IPv6 Dual-Stack Lite
IPv6 Dual-Stack Lite (DS-Lite) ist eine Technologie, die Internetdienstanbietern hilft, auf ein IPv6-Zugangsnetz zu migrieren, ohne die Endbenutzersoftware ändern zu müssen. IPv4-Benutzer können weiterhin mit minimaler Unterbrechung ihrer Heimnetzwerke auf IPv4-Internetinhalte zugreifen, während IPv6-Benutzer gleichzeitig auf IPv6-Inhalte zugreifen können.
Grundlegendes zu IPv6 Dual-Stack Lite
IPv6 Dual-Stack Lite (DS-Lite) ist eine Technologie, die es Internetdienstanbietern ermöglicht, auf ein IPv6-Netzwerk umzusteigen und gleichzeitig die Erschöpfung von IPv4-Adressen zu handhaben.
IPv4-Adressen werden erschöpft; Daher benötigen Breitbanddienstanbieter (DSL, Kabel und Mobilfunk) neue Adressen, um neue Benutzer zu unterstützen. Die alleinige Bereitstellung von IPv6-Adressen ist oft nicht praktikabel, da die meisten Systeme, aus denen das öffentliche Internet besteht, noch aktiviert sind und nur IPv4 unterstützen und die Systeme vieler Benutzer IPv6 noch nicht vollständig unterstützen.
DS-Lite ermöglicht Service Providern die Migration zu einem IPv6-Zugangsnetzwerk, ohne die Endbenutzersoftware ändern zu müssen. Das Gerät, das auf das Internet zugreift, bleibt unverändert, sodass IPv4-Benutzer weiterhin mit minimaler Unterbrechung ihres Heimnetzwerks auf IPv4-Internetinhalte zugreifen können, während IPv6-Benutzer auf IPv6-Inhalte zugreifen können.
Abbildung 1 veranschaulicht die DS-Lite-Architektur, die reine IPv6-Verbindungen zwischen dem Anbieter und dem Benutzer verwendet, während die IPv4- (oder Dual-Stack-) Hosts im Benutzernetzwerk beibehalten werden.
Das DS-Lite-Bereitstellungsmodell besteht aus den folgenden Komponenten:
Softwire-Initiator für den DS-Lite-Heimrouter: Kapselt das IPv4-Paket und überträgt es über einen IPv6-Tunnel.
Softwire-Konzentrator für DS-Lite Network Address Translation (NAT) der Carrier-Klasse – Entkapselt das IPv4-in-IPv6-Paket und führt auch IPv4-IPv4-NAT-Konvertierungen durch.
Wenn das Gerät eines Benutzers ein IPv4-Paket an ein externes Ziel sendet, kapselt DS-Lite das IPv4-Paket in ein IPv6-Paket für den Transport in das Provider-Netzwerk. Diese IPv4-in-IPv6-Tunnel werden als softwires. Das Tunneling von IPv4 über IPv6 ist einfacher als die Übersetzung und beseitigt Leistungs- und Redundanzprobleme.
Die Softwires enden in einem Softwire-Konzentrator an einem bestimmten Punkt im Netzwerk des Service Providers, der die IPv4-Pakete entkapselt und über ein Network Address Translation (NAT)-Gerät der Carrier-Klasse sendet. Dort durchlaufen die Pakete eine Quell-NAT-Verarbeitung, um die ursprüngliche Quelladresse zu verbergen.
IPv6-Pakete, die von Hosts im Heimnetzwerk des Teilnehmers stammen, werden nativ über das Zugangsnetzwerk transportiert.
Das DS-Lite NAT der Carrier-Klasse übersetzt IPv4-zu-IPv4-Adressen über eine einzige globale IPv4-Adresse an mehrere Abonnenten. Überlappende Adressräume, die von Abonnenten verwendet werden, werden durch die Identifizierung von Tunnelendpunkten eindeutig gemacht. Ein Konzentrator kann der Endpunkt mehrerer Softwires sein.
Die IPv4-Pakete, die von den Endhosts stammen, haben private (und möglicherweise überlappende) IP-Adressen. Daher muss NAT auf diese Pakete angewendet werden. Wenn sich die Adressen von Endhosts überlappen, ist NAPT (Network Address Port Translation ) erforderlich.
Mithilfe von NAPT fügt das System die Quelladresse des kapselnden IPv6-Pakets im Teilnehmernetzwerk der internen IPv4-Quelladresse und dem IPv4-Port hinzu. Da die IPv6-Adresse jedes Benutzers eindeutig ist, wird durch die Kombination der IPv6-Quelladresse mit der IPv4-Quelladresse und dem IPv4-Port eine eindeutige Zuordnung erstellt.
Das System führt die folgenden Aktionen aus, wenn es ein antwortendes IPv4-Paket von außerhalb des Teilnehmernetzwerks empfängt:
Kapselt das IPv4-Paket in ein IPv6-Paket, wobei die zugeordnete IPv6-Adresse als IPv6-Zieladresse verwendet wird.
Leitet das Paket an den Benutzer weiter.
