配置 6rd Softwire
配置第 6 个 Softwire 集中器
M Series 路由器上的多服务 100、400 和 500PC 以及配备多服务 DPC 的 MX 系列路由器支持第 6 项功能。带 MS-MPC 或 MS-MIC 的 MX 系列路由器不支持第 6 项功能。
要配置 6rd softwire 集中器:
第 6 次软线集中器的配置更改不会在安装数据包转发引擎。这是已知限制。如果您尝试通过覆盖 1024 softwire 集中器的现有配置(这是系统支持的最大软线集中器最大限制)来添加新配置,则新配置不会更新。要围绕此限制工作,必须删除现有配置并提交设置,然后添加 softwire 集中器的新配置并提交设置。
对于 6rd softwire 集中器,如果一个内联服务 (si-) si- 接口更换为另一个接口,并且更换接口期间不会停止信息流,则观察到丢包情况,并且错误消息会记录在虚拟终端会话 (VTY) 控制台上。当接口与 si- 具有大量软线集中器的服务集相关联时,在不停止信息流的情况下替换该接口会导致流量中断。您必须停止信息流,然后在此 si- 使用 6rd softwire 集中器更换接口期间重新启动。以下错误消息显示在 FPC 的 VTY 控制台上:
packet discarded because no ifl or not SI ifl
为 6rd Softwire 配置状态防火墙规则
您必须配置状态防火墙规则,以用于第 6 次软线。状态式防火墙服务仅用于将数据包引导至软线,不用于防火墙目的。第 6 层软线服务本身必须是无状态的。要支持无状态处理 ,在状态 防火墙策略的两个方向都必须包含允许术语。
M Series 路由器上的多服务 100、400 和 500PC 以及配备多服务 DPC 的 MX 系列路由器支持第 6 项功能。带 MS-MPC 或 MS-MIC 的 MX 系列路由器不支持第 6 项功能。
要包括第 6 次软线处理的状态防火墙规则:
另请参阅
示例:基本 6rd 配置
要求
M Series 路由器上的多服务 100、400 和 500PC 以及配备多服务 DPC 的 MX 系列路由器支持第 6 项功能。带 MS-MPC 或 MS-MIC 的 MX 系列路由器不支持第 6 项功能。
此示例介绍如何为第 6 域 D1 配置第 6 个集中器,以提供 IPv6 Internet 连接。
以下硬件组件可以执行第 6 次操作:
M Series多服务边缘路由器
T Series多服务 PIC 支持核心路由器
MX 系列 5G 通用路由平台多服务 DPC
概述
此配置示例介绍如何配置基本第 6 隧道解决方案。
配置
CLI快速配置
要 [edit] 快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 层次结构级别的 CLI 中。
set interfaces ge-1/2/0 unit 0 family inet service input service-set v6rd-dom1-service-set set interfaces ge-1/2/0 unit 0 family inet service output service-set v6rd-dom1-service-set set interfaces ge-1/2/0 unit 0 family inet address 10.10.10.1/24 set interfaces ge-1/2/0 unit 0 family inet6 service input service-set v6rd-dom1-service-set set interfaces ge-1/2/0 unit 0 family inet6 service output service-set v6rd-dom1-service-set set interfaces ge-1/2/2 unit 0 family inet6 address 3abc::1/16 set interfaces sp-0/2/0 unit 0 family inet set interfaces sp-0/2/0 unit 0 family inet6 set services softwire softwire-concentrator v6rd v6rd-dom1 softwire-address 30.30.30.1 set services softwire softwire-concentrator v6rd v6rd-dom1 ipv4-prefix 10.10.10.0/24 set services softwire softwire-concentrator v6rd v6rd-dom1 v6rd-prefix 3040::0/16 set services softwire softwire-concentrator v6rd v6rd-dom1 mtu-v4 9192 set services softwire rule v6rd-dom1 match-direction input set services softwire rule v6rd-dom1 term t1 then v6rd v6rd-dom1 set services service-set v6rd-dom1-service-set softwire-rules v6rd-dom1 set services service-set v6rd-dom1-service-set stateful-firewall-rules r1 set services service-set v6rd-dom1-service-set interface-service service-interface sp-0/2/0 set services stateful-firewall rule r1 match-direction input-output set services stateful-firewall rule r1 term t1 then accept
机箱配置
逐步过程
要配置机箱:
定义入口接口。
user@host# edit interfaces ge-1/2/0配置入口接口逻辑单元和输入/输出服务选项。
[edit interfaces ge-1/2/0] user@host# set unit 0 family inet service input service-set v6rd-dom1-service-set user@host# set unit 0 family inet service output service-set v6rd-dom1-service-set user@host# set unit 0 family inet6 service input service-set v6rd-dom1-service-set user@host# set unit 0 family inet6 service output service-set v6rd-dom1-service-set
配置入口接口的地址。
[edit interfaces ge-1/2/0]user@host# set unit 0 family inet address 10.10.10.1/24定义出口接口。
