예: IPsec 단편화 및 리어셈블리를 사용하여 GRE를 통한 MPLS 구성
이 예는 WAN 공급자가 점보 MTU 옵션을 제공하지 않는 경우 IPsec 터널을 통해 GRE에서 지원하는 VPN(가상 사설망) 클라이언트에 표준 1,500바이트 MTU를 지원해야 하는 요구 사항을 기반으로 합니다. 프로토콜 캡슐화 오버헤드(레이어 2, MPLS, GRE 및 IPsec)로 인해 프레임이 WAN 링크 MTU를 초과하기 때문에 1500바이트 WAN 링크를 통해 전달된 트래픽이 삭제될 수 있습니다.
MTU 관련 삭제는 대부분 단편화할 수 없는 트래픽의 문제입니다. 예를 들어, 단편화 금지로 표시된 IP 트래픽 또는 Layer 2 VPN/VPLS 트래픽은 본질적으로 단편화할 수 없습니다. 성능상의 이유로 많은 IPsec 구성이 암호화 후 단편화를 차단하여 패킷 손실을 초래합니다.
이 문서에서는 프래그먼트화할 수 없는 트래픽에 대해 사후 프래그먼트화를 수행하도록 IPsec 터널을 구성하는 방법을 보여줌으로써 이 문제에 대한 솔루션을 제공합니다. 이 경우 MTU 관련 삭제를 방지하기 위해 VPN 클라이언트의 MTU를 줄여야 하는 것과 사후 단편화를 강제함으로써 암호화 성능을 절충하게 됩니다.
이 예에서는 VPN 트래픽을 패킷 모드로 처리하기 위해 단일 라우팅 인스턴스(기본값)를 사용하여 선택적 패킷 서비스 모드를 구성하는 방법을 보여줍니다. 패킷 모드에서는 보안 영역이 우회됩니다. 즉, 레이어 2 및 레이어 3 VRF 인터페이스가 보안 영역에 배치되지 않으며 인터넷 영역을 통해 통신할 수 있도록 하는 정책이 필요하지 않습니다.
이 예제의 단계를 사용하여 전송 디바이스의 나가는 물리적 인터페이스에서 IPsec 캡슐화된 패킷 단편화를 수행하고 IPsec 암호 해독 전에 수신 디바이스에서 리어셈블리를 수행할 수 있습니다.
단편화된 패킷의 리어셈블리는 많은 디바이스 리소스를 사용하며, 디바이스의 성능은 단편화되지 않은 트래픽보다 느립니다. 가능하면 단편화의 필요성을 피하기 위해 WAN 인터페이스에 점보 MTU를 구성해야 합니다. 이 예는 점보 지원을 제공하지 않는 WAN 연결을 통해 IPsec을 사용할 때 단편화를 차단하는 클라이언트 디바이스에 표준 1,500바이트 MTU를 제공하는 방법을 보여줍니다.
이 항목에는 다음 섹션이 포함되어 있습니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 서비스 게이트웨이 2개
Junos OS 릴리스 11.4 이상
이 예는 Junos OS 릴리스 20.3R1에서 재검증되었습니다
이 예제가 문서화된 대로 작동하려면 SRX 구성에 활성화된 인터페이스가 family ethernet-switching
없는지 확인해야 합니다. 를 사용하면 family ethernet-switching
SRX 디바이스가 혼합 모드로 작동합니다. 이 예는 경로 작동 모드를 기반으로 합니다. 경로 및 혼합 작동 모드에 대한 자세한 내용은 보안 디바이스의 레이어 2 인터페이스 이해를 참조하십시오. 또한 계층 구조에 대한 공장 기본 설정으로 이 예제를 테스트했습니다 edit protocols l2-learning
.
개요 및 토폴로지
이 예에는 다음과 같은 구성이 포함됩니다.
적절한 프로토콜 캡슐화 및 최대 전송 단위(MTU) 값에 대한 인터페이스를 구성합니다.
ge-0/0/0.10 인터페이스에 방화벽 필터를 적용하여 패킷 모드를 설정합니다. 1,524바이트 최대 전송 단위(MTU)로 WAN 대면 인터페이스 ge-0/0/1.0을 구성합니다.
큰 최대 전송 단위(MTU) 값을 GRE 및 IPsec 논리적 인터페이스로 설정하여 논리적 인터페이스에서 IPsec 단편화를 방지합니다. GRE로 캡슐화된 트래픽은 IPsec 내부에서 터널링됩니다.
MPLS 패밀리를 GRE 인터페이스 gr-0/0/0에 추가하고 방화벽 필터를 적용하여 패킷 모드를 활성화합니다.
발신 ge-0/0/1.0 인터페이스에서 초과 크기의 IPsec 패킷의 단편화를 허용하도록 IPsec VPN 구성의 옵션을 사용하여
df-bit clear
디바이스에서 IPsec 터널을 구성합니다. 이 설정을 사용하면 SRX 디바이스가 DNF(Do Not Fragment) 비트로 표시된 VPN 클라이언트 트래픽에 대해 IPsec 암호화 후 단편화를 수행할 수 있습니다. DNF로 표시되지 않은 VPN 클라이언트 트래픽은 성능 향상을 위해 IPsec 암호화 전에 조각화됩니다.ge-0/0/1.0, gr-0/0/0.0, lo0.0, st0.0 등 모든 비고객 대면 인터페이스를 "Internet"이라는 단일 보안 영역에 구성합니다. 이 예에서는 IPSec을 통한 GRE를 통한 MPLS의 단편화 문제에 초점을 맞추기 위해 단일 보안 영역이 사용됩니다. 디바이스를 MPLS용 플로우 모드로 전환한 다음 고객 대면 인터페이스를 구역에 배치하여 보안을 강화할 수 있습니다. 보안 정책이 영역에 적용되면 통신을 제어하고 IDP 및 애플리케이션 인식과 같은 고급 기능을 불러일으킬 수 있습니다. 자세한 내용은 보안 영역을 참조하십시오.
