DS-Lite ソフトワイヤ
DS-Lite Softwire コンセントレータの設定
DS-Liteは、M Seriesルーターのマルチサービス100、400、500PIC、およびマルチサービスDPCを搭載したMXシリーズルーターでサポートされています。 Junos OS リリース 17.4R1 以降、DS-Lite は、MS-MPC および MS-MIC を搭載した MXシリーズ ルーターでサポートされています。Junos OS リリース 19.2R1 以降、DS-Lite は MX バーチャルシャーシおよび MX BNG(ブロードバンド ネットワーク ゲートウェイ)ルーターでサポートされています。
DS-Lite ソフトワイヤ コンセントレータを設定するには、次の手順を実行します。
参照
IPv6 マルチキャスト インターフェイスの設定
IPv6 NAT を近隣探索に使用する場合、イーサネット インターフェイスにマルチキャスト フィルターを設定します。これにより、ルータはソフトワイヤで開始されたフローを両方向に処理できます。
IPv6 マルチキャスト インターフェイスを設定するには:
参照
例:DS-Lite の基本設定
DS-Liteは、IPv4-over-IPv6トンネルを使用してIPv6アクセスネットワークを通過し、キャリアグレードのIPv4-IPv4 NATに到達します。これにより、IPv4 との下位互換性が確保され、インターネット上での IPv6 の段階的な導入が容易になります。「 IPv6 デュアルスタック ライトについて」を参照してください。
必要条件
次のハードウェア コンポーネントで DS-Lite を実行できます。
マルチサービスPICを搭載したM Seriesマルチサービスエッジルーター。
マルチサービスPICを搭載したT Seriesコアルーター。
マルチサービスDPCを搭載したMXシリーズ5Gユニバーサルルーティングプラットフォーム。 Junos OS リリース 17.4R1 以降、DS-Lite は MS-MPC と MS-MIC を搭載した MXシリーズ ルーターでサポートされています。Junos OS リリース 19.2R1 以降、DS-Lite は MX バーチャルシャーシおよび MX BNG(ブロードバンド ネットワーク ゲートウェイ)ルーターでサポートされています。
構成の概要とトポロジー
この例では、MS-DPCを搭載したMXシリーズルーターをAFTRとして設定し、 図1に示すフローを促進する方法を説明します。
この例では、DS-Liteソフトワイヤコンセントレータ(AFTR)は、2つのギガビットインターフェイスとサービスDPCを備えたMXシリーズルーターです。B4 要素に面したインターフェイスは ge-3/1/5 で、インターネットに面したインターフェイスは ge-3/1/0 です。
構成
シャーシ構成
手順
レイヤー3サービスパッケージでサービスPIC(FPC 0スロット0)を設定するには:
edit chassis 階層レベルに入ります。
user@host# edit chassisレイヤー3サービスパッケージを設定します。
[edit chassis]user@host# set fpc 0 pic 0 adaptive-services service-package layer-3
インターフェイス設定
手順
B4(ソフトワイヤ イニシエーター)に面し、インターネットに面したインターフェイスを設定するには:
インターネットに面したge-3/1/0の
[edit interfaces]編集階層レベルに移動します。host# edit interfaces ge-3/1/0インターフェイスを定義します。
[edit interfaces ge-3/1/0]user@host# set description AFTR-Internet user@host# set unit 0 family inet address 128.0.0.2/24B4 に面する ge-3/1/5 の
[edit interfaces]階層レベルに移動します。user@host# up 1
[edit]user@host# edit interfaces ge-3/1/5インターフェイスを定義します。
[edit interfaces ge-3/1/5]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6[edit unit 0 family inet6]user@host# set service input service-set sset user@host# set service output service-set sset user@host# set address 2001:0:0:2::1/48DS-Lite AFTR のホストに使用される sp-0/0/0 の
[edit interfaces]階層レベルに移動します。[edit]user@host# edit interfaces sp-0/0/0インターフェイスを定義します。
[edit interfaces sp-0/0/0]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6
業績
user@host# show interfaces ge-3/1/0
description AFTR-Internet;
unit 0 {
family inet {
address 128.0.0.2/24;
}
}
user@host# show interfaces ge-3/1/5
description AFTR-B4;
unit 0 {
family inet;
family inet6 {
service {
input {
service-set sset;
}
output {
service-set sset;
}
}
address 2001:0:0:2::1/48;
}
}
user@host# show interfaces sp-o/o/o
unit 0 {
family inet;
family inet6;
}
ネットワーク アドレスとポート変換の構成
手順
NAPT を設定するには、次の手順を実行します。
[edit services nat]階層レベルに移動します。user@host# edit services nat
[edit services nat]NAT プール p1 を定義します。
user@host# set pool p1 address 129.0.0.1/32 port automatic一致方向から始まる NAT ルールを定義します。
[edit services nat]user@host# set rule r1 match-direction inputfrom 句で始まるルールの 項 を定義します。
