IPv6에 대한 무상태 소스 네트워크 접두사 변환
IPv6에 대한 무상태 소스 네트워크 접두사 변환 개요
Junos OS 릴리스 15.1부터 IPv6 네트워크에서 소스 주소 접두사의 무상태 변환(IPv6에서 IPv6으로)을 구성할 수 있습니다. 이 기능은 인라인 NAT가 지원되는 MPC가 있는 MX 시리즈 라우터에서 지원됩니다. IPv6 패킷(NPTv6)에 대한 무상태 네트워크 접두사 변환을 구성하려면 계층 수준에서 [edit services nat rule rule-name term term-name then translated] 문을 포함 translation-type nptv6 합니다. NPTv6 변환기는 패킷의 전송 레이어 체크섬을 다시 계산할 필요가 없도록 소스 주소 접두사를 변환합니다. NPTv6는 내부 및 외부 네트워크 간의 IPv6 네트워크 접두사 변환에 대한 상태 비저장 방법을 정의합니다. NPTv6는 변환기의 각 노드 또는 각 흐름에 대한 상태를 유지하지 않습니다. 이 show services nat mappings nptv6 (internal | external) 명령을 사용하여 내부 및 외부 주소에 대한 NPTv6의 NAT 매핑을 각각 볼 수 있습니다. 또한 및 명령을 show services inline nat statistics show services inline nat pool 사용하여 NPTv6이 구성된 인라인 NAT에 대한 정보를 표시할 수 있습니다.
상태 비저장 소스 네트워크 접두사 변환의 이점
에지 네트워크의 경우, 다음과 같은 경우 인터페이스, 액세스 목록 및 시스템 로깅 메시지를 위해 로컬 네트워크 내부에서 사용되는 IPv6 주소의 번호를 다시 지정할 필요가 없습니다.
에지 네트워크에서 사용하는 글로벌 접두사가 변경됩니다.
IPv6 주소는 사이트가 업스트림 네트워크를 추가, 삭제 또는 변경할 때 에지 네트워크 내부 또는 기타 업스트림 네트워크(예: 멀티호밍 디바이스) 내에서 사용됩니다.
에지 네트워크에서 사용되는 IPv6 주소는 업스트림 네트워크에서 수신 필터링이 필요하지 않으며 업스트림 네트워크에 보급되는 고객별 접두사가 필요하지 않습니다.
변환 기능을 통과하는 연결은 NPTv6 변환기의 재설정 또는 짧은 중단으로 인해 중단되지 않습니다.
NPTv6
IPv6에 대한 네트워크 접두사 변환(NPTv6)은 내부 및 외부 네트워크 간의 IPv6 주소 접두사 변환에 대한 상태 비저장 방식을 정의합니다. NPTv6는 변환기의 각 노드 또는 각 흐름에 대한 상태를 유지하지 않습니다. 인바운드 또는 아웃바운드 패킷의 주소 매핑에는 매핑 상태의 유지가 필요하지 않습니다. 전송에 구애받지 않는 상태 비저장 IPv6-IPv6 NPTv6 기능은 IPv4-IPv4 NAT(NAPT44)와 관련된 주소 독립성의 이점을 제공하고 내부 및 외부 접두사의 주소 간에 1:1 관계를 제공하여 네트워크 계층에서 엔드 투 엔드 도달 가능성을 유지합니다. 업스트림 네트워크에서 에지 네트워크에서 사용되는 IPv6 주소에는 항상 공급자 할당 접두사가 포함됩니다.
NPTv6는 업스트림 서비스 프로바이더 네트워크에 관계없이 내부 주소 안정성을 달성하기 위해 에지 네트워크에 주소 독립성을 제공하도록 설계되었습니다. 그러나 변환 없이 프로바이더 독립적 주소를 사용하면 라우팅 테이블이 에지 네트워크에 서비스를 제공하는 전송 도메인을 열거하는 대신 에지 네트워크를 열거하기 때문에 비용이 많이 들 수 있습니다. 이 현상으로 인해 관리하기 힘든 대규모 라우팅 테이블이 발생할 수 있습니다. NPTv6는 외부 네트워크에 내부 네트워크 접두사를 보급하지 않고 효과적이고 응집력 있게 주소 독립성을 제공하는 메커니즘입니다. 이와는 대조적으로, IPv4(NAPT44)에 대한 NAPT(Network Address Port Translation)의 주요 목적은 IPv4 주소 고갈을 해결하는 것이지만, 주소 독립성이라는 동일한 이점을 제공합니다. IPv6용 NAPT, 특히 NAPT66은 이미 마이크로커널에서 지원됩니다. 그러나 NAPT44와 마찬가지로 NAPT66은 흐름 상태 정보를 보존해야 합니다. NPTv6는 NAPT66과 관련된 제한 사항을 최대한 피할 수 있는 간단하고 간소화된 기술을 제공합니다. 이는 양방향, 체크섬 중립 및 알고리즘 변환 함수를 포함하도록 정의됩니다.