모든(intrazone) 트래픽을 허용하도록 정책을 구성합니다.
lo0.0 주소 배포를 위한 OSPF, 레이블 배포/MPLS 전송을 위한 LDP, 및
l2vpn
패밀리를 포함하는 IBGP를inet-vpn
구성하여 VPN 클라이언트를 지원합니다.레이어 3 VPN과 레이어 2 VPLS 서비스용 라우팅 인스턴스 두 개를 구성합니다.
그림 1 은 이 예의 토폴로지를 보여줍니다.
이 예는 IPsec 터널을 통한 VPLS 및 레이어 3 VPN에 초점을 맞춥니다. 레이어 2 회로도 지원됩니다. 레이어 2 서킷의 경우 제품군 MPLS 필터와 제품군 CCC 필터를 모두 구성해야 합니다. 필터는 IPsec을 통한 단편화를 지원하기 위해 패킷 모드 처리를 유발하는 데 사용됩니다.
토폴로지
표 1 은 PE1 디바이스에 대해 이 토폴로지에서 사용되는 매개 변수를 요약하여 제공합니다. PE2 디바이스에 대한 매개 변수를 조정하거나 아래에 제공된 PE2 빠른 구성을 사용할 수 있습니다.
구성 요소 |
설명 |
---|---|
PE1 |
PE1 SRX 시리즈 방화벽: ge-0/0/0.10:
|
ge-0/0/2.11:
|
|
ge-0/0/1.0:
|
|
GR-0/0/0:
|
|
lo0:
|
|
st0.0 크랙:
|
|
|
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
SRX1(PE1) 디바이스 구성:
set system host-name SRX1 set security ike policy standard mode main set security ike policy standard proposal-set standard set security ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk" set security ike gateway srx-2 ike-policy standard set security ike gateway srx-2 address 172.16.23.1 set security ike gateway srx-2 external-interface ge-0/0/1.0 set security ipsec policy standard proposal-set standard set security ipsec vpn ipsec-vpn-1 bind-interface st0.0 set security ipsec vpn ipsec-vpn-1 df-bit clear set security ipsec vpn ipsec-vpn-1 ike gateway srx-2 set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately set security policies from-zone Internet to-zone Internet policy Internet match source-address any set security policies from-zone Internet to-zone Internet policy Internet match destination-address any set security policies from-zone Internet to-zone Internet policy Internet match application any set security policies from-zone Internet to-zone Internet policy Internet then permit set security zones security-zone Internet host-inbound-traffic system-services all set security zones security-zone Internet host-inbound-traffic protocols all set security zones security-zone Internet interfaces ge-0/0/1.0 set security zones security-zone Internet interfaces gr-0/0/0.0 set security zones security-zone Internet interfaces lo0.0 set security zones security-zone Internet interfaces st0.0 set interfaces ge-0/0/0 vlan-tagging set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 description L3VPN set interfaces ge-0/0/0 unit 10 vlan-id 10 set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet set interfaces ge-0/0/0 unit 10 family inet address 192.168.0.1/24 set interfaces gr-0/0/0 description "MPLS core facing interface" set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.1 set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.2 set interfaces gr-0/0/0 unit 0 family inet mtu 9000 set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.1/30 set interfaces gr-0/0/0 unit 0 family mpls mtu 9000 set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode set interfaces ge-0/0/1 description Internet set interfaces ge-0/0/1 mtu 1514 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/30 set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 mtu 1522 set interfaces ge-0/0/2 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 description VPLS set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 vlan-id 512 set interfaces lo0 unit 0 family inet address 10.255.255.1/32 set interfaces st0 unit 0 family inet mtu 9178 set interfaces st0 unit 0 family inet address 172.16.0.1/30 set firewall family inet filter packet-mode-inet term all-traffic then packet-mode set firewall family inet filter packet-mode-inet term all-traffic then accept set firewall family mpls filter packet-mode term all-traffic then packet-mode set firewall family mpls filter packet-mode term all-traffic then accept set routing-instances L3VPN routing-options auto-export set routing-instances L3VPN interface ge-0/0/0.10 set routing-instances L3VPN instance-type vrf set routing-instances L3VPN route-distinguisher 10.255.255.1:1000 set routing-instances L3VPN vrf-target target:65100:1000 set routing-instances L3VPN vrf-table-label set routing-instances VPLS protocols vpls site 1 interface ge-0/0/2.11 set routing-instances VPLS protocols vpls site 1 site-identifier 1 set routing-instances VPLS protocols vpls no-tunnel-services set routing-instances VPLS protocols vpls mac-tlv-receive set routing-instances VPLS protocols vpls mac-tlv-send set routing-instances VPLS interface ge-0/0/2.11 set routing-instances VPLS instance-type vpls set routing-instances VPLS route-distinguisher 10.255.255.1:1001 set routing-instances VPLS vrf-target target:65100:1001 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.255.255.1 set protocols bgp group IBGP local-as 65100 set protocols bgp group IBGP neighbor 10.255.255.2 family inet any set protocols bgp group IBGP neighbor 10.255.255.2 family inet-vpn any set protocols bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling set protocols bgp tcp-mss 1200 set protocols ldp interface gr-0/0/0.0 set protocols ldp interface lo0.0 set protocols mpls interface gr-0/0/0.0 set routing-options static route 172.16.23.0/30 next-hop 172.16.13.2 set routing-options router-id 10.255.255.1
SRX2(PE2) 디바이스 구성:
set system host-name SRX2 set security ike policy standard mode main set security ike policy standard proposal-set standard set security ike policy standard pre-shared-key ascii-text "$9$Ahg6tORhclvMXREdb2gJZ" set security ike gateway srx-1 ike-policy standard set security ike gateway srx-1 address 172.16.13.1 set security ike gateway srx-1 external-interface ge-0/0/1.0 set security ipsec policy standard proposal-set standard set security ipsec vpn ipsec-vpn-1 bind-interface st0.0 set security ipsec vpn ipsec-vpn-1 df-bit clear set security ipsec vpn ipsec-vpn-1 ike gateway srx-1 set security ipsec vpn ipsec-vpn-1 ike ipsec-policy standard set security ipsec vpn ipsec-vpn-1 establish-tunnels immediately set security policies from-zone Internet to-zone Internet policy Internet match source-address any set security policies from-zone Internet to-zone Internet policy Internet match destination-address any set security policies from-zone Internet to-zone Internet policy Internet match application any set security policies from-zone Internet to-zone Internet policy Internet then permit set security zones security-zone Internet host-inbound-traffic system-services all set security zones security-zone Internet host-inbound-traffic protocols all set security zones security-zone Internet interfaces ge-0/0/1.0 set security zones security-zone Internet interfaces gr-0/0/0.0 set security zones security-zone Internet interfaces lo0.0 set security zones security-zone Internet interfaces st0.0 set interfaces ge-0/0/0 vlan-tagging set interfaces ge-0/0/0 mtu 4000 set interfaces ge-0/0/0 description L3VPN set interfaces ge-0/0/0 unit 10 vlan-id 10 set interfaces ge-0/0/0 unit 10 family inet filter input packet-mode-inet set interfaces ge-0/0/0 unit 10 family inet address 192.168.1.1/24 set interfaces gr-0/0/0 description "MPLS core facing interface" set interfaces gr-0/0/0 unit 0 tunnel source 172.16.0.2 set interfaces gr-0/0/0 unit 0 tunnel destination 172.16.0.1 set interfaces gr-0/0/0 unit 0 family inet mtu 9000 set interfaces gr-0/0/0 unit 0 family inet address 172.16.255.2/30 set interfaces gr-0/0/0 unit 0 family mpls mtu 9000 set interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode set interfaces ge-0/0/1 description Internet set interfaces ge-0/0/1 mtu 1514 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/30 set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 mtu 1522 set interfaces ge-0/0/2 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 description VPLS set interfaces ge-0/0/2 unit 11 encapsulation vlan-vpls set interfaces ge-0/0/2 unit 11 vlan-id 512 set interfaces lo0 unit 0 family inet address 10.255.255.2/32 set interfaces st0 unit 0 family inet mtu 9178 set interfaces st0 unit 0 family inet address 172.16.0.2/30 set firewall family inet filter packet-mode-inet term all-traffic then packet-mode set firewall family inet filter packet-mode-inet term all-traffic then accept set firewall family mpls filter packet-mode term all-traffic then packet-mode set firewall family mpls filter packet-mode term all-traffic then accept set routing-instances L3VPN routing-options auto-export set routing-instances L3VPN interface ge-0/0/0.10 set routing-instances L3VPN instance-type vrf set routing-instances L3VPN route-distinguisher 10.255.255.2:1000 set routing-instances L3VPN vrf-target target:65100:1000 set routing-instances L3VPN vrf-table-label set routing-instances VPLS protocols vpls site 2 interface ge-0/0/2.11 set routing-instances VPLS protocols vpls site 2 site-identifier 2 set routing-instances VPLS protocols vpls no-tunnel-services set routing-instances VPLS protocols vpls mac-tlv-receive set routing-instances VPLS protocols vpls mac-tlv-send set routing-instances VPLS interface ge-0/0/2.11 set routing-instances VPLS instance-type vpls set routing-instances VPLS route-distinguisher 10.255.255.2:1001 set routing-instances VPLS vrf-target target:65100:1001 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.255.255.2 set protocols bgp group IBGP local-as 65100 set protocols bgp group IBGP neighbor 10.255.255.1 family inet any set protocols bgp group IBGP neighbor 10.255.255.1 family inet-vpn any set protocols bgp group IBGP neighbor 10.255.255.1 family l2vpn signaling set protocols bgp tcp-mss 1200 set protocols ldp interface gr-0/0/0.0 set protocols ldp interface lo0.0 set protocols mpls interface gr-0/0/0.0 set routing-options static route 172.16.13.0/30 next-hop 172.16.23.2 set routing-options router-id 10.255.255.2
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS용 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
MPLS 프레임을 프래그먼트화하고 패킷을 리어셈블하려면 다음을 수행합니다.
물리적 인터페이스를 구성합니다.
[edit interfaces] user@SRX1# set ge-0/0/0 description L3VPN user@SRX1# set ge-0/0/0 mtu 4000 user@SRX1# set ge-0/0/0 unit 10 vlan-id 10 user@SRX1# set ge-0/0/0 unit 10 family inet filter input packet-mode-inet user@SRX1# set ge-0/0/0 unit 10 family inet address 192.168.0.1/24 user@SRX1# set ge-0/0/1 description Internet user@SRX1# set ge-0/0/1 mtu 1514 user@SRX1# set ge-0/0/1 unit 0 family inet address 172.16.13.1/30 user@SRX1# set ge-0/0/2 description VPLS user@SRX1# set ge-0/0/2 flexible-vlan-tagging user@SRX1# set ge-0/0/2 mtu 1522 user@SRX1# set ge-0/0/2 encapsulation vlan-vpls user@SRX1# set ge-0/0/2 unit 11 encapsulation vlan-vpls user@SRX1# set ge-0/0/2 unit 11 vlan-id 512
논리적 인터페이스를 구성합니다.
