레이어 3 VPN에 대한 인터넷 액세스 활성화
이 주제는 VPN의 고객 에지(CE) 라우터에 인터넷 액세스를 제공하기 위한 프로바이더 에지(PE) 라우터 구성과 네트워크 주소 변환기(NAT)를 통해 인터넷 트래픽을 CE 라우터로 라우팅하도록 라우터를 구성하는 방법에 대한 예를 제공합니다. 사용하는 방법은 개별 네트워크의 요구 사항과 사양에 따라 다릅니다.
레이어 3 VPN을 통한 비 VRF 인터넷 액세스
Junos OS는 레이어 3 VPN(Virtual Private Network)에서 인터넷 액세스를 지원합니다. 또한 계층 수준에서 문을 구성해야 next-table
합니다 [edit routing-instances routing-instance-name routing-options static route]
. 구성된 경우, 이 문은 VPN 테이블(라우팅 인스턴스)에서 기본 라우팅 테이블(기본 인스턴스) inet.0으로의 기본 경로를 가리킬 수 있습니다. 기본 라우팅 테이블은 모든 인터넷 경로를 저장하며 최종 경로 확인이 이루어지는 곳입니다.
다음 섹션에서는 VPN 라우팅 및 포워딩(VRF) 인터페이스를 사용하지 않고 레이어 3 VPN의 CE 라우터에 인터넷 액세스를 제공하는 방법을 설명합니다. 이러한 방법은 레이어 3 VPN을 효과적으로 우회하기 때문에 자세히 설명하지 않습니다.
CE 라우터는 PE 라우터와 독립적으로 인터넷에 액세스합니다
이 구성에서 PE 라우터는 인터넷 액세스를 제공하지 않습니다. CE 라우터는 인터넷 트래픽을 다른 서비스 프로바이더 또는 동일한 서비스 프로바이더이지만 다른 라우터로 전송합니다. PE 라우터는 레이어 3 VPN 트래픽만 처리합니다( 그림 1 참조).
레이어 2 인터넷 서비스를 제공하는 PE 라우터
이 구성에서 PE 라우터는 레이어 2 디바이스 역할을 하며, 전체 인터넷 경로 집합을 가진 다른 라우터에 레이어 2 연결(예: CCC[Circuit Cross-Connect])을 제공합니다. CE 라우터는 PE 라우터에 단 하나의 물리적 인터페이스와 두 개의 논리적 인터페이스를 사용하거나 PE 라우터에 여러 물리적 인터페이스를 사용할 수 있습니다( 그림 2 참조).
레이어 3 VPN을 통한 분산형 인터넷 액세스
이 시나리오에서 PE 라우터는 CE 라우터에 인터넷 액세스를 제공합니다. 다음 예에서는 선택한 CE 라우터에 인터넷 액세스를 제공하는 PE 라우터의 inet.0 테이블에 인터넷 경로(또는 기본값)가 있다고 가정합니다.
VPN에서 인터넷에 액세스할 때 VPN이 공용 주소 공간을 사용하지 않는 한 VPN의 개인 주소와 인터넷에서 사용되는 공용 주소 간에 NAT(네트워크 주소 변환)를 수행해야 합니다. 이 섹션에는 VPN에 인터넷 액세스를 제공하는 방법에 대한 몇 가지 예가 포함되어 있으며, 대부분의 경우 CE 라우터가 주소 변환을 수행해야 합니다. 그러나 별도의 네트워크 주소 변환(NAT) 디바이스를 통한 인터넷 트래픽 라우팅 의 예에서는 서비스 프로바이더가 PE 라우터에 연결된 네트워크 주소 변환(NAT) 디바이스를 사용하여 네트워크 주소 변환(NAT) 기능을 제공해야 합니다.
모든 예에서 VPN의 공용 IP 주소 풀(항목이 변환된 개인 주소에 해당)을 inet.0 테이블에 추가하고 인터넷 라우터로 전파하여 공용 대상에서 역방향 트래픽을 수신해야 합니다.
레이어 3 VPN에 대해 서로 다른 인터페이스를 통한 VPN 및 인터넷 트래픽 라우팅
이 예에서 VPN 및 인터넷 트래픽은 서로 다른 인터페이스를 통해 라우팅됩니다. CE 라우터는 VPN 인터페이스를 통해 VPN 트래픽을 전송하고 라우터 PE1의 기본 라우팅 테이블의 일부인 별도의 인터페이스를 통해 인터넷 트래픽을 전송합니다(CE 라우터는 두 개의 논리적 단위 또는 두 개의 물리적 인터페이스가 있는 하나의 물리적 인터페이스를 사용할 수 있음). NAT는 CE 라우터에서도 발생합니다( 그림 3 참조).
PE 라우터는 VPN의 공용 IP 주소 풀을 설치하고 다른 코어 라우터에 보급하도록 구성됩니다(반환 트래픽용). VPN 트래픽이 정상적으로 라우팅됩니다. 그림 4 는 PE 라우터의 VPN 구성을 보여줍니다.
이 예제의 구성에는 다음과 같은 기능이 있습니다.