NPTv6는 변환기에서 노드, 흐름 또는 연결에 대한 상태 정보를 유지하지 않습니다. 내부에서 외부로, 외부에서 내부로 패킷은 IPv6 헤더에 있는 정보를 사용하여 알고리즘으로 변환됩니다. 상태 비저장 특성으로 인해 동일한 두 네트워크 사이에 여러 NPTv6 변환기가 존재하는 경우 부하가 이동하거나 둘 간에 동적으로 공유될 수 있습니다. 또한 NAPT44와 달리 매핑이 어느 방향으로든 수행될 수 있기 때문에 변환기는 인바운드 연결 설정을 방해하지 않습니다. 대신 방화벽을 NPTv6 변환기와 함께 사용할 수 있습니다. 이 동작은 네트워크 관리자에게 기존 네트워크 주소 변환(NAT)으로 얻을 수 있는 것보다 더 많은 유연성을 제공하여 보안 정책을 지정할 수 있습니다.
NPTv6의 또 다른 장점은 체크섬 중립 변환입니다. 변환기는 체크섬을 업데이트하기 위해 전송 헤더를 다시 작성할 필요가 없으며 포트 매핑을 수행하지 않습니다. 따라서 새로운 전송 레이어 프로토콜을 구축하기 위해 변환기를 수정할 필요가 없습니다. 전송 레이어가 수정되지 않기 때문에 알고리즘은 IP 페이로드의 암호화를 방해하지 않습니다. NPTv6는 여러 면에서 NAPT44 또는 NAPT66에 비해 유리하지만 모든 아키텍처 문제를 제거하지는 않습니다. NPTv6는 패킷의 IP 헤더를 수정하기 때문에 IPsec 인증 헤더와 같은 보안 메커니즘과 호환되지 않습니다. 별도의 내부 및 외부 접두사를 사용하면 DNS(Domain Name System) 구축이 복잡해집니다. 또한 NAPT44 또는 NAPT66 디바이스를 통해 올바르게 작동하기 위해 ALG(Application Layer Gateway)가 필요한 애플리케이션은 NPTv6 변환기를 통해 작동하기 위해 유사한 ALG가 필요할 수 있습니다. NPTv6는 연결 상태를 유지하지 않기 때문에 변환기의 장애는 서버를 통과하는 비전송 전력 제어(TPC) 트래픽에 영향을 미치지 않습니다. 연결의 소스 IP 주소가 변경되면 TCP 연결이 중단될 수 있습니다. 이 경우 연결 시간이 초과되었다가 다시 설정될 수 있습니다.
NPTv6는 인라인 NAT를 사용합니다. 인라인 NAT는 MPC(Modular Port Concentrator) 라인 카드의 기능을 사용하므로 NAT를 위한 MS-DPC(MultiServices DPC)가 필요하지 않습니다. 인라인 네트워크 주소 변환(NAT)을 구성하려면 서비스 인터페이스를 유형 si- (service-inline) 인터페이스로 정의합니다. 또한 인라인 인터페이스에 대한 적절한 대역폭을 예약해야 합니다. 이렇게 하면 네트워크 주소 변환(NAT)에 사용되는 인터페이스 서비스 세트와 다음 홉 서비스 세트를 모두 구성할 수 있습니다. 인터페이스는 si- 가상 서비스 PIC로 작동합니다.
IPv6에 대한 네트워크 접두사 변환을 통한 기능 상호 운용
이 주제에는 상태 비저장 소스 IPv6 접두사 변환 및 다양한 시스템 조건을 사용하는 다양한 기능의 작동 동작에 대해 설명하는 다음 섹션이 포함되어 있습니다.
주소 매핑 알고리즘
NPTv6 변환기는 네트워크에서 나가는 패킷을 필터링하며, 패킷의 소스 주소가 규칙에 정의된 소스 주소(구성의 또는 소스 주소) from 와 일치하면 소스 주소는 규칙에 정의된 풀의 주소 접두사로 대체됩니다. 소스 주소의 접두사 뒤의 다음 16비트는 체크섬 조정 값으로 대체되어 소스 주소가 변경되더라도 나가는 패킷에서 체크섬이 동일하게 유지되도록 합니다. 네트워크 외부로 나가는 패킷에 대한 구성 규칙과 풀을 정의하는 동안 네트워크로 들어오는 패킷의 대상 주소 변환을 위한 전송 규칙과 풀이 생성됩니다.
내부에서 외부로 변환
패킷이 내부 네트워크에서 외부 네트워크로 이동할 때, 패킷의 소스 주소(내부 노드에서 오는)의 IPv6 접두사가 외부 접두사에 매핑됩니다. 체크섬 조정 후 패킷이 외부 네트워크로 라우팅됩니다.
외부에서 내부 번역으로
패킷이 외부 네트워크에서 내부 네트워크로 들어오는 경우, 패킷의 대상 주소(외부 호스트에서 오는)의 IPv6 접두사가 내부 접두사에 매핑됩니다. 체크섬 조정 후 패킷은 내부 네트워크로 라우팅됩니다.
체크섬 중립 변환
NPTv6 변환기는 패킷의 전송 레이어 체크섬을 다시 계산할 필요가 없도록 소스 주소 접두사를 변환합니다. 체크섬이 적용되는 영역의 일부를 수정하여 발생한 체크섬 변경은 동일한 체크섬이 적용되는 다른 16비트 필드를 추가로 변경하여 수정할 수 있습니다. 이 체크섬 중립 방법은 먼저 와 internal-prefix 의 1의 보체 체크섬을 계산합니다.external-prefix
내부 네트워크에서 오는 패킷의 경우, 조정은 1의 보수로 계산되며 다음과 같이 계산됩니다.
