Cables de software DS-Lite
Configuración de un concentrador de softwire DS-Lite
DS-Lite es compatible con PIC multiservicios 100, 400 y 500 en enrutadores de la serie M y en enrutadores de la serie MX equipados con CPC multiservicios. A partir de la versión 17.4R1 de Junos OS, DS-Lite es compatible con enrutadores de la serie MX con MS-MPC y MS-MIC. A partir de la versión 19.2R1 de Junos OS, DS-Lite es compatible con el chasis virtual MX y los enrutadores de puerta de enlace de red de banda ancha (BNG) MX.
Para configurar un concentrador de softwire DS-Lite:
Ver también
Configuración de interfaces de multidifusión IPv6
Configure filtros de multidifusión en interfaces Ethernet cuando se utilice IPv6 TDR para la detección de vecinos. Esto permite que el enrutador procese flujos iniciados por softwire en ambas direcciones.
Para configurar interfaces de multidifusión IPv6:
Ver también
Ejemplo: Configuración básica de DS-Lite
DS-Lite emplea túneles IPv4 sobre IPv6 para cruzar una red de acceso IPv6 y llegar a un TDR IPv4-IPv4 de grado carrier. Esto facilita la introducción gradual de IPv6 en Internet al proporcionar compatibilidad con versiones anteriores con IPv4. Consulte Descripción de IPv6 Dual-Stack Lite.
Requisitos
Los siguientes componentes de hardware pueden realizar DS-Lite:
serie M Enrutadores de borde multiservicio con PIC multiservicios.
Enrutadores de núcleo serie T con PIC multiservicios.
Plataformas de enrutamiento universal 5G de la serie MX con CPC de multiservicios. A partir de la versión 17.4R1 de Junos OS, DS-Lite es compatible con enrutadores de la serie MX con MS-MPC y MS-MIC. A partir de la versión 19.2R1 de Junos OS, DS-Lite es compatible con el chasis virtual MX y los enrutadores de puerta de enlace de red de banda ancha (BNG) MX.
Descripción general de la configuración y topología
En este ejemplo, se describe cómo configurar un enrutador de la serie MX con un MS-CPC como AFTR para facilitar el flujo que se muestra en la Figura 1.
DS-Lite
En este ejemplo, el concentrador de softwire de DS-Lite, o AFTR, es un enrutador de la serie MX con dos interfaces Gigabit y un CPC de servicios. La interfaz orientada hacia el elemento B4 es ge-3/1/5 y la interfaz orientada hacia Internet es ge-3/1/0.
Configuración
- Configuración del chasis
- Configuración de interfaces
- Configuración de traducción de puertos y direcciones de red
- Configuración de Softwire
- Configuración del conjunto de servicios
Configuración del chasis
Procedimiento paso a paso
Para configurar la PIC de servicio (ranura 0 de FPC) con el paquete de servicio de capa 3:
Ingrese el nivel de jerarquía de editar chasis .
user@host# edit chassisConfigure el paquete de servicio de capa 3.
[edit chassis]user@host# set fpc 0 pic 0 adaptive-services service-package layer-3
Configuración de interfaces
Procedimiento paso a paso
Para configurar interfaces orientadas al B4 (iniciador de softwire) y orientadas a Internet:
Vaya al
[edit interfaces]nivel de jerarquía de edición para ge-3/1/0, que mira hacia Internet.host# edit interfaces ge-3/1/0Defina la interfaz.
[edit interfaces ge-3/1/0]user@host# set description AFTR-Internet user@host# set unit 0 family inet address 128.0.0.2/24Vaya al nivel de jerarquía para ge-3/1/5, que está frente al
[edit interfaces]B4.user@host# up 1
[edit]user@host# edit interfaces ge-3/1/5Defina la interfaz.
[edit interfaces ge-3/1/5]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6[edit unit 0 family inet6]user@host# set service input service-set sset user@host# set service output service-set sset user@host# set address 2001:0:0:2::1/48Vaya al nivel de
[edit interfaces]jerarquía para sp-0/0/0, que se utiliza para alojar el AFTR de DS-Lite.[edit]user@host# edit interfaces sp-0/0/0Defina la interfaz.
