레이어 3 VPN을 위한 다음 홉 기반 터널
이 주제는 동적 GRE(Generic Routing Encapsulation) 터널 및 동적 MPLS-over-UDP 터널을 구성하여 터널 복합 다음 홉을 지원하는 것에 대해 설명합니다. 또한 스푸핑 방지를 방지하기 위해 역방향 경로 전달을 구성하는 방법에 대한 정보도 제공합니다.
넥스트 홉 기반 MPLS-over-GRE 동적 터널 구성
다음 홉 기반 MPLS-over-GRE 터널은 터널 복합 다음 홉, 간접 다음 홉 및 포워딩 다음 홉을 생성하여 터널 대상 경로를 해결합니다. 방화벽 필터 기반 터널 캡슐화 해제와 함께 다음 홉 기반 MPLS-over-GRE 터널을 구성할 수 있습니다.
ACX 시리즈에서는 Junos OS Evolved 릴리스 24.2R1부터 [edit routing-options dynamic-tunnels] 계층에 문을 포함하여 동적 GRE 넥스트 홉 기반 터널을 gre next-hop-based-tunnel 구성할 수 있습니다.
[edit firewall family family-name filter filter-name term term-name then decapsulate] 계층 수준에서 문을 포함하여 gre MPLS-over-GRE 방화벽 필터 기반 캡슐화 해제를 구성할 수 있습니다. 방화벽 필터 규칙에서는 캡슐화 해제 작업만 지원됩니다. MPLS-over-GRE 방화벽 필터 기반 캡슐화 해제는 제품군 inet에 대해서만 지원됩니다.
[edit routing-options dynamic-tunnels statistics] 계층 수준에서 문을 사용하여 interval 특정 간격을 구성하여 캡슐화 터널 통계를 검색할 수 있습니다. 또한 명령을 사용하여 show dynamic-tunnels database statistics 통계를 볼 수도 있습니다.
동적 다음 홉 터널을 위한 캡슐화 구성
동적 다음 홉 터널에 대한 캡슐화를 구성하려면 [edit routing-options dynamic-tunnels] 계층 수준에서 문을 포함 gre next-hop-based-tunnel 해야 합니다.
다음은 MPLS-over-GRE 캡슐화의 샘플 구성입니다.
[edit]
protocols {
bgp {
group IBGP {
type internal;
local-address 192.168.19.190;
family inet {
unicast;
}
}
neighbor 192.168.20.11;
}
}
routing-options {
dynamic-tunnels {
gre full-resolved-next-hop-based-tunnel;
gre next-hop-based-tunnel;
test_tunnel {
source-address 192.168.19.190;
gre;
destination-networks {
192.168.20.0/24 preference 4;
}
}
}
}
캡슐화 해제를 위한 방화벽 필터 구성
다음 구성에서는 SIP, DIP, 프로토콜을 일치시켜 터널 패킷을 일치시킵니다. 방화벽 필터를 기본 라우팅 인스턴스에 매핑해야 합니다.
이 작업을 통해 PFE는 라우터가 터널 헤더를 제거하고 내부 헤더를 기반으로 처리를 계속하도록 프로그래밍합니다.
forwarding-options {
family inet {
filter {
input f1;
}
}
}
firewall {
family inet {
filter f1 {
term t1 {
from {
source-address {
192.168.9.190/32;
}
destination-address {
10.255.10.11/32;
} }
then {
decapsulate {
gre;
}
}
}
term t2 {
then accept;
}
}
}
}
캡슐화 통계 활성화
PFE는 패킷 및 바이트 수 수준에서 캡슐화 통계를 제공할 수 있습니다. 바이트 카운트 값에는 캡슐화 헤더가 포함됩니다. 기본적으로 통계에 사용되는 카운터는 공유 리소스이므로 터널 캡슐화에 대한 통계는 활성화되지 않습니다. 따라서 CLI 문을 구성하여 카운터 할당을 encap-stats-enable 활성화해야 합니다.
캡슐화 통계를 활성화하려면 다음 CLI를 구성하십시오.
user@host# set system packet-forwarding-options tunnel encap-stats-enable
제한
다음은 ACX 시리즈에서 다음 홉 기반 MPLS-over-GRE 동적 터널을 구성할 때의 제한 사항입니다.
-
동적 다음 홉 기반 터널에 대한 TTL 전파는 지원되지 않습니다.
-
서비스 등급 및 최대 전송 단위(MTU)는 지원되지 않습니다.
-
터널 발신 노드에서 캡슐화된 패킷에 대한 플로우 캐시가 유지되지 않기 때문에 IPv4 및 IPv6 캡슐화 모두에 대한 경로 MTU 검색은 지원되지 않습니다.
-
내부 소스 IP에 대한 터널 캡슐화 해제에서 스푸핑 방지는 지원되지 않습니다.
-
방화벽 필터 규칙에서는 터널 캡슐화 해제에 대해 및
decapsulate gre이(가)decapsulate mpls-in-udp지원됩니다. 수신 코어 인터페이스에 대한 다른 방화벽 필터 규칙은 데이터 경로 제한으로 인해 지원되지 않습니다. -
방화벽 필터 캡슐화 해제 규칙은 기본 VRF만 지원합니다.
-
터널 복합 다음 홉 수준당 터널 통계는 지원되지 않습니다.
-
통계 카운터 할당은 선착순(FCFS)을 기준으로 합니다. 시스템을 다시 시작하거나 evo-pefmand 다시 시작할 때 일부 카운터는 다시 시작 후 0이 아닌 값을 가질 수 있으며 카운터는 증가하지 않을 수 있습니다.
-
접두사 마스크 /32(IPv4)와 /128(IPv6)은 캡슐화 해제 기반 필터 규칙에서만 지원됩니다. 캡슐화 해제 기반 필터 규칙의 방화벽 필터 접두사 목록은 지원되지 않습니다.
-
flexible-vlan-tagging은 지원되지 않습니다.
-
인터페이스 기반 동적 다음 홉 GRE 터널은 지원되지 않습니다.
-
set chassis loopback-dynamic-tunnelACX 플랫폼에는 회선 속도 터널 캡슐화 및 캡슐화 해제가 지원되므로 구성 문은 적용할 수 없습니다. -
IPv6 코어는 지원되지 않습니다.
예: Next-Hop 기반 동적 GRE 터널 구성
이 예는 인터페이스 다음 홉 대신 터널 복합 다음 홉(CNH)을 포함하는 동적 GRE(Generic Routing Encapsulation) 터널을 구성하는 방법을 보여줍니다. 넥스트 홉 기반 동적 GRE 터널은 인터페이스 기반 동적 GRE 터널에 비해 확장성 이점이 있습니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
MPC와 MIC가 있는 MX 시리즈 라우터 다섯 개
-
PE 라우터에서 실행되는 Junos OS 릴리스 16.2 이상
시작하기 전에:
-
루프백 인터페이스를 포함하여 디바이스 인터페이스를 구성합니다.
-
디바이스의 라우터 ID 및 AS(Autonomous System) 번호를 구성합니다.
-
원격 PE 디바이스로 내부 BGP(IBGP) 세션을 구축합니다.
-
디바이스 간에 OSPF 피어링을 설정합니다.
개요
Junos OS 릴리스 16.2부터 동적 GRE(Generic Routing Encapsulation) 터널이 구성된 모든 GRE 터널에 대해 터널 복합 다음 홉 생성을 지원합니다.
기본적으로 새롭게 구성된 모든 동적 GRE 터널에 대해 해당 논리적 터널 인터페이스가 생성됩니다. 이를 인터페이스 기반 동적 터널이라고 하며, 동적 터널을 생성하는 기본 모드입니다. 인터페이스 기반 동적 터널에서 디바이스에 구성할 수 있는 터널 수는 디바이스에서 지원되는 총 인터페이스 수에 따라 다릅니다. 다음 홉 기반 동적 GRE 터널은 물리적 인터페이스에 대한 종속성을 제거하고, GRE 터널 캡슐화는 논리 터널 인터페이스를 생성하지 않고 다음 홉 명령으로 구현됩니다. 이는 디바이스에서 생성할 수 있는 동적 터널 수에 대한 확장 이점을 제공합니다.
Junos OS 릴리스 17.1부터 MPC와 MIC가 있는 MX 시리즈 라우터에서 넥스트 홉 기반 동적 GRE 터널의 확장 제한이 증가합니다. 증가된 스케일링 값은 게이트웨이 라우터가 IP 인프라를 통해 여러 서버와 통신해야 하는 데이터센터 네트워크에 도움이 됩니다. 예를 들어 Contrail Networking에서.
특정 시점에 next-hop 기반 동적 터널 또는 기본 인터페이스 기반 동적 GRE 터널 중 하나가 디바이스에 존재할 수 있습니다. 한 터널 모드에서 다른 터널 모드로 전환하면 기존 터널이 삭제되고 지원되는 확장 제한에 따라 새 터널 모드에서 새 터널이 생성됩니다. 마찬가지로, 특정 시점에 동일한 터널 대상에 대해 next-hop 기반 터널 캡슐화 유형은 GRE 또는 UDP일 수 있습니다.
넥스트 홉 기반 동적 GRE 터널을 활성화하려면 계층 수준에서 [edit routing-options dynamic-tunnels gre] 문을 포함합니다next-hop-based-tunnel.
