DS-Liteソフトワイヤー
DS-Lite ソフトワイヤ コンセントレータの設定
DS-Liteは、M Seriesルーターのマルチサービス100、400、500 PIC、およびマルチサービスDPCを搭載したMXシリーズルーターでサポートされています。 Junos OSリリース17.4R1以降、DS-LiteはMS-MPCおよびMS-MICを搭載したMXシリーズルーターでサポートされています。Junos OSリリース19.2R1以降、DS-LiteはMXバーチャルシャーシおよびMXブロードバンドネットワークゲートウェイ(BNG)ルーターでサポートされています。
DS-Lite ソフトワイヤ コンセントレータを設定するには:
関連項目
IPv6 マルチキャスト インターフェイスの設定
IPv6 NAT をネイバー検出に使用する場合、イーサネット インターフェイスでマルチキャスト フィルターを設定します。これにより、ルーターはソフトワイヤによって開始されたフローを双方向に処理できます。
IPv6 マルチキャスト インターフェイスを設定するには:
関連項目
例:DS-Liteの基本設定
DS-Liteは、IPv4-over-IPv6トンネルを使用してIPv6アクセスネットワークを通過し、キャリアグレードのIPv4-IPv4 NATに到達します。これにより、IPv4との下位互換性を提供することで、インターネット上へのIPv6の段階的な導入が容易になります。 IPv6 Dual-Stack Liteについてを参照してください。
要件
DS-Liteを実行するには、次のハードウェアコンポーネントがあります。
マルチサービスPICを搭載したM Seriesマルチサービスエッジルーター。
マルチサービスPICを搭載したT Seriesコアルーター。
MXシリーズ 5G マルチサービス DPC ユニバーサルルーティングプラットフォーム。 Junos OSリリース 17.4R1 以降、DS-Lite は MS-MPC および MS-MIC を搭載した MXシリーズ ルーターでサポートされています。Junos OS リリース 19.2R1 以降、DS-Lite は MX バーチャルシャーシ および MX ブロードバンドネットワークゲートウェイ(BNG)ルーターでサポートされています。
設定の概要とトポロジー
この例では、MS-DPCをAFTRとするMXシリーズルーターを設定し、 図1に示すフローを促進する方法を説明します。
この例では、DS-Liteソフトワイヤーコンセントレータ(AFTR)は、2つのギガビットインターフェイスとサービスDPCを備えたMXシリーズルーターです。B4要素に面したインターフェイスはge-3/1/5で、インターネットに面したインターフェイスはge-3/1/0です。
設定
シャーシ構成
ステップバイステップの手順
レイヤー3サービスパッケージでサービスPIC(FPC 0スロット0)を設定するには、次の手順に従います。
シャーシ階層レベルの編集を入力します。
user@host# edit chassisレイヤー3サービスパッケージを設定します。
[edit chassis]user@host# set fpc 0 pic 0 adaptive-services service-package layer-3
インターフェイス設定
ステップバイステップの手順
B4(ソフトワイヤイニシエーター)に面し、インターネットに面したインターフェイスを設定するには:
インターネットに面したge-3/1/0の
[edit interfaces]編集階層レベルに移動します。host# edit interfaces ge-3/1/0インターフェイスを定義します。
[edit interfaces ge-3/1/0]user@host# set description AFTR-Internet user@host# set unit 0 family inet address 128.0.0.2/24B4に面するge-3/1/5の
[edit interfaces]階層レベルに移動します。user@host# up 1
[edit]user@host# edit interfaces ge-3/1/5インターフェイスを定義します。
[edit interfaces ge-3/1/5]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6[edit unit 0 family inet6]user@host# set service input service-set sset user@host# set service output service-set sset user@host# set address 2001:0:0:2::1/48DS-Lite AFTRをホストするために使用されるsp-0/0/0の
[edit interfaces]階層レベルに移動します。[edit]user@host# edit interfaces sp-0/0/0インターフェイスを定義します。
[edit interfaces sp-0/0/0]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6
結果
user@host# show interfaces ge-3/1/0
description AFTR-Internet;
unit 0 {
family inet {
address 128.0.0.2/24;
}
}
user@host# show interfaces ge-3/1/5
description AFTR-B4;
unit 0 {
family inet;
family inet6 {
service {
input {
service-set sset;
}
output {
service-set sset;
}
}
address 2001:0:0:2::1/48;
}
}
user@host# show interfaces sp-o/o/o
unit 0 {
family inet;
family inet6;
}
ネットワークアドレスとポート変換の設定
ステップバイステップの手順
NAPTを設定するには:
[edit services nat]階層レベルに移動します。user@host# edit services nat
[edit services nat]NATプールp1を定義します。
user@host# set pool p1 address 129.0.0.1/32 port automatic一致方向から始まるNATルールを定義します。
[edit services nat]user@host# set rule r1 match-direction inputfrom 句で始まるルールの 用語 を定義します。
