Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

비즈니스 에지용 레이어 3 VPN을 통한 인라인 정적 NAT

이 예에 대한 정보

이 예에서는 서비스 프로바이더가 고객 LAN에서 인라인 NAT를 사용하여 서비스 프로바이더 MPLS 코어에서 클라우드 서비스까지 인라인 NAT를 사용하여 서로 다른 네트워크에 있는 엔터프라이즈 직원에게 클라우드 서비스에 대한 액세스 권한을 부여하는 방법을 보여줍니다. 이 예제는 다음과 같이 구성됩니다.

  • 고객 LAN에서 클라우드 서비스로 트래픽을 생성하는 고객 에지(CE) 라우터 3개.

  • PE(Provider Edge) 라우터 3개.

  • 기업 또는 서비스 공급자에 속할 수 있는 클라우드 서비스.

그림 1: 인라인 NAT 네트워크 개요 Inline NAT Network Overview

기술 개요

그림 2는 이 예에서 사용된 기술에 대한 개요를 보여줍니다.

그림 2: 인라인 네트워크 주소 변환(NAT) 예제 네트워크 개요 Inline NAT Example Network Overview

라우팅 개요

코어는 다음을 사용하는 MPLS 코어입니다.

  • 엔드 투 엔드 경로를 설정하는 신호 프로토콜로서의 RSVP.

  • PE 라우터 간의 LSP(Label-switched path) 터널.

  • EBGP를 사용하여 CE 라우터 및 클라우드 서비스에서 PE 라우터로 경로를 배포합니다.

  • PE 라우터 간에 라우팅 정보를 교환하기 위한 멀티프로토콜 BGP(MP–BGP).

  • OSPF는 BGP가 다음 홉을 확인할 수 있도록 코어에 도달 가능성 정보를 제공합니다.

레이어 3 VPN

레이어 3 VPN은 공통 라우팅 정보를 공유하고 정책에 의해 연결이 제어되는 사이트 집합입니다. 레이어 3 VPN을 사용하면 서비스 프로바이더가 IP 코어를 사용하여 고객에게 VPN 서비스를 제공할 수 있습니다.

BGP는 프로바이더의 코어에 VPN 라우팅 정보를 배포하고 MPLS는 코어를 통해 VPN 사이트로 VPN 트래픽을 전달하기 때문에 이 예에서 계층 3 VPN 유형을 BGP/MPLS VPN이라고 합니다.

이 예에서 레이어 3 VPN에는 고객 사이트 3개와 클라우드 서비스 사이트 1개, 총 4개의 사이트가 연결되어 있습니다. 레이어 3 VPN에는 허브 앤 스포크 구성이 있습니다. 라우터 PE1 및 PE2는 스포크 역할을 하며 고객 네트워크에 연결됩니다. PE3는 허브이며 클라우드 서비스에 연결됩니다.

인라인 NAT

MX 시리즈 디바이스에서는 MPC 라인 카드에 인라인 NAT를 사용할 수 있습니다. MS-MPC와 같은 전용 서비스 인터페이스가 필요하지 않습니다. 인라인 NAT는 Junos OS에서 방화벽과 폴리서가 처리되는 방식과 유사하게 포워딩 플레인에 적용됩니다. 인라인 NAT는 FPC 및 PIC를 기반으로 하는 서비스 인라인(si) 인터페이스에서 실행됩니다.

패킷을 처리하기 위해 서비스 카드로 전송할 필요가 없기 때문에 MX 시리즈 라우터는 회선 속도, 저지연 NAT 변환을 달성할 수 있습니다. 인라인 NAT 서비스는 서비스 카드를 사용하는 것보다 더 나은 성능을 제공하지만 그 기능은 더 기본적입니다. 인라인 NAT는 정적 NAT만 지원합니다.

인라인 네트워크 주소 변환(NAT)에는 두 가지 유형이 있습니다.

  • 인터페이스 스타일—인터페이스에 도착하는 패킷이 서비스 세트를 통해 전송되는 인터페이스 기반 방법입니다. 인터페이스 스타일 NAT를 사용하여 인터페이스의 모든 트래픽에 NAT를 적용할 수 있습니다.

  • 다음 홉 스타일—라우팅 인스턴스가 특정 네트워크에서 패킷을 전달하거나 특정 목적지로 향할 때 일반적으로 사용되는 경로 기반 방법입니다. 라우팅 인스턴스는 고객 트래픽을 서비스 인터페이스로 이동하며, NAT는 경로와 일치하는 트래픽에 적용됩니다.

이 예제에서는 두 가지 방법이 모두 사용됩니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • MPC(Modular Port Concentrator)가 탑재된 MX 시리즈 라우터

  • Junos OS 릴리스 17.1R1 이상

코어 구성

핵심 개요

코어 구성은 물리적 및 루프백 인터페이스와 라우팅 프로토콜로 구성됩니다. 라우팅 프로토콜 설계에는 다음이 포함됩니다.

  • RSVP는 PE1과 PE3 사이, PE2와 PE3 사이의 엔드 투 엔드 경로를 설정하는 신호 프로토콜입니다.

  • MPLS LSP는 PE1과 PE3 사이 및 PE2와 PE3 사이에 터널을 제공합니다.