라우터 PE1은 두 개의 논리적 인터페이스를 사용하여 프레임 릴레이 캡슐화를 사용하여 라우터 CE1에 연결합니다.
라우터 PE1과 라우터 CE1 간의 라우팅 프로토콜은 EBGP입니다.
라우터 CE1의 공용 IP 주소 풀은 (
10.12.1.0/24
)를 통해10.12.1.254
이루어집니다10.12.1.1
.이
next-hop-self
설정은 라우터 PE1의fix-nh policy
문에서 파생됩니다. 비 VPN 경로에 대한 PE 라우터의 루프백 주소에 대해서만 다음 홉 확인이 수행되도록 PE 라우터를 사용해야next-hop-self
합니다(기본적으로 VPN–인터넷 프로토콜 버전 4[IPv4] 경로는 를next-hop-self
통해 전송됨).
다른 모든 항목에 대해 공용 인터페이스를 가리키는 정적 기본 경로로 라우터 CE1을 구성할 수 있습니다.
다음 섹션에서는 서로 다른 인터페이스를 통해 VPN 및 인터넷 트래픽을 라우팅하는 방법을 보여줍니다.
- 라우터 PE1에서 인터페이스 구성
- 라우터 PE1에서 라우팅 옵션 구성
- 라우터 PE1에서 BGP, IS-IS, LDP 프로토콜 구성
- 라우터 PE1에서 라우팅 인스턴스 구성
- 라우터 PE1에서 정책 옵션 구성
- 서로 다른 인터페이스에 의해 라우팅되는 트래픽: 라우터별로 요약된 구성
라우터 PE1에서 인터페이스 구성
VPN 트래픽을 처리하기 위한 인터페이스와 인터넷 트래픽을 처리하기 위한 인터페이스를 구성합니다.
[edit] interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } unit 1 { description "to CE1 public interface"; dlci 20; family inet { address 192.168.198.201/30; } } } }
라우터 PE1에서 라우팅 옵션 구성
라우터 PE1에서 정적 경로를 구성하여 inet.0에 있는 CE 라우터의 공용 IP 주소 풀에 대한 경로를 설치합니다.
[edit] routing-options { static { route 10.12.1.0/24 next-hop 192.168.198.202; } }
라우터 PE1에서 BGP, IS-IS, LDP 프로토콜 구성
라우터 PE1에서 BGP를 구성하여 비 VPN 및 VPN 피어링을 허용하고 VPN의 공용 IP 주소 풀을 보급합니다.
[edit] protocols { bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [fix-nh redist-static]; neighbor 10.255.14.177; neighbor 10.255.14.179; } } }
라우터 PE1에서 IS-IS를 구성하여 내부 경로에 액세스할 수 있도록 합니다.
[edit protocols] isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; }
라우터 PE1에서 LDP를 구성하여 VPN 경로를 터널링합니다.
[edit protocols] ldp { interface so-0/0/0.0; }
라우터 PE1에서 라우팅 인스턴스 구성
라우터 PE1에서 라우팅 인스턴스를 구성합니다.
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }
라우터 PE1에서 정책 옵션 구성
라우터 PE1에서 정책 옵션을 구성해야 합니다. 정책 문은 VPN이 fix-nh
아닌 모든 경로에 대해 다음과 같이 설정합니다 next-hop-self
.
[edit] policy-options { policy-statement fix-nh { then { next-hop self; } } }
정책 문은 redist-static
VPN의 공용 IP 주소 풀을 보급합니다.
[edit policy-options] policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { then reject; } }
다음에 대한 vpna
가져오기 및 내보내기 정책 구성:
[edit policy-options] policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100;
서로 다른 인터페이스에 의해 라우팅되는 트래픽: 라우터별로 요약된 구성
라우터 PE1
인터페이스
interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } unit 1 { description "to CE1 public interface"; dlci 20; family inet { address 192.168.198.201/30; } } } }
라우팅 옵션
routing-options { static { route 10.12.1.0/24 next-hop 192.168.198.202; } }
BGP 프로토콜
protocols { bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [ fix-nh redist-static]; neighbor 10.255.14.177; neighbor 10.255.14.179; } } }
IS-IS 프로토콜
isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; }
LDP 프로토콜
ldp { interface so-0/0/0.0; }
라우팅 인스턴스
routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }
정책 옵션/정책 설명
policy-options { policy-statement fix-nh { then { next-hop self; } } policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { then reject; } } }
가져오기 및 내보내기 정책
policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100;
VPN을 라우팅하고 동일한 인터페이스를 통해 나가는 인터넷 트래픽과 라우팅은 다른 인터페이스를 통해 인터넷 트래픽을 반환합니다
이 예에서 CE 라우터는 동일한 인터페이스를 통해 VPN 및 인터넷 트래픽을 전송하지만 다른 인터페이스를 통해 반환 인터넷 트래픽을 수신합니다. PE 라우터의 VRF 테이블에는 기본 라우팅 테이블 inet.0을 가리키는 기본 경로가 있습니다. inet.0의 다른 인터페이스를 통해 VPN 공용 IP 주소 풀(인터넷 트래픽 반환)을 라우팅합니다( 그림 5 참조). CE 라우터는 여전히 네트워크 주소 변환(NAT) 기능을 수행합니다.
