DS-Lite サブネットの制限
サブネット単位の DS-Lite 制限の概要
Junos OS を使用すると、特定の時点における加入者の基本的なブリッジング ブロードバンド(B4)デバイスからのソフトワイヤ フローの数を制限でき、加入者がサブネット内でアドレスを過度に使用することを防ぐことができます。この制限により、サービス拒否(DoS)攻撃のリスクが軽減されます。この制限は、MS-DPCを搭載したMXシリーズルーターでサポートされています。Junos OSリリース18.2R1以降、MS-MPCおよびMS-MICはサブネット制限機能もサポートしています。Junos OSリリース19.2R1以降、MXバーチャルシャーシおよびMXブロードバンドネットワークゲートウェイ(BNG)ルーターもサブネット制限機能をサポートしています。Junos OS リリース 20.2R1 以降、DS-Lite は MX240、MX480、MX960 ルーター上の CGNAT 次世代サービスでサポートされています。
DS-Lite で IPv6 を使用する世帯は、個別の IP アドレスだけではなく、サブネットです。サブネット制限機能は、加入者を関連付け、IPv6アドレスではなくIPv6プレフィックスにマッピングします。加入者は、そのプレフィックス内の任意の IPv6 アドレスを DS-Lite B4 アドレスとして使用でき、キャリアグレードの NAT リソースを使い果たす可能性があります。サブネット制限機能により、特定のアドレスではなくプレフィックスを持つ加入者を特定することで、リソースの利用率をより細かく制御できます。
サブネット制限は、以下の機能を提供します。
フローは、完全な B4 アドレスを利用します。
プレフィックス長は、個々のサービスセットのソフトワイヤオプションで、サービスセットごとに設定できます。
ポートブロックは、加入者B4デバイスのプレフィックスごとに割り当てられ、各B4アドレスには割り当てません(プレフィックス長が128未満の場合)。プレフィックス長が128の場合、各IPv6アドレスはB4として処理されます。ポートブロックは、128ビットIPv6アドレスごとに割り当てられます。
DS-Lite ソフトワイヤ コンセントレータ設定で定義されたセッション制限は、プレフィックスの IPv4 セッション数を制限します。
EIM、EIF、PCP マッピングは、ソフトワイヤ トンネル(フル 128 ビット IPv6 アドレス)ごとに作成されます。不整合マッピングは、タイムアウト値に基づいてタイムアウトします。
プレフィックス長が設定されている場合、PCP
max-mappings-per-subscriber
(でpcp-server
設定可能)はプレフィックスのみに基づき、完全なB4アドレスには基づいていません。PBA割り当ておよびリリースのSYSLOGSには、完了したアドレスのプレフィックス部分が含まれており、すべてのゼロが含まれています。PCP 割り当てとリリースの SYSLOGS では、フローの作成と削除には IPv6 アドレス全体が含まれます。
運用コマンドの出力には show services nat mappings address-pooling-paired
、プレフィックスのマッピングが表示されます。マッピングは、アクティブな B4 のアドレスを示しています。
出力 show services softwire statistics ds-lite
には、MPCのセッション制限を超えた回数を表示する新しいフィールドが含まれています。
MX240、MX480、およびMX960ルーターの次世代サービスの場合、サブネット制限統計が フィールドに Softwire session limit exceeded
表示されます。
show services softwire statistics(MX-SPC3)
user@host> show services softwire statistics vms-2/0/0 Total Session Interest events :3 Total Session Destroy events :2 Total Session Public Request events :0 Total Session Accepts :1 Total Session Discards :0 Total Session Ignores :0 Total Session extension alloc failures :0 Total Session extension set failures :0 Softwire statistics Total Softwire sessions created :1 Total Softwire sessions deleted :2 Total Softwire sessions created for reverse packets :1 Total Softwire session create failed for reverse pkts :0 Total Softwire rule match success :1 Total Softwire rule match failed :0 Softwire session limit exceeded :0 Softwire packet statistics Total Packets processed :1 Total packets encapsulated :1 Total packets decapsulated :1 Encapsulation errors :0 Decapsulation errors :0 Encapsulated pkts re-inject failures :0 Decapsulated pkts re-inject failures :0 DS-Lite ICMPv4 Echo replies sent :0 DS-Lite ICMPv4 TTL exceeded messages sent :0 ICMPv6 ECHO request messages received destined to AFTR :0 ICMPv6 ECHO reply messages sent from AFTR :0 ICMPv6 ECHO requests to AFTR process failures :0 V6 untunnelled packets destined to AFTR dropped :1 Softwire policy add errors :0 Softwire policy delete errors :0 Softwire policy memory alloc failures :0 Softwire Untunnelled packets ignored :0 Softwire Misc errors DS-Lite ICMPv4 TTL exceed message process errors :0
「」も参照
サービス拒否攻撃を防ぐために、サブネットごとの DS-Lite セッション制限の設定
MS-DPCを搭載したMXシリーズルーターに対して、サブネットごとのDS-Liteの制限を設定できます。Junos OSリリース18.2R1以降、MS-MPCおよびMS-MICもサブネット制限機能をサポートしています。Junos OSリリース20.2R1以降、次世代サービスMX-SPC3セキュリティサービスカードは、サブネット制限機能をサポートしています。
Junos OSリリース19.2R1以降、MXバーチャルシャーシおよびMXブロードバンドネットワークゲートウェイ(BNG)ルーターもサブネット制限機能をサポートしています。
サブネットごとの DS-Lite セッション制限を設定するには: