개요
VPN 유형
VPN(Virtual Private Network)은 두 가지 토폴로지 영역, 즉 프로바이더의 네트워크와 고객의 네트워크로 구성됩니다. 고객의 네트워크는 일반적으로 여러 물리적 사이트에 위치하며 전용(비 인터넷)이기도 합니다. 고객 사이트는 일반적으로 단일 물리적 위치에 위치한 라우터 또는 기타 네트워킹 장비 그룹으로 구성됩니다. 공용 인터넷 인프라스트럭처에서 실행되는 이 프로바이더의 네트워크는 고객의 네트워크에 VPN 서비스를 제공하는 라우터와 다른 서비스를 제공하는 라우터로 구성되어 있습니다. 프로바이더의 네트워크는 고객과 프로바이더에게 나타나는 다양한 고객 사이트를 전용 네트워크로 연결합니다.
VPN이 비공개로 유지되고 다른 VPN과 공용 인터넷으로부터 격리되도록 하기 위해 프로바이더는 라우팅 정보를 서로 다른 VPN에서 분리된 상태로 유지하는 정책을 유지 관리합니다. 정책이 서로 다른 VPN의 경로를 분리하는 한 프로바이더는 여러 VPN을 서비스할 수 있습니다. 마찬가지로 고객 사이트는 서로 다른 VPN에서 루트를 분리하는 한 여러 VPN에 속할 수 있습니다.
Junos OS(Junos® 운영 체제)는 여러 유형의 VPN을 제공합니다. 네트워크 환경에 가장 적합한 솔루션을 선택할 수 있습니다. 다음과 같은 VPN 각각은 서로 다른 기능을 가지고 있으며 서로 다른 유형의 구성을 요구합니다.
레이어 2 VPN
라우터에서 Layer 2 VPN을 구현하는 것은 ATM 또는 프레임 릴레이와 같은 Layer 2 기술을 사용하여 VPN을 구현하는 것과 유사합니다. 그러나 라우터의 Layer 2 VPN의 경우 트래픽은 Layer 2 형식으로 라우터로 전달됩니다. 서비스 프로바이더는 MPLS를 통해 서비스를 수행한 다음 수신 사이트에서 Layer 2 형식으로 다시 변환됩니다. 송수신 사이트에서 다양한 Layer 2 형식을 구성할 수 있습니다. MPLS Layer 2 VPN의 보안 및 프라이버시는 ATM 또는 프레임 릴레이 VPN의 보안과 동일합니다.
Layer 2 VPN에서는 일반적으로 CE 라우터에서 고객의 라우터에서 라우팅이 이루어집니다. Layer 2 VPN상의 서비스 프로바이더에 연결된 CE 라우터는 트래픽을 보낼 적절한 회로를 선택해야 합니다. 트래픽을 수신하는 PE 라우터는 서비스 프로바이더의 네트워크를 통해 수신 사이트에 연결된 PE 라우터로 전송합니다. PE 라우터는 고객의 경로를 저장하거나 처리할 필요가 없습니다. 데이터를 적절한 터널로 전송하도록 구성하기만 하면 됩니다.
Layer 2 VPN의 경우, 고객은 모든 레이어 3 트래픽을 전달하기 위해 자체 라우터를 구성해야 합니다. 서비스 프로바이더는 Layer 2 VPN이 전달해야 하는 트래픽의 양만 알아야 합니다. 서비스 프로바이더의 라우터는 레이어 2 VPN 인터페이스를 사용하여 고객 사이트 간에 트래픽을 전달합니다. VPN 토폴로지는 PE 라우터에 구성된 정책에 따라 결정됩니다.
레이어 3 VPN
Layer 3 VPN에서 라우팅은 서비스 프로바이더의 라우터에서 이루어집니다. 따라서, 서비스 프로바이더의 PE 라우터는 고객의 경로를 저장하고 처리해야 하기 때문에 Layer 3 VPN은 서비스 프로바이더측에서 더 많은 구성을 필요로 합니다.
Junos OS에서 레이어 3 VPN은 RFC 4364, BGP/MPLS IP VPN(Virtual Private Network)을 기반으로 합니다. 이 RFC는 서비스 프로바이더가 IP 백본을 사용하여 고객에게 Layer 3 VPN 서비스를 제공할 수 있는 메커니즘을 정의합니다. Layer 3 VPN을 구성하는 사이트는 프로바이더의 기존 공용 인터넷 백본을 통해 연결됩니다.
