IPv6에 대한 무상태 소스 네트워크 접두사 변환
IPv6에 대한 스테이트리스 소스 네트워크 접두사 변환 개요
Junos OS 릴리스 15.1부터 IPv6 네트워크(IPv6에서 IPv6로)에서 소스 주소 접두사의 상태 비저장 변환을 구성할 수 있습니다. 이 기능은 인라인 네트워크 주소 변환(NAT)이 지원되는 MPC가 있는 MX 시리즈 라우터에서 지원됩니다. IPv6 패킷(NPTv6)에 대한 스테이트리스 네트워크 접두사 변환을 구성하려면 계층 수준에서 문을 [edit services nat rule rule-name term term-name then translated] 포함합니다translation-type nptv6. NPTv6 변환기는 패킷의 전송 레이어 체크섬을 다시 계산할 필요가 없도록 소스 주소 접두사를 변환합니다. NPTv6는 내부 네트워크와 외부 네트워크 간의 IPv6 네트워크 접두사 변환의 상태 비저장 방법을 정의합니다. NPTv6는 변환기의 각 노드 또는 각 흐름에 대한 상태를 유지하지 않습니다. 명령을 사용하여 show services nat mappings nptv6 (internal | external) 내부 및 외부 주소에 대한 NPTv6의 NAT 매핑을 각각 볼 수 있습니다. 및 show services inline nat pool 명령을 사용하여 NPTv6가 구성된 인라인 네트워크 주소 변환(show services inline nat statisticsNAT)에 대한 정보를 표시할 수도 있습니다.
Stateless Source Network Prefix Translation의 이점
에지 네트워크의 경우, 다음과 같은 경우 인터페이스, 액세스 목록 및 시스템 로깅 메시지에 대해 로컬 네트워크 내부에서 사용되는 IPv6 주소의 번호를 다시 매길 필요가 없습니다.
에지 네트워크에서 사용하는 글로벌 접두사가 변경됩니다.
IPv6 주소는 사이트에서 업스트림 네트워크를 추가, 삭제 또는 변경할 때 에지 네트워크 내부 또는 다른 업스트림 네트워크(예: 멀티홈 디바이스) 내에서 사용됩니다.
에지 네트워크에서 사용하는 IPv6 주소는 업스트림 네트워크에서 수신 필터링이 필요하지 않으며 업스트림 네트워크에 보급되는 고객별 접두사가 필요하지 않습니다.
변환 기능을 통과하는 연결은 NPTv6 변환기의 재설정 또는 짧은 중단으로 인해 중단되지 않습니다.
NPTv6
NPTv6(Network Prefix Translation for IPv6)는 내부 네트워크와 외부 네트워크 간의 IPv6 주소 접두사 변환의 상태 비저장 방식을 정의합니다. NPTv6는 변환기의 각 노드 또는 각 흐름에 대한 상태를 유지하지 않습니다. 인바운드 또는 아웃바운드 패킷의 주소 매핑에는 매핑 상태를 유지할 필요가 없습니다. 전송에 구애받지 않는 상태 비저장 IPv6-to-IPv6 NPTv6 기능은 IPv4-to-IPv4 NAT(NAPT44)와 관련된 주소 독립성의 이점을 제공하고 내부 및 외부 접두사의 주소 간에 1:1 관계를 제공하여 네트워크 레이어에서 엔드 투 엔드 연결성을 유지합니다. 업스트림 네트워크에서 에지 네트워크에서 사용하는 IPv6 주소에는 항상 공급자가 할당한 접두사가 포함됩니다.
NPTv6는 업스트림 서비스 프로바이더 네트워크와 관계없이 내부 주소 안정성을 달성하기 위해 에지 네트워크에 주소 독립성을 제공하도록 설계되었습니다. 그러나 변환 없이 공급자 독립적 주소를 사용하면 라우팅 테이블이 에지 네트워크에 서비스를 제공하는 전송 도메인을 열거하는 대신 에지 네트워크를 열거하기 때문에 비용이 매우 많이 들 수 있습니다. 이 현상으로 인해 관리할 수 없는 대규모 경로 테이블이 발생할 수 있습니다. NPTv6는 내부 네트워크 접두사를 외부 네트워크에 알리지 않고 주소 독립성을 효과적이고 응집력 있게 제공하는 메커니즘입니다. 반면, NAPT44(Network Address Port Translation) for IPv4의 주요 목적은 주소 독립성이라는 동일한 이점을 제공하지만 IPv4 주소 고갈 문제를 해결하는 것입니다. IPv6용 NAPT6, 특히 NAPT66은 이미 마이크로커널에서 지원됩니다. 그러나 NAPT44와 마찬가지로 NAPT66도 플로우 상태 정보를 보존해야 합니다. NPTv6는 NAPT66과 관련된 많은 제한을 피할 수 있는 간단하고 간소화된 기법을 제공합니다. 이는 양방향, 체크섬 중립 및 알고리즘 번역 기능을 포함하도록 정의됩니다.
