6번째 소프트와이어 구성
6번째 Softwire Concentrator 구성
6번째 기능은 멀티서비스 100, 400, 500 PIC에서 지원되며, M Series 라우터와 멀티서비스 DPC가 장착된 MX 시리즈 라우터에서 지원됩니다. 6번째 기능은 MS-MPC 또는 MS-MIC가 있는 MX 시리즈 라우터에서는 지원되지 않습니다.
6rd softwire concentrator를 구성하려면 다음을 수행합니다.
6rd softwire concentrator에 대한 구성 변경은 패킷 포워딩 엔진에서 유효하지 않습니다. 이는 알려진 제한 사항입니다. 시스템이 지원하는 소프트와이어 집선 장치의 최대 제한인 1024개의 소프트와이어 집선 장치의 기존 구성을 재정의하여 소프트와이어 집선 장치의 새 구성을 추가하려고 하면 새 구성은 업데이트되지 않습니다. 이 제한을 해결하려면 기존 구성을 삭제하고 설정을 커밋한 다음 소프트와이어 집선 장치의 새 구성을 추가하고 설정을 커밋해야 합니다.
6rd softwire concentrator의 경우, 인터페이스 교체 중에 트래픽을 중지하지 않고 하나의 인라인 서비스(si-) 인터페이스가 다른 si- 인터페이스로 교체되면 패킷 드롭이 관찰되고 가상 터미널 세션(VTY) 콘솔에 오류 메시지가 기록됩니다. 인터페이스가 si- 많은 수의 소프트와이어 집선 장치가 있는 서비스 집합과 연결된 시나리오에서 트래픽을 중지하지 않고 해당 인터페이스를 교체하면 트래픽 중단이 발생합니다. 인터페이스를 6rd softwire concentrator로 교체 si- 하는 동안 트래픽을 중지하고 다시 시작해야 합니다. FPC의 VTY 콘솔에 다음과 같은 오류 메시지가 표시됩니다.
packet discarded because no ifl or not SI ifl
6rd Softwire에 대한 스테이트풀 방화벽 규칙 구성
6번째 소프트와이어와 함께 사용할 스테이트풀 방화벽 규칙을 구성해야 합니다. 스테이트풀 방화벽 서비스는 방화벽 목적이 아닌 패킷을 소프트와이어로 전달하는 데만 사용됩니다. 6rd softwire 서비스 자체는 무상태여야 합니다. 상태 비저장 처리를 지원하려면 상태 저장 방화벽 정책의 양방향에 허용 조건을 포함해야 합니다.
6번째 기능은 멀티서비스 100, 400, 500 PIC에서 지원되며, M Series 라우터와 멀티서비스 DPC가 장착된 MX 시리즈 라우터에서 지원됩니다. 6번째 기능은 MS-MPC 또는 MS-MIC가 있는 MX 시리즈 라우터에서는 지원되지 않습니다.
6번째 소프트와이어 처리를 위한 스테이트풀 방화벽 규칙을 포함하려면:
또한보십시오
예: 기본 6rd 구성
요구 사항
6번째 기능은 멀티서비스 100, 400, 500 PIC에서 지원되며, M Series 라우터와 멀티서비스 DPC가 장착된 MX 시리즈 라우터에서 지원됩니다. 6번째 기능은 MS-MPC 또는 MS-MIC가 있는 MX 시리즈 라우터에서는 지원되지 않습니다.
이 예에서는 IPv6 인터넷 연결을 제공하기 위해 6번째 도메인 D1에 대해 6번째 Concentrator를 구성하는 방법을 설명합니다.
다음 하드웨어 구성 요소는 6rd를 수행할 수 있습니다.
