Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예: IPsec 단편화 및 리어셈블리를 사용하여 GRE를 통한 MPLS 구성

이 예는 WAN 공급자가 점보 MTU 옵션을 제공하지 않는 경우 IPsec 터널을 통해 GRE에서 지원하는 VPN(가상 사설망) 클라이언트에 표준 1,500바이트 MTU를 지원해야 하는 요구 사항을 기반으로 합니다. 프로토콜 캡슐화 오버헤드(레이어 2, MPLS, GRE 및 IPsec)로 인해 프레임이 WAN 링크 MTU를 초과하기 때문에 1500바이트 WAN 링크를 통해 전달된 트래픽이 삭제될 수 있습니다.

MTU 관련 삭제는 대부분 단편화할 수 없는 트래픽의 문제입니다. 예를 들어, 단편화 금지로 표시된 IP 트래픽 또는 Layer 2 VPN/VPLS 트래픽은 본질적으로 단편화할 수 없습니다. 성능상의 이유로 많은 IPsec 구성이 암호화 후 단편화를 차단하여 패킷 손실을 초래합니다.

이 문서에서는 프래그먼트화할 수 없는 트래픽에 대해 사후 프래그먼트화를 수행하도록 IPsec 터널을 구성하는 방법을 보여줌으로써 이 문제에 대한 솔루션을 제공합니다. 이 경우 MTU 관련 삭제를 방지하기 위해 VPN 클라이언트의 MTU를 줄여야 하는 것과 사후 단편화를 강제함으로써 암호화 성능을 절충하게 됩니다.

이 예에서는 VPN 트래픽을 패킷 모드로 처리하기 위해 단일 라우팅 인스턴스(기본값)를 사용하여 선택적 패킷 서비스 모드를 구성하는 방법을 보여줍니다. 패킷 모드에서는 보안 영역이 우회됩니다. 즉, 레이어 2 및 레이어 3 VRF 인터페이스가 보안 영역에 배치되지 않으며 인터넷 영역을 통해 통신할 수 있도록 하는 정책이 필요하지 않습니다.

이 예제의 단계를 사용하여 전송 디바이스의 나가는 물리적 인터페이스에서 IPsec 캡슐화된 패킷 단편화를 수행하고 IPsec 암호 해독 전에 수신 디바이스에서 리어셈블리를 수행할 수 있습니다.

참고:

단편화된 패킷의 리어셈블리는 많은 디바이스 리소스를 사용하며, 디바이스의 성능은 단편화되지 않은 트래픽보다 느립니다. 가능하면 단편화의 필요성을 피하기 위해 WAN 인터페이스에 점보 MTU를 구성해야 합니다. 이 예는 점보 지원을 제공하지 않는 WAN 연결을 통해 IPsec을 사용할 때 단편화를 차단하는 클라이언트 디바이스에 표준 1,500바이트 MTU를 제공하는 방법을 보여줍니다.

이 항목에는 다음 섹션이 포함되어 있습니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 시리즈 서비스 게이트웨이 2개

  • Junos OS 릴리스 11.4 이상

    • 이 예는 Junos OS 릴리스 20.3R1에서 재검증되었습니다

참고:

이 예제가 문서화된 대로 작동하려면 SRX 구성에 활성화된 인터페이스가 family ethernet-switching 없는지 확인해야 합니다. 를 사용하면 family ethernet-switching SRX 디바이스가 혼합 모드로 작동합니다. 이 예는 경로 작동 모드를 기반으로 합니다. 경로 및 혼합 작동 모드에 대한 자세한 내용은 보안 디바이스의 레이어 2 인터페이스 이해를 참조하십시오. 또한 계층 구조에 대한 공장 기본 설정으로 이 예제를 테스트했습니다 edit protocols l2-learning .

개요 및 토폴로지

이 예에는 다음과 같은 구성이 포함됩니다.

  • 적절한 프로토콜 캡슐화 및 최대 전송 단위(MTU) 값에 대한 인터페이스를 구성합니다.

  • ge-0/0/0.10 인터페이스에 방화벽 필터를 적용하여 패킷 모드를 설정합니다. 1,524바이트 최대 전송 단위(MTU)로 WAN 대면 인터페이스 ge-0/0/1.0을 구성합니다.