[edit interfaces sp-0/0/0]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6
Resultados
user@host# show interfaces ge-3/1/0
description AFTR-Internet;
unit 0 {
family inet {
address 128.0.0.2/24;
}
}
user@host# show interfaces ge-3/1/5
description AFTR-B4;
unit 0 {
family inet;
family inet6 {
service {
input {
service-set sset;
}
output {
service-set sset;
}
}
address 2001:0:0:2::1/48;
}
}
user@host# show interfaces sp-o/o/o
unit 0 {
family inet;
family inet6;
}
Configuración de traducción de puertos y direcciones de red
Procedimiento paso a paso
Para configurar NAPT:
Vaya al nivel de
[edit services nat]jerarquía.user@host# edit services nat
[edit services nat]Defina un grupo TDR p1.
user@host# set pool p1 address 129.0.0.1/32 port automaticDefina una regla TDR comenzando con la dirección de coincidencia.
[edit services nat]user@host# set rule r1 match-direction inputDefina un término para la regla que comience con una cláusula from.
[edit services nat]user@host# set rule r1 term t1 from source-address 10.0.0.0/16Defina la traducción deseada en una cláusula then . En este caso, utilice la traducción dinámica de origen.
[edit services nat]user@host# set rule r1 term t1 then translated source-pool p1 translation-type napt-44(Opcional) Configure el registro de la información de traducción para la regla.
[edit services nat]user@host# set rule r1 term t1 then syslog
Resultados
user@host# show services nat
pool p1 {
address 129.0.0.1/32;
port {
automatic;
}
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.0.0.0/16;
}
}
then {
translated {
source-pool p1;
translation-type {
napt-44;
}
}
syslog;
}
}
Configuración de Softwire
Procedimiento paso a paso
Para configurar el concentrador de softwire DS-Lite y las reglas asociadas:
Vaya al nivel de
[edit services softwire]jerarquía.user@host# edit services softwireDefina el concentrador de softwire DS-Lite.
[edit services softwire]user@host# set softwire-concentrator ds-lite ds-1 softwire-address 1001::1 mtu-v6 1460Defina la regla de softwire.
[edit services softwire]user@host# set rule r1 match-direction input term t1 then ds-lite ds1.
Resultados
user@host# show services softwire
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 1460;
}
}
rule r1 {
match-direction input;
term t1 {
then {
ds-lite ds1;
}
}
}
Configuración del conjunto de servicios
Procedimiento paso a paso
Configure un conjunto de servicios que incluya reglas de softwire y TDR y que especifique el servicio de interfaz o el servicio de salto siguiente. En este ejemplo, se utiliza un servicio de salto siguiente.
Vaya al nivel de
[edit services service-set]jerarquía y asigne un nombre al conjunto de servicios.user@host# edit services service-set ssetDefina la regla TDR que se utilizará para la traducción de IPv4 a IPv4.
[edit services service-set sset]user@host# set nat-rules r1Defina la regla de softwire para definir el túnel de softwire.
[edit services service-set sset]user@host# set softwire-rules r1Defina el servicio de interfaz,
[edit services service-set sset]user@host# set interface-service service-interface sp-0/0/0.0Propina:A fin de evitar o minimizar la fragmentación de IPv6, puede configurar un tamaño máximo de segmento (MSS) TCP para su conjunto de servicios.
(Opcional) Defina un MSS TCP.
[edit services service-set sset]user@host# set tcp-mss 1024
Resultados
user@host# show services service-set
syslog {
host local {
services any;
}
}
softwire-rules r1;
nat-rules r1;
interface-service {
service-interface sp-0/0/0;
}
}
Ejemplo: configuración de DS-Lite y 6rd en el mismo conjunto de servicios
Requisitos
Los siguientes componentes de hardware pueden realizar DS-Lite:
serie M Enrutadores de borde multiservicio con PIC multiservicios.
Enrutadores de núcleo serie T con PIC multiservicios.
Plataformas de enrutamiento universal 5G de la serie MX con CPC de multiservicios. A partir de la versión 17.4R1 de Junos OS, DS-Lite es compatible con enrutadores de la serie MX con MS-MPC y MS-MIC. A partir de la versión 19.2R1 de Junos OS, DS-Lite es compatible con el chasis virtual MX y los enrutadores de puerta de enlace de red de banda ancha (BNG) MX. A partir de la versión 20.2R1 de Junos OS, DS-Lite es compatible con los servicios de próxima generación de CGNAT en enrutadores MX240, MX480 y MX960.
Descripción general
En este ejemplo, se describe una solución de softwire que incluye DS-Lite y 6rd en el mismo conjunto de servicios.