다음 섹션에서는 동일한 인터페이스를 통해 VPN 및 발신 인터넷 트래픽을 라우팅하고 다른 인터페이스를 통해 반환 인터넷 트래픽을 라우팅하는 방법을 보여줍니다.
라우터 PE1 구성
이 예는 레이어 3 VPN에 대해 서로 다른 인터페이스를 통한 VPN 및 인터넷 트래픽 라우팅에서 라우터 PE1과 동일한 구성을 가지고 있습니다. 레이어 3 VPN에 대해 서로 다른 인터페이스를 통한 VPN 및 인터넷 트래픽 라우팅에 표시된 토폴로지를 사용합니다. VPN 라우팅 테이블에 대한 기본 경로는 다르게 구성됩니다. [edit routing-instances routing-instance-name routing-options]
계층 수준에서 vpna.inet.0에 설치되고 해결을 위해 inet.0을 가리키는 기본 정적 경로를 구성합니다.
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-table inet.0; } } protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }
또한 PE 라우터 구성의 차이를 반영하기 위해 라우터 CE1의 구성( 레이어 3 VPN에 대한 서로 다른 인터페이스를 통한 VPN 및 인터넷 트래픽 라우팅에 설명된 라우터 PE1의 구성과 함께 작동하는 구성에서)을 변경해야 합니다.
동일한 인터페이스를 통해 VPN과 인터넷 트래픽을 양방향으로 라우팅(VPN에 공용 주소가 있음)
이 섹션에서는 인터넷과 CE 라우터 간에 이동하는 VPN 및 인터넷 트래픽을 처리하기 위해 단일 논리적 인터페이스를 구성하는 방법을 보여줍니다. 이 인터페이스는 VPN에 개인 주소가 없는 한 VPN과 인터넷 트래픽을 모두 처리할 수 있습니다. CE 라우터에서 수신한 VPN 경로는 라우팅 테이블 그룹을 통해 기본 라우팅 테이블 inet.0에 추가됩니다. 이를 통해 PE 라우터는 인터넷에서 반환 트래픽을 유치할 수 있습니다( 그림 6 참조).
이 예에서 CE 라우터는 모든 VPN 경로가 공용이므로 NAT를 수행할 필요가 없습니다. CE 라우터는 VPN 경로를 광고하는 PE 라우터에 대한 단일 인터페이스를 가지고 있습니다. PE 라우터의 VRF 테이블에는 기본 라우팅 테이블 inet.0을 가리키는 기본 경로가 있습니다. 또한 PE 라우터는 라우팅 테이블 그룹을 통해 CE 라우터에서 수신한 VPN 경로를 inet.0으로 가져옵니다.
라우터 PE1에 대한 다음 구성은 레이어 3 VPN에 대해 서로 다른 인터페이스를 통한 VPN 및 인터넷 트래픽 라우팅에서와 동일한 토폴로지를 사용합니다. 이 구성은 라우터 PE1과 라우터 CE1 간에 단일 논리적 인터페이스(두 개가 아닌)를 사용합니다.
다음 섹션에서는 동일한 인터페이스를 통해 VPN과 인터넷 트래픽을 양방향으로 라우팅하는 방법을 보여줍니다(VPN에 공용 주소가 있음).
- 라우터 PE1에서 라우팅 옵션 구성
- 라우터 PE1에서 라우팅 프로토콜 구성
- 라우터 PE1에서 라우팅 인스턴스 구성
- 동일한 인터페이스를 통해 양방향으로 라우팅되는 트래픽: 라우터별로 요약된 구성
라우터 PE1에서 라우팅 옵션 구성
라우팅 테이블 그룹 vpna.inet.0 및 inet.0에 VPN 경로를 설치하기 위한 라우팅 테이블 그룹 정의를 구성합니다.
[edit] routing-options { rib-groups { vpna-to-inet0 { import-rib [ vpna.inet.0 inet.0 ]; } } }
라우터 PE1에서 라우팅 프로토콜 구성
라우터 PE1에서 MPLS, BGP, IS-IS, LDP 프로토콜을 구성합니다. 이 구성에는 계층 수준의 문이 [edit protocols bgp group pe-pe]
포함되지 policy redist-static
않습니다. VPN 경로는 IBGP로 직접 전송됩니다.
라우터 PE1에서 BGP를 구성하여 비 VPN 및 VPN 피어링을 허용하고 VPN의 공용 IP 주소 풀을 보급합니다.
[edit] protocols { mpls { interface so-0/0/0.0; } bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export fix-nh; neighbor 10.255.14.177; neighbor 10.255.14.173; } } isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } ldp { interface so-0/0/0.0; } }
라우터 PE1에서 라우팅 인스턴스 구성
이 섹션에서는 라우터 PE1에서 라우팅 인스턴스를 구성하는 방법을 설명합니다. 문에 routing-options
정의된 정적 경로는 CE 라우터에서 inet.0 라우팅 테이블로 인터넷 트래픽을 보냅니다. 문에 rib-group vpna-to-inet0
의해 정의된 라우팅 테이블 그룹은 inet.0에 VPN 경로를 추가합니다.
라우터 PE1에서 라우팅 인스턴스를 구성합니다.
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-table inet.0; } } protocols { bgp { group to-CE1 { family inet { unicast { rib-group vpna-to-inet0; } } peer-as 63001; neighbor 192.168.197.14; } } } } }
기본 경로를 사용하여 모든 트래픽을 라우터 PE1로 전달하도록 라우터 CE1을 구성해야 합니다. 또는 EBGP를 사용하여 라우터 PE1에서 라우터 CE1로 기본 경로를 보급할 수 있습니다.
동일한 인터페이스를 통해 양방향으로 라우팅되는 트래픽: 라우터별로 요약된 구성
라우터 PE1
이 예에서는 레이어 3 VPN에 대해 서로 다른 인터페이스를 통해 VPN 및 인터넷 트래픽 라우팅에서와 동일한 구성을 사용합니다. 이 구성은 라우터 PE1과 라우터 CE1 간에 단일 논리적 인터페이스(두 개가 아닌)를 사용합니다.
라우팅 옵션
routing-options { rib-groups { vpna-to-inet0 { import-rib [ vpna.inet.0 inet.0 ]; } } }
라우팅 프로토콜
protocols { mpls { interface so-0/0/0.0; } bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export fix-nh; neighbor 10.255.14.177; neighbor 10.255.14.173; } } isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } ldp { interface so-0/0/0.0; } }
라우팅 인스턴스
routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-table inet.0; } } protocols { bgp { group to-CE1 { family inet { unicast { rib-group vpna-to-inet0; } } peer-as 63001; neighbor 192.168.197.14; } } } } }
동일한 인터페이스를 통해 VPN과 인터넷 트래픽을 양방향으로 라우팅(VPN에 개인 주소가 있음)
이 섹션의 예에서는 VPN 및 인터넷 트래픽을 동일한 인터페이스를 통해 양방향으로(CE 라우터에서 인터넷으로, 인터넷에서 CE 라우터로) 라우팅하는 방법을 보여줍니다. 이 예제의 VPN에는 개인 주소가 있습니다. CE 라우터에서 EBGP를 구성할 수 있는 경우, VPN에 개인 주소가 있더라도 동일한 인터페이스를 통한 VPN 및 인터넷 트래픽 양방향(VPN에 공용 주소가 있음)에 설명된 구성을 사용하여 PE 라우터를 구성할 수 있습니다.
이 섹션에 설명된 예에서 CE 라우터는 별도의 커뮤니티를 사용하여 VPN 경로와 공용 경로를 보급합니다. PE 라우터는 공용 경로만 inet.0 라우팅 테이블로 선택적으로 가져옵니다. 이 구성은 인터넷의 반환 트래픽이 공용 인터넷 주소로 나가는 VPN 트래픽에 사용되는 것과 동일한 인터페이스를 PE와 CE 라우터 간에 사용하도록 보장합니다( 그림 7 참조).
이 예에서 CE 라우터는 PE 라우터와 하나의 인터페이스와 BGP 세션을 가지며, VPN 경로와 인터넷 경로를 서로 다른 커뮤니티와 태그합니다. PE 라우터는 하나의 인터페이스를 가지고 있고, VPN의 공용 IP 주소 풀에 대한 경로를 inet.0으로 선택적으로 가져오며, inet.0을 가리키는 VRF 라우팅 테이블의 기본 경로를 가지고 있습니다.
다음 섹션에서는 동일한 인터페이스를 통해 VPN과 인터넷 트래픽을 양방향으로 라우팅하는 방법을 보여줍니다(VPN에 개인 주소가 있음).
- 라우터 PE1에 대한 라우팅 옵션 구성
- 라우터 PE1에 대한 라우팅 인스턴스 구성
- 라우터 PE1에 대한 정책 옵션 구성
- 동일한 인터페이스에 의해 양방향으로 라우팅되는 트래픽(VPN에 개인 주소가 있음): 라우터별로 요약된 구성
라우터 PE1에 대한 라우팅 옵션 구성
라우터 PE1에서 vpna.inet.0 및 inet.0 라우팅 테이블에 VPN 경로를 설치하도록 라우팅 테이블 그룹을 구성합니다.
[edit] routing-options { rib-groups { vpna-to-inet0 { import-policy import-public-addr-to-inet0; import-rib [ vpna.inet.0 inet.0 ]; } } }
라우터 PE1에 대한 라우팅 인스턴스 구성
라우터 PE1에서 라우팅 인스턴스를 구성합니다. 라우팅 인스턴스 구성의 일부로, vpna.inet.0에 설치되고 해결을 위해 inet.0을 가리키는 정적 경로를 구성합니다.
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-table inet.0; } } } }
[edit routing-instances vpna protocols bgp
] 계층 수준에서 공용 경로를 inet.0으로 가져오도록 정책(import-public-addr-to-inet0
)을 구성하고 BGP가 여러 라우팅 테이블(vpna.inet.0 및 inet.0)에 경로를 설치할 수 있도록 라우팅 테이블 그룹(vpna-to-inet0
)을 구성합니다.