멀티서비스 PIC가 있는 M Series 멀티서비스 에지 라우터
멀티서비스 PIC를 갖춘 T 시리즈 코어 라우터
멀티서비스 DPC를 갖춘 MX 시리즈 5G 유니버설 라우팅 플랫폼
개요
이 구성 예에서는 기본 6rd 터널링 솔루션을 구성하는 방법을 설명합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣습니다.
set interfaces ge-1/2/0 unit 0 family inet service input service-set v6rd-dom1-service-set set interfaces ge-1/2/0 unit 0 family inet service output service-set v6rd-dom1-service-set set interfaces ge-1/2/0 unit 0 family inet address 10.10.10.1/24 set interfaces ge-1/2/0 unit 0 family inet6 service input service-set v6rd-dom1-service-set set interfaces ge-1/2/0 unit 0 family inet6 service output service-set v6rd-dom1-service-set set interfaces ge-1/2/2 unit 0 family inet6 address 3abc::1/16 set interfaces sp-0/2/0 unit 0 family inet set interfaces sp-0/2/0 unit 0 family inet6 set services softwire softwire-concentrator v6rd v6rd-dom1 softwire-address 30.30.30.1 set services softwire softwire-concentrator v6rd v6rd-dom1 ipv4-prefix 10.10.10.0/24 set services softwire softwire-concentrator v6rd v6rd-dom1 v6rd-prefix 3040::0/16 set services softwire softwire-concentrator v6rd v6rd-dom1 mtu-v4 9192 set services softwire rule v6rd-dom1 match-direction input set services softwire rule v6rd-dom1 term t1 then v6rd v6rd-dom1 set services service-set v6rd-dom1-service-set softwire-rules v6rd-dom1 set services service-set v6rd-dom1-service-set stateful-firewall-rules r1 set services service-set v6rd-dom1-service-set interface-service service-interface sp-0/2/0 set services stateful-firewall rule r1 match-direction input-output set services stateful-firewall rule r1 term t1 then accept
섀시 구성
단계별 절차
섀시 구성 방법:
수신 인터페이스를 정의합니다.
user@host# edit interfaces ge-1/2/0수신 인터페이스, 논리적 장치 및 입출력 서비스 옵션을 구성합니다.
[edit interfaces ge-1/2/0] user@host# set unit 0 family inet service input service-set v6rd-dom1-service-set user@host# set unit 0 family inet service output service-set v6rd-dom1-service-set user@host# set unit 0 family inet6 service input service-set v6rd-dom1-service-set user@host# set unit 0 family inet6 service output service-set v6rd-dom1-service-set
수신 인터페이스의 주소를 구성합니다.
[edit interfaces ge-1/2/0]user@host# set unit 0 family inet address 10.10.10.1/24송신 인터페이스를 정의합니다.
user@host# up
[edit interfaces]user@host# edit ge-1/2/2송신 인터페이스의 논리적 장치와 주소를 정의합니다.
[edit interfaces ge-1/2/2]user@host# set unit 0 family inet6 address 3ABC::1/16서비스 PIC를 정의합니다.
[edit interfaces ge-1/2/2]user@host# up[edit interfaces]user@host# edit sp-0/2/0서비스 PIC의 논리적 장치를 구성합니다.
[edit interfaces sp-0/2/0]user@host# up[edit interfaces]user@host# set unit 0 family inet user@host# set unit 0 family inet6
결과
[edit interfaces]
user@host# show
sp-0/2/0 {
unit 0 {
family inet;
family inet6;
}
}
ge-1/2/0 {
unit 0 {
family inet {
service {
input {
service-set v6rd-dom1-service-set;
}
output {
service-set v6rd-dom1-service-set;
}
}
address 10.10.10.1/24;
}
family inet6 {
service {
input {
service-set v6rd-dom1-service-set;
}
output {
service-set v6rd-dom1-service-set;
}
}
}
}
}
ge-1/2/2 {
unit 0 {
family inet6 {
address 3abc::1/16;
}
}
}
Softwire Concentrator, Softwire 규칙 및 스테이트풀 방화벽 규칙 구성
단계별 절차
softwire concentrator, softwire 규칙 및 stateful firewall 규칙을 구성하려면 다음을 수행합니다.
6번째 softwire concentrator를 정의합니다.
user@host# top user@host# edit services softwire softwire-concentrator v6rd v6rd-dom1
softwire concentrator 속성을 구성합니다. 여기서 softwire address 30.30.30.1은 softwire concentrator IPv4 주소, 10.10.10.0/24는 CE WAN 측의 IPv4 접두사, 3040::0/16은 6번째 도메인 D1의 IPv6 접두사입니다.
[edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.10.0/24 user@host# set v6rd-prefix 3040::0/16 user@host# set mtu-v4 9192
소프트 와이어 규칙을 정의합니다.
[edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# up 2 [edit services softwire] user@host# edit rule v6rd-dom1 [edit services softwire rule v6rd-dom1] user@host# set match-direction input [edit services softwire rule v6rd-dom1] user@host# set term t1 then v6rd v6rd-dom1
스테이트풀 방화벽 규칙 및 속성을 정의합니다. 6rd가 작동하려면 입력 및 출력 방향 모두에서 모든 트래픽을 허용하는 스테이트풀 방화벽 규칙을 구성해야 합니다. 그러나 이는 CLI를 통해 시행되지 않습니다. 이는 IPv6에서 Anycast로 인해 Gratuitous IPv6 패킷이 예상되며 삭제되어서는 안 되기 때문입니다. 서비스 PIC는 모든 포워드 트래픽을 않고 역방향 트래픽을 처리할 수 있습니다. 이는 세션 중간에 서비스 PIC 전환에서도 발생할 수 있습니다. 기본적으로 서비스 PIC의 스테이트풀 방화벽은 이를 허용하도록 명시적으로 규칙이 구성되지 않는 한 모든 트래픽을 삭제합니다.
[edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# up 3 [edit servicesl] user@host# edit services stateful-firewall [edit services stateful-firewall] user@host# edit rule r1 [edit services stateful-firewall rule r1] user@host# set match-direction input-output user@host# set term t1 then accept
결과
[edit services softwire]
user@host# show
softwire-concentrator {
v6rd v6rd-dom1 {
softwire-address 30.30.30.1;
ipv4-prefix 10.10.10.0/24;
v6rd-prefix 3040::0/16;
mtu-v4 9192;
}
}
rule v6rd-dom1-r1 {
match-direction input;
term t1 {
then {
v6rd v6rd-dom1;
}
}
}
서비스 집합 구성
단계별 절차
서비스 집합을 구성하려면 다음을 수행합니다.
6차 처리를 위한 서비스 세트를 정의합니다.
user@host# top user@host# edit services service-set v6rd-dom1-service-set
서비스 집합에 대한 소프트와이어 및 스테이트풀 방화벽 규칙을 정의합니다.
[edit services service-set v6rd-dom1-service-set] user@host# set softwire-rules v6rd-dom1 user@host# set stateful-firewall-rules r1
서비스 세트에 대한 인터페이스 서비스를 정의합니다.
[edit services service-set v6rd-dom1-service-set] user@host# set interface-service service-interface sp-0/2/0
결과
[edit service-set v6rd-dom1-service-set]
user@host# show
softwire-rules v6rd-dom1-r1
interface-service {
service-interface sp-0/2/0;
}
6rd 소프트와이어를 위한 고가용성 및 로드 밸런싱
6번째 기능은 멀티서비스 100, 400, 500 PIC에서 지원되며, M Series 라우터와 멀티서비스 DPC가 장착된 MX 시리즈 라우터에서 지원됩니다. 6번째 기능은 MS-MPC 또는 MS-MIC가 있는 MX 시리즈 라우터에서는 지원되지 않습니다.
여러 서비스 PIC에서 6번째 도메인 로드 밸런싱
6번째 도메인은 IPv6 네트워크로, 잠재적으로 매우 클 수 있습니다. 멀티서비스 DPC의 단일 PIC 또는 네트워크 처리 장치(NPU)는 6번째 도메인에 대한 모든 트래픽을 처리하지 못할 수 있습니다. 부하 문제를 완화하기 위해 여러 PIC에서 6번째 도메인 트래픽의 부하를 분산할 수 있습니다. 그러려면 서로 다른 인터페이스를 사용하는 서로 다른 서비스 집합에 동일한 소프트와이어 규칙을 할당해야 합니다. 명시적 경로 및 ECMP(Equal-Cost 다중 경로)를 구성하여 6번째 트래픽의 부하를 분산합니다.
