- play_arrow Überblick
- play_arrow Arten von NAT
- play_arrow Konfigurationsanweisungen und Betriebsbefehle
IPv6 Dual-Stack Lite
IPv6 Dual-Stack Lite (DS-Lite) ist eine Technologie, die Internet-Service-Providern bei der Migration zu einem IPv6-Zugangsnetzwerk hilft, ohne die Endbenutzer-Software ändern zu müssen. IPv4-Benutzer können weiterhin auf IPv4-Internetinhalte mit minimaler Unterbrechung ihres Heimnetzwerks zugreifen, während IPv6-Benutzern der Zugriff auf IPv6-Inhalte ermöglicht wird.
Informationen zu IPv6 Dual-Stack Lite
IPv6 Dual-Stack Lite (DS-Lite) ist eine Technologie, die es Internet-Service-Providern ermöglicht, auf ein IPv6-Netzwerk umzusteigen und gleichzeitig die Erschöpfung von IPv4-Adressen zu bewältigen.
IPv4-Adressen werden knapp; Daher benötigen Breitband-Service-Provider (DSL, Kabel und Mobilfunk) neue Adressen, um neue Benutzer zu unterstützen. Die alleinige Bereitstellung von IPv6-Adressen ist oft nicht praktikabel, da die meisten Systeme, aus denen das öffentliche Internet besteht, noch aktiviert sind und nur IPv4 unterstützen, und die Systeme vieler Benutzer IPv6 noch nicht vollständig unterstützen.
DS-Lite ermöglicht es Service Providern, auf ein IPv6-Zugangsnetzwerk zu migrieren, ohne die Endbenutzersoftware ändern zu müssen. Das Gerät, das auf das Internet zugreift, bleibt dasselbe, sodass IPv4-Benutzer weiterhin mit minimaler Unterbrechung ihres Heimnetzwerks auf IPv4-Internetinhalte zugreifen können, während IPv6-Benutzer auf IPv6-Inhalte zugreifen können.
Abbildung 1 zeigt die DS-Lite-Architektur, die reine IPv6-Verbindungen zwischen dem Anbieter und dem Benutzer verwendet, während die IPv4- (oder Dual-Stack-) Hosts im Benutzernetzwerk beibehalten werden.
Das DS-Lite-Bereitstellungsmodell besteht aus den folgenden Komponenten:
Softwire-Initiator für den DS-Lite Home-Router: Kapselt das IPv4-Paket und überträgt es über einen IPv6-Tunnel.
Softwire-Konzentrator für DS-Lite Network Address Translation (NAT) auf Betreiberniveau – Entkapselt das IPv4-in-IPv6-Paket und führt auch IPv4-IPv4-NAT-Übersetzungen durch.
Wenn das Gerät eines Benutzers ein IPv4-Paket an ein externes Ziel sendet, kapselt DS-Lite das IPv4-Paket in ein IPv6-Paket für den Transport in das Provider-Netzwerk ein. Diese IPv4-in-IPv6-Tunnel werden als softwires. Das Tunneling von IPv4 über IPv6 ist einfacher als die Übersetzung und beseitigt Probleme mit Leistung und Redundanz.
Die Softwires enden in einem Softwire-Konzentrator an einem Punkt im Netzwerk des Service Providers, der die IPv4-Pakete entkapselt und durch ein Network Address Translation (NAT)-Gerät der Carrier-Klasse sendet. Dort werden die Pakete einer Quell-NAT-Verarbeitung unterzogen, um die ursprüngliche Quelladresse zu verbergen.
IPv6-Pakete, die von Hosts im Heimnetzwerk des Teilnehmers stammen, werden nativ über das Zugriffsnetzwerk transportiert.
Die DS-Lite NAT der Carrier-Klasse übersetzt IPv4-zu-IPv4-Adressen über eine einzige globale IPv4-Adresse an mehrere Teilnehmer. Überlappende Adressräume, die von Abonnenten verwendet werden, werden durch die Identifizierung von Tunnelendpunkten eindeutig. Ein Konzentrator kann der Endpunkt mehrerer Softdrähte sein.
Die IPv4-Pakete, die von den Endhosts stammen, haben private (und möglicherweise sich überschneidende) IP-Adressen. Daher muss NAT auf diese Pakete angewendet werden. Wenn Endhosts überlappende Adressen haben, ist Network Address Port Translation (NAPT) erforderlich.
Mithilfe von NAPT fügt das System die Quelladresse des einkapselnden IPv6-Pakets im Teilnehmernetzwerk zur internen IPv4-Quelladresse und zum Port hinzu. Da die IPv6-Adresse jedes Benutzers eindeutig ist, wird durch die Kombination der IPv6-Quelladresse mit der IPv4-Quelladresse und dem IPv4-Port eine eindeutige Zuordnung erstellt.
Das System führt die folgenden Aktionen aus, wenn es ein antwortendes IPv4-Paket von außerhalb des Teilnehmernetzwerks empfängt:
Verkapselt das IPv4-Paket in einem IPv6-Paket, wobei die zugeordnete IPv6-Adresse als IPv6-Zieladresse verwendet wird.
Leitet das Paket an den Benutzer weiter.
Die maximale Anzahl von Softwire-Initiatoren und Softwire-Konzentratoren pro Gerät hängt von der Plattform und der Version des Junos OS in Ihrer Installation ab.