또한, RFC 4364 기반의 VPN은 BGP/MPLS VPN이라고도 합니다. BGP는 서비스 제공업체의 백본 전반에 VPN 라우팅 정보를 배포하는 데 사용되며, MPLS는 백본을 통해 VPN 트래픽을 원격 VPN 사이트로 포워딩하는 데 사용됩니다.
고객 네트워크는 전용이기 때문에 RFC 1918, 전용 인터넷을 위한 주소 할당에 정의된 공용 주소 또는 전용 주소를 사용할 수 있습니다. 개인 주소를 사용하는 고객 네트워크가 공용 인터넷 인프라스트럭처에 연결하는 경우 개인 주소는 다른 네트워크 사용자가 사용하는 전용 주소와 겹칠 수 있습니다. BGP/MPLS VPN은 VPN 식별자를 특정 VPN 사이트의 각 주소에 접두사하여 VPN 내부와 공용 인터넷 모두에서 고유한 주소를 생성함으로써 이러한 문제를 해결합니다. 또한 각 VPN에는 해당 VPN에 대한 라우팅 정보만 포함된 고유의 VPN 전용 라우팅 테이블이 있습니다.
VPLS
VPLS(Virtual Private LAN Service)를 사용하면 지리적으로 분산된 고객 사이트를 동일한 LAN에 연결된 것처럼 연결할 수 있습니다. 여러 가지 면에서 레이어 2 VPN처럼 작동합니다. VPLS 및 Layer 2 VPN은 동일한 네트워크 토폴로지와 유사한 기능을 사용합니다. 고객 네트워크 내에서 시작된 패킷이 CE 디바이스로 먼저 전송됩니다. 그런 다음 서비스 프로바이더의 네트워크 내 PE 라우터로 전송됩니다. 패킷은 MPLS LSP를 통해 서비스 프로바이더는 네트워크를 통과합니다. egress PE 라우터에 도착한 다음 대상 고객 사이트에서 CE 디바이스로 트래픽을 전달합니다.
VPLS의 주요 차이점은 패킷이 점대다점(point-to-multipoint) 방식으로 서비스 프로바이더의 네트워크를 통과할 수 있다는 것입니다. 즉, CE 장치에서 시작된 패킷이 VPLS의 PE 라우터로 브로드캐스트될 수 있다는 것입니다. 이와 반대로 Layer 2 VPN은 P2P(Point-to-Point) 방식으로만 패킷을 전달합니다. PE 라우터에 의해 CE 장비에서 수신된 패킷의 대상은 Layer 2 VPN이 제대로 작동하도록 알려져야 합니다.
Layer 3 네트워크에서만 VPLS(Virtual Private LAN Service)를 구성하여 지리적으로 분산된 이더넷 LAN(Local Area Network) 사이트를 MPLS 백본에서 서로 연결할 수 있습니다. VPLS를 구현하는 ISP 고객의 경우 트래픽이 서비스 프로바이더의 네트워크를 통해 이동하더라도 모든 사이트가 동일한 Ethernet LAN에 있는 것처럼 보입니다. VPLS는 MPLS 지원 서비스 프로바이더 네트워크에서 이더넷 트래픽을 전달하도록 설계되었습니다. 어떤 면에서 VPLS는 Ethernet 네트워크의 동작을 모방합니다. VPLS 라우팅 인스턴스와 함께 구성된 PE 라우터가 CE 장비에서 패킷을 수신하면 먼저 VPLS 패킷의 대상에 적합한 라우팅 테이블을 검사합니다. 라우터에 목적지가 있는 경우 해당 PE 라우터로 전달합니다. 대상을 보유하고 있지 않으면 동일한 VPLS 라우팅 인스턴스의 구성원인 다른 모든 PE 라우터에 패킷을 브로드캐스트합니다. PE 라우터는 패킷을 CE 디바이스로 전달합니다. 패킷의 대상인 CE 디바이스는 패킷을 최종 대상으로 전달합니다. 다른 CE 디바이스는 폐기합니다.
가상 라우터 라우팅 인스턴스
VPN 라우팅 및 포워딩(VRF) 라우팅 인스턴스와 같은 가상 라우터 라우팅 인스턴스는 각 인스턴스에 대해 별도의 라우팅 및 포워딩 테이블을 유지합니다. 그러나 가상 라우터 라우팅 인스턴스에는 VRF 라우팅 인스턴스에 필요한 많은 구성 단계가 필요하지 않습니다. 특히 P 라우터 간에 Route Distinguisher, 라우팅 테이블 정책( vrf-export
, vrf-import
및 route-distinguisher
명령문) 또는 MPLS를 구성할 필요가 없습니다.
그러나 가상 라우터 라우팅 인스턴스에 참여하는 각 서비스 프로바이더 라우터 간에 별도의 논리적 인터페이스를 구성해야 합니다. 또한 각 라우팅 인스턴스에 참여하는 서비스 프로바이더 라우터와 고객 라우터 간에 별도의 논리적 인터페이스를 구성해야 합니다. 각 가상 라우터 인스턴스는 참여하는 모든 라우터에 고유한 논리적 인터페이스 세트를 필요로 합니다.
그림 1 은 어떻게 작동하는지 보여줍니다. 서비스 프로바이더 라우터 G 및 H는 레드 및 그린 가상 라우터 라우팅 인스턴스에 대해 구성됩니다. 각 서비스 프로바이더 라우터는 각 라우팅 인스턴스에 하나씩 2개의 로컬 고객 라우터에 직접 연결됩니다. 또한 서비스 프로바이더 라우터는 서비스 프로바이더 네트워크를 통해 서로 연결됩니다. 이들 라우터는 로컬에 연결된 각 고객 라우터에 대한 논리적 인터페이스 와 각 가상 라우터 인스턴스에 대해 2개의 서비스 프로바이더 라우터 간에 트래픽을 전송하는 논리적 인터페이스 등 4개의 논리적 인터페이스가 필요합니다.
Layer 3 VPN에는 이러한 구성 요구 사항이 없습니다. PE 라우터에서 여러 레이어 3 VPN 라우팅 인스턴스를 구성하면 모든 인스턴스가 동일한 논리적 인터페이스를 사용하여 다른 PE 라우터에 도달할 수 있습니다. Layer 3 VPN은 다양한 라우팅 인스턴스로 이동하는 트래픽을 차별화하는 MPLS(VPN) 레이블을 사용하기 때문에 가능한 것입니다. 가상 라우터 라우팅 인스턴스에서와 같이 MPLS 및 VPN 레이블이 없으면 서로 다른 인스턴스에서 트래픽을 분리하려면 별도의 논리적 인터페이스가 필요합니다.
서비스 프로바이더 라우터 간에 이러한 논리적 인터페이스를 제공하는 한 가지 방법은 이들 간에 터널을 구성하는 것입니다. 서비스 프로바이더 라우터 간에 IP 보안(IPsec), GRE(Generic Routing Encapsulation) 또는 IP-IP 터널을 구성하여 가상 라우터 인스턴스에서 터널을 종료할 수 있습니다.
VPN 및 논리적 시스템
단일 물리적 라우터를 독립적인 라우팅 작업을 수행하는 여러 논리적 시스템으로 분할할 수 있습니다. 논리적 시스템은 일단 물리적 라우터에서 처리된 작업의 하위 집합을 수행하기 때문에, 논리적 시스템은 단일 라우팅 플랫폼의 사용을 극대화하는 효과적인 방법을 제공합니다.
논리적 시스템은 물리적 라우터의 일부 작업을 수행하며 고유의 라우팅 테이블, 인터페이스, 정책 및 라우팅 인스턴스를 가지고 있습니다. 단일 라우터 내의 논리적 시스템 세트는 여러 소형 라우터에서 이전에 수행했던 기능을 처리할 수 있습니다.
논리적 시스템은 Layer 2 VPN, Layer 3 VPN, VPLS 및 Layer 2 회로를 지원합니다. 논리적 시스템에 대한 자세한 내용은 라우터 및 스위치용 논리적 시스템 사용자 가이드를 참조하십시오.
Junos OS 릴리스 17.4R1부터 이더넷 VPN(EVPN) 지원도 MX 디바이스에서 실행되는 논리적 시스템으로 확장되었습니다. 동일한 EVPN 옵션과 성능을 사용할 수 있으며 계층 구조 하에서 [edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn]
구성할 수 있습니다.
레이어 3 VPN 이해하기
VPN(Virtual Private Network)은 공용 네트워크를 사용하여 2개 이상의 원격 사이트를 연결하는 프라이빗 네트워크입니다. VPN은 네트워크 간 전용 연결 대신 일반적으로 서비스 프로바이더 네트워크인 공용 네트워크를 통해 라우팅(터널화된) 가상 연결을 사용합니다.
Layer 3 VPN은 OSI 모델의 Layer 3 레벨인 네트워크 레이어에서 작동합니다. Layer 3 VPN은 서비스 프로바이더의 기존 공용 인터넷 백본을 통해 연결된 일련의 고객 사이트로 구성되어 있습니다. P2M(Peer-to-Peer) 모델은 고객 사이트에 연결하는 데 사용되며, 서비스 프로바이더는 고객과 피어링으로 고객의 경로를 학습합니다. 공통 라우팅 정보는 멀티프로토콜 BGP를 사용하여 프로바이더의 백본에서 공유되며, VPN 트래픽은 MPLS를 사용하여 고객 사이트로 전달됩니다.
Junos OS는 RFC 4364 기반의 레이어 3 VPN을 지원합니다. RFC는 연결을 위해 MPLS 터널을 사용하는 VPN, 도달 가능성 정보를 배포하는 BGP 및 전송을 위한 IP 백본을 설명합니다. 서비스 프로바이더는 IP 백본을 사용하여 동일한 VPN에 속하는 고객 사이트 집합을 연결합니다.
레이어 3 VPN의 구성 요소
MPLS VPN에는 레이어 2 VPN, 레이어 2 회로, 레이어 3 VPN의 세 가지 기본 유형이 있습니다. 모든 유형의 MPLS VPN은 다음과 같은 특정 구성 요소를 공유합니다.
CE 디바이스 — 서비스 프로바이더는 고객 구내에 있는 CE(Customer Edge) 디바이스를 이용합니다. 일부 모델은 이러한 CPE(Customer Premises Equipment) 디바이스라고 부릅니다.
고객 네트워크—VPN에 속한 CE 디바이스를 보유한 고객 사이트.
프로바이더는 네트워크—MPLS 백본을 실행하는 서비스 프로바이더는 백본 네트워크입니다.
P 장비—프로바이더는 네트워크의 코어에 있는 프로바이더는 P(Provider) 디바이스입니다. 프로바이더 디바이스는 고객 사이트의 장치에 연결되지 않으며 PE 디바이스 쌍 간 터널의 일부입니다. 프로바이더는 터널 지원의 일부로 LSP(Label-Switched Path) 기능을 지원하지만 VPN 기능을 지원하지는 않습니다.
PE 디바이스—서비스 프로바이더 코어 네트워크 내 PE(Provider Edge) 디바이스로, 고객 사이트에서 CE 디바이스에 직접 연결합니다.
MP-BGP— PE 디바이스는 MP-BGP를 사용하여 MPLS 백본 전반에 걸쳐 적절한 PE 디바이스로 고객 경로를 배포합니다.
레이어 3 VPN 용어
VPN은 네트워크의 구성 요소를 식별하기 위해 별도의 용어를 사용합니다.
IP 라우팅 테이블(글로벌 라우팅 테이블이라고도 함)—이 테이블에는 VRF에 포함되지 않은 서비스 프로바이더 경로가 포함되어 있습니다. 프로바이더 디바이스는 이 테이블이 서로 도달할 수 있어야 하며, VRF 테이블은 특정 VPN의 모든 고객 디바이스에 도달해야 합니다. 예를 들어, CE 라우터에 인터페이스 A가 있는 PE 라우터와 백본 P 라우터에 인터페이스 B가 있는 PE 라우터는 인터페이스 A 주소를 VRF에, 인터페이스 B 주소는 글로벌 IP 라우팅 테이블에 배치합니다.
Route Distinguisher—IP 주소로 미리 정의된 64비트 값입니다. 이 고유 태그는 패킷이 동일한 서비스 프로바이더는 터널을 통과할 때 서로 다른 고객의 경로를 식별하는 데 도움이 됩니다.
일반적인 전송 네트워크는 두 개 이상의 VPN을 처리하도록 구성되기 때문에 프로바이더 라우터는 여러 VRF 인스턴스를 구성할 수 있습니다. 그 결과, 트래픽의 출처와 트래픽에 적용된 필터링 규칙에 따라 BGP 라우팅 테이블은 특정 대상 주소에 대한 여러 경로를 포함할 수 있습니다. BGP는 대상당 정확히 1개의 BGP 루트를 포워딩 테이블로 임포트해야 하기 때문에 BGP는 서로 다른 VPN에서 수신되는 잠재적으로 동일한 NLRI(Network Layer Reachability Information) 메시지를 구별하는 방법을 가져야 합니다.