[edit services nat]user@host# set rule r1 term t1 from source-address 10.0.0.0/16then 句で目的の変換を定義します。この場合は、動的ソース変換を使用します。
[edit services nat]user@host# set rule r1 term t1 then translated source-pool p1 translation-type napt-44(オプション)ルールの変換情報のロギングを設定します。
[edit services nat]user@host# set rule r1 term t1 then syslog
結果
user@host# show services nat
pool p1 {
address 129.0.0.1/32;
port {
automatic;
}
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.0.0.0/16;
}
}
then {
translated {
source-pool p1;
translation-type {
napt-44;
}
}
syslog;
}
}
ソフトワイヤの設定
ステップバイステップの手順
DS-Lite ソフトワイヤ コンセントレータおよび関連するルールを設定するには:
[edit services softwire]階層レベルに移動します。user@host# edit services softwireDS-Liteソフトワイヤコンセントレータを定義します。
[edit services softwire]user@host# set softwire-concentrator ds-lite ds-1 softwire-address 1001::1 mtu-v6 1460ソフトワイヤルールを定義します。
[edit services softwire]user@host# set rule r1 match-direction input term t1 then ds-lite ds1.
結果
user@host# show services softwire
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 1460;
}
}
rule r1 {
match-direction input;
term t1 {
then {
ds-lite ds1;
}
}
}
サービスセットの設定
ステップバイステップの手順
ソフトワイヤとNATルールを含み、インターフェイスサービスまたはネクストホップサービスのいずれかを指定するサービスセットを設定します。この例では、ネクストホップサービスを使用しています。
[edit services service-set]階層レベルに移動し、サービスセットに名前を付けます。user@host# edit services service-set ssetIPv4 から IPv4 への変換に使用する NAT ルールを定義します。
[edit services service-set sset]user@host# set nat-rules r1ソフトワイヤールールを定義して、ソフトワイヤートンネルを定義します。
[edit services service-set sset]user@host# set softwire-rules r1インターフェイスサービスを定義します。
[edit services service-set sset]user@host# set interface-service service-interface sp-0/0/0.0ヒント:IPv6のフラグメント化を回避または最小限に抑えるために、サービスセットのTCP最大セグメントサイズ(MSS)を設定できます。
(オプション)TCP MSSを定義します。
[edit services service-set sset]user@host# set tcp-mss 1024
結果
user@host# show services service-set
syslog {
host local {
services any;
}
}
softwire-rules r1;
nat-rules r1;
interface-service {
service-interface sp-0/0/0;
}
}
例:DS-Liteと6rdを同じサービスセットで設定する
要件
DS-Liteを実行するには、次のハードウェアコンポーネントがあります。
マルチサービスPICを搭載したM Seriesマルチサービスエッジルーター。
マルチサービスPICを搭載したT Seriesコアルーター。
MXシリーズ 5G マルチサービス DPC ユニバーサルルーティングプラットフォーム。 Junos OSリリース 17.4R1 以降、DS-Lite は MS-MPC および MS-MIC を搭載した MXシリーズ ルーターでサポートされています。Junos OS リリース 19.2R1 以降、DS-Lite は MX バーチャルシャーシ および MX ブロードバンドネットワークゲートウェイ(BNG)ルーターでサポートされています。Junos OSリリース20.2R1以降、DS-LiteはMX240、MX480、およびMX960ルーター上のCGNAT次世代サービスでサポートされています。
概要
この例では、DS-Liteと6rdを同じサービスセットに含むソフトワイヤソリューションについて説明します。
設定
シャーシ構成
ステップバイステップの手順
シャーシを設定するには:
イングレスインターフェイスを設定します。
user@host# edit interfaces ge-1/2/0 [edit interfaces ge-1/2/0] user@host# set unit 0 family inet service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet address address 10.10.10.1/24 user@host# set unit 0 family inet6 service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 address address address 2001::1/16
ここでは、サービス セットは、サブユニット 0 の inet(IPv4)および inet6(IPv6)ファミリーに適用されます。DS-Lite IPv6トラフィックと6番目のIPv4トラフィックの両方がサービスフィルターにヒットし、サービスPICに送信されます。
