풀 메시 VPN
단순한 풀 메시 VPN 토폴로지 구성
이 예에서는 다음과 같은 구성 요소로 구성된 간단한 풀 메시 서비스 프로바이더 VPN 구성을 설정하는 방법을 보여 줍니다( 그림 1 참조).
2개의 개별 VPN(VPN-A 및 VPN-B)
VPN-A 및 VPN-B 서비스 두 개의 PE(Provider Edge) 라우터
시그널링 프로토콜로서의 RSVP
1개의 RSVP LSP(Label-Switched Path) – 2개의 PE 라우터 간에 하나의 프로바이더(P) 라우터를 통해 터널링
의 예
이 구성에서는 라우터 VPN-A-Paris에서 라우터 VPN-A-Tokyo로 VPN A의 경로 배포가 다음과 같이 이루어집니다.
CE(Customer Edge) 라우터 VPN-A-Paris가 PE 라우터 라우터 A에 대한 경로를 발표했습니다.
라우터 A는 수신된 경로를 VPN 라우팅 및 포워딩(VRF) 테이블인 VPN-A.inet.0에 설치합니다.
라우터 A는 라우터 VPN-A-Paris 간의 인터페이스를 위한 MPLS 레이블을 만듭니다.
라우터 A는 VRF 내보내기 정책을 확인합니다.
라우터 A는 라우터 VPN-A-Paris의 인터넷 프로토콜 버전 4(IPv4) 경로를 Route Distinguisher를 사용하여 VPN IPv4 형식으로 변환하고 두 PE 라우터 간의 IBGP를 통해 PE 라우터 C로의 경로를 발표합니다.
라우터 C는 VRF 임포트 정책을 검사하고 정책과 일치하는 모든 경로를 bgp.l3vpn.0 라우팅 테이블에 설치합니다. (일치하지 않는 모든 경로는 폐기됩니다.)
라우터 C는 VRF 임포트 정책을 검사하고 VPN-A.inet.0 라우팅 테이블에 일치하는 모든 경로를 설치합니다. 경로는 IPv4 형식으로 설치됩니다.
라우터 C는 CE 라우터 라우터 VPN-A-Tokyo로의 경로를 발표했습니다. 이 라우터는 이를 기본 라우팅 테이블에 설치합니다. (Junos OS를 실행하는 라우팅 플랫폼의 경우 기본 라우팅 테이블은 inet.0입니다.)
라우터 C는 LSP와 라우터 A 사이의 LSP를 사용하여 라우터 VPN-A-Paris로 향하는 라우터 VPN-A-Tokyo의 모든 패킷을 라우팅합니다.
이 예제의 마지막 섹션에는 그림 1에 표시된 각 서비스 P 라우터에서 VPN 기능을 구성하는 데 필요한 명령문이 통합되어 있습니다.
이 예에서는 루트 구분자와 경로 대상에 대해 전용 자율 시스템(AS) 번호가 사용됩니다. 이 숫자는 그림에만 사용됩니다. VPN을 구성하는 경우 할당된 AS 번호를 사용해야 합니다.
다음 섹션에서는 PE 및 P 라우터에서 VPN 기능을 구성하는 방법을 설명합니다. CE 라우터는 VPN에 대한 정보가 없기 때문에 일반적으로 구성할 수 있습니다.
- PE 및 P 라우터에서 IGP 지원
- P 라우터에서 RSVP 및 MPLS 활성화
- PE 라우터 간 MPLS LSP 터널 구성
- PE 라우터에서 IBGP 구성
- PE 라우터에서 VPN을 위한 라우팅 인스턴스 구성
- PE 라우터에서 VPN 정책 구성
- 라우터를 통해 요약된 단순한 VPN 구성
PE 및 P 라우터에서 IGP 지원
PE 및 P 라우터가 라우팅 정보를 스스로 교환할 수 있도록 하려면 모든 라우터에서 IGP(Interior Gateway Protocol)를 구성해야 하거나 정적 경로를 구성해야 합니다. 라우팅 프로토콜 프로세스(rpd)의 기본 인스턴스(즉, 계층 수준)에서 [edit protocols] IGP를 구성합니다. VPN 라우팅 인스턴스(계층 수준이 아님)가 아닙니다 [edit routing-instances] .
