IPv6
本附录介绍 IPv6 的 SonicOS 实施,IPv6 的工作方式以及如何为网络配置 IPv6。本附录包含以下章节:
• 功能概述
• 配置 IPv6
• IPv6 可视化
以下章节提供 IPv6 概述:
• IPv6 优点
• 目前不支持的 Dell SonicWALL IPv6 功能
Dell SonicWALL 符合 IPv6 论坛规定的“IPv6 就绪”阶段 1 和阶段 2 的要求,该论坛是为部署 IPv6 提供技术指导的国际性团体。IPv6 Ready Logo Program(IPv6 就绪性徽标计划)是一项旨在通过证明 IPv6 已就绪可用来提高用户信心的合规与互操作性测试计划。
“IPv6 就绪”系列测试从阶段 1 的基本级最低覆盖率扩展阶段 2 的更高覆盖率:
• 阶段 1(银质)徽标:在第一阶段,徽标表示产品包含 IPv6 强制核心协议,并可实现与其他 IPv6 实施的互操作。
• 阶段 2(金质)徽标:“IPv6 就绪”步骤包含适当的维护、技术一致性和明确的技术参考。“IPv6 就绪徽标”表示产品已成功满足 IPv6 徽标委员会 (v6LC) 规定的严格要求。
Dell SonicWALL 经认证已符合阶段 2(金质)IPv6 就绪状态。目前正在制定未来的阶段 3 级别“IPv6 就绪”覆盖率。
更多信息,请参见:http://www.ipv6ready.org/
每台连接至互联网的设备(计算机、打印机、智能手机、智能量表等)都需要一个 IP 地址。第 4 版互联网协议 (IPv4) 提供大约 43 亿个唯一 IP 地址。随着互联网、智能手机和 VoIP 电话的全球性迅速普及,这 43 亿个 IP 地址将很快被用尽。
2011 年 2 月 3 日,互联网号码分配局 (IANA) 向区域互联网注册管理机构 (RIR) 分配了最后剩余的 IPv4 地址区块。在 RIR 于今年晚些时候向 ISP 分配完这些地址后,全世界的新 IPv4 地址供应将被消耗殆尽。
幸好互联网工程任务组 (IETF) 早在 1992 和 1998 年就已开始计划这一天的到来,当时就已发布 RFC 2460 用于定义第 6 版互联网协议 (IPv6)。通过将地址长度从 32 位延长至 128 位,IPv6 较之 IPv4 极大地增加了可用的地址数:
• IPv4:4,294,967,296 个地址
• IPv6:340,282,366,920,938,463,463,374,607,431,768,211,456 个地址
理解 IPv6 地址
IPv6 地址由八组数字组成,每组包含四位十六进制数值并以冒号分隔,书写形式为:
XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX
IPv6 地址在逻辑上分为两部分:64 位(子)网络前缀和 64 位接口识别符。以下是一个 IPv6 地址示例:
2001:0db8:85a3:0000:0000:8a2e:0370:7334
注 IPv6 地址中的十六进制数值不区分大小写。
IPv6 地址可以使用以下两个规则缩写:
1. 16 位值中的前导零可以忽略。因此,本例中的地址可以从完整形式:
– 2001:0db8:85a3:0000:0000:8a2e:0370:7334
缩写为:
– 2001:db8:85a3:0:0:8a2e:370:7334
2. 任意个均由四个零组成的连续组(理论上 16 位零)可以使用双冒号(符号“::”)表示。结合这两个规则,本例的地址可以从完整形式:
– 2001:0db8:85a3:0000:0000:8a2e:0370:7334
缩写为:
– 2001:db8:85a3::8a2e:370:7334
|
注 网络必须具备 IPv4 互联网连接才能连至 IPv6 互联网。
注 本地网络站点的计算机必须启用 IPv6 栈。
这是一幅典型 IPv6 部署的连接模型简化图。
下图显示 IPv4 和 IPv6 之间的标头元素对比。
IPv6 具备一些关键功能改善了 IPv4 的某些局限性。新的 IP 标准在很多重要方面扩展了 IPv4:
• 6 至 4 隧道(允许 IPv6 节点通过 IPv4 网络连接外部 IPv6 服务)
– 6 至 4 自动隧道
– GRE 隧道
• IPv6 手动隧道
• 新的简化 IPv6 标头格式
• 极大增加了可用的 IPv6 地址
• 有效、分层的寻址和路由基础结构
• 使用邻居发现协议 (NDP) 和 DHCPv6 的主机和路由器自动地址分配
• 无状态和有状态的地址配置
• 内置安全性 - 强烈推荐 AH 和 ESP
• 更好的 QoS 支持 - 标头中的流标签
• 新邻接节点互动协议
• 使用扩展标头扩展了新功能
以下是 Dell SonicWALL 目前支持的 IPv6 服务和功能列表。
• 访问规则
• 地址对象
• 高级带宽管理:
– 带宽管理监控
• 防间谍软件
• 应用程序流量服务器:
– 生成并发送至应用程序流量服务器的 IPv6 应用程序流量
– 生成并发送至第三方应用程序流量服务器的 IPv6 应用程序流量