조정 = 내부 접두사 체크섬 – 외부 접두사 체크섬입니다.
조정 값은 접두사 뒤에 소스 주소의 16비트 단어에 추가됩니다.
외부 네트워크에서 오는 패킷의 경우, 조정은 1의 보수이며 다음과 같이 계산됩니다.
조정 = 외부 접두사 체크섬 – 내부 접두사 체크섬입니다.
조정은 변환된 접두사 뒤에 대상 주소의 16비트 단어에 추가됩니다.
멀티호밍(Multihoming)
동일한 내부 IPv6 접두사에 대해 외부 IPv6 접두사 구성이 다른 NPTv6 변환기가 두 개 있는 경우, 이 두 NPTV6 변환기는 패킷이 통과하는 변환기에 따라 동일한 내부 IPv6 네트워크 접두사를 두 개의 서로 다른 외부 IPv6 네트워크 접두사로 변환합니다.
머리핀
내부 노드가 다른 내부 노드의 외부(즉, 글로벌 주소)만 알고 있는 경우 해당 주소를 사용하여 해당 내부 노드로 패킷을 보냅니다. NPTv6 변환기가 이러한 패킷을 수신하면 해당 패킷은 소스 주소 및 대상 주소 변환을 거친 후 다시 내부 네트워크로 라우팅됩니다.
로드 밸런싱
로드 공유는 두 변환기가 동일한 내부-외부 매핑 구성을 가지며 패킷 로드가 그들 간에 공유될 때 달성됩니다. 로드 밸런싱을 달성하는 방법은 NPTv6의 범위를 벗어납니다.
밸런싱은 IPv6 주소의 서브넷 ID 부분을 기반으로 구현될 수 있습니다. 내부 접두사와 외부 접두사의 동일한 매핑을 가진 두 개의 si- 논리적 인터페이스가 있을 수 있습니다. 패킷은 서브넷 ID를 기반으로 논리적 인터페이스 중 하나로 라우팅됩니다.
NPTv6에 대한 ICMPv6
NPTv6 ICMPv6 오류 생성은 매핑되지 않은 헥텟에 대해 지원되지 않습니다.
상태 비저장 소스 네트워크 접두사 변환 구성 지침
소스 IPv6 접두사의 무상태 변환을 구성할 때 다음 사항을 염두에 두세요.
이 주제에는 상태 비저장 소스 IPv6 접두사 변환 및 다양한 시스템 조건을 사용하는 다양한 기능의 작동 동작에 대해 설명하는 다음 섹션이 포함되어 있습니다.
GRES(Graceful 라우팅 엔진 스위치오버) 지원은 NAT44와 동일합니다.
통합 ISSU 및 NSSU(Nonstop Software Upgrade)는 지원되지 않습니다.
NPTv6 구축을 통해 외부 네트워크에서 내부 노드로 직접 인바운드 연결할 수 있습니다. 이 메커니즘은 내부 노드를 외부의 공격에 노출시키기 때문에 약간의 취약성을 야기합니다. NPTv6의 무상태 변환은 연결 상태에 기반한 외부 연결 요청을 추적하기 어렵게 만듭니다. 이 동작을 통해 NAT44 네트워크를 외부 공격으로부터 잘 보호할 수 있습니다. NPTv6 변환기를 보호하는 가장 좋은 방법은 NPTv6 변환기 위에 방화벽을 추가하는 것입니다.
6번째 소프트와이어 집선 장치는 NPTv6와 상호 운용됩니다. 페이로드의 소스 IP 주소를 변경하기 위해 ALG(Application Layer Gateway)가 필요하지 않은 다른 모든 메커니즘은 지원됩니다. TCP, UDP, ICMP, SSH 및 Telnet은 NPTv6 변환기에서 지원됩니다. ALG가 페이로드의 소스 IP 주소를 변경해야 하는 FTP 및 SIP(Session Initiation Protocol)는 지원되지 않습니다.
NPTv6 풀은 외부 데이터 메모리에 할당됩니다. 풀 데이터 구조는 주소 접두사, 접두사 길이 및 체크섬으로 구성됩니다. 각 레코드의 크기는 192비트입니다. 모든 풀에 대해 디나트 풀이 자동으로 할당됩니다. 변성 풀의 크기는 192비트입니다. NAT 처리 및 변환되지 않은 NPTv6 풀에 대해 총 8000개의 64비트 항목이 할당됩니다. 이 할당은 인라인 서비스(JNH_APP_INLINE_SVCS)에 할당된 64,000개의 항목에서 비롯됩니다.
NPTv6과 6rd의 상호 운용을 위한 인라인 서비스의 연결은 지원되지 않습니다.
NPTv6을 구성하는 동안 소스 풀을 구성하고 (소스) 주소를 지정
from해야 합니다.외부 및 내부 접두사 길이는 /16 서브넷 마스크보다 크거나 같고 /112 서브넷 마스크보다 작거나 같아야 합니다.
두 개의 서로 다른 내부 접두사를 동일한 외부 접두사로 변환할 수 없습니다.
NPTv6은 IPSec 및 Internet Key Exchange(IKE) 패킷에 적용할 수 없습니다. 이 경우 NPTv6 변환기가 우회됩니다.