Configuración
- Configuración del chasis
- Concentrador de softwire, regla de softwire, configuración de regla de firewall de estado
- Configuración TDR para DS-Lite
- Configuración del conjunto de servicios
Configuración del chasis
Procedimiento paso a paso
Para configurar el chasis:
Configure la interfaz de entrada.
user@host# edit interfaces ge-1/2/0 [edit interfaces ge-1/2/0] user@host# set unit 0 family inet service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet address address 10.10.10.1/24 user@host# set unit 0 family inet6 service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 address address address 2001::1/16
En este caso, el conjunto de servicios se aplica a las familias inet (IPv4) e inet6 (IPv6) de la subunidad 0. Tanto el tráfico IPv6 como el 6rd IPv4 del tráfico de DS-Lite llegan al filtro de servicio y se envían a la PIC de servicios.
Configure la interfaz de salida (IPv6, Internet). El servidor IPv4 al que los clientes DS-Lite intentan acceder está en 200.200.200.2/24, y el servidor IPv6 está en 3ABC::2/16.
user@host# edit interfaces ge-1/2/2 [edit interfaces ge-1/2/2] user@host# set unit 0 family inet address 200.200.200.1/24 user@host# set unit 0 family inet6 address 3ABC::1/16
Configure la PIC de servicios.
user@host# edit interfaces sp-3/0/0 [edit interfaces sp-3/0/0] user@host# set unit 0 family inet user@host# set unit 0 family inet6
Resultados
[edit interfaces]
user@host# show
ge-1/2/0 {
unit 0 {
family inet {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 10.10.10.1/24;
}
family inet6 {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 2001::1/16;
}
}
}
ge-1/2/2 {
unit 0 {
family inet {
address 200.200.200.1/24;
}
family inet6 {
address 3ABC::1/16;
}
}
}
sp-3/0/0 {
unit 0 {
family inet;
family inet6;
}
}
Concentrador de softwire, regla de softwire, configuración de regla de firewall de estado
Procedimiento paso a paso
Para configurar el concentrador de softwire, la regla de softwire y la regla de firewall con estado:
Configure los concentradores DS-Lite y 6rd softwire.
user@host# edit services softwire softwire-concentrator ds-lite ds1 [edit services softwire softwire-concentrator ds-lite ds1] user@host# set softwire-address 1001::1 user@host# mtu-v6 9192 usert@host# up 1 usert@host# edit v6rd v6rd-dom1 [edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.10.0/24 user@host# set v6rd-prefix 3040::0/16 user@host# set mtu-v4 9192
Configure las reglas de softwire.
user@host# edit services softwire rule v6rd-r1] [edit services softwire rule v6rd-r1] user@host# set match-direction input user@host# set term t1 then v6rd v6rd-dom1 user@host# up 1 user@host# edit services softwire] [edit services softwire] user@host# edit rule dslite-r1 [edit services softwire rule dslite-r1] user@host# set term dslite-t1 then ds-lite ds1
El demonio de PIC de servicios agrega las siguientes rutas en el motor de enrutamiento:
user@host# run show route 30.30.30.1 inet.0: 43 destinations, 46 routes (42 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 30.30.30.1/32 *[Static/786432] 00:24:11 Service to v6rd-dslite-service-set [edit] user@host# run show route 3040::0/16 inet6.0: 23 destinations, 33 routes (23 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 3040::/16 *[Static/786432] 00:24:39 Service to v6rd-dslite-service-setuser@host# run show route 1001::1 inet6.0: 33 destinations, 43 routes (33 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1001::1/128 *[Static/1] 1w2d 22:05:41 Service to v6rd-dslite-service-setConfigure una regla de firewall con estado.
user@host# edit services stateful-firewall rule r1 [edit services stateful-firewall rule r1] user@host# set match-direction input-output user@host# set term t1 then accept
[edit services stateful-firewall] rule r1 { match-direction input-output; term t1 { then { accept; } } }
Resultados
[edit services softwire]
user@host# show
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 9192;
}
v6rd v6rd-dom1 {
softwire-address 30.30.30.1;
ipv4-prefix 10.10.10.0/24;
v6rd-prefix 3040::0/16;
mtu-v4 9192;
}
}
rule v6rd-r1 {
match-direction input;
term t1 {
then {
v6rd v6rd-dom1;
}
}
}
rule dslite-r1 {
match-direction input;
term dslite-t1 {
then {
ds-lite ds1;
}
}
}
[edit services stateful-firewall]
user@host# show
rule r1 {
match-direction input-output;
term t1 {
then {
accept;
}
}
}
Configuración TDR para DS-Lite
Procedimiento paso a paso
Para configurar TDR para DS-Lite:
Configure un grupo de TDR para DS-Lite.