• 应用程序防火墙:
– 应用程序规则
• 攻击预防:
– Land 攻击
– MAC 反欺骗
– Ping of Death 攻击
– Smurf
– SYN Flood
• 客户端防病毒实施
• 连接缓存
• 连接监控:
– IPv6 地址过滤
• 内容过滤:
– ActiveX、Java、Cookie 限制
– CFS 自定义列表
– CFS 排除列表
– 内容过滤服务
– 关键字阻断
• DHCP:
– DHCP 服务器
– 动态租用范围
– 常规选项
– 集成选项(DNS/WINS 服务器)
– 租用暂留
– 静态租用范围
• 诊断:
– Nslookup
– Ping6
– 反向 Nslookup
– 跟踪路由
• DNS 客户端
• DNS 查找和反向名称查找
• 双协议栈 IPv4 和 IPv6
• EPRT
• EPSV
• FTPv6
• 攻击保护:
– TCP 同步代理
• 碎片处理
• 网关防病毒
• 标头验证
• 高可用性:
– 连接缓存
– DHCP 服务器
– FTP
– 监控 IP
– NDP
– SonicPoint
– ULAv6
– VPN
• 通过 IPv6 的 HTTP/HTTPS 管理
• ICMPv6
• IDP
• IKEv2
• 接口:
– DHCP 客户端模式
– IPv6 接口
– 二层桥接模式
– PPPoE 客户端模式
– 无线模式
• 入侵保护服务
• IP 欺骗保护
• IPv4 Syslog 消息,包括含 IPv6 地址的消息
• IPv6 连接限制
• ISATAP
• 二层桥接模式
• 日志:
– IPv6 地址日志条目
• 记录 IPv6 事件
• 登录唯一性
• 具有组播侦听发现功能的组播路由
• NAT
• NAT 负载平衡(仅粘性 IP/无探测支持)
• 邻居发现协议
• 拥有 IPv6 地址的用户使用的 NetExtender 连接
• NDP
• OSPFv3
• 数据包捕获
• Ping
• 基于策略的路由
• QoS 映射
• 重组处理
• 远程管理
• RIPng
• 路由
• 使用 DPI 的 IPv6 流量安全服务
• 用于保障安全的具有 IPSec 的站对站 IPv6 隧道
• SNMP
• SonicPoint IPv6 支持
• SSL VPN
• IPv6 流量的状态检查
• Syslog:
– 包含 IPv6 地址的 IPv4 syslog 消息
• 隧道
– IPv4 至 IPv6 隧道
– IPv6 至 IPv4 隧道
• 用户:
– IPv6 用户登录和管理
– 登录唯一性
– 用户状态
• 虚拟助理
• 可视化
– 应用程序流量监控
– 应用程序流量报告
– 实时监控
– 威胁报告
– 用户监视器
• VLAN:
– 在二层桥接模式中的 IPv6 VLAN
– IPv6 VLAN 接口
– PPPoE 客户端模式
• VPN 策略
• 无线
以下是 Dell SonicWALL 目前不支持的 IPv6 服务和功能列表。
注 SonicOS 6.2 是双 IP 栈固件。IPv4 仍支持 IPv6 尚不支持的功能。
• 地址对象:
– DAO
– FQDN
• Anti-Spam [反垃圾邮件]
• Botnet 过滤
• 命令行接口
• 连接具有 IPv6 地址的应用程序流量服务器
• 内容过滤:
– 按 IP 地址范围的 CFS 策略
– Websense Enterprice
• DHCP over VPN
• DHCP Relay [DHCP 中继]
• DPI-SSL
• 用于 IPv6 地址的动态地址对象
• Dynamic DNS [动态 DNS]
• E-CLI 配置
• Flood 攻击保护:
– ICMP
– UDP
• FQDN
• GeoIP 过滤
• 全局 VPN 客户端 (GVC)
• GMS
• VPN:
– DHCP over VPN
– 群组 VPN
– IKE
– IKE DPD
– L2TP 服务器
– 移动 IKEv2
– OCSP
– 基于路由的 VPN
• H.323
• 高可用性:
– 组播 v6
– Oracle SQL/Net
– RTSP
– VoIP
• IKEv1
• 接口:
– L2TP 客户端模式
– 透明模式
• IP 助手
• IPv6 Syslog 消息
• LDAP
• 日志:
– 来自 IPNET 栈的日志
– 日志 DNS 名称解析
• MAC-IP 反欺骗视图
• 组播代理
• 组播路由
• IPv6 与 IPv4 地址之间的 NAT
– IPv4 至 IPv6 NAT
– IPv6 至 IPv4 NAT
• NetBIOS over VPN
• 网络监视器
• NTP
• QoS 映射
• RADIUS
• RAS 组播转发
• RBL
• 基于路由的 VPN
• 单点登录
• SMTP 实时黑名单 (RBL) 过滤
• SSH
• SSL 控制
• 状态协议:
– Oracle SQL/Net
– SIP
• Syslog:
– 包含 IPv6 地址的 IPv6 syslog 消息