하나의 IPv6 주소 접두사로 변환되므로 풀에 주소가 하나만 있습니다. 사용자가 둘 이상의 주소를 구성한 경우, 시스템은 오류를 발생시키지 않고 대신 풀의 첫 번째 주소 접두사만 변환을 위해 선택됩니다.
내부 네트워크에서 외부 네트워크로 이동하는 패킷의 경우 내부 서브넷이 매핑되지 않았거나 0xFFFF로 설정된 경우 데이터그램이 폐기되고 ICMP 대상 도달 불가 오류가 생성됩니다.
내부 네트워크에서 외부 네트워크로 이동하는 패킷의 경우, 16비트 단어에 1의 보수 방법을 사용하여 조정이 추가되어 있고 0xFFFF과 같으면 값이 0으로 기록됩니다.
외부 네트워크에서 내부 네트워크로 들어오는 패킷의 경우, 16비트 단어에 1의 보수 방법을 사용하여 조정을 뺀 값이 있고 0xFFFF와 같으면 16비트 단어는 0으로 덮어씁니다.
접두사 /48 이하의 변환의 경우, /48 서브넷 마스크 뒤의 처음 16비트에서 조정을 더하거나 빼야 하며, 그 값은 0xFFFF이 아닙니다. 접두사가 /49 이상인 경우 값이 0xFFFF되지 않는 처음 16비트(64에서 123까지)에서 조정을 더하거나 빼야 합니다.
인터페이스 스타일 및 넥스트 홉 스타일 서비스 세트를 사용한 NPTv6의 작동
목표는 소스 IPv6 주소의 상태 비저장 변환을 수행하는 인라인 서비스에 IPv6(NPTv6)에 대한 네트워크 접두사 변환을 추가하는 것입니다. 접두사가 FD01:0203:0405:/48인 내부 네트워크와 접두사가 2001:0DB8:0001:/48인 외부 네트워크 간에 NPTv6이 구현되는 샘플 토폴로지를 고려하십시오.
글로벌 네트워크(외부 네트워크)의 호스트로 향하는 단일 관리 도메인(내부 네트워크)의 패킷에서 소스 주소 FD01:0203:0405:/48은 2001:0DB8:0001:/48로 변환됩니다. 외부 네트워크에서 오는 내부 네트워크로 향하는 패킷의 대상 주소는 2001:0DB8:0001:/48입니다. 이 대상 주소는 내부 네트워크 주소 FD01:0203:0405:/48에 매핑되고 내부 네트워크 호스트로 전달됩니다. 이 경우 두 서브넷의 길이가 동일하다고 가정합니다. 서로 다른 경우 짧은 것은 0을 접미사로 붙여 긴 것의 접두사 길이로 확장됩니다.
NPTv6에 사용되는 주소 매핑 알고리즘은 체크섬 중립적입니다. 변환된 IP 헤더는 동일한 IPv6 의사 헤더 체크섬을 생성합니다. 체크섬은 표준 인터넷 체크섬 알고리즘을 사용하여 계산됩니다. IPv6 접두사의 변환 중에 이루어진 변경 사항은 IPv6 주소의 다른 부분에 대한 계산된 변경 사항으로 상쇄됩니다. 이로 인해 인터넷 체크섬(예: TCP 및 UDP)을 사용하는 전송 계층은 동일한 데이터그램의 내부 및 외부 형식 모두에 대해 동일한 IPv6 의사 헤더 체크섬을 계산하므로 체크섬 값을 수정하기 위해 전송 계층 헤더를 수정할 필요가 없습니다. 알고리즘은 인바운드 패킷과 아웃바운드 패킷의 주소를 매핑할 수 있습니다.
NPTv6 변환기는 단편화된 패킷과 IP 옵션이 활성화된 패킷 모두에 대해 작동합니다. NPTv6에 필요한 구성 변경은 다음 섹션에서 다룹니다.
서비스를 처리하기 위한 라우터의 구성은 논리적 서비스 인터페이스, 서비스 세트 및 서비스 세트 규칙의 정의를 통해 이루어집니다. 이는 서비스가 패킷에 적용되는 방식을 정의합니다.
정적 v4-v4 source-address inline-NAT에 사용할 수 있는 인라인 서비스 논리적 인터페이스, si-ifl 구현은 인라인 NPTv6에 재사용될 수 있습니다. MS-DPC용으로 구현된 NPTv6의 구성은 인라인 NPTv6 구현을 위해 수정할 수 있습니다. 서비스 집합 구성에는 인터페이스 스타일과 다음 홉 스타일의 두 가지 유형이 있습니다.
다음 홉 스타일 서비스의 경우, 패킷을 인라인 서비스 인터페이스로 조정하도록 경로 항목이 구성됩니다. 그곳에서 패킷은 서비스 규칙을 통과합니다. 패킷이 서비스 규칙과 일치하면 서비스 규칙에 따라 처리됩니다. 인터페이스 스타일 서비스의 경우, 서비스 세트는 인터페이스를 나가고 들어갈 때 트래픽에 영향을 미치는 미디어 인터페이스에 직접 구성됩니다. 패킷은 미디어 인터페이스에 적용된 서비스 필터에 의해 인라인 서비스 인터페이스로 전달됩니다.
