Câbles souples DS-Lite
Configuration d’un concentrateur de fil souple DS-Lite
DS-Lite est pris en charge sur les PIC multiservices 100, 400 et 500 des routeurs M Series et sur les routeurs MX Series équipés de DPC multiservices. À partir de la version 17.4R1 de Junos OS, DS-Lite est pris en charge sur les routeurs MX Series avec MS-MPC et MS-MIC. À partir de la version 19.2R1 de Junos OS, DS-Lite est pris en charge sur les routeurs MX Virtual Chassis et MX Broadband Network Gateway (BNG).
Pour configurer un concentrateur de fil souple DS-Lite :
Voir aussi
Configuration des interfaces multicast IPv6
Configurez les filtres de multicast sur les interfaces Ethernet lorsque la technologie IPv6 NAT est utilisée pour la détection de voisinage. Cela permet au routeur de traiter les flux initiés par le fil souple dans les deux sens.
Pour configurer des interfaces de multicast IPv6 :
Voir aussi
Exemple : configuration de base de DS-Lite
DS-Lite utilise des tunnels IPv4 sur IPv6 pour traverser un réseau d’accès IPv6 afin d’atteindre un NAT IPv4-IPv4 de classe opérateur. Cela facilite l’introduction progressive d’IPv6 sur Internet en assurant la rétrocompatibilité avec IPv4. Consultez Comprendre IPv6 Dual-Stack Lite.
Exigences
Les composants matériels suivants peuvent exécuter le DS-Lite :
Routeurs de périphérie multiservice M Series avec PIC multiservices.
Routeurs centraux T Series avec PIC multiservices.
Plates-formes de routage universelles MX Series 5G avec DPC multiservices. À partir de la version 17.4R1 de Junos OS, DS-Lite est pris en charge sur les routeurs MX Series avec MS-MPC et MS-MIC.À partir de Junos OS version 19.2R1, DS-Lite est pris en charge sur les routeurs MX Virtual Chassis et MX Broadband Network Gateway (BNG).
Présentation de la configuration et topologie
Cet exemple décrit comment configurer un routeur MX Series avec un MS-DPC comme AFTR pour faciliter le flux illustré à la Figure 1.
DS-Lite
Dans cet exemple, le concentrateur de fil souple DS-Lite, ou AFTR, est un routeur MX Series avec deux interfaces Gigabit et un DPC de services. L’interface faisant face à l’élément B4 est ge-3/1/5 et l’interface faisant face à Internet est ge-3/1/0.
La configuration
- Configuration du châssis
- Interfaces Configuration
- Configuration de la traduction d’adresses réseau et de ports
- Softwire Configuration
- Configuration de l’ensemble de services
Configuration du châssis
Procédure étape par étape
Pour configurer le PIC de service (FPC 0 Slot 0) avec le package de services de couche 3 :
Entrez le niveau de la hiérarchie de modification du châssis .
user@host# edit chassisConfigurez le package de services de couche 3.
[edit chassis]user@host# set fpc 0 pic 0 adaptive-services service-package layer-3
Interfaces Configuration
Procédure étape par étape
Pour configurer les interfaces face à l’initiateur B4 (softwire) et à Internet :
Allez au niveau de la hiérarchie d’édition
[edit interfaces]pour ge-3/1/0, qui fait face à Internet.host# edit interfaces ge-3/1/0Définissez l’interface.
[edit interfaces ge-3/1/0]user@host# set description AFTR-Internet user@host# set unit 0 family inet address 128.0.0.2/24Allez au niveau de
[edit interfaces]hiérarchie pour ge-3/1/5, qui fait face au B4.user@host# up 1
[edit]user@host# edit interfaces ge-3/1/5Définissez l’interface.
[edit interfaces ge-3/1/5]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6[edit unit 0 family inet6]user@host# set service input service-set sset user@host# set service output service-set sset user@host# set address 2001:0:0:2::1/48Accédez au niveau hiérarchique
[edit interfaces]de sp-0/0/0, utilisé pour héberger l’AFTR DS-Lite.[edit]user@host# edit interfaces sp-0/0/0Définissez l’interface.
