DS-Lite 소프트와이어
DS-Lite Softwire Concentrator 구성
DS-Lite는 M Series 라우터의 멀티서비스 100, 400 및 500 PIC와 멀티서비스 DPC가 장착된 MX 시리즈 라우터에서 지원됩니다. Junos OS 릴리스 17.4R1부터 DS-Lite는 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다. Junos OS 릴리스 19.2R1부터 DS-Lite는 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터에서 지원됩니다.
DS-Lite softwire concentrator를 구성하려면:
또한보십시오
IPv6 멀티캐스트 인터페이스 구성
IPv6 NAT가 이웃 검색에 사용되는 경우 이더넷 인터페이스에 멀티캐스트 필터를 구성합니다. 이를 통해 라우터는 양방향으로 소프트와이어 시작 흐름을 처리할 수 있습니다.
IPv6 멀티캐스트 인터페이스를 구성하려면 다음을 수행합니다.
또한보십시오
예: 기본 DS-Lite 구성
DS-Lite는 IPv4-over-IPv6 터널을 사용하여 IPv6 액세스 네트워크를 통과하여 서비스 프로바이더급 IPv4-IPv4 NAT에 도달합니다. 이는 IPv4와의 하위 호환성을 제공하여 인터넷에 IPv6를 단계적으로 도입할 수 있도록 지원합니다. IPv6 Dual-Stack Lite 이해를 참조하십시오.
요구 사항
다음 하드웨어 구성 요소가 DS-Lite를 수행할 수 있습니다.
멀티서비스 PIC가 있는 M Series 멀티서비스 에지 라우터.
멀티서비스 PIC가 있는 T 시리즈 코어 라우터.
멀티서비스 DPC를 갖춘 MX 시리즈 5G 유니버설 라우팅 플랫폼. Junos OS 릴리스 17.4R1부터 DS-Lite는 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다. Junos OS 릴리스 19.2R1부터 DS-Lite는 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터에서 지원됩니다.
구성 개요 및 토폴로지
이 예에서는 그림 1에 표시된 흐름을 용이하게 하기 위해 MS-DPC를 AFTR로 사용하여 MX 시리즈 라우터를 구성하는 방법을 설명합니다.
이 예에서 DS-Lite 소프트와이어 컨센트레이터(AFTR)는 2개의 기가비트 인터페이스와 서비스 DPC를 갖춘 MX 시리즈 라우터입니다. B4 요소를 향하는 인터페이스는 ge-3/1/5이고, 인터넷을 향하는 인터페이스는 ge-3/1/0입니다.
구성
섀시 구성
단계별 절차
레이어 3 서비스 패키지로 서비스 PIC(FPC 0 슬롯 0)를 구성하려면 다음을 수행합니다.
edit chassis hierarchy 수준을 입력합니다.
user@host# edit chassis레이어 3 서비스 패키지를 구성합니다.
[edit chassis]user@host# set fpc 0 pic 0 adaptive-services service-package layer-3
인터페이스 구성
단계별 절차
B4(소프트와이어 개시자)를 향하고 인터넷을 향하는 인터페이스를 구성하려면 다음을 수행합니다.
인터넷을 향하는 ge-3/1/0에 대한 편집 계층 수준으로 이동합니다
[edit interfaces].host# edit interfaces ge-3/1/0인터페이스를 정의합니다.
[edit interfaces ge-3/1/0]user@host# set description AFTR-Internet user@host# set unit 0 family inet address 128.0.0.2/24B4를 향하는 ge-3/1/5의 계층 수준으로
[edit interfaces]이동합니다.user@host# up 1
[edit]user@host# edit interfaces ge-3/1/5인터페이스를 정의합니다.
[edit interfaces ge-3/1/5]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6[edit unit 0 family inet6]user@host# set service input service-set sset user@host# set service output service-set sset user@host# set address 2001:0:0:2::1/48DS-Lite AFTR을 호스팅하는 데 사용되는 sp-0/0/0의 계층 수준으로
[edit interfaces]이동합니다.[edit]user@host# edit interfaces sp-0/0/0인터페이스를 정의합니다.