Route Distinguisher는 특정 VPN에 대한 모든 경로 정보를 식별하는 로컬 고유의 번호입니다. 고유한 숫자 식별자를 통해 BGP는 그렇지 않으면 동일한 경로를 구별할 수 있습니다.
PE 라우터에서 구성한 각 라우팅 인스턴스에는 고유한 라우트 구분자가 있어야 합니다. 다음과 같은 두 가지 형식이 가능합니다.
as-number:number—여기서 as-number 는 1에서 65,535 범위의 자율 시스템(AS) 번호(2바이트 값)이며 number , 모든 4바이트 값입니다. IANA(Internet Assigned Numbers Authority)가 배정된 비인증 AS 번호(가급적 ISP 또는 고객 AS 번호)를 사용하는 것이 좋습니다.
ip-address:number—여기서 ip-address IP 주소(4바이트 값)이며 number 모든 2바이트 값입니다. IP 주소는 전역적으로 고유한 유니캐스트 주소일 수 있습니다. 할당된 접두사 범위의 공용 IP 주소인 라우터 ID 명령문에서 구성한 주소를 사용하는 것이 좋습니다.
RT(Route Target)—특정 VRF의 고객 경로에 대한 최종 송신 PE 디바이스를 식별하는 데 사용되는 64비트 값으로 복잡한 라우트 공유를 지원합니다. 라우트 대상은 VPN의 일부가 되는 경로를 정의합니다. 고유의 라우트 타겟은 동일한 라우터에서 서로 다른 VPN 서비스를 구분하는 데 도움이 됩니다. 또한 각 VPN에는 라우터의 VRF 테이블로 경로가 임포트되는 방식을 정의하는 정책이 있습니다. 임포트 및 내보내기 정책으로 Layer 2 VPN이 구성됩니다. Layer 3 VPN은 고유의 라우트 대상을 사용하여 VPN 경로를 구분합니다. 예를 들어 RT를 사용하면 공유 서비스 네트워크에서 여러 고객에게 루트를 공유할 수 있습니다. 각 VPN 경로에는 하나 이상의 RT가 있을 수 있습니다. PE 디바이스는 확장 BGP 커뮤니티 값으로 RT를 처리하고, RT를 사용하여 고객 경로를 설치합니다.
VPN-IPv4 경로—32비트 IPv4 주소로 미리 정의된 64비트 RD 태그로 구성된 96비트 시퀀스로 구성된 경로입니다. PE 장치는 IBGP 세션의 VPN-IPv4 경로를 다른 프로바이더는 내보냅니다. 이러한 경로는 iBGP를 사용하여 MPLS 백본에서 교환됩니다. 아웃바운드 PE 디바이스가 경로를 수신하면 일반적으로 표준 BGP IPv4 라우트 광고를 통해 루트 구분기를 제거하고 연결된 CE 디바이스로 경로를 광고합니다.
VRF—가상 라우팅 및 포워딩(VRF) 테이블은 다양한 고객의 경로와 PE 디바이스의 프로바이더는 고객 경로를 구분합니다. 이러한 경로에는 중복되는 전용 네트워크 주소 공간, 고객별 공용 경로 및 고객에게 유용한 PE 장비의 프로바이더 경로가 포함될 수 있습니다.
VRF 인스턴스는 하나 이상의 라우팅 테이블, 파생된 포워딩 테이블, 포워딩 테이블을 사용하는 인터페이스, 포워딩 테이블로 전달되는 것을 결정하는 정책 및 라우팅 프로토콜로 구성됩니다. 각 인스턴스는 특정 VPN에 대해 구성되므로 각 VPN에는 운영을 제어하는 별도의 테이블, 규칙 및 정책이 있습니다.
CE 라우터에 연결되는 각 VPN에 대해 별도의 VRF 테이블이 생성됩니다. VRF 테이블에는 VRF 인스턴스와 연결된 CE 사이트에서 직접 연결된 CE 사이트에서 수신되는 경로와 동일한 VPN의 다른 PE 라우터로부터 수신되는 경로가 채워져 있습니다.