예: 인터페이스 스타일 서비스 세트를 사용하여 IPv6 네트워크에서 무상태 네트워크 접두사 변환을 구성하여 주소 독립성 달성
인라인 NAT를 지원하는 MPC가 있는 MX 시리즈 라우터에서 IPv6 네트워크(IPv6에서 IPv6로)의 소스 주소 접두사에 대한 상태 비저장 변환을 구성할 수 있습니다. NPTv6 변환기는 패킷의 전송 레이어 체크섬을 다시 계산할 필요가 없도록 소스 주소 접두사를 변환합니다. NPTv6는 내부 및 외부 네트워크 간의 IPv6 네트워크 접두사 변환에 대한 상태 비저장 방법을 정의합니다. NPTv6는 변환기의 각 노드 또는 각 흐름에 대한 상태를 유지하지 않습니다. 이 show services nat mappings nptv6 (internal | external) 명령을 사용하여 내부 및 외부 주소에 대한 NPTv6의 NAT 매핑을 각각 볼 수 있습니다. 또한 및 명령을 show services inline nat statistics show services inline nat pool 사용하여 NPTv6이 구성된 인라인 NAT에 대한 정보를 표시할 수 있습니다.
이 기능은 트리오 기반 FPC(MPC)가 있는 MX 시리즈 라우터에서 지원됩니다.
이 예에서는 MPC가 있는 MX 시리즈 라우터에서 인터페이스 스타일 서비스 세트를 사용하여 IPv6 패킷에 대한 무상태 소스 접두사 변환을 구성하는 방법을 설명하고 다음 섹션을 포함합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MPC가 있는 MX 시리즈 라우터 1개.
MX 시리즈 라우터용 Junos OS 릴리스 15.1R1 이상
인터페이스 스타일 서비스 세트를 사용하는 IPv6 네트워크에서 상태 비저장 네트워크 접두사 변환을 위한 개요 및 토폴로지
인터페이스 스타일 서비스의 경우, 서비스 세트는 인터페이스를 나가고 들어갈 때 트래픽에 영향을 미치는 미디어 인터페이스에서 직접 구성됩니다. 패킷은 미디어 인터페이스에 적용된 서비스 필터에 의해 인라인 서비스 인터페이스로 전달됩니다.
서비스 집합 정의를 구성하여 서비스 규칙을 정의하고 그룹화하면 라우터에 설치된 하나 이상의 인터페이스에 서비스를 적용할 수 있습니다. 서비스 세트를 인터페이스에 적용하면 패킷이 PIC로 전달되도록 자동으로 보장됩니다.
인터페이스 스타일 서비스 세트를 사용하여 NPTv6가 구성되는 샘플 구성 시나리오를 고려하십시오. 인라인 서비스 인터페이스 si-0/1/0은 초당 10기가비트에 대해 예약된 대역폭으로 구성됩니다. si-0/1/0 인터페이스는 inet6 패밀리로 정의됩니다. 네트워크 주소 변환(NAT) 주소 풀 nptv6_pool은 abcd:ef12:3456::/48 주소로 구성됩니다. NAT 규칙은 입력 방향에 적용되어 1234:5678:9abc::/48의 소스 주소에서 도착하는 패킷에 대해 NPTv6 변환을 수행합니다. NAT 규칙 기준과 일치하는 1234:5678:9abc::/48 소스 주소의 패킷의 경우 NAT 주소 풀의 주소가 할당됩니다. 서비스 집합 ss_nptv6는 네트워크 주소 변환(NAT) 규칙으로 지정됩니다. 기가비트 이더넷 인터페이스 ge-5/0/0이 구성되고 서비스 집합이 이 인터페이스에 적용됩니다.
구성
인터페이스 스타일 서비스 세트를 사용하여 IPv6에 대한 무상태 네트워크 접두사 변환을 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여 넣습니다.
인터페이스 구성
set interfaces si-0/1/0 unit 0 family inet6
서비스 집합에서 처리할 트래픽에 대한 인터페이스 구성
set interfaces ge-5/0/0 unit 0 family inet6 service input service-set nptv6-service-set set interfaces ge-5/0/0 unit 0 family inet6 service output service-set nptv6-service-set set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
서비스 인라인(si-) 인터페이스에 대한 대역폭 구성
set chassis fpc 0 pic 1 inline-services bandwidth 10g
네트워크 주소 변환(NAT) 풀 및 규칙 구성
set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
서비스 집합 구성
set services service-set ss_nptv6 nat-rules ss_nptv6_rule set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages set services service-set ss_nptv6 interface-service service-interface si-0/1/0.0
절차
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
인터페이스 스타일 서비스 세트를 사용하여 IPv6에 대한 무상태 네트워크 접두사 변환을 구성하려면 다음을 수행합니다.
인라인 서비스(si-) 인터페이스를 구성합니다.
[edit] user@host# set interfaces si-0/1/0 unit 0 family inet6
서비스 집합에서 처리할 트래픽의 인터페이스를 구성합니다.
[edit] user@host# set interfaces ge-5/0/0 unit 0 family inet6 service input service-set nptv6-service-set user@host# set interfaces ge-5/0/0 unit 0 family inet6 service output service-set nptv6-service-set user@host# set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
서비스 인라인(si-) 인터페이스의 대역폭을 구성합니다.
[edit] user@host# set chassis fpc 0 pic 1 inline-services bandwidth 10g
네트워크 주소 변환(NAT) 풀 및 규칙을 구성합니다.