  • 큰 최대 전송 단위(MTU) 값을 GRE 및 IPsec 논리적 인터페이스로 설정하여 논리적 인터페이스에서 IPsec 단편화를 방지합니다. GRE로 캡슐화된 트래픽은 IPsec 내부에서 터널링됩니다.

  • MPLS 패밀리를 GRE 인터페이스 gr-0/0/0에 추가하고 방화벽 필터를 적용하여 패킷 모드를 활성화합니다.

  • 발신 ge-0/0/1.0 인터페이스에서 초과 크기의 IPsec 패킷의 단편화를 허용하도록 IPsec VPN 구성의 옵션을 사용하여 df-bit clear 디바이스에서 IPsec 터널을 구성합니다. 이 설정을 사용하면 SRX 디바이스가 DNF(Do Not Fragment) 비트로 표시된 VPN 클라이언트 트래픽에 대해 IPsec 암호화 후 단편화를 수행할 수 있습니다. DNF로 표시되지 않은 VPN 클라이언트 트래픽은 성능 향상을 위해 IPsec 암호화 전에 조각화됩니다.

  • ge-0/0/1.0, gr-0/0/0.0, lo0.0, st0.0 등 모든 비고객 대면 인터페이스를 "Internet"이라는 단일 보안 영역에 구성합니다. 이 예에서는 IPSec을 통한 GRE를 통한 MPLS의 단편화 문제에 초점을 맞추기 위해 단일 보안 영역이 사용됩니다. 디바이스를 MPLS용 플로우 모드로 전환한 다음 고객 대면 인터페이스를 구역에 배치하여 보안을 강화할 수 있습니다. 보안 정책이 영역에 적용되면 통신을 제어하고 IDP 및 애플리케이션 인식과 같은 고급 기능을 불러일으킬 수 있습니다. 자세한 내용은 보안 영역을 참조하십시오.

  • 모든(intrazone) 트래픽을 허용하도록 정책을 구성합니다.

  • lo0.0 주소 배포를 위한 OSPF, 레이블 배포/MPLS 전송을 위한 LDP, 및 l2vpn 패밀리를 포함하는 IBGP를 inet-vpn 구성하여 VPN 클라이언트를 지원합니다.

  • 레이어 3 VPN과 레이어 2 VPLS 서비스용 라우팅 인스턴스 두 개를 구성합니다.

그림 1 은 이 예의 토폴로지를 보여줍니다.

그림 1: GRE를 통한 MPLS over IPsec 터널 예제 토폴로지 MPLS Over GRE Over IPsec Tunnels Example Topology

이 예는 IPsec 터널을 통한 VPLS 및 레이어 3 VPN에 초점을 맞춥니다. 레이어 2 회로도 지원됩니다. 레이어 2 서킷의 경우 제품군 MPLS 필터와 제품군 CCC 필터를 모두 구성해야 합니다. 필터는 IPsec을 통한 단편화를 지원하기 위해 패킷 모드 처리를 유발하는 데 사용됩니다.

토폴로지

표 1 은 PE1 디바이스에 대해 이 토폴로지에서 사용되는 매개 변수를 요약하여 제공합니다. PE2 디바이스에 대한 매개 변수를 조정하거나 아래에 제공된 PE2 빠른 구성을 사용할 수 있습니다.

표 1: 토폴로지의 구성 요소

구성 요소

설명

PE1

PE1 SRX 시리즈 방화벽:

ge-0/0/0.10:

  • IP 주소: 192.168.0.1/24

  • 고객 대면 L3VPN 인터페이스

  • input packet-mode-inet: 패킷 모드의 inet 제품군

  • 최대 전송 단위(MTU): 4k

ge-0/0/2.11:

  • 고객 대면 VPLS 인터페이스

  • vlan-vpls: VPLS 캡슐화

  • 최대 전송 단위(MTU): 1,522

ge-0/0/1.0:

  • 발신 인터페이스

  • IP 주소: 172.16.13.1/30

  • 최대 전송 단위(MTU): 1,514

GR-0/0/0:

  • MPLS에 연결하는 코어 인터페이스

  • IP 주소: 172.16.255.1/30

  • input packet-mode: 패킷 모드의 MPLS 제품군

  • 인터넷 최대 전송 단위(MTU): 9k

lo0:

  • 논리적 인터페이스

  • IP 주소: 10.255.255.1/32

st0.0 크랙:

