Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PE와 CE 라우터 간의 라우팅 구성

이 주제는 PE 및 CE 라우터 \ 레이어 3 VPN에서 라우팅을 구성하는 방법에 대한 정보를 제공합니다.

레이어 3 VPN에서 PE와 CE 라우터 간의 라우팅 구성

PE 라우터가 연결된 CE 라우터에 VPN 관련 경로를 배포하려면 VPN 라우팅 인스턴스 내에서 라우팅을 구성해야 합니다. 라우팅 프로토콜(BGP, OSPF 또는 RIP)을 구성하거나 정적 라우팅을 구성할 수 있습니다. 각 CE 라우터에 대한 연결의 경우, 한 가지 유형의 라우팅만 구성할 수 있습니다.

다음 섹션에서는 PE와 CE 라우터 간에 VPN 라우팅을 구성하는 방법을 설명합니다.

PE와 CE 라우터 간의 BGP 구성

PE와 CE 라우터 간의 라우팅 프로토콜로 BGP를 구성하려면 문을 포함합니다 bgp .

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [edit routing-instances routing-instance-name protocols]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols]

    참고:

    [edit logical-systems] 계층 수준은 ACX 시리즈 라우터에 적용되지 않습니다.

    라우팅 인스턴스에 대한 BGP 구성과 관련하여 다음과 같은 제한이 있음을 유의하십시오.

    • VRF 라우팅 인스턴스에서는 별도의 VRF 라우팅 인스턴스에서 원격 BGP 피어가 이미 사용하고 있는 AS 번호를 사용하여 로컬 AS(Autonomous System) 번호를 구성하지 마십시오. 이렇게 하면 이 원격 BGP 피어에서 수신한 모든 경로가 숨겨진 자율 시스템 루프가 생성됩니다.

      계층 수준에서 문을 사용하거나 local-as 다음 계층 수준 중 하나에서 문을 [edit routing-instances routing-instance-name routing-options] 사용하여 autonomous-system 로컬 AS 번호를 구성합니다.

      • [edit routing-instances routing-instance-name protocols bgp]

      • [edit routing-instances routing-instance-name protocols bgp group group-name]

      • [edit routing-instances routing-instance-name protocols bgp group group-name neighbor address]

      계층 수준에서 문을 사용하여 BGP 피어에 peer-as [edit routing-instances routing-instance-name protocols bgp group group-name] 대한 AS 번호를 구성합니다.

PE와 CE 라우터 간에 OSPF 구성

OSPF(버전 2 또는 버전  3)를 구성하여 PE와 CE 라우터 간에 VPN 관련 경로를 배포할 수 있습니다.

다음 섹션은 PE와 CE 라우터 간의 라우팅 프로토콜로 OSPF를 구성하는 방법을 설명합니다.

PE와 CE 라우터 간에 OSPF 버전 2 구성

PE와 CE 라우터 간의 라우팅 프로토콜로 OSPF 버전 2를 구성하려면 문을 포함합니다 ospf .

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [edit routing-instances routing-instance-name protocols]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols]

    참고:

    [edit logical-systems] 계층 수준은 ACX 시리즈 라우터에 적용되지 않습니다.

PE와 CE 라우터 간 OSPF 버전 3 구성

PE와 CE 라우터 간의 라우팅 프로토콜로 OSPF 버전 3을 구성하려면 문을 포함합니다 ospf3 .

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [edit routing-instances routing-instance-name protocols]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols]

    참고:

    [edit logical-systems] 계층 수준은 ACX 시리즈 라우터에 적용되지 않습니다.

레이어 3 VPN에 대한 OSPF Sham 링크 구성

레이어 3 VPN의 PE와 CE 라우터 간에 OSPF를 구성할 때, OSPF 영역 내 링크와 관련된 문제를 보상하도록 최단 경로 베이스(OSPF) sham 링크를 구성할 수도 있습니다.

다음 섹션에서는 OSPF sham 링크와 구성 방법을 설명합니다.

OSPF Sham 링크 개요

그림 1 은 OSPF sham 링크를 구성할 수 있는 시기에 대한 그림을 제공합니다. 라우터 CE1 및 라우터 CE2는 동일한 OSPF 영역에 위치합니다. 이러한 CE 라우터는 라우터 PE1 및 라우터 PE2를 통한 레이어 3 VPN에 의해 함께 연결됩니다. 또한 라우터 CE1 및 라우터 CE2는 백업으로 사용되는 영역 내 링크로 연결됩니다.

OSPF는 레이어 3 VPN을 통해 링크를 인터페이스 간 링크로 처리합니다. 기본적으로 OSPF는 영역 간 링크에 대한 영역 내 링크를 선호하므로 OSPF는 백업 영역 내 링크를 활성 경로로 선택합니다. 이는 영역 내 링크가 CE 라우터 간의 트래픽에 대해 예상되는 기본 경로가 아닌 구성에서는 허용되지 않습니다.

OSPF sham 링크는 그림 1과 같이 PE 라우터 간에 구성된 것을 제외하고는 영역 내 링크입니다. SHAM 링크에 대한 메트릭을 구성하여 레이어 3 VPN을 통한 경로가 CE 라우터를 연결하는 영역 내 링크를 통한 백업 경로로 선호되도록 할 수 있습니다.

그림 1: OSPF Sham Link OSPF Sham Link

다음 상황에서 OSPF sham 링크를 구성해야 합니다.

  • 두 개의 CE 라우터는 레이어 3 VPN에 의해 함께 연결됩니다.

  • 이러한 CE 라우터는 동일한 OSPF 영역에 있습니다.

  • 두 CE 라우터 간에 영역 내 링크가 구성됩니다.

CE 라우터 사이에 영역 내 링크가 없는 경우, OSPF sham 링크를 구성할 필요가 없습니다.

OSPF sham 링크에 대한 자세한 내용은 인터넷 초안 draft-ietf-l3vpn-ospf-2547-01.txt, BGP/MPLS VPN에서 PE/CE 프로토콜로 최단 경로 우선(OSPF)을 참조하십시오.

OSPF Sham 링크 구성

sham 링크는 번호가 지정되지 않은 포인트 투 포인트 영역 내 링크이며 유형 1 링크 상태 광고(LSA)를 통해 광고됩니다. Sham 링크는 라우팅 인스턴스 및 OSPF 버전 2에만 유효합니다.

각 sham 링크는 로컬 및 원격 sham 링크 엔드 포인트 주소와 해당 주소가 속한 OSPF 영역의 조합으로 식별됩니다. Sham 링크는 수동으로 구성해야 합니다. 두 PE 라우터 간에 sham 링크를 구성합니다. 두 라우터 모두 동일한 VRF 라우팅 인스턴스 내에 있습니다.

sham 링크의 로컬 엔드 포인트에 대한 주소를 지정해야 합니다. 이 주소는 sham 링크 패킷의 소스로 사용되며 원격 PE 라우터에서도 sham 링크 원격 엔드 포인트로 사용됩니다.

OSPF sham 링크의 로컬 주소는 로컬 VPN에 대한 루프백 주소로 지정되어야 합니다. 이 주소로 가는 경로는 BGP에 의해 전파되어야 합니다. sham-link 명령문의 로컬 옵션을 사용하여 로컬 엔드 포인트의 주소를 지정합니다.

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [routing-instances routing-instance-name 프로토콜 ospf 편집]

  • [논리적 시스템 logical-system-name 라우팅 인스턴스 routing-instance-name 프로토콜 ospf 편집]

OSPF sham 링크의 원격 주소는 원격 VPN에 대한 루프백 주소로 지정되어야 합니다. 이 주소로 가는 경로는 BGP에 의해 전파되어야 합니다. 원격 엔드 포인트에 대한 주소를 지정하려면 sham-link-remote 문을 포함합니다.

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [routing-instances routing-instance-name 프로토콜 ospf 영역 area-id편집]

  • [논리적 시스템 logical-system-name 라우팅 인스턴스 routing-instance-name 프로토콜 ospf 영역 area-id편집]

선택적으로 메트릭 옵션을 포함하여 원격 엔드포인트에 대한 메트릭 값을 설정할 수 있습니다. 메트릭 값은 링크 사용 비용을 지정합니다. 총 경로 메트릭이 낮은 경로는 경로 메트릭이 높은 경로보다 선호됩니다.

1에서 65,535까지 의 값을 구성할 수 있습니다. 기본값은 1입니다 .

OSPF Sham 링크 예

이 예는 PE 라우터에서 OSPF sham 링크를 활성화하는 방법을 보여줍니다.

다음은 PE 라우터의 루프백 인터페이스 구성입니다. 구성된 주소는 OSPF sham 링크의 로컬 엔드 포인트를 위한 것입니다.

다음은 OSPF sham 링크에 대한 구성을 포함하여 PE 라우터의 라우팅 인스턴스 구성입니다. sham-link 로컬 문은 로컬 루프백 인터페이스의 주소로 구성됩니다.

OSPF 도메인 ID 구성

레이어 3 VPN과 관련된 대부분의 최단 경로 변환(OSPF) 구성의 경우, OSPF 도메인 ID를 구성할 필요가 없습니다. 그러나 여러 OSPF 도메인을 연결하는 레이어 3 VPN의 경우 OSPF 도메인 ID를 구성하면 OSPF 도메인과 백도어 경로 간에 LSA 변환(유형 3 및 유형 5 LSA)을 제어하는 데 도움이 될 수 있습니다. OSPF 인스턴스와 연결된 PE 라우터의 각 VPN 라우팅 및 포워딩(VRF) 테이블은 동일한 OSPF 도메인 ID로 구성됩니다. 기본 OSPF 도메인 ID는 null 값 0.0.0.0입니다. 표 1에서와 같이 null 도메인 ID가 있는 경로는 도메인 ID가 전혀 없는 경로와 다르게 처리됩니다.

표 1: PE 라우터가 경로를 재배포하고 보급하는 방법

수신 경로

수신 경로의 도메인 ID

수신 라우터의 도메인 ID

경로 재배포 및 보급(으로)

유형 3 경로

A.B.C.D.

A.B.C.D.

유형 3 LSA

유형 3 경로

A.B.C.D.

E.F.G.H

유형 5 LSA

유형 3 경로

0.0.0.0

0.0.0.0

유형 3 LSA

유형 3 경로

Null

0.0.0.0

유형 3 LSA

유형 3 경로

Null

Null

유형 3 LSA

유형 3 경로

0.0.0.0

Null

유형 3 LSA

유형 3 경로

A.B.C.D.

Null

유형 5 LSA

유형 3 경로

Null

A.B.C.D.

유형 3 LSA

유형 5 경로

해당 없음

해당 없음

유형 5 LSA

OSPF의 버전 2와 버전  3 모두에 대해 OSPF 도메인 ID를 구성할 수 있습니다. 구성의 유일한 차이점은 OSPF 버전 2의 [edit routing-instances routing-instance-name protocols ospf] 계층 수준과 OSPF 버전  3의 [edit routing-instances protocols routing-instance-name ospf3] 계층 수준에 문을 포함하고 있다는 것입니다. 뒤에 있는 구성 설명은 OSPF 버전 2 문만 제시합니다. 그러나 하위 표현은 OSPF 버전 3에도 유효합니다.

OSPF 도메인 ID를 구성하려면 domain-id 문을 포함합니다.

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [routing-instances routing-instance-name 프로토콜 ospf 편집]

  • [논리적 시스템 logical-system-name 라우팅 인스턴스 routing-instance-name 프로토콜 ospf 편집]

PE 라우터에서 생성한 OSPF 외부 경로에 VPN 태그를 설정하여 루프를 방지할 수 있습니다. 기본적으로 이 태그는 자동으로 계산되며 구성이 필요하지 않습니다. 그러나 도메인 vpn-tag 문을 포함하여 유형 5 LSA에 대한 도메인 VPN 태그 를 명시적으로 구성할 수 있습니다.

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [routing-instances routing-instance-name 프로토콜 ospf 편집]

  • [논리적 시스템 logical-system-name 라우팅 인스턴스 routing-instance-name 프로토콜 ospf 편집]

범위는 1~ 4,294,967,295 (232 – 1)입니다 . VPN 태그를 수동으로 설정하는 경우 VPN의 모든 PE 라우터에 대해 동일한 값을 설정해야 합니다.

이러한 유형의 구성에 대한 예는 레이어 3 VPN에 대한 OSPF 도메인 ID 구성을 참조하십시오.