[edit] user@host# set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
서비스 집합을 구성합니다
[edit] user@host# set services service-set ss_nptv6 nat-rules ss_nptv6_rule user@host# set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages user@host# set services service-set ss_nptv6 interface-service service-interface si-0/1/0.0
결과
구성 모드에서 , show interfaces및 show services 명령을 show chassis입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
user@host# show chassis
chassis {
fpc 0 {
pic 1 {
inline-services {
bandwidth 10g;
}
}
}
}
user@host# show interfaces
interfaces {
si-0/1/0 {
unit 0 {
family inet6;
}
}
ge-5/0/0 {
unit 0 {
family inet6 {
service {
input {
service-set nptv6-service-set;
}
output {
service-set nptv6-service-set;
}
}
address 1234:5678:9abc::1/64;
}
}
}
}
user@host# show services
services {
service-set ss_nptv6 {
nat-rules ss_nptv6_rule;
nat-options {
nptv6 {
icmpv6-error-messages;
}
}
interface-service {
service-interface si-0/1/0.0;
}
}
nat {
pool ss_nptv6_pool {
address abcd:ef12:3456::/48;
}
rule ss_nptv6_rule {
match-direction input;
term t0 {
from {
source-address {
1234:5678:9abc::/48;
}
}
then {
translated {
source-pool ss_nptv6_pool;
translation-type {
nptv6;
}
}
}
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음을 수행하십시오.
네트워크 주소 변환(NAT) 풀 매핑 확인
목적
IPv6 네트워크 접두사 변환을 위한 기존 네트워크 주소 변환(NAT) 주소 풀 및 매핑을 확인합니다.
작업
운영 모드에서 다음 명령을 사용합니다.show services nat mappings nptv6
user@host> show services nat mappings nptv6 internal 1111:2222:3333:aaaa:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
user@host> show services nat mappings nptv6 external aaaa:bbbb:cccc:dddd:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
의미
출력은 외부 및 내부 주소의 IPv6 상태 비저장 네트워크 접두사 변환을 위해 네트워크 주소 변환(NAT) 주소와 포트 간의 매핑을 보여줍니다. 원래 네트워크 주소 변환(NAT)을 사용하여 전송 및 변환된 주소 및 포트 세부 정보가 표시됩니다.
인라인 NAT 풀 및 통계 확인
목적
IPv6 네트워크 접두사 변환에 대한 인라인 NAT 풀 및 통계를 확인합니다.
작업
운영 모드에서 다음 명령을 사용합니다.show services inline nat
user@host> show services inline nat statistics interface si-4/0/0
Service PIC Name: si-4/0/0
Control Plane Statistics
ICMPv4 errors packets pass through :0
ICMPv4 errors packets locally generated :0
ICMPv6 errors packets pass through :0
ICMPv6 errors packets locally generated :0
Dropped packets :0
Data Plane Statistics
NATed packets :0
deNATed packets :0
Errors :0
user@host> show services inline nat pool
Interface: si-4/0/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
NAT pool: ss_nptv6_pool2, Translation type: NPTV6
Address range: 1111:2222:3333::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
user@host> show services inline nat pool ss_nptv6_pool1
Interface: si-4/0/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
의미
출력에는 네트워크 주소 변환(NAT) 처리 대상인 패킷 수, 변환되지 않은 패킷, 지정된 서비스 집합 및 si- 인터페이스에 대한 변환 오류가 있는 패킷과 같은 인라인 네트워크 주소 변환(NAT) 주소 변환에 대한 정보가 표시됩니다.
예: 다음 홉 스타일 서비스 세트를 사용하여 IPv6 네트워크에서 무상태 네트워크 접두사 변환을 구성하여 주소 독립성 달성
인라인 NAT가 지원되는 MPC가 있는 MX 시리즈 라우터에서 IPv6 네트워크(IPv6에서 IPv6로)의 소스 주소 접두사의 무상태 변환을 구성할 수 있습니다. NPTv6 변환기는 패킷의 전송 레이어 체크섬을 다시 계산할 필요가 없도록 소스 주소 접두사를 변환합니다. NPTv6는 내부 및 외부 네트워크 간의 IPv6 네트워크 접두사 변환에 대한 상태 비저장 방법을 정의합니다. NPTv6는 변환기에서 노드당 또는 플로우당 상태를 유지하지 않습니다. show services nat mappings nptv6(내부 | external) 명령을 사용하여 내부 및 외부 주소에 대한 NPTv6에 대한 NAT 매핑을 각각 볼 수 있습니다. 또한 show services inline nat statistics 및 show services inline nat pool 명령을 사용하여 NPTv6이 구성된 인라인 NAT에 대한 정보를 표시할 수 있습니다.
이 기능은 트리오 기반 FPC(MPC)가 있는 MX 시리즈 라우터에서 지원됩니다.
이 예에서는 MPC가 있는 MX 시리즈 라우터에서 다음 홉 스타일 서비스 세트를 사용하여 IPv6 패킷에 대한 무상태 소스 접두사 변환을 구성하는 방법을 설명하고 다음 섹션을 포함합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MPC가 있는 MX 시리즈 라우터 1개.