• 用户:
– 访客服务
– LDAP
– Radius
– SSO
• ViewPoint
• VLAN:
– DHCP 客户端模式
– L2TP 客户端模式
• VoIP
• WAN 加速
• WAN 负载平衡
• Web 代理
本章节列出 SonicOS 6.2 支持的 IPv6 RFC。
TCP/IP 栈和网络协议
• RFC 1886 支持 IPv6 的 DNS 扩展 [IPAPPL dns 客户端]
• RFC 1981 IPv6 路径 MTU 发现
• RFC 2113 IP 路由器警报选项
• RFC 2373 IPv6 寻址体系结构
• RFC 2374 IPv6 可聚合全局单播地址格式(被 3587 废除)
• RFC 2375 IPv6 组播地址分配
• RFC 2460 IPv6 规定
• RFC 2461 IPv6 的邻居发现
• RFC 2462 IPv6 无状态地址自动配置
• RFC 2463 IPv6 规定的 ICMPv6
• RFC 2464 通过以太网传输 IPv6 数据包
• RFC 2473 IPv6 规定中的常规数据包隧道
• RFC 2474 IPv4 和 IPv6 标头中的区分服务字段(DS 字段)定义
• RFC 2545 使用 IPv6 域间路由的 BGP-4 多协议扩展
• RFC 2553 IPv6 的基础套接接口扩展
• RFC 2710 IPv6 的组播侦听发现 (MLD)
• RFC 2711 IPv6 路由器警报选项
• RFC 2784 常规路由封装
• RFC 2893 IPv6 主机和路由器的转换机制
• RFC 2991 单播和组播下一跃点选择中的多路径问题
• RFC 3056 通过 IPv4 云的 IPv6 域连接
• RFC 3484 第六版互联网协议 (IPv6) 的默认地址选择(无策略挂钩)
• RFC 3493 IPv6 的基础套接接口扩展
• RFC 3513 第六版互联网协议 (IPv6) 寻址体系结构
• RFC 3542 IPv6 的高级套接应用程序编程接口 (API)
• RFC 3587 IPv6 全局单播地址格式(废除 2374)
IPsec 合规
• RFC 1826 IP 身份验证标头 [旧 AH]
• RFC 1827 IP 封装式安全措施负载 (ESP) [旧 ESP]
NAT 合规
• RFC 2663 IP 网络地址转换器 (NAT) 技术和考虑因素。
• RFC 3022 传统 IP 网络地址转换器(传统 NAT)。
DNS 合规
• RFC 1886 支持 IPv6 的 DNS 扩展
本章节列出 SonicOS 6.2 目前不支持的 IPv6 RFC。
• RFC 2002 IP 移动支持
• RFC 2766 网络地址转换 - 协议转换 (NAT-PT)
• RFC 2472 IPv6 over PPP
• RFC 2452 用于传输控制协议的 IPv6 管理信息基础。
• RFC 2454 用于用户数据报协议的 IPv6 管理信息基础。
• RFC 2465 用于 IPv6 的管理信息基础:文字使用惯例和常规群组。
以下章节说明如何配置 IPv6:
• 使用 IPv6 访问 Dell SonicWALL 用户界面
IPv6 接口可以在网络 > 接口页面通过单击页面右上角查看 IP 版本单选按钮的 IPv6 选项进行配置。
默认情况下,所有 IPv6 接口显示为不使用 IP 地址路由。可以在相同接口添加多个 IPv6 地址。只能在 WAN 接口上配置自动 IP 分配。
可以配置每个接口是否接收路由器发布。可以在各接口启用或禁用 IPv6。
注 接口的区域分配在切换到 IPv6 模式之前,必须通过 IPv4 接口页面进行配置。
以下章节介绍 IPv6 接口配置:
• 无法为 IPv6 配置 HA 接口。
• 只能将 SwitchPort 群组的父级接口配置为 IPv6 接口,因此交换机端口群组的所有子级都必须从该列表中排除。
• 区域和二层桥接群组是 IPv4 和 IPv6 在接口上共享的配置。在 IPv4 侧配置后,接口的 IPv6 侧将使用相同的配置。
• 只能为 WAN 区域接口配置默认网关和 DNS 服务器。
• 目前不支持 VLAN 接口。
• IPv6 支持有线模式,但无法编辑任何设置。SonicOS 使用为 IPv4 设置的相同配置选项代替。
静态模式为用户提供分配静态 IPv6 地址的一种方式,这不同于自动分配的地址。IPv6 接口使用静态模式仍然可以侦听路由器发布和向相应的前缀选项学习自治地址。静态模式不中断 IPv6 接口上的无状态地址自动配置的运行,除非用户手动禁用。
下图显示在静态模式中配置的 IPv6 样本拓扑结构。
在这种模式中,可以分配三种 IPv6 地址:
• 自动地址
• 自治地址
• 静态地址
要配置静态 IPv6 地址的接口,请执行以下步骤:
1. 导航至网络 > 接口页面。
2. 单击页面右上角的 IPv6 按钮。设备的 IPv6 地址显示。
3. 单击您要为其配置 IPv6 地址的接口的配置图标。将显示“编辑接口”对话框。