허브 앤 스포크 레이어 3 VPN 및 OSPF 도메인 ID

OSPF 도메인 ID의 기본 동작은 경로가 어그리게이션되지 않을 때 허브 PE 라우터와 허브 CE 라우터 사이에 OSPF로 구성된 허브 앤 스포크 레이어 3 VPN에 대한 몇 가지 문제를 야기합니다. 허브 앤 스포크 구성에는 허브 CE 라우터로 직접 연결되는 허브 PE 라우터가 있습니다. 허브 PE 라우터는 다른 원격 스포크 PE 라우터로부터 레이어 3 BGP 업데이트를 수신하고 스포크 라우팅 인스턴스로 가져옵니다. 스포크 라우팅 인스턴스에서 OSPF LSA는 시작되어 허브 CE 라우터로 전송됩니다.

허브 CE 라우터는 일반적으로 이러한 경로를 집계한 다음 새로 유래한 LSA를 허브 PE 라우터로 다시 보냅니다. 허브 PE 라우터는 BGP 업데이트를 어그리게이션 접두자를 포함하는 원격 스포크 PE 라우터로 내보냅니다. 그러나 비 집계된 Type 3 요약 LSA 또는 외부 LSA가 있는 경우 허브 PE 라우터가 LSA를 시작 및 허브 CE 라우터로 전송하는 방법과 허브 PE 라우터가 허브 CE 라우터에서 수신한 LSA를 처리하는 방법과 관련하여 두 가지 문제가 발생합니다.

  • 기본적으로 스포크 라우팅 인스턴스의 허브 PE 라우터에서 유래된 모든 LSA에는 DN 비트 세트가 있습니다. 또한 외부적으로 생성된 모든 LSA는 VPN 경로 태그 세트를 갖습니다. 이러한 설정은 라우팅 루프를 방지하는 데 도움이 됩니다. 유형 3 요약 LSA의 경우, 라우팅 루프는 영역 경계 라우터(ABR)로 허브 CE 라우터가 DN 비트 삭제로 LSA를 재설계하고 이를 허브 PE 라우터로 다시 전송하기 때문에 문제가 되지 않습니다. 그러나 허브 CE 라우터는 AS 플러딩 범위를 가지므로 외부 LSA를 재정의하지 않습니다.

    허브 PE 라우터의 라우팅 인스턴스 구성을 변경하여 DN 비트 삭제 및 VPN 경로 태그가 0으로 설정된 외부 LSA를 (허브 CE 라우터로 전송하기 전에) 생성할 수 있습니다. DN 비트를 지우고 PE 라우터에서 유래한 외부 LSA에서 VPN 경로 태그를 0으로 설정하려면 [edit routing-instances protocols routing-instance-name ospf] 계층 수준에서 domain-vpn-tag 문에 대해 0을 구성합니다. LSA가 전송되는 허브 CE 라우터를 향한 허브 PE 라우터의 라우팅 인스턴스에 이 구성을 포함해야 합니다. 허브 CE 라우터가 허브 PE 라우터로부터 외부 LSA를 수신한 다음 이를 허브 PE 라우터로 다시 전달하면 허브 PE 라우터는 OSPF 경로 계산에서 LSA를 사용할 수 있습니다.

  • 허브 CE 라우터에 의해 플러딩된 LSA가 허브 PE 라우터의 라우팅 인스턴스에 도착하면, ABR 역할을 하는 허브 PE 라우터는 LSA가 DN 비트 세트가 설정되지 않고 외부 LSA가 VPN 경로 태그 세트가 없더라도 이러한 LSA를 최단 경로 계산에서 고려하지 않습니다. LSA는 분리된 백본 영역에서 온 것으로 가정됩니다.

    PE 라우터의 라우팅 인스턴스 구성을 변경하여 PE 라우터가 [edit routing-instances routing-instance-name 프로토콜 ospf domain-id] 계층 수준에서 비활성화 문을 포함하여 PE 라우터가 비 ABR로 작동하도록 할 수 있습니다. 이 구성을 허브 CE 라우터에서 LSA를 수신하는 허브 PE 라우터로 변경합니다.

    이 구성을 변경함으로써 PE 라우터의 라우팅 인스턴스는 비 ABR로 작동합니다. 그런 다음 PE 라우터는 LSA가 허브 CE 라우터에서 도착하는 것을 연속된 비백본 지역에서 오는 것처럼 고려합니다.

PE와 CE 라우터 간의 RIP 구성

레이어 3 VPN의 경우, PE 라우터에서 RIP를 구성하여 CE 라우터의 경로를 학습하거나 PE 라우터 경로를 CE 라우터로 전파할 수 있습니다. 모든 [edit routing-instances] 계층 수준에서 구성된 이웃에서 학습된 RIP 경로가 라우팅 인스턴스의 inet 테이블(instance_name.inet.0)에 추가됩니다.

PE와 CE 라우터 간의 라우팅 프로토콜로 RIP를 구성하려면 문을 포함합니다 rip .

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [edit routing-instances routing-instance-name protocols]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols]

    참고:

    [edit logical-systems] 계층 수준은 ACX 시리즈 라우터에 적용되지 않습니다.

기본적으로 RIP는 수신 경로를 보급하지 않습니다. PE 라우터에서 CE 라우터로 경로를 보급하려면 RIP의 PE 라우터에서 내보내기 정책을 구성해야 합니다. RIP에 대한 정책을 정의하는 방법에 대한 자세한 내용은 RIP 가져오기 정책을 참조하십시오.

RIP에 대한 내보내기 정책을 지정하려면 문을 포함합니다 export .

다음 계층 수준에서 RIP에 이 문을 포함할 수 있습니다.

  • [edit routing-instances routing-instance-name protocols rip group group-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols rip group group-name]

    참고:

    [edit logical-systems] 계층 수준은 ACX 시리즈 라우터에 적용되지 않습니다.

RIP 라우팅 인스턴스에서 학습한 경로를 여러 라우팅 테이블에 설치하려면 및 group 문을 포함합니다rib-group.

다음 계층 수준에서 이러한 문을 포함할 수 있습니다.

  • [edit protocols rip]

  • [edit routing-instances routing-instance-name protocols rip]

  • [edit logical-systems logical-system-name protocols rip]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name protocols rip]

참고:

[edit logical-systems] 계층 수준은 ACX 시리즈 라우터에 적용되지 않습니다.

라우팅 테이블 그룹을 구성하려면 문을 포함합니다.rib-groups

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [edit routing-options]

  • [edit logical-systems logical-system-name routing-options]

참고:

[edit logical-systems] 계층 수준은 ACX 시리즈 라우터에 적용되지 않습니다.