Tabelle 1 listet die maximale Anzahl von Softwire-Initiatoren und Softwire-Konzentratoren pro Gerät auf. Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.
| Beschreibung | SRX650 | SRX1500 | SRX3400 SRX3600 | SRX4100 SRX4200 | SRX4600 | SRX5400 SRX5600 SRX5800 |
Maximal angeschlossene Softwire-Initiatoren pro Gerät |
50,000 |
300 |
100,000 |
200,000 |
200,000 |
100,000 |
Maximale Anzahl von Softwire-Konzentratoren pro Gerät |
32 |
32 |
32 |
32 |
32 |
32 |
Der jüngste IETF-Dokumentationsentwurf für DS-Lite verwendet eine neue Terminologie:
Der Begriff Softwire-Initiator wurde durch B4 ersetzt.
Der Begriff Softwire-Konzentrator wurde durch AFTR ersetzt.
In der Junos OS-Dokumentation werden bei der Erläuterung der Konfiguration im Allgemeinen die ursprünglichen Begriffe verwendet, um mit den CLI-Anweisungen konsistent zu sein, die zur Konfiguration von DS-Lite verwendet werden.
Weitere Informationen finden Sie in den folgenden Dokumenten:
draft-ietf-softwire-dual-stack-lite-06, Dual-Stack Lite-Breitbandbereitstellungen nach IPv4-Erschöpfung, August 2010.
RFC 2473, Generic Packet Tunneling in IPv6 Specification, Dezember 1998.
RFC 2663, IP Network Address Translator (NAT) Terminology and Considerations, August 1999.
RFC 4787, Network Address Translation (NAT) Behavioral Requirements for Unicast UDP, BCP 127, Januar 2007.
RFC 4925, Softwire Problem Statement, Juli 2007.
RFC 5382, NAT-Verhaltensanforderungen für TCP, BCP 142, Oktober 2008.
RFC 5508, NAT-Verhaltensanforderungen für ICMP, BCP 148, April 2009.
http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xhtml
Beispiel: Konfigurieren von IPv6 Dual-Stack Lite
Wenn ein ISP damit beginnt, IPv6-Adressen und IPv6-fähige Geräte an neue Teilnehmerhäuser zuzuweisen, bietet Dual-Stack Lite (DS-Lite) eine Methode, mit der die privaten IPv4-Adressen hinter den IPv6-CE-WAN-Geräten das IPv4-Netzwerk erreichen können. DS-Lite ermöglicht IPv4-Kunden den weiteren Zugriff auf das Internet mit ihrer aktuellen Hardware, indem ein Softwire-Initiator am Kunden-Edge verwendet wird, um IPv4-Pakete mit minimaler Unterbrechung ihres Heimnetzwerks in IPv6-Pakete zu kapseln, während IPv6-Kunden gleichzeitig auf IPv6-Inhalte zugreifen können. Der Softwire-Konzentrator entkapselt die IPv4-in-IPv6-Pakete und führt auch IPv4-IPv4-NAT-Konvertierungen durch.
In diesem Beispiel wird gezeigt, wie Sie einen Softwire-Concentrator für IPv4-in-IPv6-Adressen konfigurieren.
Anforderungen
Bevor Sie beginnen:
-
Lesen Sie den Abschnitt "Übersicht" zu DS-Lite. Weitere Informationen finden Sieunter Grundlegendes zu IPv6 Dual-Stack Lite.
-
Überprüfen Sie, wie ICMPv6-Pakete von den Firewalls der SRX-Serie verarbeitet werden. Weitere Informationen zur Verarbeitung von ICMPv6-Paketen durch Geräte der SRX-Serie finden Sie hier.
Übersicht
In diesem Konfigurationsbeispiel wird gezeigt, wie ein Softwire-Konzentrator, der Softwire-Name, die Konzentratoradresse und der Softwire-Typ konfiguriert werden.
Die IPv6-Adresse des Softwire-Konzentrators kann mit einer IPv6-Adresse übereinstimmen, die auf einer physischen Schnittstelle konfiguriert ist, oder mit einer IPv6-Adresse, die auf einer Loopback-Schnittstelle konfiguriert ist.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie dann die Befehle und fügen Sie sie auf Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security softwires softwire-name my_sc1 softwire-concentrator 2001:db8::1 softwire-type IPv4-in-IPv6
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Gehen Sie wie folgt vor, um einen DS-Lite-Softwire-Concentrator für die Konvertierung von IPv4-Paketen in IPv6-Pakete zu konfigurieren:
Vergeben Sie einen Namen für den Softwire-Konzentrator.
[edit security] user@host# edit softwires softwire-name my_sc1
Geben Sie die Adresse des Softwire-Konzentrators an.
[edit security softwires softwire-name my_sc1] user@host# set softwire-concentrator 2001:db8::1
Geben Sie den Softwire-Typ für IPv4 auf IPv6 an.
[edit security softwires softwire-name my_sc1 softwire-concentrator 2001:db8::1 user@host# set softwire-type IPv4-in-IPv6
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit security softwires softwire-name my_sc1] user@host# show softwire-concentrator 2001:db8::1; softwire-type ipv4-in-ipv6;
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Geben Sie im Betriebsmodus den show security softwires Befehl ein. Wenn kein Softwire angeschlossen ist, sieht die Betriebsausgabe wie im folgenden Beispiel aus:
user@host# show security softwires
Softwire Name SC Address Status Number of SI connected
my-sc1 2001:db8::1 Active 0
Wenn ein Softwire angeschlossen ist, sieht die Betriebsausgabe wie im folgenden Beispiel aus:
user@host# show security softwires
Softwire Name SC Address Status Number of SI connected
my-sc1 2001:db8::1 Connected 1