[edit interfaces sp-0/0/0]user@host# set description AFTR-B4 user@host# set unit 0 family inet user@host# edit unit 0 family inet6
결과
user@host# show interfaces ge-3/1/0
description AFTR-Internet;
unit 0 {
family inet {
address 128.0.0.2/24;
}
}
user@host# show interfaces ge-3/1/5
description AFTR-B4;
unit 0 {
family inet;
family inet6 {
service {
input {
service-set sset;
}
output {
service-set sset;
}
}
address 2001:0:0:2::1/48;
}
}
user@host# show interfaces sp-o/o/o
unit 0 {
family inet;
family inet6;
}
네트워크 주소 및 포트 변환 구성
단계별 절차
NAPT를 구성하려면:
계층 수준으로
[edit services nat]이동합니다.user@host# edit services nat
[edit services nat]네트워크 주소 변환(NAT) 풀 p1을 정의합니다.
user@host# set pool p1 address 129.0.0.1/32 port automatic일치 방향으로 시작하는 NAT 규칙을 정의합니다.
[edit services nat]user@host# set rule r1 match-direction inputfrom 절로 시작하는 규칙의 용어 를 정의합니다.
[edit services nat]user@host# set rule r1 term t1 from source-address 10.0.0.0/16then 절에서 원하는 번역을 정의합니다. 이 경우에는 동적 소스 변환을 사용합니다.
[edit services nat]user@host# set rule r1 term t1 then translated source-pool p1 translation-type napt-44(선택 사항) 규칙에 대한 변환 정보의 로깅을 구성합니다.
[edit services nat]user@host# set rule r1 term t1 then syslog
결과
user@host# show services nat
pool p1 {
address 129.0.0.1/32;
port {
automatic;
}
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.0.0.0/16;
}
}
then {
translated {
source-pool p1;
translation-type {
napt-44;
}
}
syslog;
}
}
소프트와이어 구성
단계별 절차
DS-Lite softwire concentrator 및 관련 규칙을 구성하려면:
계층 수준으로
[edit services softwire]이동합니다.user@host# edit services softwireDS-Lite 소프트와이어 집선 장치를 정의합니다.
[edit services softwire]user@host# set softwire-concentrator ds-lite ds-1 softwire-address 1001::1 mtu-v6 1460소프트 와이어 규칙을 정의합니다.
[edit services softwire]user@host# set rule r1 match-direction input term t1 then ds-lite ds1.
결과
user@host# show services softwire
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 1460;
}
}
rule r1 {
match-direction input;
term t1 {
then {
ds-lite ds1;
}
}
}
서비스 집합 구성
단계별 절차
소프트와이어 및 NAT 규칙을 포함하고 인터페이스 서비스 또는 다음 홉 서비스를 지정하는 서비스 세트를 구성합니다. 이 예는 다음 홉 서비스를 사용합니다.
계층 수준으로
[edit services service-set]이동하여 서비스 세트의 이름을 지정합니다.user@host# edit services service-set ssetIPv4에서 IPv4로의 변환에 사용할 네트워크 주소 변환(NAT) 규칙을 정의합니다.
[edit services service-set sset]user@host# set nat-rules r1소프트 와이어 규칙을 정의하여 소프트 와이어 터널을 정의합니다.
[edit services service-set sset]user@host# set softwire-rules r1인터페이스 서비스를 정의합니다.
[edit services service-set sset]user@host# set interface-service service-interface sp-0/0/0.0팁:IPv6 단편화를 방지하거나 최소화하기 위해 서비스 세트에 대한 TCP 최대 세그먼트 크기(MSS)를 구성할 수 있습니다.
(선택 사항) TCP MSS를 정의합니다.