NPTv6는 변환기에서 노드, 플로우 또는 연결에 대한 상태 정보를 유지하지 않습니다. 내부에서 외부로, 외부에서 내부로 패킷은 IPv6 헤더에 있는 정보를 사용하여 알고리즘 방식으로 변환됩니다. 상태 비저장 특성으로 인해 동일한 두 네트워크 간에 여러 NPTv6 변환기가 존재하는 경우 부하가 이동하거나 네트워크 간에 동적으로 공유될 수 있습니다. 또한 NAPT44와 달리 매핑이 어느 방향으로든 수행될 수 있기 때문에 변환기가 인바운드 연결 설정을 방해하지 않습니다. 대신 방화벽을 NPTv6 변환기와 함께 사용할 수 있습니다. 이 동작은 네트워크 관리자가 기존 NAT로 달성할 수 있는 것보다 보안 정책을 지정할 수 있는 더 많은 유연성을 제공합니다.
NPTv6의 또 다른 장점은 체크섬 중립 번역입니다. 변환기는 체크섬을 업데이트하기 위해 전송 헤더를 다시 쓸 필요가 없으며 포트 매핑을 수행하지 않습니다. 따라서 새 전송 계층 프로토콜을 배포하기 위해 변환기를 수정할 필요가 없습니다. 전송 계층이 수정되지 않기 때문에 알고리즘은 IP 페이로드의 암호화를 방해하지 않습니다. NPTv6는 여러 면에서 NAPT44 또는 NAPT66과 비교해 유리하지만, 모든 아키텍처 문제를 해결하지는 못합니다. NPTv6는 패킷의 IP 헤더를 수정하기 때문에 IPsec 인증 헤더와 같은 보안 메커니즘과 호환되지 않습니다. 별도의 내부 및 외부 접두사를 사용하면 DNS(Domain Name System) 배포가 복잡해집니다. 또한 NAPT44 또는 NAPT66 디바이스를 통해 올바르게 작동하려면 ALG(애플리케이션 계층 게이트웨이)가 필요한 애플리케이션이 NPTv6 변환기를 통해 작동하려면 유사한 ALG가 필요할 수 있습니다. NPTv6는 연결 상태를 유지하지 않기 때문에 변환기의 실패는 서버를 통한 TPC(Non-Transmit Power Control) 트래픽에 영향을 미치지 않습니다. 연결의 원본 IP 주소 변경으로 인해 TCP 연결이 중단될 수 있습니다. 이 경우 연결 시간이 초과되었다가 다시 설정될 수 있습니다.
NPTv6는 인라인 네트워크 주소 변환(NAT)을 사용합니다. 인라인 네트워크 주소 변환(NAT)은 MPC(Modular Port Concentrator) 라인 카드의 기능을 사용하므로 네트워크 주소 변환(NAT)을 위한 MS-DPC(MultiServices DPC)가 필요하지 않습니다. 인라인 네트워크 주소 변환(NAT)을 구성하려면 서비스 인터페이스를 유형 si- (서비스 인라인) 인터페이스로 정의합니다. 또한 인라인 인터페이스에 적절한 대역폭을 예약해야 합니다. 이를 통해 NAT에 사용되는 인터페이스 서비스 세트와 다음 홉 서비스 세트를 모두 구성할 수 있습니다. 인터페이스는 si- 가상 서비스 PIC의 역할을 합니다.
IPv6에 대한 네트워크 접두사 변환과 기능의 상호 운용
이 항목에는 상태 비저장 소스 IPv6 접두사 변환 및 다양한 시스템 조건을 사용하는 다양한 기능의 작동 동작을 설명하는 다음 섹션이 포함되어 있습니다.
주소 매핑 알고리즘
NPTv6 변환기는 네트워크에서 나가는 패킷을 필터링하고, 패킷의 소스 주소가 규칙에 정의된 소스 주소( from 또는 구성의 소스 주소)와 일치하는 경우 소스 주소는 규칙에 대해 정의된 풀의 주소 접두사로 대체됩니다. 소스 주소의 접두사 뒤의 다음 16비트는 체크섬 조정 값으로 대체되어 소스 주소가 변경되더라도 발신 패킷에서 체크섬이 동일하게 유지됩니다. 네트워크 외부로 나가는 패킷에 대한 구성 규칙 및 풀을 정의하는 동안 네트워크로 들어오는 패킷의 대상 주소 변환을 위한 denat 규칙 및 풀이 생성됩니다.
내부 번역에서 외부 번역
패킷이 내부 네트워크에서 외부 네트워크로 이동할 때 패킷 소스 주소의 IPv6 접두사(내부 노드에서 들어옴)는 외부 접두사에 매핑됩니다. 체크섬 조정 후 패킷은 외부 네트워크로 라우팅됩니다.
외부 번역에서 내부 번역
패킷이 외부 네트워크에서 내부 네트워크로 들어오는 경우 패킷의 대상 주소에서 IPv6 접두사(외부 호스트에서 오는)는 내부 접두사에 매핑됩니다. 체크섬 조정 후 패킷은 내부 네트워크로 라우팅됩니다.
체크섬 중립 변환
NPTv6 변환기는 패킷의 전송 레이어 체크섬을 다시 계산할 필요가 없도록 소스 주소 접두사를 변환합니다. 체크섬이 적용되는 영역의 일부를 수정하여 발생하는 체크섬 변경은 동일한 체크섬이 적용되는 다른 16비트 필드를 추가로 변경하여 수정할 수 있습니다. 이 체크섬 중립 방법은 먼저 와 의 1의 보수 체크섬 internal-prefix 을 external-prefix계산합니다.