기존의 동적 터널 기능에는 완전한 정적 구성이 필요합니다. 현재 보급된 경로의 피어 디바이스에서 수신된 터널 정보는 무시됩니다. Junos OS 릴리스 17.4R1부터 MX 시리즈 라우터에서 다음 홉 기반 동적 GRE 터널은 BGP 캡슐화 확장 커뮤니티를 사용하여 시그널링됩니다. BGP 내보내기 정책은 터널 유형을 지정하고, 발신자 측 터널 정보를 보급하고, 수신자 측 터널 정보를 구문 분석 및 전달하는 데 사용됩니다. 터널은 수신된 유형의 터널 커뮤니티에 따라 생성됩니다.
BGP는 여러 터널 캡슐화를 지원합니다. 여러 기능을 수신하면 구성된 BGP 정책 및 터널 기본 설정에 따라 다음 홉 기반 동적 터널이 생성됩니다. 터널을 설정하기 위해서는 터널 기본 설정이 양쪽 터널 끝에서 일관되어야 합니다. 기본적으로 GRE 터널보다 MPLSoUDP(MPLS-over-UDP) 터널이 선호됩니다. 동적 터널 구성이 존재하면 수신된 터널 커뮤니티보다 우선합니다.
넥스트 홉 기반 동적 GRE 터널을 구성할 때 다음 사항을 고려해야 합니다.
-
동적 터널 생성은 IBGP 프로토콜 다음 홉 해결 프로세스에서 트리거됩니다.
-
next-hop 기반 터널 모드에서 인터페이스 기반 터널 모드로(또는 그 반대로) 전환이 허용되며, 이는 각 모드에서 지원되는 IP 터널 스케일링 값 측면에서 네트워크 성능에 영향을 미칠 수 있습니다.
-
RSVP 자동 메시 터널은 다음 홉 기반 동적 터널 구성에서 지원되지 않습니다.
-
이 기능을 사용하면 새로운 IPv4 매핑 IPv6 다음 홉을 기반으로 하는 동적 GRE 터널 생성이 지원됩니다.
-
다음 기능은 넥스트 홉 기반 동적 GRE 터널 구성에서 지원되지 않습니다.
-
RSVP 자동 메시
-
논리적 시스템
-
발신자 측의 터널별 트래픽 통계 수집(MX 시리즈)
-
터널 인터페이스에서 폴리싱 및 셰이핑과 같은 QoS 적용.
-
경로 최대 전송 단위 감지
-
GRE 주요 기능
-
GRE Keepalive 메시지에 대한 GRE OAM(Operation, Administration, and Maintenance).
-
위상수학
그림 1 은 동적 GRE 터널을 통한 레이어 3 VPN 시나리오를 보여줍니다. 고객 에지(CE) 디바이스인 CE1 및 CE2는 각각 프로바이더 에지(PE) 디바이스인 PE1 및 PE2에 연결됩니다. PE 디바이스는 공급자 디바이스(디바이스 P1)에 연결되고 내부 BGP(IBGP) 세션은 두 PE 디바이스를 상호 연결합니다. PE 디바이스 사이에는 2개의 동적 GRE 터널이 구성됩니다. 디바이스 PE1에서 디바이스 PE2로의 동적 터널은 다음 홉 터널 모드를 기반으로 하며, 디바이스 PE2에서 디바이스 PE1로의 동적 터널은 인터페이스 터널 모드를 기반으로 합니다.
을 통한 레이어 3 VPN
다음 홉 기반 동적 GRE 터널은 다음과 같이 처리됩니다.
-
다음 홉 기반 동적 GRE 터널이 구성된 후, inet.3 라우팅 테이블의 프로토콜 다음 홉에 대해 터널 CNH가 있는 터널 대상 마스크 경로가 생성됩니다. 이 IP 터널 경로는 동적 터널 구성이 삭제될 때만 철회됩니다.
터널 CNH 속성에는 다음이 포함됩니다.
-
레이어 3 VPN CNH가 비활성화된 경우: 소스 및 대상 주소, 캡슐화 문자열 및 VPN 레이블.
-
레이어 3 VPN CNH 및 접두사별 VPN 레이블 할당이 활성화된 경우—소스 주소, 대상 주소 및 캡슐화 문자열.
-
레이어 3 VPN CNH가 활성화되고 접두사별 VPN 레이블 할당이 비활성화된 경우—소스 주소, 대상 주소 및 캡슐화 문자열. 이 경우 경로는 보조 경로를 사용하여 다른 가상 라우팅 및 포워딩 인스턴스 테이블에 추가됩니다.
-
-
PE 디바이스는 IBGP 세션을 사용하여 상호 연결됩니다. 원격 BGP neighbor에 대한 IBGP 경로 다음 홉은 프로토콜 다음 홉이며, 이는 터널 다음 홉과 함께 터널 마스크 경로를 사용하여 확인됩니다.
-
터널 복합 다음 홉에서 다음 홉이 확인되면 포워딩 다음 홉이 있는 간접 다음 홉이 생성됩니다.
-
터널 CNH는 간접 다음 홉의 다음 홉을 포워딩하는 데 사용됩니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
CE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/8
set interfaces lo0 unit 0 family inet address 10.127.0.1/8
set routing-options router-id 10.127.0.1
set routing-options autonomous-system 65200
set protocols bgp group ce1-pe1 export export-loopback-direct
set protocols bgp group ce1-pe1 peer-as 65100
set protocols bgp group ce1-pe1 neighbor 10.0.0.2
set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0
set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.1/8 exact
set policy-options policy-statement export-loopback-direct term term-1 then accept
CE2 (CE2)
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.2/24
set interfaces lo0 unit 0 family inet address 10.127.0.5/32
set routing-options router-id 10.127.0.5
set routing-options autonomous-system 65200
set protocols bgp group ce1-pe1 export export-loopback-direct
set protocols bgp group ce1-pe1 peer-as 65100
set protocols bgp group ce1-pe1 neighbor 203.0.113.1
set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0
set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.5/8 exact
set policy-options policy-statement export-loopback-direct term term-1 then accept
PE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.2/8
set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24
set interfaces ge-0/0/1 unit 0 family mpls
set interfaces lo0 unit 0 family inet address 10.127.0.2/32
set routing-options static route 10.33.0.0/16 next-hop 192.0.2.2
set routing-options router-id 10.127.0.2
set routing-options autonomous-system 65100
set routing-options dynamic-tunnels gre next-hop-based-tunnel
set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe2 source-address 10.127.0.2
set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe2 gre
set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/16
set protocols bgp group IBGP type internal
set protocols bgp group IBGP local-address 10.127.0.2
set protocols bgp group IBGP family inet-vpn unicast
set protocols bgp group IBGP neighbor 10.127.0.4
set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set routing-instances L3VPN-Over-GRE-PE1 instance-type vrf
set routing-instances L3VPN-Over-GRE-PE1 interface ge-0/0/0.0
set routing-instances L3VPN-Over-GRE-PE1 route-distinguisher 10.127.0.2:1
set routing-instances L3VPN-Over-GRE-PE1 vrf-target target:600:1
set routing-instances L3VPN-Over-GRE-PE1 protocols bgp group pe1-ce1 peer-as 65200
set routing-instances L3VPN-Over-GRE-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
P1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24
set interfaces ge-0/0/0 unit 0 family mpls
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24
set interfaces ge-0/0/1 unit 0 family mpls
set interfaces lo0 unit 0 family inet address 10.127.0.3/32
set routing-options router-id 10.127.0.3
set routing-options autonomous-system 65100
set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
set protocols ospf area 0.0.0.0 interface lo0.0 passive
PE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.1/24
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24
set interfaces lo0 unit 0 family inet address 10.127.0.4/32
set routing-options nonstop-routing
set routing-options router-id 10.127.0.4
set routing-options autonomous-system 65100
set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe1 source-address 10.127.0.4
set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe1 gre
set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe1 destination-networks 10.127.0.0/16
set protocols bgp group IBGP type internal
set protocols bgp group IBGP local-address 10.127.0.4
set protocols bgp group IBGP family inet-vpn unicast
set protocols bgp group IBGP neighbor 10.127.0.2
set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set routing-instances L3VPN-Over-GRE-PE2 instance-type vrf
set routing-instances L3VPN-Over-GRE-PE2 interface ge-0/0/0.0
set routing-instances L3VPN-Over-GRE-PE2 route-distinguisher 10.127.0.4:1
set routing-instances L3VPN-Over-GRE-PE2 vrf-target target:600:1
set routing-instances L3VPN-Over-GRE-PE2 protocols bgp group ebgp peer-as 65200
set routing-instances L3VPN-Over-GRE-PE2 protocols bgp group ebgp neighbor 203.0.113.2 as-override
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 관한 정보는 CLI 사용자 가이드에서 구성 모드에서 CLI 편집기 사용을 참조하십시오.
디바이스 PE1 구성:
-
디바이스의 루프백 인터페이스를 포함하여 디바이스 인터페이스를 구성합니다.
[edit interfaces] user@PE1# set ge-0/0/0 unit 0 family inet address 10.0.0.2/8 user@PE1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@PE1# set ge-0/0/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 10.127.0.2/8/32 -
다음 홉 대상으로 디바이스 P1을 사용하여 디바이스 PE1에서 경로에 대한 정적 경로를 구성합니다.
[edit routing-options] user@PE1# set static route 172.16.0.0/16 next-hop 192.0.2.2 -
디바이스 PE1의 라우터 ID 및 자율 시스템 번호를 구성합니다.
