端口控制协议
端口控制协议概述
端口控制协议 (PCP) 提供了一种控制上游设备(如 NAT44 和防火墙设备)转发传入数据包的方法,也提供了一种减少应用激活流量的方法。MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持 PCP。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持 PCP for NAPT44。从 Junos 20.2R1 版开始,下一代服务将支持 CGNAT DS-Lite 服务的 PCP。从 Junos OS 18.2R1 版开始,MS-MPC 和 MS-MIC 上的 PCP 支持 DS-Lite。在 Junos OS 18.1 版及更早版本中,MS-MPC 和 MS-MIC 上的 PCP 不支持 DS-Lite。
PCP 旨在在运营商级 NAT (CGN) 和小型 NAT(例如,住宅 NAT)的背景下实施。PCP 使主机能够在 NAT 设备后面(包括在其 ISP作的 CGN 后面)长时间(如网络摄像头)或短时间(例如,在玩游戏或打电话时)运行服务器。PCP 使应用程序能够创建从外部 IP 地址和端口到内部 IP 地址和端口的映射。要成功将这些映射发送到位于 NAT 或防火墙后面的计算机,就需要这些映射。创建传入连接的映射后,必须将传入连接的 IP 地址和端口通知远程计算机。这通常以特定于应用程序的方式完成。
Junos OS 支持 PCP 版本 2 和版本 1。
PCP 由以下组件组成:
PCP 客户端 — 向 PCP 服务器发出 PCP 请求以获取和控制资源的主机或网关。
PCP 服务器 — 通常为接收和处理 PCP 请求的 CGN 网关或主机代管服务器
Junos OS 支持使用 NAPT44 功能(如端口转发和端口块分配)配置 PCP 服务器以映射流。可以从以下来源处理流量:
包含直接从用户设备接收的 PCP 请求的流量,如 图 1 所示。
图 1:基本 PCP NAPT44 拓扑结构
映射包含由充当 DS-Lite 软线发起方 (B4) 的路由器添加的 PCP 请求的流量。此模式称为 DS-Lite 普通模式,如 图 2 所示。
图 2:具有 DS-Lite 普通模式
的 PCP
Junos OS 不支持对 PCP 源自的流量进行确定性端口块分配。
端口控制协议的好处
许多 NAT 友好的应用程序会频繁发送应用程序级消息,以确保其会话不会被 NAT 设备超时。PCP 用于:
降低这些 NAT 激活消息的频率
减少用户接入网络上的带宽
减少发往服务器的流量
减少移动设备上的电池消耗
端口控制协议版本 2
从 Junos OS 15.1 版开始,支持端口控制协议 (PCP) 版本 2,这符合 RFC 6887。PCP 提供了一种控制上游设备(如 NAT44)和防火墙设备转发传入数据包的方法,也提供了一种减少应用保持活动流量的方法。PCP 版本 2 支持随机数身份验证。PCP 允许应用程序创建从外部 IP 地址和端口到内部 IP 地址和端口的映射。随机数有效负载可防止重播攻击,并且默认发送,除非显式禁用。
版本 2 映射请求(用于刷新或删除)的客户端随机数验证要求保留在导致创建 PCP 映射的原始映射请求中收到的随机数。用于创建映射的初始请求的版本也将保留。这种保存随机数和版本参数的行为表示每个 PCP 映射使用 13 个字节。对于单个请求的映射,当与系统的当前内存使用量相匹配时,存储空间的这种轻微增加并不显著(考虑到与之一起创建的与端点无关的映射 (EIM) 和与端点无关的过滤 (EIF)。在客户部署中,PCP 会导致 EIM 和 EIF 映射仅占所有此类映射的一小部分。
在 Junos 15.1 版之前,服务 PIC 根据 PCP 草案版本 22(采用版本 1 消息编码)支持瞻博网络路由器上的 PCP 服务器。随着 PCP 从 端口控制协议 (PCP) draft-ietf-pcp-base-22(2012 年 7 月到期) 中定义的草案版本改进为 RFC 6887 中定义的最终标准版本 -- 端口控制协议 (PCP),消息编码更改为版本 2,并添加了随机随机数有效负载,以便根据需要对对等方和映射请求进行身份验证。版本 1 无法解码符合版本 2 格式的消息,并且不支持随机数身份验证。在实际网络环境中,由于客户端设备 (CPE) 设备越来越多地仅支持版本 2,因此需要解析和发送版本 2 消息。保持与支持版本 1 的 CPE 设备的向后兼容性(版本协商是标准的一部分),并在使用 v2 消息时对请求随机数有效负载数据包进行身份验证。
命令的 show services pcp statistics 输出包含 PCP 不支持的版本字段,每当版本不是 1 或 2 时,该字段就会递增以指示。引入了一个新字段 PCP 请求随机数与现有映射不匹配,以指示由于随机数有效负载与映射中记录的请求不匹配(身份验证失败)而被忽略的 PCP 版本 2 请求数。如果正在使用版本 2,则使用客户端随机数进行身份验证。
配置端口控制协议
本主题介绍如何配置端口控制协议 (PCP)。MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持 PCP。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持 PCP for NAPT44。从 Junos OS 18.2R1 版开始,MS-MPC 和 MS-MIC 上的 PCP 支持 DS-Lite。在 Junos OS 18.1 版及更早版本中,MS-MPC 和 MS-MIC 上的 PCP 不支持 DS-Lite。从 Junos OS 20.2R1 版开始,用于 CGNAT 服务的 MX-SPC3 安全服务卡支持 PCP。
执行以下配置任务:
配置 PCP 服务器选项
配置 PCP 规则
PCP 规则具有与所有服务集规则相同的基本选项:
term允许单个规则具有多个应用程序的选项。为新一代服务运行 MX-SPC3 安全服务卡时,不需要术语。
一个
from选项,用于标识受规则约束的流量。一个
then选项,用于确定要执行的作。如果是 PCP 规则,此选项标识处理所选流量的 pcp 服务器
配置 NAT 规则
要配置 NAT 规则,请执行以下作:
配置服务集以应用 PCP
要使用 PCP,必须在选项中 pcp-rule rule-name 提供规则名称(或规则名称列表的名称)。
您的服务集还必须标识任何必需 nat-rule 的和 softwire-rule.
SYSLOG 消息配置
提供了新的系统日志类,配置选项, pcp-logs用于控制 PCP 日志生成。它提供以下级别的日志记录:
protocol- 与映射创建、删除相关的所有日志都包含在此日志记录级别中。protocol-error—–所有与协议错误相关的日志(如映射刷新失败、PCP 查找失败、映射创建失败)。都包含在此级别的日志记录中。system-error- 内存和基础架构错误包含在此级别的日志记录中。
监控端口控制协议作
您可以使用以下作命令监控端口控制协议 (PCP)作:
对于 MS-MPC,请使用命令
show services nat mappings pcp。注意:Junos OS 19.3R2 版中的下一代服务不支持 PCP
对于 MS-MPC,请使用命令
show services nat mappings endpoint-independent。对于新一代服务,请使用命令
show services nat source mappings endpoint-independent。show services pcp statistics protocol
以下是这些命令的输出示例。
user@host> show services nat mappings pcp Interface: sp-0/0/0, Service set: in NAT pool: p PCP Client : 10.1.1.2 PCP lifetime : 995 Mapping : 10.1.1.2 : 9000 --> 8.8.8.8 : 1025 Session Count : 1 Mapping State : Active DS-LITE output: =============== PCP Client : 2222::1 PCP lifetime : 106 Mapping : 88.1.0.47 : 47 --> 70.70.70.1 :41972 Session Count : 1 Mapping State : Active B4 Address : 2222::1
user@host> show services nat mappings endpoint-independent Interface: sp-0/0/0, Service set: in NAT pool: p Mapping : 10.1.1.2 :57400 --> 8.8.8.8 : 1024 Session Count : 0 Mapping State : Timeout PCP Client : 10.1.1.2 PCP lifetime : 991 Mapping : 10.1.1.2 : 9000 --> 8.8.8.8 : 1025 Session Count : 1 Mapping State : Active DS-LITE output: =============== PCP Client : 2222::1 PCP lifetime : 190 Mapping : 88.1.1.3 : 4001 --> 70.70.70.2 :58989 Session Count : 1 Mapping State : Active B4 Address : 2222::1
user@host> show services pcp statistics protocol Protocol Statistics: Operational Statistics Map request received :0 Peer request received :0 Other operational counters :0 Option Statistics Unprocessed requests received :0 Third party requets received :0 Prefer fail option received :0 Filter option received :0 Other options counters :0 Option optional received :0 Result Statistics PCP success :0 PCP unsupported version :0 Not authorized :0 Bad requests :0 Unsupported opcode :0 Unsupported option :0 Bad option :0 Network failure :0 Out of resources :0 Unsupported protocol :0 User exceeded quota :0 Cannot provide external :0 Address mismatch :0 Excessive number of remote peers :0 Processing error :0 Other result counters :0
示例:使用 NAPT44 配置端口控制协议
MS-DPC、MS-100、MS-400 和 MS-500 多服务 PIC 支持 PCP。从 Junos OS 17.4R1 版开始,MS-MPC 和 MS-MIC 也支持 PCP for NATP44。
要求
硬件要求
带有 PCP 客户端的 UE。
带有 MS-DPC 服务 PIC 的 MX 3D 路由器。
软件要求
Junos OS 13.2
第 3 层服务包
概述
ISP 希望让带有 PCP 客户端的 UE 能够在不超时的情况下保持与服务器的连接。PCP 客户端针对它们所需的连接类型和持续时间生成 PCP 请求。连接的持续时间可能很长,例如使用网络摄像头的应用程序,也可能持续时间较短,例如在线游戏。MX 3D 路由器提供 PCP 服务器来解释 PCP 客户端请求和 NAPT44。 图 3 显示了此示例的基本拓扑。
的 PCP
PCP 配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [编辑] 层次结构级别的 CLI 中。
