터널 서비스 개요
터널 서비스 개요
터널링은 전송 프로토콜 내에 임의의 패킷을 캡슐화함으로써 공용 네트워크를 통해 비공개적이고 안전한 경로를 제공합니다. 터널은 불연속 서브네트워크를 연결하고 암호화 인터페이스, VPN(가상 사설망) 및 MPLS를 활성화합니다. M 시리즈 또는 T 시리즈 라우터에 터널 PIC(Physical Interface Card )가 설치되어 있는 경우 유니캐스트, 멀티캐스트 및 논리적 터널을 구성할 수 있습니다.
VPN에 대해 두 가지 유형의 터널을 구성할 수 있는데, 하나는 라우팅 테이블 조회를 용이하게 하고 다른 하나는 VPN 라우팅 및 포워딩 인스턴스(VRF) 테이블 조회를 용이하게 합니다.
암호화 인터페이스에 대한 자세한 내용은 암호화 인터페이스 구성을 참조하십시오. VPN에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오. MPLS에 대한 자세한 내용은 MPLS 애플리케이션 사용자 가이드를 참조하십시오.
SRX 시리즈 방화벽에서 GRE(Generic Routing Encapsulation) 및 IP-IP 터널은 각각 내부 인터페이스인 gr-0/0/0 및 ip-0/0/0을 사용합니다. Junos OS는 시스템 부팅 시 이러한 인터페이스를 생성합니다. 물리적 인터페이스와 관련이 없습니다.
주니퍼 네트웍스 Junos OS는 다음 표에 표시된 터널 유형을 지원합니다.
인터페이스 |
묘사 |
---|---|
|
구성 가능한 GRE(Generic Routing Encapsulation) 인터페이스. GRE를 사용하면 하나의 라우팅 프로토콜을 다른 라우팅 프로토콜보다 캡슐화할 수 있습니다. 라우터 내에서 패킷은 이 내부 인터페이스로 라우팅되며, 여기서 먼저 GRE 패킷으로 캡슐화된 다음 다른 프로토콜 패킷으로 다시 캡슐화되어 GRE를 완료합니다. GRE 인터페이스는 내부 인터페이스 전용이며 물리적 인터페이스와 연결되어 있지 않습니다. GRE를 수행하려면 인터페이스를 구성해야 합니다. |
|
내부적으로 생성된 GRE 인터페이스. 이 인터페이스는 GRE를 처리하기 위해 Junos OS에 의해 생성됩니다. 이 인터페이스는 구성할 수 없습니다. |
|
구성 가능한 IP-over-IP 캡슐화(IP 터널링이라고도 함) 인터페이스. IP 터널링을 사용하면 하나의 IP 패킷을 다른 IP 패킷 위에 캡슐화할 수 있습니다. 패킷은 IP 패킷으로 캡슐화된 다음 캡슐화 패킷의 대상 주소로 전달되는 내부 인터페이스로 라우팅됩니다. IP-IP 인터페이스는 내부 인터페이스 전용이며 물리적 인터페이스와 연관되어 있지 않습니다. IP 터널링을 수행하려면 인터페이스를 구성해야 합니다. |
|
내부적으로 생성된 IP-over-IP 인터페이스. 이 인터페이스는 IP-over-IP 캡슐화를 처리하기 위해 Junos OS에 의해 생성됩니다. 구성 가능한 인터페이스가 아닙니다. |
|
SRX 시리즈 방화벽 |
|
내부적으로 생성된 멀티캐스트 터널 인터페이스. 멀티캐스트 터널은 모든 유니캐스트 패킷을 필터링합니다. 수신 패킷이 -또는 그 이상의 접두사로 라우터 내에서 패킷은 멀티캐스트 필터링을 위해 이 내부 인터페이스로 라우팅됩니다. 멀티캐스트 터널 인터페이스는 내부 인터페이스일 뿐이며 물리적 인터페이스와 연결되지 않습니다. 라우터에 터널 서비스 PIC가 있는 경우, Junos OS는 사용자가 구성하는 각 VPN(Virtual Private Network)에 대해 멀티캐스트 터널 인터페이스( |