[edit interfaces] user@SRX1# set gr-0/0/0 unit 0 description "MPLS core facing interface" user@SRX1# set gr-0/0/0 unit 0 tunnel source 172.16.0.1 user@SRX1# set gr-0/0/0 unit 0 tunnel destination 172.16.0.2 user@SRX1# set gr-0/0/0 unit 0 family inet mtu 9000 user@SRX1# set gr-0/0/0 unit 0 family inet address 172.16.255.1/30 user@SRX1# set gr-0/0/0 unit 0 family mpls mtu 9000 user@SRX1# set gr-0/0/0 unit 0 family mpls filter input packet-mode user@SRX1# set lo0 unit 0 family inet address 10.255.255.1/32 user@SRX1# set st0 unit 0 family inet mtu 9178 user@SRX1# set st0 unit 0 family inet address 172.16.0.1/30
패킷 모드에서 작동하도록 인터페이스를 구성하는 데 사용되는 방화벽 필터를 구성합니다.
[edit firewall] user@SRX1# set family inet filter packet-mode-inet term all-traffic then packet-mode user@SRX1# set family inet filter packet-mode-inet term all-traffic then accept user@SRX1# set family mpls filter packet-mode term all-traffic then packet-mode user@SRX1# set family mpls filter packet-mode term all-traffic then accept
참고:레이어 2 서킷을 구성하는 경우 제품군 CCC 아래의 고객 에지(CE) 인터페이스에서 패킷 모드를 유발하는 필터도 추가해야 합니다.
set firewall family ccc filter packet-mode-ccc term all-traffic then packet-mode set firewall family ccc filter packet-mode-ccc term all-traffic then accept
IKE(Internet Key Exchange) 및 IPsec 정책을 구성합니다.
[edit security] user@SRX1# set ike policy standard mode main user@SRX1# set ike policy standard proposal-set standard user@SRX1# set ike policy standard pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk" user@SRX1# set ike gateway srx-2 ike-policy standard user@SRX1# set ike gateway srx-2 address 172.16.23.1 user@SRX1# set ike gateway srx-2 external-interface ge-0/0/1.0 user@SRX1# set ipsec policy standard proposal-set standard user@SRX1# set ipsec vpn ipsec-vpn-1 bind-interface st0.0 user@SRX1# set ipsec vpn ipsec-vpn-1 df-bit clear user@SRX1# set ipsec vpn ipsec-vpn-1 ike gateway srx-2 user@SRX1# set ipsec vpn ipsec-vpn-1 ike ipsec-policy standard user@SRX1# set ipsec vpn ipsec-vpn-1 establish-tunnels immediately
참고:IPsec을 통한 단편화에 초점을 맞추기 위해 이 예에서는 기본 암호(3DES-CBC)를 사용합니다. 성능 및 보안 향상을 위해 AES-GCM-256과 같은 최신 암호를 사용하는 것이 좋습니다. 암호화 알고리즘(보안 IKE)을 참조하십시오.
단일 보안 영역에서 모든 비고객 대면 인터페이스를 구성하고 모든(영역 내) 트래픽을 허용하는 정책을 구성합니다.
[edit security policies from-zone Internet to-zone Internet] user@SRX1# set policy Internet match source-address any user@SRX1# set policy Internet match destination-address any user@SRX1# set policy Internet match application any user@SRX1# set policy Internet then permit [edit security zones security-zone Internet] user@SRX1# set host-inbound-traffic system-services all user@SRX1# set host-inbound-traffic protocols all user@SRX1# set interfaces ge-0/0/1.0 user@SRX1# set interfaces gr-0/0/0.0 user@SRX1# set interfaces lo0.0 user@SRX1# set interfaces st0.0
lo0.0 주소 배포를 위한 OSPF 프로토콜을 구성하고, inet-vpn 및 l2vpn 제품군으로 IBGP를 구성합니다. MPLS 및 LDP 신호도 구성합니다.
[edit protocols] user@SRX1# set bgp tcp-mss 1200 user@SRX1# set bgp group IBGP type internal user@SRX1# set bgp group IBGP local-address 10.255.255.1 user@SRX1# set bgp group IBGP local-as 65100 user@SRX1# set bgp group IBGP neighbor 10.255.255.2 user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet any user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family inet-vpn any user@SRX1# set bgp group IBGP neighbor 10.255.255.2 family l2vpn signaling user@SRX1# set ospf traffic-engineering user@SRX1# set ospf area 0.0.0.0 interface lo0.0 user@SRX1# set ospf area 0.0.0.0 interface lo0.0 passive user@SRX1# set ospf area 0.0.0.0 interface gr-0/0/0.0 user@SRX1# set mpls interface gr-0/0/0.0 user@SRX1# set ldp interface gr-0/0/0.0 user@SRX1# set ldp interface lo0.0
WAN 링크의 원격 끝에 대한 라우터 ID 및 정적 경로를 구성합니다.
[edit routing-option] user@SRX1# set static route 172.16.23.0/30 next-hop 172.16.13.2 user@SRX1# set router-id 10.255.255.1
레이어 3 VPN과 VPLS 애플리케이션용 라우팅 인스턴스 두 개를 구성합니다.