注 必须在 IPv4 寻址页面配置接口的区域分配。要修改 IPv6 接口的区域分配,请单击页面右上角的 IPv4 按钮,修改接口的区域,然后返回到 IPv6 接口页面。
在 IP 分配下拉菜单中,选择 Static。
5. 输入接口的 IPv6 地址。
6. 输入地址的前缀长度。
7. 如果这是主要 WAN 接口,请输入默认网关的 IPv6 地址。如果这不是主要 WAN 接口,则任何默认网关条目将被忽略,所以您可以将其保留为 ::。(双冒号是空地址的缩写,或 0:0:0:0:0:0:0:0。)
8. 如果这是主要 WAN 接口,请输入最多三个 DNS 服务器 IPv6 地址。再次说明,如果这不是主要 WAN 接口,任何 DNS 服务器条目将被忽略。
9. 选中启用路由公告使其成为传播网络和前缀信息的发布接口。
10. 选中发布 IPv6 主要静态地址的子网前缀向接口发布前缀列表添加默认前缀。该前缀是接口 IPv6 主要静态地址的子网前缀。该选项将帮助链路上的所有主机停留在相同子网中。
配置高级 IPv6 接口选项和多个 IPv6 地址
执行以下步骤修改高级 IPv6 接口选项或配置多个静态 IPv6 地址。
1. 在“编辑接口”对话框中,单击高级选项卡。
单击添加地址按钮配置接口的多个静态 IPv6 地址。
只能为配置为静态 IPv6 地址模式的接口添加多个 IPv6 地址。无法为自动或 DHCPv6 模式配置多个 IPv6 地址。
3. 为接口的附加地址输入 IPv6 地址。
4. 输入地址的前缀长度。
5. 选中广播子网静态 IPv6 地址的前缀向接口发布前缀列表添加默认前缀。该前缀是接口 IPv6 主要静态地址的子网前缀。该选项将帮助链路上的所有主机停留在相同子网中。
6. 单击确定。
7. 以下附加选项可以在高级选项卡的高级设置标题下配置:
– 选择禁用接口上的所有 IPv6 流量阻止接口处理所有 IPv6 流量。禁用 IPv6 流量可以改进非 IPv6 流量的防火墙性能。如果防火墙在纯 IPv4 环境中部署,Dell SonicWALL 建议启用该选项。
– 选择启用侦听路由器发布允许防火墙接收路由器发布。如果禁用,接口过滤所有接收的路由器发布消息,这可以通过阻止接收恶意网络参数(例如前缀信息或默认网关)来增强安全性。该选项在自动模式中不可用。在自动模式中,该选项始终被启用。
– 选中启用无状态地址自动配置允许将自治 IPv6 地址分配到该接口。如果取消选中,所有分配的自治 IPv6 地址将从该接口移除。该选项在自动模式中不可用。在自动模式中,该选项始终被启用。
– 输入重复地址检测传输的数值指定在执行重复地址检测 (DAD) 时向接口分配暂定地址前发送的连续邻居请求消息数。值 0 表示未在接口执行 DAD。
– 与 IPv4 无故 ARP 类似,IPv6 节点使用邻居请求消息检测相同链路上的重复 IPv6 地址。在向 IPv6 接口分配暂定地址前,DAD 必须在任何单播地址上执行(任意广播地址除外)。
配置路由器发布设置
路由器发布允许 IPv6 路由器向 IPv6 主机发布 DNS 递归服务器地址。基于路由器发布的 DNS 配置是网络中有用、可选的替代配置,其中,IPv6 主机的地址通过 IPv6 无状态地址自动配置进行自动配置,其中获取服务器地址和与服务器通信的延迟的影响严重。路由器发布允许主机在每个链路上获取最近的服务器地址。此外,它还向提供链路配置信息的相同 RA 消息学习这些地址,从而避免了附加协议运行。这在某些移动环境中十分有益,例如在移动 IPv6 中。Dell SonicWALL 的 IPv6 实施与路由器和前缀发现中的 RFC 4861 完全兼容。
注 只有在接口处于静态模式下,才可以启用路由器发布。
要配置 IPv6 接口的路由器发布,请执行以下步骤。
1. 在“编辑接口”对话框中,单击路由公告选项卡。
选中启用路由公告复选框使其成为传播网络和前缀信息的发布接口。
3. 此外,您可以选择修改以下路由器发布设置:
– 路由公告间隔范围(秒) - 从接口发送主动提供的组播路由器发布之间的时间间隔(秒)。
– 链路 MTU - 为接口链路推荐的 MTU。值 0 表示防火墙不发布链路的 MTU。
– 可达时间(秒) - 节点在收到可达到确认后认为可达到邻居的时间。值 0 表示防火墙未指定该参数。
– 重传时间(秒) - 重新传输的邻居请求消息之间的时间。值 0 表示防火墙未指定该参数。
– 目前跳数限制 - 应填写到出站 IP 数据包的 IP 标头跃点数字段中的默认值。值 0 表示防火墙未指定该参数。
– 路由器生命期(秒) - 防火墙被接受为默认路由器的生命期。值 0 表示路由器并非默认路由器。
4. 选中管理复选框即可在路由器发布消息中设置受管理的地址配置标志。如果设置,即表示通过动态主机配置协议可以获得 IPv6 地址。
5. 选中其他配置复选框即可在路由器发布消息中设置其他配置标志。如果设置,即表示通过动态主机配置协议可以获得其他配置信息。
配置路由器发布前缀设置
1. 单击添加前缀按钮配置发布前缀。发布前缀为主机提供用于在链路上确定和地址自动配置的前缀。