예: 여러 서비스 PIC에서 6번째 도메인 로드 밸런싱
하드웨어 및 소프트웨어 요구 사항
이 예에는 다음 하드웨어가 필요합니다.
2개의 사용 가능한 NPU가 있는 서비스 DPC가 있는 MX 시리즈 5G 유니버설 라우팅 플랫폼 또는 6번째 소프트와이어 집선 디바이스 처리에 사용할 수 있는 2개의 서비스 PIC가 있는 M Series 멀티서비스 에지 라우터
DNS(도메인 이름 서버)
이 예는 다음 소프트웨어를 사용합니다.
Junos OS 릴리스 11.4 이상
개요
예상되는 볼륨으로 인해 프로바이더는 두 서비스 PIC 간에 6번째 소프트와이어 트래픽의 균형을 맞춰야 합니다.
구성
섀시 구성
단계별 절차
섀시 구성 방법:
수신 인터페이스와 해당 속성을 정의합니다.
user@host# edit interfaces ge-1/2/0 user@host# set unit 0 family inet address 10.10.10.1/16
송신 인터페이스와 그 속성을 정의합니다. 이 예에서 IPv6 클라이언트는 3abc::2/16에 IPv6 서버에 도달하려고 시도합니다.
user@host# edit interfaces ge-1/2/2 user@host# set unit 0 family inet6 address 3ABC::1/16
로드 밸런싱 프로세스에 의해 소프트와이어 집선 장치로 선택할 서비스 PIC를 정의합니다. 이 구성은 sp-3/0/0 및 sp-3/1/0의 두 개의 PIC/NPU를 사용합니다. 다음 홉 스타일 서비스 세트가 구성됩니다(다음 섹션 참조).
user@host# edit interfaces sp-3/0/0 [edit interfaces ge-3/0/0] user@host# set services-options syslog host local services any user@host# set unit 0 family inet user@host# set unit 0 family inet6 user@host# set unit 1 family inet service-domain inside user@host# set unit 1 family inet service-domain outside user@host# set unit 2 family inet service-domain inside user@host# set unit 2 family inet service-domain outside user@host# up 1 [edit] user@host# edit interfaces sp-3/1/0 [edit interfaces sp-3/1/0] user@host# set services-options syslog host local services any user@host# set unit 0 family inet user@host# set unit 0 family inet6 user@host# set unit 1 family inet service-domain inside user@host# set unit 1 family inet service-domain outside user@host# set unit 2 family inet service-domain inside user@host# set unit 2 family inet service-domain outside
Softwire Concentrator 및 Softwire 규칙 구성
단계별 절차
소프트와이어 구성은 간단합니다. 이 예에서 6번째 도메인 접두사는 3040::0/16이고, 6번째 softwire concentrator IPv4 주소는 30.30.30.1이며, 고객 IPv4 네트워크는 10.10.0.0/16입니다. 고객 사내 장치(CPE) 네트워크에서 모든 고객 에지(CE) 디바이스는 10.10.0.0/16 네트워크에 속하는 주소를 갖습니다. 소프트와이어를 구성하려면:
계층 수준으로
[edit services softwire]이동합니다.user@host# edit services softwire
IPv6 멀티캐스트를 구성합니다.
[edit services softwire] user@host# set ipv6-multicast-interfaces all
softtwire concentrator v6rd 계층 수준으로 이동하여 softwire concentrator의 이름을 shenick01-rd1로 지정합니다.
[edit services softwire] user@host# edit softwire-concentrator v6rd shenick01-rd1
softwire concentrator 속성을 구성합니다.
[edit services softwire softwire-concentrator v6rdshenick01-rd1 ] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.0.0/16 user@host# set v6rd-prefix 3040::/16 user@host# set mtu-v4 9192
들어오는 6번째 트래픽에 대한 소프트와이어 규칙을 구성합니다.
[edit services softwire softwire-concentrator v6rd shenick01-rd1 ] user@host# up 1 [edit services softwire ] user@host# edit rule shenick01-r1 [edit services softwire rule shenick01-r1] user@host# set match-direction input user@host# set term t1 then v6rd shenick01-rd1
스테이트풀 방화벽 구성
단계별 절차
스테이트풀 방화벽 규칙을 구성하려면 다음을 수행합니다.