[edit routing-instances] user@SRX1# set L3VPN instance-type vrf user@SRX1# set L3VPN route-distinguisher 10.255.255.1:1000 user@SRX1# set L3VPN interface ge-0/0/0.10 user@SRX1# set L3VPN vrf-target target:65100:1000 user@SRX1# set L3VPN vrf-target import target:65100:1000 user@SRX1# set L3VPN vrf-target export target:65100:1000 user@SRX1# set L3VPN vrf-table-label user@SRX1# set L3VPN routing-options auto-export user@SRX1# set VPLS instance-type vpls user@SRX1# set VPLS interface ge-0/0/2.11 user@SRX1# set VPLS route-distinguisher 10.255.255.1:1001 user@SRX1# set VPLS vrf-target target:65100:1001 user@SRX1# set VPLS protocols vpls no-tunnel-services user@SRX1# set VPLS protocols vpls site 1 site-identifier 1 user@SRX1# set VPLS protocols vpls site 1 interface ge-0/0/2.11 user@SRX1# set VPLS protocols vpls mac-tlv-receive user@SRX1# set VPLS protocols vpls mac-tlv-send
결과
구성 결과를 표시합니다.
user@SRX1> show configuration
security {
ike {
policy standard {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$9$1OsIclKvL7NblegoGUHk"; ## SECRET-DATA
}
gateway srx-2 {
ike-policy standard;
address 172.16.23.1;
external-interface ge-0/0/1.0;
}
}
ipsec {
policy standard {
proposal-set standard;
}
vpn ipsec-vpn-1 {
bind-interface st0.0;
df-bit clear;
ike {
gateway srx-2;
ipsec-policy standard;
}
establish-tunnels immediately;
}
}
policies {
from-zone Internet to-zone Internet {
policy Internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone Internet {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
gr-0/0/0.0;
lo0.0;
st0.0;
}
}
}
}
interfaces {
ge-0/0/0 {
vlan-tagging;
mtu 4000;
unit 10 {
description L3VPN;
vlan-id 10;
family inet {
filter {
input packet-mode-inet;
}
address 192.168.0.1/24;
}
}
}
gr-0/0/0 {
unit 0 {
description "MPLS core facing interface";
tunnel {
source 172.16.0.1;
destination 172.16.0.2;
}
family inet {
mtu 9000;
address 172.16.255.1/30;
}
family mpls {
mtu 9000;
filter {
input packet-mode;
}
}
}
}
ge-0/0/1 {
description Internet;
mtu 1514;
unit 0 {
family inet {
address 172.16.13.1/30;
}
}
}
ge-0/0/2 {
flexible-vlan-tagging;
mtu 1522;
encapsulation vlan-vpls;
unit 11 {
description VPLS;
encapsulation vlan-vpls;
vlan-id 512;
}
}
lo0 {
unit 0 {
family inet {
address 10.255.255.1/32;
}
}
}
st0 {
unit 0 {
family inet {
mtu 9178;
address 172.16.0.1/30;
}
}
}
}
firewall {
family inet {
filter packet-mode-inet {
term all-traffic {
then {
packet-mode;
accept;
}
}
}
}
family mpls {
filter packet-mode {
term all-traffic {
then {
packet-mode;
accept;
}
}
}
}
}
routing-instances {
L3VPN {
routing-options {
auto-export;
}
interface ge-0/0/0.10;
instance-type vrf;
route-distinguisher 10.255.255.1:1000;
vrf-target {
target:65100:1000;
import target:65100:1000;
export target:65100:1000;
}
vrf-table-label;
}
VPLS {
protocols {
vpls {
site 1 {
interface ge-0/0/2.11;
site-identifier 1;
}
no-tunnel-services;
mac-tlv-receive;
mac-tlv-send;
}
}
interface ge-0/0/2.11;
instance-type vpls;
route-distinguisher 10.255.255.1:1001;
vrf-target target:65100:1001;
}
}
protocols {
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface gr-0/0/0.0;
}
}
bgp {
group IBGP {
type internal;
local-address 10.255.255.1;
local-as 65100;
neighbor 10.255.255.2 {
family inet {
any;
}
family inet-vpn {
any;
}
family l2vpn {
signaling;
}
}
}
tcp-mss 1200;
}
ldp {
interface gr-0/0/0.0;
interface lo0.0;
}
mpls {
interface gr-0/0/0.0;
}
}
routing-options {
static {
route 172.16.23.0/30 next-hop 172.16.13.2;
}
router-id 10.255.255.1;
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
- 물리적 인터페이스와 논리적 인터페이스가 작동 중인지 확인
- IPsec 보안 연결 확인
- OSPF 및 BGP 확인
- LDP 작업 확인
- VPLS 연결 확인
- DNF가 설정된 대규모 패킷에 대한 엔드 투 엔드 VPLS 연결 확인
- 발신 인터페이스에서 IP 단편화 확인
- L3VPN 확인
물리적 인터페이스와 논리적 인터페이스가 작동 중인지 확인
목적
물리적 인터페이스와 논리적 인터페이스가 디바이스에서 작동 중인지 확인합니다.