[edit services service-set sset]user@host# set tcp-mss 1024
결과
user@host# show services service-set
syslog {
host local {
services any;
}
}
softwire-rules r1;
nat-rules r1;
interface-service {
service-interface sp-0/0/0;
}
}
예: 동일한 서비스 집합에서 DS-Lite 및 6rd 구성
요구 사항
다음 하드웨어 구성 요소가 DS-Lite를 수행할 수 있습니다.
멀티서비스 PIC가 있는 M Series 멀티서비스 에지 라우터.
멀티서비스 PIC가 있는 T 시리즈 코어 라우터.
멀티서비스 DPC를 갖춘 MX 시리즈 5G 유니버설 라우팅 플랫폼. Junos OS 릴리스 17.4R1부터 DS-Lite는 MS-MPC 및 MS-MIC가 있는 MX 시리즈 라우터에서 지원됩니다. Junos OS 릴리스 19.2R1부터 DS-Lite는 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터에서 지원됩니다. Junos OS 릴리스 20.2R1부터 DS-Lite는 MX240, MX480 및 MX960 라우터의 CGNAT 차세대 서비스에 대해 지원됩니다.
개요
이 예에서는 동일한 서비스 집합에 DS-Lite와 6rd를 포함하는 소프트와이어 솔루션을 설명합니다.
구성
섀시 구성
단계별 절차
섀시 구성 방법:
수신 인터페이스를 구성합니다.
user@host# edit interfaces ge-1/2/0 [edit interfaces ge-1/2/0] user@host# set unit 0 family inet service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet address address 10.10.10.1/24 user@host# set unit 0 family inet6 service input service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 service output service-set v6rd-dslite-service-set user@host# set unit 0 family inet6 address address address 2001::1/16
여기서 서비스 세트는 서브유닛 0의 inet(IPv4) 및 inet6(IPv6) 제품군에 적용됩니다. DS-Lite IPv6 트래픽과 6rd IPv4 트래픽 모두 서비스 필터에 도달하고 서비스 PIC로 전송됩니다.
송신 인터페이스(IPv6 인터넷)를 구성합니다. DS-Lite 클라이언트가 도달하려는 IPv4 서버는 200.200.200.2/24에 있고 IPv6 서버는 3ABC::2/16에 있습니다.
user@host# edit interfaces ge-1/2/2 [edit interfaces ge-1/2/2] user@host# set unit 0 family inet address 200.200.200.1/24 user@host# set unit 0 family inet6 address 3ABC::1/16
서비스 PIC를 구성합니다.
user@host# edit interfaces sp-3/0/0 [edit interfaces sp-3/0/0] user@host# set unit 0 family inet user@host# set unit 0 family inet6
결과
[edit interfaces]
user@host# show
ge-1/2/0 {
unit 0 {
family inet {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 10.10.10.1/24;
}
family inet6 {
service {
input {
service-set v6rd-dslite-service-set;
}
output {
service-set v6rd-dslite-service-set;
}
}
address 2001::1/16;
}
}
}
ge-1/2/2 {
unit 0 {
family inet {
address 200.200.200.1/24;
}
family inet6 {
address 3ABC::1/16;
}
}
}
sp-3/0/0 {
unit 0 {
family inet;
family inet6;
}
}
Softwire Concentrator, Softwire 규칙, 스테이트풀 방화벽 규칙 구성
단계별 절차
softwire concentrator, softwire 규칙 및 stateful firewall 규칙을 구성하려면 다음을 수행합니다.