[edit interfaces sp-0/0/0]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6
Résultats
user@host# show interfaces ge-3/1/0
description AFTR-Internet;
unit 0 {
family inet {
address 128.0.0.2/24;
}
}
user@host# show interfaces ge-3/1/5
description AFTR-B4;
unit 0 {
family inet;
family inet6 {
service {
input {
service-set sset;
}
output {
service-set sset;
}
}
address 2001:0:0:2::1/48;
}
}
user@host# show interfaces sp-o/o/o
unit 0 {
family inet;
family inet6;
}
Configuration de la traduction d’adresses réseau et de ports
Procédure étape par étape
Pour configurer NAPT :
Allez au niveau hiérarchique
[edit services nat].user@host# edit services nat
[edit services nat]Définir un pool de NAT p1.
user@host# set pool p1 address 129.0.0.1/32 port automaticDéfinissez une règle NAT, en commençant par la direction de correspondance.
[edit services nat]user@host# set rule r1 match-direction inputDéfinissez un terme pour la règle, en commençant par une clause from.
[edit services nat]user@host# set rule r1 term t1 from source-address 10.0.0.0/16Définissez la traduction souhaitée dans une clause then . Dans ce cas, utilisez la traduction source dynamique.
[edit services nat]user@host# set rule r1 term t1 then translated source-pool p1 translation-type napt-44(Facultatif) Configurez la journalisation des informations de traduction pour la règle.
[edit services nat]user@host# set rule r1 term t1 then syslog
Résultats
user@host# show services nat
pool p1 {
address 129.0.0.1/32;
port {
automatic;
}
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.0.0.0/16;
}
}
then {
translated {
source-pool p1;
translation-type {
napt-44;
}
}
syslog;
}
}
Softwire Configuration
Procédure étape par étape
Pour configurer le concentrateur de câbles souples DS-Lite et les règles associées :
Allez au niveau hiérarchique
[edit services softwire].user@host# edit services softwireDéfinir le concentrateur de fil souple DS-Lite.
[edit services softwire]user@host# set softwire-concentrator ds-lite ds-1 softwire-address 1001::1 mtu-v6 1460Définissez la règle du câblage.
[edit services softwire]user@host# set rule r1 match-direction input term t1 then ds-lite ds1.
Résultats
user@host# show services softwire
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 1460;
}
}
rule r1 {
match-direction input;
term t1 {
then {
ds-lite ds1;
}
}
}
Configuration de l’ensemble de services
Procédure étape par étape
Configurez un ensemble de services qui inclut des règles softwire et NAT et spécifie un service interface-service ou un service de saut suivant. Cet exemple utilise un service de saut suivant.
Allez au niveau hiérarchique
[edit services service-set], en nommant l’ensemble de services.user@host# edit services service-set ssetDéfinissez la règle NAT à utiliser pour la conversion IPv4-IPv4.
[edit services service-set sset]user@host# set nat-rules r1Définissez la règle de câblage pour définir le tunnel câblé.
[edit services service-set sset]user@host# set softwire-rules r1Définir le service d’interface,
[edit services service-set sset]user@host# set interface-service service-interface sp-0/0/0.0Conseil :Afin d’éviter ou de minimiser la fragmentation IPv6, vous pouvez configurer une taille de segment maximale (MSS) TCP pour votre ensemble de services.
(Facultatif) Définir une MSS TCP.
[edit services service-set sset]user@host# set tcp-mss 1024
Résultats
user@host# show services service-set
syslog {
host local {
services any;
}
}
softwire-rules r1;
nat-rules r1;
interface-service {
service-interface sp-0/0/0;
}
}
Exemple : Configuration de DS-Lite et 6rd dans le même ensemble de services
Exigences
Les composants matériels suivants peuvent exécuter le DS-Lite :
Routeurs de périphérie multiservice M Series avec PIC multiservices.
Routeurs centraux T Series avec PIC multiservices.
Plates-formes de routage universelles MX Series 5G avec DPC multiservices. À partir de la version 17.4R1 de Junos OS, DS-Lite est pris en charge sur les routeurs MX Series avec MS-MPC et MS-MIC.À partir de Junos OS version 19.2R1, DS-Lite est pris en charge sur les routeurs MX Virtual Chassis et MX Broadband Network Gateway (BNG). À partir de la version 20.2R1 de Junos OS, DS-Lite est pris en charge pour les services CGNAT nouvelle génération sur les routeurs MX240, MX480 et MX960.
Vue d’ensemble
Cet exemple décrit une solution softwire qui inclut DS-Lite et 6rd dans le même ensemble de services.
