Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

IPv4 네트워크의 방화벽 필터 기반 L2TP 터널링 개요

L2TP(Layer 2 Tunneling Protocol)는 PPP(Point-to-Point Protocol)가 네트워크를 통해 터널링될 수 있도록 하는 클라이언트-서버 프로토콜입니다. L2TP는 네트워크를 통한 전송을 위해 PPP와 같은 레이어 2 패킷을 캡슐화합니다. 액세스 디바이스에 구성된 L2TP LAC(Access Concentrator)는 원격 클라이언트로부터 패킷을 수신하여 원격 네트워크의 L2TP 네트워크 서버(LNS)로 전달합니다. L2TPv3은 두 IPv6 노드 간의 다중 레이어 2 연결을 터널링하기 위한 기본 제어 프로토콜 및 캡슐화를 정의합니다. L2TPv2와 L2TPv3의 중요한 차이점은 다음과 같습니다.

  • 모든 PPP 관련 AVP 및 참조를 분리하여 PPP의 요구 사항에 맞는 L2TP 데이터 헤더의 일부를 포함할 수 있습니다.

  • 16비트 세션 ID 및 터널 ID에서 각각 32비트 세션 ID 및 제어 연결 ID로 전환합니다.

  • 특정 메시지의 일부가 아닌 전체 제어 메시지를 포함하도록 터널 인증 메커니즘을 확장합니다.

  • L2TPv3은 IPv6에서만 지원됩니다.

  • 방화벽 필터의 경우 데이터 플레인 L2TPv3 캡슐화/캡슐화 해제만 지원됩니다.

L2TP는 제어 메시지와 데이터 메시지(각각 제어 패킷 및 데이터 패킷이라고도 함)의 두 가지 유형의 메시지로 구성됩니다. 제어 메시지는 제어 연결 및 세션의 설정, 유지 관리 및 삭제에 사용됩니다. 이러한 메시지는 L2TP 내에서 신뢰할 수 있는 제어 채널을 활용하여 전달을 보장합니다. 데이터 메시지는 L2TP 세션을 통해 전달되는 L2 트래픽을 캡슐화하는 데 사용됩니다.

두 개의 표준 방화벽 필터 작업에 의해 시작된 GRE 터널링 프로토콜 메커니즘을 사용하여 IPv4, IPv6 또는 MPLS 전송 트래픽을 전송하도록 IPv4 네트워크를 구성할 수 있습니다. 이 기능은 논리적 시스템에서도 지원됩니다. 방화벽 필터로 L2TP 터널링을 구성할 때 터널 서비스 물리적 인터페이스 카드(PIC) 또는 MPC3E MPC(Modular Port Concentrator)에 터널 인터페이스를 생성할 필요가 없습니다. 대신 패킷 전달 엔진은 MX 시리즈 5G 유니버설 라우팅 플랫폼의 MIC(Modular Interface Card) 또는 MPC에서 호스팅되는 이더넷 논리 인터페이스 또는 통합 이더넷 인터페이스에 터널 서비스를 제공합니다.

프로바이더 에지(PE) 라우터로 설치된 2개의 MX 시리즈 라우터는 2개의 분리된 네트워크에서 고객 에지(CE) 라우터에 대한 연결을 제공합니다. PE 라우터의 MIC 또는 MPC 인터페이스는 페이로드의 L2TP IPv4 캡슐화 및 캡슐화 해제를 수행합니다. 캡슐화 해제 후, 패킷은 L2TP 헤더의 프로토콜 필드를 기반으로 작업에 지정된 라우팅 테이블의 로컬 인터페이스 또는 기본 라우팅 테이블로 전송됩니다. 그러나 레이어 2 교차 연결을 수행하기 위해 출력 인터페이스 인덱스와 동일한 토큰으로 패브릭을 통해 L2TP 패킷을 선택적으로 전송할 수 있습니다. 계층 수준에서 문을 포함하여 전송할 L2TP 패킷에 사용할 출력 인터페이스 지정자를 지정할 수 있습니다.decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie[edit firewall family family-name filter filter-name term term-name then]

캡슐화 해제 중에 내부 헤더는 L2TP 터널용 이더넷이어야 합니다. 포워딩 클래스는 기본적으로 방화벽 앞에 적용되며 캡슐화 해제된 패킷에 대해 보존되지 않습니다(계층 수준에서 문을 사용 함으로써 종료되지 않는 필터 동작).forwarding-class class-name[edit firewall family family-name] 그러나 계층 수준에서 문을 사용하여 캡슐화 해제된 패킷에 대한 필터 동작을 포함함으로써 패킷을 분류해야 하는 포워딩 클래스를 지정할 수 있습니다.decapsulate l2tp forwarding-class class-name[edit firewall family family-name filter filter-name term term-name then]

다음 필드 정의는 모든 L2TP 세션 헤더 캡슐화에서 사용하도록 정의됩니다.

  • 세션 ID 필드는 세션에 대한 0이 아닌 식별자를 포함하는 32비트 필드입니다. L2TP 세션의 이름은 로컬 중요도만 있는 식별자로 지정됩니다. 동일한 논리 세션에는 세션 수명 동안 제어 연결의 각 끝에서 서로 다른 세션 ID가 부여됩니다. L2TP 제어 연결이 세션 설정에 사용되는 경우 세션 ID가 선택되고 세션 생성 중에 로컬 세션 ID AVP로 교환됩니다. 세션 ID만으로도 쿠키의 존재, 크기 및 값, L2 특정 서브레이어 유형, 터널링되는 페이로드 유형 등 모든 추가 패킷 처리에 필요한 컨텍스트를 제공합니다.