egressインターフェイス(IPv6インターネット)を設定します。DS-Lite クライアントが到達しようとしている IPv4 サーバーは 200.200.200.2/24 で、IPv6 サーバーは 3ABC::2/16 にあります。
user@host# edit interfaces ge-1/2/2 [edit interfaces ge-1/2/2] user@host# set unit 0 family inet address 200.200.200.1/24 user@host# set unit 0 family inet6 address 3ABC::1/16
サービスPICを設定します。
user@host# edit interfaces sp-3/0/0 [edit interfaces sp-3/0/0] user@host# set unit 0 family inet user@host# set unit 0 family inet6
結果
[edit interfaces]
user@host# show
ge-1/2/0 {
unit 0 {
family inet {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 10.10.10.1/24;
}
family inet6 {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 2001::1/16;
}
}
}
ge-1/2/2 {
unit 0 {
family inet {
address 200.200.200.1/24;
}
family inet6 {
address 3ABC::1/16;
}
}
}
sp-3/0/0 {
unit 0 {
family inet;
family inet6;
}
}
ソフトワイヤーコンセントレータ、ソフトワイヤールール、ステートフルファイアウォールルール設定
ステップバイステップの手順
ソフトワイヤーコンセントレータ、ソフトワイヤールール、ステートフルファイアウォールルールを設定するには:
DS-Liteと6rdソフトワイヤーコンセントレータを設定します。
user@host# edit services softwire softwire-concentrator ds-lite ds1 [edit services softwire softwire-concentrator ds-lite ds1] user@host# set softwire-address 1001::1 user@host# mtu-v6 9192 usert@host# up 1 usert@host# edit v6rd v6rd-dom1 [edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.10.0/24 user@host# set v6rd-prefix 3040::0/16 user@host# set mtu-v4 9192
ソフトワイヤルールを設定します。
user@host# edit services softwire rule v6rd-r1] [edit services softwire rule v6rd-r1] user@host# set match-direction input user@host# set term t1 then v6rd v6rd-dom1 user@host# up 1 user@host# edit services softwire] [edit services softwire] user@host# edit rule dslite-r1 [edit services softwire rule dslite-r1] user@host# set term dslite-t1 then ds-lite ds1
以下のルートは、ルーティングエンジン上のサービスPICデーモンによって追加されます。
user@host# run show route 30.30.30.1 inet.0: 43 destinations, 46 routes (42 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 30.30.30.1/32 *[Static/786432] 00:24:11 Service to v6rd-dslite-service-set [edit] user@host# run show route 3040::0/16 inet6.0: 23 destinations, 33 routes (23 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 3040::/16 *[Static/786432] 00:24:39 Service to v6rd-dslite-service-setuser@host# run show route 1001::1 inet6.0: 33 destinations, 43 routes (33 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1001::1/128 *[Static/1] 1w2d 22:05:41 Service to v6rd-dslite-service-setステートフルファイアウォールルールを設定します。
user@host# edit services stateful-firewall rule r1 [edit services stateful-firewall rule r1] user@host# set match-direction input-output user@host# set term t1 then accept
[edit services stateful-firewall] rule r1 { match-direction input-output; term t1 { then { accept; } } }
結果
[edit services softwire]
user@host# show
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 9192;
}
v6rd v6rd-dom1 {
softwire-address 30.30.30.1;
ipv4-prefix 10.10.10.0/24;
v6rd-prefix 3040::0/16;
mtu-v4 9192;
}
}
rule v6rd-r1 {
match-direction input;
term t1 {
then {
v6rd v6rd-dom1;
}
}
}
rule dslite-r1 {