La configuration
- Configuration du châssis
- concentrateur softwire, règle softwire, configuration de règle de pare-feu dynamique
- Configuration NAT pour DS-Lite
- Configuration de l’ensemble de services
Configuration du châssis
Procédure étape par étape
Pour configurer le châssis :
Configurez l’interface entrante.
user@host# edit interfaces ge-1/2/0 [edit interfaces ge-1/2/0] user@host# set unit 0 family inet service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet address address 10.10.10.1/24 user@host# set unit 0 family inet6 service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 address address address 2001::1/16
Ici, l’ensemble des services est appliqué aux familles inet (IPv4) et inet6 (IPv6) de la sous-unité 0. Le trafic IPv6 DS-Lite et le trafic IPv4 6e atteignent le filtre de service et sont envoyés au PIC de services.
Configurez l’interface de sortie (IPv6 Internet). Le serveur IPv4 que les clients DS-Lite tentent d’atteindre est à 200.200.200.2/24, et le serveur IPv6 est à 3ABC ::2/16.
user@host# edit interfaces ge-1/2/2 [edit interfaces ge-1/2/2] user@host# set unit 0 family inet address 200.200.200.1/24 user@host# set unit 0 family inet6 address 3ABC::1/16
Configurez le PIC de services.
user@host# edit interfaces sp-3/0/0 [edit interfaces sp-3/0/0] user@host# set unit 0 family inet user@host# set unit 0 family inet6
Résultats
[edit interfaces]
user@host# show
ge-1/2/0 {
unit 0 {
family inet {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 10.10.10.1/24;
}
family inet6 {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 2001::1/16;
}
}
}
ge-1/2/2 {
unit 0 {
family inet {
address 200.200.200.1/24;
}
family inet6 {
address 3ABC::1/16;
}
}
}
sp-3/0/0 {
unit 0 {
family inet;
family inet6;
}
}
concentrateur softwire, règle softwire, configuration de règle de pare-feu dynamique
Procédure étape par étape
Pour configurer le concentrateur de softwire, la règle softwire et la règle de pare-feu dynamique :
Configurez les concentrateurs DS-Lite et 6ème softwire.
user@host# edit services softwire softwire-concentrator ds-lite ds1 [edit services softwire softwire-concentrator ds-lite ds1] user@host# set softwire-address 1001::1 user@host# mtu-v6 9192 usert@host# up 1 usert@host# edit v6rd v6rd-dom1 [edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.10.0/24 user@host# set v6rd-prefix 3040::0/16 user@host# set mtu-v4 9192
Configurez les règles de câblage.
user@host# edit services softwire rule v6rd-r1] [edit services softwire rule v6rd-r1] user@host# set match-direction input user@host# set term t1 then v6rd v6rd-dom1 user@host# up 1 user@host# edit services softwire] [edit services softwire] user@host# edit rule dslite-r1 [edit services softwire rule dslite-r1] user@host# set term dslite-t1 then ds-lite ds1
Les routes suivantes sont ajoutées par le démon PIC de services sur le moteur de routage :
user@host# run show route 30.30.30.1 inet.0: 43 destinations, 46 routes (42 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 30.30.30.1/32 *[Static/786432] 00:24:11 Service to v6rd-dslite-service-set [edit] user@host# run show route 3040::0/16 inet6.0: 23 destinations, 33 routes (23 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 3040::/16 *[Static/786432] 00:24:39 Service to v6rd-dslite-service-setuser@host# run show route 1001::1 inet6.0: 33 destinations, 43 routes (33 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1001::1/128 *[Static/1] 1w2d 22:05:41 Service to v6rd-dslite-service-setConfigurez une règle de pare-feu dynamique.
user@host# edit services stateful-firewall rule r1 [edit services stateful-firewall rule r1] user@host# set match-direction input-output user@host# set term t1 then accept
[edit services stateful-firewall] rule r1 { match-direction input-output; term t1 { then { accept; } } }
Résultats
[edit services softwire]
user@host# show
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 9192;
}
v6rd v6rd-dom1 {
softwire-address 30.30.30.1;
ipv4-prefix 10.10.10.0/24;
v6rd-prefix 3040::0/16;
mtu-v4 9192;
}
}
rule v6rd-r1 {
match-direction input;
term t1 {
then {
v6rd v6rd-dom1;
}
}
}
rule dslite-r1 {
match-direction input;
term dslite-t1 {
then {
ds-lite ds1;
}
}
}
[edit services stateful-firewall]
user@host# show
rule r1 {
match-direction input-output;
term t1 {
then {
accept;
}
}
}
Configuration NAT pour DS-Lite
Procédure étape par étape
Pour configurer le NAT pour DS-Lite :
Configurez un pool NAT pour DS-Lite.
