Fils souples DS-Lite
Configuration d’un concentrateur Softwire DS-Lite
DS-Lite est pris en charge sur les PIC multiservices 100, 400 et 500, sur les routeurs M Series et sur les routeurs MX Series équipés de DPC multiservices. À partir de la version 17.4R1 de Junos OS, DS-Lite est pris en charge sur les routeurs MX Series équipés de MS-MPC et MS-MICs.À partir de la version 19.2R1 de Junos OS, DS-Lite est pris en charge sur les routeurs MX Virtual Chassis et MX Broadband Network Gateway (BNG).
Pour configurer un concentrateur softwire DS-Lite :
Voir aussi
configuration des interfaces multicast IPv6
Configurez les filtres multicast sur les interfaces Ethernet lorsque le NAT IPv6 est utilisé pour la découverte des voisins. Cela permet au routeur de traiter les flux initiés par le fil logiciel dans les deux sens.
Pour configurer les interfaces multicast IPv6 :
Voir aussi
Exemple : Configuration de base de DS-Lite
DS-Lite utilise des tunnels IPv4 sur IPv6 pour traverser un réseau d’accès IPv6 et atteindre un NAT IPv4-IPv4 de classe opérateur. Cela facilite l’introduction progressive d’IPv6 sur Internet en fournissant une rétrocompatibilité avec IPv4. Reportez-vous à la section Présentation d’IPv6 Dual-Stack Lite.
Exigences
Les composants matériels suivants peuvent exécuter DS-Lite :
Routeurs de périphérie multiservice M Series avec PIC multiservices.
Routeurs centraux T Series avec PIC multiservices.
Plates-formes de routage universelles 5G MX Series avec DPC multiservices. À partir de la version 17.4R1 de Junos OS, DS-Lite est pris en charge sur les routeurs MX Series équipés de MS-MPC et MS-MICs.À partir de la version 19.2R1 de Junos OS, DS-Lite est pris en charge sur les routeurs MX Virtual Chassis et MX Broadband Network Gateway (BNG).
Vue d’ensemble et topologie de la configuration
Cet exemple décrit comment configurer un routeur MX Series avec une MS-DPC en tant qu’AFTR pour faciliter le flux illustré à la Figure 1.
de DS-Lite
Dans cet exemple, le concentrateur softwire DS-Lite, ou AFTR, est un routeur MX Series avec deux interfaces Gigabit et un DPC de services. L’interface faisant face à l’élément B4 est ge-3/1/5 et l’interface face à Internet est ge-3/1/0.
Configuration
- Configuration du châssis
- Interfaces Configuration
- Configuration de la traduction des adresses réseau et des ports
- Configuration du fil logiciel
- Configuration de l’ensemble de services
Configuration du châssis
Procédure étape par étape
Pour configurer le service PIC (FPC 0 Slot 0) avec le package de services de couche 3 :
Entrez le niveau de modification de la hiérarchie du châssis .
user@host# edit chassisConfigurez le package de services de couche 3.
[edit chassis]user@host# set fpc 0 pic 0 adaptive-services service-package layer-3
Interfaces Configuration
Procédure étape par étape
Pour configurer les interfaces faisant face au B4 (initiateur softwire) et faisant face à Internet :
Allez au niveau de hiérarchie d’édition
[edit interfaces]pour ge-3/1/0, qui fait face à Internet.host# edit interfaces ge-3/1/0Définissez l’interface.
[edit interfaces ge-3/1/0]user@host# set description AFTR-Internet user@host# set unit 0 family inet address 128.0.0.2/24Allez au niveau hiérarchique
[edit interfaces]pour ge-3/1/5, qui fait face au B4.user@host# up 1
[edit]user@host# edit interfaces ge-3/1/5Définissez l’interface.
[edit interfaces ge-3/1/5]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6[edit unit 0 family inet6]user@host# set service input service-set sset user@host# set service output service-set sset user@host# set address 2001:0:0:2::1/48Allez au niveau hiérarchique
[edit interfaces]pour sp-0/0/0, utilisé pour héberger l’AFTR DS-Lite.[edit]user@host# edit interfaces sp-0/0/0Définissez l’interface.