라우팅 테이블 그룹에 라우팅 테이블 추가하려면 문을 포함합니다 import-rib . 문 아래에 import-rib 지정된 첫 번째 라우팅 테이블 이름은 구성 중인 라우팅 테이블 이름이어야 합니다. 라우팅 테이블 및 라우팅 테이블 그룹을 구성하는 방법에 대한 자세한 내용은 Junos OS 라우팅 프로토콜 라이브러리를 참조하십시오.

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [edit routing-options rib-groups group-name]

  • [edit logical-systems logical-system-name routing-options rib-groups group-name]

참고:

[edit logical-systems] 계층 수준은 ACX 시리즈 라우터에 적용되지 않습니다.

RIP 인스턴스는 VRF 인스턴스 유형에 대해서만 지원됩니다. VPN 지원을 위한 여러 RIP 인스턴스만 구성할 수 있습니다. 고객 에지 프로바이더 에지(CE-PE) 환경에서 RIP를 사용하여 CE 라우터에서 경로를 학습하고 CE 라우터에서 PE 라우터의 인스턴스 경로를 전파할 수 있습니다.

모든 인스턴스 계층에서 구성된 이웃에서 학습된 RIP 경로가 인스턴스의 라우팅 테이블 에 instance-name.inet.0추가됩니다.

RIP는 라우팅 테이블 그룹을 지원하지 않습니다. 따라서 OSPF 또는 OSPFv3 프로토콜처럼 경로를 여러 테이블로 가져올 수 없습니다.

PE와 CE 라우터 간의 정적 경로 구성

VPN 라우팅 인스턴스의 PE와 CE 라우터 간에 정적(nonchanging) 경로를 구성할 수 있습니다. VPN에 대한 정적 경로를 구성하려면 계층 수준에서 VPN 라우팅 인스턴스 구성 내에서 을(를 [edit routing-instances routing-instance-name routing-options] ) 구성해야 합니다.

PE와 CE 라우터 간에 정적 경로를 구성하려면 문을 포함합니다 static .

다음 계층 수준에서 이 문을 포함할 수 있습니다.

  • [edit routing-instances routing-instance-name routing-options]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]

참고:

[edit logical-systems] 계층 수준은 ACX 시리즈 라우터에 적용되지 않습니다.

라우팅 프로토콜 및 정적 경로 구성에 대한 자세한 내용은 Junos OS 라우팅 프로토콜 라이브러리를 참조하십시오.

레이어 3 VPN에 대한 OSPF 도메인 ID 구성

이 예는 OSPF를 PE와 CE 라우터 간의 라우팅 프로토콜로 사용하여 VPN에 대한 OSPF 도메인 ID를 구성하는 방법을 보여줍니다. OSPF 도메인의 경로는 여러 OSPF 도메인을 가진 VPN에서 VPN-IPv4 경로로 BGP에 배포될 때 OSPF 도메인 ID가 필요합니다. 여러 OSPF 도메인을 연결하는 VPN에서 한 도메인의 경로가 다른 도메인의 경로와 겹칠 수 있습니다.

라우팅 인스턴스에서 구성된 도메인 ID는 OSPF 도메인을 식별하고 경로 발원을 식별하는 데 사용됩니다. 커뮤니티 정책에 구성된 도메인 ID는 내보낸 경로 설정에 사용됩니다.

OSPF 도메인 ID 및 레이어 3 VPN에 대한 자세한 내용은 레이어 3 VPN에서 PE와 CE 라우터 간의 라우팅 구성을 참조하십시오.

그림 2 는 이 예의 구성 토폴로지 를 보여줍니다. 라우터 PE1에 대한 구성만 제공됩니다. 라우터 PE2의 구성은 라우터 PE1의 구성과 유사할 수 있습니다. CE 라우터에 대한 특별한 구성 요구 사항은 없습니다.

그림 2: OSPF 도메인 ID Example of a Configuration Using an OSPF Domain ID 를 사용한 구성 예시

구성 정보는 다음 섹션을 참조하십시오.

라우터 PE1에서 인터페이스 구성

라우터 PE1에 대한 두 개의 인터페이스( so-0/0/0 라우터 CE1(샌프란시스코)로의 트래픽 인터페이스와 so-0/0/1 서비스 프로바이더 네트워크의 P 라우터로의 트래픽 인터페이스를 구성해야 합니다.

라우터 PE1에 대한 인터페이스를 구성합니다.

라우터 PE1에서 라우팅 옵션 구성

[edit routing-options] 계층 수준에서 및 autonomous-system 문을 구성 router-id 해야 합니다. 문은 router-id 라우터 PE1을 식별합니다.

라우터 PE1에 대한 라우팅 옵션을 구성합니다.

라우터 PE1에서 프로토콜 구성

라우터 PE1에서 계층 수준에서 MPLS, BGP, OSPF 및 LDP를 [edit protocols] 구성해야 합니다.

라우터 PE1에서 정책 옵션 구성

라우터 PE1에서 [edit policy-options] 계층 수준에서 정책을 구성해야 합니다. 이러한 정책은 레이어 3 VPN의 CE 라우터가 라우팅 정보를 교환하도록 보장합니다. 이 예에서 샌프란시스코의 라우터 CE1은 시카고의 라우터 CE2와 라우팅 정보를 교환합니다.

PE1 라우터에서 정책 옵션을 구성합니다.

라우터 PE1에서 라우팅 인스턴스 구성

라우터 PE1에서 레이어 3 VPN 라우팅 인스턴스를 구성해야 합니다. 라우팅 인스턴스가 레이어 3 VPN용임을 나타내려면 계층 수준에서 문을 [edit routing-instance routing-instance-name] 추가 instance-type vrf 합니다.

문은 domain-id 계층 수준에서 구성 [edit routing-instances routing-options protocols ospf] 됩니다. 그림 2와 같이 라우터 PE2의 라우팅 인스턴스는 라우터 CE1에서 라우터 CE2로의 경로가 유형 3 LSA로 배포되도록 라우터 PE1의 해당 라우팅 인스턴스와 동일한 도메인 ID를 공유해야 합니다. 라우터 PE1 및 라우터 PE2의 라우팅 인스턴스에서 다른 OSPF 도메인 ID를 구성하는 경우, 각 CE 라우터의 경로가 유형 5 LSA로 배포됩니다.

라우터 PE1에서 라우팅 인스턴스를 구성합니다.