  • OSPF는 BGP가 다음 홉을 확인할 수 있도록 코어에서 연결성 정보를 제공합니다.

  • MP-BGP는 PE 라우터가 VPN에서 시작되고 끝나는 경로에 대한 정보를 교환할 수 있도록 허용하여 레이어 3 VPN을 지원합니다.

그림 3: • 코어 인터페이스 및 라우팅 • Core Interfaces and Routing

핵심 전송 신호 설계 고려 사항

PE 디바이스는 LSP를 사용하여 MPLS 코어를 통해 고객 트래픽을 전송합니다. 이 설계에서는 엔드 투 엔드 LSP 경로인 LDP와 RSVP를 설정하기 위해 가장 일반적인 두 가지 신호 유형을 고려했습니다. 주니퍼는 엔드 투 엔드 경로를 설정하는 신호 프로토콜로 RSVP를 사용하고 있습니다.

이 예에서 MP-BGP는 프로바이더의 코어에 VPN 라우팅 정보를 배포하고, MPLS는 코어를 통해 원격 VPN 사이트로 VPN 트래픽을 전달합니다.

IGP(Interior Gateway Protocol) 설계 고려 사항

IGP는 AS(Autonomous System) 내에서 라우팅 정보를 교환합니다. OSPF를 코어 네트워크의 IGP로 사용하고 있습니다. OSPF를 선택한 이유는 구성이 쉽고, 많은 계획이 필요하지 않고, 요약 및 필터링이 유연하고, 대규모 네트워크로 확장할 수 있기 때문입니다.

PE1 구성

  1. 코어 대면 물리적 인터페이스와 루프백 인터페이스를 구성합니다.
  2. 코어 대면 인터페이스(xe-0/0/2.0)에서 코어 라우팅 프로토콜을 구성합니다.
    • RSVP를 활성화합니다.

    • 코어 대면 인터페이스에서 MPLS를 활성화하여 MPLS가 인터페이스에 대한 MPLS 레이블을 생성할 수 있도록 합니다.

    • PE1에서 PE3으로 MPLS LSP 터널을 구성합니다.

    • IBGP를 구성하고 PE3의 루프백 주소를 이웃으로 추가합니다.

    • OSPF를 구성하고 코어 대면 인터페이스와 루프백 인터페이스를 영역 0에 추가합니다.

    MPLS 구성에 문을 추가하여 no-cspf 제한된 경로 LSP 계산을 비활성화하는 것이 좋습니다. CSPF는 기본적으로 사용하도록 설정되지만 필요하지 않을 때는 끄는 것이 좋습니다.

  3. 자율 시스템을 구성합니다.
  4. 플로우 로드 밸런싱을 구성하고 적용합니다.

PE2 구성

  1. 코어 대면 물리적 인터페이스와 루프백 인터페이스를 구성합니다.
  2. 코어 대면 인터페이스(xe-0/0/0.0)에서 코어 라우팅 프로토콜을 구성합니다.
    • RSVP를 활성화합니다.

    • PE2에서 PE3으로 MPLS LSP 터널을 구성합니다.

    • 코어 대면 인터페이스에서 MPLS를 활성화하여 MPLS가 인터페이스에 대한 MPLS 레이블을 생성할 수 있도록 합니다.

    • IBGP를 구성하고 PE3의 루프백 주소를 이웃으로 추가합니다.

    • OSPF를 구성하고 코어 대면 인터페이스와 루프백 인터페이스를 영역 0에 추가합니다.

    MPLS 구성에 문을 추가하여 no-cspf 제한된 경로 LSP 계산을 비활성화하는 것이 좋습니다. CSPF는 기본적으로 사용하도록 설정되지만 필요하지 않을 때는 끄는 것이 좋습니다.

  3. 자율 시스템을 구성합니다.
  4. 플로우 로드 밸런싱을 구성하고 적용합니다.

PE3 구성

  1. 코어 대면 물리적 인터페이스와 루프백 인터페이스를 구성합니다.
  2. 코어 대면 인터페이스(xe-0/0/0.0 및 xe-0/0/1.0)에서 코어 라우팅 프로토콜을 구성합니다.
    • RSVP를 활성화합니다.

    • 코어 대면 인터페이스에서 MPLS를 활성화하여 MPLS가 인터페이스에 대한 MPLS 레이블을 생성할 수 있도록 합니다.

    • PE3에서 PE1로, PE3에서 PE2로 MPLS LSP 터널을 구성합니다.

    • IBGP를 구성하고 PE1 및 PE3 루프백 주소를 이웃으로 추가합니다.

    • OSPF를 구성하고 코어 대면 인터페이스와 루프백 인터페이스를 영역 0에 추가합니다.

    MPLS 구성에 문을 추가하여 no-cspf 제한된 경로 LSP 계산을 비활성화하는 것이 좋습니다. CSPF는 기본적으로 사용하도록 설정되지만 필요하지 않을 때는 끄는 것이 좋습니다.

  3. 자율 시스템을 구성합니다.
  4. 플로우 로드 밸런싱을 구성하고 적용합니다.

구성 확인

코어 구성을 커밋한 후 확인합니다. 아래 예제에서는 PE3의 출력을 보여 줍니다.