DS-Lite 및 6rd softwire concentrator를 구성합니다.
user@host# edit services softwire softwire-concentrator ds-lite ds1 [edit services softwire softwire-concentrator ds-lite ds1] user@host# set softwire-address 1001::1 user@host# mtu-v6 9192 usert@host# up 1 usert@host# edit v6rd v6rd-dom1 [edit services softwire softwire-concentrator v6rd v6rd-dom1] user@host# set softwire-address 30.30.30.1 user@host# set ipv4-prefix 10.10.10.0/24 user@host# set v6rd-prefix 3040::0/16 user@host# set mtu-v4 9192
소프트와이어 규칙을 구성합니다.
user@host# edit services softwire rule v6rd-r1] [edit services softwire rule v6rd-r1] user@host# set match-direction input user@host# set term t1 then v6rd v6rd-dom1 user@host# up 1 user@host# edit services softwire] [edit services softwire] user@host# edit rule dslite-r1 [edit services softwire rule dslite-r1] user@host# set term dslite-t1 then ds-lite ds1
다음 경로는 라우팅 엔진의 서비스 PIC 데몬에 의해 추가됩니다.
user@host# run show route 30.30.30.1 inet.0: 43 destinations, 46 routes (42 active, 0 holddown, 1 hidden) + = Active Route, - = Last Active, * = Both 30.30.30.1/32 *[Static/786432] 00:24:11 Service to v6rd-dslite-service-set [edit] user@host# run show route 3040::0/16 inet6.0: 23 destinations, 33 routes (23 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 3040::/16 *[Static/786432] 00:24:39 Service to v6rd-dslite-service-setuser@host# run show route 1001::1 inet6.0: 33 destinations, 43 routes (33 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1001::1/128 *[Static/1] 1w2d 22:05:41 Service to v6rd-dslite-service-set스테이트풀 방화벽 규칙을 구성합니다.
user@host# edit services stateful-firewall rule r1 [edit services stateful-firewall rule r1] user@host# set match-direction input-output user@host# set term t1 then accept
[edit services stateful-firewall] rule r1 { match-direction input-output; term t1 { then { accept; } } }
결과
[edit services softwire]
user@host# show
softwire-concentrator {
ds-lite ds1 {
softwire-address 1001::1;
mtu-v6 9192;
}
v6rd v6rd-dom1 {
softwire-address 30.30.30.1;
ipv4-prefix 10.10.10.0/24;
v6rd-prefix 3040::0/16;
mtu-v4 9192;
}
}
rule v6rd-r1 {
match-direction input;
term t1 {
then {
v6rd v6rd-dom1;
}
}
}
rule dslite-r1 {
match-direction input;
term dslite-t1 {
then {
ds-lite ds1;
}
}
}
[edit services stateful-firewall]
user@host# show
rule r1 {
match-direction input-output;
term t1 {
then {
accept;
}
}
}
DS-Lite의 네트워크 주소 변환(NAT) 구성
단계별 절차
DS-Lite용 네트워크 주소 변환(NAT)을 구성하려면
DS-Lite에 대한 네트워크 주소 변환(NAT) 풀을 구성합니다.
user@host# edit services nat pool dslite-pool [edit services nat pool dslite-pool] user@host# set address-range low 33.33.33.1 high 33.33.33.32 user@host# set port automatic
네트워크 주소 변환(NAT) 규칙을 구성합니다.
user@host# up 1 [edit services nat rule dslite-nat-r1] user@host# set match-direction input user@host# set term dslite-nat-t1 from source-address 20.20.0.0/16 then translated translation-type napt-44
결과
[edit services nat]
user@host# show
pool dslite-pool {
address-range low 33.33.33.1 high 33.33.33.32;
port {
automatic;
}
}
rule dslite-nat-r1 {
match-direction input;
term dslite-nat-t1 {
from {
source-address {
20.20.0.0/16;
}
}
then {
translated {
source-pool dslite-pool;
translation-type {
source dynamic;
}
}
}
}
}
이 네트워크 주소 변환(NAT) 규칙으로 인해 역방향 DS-Lite 트래픽에 대해 다음과 같은 네트워크 주소 변환(NAT) 경로가 설치됩니다.
user@host# run show route 33.33.33.0/24
inet.0: 48 destinations, 52 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
33.33.33.1/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.2/31 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.4/30 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.8/29 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.16/28 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
33.33.33.32/32 *[Static/1] 1w2d 23:08:38
Service to v6rd-dslite-service-set
NAT 규칙은 20.20.0.0/16에서 퍼블릭 주소 범위 33.33.33.1에서 33.33.33.32로 오는 트래픽에 대한 주소 변환을 트리거합니다.