라우터 PE1에 대한 구성 요약

인터페이스 구성

라우팅 옵션 구성

프로토콜 구성

VPN 정책 구성

레이어 3 VPN을 위한 라우팅 인스턴스

레이어 3 VPN에서 PE와 CE 라우터 간의 EBGP 다중 홉 세션 구성

레이어 3 VPN의 PE와 CE 라우터 간에 EBGP 또는 IBGP 멀티홉 세션을 구성할 수 있습니다. 이를 통해 PE와 CE 라우터 사이에 하나 이상의 라우터를 가질 수 있습니다. PE와 CE 라우터 간에 IBGP를 사용하면 추가 문의 구성이 필요하지 않습니다. 그러나 PE와 CE 라우터 간에 EBGP를 사용하려면 명령문을 구성 multihop 해야 합니다.

PE와 CE 라우터 간의 연결을 위해 외부 BGP 다중 홉 세션을 구성하려면 PE 라우터에 문을 포함합니다 multihop . 라우팅 루프를 방지하려면 멀티홉 세션에 대한 TTL(Time-to-Live) 값을 구성해야 합니다.

이 문을 구성할 수 있는 계층 수준 목록은 이 문에 대한 요약 섹션을 참조하십시오.

LDP-over-RSVP VPN 토폴로지 구성

이 예는 LDP 패킷이 RSVP LSP를 통해 터널링되는 VPN 토폴로지를 설정하는 방법을 보여줍니다. 이 구성은 다음 구성 요소로 구성됩니다( 그림 5 참조).

  • VPN 1개(VPN-A)

  • PE 라우터 2개

  • PE 라우터와 인접한 P 라우터 간의 신호 프로토콜인 LDP

  • LDP가 터널링되는 P 라우터 두 개 사이의 RSVP LSP

그림 5: LDP-over-RSVP VPN 토폴로지 Example of an LDP-over-RSVP VPN Topology 의 예

다음 단계는 이 토폴로지의 설정 방식과 CE 라우터 CE2에서 CE 라우터 CE1로 패킷이 전송되는 방법을 설명합니다.

  1. P 라우터 P1과 P3은 서로 간에 RSVP LSP를 설정하고 inet.3 라우팅 테이블에 루프백 주소를 설치합니다.

  2. PE 라우터 PE1은 인터페이스 so-1/0/0.0를 통해 라우터 P1과 LDP 세션을 설정합니다.

  3. 라우터 P1은 RSVP LSP를 사용하여 연결할 수 있는 라우터 P3의 루프백 주소와 LDP 세션을 설정합니다.

  4. 라우터 P1은 라우터 PE1에 도달하는 레이블을 포함하는 레이블 바인딩을 라우터 P3으로 보냅니다. 이러한 레이블 바인딩을 사용하면 라우터 P3이 LDP 패킷을 라우터 PE1로 전달합니다.

  5. 라우터 P3는 인터페이스 so0-0/0/0.0 를 통해 라우터 PE2와 LDP 세션을 설정하고 라우터 P1의 루프백 주소와 LDP 세션을 설정합니다.

  6. 라우터 P3는 라우터 PE2에 도달하는 레이블을 포함하는 레이블 바인딩을 라우터 P1로 보냅니다. 이러한 레이블 바인딩을 사용하면 라우터 P1이 LDP 패킷을 라우터 PE2의 루프백 주소로 지시할 수 있습니다.

  7. 라우터 PE1 및 PE2는 서로 IBGP 세션을 설정합니다.

  8. 라우터 PE1이 라우터 CE1에서 학습한 라우터 PE2 경로에 대해 발표하면 VPN 레이블이 포함됩니다. (PE 라우터는 VPN 레이블을 생성하고 PE와 CE 라우터 사이의 인터페이스에 바인딩합니다.) 마찬가지로, 라우터 PE2가 라우터 CE2에서 학습한 경로를 발표할 때 라우터 PE1에 VPN 레이블을 보냅니다.

라우터 PE2가 라우터 CE1에 패킷을 전달하려고 할 때, 두 개의 레이블을 패킷의 레이블 스택에 푸시합니다. 먼저 라우터 PE1과 라우터 CE1 간의 인터페이스에 바인딩된 VPN 레이블, 그리고 라우터 PE1에 도달하는 데 사용되는 LDP 레이블입니다. 그런 다음 인터페이스 so-0/0/1.0를 통해 라우터 P3으로 패킷을 전달합니다.

  1. 라우터 P3가 라우터 PE2로부터 패킷을 수신하면 스택 맨 위에 있는 LDP 레이블을 스왑하고(LDP 데이터베이스에 따라) RSVP 레이블을 스택 맨 위로 푸시하여 패킷이 이제 RSVP LSP로 스위칭될 수 있도록 합니다. 이 시점에서 스택에는 세 개의 레이블이 있습니다: 내부(하단) 레이블은 VPN 레이블이고, 중간은 LDP 레이블이고, 바깥쪽(상단)은 RSVP 레이블입니다.

  2. 라우터 P2는 패킷을 수신하고 RSVP 레이블을 교체하여 라우터 P1로 전환합니다. 이 토폴로지에서 라우터 P2는 LSP에서 끝에서 두 번째 홉 라우터이기 때문에 RSVP 레이블을 파핑하고 인터페이스 so-1/1/0.0 를 통해 패킷을 라우터 P1로 전달합니다. 이 시점에서 스택에는 두 개의 레이블이 있습니다: 내부 레이블은 VPN 레이블이고 외부 레이블은 LDP 레이블입니다.

  3. 라우터 P1이 패킷을 수신하면 외부 레이블(LDP 레이블)을 파핑하고 인터페이스 so-1/0/0.0를 사용하여 라우터 PE1로 패킷을 전달합니다. 이 토폴로지에서 라우터 PE1은 송신 LDP 라우터이므로 라우터 P1은 다른 레이블로 교체하는 대신 LDP 레이블을 파핑합니다. 이 시점에서 스택에는 하나의 레이블, VPN 레이블만 있습니다.

  4. 라우터 PE1이 패킷을 수신하면 VPN 레이블을 접속하고 패킷을 IPv4 패킷으로 인터페이스 ge-1/1/0.0를 통해 라우터 CE1로 전달합니다.

라우터 CE2를 목적지로 하는 라우터 CE1에서 전송된 패킷에는 유사한 일련의 작업이 발생합니다.