  1. 물리적 인터페이스가 작동 중인지 확인합니다.
  2. OSPF 인접 라우터를 확인합니다.
  3. PE1 및 PE2에서 BGP 피어를 확인합니다.
  4. IBGP 그룹에 인접 항목이 설정되어 있음을 보여줍니다.
  5. RSVP 세션을 확인합니다.
  6. MPLS LSP 세션을 확인합니다.
  7. MPLS LSP(Label-Switched Path)의 상태를 확인합니다.
  8. 코어에서 OSPF 수준의 도달 가능성을 검증하려면 PE3에서 PE1을 ping합니다.

PE 라우터에서 레이어 3 VPN 구성

레이어 3 VPN 개요

주니퍼는 레이어 3 VPN을 사용하여 코어를 통해 각 고객 LAN 및 클라우드 서비스의 트래픽을 분리하고 라우팅합니다. VPN에는 4개의 사이트, 즉 3개의 고객 LAN 및 클라우드 서비스가 있습니다.

PE 라우터에서 고객 LAN과 클라우드 서비스에 대한 경로를 구분하기 위해 가상 라우팅 및 포워딩(VRF) 라우팅 인스턴스를 사용하고 있습니다. VRF 라우팅 인스턴스에는 하나 이상의 라우팅 테이블, 포워딩 테이블, 포워딩 테이블을 사용하는 인터페이스, 포워딩 테이블로 들어가는 항목을 제어하는 정책 및 라우팅 프로토콜이 있습니다. VRF 테이블은 CE 사이트 및 클라우드 서비스에서 수신한 경로와 VPN의 다른 PE 라우터에서 수신한 경로로 채워집니다. 각 사이트에는 자체 라우팅 인스턴스가 있으므로 각 사이트에는 별도의 테이블, 규칙 및 정책이 있습니다.

이 예에서는 허브 및 스포크 VPN 구성을 사용합니다. 라우터 PE1 및 PE2는 스포크이며 고객 네트워크를 나타냅니다. PE3는 허브이며 클라우드 서비스를 나타냅니다. 정책은 트래픽을 허브 또는 스포크로 표시하며, 표시는 트래픽을 올바른 VRF 라우팅 인스턴스로 전달하는 데 사용됩니다.

그림 4: 허브 및 스포크 Layer 3 VPN with Hub and Spokes 가 있는 레이어 3 VPN

PE1 구성

  1. 고객 A와 고객 B에 대한 물리적 인터페이스를 구성합니다.
  2. 라우터의 VRF 라우팅 인스턴스에서 VPN 가져오기 및 내보내기 정책으로 사용할 정책을 구성합니다.
    • CustA-to-CloudSvcsCustB-to-CloudSvcs- BGP가 정책과 일치하는 경로를 내보낼 때 스포크 태그를 추가하는 내보내기 정책입니다.

    • from-CloudSvcs- 허브 태그가 있는 수신 경로를 VRF 라우팅 테이블에 추가하는 가져오기 정책입니다.

  3. 고객 A와 B를 위한 VRF 라우팅 인스턴스를 구성합니다. 이러한 라우팅 인스턴스는 PE1에 다음과 같은 라우팅 테이블을 생성합니다.
    • 고객 A의 경우 VRF 테이블은 Cust-A-VRF.inet.0입니다.

    • 고객 B의 경우 VRF 테이블은 Cust-B-VRF.inet.0입니다.

    각 라우팅 인스턴스에는 다음이 포함되어야 합니다.

    • PE 라우터에서 VPN에 대한 VRF 라우팅 테이블을 생성하는 VRF의 인스턴스 유형입니다.

    • 고객 CE 디바이스에 연결된 인터페이스입니다.

    • PE 라우터의 각 라우팅 인스턴스에 대해 고유해야 하는 경로 구분자. 한 VPN의 주소를 다른 VPN의 주소와 구별하는 데 사용됩니다.

    • 허브 태그가 있는 수신 경로를 VRF 라우팅 테이블에 추가하는 VRF 가져오기 정책입니다.

    • BGP가 경로를 내보낼 때 스포크 태그를 추가하는 VRF 내보내기 정책입니다.

    • 패킷의 내부 레이블을 특정 VRF 테이블에 매핑하는 VRF 테이블 레이블입니다. 이를 통해 캡슐화된 IP 헤더를 검사할 수 있습니다. 이 옵션으로 구성된 VRF의 모든 경로는 VRF당 할당된 레이블로 광고됩니다.

  4. IBGP 그룹에 레이어 3 VPN 지원을 추가합니다.

PE2 구성

  1. 고객 C에 대한 인터페이스를 구성합니다.
  2. 라우터의 VRF 라우팅 인스턴스에서 VPN 가져오기 및 내보내기 정책으로 사용할 정책을 구성합니다.
    • CustC-to-CloudSvcs- BGP가 정책과 일치하는 경로를 내보낼 때 스포크 태그를 추가하는 내보내기 정책입니다.

    • from-CloudSvcs- 허브 태그가 있는 수신 경로를 VRF 라우팅 테이블에 추가하는 가져오기 정책입니다.

  3. VPN 내에서 패킷을 전달하기 위한 라우팅 테이블을 생성할 고객 C에 대한 VRF 라우팅 인스턴스를 구성합니다.

    Cust-C의 경우 VRF 테이블은 Cust-C.inet.0입니다.