[edit routing-options] user@PE1# set router-id 10.127.0.2 user@PE1# set autonomous-system 65100 -
PE 디바이스 간의 IBGP 피어링을 구성합니다.
[edit protocols] user@PE1# set bgp group IBGP type internal user@PE1# set bgp group IBGP local-address 10.127.0.2 user@PE1# set bgp group IBGP family inet-vpn unicast user@PE1# set bgp group IBGP neighbor 10.127.0.4 -
관리 인터페이스를 제외한 디바이스 PE1의 모든 인터페이스에 최단 경로 우선(OSPF) 를 구성합니다.
[edit protocols] user@PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 user@PE1# set ospf area 0.0.0.0 interface lo0.0 passive -
디바이스 PE1에서 다음 홉 기반 동적 GRE 터널 구성을 활성화합니다.
[edit routing-options] user@PE1# set dynamic-tunnels gre next-hop-based-tunnel -
디바이스 PE1에서 디바이스 PE2로 동적 GRE 터널 매개 변수를 구성합니다.
[edit routing-options] user@PE1# set dynamic-tunnels gre-dyn-tunnel-to-pe2 source-address 10.127.0.2 user@PE1# set dynamic-tunnels gre-dyn-tunnel-to-pe2 gre user@PE1# set dynamic-tunnels gre-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/16 -
로드 밸런스 정책을 포워딩 테이블로 내보내십시오.
[edit routing-options] user@PE1# set forwarding-table export pplb -
디바이스 PE1 및 기타 라우팅 인스턴스 매개 변수에서 VRF 라우팅 인스턴스를 구성합니다.
[edit routing-instances] user@PE1# set L3VPN-Over-GRE-PE1 instance-type vrf user@PE1# set L3VPN-Over-GRE-PE1 interface ge-0/0/0.0 user@PE1# set L3VPN-Over-GRE-PE1 route-distinguisher 10.127.0.2:1 user@PE1# set L3VPN-Over-GRE-PE1 vrf-target target:600:1 -
디바이스 CE1과의 피어링을 위해 라우팅 인스턴스 구성에서 BGP를 활성화합니다.
[edit routing-instances] user@PE1# set L3VPN-Over-GRE-PE1 protocols bgp group pe1-ce1 peer-as 65200 user@PE1# set L3VPN-Over-GRE-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
결과
구성 모드에서 , show routing-options, show protocols및 show routing-instances 명령을 입력하여 show interfaces구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@PE1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.0.2/8;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.127.0.2/32;
}
}
}
user@PE1# show routing-options
static {
route 172.16.0.0/16 next-hop 192.0.2.2;
}
router-id 10.127.0.2;
autonomous-system 65100;
dynamic-tunnels {
gre next-hop-based-tunnel;
gre-dyn-tunnel-to-pe2 {
source-address 10.127.0.2;
gre;
destination-networks {
10.127.0.0/16;
}
}
}
user@PE1# show protocols
bgp {
group IBGP {
type internal;
local-address 127.0.0.2;
family inet-vpn {
unicast;
}
neighbor 127.0.0.4;
}
}
ospf {
area 0.0.0.0 {
interface ge-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
user@PE1# show routing-instances
L3VPN-Over-GRE-PE1 {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 127.0.0.2:1;
vrf-target target:600:1;
protocols {
bgp {
group pe1-ce1 {
peer-as 200;
neighbor 10.0.0.1 {
as-override;
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
- PE 디바이스 간 연결 확인
- 디바이스 PE1에서 동적 터널 경로 확인
- 디바이스 PE2에서 동적 터널 경로 확인
- 경로에 예상되는 indirect-next-hop 플래그가 있는지 확인
PE 디바이스 간 연결 확인
목적
디바이스 PE1과 디바이스 PE2 사이의 BGP 피어링 상태와 디바이스 PE2에서 수신된 BGP 경로를 확인합니다.
행동
운영 모드에서 및 show route receive-protocol bgp ip-address table bgp.l3vpn.0 명령을 실행합니다show bgp summary.
user@PE1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
127.0.0.4 100 139 136 0 0 58:23 Establ
bgp.l3vpn.0: 2/2/2/0
L3VPN-Over-GRE-PE1.inet.0: 2/2/2/0
10.0.0.1 200 135 136 0 0 58:53 Establ
L3VPN-Over-GRE-PE1.inet.0: 1/1/1/0
user@PE1> show route receive-protocol bgp 10.127.0.4 table bgp.l3vpn.0 bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path 10.127.0.4:1:127.0.0.5/8 * 127.0.0.4 65100 65200 I 10.127.0.4:1:203.0.113.0/24 * 127.0.0.4 65100 I
의미
-
첫 번째 출력에서 BGP 세션 상태는 이며
Establ, 이는 세션이 가동되고 PE 디바이스가 피어링되었음을 의미합니다. -
두 번째 출력에서 디바이스 PE1은 디바이스 PE2에서 두 개의 BGP 경로를 학습했습니다.
디바이스 PE1에서 동적 터널 경로 확인
목적
inet.3 라우팅 테이블의 경로와 디바이스 PE1의 동적 터널 데이터베이스 정보를 확인합니다.
행동
운영 모드에서 및 show dynamic-tunnels database terse 명령을 실행합니다show route table inet.3.
user@PE1> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/8 *[Tunnel/300] 01:01:45
Tunnel
10.127.0.4/8 *[Tunnel/300] 00:10:24
Tunnel Composite
user@PE1> show dynamic-tunnels database terse
Table: inet.3
Destination-network: 10.127.0.0/8
Destination Source Next-hop Type Status
10.127.0.4/8 10.127.0.2 0xb395e70 nhid 612 gre Up
의미
-
첫 번째 출력에서는 디바이스 PE1이 다음 홉 기반 동적 GRE 터널로 구성되었기 때문에 inet.3 라우팅 테이블 경로 항목에 대해 터널 복합 경로가 생성됩니다.
-
두 번째 출력에서는 디바이스 PE1에서 디바이스 PE2로 생성된 동적 GRE 터널이 작동하며 넥스트홉 인터페이스 대신 넥스트홉 ID가 할당되어 있습니다.
디바이스 PE2에서 동적 터널 경로 확인
목적
inet.3 라우팅 테이블의 경로와 디바이스 PE2의 동적 터널 데이터베이스 정보를 확인합니다.
행동
운영 모드에서 및 show dynamic-tunnels database terse 명령을 실행합니다show route table inet.3.
user@PE2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/8 *[Tunnel/300] 01:06:52
Tunnel
10.127.0.2/8 *[Tunnel/300] 01:04:45
> via gr-0/1/0.32769
user@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 127.0.0.0/8 Destination Source Next-hop Type 10. 10.127.0.2/8 10.127.0.4 gr-0/1/0.32769 gre Up
의미
-
첫 번째 출력에서는 디바이스 PE2가 기본 인터페이스 기반 동적 GRE 터널 구성을 가지고 있기 때문에 inet.3 라우팅 테이블 경로 항목에 대해 새 인터페이스가 생성됩니다.
-
두 번째 출력에서는 디바이스 PE2에서 디바이스 PE1로 생성된 동적 GRE 터널이 작동하며, 새로 생성된 인터페이스 이름이 할당됩니다.
경로에 예상되는 indirect-next-hop 플래그가 있는지 확인
목적
디바이스 PE1 및 디바이스 PE2가 패킷 포워딩 엔진 포워딩 테이블에서 포워딩 넥스트 홉 바인딩에 대한 간접 다음 홉을 유지하도록 구성되었는지 확인합니다.
행동
운영 모드의 디바이스 PE1 및 디바이스 PE2에서 명령을 실행합니다 show krt indirect-next-hop .
user@PE1> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048574 Protocol next-hop address: 10.127.0.4
RIB Table: bgp.l3vpn.0
Label: Push 299792
Policy Version: 1 References: 2
Locks: 3 0xb2ab630
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: GRE, Reference count: 3, nhid: 612
Destination address: 10.127.0.4, Source address: 10.127.0.2
Tunnel id: 1, VPN Label: Push 299792, TTL action: prop-ttl
IGP FRR Interesting proto count : 2
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3c6d9c
IGP Route handle(hex) : 0xb1ad230 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
user@PE2> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048574 Protocol next-hop address: 10.127.0.2
RIB Table: bgp.l3vpn.0
Label: Push 299792
Policy Version: 2 References: 2
Locks: 3 0xb2ab630
Flags: 0x2
INH Session ID: 0x145
INH Version ID: 0
Ref RIB Table: unknown
Next hop: via gr-0/1/0.32769
Label operation: Push 299792
Label TTL action: prop-ttl
Load balance label: Label 299792: None;
Label element ptr: 0xb395d40
Label parent element ptr: 0x0
Label element references: 1
Label element child references: 0
Label element lsp id: 0
Session Id: 0x144
IGP FRR Interesting proto count : 2
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3d36e8
IGP Route handle(hex) : 0xb1af060 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
의미
-
첫 번째 출력에서 디바이스 PE1은 디바이스 PE2에 대한 넥스트 홉 기반 동적 GRE 터널을 갖습니다.
-
두 번째 출력에서 디바이스 PE2는 디바이스 PE1에 대한 인터페이스 기반 동적 GRE 터널을 갖습니다.
문제 해결
next-hop 기반 동적 터널 문제를 해결하려면 다음을 참조하십시오.
문제 해결 명령어
문제
next-hop 기반 동적 GRE 터널 구성이 적용되지 않습니다.