输入将与路由器发布消息一起发布的前缀。
3. 输入有效的生命期(分钟)设置前缀可用于在链路上确定的时间长度(分钟)。值“71582789”表示无限生命期。
4. 输入首选生命期(分钟)设置通过地址自动配置从前缀生成的地址保持为首选地址的时间长度。值“71582789”表示无限生命期。
5. 另外,可以选择单击 On-link 复选框在前缀信息选项中启用链路上标志,这表示前缀可用于链路上确定。
6. 另外,可以选择单击自治的复选框在前缀信息选项中启用自治地址配置标志,这表示前缀可用于无状态地址配置。
7. 单击确定。
DHCPv6(用于 IPv6 的 DHCP)是为 IPv6 主机提供状态地址配置或无状态配置设置的客户端/服务器协议。当接口被配置为 DHCPv6 模式后,DHCPv6 客户端被启用为学习 IPv6 地址和网络参数。
DHCPv6 定义两个不同的配置模式:
• DHCPv6 状态模式:DHCPv6 客户端需要 IPv6 地址与其他网络参数(例如 DNS 服务器、域名等)。
• DHCPv6 状态模式:DHCPv6 客户端仅获取 IPv6 地址以外的网络参数。选择哪种模式取决于发布的路由器发布消息中的受管理 (M) 地址配置及其他 (O) 配置标志:
– M = 0, O = 0:无 DHCPv6 基础结构。
– M = 1, O = 1:IPv6 主机对 IPv6 地址和其他网络参数设置使用 DHCPv6。
– M = 0, O = 1:IPv6 主机只对 IPv6 地址分配使用 DHCPv6。
– M = 1, O = 0:IPv6 主机只有对其他网络参数设置使用 DHCPv6,也称为 DHCPv6 无状态。
下图显示 DHCPv6 拓扑结构示例。
可以在 DHCPv6 下分配三种 IPv6 地址类型:
• 自动地址
• 自治地址
• 通过 DHCPv6 客户端分配的 IPv6 地址
要配置 DHCPv6 地址的接口,请执行以下步骤:
1. 导航至网络 > 接口页面。
2. 单击页面右上角的 IPv6 按钮。设备的 IPv6 地址显示。
3. 单击您要为其配置 IPv6 地址的接口的配置图标。将显示“编辑接口”对话框。
4. 在 IP 分配下拉菜单中,选择 DHCPv6。
对于为 DHCPv6 模式配置的 IPv6 接口,可以配置以下选项:
– 使用快速提交选项 - 如果启用,DHCPv6 客户端使用“快速提交选项”以使用两个消息交换用于地址分配。
– 在启动时发送续借以前 IP 的提示 - 如启用,在防火墙启动时,DHCPv6 客户端将尝试续订分配的地址。
6. 设置接口的 DHCPv6 模式。按照 RFC 的要求,DHCPv6 客户端根据路由器发布消息决定应该选择哪种模式(有状态或无状态)。如果用户想要自行确定 DHCPv6 模式,以上定义会限制用户的选择。Dell SonicWALL 的 DHCPv6 实施定义了两种不同的模式用于平衡合规与灵活性:
– 自动 - 在这种模式下,IPv6 接口按照最近接收的路由器发布消息中 M 和 O 设置,使用无状态/状态自动配置来配置 IPv6 地址。
– 手动 - 在手动模式下,不管收到的路由器发布如何,DHCPv6 模式总是手动配置。仅请求无状态信息选项将确定使用哪种 DHCPv6 模式。如果取消选中该选项,DHCPv6 客户端则处于有状态模式,如果选中该选项,DHCPv6 客户端处于无状态模式下,仅获取网络参数。
7. 另外,也可以选中仅请求无状态信息复选框使 DHCPv6 客户端只向 DHCPv6 服务器请求网络参数设置。IPv6 地址通过无状态自动配置进行分配。
8. 另外,您也可以选择配置管理登录或用户登录。
9. 单击确定完成配置,或单击高级选项卡配置高级选项或单击协议选项卡查看 DHCPv6 有状态和无状态配置信息。
配置 IPv6 接口的高级设置
以下选项可以在 IPv6 编辑接口对话框的高级选项卡中配置:
• 选择禁用接口上的所有 IPv6 流量阻止接口处理所有 IPv6 流量。禁用 IPv6 流量可以改进非 IPv6 流量的防火墙性能。如果防火墙在纯 IPv4 环境中部署,Dell SonicWALL 建议启用该选项。
• 选择启用侦听路由器发布允许防火墙接收路由器发布。如果禁用,接口过滤所有接收的路由器发布消息,这可以通过阻止接收恶意网络参数(例如前缀信息或默认网关)来增强安全性。该选项在自动模式中不可用。在自动模式中,该选项始终被启用。
• 选中启用无状态地址自动配置允许将自治 IPv6 地址分配到该接口。如果取消选中,所有分配的自治 IPv6 地址将从该接口移除。该选项在自动模式中不可用。在自动模式中,该选项始终被启用。
• 输入重复地址检测传输的数值指定在执行重复地址检测 (DAD) 时向接口分配暂定地址前发送的连续邻居请求消息数。值 0 表示未在接口执行 DAD。
与 IPv4 无故 ARP 类似,IPv6 节点使用邻居请求消息检测相同链路上的重复 IPv6 地址。在向 IPv6 接口分配暂定地址前,DAD 必须在任何单播地址上执行(任意广播地址除外)。
