DS-Lite 소프트와이어
DS-Lite Softwire Concentrator 구성
DS-Lite는 M 시리즈 라우터의 멀티서비스 100, 400, 500 PIC와 멀티서비스 DPC가 장착된 MX 시리즈 라우터에서 지원됩니다. Junos OS 릴리스 17.4R1부터 DS-Lite는 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.Junos OS 릴리스 19.2R1부터 DS-Lite는 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터에서 지원됩니다.
DS-Lite 소프트위어 컨센트레이터 구성 방법:
또한보십시오
IPv6 멀티캐스트 인터페이스 구성
IPv6 NAT가 이웃 검색에 사용되는 경우 이더넷 인터페이스에서 멀티캐스트 필터를 구성합니다. 이를 통해 라우터는 소프트와이어 시작 플로우를 양방향으로 처리할 수 있습니다.
IPv6 멀티캐스트 인터페이스를 구성하려면 다음을 수행합니다.
또한보십시오
예: 기본 DS-Lite 구성
DS-Lite는 IPv4-over-IPv6 터널을 사용하여 IPv6 액세스 네트워크를 통과하여 캐리어급 IPv4-IPv4 NAT에 도달합니다. 이는 IPv4와의 이전 버전과의 호환성을 제공하여 인터넷에 IPv6의 단계적 도입을 용이하게 합니다. IPv6 Dual-Stack Lite 이해하기를 참조하십시오.
요구 사항
DS-Lite를 수행할 수 있는 하드웨어 구성 요소는 다음과 같습니다.
멀티서비스 PIC가 있는 M 시리즈 멀티서비스 에지 라우터.
멀티서비스 PIC가 있는 T 시리즈 코어 라우터.
MX 시리즈 5G 유니버설 라우팅 플랫폼(멀티서비스 DPC 포함). Junos OS 릴리스 17.4R1부터 DS-Lite는 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.Junos OS 릴리스 19.2R1부터 DS-Lite는 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터에서 지원됩니다.
구성 개요 및 토폴로지
이 예에서는 그림 1에 표시된 흐름을 용이하게 하기 위해 MS-DPC를 AFTR로 사용하여 MX 시리즈 라우터를 구성하는 방법을 설명합니다.
이 예에서 DS-Lite 소프트위어 컨센트레이터(AFTR)는 2개의 기가비트 인터페이스와 서비스 DPC가 있는 MX 시리즈 라우터입니다. B4 요소를 향하는 인터페이스는 ge-3/1/5이고 인터넷을 향하는 인터페이스는 ge-3/1/0입니다.
구성
섀시 구성
단계별 절차
레이어 3 서비스 패키지를 사용하여 서비스 PIC(FPC 0 슬롯 0)를 구성하려면:
edit chassis 계층 수준을 입력합니다.
user@host# edit chassis
레이어 3 서비스 패키지를 구성합니다.
[edit chassis]
user@host# set fpc 0 pic 0 adaptive-services service-package layer-3
인터페이스 구성
단계별 절차
B4(소프트위어 개시자)와 인터넷을 향하는 인터페이스를 구성하려면 다음을 수행합니다.
인터넷을 향하는
[edit interfaces]
ge-3/1/0에 대한 편집 계층 수준으로 이동합니다.host# edit interfaces ge-3/1/0
인터페이스를 정의합니다.
[edit interfaces ge-3/1/0]
user@host# set description AFTR-Internet user@host# set unit 0 family inet address 128.0.0.2/24B4를
[edit interfaces]
향하는 ge-3/1/5의 계층 레벨로 이동합니다.user@host# up 1
[edit]
user@host# edit interfaces ge-3/1/5인터페이스를 정의합니다.
[edit interfaces ge-3/1/5]
user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6[edit unit 0 family inet6]
user@host# set service input service-set sset user@host# set service output service-set sset user@host# set address 2001:0:0:2::1/48DS-Lite AFTR을
[edit interfaces]
호스팅하는 데 사용되는 sp-0/0/0의 계층 수준으로 이동합니다.[edit]
user@host# edit interfaces sp-0/0/0인터페이스를 정의합니다.
[edit interfaces sp-0/0/0]
user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6
결과
user@host# show interfaces ge-3/1/0 description AFTR-Internet; unit 0 { family inet { address 128.0.0.2/24; } } user@host# show interfaces ge-3/1/5 description AFTR-B4; unit 0 { family inet; family inet6 { service { input { service-set sset; } output { service-set sset; } } address 2001:0:0:2::1/48; } } user@host# show interfaces sp-o/o/o unit 0 { family inet; family inet6; }
네트워크 주소 및 포트 변환 구성
단계별 절차
NAPT를 구성하려면:
[edit services nat]
계층 수준으로 이동합니다.user@host# edit services nat
[edit services nat]
NAT 풀 p1을 정의합니다.
user@host# set pool p1 address 129.0.0.1/32 port automatic
일치 방향부터 시작하는 NAT 규칙을 정의합니다.
[edit services nat]
user@host# set rule r1 match-direction inputfrom 절로 시작하는 규칙의 용어 를 정의합니다.
[edit services nat]
user@host# set rule r1 term t1 from source-address 10.0.0.0/16then 절에서 원하는 번역을 정의합니다. 이 경우 동적 소스 변환을 사용합니다.
[edit services nat]
user@host# set rule r1 term t1 then translated source-pool p1 translation-type napt-44(선택 사항) 규칙에 대한 번역 정보 로깅을 구성합니다.
[edit services nat]
user@host# set rule r1 term t1 then syslog
결과
user@host# show services nat pool p1 { address 129.0.0.1/32; port { automatic; } } rule r1 { match-direction input; term t1 { from { source-address { 10.0.0.0/16; } } then { translated { source-pool p1; translation-type { napt-44; } } syslog; } }
소프트와이어 구성
단계별 절차
DS-Lite 소프트위어 컨센트레이터 및 관련 규칙 구성:
[edit services softwire]
계층 수준으로 이동합니다.user@host# edit services softwire
DS-Lite 소프트위어 집선 장치를 정의합니다.
[edit services softwire]
user@host# set softwire-concentrator ds-lite ds-1 softwire-address 1001::1 mtu-v6 1460소프트위어 규칙을 정의합니다.
[edit services softwire]
user@host# set rule r1 match-direction input term t1 then ds-lite ds1.
결과
user@host# show services softwire softwire-concentrator { ds-lite ds1 { softwire-address 1001::1; mtu-v6 1460; } } rule r1 { match-direction input; term t1 { then { ds-lite ds1; } } }
서비스 세트 구성
단계별 절차
소프트위어 및 네트워크 주소 변환(NAT) 규칙을 포함하고 인터페이스 서비스 또는 넥스트 홉 서비스를 지정하는 서비스 세트를 구성합니다. 이 예에서는 다음 홉 서비스를 사용합니다.
[edit services service-set]
계층 수준으로 이동하여 서비스 세트의 이름을 지정합니다.user@host# edit services service-set sset
IPv4에서 IPv4로의 변환에 사용할 NAT 규칙을 정의합니다.
[edit services service-set sset]
user@host# set nat-rules r1소프트위어 규칙을 정의하여 소프트위어 터널을 정의합니다.
[edit services service-set sset]
user@host# set softwire-rules r1인터페이스 서비스를 정의하고,
[edit services service-set sset]
user@host# set interface-service service-interface sp-0/0/0.0팁:IPv6 단편화를 방지하거나 최소화하기 위해 서비스 세트에 대한 TCP MSS(최대 세그먼트 크기)를 구성할 수 있습니다.
(선택 사항) TCP MSS를 정의합니다.
[edit services service-set sset]
user@host# set tcp-mss 1024
결과
user@host# show services service-set syslog { host local { services any; } } softwire-rules r1; nat-rules r1; interface-service { service-interface sp-0/0/0; } }
예: 동일한 서비스 세트에서 DS-Lite 및 6rd 구성
요구 사항
DS-Lite를 수행할 수 있는 하드웨어 구성 요소는 다음과 같습니다.
멀티서비스 PIC가 있는 M 시리즈 멀티서비스 에지 라우터.
멀티서비스 PIC가 있는 T 시리즈 코어 라우터.
MX 시리즈 5G 유니버설 라우팅 플랫폼(멀티서비스 DPC 포함). Junos OS 릴리스 17.4R1부터 DS-Lite는 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다.Junos OS 릴리스 19.2R1부터 DS-Lite는 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터에서 지원됩니다. Junos OS 릴리스 20.2R1부터 DS-Lite는 MX240, MX480 및 MX960 라우터의 CGNAT 차세대 서비스를 위해 지원됩니다.
개요
이 예에서는 동일한 서비스 세트에서 DS-Lite 및 6rd를 포함하는 소프트위어 솔루션에 대해 설명합니다.