[edit services nat]user@host# set rule r1 term t1 from source-address 10.0.0.0/16then 句で目的の翻訳を定義します。この場合は、動的なソース変換を使用します。
[edit services nat]user@host# set rule r1 term t1 then translated source-pool p1 translation-type napt-44(オプション)ルールの翻訳情報のログ記録を構成します。
[edit services nat]user@host# set rule r1 term t1 then syslog
業績
user@host# show services nat
pool p1 {
address 129.0.0.1/32;
port {
automatic;
}
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.0.0.0/16;
}
}
then {
translated {
source-pool p1;
translation-type {
napt-44;
}
}
syslog;
}
}
Softwire 設定
手順
DS-Lite ソフトワイヤ コンセントレータと関連ルールを設定するには、次の手順に従います。
[edit services softwire]階層レベルに移動します。user@host# edit services softwireDS-Lite ソフトワイヤ コンセントレータを定義します。
[edit services softwire]user@host# set softwire-concentrator ds-lite ds-1 softwire-address 1001::1 mtu-v6 1460ソフトワイヤルールを定義します。
[edit services softwire]user@host# set rule r1 match-direction input term t1 then ds-lite ds1.
業績
user@host# show services softwire
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 1460;
}
}
rule r1 {
match-direction input;
term t1 {
then {
ds-lite ds1;
}
}
}
サービス セットの構成
手順
ソフトワイヤとNATのルールを含み、インターフェイスサービスまたはネクストホップサービスのいずれかを指定するサービスセットを設定します。この例では、ネクストホップサービスを使用しています。
[edit services service-set]階層レベルに移動し、サービスセットに名前を付けます。user@host# edit services service-set ssetIPv4 から IPv4 への変換に使用する NAT ルールを定義します。
[edit services service-set sset]user@host# set nat-rules r1ソフトワイヤ ルール を定義して、ソフトワイヤ トンネルを定義します。
[edit services service-set sset]user@host# set softwire-rules r1インターフェイスサービスを定義します。
[edit services service-set sset]user@host# set interface-service service-interface sp-0/0/0.0先端:IPv6のフラグメント化を回避または最小化するために、サービスセットにTCP最大セグメントサイズ(MSS)を設定できます。
(オプション)TCP MSSを定義します。
[edit services service-set sset]user@host# set tcp-mss 1024
業績
user@host# show services service-set
syslog {
host local {
services any;
}
}
softwire-rules r1;
nat-rules r1;
interface-service {
service-interface sp-0/0/0;
}
}
例:DS-Lite と 6rd を同じサービス セットに設定する
必要条件
次のハードウェア コンポーネントで DS-Lite を実行できます。
マルチサービスPICを搭載したM Seriesマルチサービスエッジルーター。
マルチサービスPICを搭載したT Seriesコアルーター。
マルチサービスDPCを搭載したMXシリーズ5Gユニバーサルルーティングプラットフォーム。 Junos OS リリース 17.4R1 以降、DS-Lite は MS-MPC と MS-MIC を搭載した MXシリーズ ルーターでサポートされています。Junos OS リリース 19.2R1 以降、DS-Lite は MX バーチャルシャーシおよび MX BNG(ブロードバンド ネットワーク ゲートウェイ)ルーターでサポートされています。Junos OS リリース 20.2R1 以降、DS-Lite は MX240、MX480、MX960 ルーターの CGNAT 次世代サービスでサポートされています。
概要
この例では、同じサービス セットに DS-Lite と 6rd を含むソフトワイヤ ソリューションについて説明します。
構成
シャーシ構成
手順
シャーシを設定するには、次の手順に従います。
イングレスインターフェイスを設定します。
user@host# edit interfaces ge-1/2/0 [edit interfaces ge-1/2/0] user@host# set unit 0 family inet service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet address address 10.10.10.1/24 user@host# set unit 0 family inet6 service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 address address address 2001::1/16
ここでは、サービス セットは、サブユニット 0 の inet(IPv4)および inet6(IPv6)ファミリーに適用されます。DS-Lite IPv6トラフィックと6番目のIPv4トラフィックの両方がサービス フィルターにヒットし、サービス PICに送信されます。
エグレスインターフェイス(IPv6インターネット)を設定します。DS-Lite クライアントが到達しようとしている IPv4 サーバは 200.200.200.2/24 にあり、IPv6 サーバは 3ABC::2/16 にあります。