DHCPv6 协议选项卡
在 DHCpv6 模式中配置 IPv6 接口时,协议选项卡显示附加 DHCPv6 信息。
以下信息显示在协议选项卡中:
• DHCPv6 状态:如果为无状态模式配置了接口,DHCPv6 将为无状态。如果为状态模式配置了接口,DHCPv6 状态将为启用或禁用。如果接口在状态 DHCPv6 模式中,将光标放置在 DHCPv6 状态左侧的图标上即可显示接口的当前路由器发布信息。
• DHCPv6 服务器:DHCPv6 服务器的 IPv6 地址。
• 状态地址需要通过 DHCPv6:显示任何获得的状态 IPv6 地址的信息。
• DNS 服务器:任何 DNS 服务器的 IPv6 地址。
自动模式使用 IPv6 的无状态地址自动配置分配 IPv6 地址。该模式不需要网络管理员的任何手动地址配置。防火墙侦听网络并接收来自相邻路由器的前缀信息。IPv6 无状态地址自动配置功能执行所有配置的详细信息,例如 IPv6 地址分配,在发生地址冲突或生命期过期时删除地址,以及根据收集自链路上路由器的信息选择默认网关。
注 只能为 WAN 区域配置自动模式。出于安全考虑,LAN 区域接口上没有自动模式。
下图显示在自动模式中配置的 IPv6 样本拓扑结构。
在这种模式下,可以分配两种 IPv6 地址:
• 自动地址 - 接口默认链路 - 本地地址。这永远不会超时,且无法编辑或删除。
• 自治地址 - 分配自无状态地址自动配置。如果用户不想等到有效生命期到期,可以手动删除地址。
要配置自动模式的 IPv6 接口,请执行以下步骤:
1. 导航至网络 > 接口页面。
2. 单击页面右上角的 IPv6 按钮显示 IPv6 地址。
3. 单击您要为其配置 IPv6 地址的接口的配置图标。将显示“编辑接口”对话框。
在 IP 分配下拉菜单中选择 Auto。
另外,您可以选择在高级选项卡输入重复地址检测传输的数值指定在执行重复地址检测 (DAD) 时向接口分配暂定地址前发送的连续邻居请求消息数。值 0 表示未在接口执行 DAD。
6. 单击确定。
IPv6 的以太网点对点协议 (PPPoE) 可用于通过简单的桥接访问设备连接主机网络与 IPv6 网络中的远程访问集中器。每台主机都利用自身的点对点协议栈,用户将看到熟悉的用户界面。访问控制、计费和服务类型可以按用户执行,而不是按站点。IPv4 和 IPv6P 的 PPoE 使用相同的接口避免相同接口上具有多重 PPPoE 连接,且 IPv6 的 PPPoE 无法单独应用,必须与 PPPoEv4 同时使用。这表示在接口上为 IPv6 配置 PPPoE 前,必须配置 PPPoE 模式的 IPv4 分配。建立 IPv6 的 PPPoE 连接后,还可以传递 IPv4 流量和在本地网络以外通信。
要使用 IPv6 配置 PPPoE 的接口,请执行以下步骤:
1. 在管理界面中浏览至网络 > 接口页面。
2. 配置 IPv4 中的接口以使用 PPPoE。
3. 将查看 IP 版本单选按钮更改为 IPv6。
4. 单击所需接口的配置图标。
5. 在常规和协议选项卡中配置接口参数。
点对点协议 NCP 协商只能协商链路的本地地址,并用于在本地网络内通信,所以为了在本地网络以外通信,应该获得全局地址。
6. 要获得全局地址,在常规选项卡中配置获取的 PPPoE 全局地址部分。
有三种获取全局地址的方式:
自动
默认全局地址被设为自动,其中提供链路本地地址。
a.从 PPPoE 地址分配下拉列表中选择自动。
b.单击确定按钮。
静态
a.从 PPPoE 地址分配下拉列表中选择静态模式。
b.单击确定按钮。
DHCPv6
a.从 PPPoE 地址分配下拉列表中选择 DHCPv6。
b.在高级选项卡中,单击启用侦听路由器发布和启用无状态地址自动配置复选框。
c.单击确定按钮。
现在,IPv6 的 PPPoE 功能已配置。如需禁用,请在网络 > 接口页面单击所需接口的断开连接按钮。
在 IPv6 中配置 VLAN 子接口的程序与在 IPv4 中配置完全相同。详细信息,请参阅第 193 页的配置 VLAN 子接口。
所有 VLAN 子接口在 IPv6 中配置之前,必须在 IPv4 中配置。
在 IPv6 中配置有线模式接口的程序与在 IPv4 中配置完全相同。详细信息,请参阅第 198 页的配置用于有线模式的接口。
所有有线模式接口必须在 IPv4 中配置,无法在 IPv6 中编辑有线模式设置。在 IPv4 中启用的任何功能(例如“链路状态传播”)将应用于 IPv6。
本节说明如何以隧道方式通过 IPv6 网络传输 IPv4 数据包和通过 IPv4 网络传输 IPv6 数据包。例如,为了通过 IPv4 网络传输 IPv6 数据包,会在隧道的入口侧将 IPv6 数据包封装到 IPv4 数据包中。在封装的数据包到达隧道的出口时,IPv4 数据包将被解封。
隧道可以是自动或手动配置。配置的隧道按封装节点上的配置信息确定端点地址。自动隧道根据嵌入式 IPv6 数据报的地址确定 IPv4 端点。IPv4 组播隧道通过邻居发现机制确定端点。
下图描绘了 IPv6 至 IPv4 隧道。