표준 방식으로 IGP를 구성합니다. 이 구성 예는 이 구성 부분을 포함하지 않습니다.
P 라우터에서 RSVP 및 MPLS 활성화
P 라우터인 라우터 B에서는 이 라우터가 두 PE 라우터인 라우터 A와 라우터 C 사이의 MPLS LSP 경로에 존재하기 때문에 RSVP 및 MPLS를 구성해야 합니다.
[edit]
protocols {
rsvp {
interface so-4/0/0.0;
interface so-6/0/0.0;
}
mpls {
interface so-4/0/0.0;
interface so-6/0/0.0;
}
}
PE 라우터 간 MPLS LSP 터널 구성
이 구성 예에서는 RSVP가 VPN 시그널링에 사용됩니다. 따라서 RSVP를 구성하는 것 외에도 IGP에서 트래픽 엔지니어링 지원을 활성화해야 하며 VPN 트래픽을 터널링하기 위해 MPLS LSP를 생성해야 합니다.
PE 라우터 A에서 RSVP를 활성화하고 MPLS LSP 터널의 단일 끝을 구성합니다. 이 예에서는 OSPF에 대한 트래픽 엔지니어링 지원이 활성화됩니다. MPLS LSP를 구성할 때는 PE 및 CE 라우터의 인터페이스를 포함하여 MPLS에 참여하는 모든 인터페이스에 대한 명령문을 포함합니다 interface . PE 라우터가 전용 인터페이스를 위한 MPLS Label을 생성할 수 있도록 PE 및 CE 라우터 간의 인터페이스에 대한 명령문이 필요합니다. 이 예에서는 첫 번째 interface 문이 LSP에 연결된 인터페이스에서 MPLS를 구성하고 나머지 3개는 PE 라우터를 CE 라우터에 연결하는 인터페이스에서 MPLS를 구성합니다.
[edit]
protocols {
rsvp {
interface so-3/0/0.0;
}
mpls {
label-switched-path RouterA-to-RouterC {
to 10.255.245.47;
}
interface so-3/0/0.0;
interface so-6/0/0.0;
interface so-6/0/1.0;
interface ge-0/3/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface so-3/0/0.0;
}
}
}
PE 라우터 C에서 RSVP를 활성화하고 MPLS LSP 터널의 다른 끝을 구성합니다. 다시 말하지만, 트래픽 엔지니어링 지원은 OSPF를 지원하며, 인터페이스에서 LSP 및 CE 라우터에 대한 MPLS를 구성합니다.
[edit]
protocols {
rsvp {
interface so-2/0/0.0;
}
mpls {
label-switched-path RouterC-to-RouterA {
to 10.255.245.68;
}
interface so-2/0/0.0;
interface ge-1/0/0.0;
interface at-1/2/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface so-2/0/0.0;
}
}
}
PE 라우터에서 IBGP 구성
PE 라우터에서 다음과 같은 속성을 가진 IBGP 세션을 구성합니다.
VPN 제품군—IBGP 세션이 VPN용임을 표시하려면 성명서를
family inet-vpn포함합니다.루프백 주소—로컬 PE 라우터의 루프백 주소를 지정하는 명령문을 포함합니다
local-address. VPN을 위한 IBGP 세션은 루프백 주소를 통해 실행됩니다. 또한 계층 수준에서 인터페이스를lo0[edit interfaces]구성해야 합니다. 이 예제에는 라우터 구성에 이 부분이 포함되어 있지 않습니다.이웃 주소—인접 PE 라우터의 IP 주소(루프백(
lo0) 주소인 명령문을 포함합니다neighbor.
PE 라우터 A에서 IBGP를 구성합니다.
[edit]
protocols {
bgp {
group PE-RouterA-to-PE-RouterC {
type internal;
local-address 10.255.245.68;
family inet-vpn {
unicast;
}
neighbor 10.255.245.47;
}
}
}
PE 라우터 C에서 IBGP를 구성합니다.