서비스 집합 구성
단계별 절차
이 서비스 집합에는 상태 저장 방화벽 규칙과 6번째 서비스에 대한 6번째 규칙이 있습니다. 또한 서비스 세트에는 DS-Lite에 대한 소프트와이어 규칙과 모든 DS-Lite 트래픽에 대한 주소 변환을 수행하는 NAT 규칙이 포함되어 있습니다. NAT 규칙은 DS-Lite 트래픽의 소스 주소와 포트에서 정방향으로 NAPT 변환을 수행합니다.
서비스 집합을 구성하려면 다음을 수행합니다.
서비스 집합을 정의합니다.
user@host# edit services service-set v6rd-dslite-service-set
서비스 집합 규칙을 구성합니다.
[edit services service-set v6rd-dslite-service-set] user@host# set softwire-rules dslite-r1 user@host# set stateful-firewall-rules r1 user@host# set nat-rules dslite-nat-r1
서비스 세트 interface-service를 구성합니다.
[edit services service-set v6rd-dslite-service-set] user@host# set interface-service service-interface sp-3/0/0
결과
[edit services service-set]
user@host# show
v6rd-dslite-service-set {
softwire-rules v6rd-r1;
softwire-rules dslite-r1;
stateful-firewall-rules r1;
nat-rules dslite-nat-r1;
interface-service {
service-interface sp-3/0/0;
}
DS-Lite 서브넷 제한
DS-Lite 서브넷당 제한 개요
Junos OS를 사용하면 특정 시점에 가입자의 기본 브리징 광대역(B4) 디바이스에서 전송되는 소프트와이어 플로우 수를 제한하여 가입자가 서브넷 내 주소를 과도하게 사용하는 것을 방지할 수 있습니다. 이러한 제한은 서비스 거부(DoS) 공격의 위험을 줄여줍니다. 이 제한은 MS-DPC가 장착된 MX 시리즈 라우터에서 지원됩니다. Junos OS 릴리스 18.2R1부터 MS-MPC 및 MS-MIC도 서브넷 제한 기능을 지원합니다. Junos OS 릴리스 19.2R1부터 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터도 서브넷 제한 기능을 지원합니다. Junos OS 릴리스 20.2R1부터 DS-Lite는 MX240, MX480 및 MX960 라우터의 CGNAT 차세대 서비스에 대해 지원됩니다.
DS-Lite와 함께 IPv6를 사용하는 가정은 단순한 개별 IP 주소가 아니라 서브넷입니다. 서브넷 제한 기능은 가입자와 매핑을 IPv6 주소 대신 IPv6 접두사와 연결합니다. 가입자는 해당 접두사의 모든 IPv6 주소를 DS-Lite B4 주소로 사용할 수 있으며 잠재적으로 서비스 프로바이더급 NAT 리소스를 소진할 수 있습니다. 서브넷 제한 기능을 사용하면 특정 주소 대신 접두사로 가입자를 식별하여 리소스 활용도를 더욱 효과적으로 제어할 수 있습니다.
서브넷 제한은 다음과 같은 기능을 제공합니다.
플로우는 전체 B4 주소를 활용합니다.
접두사 길이는 개별 서비스 집합에 대한 softwire-options 아래의 서비스 집합별로 구성할 수 있습니다.
포트 블록은 각 B4 주소(접두사 길이가 128 미만인 경우)가 아닌 가입자 B4 디바이스의 접두사별로 할당됩니다. 접두사 길이가 128이면 각 IPv6 주소는 B4로 처리됩니다. 포트 블록은 128비트 IPv6 주소별로 할당됩니다.