以下章节说明 IPv6 隧道接口配置:
• 6rd 隧道接口
6 至 4 自动隧道是自动隧道:隧道端点提取自封装式 IPv6 数据报。无需手动配置。
6 至 4 隧道使用格式“2002:tunnel-IPv4-address::/48”的前缀通过 IPv4 以隧道传输 IPv6 流量。(例如,如果隧道的 IPv4 端点具有地址 a01:203,则 6 至 4 隧道前缀是 “2002:a01:203::1”。)路由器向 IPv6 客户端发布“2002:[IPv4]:xxxx/64”形式的前缀。有关完整的信息,请参见 RFC 3056。
下图显示 6 至 4 自动隧道拓扑结构的示例。
在本例中,客户无需指定隧道端点,但需要启用 6 至 4 自动隧道。具有 2002 前缀的所有数据包都被传送至隧道,且隧道的 IPv4 目标将从目标 IPv6 地址中提取。
6 至 4 隧道易于配置和使用。用户必须使用具有 2002 前缀的全局 IPv4 地址和 IPv6 地址。因此,总而言之,用户只能访问具有 2002 前缀的网络资源。
注 只能在防火墙上配置一个 6 至 4 自动隧道。
要在防火墙上配置 6 至 4 隧道,请执行以下步骤:
1. 导航至网络 > 接口页面。
2. 单击添加接口按钮。
选择 6 至 4 隧道接口的区域。这通常是 WAN 接口。
4. 在隧道类型下拉菜单中,选择 6to4 Auto Tunnel Interface。
5. 默认情况下,接口名称被设为 6to4AutoTun。
6. 选中启用 IPv6 6to4 隧道复选框。
7. 另外,您也可以选择通过 6 至 4 隧道配置管理登录或用户登录。
8. 单击确定。
默认情况下,6 至 4 自动隧道只能访问具有 2002 前缀的目标。6 至 4 中继功能可用于访问非 2002 前缀的目标。
要启用 6 至 4 中继,转到网络 > 路由。然后,单击添加按钮创建通过 6 至 4 自动隧道接口传送去往 2003 前缀目标的所有流量的路由策略,如下例所示:
可以向 6 至 4 自动隧道接口添加该静态路由以启用中继功能,这样就可以通过 6 至 4 隧道访问具有非 2002: 前缀的 IPv6 目标。注意网关必须是具有 2002: 前缀的 IPv6 地址。
要在防火墙上配置 6 至 4 隧道,请执行以下步骤:
1. 导航至网络 > 接口页面。
2. 单击添加接口按钮。
选择隧道接口的区域。
4. 在隧道类型下拉菜单中,选择 IPv6 Manual Tunnel Interface。
5. 输入隧道接口的名称。
6. 输入隧道端点的远程 IPv4 地址。
7. 对于远程 IPv6 网络,选择 IPv6 地址对象,可以是群组、范围、网络或主机。
8. 另外,您也可以选择通过 6 至 4 隧道配置管理登录或用户登录。
9. 单击确定。
GRE 可用于通过 IPv4 或 IPv6 以隧道方式传输 IPv4 和 IPv6 流量。GRE 隧道是静态隧道,其中,两个端点由手动指定。下图显示 GRE IPv6 隧道示例。
GRE 隧道的配置类似于手动隧道,但选择 GRE 隧道接口作为隧道类型。
IPv6 前缀授权也称为 DHCPv6 前缀授权 (DHCPv6-PD),是 DHCPv6 的扩展。在 DHCPv6 中,由 DHCPv6 服务器将地址分配到 IPv6 主机。在 DHCPv6-PD 中,由 DHCPv6-PD 服务器将完整的 IPv6 子网地址及其他参数分配到 DHCPv6-PD 客户端。
在启用 DHCPv6-PD 时,可以应用于附加到 WAN 区域的所有 DHCPv6 接口。DHCPv6-PD 是与 DHCPv6 共存的附加子网配置模式。
IPv6 地址是 DHCPv6-PD 服务器提供的前缀和 DHCPv6-PD 客户端提供的后缀的组合。前缀长度默认为 64 位,但可以编辑。
防火墙启动时,将自动创建称为 Prefixes from DHCPv6 Delegation 的默认地址对象群组。授权自上游接口的前缀是该群组的成员。
IPv6 前缀授权的配置在:
• 上游接口
• 一个或多个下游接口
当上游接口向 DHCPv6-PD 服务器学习前缀授权后,SonicOS 计算 IPv6 地址前缀并将其应用于所有下游接口,下游接口将这些信息发布到网络分段的所有主机中。
本章节包含以下配置程序:
注 在网络中禁用前缀授权之前,建议首选在上游接口释放前缀授权。
要在上游接口配置 IPv6 前缀授权:
1. 转到网络 > 接口页面。
2. 在查看 IP 版本中,选择 IPv6。
3. 对于想要配置为上游接口的接口,单击其配置列中的编辑图标。将显示编辑接口对话框。
4. 区域始终是 WAN。
5. 从 IP 分配菜单中,选择 DHCPv6。
6. 选择启用 DHCPv6 前缀授权选项。
7. 从 DHCPv6 模式菜单中选择 Manual。
8. 要查看配置的 DHCPv6 信息,请单击协议选项卡。
DHCPv6 常规信息面板中显示 DHCPv6 DUID。
状态地址需要通过 DHCPv6 面板中显示状态 IAID。
通过 DHCPv6 授权已取得的前缀面板中显示授权 IAID。
