DS-Lite サブネットの制限

Junos OS を使用すると、特定の時点における加入者の基本的なブリッジング ブロードバンド(B4)デバイスからのソフトワイヤ フローの数を制限でき、加入者がサブネット内でアドレスを過度に使用することを防ぐことができます。この制限により、サービス拒否(DoS)攻撃のリスクが軽減されます。この制限は、MS-DPCを搭載したMXシリーズルーターでサポートされています。Junos OSリリース18.2R1以降、MS-MPCおよびMS-MICはサブネット制限機能もサポートしています。Junos OSリリース19.2R1以降、MXバーチャルシャーシおよびMXブロードバンドネットワークゲートウェイ(BNG)ルーターもサブネット制限機能をサポートしています。Junos OS リリース 20.2R1 以降、DS-Lite は MX240、MX480、MX960 ルーター上の CGNAT 次世代サービスでサポートされています。

DS-Lite で IPv6 を使用する世帯は、個別の IP アドレスだけではなく、サブネットです。サブネット制限機能は、加入者を関連付け、IPv6アドレスではなくIPv6プレフィックスにマッピングします。加入者は、そのプレフィックス内の任意の IPv6 アドレスを DS-Lite B4 アドレスとして使用でき、キャリアグレードの NAT リソースを使い果たす可能性があります。サブネット制限機能により、特定のアドレスではなくプレフィックスを持つ加入者を特定することで、リソースの利用率をより細かく制御できます。

サブネット制限は、以下の機能を提供します。

• フローは、完全な B4 アドレスを利用します。

• プレフィックス長は、個々のサービスセットのソフトワイヤオプションで、サービスセットごとに設定できます。

• ポートブロックは、加入者B4デバイスのプレフィックスごとに割り当てられ、各B4アドレスには割り当てません(プレフィックス長が128未満の場合)。プレフィックス長が128の場合、各IPv6アドレスはB4として処理されます。ポートブロックは、128ビットIPv6アドレスごとに割り当てられます。

• DS-Lite ソフトワイヤ コンセントレータ設定で定義されたセッション制限は、プレフィックスの IPv4 セッション数を制限します。

• EIM、EIF、PCP マッピングは、ソフトワイヤ トンネル(フル 128 ビット IPv6 アドレス)ごとに作成されます。不整合マッピングは、タイムアウト値に基づいてタイムアウトします。

• プレフィックス長が設定されている場合、PCP max-mappings-per-subscriber (で pcp-server設定可能)はプレフィックスのみに基づき、完全なB4アドレスには基づいていません。

• PBA割り当ておよびリリースのSYSLOGSには、完了したアドレスのプレフィックス部分が含まれており、すべてのゼロが含まれています。PCP 割り当てとリリースの SYSLOGS では、フローの作成と削除には IPv6 アドレス全体が含まれます。

運用コマンドの出力には show services nat mappings address-pooling-paired 、プレフィックスのマッピングが表示されます。マッピングは、アクティブな B4 のアドレスを示しています。

出力 show services softwire statistics ds-lite には、MPCのセッション制限を超えた回数を表示する新しいフィールドが含まれています。

MX240、MX480、およびMX960ルーターの次世代サービスの場合、サブネット制限統計が フィールドに Softwire session limit exceeded 表示されます。

show services softwire statistics(MX-SPC3)