레이어 3 VPN을 위한 ES 터널
레이어 3 VPN에 대한 ES 터널 인터페이스 구성
ES 터널 인터페이스를 사용하면 레이어 3 VPN의 PE 및 CE 라우터 사이에 IP 보안(IPsec) 터널을 구성할 수 있습니다. IPsec 터널은 하나 이상의 홉을 포함할 수 있습니다.
다음 섹션에서는 레이어 3 VPN의 PE와 CE 라우터 간에 ES 터널 인터페이스를 구성하는 방법을 설명합니다.
PE 라우터에서 ES 터널 인터페이스 구성
PE 라우터에서 ES 터널 인터페이스를 구성하려면 문을 포함합니다.unit
unit logical-unit-number {
tunnel {
source source-address;
destination destination-address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
기본적으로 터널 대상 주소는 기본 인터넷 라우팅 테이블인 inet.0에 있는 것으로 가정합니다. 수동 SA(Security Association)를 사용하는 IPsec 터널의 경우, 터널 대상 주소가 기본 inet.0 라우팅 테이블에 없으면 문을 구성 routing-instance 하여 터널 대상 주소를 검색할 라우팅 테이블을 지정해야 합니다. 터널 캡슐화 인터페이스도 라우팅 인스턴스 아래에 구성된 경우입니다.
unit logical-unit-number {
tunnel {
source address;
destination address;
routing-instance {
destination routing-instance-name;
}
family inet {
address address;
ipsec-sa security-association-name;
}
family mpls;
}
}
다음 계층 수준에서 이러한 문을 포함할 수 있습니다.
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]메모:동적 SA를 사용하는 IPsec 터널의 경우, 터널 대상 주소는 기본 인터넷 라우팅 테이블인 inet.0에 있어야 합니다.
ES 터널 인터페이스 구성을 완료하려면 적절한 라우팅 인스턴스 아래에 ES 인터페이스에 대한 문을 포함합니다 interface .
interface interface-name;
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
CE 라우터에서 ES 터널 인터페이스 구성
CE 라우터에서 ES 터널 인터페이스를 구성하려면 다음과 같은 명령문을 포함하십시오.unit
unit 0 {
tunnel {
source address;
destination address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
PE 및 CE 라우터 간의 ES 터널 인터페이스 구성
이 예는 레이어 3 VPN에서 PE 라우터와 CE 라우터 간에 ES 터널 인터페이스를 구성하는 방법을 보여줍니다. 이 예에서 사용된 네트워크 토폴로지는 그림 1에 나와 있습니다.
이 예를 구성하려면 다음 섹션의 단계를 수행합니다.
- 라우터 PE1에서 IPsec 구성
- 캡슐화 인터페이스 없이 라우팅 인스턴스 구성
- 캡슐화 인터페이스로 라우팅 인스턴스 구성
- 라우터 CE1에서 ES 터널 인터페이스 구성
- 라우터 CE1에서 IPsec 구성
라우터 PE1에서 IPsec 구성
라우터 PE1에서 IP 보안(IPsec)을 구성합니다.
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}
캡슐화 인터페이스 없이 라우팅 인스턴스 구성
캡슐화 인터페이스(t3-0/1/3 이 예시)를 사용하거나 사용하지 않고 라우터 PE1에서 라우팅 인스턴스를 구성할 수 있습니다. 다음 섹션에서는 라우팅 인스턴스를 구성하지 않고 구성하는 방법을 설명합니다.
라우터 PE1에서 라우팅 인스턴스 구성
라우터 PE1에서 라우팅 인스턴스를 구성합니다.
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
라우터 PE1에서 ES 터널 인터페이스 구성
라우터 PE1에서 ES 터널 인터페이스를 구성합니다.
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
ES 터널에 대한 캡슐화 인터페이스 구성
이 예에서 인터페이스 t3-0/1/3 은(는) ES 터널에 대한 캡슐화 인터페이스입니다. 인터페이스 t3-0/1/3구성:
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
캡슐화 인터페이스로 라우팅 인스턴스 구성
터널 캡슐화 인터페이스인 t3-0/1/3이(가) 라우팅 인스턴스 아래에 구성된 경우에도 인터페이스 정의 아래에 라우팅 인스턴스 이름을 지정해야 합니다. 시스템은 이 라우팅 인스턴스를 사용하여 수동 보안 연결을 통해 IPsec 터널의 터널 대상 주소를 검색합니다.
다음 섹션에서는 캡슐화 인터페이스를 사용하여 라우팅 인스턴스를 구성하는 방법을 설명합니다.
라우터 PE1에서 라우팅 인스턴스 구성
라우터 PE1(터널 캡슐화 인터페이스 포함)에서 라우팅 인스턴스를 구성합니다.
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
interface t3-0/1/3.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
라우터 PE1에서 ES 터널 인터페이스 구성
라우터 PE1에서 ES 터널 인터페이스를 구성합니다.
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
routing-instance {
destination vpna;
}
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
라우터 PE1에서 캡슐화 인터페이스 구성
라우터 PE1에서 캡슐화 인터페이스를 구성합니다.
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
라우터 CE1에서 ES 터널 인터페이스 구성
라우터 CE1에서 ES 터널 인터페이스를 구성합니다.
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.250;
destination 192.168.197.249;
}
family inet {
address 10.49.2.1/30;
ipsec-sa sa-esp-manual;
}
}
라우터 CE1에서 IPsec 구성
라우터 CE1에서 IPsec을 구성합니다.
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}