Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4 네트워크의 방화벽 필터 기반 L2TP 터널링 개요

L2TP(Layer 2 Tunneling Protocol)는 네트워크 전반에서 PPP(Point-to-Point Protocol)를 터널링할 수 있는 클라이언트-서버 프로토콜입니다. L2TP는 네트워크 전반의 전송을 위해 Layer 2 패킷(예: PPP)을 캡슐화합니다. 액세스 디바이스에 구성된 L2TP LAC(Access Concentrator)는 원격 클라이언트로부터 패킷을 수신하여 원격 네트워크의 L2TP 네트워크 서버(LNS)로 전달합니다. L2TPv3은 2개의 IPv6 노드 간의 여러 레이어 2 연결을 터널링하기 위한 기본 제어 프로토콜 및 캡슐화를 정의합니다. L2TPv2와 L2TPv3의 중요한 차이점은 다음과 같습니다.

  • 모든 PPP 관련 AVP와 레퍼런스가 분리되어 PPP의 요구에 특정한 L2TP 데이터 헤더의 일부를 포함할 수 있습니다.

  • 각각 16비트 세션 ID 및 터널 ID에서 32비트 세션 ID 및 제어 연결 ID로 전환합니다.

  • 특정 메시지의 일부만이 아니라 전체 제어 메시지를 다루는 터널 인증 메커니즘의 확장

  • L2TPv3는 IPv6에서만 지원됩니다.

  • 방화벽 필터의 경우 데이터 플레인 L2TPv3 캡슐화/디캡슐화만 지원됩니다.

L2TP는 메시지 및 데이터 메시지 제어(각각 컨트롤 패킷 및 데이터 패킷이라고도 함)의 두 가지 유형으로 구성됩니다. 제어 메시지는 제어 연결 및 세션의 설정, 유지 관리 및 삭제에 사용됩니다. 이러한 메시지는 L2TP 내에서 안정적인 제어 채널을 활용하여 전달을 보장합니다. 데이터 메시지는 L2TP 세션을 통해 전달되는 L2 트래픽을 캡슐화하는 데 사용됩니다.

두 가지 표준 방화벽 필터 작업에 의해 시작된 GRE 터널링 프로토콜 메커니즘을 사용하여 IPv4, IPv6 또는 MPLS 전송 트래픽을 전송하도록 IPv4 네트워크를 구성할 수 있습니다. 이 기능은 논리적 시스템에서도 지원됩니다. 방화벽 필터를 사용하여 L2TP 터널링을 구성할 경우 터널 서비스 PIC(Physical Interface Card) 또는 MPC3E MPC(Modular Port Concentrator)에서 터널 인터페이스를 생성할 필요가 없습니다. 대신 패킷 포워딩 엔진은 이더넷 논리적 인터페이스에 터널 서비스를 제공하거나 MX 시리즈 5G 유니버설 라우팅 플랫폼의 MPC(Modular Interface Card) 또는 MPC상에서 호스팅되는 통합 이더넷 인터페이스를 제공합니다.

프로바이더 에지(PE) 라우터로 설치된 2개의 MX 시리즈 라우터는 두 개의 서로 다른 네트워크에서 고객 에지(CE) 라우터에 대한 연결을 제공합니다. PE 라우터의 MIC 또는 MPC 인터페이스는 페이로드의 L2TP IPv4 캡슐화 및 캡슐화 해제를 수행합니다. 캡슐화 해제 후 패킷은 작업에 지정된 라우팅 테이블의 로컬 인터페이스 또는 L2TP 헤더의 프로토콜 필드를 기반으로 기본 라우팅 테이블로 전송됩니다. 그러나 L2TP 패킷은 선택적으로 출력 인터페이스 인덱스와 동일한 토큰을 가진 패브릭 전반에 전송하여 레이어 2 교차 연결을 수행할 수 있습니다. 계층 수준에서 명령문을 [edit firewall family family-name filter filter-name term term-name then] 포함하여 decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie 전송할 L2TP 패킷에 사용할 출력 인터페이스 지정기를 지정할 수 있습니다.

캡슐화 해제 중에 내부 헤더는 L2TP 터널의 이더넷이어야 합니다. 포워딩 클래스는 기본적으로 방화벽 앞에 적용되며 디캡슐화된 패킷에 대해 보존되지 않습니다(계층 수준에서 명령문을 [edit firewall family family-name] 사용하는 forwarding-class class-name 경우, 이는 비계속 필터 작업임). 그러나 계층 수준에서 명령문을 사용함으로써 디캡슐화된 패킷에 대한 필터 조치를 포함함으로써 패킷을 분류해야 하는 포워딩 클래스를 decapsulate l2tp forwarding-class class-name[edit firewall family family-name filter filter-name term term-name then] 지정할 수 있습니다.

다음 필드 정의는 모든 L2TP 세션 헤더 캡슐화에서 사용하도록 정의됩니다.

  • Session ID 필드는 세션에 대한 비제로 식별자가 포함된 32비트 필드입니다. L2TP 세션은 지역적 중요성만을 갖는 식별자에 의해 명명됩니다. 동일한 논리적 세션은 세션 수명 동안 컨트롤 연결이 끝날 때마다 서로 다른 세션 ID를 부여합니다. 세션 설정에 L2TP 제어 연결이 사용되는 경우 세션 생성 시 세션 ID를 로컬 세션 ID AVP로 선택하고 교환합니다. Session ID만으로도 쿠키의 존재 상태, 크기 및 값, L2 특정 서브레이어 유형, 터널화된 페이로드 유형 등 모든 추가 패킷 처리에 필요한 컨텍스트를 제공합니다.