다음 목록은 라우터 CE2에서 라우터 CE1로 전송되는 패킷의 경우, LDP, RSVP 및 VPN 레이블이 다양한 라우터에 의해 발표되는 방법을 설명합니다. 이러한 단계에는 레이블 값의 예가 포함됩니다( 그림 6에 그림 참조).

  • LDP 레이블

    • 라우터 PE1은 라우터 P1에 LDP 레이블 3을 자체 으로 발표합니다.

    • 라우터 P1은 라우터 PE1에 대해 라우터 P3에 LDP 레이블 100,001을 발표합니다.

    • 라우터 P3는 라우터 PE1에 대한 LDP 레이블 100,002를 라우터 PE2에 발표합니다.

  • RSVP 레이블

    • 라우터 P1은 라우터 P2에 RSVP 레이블 3을 발표합니다.

    • 라우터 P2는 라우터 P3에 RSVP 레이블 100,003을 발표합니다.

  • VPN 레이블

    • 라우터 PE1은 라우터 CE1에서 라우터 CE2로 의 경로에 대해 라우터 PE2에 VPN 레이블 100,004를 발표했습니다.

그림 6: 레이블 푸시 및 팝핑 Label Pushing and Popping

그림 6의 호스트 B에서 호스트 A로 전송된 패킷의 경우 패킷이 목적지로 이동함에 따라 패킷 헤더와 레이블이 변경됩니다.

  1. 호스트 B에서 유래한 패킷은 헤더에 B의 소스 주소와 A의 대상 주소를 가지고 있습니다.

  2. 라우터 CE2는 패킷에 인터페이스의 다음 홉을 추가합니다 so-1/0/0.

  3. 라우터 PE2는 인터페이스 so-1/0/0 의 다음 홉을 스왑아웃하고 PE1의 다음 홉으로 대체합니다. 또한 라우터 PE1에 도달하기 위한 두 개의 레이블, 먼저 VPN 레이블(100,004) 다음 LDP 레이블(100,002)을 추가합니다. 따라서 VPN 레이블은 스택의 내부(하단) 레이블이며, LDP 레이블은 외부 레이블입니다.

  4. 라우터 P3는 라우터 PE2(100,002)가 추가한 LDP 레이블을 스왑아웃하고 라우터 PE1(100,001)에 도달하기 위해 LDP 레이블로 대체합니다. 또한 라우터 P2(100,003)에 도달하기 위한 RSVP 레이블을 추가합니다.

  5. 라우터 P2는 MPLS LSP에서 끝에서 두 번째 홉이기 때문에 RSVP 레이블(100,003)을 제거합니다.

  6. 라우터 P1은 두 번째 LDP 라우터이기 때문에 LDP 레이블(100,001)을 제거합니다. 또한 PE1의 다음 홉을 스왑아웃하고 다음 홉 인터페이스인 so-1/0/0으로 대체합니다.

  7. 라우터 PE1은 VPN 레이블(100,004)을 제거합니다. 또한 의 so-1/0/0 다음 홉 인터페이스를 스왑하고 다음 홉 인터페이스로 ge-1/1/0대체합니다.

  8. 라우터 CE1은 , 의 ge-1/1/0다음 홉 인터페이스를 제거하고 패킷 헤더는 이제 B의 소스 주소와 A의 대상 주소만 포함합니다.

이 예의 마지막 섹션은 그림 5에 표시된 각 서비스 P 라우터에서 VPN 기능을 구성하는 데 필요한 문을 통합합니다.

참고:

이 예에서 프라이빗 AS 번호는 경로 식별자와 경로 대상에 사용됩니다. 이 숫자는 그림에만 사용됩니다. VPN을 구성할 때 할당된 AS 번호를 사용해야 합니다.

다음 섹션에서는 PE 및 P 라우터에서 VPN 기능을 구성하는 방법을 설명합니다. CE 라우터는 VPN에 대한 정보가 없으므로 일반적으로 구성합니다.

PE 및 P 라우터에서 IGP 활성화

PE 및 P 라우터가 자체 라우팅 정보를 교환할 수 있도록 하려면 이러한 모든 라우터에서 IGP를 구성하거나 정적 경로를 구성해야 합니다. 라우팅 프로토콜 프로세스(rpd)의 기본 인스턴스(즉, 계층 수준에서)에서 [edit protocols] IGP를 구성합니다. 이는 VPN 라우팅 인스턴스(계층 수준이 아님)가 아닙니다 [edit routing-instances] .

표준 방식으로 IGP를 구성합니다. 이 구성 예는 구성의 이 부분을 포함하지 않습니다.

PE 및 P 라우터에서 LDP 활성화

이 구성 예에서 LDP는 PE 라우터 간의 신호 전송 프로토콜입니다. VPN이 작동하려면 두 개의 PE 라우터와 PE 라우터에 연결된 P 라우터에서 LDP를 구성해야 합니다. LDP는 서비스 프로바이더 네트워크 코어의 인터페이스에서만 구성해야 합니다. 즉, PE와 P 라우터 사이, 그리고 P 라우터 간에 있습니다. PE와 CE 라우터 간의 인터페이스에서 LDP를 구성할 필요가 없습니다.

이 구성 예에서는 P 라우터의 루프백 인터페이스에서 LDP를 구성합니다. 이는 MPLS LSP가 구성된 인터페이스이기 때문입니다.

PE 라우터에서는 논리적 인터페이스를 구성할 때도 구성 family inet 해야 합니다.

라우터 PE1에서 LDP를 구성합니다.

라우터 PE2에서 LDP를 구성합니다.

라우터 P1에서 LDP를 구성합니다.

라우터 P3에서 LDP를 구성합니다.

라우터 P2에서 LDP를 구성할 필요는 없지만 RSVP LSP가 비작동적이 될 경우를 대비해 선택적으로 이를 구성하여 폴백 LDP 경로를 제공할 수 있습니다.

P 라우터에서 RSVP 및 MPLS 활성화

P 라우터 P2에서는 RSVP와 MPLS 구성해야 합니다. 이 라우터는 P 라우터 P1과 P3 사이의 MPLS LSP 경로에 존재하기 때문입니다.

P 라우터 간의 MPLS LSP 터널 구성

이 구성 예에서 LDP는 RSVP LSP를 통해 터널링됩니다. 따라서 RSVP를 구성하는 것 외에도 IGP에서 트래픽 엔지니어링 지원을 활성화해야 하며 LDP 트래픽을 터널링하기 위해 MPLS LSP를 생성해야 합니다.