내부 네트워크에서 수신되는 패킷의 경우 조정은 1의 보수로 계산되며 다음과 같이 계산됩니다.
조정 = 내부 접두사 체크섬 – 외부 접두사 체크섬.
소스 주소의 16비트 워드에서 접두사 뒤에 조정 값이 추가됩니다.
외부 네트워크에서 수신되는 패킷의 경우 조정은 1의 보수이며 다음과 같이 계산됩니다.
조정 = 외부 접두사 체크섬 – 내부 접두사 체크섬.
변환된 접두사 뒤에 대상 주소의 16비트 단어에 조정이 추가됩니다.
멀티호밍(Multihoming)
동일한 내부 IPv6 접두사에 대해 서로 다른 외부 IPv6 접두사 구성을 가진 두 개의 NPTv6 변환기가 있는 경우, 이 두 NPTV6 변환기는 패킷이 통과하는 변환기에 따라 동일한 내부 IPv6 네트워크 접두사를 두 개의 서로 다른 외부 IPv6 네트워크 접두사로 변환합니다.
머리핀
내부 노드가 다른 내부 노드의 외부(즉, 전역 주소)에 대해서만 알고 있는 경우 해당 주소를 사용하여 해당 내부 노드로 패킷을 보냅니다. NPTv6 변환기가 이러한 패킷을 수신하면 해당 패킷은 소스 주소 및 대상 주소 변환을 거친 후 다시 내부 네트워크로 라우팅됩니다.
로드 밸런싱
로드 공유는 두 변환기의 내부-외부 매핑 구성이 동일하고 패킷 로드가 공유될 때 달성됩니다. 로드 밸런싱을 달성하는 방법은 NPTv6의 범위를 벗어납니다.
밸런싱은 IPv6 주소의 서브넷 ID 부분을 기반으로 구현할 수 있습니다. 내부 접두사와 외부 접두사의 동일한 매핑을 가진 두 개의 si- 논리적 인터페이스가 있을 수 있습니다. 패킷은 서브넷 ID를 기반으로 si- 논리적 인터페이스 중 하나로 라우팅됩니다.
NPTv6용 ICMPv6
NPTv6 매핑되지 않은 헥스텟에 대해서는 ICMPv6 오류 생성이 지원되지 않습니다.
Stateless Source Network Prefix Translation 구성 지침
소스 IPv6 접두사의 상태 비저장 변환을 구성할 때 다음 사항을 염두에 두십시오.
이 항목에는 상태 비저장 소스 IPv6 접두사 변환 및 다양한 시스템 조건을 사용하는 다양한 기능의 작동 동작을 설명하는 다음 섹션이 포함되어 있습니다.
GRES(Graceful Routing Engine Switchover) 지원은 NAT44와 동일합니다.
통합 ISSU 및 NSSU(Nonstop Software Upgrade)는 지원되지 않습니다.
NPTv6 구축을 통해 외부 네트워크에서 내부 노드로의 직접 인바운드 연결이 가능합니다. 이 메커니즘은 내부 노드를 외부의 공격에 노출시키기 때문에 약간의 취약성을 유발합니다. NPTv6의 상태 비저장 변환은 연결 상태에 따라 외부 연결 요청을 추적하기 어렵게 만듭니다. 이 동작을 통해 NAT44 네트워크를 외부 공격으로부터 잘 보호할 수 있습니다. NPTv6 변환기를 보호하는 가장 좋은 방법은 NPTv6 변환기 위에 방화벽을 추가하는 것입니다.
6번째 소프트위어 집선 장치는 NPTv6와 상호 운용됩니다. 페이로드의 소스 IP 주소를 변경하기 위해 ALG(Application Layer Gateway)가 필요하지 않은 다른 모든 메커니즘이 지원됩니다. TCP, UDP, ICMP, SSH 및 Telnet은 NPTv6 변환기에서 지원됩니다. ALG가 페이로드의 소스 IP 주소를 변경해야 하는 FTP 및 SIP(Session Initiation Protocol)는 지원되지 않습니다.
NPTv6 풀은 외부 데이터 메모리에 할당됩니다. 풀 데이터 구조는 주소 접두사, 접두사 길이 및 체크섬으로 구성됩니다. 각 레코드의 크기는 192비트입니다. 모든 풀에 대해 denat 풀이 자동으로 할당됩니다. denat 풀의 크기는 192비트입니다. NAT 처리 및 변환되지 않은 NPTv6 풀에 대해 총 8000개의 64비트 항목이 할당됩니다. 이 할당은 인라인 서비스(JNH_APP_INLINE_SVCS)에 할당된 64,000개 항목에서 발생합니다.
6rd와 NPTv6의 상호 운용을 위한 인라인 서비스 연결은 지원되지 않습니다.
NPTv6를
from구성하는 동안 소스 풀을 구성하고 (소스) 주소를 지정해야 합니다.외부 및 내부 접두사 길이는 /16 서브넷 마스크보다 크거나 같고 /112 서브넷 마스크보다 작거나 같아야 합니다.
두 개의 서로 다른 내부 접두사를 동일한 외부 접두사로 변환할 수 없습니다.
NPTv6은 IPSec 및 IKE(Internet Key Exchange) 패킷에 적용할 수 없습니다. 이 경우 NPTv6 변환기는 바이패스됩니다.