레이어 3 VPN 아키텍처
Layer 3 VPN은 고객 에지 라우터(CE 라우터)를 서비스 프로바이더 네트워크(PE 라우터)의 에지에 있는 라우터에 연결합니다. Layer 3 VPN은 직접 연결되는 로컬 PE 및 CE 라우터 간의 피어 라우팅 모델을 사용합니다. 즉, PE 및 CE 라우터 쌍을 연결하기 위해 프로바이더 백본에서 여러 홉을 사용하지 않아도 됩니다. PE 라우터는 로컬 및 프로바이더 네트워크 전반에서 BGP 라우트 구분기를 기반으로 동일한 VPN에 속하는 모든 CE 라우터에 라우팅 정보를 배포합니다. 각 VPN에는 해당 VPN을 위한 고유 라우팅 테이블이 있으며 CE 및 PE 피어 라우터의 라우팅 테이블과 조정됩니다. CE 및 PE 라우터는 서로 다른 VRF 테이블을 가지고 있습니다. 다른 VPN은 CE에 보이지 않으므로 각 CE 라우터에는 단일 VRF 테이블만 있습니다. PE 라우터는 두 개 이상의 CE 라우터에 연결할 수 있으므로, PE 라우터는 VPN과 연결된 각 CE에 대해 일반 IP 라우팅 테이블과 VRF 테이블을 가지고 있습니다.
그림 2 는 레이어 3 VPN의 일반적인 아키텍처를 보여줍니다.
모든 VRF 테이블에는 히트와 관련된 하나 이상의 확장 커뮤니티 속성이 있기 때문에 PE 라우터는 원격 VPN 사이트에서 도착하는 패킷에 사용할 VRF 테이블을 알고 있습니다. 커뮤니티 속성은 특정 라우터 컬렉션에 속하는 경로를 식별합니다. 라우트 대상 커뮤니티 속성은 PE 라우터가 경로를 배포하는 사이트 모음(보다 정확하게는 VRF 테이블의 수집)을 식별합니다. PE 라우터는 경로 대상을 사용하여 올바른 원격 VPN 경로를 VRF 테이블로 임포트합니다.
VPN 사이트 간 VPN 경로의 임포트 및 익스포트는 자동이 아닙니다. 이 프로세스는 BPG 라우팅 경찰에 의해 제어됩니다. 라우팅 정책은 서비스 프로바이더의 MPLS 네트워크에서 라우팅 정보를 교환하기 위한 규칙을 설정하며 네트워크 토폴로지 변경 시 올바르게 구성되고 유지 관리되어야 합니다.
PE 라우터는 피어 CE 라우터가 발표하고 PE 라우터가 수신한 IPv4 경로를 VPN-IPv4 경로로 분류합니다. ingress PE 라우터가 직접 연결된 피어 CE 라우터로부터 광고된 경로를 수신하면 ingress PE 라우터는 수신된 경로를 해당 VPN에 대한 VRF 내보내기 정책에 반하여 검사합니다. 즉, ingress PE 라우터는 광고된 경로에 대해 알아야 할 원격 PE 라우터를 결정합니다. 이는 2단계 프로세스입니다.
설정된 내보내기 정책이 경로를 수락하면 PE 라우터는 IPv4 주소에 루트 구분기를 추가하여 정보를 VPN-IPv4 형식으로 변환합니다. 그런 다음 PE 라우터는 원격 PE 라우터로 가는 VPN-IPv4 경로를 발표합니다. VRF 테이블의 구성된 내보내기 대상 정책은 연결된 경로 대상의 값을 결정합니다. IBGP 세션은 VNP-IPv4 경로를 서비스 프로바이더는 코어 네트워크에 분산합니다.
설정된 수출 정책이 루트를 허용하지 않는 경우, PE 라우터는 다른 PE 라우터로 경로를 내보낼 수 없지만 PE 라우터는 해당 경로를 로컬로 사용합니다. 예를 들어, 동일한 VPN에 있는 2개의 CE 라우터가 동일한 PE 라우터에 직접 연결하여 일반 트래픽이 하나의 CE 사이트에서 다른 사이트로 전송되도록 할 수 있습니다.
서비스 프로바이더 네트워크의 반대편에 있는 egress PE 라우터가 경로를 수신하면 egress PE 라우터는 PE 라우터 간에 있는 IBGP 임포트 정책에 대해 경로를 검사합니다. egress PE 라우터가 경로를 수락하면 egress PE 라우터가 bgp.l3vpn.0 라우팅 테이블에 경로를 추가합니다. 또한 라우터는 VPN에 대한 VRF 임포트 정책에 반하여 경로를 검사합니다. 루트가 수락되면 송신 PE 라우터는 경로 구분자를 제거하고 경로를 올바른 VRF 테이블에 배치합니다. VRF 테이블은 라우팅 인스턴스 이름.inet.0 네이밍 규칙을 사용하기 때문에 "VPN A"는 일반적으로 테이블을 vpna.inet.0으로 구성합니다.