|
내부적으로 생성된 멀티캐스트 터널 인터페이스. 이 인터페이스는 멀티캐스트 터널 서비스를 처리하기 위해 Junos OS에 의해 생성됩니다. 구성 가능한 인터페이스가 아닙니다. |
|
구성 가능한 PIM(Protocol Independent Multicast) 캡슐화 해제 인터페이스. PIM Sparse 모드에서 첫 번째 홉 라우터는 랑데부 포인트 라우터로 향하는 패킷을 캡슐화합니다. 패킷은 유니캐스트 헤더로 캡슐화되고 유니캐스트 터널을 통해 랑데부 지점으로 전달됩니다. 그런 다음 랑데부 지점은 패킷을 캡슐화 해제하고 멀티캐스트 트리를 통해 전송합니다. 라우터 내에서 패킷은 캡슐화 해제를 위해 이 내부 인터페이스로 라우팅됩니다. PIM 캡슐화 해제 인터페이스는 내부 인터페이스 전용이며 물리적 인터페이스와 연결되지 않습니다. PIM 캡슐화 해제를 수행할 수 있도록 인터페이스를 구성해야 합니다.
메모:
SRX 시리즈 방화벽에서 이 인터페이스 유형은 |
|
구성 가능한 PIM 캡슐화 인터페이스. PIM Sparse 모드에서 첫 번째 홉 라우터는 랑데부 포인트 라우터로 향하는 패킷을 캡슐화합니다. 패킷은 유니캐스트 헤더로 캡슐화되고 유니캐스트 터널을 통해 랑데부 지점으로 전달됩니다. 그런 다음 랑데부 지점은 패킷을 캡슐화 해제하고 멀티캐스트 트리를 통해 전송합니다. 라우터 내에서 패킷은 캡슐화를 위해 이 내부 인터페이스로 라우팅됩니다. PIM 캡슐화 인터페이스는 내부 인터페이스 전용이며 물리적 인터페이스와 연결되지 않습니다. PIM 캡슐화를 수행할 수 있도록 인터페이스를 구성해야 합니다.
메모:
SRX 시리즈 방화벽에서 이 인터페이스 유형은 |
|
내부적으로 생성된 PIM 캡슐화 해제 인터페이스. 이 인터페이스는 PIM 캡슐화 해제를 처리하기 위해 Junos OS에 의해 생성됩니다. 구성 가능한 인터페이스가 아닙니다. |
|
내부적으로 생성된 PIM 캡슐화 인터페이스. 이 인터페이스는 PIM 캡슐화를 처리하기 위해 Junos OS에 의해 생성됩니다. 구성 가능한 인터페이스가 아닙니다. |
|
구성 가능한 가상 루프백 터널 인터페이스. MPLS 레이블을 기반으로 VRF 테이블 조회를 용이하게 합니다. 이 인터페이스 유형은 M 시리즈 및 T 시리즈 라우터에서 지원되지만 SRX 시리즈 방화벽에서는 지원되지 않습니다. MPLS 레이블을 기반으로 VRF 테이블 조회를 용이하게 하도록 가상 루프백 터널을 구성하려면 가상 루프백 터널 인터페이스 이름을 지정하고 이를 특정 라우팅 테이블에 속하는 라우팅 인스턴스와 연결합니다. 패킷은 경로 조회를 위해 가상 루프백 터널을 통해 루프백됩니다. |
Junos OS 릴리스 15.1부터 GRE 인터페이스를 통해 레이어 2 이더넷 서비스를 구성할 수 있습니다(gr-fpc/pic/port
GRE 캡슐화 사용). GRE 터널에서 레이어 2 이더넷 패킷이 종료되도록 하려면 인터페이스에서 브리지 도메인 프로토콜 패밀리 gr-
를 구성하고 인터페이스를 브리지 도메인과 연결해야 gr-
합니다. GRE 인터페이스를 코어 대면 인터페이스로 구성해야 하며 액세스 또는 트렁크 인터페이스여야 합니다. 인터페이스에서 브리지 도메인 패밀리 gr-
를 구성하려면 계층 수준에서 명령문을 [edit interfaces gr-fpc/pic/port unit logical-unit-number]