[edit interfaces sp-0/0/0]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6
Résultats
user@host# show interfaces ge-3/1/0
description AFTR-Internet;
unit 0 {
family inet {
address 128.0.0.2/24;
}
}
user@host# show interfaces ge-3/1/5
description AFTR-B4;
unit 0 {
family inet;
family inet6 {
service {
input {
service-set sset;
}
output {
service-set sset;
}
}
address 2001:0:0:2::1/48;
}
}
user@host# show interfaces sp-o/o/o
unit 0 {
family inet;
family inet6;
}
Configuration de la traduction des adresses réseau et des ports
Procédure étape par étape
Pour configurer NAPT :
Allez au niveau de la
[edit services nat]hiérarchie.user@host# edit services nat
[edit services nat]Définir un pool NAT p1.
user@host# set pool p1 address 129.0.0.1/32 port automaticDéfinissez une règle NAT, en commençant par la direction de correspondance.
[edit services nat]user@host# set rule r1 match-direction inputDéfinissez un terme pour la règle, en commençant par une clause from.
[edit services nat]user@host# set rule r1 term t1 from source-address 10.0.0.0/16Définissez la traduction souhaitée dans une clause then . Dans ce cas, utilisez la traduction de source dynamique.
[edit services nat]user@host# set rule r1 term t1 then translated source-pool p1 translation-type napt-44(Facultatif) Configurez la journalisation des informations de traduction pour la règle.
[edit services nat]user@host# set rule r1 term t1 then syslog
Résultats
user@host# show services nat
pool p1 {
address 129.0.0.1/32;
port {
automatic;
}
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.0.0.0/16;
}
}
then {
translated {
source-pool p1;
translation-type {
napt-44;
}
}
syslog;
}
}
Configuration du fil logiciel
Procédure étape par étape
Pour configurer le concentrateur softwire DS-Lite et les règles associées :
Allez au niveau de la
[edit services softwire]hiérarchie.user@host# edit services softwireDéfinissez le concentrateur de fil logiciel DS-Lite.
[edit services softwire]user@host# set softwire-concentrator ds-lite ds-1 softwire-address 1001::1 mtu-v6 1460Définissez la règle du fil logiciel.
[edit services softwire]user@host# set rule r1 match-direction input term t1 then ds-lite ds1.
Résultats
user@host# show services softwire
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 1460;
}
}
rule r1 {
match-direction input;
term t1 {
then {
ds-lite ds1;
}
}
}
Configuration de l’ensemble de services
Procédure étape par étape
Configurez un ensemble de services qui inclut des règles softwire et NAT et spécifie un service d’interface ou un service de saut suivant. Cet exemple utilise un service de saut suivant.
Allez au niveau de la
[edit services service-set]hiérarchie et nommez l’ensemble de services.user@host# edit services service-set ssetDéfinissez la règle NAT à utiliser pour la traduction d’IPv4 en IPv4.
[edit services service-set sset]user@host# set nat-rules r1Définissez la règle softwire pour définir le tunnel softwire.
[edit services service-set sset]user@host# set softwire-rules r1Définissez le service d’interface,
[edit services service-set sset]user@host# set interface-service service-interface sp-0/0/0.0Pourboire:Afin d’éviter ou de minimiser la fragmentation IPv6, vous pouvez configurer une taille de segment maximale TCP (MSS) pour votre ensemble de services.
(Facultatif) Définition d’un MCS TCP.
[edit services service-set sset]user@host# set tcp-mss 1024
Résultats
user@host# show services service-set
syslog {
host local {
services any;
}
}
softwire-rules r1;
nat-rules r1;
interface-service {
service-interface sp-0/0/0;
}
}
Exemple : configuration de DS-Lite et de la 6e page dans le même ensemble de services
Exigences
Les composants matériels suivants peuvent exécuter DS-Lite :
Routeurs de périphérie multiservice M Series avec PIC multiservices.
Routeurs centraux T Series avec PIC multiservices.
Plates-formes de routage universelles 5G MX Series avec DPC multiservices. À partir de la version 17.4R1 de Junos OS, DS-Lite est pris en charge sur les routeurs MX Series équipés de MS-MPC et MS-MICs.À partir de la version 19.2R1 de Junos OS, DS-Lite est pris en charge sur les routeurs MX Virtual Chassis et MX Broadband Network Gateway (BNG). À partir de la version 20.2R1 de Junos OS, DS-Lite est pris en charge pour les services CGNAT Next Gen sur les routeurs MX240, MX480 et MX960.
Aperçu
Cet exemple décrit une solution softwire qui inclut DS-Lite et 6rd dans le même ensemble de services.