    라우팅 인스턴스에는 다음이 포함되어야 합니다.

    • PE 라우터의 각 라우팅 인스턴스에 대해 고유해야 하는 경로 구분자. 한 VPN의 주소를 다른 VPN의 주소와 구별하는 데 사용됩니다.

    • PE 라우터에서 VPN에 대한 VRF 라우팅 테이블을 생성하는 VRF의 인스턴스 유형입니다.

    • CE3에 연결된 인터페이스입니다.

    • 허브 태그가 있는 수신 경로를 VRF 라우팅 테이블에 추가하는 VRF 가져오기 정책입니다.

    • BGP가 경로를 내보낼 때 스포크 태그를 추가하는 VRF 내보내기 정책입니다.

    • 패킷의 내부 레이블을 특정 VRF 테이블에 매핑하는 VRF 테이블 레이블입니다. 이를 통해 캡슐화된 IP 헤더를 검사할 수 있습니다. 이 옵션으로 구성된 VRF의 모든 경로는 VRF당 할당된 레이블로 광고됩니다.

  4. IBGP 그룹에 레이어 3 VPN 지원을 추가합니다.

PE3 구성

  1. 클라우드 서비스에 대한 물리적 인터페이스를 구성합니다.
  2. 라우터의 VRF 라우팅 인스턴스에서 VPN 가져오기 및 내보내기 정책으로 사용할 정책을 구성합니다.
    • to-Cust- BGP가 정책과 일치하는 경로를 내보낼 때 스포크 태그를 추가하는 내보내기 정책입니다.

    • from-Cust- 스포크 태그가 있는 수신 경로를 VRF 라우팅 테이블에 추가하는 가져오기 정책입니다.

  3. VPN 내에서 패킷을 전달하기 위한 라우팅 테이블을 생성하는 데 사용되는 VRF 라우팅 인스턴스를 구성합니다.

    클라우드 서비스의 경우 VRF 테이블은 CloudSvcs.inet.0입니다.

    라우팅 인스턴스에는 다음이 포함되어야 합니다.

    • PE 라우터의 각 라우팅 인스턴스에 대해 고유해야 하는 경로 구분자. 한 VPN의 주소를 다른 VPN의 주소와 구별하는 데 사용됩니다.

    • PE 라우터에 VRF 테이블을 생성하는 VRF의 인스턴스 유형입니다.

    • PE 라우터에 연결된 인터페이스.

    • 스포크 태그가 있는 수신 경로를 VRF 라우팅 테이블에 추가하는 VRF 가져오기 정책입니다.

    • BGP가 정책과 일치하는 경로를 내보낼 때 스포크 태그를 추가하는 VRF 내보내기 정책입니다.

  4. 이전에 구성된 IBGP 그룹에 레이어 3 VPN 지원을 추가합니다.

구성 확인

구성을 확인하려면 구성을 커밋한 후 다음을 수행합니다.

  1. PE3에서 IBGP 그룹의 neighbor를 표시합니다. bgp.l3vpn 및 CloudSvcs 라우팅 테이블이 추가되었습니다.
    참고:

    PE 라우터가 다른 PE 라우터로부터 경로를 수신하면 PE 라우터 간의 IBGP 세션에서 가져오기 정책과 비교해 확인합니다. 수락되면 라우터는 경로를 bgp.l3vpn.0 테이블에 배치합니다. 동시에 라우터는 VPN에 대한 VRF 가져오기 정책에 대해 경로를 확인합니다. 일치하는 경우 경로 구분자가 경로에서 제거되고 경로가 적절한 VRF 테이블( routing-instance-name.inet.0 테이블)에 배치됩니다.

  2. PE3에서 PE1 및 PE2의 BGP 피어를 확인합니다. 다시 bgp.l3vpn 테이블이 추가된 것을 확인합니다.
  3. PE1에서 Cust-A-VRF 라우팅 인스턴스가 활성 상태인지 확인합니다.
  4. PE1에서 Cust-A-VRF.inet.0 라우팅 테이블을 확인합니다.

CE 라우터 및 클라우드 서비스에서 PE 라우터로의 연결 구성

CE 라우터 및 클라우드 서비스에서 PE 라우터로의 연결 개요

CE 라우터와 PE1 및 PE2 간, 클라우드 서비스와 PE3 간 라우팅에 EBGP를 사용하고 있습니다. CE 라우터는 고객 LAN의 주소와 일치하는 라우팅 정책을 사용합니다. 이 정책을 EBGP 피어의 내보내기 정책으로 적용하면 EBGP가 이러한 주소를 PE 라우터로 전송합니다. 클라우드 서비스 라우터에서 동일한 구성을 수행하면 해당 경로가 PE3으로 전송됩니다.

그림 5: CE 라우터 및 클라우드 서비스에 Connections to CE Routers and Cloud Services 대한 연결

CE1과 PE1 간의 연결 구성

이 예에서는 라우터의 루프백 인터페이스를 사용하여 고객 LAN을 나타냅니다. 이것이 루프백 인터페이스가 고객 LAN의 IP 주소를 사용하는 이유입니다.