포함합니다family bridge
. 인터페이스를 브리지 도메인과 gr-
연결하려면 계층 수준에서 문을 [edit routing-instances routing-instance-name bridge-domains bridge-domain-name]
포함합니다interface gr-fpc/pic/port
. 계층 수준에서 문 또는 vlan-id-list [ vlan-id-numbers ]
문을 포함하여 vlan-id (all | none | number)
브리지 도메인의 GRE 인터페이스를 브리지 도메인의 해당 VLAN ID 또는 VLAN ID 목록과 [edit bridge-domains bridge-domain-name]
연결할 수 있습니다. 브리지 도메인에 대해 구성된 VLAN ID는 계층 수준에서 문 또는 vlan-id-list [ vlan-id-numbers ]
문을 사용하여 vlan-id (all | none | number)
GRE 인터페이스에 대해 구성하는 VLAN ID와 [edit interfaces gr-fpc/pic/port unit logical-unit-number]
일치해야 합니다. 가상 스위치 인스턴스와 연결된 브리지 도메인 내에서 GRE 인터페이스를 구성할 수도 있습니다. GRE 터널을 통한 레이어 2 이더넷 패킷도 GRE 키 옵션으로 지원됩니다. GRE 키 일치 조건을 통해 사용자는 GRE 캡슐화 패킷의 선택적 필드인 GRE 키 필드와 일치시킬 수 있습니다. 키는 단일 키 값, 키 값 범위 또는 둘 다로 일치시킬 수 있습니다.
Junos OS 릴리스 16.1부터 GRE 인터페이스를 통해 원격 컬렉터로의 레이어 2 포트 미러링이 지원됩니다.
또한보십시오
라인 카드가 있는 MX 시리즈 라우터의 터널 인터페이스(MPC7E - MPC11E)
MPC7E-10G, MPC7E-MRATE, MX2K-MPC8E 및 MX2K-MPC9E는 MPC당 총 4개, PIC당 1개의 인라인 터널 인터페이스를 지원합니다. 이러한 MPC를 사용하는 MX 시리즈 라우터에서 PIC 슬롯당 최대 4개의 슬롯(0에서 3까지)까지 터널 인터페이스 집합을 만들 수 있습니다.
MPC10E-15C는 MPC당 3개의 인라인 터널 인터페이스, PIC당 1개를 지원하는 반면, MPC10E-10C는 MPC당 2개의 인라인 터널 인터페이스, PIC당 1개의 인라인 터널 인터페이스를 지원합니다. MPC10E-15C가 장착된 MX 시리즈 라우터에서는 다음을 수행할 수 있습니다
PIC 슬롯당 최대 3개의 슬롯(0에서 2까지)까지 터널 인터페이스 세트를 생성합니다. 또한 MPC10E-10C를 사용하는 MX 시리즈 라우터에서는 PIC 슬롯당 최대 2개의 슬롯(0 및 1)까지 터널 인터페이스 집합을 생성할 수 있습니다.MX2K-MPC11E는 MPC당 8개, PIC당 1개의 인라인 터널 인터페이스를 지원합니다. MX2K-MPC11E가 탑재된 MX 시리즈 라우터에서는 PIC 슬롯당 최대 8개 슬롯(0에서 7까지)의 터널 인터페이스 집합을 생성할 수 있습니다. 이러한 PIC를 의사 터널 PIC라고 합니다. 계층 수준에서 다음 문을 포함하여 MPC7E-10G, MPC7E-MRATE, MX2K-MPC8E, MX2K-MPC9E, MPC10E-15C, MPC10E-10C 및 MX2K-MPC11E가 있는 MX 시리즈 라우터에서 [edit chassis] 터널 인터페이스를 생성합니다.