MX 시리즈 라우터용 Junos OS 릴리스 15.1R1 이상
다음 홉 스타일 서비스 세트를 사용한 IPv6 네트워크의 무상태 네트워크 접두사 변환에 대한 개요 및 토폴로지
다음 홉 서비스 집합은 특정 서비스를 적용하는 경로 기반 방법입니다. 특정 다음 홉으로 향하는 패킷만 명시적 정적 경로의 생성에 의해 서비스됩니다. 이 구성은 서비스를 전체 VPN(가상 사설망) 라우팅 및 포워딩(VRF) 테이블에 적용해야 하거나 라우팅 결정에 따라 서비스가 수행되어야 할 것으로 판단될 때 유용합니다.
다음 홉 스타일 서비스의 경우, 패킷을 인라인 서비스 인터페이스로 조정하도록 경로 항목이 구성됩니다. 패킷은 서비스 규칙을 통해 검증됩니다. 패킷이 서비스 규칙과 일치하면 서비스 규칙에 따라 처리됩니다.
NPTv6가 다음 홉 스타일 서비스 세트를 사용하여 구성되는 샘플 구성 시나리오를 고려하십시오. 인라인 서비스 인터페이스 si-0/1/0은 초당 10기가비트에 대해 예약된 대역폭으로 구성됩니다. si-0/1/0 인터페이스는 inet6 패밀리로 정의됩니다. 네트워크 주소 변환(NAT) 주소 풀 nptv6_pool은 abcd:ef12:3456::/48 주소로 구성됩니다. NAT 규칙은 입력 방향에 적용되어 1234:5678:9abc::/48의 소스 주소에서 도착하는 패킷에 대해 NPTv6 변환을 수행합니다. NAT 규칙 기준과 일치하는 1234:5678:9abc::/48 소스 주소의 패킷의 경우 NAT 주소 풀의 주소가 할당됩니다. 서비스 세트는 네트워크 내부에 적용된 서비스 세트와 연결된 si-0/1/0.1의 서비스 인터페이스를 사용하여 다음 홉을 포워딩하도록 구성됩니다. 내부 네트워크에 대한 다음 홉 서비스 인터페이스에 대한 매개 변수와 네트워크 외부에 적용된 서비스 세트와 연결된 SI-/1/0.2를 포함합니다. 서비스 집합 ss_nptv6는 네트워크 주소 변환(NAT) 규칙으로 지정됩니다. 서비스 인터페이스 도메인은 si-0/1/0.1에 대해 구성된 내부 서비스 도메인과 si-0/1/0.2에 대해 구성된 외부 서비스 도메인이 있는 si- 인터페이스에 대해 지정됩니다. 라우팅 인스턴스 inst1은 인스턴스 유형이 VRF 인스턴스로 구성됩니다. 인터페이스 si-0/1/0.1 및 인터페이스 ge-5/0/0은 inst1과 관련이 있습니다. 내부 및 외부 인터페이스 도메인은 inside-service-interface 및 outside-service-interface 문으로 지정된 것과 일치합니다. 모든 패킷을 거부하는 작업과 함께 NAT 이벤트에 대한 정책이 구성됩니다.
구성
다음 홉 스타일 서비스 세트를 사용하여 IPv6에 대한 상태 비저장 네트워크 접두사 변환을 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여 넣습니다.
인라인 인터페이스 구성
set interfaces si-0/1/0 unit 0 family inet6 set interfaces si-0/1/0 unit 1 family inet6 set interfacessi-0/1/0 unit 1 service-domain inside set interfaces si-0/1/0 unit 2 family inet6 set interfaces si-0/1/0 unit 2 service-domain outside set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
인라인 서비스를 위한 대역폭 구성
set chassis fpc 0 pic 1 inline-services bandwidth 10g
네트워크 주소 변환(NAT) 풀 및 규칙 구성
set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
서비스 집합 구성
set services service-set ss_nptv6 nat-rules ss_nptv6_rule set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages set services service-set ss_nptv6 nexthop-service inside-service-interface si-0/1/0.1 set services service-set ss_nptv6 nexthop-service outside-service-interface si-0/1/0.2
라우팅 인스턴스 구성
set routing-instances inst1 instance-type vrf set routing-instances inst1 interface si-0/1/0.1 set routing-instances inst1 interface ge-5/0/0.0 set routing-instances inst1 route-distinguisher 1234:5678 set routing-instances inst1 vrf-import reject-all set routing-instances inst1 vrf-export reject-all set routing-instances inst1 routing-options rib inst1.inet6.0 static route ::0/0 next-hop si-0/1/0.1
정책 및 작업 수정자 구성
set policy-options policy-statement reject-all then reject
절차
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
다음 홉 스타일 서비스 세트를 사용하여 IPv6에 대한 무상태 네트워크 접두사 변환을 구성하려면 다음을 수행합니다.
네트워크 주소 변환(NAT) 서비스에 대한 인라인 인터페이스를 구성합니다.
[edit] user@host# set interfaces si-0/1/0 unit 0 family inet6 user@host# set interfaces si-0/1/0 unit 1 family inet6 user@host# set interfacessi-0/1/0 unit 1 service-domain inside user@host# set interfaces si-0/1/0 unit 2 family inet6 user@host# set interfaces si-0/1/0 unit 2 service-domain outside user@host# set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
인라인 서비스에 대한 대역폭을 설정합니다.
[edit] user@host# set chassis fpc 0 pic 1 inline-services bandwidth 10g
네트워크 주소 변환(NAT) 풀 및 규칙을 구성합니다.