Configuration
- Configuration du châssis
- concentrateur softwire, règle softwire, configuration de la règle de pare-feu dynamique
- Configuration NAT pour DS-Lite
- Configuration de l’ensemble de services
Configuration du châssis
Procédure étape par étape
Pour configurer le châssis :
Configurez l’interface d’entrée.
user@host# edit interfaces ge-1/2/0 [edit interfaces ge-1/2/0] user@host# set unit 0 family inet service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet address address 10.10.10.1/24 user@host# set unit 0 family inet6 service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 address address address 2001::1/16
Ici, l’ensemble de services est appliqué aux familles inet (IPv4) et inet6 (IPv6) de la sous-unité 0. Le trafic IPv6 DS-Lite et le trafic IPv4 6e atteignent le filtre de service et sont envoyés au pic de services.
Configurez l’interface de sortie (Internet IPv6). Le serveur IPv4 que les clients DS-Lite tentent d’atteindre est à 200.200.200.2/24, et le serveur IPv6 est à 3ABC ::2/16.
user@host# edit interfaces ge-1/2/2 [edit interfaces ge-1/2/2] user@host# set unit 0 family inet address 200.200.200.1/24 user@host# set unit 0 family inet6 address 3ABC::1/16
Configurez le PIC des services.
user@host# edit interfaces sp-3/0/0 [edit interfaces sp-3/0/0] user@host# set unit 0 family inet user@host# set unit 0 family inet6
Résultats
[edit interfaces]
user@host# show
ge-1/2/0 {
unit 0 {
family inet {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 10.10.10.1/24;
}
family inet6 {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 2001::1/16;
}
}
}
ge-1/2/2 {
unit 0 {
family inet {
address 200.200.200.1/24;
}
family inet6 {
address 3ABC::1/16;
}
}
}
sp-3/0/0 {
unit 0 {
family inet;
family inet6;
}
}
concentrateur softwire, règle softwire, configuration de la règle de pare-feu dynamique
Procédure étape par étape
Pour configurer le concentrateur softwire, la règle softwire et la règle de pare-feu dynamique :
Configurez les concentrateurs DS-Lite et 6rd softwire.
user@host# edit services softwire softwire-concentrator ds-lite ds1 [edit services softwire softwire-concentrator ds-lite ds1] user@host# set softwire-address 1001::1 user@host# mtu-v6 9192 usert@host# up 1 usert@host# edit v6rd v6rd-dom1 [edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.10.0/24 user@host# set v6rd-prefix 3040::0/16 user@host# set mtu-v4 9192
Configurez les règles softwire.
user@host# edit services softwire rule v6rd-r1] [edit services softwire rule v6rd-r1] user@host# set match-direction input user@host# set term t1 then v6rd v6rd-dom1 user@host# up 1 user@host# edit services softwire] [edit services softwire] user@host# edit rule dslite-r1 [edit services softwire rule dslite-r1] user@host# set term dslite-t1 then ds-lite ds1
Les routes suivantes sont ajoutées par le démon PIC de services sur le moteur de routage :
user@host# run show route 30.30.30.1 inet.0: 43 destinations, 46 routes (42 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 30.30.30.1/32 *[Static/786432] 00:24:11 Service to v6rd-dslite-service-set [edit] user@host# run show route 3040::0/16 inet6.0: 23 destinations, 33 routes (23 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 3040::/16 *[Static/786432] 00:24:39 Service to v6rd-dslite-service-setuser@host# run show route 1001::1 inet6.0: 33 destinations, 43 routes (33 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1001::1/128 *[Static/1] 1w2d 22:05:41 Service to v6rd-dslite-service-setConfigurez une règle de pare-feu dynamique.
user@host# edit services stateful-firewall rule r1 [edit services stateful-firewall rule r1] user@host# set match-direction input-output user@host# set term t1 then accept
[edit services stateful-firewall] rule r1 { match-direction input-output; term t1 { then { accept; } } }
Résultats
[edit services softwire]
user@host# show
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 9192;
}
v6rd v6rd-dom1 {
softwire-address 30.30.30.1;
ipv4-prefix 10.10.10.0/24;
v6rd-prefix 3040::0/16;
mtu-v4 9192;
}
}
rule v6rd-r1 {
match-direction input;
term t1 {
then {
v6rd v6rd-dom1;
}
}
}
rule dslite-r1 {
match-direction input;
term dslite-t1 {
then {
ds-lite ds1;
}
}
}
[edit services stateful-firewall]
user@host# show
rule r1 {
match-direction input-output;
term t1 {
then {
accept;
}
}
}
Configuration NAT pour DS-Lite
Procédure étape par étape
Pour configurer NAT pour DS-Lite :
Configurez un pool NAT pour DS-Lite.
