Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

서비스 프로바이더 스타일에서 Q-in-Q 터널링을 사용하여 DHCP 보안 구성

Junos OS는 스위치 인터페이스에 대해 서비스 프로바이더 스타일과 엔터프라이즈 스타일이라는 두 가지 구성 스타일을 지원합니다. 서비스 프로바이더 스타일은 더 많은 구성이 필요하지만 더 큰 유연성을 제공합니다. 엔터프라이즈 스타일은 구성하기 쉽지만 기능이 적습니다.

엔터프라이즈 스타일의 구성에서는 이더넷 스위칭을 인터페이스 패밀리로 지정하여 논리적 인터페이스가 레이어 2 모드로 전환됩니다. 이더넷 스위칭 옵션은 단일 논리 유닛 유닛 0에서만 구성할 수 있습니다. VLAN ID를 유닛 0에 바인딩할 수 없는데, 그 이유는 이러한 인터페이스가 다양한 VLAN 태그가 있는 트래픽을 지원하는 트렁크 모드 또는 태그가 지정되지 않은 트래픽을 지원하는 액세스 모드에서 작동하기 때문입니다.

Q-in-Q 터널링과 같은 일부 스위칭 기능은 논리적 인터페이스 유닛 0에서 구성할 수 없습니다. Q-in-Q 터널링에는 VLAN 태그가 지정된 프레임을 전송하기 위한 논리적 인터페이스가 필요합니다. 논리적 인터페이스가 VLAN 태그가 지정된 이더넷 프레임을 수신하고 전달할 수 있도록 하려면 논리적 인터페이스를 해당 VLAN에 바인딩해야 합니다. 엔터프라이즈 스타일은 VLAN ID를 유닛 0에 바인딩하는 것을 허용하지 않으므로 서비스 프로바이더 스타일을 사용하여 Q-in-Q 터널링을 구성해야 합니다.

Q-in-Q 터널링과 함께 DHCP 보안을 지원하기 위해 서비스 프로바이더 스타일을 사용하여 다음과 같은 DHCP 보안 기능을 구성할 수 있습니다.

  • DHCP 스누핑(DHCPv4 및 DHCPv6)
  • 동적 ARP 검사
  • 이웃 검색 검사
  • DHCP 옵션 82
  • DHCPv6 옵션 18 및 옵션 37
  • 경량 DHCPv6 릴레이 에이전트

유연한 이더넷 서비스 캡슐화를 사용하여 동일한 물리적 인터페이스에서 서비스 프로바이더와 엔터프라이즈 구성 스타일을 결합할 수 있습니다. 유연한 이더넷 서비스 캡슐화를 통해 물리적 인터페이스 수준이 아닌 논리적 인터페이스 수준에서 캡슐화를 구성할 수 있습니다. 단위당 여러 개의 이더넷 캡슐화를 정의하면 동일한 물리적 인터페이스에 연결된 여러 호스트에 대해 이더넷 기반 서비스를 보다 쉽게 사용자 지정할 수 있습니다. 자세한 내용은 유연한 이더넷 서비스 캡슐화 를 참조하십시오 .

메모:

EX4300 스위치는 동일한 물리적 인터페이스에서 서비스 프로바이더 스타일 및 엔터프라이즈 스타일 구성을 지원하지 않습니다.

예: 서비스 프로바이더 스타일 구성을 통한 DHCP 보안 및 Q-in-Q 터널링

서비스 프로바이더 스타일만 지원하도록 물리적 인터페이스를 구성할 때 브리징 기능을 지원하도록 캡슐화 유형을 구성합니다 extended-vlan-bridge . 트렁크 모드에서 작동하고 여러 VLAN에 대한 VLAN 태그가 있는 이더넷 프레임을 전송할 수 있도록 물리적 인터페이스에서 네이티브 VLAN 태깅을 구성해야 합니다. 인터페이스에서 유연한 VLAN 태깅을 구성하여 802.1Q VLAN 단일 태그 및 이중 태그 프레임으로 패킷을 전송할 수 있습니다.

다음 예제 구성은 서비스 프로바이더 구성을 위한 물리적 인터페이스 ge-0/0/11을 캡슐화하고 논리적 유닛 111을 정의합니다. VLAN ID v111은 유닛 111에 바인딩되고, Q-in-Q 터널링은 논리적 인터페이스 ge-0/0/11.111에서 구성됩니다. 이 구성은 VLAN v111에서 DHCP 스누핑, 동적 ARP 검사 및 DHCP 옵션 82를 활성화합니다.