[edit] user@host# set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
네트워크 주소 변환(NAT) 풀과 연관된 네트워크 주소 변환(NAT) 규칙을 사용하여 서비스 세트를 구성합니다.
[edit] user@host# set services service-set ss_nptv6 nat-rules ss_nptv6_rule user@host# set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages user@host# set services service-set ss_nptv6 nexthop-service inside-service-interface si-0/1/0.1 user@host# set services service-set ss_nptv6 nexthop-service outside-service-interface si-0/1/0.2
구성된 si- 인터페이스를 사용하는 라우팅 인스턴스를 구성합니다.
[edit] user@host# set routing-instances inst1 instance-type vrf user@host# set routing-instances inst1 interface si-0/1/0.1 user@host# set routing-instances inst1 interface ge-5/0/0.0 user@host# set routing-instances inst1 route-distinguisher 1234:5678 user@host# set routing-instances inst1 vrf-import reject-all user@host# set routing-instances inst1 vrf-export reject-all user@host# set routing-instances inst1 routing-options rib inst1.inet6.0 static route ::0/0 next-hop si-0/1/0.1
네트워크 주소 변환(NAT) 패킷에 대한 정책 및 작업 수정자를 구성합니다.
[edit] user@host# set policy-options policy-statement reject-all then reject
결과
구성 모드에서 , show interfaces, , show policy-optionsshow services show routing-instances및 명령을 show chassis입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
user@host# show chassis
chassis {
fpc 0 {
pic 1 {
inline-services {
bandwidth 10g;
}
}
}
}
user@host# show interfaces
chassis {
fpc 0 {
pic 1 {
inline-services {
bandwidth 10g;
}
}
}
}
interfaces {
si-0/1/0 {
unit 0 {
family inet6;
}
unit 1 {
family inet6;
service-domain inside;
}
unit 2 {
family inet6;
service-domain outside;
}
}
ge-5/0/0 {
unit 0 {
family inet6 {
address 1234:5678:9abc::1/64;
}
}
}
}
user@host# show policy-options
policy-options {
policy-statement reject-all {
then reject;
}
}
user@host# show routing-instances
routing-instances {
inst1 {
instance-type vrf;
interface si-0/1/0.1;
interface ge-5/0/0.0;
route-distinguisher 1234:5678;
vrf-import reject-all;
vrf-export reject-all;
routing-options {
rib inst1.inet6.0 {
static {
route ::0/0 next-hop si-0/1/0.1;
}
}
}
}
}
user@host# show services
services {
service-set ss_nptv6 {
nat-rules ss_nptv6_rule;
nat-options {
nptv6 {
icmpv6-error-messages;
}
}
nexthop-service {
inside-service-interface si-0/1/0.1;
outside-service-interface si-0/1/0.2;
}
}
nat {
pool ss_nptv6_pool {
address abcd:ef12:3456::/48;
}
rule ss_nptv6_rule {
match-direction input;
term t0 {
from {
source-address {
1234:5678:9abc::/48;
}
}
then {
translated {
source-pool ss_nptv6_pool;
translation-type {
nptv6;
}
}
}
}
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음을 수행하십시오.
네트워크 주소 변환(NAT) 풀 매핑 확인
목적
IPv6 네트워크 접두사 변환을 위한 기존 네트워크 주소 변환(NAT) 주소 풀 및 매핑을 확인합니다.
작업
운영 모드에서 다음 명령을 사용합니다.show services nat mappings nptv6
user@host> show services nat mappings nptv6 internal 1111:2222:3333:aaaa:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
user@host> show services nat mappings nptv6 external aaaa:bbbb:cccc:dddd:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
의미
출력에는 네트워크 주소 변환(NAT) 처리 대상인 패킷 수, 변환되지 않은 패킷, 지정된 서비스 집합 및 si- 인터페이스에 대한 변환 오류가 있는 패킷과 같은 인라인 네트워크 주소 변환(NAT) 주소 변환에 대한 정보가 표시됩니다.
인라인 NAT 풀 및 통계 확인
목적
IPv6 네트워크 접두사 변환에 대한 인라인 NAT 풀 및 통계를 확인합니다.
작업
운영 모드에서 다음 명령을 사용합니다.show services inline nat
user@host> show services inline nat statistics interface si-4/0/0
Service PIC Name :si-4/0/0
Control Plane Statistics
ICMPv4 errors packets pass through :0
ICMPv4 errors packets locally generated :0
ICMPv6 errors packets pass through :0
ICMPv6 errors packets locally generated :0
Dropped packets :0
Data Plane Statistics
NATed packets :0
deNATed packets :0
Errors :0
user@host> show services inline nat pool
Interface: si-0/1/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
NAT pool: ss_nptv6_pool2, Translation type: NPTV6
Address range: 1111:2222:3333::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
user@host> show services inline nat pool ss_nptv6_pool1
Interface: si-0/1/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
의미
출력은 외부 및 내부 주소의 IPv6 상태 비저장 네트워크 접두사 변환을 위해 네트워크 주소 변환(NAT) 주소와 포트 간의 매핑을 보여줍니다. 원래 네트워크 주소 변환(NAT)을 사용하여 전송 및 변환된 주소 및 포트 세부 정보가 표시됩니다.