CE1 구성

  1. CE1에 대한 물리적 인터페이스 및 루프백 인터페이스를 구성합니다.
  2. 고객 A LAN의 주소와 일치하는 라우팅 정책을 구성합니다.
  3. CE1과 PE1 간의 피어링을 위한 EBGP 그룹을 구성합니다. 고객 A LAN과 일치하는 라우팅 정책을 내보내기 정책으로 적용합니다. BGP는 정책의 주소를 PE1에 보급하고, PE1은 고객 LAN 경로를 VPN에 재배포합니다.
  4. 라우터에 대한 AS(Autonomous System)를 구성합니다.

PE1 구성

PE1과 CE1 간의 피어링을 위해 Cust-A-VRF 라우팅 인스턴스에 EBGP 그룹을 추가합니다.

CE2와 PE1 간의 연결 구성

이 예에서는 라우터의 루프백 인터페이스를 사용하여 고객 LAN을 나타냅니다. 이것이 루프백 인터페이스가 고객 LAN의 IP 주소를 사용하는 이유입니다.

CE2 구성

  1. CE2에 대한 물리적 인터페이스 및 루프백 인터페이스를 구성합니다.
  2. 고객 B LAN의 주소와 일치하는 라우팅 정책을 구성합니다.
  3. CE2와 PE1 간의 피어링을 위한 EBGP 그룹을 구성합니다. 고객 B LAN과 일치하는 라우팅 정책을 내보내기 정책으로 적용합니다. BGP는 이 주소를 VPN 네트워크에 광고하며, 이는 고객 LAN 경로가 VPN에 배포됨을 의미합니다.
  4. 자율 시스템을 구성합니다.

PE1 구성

PE1과 CE2 간의 피어링을 위해 Cust-B-VRF 라우팅 인스턴스에 EBGP 그룹을 추가합니다.

CE3와 PE2 간의 연결 구성

이 예에서는 라우터의 루프백 인터페이스를 사용하여 고객 LAN을 나타냅니다. 이것이 루프백 인터페이스가 고객 LAN의 IP 주소를 사용하는 이유입니다.

CE3 구성

  1. CE3에 대한 물리적 인터페이스 및 루프백 인터페이스를 구성합니다.
  2. 고객 C LAN의 주소와 일치하는 라우팅 정책을 구성합니다.
  3. CE3와 PE2 간의 피어링을 위한 EBGP 그룹을 구성합니다. 고객 C LAN과 일치하는 라우팅 정책을 내보내기 정책으로 적용합니다. BGP는 이 주소를 VPN 네트워크에 광고하며, 이는 고객 LAN 경로가 VPN에 배포됨을 의미합니다.
  4. 자율 시스템을 구성합니다.

PE2 구성

PE2와 CE3 간의 피어링을 위해 Cust-C 라우팅 인스턴스에 EBGP 그룹을 추가합니다.

CE 라우터 및 클라우드 서비스에서 연결 확인

  1. CE 라우터의 물리적 인터페이스가 작동 중인지 확인합니다. 예를 들어:
  2. PE 라우터에서 CE 라우터로의 연결을 확인합니다. 예를 들어:
  3. PE3에서 클라우드 서비스로의 연결을 확인합니다.
  4. PE3에서 BGP 피어를 확인합니다. 클라우드 서비스(192.168.1.2)는 이제 BGP 피어입니다.
  5. PE1에서 CE1 및 CE2가 이제 BGP 피어인지 확인합니다.
  6. CE 라우터에서 EBGP 그룹을 확인합니다. 예를 들어:

인라인 네트워크 주소 변환(NAT) 구성

인라인 네트워크 주소 변환(NAT) 설계 고려 사항

인라인 NAT는 MPC 라인 카드가 있는 MX 시리즈 라우터에서 스테이트리스 주소 변환을 제공합니다. 인라인 서비스를 사용하면 전용 서비스 카드가 필요 없고 포워딩 용량이나 지연 시간에 거의 영향을 주지 않는다는 이점이 있습니다. 인라인 서비스는 일반적으로 서비스 카드를 사용하는 것보다 더 나은 성능을 제공하지만 그 기능은 더 기본적인 경향이 있습니다. 예를 들어 인라인 NAT는 정적 NAT만 지원합니다.

이 인라인 NAT 예제에서는 소스 정적 NAT를 사용하고 있습니다.

인라인 NAT의 유형

인라인 네트워크 주소 변환(NAT)에는 두 가지 유형이 있습니다.

  • 인터페이스 스타일—인터페이스에 도착하는 패킷이 서비스 세트를 통해 전송되는 인터페이스 기반 방법입니다. 인터페이스 스타일 NAT를 사용하여 인터페이스를 통과하는 모든 트래픽에 NAT를 적용합니다.

    인터페이스 스타일 NAT는 다음 홉 스타일의 NAT보다 구성이 간단합니다.

  • 다음 홉 스타일—라우팅 인스턴스가 인라인 서비스를 통해 특정 네트워크에서 소싱되거나 특정 대상으로 향하는 패킷을 전달할 때 일반적으로 사용되는 경로 기반 방법입니다.

이 예에서는 다음과 같이 인라인 NAT의 두 가지 방법을 모두 사용하는 방법을 보여줍니다.

  • PE1은 고객 A 및 고객 B 네트워크에서 클라우드 서비스로의 트래픽에 대해 다음 홉 기반 인라인 NAT를 사용합니다.

