DS-Liteサブネットの制限
サブネットごとの DS-Lite の制限の概要
Junos OS を使用すると、ある時点での加入者の B4(基本的なブリッジング ブロードバンド)デバイスからのソフトワイヤ フローの数を制限し、加入者がサブネット内のアドレスを過剰に使用するのを防ぐことができます。この制限により、サービス拒否 (DoS) 攻撃のリスクが軽減されます。この制限は、MS-DPCを搭載したMXシリーズ ルーターでサポートされています。 Junos OS リリース 18.2R1 以降、MS-MPC と MS-MIC はサブネット制限機能もサポートしています。Junos OS リリース 19.2R1 以降、MX バーチャルシャーシと MX ブロードバンドネットワークゲートウェイ(BNG)ルーターもサブネット制限機能をサポートしています。Junos OS リリース 20.2R1 以降、DS-Lite は MX240、MX480、MX960 ルーターの CGNAT 次世代サービスでサポートされています。
DS-LiteでIPv6を使用する世帯は、単なる個々のIPアドレスではなくサブネットです。サブネット制限機能は、加入者とマッピングを IPv6 アドレスではなく IPv6 プレフィックスに関連付けます。加入者は、そのプレフィックス内の任意の IPv6 アドレスを DS-Lite B4 アドレスとして使用でき、キャリアグレードの NAT リソースを使い果たす可能性があります。サブネット制限機能では、特定のアドレスではなくプレフィックスで加入者を識別することで、リソース使用率をより細かく制御できます。
サブネット制限には、次の機能があります。
フローは完全な B4 アドレスを使用します。
プレフィックス長は、個々のサービス セットの softwire-options でサービス セットごとに設定できます。
ポート ブロックは、(プレフィックス長が 128 未満の場合)各 B4 アドレスではなく、加入者 B4 デバイスのプレフィックスごとに割り当てられます。プレフィックス長が 128 の場合、各 IPv6 アドレスは B4 として扱われます。ポート ブロックは、128 ビットの IPv6 アドレスごとに割り当てられます。
DS-Lite ソフトワイヤ コンセントレータ設定で定義されるセッション制限は、プレフィックスの IPv4 セッションの数を制限します。
EIM、EIF、および PCP マッピングは、ソフトワイヤ トンネル(完全な 128 ビット IPv6 アドレス)ごとに作成されます。古いマッピングは、タイムアウト値に基づいてタイムアウトします。
プレフィックス長が設定されている場合、PCP
max-mappings-per-subscriber
(pcp-server
で設定可能)はプレフィックスのみに基づいており、完全な B4 アドレスには基づいていません。PBA の割り当てと解放の SYSLOG には、すべて 0 で補完されたアドレスのプレフィックス部分が含まれます。PCPの割り当てとリリース、フローの作成と削除のSYSLOGには、引き続き完全なIPv6アドレスが含まれます。
show services nat mappings address-pooling-paired
操作コマンドの出力に、プレフィックスのマッピングが表示されるようになりました。マッピングは、アクティブな B4 のアドレスを示しています。
show services softwire statistics ds-lite
出力には、MPC のセッション制限を超えた回数を表示する新しいフィールドが含まれています。
MX240、MX480、MX960ルーターの次世代サービスの場合、サブネット制限の統計情報は Softwire session limit exceeded
フィールドに表示されます。
show services softwire statistics(MX-SPC3)
user@host> show services softwire statistics vms-2/0/0 Total Session Interest events :3 Total Session Destroy events :2 Total Session Public Request events :0 Total Session Accepts :1 Total Session Discards :0 Total Session Ignores :0 Total Session extension alloc failures :0 Total Session extension set failures :0 Softwire statistics Total Softwire sessions created :1 Total Softwire sessions deleted :2 Total Softwire sessions created for reverse packets :1 Total Softwire session create failed for reverse pkts :0 Total Softwire rule match success :1 Total Softwire rule match failed :0 Softwire session limit exceeded :0 Softwire packet statistics Total Packets processed :1 Total packets encapsulated :1 Total packets decapsulated :1 Encapsulation errors :0 Decapsulation errors :0 Encapsulated pkts re-inject failures :0 Decapsulated pkts re-inject failures :0 DS-Lite ICMPv4 Echo replies sent :0 DS-Lite ICMPv4 TTL exceeded messages sent :0 ICMPv6 ECHO request messages received destined to AFTR :0 ICMPv6 ECHO reply messages sent from AFTR :0 ICMPv6 ECHO requests to AFTR process failures :0 V6 untunnelled packets destined to AFTR dropped :1 Softwire policy add errors :0 Softwire policy delete errors :0 Softwire policy memory alloc failures :0 Softwire Untunnelled packets ignored :0 Softwire Misc errors DS-Lite ICMPv4 TTL exceed message process errors :0
参照
サービス拒否攻撃を防止するためのサブネットごとの DS-Lite セッション制限の設定
MS-DPCを搭載したMXシリーズ ルーターでは、サブネットごとのDS-Lite制限を設定できます。 Junos OS リリース 18.2R1 以降、MS-MPC と MS-MIC はサブネット制限機能もサポートしています。Junos OS リリース 20.2R1 以降、次世代サービス MX-SPC3 セキュリティ サービス カードでサブネット制限機能がサポートされます。
Junos OS リリース 19.2R1 以降、MX バーチャルシャーシと MX ブロードバンドネットワークゲートウェイ(BNG)ルーターもサブネット制限機能をサポートしています。
サブネットごとの DS-Lite セッションの制限を設定するには、次の手順に従います。
参照
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。