스테이트풀 방화벽 계층 수준으로 이동하여 규칙을 정의합니다.
user@host# edit services stateful-firewall rule r1
일치 방향을 설정합니다.
[edit services stateful-firewall rule r1] user@host# set match-direction input-output
모든 트래픽을 허용하는 용어를 구성합니다.
[edit services stateful-firewall rule r1] user@host# set term t1 then accept
서비스 집합 구성
단계별 절차
이 구성은 각각 다른 NPU(네트워크 처리 장치)를 가리키는 두 개의 서비스 집합을 제공합니다. 두 서비스 세트 모두 동일한 스테이트풀 방화벽 및 소프트와이어 규칙을 사용합니다. 동일한 소프트와이어 규칙을 사용하기 때문에 동일한 6번째 소프트와이어 집선 장치를 나타냅니다. 이로 인해 소프트웨어 concentrator가 두 NPU에서 호스팅됩니다.
서비스 집합을 구성하려면 다음을 수행합니다.
첫 번째 NPU에 대한 서비스 세트를 정의합니다.
user@host# edit services service-set v6rd-sset1
첫 번째 NPU에 대한 소프트와이어 및 스테이트풀 방화벽 규칙을 구성합니다.
[edit services service-set v6rd-sset1] user@host# set softwire-rules shenick01-r1 user@host# set stateful-firewall-rules r1
다음 홉 서비스에 대한 내부 및 외부 인터페이스를 구성합니다.
[edit services service-set v6rd-sset1] user@host# set next-hop-service inside-service-interface sp-3/0/0.1 user@host# set next-hop-service outside-service-interface sp-3/0/0.2
두 번째 NPU에 대한 서비스 세트를 정의합니다.
user@host# edit services service-set v6rd-sset2
두 번째 NPU에 대한 소프트와이어 및 스테이트풀 방화벽 규칙을 구성합니다.
[edit services service-set v6rd-sset2] user@host# set softwire-rules shenick01-r1 user@host# set stateful-firewall-rules r1
다음 홉 서비스에 대한 내부 및 외부 인터페이스를 구성합니다.
[edit services service-set v6rd-sset1] user@host# set next-hop-service inside-service-interface sp-3/1/0.1 user@host# set next-hop-service outside-service-interface sp-3/1/0.2
로드 밸런싱 구성
단계별 절차
로드 밸런싱 구성:
명시적 경로 및 ECMP를 구성하여 6번째 트래픽을 로드 밸런싱합니다. 6번째 Concentrator IPv4 주소와 6번째 도메인 접두사 모두에 대해 명시적 경로를 구성하여 두 NPU를 모두 가리키도록 합니다.
routing-table inet6.0을 사용하여 여섯 번째 도메인에 대한 고정 경로를 구성하려면 계층 수준으로
[edit forwarding-options rib inet6.0 static]이동하여 여섯 번째 도메인과 여섯 번째 컨센트레이터 IPv4 주소에 대한 경로를 설정합니다.user@host edit forwarding-options rib inet6.0 static [edit forwarding-options rib inet6.0 static] user@host# set route 3040::0/16 next-hop [ sp-3/0/0.2 sp-3/1/0.2 ] user@host# set route 30.30.30.1/32 next-hop [ sp-3/0/0.1 sp-3/1/0.1 ]
또한 서비스 PIC 데몬(spd)은 NPU를 가리키는 이러한 주소에 기본 경로를 추가합니다. 그러나 spd에 의해 추가된 경로는 서비스 집합 구성에 사용되는 경우 서비스 PIC의 FPC, PIC, 슬롯 번호 및 하위 단위를 기반으로 계산되는 다른 메트릭을 사용합니다. 이 샘플 구성에서 구성된 정적 경로는 메트릭이 5이므로 spd 추가 경로보다 더 높은 선호도를 갖습니다.