변환이 하나의 IPv6 주소 접두사이기 때문에 풀에는 하나의 주소만 있습니다. 사용자가 두 개 이상의 주소를 구성한 경우 시스템은 오류를 발생시키지 않고 대신 풀의 첫 번째 주소 접두사만 변환을 위해 선택됩니다.
내부 네트워크에서 외부 네트워크로 이동하는 패킷의 경우 내부 서브넷이 매핑되지 않거나 0xFFFF로 설정된 경우 데이터그램이 삭제되고 ICMP 대상에 연결할 수 없음 오류가 생성됩니다.
내부 네트워크에서 외부 네트워크로 이동하는 패킷의 경우 16비트 워드에 1의 보수 방법을 사용하여 조정이 추가되고 0xFFFF와 같으면 값이 0으로 기록됩니다.
외부 네트워크에서 내부 네트워크로 들어오는 패킷의 경우, 16비트 워드에서 1의 보수 방법을 사용하여 조정을 뺀 값이 0xFFFF와 같으면 16비트 워드를 0으로 덮어씁니다.
접두사 /48 이하를 변환하려면 값이 0xFFFF되지 않은 /48 서브넷 마스크 뒤의 처음 16비트에서 조정을 더하거나 빼야 합니다. 접두사가 /49 이상인 경우 값이 0xFFFF되지 않은 처음 16비트(64에서 123까지)에서 조정을 더하거나 빼야 합니다.
인터페이스 스타일 및 다음 홉 스타일 서비스 세트를 사용한 NPTv6 작동
목표는 소스 IPv6 주소의 상태 비저장 변환을 수행하는 NPTv6(Network Prefix Translation for IPv6) 인라인 서비스를 추가하는 것입니다. 접두사가 FD01:0203:0405:/48인 내부 네트워크와 접두사가 2001:0DB8:0001:/48인 외부 네트워크 간에 NPTv6이 구현되는 샘플 토폴로지를 고려하십시오.
글로벌 네트워크(외부 네트워크)의 호스트로 향하는 단일 관리 도메인(내부 네트워크)의 패킷에서 소스 주소 FD01:0203:0405:/48은 2001:0DB8:0001:/48로 변환됩니다. 외부 네트워크에서 내부 네트워크로 향하는 패킷의 대상 주소는 2001:0DB8:0001:/48입니다. 이 대상 주소는 내부 네트워크 주소 FD01:0203:0405:/48에 매핑되고 내부 네트워크 호스트로 전달됩니다. 이 경우 두 서브넷의 길이는 동일한 것으로 간주됩니다. 그것들이 다르면 더 짧은 것은 0을 접미사로 붙여서 더 긴 것의 접두사 길이로 확장됩니다.
NPTv6에 사용되는 주소 매핑 알고리즘은 체크섬 중립적입니다. 변환된 IP 헤더는 동일한 IPv6 의사 헤더 체크섬을 생성합니다. 체크섬은 표준 인터넷 체크섬 알고리즘을 사용하여 계산됩니다. IPv6 접두사를 변환하는 동안 변경된 사항은 IPv6 주소의 다른 부분에 대해 계산된 변경 사항에 의해 상쇄됩니다. 이렇게 하면 인터넷 체크섬(예: TCP 및 UDP)을 사용하는 전송 계층이 동일한 데이터그램의 내부 및 외부 형식 모두에 대해 동일한 IPv6 의사 헤더 체크섬을 계산하므로 체크섬 값을 수정하기 위해 전송 계층 헤더를 수정할 필요가 없습니다. 이 알고리즘은 인바운드 패킷과 아웃바운드 패킷의 주소를 매핑할 수 있습니다.
NPTv6 변환기는 단편화된 패킷과 IP 옵션이 활성화된 패킷 모두에서 작동합니다. NPTv6에 필요한 구성 변경은 다음 섹션에서 다룹니다.
서비스를 처리하기 위한 라우터의 구성은 논리적 서비스 인터페이스, 서비스 세트 및 서비스 세트 규칙의 정의를 통해 이루어집니다. 이는 서비스가 패킷에 적용되는 방식을 정의합니다.
정적 v4-v4 소스 주소 inline-NAT에 사용할 수 있는 인라인 서비스 논리적 인터페이스인 si-ifl 구현은 인라인 NPTv6에 재사용할 수 있습니다. MS-DPC를 위해 구현된 NPTv6의 구성은 인라인 NPTv6 구현을 위해 수정할 수 있습니다. 서비스 세트 구성에는 인터페이스 스타일과 다음 홉 스타일의 두 가지 유형이 있습니다.
다음 홉 스타일 서비스의 경우, 패킷을 인라인 서비스 인터페이스로 연결하도록 경로 항목이 구성됩니다. 여기서 패킷은 서비스 규칙을 통과합니다. 패킷이 서비스 규칙과 일치하면 서비스 규칙에 따라 처리됩니다. 인터페이스 스타일 서비스의 경우, 서비스 세트는 미디어 인터페이스에 직접 구성되어 인터페이스를 떠나고 들어갈 때 트래픽에 영향을 미칩니다. 패킷은 미디어 인터페이스에 적용된 서비스 필터에 의해 인라인 서비스 인터페이스로 조정됩니다.