  • PE 2는 고객 C 네트워크에서 클라우드 서비스로의 트래픽에 인터페이스 기반 인라인 NAT를 사용합니다.

PE1에서 다음 홉 스타일 인라인 소스 네트워크 주소 변환(NAT) 구성

이 섹션에서는 다음 홉 스타일의 서비스 세트와 함께 si- 인터페이스를 사용하여 경로 기반 인라인 NAT를 구성하는 방법을 보여줍니다.

이 예에서 고객 A LAN과 고객 B LAN에는 겹치는 서브넷이 있습니다. PE1 라우터는 트래픽이 도착하는 si- 인터페이스에 따라 트래픽을 구별합니다.

그림 6: 다음 홉 스타일 인라인 NAT 구성 Next-Hop Style Inline NAT Configuration

이 섹션에서 사용되는 구성 항목은 다음과 같습니다.

  • 인라인 서비스 인터페이스 - MPC의 패킷 전달 엔진에 상주하는 가상 인터페이스. 서비스에 액세스하기 위해 트래픽은 si-(서비스 인라인) 인터페이스 안팎으로 흐릅니다.

  • 서비스 세트 - 수행된 서비스를 정의하고 서비스 세트로 들어오고 나가는 트래픽을 공급할 인라인 인터페이스를 식별합니다. 이 섹션에서는 인라인 서비스를 통해 특정 목적지로 향하는 패킷을 전달하기 위해 정적 경로가 사용되는 경로 기반 방법을 사용하는 다음 홉 스타일 서비스 세트를 구현합니다.

  • NAT 규칙 - if-then 구조(예: 방화벽 필터)를 사용하여 일치 조건을 정의한 다음 일치하는 트래픽에 주소 변환을 적용합니다.

  • NAT 풀 - NAT 규칙이 변환에 사용하는 사용자 정의 IP 주소 집합입니다.

  • 가상 라우터(VR) 라우팅 인스턴스 - NAT가 적용되는 si- 인터페이스로 고객 트래픽을 전송하는 기본 정적 경로를 포함합니다.

  • 방화벽 필터 - 고객 A와 고객 B의 인바운드 트래픽을 적절한 VR 라우팅 인스턴스로 리디렉션합니다.

  • VRF 라우팅 인스턴스 - 외부 si- 인터페이스가 고객 A와 고객 B의 VRF 라우팅 인스턴스에 추가되므로, NAT로 변환된 아웃바운드 트래픽이 VPN을 통해 의도된 경로에서 계속될 수 있습니다.

그림 7 은 고객 A LAN에서 클라우드 서비스로 들어오는 인라인 네트워크 주소 변환(NAT) 트래픽에 대한 PE1을 통과하는 트래픽 플로우를 보여줍니다.

그림 7: 고객 A LAN에서 클라우드 서비스로의 다음 홉 스타일 인라인 NAT 트래픽에 대한 PE1의 트래픽 플로우 Traffic Flow on PE1 for Next-Hop Style Inline NAT Traffic from Customer A LAN to Cloud Services

PE1에서 다음 홉 스타일 인라인 네트워크 주소 변환(NAT)을 구성하려면:

  1. 관련 FPC 슬롯과 PIC 슬롯에 인라인 서비스를 활성화하고 인라인 서비스에 사용할 대역폭의 양을 정의합니다.

    FPC 및 PIC 설정은 구성된 si- 인터페이스에 매핑됩니다.

  2. 네트워크 주소 변환(NAT)에 사용되는 서비스 인터페이스를 구성합니다. 내부 인터페이스는 네트워크의 CE 측에 있습니다. 외부 인터페이스는 네트워크의 코어 측에 있습니다.
    • 고객 네트워크에서 코어로 가는 트래픽의 경우:

      내부 인터페이스는 고객 네트워크의 수신 트래픽을 처리합니다. NAT가 이 트래픽에 적용된 다음 송신 트래픽이 외부 인터페이스로 전송됩니다.

    • 코어에서 고객 네트워크로 가는 트래픽의 경우:

      외부 인터페이스는 코어 네트워크의 수신 트래픽을 처리합니다. NAT가 이 트래픽에서 제거된 다음 송신 트래픽이 내부 인터페이스로 전송됩니다.

  3. 네트워크 주소 변환(NAT) 풀을 구성합니다.
  4. 다음과 같은 NAT 규칙을 구성합니다.
    • 고객 A와 고객 B 네트워크의 트래픽을 일치시킵니다.

    • 주소를 가져올 풀을 적용합니다.

    • IPv4 트래픽에 적용되는 정적 네트워크 주소 변환(NAT)의 한 유형인 기본 NAT 44를 적용합니다.