작업
SRX 시리즈 서비스 게이트웨이의 운영 모드에서 명령을 입력합니다 show interfaces terse
.
user@SRX1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.10 up up inet 192.168.0.1/24
ge-0/0/0.32767 up up
gr-0/0/0 up up
gr-0/0/0.0 up up inet 172.16.255.1/30
mpls
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.13.1/30
ge-0/0/2 up up
ge-0/0/2.11 up up vpls
ge-0/0/2.32767 up up
dsc up up
fti0 up up
fxp0 up up
fxp0.0 up up inet 10.54.5.56/19
gre up up
ipip up up
irb up up
lo0 up up
lo0.0 up up inet 10.255.255.1 --> 0/0
lo0.16384 up up inet 127.0.0.1 --> 0/0
lo0.16385 up up inet 10.0.0.1 --> 0/0
10.0.0.16 --> 0/0
128.0.0.1 --> 0/0
128.0.0.4 --> 0/0
128.0.1.16 --> 0/0
lo0.32768 up up
lsi up up
lsi.0 up up inet
iso
inet6
lsi.1048576 up up vpls
. . .
<some output removed for brevity>
의미
명령의 show interfaces terse
출력은 이 구성에 사용된 모든 물리적 및 논리적 인터페이스가 작동한다는 것을 보여줍니다.
IPsec 보안 연결 확인
목적
디바이스에서 IKE 및 IPsec 보안 연결이 켜져 있는지 확인합니다.
작업
SRX 시리즈 서비스 게이트웨이의 운영 모드에서 및 show security ipsec security-association
명령을 입력합니다show security ike security-association
.
user@SRX1>show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address 6699112 UP 2a5d1a37e5bd0cd1 09880f53cdbb35bb Main 172.16.23.1 user@SRX1>show security ipsec security-associations
Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 f1396d7e 1868/ unlim - root 500 172.16.23.1 >131073 ESP:3des/sha1 ff799c04 1868/ unlim - root 500 172.16.23.1
의미
출력은 IKE(Internet Key Exchange) 세션에 대해 예상되는 Up 상태와 IPsec 터널이 성공적으로 설정되었음을 보여줍니다.
OSPF 및 BGP 확인
목적
OSPF 및 BGP가 GRE 터널에서 올바르게 작동하는지 확인합니다. GRE 터널은 이전 단계에서 검증된 IPsec 터널을 통해 라우팅됩니다. 이 예에서 적절한 OSPF/BGP 작업은 트래픽이 GRE(그리고 IPsec) 터널을 통과할 수 있는지 간접적으로 확인합니다. 원하는 경우 추가 확인을 위해 GRE 엔드포인트를 ping할 수 있습니다.
작업
SRX 시리즈 서비스 게이트웨이의 운영 모드에서 및 show bgp summary
명령을 입력합니다show ospf neighbor
.
user@SRX1>show ospf neighbor
Address Interface State ID Pri Dead 172.16.255.2 gr-0/0/0.0 Full 10.255.255.2 128 33 user@SRX1>show bgp summary
Threading mode: BGP I/O Default eBGP mode: advertise - accept, receive - accept Groups: 1 Peers: 1 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 0 0 0 0 0 0 inet.2 0 0 0 0 0 0 bgp.l3vpn.0 1 1 0 0 0 0 bgp.l3vpn.2 0 0 0 0 0 0 bgp.l2vpn.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.255.255.2 65100 988 988 0 1 7:21:03 Establ inet.0: 0/0/0/0 inet.2: 0/0/0/0 bgp.l3vpn.0: 1/1/1/0 bgp.l3vpn.2: 0/0/0/0 bgp.l2vpn.0: 1/1/1/0 L3VPN.inet.0: 1/1/1/0 VPLS.l2vpn.0: 1/1/1/0
의미
출력은 의 예상 OSPF neighbor 상태를 full
확인합니다. 이 OSPF 인접 라우터는 GRE 인터페이스를 통해 인스턴스화됩니다. OSPF가 작동하면 로컬 SRX가 원격 SRX의 루프백 주소에 대한 경로를 학습했을 것으로 예상할 수 있습니다. 이 경로를 통해 루프백 기반 IBGP 피어링 세션이 GRE 터널을 통해 설정될 수 있습니다. 명령의 show bgp summary
출력은 BGP 세션이 설정된 상태이며 L3VPN 및 L2VPN 경로를 모두 교환하고 있음을 확인합니다.
LDP 작업 확인
목적
LDP가 GRE 터널에서 올바르게 작동하는지 확인합니다. LDP는 이 예에서 MPLS 신호 프로토콜로 기능합니다.
작업
SRX 시리즈 서비스 게이트웨이의 운영 모드에서 및 show ldp session
명령을 입력합니다show ldp neighbor
.
user@SRX1>show ldp neighbor
Address Interface Label space ID Hold time 172.16.255.2 gr-0/0/0.0 10.255.255.2:0 12 user@SRX1>show ldp session
Address State Connection Hold time Adv. Mode 10.255.255.2 Operational Open 28 DU
의미
출력은 GRE 인터페이스를 통해 예상되는 LDP 이웃 관계를 확인합니다. 명령의 출력은 show ldp session
원격 SRX 디바이스의 루프백 주소에 대한 성공적인 세션 설정을 확인합니다. 이를 통해 LDP는 VPN 클라이언트에 대한 MPLS 전달을 지원하는 전송 레이블을 교환할 수 있습니다.
VPLS 연결 확인
목적
VPLS 연결이 업 상태인지 확인합니다.
