Cables blandos DS-Lite
Configuración de un concentrador DS-Lite Softwire
DS-Lite es compatible con las PIC multiservicios 100, 400 y 500 en enrutadores serie M y en enrutadores serie MX equipados con DPC multiservicios. A partir de Junos OS versión 17.4R1, DS-Lite es compatible con enrutadores serie MX con MS-MPC y MS-MIC.A partir de Junos OS versión 19.2R1, DS-Lite es compatible con enrutadores MX Virtual Chassis y MX Broadband Network Gateway (BNG).
Para configurar un concentrador softwire DS-Lite:
Ver también
Configuración de interfaces de multidifusión IPv6
Configure filtros de multidifusión en interfaces Ethernet cuando se utilice NAT IPv6 para la detección de vecinos. Esto permite que el enrutador procese flujos iniciados por softwire en ambas direcciones.
Para configurar interfaces de multidifusión IPv6:
Ver también
Ejemplo: configuración básica de DS-Lite
DS-Lite emplea túneles IPv4 sobre IPv6 para cruzar una red de acceso IPv6 y alcanzar una NAT IPv4-IPv4 de grado carrier. Esto facilita la introducción gradual de IPv6 en Internet al proporcionar compatibilidad con versiones anteriores de IPv4. Consulte Descripción de IPv6 Dual-Stack Lite.
Requisitos
Los siguientes componentes de hardware pueden realizar DS-Lite:
Enrutadores perimetrales multiservicio serie M con PIC multiservicios.
Enrutadores Core de la serie T con PIC multiservicios.
Plataformas de enrutamiento universal 5G serie MX con DPC multiservicio. A partir de Junos OS versión 17.4R1, DS-Lite es compatible con enrutadores serie MX con MS-MPC y MS-MIC.A partir de Junos OS versión 19.2R1, DS-Lite es compatible con MX Virtual Chassis y enrutadores MX Broadband Network Gateway (BNG).
Descripción general de la configuración y topología
En este ejemplo se describe cómo configurar un enrutador de la serie MX con un MS-DPC como AFTR para facilitar el flujo que se muestra en la figura 1.
DS-Lite
En este ejemplo, el concentrador softwire DS-Lite, o AFTR, es un enrutador de la serie MX con dos interfaces Gigabit y un DPC de servicios. La interfaz frente al elemento B4 es ge-3/1/5 y la interfaz frente a Internet es ge-3/1/0.
Configuración
- Configuración del chasis
- Configuración de interfaces
- Configuración de traducción de puertos y direcciones de red
- Configuración de Softwire
- Configuración del conjunto de servicios
Configuración del chasis
Procedimiento paso a paso
Para configurar la PIC de servicio (FPC 0, ranura 0) con el paquete de servicios de capa 3:
Introduzca el nivel de jerarquía de chasis de edición .
user@host# edit chassisConfigure el paquete de servicios de capa 3.
[edit chassis]user@host# set fpc 0 pic 0 adaptive-services service-package layer-3
Configuración de interfaces
Procedimiento paso a paso
Para configurar interfaces orientadas al B4 (iniciador de cableado en software) y frente a Internet:
Vaya al
[edit interfaces]nivel de jerarquía de edición para ge-3/1/0, que se enfrenta a Internet.host# edit interfaces ge-3/1/0Defina la interfaz.
[edit interfaces ge-3/1/0]user@host# set description AFTR-Internet user@host# set unit 0 family inet address 128.0.0.2/24Vaya al nivel de
[edit interfaces]jerarquía para ge-3/1/5, que se enfrenta al B4.user@host# up 1
[edit]user@host# edit interfaces ge-3/1/5Defina la interfaz.
[edit interfaces ge-3/1/5]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6[edit unit 0 family inet6]user@host# set service input service-set sset user@host# set service output service-set sset user@host# set address 2001:0:0:2::1/48Vaya al nivel de
[edit interfaces]jerarquía para sp-0/0/0, utilizado para alojar el AFTR de DS-Lite.[edit]user@host# edit interfaces sp-0/0/0Defina la interfaz.