  • 쿠키 필드 옵션에는 수신된 데이터 메시지와 세션 ID로 식별된 세션의 연관을 확인하는 데 사용되는 가변 길이 값(최대 64비트)이 포함되어 있습니다. 쿠키 필드는 이 세션에 대해 구성되거나 신호로 지정된 임의의 값으로 설정되어야 합니다. 이 쿠키는 데이터 메시지가 세션 ID에 의해 적절한 세션으로 전달되었음을 보장하는 추가 수준을 제공합니다. 잘 선택된 쿠키는 최근에 재사용된 세션 IP를 사용하거나 패킷 손상이 발생할 수 있는 Session ID의 경우 무작위로 패킷을 잘못 방향하는 것을 방지할 수 있습니다. 이 쿠키는 특정한 악의적인 패킷 삽입 공격을 차단할 수도 있습니다. 세션 설정에 L2TP 제어 연결이 사용되는 경우, 세션 생성 시 임의의 쿠키 값을 선택하고 할당된 쿠키 AVP로 교환합니다.

세션은 원격 시스템과 LNS 사이에 엔드 투 엔드 PPP 연결이 설정될 때 LAC와 LNS 사이에 생성된 논리적 연결입니다. 설정된 L2TP 세션과 연결된 PPP 연결 사이에는 일대일 관계가 있습니다. 터널은 하나 이상의 L2TP 세션의 어그리게이션입니다.

Junos OS Release 15.1부터 시작하여 표준 방화벽 필터 일치 조건 및 지정된 작업이 Layer 3 조회를 사용하여 L2TP 터널을 통해 전송되는 IP 패킷의 디캡슐화가 수행됩니다. Junos OS 릴리스 14.2 이전 버전에서 Layer 2 인터페이스 속성을 사용하여 구성된 방화벽 필터 작업이 구성된 L2TP 터널상의 트래픽 디캡슐화가 수행됩니다.

단방향 터널링

IPv4 네트워크 전반의 필터 기반 L2TP 터널은 단방향입니다. 전송 패킷만 전송하며 터널 인터페이스가 필요하지 않습니다. 방화벽 필터를 루프백 주소에 적용할 수 있지만 GRE 캡슐화 및 캡슐화 해제 방화벽 필터 작업은 라우터 루프백 인터페이스에서 지원되지 않습니다. L2TP 패킷의 필터를 통한 캡슐화 및 디캡슐화 작업은 이더넷 논리적 인터페이스와 통합 이더넷 인터페이스를 위해 패킷 포워딩 엔진에서 실행됩니다. 이 설계를 사용하면 터널 인터페이스를 사용한 GRE 터널링에 비해 패킷 포워딩 엔진 대역폭을 보다 효율적으로 사용할 수 있습니다. 방화벽 기반 터널 위에서 라우팅 프로토콜 세션을 구성할 수 없습니다.

터널 보안

IPv4 네트워크 전반의 필터 기반 터널링이 암호화되지 않습니다. 보안 터널링이 필요한 경우 MIC 또는 MPC 인터페이스에서 지원되지 않는 IP 보안(IPsec) 암호화를 사용해야 합니다. 그러나 MX240, MX480 및 MX960 라우터의 MS-DPC(Multiservices DPC) 인터페이스는 데이터 트래픽 암호화와 라우팅 엔진에서 시작되거나 발생되는 트래픽의 암호화를 위한 수동 또는 동적 보안 연결(SA)을 구성하기 위한 IPsec 도구를 지원합니다.

포워딩 성능

IPv4 네트워크 전반의 필터 기반 터널링을 사용하면 터널 인터페이스를 사용한 L2TP 터널링에 비해 패킷 포워딩 엔진 대역폭을 보다 효율적으로 사용할 수 있습니다. 캡슐화, 캡슐화 해제 및 루트 룩업은 방화벽 필터 기반 터널링을 위해 Junos Trio 칩셋 기반 패킷 포워딩 엔진에서 수행되는 패킷 헤더 처리 활동입니다. 따라서 캡슐화는 페이로드 패킷을 별도의 터널 인터페이스로 보낼 필요가 없습니다(페이로드 패킷을 수신하는 인터페이스와는 다른 슬롯의 PIC에 상주할 수 있습니다).

포워딩 확장성

터널 인터페이스를 통해 L2TP 트래픽을 포워딩하려면 터널 인터페이스를 호스팅하는 슬롯으로 트래픽을 전송해야 합니다. 터널 인터페이스를 사용하여 GRE 트래픽을 전송하는 경우, 이 요구 사항은 GRE 터널 대상 주소당 전달될 수 있는 트래픽의 양을 제한합니다. 예를 들어, 라우터 A에서 라우터 B로 100Gbps의 L2TP 트래픽을 전송하고 10Gbps 인터페이스만 있다고 가정해 보겠습니다. 구성이 동일한 10Gbps 인터페이스로 가는 동일한 보드의 모든 트래픽을 캡슐화하지 않도록 여러 캡슐화 지점에 트래픽을 분산해야 합니다.

출시 내역 표
릴리스
설명
15.1
Junos OS Release 15.1부터 시작하여 표준 방화벽 필터 일치 조건 및 지정된 작업이 Layer 3 조회를 사용하여 L2TP 터널을 통해 전송되는 IP 패킷의 디캡슐화가 수행됩니다.
14.2
Junos OS 릴리스 14.2 이전 버전에서 Layer 2 인터페이스 속성을 사용하여 구성된 방화벽 필터 작업이 구성된 L2TP 터널상의 트래픽 디캡슐화가 수행됩니다.