DS-Lite softwire concentrator 구성에 정의된 세션 제한은 접두사에 대한 IPv4 세션 수를 제한합니다.
EIM, EIF 및 PCP 매핑은 소프트와이어 터널(전체 128비트 IPv6 주소)당 생성됩니다. 부실 매핑은 시간 제한 값에 따라 시간 초과됩니다.
접두사 길이가 구성된 경우 PCP
max-mappings-per-subscriber(에서pcp-server구성 가능)는 전체 B4 주소가 아닌 접두사만 기반으로 합니다.PBA 할당 및 릴리스를 위한 SYSLOGS에는 모두 0으로 완료된 주소의 접두사 부분이 포함됩니다. PCP 할당 및 릴리스, 플로우 생성 및 삭제를 위한 SYSLOGS에는 여전히 전체 IPv6 주소가 포함됩니다.
이제 운영 명령 출력에 show services nat mappings address-pooling-paired 접두사에 대한 매핑이 표시됩니다. 매핑은 활성 B4의 주소를 보여줍니다.
출력에는 show services softwire statistics ds-lite MPC에 대한 세션 제한이 초과된 횟수를 표시하는 새 필드가 포함됩니다.
MX240, MX480 및 MX960 라우터의 차세대 서비스의 경우, 서브넷 제한 통계가 필드에 Softwire session limit exceeded 표시됩니다.
show services softwire statistics(MX-SPC3)
user@host> show services softwire statistics
vms-2/0/0
Total Session Interest events :3
Total Session Destroy events :2
Total Session Public Request events :0
Total Session Accepts :1
Total Session Discards :0
Total Session Ignores :0
Total Session extension alloc failures :0
Total Session extension set failures :0
Softwire statistics
Total Softwire sessions created :1
Total Softwire sessions deleted :2
Total Softwire sessions created for reverse packets :1
Total Softwire session create failed for reverse pkts :0
Total Softwire rule match success :1
Total Softwire rule match failed :0
Softwire session limit exceeded :0
Softwire packet statistics
Total Packets processed :1
Total packets encapsulated :1
Total packets decapsulated :1
Encapsulation errors :0
Decapsulation errors :0
Encapsulated pkts re-inject failures :0
Decapsulated pkts re-inject failures :0
DS-Lite ICMPv4 Echo replies sent :0
DS-Lite ICMPv4 TTL exceeded messages sent :0
ICMPv6 ECHO request messages received destined to AFTR :0
ICMPv6 ECHO reply messages sent from AFTR :0
ICMPv6 ECHO requests to AFTR process failures :0
V6 untunnelled packets destined to AFTR dropped :1
Softwire policy add errors :0
Softwire policy delete errors :0
Softwire policy memory alloc failures :0
Softwire Untunnelled packets ignored :0
Softwire Misc errors
DS-Lite ICMPv4 TTL exceed message process errors :0
또한보십시오
서비스 거부 공격을 방지하기 위해 서브넷 세션 제한당 DS-Lite 구성
MS-DPC가 장착된 MX 시리즈 라우터에서 서브넷당 DS-Lite 제한을 구성할 수 있습니다. Junos OS 릴리스 18.2R1부터 MS-MPC 및 MS-MIC도 서브넷 제한 기능을 지원합니다. Junos OS 릴리스 20.2R1부터 차세대 서비스 MX-SPC3 보안 서비스 카드는 서브넷 제한 기능을 지원합니다.
Junos OS 릴리스 19.2R1부터 MX Virtual Chassis 및 MX BNG(Broadband Network Gateway) 라우터도 서브넷 제한 기능을 지원합니다.
서브넷 세션 제한당 DS-Lite 구성:
또한보십시오
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
mtu-v6 옵션은 MS-MPC 또는 MS-MIC가 장착된 MX 시리즈 라우터에서 지원됩니다.