match-direction input;
term dslite-t1 {
then {
ds-lite ds1;
}
}
}
[edit services stateful-firewall]
user@host# show
rule r1 {
match-direction input-output;
term t1 {
then {
accept;
}
}
}
DS-LiteのNAT設定
ステップバイステップの手順
DS-LiteのNATを設定するには:
DS-LiteのNATプールを設定します。
user@host# edit services nat pool dslite-pool [edit services nat pool dslite-pool] user@host# set address-range low 33.33.33.1 high 33.33.33.32 user@host# set port automatic
NATルールを設定します。
user@host# up 1 [edit services nat rule dslite-nat-r1] user@host# set match-direction input user@host# set term dslite-nat-t1 from source-address 20.20.0.0/16 then translated translation-type napt-44
結果
[edit services nat]
user@host# show
pool dslite-pool {
address-range low 33.33.33.1 high 33.33.33.32;
port {
automatic;
}
}
rule dslite-nat-r1 {
match-direction input;
term dslite-nat-t1 {
from {
source-address {
20.20.0.0/16;
}
}
then {
translated {
source-pool dslite-pool;
translation-type {
source dynamic;
}
}
}
}
}
この NAT ルールにより、リバース DS-Lite トラフィックには以下の NAT ルートがインストールされます。
user@host# run show route 33.33.33.0/24
inet.0: 48 destinations, 52 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
33.33.33.1/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.2/31 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.4/30 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.8/29 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.16/28 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.32/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
NATルールは、20.20.0.0/16からパブリックアドレス範囲33.33.33.1から33.33.33.32に送信されるトラフィックのアドレス変換をトリガーします。
サービスセットの設定
ステップバイステップの手順
このサービスセットには、ステートフルファイアウォールルールと、6番目のサービス用の6番目のルールがあります。サービス セットには、DS-Lite のソフトワイヤ ルールと、すべての DS-Lite トラフィックのアドレス変換を実行する NAT ルールも含まれています。NATルールは、DS-Liteトラフィックの送信元アドレスとポート上で順方向のNAPT変換を実行します。
サービスセットを設定するには:
サービスセットを定義します。
user@host# edit services service-set v6rd-dslite-service-set
サービスセットルールを設定します。
[edit services service-set v6rd-dslite-service-set] user@host# set softwire-rules dslite-r1 user@host# set stateful-firewall-rules r1 user@host# set nat-rules dslite-nat-r1
サービスセットinterface-serviceを設定します。
[edit services service-set v6rd-dslite-service-set] user@host# set interface-service service-interface sp-3/0/0
結果
[edit services service-set]
user@host# show
v6rd-dslite-service-set {
softwire-rules v6rd-r1;
softwire-rules dslite-r1;
stateful-firewall-rules r1;
nat-rules dslite-nat-r1;
interface-service {
service-interface sp-3/0/0;
}
DS-Liteサブネットの制限
DS-Liteのサブネットごとの制限の概要
Junos OSを使用すると、特定の時点で加入者の基本的なブリッジングブロードバンド(B4)デバイスからのソフトワイヤフローの数を制限し、加入者がサブネット内のアドレスを過剰に使用するのを防ぐことができます。この制限により、サービス拒否(DoS)攻撃のリスクが軽減されます。この制限は、MS-DPCを搭載したMXシリーズルーターでサポートされています。Junos OSリリース18.2R1以降、MS-MPCとMS-MICもサブネット制限機能をサポートしています。Junos OSリリース19.2R1以降、MXバーチャルシャーシとMXブロードバンドネットワークゲートウェイ(BNG)ルーターもサブネット制限機能をサポートしています。Junos OSリリース20.2R1以降、DS-LiteはMX240、MX480、およびMX960ルーター上のCGNAT次世代サービスでサポートされています。