[edit interfaces sp-0/0/0]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6
Resultados
user@host# show interfaces ge-3/1/0
description AFTR-Internet;
unit 0 {
family inet {
address 128.0.0.2/24;
}
}
user@host# show interfaces ge-3/1/5
description AFTR-B4;
unit 0 {
family inet;
family inet6 {
service {
input {
service-set sset;
}
output {
service-set sset;
}
}
address 2001:0:0:2::1/48;
}
}
user@host# show interfaces sp-o/o/o
unit 0 {
family inet;
family inet6;
}
Configuración de traducción de puertos y direcciones de red
Procedimiento paso a paso
Para configurar NAPT:
Vaya al nivel jerárquico
[edit services nat].user@host# edit services nat
[edit services nat]Defina un grupo NAT p1.
user@host# set pool p1 address 129.0.0.1/32 port automaticDefina una regla NAT, comenzando con la dirección de coincidencia.
[edit services nat]user@host# set rule r1 match-direction inputDefina un término para la regla, comenzando con una cláusula de.
[edit services nat]user@host# set rule r1 term t1 from source-address 10.0.0.0/16Defina la traducción deseada en una cláusula then . En este caso, utilice la traducción de código fuente dinámico.
[edit services nat]user@host# set rule r1 term t1 then translated source-pool p1 translation-type napt-44(Opcional) Configure el registro de información de traducción para la regla.
[edit services nat]user@host# set rule r1 term t1 then syslog
Resultados
user@host# show services nat
pool p1 {
address 129.0.0.1/32;
port {
automatic;
}
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.0.0.0/16;
}
}
then {
translated {
source-pool p1;
translation-type {
napt-44;
}
}
syslog;
}
}
Configuración de Softwire
Procedimiento paso a paso
Para configurar el concentrador softwire DS-Lite y las reglas asociadas:
Vaya al nivel jerárquico
[edit services softwire].user@host# edit services softwireDefina el concentrador softwire DS-Lite.
[edit services softwire]user@host# set softwire-concentrator ds-lite ds-1 softwire-address 1001::1 mtu-v6 1460Defina la regla de softwire.
[edit services softwire]user@host# set rule r1 match-direction input term t1 then ds-lite ds1.
Resultados
user@host# show services softwire
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 1460;
}
}
rule r1 {
match-direction input;
term t1 {
then {
ds-lite ds1;
}
}
}
Configuración del conjunto de servicios
Procedimiento paso a paso
Configure un conjunto de servicios que incluya reglas de softwire y NAT y que especifique el servicio de interfaz o el servicio del próximo salto. En este ejemplo se usa un servicio de salto siguiente.
Vaya al nivel de
[edit services service-set]jerarquía y asigne un nombre al conjunto de servicios.user@host# edit services service-set ssetDefina la regla NAT que se utilizará para la traducción de IPv4 a IPv4.
[edit services service-set sset]user@host# set nat-rules r1Defina la regla de cableado para definir el túnel de cable programado.
[edit services service-set sset]user@host# set softwire-rules r1Defina el servicio de interfaz,
[edit services service-set sset]user@host# set interface-service service-interface sp-0/0/0.0Propina:Para evitar o minimizar la fragmentación de IPv6, puede configurar un tamaño máximo de segmento (MSS) TCP para el conjunto de servicios.
(Opcional) Defina un MSS TCP.
[edit services service-set sset]user@host# set tcp-mss 1024
Resultados
user@host# show services service-set
syslog {
host local {
services any;
}
}
softwire-rules r1;
nat-rules r1;
interface-service {
service-interface sp-0/0/0;
}
}
Ejemplo: configuración de DS-Lite y 6rd en el mismo conjunto de servicios
Requisitos
Los siguientes componentes de hardware pueden realizar DS-Lite:
Enrutadores perimetrales multiservicio serie M con PIC multiservicios.
Enrutadores Core de la serie T con PIC multiservicios.
Plataformas de enrutamiento universal 5G serie MX con DPC multiservicio. A partir de Junos OS versión 17.4R1, DS-Lite es compatible con enrutadores serie MX con MS-MPC y MS-MIC.A partir de Junos OS versión 19.2R1, DS-Lite es compatible con MX Virtual Chassis y enrutadores MX Broadband Network Gateway (BNG). A partir de la versión 20.2R1 de Junos OS, DS-Lite es compatible con los servicios CGNAT de próxima generación en enrutadores MX240, MX480 y MX960.
Visión general
En este ejemplo se describe una solución softwire que incluye DS-Lite y 6rd en el mismo conjunto de servicios.