  • 터널 인터페이스

  • IP 주소: 172.16.0.1/30

  • 인터넷 최대 전송 단위(MTU): 9,178

  • df-bit clear — 이 옵션은 나가는 패킷 헤더에서 DF(Do Not Fragment) 비트를 지웁니다

  • L3VPN— Layer3 VPN 애플리케이션의 라우팅 인스턴스

  • VPLS— VPLS 애플리케이션을 위한 라우팅 인스턴스

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

SRX1(PE1) 디바이스 구성:

SRX2(PE2) 디바이스 구성:

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS용 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

MPLS 프레임을 프래그먼트화하고 패킷을 리어셈블하려면 다음을 수행합니다.

  1. 물리적 인터페이스를 구성합니다.

  2. 논리적 인터페이스를 구성합니다.

  3. 패킷 모드에서 작동하도록 인터페이스를 구성하는 데 사용되는 방화벽 필터를 구성합니다.

    참고:

    레이어 2 서킷을 구성하는 경우 제품군 CCC 아래의 고객 에지(CE) 인터페이스에서 패킷 모드를 유발하는 필터도 추가해야 합니다.

  4. IKE(Internet Key Exchange) 및 IPsec 정책을 구성합니다.

    참고:

    IPsec을 통한 단편화에 초점을 맞추기 위해 이 예에서는 기본 암호(3DES-CBC)를 사용합니다. 성능 및 보안 향상을 위해 AES-GCM-256과 같은 최신 암호를 사용하는 것이 좋습니다. 암호화 알고리즘(보안 IKE)을 참조하십시오.

  5. 단일 보안 영역에서 모든 비고객 대면 인터페이스를 구성하고 모든(영역 내) 트래픽을 허용하는 정책을 구성합니다.

  6. lo0.0 주소 배포를 위한 OSPF 프로토콜을 구성하고, inet-vpn 및 l2vpn 제품군으로 IBGP를 구성합니다. MPLS 및 LDP 신호도 구성합니다.

  7. WAN 링크의 원격 끝에 대한 라우터 ID 및 정적 경로를 구성합니다.

  8. 레이어 3 VPN과 VPLS 애플리케이션용 라우팅 인스턴스 두 개를 구성합니다.

결과

구성 결과를 표시합니다.

확인

구성이 올바르게 작동하고 있는지 확인합니다.

물리적 인터페이스와 논리적 인터페이스가 작동 중인지 확인

목적

물리적 인터페이스와 논리적 인터페이스가 디바이스에서 작동 중인지 확인합니다.

작업

SRX 시리즈 서비스 게이트웨이의 운영 모드에서 명령을 입력합니다 show interfaces terse .

의미

명령의 show interfaces terse 출력은 이 구성에 사용된 모든 물리적 및 논리적 인터페이스가 작동한다는 것을 보여줍니다.

IPsec 보안 연결 확인

목적

디바이스에서 IKE 및 IPsec 보안 연결이 켜져 있는지 확인합니다.

작업

SRX 시리즈 서비스 게이트웨이의 운영 모드에서 및 show security ipsec security-association 명령을 입력합니다show security ike security-association.

의미

출력은 IKE(Internet Key Exchange) 세션에 대해 예상되는 Up 상태와 IPsec 터널이 성공적으로 설정되었음을 보여줍니다.

OSPF 및 BGP 확인

목적

OSPF 및 BGP가 GRE 터널에서 올바르게 작동하는지 확인합니다. GRE 터널은 이전 단계에서 검증된 IPsec 터널을 통해 라우팅됩니다. 이 예에서 적절한 OSPF/BGP 작업은 트래픽이 GRE(그리고 IPsec) 터널을 통과할 수 있는지 간접적으로 확인합니다. 원하는 경우 추가 확인을 위해 GRE 엔드포인트를 ping할 수 있습니다.

작업

SRX 시리즈 서비스 게이트웨이의 운영 모드에서 및 show bgp summary 명령을 입력합니다show ospf neighbor.