user@host# edit services nat pool dslite-pool [edit services nat pool dslite-pool] user@host# set address-range low 33.33.33.1 high 33.33.33.32 user@host# set port automatic
Configurez une règle NAT.
user@host# up 1 [edit services nat rule dslite-nat-r1] user@host# set match-direction input user@host# set term dslite-nat-t1 from source-address 20.20.0.0/16 then translated translation-type napt-44
Résultats
[edit services nat]
user@host# show
pool dslite-pool {
address-range low 33.33.33.1 high 33.33.33.32;
port {
automatic;
}
}
rule dslite-nat-r1 {
match-direction input;
term dslite-nat-t1 {
from {
source-address {
20.20.0.0/16;
}
}
then {
translated {
source-pool dslite-pool;
translation-type {
source dynamic;
}
}
}
}
}
En raison de cette règle de NAT, les routes NAT suivantes sont installées pour le trafic DS-Lite inverse :
user@host# run show route 33.33.33.0/24
inet.0: 48 destinations, 52 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
33.33.33.1/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.2/31 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.4/30 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.8/29 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.16/28 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.32/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
La règle NAT déclenche la traduction des adresses pour le trafic provenant de 20.20.0.0/16 vers la plage d’adresses publiques 33.33.33.1 à 33.33.33.32.
Configuration de l’ensemble de services
Procédure étape par étape
Cet ensemble de services possède une règle de pare-feu dynamique et une 6e règle pour le 6e service. L’ensemble de services comprend également une règle de câblage pour DS-Lite et une règle NAT pour effectuer la traduction d’adresse pour tout le trafic DS-Lite. La règle NAT effectue la traduction NAPT dans le sens avant sur l’adresse et le port sources du trafic DS-Lite.
Pour configurer l’ensemble de services :
Définissez l’ensemble des services.
user@host# edit services service-set v6rd-dslite-service-set
Configurez les règles de l’ensemble de services.
[edit services service-set v6rd-dslite-service-set] user@host# set softwire-rules dslite-r1 user@host# set stateful-firewall-rules r1 user@host# set nat-rules dslite-nat-r1
Configurez l’ensemble de services interface-service.
[edit services service-set v6rd-dslite-service-set] user@host# set interface-service service-interface sp-3/0/0
Résultats
[edit services service-set]
user@host# show
v6rd-dslite-service-set {
softwire-rules v6rd-r1;
softwire-rules dslite-r1;
stateful-firewall-rules r1;
nat-rules dslite-nat-r1;
interface-service {
service-interface sp-3/0/0;
}
Limitation des sous-réseaux DS-Lite
- Présentation des limitations par sous-réseau de DS-Lite
- Configuration de la limitation de session DS-Lite par sous-réseau pour éviter les attaques par déni de service
Présentation des limitations par sous-réseau de DS-Lite
Junos OS vous permet de limiter le nombre de flux de câblage logiciel provenant de l’équipement B4 d’un abonné à un moment donné, afin d’empêcher les abonnés d’utiliser excessivement les adresses dans le sous-réseau. Cette limitation réduit le risque d’attaques par déni de service (DoS). Cette limitation est prise en charge sur les routeurs MX Series équipés de MS-DPC. À partir de la version 18.2R1 de Junos OS, les MS-MPC et MS-MICs prennent également en charge la fonctionnalité de limitation de sous-réseau. À partir de Junos OS version 19.2R1, les routeurs MX Virtual Chassis et MX Broadband Network Gateway (BNG) prennent également en charge la fonctionnalité de limitation de sous-réseau. À partir de la version 20.2R1 de Junos OS, DS-Lite est pris en charge pour les services CGNAT nouvelle génération sur les routeurs MX240, MX480 et MX960.
Un ménage utilisant IPv6 avec DS-Lite est un sous-réseau, et pas seulement une adresse IP individuelle. La fonctionnalité de limitation de sous-réseau associe un abonné et le mappage à un préfixe IPv6 au lieu d’une adresse IPv6. Un abonné peut utiliser n’importe quelle adresse IPv6 de ce préfixe comme adresse B4 DS-Lite et potentiellement épuiser les ressources NAT de classe opérateur. La fonctionnalité de limitation des sous-réseaux permet de mieux contrôler l’utilisation des ressources en identifiant un abonné avec un préfixe au lieu d’une adresse spécifique.