set chassis fpc 2 pic 0 adaptive-services service-package layer-3 set interfaces sp-2/0/0 services-options inactivity-timeout 180 cgn-pic set interfaces sp-2/0/0 unit 0 family inet set interfaces xe-3/2/0 unit 0 family inet service input service-set sset_0 set interfaces xe-3/2/0 unit 0 family inet service output service-set sset_0 set interfaces xe-3/2/0 unit 0 family inet address 30.0.0.1/24 set interfaces xe-5/0/0 unit 0 family inet address 25.0.0.1/24 set services nat pool pcp-pool address 44.0.0.0/16 set services nat pool pcp-pool port automatic random-allocation address-allocation round-robin set services nat pool pcp-pool address-allocation round-robin set services nat rule pcp-rule match-direction input set services nat rule pcp-rule term t0 then translated source-pool pcp-pool translation-type napt-44 set services nat rule pcp-rule term t0 then translated mapping-type endpoint-independent filtering-type endpoint-independent set services nat rule pcp-rule term t0 then translated mapping-type endpoint-independent filtering-type endpoint-independent set services pcp server pcp-s1 ipv4-address 124.124.124.122 set services pcp server pcp-s1 mapping-lifetime-minimum 600 mapping-lifetime-maximum 86500 set services pcp server pcp-s1 short-lifetime-error 120 long-lifetime-error 1200 set services pcp server pcp-s1 max-mappings-per-client 128 pcp-options third-party prefer-failure set services service-set sset_0 pcp-rules r1 set services service-set sset_0 nat-rules pcp-rule set services service-set sset_0 interface-service service-interface sp-2/0/0.0
机箱配置
分步过程
要使用第 3 层服务包配置服务 PIC(FPC 2 插槽 0),请执行以下作:
转到 [edit chassis] 层次结构级别。
user@host# edit chassis
配置第 3 层服务包。
[edit chassis]user@host# set fpc 2 pic 0 adaptive-services service-package layer-3
结果
user@host# show chassis fpc 2 pic 0
pcp-rules pcp-napt44-rule;
nat-rules pcp-rule;
interface-service {
service-interface sp-2/0/0.0;
}
接口配置
分步过程
配置服务 MS-DPC。
user@host# set interfaces sp-2/0/0 services-options inactivity-timeout 180 cgn-pic user@host# set interfaces sp-2/0/0 unit 0 family inet
配置用于 NAT 和 PCP 服务的面向客户的接口。
user@host# set interfaces xe-3/2/0 unit 0 family inet service input service-set sset_0 user@host# set interfaces xe-3/2/0 unit 0 family inet service output service-set sset_0 user@host# set interfaces xe-3/2/0 unit 0 family inet address 30.0.0.1/24
配置面向 Internet 的接口。
user@host# set interfaces xe-5/0/0 unit 0 family inet address 25.0.0.1/24
结果
user@host#
sp-2/0/0 {
services-options {
inactivity-timeout 180;
cgn-pic;
}
unit 0 {
family inet;
}
}
xe-3/2/0 {
unit 0 {
family inet {
service {
input {
service-set sset_0;
}
output {
service-set sset_0;
}
}
