Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

GRE 또는 IPIP 트래픽의 캡슐화 해제를 위한 방화벽 필터 구성

GRE(Generic Routing Encapsulation) 및 IPIP(IP over IP)는 모두 패킷을 캡슐화(또는 터널링)하여 네트워크를 통해 패킷을 전송하기 위한 비공개의 안전한 경로를 제공합니다. 터널링은 트래픽을 캡슐화하거나 캡슐화 해제하는 터널 엔드포인트에 의해 수행됩니다.

방화벽 필터를 사용하여 스위치의 터널 트래픽을 캡슐화 해제할 수 있습니다. 이 기능은 캡슐화 해제를 수행하기 위해 터널 인터페이스를 생성할 필요가 없기 때문에 확장성, 성능 및 유연성 측면에서 상당한 이점을 제공합니다. 예를 들어, 하나의 방화벽 용어로 여러 소스 IP 주소에서 여러 터널을 종료할 수 있습니다.

주:

EX4600, QFX5100 및 OCX 스위치는 방화벽 필터로 생성된 터널을 포함하여 최대 512개의 GRE 터널을 지원합니다. 즉, 사용하는 방법에 관계없이 총 512개의 GRE 터널을 생성할 수 있습니다.

GRE 트래픽 캡슐화 해제를 위한 필터 구성

GRE 트래픽의 캡슐화를 해제하도록 방화벽 필터를 구성하려면 다음을 수행합니다.

  1. IPv4 방화벽 필터를 생성하고 터널의 소스 주소를 지정합니다(선택 사항).

    GRE 패킷의 외부 헤더는 IPv4여야 하므로 를 사용하여 IPv4 필터를 만들어야 합니다.family inet 소스 주소를 지정하는 경우 트래픽을 GRE 패킷으로 캡슐화하는 디바이스의 주소여야 합니다.

    주:

    하나의 방화벽 용어로 여러 소스 IP 주소에서 많은 터널을 종료하려면 소스 주소를 구성하지 마십시오. 이 경우 필터는 필터를 적용하는 인터페이스에서 수신한 모든 GRE 패킷의 캡슐화를 해제합니다.

  2. 터널의 대상 주소를 지정합니다.

    이 주소는 터널을 종료하고 GRE 패킷을 캡슐화 해제할 스위치 인터페이스의 주소여야 합니다. 또한 스위치에서 터널을 형성할 모든 터널 소스 라우터에서 이 주소를 터널 엔드포인트로 구성해야 합니다.

  3. 필터가 GRE 트래픽과 일치하고 허용하도록 지정합니다.
  4. 필터가 GRE 트래픽의 캡슐화를 해제하도록 지정합니다.

    지금까지 수행한 구성에 따라 스위치는 내부 헤더를 기본 라우팅 테이블()과 비교하여 캡슐화 해제된 패킷을 전달합니다.inet0 스위치가 가상 라우팅 인스턴스를 사용하여 캡슐화 해제된 패킷을 전달하도록 하려면 다음 단계를 수행합니다.

  5. 가상 라우팅 인스턴스의 이름을 지정합니다.
  6. 가상 라우팅 인스턴스를 가상 라우터로 지정합니다.
  7. 가상 라우터에 속하는 인터페이스를 지정합니다.

IPIP 트래픽 캡슐화 해제를 위한 필터 구성

IPIP 트래픽의 캡슐화를 해제하기 위한 방화벽 필터 구성:

  1. IPv4 방화벽 필터를 생성하고 터널의 소스 주소를 지정합니다(선택 사항).

    IPIP 패킷의 외부 헤더는 IPv4여야 하므로 를 사용하여 IPv4 필터를 만들어야 합니다.family inet 소스 주소를 지정하는 경우 트래픽을 IPIP 패킷으로 캡슐화할 디바이스의 주소여야 합니다.

    주:

    하나의 방화벽 용어로 여러 소스 IP 주소에서 많은 터널을 종료하려면 소스 주소를 구성하지 마십시오. 이 경우 필터는 필터를 적용하는 인터페이스에서 수신한 모든 IPIP 패킷의 캡슐화를 해제합니다.

  2. 터널의 대상 주소를 지정합니다.

    이 주소는 터널을 종료하고 IPIP 패킷을 캡슐화 해제할 스위치 인터페이스의 주소여야 합니다. 또한 스위치에서 터널을 형성할 모든 터널 소스 라우터에서 이 주소를 터널 엔드포인트로 구성해야 합니다.

  3. 필터가 IPIP 트래픽과 일치하고 허용하도록 지정합니다.
  4. 필터가 IPIP 트래픽의 캡슐화를 해제하도록 지정합니다.

    지금까지 수행한 구성에 따라 스위치는 내부 헤더를 기본 라우팅 테이블()과 비교하여 캡슐화 해제된 패킷을 전달합니다.inet0 스위치가 가상 라우팅 인스턴스를 사용하여 캡슐화 해제된 패킷을 전달하도록 하려면 다음 단계를 수행합니다.

  5. 가상 라우팅 인스턴스의 이름을 지정합니다.
  6. 가상 라우팅 인스턴스를 가상 라우터로 지정합니다.
  7. 가상 라우터에 속하는 인터페이스를 지정합니다.

인터페이스에 필터 적용

방화벽 필터를 생성한 후에는 GRE 또는 IPIP 트래픽을 수신할 인터페이스에도 적용해야 합니다. 입력 방향으로 적용해야 합니다. 예를 들어,

GRE 또는 IPIP 패킷의 외부 헤더는 IPv4여야 하므로 IPv4 인터페이스에 필터를 적용하고 를 지정해야 합니다.family inet

관련 항목