user@host# up
[edit interfaces]user@host# edit ge-1/2/2定义出口接口的逻辑单元和地址。
[edit interfaces ge-1/2/2]user@host# set unit 0 family inet6 address 3ABC::1/16定义服务 PIC。
[edit interfaces ge-1/2/2]user@host# up[edit interfaces]user@host# edit sp-0/2/0配置服务 PIC 的逻辑单元。
[edit interfaces sp-0/2/0]user@host# up[edit interfaces]user@host# set unit 0 family inet user@host# set unit 0 family inet6
结果
[edit interfaces]
user@host# show
sp-0/2/0 {
unit 0 {
family inet;
family inet6;
}
}
ge-1/2/0 {
unit 0 {
family inet {
service {
input {
service-set v6rd-dom1-service-set;
}
output {
service-set v6rd-dom1-service-set;
}
}
address 10.10.10.1/24;
}
family inet6 {
service {
input {
service-set v6rd-dom1-service-set;
}
output {
service-set v6rd-dom1-service-set;
}
}
}
}
}
ge-1/2/2 {
unit 0 {
family inet6 {
address 3abc::1/16;
}
}
}
Softwire Concentrator、Softwire Rule 和有状态防火墙规则配置
逐步过程
要配置 softwire 集中器、softwire 规则以及状态防火墙规则:
定义第 6 个软线集中器。
user@host# top user@host# edit services softwire softwire-concentrator v6rd v6rd-dom1
配置 softwire 集中器属性。此处,softwire address 30.30.30.1 是 Softwire 集中器 IPv4 地址,10.10.10.0/24 是 客户边缘 WAN 侧的 IPv4 前缀,而 3040:0/16 是第 6 域 D1 的 IPv6 前缀。
[edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.10.0/24 user@host# set v6rd-prefix 3040::0/16 user@host# set mtu-v4 9192
定义 softwire 规则。
[edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# up 2 [edit services softwire] user@host# edit rule v6rd-dom1 [edit services softwire rule v6rd-dom1] user@host# set match-direction input [edit services softwire rule v6rd-dom1] user@host# set term t1 then v6rd v6rd-dom1
定义状态防火墙规则与属性。您必须配置一个状态防火墙规则,该规则接受输入和输出方向上的所有信息流,才能第 6 项工作;但是,此策略不会通过策略CLI。这是因为在 IPv6 中,需要提供无用 IPv6 数据包(由于任播),因此不应丢弃。服务 PIC 可以处理反向信息流,而看不到所有转发信息流。这也可能在会话中间切换服务 PIC 时发生。默认情况下,除非明确配置了规则以允许它,否则服务 PIC 上的状态防火墙将丢弃所有信息流。
[edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# up 3 [edit servicesl] user@host# edit services stateful-firewall [edit services stateful-firewall] user@host# edit rule r1 [edit services stateful-firewall rule r1] user@host# set match-direction input-output user@host# set term t1 then accept
结果
[edit services softwire]
user@host# show
softwire-concentrator {
v6rd v6rd-dom1 {
softwire-address 30.30.30.1;
ipv4-prefix 10.10.10.0/24;
v6rd-prefix 3040::0/16;
mtu-v4 9192;
}
}
rule v6rd-dom1-r1 {
match-direction input;
term t1 {
then {
v6rd v6rd-dom1;
}
}
}
服务集配置
逐步过程
要配置服务集:
定义第 6 次处理的服务集。
user@host# top user@host# edit services service-set v6rd-dom1-service-set
定义服务集的软线和状态防火墙规则。
[edit services service-set v6rd-dom1-service-set] user@host# set softwire-rules v6rd-dom1 user@host# set stateful-firewall-rules r1
定义服务集的接口服务。
[edit services service-set v6rd-dom1-service-set] user@host# set interface-service service-interface sp-0/2/0
结果
[edit service-set v6rd-dom1-service-set]
user@host# show
softwire-rules v6rd-dom1-r1
interface-service {
service-interface sp-0/2/0;
}
6rd Softwires 的高可用性和负载平衡
M Series 路由器上的多服务 100、400 和 500PC 以及配备多服务 DPC 的 MX 系列路由器支持第 6 项功能。带 MS-MPC 或 MS-MIC 的 MX 系列路由器不支持第 6 项功能。
跨多个服务 PIC 的第六个域的负载平衡