user@host# edit interfaces ge-1/2/2 [edit interfaces ge-1/2/2] user@host# set unit 0 family inet address 200.200.200.1/24 user@host# set unit 0 family inet6 address 3ABC::1/16
サービスPICを設定します。
user@host# edit interfaces sp-3/0/0 [edit interfaces sp-3/0/0] user@host# set unit 0 family inet user@host# set unit 0 family inet6
業績
[edit interfaces]
user@host# show
ge-1/2/0 {
unit 0 {
family inet {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 10.10.10.1/24;
}
family inet6 {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 2001::1/16;
}
}
}
ge-1/2/2 {
unit 0 {
family inet {
address 200.200.200.1/24;
}
family inet6 {
address 3ABC::1/16;
}
}
}
sp-3/0/0 {
unit 0 {
family inet;
family inet6;
}
}
ソフトワイヤーコンセントレータ、ソフトワイヤールール、ステートフルファイアウォールルール設定
手順
ソフトワイヤー コンセントレータ、ソフトワイヤー ルール、およびステートフル ルールオプションは、ファイアウォールルールを設定するには:
DS-Lite と 6 番目のソフトワイヤ コンセントレータを設定します。
user@host# edit services softwire softwire-concentrator ds-lite ds1 [edit services softwire softwire-concentrator ds-lite ds1] user@host# set softwire-address 1001::1 user@host# mtu-v6 9192 usert@host# up 1 usert@host# edit v6rd v6rd-dom1 [edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.10.0/24 user@host# set v6rd-prefix 3040::0/16 user@host# set mtu-v4 9192
ソフトワイヤルールを設定します。
user@host# edit services softwire rule v6rd-r1] [edit services softwire rule v6rd-r1] user@host# set match-direction input user@host# set term t1 then v6rd v6rd-dom1 user@host# up 1 user@host# edit services softwire] [edit services softwire] user@host# edit rule dslite-r1 [edit services softwire rule dslite-r1] user@host# set term dslite-t1 then ds-lite ds1
以下のルートは、ルーティングエンジン上のサービスPICデーモンによって追加されます。
user@host# run show route 30.30.30.1 inet.0: 43 destinations, 46 routes (42 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 30.30.30.1/32 *[Static/786432] 00:24:11 Service to v6rd-dslite-service-set [edit] user@host# run show route 3040::0/16 inet6.0: 23 destinations, 33 routes (23 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 3040::/16 *[Static/786432] 00:24:39 Service to v6rd-dslite-service-setuser@host# run show route 1001::1 inet6.0: 33 destinations, 43 routes (33 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1001::1/128 *[Static/1] 1w2d 22:05:41 Service to v6rd-dslite-service-setステートフル ルールオプションは、ファイアウォールルールを設定します。
user@host# edit services stateful-firewall rule r1 [edit services stateful-firewall rule r1] user@host# set match-direction input-output user@host# set term t1 then accept
[edit services stateful-firewall] rule r1 { match-direction input-output; term t1 { then { accept; } } }
業績
[edit services softwire]
user@host# show
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 9192;
}
v6rd v6rd-dom1 {
softwire-address 30.30.30.1;
ipv4-prefix 10.10.10.0/24;
v6rd-prefix 3040::0/16;
mtu-v4 9192;
}
}
rule v6rd-r1 {
match-direction input;
term t1 {
then {
v6rd v6rd-dom1;
}
}
}
rule dslite-r1 {
match-direction input;
term dslite-t1 {
then {
ds-lite ds1;