용액
다음 홉 기반 GRE 터널 구성 문제를 해결하려면 문 계층에서 [edit routing-options dynamic-tunnels] 다음 traceoptions 명령을 사용하십시오.
-
traceoptions file file-name -
traceoptions file size file-size -
traceoptions flag all
예를 들어:
[edit routing-options dynamic-tunnels]
traceoptions {
file gre_dyn_pe1.wri size 4294967295;
flag all;
}
예: 다음 홉 기반 MPLS-Over-UDP 동적 터널 구성
이 예는 터널 복합 다음 홉을 포함하는 동적 MPLS-over-UDP 터널을 구성하는 방법을 보여줍니다. MPLS-over-UDP 기능은 디바이스에서 지원되는 IP 터널 수에 대해 확장성 이점을 제공합니다.
Junos OS 릴리스 18.3R1부터 PTX 시리즈 라우터 및 QFX 시리즈 스위치에서 MPLS-over-UDP 터널이 지원됩니다. PTX 라우터 또는 QFX 스위치에 구성된 모든 동적 터널에 대해 터널 대상 경로를 해결하기 위해 터널 복합 다음 홉, 간접 다음 홉 및 포워딩 다음 홉이 생성됩니다. 또한 정책 제어를 사용하여 계층 수준에서 forwarding-rib 구성 문을 포함하여 선택 접두사에 대한 동적 터널을 [edit routing-options dynamic-tunnels] 해결할 수 있습니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
MPC와 MIC가 있는 MX 시리즈 라우터 다섯 개
-
프로바이더 에지(PE) 라우터에서 실행되는 Junos OS 릴리스 16.2 이상
시작하기 전에:
-
루프백 인터페이스를 포함하여 디바이스 인터페이스를 구성합니다.
-
디바이스의 라우터 ID 및 자동 시스템 번호를 구성합니다.
-
원격 PE 디바이스로 내부 BGP(IBGP) 세션을 구축합니다.
-
디바이스 간에 OSPF 피어링을 설정합니다.
개요
Junos OS 릴리스 16.2부터 동적 UDP 터널은 구성된 모든 UDP 터널에 대해 터널 복합 다음 홉 생성을 지원합니다. 이러한 다음 홉 기반 동적 UDP 터널을 MPLS-over-UDP 터널이라고 합니다. 터널 복합 다음 홉은 MPLS-over-UDP 터널에 대해 기본적으로 활성화됩니다.
MPLS-over-UDP 터널은 본질적으로 양방향이거나 단방향일 수 있습니다.
-
양방향 - PE 디바이스가 MPLS-over-UDP 터널을 통해 양방향으로 연결된 경우 이를 양방향 MPLS-over-UDP 터널이라고 합니다.
-
단방향 - 두 개의 PE 디바이스가 한 방향으로는 MPLS-over-UDP 터널을 통해 연결되고 다른 방향으로는 MPLS/IGP를 통해 연결되면 이를 단방향 MPLS-over-UDP 터널이라고 합니다.
단방향 MPLS-over-UDP 터널은 마이그레이션 시나리오 또는 두 개의 PE 디바이스가 두 개의 분리된 네트워크를 통해 서로 연결을 제공하는 경우에 사용됩니다. 단방향 MPLS-over-UDP 터널에는 역방향 터널이 존재하지 않기 때문에 트래픽을 포워딩하기 위해 원격 PE 장치에서 필터 기반 MPLS-over-UDP 캡슐화 해제를 구성해야 합니다.
Junos OS 릴리스 18.2R1부터 PTX 시리즈 라우터 및 단방향 MPLS-over-UDP 터널이 있는 QFX10000에서 MPLS-over-UDP 패킷에 대한 입력 필터와 역방향 터널 방향으로 패킷을 전달하기 위한 IP 및 UDP 헤더의 캡슐화를 해제하는 작업을 사용하여 원격 PE 디바이스를 구성해야 합니다.
예를 들어, 원격 PE 디바이스인 디바이스 PE2에서 단방향 MPLS-over-UDP 터널에 다음 구성이 필요합니다.
PE2
[edit firewall filter] user@host# set Decap_Filter term udp_decap from protocol udp user@host# set Decap_Filter term udp_decap from destination-port 6635 user@host# set Decap_Filter term udp_decap then count UDP_PKTS user@host# set Decap_Filter term udp_decap then decapsulate mpls-in-udp user@host# set Decap_Filter term def then count def_pkt user@host# set Decap_Filter term def then accept
위의 샘플 구성에서 은(는) Decap_Filter MPLS-over-UDP 캡슐화 해제에 사용되는 방화벽 필터의 이름입니다. 용어 udp_decap 는, 디바이스 PE2의 코어 대면 인터페이스에서 UDP 패킷을 수락한 다음 포워딩을 위해 MPLS-over-UDP 패킷을 MPLS-over-IP 패킷으로 캡슐화 해제하기 위한 입력 필터입니다.
필터 기반 MPLS-over-UDP 캡슐화 해제를 보기 위해 등의 show firewall filter 기존 방화벽 운영 모드 명령을 사용할 수 있습니다.
예를 들어:
user@host >show firewall filter Decap_Filter Filter: Decap_Filter Counters: Name Bytes Packets UDP_PKTS 16744 149 def_pkt 13049 136
단방향 MPLS-over-UDP 터널의 경우:
-
IPv4 주소만 외부 헤더로 지원됩니다. 필터 기반 MPLS-over-UDP 캡슐화 해제는 외부 헤더에서 IPv6 주소를 지원하지 않습니다.
-
캡슐화 해제 후에는 기본 라우팅 인스턴스만 지원됩니다.
Junos OS 릴리스 17.1부터 MPC와 MIC가 있는 MX 시리즈 라우터에서 MPLS-over-UDP 터널의 확장 제한이 증가합니다.
Junos 릴리스 19.2R1부터 MPC와 MIC가 있는 MX 시리즈 라우터에서 지원 서비스 프로바이더의 PE 디바이스 사이에 설정된 동적 IPv4 UDP 터널을 통해 MPLS 트래픽을 전달하는 MPLS-over-UDP 터널과 함께 CSC(Carrier Support Carrier) 아키텍처를 구축할 수 있습니다. 이러한 향상된 기능으로 MPLS-over-UDP 터널이 제공하는 확장성 이점이 더욱 향상되었습니다. IPv6 UDP 터널에는 MPLS-over-UDP 터널을 통한 CSC 지원이 지원되지 않습니다.
기존의 동적 터널 기능에는 완전한 정적 구성이 필요합니다. 현재 보급된 경로의 피어 디바이스에서 수신된 터널 정보는 무시됩니다. Junos OS 릴리스 17.4R1부터 MX 시리즈 라우터에서 다음 홉 기반 동적 MPLS-over-UDP 터널은 BGP 캡슐화 확장 커뮤니티를 사용하여 시그널링됩니다. BGP 내보내기 정책은 터널 유형을 지정하고, 발신자 측 터널 정보를 보급하고, 수신자 측 터널 정보를 구문 분석 및 전달하는 데 사용됩니다. 터널은 수신된 유형의 터널 커뮤니티에 따라 생성됩니다.
BGP는 여러 터널 캡슐화를 지원합니다. 여러 기능을 수신하면 구성된 BGP 정책 및 터널 기본 설정에 따라 다음 홉 기반 동적 터널이 생성됩니다. 터널을 설정하기 위해서는 터널 기본 설정이 양쪽 터널 끝에서 일관되어야 합니다. 기본적으로 GRE 터널보다 MPLS-over-UDP 터널이 선호됩니다. 동적 터널 구성이 존재하면 수신된 터널 커뮤니티보다 우선합니다.
넥스트 홉 기반 동적 MPLS-over-UDP 터널을 구성할 때 다음 사항을 고려해야 합니다.
-
IBGP 세션은 PE 디바이스 간에 구성되어야 합니다.
-
next-hop 기반 동적 터널 캡슐화(UDP 및 GRE) 간의 전환이 허용되며, 이는 각 모드에서 지원되는 IP 터널 스케일링 값 측면에서 네트워크 성능에 영향을 미칠 수 있습니다.
-
동일한 터널 대상에 대해 GRE와 UDP 넥스트 홉 기반 동적 터널 캡슐화 유형을 모두 보유하면 커밋이 실패하게 됩니다.
-
단방향 MPLS-over-UDP 터널의 경우, 패킷이 전달되도록 원격 PE 디바이스에서 필터 기반 MPLS-over-UDP 캡슐화 해제를 명시적으로 구성해야 합니다.
-
GRES(Graceful 라우팅 엔진 Switchover)는 MPLS-over-UDP로 지원되며 MPLS-over-UDP 터널 유형 플래그는 통합 ISSU 및 NSR을 준수합니다.
-
MPLS-over-UDP 터널은 Lite 모드의 가상 MX(vMX)에서 지원됩니다.
-
MPLS-over-UDP 터널은 새로운 IPv4 매핑 IPv6 다음 홉을 기반으로 동적 GRE 터널 생성을 지원합니다.
-
MPLS-over-UDP 터널은 contrail과의 상호 운용성에서 지원되며, 여기서 MPLS-over-UDP 터널은 contrail vRouter에서 MX 게이트웨이로 생성됩니다. 이를 위해서는 MX 시리즈 라우터에서 Contrail vRouter까지의 경로에서 다음 커뮤니티를 보급해야 합니다.
[edit policy-options community] udp members 0x030c:64512:13;
특정 시점에 contrail vRouter에서는 next-hop 기반 동적 GRE 터널, MPLS-over-UDP 터널 또는 VXLAN 중 하나의 터널 유형만 지원됩니다.