DS-LiteでIPv6を使用する世帯はサブネットであり、単なる個々のIPアドレスではありません。サブネット制限機能は、加入者とマッピングをIPv6アドレスではなくIPv6プレフィックスに関連付けます。加入者は、そのプレフィックス内の任意のIPv6アドレスをDS-Lite B4アドレスとして使用することができ、キャリアグレードのNATリソースを使い果たす可能性があります。サブネット制限機能は、特定のアドレスではなくプレフィックスで加入者を識別することで、リソースの使用をより細かく制御できます。
サブネット制限では、以下の機能が提供されます。
フローは完全なB4アドレスを使用します。
プレフィックス長は、個々のサービスセットのsoftwire-optionsでサービスセットごとに設定できます。
ポートブロックは、各B4アドレスには割り当てられず、加入者B4デバイスのプレフィックスごとに割り当てられます(プレフィックス長が128未満の場合)。プレフィックス長が 128 の場合、各 IPv6 アドレスは B4 として扱われます。ポートブロックは、128ビットIPv6アドレスごとに割り当てられます。
DS-Liteソフトワイヤコンセントレータ設定で定義されたセッション制限は、プレフィックスのIPv4セッションの数を制限します。
EIM、EIF、およびPCPマッピングは、ソフトワイヤートンネル(フル128ビットIPv6アドレス)ごとに作成されます。古いマッピングは、タイムアウト値に基づいてタイムアウトします。
プレフィックス長が設定されている場合、PCP
max-mappings-per-subscriber(pcp-serverで設定可能)はプレフィックスのみに基づいており、完全なB4アドレスには基づきません。PBAの割り当てとリリースのSYSLOGSには、すべてゼロで完了したアドレスのプレフィックス部分が含まれています。PCPの割り当てとリリース、フローの作成と削除のSYSLOGSには、完全なIPv6アドレスが含まれます。
show services nat mappings address-pooling-paired操作コマンドの出力に、プレフィックスのマッピングが表示されます。マッピングには、アクティブなB4のアドレスが表示されます。
show services softwire statistics ds-lite出力には、MPCのセッション制限を超えた回数を表示する新しいフィールドが含まれています。
MX240、MX480、およびMX960ルーター上の次世代サービスの場合、サブネット制限統計が Softwire session limit exceeded フィールドに表示されます。
show services softwire statistics(MX-SPC3)
user@host> show services softwire statistics
vms-2/0/0
Total Session Interest events :3
Total Session Destroy events :2
Total Session Public Request events :0
Total Session Accepts :1
Total Session Discards :0
Total Session Ignores :0
Total Session extension alloc failures :0
Total Session extension set failures :0
Softwire statistics
Total Softwire sessions created :1
Total Softwire sessions deleted :2
Total Softwire sessions created for reverse packets :1
Total Softwire session create failed for reverse pkts :0
Total Softwire rule match success :1
Total Softwire rule match failed :0
Softwire session limit exceeded :0
Softwire packet statistics
Total Packets processed :1
Total packets encapsulated :1
Total packets decapsulated :1
Encapsulation errors :0
Decapsulation errors :0
Encapsulated pkts re-inject failures :0
Decapsulated pkts re-inject failures :0
DS-Lite ICMPv4 Echo replies sent :0
DS-Lite ICMPv4 TTL exceeded messages sent :0
ICMPv6 ECHO request messages received destined to AFTR :0
ICMPv6 ECHO reply messages sent from AFTR :0
ICMPv6 ECHO requests to AFTR process failures :0
V6 untunnelled packets destined to AFTR dropped :1
Softwire policy add errors :0
Softwire policy delete errors :0
Softwire policy memory alloc failures :0
Softwire Untunnelled packets ignored :0
Softwire Misc errors
DS-Lite ICMPv4 TTL exceed message process errors :0
関連項目
サービス拒否攻撃を防止するためのサブネットセッションごとのDS-Liteの構成制限
MS-DPCを搭載したMXシリーズルーターでは、サブネットごとのDS-Liteの制限を設定できます。 Junos OSリリース18.2R1以降、MS-MPCとMS-MICもサブネット制限機能をサポートしています。Junos OSリリース20.2R1以降、次世代サービスMX-SPC3セキュリティサービスカードはサブネット制限機能をサポートしています。
Junos OSリリース19.2R1以降、MXバーチャルシャーシとMXブロードバンドネットワークゲートウェイ(BNG)ルーターもサブネット制限機能をサポートしています。
サブネットセッションごとのDS-Liteの制限を設定するには:
関連項目
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。
mtu-v6 オプションは MS-MPC または MS-MIC を搭載した MXシリーズ ルーターでサポートされています。