라우터 P1에서 RSVP를 활성화하고 MPLS LSP 터널의 한쪽 끝을 구성합니다. 이 예에서 트래픽 엔지니어링 지원은 최단 경로 우선(OSPF)에 대해 활성화되고 LSP 및 라우터 PE1에 대한 인터페이스에서 MPLS 구성합니다. 문에서 to 라우터 P3의 루프백 주소를 지정합니다.

라우터 P3에서 RSVP를 활성화하고 MPLS LSP 터널의 다른 쪽 끝을 구성합니다. 다시 말하지만, 트래픽 엔지니어링 지원은 최단 경로 우선(OSPF)에 대해 활성화되며, LSP 및 라우터 PE2에 대한 인터페이스에서 MPLS 구성합니다. 문에서 to 라우터 P1의 루프백 주소를 지정합니다.

PE 라우터에서 IBGP 구성

PE 라우터에서 다음 속성을 사용하여 IBGP 세션을 구성합니다.

  • VPN family - IBGP 세션이 VPN용임을 나타내려면 문을 포함합니다 family inet-vpn .

  • 루프백 주소 - 로컬 PE 라우터의 루프백 주소를 지정하는 문을 포함합니다local-address. VPN에 대한 IBGP 세션은 루프백 주소를 통해 실행됩니다. 또한 계층 수준에서 인터페이스를 [edit interfaces] 구성 lo0 해야 합니다. 이 예는 라우터 구성의 이 부분을 포함하지 않습니다.

  • 이웃 주소 - 문을 포함 neighbor 하며, 루프백(lo0) 주소인 이웃 PE 라우터의 IP 주소를 지정합니다.

라우터 PE1에서 IBGP를 구성합니다.

라우터 PE2에서 IBGP를 구성합니다.

PE 라우터에서 VPN에 대한 라우팅 인스턴스 구성

두 PE 라우터 모두 VPN-A를 서비스하므로 다음을 정의하는 VPN에 대해 각 라우터에 하나의 라우팅 인스턴스를 구성해야 합니다.

  • PE 라우터의 각 라우팅 인스턴스에 대해 고유해야 하는 경로 구분자. 한 VPN의 주소를 다른 VPN의 주소와 구별하는 데 사용됩니다.

  • 의 인스턴스 유형 vrf은 PE 라우터에 VRF 테이블을 만듭니다.

  • CE 라우터에 연결된 인터페이스.

  • VRF 가져오기 및 내보내기 정책입니다. 이는 동일한 VPN을 서비스하는 각 PE 라우터에서 동일해야 합니다. 가져오기 정책에 명령문만 then reject 포함하지 않는 한 커뮤니티에 대한 참조를 포함해야 합니다. 그렇지 않으면 구성을 커밋하려고 하면 커밋이 실패합니다.

    참고:

    이 예에서는 경로 구분자를 위해 프라이빗 AS 번호가 사용됩니다. 이 숫자는 그림에만 사용됩니다. VPN을 구성할 때 할당된 AS 번호를 사용해야 합니다.

  • PE 라우터가 연결된 CE 라우터에 VPN 관련 경로를 배포하는 데 필요한 PE와 CE 라우터 간의 라우팅. 라우팅 프로토콜(BGP, OSPF 또는 RIP)을 구성하거나 정적 라우팅을 구성할 수 있습니다.

라우터 PE1에서 VPN-A에 대해 다음 라우팅 인스턴스를 구성합니다. 이 예에서 라우터 PE1은 RIP를 사용하여 연결된 CE 라우터에 대한 경로를 배포합니다.

라우터 PE2에서 VPN-A에 대해 다음 라우팅 인스턴스를 구성합니다. 이 예에서 라우터 PE2는 OSPF를 사용하여 연결된 CE 라우터에 대한 경로를 배포합니다.

PE 라우터에서 VPN 정책 구성

각 PE 라우터에서 VPN 가져오기 및 내보내기 정책을 구성하여 VRF 테이블에 적절한 경로를 설치하고 VPN 내에서 패킷을 전달하는 데 사용해야 합니다. VPN-A의 경우 VRF 테이블은 VPN-A.inet.0입니다.

VPN 정책에서 VPN 대상 커뮤니티도 구성합니다.

참고:

이 예에서는 경로 대상에 대해 프라이빗 AS 번호가 사용됩니다. 이 숫자는 그림에만 사용됩니다. VPN을 구성할 때 할당된 AS 번호를 사용해야 합니다.

라우터 PE1에서 다음 VPN 가져오기 및 내보내기 정책을 구성합니다.

참고:

이 예에 표시된 정책 한정자는 VPN이 작동하는 데 필요한 정책 한정자일 뿐입니다. 필요한 경우 구성하는 모든 정책에 대해 추가 한정자를 구성할 수 있습니다.

라우터 PE2에서 다음 VPN 가져오기 및 내보내기 정책을 구성합니다.

라우터에 VPN 정책을 적용하려면 PE 라우터에서 라우팅 인스턴스를 vrf-export 구성할 때 및 vrf-import 문을 포함합니다. VRF 가져오기 및 내보내기 정책은 PE 라우터 간에 실행되는 IBGP 세션에서 경로 배포를 처리합니다.

라우터에 의해 요약된 LDP-over-RSVP VPN 구성

라우터 PE1

VPN-A에 대한 라우팅 인스턴스

인스턴스 라우팅 프로토콜

인터페이스

기본 프로토콜 인스턴스

LDP 활성화

MPLS 활성화

IBGP 구성

VPN 정책 구성

라우터 P1

기본 프로토콜 인스턴스

RSVP 활성화

LDP 활성화

MPLS 활성화

트래픽 엔지니어링 지원을 위한 OSPF 구성

라우터 P2

기본 프로토콜 인스턴스

RSVP 활성화

MPLS 활성화

라우터 P3

기본 프로토콜 인스턴스

RSVP 활성화

LDP 활성화

MPLS 활성화

트래픽 엔지니어링 지원을 위한 OSPF 구성

라우터 PE2

VPN-A에 대한 라우팅 인스턴스

인스턴스 라우팅 프로토콜

인터페이스

기본 프로토콜 인스턴스

LDP 활성화

MPLS 활성화

IBGP 구성

VPN 정책 구성

애플리케이션 기반 레이어 3 VPN 토폴로지 구성

이 예는 트래픽을 레이어 3 VPN으로 포워딩하기 위한 애플리케이션 기반 메커니즘을 보여줍니다. 일반적으로 하나 이상의 인터페이스는 VPN 라우팅 인스턴스 구성에 VPN을 포함하여 VPN과 연결되거나 바인딩됩니다. 인터페이스를 VPN에 연결함으로써 VPN의 VRF 테이블은 해당 인터페이스의 들어오는 트래픽에 대해 포워딩 결정을 내리는 데 사용됩니다. 인터페이스 바인딩은 VRF 테이블에 인터페이스 로컬 경로도 포함하며, VRF 경로에 대한 다음 홉 해상도를 제공합니다.