-
다음 기능은 넥스트 홉 기반 동적 MPLS-over-UDP 터널 구성에서 지원되지 않습니다.
-
RSVP 자동 메시
-
일반 IPV6 GRE 및 UDP 터널 구성
-
논리적 시스템
-
위상수학
그림 2 는 동적 MPLS-over-UDP 터널을 통한 레이어 3 VPN 시나리오를 보여줍니다. 고객 에지(CE) 디바이스인 CE1 및 CE2는 각각 프로바이더 에지(PE) 디바이스인 PE1 및 PE2에 연결됩니다. PE 디바이스는 공급자 디바이스(디바이스 P1)에 연결되고, 내부 BGP(IBGP) 세션은 두 PE 디바이스를 상호 연결합니다. 동적 다음 홉 기반 양방향 MPL-over-UDP 터널이 PE 디바이스 간에 구성됩니다.
MPLS-over-UDP 터널은 다음과 같이 처리됩니다.
-
MPLS-over-UDP 터널이 구성된 후, inet.3 라우팅 테이블의 터널에 대해 터널 복합 다음 홉이 있는 터널 대상 마스크 경로가 생성됩니다. 이 IP 터널 경로는 동적 터널 구성이 삭제될 때만 철회됩니다.
터널 복합 다음 홉 속성에는 다음이 포함됩니다.
-
레이어 3 VPN 복합 다음 홉이 비활성화된 경우—소스 및 대상 주소, 캡슐화 문자열 및 VPN 레이블.
-
레이어 3 VPN 복합 다음 홉 및 접두사별 VPN 레이블 할당이 활성화된 경우—소스 주소, 대상 주소 및 캡슐화 문자열.
-
레이어 3 VPN 복합 다음 홉이 활성화되고 접두사별 VPN 레이블 할당이 비활성화된 경우—소스 주소, 대상 주소 및 캡슐화 문자열. 이 경우 경로는 보조 경로를 사용하여 다른 가상 라우팅 및 포워딩 인스턴스 테이블에 추가됩니다.
-
-
PE 디바이스는 IBGP 세션을 사용하여 상호 연결됩니다. 원격 BGP neighbor에 대한 IBGP 경로 다음 홉은 프로토콜 다음 홉이며, 이는 터널 다음 홉과 함께 터널 마스크 경로를 사용하여 확인됩니다.
-
프로토콜 다음 홉이 터널 복합 다음 홉에서 확인되면 포워딩 다음 홉이 있는 간접 다음 홉이 생성됩니다.
-
터널 복합 다음 홉은 간접 다음 홉의 다음 홉을 포워딩하는 데 사용됩니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
CE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/8 set interfaces lo0 unit 0 family inet address 10.127.0.1/32 set routing-options router-id 10.127.0.1 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 100 set protocols bgp group ce1-pe1 neighbor 10.0.0.2 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.1/32 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
CE2 (CE2)
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 10.127.0.5/32 set routing-options router-id 10.127.0.5 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 65100 set protocols bgp group ce1-pe1 neighbor 203.0.113.1 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.5/32 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
PE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.2/8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.2/32 set routing-options static route 10.33.0/16 next-hop 192.0.2.2 set routing-options router-id 10.127.0.2 set routing-options autonomous-system 65100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 10.127.0.2 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/24 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.2 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.4 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE1 instance-type vrf set routing-instances MPLS-over-UDP-PE1 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE1 route-distinguisher 10.127.0.2:1 set routing-instances MPLS-over-UDP-PE1 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 65200 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
P1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.3/32 set routing-options router-id 10.127.0.3 set routing-options autonomous-system 65100 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
PE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.4/8 set routing-options nonstop-routing set routing-options router-id 10.127.0.4 set routing-options autonomous-system 65100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 source-address 10.127.0.4 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 destination-networks 10.127.0.0/24 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.4 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.2 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE2 instance-type vrf set routing-instances MPLS-over-UDP-PE2 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE2 route-distinguisher 10.127.0.4:1 set routing-instances MPLS-over-UDP-PE2 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp peer-as 65200 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp neighbor 203.0.113.2 as-override
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 관한 정보는 CLI 사용자 가이드에서 구성 모드에서 CLI 편집기 사용을 참조하십시오.
디바이스 PE1 구성:
-
디바이스의 루프백 인터페이스를 포함하여 디바이스 인터페이스를 구성합니다.
[edit interfaces] user@PE1# set ge-0/0/0 unit 0 family inet address 10.0.0.2/8 user@PE1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@PE1# set ge-0/0/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 10.127.0.2/8
-
다음 홉 대상으로 디바이스 P1을 사용하여 디바이스 PE1에서 경로에 대한 정적 경로를 구성합니다.
[edit routing-options] user@PE1# set static route 10.33.0.0/16 next-hop 192.0.2.2
-
디바이스 PE1의 라우터 ID 및 자율 시스템 번호를 구성합니다.
[edit routing-options] user@PE1# set router-id 10.127.0.2 user@PE1# set autonomous-system 65100
-
(PTX 시리즈만 해당) 정책 제어를 구성하여 선택한 접두사에 대한 MPLS-over-UDP 동적 터널 경로를 해결합니다.
[edit routing-options dynamic-tunnels] user@PTX-PE1# set forwarding-rib inet.0 inet-import dynamic-tunnel-fwd-route-import
-
(PTX 시리즈만 해당) 에 대한 동적 터널 대상 경로를 해결하기 위해 inet-import 정책을 구성합니다.
[edit policy-options] user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 from route-filter 10.127.0.4/32 exact user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 then accept user@PTX-PE1# set policy-options policy-statement dynamic-tunnel-fwd-route-import then reject
-
PE 디바이스 간의 IBGP 피어링을 구성합니다.
[edit protocols] user@PE1# set bgp group IBGP type internal user@PE1# set bgp group IBGP local-address 10.127.0.2 user@PE1# set bgp group IBGP family inet-vpn unicast user@PE1# set bgp group IBGP neighbor 10.127.0.4
-
관리 인터페이스를 제외한 디바이스 PE1의 모든 인터페이스에 최단 경로 우선(OSPF) 를 구성합니다.
[edit protocols] user@PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 user@PE1# set ospf area 0.0.0.0 interface lo0.0 passive
-
디바이스 PE1에서 다음 홉 기반 동적 GRE 터널 구성을 활성화합니다.
메모:이 단계는 다음 홉 기반 동적 GRE 터널과 MPLS-over-UDP 터널 간의 구현 차이를 설명하기 위해서만 필요합니다.
[edit routing-options] user@PE1# set dynamic-tunnels gre next-hop-based-tunnel
-
디바이스 PE1에서 디바이스 PE2로 MPLS-over-UDP 터널 매개 변수를 구성합니다.
[edit routing-options] user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 10.127.0.2 user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 udp user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/24
-
디바이스 PE1 및 기타 라우팅 인스턴스 매개 변수에서 VRF 라우팅 인스턴스를 구성합니다.
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 instance-type vrf user@PE1# set MPLS-over-UDP-PE1 interface ge-0/0/0.0 user@PE1# set MPLS-over-UDP-PE1 route-distinguisher 10.127.0.2:1 user@PE1# set MPLS-over-UDP-PE1 vrf-target target:600:1
-
디바이스 CE1과의 피어링을 위해 라우팅 인스턴스 구성에서 BGP를 활성화합니다.
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 65200 user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
결과
구성 모드에서 , show routing-options, show protocols및 show routing-instances 명령을 입력하여 show interfaces구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@PE1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.0.2/8;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.127.0.2/32;
}
}
}
user@PE1# show routing-options
static {
route 10.33.0.0/16 next-hop 192.0.2.2;
}
router-id 10.127.0.2;
autonomous-system 65100;
forwarding-table {
export pplb;
}
dynamic-tunnels {
gre next-hop-based-tunnel;
udp-dyn-tunnel-to-pe2 {
source-address 10.127.0.2;
udp;
destination-networks {
10.127.0.0/24;
}
}
}
user@PE1# show protocols
bgp {
group IBGP {
type internal;
local-address 10.127.0.2;
family inet-vpn {
unicast;
}
neighbor 10.127.0.4;
}
}
ospf {
area 0.0.0.0 {
interface ge-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
user@PE1# show routing-instances
MPLS-over-UDP-PE1 {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 10.127.0.2:1;
vrf-target target:600:1;
protocols {
bgp {
group pe1-ce1 {
peer-as 65200;
neighbor 10.0.0.1 {
as-override;
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
- PE 디바이스 간 연결 확인
- 디바이스 PE1에서 동적 터널 경로 확인
- 디바이스 PE2에서 동적 터널 경로 확인
- 경로에 예상되는 indirect-next-hop 플래그가 있는지 확인
PE 디바이스 간 연결 확인
목적
디바이스 PE1과 디바이스 PE2 사이의 BGP 피어링 상태와 디바이스 PE2에서 수신된 BGP 경로를 확인합니다.
