분리된 라우팅 테이블로 패킷을 재 투입할 수 있습니다.

터널 인터페이스를 사용하는 터널링과 방화벽 필터를 사용하는 터널링

터널 인터페이스가 있는 터널링은 라우터 제어 트래픽과 전송 트래픽은 물론 암호화를 모두 지원 방화벽 필터를 통해 터널링하는 것은 없습니다. 그러나 방화벽 필터가 있는 터널링은 성능과 확장성에 이점을 제공합니다.

포우링 성능

IPv4 네트워크 전반의 필터 기반 터널링은 터널 인터페이스를 사용하는 GRE 터널링에 비해 PFE 대역폭을 보다 효율적으로 사용할 수 있도록 지원합니다. 캡슐화, 캡슐화 제거 및 루트 룩업은 방화벽 필터 기반 터널링의 경우 PFE에서 패킷 헤더 처리 작업입니다. 따라서 캡슐화기에서는 페이로드 패킷을 수신하는 인터페이스와 다른 슬롯에 있는 PIC에 있을 수 있는 페이로드 패킷을 별도의 터널 인터페이스로 전송할 필요가 없습니다.