작업
SRX 시리즈 서비스 게이트웨이의 운영 모드에서 명령을 입력합니다 show vpls connections
.
user@SRX1> show vpls connections
Layer-2 VPN connections:
Legend for connection status (St)
EI -- encapsulation invalid NC -- interface encapsulation not CCC/TCC/VPLS
EM -- encapsulation mismatch WE -- interface and instance encaps not same
VC-Dn -- Virtual circuit down NP -- interface hardware not present
CM -- control-word mismatch -> -- only outbound connection is up
CN -- circuit not provisioned <- -- only inbound connection is up
OR -- out of range Up -- operational
OL -- no outgoing label Dn -- down
LD -- local site signaled down CF -- call admission control failure
RD -- remote site signaled down SC -- local and remote site ID collision
LN -- local site not designated LM -- local site ID not minimum designated
RN -- remote site not designated RM -- remote site ID not minimum designated
XX -- unknown connection status IL -- no incoming label
MM -- MTU mismatch MI -- Mesh-Group ID not available
BK -- Backup connection ST -- Standby connection
PF -- Profile parse failure PB -- Profile busy
RS -- remote site standby SN -- Static Neighbor
LB -- Local site not best-site RB -- Remote site not best-site
VM -- VLAN ID mismatch HS -- Hot-standby Connection
Legend for interface status
Up -- operational
Dn -- down
Instance: VPLS
Edge protection: Not-Primary
Local site: 1 (1)
connection-site Type St Time last up # Up trans
2 rmt Up Aug 25 07:52:38 2021 1
Remote PE: 10.255.255.2, Negotiated control-word: No
Incoming label: 262146, Outgoing label: 262145
Local interface: lsi.1048578, Status: Up, Encapsulation: VPLS
Description: Intf - vpls VPLS local site 1 remote site 2
Flow Label Transmit: No, Flow Label Receive: No
의미
출력은 VPLS 연결의 예상 Up
상태를 보여줍니다. 연결이 작동하면 VPN 클라이언트 디바이스가 트래픽을 전달할 수 있어야 합니다.
DNF가 설정된 대규모 패킷에 대한 엔드 투 엔드 VPLS 연결 확인
목적
레이어 2 VPLS 클라이언트 디바이스가 DNF 비트가 설정된 1500바이트 프레임을 전송할 수 있는지 확인합니다. 레이어 2 서비스이기 때문에 단편화가 불가능합니다. 결과적으로 DNF 비트는 엔드 투 엔드로 작동합니다. 이 예제의 구성에서 이러한 설정으로 인해 트래픽이 암호화된 후(사 후 단편화) 수신 SRX 디바이스가 IPsec 패킷을 단편화하게 됩니다. 포스트 단편화는 트래픽이 ge-0/0/1 인터페이스를 향하는 WAN으로 송신될 때 발생합니다.
포스트 단편화는 원격 SRX 디바이스가 복호화를 수행하기 전에 패킷을 리어셈블하도록 강제하며, 이는 암호화된 트래픽의 포워딩 성능에 영향을 미칠 수 있습니다. 이는 옵션을 사용할 때 예상되는 동작입니다 df-bit clear
. 이 동작을 보여 주는 것이 이 NCE의 이유입니다. 다른 df-bit
옵션, 즉 df-bit copy
및 df-bit set
를 사용하면 VPN 클라이언트에서 DNF 비트를 설정할 때 WAN MTU를 초과하는 VPN 패킷에 대해 패킷이 폐기되고 ICMP 오류 메시지가 생성됩니다.
작업
VPLS Host1의 운영 모드에서 DNF 비트가 설정된 1500바이트 IP 패킷을 생성하는 방식으로 VPLS Host2를 ping합니다. 이 트래픽에 MPLS, GRE 및 IPsec 오버헤드가 추가되면 나가는 WAN 인터페이스의 MTU를 초과합니다. Layer 2 서비스이기 때문에(또는 L3VPN 클라이언트의 경우 DNF 비트를 설정하여) 사전 단편화가 차단된다는 점을 감안할 때, 이러한 패킷은 옵션 설정에 df-bit clear
따라 사후 단편화를 강제합니다
VPN 클라이언트 디바이스의 구성 및 작동은 이 예의 범위를 벗어납니다. 테스트를 위해 MX 라우터는 VPN 클라이언트 역할을 하는 데 사용됩니다. 결과적으로 시연된 ping 명령은 Junos CLI를 기반으로 합니다.
user@vpls-host1> ping 192.168.2.102 size 1472 do-not-fragment count 2
PING 192.168.2.102 (192.168.2.102): 1472 data bytes
1480 bytes from 192.168.2.102: icmp_seq=0 ttl=64 time=23.045 ms
1480 bytes from 192.168.2.102: icmp_seq=1 ttl=64 time=5.342 ms
--- 192.168.2.102 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.342/14.194/23.045/8.852 ms
의미
출력은 ping이 성공한 것을 보여줍니다. 1480바이트의 에코 트래픽은 20바이트 IP 헤더가 추가될 때 1500바이트 IP 패킷을 생성합니다. 따라서 결과는 VPLS 클라이언트 디바이스가 캡슐화 오버헤드에도 불구하고 WAN 링크를 통해 1,500바이트 패킷을 1,500바이트 MTU로 교환할 수 있음을 확인합니다. 이는 레이어 2 서비스이므로 단편화가 불가능하며 DNF 비트가 엔드 투 엔드로 작동합니다. 그러나 PE 디바이스는 IP 트래픽을 단편화할 수 있기 때문에 L3VPN 클라이언트를 테스트할 때 DNF 비트를 사용하는 것이 중요합니다.
발신 인터페이스에서 IP 단편화 확인
목적
WAN 최대 전송 단위(MTU)를 초과하는 VPLS 클라이언트 트래픽이 나가는 ge-0/0/1.0 인터페이스에서 단편화되는지 확인합니다. 백그라운드 OSPF, LDP 및 BGP 트래픽으로 인해 ge-0/0/0.0 인터페이스 카운터가 증가하기 때문에 이 단계에서는 타이밍이 중요합니다. 목표는 VPLS 호스트에서 100개의 1,500바이트 패킷을 생성한 다음 IPsec과 인터페이스 통계를 신속하게 비교하여 IPsec 터널의 수와 비교할 때 나가는 WAN 인터페이스에 약 2배 많은 패킷이 표시되는지 확인하는 것입니다.