지원되는 레이어 3 VPN 표준
Junos OS는 레이어 3 VPN(Virtual Private Network)의 표준을 정의하는 다음 RFC를 실질적으로 지원합니다.
RFC 2283, BGP-4를 위한 멀티프로토콜 확장
RFC 2685, 가상 사설 네트워크 식별자
RFC 2858, BGP-4를 위한 멀티프로토콜 확장
RFC 4364, BGP/MPLS IP VPN(Virtual Private Network)
RFC 4379, MPLS(Multi-Protocol Label Switched) 데이터 플레인 장애 감지
경로 추적 기능은 전송 라우터에서만 지원됩니다.
RFC 4576, LSA(Link State Advertisement) 옵션 BGP/MPLS IP VPN(Virtual Private Networks)에서 루핑 방지 비트(bit) 옵션
RFC 4577, OSPF - BGP/MPLS IP VPN(Virtual Private Network)을 위한 프로바이더는 물론, 고객 에지 프로토콜로서의 OSPF
RFC 4659, IPv6 VPN을 위한 BGP-MPLS IP VPN(Virtual Private Network) 확장
RFC 4684, BGP/MPLS(Border Gateway Protocol/MultiProtocol Label Switching) 인터넷 프로토콜(IP) VPN(Virtual Private Networks)을 위한 제한된 경로 배포
다음 RFC는 표준을 정의하지 않고 Layer 3 VPN과 관련된 기술에 대한 정보를 제공합니다. IETF는 이를 "모범 사례" 또는 "정보"로 분류합니다.
RFC 1918, 전용 인터넷을 위한 주소 할당
RFC 2917- 코어 MPLS IP VPN 아키텍처
자세한 내용은
코어를 통한 레이어 3 VPN 포워딩 이해
프로바이더의 코어 네트워크에 있는 PE 라우터는 VPN을 지원하도록 구성된 유일한 라우터이기 때문에 VPN에 대한 정보를 가진 유일한 라우터입니다. VPN 기능의 관점에서 볼 때, 코어의 프로바이더(P) 라우터, 즉 CE 라우터에 직접 연결되지 않은 P 라우터는 수신 및 송신 PE 라우터 사이의 터널을 따라 단순히 라우터에 불과합니다.
터널은 LDP 또는 MPLS 중 하나가 될 수 있습니다. 터널을 따라 모든 P 라우터는 LDP 또는 MPLS 터널에 사용되는 프로토콜을 지원해야 합니다.
PE-Router-to-PE 라우터 포워딩이 MPLS LSP(Label-Switched Paths)를 통해 터널링되면 MPLS 패킷에는 2계층 Label 스택이 있습니다( 그림 3 참조).
외부 레이블—IGP 다음 홉에 의해 BGP 다음 홉의 주소에 할당된 Label
내부 레이블—패킷의 대상 주소에 대해 할당된 BGP 다음 홉에 대해 레이블링
그림 4 는 레이블이 할당 및 제거되는 방법을 보여줍니다.
CE 라우터 X가 CE 라우터 Y의 목적지와 함께 패킷을 라우터 PE1로 전달하면, PE 경로는 라우터 Y에 대한 BGP 다음 홉을 식별하고 BGP 다음 홉에 해당하는 레이블을 할당하고 대상 CE 라우터를 식별합니다. 이 레이블은 내부 레이블입니다.
그런 다음 라우터 PE1은 BGP 다음 홉에 대한 IGP 경로를 식별하고 BGP 다음 홉의 LSP에 해당하는 두 번째 레이블을 할당합니다. 이 레이블은 외부 레이블입니다.
내부 레이블은 패킷이 LSP 터널을 통과하는 것과 동일하게 유지됩니다. 외부 레이블은 LSP를 따라 각 홉에서 스왑된 다음 penultimate 홉 라우터(세 번째 P 라우터)에 의해 튀어나온다.
라우터 PE2는 경로에서 내부 레이블을 파프하고 패킷을 라우터 Y로 전달합니다.
레이어 3 VPN 속성 이해
VPN 내 경로 배포는 BGP 확장 커뮤니티 속성을 통해 제어됩니다. RFC 4364는 VPN에서 사용하는 다음과 같은 3가지 속성을 정의합니다.
Target VPN—프로바이더 에지(PE) 라우터가 경로를 배포하는 VPN 내의 사이트 집합을 식별합니다. 이 속성을 Route Target라고도 함 송신 PE 라우터는 경로 대상을 사용하여 수신된 경로가 VPN으로 향하는지 여부를 확인합니다.