[edit chassis] fpc slot-number { pic number { tunnel-services { bandwidth ; } } }
- MPC7E-MRATE를 위한 패킷 전달 엔진 매핑 및 터널 대역폭
- MPC7E-10G를 위한 패킷 전달 엔진 매핑 및 터널 대역폭
- MX2K-MPC8E의 패킷 전달 엔진 매핑 및 터널 대역폭
- MX2K-MPC9E의 패킷 전달 엔진 매핑 및 터널 대역폭
- MPC10E-10C를 위한 패킷 전달 엔진 매핑 및 터널 대역폭
- MPC10E-15C를 위한 패킷 전달 엔진 매핑 및 터널 대역폭
- MX2K-MPC11E의 패킷 전달 엔진 매핑 및 터널 대역폭
- MX10K-LC9600의 패킷 전달 엔진 매핑 및 터널 대역폭
MPC7E-MRATE를 위한 패킷 전달 엔진 매핑 및 터널 대역폭
MPC7E-MRATE의 터널 대역폭은 1-120Gbps이며 1Gbps 단위로 증가합니다. 그러나 구성에서 대역폭을 지정하지 않으면 120Gbps로 설정됩니다.
표 2 는 MPC7-MRATE에 대한 터널 대역폭과 패킷 포워딩 엔진 간의 매핑을 보여줍니다.
유사 터널 PIC |
터널 PIC당 최대 대역폭 |
PFE 매핑 |
PFE당 최대 터널 대역폭 |
최대 PFE 대역폭 |
---|---|---|---|---|
PIC0 |
120Gbps |
PFE0 |
120Gbps |
240Gbps
|
픽1 |
120Gbps |
|||
픽2 |
120Gbps |
PFE1 |
120Gbps |
240Gbps |
픽3 |
120Gbps |
MPC7E-10G를 위한 패킷 전달 엔진 매핑 및 터널 대역폭
MPC7E-10G의 터널 대역폭은 1-120Gbps이며 1Gbps씩 증가합니다. 그러나 구성에서 대역폭을 지정하지 않으면 120Gbps로 설정됩니다.
표 3 은 MPC7E-10G의 터널 대역폭과 패킷 포워딩 엔진 간의 매핑을 보여줍니다.
유사 터널 PIC |
터널 PIC당 최대 대역폭 |
PFE 매핑 |
PFE당 최대 터널 대역폭 |
최대 PFE 대역폭 |
---|---|---|---|---|
PIC0 |
120Gbps |
PFE0 |
120Gbps |
200Gbps
|
픽1 |
120Gbps |
|||
픽2 |
120Gbps |
PFE1 |
120Gbps |
200Gbps |
픽3 |
120Gbps |
MX2K-MPC8E의 패킷 전달 엔진 매핑 및 터널 대역폭
MX2K-MPC8E의 터널 대역폭은 1-120Gbps이며 1Gbps씩 증가합니다. 그러나 구성에서 대역폭을 지정하지 않으면 120Gbps로 설정됩니다.
표 4 에는 MX2K-MPC8E의 터널 대역폭과 패킷 포워딩 엔진 간의 매핑이 나와 있습니다.
유사 터널 PIC |
터널 PIC당 최대 대역폭 |
패킷 전달 엔진 매핑 |
PFE당 최대 터널 대역폭 |
최대 PFE 대역폭 |
---|---|---|---|---|
PIC0 |
120Gbps |
PFE0 |
120Gbps |
240Gbps |
픽1 |
120Gbps |
PFE1 |
120Gbps |
240Gbps |
픽2 |
120Gbps |
PFE2 (영어) |
120Gbps |
240Gbps |
픽3 |
120Gbps |
PFE3 (영어) |
120Gbps |
240Gbps |
MX2K-MPC9E의 패킷 전달 엔진 매핑 및 터널 대역폭
MX2K-MPC9E의 터널 대역폭은 1–200Gbps이며 1Gbps씩 증가합니다 그러나 구성에서 대역폭을 지정하지 않으면 200Gbps로 설정됩니다.