  • 선택적 Cookie 필드에는 수신된 데이터 메시지와 세션 ID로 식별된 세션의 연결을 확인하는 데 사용되는 가변 길이 값(최대 64비트)이 포함됩니다. Cookie 필드는 이 세션에 대해 구성되거나 시그널링된 임의 값으로 설정되어야 합니다. 쿠키는 데이터 메시지가 세션 ID에 의해 적절한 세션으로 전달되었음을 추가로 보장합니다. 적절하게 선택된 쿠키는 최근에 재사용된 세션 ID가 있는 임의 패킷 또는 패킷 손상이 발생할 수 있는 세션 ID의 의도치 않은 잘못된 방향을 방지할 수 있습니다. 쿠키는 또한 일부 특정 악성 패킷 삽입 공격에 대한 보호를 제공할 수 있습니다. 세션 설정에 L2TP 제어 연결을 사용하는 경우 세션 생성 중에 임의의 쿠키 값이 선택되어 할당된 쿠키 AVP로 교환됩니다.

세션은 원격 시스템과 LNS 간에 종단 간 PPP 연결이 설정될 때 LAC와 LNS 간에 생성되는 논리적 연결입니다. 설정된 L2TP 세션과 관련 PPP 연결 사이에는 일대일 관계가 있습니다. 터널은 하나 이상의 L2TP 세션의 집합체입니다.

Junos OS 릴리스 15.1부터 레이어 3 조회를 사용하여 표준 방화벽 필터 일치 조건 및 지정된 작업을 통해 L2TP 터널을 통해 전송되는 IP 패킷의 캡슐화 해제가 수행됩니다. Junos OS 릴리스 14.2 및 이전 버전에서는 방화벽 필터 동작이 구성된 L2TP 터널을 통한 트래픽의 캡슐화 해제가 레이어 2 인터페이스 속성을 사용하여 수행됩니다.

단방향 터널링

IPv4 네트워크의 필터 기반 L2TP 터널은 단방향입니다. 전송 패킷만 전송하며 터널 인터페이스가 필요하지 않습니다. 루프백 주소에 방화벽 필터를 적용할 수 있지만 라우터 루프백 인터페이스에서는 GRE 캡슐화 및 캡슐화 해제 방화벽 필터 동작이 지원되지 않습니다. L2TP 패킷의 필터 시작 캡슐화 및 캡슐화 해제 작업은 이더넷 논리 인터페이스 및 어그리게이션 이더넷 인터페이스를 위한 패킷 전달 엔진에서 실행됩니다. 이 설계를 통해 터널 인터페이스를 사용하는 GRE 터널링에 비해 패킷 전달 엔진 대역폭을 보다 효율적으로 사용할 수 있습니다. 라우팅 프로토콜 세션은 방화벽 기반 터널 위에 구성할 수 없습니다.

터널 보안

IPv4 네트워크에서 필터 기반 터널링은 암호화되지 않습니다. 보안 터널링이 필요한 경우 MIC 또는 MPC 인터페이스에서 지원되지 않는 IP 보안(IPsec) 암호화를 사용해야 합니다. 그러나 MX240, MX480 및 MX960 라우터의 멀티서비스 DPC(MS-DPC) 인터페이스는 라우팅 엔진으로 향하거나 라우팅 엔진에서 출발하는 트래픽뿐만 아니라 데이터 트래픽의 암호화를 위한 수동 또는 동적 보안 연결(SA)을 구성하기 위한 IPsec 도구를 지원합니다.

포워딩 성능

IPv4 네트워크 전반의 필터 기반 터널링을 사용하면 터널 인터페이스를 사용하는 L2TP 터널링에 비해 패킷 전달 엔진 대역폭을 더 효율적으로 사용할 수 있습니다. 캡슐화, 캡슐화 해제 및 경로 조회는 방화벽 필터 기반 터널링을 위해 Junos Trio 칩셋 기반 패킷 전달 엔진에서 수행되는 패킷 헤더 처리 작업입니다. 따라서 캡슐화 도구는 별도의 터널 인터페이스(페이로드 패킷을 수신하는 인터페이스와 다른 슬롯의 PIC에 상주할 수 있음)로 페이로드 패킷을 보낼 필요가 없습니다.

포워딩 확장성

터널 인터페이스를 통해 L2TP 트래픽을 전달하려면 터널 인터페이스를 호스팅하는 슬롯으로 트래픽을 전송해야 합니다. 터널 인터페이스를 사용하여 GRE 트래픽을 전달하는 경우 이 요구 사항은 GRE 터널 대상 주소당 전달될 수 있는 트래픽의 양을 제한합니다. 예를 들어, 라우터 A에서 라우터 B로 100Gbps의 L2TP 트래픽을 전송하려고 하는데 인터페이스가 10Gbps만 있다고 가정해 보겠습니다. 구성이 동일한 보드의 모든 트래픽을 동일한 10Gbps 인터페이스로 캡슐화하지 않도록 하려면 여러 캡슐화 지점에 트래픽을 분산해야 합니다.

관련 항목

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
15.1
Junos OS 릴리스 15.1부터 레이어 3 조회를 사용하여 표준 방화벽 필터 일치 조건 및 지정된 작업을 통해 L2TP 터널을 통해 전송되는 IP 패킷의 캡슐화 해제가 수행됩니다.
14.2
Junos OS 릴리스 14.2 및 이전 버전에서는 방화벽 필터 동작이 구성된 L2TP 터널을 통한 트래픽의 캡슐화 해제가 레이어 2 인터페이스 속성을 사용하여 수행됩니다.