[edit routing-instances vpna] protocols { bgp { group to-CE1 { import import-public-addr-to-inet0; family inet { unicast { rib-group vpna-to-inet0; } } peer-as 63001; neighbor 192.168.197.14; } } }
라우터 PE1에 대한 정책 옵션 구성
라우터 PE1이 처음에 모든 경로를 수락하고(term a
) 커뮤니티가 public-comm
있는 경로를 라우팅 테이블 inet.0(term b
)에 설치하도록 정책 옵션을 구성합니다.
[edit] policy-options { policy-statement import-public-addr-to-inet0 { term a { from { protocol bgp; rib vpna.inet.0; community [ public-comm private-comm ]; } then accept; } term b { from { protocol bgp; community public-comm; } to rib inet.0; then accept; } term c { then reject; } } community private-comm members target:1:333; community public-comm members target:1:111; community vpna-comm members target:63000:100; }
동일한 인터페이스에 의해 양방향으로 라우팅되는 트래픽(VPN에 개인 주소가 있음): 라우터별로 요약된 구성
라우터 PE1
라우팅 옵션
[edit] routing-options { rib-groups { vpna-to-inet0 { import-policy import-public-addr-to-inet0; import-rib [ vpna.inet.0 inet.0 ]; } } }
라우팅 인스턴스
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-table inet.0; } } } }
라우팅 인스턴스 프로토콜 BGP
[edit routing-instances vpna] protocols { bgp { group to-CE1 { family inet { unicast { rib-group vpna-to-inet0; } } peer-as 63001; neighbor 192.168.197.14; } } }
정책 옵션
[edit] policy-options { policy-statement import-public-addr-to-inet0 { term a { from { protocol bgp; rib vpna.inet.0; community [ public-comm private-comm ]; } then accept; } term b { from { protocol bgp; community public-comm; } to rib inet.0; then accept; } term c { then reject; } } community private-comm members target:1:333; community public-comm members target:1:111; community vpna-comm members target:63000:100; }
별도의 네트워크 주소 변환(NAT) 디바이스를 통한 인터넷 트래픽 라우팅
이 예에서 CE 라우터는 네트워크 주소 변환(NAT)을 수행하지 않습니다. VPN과 인터넷 트래픽을 동일한 인터페이스를 통해 PE 라우터로 전송합니다. PE 라우터는 두 개의 인터페이스를 통해 네트워크 주소 변환(NAT) 디바이스에 연결됩니다. 하나의 인터페이스는 PE 라우터의 VRF 테이블에 구성되며 VPN에 대한 인터넷 트래픽을 라우팅할 수 있는 NAT 디바이스의 VPN 인터페이스를 가리킵니다. 다른 인터페이스는 기본 인스턴스에 있습니다. 예를 들어, 공용 라우팅 테이블 inet.0의 일부입니다. PE 라우터와 네트워크 주소 변환(NAT) 디바이스 사이에는 단일 물리적 연결이 있을 수 있으며, 글로벌 라우팅 테이블의 일부로서 각 VRF 테이블과 다른 인터페이스에 대해 하나씩 여러 논리적 연결이 있을 수 있습니다( 그림 8 참조).
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
M Series 라우터
Junos OS 릴리스 9.3 이상
개요
이 예의 토폴로지는 레이어 3 VPN에 대한 서로 다른 인터페이스를 통한 VPN 및 인터넷 트래픽 라우팅에 설명된 토폴로지를 기반으로 확장됩니다. CE 라우터는 VPN과 인터넷 트래픽을 라우터 PE1으로 보냅니다. VPN 트래픽은 라우터 PE1에서 수신한 VPN 경로를 기반으로 라우팅됩니다. 나머지 모든 트래픽은 라우터 PE1의 프라이빗 인터페이스를 사용하여 NAT 디바이스로 전송되며, NAT 디바이스는 프라이빗 주소를 변환하고 해당 라우터의 퍼블릭 인터페이스를 사용하여 라우터 PE1로 트래픽을 다시 보냅니다( 그림 9 참조).
토폴로지
구성
별도의 네트워크 주소 변환(NAT) 디바이스를 통해 인터넷 트래픽을 라우팅하려면 다음 작업을 수행합니다.
라우터 PE1에서 인터페이스 구성
단계별 절차
라우터 CE1에서 VPN 트래픽에 대한 인터페이스를 구성합니다.
[edit] interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } } }
네트워크 주소 변환(NAT) 디바이스(유닛 0)에서 들어오고 나가는 VPN 트래픽에 대한 인터페이스와 NAT 디바이스(유닛 1)에서 들어오고 나가는 인터넷 트래픽에 대한 인터페이스를 구성합니다.
[edit] interfaces { at-1/3/1 { atm-options { vpi 1 maximum-vcs 255; } unit 0 { description "to NAT VPN interface"; vci 1.100; family inet { address 10.23.0.2/32 { destination 10.23.0.1; } } } unit 1 { description "to NAT public interface"; vci 1.101; family inet { address 10.23.0.6/32 { destination 10.23.0.5; } } } } }
라우터 PE1에 대한 라우팅 옵션 구성
단계별 절차
라우터 PE1에서 정적 경로를 구성하여 네트워크 주소 변환(NAT) 디바이스를 통해 인터넷 트래픽을 CE 라우터로 보냅니다. 라우터 PE1은 이 경로를 인터넷에 배포합니다.