user@host# edit services nat pool dslite-pool [edit services nat pool dslite-pool] user@host# set address-range low 33.33.33.1 high 33.33.33.32 user@host# set port automatic
Configurez une règle NAT.
user@host# up 1 [edit services nat rule dslite-nat-r1] user@host# set match-direction input user@host# set term dslite-nat-t1 from source-address 20.20.0.0/16 then translated translation-type napt-44
Résultats
[edit services nat]
user@host# show
pool dslite-pool {
address-range low 33.33.33.1 high 33.33.33.32;
port {
automatic;
}
}
rule dslite-nat-r1 {
match-direction input;
term dslite-nat-t1 {
from {
source-address {
20.20.0.0/16;
}
}
then {
translated {
source-pool dslite-pool;
translation-type {
source dynamic;
}
}
}
}
}
En raison de cette règle NAT, les routes NAT suivantes sont installées pour le trafic DS-Lite inverse :
user@host# run show route 33.33.33.0/24
inet.0: 48 destinations, 52 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
33.33.33.1/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.2/31 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.4/30 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.8/29 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.16/28 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.32/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
La règle NAT déclenche la traduction d’adresse pour le trafic provenant de 20.20.0.0/16 vers la plage d’adresses publiques 33.33.33.1 à 33.33.33.32.
Configuration de l’ensemble de services
Procédure étape par étape
Cet ensemble de services dispose d’une règle de pare-feu dynamique et d’une 6e règle pour le 6e service. L’ensemble de services comprend également une règle softwire pour DS-Lite et une règle NAT pour effectuer la traduction d’adresses pour l’ensemble du trafic DS-Lite. La règle NAT effectue la traduction NAPT dans le sens direct sur l’adresse source et le port du trafic DS-Lite.
Pour configurer l’ensemble de services :
Définissez l’ensemble de services.
user@host# edit services service-set v6rd-dslite-service-set
Configurez les règles de l’ensemble de services.
[edit services service-set v6rd-dslite-service-set] user@host# set softwire-rules dslite-r1 user@host# set stateful-firewall-rules r1 user@host# set nat-rules dslite-nat-r1
Configurez l’ensemble de services interface-service.
[edit services service-set v6rd-dslite-service-set] user@host# set interface-service service-interface sp-3/0/0
Résultats
[edit services service-set]
user@host# show
v6rd-dslite-service-set {
softwire-rules v6rd-r1;
softwire-rules dslite-r1;
stateful-firewall-rules r1;
nat-rules dslite-nat-r1;
interface-service {
service-interface sp-3/0/0;
}
Limitation du sous-réseau DS-Lite
- Vue d’ensemble de la limitation par sous-réseau de DS-Lite
- Configuration de DS-Lite Limitation des sessions par sous-réseau pour éviter les attaques par déni de service
Vue d’ensemble de la limitation par sous-réseau de DS-Lite
Junos OS vous permet de limiter le nombre de flux softwire à partir de l’équipement B4 (Basic Bridging Broadband Broadband de base) d’un abonné à un moment donné, empêchant ainsi les abonnés d’utiliser excessivement les adresses dans le sous-réseau. Cette limitation réduit le risque d’attaques par déni de service (DoS). Cette limitation est prise en charge sur les routeurs MX Series équipés de MS-DPC. À partir de Junos OS version 18.2R1, les MS-MPC et MS-MIC prennent également en charge la fonctionnalité de limitation des sous-réseaux. À partir de la version 19.2R1 de Junos OS, les routeurs MX Virtual Chassis et MX Broadband Network Gateway (BNG) prennent également en charge la fonctionnalité de limitation des sous-réseaux. À partir de la version 20.2R1 de Junos OS, DS-Lite est pris en charge pour les services CGNAT Next Gen sur les routeurs MX240, MX480 et MX960.
Un foyer qui utilise IPv6 avec DS-Lite est un sous-réseau, pas seulement une adresse IP individuelle. La fonctionnalité de limitation de sous-réseau associe un abonné et un mappage à un préfixe IPv6 au lieu d’une adresse IPv6. Un abonné peut utiliser n’importe quelle adresse IPv6 de ce préfixe comme adresse DS-Lite B4 et potentiellement épuiser les ressources NAT de classe opérateur. La fonctionnalité de limitation des sous-réseaux permet de mieux contrôler l’utilisation des ressources en identifiant un abonné à l’aide d’un préfixe au lieu d’une adresse spécifique.