구성
섀시 구성
단계별 절차
섀시 구성 방법:
수신 인터페이스를 구성합니다.
user@host# edit interfaces ge-1/2/0 [edit interfaces ge-1/2/0] user@host# set unit 0 family inet service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet address address 10.10.10.1/24 user@host# set unit 0 family inet6 service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 address address address 2001::1/16
여기서 서비스 세트는 서브유닛 0의 inet(IPv4) 및 inet6(IPv6) 패밀리에 적용됩니다. DS-Lite IPv6 트래픽과 6번째 IPv4 트래픽 모두 서비스 필터에 도달하여 서비스 PIC로 전송됩니다.
송신 인터페이스(IPv6 인터넷)를 구성합니다. DS-Lite 클라이언트가 연결하려는 IPv4 서버는 200.200.200.2/24이고 IPv6 서버는 3ABC::2/16입니다.
user@host# edit interfaces ge-1/2/2 [edit interfaces ge-1/2/2] user@host# set unit 0 family inet address 200.200.200.1/24 user@host# set unit 0 family inet6 address 3ABC::1/16
서비스 PIC를 구성합니다.
user@host# edit interfaces sp-3/0/0 [edit interfaces sp-3/0/0] user@host# set unit 0 family inet user@host# set unit 0 family inet6
결과
[edit interfaces] user@host# show ge-1/2/0 { unit 0 { family inet { service { input { service-set v6rd-dslite-service-set; } output { service-set v6rd-dslite-service-set; } } address 10.10.10.1/24; } family inet6 { service { input { service-set v6rd-dslite-service-set; } output { service-set v6rd-dslite-service-set; } } address 2001::1/16; } } } ge-1/2/2 { unit 0 { family inet { address 200.200.200.1/24; } family inet6 { address 3ABC::1/16; } } } sp-3/0/0 { unit 0 { family inet; family inet6; } }
Softwire Concentrator, Softwire 규칙, 스테이트풀 방화벽 규칙 구성
단계별 절차
소프트위어 컨센트레이터, 소프트위어 규칙 및 스테이트풀 방화벽 규칙을 구성하려면 다음을 수행합니다.
DS-Lite 및 6번째 소프트위어 컨센트레이터를 구성합니다.
user@host# edit services softwire softwire-concentrator ds-lite ds1 [edit services softwire softwire-concentrator ds-lite ds1] user@host# set softwire-address 1001::1 user@host# mtu-v6 9192 usert@host# up 1 usert@host# edit v6rd v6rd-dom1 [edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.10.0/24 user@host# set v6rd-prefix 3040::0/16 user@host# set mtu-v4 9192
소프트위어 규칙을 구성합니다.
user@host# edit services softwire rule v6rd-r1] [edit services softwire rule v6rd-r1] user@host# set match-direction input user@host# set term t1 then v6rd v6rd-dom1 user@host# up 1 user@host# edit services softwire] [edit services softwire] user@host# edit rule dslite-r1 [edit services softwire rule dslite-r1] user@host# set term dslite-t1 then ds-lite ds1
라우팅 엔진의 서비스 PIC 데몬에 의해 다음 경로가 추가됩니다.
user@host# run show route 30.30.30.1 inet.0: 43 destinations, 46 routes (42 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 30.30.30.1/32 *[Static/786432] 00:24:11 Service to v6rd-dslite-service-set [edit] user@host# run show route 3040::0/16 inet6.0: 23 destinations, 33 routes (23 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 3040::/16 *[Static/786432] 00:24:39 Service to v6rd-dslite-service-set
user@host# run show route 1001::1 inet6.0: 33 destinations, 43 routes (33 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1001::1/128 *[Static/1] 1w2d 22:05:41 Service to v6rd-dslite-service-set
스테이트풀 방화벽 규칙을 구성합니다.
user@host# edit services stateful-firewall rule r1 [edit services stateful-firewall rule r1] user@host# set match-direction input-output user@host# set term t1 then accept
[edit services stateful-firewall] rule r1 { match-direction input-output; term t1 { then { accept; } } }
결과
[edit services softwire] user@host# show softwire-concentrator { ds-lite ds1 { softwire-address 1001::1; mtu-v6 9192; } v6rd v6rd-dom1 { softwire-address 30.30.30.1; ipv4-prefix 10.10.10.0/24; v6rd-prefix 3040::0/16; mtu-v4 9192; } } rule v6rd-r1 { match-direction input; term t1 { then { v6rd v6rd-dom1; } } } rule dslite-r1 { match-direction input; term dslite-t1 { then { ds-lite ds1; } } }
[edit services stateful-firewall] user@host# show rule r1 { match-direction input-output; term t1 { then { accept; } } }
DS-Lite에 대한 NAT 구성
단계별 절차
DS-Lite용 네트워크 주소 변환(NAT) 구성 방법:
DS-Lite에 대한 네트워크 주소 변환(NAT) 풀을 구성합니다.