[edit] routing-options { static { route 10.12.1.0/24 next-hop 10.23.0.5; } }
라우터 PE1에서 라우팅 프로토콜 구성
단계별 절차
라우터 PE1에서 다음 라우팅 프로토콜을 구성합니다.
라우터 PE1에서 MPLS를 구성합니다. VRF 테이블에 네트워크 주소 변환(NAT) 디바이스의 VPN 인터페이스를 포함합니다.
[edit] protocols { mpls { interface so-0/0/0.0; interface at-1/3/1.0; } }
라우터 PE1에서 BGP를 구성합니다. 공용 IP 주소 풀을 보급하는 정책을 포함합니다.
[edit] protocols { bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [ fix-nh redist-static ]; neighbor 10.255.14.177; neighbor 10.255.14.173; } } }
라우터 PE1에서 IS-IS 구성:
[edit] protocols { isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } }
라우터 PE1에서 LDP를 구성합니다.
[edit] protocols { ldp { interface so-0/0/0.0; } }
라우터 PE1에서 라우팅 인스턴스 구성
단계별 절차
라우터 PE1에서 레이어 3 VPN 라우팅 인스턴스를 구성합니다.
라우터 PE1에서 라우팅 인스턴스를 구성합니다. 라우팅 인스턴스 구성의 일환으로,
routing-options
vpna.inet.0의 VPN 디바이스에서 NAT 디바이스의 VPN 인터페이스를 가리키는 정적 기본 경로를 구성합니다(이렇게 하면 VPN이 아닌 모든 트래픽이 NAT 디바이스로 연결됨).[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }
라우터 PE1에서 레이어 3 VPN 라우팅 인스턴스에 대한 라우팅 정책을 구성합니다.
policy-options { policy-statement fix-nh { then { next-hop self; } } policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then accept; } } policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100; }
결과
라우터 PE1의 구성 모드에서 show interfaces, show routing-options, show protocols, show routing-instances 및 show policy-options 명령을 입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@PE1# show interfaces interfaces { t3-0/2/0 { dce; encapsulation frame-relay; unit 0 { description "to CE1 VPN interface"; dlci 10; family inet { address 192.168.197.13/30; } } } at-1/3/1 { atm-options { vpi 1 maximum-vcs 255; } unit 0 { description "to NAT VPN interface"; vci 1.100; family inet { address 10.23.0.2/32 { destination 10.23.0.1; } } } unit 1 { description "to NAT public interface"; vci 1.101; family inet { address 10.23.0.6/32 { destination 10.23.0.5; } } } } }
user@PE1# show routing-options routing-options { static { route 10.12.1.0/24 next-hop 10.23.0.5; } }
user@PE1# show protocols protocols { mpls { interface so-0/0/0.0; interface at-1/3/1.0; } bgp { group pe-pe { type internal; local-address 10.255.14.171; family inet { any; } family inet-vpn { any; } export [ fix-nh redist-static ]; neighbor 10.255.14.177; neighbor 10.255.14.173; } } isis { level 1 disable; interface so-0/0/0.0; interface lo0.0; } ldp { interface so-0/0/0.0; } }
user@PE1# show routing-instances routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { peer-as 63001; neighbor 192.168.197.14; } } } } }
user@PE1# show policy-options policy-options { policy-statement fix-nh { then { next-hop self; } } policy-statement redist-static { term a { from { protocol static; route-filter 10.12.1.0/24 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then accept; } } policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { then reject; } } community vpna-comm members target:63000:100; }
레이어 3 VPN을 통한 중앙 집중식 인터넷 액세스
이 섹션에서는 CE 라우터를 인터넷 액세스의 중앙 사이트 역할을 하도록 구성하는 여러 가지 방법에 대해 설명합니다. 다른 사이트(CE 라우터)의 인터넷 트래픽은 해당 라우터의 VPN 인터페이스를 사용하여 허브 CE 라우터(NAT도 수행함)로 라우팅됩니다. 그런 다음 허브 CE 라우터는 inet.0 테이블에서 식별된 다른 인터페이스를 통해 인터넷에 연결된 PE 라우터로 트래픽을 전달합니다. 허브 CE 라우터는 스포크 CE 라우터에 기본 경로를 보급할 수 있습니다. 이러한 유형의 컨피그레이션의 단점은 모든 트래픽이 인터넷으로 이동하기 전에 중앙 CE 라우터를 거쳐야 하므로 이 라우터가 너무 많은 트래픽을 수신하면 네트워크 지연이 발생한다는 것입니다. 그러나 회사 네트워크에서는 대부분의 회사 네트워크가 단일 방화벽을 통해 VPN을 인터넷과 분리하기 때문에 트래픽을 중앙 사이트로 라우팅해야 할 수 있습니다.