第 6 域是 IPv6 网络,可能很大。多服务上的单个 PIC 或网络处理单元 (NPU) DPC无法处理第 6 个域的所有流量。为了减轻负载问题,您可以跨多个 PIC 对第 6 域流量进行负载平衡。为此,可以将同一软线规则分配给使用不同接口的不同服务集。配置显式路由和等价多路径 (ECMP),以均衡第 6 个流量的负载。
示例:跨多个服务 PIC 的第六个域负载平衡
硬件和软件要求
此示例需要以下硬件:
一种 MX 系列 5G 通用路由平台服务DPC两个可用 NPC 或一个 M Series 多服务边缘路由器,以及两个服务可用 6 次软线集中器处理
域名服务器 (DNS)
此示例使用以下软件:
Junos OS 11.4 或更高版本
概述
由于预计的容量,提供商需要在两个服务 PIC 之间平衡第 6 次软线流量。
配置
机箱配置
逐步过程
要配置机箱:
定义入口接口及其属性。
user@host# edit interfaces ge-1/2/0 user@host# set unit 0 family inet address 10.10.10.1/16
定义出口接口及其属性。此示例中,IPv6 客户端尝试以 3abc::2/16 联系 IPv6 服务器。
user@host# edit interfaces ge-1/2/2 user@host# set unit 0 family inet6 address 3ABC::1/16
将服务PC 定义为负载平衡流程选择为软线集中器。此配置使用两个 PIC/NPC:sp-3/0/0 和 sp-3/1/0。配置下一跳跃式服务集(下一节中所示)。
user@host# edit interfaces sp-3/0/0 [edit interfaces ge-3/0/0] user@host# set services-options syslog host local services any user@host# set unit 0 family inet user@host# set unit 0 family inet6 user@host# set unit 1 family inet service-domain inside user@host# set unit 1 family inet service-domain outside user@host# set unit 2 family inet service-domain inside user@host# set unit 2 family inet service-domain outside user@host# up 1 [edit] user@host# edit interfaces sp-3/1/0 [edit interfaces sp-3/1/0] user@host# set services-options syslog host local services any user@host# set unit 0 family inet user@host# set unit 0 family inet6 user@host# set unit 1 family inet service-domain inside user@host# set unit 1 family inet service-domain outside user@host# set unit 2 family inet service-domain inside user@host# set unit 2 family inet service-domain outside
Softwire Concentrator 和 Softwire 规则配置
逐步过程
softwire 配置简单明了。此示例中,第 6 个域前缀为 3040::0/16,第 6 个 softwire 集中器 IPv4 地址为 30.30.30.1,客户 IPv4 网络为 10.10.0.0/16。在客户现场设备 (CPE) 网络中,所有客户边缘 (客户边缘) 设备的地址均属于 10.10.0.0/16 网络。要配置软线:
转至 层次结构
[edit services softwire]级别。user@host# edit services softwire
配置 IPv6 组播。
[edit services softwire] user@host# set ipv6-multicast-interfaces all
转至 softtwire 集中器 v6rd 层次结构级别,并命名 softwire 集中器 shenick01-rd1。
[edit services softwire] user@host# edit softwire-concentrator v6rd shenick01-rd1
配置 softwire 集中器属性。
[edit services softwire softwire-concentrator v6rdshenick01-rd1 ] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.0.0/16 user@host# set v6rd-prefix 3040::/16 user@host# set mtu-v4 9192
为传入第 6 流量配置软线规则。
[edit services softwire softwire-concentrator v6rd shenick01-rd1 ] user@host# up 1 [edit services softwire ] user@host# edit rule shenick01-r1 [edit services softwire rule shenick01-r1] user@host# set match-direction input user@host# set term t1 then v6rd shenick01-rd1
有状态防火墙配置
逐步过程
要配置状态防火墙规则:
转至状态防火墙层次结构级别并定义规则。
user@host# edit services stateful-firewall rule r1
设置匹配方向。
[edit services stateful-firewall rule r1] user@host# set match-direction input-output
配置接受所有信息流术语。
[edit services stateful-firewall rule r1] user@host# set term t1 then accept
服务集配置
逐步过程
此配置提供两个服务集,每个设备指向不同的网络处理单元 (NPU)。两个服务集使用相同的状态防火墙和 softwire 规则。因为他们使用相同的软线规则,因此他们指相同的 6rd softwire 集中器。这导致软件集中器同时托管在两个 NPC 上。
要配置服务集:
定义第一个 NPU 的服务集。
user@host# edit services service-set v6rd-sset1
配置第一个 NPU 的软线和状态防火墙规则。
[edit services service-set v6rd-sset1] user@host# set softwire-rules shenick01-r1 user@host# set stateful-firewall-rules r1