Configuración
- Configuración del chasis
- Concentrador de cable blando, regla de cable blando, configuración de regla de firewall de estado
- Configuración de NAT para DS-Lite
- Configuración del conjunto de servicios
Configuración del chasis
Procedimiento paso a paso
Para configurar el chasis:
Configure la interfaz de entrada.
user@host# edit interfaces ge-1/2/0 [edit interfaces ge-1/2/0] user@host# set unit 0 family inet service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet address address 10.10.10.1/24 user@host# set unit 0 family inet6 service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 address address address 2001::1/16
Aquí el conjunto de servicios se aplica a las familias inet (IPv4) e inet6 (IPv6) de la subunidad 0. Tanto el tráfico IPv6 de DS-Lite como el tráfico IPv4 de 6rd llegan al filtro de servicio y se envían a la PIC de servicios.
Configure la interfaz de salida (Internet IPv6). El servidor IPv4 al que intentan acceder los clientes DS-Lite está en 200.200.200.2/24, y el servidor IPv6 está en 3ABC::2/16.
user@host# edit interfaces ge-1/2/2 [edit interfaces ge-1/2/2] user@host# set unit 0 family inet address 200.200.200.1/24 user@host# set unit 0 family inet6 address 3ABC::1/16
Configure la PIC de servicios.
user@host# edit interfaces sp-3/0/0 [edit interfaces sp-3/0/0] user@host# set unit 0 family inet user@host# set unit 0 family inet6
Resultados
[edit interfaces]
user@host# show
ge-1/2/0 {
unit 0 {
family inet {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 10.10.10.1/24;
}
family inet6 {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 2001::1/16;
}
}
}
ge-1/2/2 {
unit 0 {
family inet {
address 200.200.200.1/24;
}
family inet6 {
address 3ABC::1/16;
}
}
}
sp-3/0/0 {
unit 0 {
family inet;
family inet6;
}
}
Concentrador de cable blando, regla de cable blando, configuración de regla de firewall de estado
Procedimiento paso a paso
Para configurar el concentrador softwire, la regla de softwire y la regla de firewall con estado:
Configure los concentradores DS-Lite y 6rd softwire.
user@host# edit services softwire softwire-concentrator ds-lite ds1 [edit services softwire softwire-concentrator ds-lite ds1] user@host# set softwire-address 1001::1 user@host# mtu-v6 9192 usert@host# up 1 usert@host# edit v6rd v6rd-dom1 [edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.10.0/24 user@host# set v6rd-prefix 3040::0/16 user@host# set mtu-v4 9192
Configure las reglas de softwire.
user@host# edit services softwire rule v6rd-r1] [edit services softwire rule v6rd-r1] user@host# set match-direction input user@host# set term t1 then v6rd v6rd-dom1 user@host# up 1 user@host# edit services softwire] [edit services softwire] user@host# edit rule dslite-r1 [edit services softwire rule dslite-r1] user@host# set term dslite-t1 then ds-lite ds1
El demonio PIC de servicios agrega las siguientes rutas en el motor de enrutamiento:
user@host# run show route 30.30.30.1 inet.0: 43 destinations, 46 routes (42 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 30.30.30.1/32 *[Static/786432] 00:24:11 Service to v6rd-dslite-service-set [edit] user@host# run show route 3040::0/16 inet6.0: 23 destinations, 33 routes (23 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 3040::/16 *[Static/786432] 00:24:39 Service to v6rd-dslite-service-setuser@host# run show route 1001::1 inet6.0: 33 destinations, 43 routes (33 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1001::1/128 *[Static/1] 1w2d 22:05:41 Service to v6rd-dslite-service-setConfigure una regla de firewall con estado.
user@host# edit services stateful-firewall rule r1 [edit services stateful-firewall rule r1] user@host# set match-direction input-output user@host# set term t1 then accept
[edit services stateful-firewall] rule r1 { match-direction input-output; term t1 { then { accept; } } }
Resultados
[edit services softwire]
user@host# show
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 9192;
}
v6rd v6rd-dom1 {
softwire-address 30.30.30.1;
ipv4-prefix 10.10.10.0/24;
v6rd-prefix 3040::0/16;
mtu-v4 9192;
}
}
rule v6rd-r1 {
match-direction input;
term t1 {
then {
v6rd v6rd-dom1;
}
}
}
rule dslite-r1 {
match-direction input;
term dslite-t1 {
then {
ds-lite ds1;
}
}
}
[edit services stateful-firewall]
user@host# show
rule r1 {
match-direction input-output;
term t1 {
then {
accept;
}
}
}
Configuración de NAT para DS-Lite
Procedimiento paso a paso
Para configurar NAT para DS-Lite:
Configure un grupo NAT para DS-Lite.