  5. 넥스트 홉 스타일 서비스 세트를 구성합니다. 서비스 세트는 서비스 인터페이스를 연결하고 서비스를 정의합니다. 이 경우 정의된 내부 및 외부 인터페이스를 통해 전송되는 트래픽에는 NAT 처리가 적용됩니다.
  6. 고객 A 트래픽과 고객 B 트래픽에 대한 VR 라우팅 인스턴스를 생성합니다. 이러한 라우팅 인스턴스는 고객 A와 B 트래픽을 분리합니다. 여기에는 내부 서비스 인터페이스와 NAT를 적용할 수 있는 서비스 세트로 트래픽을 전송하는 기본 정적 경로가 포함됩니다.
  7. 고객 A와 고객 B에서 VR 라우팅 인스턴스로 들어오는 트래픽을 리디렉션하는 방화벽 필터를 구성합니다.
  8. 방화벽 필터를 적절한 인터페이스에 적용합니다.
  9. 이전에 구성된 VRF 라우팅 인스턴스에 외부 si- 인터페이스를 추가합니다. 이렇게 하면 NAT로 변환된 아웃바운드 트래픽이 의도한 VRF 라우팅 인스턴스에 다시 배치되고 평소와 같이 VPN을 통해 전송될 수 있습니다.

클라우드 서비스의 반환 트래픽이 고객 LAN에 도달하도록 허용

클라우드 서비스의 반환 트래픽이 서비스 인터페이스를 통과하면 NAT 주소 지정이 제거되고 트래픽이 VR 라우팅 인스턴스로 전송됩니다. 그러나 VR 라우팅 인스턴스에는 고객 LAN에 대한 경로가 없으므로 추가해야 합니다. 이를 위해 RIB 그룹을 사용하여 VRF 라우팅 인스턴스에서 VR 라우팅 인스턴스로 경로를 공유합니다.

예를 들어, 고객 A LAN에 대한 트래픽의 경우 Cust-A-VRF.inet.0 라우팅 테이블에서 Cust-A-VR.inet.0 라우팅 테이블로 경로를 공유합니다. 그림 8 은 고객 A LAN으로 가는 클라우드 서비스에서 들어오는 인라인 NAT 트래픽에 대한 PE1을 통과하는 트래픽 흐름을 보여줍니다.

그림 8: 클라우드 서비스에서 고객 A LAN으로의 다음 홉 스타일 인라인 NAT 트래픽에 대한 PE1의 트래픽 흐름 Traffic Flow on PE1 for Next-Hop Style Inline NAT Traffic from Cloud Services to the Customer A LAN

PE1에서 경로 공유를 설정하기 전에 Cust-A-VR.inet.0 라우팅 테이블에는 기본 고정 경로만 있습니다.

Cust-A-VRF.inet.0 라우팅 테이블의 경로를 Cust-A-VR.inet.0 라우팅 테이블과 공유하려면 다음을 수행합니다.

  1. 공유할 경로와 일치하는 정책을 만듭니다.
    • 용어 1은 고객 LAN에 다시 연결할 수 있는 경로를 일치시킵니다.

    • 용어 2는 고객 에지(CE) 디바이스에 도달 가능성을 제공하는 인터페이스 경로와 일치합니다.

  2. 테이블 간 경로 공유를 위한 RIB 그룹을 생성합니다.
    • import-rib 명령문을 사용하여 공유할 원본 라우팅 테이블과 경로를 가져올 대상 라우팅 테이블을 차례로 나열합니다.

    • import-policy 명령문을 사용하여 공유할 특정 경로를 정의하는 데 사용되는 정책을 지정합니다.

  3. 이전에 생성한 VRF 라우팅 인스턴스에서 원하는 경로에 RIB 그룹을 적용합니다.
    • 직접 연결된 경로를 가져오려면 계층 아래에 routing-options RIB 그룹을 적용합니다.

    • 고객 LAN 경로를 가져오려면(PE1은 CE-to-PE EBGP 피어링을 통해 이러한 경로를 수신함) 계층 아래에 protocols RIB 그룹을 적용합니다.

경로 공유를 설정한 후 고객 A LAN에 대한 직접 인터페이스 경로와 BGP 경로가 Cust-A-VR.inet.0 라우팅 테이블에 추가되었습니다.

이제 반환 트래픽이 고객 LAN에 도달할 수 있습니다.

Next-Hop 스타일 인라인 NAT 확인

  1. CE1에서 CE1과 클라우드 서비스 간의 연결을 확인합니다.
  2. PE1에서 NAT 통계를 표시하여 트래픽이 NAT 변환되고 있는지 확인합니다.
  3. PE1에서 고객 A와 B의 주소를 변환하는 데 사용되는 NAT 풀을 확인합니다.
  4. 클라우드 서비스에서 라우터가 NAT 변환 소스 주소(192.0.2.0/24)의 PE1s 고객 A 풀에서 ping을 수신하고 있는지 확인합니다.

    CE1에서 클라우드 서비스로 ping을 다시 실행하고 클라우드 서비스에 다음 명령을 입력합니다.

  5. PE3에서 BGP 레이어 3 라우팅 테이블을 표시합니다. 이 표는 NAT 변환이 발생하고 있음을 확인합니다. 192.0.2.0/24는 고객 A 트래픽의 풀 A 주소입니다. 198.51.100.0은 고객 B 트래픽의 풀 B 주소입니다.

PE2에서 인터페이스 스타일 인라인 네트워크 주소 변환(NAT) 구성

고객 C의 트래픽에는 인터페이스 스타일의 인라인 NAT가 사용됩니다. 이 섹션에서는 다음 홉 스타일 네트워크 주소 변환(NAT)보다 간단한 구성을 사용하는 인터페이스 기반 인라인 네트워크 주소 변환(NAT)을 구성하는 방법을 보여줍니다.