행동
운영 모드에서 및 show route receive-protocol bgp ip-address table bgp.l3vpn.0 명령을 실행합니다show bgp summary.
user@PE1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
10.127.0.4 65100 139 136 0 0 58:23 Establ
bgp.l3vpn.0: 2/2/2/0
MPLS-over-UDP-PE1.inet.0: 2/2/2/0
10.10.0.1 65200 135 136 0 0 58:53 Establ
MPLS-over-UDP-PE1.inet.0: 1/1/1/0
user@PE1> show route receive-protocol bgp 10.127.0.4 table bgp.l3vpn.0 bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path 10.127.0.4:1:127.0.0.5/8 * 10.127.0.4 65100 65200 I
의미
-
첫 번째 출력에서 BGP 세션 상태는 이며
Establ, 이는 세션이 가동되고 PE 디바이스가 피어링되었음을 의미합니다. -
두 번째 출력에서 디바이스 PE1은 디바이스 PE2에서 BGP 경로를 학습했습니다.
디바이스 PE1에서 동적 터널 경로 확인
목적
inet.3 라우팅 테이블의 경로와 디바이스 PE1의 동적 터널 데이터베이스 정보를 확인합니다.
행동
운영 모드에서 , show dynamic-tunnels database terse, show dynamic-tunnels database및 show dynamic-tunnels database summary 명령을 실행합니다show route table inet.3.
user@PE1> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/24 *[Tunnel/300] 00:21:18
Tunnel
127.0.0.4/8 *[Tunnel/300] 00:21:18
Tunnel Composite
user@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 10.127.0.0/24 Destination Source Next-hop Type Status 10.127.0.4/8 10.127.0.2 0xb395b10 nhid 613 udp Up
user@PE1> show dynamic-tunnels database
Table: inet.3
. . .
Tunnel to: 10.127.0.4/32
Reference count: 2
Next-hop type: UDP
Source address: 10.127.0.2 Tunnel Id: 2
Next hop: tunnel-composite, 0xb395b10, nhid 613
VPN Label: Push 299776 Reference count: 3
Traffic Statistics: Packets 0, Bytes 0
State: Up
user@PE1> show dynamic-tunnels database summary Dynamic Tunnels, Total 1 displayed GRE Tunnel: Active Tunnel Mode, Next Hop Base IFL Based, Total 0 displayed, Up 0, Down 0 Nexthop Based, Total 0 displayed, Up 0, Down 0 RSVP Tunnel: Total 0 displayed UDP Tunnel: Total 1 displayed, Up 1, Down 0
의미
-
첫 번째 출력에서는 디바이스 PE1이 MPLS-over-UDP 터널로 구성되었기 때문에 inet.3 라우팅 테이블 경로 항목에 대한 터널 복합 경로가 생성됩니다.
-
나머지 출력에서는 MPLS-over-UDP 터널이 터널 캡슐화 유형, 터널 다음 홉 매개변수 및 터널 상태와 함께 표시됩니다.
디바이스 PE2에서 동적 터널 경로 확인
목적
inet.3 라우팅 테이블의 경로와 디바이스 PE2의 동적 터널 데이터베이스 정보를 확인합니다.
행동
운영 모드에서 및 show dynamic-tunnels database terse 명령을 실행합니다show route table inet.3.
user@PE2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/24 *[Tunnel/300] 00:39:31
Tunnel
10.127.0.2/32 *[Tunnel/300] 00:24:53
Tunnel Composite
user@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 127.0.0.0/8 Destination Source Next-hop Type Status 10.127.0.2/32 10.127.0.4 0xb395450 nhid 615 udp Up
의미
출력은 디바이스 PE1과 유사한 MPLS-over-UDP 터널 생성 및 다음 홉 인터페이스로 할당된 다음 홉 ID를 보여줍니다.
경로에 예상되는 indirect-next-hop 플래그가 있는지 확인
목적
디바이스 PE1 및 디바이스 PE2가 패킷 포워딩 엔진 포워딩 테이블에서 포워딩 넥스트 홉 바인딩에 대한 간접 다음 홉을 유지하도록 구성되었는지 확인합니다.
행동
운영 모드의 디바이스 PE1 및 디바이스 PE2에서 명령을 실행합니다 show krt indirect-next-hop .
user@PE1> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048574 Protocol next-hop address: 10.127.0.4
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 1
Locks: 3 0xb2ab630
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 613
Destination address: 10.127.0.4, Source address: 10.127.0.2
Tunnel id: 2, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 1
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3c70dc
IGP Route handle(hex) : 0xb1ae688 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
user@PE2> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048575 Protocol next-hop address: 10.127.0.2
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 2
Locks: 3 0xb2ab740
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 615
Destination address: 10.127.0.2, Source address: 10.127.0.4
Tunnel id: 1, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 2
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3d3a28
IGP Route handle(hex) : 0xb1ae634 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
의미
출력은 PE 디바이스 간에 next-hop 기반 동적 MPLS-over-UDP 터널이 생성됨을 보여줍니다.
문제 해결
next-hop 기반 동적 터널 문제를 해결하려면 다음을 참조하십시오.
문제 해결 명령어
문제
next-hop 기반 동적 MPLS-over-UDP 터널 구성은 적용되지 않습니다.
용액
다음 홉 기반 MPLS-over-UDP 터널 구성 문제를 해결하려면 문 계층에서 [edit routing-options dynamic-tunnels] 다음 traceroute 명령을 사용합니다.
-
traceoptions file file-name -
traceoptions file size file-size -
traceoptions flag all
예를 들어:
[edit routing-options dynamic-tunnels]
traceoptions {
file udp_dyn_pe1.wri size 4294967295;
flag all;
}
Next-Hop 기반 동적 터널에 대한 스푸핑 방지 보호 개요
데이터센터 내 대규모 IP 터널 구축이 증가함에 따라 사용자가 손상된 가상 머신(VM)의 악성 트래픽을 제한할 수 있는 보안 조치를 추가해야 합니다. 한 가지 가능한 공격은 게이트웨이 라우터를 통해 손상된 서버에서 임의의 고객 VPN으로 트래픽을 주입하는 것입니다. 이러한 경우 IP 터널에 대한 스푸핑 방지 검사를 통해 합법적인 소스만 지정된 IP 터널에서 데이터센터로 트래픽을 주입하도록 합니다.
다음 홉 기반 동적 IP 터널은 디바이스에서 생성된 모든 동적 터널에 대해 복합 다음 홉을 생성합니다. 다음 홉 기반 동적 터널은 구성된 모든 새로운 동적 터널에 대한 물리적 인터페이스에 대한 종속성을 제거하므로 다음 홉 기반 동적 터널을 구성하면 디바이스에 생성할 수 있는 동적 터널 수에 비해 확장성 이점이 있습니다. Junos OS 릴리스 17.1부터 다음 홉 기반 동적 IP 터널에 대한 스푸핑 방지 기능이 제공됩니다. 이러한 향상된 기능과 함께 보안 조치가 구현되어 게이트웨이 라우터를 통해 손상된 서버에서 임의의 고객 VPN으로 트래픽이 삽입되는 것을 방지합니다.
스푸핑 방지는 패킷 포워딩 엔진의 역방향 경로 전달 검사를 사용하여 구현됩니다. 터널을 통해 라우팅 인스턴스로 들어오는 트래픽에 대해 검사가 수행됩니다. 현재 게이트웨이 라우터가 터널에서 트래픽을 수신하면 대상 조회만 완료되고 그에 따라 패킷이 전달됩니다. 스푸핑 방지 보호가 활성화되면 게이트웨이 라우터는 터널 대상 조회 외에 VPN에서 캡슐화 패킷 IP 헤더의 소스 주소 조회도 수행합니다. 이렇게 하면 합법적인 소스가 지정된 IP 터널을 통해 트래픽을 주입할 수 있습니다. 결과적으로 스푸핑 방지 보호는 터널 트래픽이 지정된 터널의 합법적인 소스에서 수신되도록 합니다.
그림 3 은 스푸핑 방지 보호를 위한 요구 사항이 있는 샘플 토폴로지를 보여줍니다.
에 대한 스푸핑 방지 보호
이 예에서 게이트웨이 라우터는 라우터 G입니다. 라우터 G에는 녹색과 파란색의 두 개의 VPN이 있습니다. 서버 A와 서버 B의 두 서버는 각각 다음 홉 기반 동적 터널 T1과 T2를 통해 라우터 G의 녹색 및 파란색 VPN에 연결할 수 있습니다. 서버에 연결된 여러 호스트 및 가상 머신(P, Q, R, S 및 T)은 게이트웨이 라우터인 라우터 G를 통해 VPN에 연결할 수 있습니다. 라우터 G에는 그린 및 블루 VPN에 대한 가상 라우팅 및 포워딩(VRF) 테이블이 있으며, 각 테이블에는 해당 VPN의 가상 머신에 대한 연결성 정보가 채워져 있습니다.
예를 들어, VPN Green에서 라우터 G는 터널 T1을 사용하여 호스트 P에 도달하고, 터널 T2를 사용하여 호스트 R과 S에 도달하며, 터널 T1과 T2 사이에서 로드 밸런싱이 수행되어 멀티호밍 호스트 Q에 도달합니다. VPN Blue에서 라우터 G는 터널 T1을 사용하여 호스트 P 및 R에 도달하고 터널 T2를 사용하여 호스트 Q와 T에 도달합니다.
다음과 같은 경우 역방향 경로 전달에 대한 검사가 통과됩니다.
패킷은 지정된 터널의 합법적인 소스에서 옵니다.
VPN Green의 호스트 P는 터널 T1을 사용하여 호스트 X에 패킷을 전송합니다. 라우터 G는 터널 T1을 통해 호스트 P에 도달할 수 있기 때문에 패킷이 호스트 X에 패킷을 통과하고 전달할 수 있습니다.