user@host# edit services nat pool dslite-pool [edit services nat pool dslite-pool] user@host# set address-range low 33.33.33.1 high 33.33.33.32 user@host# set port automatic
Configure una regla TDR.
user@host# up 1 [edit services nat rule dslite-nat-r1] user@host# set match-direction input user@host# set term dslite-nat-t1 from source-address 20.20.0.0/16 then translated translation-type napt-44
Resultados
[edit services nat]
user@host# show
pool dslite-pool {
address-range low 33.33.33.1 high 33.33.33.32;
port {
automatic;
}
}
rule dslite-nat-r1 {
match-direction input;
term dslite-nat-t1 {
from {
source-address {
20.20.0.0/16;
}
}
then {
translated {
source-pool dslite-pool;
translation-type {
source dynamic;
}
}
}
}
}
Debido a esta regla TDR, se instalan las siguientes rutas TDR para el tráfico inverso de DS-Lite:
user@host# run show route 33.33.33.0/24
inet.0: 48 destinations, 52 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
33.33.33.1/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.2/31 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.4/30 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.8/29 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.16/28 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.32/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
La regla TDR activa la traducción de direcciones para el tráfico procedente de 20.20.0.0/16 al rango de direcciones públicas 33.33.33.1 a 33.33.33.32.
Configuración del conjunto de servicios
Procedimiento paso a paso
Este conjunto de servicios tiene una regla de firewall con estado y una 6ª regla para el 6º servicio. El conjunto de servicios también incluye una regla de softwire para DS-Lite y una regla TDR para llevar a cabo la traducción de direcciones para todo el tráfico de DS-Lite. La regla TDR realiza la traducción de NAPT en la dirección de avance en la dirección de origen y el puerto del tráfico de DS-Lite.
Para configurar el conjunto de servicios:
Defina el conjunto de servicios.
user@host# edit services service-set v6rd-dslite-service-set
Configure las reglas del conjunto de servicios.
[edit services service-set v6rd-dslite-service-set] user@host# set softwire-rules dslite-r1 user@host# set stateful-firewall-rules r1 user@host# set nat-rules dslite-nat-r1
Configure el conjunto de servicios interface-service.
[edit services service-set v6rd-dslite-service-set] user@host# set interface-service service-interface sp-3/0/0
Resultados
[edit services service-set]
user@host# show
v6rd-dslite-service-set {
softwire-rules v6rd-r1;
softwire-rules dslite-r1;
stateful-firewall-rules r1;
nat-rules dslite-nat-r1;
interface-service {
service-interface sp-3/0/0;
}
Limitación de subred de DS-Lite
- Descripción general de la limitación por subred de DS-Lite
- Configurar la limitación de sesiones por subred de DS-Lite para evitar ataques de denegación de servicio
Descripción general de la limitación por subred de DS-Lite
Junos OS permite limitar el número de flujos de softwire desde el dispositivo de banda ancha de puente básico (B4) de un suscriptor en un momento dado, evitando que los suscriptores usen direcciones dentro de la subred en exceso. Esta limitación reduce el riesgo de ataques de denegación de servicio (DS). Esta limitación se admite en enrutadores de la serie MX equipados con MS-DPC. A partir de la versión 18.2R1 de Junos OS, las MS-MPC y MS-MIC también admiten la función de limitación de subred. A partir de la versión 19.2R1 de Junos OS, los enrutadores de puerta de enlace de red de banda ancha (BNG) y chasis virtual MX también admiten la función de limitación de subred. A partir de la versión 20.2R1 de Junos OS, DS-Lite es compatible con los servicios de próxima generación de CGNAT en enrutadores MX240, MX480 y MX960.
Un hogar que usa IPv6 con DS-Lite es una subred, no solo una dirección IP individual. La función de limitación de subred asocia un suscriptor y una asignación con un prefijo IPv6 en lugar de una dirección IPv6. Un suscriptor puede usar cualquier dirección IPv6 en ese prefijo como una dirección DS-Lite B4 y potencialmente agotar recursos TDR de grado carrier. La función de limitación de subred permite un mayor control de la utilización de recursos al identificar a un suscriptor con un prefijo en lugar de una dirección específica.