[edit]
protocols {
bgp {
group PE-RouterC-to-PE-RouterA {
type internal;
local-address 10.255.245.47;
family inet-vpn {
unicast;
}
neighbor 10.255.245.68;
}
}
}
PE 라우터에서 VPN을 위한 라우팅 인스턴스 구성
PE 라우터는 모두 VPN-A 및 VPN-B를 지원하므로 각 라우터에 각각 하나씩 2개의 라우팅 인스턴스를 구성해야 합니다. 각 VPN의 경우 라우팅 인스턴스에서 다음을 정의해야 합니다.
PE 라우터의 각 라우팅 인스턴스에 대해 고유해야 하는 Route Distinguisher.
한 VPN의 주소를 다른 VPN의 주소와 구별하는 데 사용됩니다.
인스턴스 유형
vrf– PE 라우터에서 VRF 테이블을 만듭니다.CE 라우터에 연결된 인터페이스.
VRF 임포트 및 내보내기 정책. 각 PE 라우터에서 동일한 VPN을 서비스해야 합니다. 임포트 정책에 성명서만
then reject포함되어 있지 않는 한 커뮤니티에 대한 참조를 포함해야 합니다. 그렇지 않으면 구성을 커밋하려고 하면 커밋에 장애가 발생합니다.참고:이 예에서는 전용 AS 번호가 Route Distinguisher에 사용됩니다. 이 숫자는 그림에만 사용됩니다. VPN을 구성하는 경우 할당된 AS 번호를 사용해야 합니다.
PE 라우터가 연결된 CE 라우터에 VPN 관련 경로를 배포하는 데 필요한 PE 및 CE 라우터 간의 라우팅 BGP, OSPF 또는 RIP 등 라우팅 프로토콜을 구성하거나 정적 라우팅을 구성할 수 있습니다.
PE 라우터 A에서 VPN-A에 대해 다음 라우팅 인스턴스를 구성합니다. 이 예에서 라우터 A는 정적 경로를 사용하여 연결된 두 CE 라우터에 대한 경로를 분산합니다.
[edit]
routing-instance {
VPN-A-Paris-Munich {
instance-type vrf;
interface so-6/0/0.0;
interface so-6/0/1.0;
route-distinguisher 65535:0;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
routing-options {
static {
route 172.16.0.0/16 next-hop so-6/0/0.0;
route 172.17.0.0/16 next-hop so-6/0/1.0;
}
}
}
}
PE 라우터 C에서 VPN-A에 대해 다음 라우팅 인스턴스를 구성합니다. 이 예에서 라우터 C는 BGP를 사용하여 연결된 CE 라우터와 경로를 분산합니다.
[edit]
routing-instance {
VPN-A-Tokyo {
instance-type vrf;
interface ge-1/0/0.0;
route-distinguisher 65535:1;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
protocols {
bgp {
group VPN-A-Site2 {
peer-as 1;
neighbor 10.12.1.2;
}
}
}
}
}
PE 라우터 A에서 VPN-B에 대해 다음 라우팅 인스턴스를 구성합니다. 이 예에서 라우터 A는 OSPF를 사용하여 연결된 CE 라우터와 루트를 분산합니다.
[edit]
policy-options {
policy-statement bgp-to-ospf {
from {
protocol bgp;
route-filter 192.168.1.0/24 orlonger;
}
then accept;
}
}
routing-instance {
VPN-B-Madrid {
instance-type vrf;
interface ge-0/3/0.0;
route-distinguisher 65535:2;
vrf-import VPN-B-import;
vrf-export VPN-B-export;
protocols {
ospf {
export bgp-to-ospf;
area 0.0.0.0 {
interface ge-0/3/0;
}
}
}
}
}
PE 라우터 C에서 VPN-B에 대해 다음 라우팅 인스턴스를 구성합니다. 이 예에서 라우터 C는 RIP를 사용하여 연결된 CE 라우터와 루트를 분산합니다.