그림 5 는 경로 대상의 기능을 설명합니다. PE 라우터 PE1은 VPN B의 Site 1에서 고객 에지(CE) 라우터로부터 수신된 경로에 라우트 대상 "VPN B"를 추가합니다. 경로를 수신하면 송신 라우터 PE2는 라우트 대상을 검사하고 해당 경로가 VPN을 위한 경로인지 확인하고 경로를 수락합니다. 송신 라우터 PE3가 동일한 경로를 수신할 때 VPN B에서 CE 라우터를 제공하지 않기 때문에 해당 루트는 수신하지 않습니다.
원본의 VPN—해당 세트의 사이트 중 하나에서 온 것으로 일련의 사이트와 해당 경로를 식별합니다.
원본 사이트—PE 라우터가 특정 사이트에서 학습한 경로 집합을 고유하게 식별합니다. 이 속성은 특정 PE-CE 연결을 통해 특정 사이트에서 학습한 경로가 다른 PE-CE 연결을 통해 해당 사이트로 다시 배포되지 않도록 보장합니다. 특히, BGP를 PE 및 CE 라우터 간의 라우팅 프로토콜로 사용하고 VPN 내 서로 다른 사이트에 동일한 AS(Autonomous System) 번호가 할당된 경우 유용합니다.
VPN 내 라우터
그림 6 은 PE(Provider Edge) 라우터를 통해 VPN 기능이 어떻게 제공되는지 설명하고 있습니다. 프로바이더와 CE(Customer Edge) 라우터는 VPN에 대한 특별한 구성 요구 사항이 없습니다.
레이어 3 VPN 구성 소개
Layer 3 VPN(Virtual Private Network) 기능을 구성하려면 PE(Provider Edge) 라우터에서 VPN 지원을 활성화해야 합니다. 또한 VPN에 서비스를 제공하는 모든 프로바이더(P) 라우터를 구성해야 하며, 경로가 VPN으로 분산되도록 고객 에지(CE) 라우터를 구성해야 합니다.
레이어 3 VPN을 구성하려면 다음과 같은 명령문을 포함합니다.
description text; instance-type vrf; interface interface-name; protocols { bgp { group group-name { peer-as as-number; neighbor ip-address; } multihop ttl-value; } (ospf | ospf3) { area area { interface interface-name; } domain-id domain-id; domain-vpn-tag number; sham-link { local address; } sham-link-remote address <metric number>; } rip { rip-configuration; } } route-distinguisher (as-number:id | ip-address:id); router-id address; routing-options { autonomous-system autonomous-system { independent-domain; loops number; } forwarding-table { export [ policy-names ]; } interface-routes { rib-group group-name; } martians { destination-prefix match-type <allow>; } maximum-paths { path-limit; log-interval interval; log-only; threshold percentage; } maximum-prefixes { prefix-limit; log-interval interval; log-only; threshold percentage; } multipath { vpn-unequal-cost; } options { syslog (level level | upto level); } rib routing-table-name { martians { destination-prefix match-type <allow>; } multipath { vpn-unequal-cost; } static { defaults { static-options; } route destination-prefix { next-hop [next-hops]; static-options; } } } } static { defaults { static-options; } route destination-prefix { policy [ policy-names ]; static-options; } } vrf-advertise-selective { family { inet-mvpn; inet6-mvpn; } } vrf-export [ policy-names ]; vrf-import [ policy-names ]; vrf-target (community | export community-name | import community-name); vrf-table-label;
다음과 같은 계층 수준에 이러한 진술을 포함할 수 있습니다.
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
[edit logical-systems]
계층 수준은 ACX 시리즈 라우터에는 적용되지 않습니다.
sham-link
, sham-link-remote
및 vrf-advertise-selective
명령문은 ACX 시리즈 라우터에는 적용되지 않습니다.
Layer 3 VPN의 경우 계층 내 일부만 [edit routing-instances]
유효합니다. 전체 계층은 Junos OS 라우팅 프로토콜 라이브러리에서 확인하십시오.
이러한 진술 외에도 PE 및 P 라우터에서 시그널링 프로토콜, PE 라우터 간의 IBGP 세션 및 IGP(Interior Gateway Protocol)를 활성화해야 합니다.
기본적으로 레이어 3 VPN은 비활성화됩니다.
Layer 3 VPN에 대한 많은 구성 절차는 모든 유형의 VPN에 공통적으로 적용됩니다.