La limite de sous-réseau offre les fonctionnalités suivantes :
Les flux utilisent l’adresse B4 complète.
La longueur du préfixe peut être configurée par ensemble de services sous softwire-options pour chaque ensemble de services.
Les blocs de ports sont alloués par préfixe de l’appareil B4 de l’abonné, et non sur chaque adresse B4 (si la longueur du préfixe est inférieure à 128). Si la longueur du préfixe est de 128, chaque adresse IPv6 est traitée comme un B4. Les blocs de ports sont alloués par adresse IPv6 de 128 bits.
La limite de sessions, définie dans la configuration du concentrateur DS-Lite softwire, limite le nombre de sessions IPv4 pour le préfixe.
Les mappages EIM, EIF et PCP sont créés par tunnel softwire (adresse IPv6 128 bits complète). Les mappages périmés expirent en fonction des valeurs de délai d’expiration.
Si la longueur du préfixe est configurée , alors PCP
max-mappings-per-subscriber(configurable souspcp-server) est basé sur le préfixe uniquement, et non sur l’adresse B4 complète.SYSLOGS pour l’allocation et la libération de PBA contiennent la partie préfixe de l’adresse complétée par tous les zéros. L’allocation et la suppression de flux SYSLOGS pour PCP contiendront toujours l’adresse IPv6 complète.
La show services nat mappings address-pooling-paired sortie de la commande opérationnelle affiche maintenant le mappage du préfixe. Le mappage indique l’adresse du B4 actif.
La show services softwire statistics ds-lite sortie comprend un nouveau champ qui affiche le nombre de fois où la limite de session a été dépassée pour le MPC.
Pour les services nouvelle génération sur les routeurs MX240, MX480 et MX960, la statistique de limite de sous-réseau s’affiche dans le Softwire session limit exceeded champ.
Afficher les services Softwire Statistics (MX-SPC3)
user@host> show services softwire statistics
vms-2/0/0
Total Session Interest events :3
Total Session Destroy events :2
Total Session Public Request events :0
Total Session Accepts :1
Total Session Discards :0
Total Session Ignores :0
Total Session extension alloc failures :0
Total Session extension set failures :0
Softwire statistics
Total Softwire sessions created :1
Total Softwire sessions deleted :2
Total Softwire sessions created for reverse packets :1
Total Softwire session create failed for reverse pkts :0
Total Softwire rule match success :1
Total Softwire rule match failed :0
Softwire session limit exceeded :0
Softwire packet statistics
Total Packets processed :1
Total packets encapsulated :1
Total packets decapsulated :1
Encapsulation errors :0
Decapsulation errors :0
Encapsulated pkts re-inject failures :0
Decapsulated pkts re-inject failures :0
DS-Lite ICMPv4 Echo replies sent :0
DS-Lite ICMPv4 TTL exceeded messages sent :0
ICMPv6 ECHO request messages received destined to AFTR :0
ICMPv6 ECHO reply messages sent from AFTR :0
ICMPv6 ECHO requests to AFTR process failures :0
V6 untunnelled packets destined to AFTR dropped :1
Softwire policy add errors :0
Softwire policy delete errors :0
Softwire policy memory alloc failures :0
Softwire Untunnelled packets ignored :0
Softwire Misc errors
DS-Lite ICMPv4 TTL exceed message process errors :0
Voir aussi
Configuration de la limitation de session DS-Lite par sous-réseau pour éviter les attaques par déni de service
Vous pouvez configurer la limitation DS-Lite par sous-réseau sur les routeurs MX Series équipés de MS-DPC. À partir de la version 18.2R1 de Junos OS, les MS-MPC et les MS-MICs prennent également en charge la fonctionnalité de limitation de sous-réseau. À partir de la version 20.2R1 de Junos OS, la carte de services de sécurité MX-SPC3 des services de nouvelle génération prend en charge la fonctionnalité de limitation de sous-réseau.
À partir de Junos OS version 19.2R1, les routeurs MX Virtual Chassis et MX Broadband Network Gateway (BNG) prennent également en charge la fonctionnalité de limitation de sous-réseau.
Pour configurer la limitation de session DS-Lite par sous-réseau :
Voir aussi
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
mtu-v6 est prise en charge sur les routeurs MX Series avec MS-MPC ou MS-MIC.