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Lesen Sie den Abschnitt Plattformspezifisches NAT-Softwire-Initiator-Kapazitätsverhalten auf Hinweise zu Ihrer Plattform.
Firewalls der SRX-Serie unterstützen 32 Softwire-Konzentratoren.
Der neueste IETF-Dokumentationsentwurf für DS-Lite verwendet eine neue Terminologie:
Der Begriff Softwire-Initiator wurde durch B4 ersetzt.
Der Begriff Softwire-Konzentrator wurde durch AFTR ersetzt.
In der Junos OS-Dokumentation werden bei der Besprechung der Konfiguration im Allgemeinen die Originalbegriffe verwendet, um mit den CLI-Anweisungen konsistent zu sein, die zur Konfiguration von DS-Lite verwendet werden.
Weitere Informationen finden Sie in den folgenden Dokumenten:
draft-ietf-softwire-dual-stack-lite-06, Dual-Stack Lite Breitbandbereitstellungen nach IPv4-Erschöpfung, August 2010.
RFC 2473, Generic Packet Tunneling in IPv6 Specification, Dezember 1998.
RFC 2663, IP Network Address Translator (NAT) Terminology and Considerations, August 1999.
RFC 4787, Network Address Translation (NAT) Behavioral Requirements for Unicast UDP, BCP 127, Januar 2007.
RFC 4925, Softwire Problem Statement, Juli 2007.
RFC 5382, NAT Behavioral Requirements for TCP, BCP 142, Oktober 2008.
RFC 5508, NAT Behavioral Requirements for ICMP, BCP 148, April 2009.
http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xhtml
Beispiel: Konfigurieren von IPv6 Dual-Stack Lite
Wenn ein ISP damit beginnt, neuen Abonnentenhaushalten IPv6-Adressen und IPv6-fähige Geräte zuzuweisen, bietet Dual-Stack Lite (DS-Lite) eine Methode für die privaten IPv4-Adressen hinter den IPv6-CE-WAN-Geräten, um das IPv4-Netzwerk zu erreichen. DS-Lite ermöglicht IPv4-Kunden den weiteren Zugriff auf das Internet mit ihrer aktuellen Hardware, indem ein Softwire-Initiator am Kunden-Edge verwendet wird, um IPv4-Pakete mit minimaler Unterbrechung ihres Heimnetzwerks in IPv6-Pakete einzukapseln, während IPv6-Kunden gleichzeitig auf IPv6-Inhalte zugreifen können. Der Softwire-Konzentrator entkapselt die IPv4-in-IPv6-Pakete und führt auch IPv4-IPv4-NAT-Übersetzungen durch.
In diesem Beispiel wird gezeigt, wie Sie einen Softwire-Konzentrator für IPv4-in-IPv6-Adressen konfigurieren.
Anforderungen
Bevor Sie beginnen:
Lesen Sie den Übersichtsabschnitt zu DS-Lite. Weitere Informationen finden Sie unterGrundlegendes zu IPv6 Dual-Stack Lite.
Erfahren Sie, wie die Firewalls der SRX-Serie ICMPv6-Pakete behandeln. Weitere Informationen finden Sie unter Verstehen der Handhabung von ICMPv6-Paketen durch Geräte der SRX-Serie.
Überblick
Dieses Konfigurationsbeispiel zeigt, wie ein Softwire-Konzentrator, der Softwire-Name, die Konzentratoradresse und der Softwire-Typ konfiguriert werden.
Die IPv6-Adresse des Softwire-Konzentrators kann mit einer IPv6-Adresse übereinstimmen, die auf einer physischen Schnittstelle konfiguriert ist, oder mit einer IPv6-Adresse, die auf einer Loopback-Schnittstelle konfiguriert ist.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie dann die Befehle, fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security softwires softwire-name my_sc1 softwire-concentrator 2001:db8::1 softwire-type IPv4-in-IPv6
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.
So konfigurieren Sie einen DS-Lite Softwire-Konzentrator für die Konvertierung von IPv4-Paketen in IPv6-Pakete:
Vergeben Sie einen Namen für den Softwire-Konzentrator.
content_copy zoom_out_map[edit security] user@host# edit softwires softwire-name my_sc1
Geben Sie die Adresse des Softwire-Konzentrators an.
content_copy zoom_out_map[edit security softwires softwire-name my_sc1] user@host# set softwire-concentrator 2001:db8::1
Geben Sie den Softwire-Typ für IPv4 zu IPv6 an.
content_copy zoom_out_map[edit security softwires softwire-name my_sc1 softwire-concentrator 2001:db8::1 user@host# set softwire-type IPv4-in-IPv6
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit security softwires softwire-name my_sc1] user@host# show softwire-concentrator 2001:db8::1; softwire-type ipv4-in-ipv6;
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Geben Sie im Betriebsmodus den show security softwires Befehl ein. Wenn kein Softwire verbunden ist, sieht die Betriebsausgabe wie im folgenden Beispiel aus:
user@host# show security softwires
Softwire Name SC Address Status Number of SI connected
my-sc1 2001:db8::1 Active 0
Wenn ein Softwire angeschlossen ist, sieht die Betriebsausgabe wie im folgenden Beispiel aus:
user@host# show security softwires
Softwire Name SC Address Status Number of SI connected
my-sc1 2001:db8::1 Connected 1
Plattformspezifisches NAT-Softwire-Initiator-Kapazitätsverhalten
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen:
| Plattformunterschied | |
|---|---|
| SRX-Serie |
|
