Cisco Cisco ASA 5555-X Adaptive Security Appliance - No Payload Encryption Prospecto
12-3
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
12
장 VXLAN 인터페이스
VXLAN
인터페이스 정보
VXLAN
패킷 처리
VTEP
소스 인터페이스를 드나드는 트래픽은 VXLAN 처리, 특히 캡슐화 또는 역캡슐화 과정을 거
칩니다.
캡슐화 처리에는 다음 작업이 포함됩니다.
캡슐화 처리에는 다음 작업이 포함됩니다.
•
VTEP
소스 인터페이스는 VXLAN 헤더가 있는 내부 MAC 프레임을 캡슐화합니다.
•
UDP
체크섬 필드가 0으로 설정됩니다.
•
외부 프레임 소스 IP가 VTEP 인터페이스 IP로 설정됩니다.
•
외부 프레임 대상 IP는 원격 VTEP IP 조회에 따라 결정됩니다.
역캡슐화: ASA는 다음 경우에 VXLAN 패킷에 역캡슐화만 수행합니다.
•
대상 포트가 4789로 설정된 UDP 패킷인 경우(이 값은 사용자가 구성 가능함).
•
인그레스 인터페이스가 VTEP 소스 인터페이스입니다.
•
인그레스 인터페이스 IP 주소가 대상 IP 주소와 동일합니다.
•
VXLAN
패킷 형식은 표준을 준수합니다.
피어 VTEP
ASA
가 피어 VTEP 뒤에 있는 디바이스에 패킷을 전송하는 경우 ASA에는 다음의 2가지 중요한
정보가 필요합니다.
•
원격 디바이스의 대상 MAC 주소
•
피어 VTEP의 대상 IP 주소
ASA
가 이 정보를 찾을 수 있는 방법은 다음의 2가지 방법이 있습니다.
•
단일 피어 VTEP IP 주소를 ASA에서 정적으로 구성할 수 있습니다.
여러 피어를 직접 정의할 수 없습니다.
그런 다음 ASA는 엔드 노드 MAC 주소를 확인하기 위해 VTEP에 VXLAN 캡슐화 ARP 브로드
여러 피어를 직접 정의할 수 없습니다.
그런 다음 ASA는 엔드 노드 MAC 주소를 확인하기 위해 VTEP에 VXLAN 캡슐화 ARP 브로드
캐스트를 전송합니다.
•
멀티캐스트 그룹은 각각의 VNI 인터페이스에서 구성될 수 있습니다(또는 VTEP에서 전체로
구성 가능).
ASA
ASA
는 VTEP 소스 인터페이스를 통해 IP 멀티캐스트 패킷 내에서 VXLAN 캡슐화 ARP 브로
드캐스트 패킷을 전송합니다. 이 ARP 요청에 대한 응답을 통해 ASA는 원격 엔드 노드의 대
상 MAC 주소와 함께 원격 VTEP IP 주소를 확인할 수 있습니다.
ASA
는 VNI 인터페이스에 대한 원격 VTEP IP 주소로의 대상 MAC 주소 매핑을 유지합니다.
VXLAN
사용 사례
이 섹션에서는 ASA에서의 VXLAN 구현에 대한 사용 사례를 설명합니다.
•
•
•
•