이 섹션에는 다음 예제가 포함되어 있습니다.
허브 CE 라우터를 통한 인터넷 트래픽 라우팅
이 예에서 인터넷 트래픽은 허브 CE 라우터를 통해 라우팅됩니다. 허브 CE 라우터에는 허브 PE 라우터에 대한 두 개의 인터페이스, 즉 VPN 인터페이스와 공용 인터페이스가 있습니다. VPN 인터페이스를 통해 허브 PE 라우터에서 전달된 트래픽에 대해 NAT를 수행하고 공용 인터페이스에서 허브 PE 라우터로 해당 트래픽을 다시 전달합니다. 허브 PE 라우터의 VRF 테이블에는 허브 CE 라우터의 VPN 인터페이스를 가리키는 정적 기본 경로가 있습니다. VPN의 나머지 부분에 이 기본 경로를 알리고 VPN이 아닌 모든 트래픽을 허브 CE 경로로 끌어들입니다. 허브 PE 라우터는 VPN의 공용 IP 주소 공간도 설치하고 배포합니다( 그림 10 참조).
이 예의 구성은 별도의 네트워크 주소 변환(NAT) 디바이스를 통한 인터넷 트래픽 라우팅에 설명된 것과 거의 동일합니다. 차이점은 라우터 PE1이 다른 CE 라우터에 정적 기본 경로를 알리도록 구성된다는 것입니다( 그림 11 참조).
다음 섹션에서는 허브 CE 라우터를 통해 인터넷 트래픽을 라우팅하여 중앙 인터넷 액세스를 구성하는 방법을 보여줍니다.
라우터 PE1에서 라우팅 인스턴스 구성
라우터 PE1에 대한 라우팅 인스턴스를 구성합니다. 이 구성의 일부로, routing-options
에서 vpna.inet.0에 설치할 기본 정적 경로(route 0.0.0.0/0
)를 구성하고 경로를 허브 CE 라우터의 VPN 인터페이스(10.23.0.1
)로 지정합니다. 또한 라우팅 인스턴스 아래에서 BGP를 구성하여 기본 경로를 로컬 CE 라우터로 내보냅니다.
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { export export-default; peer-as 63001; neighbor 192.168.197.14; } } } } }
라우터 PE1에서 정책 옵션 구성
라우터 PE1에서 정책 옵션을 구성합니다. 이 구성의 일부로, 라우터 PE1은 (아래 term b
문에 policy-statement vpna-export
구성된) 의 모든 원격 PE 라우터에 정적 기본 경로를 내보내야 합니다.vpna
[edit] policy-options { policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { from { protocol static; route-filter 0.0.0.0/0 exact; } then { community add vpna-comm; accept; } } term c { then reject; } } policy-statement export-default { term a { from { protocol static; route-filter 0.0.0.0/0 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then reject; } } }
허브 CE 라우터에 의해 라우팅되는 인터넷 트래픽: 라우터별로 요약된 구성
라우터 PE1
라우터 PE1의 구성은 별도의 네트워크 주소 변환(NAT) 디바이스를 통해 인터넷 트래픽 라우팅의 예와 거의 동일합니다. 차이점은 라우터 PE1이 다른 CE 라우터에 정적 기본 경로를 알리도록 구성된다는 것입니다.
라우팅 인스턴스
routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { export export-default; peer-as 63001; neighbor 192.168.197.14; } } } } }
정책 옵션
policy-options { policy-statement vpna-export { term a { from protocol bgp; then { community add vpna-comm; accept; } } term b { from { protocol static; route-filter 0.0.0.0/0 exact; } then { community add vpna-comm; accept; } } term c { then reject; } } policy-statement export-default { term a { from { protocol static; route-filter 0.0.0.0/0 exact; } then accept; } term b { from protocol bgp; then accept; } term c { then reject; } } }
여러 CE 라우터를 통한 인터넷 트래픽 라우팅
이 섹션의 예는 레이어 3 VPN을 통한 중앙 집중식 인터넷 액세스에 설명된 것의 확장입니다. 이 예는 유사한 기능을 수행하는 여러 허브 CE 라우터를 통해 서로 다른 사이트에 대해 서로 다른 종료점을 제공합니다. 각 허브 CE 라우터는 기본 경로에 서로 다른 경로 타겟을 태그하고 스포크 CE 라우터가 인터넷 액세스에 사용해야 하는 허브 사이트를 선택할 수 있도록 합니다( 그림 12 참조).
이 예에서는 NAT와 인터넷 트래픽을 처리하는 두 개의 허브 CE 라우터를 사용합니다.
커뮤니티
public-comm1
가 있는 Hub1 CE 라우터 태그0/0
(대상:1:111
)커뮤니티
public-comm2
가 있는 Hub2 CE 라우터 태그0/0
(대상:1:112
)
이 예의 스포크 CE 라우터는 인터넷 액세스를 위해 Hub2에 편향되도록 구성됩니다.
다음 섹션에서는 인터넷 트래픽과 네트워크 주소 변환(NAT)을 처리하기 위해 두 개의 허브 CE 라우터를 구성하는 방법에 대해 설명합니다.
- 라우터 PE1에서 라우팅 인스턴스 구성
- 라우터 PE1에서 정책 옵션 구성
- 라우터 PE3에서 라우팅 인스턴스 구성
- 라우터 PE3에서 정책 옵션 구성
- 여러 CE 라우터를 통한 인터넷 트래픽 라우팅: 라우터별로 요약된 구성
라우터 PE1에서 라우팅 인스턴스 구성
라우터 PE1에서 라우팅 인스턴스를 구성합니다.
[edit] routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { export export-default; peer-as 63001; neighbor 192.168.197.14; } } } } }
라우터 PE1에서 정책 옵션 구성
라우터 PE1에 대한 정책 옵션은 허브 CE 라우터를 통한 인터넷 트래픽 라우팅에서와 동일하지만, 이 예의 구성에는 문에 추가 커뮤니티 public-comm1
가 포함됩니다.export
[edit] policy-options { policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from { protocol static; route-filter 0.0.0.0/0 exact; } then { community add public-comm1; community add vpna-comm; accept; } } term b { from protocol bgp; then { community add vpna-comm; accept; } } term c { then reject; } } community public-comm1 members target:1:111; community public-comm2 members target:1:112; community vpna-comm members target:63000:100; }
라우터 PE2의 구성은 라우터 PE2가 커뮤니티 public-comm2
를 통해 기본 경로를 내보낸다는 점을 제외하고 라우터 PE1의 구성과 동일합니다.
라우터 PE3에서 라우팅 인스턴스 구성
라우터 PE3에서 라우팅 인스턴스 vpna
구성:
[edit] routing-instances { vpna { instance-type vrf; interface t1-0/2/0.0; route-distinguisher 10.255.14.173:100; vrf-import vpna-import; vrf-export vpna-export; protocols { rip { group to-vpn12 { export export-CE; neighbor t1-0/2/0.0; } } } } }
라우터 PE3에서 정책 옵션 구성
vrf-import
라우터 PE3에 대한 정책을 구성하여 라우터 PE1에서 정책 옵션 구성에 지정된 추가 커뮤니티를 기반으로 인터넷 종료 지점을 선택합니다.
[edit] policy-options { policy-statement vpna-export { term a { from protocol rip; then { community add vpna-comm; accept; } } term b { then reject; } } policy-statement vpna-import { term a { from { protocol bgp; community public-comm1; route-filter 0.0.0.0/0 exact; } then reject; } term b { from { protocol bgp; community vpna-comm; } then accept; } term c { then reject; } } policy-statement export-CE { from protocol bgp; then accept; } community vpna-comm members target:69:100; community public-comm1 members target:1:111; community public-comm2 members target:1:112; }
여러 CE 라우터를 통한 인터넷 트래픽 라우팅: 라우터별로 요약된 구성
라우터 PE1
이 구성은 Routing Internet Traffic Through a Hub CE Router의 예제를 확장한 것입니다. 유사한 기능을 수행하는 여러 허브 CE 라우터를 사용하여 다양한 사이트에 대해 서로 다른 종료점을 제공합니다.
라우팅 인스턴스
routing-instances { vpna { instance-type vrf; interface t3-0/2/0.0; interface at-1/3/1.0; route-distinguisher 10.255.14.171:100; vrf-import vpna-import; vrf-export vpna-export; routing-options { static { route 0.0.0.0/0 next-hop 10.23.0.1; } } protocols { bgp { group to-CE1 { export export-default; peer-as 63001; neighbor 192.168.197.14; } } } } }
정책 옵션
policy-options { policy-statement vpna-import { term a { from { protocol bgp; community vpna-comm; } then accept; } term b { then reject; } } policy-statement vpna-export { term a { from { protocol static; route-filter 0.0.0.0/0 exact; } then { community add public-comm1; community add vpna-comm; accept; } } term b { from protocol bgp; then { community add vpna-comm; accept; } } term c { then reject; } } community public-comm1 members target:1:111; community public-comm2 members target:1:112; community vpna-comm members target:63000:100; }
라우터 PE2
라우터 PE2의 구성은 라우터 PE2가 커뮤니티 public-comm2
를 통해 기본 경로를 내보낸다는 점을 제외하고 라우터 PE1의 구성과 동일합니다.
라우터 PE3
라우팅 인스턴스
routing-instances { vpna { instance-type vrf; interface t1-0/2/0.0; route-distinguisher 10.255.14.173:100; vrf-import vpna-import; vrf-export vpna-export; protocols { rip { group to-vpn12 { export export-CE; neighbor t1-0/2/0.0; } } } } }
정책 옵션
policy-options { policy-statement vpna-export { term a { from protocol rip; then { community add vpna-comm; accept; } } term b { then reject; } } policy-statement vpna-import { term a { from { protocol bgp; community public-comm1; route-filter 0.0.0.0/0 exact; } then reject; } term b { from { protocol bgp; community vpna-comm; } then accept; } term c { then reject; } } policy-statement export-CE { from protocol bgp; then accept; } community vpna-comm members target:69:100; community public-comm1 members target:1:111; community public-comm2 members target:1:112; }