address 30.0.0.1/24;
}
}
}
xe-5/0/0 {
unit 0 {
family inet {
address 25.0.0.1/24;
}
}
}
NAT 配置
分步过程
进入
[edit services nat]层次结构。user@host# edit services nat
配置一个名为
pcp-pool的 NAT 池。[edit services nat]user@host# set pool pcp-pool address 44.0.0.0/16 user@host# set pool pcp-pool port automatic random-allocation user@host# set pool pcp-pool address-allocation round-robin配置一个名为
pcp-rule的 NAT 规则。[edit services nat]user@host# set rule pcp-rule term t0 then translated source-pool pcp-pool translation-type napt-44 user@host# set rule pcp-rule term t0 then translated mapping-type endpoint-independent filtering-type endpoint-independent
结果
user@host# show services nat
pool pcp-pool {
address 44.0.0.0/16;
port {
automatic {
random-allocation;
}
}
address-allocation round-robin;
}
rule pcp-rule {
match-direction input;
term t0 {
then {
translated {
source-pool pcp-pool;
translation-type {
napt-44;
}
mapping-type endpoint-independent;
filtering-type {
endpoint-independent;
}
}
}
}
}
PCP 配置
分步过程
配置 PCP 服务器和 PCP 规则选项。
转到
edit services pcp服务器的层次结构级别pcp-s1user@host# edit services pcp server pcp-s1
配置 PCP 服务器选项。
[edit services pcp server pcp-s1] user@host# set ipv4-address 124.124.124.122 user@host# set mapping-lifetime-minimum 600 user@host# set mapping-lifetime-maximum 86500 user@host# set short-lifetime-error 120 user@host# set long-lifetime-error 1200 user@host# set max-mappings-per-client 128 user@host# set pcp-options third-party prefer-failure
创建 PCP 规则。
[edit services pcp rule pcp-napt44-rule user@host# edit rule pcp-napt44-rule
配置 PCP 规则选项。
[edit services pcp rule pcp-napt44-rule] user@host# set match-direction input user@host# set term t0 then pcp-server pcp-s1
结果
user@host# show services pcp
server pcp-s1 {
ipv4-address 124.124.124.122;
mapping-lifetime-minimum 600;
mapping-lifetime-maximum 86500;
short-lifetime-error 120;
long-lifetime-error 1200;
max-mappings-per-client 128;
pcp-options third-party prefer-failure;
}
rule pcp-napt44-rule {
match-direction input;
term t0 {
then {
pcp-server pcp-s1;
}
}
}
服务集配置
分步过程
在
edit services service-set层次结构级别创建一个服务集sset_0。user@host# edit services service-set sset_0
service-set sset_0 { pcp-rules pcp-napt44-rule; nat-rules pcp-rule; interface-service { service-interface sp-2/0/0.0; } }标识与服务集关联的 NAT 规则。
[edit services service-set sset_0] user@host# set nat-rules pcp-rule
确定与服务集关联的 PCP 规则。
[edit services service-set sset_0] user@host# set pcp-rules r1
识别与服务集关联的服务接口。
[edit services service-set sset_0] user@host# set interface-service service-interface sp-2/0/0.0
结果
user@host# show
pcp-rules pcp-napt44-rule;
nat-rules pcp-rule;
interface-service {
service-interface sp-2/0/0.0;
}
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。