user@host# edit services nat pool dslite-pool [edit services nat pool dslite-pool] user@host# set address-range low 33.33.33.1 high 33.33.33.32 user@host# set port automatic
NAT 규칙을 구성합니다.
user@host# up 1 [edit services nat rule dslite-nat-r1] user@host# set match-direction input user@host# set term dslite-nat-t1 from source-address 20.20.0.0/16 then translated translation-type napt-44
결과
[edit services nat] user@host# show pool dslite-pool { address-range low 33.33.33.1 high 33.33.33.32; port { automatic; } } rule dslite-nat-r1 { match-direction input; term dslite-nat-t1 { from { source-address { 20.20.0.0/16; } } then { translated { source-pool dslite-pool; translation-type { source dynamic; } } } } }
이 NAT 규칙으로 인해 역방향 DS-Lite 트래픽에 대해 다음 NAT 경로가 설치됩니다.
user@host# run show route 33.33.33.0/24 inet.0: 48 destinations, 52 routes (47 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 33.33.33.1/32 *[Static/1] 1w2d 23:08:38 Service to v6rd-dslite-service-set 33.33.33.2/31 *[Static/1] 1w2d 23:08:38 Service to v6rd-dslite-service-set 33.33.33.4/30 *[Static/1] 1w2d 23:08:38 Service to v6rd-dslite-service-set 33.33.33.8/29 *[Static/1] 1w2d 23:08:38 Service to v6rd-dslite-service-set 33.33.33.16/28 *[Static/1] 1w2d 23:08:38 Service to v6rd-dslite-service-set 33.33.33.32/32 *[Static/1] 1w2d 23:08:38 Service to v6rd-dslite-service-set
NAT 규칙은 20.20.0.0/16에서 공용 주소 범위 33.33.33.1에서 33.33.33.32로 들어오는 트래픽에 대한 주소 변환을 트리거합니다.
서비스 세트 구성
단계별 절차
이 서비스 집합에는 상태 저장 방화벽 규칙과 6번째 서비스에 대한 6번째 규칙이 있습니다. 서비스 세트에는 DS-Lite에 대한 소프트위어 규칙과 모든 DS-Lite 트래픽에 대한 주소 변환을 수행하는 NAT 규칙도 포함되어 있습니다. NAT 규칙은 DS-Lite 트래픽의 소스 주소 및 포트에서 정방향으로 NAPT 변환을 수행합니다.
서비스 세트를 구성하려면 다음을 수행합니다.
서비스 세트를 정의합니다.
user@host# edit services service-set v6rd-dslite-service-set
서비스 세트 규칙을 구성합니다.
[edit services service-set v6rd-dslite-service-set] user@host# set softwire-rules dslite-r1 user@host# set stateful-firewall-rules r1 user@host# set nat-rules dslite-nat-r1
서비스 세트 interface-service를 구성합니다.
[edit services service-set v6rd-dslite-service-set] user@host# set interface-service service-interface sp-3/0/0
결과
[edit services service-set] user@host# show v6rd-dslite-service-set { softwire-rules v6rd-r1; softwire-rules dslite-r1; stateful-firewall-rules r1; nat-rules dslite-nat-r1; interface-service { service-interface sp-3/0/0; }
DS-Lite 서브넷 제한
DS-Lite 서브넷당 제한 개요
Junos OS를 사용하면 특정 시점에 가입자의 기본 브리징 광대역(B4) 디바이스에서 소프트와이어 플로우 수를 제한하여 가입자가 서브넷 내 주소를 과도하게 사용하는 것을 방지할 수 있습니다. 이 제한은 DoS(서비스 거부) 공격의 위험을 줄입니다. 이 제한은 MS-DC가 장착된 MX 시리즈 라우터에서 지원됩니다. Junos OS 릴리스 18.2R1부터 MS-MPC 및 MS-MIC도 서브넷 제한 기능을 지원합니다. Junos OS 릴리스 19.2R1부터 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터도 서브넷 제한 기능을 지원합니다. Junos OS 릴리스 20.2R1부터 DS-Lite는 MX240, MX480 및 MX960 라우터의 CGNAT 차세대 서비스를 위해 지원됩니다.
DS-Lite와 함께 IPv6를 사용하는 가정은 개별 IP 주소가 아니라 서브넷입니다. 서브넷 제한 기능은 가입자 및 매핑을 IPv6 주소 대신 IPv6 접두사와 연결합니다. 가입자는 해당 접두사의 모든 IPv6 주소를 DS-Lite B4 주소로 사용할 수 있으며 잠재적으로 캐리어급 NAT 리소스를 소진할 수 있습니다. 서브넷 제한 기능을 사용하면 특정 주소 대신 접두사가 있는 가입자를 식별하여 리소스 사용률을 보다 효과적으로 제어할 수 있습니다.