La limite de sous-réseau offre les fonctionnalités suivantes :
Les flux utilisent l’adresse B4 complète.
La longueur du préfixe peut être configurée par ensemble de services sous softwire-options pour l’ensemble de services individuel.
Les blocs de ports sont alloués par préfixe de l’appareil B4 abonné, et non sur chaque adresse B4 (si la longueur du préfixe est inférieure à 128). Si la longueur du préfixe est 128, chaque adresse IPv6 est traitée comme un B4. Les blocs de ports sont alloués par adresse IPv6 128 bits.
La limite de sessions, définie dans la configuration du concentrateur softwire DS-Lite, limite le nombre de sessions IPv4 pour le préfixe.
Les mappages EIM, EIF et PCP sont créés par tunnel softwire (adresse IPv6 128 bits complète). Les mappages périmés expirent en fonction des valeurs de délai d’expiration.
Si la longueur du préfixe est configurée , alors PCP
max-mappings-per-subscriber(configurable souspcp-server) est basé sur le préfixe uniquement, et non sur l’adresse B4 complète.Les SYSLOGS pour l’allocation et la publication PBA contiennent la partie préfixe de l’adresse complétée par tous les zéros. L’allocation et la libération de SYSLOGS PCP, la création et la suppression de flux contiendront toujours l’adresse IPv6 complète.
La show services nat mappings address-pooling-paired sortie de la commande opérationnelle affiche désormais le mappage du préfixe. Le mappage indique l’adresse du B4 actif.
La show services softwire statistics ds-lite sortie inclut un nouveau champ qui affiche le nombre de fois où la limite de session a été dépassée pour le MPC.
Pour les services nouvelle génération sur les routeurs MX240, MX480 et MX960, la statistique de limite de sous-réseau s’affiche dans le Softwire session limit exceeded champ.
afficher les services Statistiques logicielles (MX-SPC3)
user@host> show services softwire statistics
vms-2/0/0
Total Session Interest events :3
Total Session Destroy events :2
Total Session Public Request events :0
Total Session Accepts :1
Total Session Discards :0
Total Session Ignores :0
Total Session extension alloc failures :0
Total Session extension set failures :0
Softwire statistics
Total Softwire sessions created :1
Total Softwire sessions deleted :2
Total Softwire sessions created for reverse packets :1
Total Softwire session create failed for reverse pkts :0
Total Softwire rule match success :1
Total Softwire rule match failed :0
Softwire session limit exceeded :0
Softwire packet statistics
Total Packets processed :1
Total packets encapsulated :1
Total packets decapsulated :1
Encapsulation errors :0
Decapsulation errors :0
Encapsulated pkts re-inject failures :0
Decapsulated pkts re-inject failures :0
DS-Lite ICMPv4 Echo replies sent :0
DS-Lite ICMPv4 TTL exceeded messages sent :0
ICMPv6 ECHO request messages received destined to AFTR :0
ICMPv6 ECHO reply messages sent from AFTR :0
ICMPv6 ECHO requests to AFTR process failures :0
V6 untunnelled packets destined to AFTR dropped :1
Softwire policy add errors :0
Softwire policy delete errors :0
Softwire policy memory alloc failures :0
Softwire Untunnelled packets ignored :0
Softwire Misc errors
DS-Lite ICMPv4 TTL exceed message process errors :0
Voir aussi
Configuration de DS-Lite Limitation des sessions par sous-réseau pour éviter les attaques par déni de service
Vous pouvez configurer la limitation de DS-Lite par sous-réseau sur les routeurs MX Series équipés de MS-DPC. À partir de la version 18.2R1 de Junos OS, les MS-MPC et MS-MIC prennent également en charge la fonctionnalité de limitation des sous-réseaux. À partir de la version 20.2R1 de Junos OS, la carte de services de sécurité MX-SPC3 de Next Gen Services prend en charge la fonctionnalité de limitation de sous-réseau.
À partir de la version 19.2R1 de Junos OS, les routeurs MX Virtual Chassis et MX Broadband Network Gateway (BNG) prennent également en charge la fonctionnalité de limitation des sous-réseaux.
Pour configurer la limitation de sessions DS-Lite par sous-réseau :
Voir aussi
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
mtu-v6 est prise en charge sur les routeurs MX Series équipés de cartes MS-MPC ou MS-MIC.