명시적으로 구성된 경로는 다음과 같습니다.
root@host# run show route 30.30.30.1 inet.0: 37 destinations, 40 routes (36 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 30.30.30.1/32 *[Static/5] 00:00:10 > via sp-3/0/0.1 via sp-3/1/0.1 [Static/786433] 00:23:03 > via sp-3/0/0.1 [Static/851969] 00:00:09 > via sp-3/1/0.1 root@host# run show route 3040::/16 inet6.0: 20 destinations, 33 routes (20 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 3040::/16 *[Static/5] 00:00:15 via sp-3/0/0.2 > via sp-3/1/0.2 [Static/786434] 00:23:08 > via sp-3/0/0.2 [Static/851970] 00:00:14 > via sp-3/1/0.2
모범 사례:spd 설치 경로는 메트릭 값이 더 높고(따라서 선호도가 낮음) 메트릭이 다릅니다. 메트릭이 다르고 ECMP가 활성화되지 않은 경우, 동일한 목적지에 대해 여러 경로가 존재하더라도 메트릭을 기반으로 항상 경로 중 하나만 선택됩니다. ECMP의 경우 동일한 비용 경로를 구성해야 하므로 위와 같이 경로의 수동 설정이 필요합니다.
계층 수준에서 해시 키를 구성하여 ECMP(Equal-Cost 다중 경로) 로드 밸런싱을 구성합니다
[edit forwarding-optionshash-key].user@host# forwarding-options hash-key [edit forwarding-options hash-key] user@host# set family inet layer-3 destination-address user@host# set family inet layer-3 source-address user@host# set family inet6 layer-3 destination-address user@host# set family inet6 layer-3 source-address
를 표시하여 구성을 확인합니다.
forwarding-optionsuser@host# show forwarding-options hash-key { family inet { <== IPv4 traffic from CEs uses this layer-3 { destination-address; source-address; } } family inet6 { <== IPv6 traffic from Internet uses this layer-3 { destination-address; source-address; } } }팁:IPv4 및 IPv6 해시 키를 모두 구성해야 합니다. IPv4 해시 키는 CPE 디바이스에서 6번째 브랜치 릴레이로 들어오는 트래픽을 배포하는 데 사용됩니다. IPv6 해시 키는 IPv6 인터넷에서 6번째 도메인으로 들어오는 트래픽을 배포하는 데 사용됩니다. 순방향 및 역방향의 해시는 서로 다른 패밀리에 대한 것이기 때문에 동일한 세션의 서로 다른 흐름이 서로 다른 NPU에 상주할 수 있습니다. 그러나 6번째 처리는 상태가 없으므로(IPv6 패킷을 소프트와이어에 매핑하는 한) 문제가 되지 않습니다.
6rd 애니캐스트를 사용하여 6rd에 대한 고가용성 구성
6번째에 대한 로드 밸런싱을 구성할 때와 마찬가지로 두 서비스 집합에서 동일한 소프트와이어 규칙을 사용하는 두 개의 로드 밸런싱을 구성하여 6번째 애니캐스트를 구성합니다. 그러나 ECMP를 구성하지 않으면 서비스 PIC 데몬(spd)이 각 서비스 인터페이스를 가리키는 소프트와이어 집선 장치 주소 및 6번째 도메인에 대해 각각 두 개의 경로를 설치합니다. 포워딩 플레인은 spd가 경로를 설치할 때 계산되는 우선 순위에 따라 모든 경로를 선택할 수 있습니다. 우선 순위는 sp- 인터페이스에 사용되는 FPC, PIC, 슬롯 번호 및 서브유닛 번호를 기반으로 계산됩니다. 경로 우선순위에 따라 하나의 PIC만 사용 되며, 해당 PIC는 6번째 트래픽을 모두 가져옵니다. PIC가 다운되면 이를 가리키는 경로도 삭제되고 포워딩 플레인은 사용 가능한 대체 PIC를 자동으로 선택합니다.
6rd 애니캐스트는 완전히 상태가 없습니다. spd는 경로를 설치하고 PIC에 대한 상태 시스템을 실행하지 않습니다. 경로가 사전 설치되어 있고 서비스 세트가 이미 PIC에 있기 때문에 페일오버가 발생해도 서비스 지연이 발생하지 않습니다.