패킷은 지정된 터널의 멀티홈 소스에서 수신됩니다.
VPN Green의 호스트 Q는 서버 A와 B에서 멀티호밍되며, 터널 T1과 T2를 통해 라우터 G에 도달할 수 있습니다. 호스트 Q는 터널 T1을 사용하여 호스트 Y에 패킷을 전송하고, 터널 T2를 사용하여 호스트 X에 패킷을 전송합니다. 라우터 G는 터널 T1과 T2를 통해 호스트 Q에 도달할 수 있기 때문에 패킷이 호스트 Y와 X에 각각 전달되도록 허용합니다.
레이어 3 VPN은 기본적으로 스푸핑 방지 보호가 활성화되어 있지 않습니다. next-hop 기반 동적 터널에 대한 스푸핑 방지를 활성화하려면 계층 수준에서 [edit routing-instances routing-instance-name routing-options forwarding-table] 문을 포함합니다ip-tunnel-rpf-check. 역방향 경로 전달 검사는 VRF 라우팅 인스턴스에만 적용됩니다. 기본 모드는 으로 설정됩니다strict. 여기서 지정되지 않은 터널의 소스에서 오는 패킷은 검사를 통과하지 않습니다. ip-tunnel-rpf-check 모드는 로 설정할 loose수 있습니다. 여기서 패킷이 존재하지 않는 소스에서 올 경우 역방향 경로 전달 검사가 실패합니다. 문 아래에 ip-tunnel-rpf-check 옵션인 방화벽 필터를 구성하여 역방향 경로 전달 확인에 실패한 패킷을 카운트하고 기록할 수 있습니다.
다음 샘플 출력은 스푸핑 방지 구성을 보여줍니다.
[edit routing-instances routing-instance-name routing-options forwarding-table]
ip-tunnel-rpf-check {
mode loose;
fail-filter filter-name;
}
다음 홉 기반 동적 터널에 대한 스푸핑 방지 보호를 구성할 때 다음 지침을 고려하십시오.
스푸핑 방지 보호는 IPv4 터널 및 IPv4 데이터 트래픽에 대해서만 활성화할 수 있습니다. 스푸핑 방지 기능은 IPv6 터널 및 IPv6 데이터 트래픽에서 지원되지 않습니다.
next-hop 기반 동적 터널에 대한 스푸핑 방지는 손상된 가상 머신(내부 소스 역방향 경로 전달 확인)을 탐지하고 방지할 수 있지만 레이블 스푸핑인 손상된 서버는 감지하고 방지할 수 없습니다.
다음 홉 기반 IP 터널은 inet.0 라우팅 테이블에서 시작하고 종료할 수 있습니다.
스푸핑 방지 보호는 VRF 라우팅 인스턴스에 레이블 스위칭 인터페이스(LSI)(사용
vrf-table-label) 또는 가상 터널(VT) 인터페이스가 있을 때 효과적입니다. 레이블을 VRF 라우팅 인스턴스에서per-next-hop사용하면 스푸핑 방지 보호가 지원되지 않습니다.은
rpf fail-filter(는) 내부 IP 패킷에만 적용됩니다.스푸핑 차단 검사를 활성화해도 디바이스에서 다음 홉 기반 동적 터널의 확장 제한에 영향을 미치지 않습니다.
VRF 라우팅 인스턴스에 대해 스푸핑 방지 보호가 활성화된 시스템 리소스 사용률은 스푸핑 방지 보호가 활성화되지 않은 넥스트 홉 기반 동적 터널의 활용률보다 약간 높습니다.
스푸핑 방지 보호에는 네트워크 성능에 미치는 영향을 최소화하는 추가 소스 IP 주소 확인이 필요합니다.
GRES(Graceful 라우팅 엔진 Switchover) 및 ISSU(In-Service Software Upgrade)는 스푸핑 방지 보호를 통해 지원됩니다.
예: 다음 홉 기반 동적 터널에 대한 스푸핑 차단 보호 구성
이 예는 가상 라우팅 및 포워딩(VRF) 라우팅 인스턴스에 대한 역경로 포워딩 검사를 구성하여 다음 홉 기반 동적 터널에 대한 스푸핑 방지 보호를 활성화하는 방법을 보여줍니다. 이 검사는 합법적인 소스가 지정된 IP 터널을 통해 트래픽을 주입하고 있는지 확인합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MIC가 있는 MX 시리즈 라우터 3개, 각각 호스트 디바이스에 연결됨.
Junos OS 릴리스 17.1 이상 단일 또는 모든 라우터에서 실행.
시작하기 전에:
Flexible PIC Concentrator에서 터널 서비스 구성을 활성화합니다.
라우터 인터페이스를 구성합니다.
라우터 ID를 구성하고 라우터에 대한 AS(Autonomous System) 번호를 할당합니다.
터널 엔드포인트와의 내부 BGP(IBGP) 세션을 설정합니다.
모든 라우터에서 RSVP를 구성합니다.
모든 라우터에서 최단 경로 우선(OSPF) 또는 기타 내부 게이트웨이 프로토콜을 구성합니다.
두 라우터 간에 두 개의 동적 다음 홉 기반 IP 터널을 구성합니다.
모든 라우터-호스트 연결에 대해 VRF 라우팅 인스턴스를 구성합니다.
개요
Junos OS 릴리스 17.1부터 스푸핑 방지 기능이 다음 홉 기반 동적 IP 터널에 추가됩니다. 여기서 패킷 포워딩 엔진의 역방향 경로 전달을 사용하여 터널을 통해 라우팅 인스턴스로 들어오는 트래픽에 대한 검사가 구현됩니다.
현재 게이트웨이 라우터가 터널에서 트래픽을 수신하면 포워딩 전에 대상 주소 조회만 수행됩니다. 스푸핑 방지 보호 기능을 통해 게이트웨이 라우터는 VPN에서 캡슐화 패킷 IP 헤더의 소스 주소 조회를 수행하여 합법적인 소스가 지정된 IP 터널을 통해 트래픽을 주입하고 있는지 확인합니다. 이를 엄격 모드라고 하며 스푸핑 방지 보호의 기본 동작입니다. 지정되지 않은 터널에서 트래픽을 전달하기 위해 손실 모드에서 역방향 경로 전달 검사가 활성화됩니다. 존재하지 않는 소스에서 수신된 트래픽의 경우, strict 모드와 loose 모드 모두에서 역방향 경로 전달 확인이 실패합니다.
스푸핑 방지는 VRF 라우팅 인스턴스에서 지원됩니다. 동적 터널에 대한 스푸핑 방지를 활성화하려면 계층 수준에서 문을 [edit routing-instances routing-instance-name routing-options forwarding-table] 포함합니다ip-tunnel-rpf-check.
위상수학
그림 4 는 스푸핑 방지 보호가 활성화된 샘플 네트워크 토폴로지를 보여줍니다. 라우터 R0, R1 및 R2는 각각 호스트 Host0, Host1 및 Host2에 각각 연결되어 있습니다. 2개의 GRE(Generic Routing Encapsulation) 다음 홉 기반 동적 터널인 터널 1과 터널 2는 라우터 R0을 라우터 R1 및 R2와 각각 연결합니다. VRF 라우팅 인스턴스는 각 라우터와 연결된 호스트 디바이스 간에 실행됩니다.
에 대한 스푸핑 방지 보호
예를 들어, 3개의 패킷(패킷 A, B, C)이 라우터 R2에서 다음 홉 기반 동적 GRE 터널(터널 2)을 통해 라우터 0에서 수신됩니다. 이러한 패킷의 소스 IP 주소는 172.17.0.2(패킷 A), 172.18.0.2(패킷 B) 및 172.20.0.2(패킷 C)입니다.
패킷 A와 B의 소스 IP 주소는 각각 호스트 2와 호스트 1에 속합니다. 패킷 C는 존재하지 않는 소스 터널입니다. 이 예에서 지정된 터널은 터널 2이며, 지정되지 않은 터널은 터널 1입니다. 따라서 패킷은 다음과 같이 처리됩니다.
Packet A- 소스가 지정된 터널(터널 2)에서 오기 때문에 패킷 A는 역방향 경로 전달 검사를 통과하고 터널 2를 통해 전달하도록 처리됩니다.
Packet B- 소스가 목적지가 아닌 터널인 터널 1에서 오기 때문에 기본적으로 패킷 B는 strict 모드에서 역방향 경로 전달 검사에 실패합니다. 느슨한 모드가 활성화된 경우 패킷 B를 포워딩할 수 있습니다.