user@host# edit services nat pool dslite-pool [edit services nat pool dslite-pool] user@host# set address-range low 33.33.33.1 high 33.33.33.32 user@host# set port automatic
Configure una regla NAT.
user@host# up 1 [edit services nat rule dslite-nat-r1] user@host# set match-direction input user@host# set term dslite-nat-t1 from source-address 20.20.0.0/16 then translated translation-type napt-44
Resultados
[edit services nat]
user@host# show
pool dslite-pool {
address-range low 33.33.33.1 high 33.33.33.32;
port {
automatic;
}
}
rule dslite-nat-r1 {
match-direction input;
term dslite-nat-t1 {
from {
source-address {
20.20.0.0/16;
}
}
then {
translated {
source-pool dslite-pool;
translation-type {
source dynamic;
}
}
}
}
}
Debido a esta regla NAT, se instalan las siguientes rutas NAT para el tráfico DS-Lite inverso:
user@host# run show route 33.33.33.0/24
inet.0: 48 destinations, 52 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
33.33.33.1/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.2/31 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.4/30 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.8/29 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.16/28 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.32/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
La regla NAT activa la traducción de direcciones para el tráfico procedente de 20.20.0.0/16 al rango de megafonía 33.33.33.1 a 33.33.33.32.
Configuración del conjunto de servicios
Procedimiento paso a paso
Este conjunto de servicios tiene una regla de firewall con estado y una 6ª regla para el 6º servicio. El conjunto de servicios también incluye una regla de softwire para DS-Lite y una regla NAT para realizar la traducción de direcciones para todo el tráfico de DS-Lite. La regla NAT realiza la traducción NAPT en la dirección de avance en la dirección de origen y el puerto del tráfico DS-Lite.
Para configurar el conjunto de servicios:
Defina el conjunto de servicios.
user@host# edit services service-set v6rd-dslite-service-set
Configure las reglas del conjunto de servicios.
[edit services service-set v6rd-dslite-service-set] user@host# set softwire-rules dslite-r1 user@host# set stateful-firewall-rules r1 user@host# set nat-rules dslite-nat-r1
Configure el conjunto de servicios interface-service.
[edit services service-set v6rd-dslite-service-set] user@host# set interface-service service-interface sp-3/0/0
Resultados
[edit services service-set]
user@host# show
v6rd-dslite-service-set {
softwire-rules v6rd-r1;
softwire-rules dslite-r1;
stateful-firewall-rules r1;
nat-rules dslite-nat-r1;
interface-service {
service-interface sp-3/0/0;
}
Limitación de subred de DS-Lite
- Descripción general de la limitación por subred de DS-Lite
- Configuración de la limitación de sesión por subred de DS-Lite para evitar ataques de denegación de servicio
Descripción general de la limitación por subred de DS-Lite
Junos OS permite limitar el número de flujos de softwire desde el dispositivo básico de banda ancha puente (B4) de un suscriptor en un momento dado, evitando que los suscriptores usen direcciones dentro de la subred. Esta limitación reduce el riesgo de ataques de denegación de servicio (DoS). Esta limitación se admite en enrutadores de la serie MX equipados con MS-DPC. A partir de Junos OS versión 18.2R1, MS-MPC y MS-MIC también admiten la función de limitación de subred. A partir de Junos OS versión 19.2R1, los enrutadores MX Virtual Chassis y MX Broadband Network Gateway (BNG) también admiten la función de limitación de subred. A partir de la versión 20.2R1 de Junos OS, DS-Lite es compatible con los servicios CGNAT de próxima generación en enrutadores MX240, MX480 y MX960.
Un hogar que usa IPv6 con DS-Lite es una subred, no solo una dirección IP individual. La característica de limitación de subred asocia un suscriptor y una asignación con un prefijo IPv6 en lugar de una dirección IPv6. Un suscriptor puede usar cualquier dirección IPv6 en ese prefijo como una dirección DS-Lite B4 y potencialmente agotar los recursos NAT de grado carrier. La característica de limitación de subred permite un mayor control de la utilización de recursos al identificar a un suscriptor con un prefijo en lugar de una dirección específica.