표 5 에는 MX2K-MPC9E의 터널 대역폭과 패킷 포워딩 엔진 간의 매핑이 나와 있습니다.
유사 터널 PIC |
터널 PIC당 최대 대역폭 |
PFE 매핑 |
PFE당 최대 터널 대역폭 |
최대 PFE 대역폭 |
---|---|---|---|---|
PIC0 |
200Gbps |
PFE0 |
200Gbps |
400Gbps
|
픽1 |
200Gbps |
PFE1 | 200Gbps |
400Gbps |
픽2 |
200Gbps |
PFE2 (영어) |
200Gbps |
400Gbps |
픽3 |
200Gbps |
PFE3 (영어) | 200Gbps |
400Gbps |
MPC10E-10C를 위한 패킷 전달 엔진 매핑 및 터널 대역폭
MPC10E-10C의 터널 대역폭은 1-400Gbps이며 1Gbps 단위로 증가합니다. 그러나 구성에서 대역폭을 지정하지 않으면 400Gbps로 설정됩니다.
표 6 은 MPC10E-10C의 터널 대역폭과 패킷 포워딩 엔진 간의 매핑을 보여줍니다.
유사 터널 PIC |
터널 PIC당 최대 대역폭 |
패킷 전달 엔진 매핑 |
PFE당 최대 터널 대역폭 |
최대 PFE 대역폭 |
---|---|---|---|---|
PIC0 |
250Gbps |
PFE0 |
250Gbps |
500Gbps |
픽1 |
250Gbps |
PFE1 |
250Gbps |
500Gbps |
MPC10E-15C를 위한 패킷 전달 엔진 매핑 및 터널 대역폭
MPC10E-15C의 터널 대역폭은 1-400Gbps이며 1Gbps씩 증가합니다. 그러나 구성에서 대역폭을 지정하지 않으면 400Gbps로 설정됩니다.
표 7 은 MPC10E-15C의 터널 대역폭과 패킷 포워딩 엔진 간의 매핑을 보여줍니다.
유사 터널 PIC |
터널 PIC당 최대 대역폭 |
패킷 전달 엔진 매핑 |
PFE당 최대 터널 대역폭 |
최대 PFE 대역폭 |
---|---|---|---|---|
PIC0 |
250Gbps |
PFE0 |
250Gbps |
500Gbps |
픽1 |
250Gbps |
PFE1 |
250Gbps |
500Gbps |
픽2 |
250Gbps |
PFE2 (영어) |
250Gbps |
500Gbps |
MX2K-MPC11E의 패킷 전달 엔진 매핑 및 터널 대역폭
MX2K-MPC11E의 터널 대역폭은 1-400Gbps이며 1Gbps 단위로 증가합니다. 그러나 구성에서 대역폭을 지정하지 않으면 400Gbps로 설정됩니다.
표 8 에는 MX2K-MPC11E의 터널 대역폭과 패킷 포워딩 엔진 간의 매핑이 나와 있습니다.
유사 터널 PIC |
터널 PIC당 최대 대역폭 |
PFE 매핑 |
PFE당 최대 터널 대역폭 |
최대 PFE 대역폭 |
---|---|---|---|---|
PIC0 |
250Gbps |
PFE0 |
250Gbps |
500Gbps |
픽1 |
250Gbps |
PFE1 |
250Gbps |
500Gbps |
픽2 |
250Gbps |
PFE2 (영어) |
250Gbps |
500Gbps |
픽3 |
250Gbps |
PFE3 (영어) |
250Gbps |
500Gbps |
픽4 |
250Gbps |
PFE4 |
250Gbps |
500Gbps |
픽5 |
250Gbps |
PFE5 (영어) |
250Gbps |
500Gbps |
픽6 |
250Gbps |
PFE6 |
250Gbps |
500Gbps |
픽7 |
250Gbps |
PFE7 |
250Gbps |
500Gbps |
MPC10E-10C, MPC10E-15C 및 MX2K-MPC11E에 대한 구성에서 지정되지 않은 터널 서비스 대역폭 값은 특정 트래픽 조건에서 PFE당 최대 터널 대역폭보다 큰 값을 초래합니다.