}
}
}
[edit services stateful-firewall]
user@host# show
rule r1 {
match-direction input-output;
term t1 {
then {
accept;
}
}
}
DS-Lite の NAT 設定
手順
DS-Lite の NAT を設定するには、次の手順に従います。
DS-Lite の NAT プールを設定します。
user@host# edit services nat pool dslite-pool [edit services nat pool dslite-pool] user@host# set address-range low 33.33.33.1 high 33.33.33.32 user@host# set port automatic
NAT ルールを設定します。
user@host# up 1 [edit services nat rule dslite-nat-r1] user@host# set match-direction input user@host# set term dslite-nat-t1 from source-address 20.20.0.0/16 then translated translation-type napt-44
業績
[edit services nat]
user@host# show
pool dslite-pool {
address-range low 33.33.33.1 high 33.33.33.32;
port {
automatic;
}
}
rule dslite-nat-r1 {
match-direction input;
term dslite-nat-t1 {
from {
source-address {
20.20.0.0/16;
}
}
then {
translated {
source-pool dslite-pool;
translation-type {
source dynamic;
}
}
}
}
}
この NAT ルールにより、リバース DS-Lite トラフィックには次の NAT ルートがインストールされます。
user@host# run show route 33.33.33.0/24
inet.0: 48 destinations, 52 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
33.33.33.1/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.2/31 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.4/30 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.8/29 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.16/28 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.32/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
NAT ルールは、20.20.0.0/16 からパブリック アドレス範囲 33.33.33.1 から 33.33.33.32 に着信するトラフィックのアドレス変換をトリガーします。
サービス セットの構成
手順
このサービス セットには、ステートフル ルールオプションは、ファイアウォールルールと 6 番目のサービスの 6 番目のルールがあります。サービス セットには、DS-Lite のソフトワイヤ ルールと、すべての DS-Lite トラフィックのアドレス変換を実行する NAT ルールも含まれています。NAT ルールは、DS-Lite トラフィックの送信元アドレスとポートに対して順方向の NAPT 変換を実行します。
サービスセットを設定するには、次の手順に従います。
サービスセットを定義します。
user@host# edit services service-set v6rd-dslite-service-set
サービス・セット・ルールを構成します。
[edit services service-set v6rd-dslite-service-set] user@host# set softwire-rules dslite-r1 user@host# set stateful-firewall-rules r1 user@host# set nat-rules dslite-nat-r1
サービス セット interface-service を設定します。
[edit services service-set v6rd-dslite-service-set] user@host# set interface-service service-interface sp-3/0/0
業績
[edit services service-set]
user@host# show
v6rd-dslite-service-set {
softwire-rules v6rd-r1;
softwire-rules dslite-r1;
stateful-firewall-rules r1;
nat-rules dslite-nat-r1;
interface-service {
service-interface sp-3/0/0;
}
DS-Liteサブネットの制限
サブネットごとの DS-Lite の制限の概要
Junos OS を使用すると、ある時点での加入者の B4(基本的なブリッジング ブロードバンド)デバイスからのソフトワイヤ フローの数を制限し、加入者がサブネット内のアドレスを過剰に使用するのを防ぐことができます。この制限により、サービス拒否 (DoS) 攻撃のリスクが軽減されます。この制限は、MS-DPCを搭載したMXシリーズ ルーターでサポートされています。 Junos OS リリース 18.2R1 以降、MS-MPC と MS-MIC はサブネット制限機能もサポートしています。Junos OS リリース 19.2R1 以降、MX バーチャルシャーシと MX ブロードバンドネットワークゲートウェイ(BNG)ルーターもサブネット制限機能をサポートしています。Junos OS リリース 20.2R1 以降、DS-Lite は MX240、MX480、MX960 ルーターの CGNAT 次世代サービスでサポートされています。