예: 인터페이스 스타일 서비스 세트를 사용하여 IPv6 네트워크에서 상태 비저장 네트워크 접두사 변환을 구성하여 주소 독립성 달성
인라인 네트워크 주소 변환(NAT)을 지원하는 MPC가 있는 MX 시리즈 라우터의 IPv6 네트워크(IPv6에서 IPv6로)에서 소스 주소 접두사의 스테이트리스 변환을 구성할 수 있습니다. NPTv6 변환기는 패킷의 전송 레이어 체크섬을 다시 계산할 필요가 없도록 소스 주소 접두사를 변환합니다. NPTv6는 내부 네트워크와 외부 네트워크 간의 IPv6 네트워크 접두사 변환의 상태 비저장 방법을 정의합니다. NPTv6는 변환기의 각 노드 또는 각 흐름에 대한 상태를 유지하지 않습니다. 명령을 사용하여 show services nat mappings nptv6 (internal | external) 내부 및 외부 주소에 대한 NPTv6의 NAT 매핑을 각각 볼 수 있습니다. 및 show services inline nat pool 명령을 사용하여 NPTv6가 구성된 인라인 네트워크 주소 변환(show services inline nat statisticsNAT)에 대한 정보를 표시할 수도 있습니다.
이 기능은 트리오 기반 FPC(MPC)가 장착된 MX 시리즈 라우터에서 지원됩니다.
이 예에서는 MPC가 있는 MX 시리즈 라우터에서 인터페이스 스타일 서비스 세트를 사용하여 IPv6 패킷에 대한 상태 비저장 소스 접두사 변환을 구성하는 방법을 설명하며 다음 섹션을 포함합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MPC가 있는 MX 시리즈 라우터 1개.
MX 시리즈 라우터용 Junos OS 릴리스 15.1R1 이상
인터페이스 스타일 서비스 세트를 사용하는 IPv6 네트워크의 Stateless Network Prefix Translation 개요 및 토폴로지
인터페이스 스타일 서비스의 경우, 서비스 세트는 미디어 인터페이스에 직접 구성되어 인터페이스를 떠나고 들어갈 때 트래픽에 영향을 미칩니다. 패킷은 미디어 인터페이스에 적용된 서비스 필터에 의해 인라인 서비스 인터페이스로 조정됩니다.
서비스 세트 정의를 구성하여 서비스 규칙을 정의하고 그룹화한 경우 라우터에 설치된 하나 이상의 인터페이스에 서비스를 적용할 수 있습니다. 서비스 세트를 인터페이스에 적용하면 패킷이 PIC로 전달되도록 자동으로 보장됩니다.
인터페이스 스타일의 서비스 세트를 사용하여 NPTv6를 구성하는 샘플 구성 시나리오를 고려하십시오. 인라인 서비스 인터페이스인 si-0/1/0은 초당 10기가비트로 예약된 대역폭으로 구성됩니다. si-0/1/0 인터페이스는 inet6 family로 정의됩니다. NAT 주소 풀 nptv6_pool는 abcd:ef12:3456::/48 주소로 구성됩니다. NAT 규칙은 입력 방향에 적용되어 소스 주소 1234:5678:9abc::/48에서 도착하는 패킷에 대해 NPTv6 변환을 수행합니다. NAT 규칙 기준과 일치하는 1234:5678:9abc::/48의 소스 주소에서 보낸 패킷의 경우 NAT 주소 풀의 주소가 할당됩니다. 서비스 세트 ss_nptv6는 NAT 규칙으로 지정됩니다. 기가비트 이더넷 인터페이스인 ge-5/0/0이 구성되고 서비스 세트가 이 인터페이스에 적용됩니다.
구성
인터페이스 스타일의 서비스 세트를 사용하여 IPv6에 대한 스테이트리스 네트워크 접두사 변환을 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여 넣습니다.
인터페이스 구성
set interfaces si-0/1/0 unit 0 family inet6
서비스 세트에서 처리할 트래픽에 대한 인터페이스 구성
set interfaces ge-5/0/0 unit 0 family inet6 service input service-set nptv6-service-set set interfaces ge-5/0/0 unit 0 family inet6 service output service-set nptv6-service-set set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
서비스 인라인(si-) 인터페이스에 대한 대역폭 구성
set chassis fpc 0 pic 1 inline-services bandwidth 10g
NAT 풀 및 규칙 구성
set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
서비스 세트 구성
set services service-set ss_nptv6 nat-rules ss_nptv6_rule set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages set services service-set ss_nptv6 interface-service service-interface si-0/1/0.0
절차
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
인터페이스 스타일의 서비스 세트를 사용하여 IPv6에 대한 스테이트리스 네트워크 접두사 변환을 구성하려면 다음을 수행합니다.
인라인 서비스(si-) 인터페이스를 구성합니다.
[edit] user@host# set interfaces si-0/1/0 unit 0 family inet6
서비스 세트에서 처리할 트래픽에 대한 인터페이스를 구성합니다.
[edit] user@host# set interfaces ge-5/0/0 unit 0 family inet6 service input service-set nptv6-service-set user@host# set interfaces ge-5/0/0 unit 0 family inet6 service output service-set nptv6-service-set user@host# set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
서비스 인라인(si-) 인터페이스의 대역폭을 구성합니다.