MX10K-LC9600의 패킷 전달 엔진 매핑 및 터널 대역폭
MX10K-LC9600의 터널 대역폭은 1–400Gbps이며 1Gbps씩 증가합니다. 그러나 구성에서 대역폭을 지정하지 않으면 400Gbps로 설정됩니다.
표 9 는 MX10K-LC9600의 터널 대역폭과 패킷 포워딩 엔진 간의 매핑을 보여줍니다.
유사 터널 PIC |
터널 포트 |
터널 PIC당 최대 대역폭 |
PFE 매핑 |
PFE당 최대 터널 대역폭 |
최대 PFE 대역폭 |
---|---|---|---|---|---|
PIC0 |
0 |
200Gbps |
PFE0 |
200Gbps |
800Gbps |
1 |
200Gbps |
PFE0 |
200Gbps |
||
2 |
200Gbps |
PFE1 |
200Gbps |
||
3 |
200Gbps |
PFE1 |
200Gbps |
||
픽1 |
0 |
200Gbps |
PFE2 (영어) |
200Gbps |
800Gbps |
1 |
200Gbps |
PFE2 (영어) |
200Gbps |
||
2 |
200Gbps |
PFE3 (영어) |
200Gbps |
||
3 |
200Gbps |
PFE3 (영어) |
200Gbps |
||
픽2 |
0 |
200Gbps |
PFE4 |
200Gbps |
800Gbps |
1 |
200Gbps |
PFE4 |
200Gbps |
||
2 |
200Gbps |
PFE5 (영어) |
200Gbps |
||
3 |
200Gbps |
PFE5 (영어) |
200Gbps |
||
픽3 |
0 |
200Gbps |
PFE6 |
200Gbps |
800Gbps |
1 |
200Gbps |
PFE6 |
200Gbps |
||
2 |
200Gbps |
PFE7 |
200Gbps |
||
3 |
200Gbps |
PFE7 |
200Gbps |
||
픽4 |
0 |
200Gbps |
PFE8 |
200Gbps |
800Gbps |
1 |
200Gbps |
PFE8 |
200Gbps |
||
2 |
200Gbps |
PFE9 |
200Gbps |
||
3 |
200Gbps |
PFE9 |
200Gbps |
||
픽5 |
0 |
200Gbps |
PFE10 |
200Gbps |
800Gbps |
1 |
200Gbps |
PFE10 |
200Gbps |
||
2 |
200Gbps |
PFE11 |
200Gbps |
||
3 |
200Gbps |
PFE11 |
200Gbps |
또한보십시오
동적 터널 개요
MPLS가 아닌 네트워크를 통해 이동하는 VPN에는 GRE 터널이 필요합니다. 이 터널은 정적 터널이거나 동적 터널일 수 있습니다. 정적 터널은 두 PE 라우터 간에 수동으로 구성됩니다. 동적 터널은 BGP 경로 확인을 사용하여 구성됩니다.
라우터가 MPLS 경로가 없는 BGP 다음 홉을 통해 확인되는 VPN 경로를 수신하면 GRE 터널을 동적으로 생성하여 VPN 트래픽이 해당 경로로 전달되도록 할 수 있습니다. GRE IPv4 터널만 지원됩니다.
두 PE 라우터 간에 동적 터널을 구성하려면 다음과 같은 명령문을 포함합니다.dynamic-tunnels
dynamic-tunnels tunnel-name { destination-networks prefix; source-address address; }
이 명령문은 다음 계층 수준에서 구성할 수 있습니다.
[edit routing-options]
[edit routing-instances routing-instance-name routing-options]
[edit logical-systems logical-system-name routing-options]
[edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]
또한보십시오
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
gr-fpc/pic/port
GRE 캡슐화 사용).