예: 유연한 이더넷 서비스 캡슐화를 통한 DHCP 보안 및 Q-in-Q 터널링

유연한 이더넷 서비스 캡슐화 유형을 사용하면 물리적 인터페이스가 두 가지 구성 스타일을 모두 지원할 수 있습니다. 서비스 프로바이더 스타일을 지원하기 위해 유연한 이더넷 서비스는 물리적 인터페이스 대신 논리적 인터페이스 수준에서 캡슐화를 구성할 수 있습니다. 엔터프라이즈 스타일을 지원하기 위해 유연한 이더넷 서비스를 통해 모든 논리 인터페이스 장치 번호로 제품군을 ethernet-switching 구성할 수 있습니다.

다음 예제 구성은 서비스 프로바이더 및 엔터프라이즈 스타일 구성을 지원하기 위해 물리적 인터페이스 ge-0/0/11을 flexible-ethernet-services 캡슐화합니다. 물리적 인터페이스에는 서비스 프로바이더 스타일의 유닛 111과 엔터프라이즈 스타일의 유닛 0이라는 두 개의 논리적 단위가 정의됩니다. 캡슐화는 유닛 111에서 브리징 기능을 활성화하고 제품군은 vlan-bridge ethernet-switching 유닛 0에서 브리징 기능을 활성화합니다. Q-in-Q 터널링은 논리적 인터페이스 ge-0/0/11.111에서 구성됩니다.

VLAN v111은 유닛 111에 바인딩되며 다음과 같은 DHCP 보안 기능을 가지고 있습니다.

  • DHCP 스누핑(옵션 82 및 신뢰할 수 있는 재정의)
  • 동적 ARP 검사

VLAN EP_v222은 유닛 0에 바인딩되며 다음과 같은 DHCP 보안 기능을 갖습니다.

  • DHCP 스누핑(옵션 82)
  • 동적 ARP 검사
  • 이웃 검색 검사
메모:

서비스 프로바이더 스타일 구성이 있는 인터페이스는 DHCP에 대해 기본적으로 신뢰할 수 없습니다. 엔터프라이즈 스타일 구성의 인터페이스에서 액세스 인터페이스는 신뢰할 수 없으며 트렁크 인터페이스는 신뢰할 수 있습니다.

예: 스왑-푸시/팝-스왑을 지원하는 DHCP 보안 및 Q-in-Q 터널링

서비스 프로바이더는 Q-in-Q 터널링 및 VLAN 변환 기능을 통해 두 고객 사이트 간에 L2 이더넷 연결을 생성할 수 있습니다. 프로바이더는 링크에서 서로 다른 고객의 VLAN 트래픽을 분리할 수 있습니다.

L2 스왑-푸시/팝-스왑을 지원하는 Q-in-Q 터널링은 고객 VLAN(C-VLAN) 태그가 태그 inner-vlan-id 로 스왑되고 서비스 프로바이더가 정의한 서비스 VLAN(S-VLAN) 태그가 푸시되는 특정 시나리오입니다(고객 에서 서비스 프로바이더 사이트로 흐르는 트래픽의 경우). 이 트래픽은 이중 태그 처리된(S-VLAN + C-VLAN) 서비스 프로바이더 네트워크로 전송됩니다. 서비스 프로바이더 네트워크에서 고객 네트워크로 흐르는 트래픽의 경우, S-VLAN 태그가 제거되고 C-VLAN 태그가 UNI 논리적 인터페이스에 구성된 VLAN ID로 대체됩니다.

다음 예는 스왑-푸시/팝-스왑 듀얼 태그 작업을 보여줍니다.

  1. 스왑-푸시 - UNI에서 수신-단일 태그 처리된 프레임의 경우, C-VLAN(VLAN ID 100)은 논리적 인터페이스에서 구성된 내부 VLAN ID(200)와 스왑되고 S-VLAN(VLAN ID 900)은 프레임으로 푸시됩니다. 이중 태그 처리된 프레임은 NNI 밖으로 송신됩니다.
  2. 팝 스왑 - NNI에서 수신되는 이중 태그 프레임의 경우, S-VLAN 태그가 프레임에서 팝(VLAN ID 900)되고 논리 인터페이스의 VLAN ID 100이 C-VLAN 태그를 대체합니다. 단일 태그 처리된 프레임은 UNI에서 송신됩니다.

Q-in-Q 터널링과 함께 DHCP 보안을 지원하기 위해 다음과 같은 DHCP 보안 기능을 구성할 수 있습니다.

  • DHCP 스누핑(DHCPv4 및 DHCPv6)
  • 동적 ARP 검사
  • DHCPv6 소스 가드
  • 이웃 검색 검사
  • DHCP 옵션 82
  • DHCPv6 옵션 37

VLAN ID 목록으로 논리적 인터페이스를 구성하고 input-vlan-map 및 output-vlan-map이 swap-push/pop-swap으로 구성된 경우, UNI에서 회귀하는 트래픽이 구성된 VLAN ID 목록의 원래 고객 VLAN ID 대신 논리적 단위 번호를 가지므로 원하지 않는 동작이 발생합니다.