Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4 네트워크의 방화벽 필터 기반 L2TP 터널링 개요

L2TP(Layer 2 Tunneling Protocol)는 PPP(Point-to-Point Protocol)가 네트워크 전반에서 터널링될 수 있도록 하는 클라이언트 서버 프로토콜입니다. L2TP는 네트워크 전반의 전송을 위해 PPP와 같은 레이어 2 패킷을 캡슐화합니다. 액세스 디바이스에서 구성된 L2TP 액세스 컨센트레이터(LAC)는 원격 클라이언트로부터 패킷을 수신하여 원격 네트워크에서 LNS(L2TP Network Server)로 전달합니다. L2TPv3은 2개의 IPv6 노드 간에 여러 Layer 2 연결을 터널링하기 위한 기본 제어 프로토콜 및 캡슐화 기능을 정의합니다. L2TPv2와 L2TPv3 간의 중요한 차이점은 다음과 같습니다.

  • 모든 PPP 관련 AVP와 레퍼런스를 분리하여 PPP의 요구에 따라 특화된 L2TP 데이터 헤더의 일부를 포함하도록 합니다.

  • 각각 16비트 세션 ID 및 Tunnel ID에서 32비트 세션 ID 및 컨트롤 연결 ID로 전환.

  • 특정 메시지의 일부가 아닌 전체 제어 메시지를 커버하는 터널 인증 메커니즘의 확장

  • L2TPv3은 IPv6에서만 지원됩니다.

  • 방화벽 필터의 경우 데이터 플레인 L2TPv3 캡슐화/디캡 캡슐화만 지원됩니다.

L2TP는 메시지 제어 메시지 및 데이터 메시지(각 패킷 제어 패킷 및 데이터 패킷)의 두 가지 유형으로 구성됩니다. 제어 메시지는 제어 연결 및 세션의 설정, 유지 관리 및 지우기에서 사용됩니다. 이러한 메시지는 전송을 보장하기 위해 L2TP 내 안정적인 제어 채널을 활용합니다. 데이터 메시지는 L2TP 세션에서 전송되는 L2 트래픽을 캡슐화하는 데 사용됩니다.

2개의 표준 방화벽 필터 작업에서 시작된 GRE 터널링 프로토콜 메커니즘을 사용하여 IPv4, IPv6 또는 MPLS 전송하도록 IPv4 네트워크를 구성할 수 있습니다. 이 기능은 논리적 시스템에서도 지원됩니다. 방화벽 필터를 사용하는 L2TP 터널링을 구성할 경우 터널 서비스 물리적 인터페이스 카드(PIC) 또는 MPC3E MPC(Modular Port Concentrators)에서 터널 인터페이스를 생성할 필요가 없습니다. 대신 패킷 전달 엔진은 MX 시리즈 5G 네트워크의 MC(Modular Interface Cards) 또는 MMPC에서 호스팅되는 이더넷 논리적 인터페이스 또는 통합 이더넷 인터페이스에 유니버설 라우팅 플랫폼.

PE(Provider Edge) 라우터로 설치된 2개의 MX 시리즈 라우터는 서로 상이한 두 네트워크에 고객 에지(CE) 고객 에지(고객 에지(CE)) 라우터에 대한 연결을 제공합니다. PE 라우터의 MIC 또는 MPC 인터페이스는 페이로드의 L2TP IPv4 캡슐화 및 디 캡슐화(de-encapsulation)를 수행합니다. 디캡 캡슐화 이후, 패킷은 조치에 지정된 라우팅 테이블의 로컬 인터페이스 또는 L2TP 헤더의 프로토콜 필드에 따라 기본 라우팅 테이블로 전송됩니다. 그러나 L2TP 패킷은 선택적으로 레이어 2 상호 연결을 수행하기 위해 출력 인터페이스 인덱스와 동일한 토큰과 함께 패브릭 전반으로 전송될 수 있습니다. 계층 수준에서 명령문을 포함해 전송할 L2TP 패킷에 사용할 출력 인터페이스 decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie[edit firewall family family-name filter filter-name term term-name then] 지정기를 지정할 수 있습니다.

디캡캡을 생성하는 동안 내부 헤더는 L2TP 터널의 Ethernet이 되어야 합니다. 포우링 클래스는 방화벽에 적용되기 전에 기본적으로 적용되고 디캡캡을 위해 보존되지 않습니다(계층 수준에서 명령문을 사용하는 경우, 비정기적인 필터 forwarding-class class-name[edit firewall family family-name] 작업). 그러나 계층 수준에서 명령문을 사용하여 디캡캡을 디캡캡(decapsulated) 패킷에 대한 필터 작업을 포함해 패킷을 분류해야 하는 포링 클래스를 지정할 decapsulate l2tp forwarding-class class-name[edit firewall family family-name filter filter-name term term-name then] 수 있습니다.

다음 필드 정의는 모든 L2TP 세션 헤더 캡슐화에서 사용하기 위해 정의됩니다.

  • Session ID 필드는 세션에 대해 0이 아닌 식별자를 포함하는 32비트 필드입니다. L2TP 세션은 지역적 중요성만이 있는 식별자에 의해 지정됩니다. 세션 수명에 대한 제어 연결의 각 끝에 동일한 논리적 세션이 서로 다른 세션 신원을 부여합니다. 세션 설정에 L2TP 제어 연결이 사용되면 세션 ID를 선택해 세션을 생성하는 동안 로컬 세션 ID AVP로 교환됩니다. Session ID만으로는 쿠키의 상태, 크기 및 값, L2 특정 서브레이어 유형, 터널링되는 페이로드 유형 등 추가 패킷 처리에 필요한 필수 컨텍스트를 제공합니다.