[edit] user@host# set chassis fpc 0 pic 1 inline-services bandwidth 10g
NAT 풀 및 규칙을 구성합니다.
[edit] user@host# set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
서비스 세트 구성
[edit] user@host# set services service-set ss_nptv6 nat-rules ss_nptv6_rule user@host# set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages user@host# set services service-set ss_nptv6 interface-service service-interface si-0/1/0.0
결과
구성 모드에서 , show interfaces, 명령을 show services 입력하여 show chassis구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show chassis
chassis {
fpc 0 {
pic 1 {
inline-services {
bandwidth 10g;
}
}
}
}
user@host# show interfaces
interfaces {
si-0/1/0 {
unit 0 {
family inet6;
}
}
ge-5/0/0 {
unit 0 {
family inet6 {
service {
input {
service-set nptv6-service-set;
}
output {
service-set nptv6-service-set;
}
}
address 1234:5678:9abc::1/64;
}
}
}
}
user@host# show services
services {
service-set ss_nptv6 {
nat-rules ss_nptv6_rule;
nat-options {
nptv6 {
icmpv6-error-messages;
}
}
interface-service {
service-interface si-0/1/0.0;
}
}
nat {
pool ss_nptv6_pool {
address abcd:ef12:3456::/48;
}
rule ss_nptv6_rule {
match-direction input;
term t0 {
from {
source-address {
1234:5678:9abc::/48;
}
}
then {
translated {
source-pool ss_nptv6_pool;
translation-type {
nptv6;
}
}
}
}
}
}
}
확인
구성이 제대로 작동하는지 확인하려면 다음을 수행하십시오.
네트워크 주소 변환(NAT) 풀 매핑 확인
목적
IPv6 네트워크 접두사 변환을 위한 기존 NAT 주소 풀 및 매핑을 확인합니다.
작업
운영 모드에서 다음 명령을 사용합니다.show services nat mappings nptv6
user@host> show services nat mappings nptv6 internal 1111:2222:3333:aaaa:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
user@host> show services nat mappings nptv6 external aaaa:bbbb:cccc:dddd:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
의미
출력은 외부 및 내부 주소의 IPv6 상태 비저장 네트워크 접두사 변환을 위한 NAT 주소와 포트 간의 매핑을 보여줍니다. 원래 NAT를 사용하여 전송 및 변환된 주소 및 포트 세부 정보가 표시됩니다.
인라인 네트워크 주소 변환(NAT) 풀 및 통계 확인
목적
IPv6 네트워크 접두사 변환에 대한 인라인 NAT 풀 및 통계를 확인합니다.
작업
운영 모드에서 다음 명령을 사용합니다.show services inline nat
user@host> show services inline nat statistics interface si-4/0/0
Service PIC Name: si-4/0/0
Control Plane Statistics
ICMPv4 errors packets pass through :0
ICMPv4 errors packets locally generated :0
ICMPv6 errors packets pass through :0
ICMPv6 errors packets locally generated :0
Dropped packets :0
Data Plane Statistics
NATed packets :0
deNATed packets :0
Errors :0
user@host> show services inline nat pool
Interface: si-4/0/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
NAT pool: ss_nptv6_pool2, Translation type: NPTV6
Address range: 1111:2222:3333::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
user@host> show services inline nat pool ss_nptv6_pool1
Interface: si-4/0/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
의미
출력은 NAT 처리의 대상이 되는 패킷 수, 변환되지 않은 패킷, 지정된 서비스 세트 및 si- 인터페이스에 대한 변환 오류가 있는 패킷과 같은 인라인 NAT 주소 변환에 대한 정보를 보여줍니다.
예: 다음 홉 스타일 서비스 세트를 사용하여 IPv6 네트워크에서 상태 비저장 네트워크 접두사 변환을 구성하여 주소 독립성 달성
인라인 네트워크 주소 변환(NAT)이 지원되는 MPC가 있는 MX 시리즈 라우터에서 IPv6 네트워크(IPv6에서 IPv6로)의 소스 주소 접두사에 대한 스테이트리스 변환을 구성할 수 있습니다. NPTv6 변환기는 패킷의 전송 레이어 체크섬을 다시 계산할 필요가 없도록 소스 주소 접두사를 변환합니다. NPTv6는 내부 네트워크와 외부 네트워크 간의 IPv6 네트워크 접두사 변환의 상태 비저장 방법을 정의합니다. NPTv6는 변환기에서 노드당 또는 플로우 상태를 유지하지 않습니다. show services nat mappings nptv6 (internal | external) 명령을 사용하여 내부 및 외부 주소에 대한 NPTv6의 NAT 매핑을 각각 볼 수 있습니다. 또한 show services inline nat statistics 및 show services inline nat pool 명령을 사용하여 NPTv6이 구성된 인라인 NAT에 대한 정보를 표시할 수 있습니다.
이 기능은 트리오 기반 FPC(MPC)가 장착된 MX 시리즈 라우터에서 지원됩니다.
이 예는 MPC가 있는 MX 시리즈 라우터에서 다음 홉 스타일 서비스 세트를 사용하여 IPv6 패킷에 대한 스테이트리스 소스 접두사 변환을 구성하는 방법을 설명하며 다음 섹션을 포함합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
MPC가 있는 MX 시리즈 라우터 1개.