이 예에서 방화벽 필터는 표준 라우팅 테이블 inet.0을 통해 전달되는 인터페이스의 수신 트래픽과 VRF 테이블을 통해 전달되는 수신 트래픽을 정의하는 데 사용됩니다. 인터페이스의 수신 트래픽이 하나 이상의 VPN으로 리디렉션될 수 있도록 이 예를 확장할 수 있습니다. 예를 들어, 소스 주소에 따라 트래픽을 전달하거나, HTTP(Hypertext Transfer Protocol) 트래픽을 전달하거나, 스트리밍 미디어만 전달하는 VPN을 지원하기 위한 구성을 정의할 수 있습니다.

이 구성이 작동하려면 다음 조건이 true여야 합니다.

  • 필터 기반 포워딩을 사용하는 인터페이스는 VPN에 바인딩해서는 안 됩니다.

  • 정적 라우팅은 라우팅 수단으로 사용해야 합니다.

  • vrF 테이블에 로컬 경로를 제공하려면 inet.0과 VRF 테이블 간에 공유되는 인터페이스 라우팅 테이블 그룹을 정의해야 합니다.

이 예는 두 개의 서로 다른 VPN에 있는 두 개의 클라이언트 호스트(클라이언트 D 및 클라이언트 E)로 구성되며 VPN 내와 인터넷 모두에서 트래픽을 전송할 수 있습니다. 경로는 다음과 같이 정의됩니다.

  • 클라이언트 A는 VPN A(VPN의 VRF 테이블 사용)를 사용하는 반환 경로와 함께 클라이언트 E over VPN A로 트래픽을 보냅니다.

  • 클라이언트 B는 표준 대상 기반 라우팅(inet.0 라우팅 테이블 사용)을 사용하는 반환 경로와 함께 VPN B를 통해 클라이언트 D로 트래픽을 보냅니다.

  • 클라이언트 B와 C는 표준 라우팅을 사용하는 반환 경로와 함께 표준 라우팅(inet.0 라우팅 테이블 사용)을 사용하여 인터넷으로 트래픽을 보냅니다.

이 예는 애플리케이션 기반 레이어 3 VPN 토폴로지를 구성하는 데 다양한 옵션이 있음을 보여줍니다. 이러한 유연성은 제한된 라우팅 환경에서 특정 트래픽을 전달해야 하는 많은 네트워크 구현 환경에서 애플리케이션을 제공합니다.

이 구성 예는 필터 기반 포워딩, 라우팅 인스턴스 및 정책에 대한 구성 부분만 보여줍니다. 레이어 3 VPN을 구성하는 방법을 보여주지 않습니다.

그림 7 은 이 예에서 사용된 네트워크 토폴로지를 보여줍니다.

그림 7: 애플리케이션 기반 레이어 3 VPN 예시 구성 Application-Based Layer 3 VPN Example Configuration

라우터 A의 구성

라우터 A에서 클라이언트 A, B, C에 대한 인터페이스를 구성합니다 . 구성은 들어오는 트래픽을 평가하여 VPN 또는 표준 대상 기반 라우팅을 통해 전달될지 여부를 결정합니다.

첫째, 인바운드 필터를 적용하고 인터페이스를 구성합니다.

필터 기반 포워딩을 사용하는 인터페이스가 VPN에 바인딩되어서는 안 되므로 VRF 테이블에 다음 홉 경로를 제공하도록 대체 방법을 구성해야 합니다. 이 작업을 수행하려면 인터페이스 라우팅 테이블 그룹을 정의하고 이 그룹을 모든 라우팅 테이블 간에 공유합니다.

인터페이스 fe-1/1/0.0에서 들어오는 트래픽에 다음 필터를 적용합니다. 첫 번째 용어는 클라이언트 A의 트래픽과 일치하고 이를 VPN A의 라우팅 인스턴스로 전달합니다. 두 번째 용어는 클라이언트 D를 목적지로 하는 클라이언트  B의 트래픽과 일치하여 VPN B의 라우팅 인스턴스로 전달합니다. 세 번째 용어는 inet.0의 경로에 따라 목적지 기반 포워딩을 통해 일반적으로 전달되는 다른 모든 트래픽과 일치합니다.

그런 다음 VPN A 및 VPN B에 대한 라우팅 인스턴스를 구성합니다. 이러한 문에는 문을 제외한 interface 레이어 3 VPN을 정의하는 데 필요한 모든 문이 포함됩니다.

라우터 E 구성

라우터 E에서 인터넷에 연결하기 위해 기본 경로를 구성합니다. 네트워크에서 종료 지점을 제공하려면 이 경로를 로컬 IBGP 메시에 삽입해야 합니다.

VPN 정책과 일치하는 인터페이스 fe-1/1/1.0 의 모든 수신 트래픽이 VPN A를 통해 전달되도록 클라이언트 E에 대한 인터페이스를 구성합니다.

라우터 F 구성

다시 말하겠지만, 필터 기반 포워딩을 사용하는 인터페이스가 VPN에 바인딩되어서는 안 되므로 인터페이스 라우팅 테이블 그룹을 정의하고 모든 라우팅 테이블 간에 이 그룹을 공유하여 VRF 테이블에 다음 홉 경로를 제공하도록 대체 방법을 구성합니다. 일반적인 inet.0 라우팅을 위해 클라이언트에 경로를 다시 제공하려면 inet.0에 포함하도록 정적 경로를 정의하고 정적 경로를 BGP에 재배포합니다.

VPN B에서 클라이언트 D로 트래픽을 전송하려면 라우터 F에서 VPN B의 라우팅 인스턴스를 구성합니다. 인터페이스 so-3/3/3.0 의 클라이언트 D에서 들어오는 모든 트래픽은 inet.0의 경로를 기반으로 대상 주소를 통해 일반적으로 전달됩니다.