  • 선택적 쿠키 필드에는 수신된 데이터 메시지와 Session ID로 식별된 세션의 연관을 검사하는 데 사용되는 가변 길이 값(최대 64비트)이 포함되어 있습니다. 쿠키 필드는 이 세션에 대해 구성된 또는 신호 방식의 임의 값으로 설정되어야 합니다. 쿠키는 데이터 메시지가 세션 ID에 따라 적절한 세션으로 전달됐는가를 보장하는 추가 레벨을 제공합니다. 잘 선택된 쿠키는 최근 다시 사용된 세션 아이덴티티나 패킷 손상이 있는 세션 아이덴티티를 사용하는 임의 패킷의 부수적인 잘못을 방지할 수 있습니다. 이 쿠키는 특정 악의적인 패킷 삽입 공격을 차단할 수도 있습니다. 세션 설정에 L2TP 제어 연결이 사용되면 세션 생성 중에 임의 쿠키 값이 할당 쿠키 AVP로 선택되어 교환됩니다.

세션은 원격 시스템과 LNS 간에 엔드-to-end PPP 연결이 설정되면 LAC와 LNS 간에 생성된 논리적 연결입니다. 설정된 L2TP 세션과 관련 PPP 연결 간에 일대일 관계가 있습니다. 터널은 하나 이상의 L2TP 세션의 집계입니다.

Junos OS Release 15.1부터 시작해, 표준 방화벽 필터 일치 조건과 함께 L2TP 터널을 통해 전송되는 IP 패킷의 디캡 캡슐화 해제는 Layer 3 룩업을 사용하여 수행됩니다. Junos OS 릴리즈 14.2 이상에서 방화벽 필터 작업을 구성한 L2TP 터널을 통해 트래픽의 디캡캡(decapsulation)이 레이어 2 인터페이스 속성을 사용하여 수행됩니다.

한방향 터널링

IPv4 네트워크 전반의 필터 기반 L2TP 터널은 한방향입니다. 전송 패킷만 전송하며 터널 인터페이스가 필요하지 않습니다. 방화벽 필터를 루프백 주소에 적용할 수 있습니다. GRE 캡슐화 및 캡슐화 제거 방화벽 필터 작업은 라우터 루프백 인터페이스에서 지원되지 않습니다. L2TP 패킷의 필터 초기화 캡슐화 및 디캡 캡슐화 작업은 이더넷 논리적 인터페이스와 통합 이더넷 인터페이스를 위해 패킷 전달 엔진에서 실행됩니다. 이러한 설계를 통해 터널 인터페이스를 사용하는 GRE 패킷 전달 엔진 보다 효율적으로 대역폭을 사용할 수 있습니다. 방화벽 기반 터널 위에 라우팅 프로토콜 세션을 구성할 수 없습니다.

터널 보안

IPv4 네트워크 전반의 필터 기반 터널링은 암호화되지 않습니다. 보안 터널링이 필요한 경우 MIC 또는 MPC 인터페이스에서 지원되지 않는 IP 보안(IPsec) 암호화를 사용해야 합니다. 그러나 MX240, MX480 및 MX960 라우터의 멀티 서비스 DPS(Dense Port Concentrator)(MS-DPS(Dense Port Concentrator)) 인터페이스는 데이터 트래픽의 암호화는 물론, 데이터 트래픽의 암호화를 위한 수동 또는 동적 보안 연결(SAS)을 구성하기 위한 IPsec 툴을 라우팅 엔진.

포우링 성능

IPv4 네트워크 전반의 필터 기반 터널링은 터널 인터페이스를 사용하는 L2TP 터널링에 비해 패킷 전달 엔진 대역폭을 보다 효율적으로 사용할 수 있도록 지원합니다. 캡슐화, 캡슐화 제거 및 루트 룩업은 방화벽 필터 기반 터널링을 위해 Junos Trio 칩셋 기반 네트워크에서 수행되는 패킷 헤더 처리 패킷 전달 엔진. 따라서 캡슐화기에서는 페이로드 패킷을 수신하는 인터페이스와 다른 슬롯에 있는 PIC에 있을 수 있는 페이로드 패킷을 별도의 터널 인터페이스로 전송할 필요가 없습니다.

포우링 확장성

터널 인터페이스를 통해 L2TP 트래픽을 포링하려면 터널 인터페이스를 호스팅하는 슬롯으로 트래픽을 전송해야 합니다. 터널 인터페이스를 사용하여 GRE 트래픽을 포우링하면 이 요구 사항은 GRE 터널 대상 주소당 포우링할 수 있는 트래픽의 양을 제한합니다. 예를 들어, 라우터 A에서 라우터 B로 100Gbps의 L2TP 트래픽을 전송할 경우 인터페이스가 10Gbps에 불과하다고 가정해 보겠습니다. 동일한 보드의 모든 트래픽을 동일한 10Gbps 인터페이스로 캡슐화하지 않도록 여러 캡슐화 지점에서 트래픽을 배포해야 합니다.

출시 내역 표
릴리스
설명
15.1
Junos OS Release 15.1부터 시작해, 표준 방화벽 필터 일치 조건과 함께 L2TP 터널을 통해 전송되는 IP 패킷의 디캡 캡슐화 해제는 Layer 3 룩업을 사용하여 수행됩니다.
14.2
Junos OS 릴리즈 14.2 이상에서 방화벽 필터 작업을 구성한 L2TP 터널을 통해 트래픽의 디캡캡(decapsulation)이 레이어 2 인터페이스 속성을 사용하여 수행됩니다.