MX 시리즈 라우터용 Junos OS 릴리스 15.1R1 이상
다음 홉 스타일 서비스 세트를 사용하는 IPv6 네트워크의 상태 비저장 네트워크 접두사 변환 개요 및 토폴로지
넥스트 홉 서비스 세트는 특정 서비스를 적용하는 경로 기반 방법입니다. 특정 다음 홉으로 향하는 패킷만 명시적 정적 경로 생성에 의해 서비스됩니다. 이 구성은 전체 VPN(Virtual Private Network) 라우팅 및 포워딩(VRF) 테이블에 서비스를 적용해야 하는 경우 또는 라우팅 결정에 따라 서비스를 수행해야 하는 경우에 유용합니다.
다음 홉 스타일 서비스의 경우 패킷을 인라인 서비스 인터페이스로 안내하도록 경로 항목이 구성됩니다. 패킷은 서비스 규칙을 통해 검증됩니다. 패킷이 서비스 규칙과 일치하면 서비스 규칙에 따라 처리됩니다.
넥스트 홉 스타일 서비스 세트를 사용하여 NPTv6를 구성하는 샘플 구성 시나리오를 고려해 보십시오. 인라인 서비스 인터페이스인 si-0/1/0은 초당 10기가비트로 예약된 대역폭으로 구성됩니다. si-0/1/0 인터페이스는 inet6 family로 정의됩니다. NAT 주소 풀 nptv6_pool는 abcd:ef12:3456::/48 주소로 구성됩니다. NAT 규칙은 입력 방향에 적용되어 소스 주소 1234:5678:9abc::/48에서 도착하는 패킷에 대해 NPTv6 변환을 수행합니다. NAT 규칙 기준과 일치하는 1234:5678:9abc::/48의 소스 주소에서 보낸 패킷의 경우 NAT 주소 풀의 주소가 할당됩니다. 서비스 세트는 네트워크 내부에 적용된 서비스 세트와 연관된 si-0/1/0.1의 서비스 인터페이스를 통해 다음 홉을 포워딩하도록 구성됩니다. 내부 네트워크의 다음 홉 서비스 인터페이스에 대한 파라미터 및 네트워크 외부에 적용된 서비스 세트와 연관된 si-/1/0.2. 서비스 세트 ss_nptv6는 NAT 규칙으로 지정됩니다. 서비스 인터페이스 도메인은 si-0/1/0.1용으로 구성된 내부 서비스 도메인과 si-0/1/0.2용으로 구성된 외부 서비스 도메인이 있는 si- 인터페이스에 대해 지정됩니다. 라우팅 인스턴스 inst1은 VRF 인스턴스로 인스턴스 유형으로 구성됩니다. 인터페이스 si-0/1/0.1 및 인터페이스 ge-5/0/0은 inst1과 연결됩니다. 내부 및 외부 인터페이스 도메인은 inside-service-interface 및 outside-service-interface 문으로 지정된 도메인과 일치합니다. 정책은 모든 패킷을 거부하는 작업과 함께 NAT 이벤트에 구성됩니다.
구성
다음 홉 스타일 서비스 세트를 사용하여 IPv6에 대한 스테이트리스 네트워크 접두사 변환을 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여 넣습니다.
인라인 인터페이스 구성
set interfaces si-0/1/0 unit 0 family inet6 set interfaces si-0/1/0 unit 1 family inet6 set interfacessi-0/1/0 unit 1 service-domain inside set interfaces si-0/1/0 unit 2 family inet6 set interfaces si-0/1/0 unit 2 service-domain outside set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
인라인 서비스를 위한 대역폭 구성
set chassis fpc 0 pic 1 inline-services bandwidth 10g
NAT 풀 및 규칙 구성
set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
서비스 세트 구성
set services service-set ss_nptv6 nat-rules ss_nptv6_rule set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages set services service-set ss_nptv6 nexthop-service inside-service-interface si-0/1/0.1 set services service-set ss_nptv6 nexthop-service outside-service-interface si-0/1/0.2
라우팅 인스턴스 구성
set routing-instances inst1 instance-type vrf set routing-instances inst1 interface si-0/1/0.1 set routing-instances inst1 interface ge-5/0/0.0 set routing-instances inst1 route-distinguisher 1234:5678 set routing-instances inst1 vrf-import reject-all set routing-instances inst1 vrf-export reject-all set routing-instances inst1 routing-options rib inst1.inet6.0 static route ::0/0 next-hop si-0/1/0.1
정책 및 작업 수정자 구성
set policy-options policy-statement reject-all then reject
절차
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
다음 홉 스타일 서비스 세트를 사용하여 IPv6에 대한 상태 비저장 네트워크 접두사 변환을 구성하려면 다음을 수행합니다.
네트워크 주소 변환(NAT) 서비스에 대한 인라인 인터페이스를 구성합니다.
[edit] user@host# set interfaces si-0/1/0 unit 0 family inet6 user@host# set interfaces si-0/1/0 unit 1 family inet6 user@host# set interfacessi-0/1/0 unit 1 service-domain inside user@host# set interfaces si-0/1/0 unit 2 family inet6 user@host# set interfaces si-0/1/0 unit 2 service-domain outside user@host# set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
인라인 서비스에 대한 대역폭을 설정합니다.