작업
SRX 시리즈 서비스 게이트웨이의 운영 모드에서 및 명령을 사용하여 IPsec 및 clear security ipsec statistics
인터페이스 통계를 clear interfaces statistics all
모두 지웁니다. 그런 다음 VPLS 엔드포인트 간 패킷 크기가 1,500바이트인 100개의 빠른 ping을 생성합니다. 핑이 완료되면 IPsec 터널 및 ge-0/0/1 인터페이스에 대한 패킷 수를 및 show security ipsec statistics
명령으로 show interfaces ge-0/0/1 detail
표시합니다.
user@SRX1>clear interfaces statistics all
user@SRX1>clear interfaces statistics all
VPLS 엔드포인트 간 패킷 크기가 1,500바이트인 100개의 빠른 핑을 생성합니다. 간결성을 위해 표시되지 않습니다. 이전 단계의 명령을 참조하십시오. 간결성을 위해 여기에 표시되지 않습니다.
user@SRX1>show interfaces ge-0/0/1 detail
Physical interface: ge-0/0/1, Enabled, Physical link is Up Interface index: 136, SNMP ifIndex: 509, Generation: 139 Description: Internet Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Link-mode: Full-duplex, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Hold-times : Up 0 ms, Down 0 ms Current address: 56:04:19:00:3a:7b, Hardware address: 56:04:19:00:3a:7b Last flapped : 2021-08-27 12:17:01 PDT (01:27:43 ago) Statistics last cleared: 2021-08-27 13:44:28 PDT (00:00:16 ago) Traffic statistics: Input bytes : 163440 0 bps Output bytes : 162000 0 bps Input packets: 210 0 pps Output packets: 200 0 pps Egress queues: 8 supported, 4 in use . . . user@SRX1>show security ipsec statistics
ESP Statistics: Encrypted bytes: 161896 Decrypted bytes: 155722 Encrypted packets: 113 Decrypted packets: 112 . . .
의미
명령의 show interfaces ge-0/0/1.0 detail
출력은 200개 이상의 패킷이 송수신되었음을 보여줍니다. 반면 IPsec 통계는 약 100개의 패킷 수를 확인합니다. 이는 VPLS 클라이언트가 보낸 각 패킷이 WAN 방향 ge-0/0/1.0 인터페이스에서 단편화되었음을 확인합니다.
L3VPN 확인
목적
L3VPN 작동을 확인합니다.
작업
SRX 시리즈 서비스 게이트웨이의 운영 모드에서 명령을 사용하여 show route
원격 L3VPN 서브넷에 대한 경로를 표시합니다. 그런 다음 원격 L3VPN 엔드포인트에 대한 ping을 생성하여 연결을 확인합니다.
user@SRX1> show route 192.168.1.0/24
L3VPN.inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.1.0/24 *[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
AS path: I, validation-state: unverified
> via gr-0/0/0.0, Push 16
bgp.l3vpn.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.255.255.2:1000:192.168.1.0/24
*[BGP/170] 01:05:44, localpref 100, from 10.255.255.2
AS path: I, validation-state: unverified
> via gr-0/0/0.0, Push 16
로컬 SRX에서 원격 VPN 엔드포인트로의 연결을 테스트합니다.
user@SRX1> ping 192.168.1.101 routing-instance L3VPN count 2
PING 192.168.1.101 (192.168.1.101): 56 data bytes
64 bytes from 192.168.1.101: icmp_seq=0 ttl=63 time=3.485 ms
64 bytes from 192.168.1.101: icmp_seq=1 ttl=63 time=3.412 ms
--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 3.412/3.449/3.485/0.036 ms
이 구성에서는 로컬 SRX에서 로컬 L3VPN 클라이언트로의 ping이 성공하지 못합니다. 이는 패킷 모드의 사용 및 VPN 인터페이스에 대한 보안 영역의 부족과 관련이 있습니다. 위에 표시된 것처럼 로컬 SRX에서 원격 L3VPN 대상으로 ping할 수 있습니다. 표시되지는 않았지만 로컬 L3VPN 클라이언트에서 로컬 PE VRF 인터페이스로 생성된 ping이 성공할 것으로 예상됩니다.
L3VPN에 대한 엔드 투 엔드 연결을 테스트합니다. L3VPN 클라이언트 엔드포인트 간에 점보 핑을 생성합니다. 이 예에서 L3VPN 클라이언트는 4k MTU로 구성됩니다. 다시 한 번 MX 라우터를 사용하여 L3VPN 클라이언트를 채우므로 Junos ping 구문이 사용됩니다.
user@l3vpn1> ping 192.168.1.101 size 3000 do-not-fragment count 2
PING 192.168.1.101 (192.168.1.101): 3000 data bytes
3008 bytes from 192.168.1.101: icmp_seq=0 ttl=62 time=5.354 ms
3008 bytes from 192.168.1.101: icmp_seq=1 ttl=62 time=5.607 ms
--- 192.168.1.101 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 5.354/5.481/5.607/0.126 ms
의미
출력은 원격 L3VPN 클라이언트에 대한 경로가 BGP를 통해 올바르게 학습되고 MPLS 레이블 작업이 있는 GRE 인터페이스를 가리킨다는 것을 보여줍니다. 핑 테스트 결과는 DNF 비트가 설정된 상태에서 3,000 + 바이트 핑을 전송하는 경우에도 L3VPN에 대한 예상 연결을 확인합니다.