의미

출력은 의 예상 OSPF neighbor 상태를 full확인합니다. 이 OSPF 인접 라우터는 GRE 인터페이스를 통해 인스턴스화됩니다. OSPF가 작동하면 로컬 SRX가 원격 SRX의 루프백 주소에 대한 경로를 학습했을 것으로 예상할 수 있습니다. 이 경로를 통해 루프백 기반 IBGP 피어링 세션이 GRE 터널을 통해 설정될 수 있습니다. 명령의 show bgp summary 출력은 BGP 세션이 설정된 상태이며 L3VPN 및 L2VPN 경로를 모두 교환하고 있음을 확인합니다.

LDP 작업 확인

목적

LDP가 GRE 터널에서 올바르게 작동하는지 확인합니다. LDP는 이 예에서 MPLS 신호 프로토콜로 기능합니다.

작업

SRX 시리즈 서비스 게이트웨이의 운영 모드에서 및 show ldp session 명령을 입력합니다show ldp neighbor.

의미

출력은 GRE 인터페이스를 통해 예상되는 LDP 이웃 관계를 확인합니다. 명령의 출력은 show ldp session 원격 SRX 디바이스의 루프백 주소에 대한 성공적인 세션 설정을 확인합니다. 이를 통해 LDP는 VPN 클라이언트에 대한 MPLS 전달을 지원하는 전송 레이블을 교환할 수 있습니다.

VPLS 연결 확인

목적

VPLS 연결이 업 상태인지 확인합니다.

작업

SRX 시리즈 서비스 게이트웨이의 운영 모드에서 명령을 입력합니다 show vpls connections .

의미

출력은 VPLS 연결의 예상 Up 상태를 보여줍니다. 연결이 작동하면 VPN 클라이언트 디바이스가 트래픽을 전달할 수 있어야 합니다.

DNF가 설정된 대규모 패킷에 대한 엔드 투 엔드 VPLS 연결 확인

목적

레이어 2 VPLS 클라이언트 디바이스가 DNF 비트가 설정된 1500바이트 프레임을 전송할 수 있는지 확인합니다. 레이어 2 서비스이기 때문에 단편화가 불가능합니다. 결과적으로 DNF 비트는 엔드 투 엔드로 작동합니다. 이 예제의 구성에서 이러한 설정으로 인해 트래픽이 암호화된 후(사 단편화) 수신 SRX 디바이스가 IPsec 패킷을 단편화하게 됩니다. 포스트 단편화는 트래픽이 ge-0/0/1 인터페이스를 향하는 WAN으로 송신될 때 발생합니다.

포스트 단편화는 원격 SRX 디바이스가 복호화를 수행하기 전에 패킷을 리어셈블하도록 강제하며, 이는 암호화된 트래픽의 포워딩 성능에 영향을 미칠 수 있습니다. 이는 옵션을 사용할 때 예상되는 동작입니다 df-bit clear . 이 동작을 보여 주는 것이 이 NCE의 이유입니다. 다른 df-bit 옵션, 즉 df-bit copydf-bit set를 사용하면 VPN 클라이언트에서 DNF 비트를 설정할 때 WAN MTU를 초과하는 VPN 패킷에 대해 패킷이 폐기되고 ICMP 오류 메시지가 생성됩니다.

작업

VPLS Host1의 운영 모드에서 DNF 비트가 설정된 1500바이트 IP 패킷을 생성하는 방식으로 VPLS Host2를 ping합니다. 이 트래픽에 MPLS, GRE 및 IPsec 오버헤드가 추가되면 나가는 WAN 인터페이스의 MTU를 초과합니다. Layer 2 서비스이기 때문에(또는 L3VPN 클라이언트의 경우 DNF 비트를 설정하여) 사전 단편화가 차단된다는 점을 감안할 때, 이러한 패킷은 옵션 설정에 df-bit clear 따라 사후 단편화를 강제합니다

VPN 클라이언트 디바이스의 구성 및 작동은 이 예의 범위를 벗어납니다. 테스트를 위해 MX 라우터는 VPN 클라이언트 역할을 하는 데 사용됩니다. 결과적으로 시연된 ping 명령은 Junos CLI를 기반으로 합니다.