[edit] user@host# set chassis fpc 0 pic 1 inline-services bandwidth 10g
NAT 풀 및 규칙을 구성합니다.
[edit] user@host# set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
NAT 풀과 연결된 NAT 규칙을 사용하여 서비스 세트를 구성합니다.
[edit] user@host# set services service-set ss_nptv6 nat-rules ss_nptv6_rule user@host# set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages user@host# set services service-set ss_nptv6 nexthop-service inside-service-interface si-0/1/0.1 user@host# set services service-set ss_nptv6 nexthop-service outside-service-interface si-0/1/0.2
구성된 si- 인터페이스를 사용하는 라우팅 인스턴스를 구성합니다.
[edit] user@host# set routing-instances inst1 instance-type vrf user@host# set routing-instances inst1 interface si-0/1/0.1 user@host# set routing-instances inst1 interface ge-5/0/0.0 user@host# set routing-instances inst1 route-distinguisher 1234:5678 user@host# set routing-instances inst1 vrf-import reject-all user@host# set routing-instances inst1 vrf-export reject-all user@host# set routing-instances inst1 routing-options rib inst1.inet6.0 static route ::0/0 next-hop si-0/1/0.1
NAT 패킷에 대한 정책 및 작업 수정자를 구성합니다.
[edit] user@host# set policy-options policy-statement reject-all then reject
결과
구성 모드에서 , , show interfacesshow policy-options, show routing-instances및 show services 명령을 입력하여 show chassis구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show chassis
chassis {
fpc 0 {
pic 1 {
inline-services {
bandwidth 10g;
}
}
}
}
user@host# show interfaces
chassis {
fpc 0 {
pic 1 {
inline-services {
bandwidth 10g;
}
}
}
}
interfaces {
si-0/1/0 {
unit 0 {
family inet6;
}
unit 1 {
family inet6;
service-domain inside;
}
unit 2 {
family inet6;
service-domain outside;
}
}
ge-5/0/0 {
unit 0 {
family inet6 {
address 1234:5678:9abc::1/64;
}
}
}
}
user@host# show policy-options
policy-options {
policy-statement reject-all {
then reject;
}
}
user@host# show routing-instances
routing-instances {
inst1 {
instance-type vrf;
interface si-0/1/0.1;
interface ge-5/0/0.0;
route-distinguisher 1234:5678;
vrf-import reject-all;
vrf-export reject-all;
routing-options {
rib inst1.inet6.0 {
static {
route ::0/0 next-hop si-0/1/0.1;
}
}
}
}
}
user@host# show services
services {
service-set ss_nptv6 {
nat-rules ss_nptv6_rule;
nat-options {
nptv6 {
icmpv6-error-messages;
}
}
nexthop-service {
inside-service-interface si-0/1/0.1;
outside-service-interface si-0/1/0.2;
}
}
nat {
pool ss_nptv6_pool {
address abcd:ef12:3456::/48;
}
rule ss_nptv6_rule {
match-direction input;
term t0 {
from {
source-address {
1234:5678:9abc::/48;
}
}
then {
translated {
source-pool ss_nptv6_pool;
translation-type {
nptv6;
}
}
}
}
}
}
}
확인
구성이 제대로 작동하는지 확인하려면 다음을 수행하십시오.
네트워크 주소 변환(NAT) 풀 매핑 확인
목적
IPv6 네트워크 접두사 변환을 위한 기존 NAT 주소 풀 및 매핑을 확인합니다.
작업
운영 모드에서 다음 명령을 사용합니다.show services nat mappings nptv6
user@host> show services nat mappings nptv6 internal 1111:2222:3333:aaaa:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
user@host> show services nat mappings nptv6 external aaaa:bbbb:cccc:dddd:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
의미
출력은 NAT 처리의 대상이 되는 패킷 수, 변환되지 않은 패킷, 지정된 서비스 세트 및 si- 인터페이스에 대한 변환 오류가 있는 패킷과 같은 인라인 NAT 주소 변환에 대한 정보를 보여줍니다.
인라인 네트워크 주소 변환(NAT) 풀 및 통계 확인
목적
IPv6 네트워크 접두사 변환에 대한 인라인 NAT 풀 및 통계를 확인합니다.
작업
운영 모드에서 다음 명령을 사용합니다.show services inline nat
user@host> show services inline nat statistics interface si-4/0/0
Service PIC Name :si-4/0/0
Control Plane Statistics
ICMPv4 errors packets pass through :0
ICMPv4 errors packets locally generated :0
ICMPv6 errors packets pass through :0
ICMPv6 errors packets locally generated :0
Dropped packets :0
Data Plane Statistics
NATed packets :0
deNATed packets :0
Errors :0
user@host> show services inline nat pool
Interface: si-0/1/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
NAT pool: ss_nptv6_pool2, Translation type: NPTV6
Address range: 1111:2222:3333::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
user@host> show services inline nat pool ss_nptv6_pool1
Interface: si-0/1/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
의미
출력은 외부 및 내부 주소의 IPv6 상태 비저장 네트워크 접두사 변환을 위한 NAT 주소와 포트 간의 매핑을 보여줍니다. 원래 NAT를 사용하여 전송 및 변환된 주소 및 포트 세부 정보가 표시됩니다.