DS-Lite 子网限制
每子网 DS-Lite 限制概述
Junos OS 允许您在给定时间点限制来自订阅者基本桥接宽带 (B4) 设备的软线流的数量,防止订阅者过度使用子网内的地址。此限制降低了拒绝服务 (DoS) 攻击的风险。配备 MS-DPC 的 MX 系列路由器支持此限制。从 Junos OS 18.2R1 版开始,MS-MPC 和 MS-MIC 也支持子网限制功能。从 Junos OS 19.2R1 版开始,MX 虚拟机箱和 MX 宽带网络网关 (BNG) 路由器也支持子网限制功能。从 Junos OS 20.2R1 版开始,MX240、MX480 和 MX960 路由器上的 CGNAT 下一代服务支持 DS-Lite。
将 IPv6 与 DS-Lite 配合使用的家庭是一个子网,而不仅仅是单个 IP 地址。子网限制功能将订阅者和映射与 IPv6 前缀而非 IPv6 地址相关联。订阅者可以将该前缀中的任何 IPv6 地址用作 DS-Lite B4 地址,并可能耗尽运营商级 NAT 资源。子网限制功能通过使用前缀而不是特定地址来标识订阅者,从而更好地控制资源利用率。
子网限制提供以下功能:
流使用完整的 B4 地址。
可以在单个服务集的软线选项下为每个服务集配置前缀长度。
端口块按订阅者 B4 设备的前缀分配,而不是在每个 B4 地址上分配(如果前缀长度小于 128)。如果前缀长度为 128,则每个 IPv6 地址都被视为一个 B4。端口块按 128 位 IPv6 地址分配。
在 DS-Lite 软线集中器配置下定义的会话限制可限制前缀的 IPv4 会话数。
EIM、EIF 和 PCP 映射是按软线隧道(完整的 128 位 IPv6 地址)创建的。过时的映射会根据超时值超时。
如果配置了前缀长度,则 PCP
max-mappings-per-subscriber(可在 下pcp-server配置)仅基于前缀,而不是完整的 B4 地址。用于 PBA 分配和释放的系统日志包含地址的前缀部分,并以全零完成。用于 PCP 分配和释放、流创建和删除的系统日志仍将包含完整的 IPv6 地址。
show services nat mappings address-pooling-paired操作命令输出现在显示前缀的映射。映射显示活动 B4 的地址。
show services softwire statistics ds-lite输出包括一个新字段,用于显示超出 MPC 会话限制的次数。
对于 MX240、MX480 和 MX960 路由器上的新一代服务,子网限制统计信息 Softwire session limit exceeded 将显示在字段中。
显示服务软线统计信息 (MX-SPC3)
user@host> show services softwire statistics
vms-2/0/0
Total Session Interest events :3
Total Session Destroy events :2
Total Session Public Request events :0
Total Session Accepts :1
Total Session Discards :0
Total Session Ignores :0
Total Session extension alloc failures :0
Total Session extension set failures :0
Softwire statistics
Total Softwire sessions created :1
Total Softwire sessions deleted :2
Total Softwire sessions created for reverse packets :1
Total Softwire session create failed for reverse pkts :0
Total Softwire rule match success :1
Total Softwire rule match failed :0
Softwire session limit exceeded :0
Softwire packet statistics
Total Packets processed :1
Total packets encapsulated :1
Total packets decapsulated :1
Encapsulation errors :0
Decapsulation errors :0
Encapsulated pkts re-inject failures :0
Decapsulated pkts re-inject failures :0
DS-Lite ICMPv4 Echo replies sent :0
DS-Lite ICMPv4 TTL exceeded messages sent :0
ICMPv6 ECHO request messages received destined to AFTR :0
ICMPv6 ECHO reply messages sent from AFTR :0
ICMPv6 ECHO requests to AFTR process failures :0
V6 untunnelled packets destined to AFTR dropped :1
Softwire policy add errors :0
Softwire policy delete errors :0
Softwire policy memory alloc failures :0
Softwire Untunnelled packets ignored :0
Softwire Misc errors
DS-Lite ICMPv4 TTL exceed message process errors :0
参见
配置 DS-Lite 每子网会话限制以防止拒绝服务攻击
您可以在配备 MS-DPC 的 MX 系列路由器上配置 DS-Lite 每子网数限制。从 Junos OS 18.2R1 版开始,MS-MPC 和 MS-MIC 也支持子网限制功能。从 Junos OS 20.2R1 版开始,下一代服务 MX-SPC3 安全服务卡支持子网限制功能。
从 Junos OS 19.2R1 版开始,MX 虚拟机箱和 MX 宽带网络网关 (BNG) 路由器也支持子网限制功能。
要配置 DS-Lite 每个子网会话限制,请执行以下操作:
参见
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。