서브넷 제한은 다음과 같은 기능을 제공합니다.
흐름은 전체 B4 주소를 활용합니다.
접두사 길이는 개별 서비스 세트에 대한 softwire-options에서 서비스 세트별로 구성할 수 있습니다.
포트 블록은 각 B4 주소가 아닌 가입자 B4 디바이스의 접두사별로 할당됩니다(접두사 길이가 128 미만인 경우). 접두사 길이가 128인 경우 각 IPv6 주소는 B4로 처리됩니다. 포트 블록은 128비트 IPv6 주소당 할당됩니다.
DS-Lite 소프트위어 컨센트레이터 구성에 정의된 세션 제한은 접두사에 대한 IPv4 세션 수를 제한합니다.
EIM, EIF 및 PCP 매핑은 소프트위어 터널(전체 128비트 IPv6 주소)별로 생성됩니다. 부실 매핑은 시간 제한 값에 따라 시간 초과됩니다.
접두사 길이가 구성된 경우 PCP
max-mappings-per-subscriber
(에서pcp-server
구성 가능)는 전체 B4 주소가 아닌 접두사만을 기반으로 합니다.PBA 할당 및 해제를 위한 SYSLOGS에는 모두 0으로 완료된 주소의 접두사 부분이 포함됩니다. PCP 할당 및 해제, 플로우 생성 및 삭제를 위한 SYSLOGS에는 여전히 전체 IPv6 주소가 포함됩니다.
이제 운영 명령 출력에 show services nat mappings address-pooling-paired
접두사에 대한 매핑이 표시됩니다. 매핑은 활성 B4의 주소를 보여줍니다.
출력에는 show services softwire statistics ds-lite
MPC에 대한 세션 제한을 초과한 횟수를 표시하는 새 필드가 포함됩니다.
MX240, MX480 및 MX960 라우터의 차세대 서비스의 경우 서브넷 제한 통계가 필드에 표시됩니다 Softwire session limit exceeded
.
서비스 소프트위어 통계 표시(MX-SPC3)
user@host> show services softwire statistics vms-2/0/0 Total Session Interest events :3 Total Session Destroy events :2 Total Session Public Request events :0 Total Session Accepts :1 Total Session Discards :0 Total Session Ignores :0 Total Session extension alloc failures :0 Total Session extension set failures :0 Softwire statistics Total Softwire sessions created :1 Total Softwire sessions deleted :2 Total Softwire sessions created for reverse packets :1 Total Softwire session create failed for reverse pkts :0 Total Softwire rule match success :1 Total Softwire rule match failed :0 Softwire session limit exceeded :0 Softwire packet statistics Total Packets processed :1 Total packets encapsulated :1 Total packets decapsulated :1 Encapsulation errors :0 Decapsulation errors :0 Encapsulated pkts re-inject failures :0 Decapsulated pkts re-inject failures :0 DS-Lite ICMPv4 Echo replies sent :0 DS-Lite ICMPv4 TTL exceeded messages sent :0 ICMPv6 ECHO request messages received destined to AFTR :0 ICMPv6 ECHO reply messages sent from AFTR :0 ICMPv6 ECHO requests to AFTR process failures :0 V6 untunnelled packets destined to AFTR dropped :1 Softwire policy add errors :0 Softwire policy delete errors :0 Softwire policy memory alloc failures :0 Softwire Untunnelled packets ignored :0 Softwire Misc errors DS-Lite ICMPv4 TTL exceed message process errors :0
또한보십시오
서비스 거부 공격을 방지하기 위한 서브넷당 DS-Lite 세션 제한 구성
MS-DC가 장착된 MX 시리즈 라우터에서 서브넷당 DS-Lite 제한을 구성할 수 있습니다. Junos OS 릴리스 18.2R1부터 MS-MPC 및 MS-MIC도 서브넷 제한 기능을 지원합니다. Junos OS 릴리스 20.2R1부터 차세대 서비스 MX-SPC3 보안 서비스 카드는 서브넷 제한 기능을 지원합니다.
Junos OS 릴리스 19.2R1부터 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터도 서브넷 제한 기능을 지원합니다.
서브넷당 DS-Lite 세션 제한 구성:
또한보십시오
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
mtu-v6
또는 MS-MIC가 있는 MX 시리즈 라우터에서 옵션이 지원됩니다.