레이어 3 VPN을 위한 ES 터널
레이어 3 VPN에 대한 ES 터널 인터페이스 구성
ES 터널 인터페이스를 사용하면 레이어 3 VPN의 PE와 CE 라우터 간에 IP 보안(IPsec) 터널을 구성할 수 있습니다. IPsec 터널에는 하나 이상의 홉이 포함될 수 있습니다.
다음 섹션에서는 레이어 3 VPN의 PE와 CE 라우터 사이에 ES 터널 인터페이스를 구성하는 방법을 설명합니다.
PE 라우터에서 ES 터널 인터페이스 구성
PE 라우터에서 ES 터널 인터페이스를 구성하려면 문을 포함합니다 unit .
unit logical-unit-number {
tunnel {
source source-address;
destination destination-address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
기본적으로 터널 대상 주소는 기본 인터넷 라우팅 테이블 inet.0인 것으로 가정됩니다. 수동 보안 연결(SA)을 사용하는 IPsec 터널의 경우 터널 대상 주소가 기본 inet.0 라우팅 테이블 아닌 경우 문을 구성 routing-instance 하여 터널 대상 주소를 검색할 라우팅 테이블 지정해야 합니다. 터널 캡슐화 인터페이스도 라우팅 인스턴스에 따라 구성된 경우입니다.
unit logical-unit-number {
tunnel {
source address;
destination address;
routing-instance {
destination routing-instance-name;
}
family inet {
address address;
ipsec-sa security-association-name;
}
family mpls;
}
}
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]참고:동적 SA를 사용하는 IPsec 터널의 경우 터널 대상 주소는 기본 인터넷 라우팅 테이블 inet.0이어야 합니다.
ES 터널 인터페이스 구성을 완료하려면 적절한 라우팅 인스턴스 아래에 ES 인터페이스에 대한 문을 포함합니다 interface .
interface interface-name;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
CE 라우터에서 ES 터널 인터페이스 구성
CE 라우터에서 ES 터널 인터페이스를 구성하려면 문을 포함합니다 unit .
unit 0 {
tunnel {
source address;
destination address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
PE와 CE 라우터 간의 ES 터널 인터페이스 구성
이 예는 레이어 3 VPN에서 PE 라우터와 CE 라우터 사이에 ES 터널 인터페이스를 구성하는 방법을 보여줍니다. 이 예에서 사용되는 네트워크 토폴로지는 그림 1에 표시됩니다.
이 예를 구성하려면 다음 섹션에서 단계를 수행합니다.
- 라우터 PE1에서 IPsec 구성
- 캡슐화 인터페이스 없이 라우팅 인스턴스 구성
- 캡슐화 인터페이스를 사용한 라우팅 인스턴스 구성
- 라우터 CE1에서 ES 터널 인터페이스 구성
- 라우터 CE1에서 IPsec 구성
라우터 PE1에서 IPsec 구성
라우터 PE1에서 IP 보안(IPsec)을 구성합니다.
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}
캡슐화 인터페이스 없이 라우팅 인스턴스 구성
캡슐화 인터페이스(t3-0/1/3 이 예에서)를 포함하거나 사용하지 않고 라우터 PE1에서 라우팅 인스턴스를 구성할 수 있습니다. 다음 섹션에서는 라우팅 인스턴스를 사용하지 않고 구성하는 방법을 설명합니다.
라우터 PE1에서 라우팅 인스턴스 구성
라우터 PE1에서 라우팅 인스턴스를 구성합니다.
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
라우터 PE1에서 ES 터널 인터페이스 구성
라우터 PE1에서 ES 터널 인터페이스를 구성합니다.
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
ES 터널에 대한 캡슐화 인터페이스 구성
이 예에서 인터페이스 t3-0/1/3 는 ES 터널에 대한 캡슐화 인터페이스입니다. 인터페이스 t3-0/1/3구성:
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
캡슐화 인터페이스를 사용한 라우팅 인스턴스 구성
터널 캡슐화 인터페이스, t3-0/1/3이(가) 라우팅 인스턴스에 따라 구성되는 경우, 인터페이스 정의에 따라 라우팅 인스턴스 이름을 지정해야 합니다. 시스템은 이 라우팅 인스턴스를 사용하여 수동 보안 연결을 사용하여 IPsec 터널의 터널 대상 주소를 검색합니다.
다음 섹션에서는 캡슐화 인터페이스를 사용하여 라우팅 인스턴스를 구성하는 방법을 설명합니다.
라우터 PE1에서 라우팅 인스턴스 구성
라우터 PE1에서 라우팅 인스턴스(터널 캡슐화 인터페이스 포함)를 구성합니다.
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
interface t3-0/1/3.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
라우터 PE1에서 ES 터널 인터페이스 구성
라우터 PE1에서 ES 터널 인터페이스를 구성합니다.
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
routing-instance {
destination vpna;
}
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
라우터 PE1에서 캡슐화 인터페이스 구성
라우터 PE1에서 캡슐화 인터페이스를 구성합니다.
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
라우터 CE1에서 ES 터널 인터페이스 구성
라우터 CE1에서 ES 터널 인터페이스를 구성합니다.
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.250;
destination 192.168.197.249;
}
family inet {
address 10.49.2.1/30;
ipsec-sa sa-esp-manual;
}
}
라우터 CE1에서 IPsec 구성
라우터 CE1에서 IPsec을 구성합니다.
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}