El límite de subred proporciona las siguientes características:
Los flujos utilizan la dirección B4 completa.
La longitud del prefijo se puede configurar por conjunto de servicios en opciones de cable programable para el conjunto de servicios individual.
Los bloques de puerto se asignan por prefijo del dispositivo B4 del suscriptor y no en cada dirección B4 (si la longitud del prefijo es inferior a 128). Si la longitud del prefijo es 128, cada dirección IPv6 se trata como B4. Los bloques de puerto se asignan por dirección IPv6 de 128 bits.
El límite de sesión, definido bajo la configuración del concentrador softwire DS-Lite, limita el número de sesiones IPv4 para el prefijo.
Las asignaciones EIM, EIF y PCP se crean por túnel softwire (dirección IPv6 completa de 128 bits). Se agota el tiempo de espera de las asignaciones obsoletas en función de los valores del tiempo de espera.
Si se configura la longitud del prefijo , PCP
max-mappings-per-subscriber(configurable enpcp-server) se basa únicamente en el prefijo y no en la dirección B4 completa.Los SYSLOGS para la asignación y liberación de PBA contienen la parte del prefijo de la dirección completada con todos los ceros. SYSLOGS para la asignación y liberación de PCP, la creación y eliminación de flujos seguirá conteniendo la dirección IPv6 completa.
La show services nat mappings address-pooling-paired salida del comando operativo muestra ahora la asignación para el prefijo. La asignación muestra la dirección del B4 activo.
El show services softwire statistics ds-lite resultado incluye un nuevo campo que muestra el número de veces que se superó el límite de sesión para el MPC.
Para los servicios de próxima generación en enrutadores MX240, MX480 y MX960, la estadística de límite de subred se muestra en el Softwire session limit exceeded campo.
mostrar estadísticas de softwire de servicios (MX-SPC3)
user@host> show services softwire statistics
vms-2/0/0
Total Session Interest events :3
Total Session Destroy events :2
Total Session Public Request events :0
Total Session Accepts :1
Total Session Discards :0
Total Session Ignores :0
Total Session extension alloc failures :0
Total Session extension set failures :0
Softwire statistics
Total Softwire sessions created :1
Total Softwire sessions deleted :2
Total Softwire sessions created for reverse packets :1
Total Softwire session create failed for reverse pkts :0
Total Softwire rule match success :1
Total Softwire rule match failed :0
Softwire session limit exceeded :0
Softwire packet statistics
Total Packets processed :1
Total packets encapsulated :1
Total packets decapsulated :1
Encapsulation errors :0
Decapsulation errors :0
Encapsulated pkts re-inject failures :0
Decapsulated pkts re-inject failures :0
DS-Lite ICMPv4 Echo replies sent :0
DS-Lite ICMPv4 TTL exceeded messages sent :0
ICMPv6 ECHO request messages received destined to AFTR :0
ICMPv6 ECHO reply messages sent from AFTR :0
ICMPv6 ECHO requests to AFTR process failures :0
V6 untunnelled packets destined to AFTR dropped :1
Softwire policy add errors :0
Softwire policy delete errors :0
Softwire policy memory alloc failures :0
Softwire Untunnelled packets ignored :0
Softwire Misc errors
DS-Lite ICMPv4 TTL exceed message process errors :0
Ver también
Configuración de la limitación de sesión por subred de DS-Lite para evitar ataques de denegación de servicio
Puede configurar la limitación DS-Lite por subred en enrutadores de la serie MX equipados con MS-DPC. A partir de Junos OS versión 18.2R1, las MS-MPC y MS-MIC también admiten la función de limitación de subred. A partir de Junos OS versión 20.2R1, la tarjeta de servicios de seguridad MX-SPC3 de servicios de próxima generación admite la función de limitación de subred.
A partir de Junos OS versión 19.2R1, los enrutadores MX Virtual Chassis y MX Broadband Network Gateway (BNG) también admiten la función de limitación de subred.
Para configurar la limitación de DS-Lite por sesión de subred:
Ver también
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
mtu-v6 opción se admite en enrutadores serie MX con MS-MPC o MS-MIC.