El límite de subred proporciona las siguientes funciones:
Los flujos utilizan la dirección B4 completa.
La longitud del prefijo se puede configurar por conjunto de servicios en opciones de cable de software para el conjunto de servicios individual.
Los bloques de puerto se asignan por prefijo del dispositivo B4 del suscriptor y no en cada dirección B4 (si la longitud del prefijo es inferior a 128). Si la longitud del prefijo es 128, cada dirección IPv6 se trata como B4. Los bloques de puerto se asignan por dirección IPv6 de 128 bits.
El límite de sesiones, definido en la configuración del concentrador de softwire DS-Lite, limita el número de sesiones IPv4 para el prefijo.
Las asignaciones de EIM, EIF y PCP se crean por túnel de softwire (dirección IPv6 completa de 128 bits). Las asignaciones obsoletas agotan el tiempo de espera en función de los valores de tiempo de espera.
Si se configura la longitud del prefijo, el PCP
max-mappings-per-subscriber(configurable enpcp-server) se basa únicamente en el prefijo y no en la dirección B4 completa.Los SYSLOGS para la asignación y liberación de PBA contienen la parte del prefijo de la dirección completada con ceros. Los SYSLOGS para la asignación y liberación de PCP, la creación y eliminación de flujos seguirán conteniendo la dirección IPv6 completa.
El show services nat mappings address-pooling-paired resultado del comando operativo ahora muestra la asignación del prefijo. La asignación muestra la dirección del B4 activo.
El show services softwire statistics ds-lite resultado incluye un nuevo campo que muestra el número de veces que se ha superado el límite de sesiones para la MPC.
Para los servicios de próxima generación en enrutadores MX240, MX480 y MX960, la estadística de límite de subred se muestra en el Softwire session limit exceeded campo.
mostrar estadísticas de softwire de servicios (MX-SPC3)
user@host> show services softwire statistics
vms-2/0/0
Total Session Interest events :3
Total Session Destroy events :2
Total Session Public Request events :0
Total Session Accepts :1
Total Session Discards :0
Total Session Ignores :0
Total Session extension alloc failures :0
Total Session extension set failures :0
Softwire statistics
Total Softwire sessions created :1
Total Softwire sessions deleted :2
Total Softwire sessions created for reverse packets :1
Total Softwire session create failed for reverse pkts :0
Total Softwire rule match success :1
Total Softwire rule match failed :0
Softwire session limit exceeded :0
Softwire packet statistics
Total Packets processed :1
Total packets encapsulated :1
Total packets decapsulated :1
Encapsulation errors :0
Decapsulation errors :0
Encapsulated pkts re-inject failures :0
Decapsulated pkts re-inject failures :0
DS-Lite ICMPv4 Echo replies sent :0
DS-Lite ICMPv4 TTL exceeded messages sent :0
ICMPv6 ECHO request messages received destined to AFTR :0
ICMPv6 ECHO reply messages sent from AFTR :0
ICMPv6 ECHO requests to AFTR process failures :0
V6 untunnelled packets destined to AFTR dropped :1
Softwire policy add errors :0
Softwire policy delete errors :0
Softwire policy memory alloc failures :0
Softwire Untunnelled packets ignored :0
Softwire Misc errors
DS-Lite ICMPv4 TTL exceed message process errors :0
Ver también
Configurar la limitación de sesiones por subred de DS-Lite para evitar ataques de denegación de servicio
Puede configurar DS-Lite por limitación de subred en enrutadores de la serie MX equipados con MS-DPC. A partir de la versión 18.2R1 de Junos OS, las MS-MPC y MS-MIC también admiten la función de limitación de subred. A partir de la versión 20.2R1 de Junos OS, la tarjeta de servicios de seguridad MX-SPC3 de servicios de última generación admite la función de limitación de subred.
A partir de la versión 19.2R1 de Junos OS, los enrutadores de puerta de enlace de red de banda ancha (BNG) y chasis virtual MX también admiten la función de limitación de subred.
Para configurar la limitación de sesión de DS-Lite por subred:
Ver también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
mtu-v6 opción se admite en enrutadores de la serie MX con MS-MPC o MS-MIC.