의미

출력은 ping이 성공한 것을 보여줍니다. 1480바이트의 에코 트래픽은 20바이트 IP 헤더가 추가될 때 1500바이트 IP 패킷을 생성합니다. 따라서 결과는 VPLS 클라이언트 디바이스가 캡슐화 오버헤드에도 불구하고 WAN 링크를 통해 1,500바이트 패킷을 1,500바이트 MTU로 교환할 수 있음을 확인합니다. 이는 레이어 2 서비스이므로 단편화가 불가능하며 DNF 비트가 엔드 투 엔드로 작동합니다. 그러나 PE 디바이스는 IP 트래픽을 단편화할 수 있기 때문에 L3VPN 클라이언트를 테스트할 때 DNF 비트를 사용하는 것이 중요합니다.

발신 인터페이스에서 IP 단편화 확인

목적

WAN 최대 전송 단위(MTU)를 초과하는 VPLS 클라이언트 트래픽이 나가는 ge-0/0/1.0 인터페이스에서 단편화되는지 확인합니다. 백그라운드 OSPF, LDP 및 BGP 트래픽으로 인해 ge-0/0/0.0 인터페이스 카운터가 증가하기 때문에 이 단계에서는 타이밍이 중요합니다. 목표는 VPLS 호스트에서 100개의 1,500바이트 패킷을 생성한 다음 IPsec과 인터페이스 통계를 신속하게 비교하여 IPsec 터널의 수와 비교할 때 나가는 WAN 인터페이스에 약 2배 많은 패킷이 표시되는지 확인하는 것입니다.

작업

SRX 시리즈 서비스 게이트웨이의 운영 모드에서 및 명령을 사용하여 IPsec 및 clear security ipsec statistics 인터페이스 통계를 clear interfaces statistics all 모두 지웁니다. 그런 다음 VPLS 엔드포인트 간 패킷 크기가 1,500바이트인 100개의 빠른 ping을 생성합니다. 핑이 완료되면 IPsec 터널 및 ge-0/0/1 인터페이스에 대한 패킷 수를 및 show security ipsec statistics 명령으로 show interfaces ge-0/0/1 detail 표시합니다.

VPLS 엔드포인트 간 패킷 크기가 1,500바이트인 100개의 빠른 핑을 생성합니다. 간결성을 위해 표시되지 않습니다. 이전 단계의 명령을 참조하십시오. 간결성을 위해 여기에 표시되지 않습니다.

의미

명령의 show interfaces ge-0/0/1.0 detail 출력은 200개 이상의 패킷이 송수신되었음을 보여줍니다. 반면 IPsec 통계는 약 100개의 패킷 수를 확인합니다. 이는 VPLS 클라이언트가 보낸 각 패킷이 WAN 방향 ge-0/0/1.0 인터페이스에서 단편화되었음을 확인합니다.

L3VPN 확인

목적

L3VPN 작동을 확인합니다.

작업

SRX 시리즈 서비스 게이트웨이의 운영 모드에서 명령을 사용하여 show route 원격 L3VPN 서브넷에 대한 경로를 표시합니다. 그런 다음 원격 L3VPN 엔드포인트에 대한 ping을 생성하여 연결을 확인합니다.

로컬 SRX에서 원격 VPN 엔드포인트로의 연결을 테스트합니다.

참고:

이 구성에서는 로컬 SRX에서 로컬 L3VPN 클라이언트로의 ping이 성공하지 못합니다. 이는 패킷 모드의 사용 및 VPN 인터페이스에 대한 보안 영역의 부족과 관련이 있습니다. 위에 표시된 것처럼 로컬 SRX에서 원격 L3VPN 대상으로 ping할 수 있습니다. 표시되지는 않았지만 로컬 L3VPN 클라이언트에서 로컬 PE VRF 인터페이스로 생성된 ping이 성공할 것으로 예상됩니다.

L3VPN에 대한 엔드 투 엔드 연결을 테스트합니다. L3VPN 클라이언트 엔드포인트 간에 점보 핑을 생성합니다. 이 예에서 L3VPN 클라이언트는 4k MTU로 구성됩니다. 다시 한 번 MX 라우터를 사용하여 L3VPN 클라이언트를 채우므로 Junos ping 구문이 사용됩니다.

의미

출력은 원격 L3VPN 클라이언트에 대한 경로가 BGP를 통해 올바르게 학습되고 MPLS 레이블 작업이 있는 GRE 인터페이스를 가리킨다는 것을 보여줍니다. 핑 테스트 결과는 DNF 비트가 설정된 상태에서 3,000 + 바이트 핑을 전송하는 경우에도 L3VPN에 대한 예상 연결을 확인합니다.