Packet C- 소스가 존재하지 않는 터널 소스이기 때문에 패킷 C는 역방향 경로 전달 확인에 실패하고 패킷이 전달되지 않습니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
라우터 R0
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 1 set interfaces ge-0/0/2 unit 0 family inet address 172.16.0.1/16 set interfaces lo0 unit 0 family inet address 10.1.1.1/32 set routing-options router-id 10.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.1 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set routing-options dynamic-tunnels T2 source-address 198.51.100.1 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 30.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN1 instance-type vrf set routing-instances VPN1 interface ge-0/0/2.0 set routing-instances VPN1 route-distinguisher 100:100 set routing-instances VPN1 vrf-target target:100:1 set routing-instances VPN1 vrf-table-label set routing-instances VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict set routing-instances VPN1 protocols bgp group External type external set routing-instances VPN1 protocols bgp group External family inet unicast set routing-instances VPN1 protocols bgp group External peer-as 200 set routing-instances VPN1 protocols bgp group External neighbor 172.16.0.1
라우터 R1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 vlan-tagging set interfaces ge-0/0/1 unit 0 vlan-id 2 set interfaces ge-0/0/1 unit 0 family inet address 172.18.0.1/16 set interfaces lo0 unit 0 family inet address 20.1.1.1/32 set routing-options router-id 20.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.2 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 20.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 30.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN2 instance-type vrf set routing-instances VPN2 interface ge-0/0/1.0 set routing-instances VPN2 route-distinguisher 100:200 set routing-instances VPN2 vrf-target target:200:1 set routing-instances VPN2 vrf-table-label
R2 (R2)
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 3 set interfaces ge-0/0/2 unit 0 family inet address 172.17.0.1/16 set interfaces lo0 unit 0 family inet address 30.1.1.1/32 set routing-options router-id 30.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T2 source-address 198.51.100.2 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 30.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN3 instance-type vrf set routing-instances VPN3 interface ge-0/0/2.0 set routing-instances VPN3 route-distinguisher 100:300 set routing-instances VPN3 vrf-target target:300:1 set routing-instances VPN3 vrf-table-label
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 관한 정보는 CLI 사용자 가이드에서 구성 모드에서 CLI 편집기 사용을 참조하십시오.
다음을 참조하여 라우터 R0을 구성하십시오.
루프백 인터페이스를 포함하여 라우터 R0의 인터페이스를 구성합니다.
[edit interfaces] user@R0# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R0# set ge-0/0/1 unit 0 family inet address 198.51.100.1/24 user@R0# set ge-0/0/2 vlan-tagging user@R0# set ge-0/0/2 unit 0 vlan-id 1 user@R0# set ge-0/0/2 unit 0 family inet address 172.16.0.1/16 user@R0# set lo0 unit 0 family inet address 10.1.1.1/32
라우터 R0에 대한 라우터 ID 및 자동 시스템 번호를 할당합니다.
[edit routing-options] user@R0# set router-id 10.1.1.1 user@R0# set autonomous-system 100
라우터 간의 IBGP 피어링을 구성합니다.
[edit protocols] user@R0# set bgp group IBGP type internal user@R0# set bgp group IBGP local-address 10.1.1.1 user@R0# set bgp group IBGP family inet-vpn unicast user@R0# set bgp group IBGP neighbor 20.1.1.1 user@R0# set bgp group IBGP neighbor 30.1.1.1
관리 인터페이스를 제외한 라우터 R0의 모든 인터페이스에 최단 경로 우선(OSPF)을 구성합니다.
[edit protocols] user@R0# set ospf traffic-engineering user@R0# set ospf area 0.0.0.0 interface lo0.0 passive user@R0# set ospf area 0.0.0.0 interface all
관리 인터페이스를 제외한 라우터 R0의 모든 인터페이스에 RSVP를 구성합니다.
[edit protocols] user@R0# set rsvp interface all user@R0# set rsvp interface fxp0.0 disable
라우터 R0에서 다음 홉 기반 동적 GRE 터널 구성을 활성화합니다.
[edit routing-options] user@R0# set dynamic-tunnels gre next-hop-based-tunnel
라우터 R0에서 라우터 R1로의 동적 GRE 터널 매개 변수를 구성합니다.
[edit routing-options] user@R0# set dynamic-tunnels T1 source-address 192.0.2.1 user@R0# set dynamic-tunnels T1 gre user@R0# set dynamic-tunnels T1 destination-networks 192.0.2.0/24
라우터 R0에서 라우터 R2로의 동적 GRE 터널 매개 변수를 구성합니다.
[edit routing-options] user@R0# set dynamic-tunnels T2 source-address 198.51.100.1 user@R0# set dynamic-tunnels T2 gre user@R0# set dynamic-tunnels T2 destination-networks 198.51.100.0/24
라우터 R0에서 가상 라우팅 및 포워딩(VRF) 라우팅 인스턴스를 구성하고 호스트 1에 연결된 인터페이스를 VRF 인스턴스에 할당합니다.
[edit routing-instances] user@R0# set VPN1 instance-type vrf user@R0# set VPN1 route-distinguisher 100:100 user@R0# set VPN1 vrf-target target:100:1 user@R0# set VPN1 vrf-table-label user@R0# set VPN1 interface ge-0/0/2.0
VRF 라우팅 인스턴스에 대해 호스트 1과의 외부 BGP 세션을 구성합니다.
[edit routing-instances] user@R0# set VPN1 protocols bgp group External type external user@R0# set VPN1 protocols bgp group External family inet unicast user@R0# set VPN1 protocols bgp group External peer-as 200 user@R0# set VPN1 protocols bgp group External neighbor 172.16.0.1
라우터 R0의 VRF 라우팅 인스턴스에 대한 스푸핑 차단 보호를 구성합니다. 이를 통해 라우터 0에서 다음 홉 기반 동적 터널인 T1 및 T2에 대한 역방향 경로 전달 확인을 활성화합니다.
[edit routing-instances] user@R0# set VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict
결과
구성 모드에서 , show routing-options, show protocols및 show routing-options 명령을 입력하여 show interfaces구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@R0# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
ge-0/0/2 {
vlan-tagging;
unit 0 {
vlan-id 1;
family inet {
address 172.16.0.1/16;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.1.1.1/32;
}
}
}
user@R0# show routing-options
router-id 10.1.1.1;
autonomous-system 100;
dynamic-tunnels {
gre next-hop-based-tunnel;
T1 {
source-address 192.0.2.1;
gre;
destination-networks {
192.0.2.0/24;
}
}
T2 {
source-address 198.51.100.1;
gre;
destination-networks {
198.51.100.0/24;
}
}
}
user@R0# show protocols
rsvp {
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group IBGP {
type internal;
local-address 10.1.1.1;
family inet-vpn {
unicast;
}
neighbor 20.1.1.1;
neighbor 30.1.1.1;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface all;
}
}
user@R0# show routing-instances
VPN1 {
instance-type vrf;
interface ge-0/0/2.0;
route-distinguisher 100:100;
vrf-target target:100:1;
vrf-table-label;
routing-options {
forwarding-table {
ip-tunnel-rpf-check {
mode strict;
}
}
}
protocols {
bgp {
group External {
type external;
family inet {
unicast;
}
peer-as 200;
neighbor 172.16.0.1;
}
}
}
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
기본 구성 확인
목적
라우터 R0과 라우터 R1 및 R2 간의 OSPF 및 BGP 피어링 상태를 확인합니다.
행동
운영 모드에서 및 show bgp summary명령을 실행합니다show ospf neighbor.
user@R0> show ospf neighbor
Address Interface State ID Pri Dead
192.0.2.2 ge-0/0/0.0 Full 20.1.1.1 128 32
198.51.100.2 ge-0/0/1.0 Full 30.1.1.1 128 32
user@R0> show bgp summary
Groups: 2 Peers: 3 Down peers: 1
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
0 0 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
20.1.1.1 100 182 178 0 0 1:20:27 Establ
bgp.l3vpn.0: 0/0/0/0
30.1.1.1 100 230 225 0 0 1:41:51 Establ
bgp.l3vpn.0: 0/0/0/0
172.16.0.1 200 0 0 0 0 1:42:08 Establ
의미
OSPF 및 BGP 세션은 라우터 R0, R1 및 R2 사이에서 가동되어 실행됩니다.
동적 터널 구성 확인
목적
라우터 R0과 라우터 R1 및 R2 간의 넥스트 홉 기반 동적 GRE 터널의 상태를 확인합니다.
행동
운영 모드에서 및 show dynamic-tunnels database terse 명령을 실행합니다show route table inet.3.
user@R0> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.0.2.0/24 *[Tunnel/300] 01:47:57
Tunnel
192.0.2.2/24 *[Tunnel/300] 01:47:57
Tunnel Composite
198.51.100.0/24 *[Tunnel/300] 01:47:57
Tunnel
198.51.100.2/24 *[Tunnel/300] 01:47:57
Tunnel Composite
user@R0> show dynamic-tunnels database terse Table: inet.3 Destination-network: 192.0.2.0/24 Destination Source Next-hop Type Status 192.0.2.2/24 192.0.2.1 0xb395e70 nhid 612 gre Up Destination-network: 198.51.100.0/24 Destination Source Next-hop Type Status 198.51.100.2 198.51.100.1 0xb395e70 nhid 612 gre Up
의미
두 개의 넥스트 홉 기반 동적 GRE 터널인 터널 1과 터널 2가 작동 중입니다.
스푸핑 방지 보호 구성 확인
목적
라우터 R0의 VRF 라우팅 인스턴스에서 역방향 경로 전달 검사가 활성화되었는지 확인합니다.
행동
운영 모드에서 을(를 show krt table VPN1.inet.0 detail) 실행합니다.
user@R0> show krt table VPN1.inet.0 detail
KRT tables:
VPN1.inet.0 : GF: 1 krt-index: 8 ID: 0 kernel-id: 8
flags: (null)
tunnel rpf config data : enable, strict, filter [0], 0x2
tunnel rpf tlv data : enable, strict, filter [0], 0x4
unicast reverse path: disabled
fast-reroute-priority: 0
Permanent NextHops
Multicast : 0 Broadcast : 0
Receive : 0 Discard : 0
Multicast Discard: 0 Reject : 0
Local : 0 Deny : 0
Table : 0
의미
구성된 역방향 경로 전달 검사는 strict 모드의 VRF 라우팅 인스턴스에서 활성화됩니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.