[edit]
policy-options {
policy-statement bgp-to-rip {
from {
protocol bgp;
route-filter 192.168.2.0/24 orlonger;
}
then accept;
}
}
routing-instance {
VPN-B-Osaka {
instance-type vrf;
interface at-1/2/0.0;
route-distinguisher 65535:3;
vrf-import VPN-B-import;
vrf-export VPN-B-export;
protocols {
rip {
group PE-C-to-VPN-B {
export bgp-to-rip;
neighbor at-1/2/0;
}
}
}
}
}
PE 라우터에서 VPN 정책 구성
각 PE 라우터에서 VPN 임포트 및 익스포트 정책을 구성하여 해당 경로가 PE 라우터의 VRF 테이블에 설치되도록 합니다. VRF 테이블은 VPN 내에서 패킷을 포워딩하는 데 사용됩니다. VPN-A의 경우 VRF 테이블은 VPN-A.inet.0이고 VPN-B의 경우 VPN-B.inet.0입니다.
VPN 정책에서 VPN 대상 커뮤니티도 구성합니다.
다음 예에서는 루트 대상에 대해 전용 AS 번호가 사용됩니다. 이 숫자는 그림에만 사용됩니다. VPN을 구성하는 경우 할당된 AS 번호를 사용해야 합니다. 이 예에 표시된 정책 한정자는 VPN이 작동하는 데 필요한 것일 뿐입니다. 구성한 정책에 대해 필요에 따라 추가 한정자를 구성할 수 있습니다.
PE 라우터 A에서 다음 VPN 임포트 및 내보내기 정책을 구성합니다.
[edit]
policy-options {
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-A-export {
term a {
from protocol static;
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
policy-statement VPN-B-import {
term a {
from {
protocol bgp;
community VPN-B;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-B-export {
term a {
from protocol ospf;
then {
community add VPN-B;
accept;
}
}
term b {
then reject;
}
}
community VPN-A members target:65535:4;
community VPN-B members target:65535:5;
}
PE 라우터 C에서 다음 VPN 임포트 및 내보내기 정책을 구성합니다.
[edit]
policy-options {
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-A-export {
term a {
from protocol bgp;
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
policy-statement VPN-B-import {
term a {
from {
protocol bgp;
community VPN-B;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-B-export {
term a {
from protocol rip;
then {
community add VPN-B;
accept;
}
}
term b {
then reject;
}
}
community VPN-A members target:65535:4;
community VPN-B members target:65535:5;
}
라우터에 VPN 정책을 적용하려면 라우팅 인스턴스를 vrf-export 구성할 때와 vrf-import 명령문을 포함합니다. VPN의 경우 VRF 임포트 및 익스포트 정책은 PE 라우터 간에 실행되는 IBGP 세션 전반의 경로 분산을 처리합니다.
PE 라우터 A에 VPN 정책을 적용하려면 다음 내용을 포함합니다.
[edit]
routing-instance {
VPN-A-Paris-Munich {
vrf-import VPN-A-import;
vrf-export VPN-A-export;
}
VPN-B-Madrid {
vrf-import VPN-B-import;
vrf-export VPN-B-export;
}
}
PE 라우터 C에 VPN 정책을 적용하려면 다음 내용을 포함합니다.
