Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

IPv4 네트워크 전반의 필터 기반 터널링 이해

IPv4 네트워크 전반의 필터 기반 터널링 이해

가장 간단한 형태의 GRE(Generic Routing Encapsulation)는 다른 네트워크 레이어 프로토콜을 통해 네트워크 레이어 프로토콜을 캡슐화하여 기본 라우팅 경로가 없는 연결되지 않은 네트워크를 연결하는 것입니다. 비연결 및 스테이트리스 레이어 3 캡슐화 프로토콜이며 안정성, 플로우 제어 또는 시퀀싱을 위한 메커니즘을 제공하지 않습니다.

GRE 터널링은 표준 방화벽 필터 작업으로 시작됩니다. 터널 대상을 라우팅할 수 있는 경우 트래픽은 터널을 통해 흐릅니다. MX 시리즈 라우터의 경우 이 기능은 논리적 시스템에서도 지원됩니다.

MX 시리즈 5G 유니버설 라우팅 플랫폼의 경우, 방화벽 필터로 GRE 터널링을 구성할 때 터널 서비스 물리적 인터페이스 카드(PIC) 또는 MPC3E MPC(Modular Port Concentrator)에 터널 인터페이스를 생성할 필요가 없습니다. 대신 MIC(Modular Interface Card) 또는 MPC의 PFE가 GRE 페이로드 캡슐화 및 캡슐화 해제를 처리하고 관련 인터페이스에 터널 서비스를 제공합니다. 따라서 한 쌍의 MX 시리즈 라우터를 프로바이더 에지(PE) 라우터로 설치하여 두 개의 분리된 네트워크에서 고객 에지(CE) 라우터에 대한 연결을 제공할 수 있습니다.

PTX 시리즈 라우터의 경우, 필터 기반 GRE 터널링이 작동하려면 네트워크 서비스를 로 설정해야 합니다.enhanced-mode PTX의 필터 기반 터널링에 대한 자세한 내용은 을 참조하십시오 .tunnel-end-point

수신 PE 라우터의 수신 방화벽 필터

수신 PE 라우터에서 단방향 GRE 터널을 지정하는 터널 정의를 구성합니다. MIC 또는 MPC 수신 논리적 인터페이스가 있는 MX 시리즈 라우터의 경우 캡슐화 방화벽 필터를 연결합니다. 방화벽 필터 동작은 터널 정의를 참조하고 일치하는 패킷의 캡슐화를 시작합니다. 캡슐화 프로세스는 IPv4 헤더와 GRE 헤더를 페이로드 패킷에 연결한 다음 결과 GRE 패킷을 필터 지정 터널로 전달합니다.

송신 PE 라우터의 수신 방화벽 필터

송신 PE 라우터에서 캡슐화 해제 방화벽 필터를 라우터에 대해 광고된 주소인 모든 MIC 또는 MPC 논리적 인터페이스의 입력에 연결합니다. 방화벽 필터는 GRE 프로토콜 패킷의 캡슐화 해제를 시작합니다. 캡슐화 해제는 내부 GRE 헤더를 제거한 다음 원래 페이로드 패킷을 대상 고객 네트워크의 원래 대상으로 전달합니다. 작업이 선택적 라우팅 인스턴스를 지정하는 경우, 경로 조회는 기본 테이블 대신 해당 보조 테이블을 사용하여 수행됩니다.

IPv4 네트워크에서 필터 기반 터널링의 특성

IPv4 네트워크의 필터 기반 터널은 단방향입니다. 전송 패킷만 전송하며 터널 인터페이스가 필요하지 않습니다.

단방향 터널링

필터 기반 GRE 터널을 사용하려면 먼저 각 터널 엔드포인트의 입력 (수신 PE 라우터와 송신 PE 라우터 모두)에 표준 방화벽 필터를 연결합니다. 수신 PE 라우터에 대한 입력에서 캡슐화 방화벽 필터를 적용합니다. 송신 PE 라우터에 대한 입력에서 캡슐화 해제 방화벽 필터를 적용합니다.

양방향 터널링

양방향 GRE 터널링의 경우 동일한 PE 라우터 쌍을 사용할 수 있지만 반대 방향으로 두 번째 터널을 구성해야 합니다.

전송 트래픽 페이로드

필터 기반 GRE IPv4 터널은 유니캐스트 또는 멀티캐스트 전송 트래픽 페이로드만 전송할 수 있습니다. 필터 시작 캡슐화 및 캡슐화 해제 작업은 이더넷 논리 인터페이스 및 어그리게이션 이더넷 인터페이스에 대한 PFE에서 실행됩니다. 이 설계를 통해 터널 인터페이스를 사용하는 GRE 터널링에 비해 PFE 대역폭을 보다 효율적으로 사용할 수 있습니다. 라우팅 프로토콜 세션은 방화벽 기반 터널 위에 구성할 수 없습니다.

PFE는 라우팅 엔진(RE) 정보의 로컬 복사본인 로컬에 저장된 포워딩 테이블을 사용하여 입력 및 출력 인터페이스 간에 패킷을 전달하여 패킷을 처리하기 위해 포워딩 플레인 에서 작동합니다.

반면에 RE는 컨트롤 플레인 에서 작동하여 시스템 관리, 라우터에 대한 사용자 액세스, 라우팅 프로토콜 프로세스, 라우터 인터페이스 제어 및 일부 섀시 구성 요소 제어를 처리합니다. Junos OS 아키텍처는 이러한 플레인의 기능을 분리하여 플랫폼 지원의 유연성과 플랫폼 성능의 확장성을 지원합니다. 수신 제어 패킷은 PFE의 GRE 캡슐화 및 캡슐화 해제 프로세스를 사용할 수 없는 컨트롤 플레인으로 전달됩니다.

루프백 주소에 방화벽 필터를 적용할 수 있지만 라우터 루프백 인터페이스에서는 GRE 캡슐화 및 캡슐화 해제 방화벽 필터 동작이 지원되지 않습니다.

다중 GRE 터널을 위한 컴팩트한 구성

방화벽 필터는 다양한 일치 기준을 지원하며, 더 나아가 단일 방화벽 필터 정의에 지정된 기준과 일치하는 여러 GRE 터널을 종료하는 기능도 지원합니다. 각각 고유한 일치 조건 집합이 있는 여러 터널을 생성하면 고객 GRE 패킷 또는 서로 간섭하지 않고 캡슐화 해제 후 패킷을 별도의 라우팅 테이블에 다시 삽입하는 터널을 생성할 수 있습니다.

방화벽 필터를 사용한 터널링 및 터널 인터페이스를 사용한 터널링

터널 인터페이스를 사용한 터널링은 라우터 제어 트래픽과 전송 트래픽, 암호화를 모두 지원합니다. 방화벽 필터를 사용한 터널링은 그렇지 않습니다. 그러나 방화벽 필터를 사용한 터널링은 성능 및 확장성 측면에서 이점을 제공합니다.

포워딩 성능

IPv4 네트워크 전반의 필터 기반 터널링을 통해 터널 인터페이스를 사용하는 GRE 터널링에 비해 PFE 대역폭을 더 효율적으로 사용할 수 있습니다. 캡슐화, 캡슐화 해제 및 경로 조회는 방화벽 필터 기반 터널링을 위해 PFE에서 수행되는 패킷 헤더 처리 활동입니다. 따라서 캡슐화 도구는 별도의 터널 인터페이스(페이로드 패킷을 수신하는 인터페이스와 다른 슬롯의 PIC에 상주할 수 있음)로 페이로드 패킷을 보낼 필요가 없습니다.

관련 항목