DS-LiteでIPv6を使用する世帯は、単なる個々のIPアドレスではなくサブネットです。サブネット制限機能は、加入者とマッピングを IPv6 アドレスではなく IPv6 プレフィックスに関連付けます。加入者は、そのプレフィックス内の任意の IPv6 アドレスを DS-Lite B4 アドレスとして使用でき、キャリアグレードの NAT リソースを使い果たす可能性があります。サブネット制限機能では、特定のアドレスではなくプレフィックスで加入者を識別することで、リソース使用率をより細かく制御できます。
サブネット制限には、次の機能があります。
フローは完全な B4 アドレスを使用します。
プレフィックス長は、個々のサービス セットの softwire-options でサービス セットごとに設定できます。
ポート ブロックは、(プレフィックス長が 128 未満の場合)各 B4 アドレスではなく、加入者 B4 デバイスのプレフィックスごとに割り当てられます。プレフィックス長が 128 の場合、各 IPv6 アドレスは B4 として扱われます。ポート ブロックは、128 ビットの IPv6 アドレスごとに割り当てられます。
DS-Lite ソフトワイヤ コンセントレータ設定で定義されるセッション制限は、プレフィックスの IPv4 セッションの数を制限します。
EIM、EIF、および PCP マッピングは、ソフトワイヤ トンネル(完全な 128 ビット IPv6 アドレス)ごとに作成されます。古いマッピングは、タイムアウト値に基づいてタイムアウトします。
プレフィックス長が設定されている場合、PCP
max-mappings-per-subscriber(pcp-serverで設定可能)はプレフィックスのみに基づいており、完全な B4 アドレスには基づいていません。PBA の割り当てと解放の SYSLOG には、すべて 0 で補完されたアドレスのプレフィックス部分が含まれます。PCPの割り当てとリリース、フローの作成と削除のSYSLOGには、引き続き完全なIPv6アドレスが含まれます。
show services nat mappings address-pooling-paired操作コマンドの出力に、プレフィックスのマッピングが表示されるようになりました。マッピングは、アクティブな B4 のアドレスを示しています。
show services softwire statistics ds-lite出力には、MPC のセッション制限を超えた回数を表示する新しいフィールドが含まれています。
MX240、MX480、MX960ルーターの次世代サービスの場合、サブネット制限の統計情報は Softwire session limit exceeded フィールドに表示されます。
show services softwire statistics(MX-SPC3)
user@host> show services softwire statistics
vms-2/0/0
Total Session Interest events :3
Total Session Destroy events :2
Total Session Public Request events :0
Total Session Accepts :1
Total Session Discards :0
Total Session Ignores :0
Total Session extension alloc failures :0
Total Session extension set failures :0
Softwire statistics
Total Softwire sessions created :1
Total Softwire sessions deleted :2
Total Softwire sessions created for reverse packets :1
Total Softwire session create failed for reverse pkts :0
Total Softwire rule match success :1
Total Softwire rule match failed :0
Softwire session limit exceeded :0
Softwire packet statistics
Total Packets processed :1
Total packets encapsulated :1
Total packets decapsulated :1
Encapsulation errors :0
Decapsulation errors :0
Encapsulated pkts re-inject failures :0
Decapsulated pkts re-inject failures :0
DS-Lite ICMPv4 Echo replies sent :0
DS-Lite ICMPv4 TTL exceeded messages sent :0
ICMPv6 ECHO request messages received destined to AFTR :0
ICMPv6 ECHO reply messages sent from AFTR :0
ICMPv6 ECHO requests to AFTR process failures :0
V6 untunnelled packets destined to AFTR dropped :1
Softwire policy add errors :0
Softwire policy delete errors :0
Softwire policy memory alloc failures :0
Softwire Untunnelled packets ignored :0
Softwire Misc errors
DS-Lite ICMPv4 TTL exceed message process errors :0
参照
サービス拒否攻撃を防止するためのサブネットごとの DS-Lite セッション制限の設定
MS-DPCを搭載したMXシリーズ ルーターでは、サブネットごとのDS-Lite制限を設定できます。 Junos OS リリース 18.2R1 以降、MS-MPC と MS-MIC はサブネット制限機能もサポートしています。Junos OS リリース 20.2R1 以降、次世代サービス MX-SPC3 セキュリティ サービス カードでサブネット制限機能がサポートされます。
Junos OS リリース 19.2R1 以降、MX バーチャルシャーシと MX ブロードバンドネットワークゲートウェイ(BNG)ルーターもサブネット制限機能をサポートしています。
サブネットごとの DS-Lite セッションの制限を設定するには、次の手順に従います。
参照
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
mtu-v6 オプションはMS-MPCまたはMS-MICを搭載したMXシリーズルーターでサポートされています。