[edit]
routing-instance {
VPN-A-Tokyo {
vrf-import VPN-A-import;
vrf-export VPN-A-export;
}
VPN-B-Osaka {
vrf-import VPN-B-import;
vrf-export VPN-B-export;
}
}
라우터를 통해 요약된 단순한 VPN 구성
라우터 A(PE 라우터)
VPN-A용 라우팅 인스턴스
routing-instance {
VPN-A-Paris-Munich {
instance-type vrf;
interface so-6/0/0.0;
interface so-6/0/1.0;
route-distinguisher 65535:0;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
}
}
인스턴스 라우팅 프로토콜
routing-options {
static {
route 172.16.0.0/16 next-hop so-6/0/0.0;
route 172.17.0.0/16 next-hop so-6/0/1.0;
}
}
VPN-B를 위한 라우팅 인스턴스
routing-instance {
VPN-B-Madrid {
instance-type vrf;
interface ge-0/3/0.0;
route-distinguisher 65535:2;
vrf-import VPN-B-import;
vrf-export VPN-B-export;
}
}
인스턴스 라우팅 프로토콜
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/3/0;
}
}
}
기본 프로토콜 인스턴스
protocols {
}
RSVP 사용
rsvp {
interface so-3/0/0.0;
}
MPLS LSP 구성
mpls {
label-switched-path RouterA-to-RouterC {
to 10.255.245.47;
}
interface so-3/0/0.0;
interface so-6/0/0.0;
interface so-6/0/1.0;
interface ge-0/3/0.0;
}
IBGP 구성
bgp {
group PE-RouterA-to-PE-RouterC {
type internal;
local-address 10.255.245.68;
family inet-vpn {
unicast;
}
neighbor 10.255.245.47;
}
}
트래픽 엔지니어링 지원을 위한 OSPF 구성
ospf {
traffic-engineering;
area 0.0.0.0 {
interface so-3/0/0.0;
}
}
VPN 정책 구성
policy-options {
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-A-export {
term a {
from protocol static;
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
policy-statement VPN-B-import {
term a {
from {
protocol bgp;
community VPN-B;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-B-export {
term a {
from protocol ospf;
then {
community add VPN-B;
accept;
}
}
term b {
then reject;
}
}
community VPN-A members target:65535:4;
community VPN-B members target:65535:5;
}
라우터 B(P 라우터)
기본 프로토콜 인스턴스
protocols {
}
RSVP 사용
rsvp {
interface so-4/0/0.0;
interface so-6/0/0.0;
}
MPLS 사용
mpls {
interface so-4/0/0.0;
interface so-6/0/0.0;
}
라우터 C(PE 라우터)
VPN-A용 라우팅 인스턴스
routing-instance {
VPN-A-Tokyo {
instance-type vrf;
interface ge-1/0/0.0;
route-distinguisher 65535:1;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
}
}
인스턴스 라우팅 프로토콜
protocols {
bgp {
group VPN-A-Site2 {
peer-as 1;
neighbor 10.12.1.2;
}
}
}
VPN-B를 위한 라우팅 인스턴스
VPN-B-Osaka {
instance-type vrf;
interface at-1/2/0.0;
route-distinguisher 65535:3;
vrf-import VPN-B-import;
vrf-export VPN-B-export;
}
인스턴스 라우팅 프로토콜
protocols {
rip {
group PE-C-to-VPN-B {
neighbor at-1/2/0;
}
}
}
기본 프로토콜 인스턴스
protocols {
}
RSVP 사용
rsvp {
interface so-2/0/0.0;
}
MPLS LSP 구성
mpls {
label-switched-path RouterC-to-RouterA {
to 10.255.245.68;
}
interface so-2/0/0.0;
interface ge-1/0/0.0;
interface at-1/2/0.0;
}
IBGP 구성
bgp {
group PE-RouterC-to-PE-RouterA {
type internal;
local-address 10.255.245.47;
family inet-vpn {
unicast;
}
neighbor 10.255.245.68;
}
}
트래픽 엔지니어링 지원을 위한 OSPF 구성
ospf {
traffic-engineering;
area 0.0.0.0 {
interface so-2/0/0.0;
}
}
VPN 정책 구성
policy-options {
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-A-export {
term a {
from protocol bgp;
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
policy-statement VPN-B-import {
term a {
from {
protocol bgp;
community VPN-B;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-B-export {
term a {
from protocol rip;
then {
community add VPN-B;
accept;
}
}
term b {
then reject;
}
}
community VPN-A members target:65535:4;
community VPN-B members target:65535:5;
}
루트 리플렉터를 통한 풀 메시 VPN 토폴로지 구성
이 예에서는 PE 라우터 중 하나가 BGP 루트 리플렉터인 풀 메시 VPN 토폴로지의 변형입니다(간단한 풀 메시 VPN 토폴로지 구성에 설명). 이 변형에서 간단한 풀 메시 VPN 토폴로지 구성 의 라우터 C는 루트 리플렉터입니다. 유일한 구성 변경은 BGP 그룹을 구성할 때 명령문을 cluster 포함해야 한다는 것입니다.
[edit]
protocols {
bgp {
group PE-RouterC-to-PE-RouterA {
type internal;
local-address 10.255.245.47;
family inet-vpn {
unicast;
}
neighbor 10.255.245.68;
cluster 4.3.2.1;
}
}
}