为下一跳服务配置内部接口和外部接口。
[edit services service-set v6rd-sset1] user@host# set next-hop-service inside-service-interface sp-3/0/0.1 user@host# set next-hop-service outside-service-interface sp-3/0/0.2
定义第二个 NPU 的服务集。
user@host# edit services service-set v6rd-sset2
配置第二个 NPU 的软线和状态防火墙规则。
[edit services service-set v6rd-sset2] user@host# set softwire-rules shenick01-r1 user@host# set stateful-firewall-rules r1
为下一跳服务配置内部接口和外部接口。
[edit services service-set v6rd-sset1] user@host# set next-hop-service inside-service-interface sp-3/1/0.1 user@host# set next-hop-service outside-service-interface sp-3/1/0.2
负载平衡配置
逐步过程
要配置负载平衡:
配置显式路由和 ECMP 以负载平衡第 6 个流量。为第 6 个集中器 IPv4 地址和第 6 个域前缀配置显式路由,以便它们指向两个 NPC。
要使用路由表 inet6.0
[edit forwarding-options rib inet6.0 static]配置第 6 域的静态路由,请转至 层次结构级别,设置第 6 个域和第 6 个集中器 IPv4 地址的路由。user@host edit forwarding-options rib inet6.0 static [edit forwarding-options rib inet6.0 static] user@host# set route 3040::0/16 next-hop [ sp-3/0/0.2 sp-3/1/0.2 ] user@host# set route 30.30.30.1/32 next-hop [ sp-3/0/0.1 sp-3/1/0.1 ]
服务 PIC 守护程序 (spd) 还会将默认路由添加到这些指向 NPC 的地址。但是,spd 添加的路由使用不同的指标,如果服务集配置中用于 ,则根据 FPC、PIC、插槽编号和服务 PIC 的子组计算这些指标。在此样本配置中配置的静态路由将具有 5 的度量值,因此优先级高于 spd 添加的路由。
显式配置的路由如下所示:
root@host# run show route 30.30.30.1 inet.0: 37 destinations, 40 routes (36 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 30.30.30.1/32 *[Static/5] 00:00:10 > via sp-3/0/0.1 via sp-3/1/0.1 [Static/786433] 00:23:03 > via sp-3/0/0.1 [Static/851969] 00:00:09 > via sp-3/1/0.1 root@host# run show route 3040::/16 inet6.0: 20 destinations, 33 routes (20 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 3040::/16 *[Static/5] 00:00:15 via sp-3/0/0.2 > via sp-3/1/0.2 [Static/786434] 00:23:08 > via sp-3/0/0.2 [Static/851970] 00:00:14 > via sp-3/1/0.2
最佳做法:spd 安装的路由具有更高的度量值(因此低优先级),而指标也不同。如果指标不同且没有启用 ECMP,即使同一目标存在多个路由,也一直仅会收集其中一个路由(基于指标)。对于 ECMP,您必须配置等价路由,因此需要手动配置路由,如上所示。
在 层次结构级别配置哈希密钥,以配置等价多路径 (ECMP)
[edit forwarding-optionshash-key]负载平衡。user@host# forwarding-options hash-key [edit forwarding-options hash-key] user@host# set family inet layer-3 destination-address user@host# set family inet layer-3 source-address user@host# set family inet6 layer-3 destination-address user@host# set family inet6 layer-3 source-address
通过显示 来验证您的配置
forwarding-options。user@host# show forwarding-options hash-key { family inet { <== IPv4 traffic from CEs uses this layer-3 { destination-address; source-address; } } family inet6 { <== IPv6 traffic from Internet uses this layer-3 { destination-address; source-address; } } }提示:必须配置 IPv4 和 IPv6 哈希密钥。IPv4 哈希密钥用于将来自 CPE 设备的信息流分发到第 6 个分支中继。IPv6 哈希密钥用于将来自 IPv6 Internet 的信息流分发到第 6 个域。由于向前和反向方向上的散列用于不同族,因此同一会话的不同流可驻留在不同 NPC 上。但是,第 6 次处理是无状态的(就将 IPv6 数据包映射到软线而言),因此这不应是问题。
为 6rd 使用 6rd 任播配置高可用性
您可通过定义两个服务集来配置 6rd 任播,这两个服务集在两个服务集使用相同的软线规则,就像为 6rd 配置负载平衡时一样。但是,您不配置 ECMP,因此服务 PIC 守护程序 (spd) 会为 softwire 集中器地址安装两个路由,以及每个服务接口的第六个域。转发平面可基于优先级选择任何路由,该优先级在 spd 安装路由时计算。优先级根据 sp- 接口中使用的 FPC、PIC、插槽编号和子单元编号计算。仅根据路由优先级使用一个 PIC,该 PIC 获取所有第 6 信息流。如果 PIC 关闭。指向该路由的路由也会被删除,转发平面将自动选择备用可用 PIC。
6rd 任播完全无状态。spd 会安装路由,并且不会为 PIC 运行任何状态机。由于路由已经预安装,且服务集已位于 PIC 上,因此发生故障切换时不会发生服务延迟。