그림 9: 인터페이스 스타일 NAT 구성 Interface-Style NAT Configuration

이 섹션에서 사용되는 구성 항목은 다음과 같습니다.

  • 인라인 서비스 인터페이스 - MPC의 패킷 전달 엔진에 상주하는 가상 인터페이스. 서비스에 액세스하기 위해 트래픽은 si-(service-inline) 인터페이스 안팎으로 흐릅니다.

  • Service set(서비스 세트) - 수행된 서비스를 정의하고 서비스 세트로 들어오고 나가는 트래픽을 공급할 인라인 인터페이스를 식별합니다. 이 섹션에서는 인터페이스에 도착하는 패킷이 인라인 서비스 인터페이스를 통해 전송되는 인터페이스 스타일의 서비스 세트를 구현합니다.

  • NAT 규칙 - 방화벽 필터와 유사한 if-then 구조를 사용하여 일치 조건을 정의한 다음 일치하는 트래픽에 주소 변환을 적용합니다.

  • NAT 풀 - NAT 규칙이 변환에 사용하는 사용자 정의 IP 주소 집합입니다.

  • VRF 라우팅 인스턴스 - 고객 C의 VRF 라우팅 인스턴스에 si- 인터페이스가 추가됩니다.

그림 10 은 고객 C LAN에서 클라우드 서비스로 전송된 트래픽에 대한 PE2의 트래픽 플로우를 보여줍니다.

그림 10: 고객 C LAN에서 클라우드 서비스로의 인터페이스 스타일 인라인 NAT 트래픽에 대한 PE2의 트래픽 플로우 Traffic Flow on PE2 for Interface-Style Inline NAT traffic from Customer C LAN to Cloud Services

그림 11 은 클라우드 서비스에서 고객 C LAN으로의 트래픽에 대한 PE2의 트래픽 플로우를 보여줍니다.

그림 11: 클라우드 서비스에서 고객 C LAN으로의 인터페이스 스타일 NAT 트래픽에 대한 PE2의 트래픽 플로우 Traffic Flow on PE2 for Interface-Style NAT Traffic from Cloud Services to Customer C LAN

PE2에서 인터페이스 스타일 인라인 NAT를 구성하려면:

  1. 관련 FPC 슬롯과 PIC 슬롯에 인라인 서비스를 활성화하고 인라인 서비스에 사용할 대역폭의 양을 정의합니다.

    FPC 및 PIC 설정은 이전에 구성된 si- 인터페이스에 매핑됩니다.

  2. 네트워크 주소 변환(NAT)에 사용되는 서비스 인터페이스를 구성합니다. 인터페이스 스타일 NAT에는 하나의 인터페이스만 필요합니다.
  3. 네트워크 주소 변환(NAT) 풀을 구성합니다.
  4. 다음과 같은 NAT 규칙을 구성합니다.
    • 고객 C 네트워크의 트래픽과 일치합니다.

    • 주소를 가져올 풀을 적용합니다.

    • IPv4 트래픽에 적용되는 정적 NAT의 한 유형인 기본 NAT 44를 적용합니다.

  5. 서비스 인터페이스를 네트워크 주소 변환(NAT) 서비스에 연결하는 인터페이스 스타일의 서비스 세트를 구성합니다. 이 경우 NAT 서비스는 SRC-NAT-C NAT 규칙을 사용합니다.

    트래픽은 인라인 NAT 서비스에 액세스하기 위해 si- 인터페이스 안팎으로 흐릅니다.

  6. 고객 C의 인터페이스인 xe-0/0/2 인터페이스에 입력 및 출력 서비스 세트를 적용합니다. 이 구성은 고객 C와 주고받는 모든 트래픽이 서비스 세트를 통해 리디렉션되도록 지정합니다.
  7. Cust-C VRF 라우팅 인스턴스에 si- 인터페이스를 추가합니다.

이 컨피그레이션을 사용하면 고객 C의 트래픽이 PE2의 인터페이스로 들어가고, 서비스 인터페이스를 통해 NAT 변환을 위한 서비스 세트로 리디렉션됩니다. 그런 다음 트래픽은 VRF 라우팅 인스턴스로 반환되며 평소와 같이 VPN을 통해 전송될 수 있습니다.

인터페이스 스타일 인라인 NAT 확인

  1. CE3에서 CE3와 클라우드 서비스 간의 연결을 확인합니다.
  2. PE2에서 인라인 네트워크 주소 변환(NAT) 통계를 표시하여 트래픽이 네트워크 주소 변환(NAT)으로 변환되고 있는지 확인합니다.
  3. PE2에서 인라인 NAT가 올바르게 적용되고 있는지 확인합니다.
  4. PE2에서 고객 C 네트워크의 라우팅 테이블에 NAT 변환 풀이 표시되는지 확인합니다.
  5. 클라우드 서비스에서 라우터가 NAT 변환 소스 주소(203.0.113.0/24)의 PE2s 풀에서 ping을 수신하고 있는지 확인합니다.

    CE3에서 클라우드 서비스로 ping을 다시 실행하고 클라우드 서비스에 다음 명령을 입력합니다.

전체 라우터 구성

이 섹션에는 각 라우터의 전체 컨피그레이션이 있습니다.

PE1 구성

PE2 구성

PE3 구성

CE1 구성

CE2 구성

CE3 구성