9. 单击续订按钮。
其他列的信息也得以显示。
要在下游接口配置 IPv6 前缀授权:
1. 转到网络 > 接口页面。
2. 选择 IPv6 选项。
3. 对于想要配置为下游接口的接口,单击其配置列中的编辑图标。编辑接口对话显示。
4. 选择启用路由公告选项。
5. 单击高级选项卡。编辑接口对话显示。
如果获取了上游前缀,将显示在 IPv6 地址面板中。
6. 如果无法获取上游前缀,则替代地址显示在 IPv6 地址面板中。
7. 单击添加地址按钮显示添加 IPv6 地址对话框。
8. 选择添加下行代理的 IPv6 地址选项。
9. (可选)选择广播子网静态 IPv6 地址的前缀选项。
10. 单击路由公告选项卡。
11. 选择启用路由公告选项。
如果在常规选项卡下选择了发布子网静态 IPv6 地址的前缀选项,前缀将列出在前缀列表设置面板中。
12. 要查看新 IPv6 PD 接口,转到网络 > 路由页面。
13. 选择 IPv6 选项。
显示具有前缀授权的两个新 IPv6 接口(上游和下游)。
IPv6 快速部署 (6rd) 允许 IPv6 在 IPv4 网络中快速、轻松部署。6rd 使用服务提供商的现有 IPv6 地址前缀,以确保 6rd 运行域仅限于服务提供商的网络,也受到服务提供商的直接控制。
6rd 隧道接口是在 IPv4 网络中传输 6rd 封装式 IPv6 数据包的虚拟接口。
注 6rd 隧道接口必须绑定到物理或虚拟接口。
部署 6rd 后,IPv6 服务等同于本机 IPv6。IPv6 地址与 IPv4 地址的 6rd 映射提供从 IPv6 前缀自动确定 IPv4 隧道端点的方式,从而允许 6rd 的无状态操作。
6rd 域包含多个 6rd 用户边缘 (CE) 路由器和一个或多个 6rd 边界中继 (BR) 路由器。6rd 封装的 IPv6 数据包遵循服务提供商网络内的 IPv4 路由拓扑结构。
使用用户边缘路由器和边界中继路由器的典型 6rd 实施只需要一个 6rd 隧道接口。服务于多个 6rd 域的边界中继路由器可能具有多个 6rd 隧道接口。但是,每个 6rd 域只能有一个 6rd 隧道接口。
IPv6 数据包在进入或退出服务提供商的 6rd 域时穿过边界中继。由于 6rd 无状态,数据包可以使用任何广播方式被发送至边界中继,其中,来自单一来源的数据包被传送到潜在接收器群组中的最近节点或传送到全部由相同目标地址识别的多个节点。
服务提供商可以在单个域或多个域中部署 6rd。6rd 域只能有一个 6rd 前缀。不同的 6rd 域必须使用不同的 6rd 前缀。
在网络 > 路由页面的路由策略面板,有四个用于 6rd 隧道接口的默认路由策略。
有两个配置模式:
• 手动
• DHCP
可以手动设置以下四个 6rd 参数,或者如果您选择 DHCP 作为配置模式,这些参数将由 DHCPv4 服务器自动设置。
• IPv4 掩码长度
• 6rd 前缀
• 6rd 前缀长度
• 6rd BR IPv4 地址
在 DHCP 模式中,从绑定的接口接收 6rd 参数。在手动模式中,6rd 参数必须手动配置。
6rd 隧道接口的配置方式与其他 IPv6 隧道接口相同。配置 6rd 隧道接口需要绑定接口。
要配置 6rd 隧道接口:
1. 转到网络 > 接口页面。
2. 在视图 IP 版本中,选择 IPv6。
3. 在接口设置面板,单击添加接口按钮。
注 只有在选择 DHCP 作为配置模式时,才会显示协议选项卡。
4. 从区域菜单中选择 WAN。
5. 接口类型菜单被禁用。Tunnel Interface 已被选中,因为在第 3 步中已经从添加接口菜单中选择。
6. 从隧道类型菜单中选择6rd Tunnel Interface。
7. 在名称框中,输入隧道接口的名称,例如 6rd Tunnel。
8. 在隧道接口 IPv6 地址框中输入隧道接口的 IPv6 地址。
例如 2001::2。
9. 在前缀长度框中输入 IPv6 前缀的长度。例如 64。
10. 从绑定到菜单中选择所需的接口,例如 X1。
11. 从配置模式菜单中选择所需的模式:手动或 DHCP。
注 如果选择手动作为配置模式,则执行第 12 至第 15 步。
如果选择 DHCP 作为配置模式,则忽略第 12 至第 15 步。
12. 在 6rd 前缀框中,输入 6rd 前缀,例如 2222:2222::
(仅手动模式)。
13. 在 6rd 前缀长度框中,输入 6rd 前缀的长度,例如 32
(仅手动模式)。
14. 在 IPv4 掩码长度框中,输入 IPv4 子网掩码的长度
(仅手动模式)。
15. 在 BR IPv4 地址框中,输入 6rd 边界中继的 IPv4 地址。
(仅手动模式)。
16. (可选)在备注框中输入描述隧道接口的注释。
17. 选择自动添加默认路由选项。
18. 选择所需的管理选项,或选择所需的用户登录选项。
如果选择 Manual 作为配置模式,6rd 隧道接口设置就会显示在常规选项卡下。
如果选择 DHCP 作为配置模式,6rd 隧道接口设置就会显示在协议选项卡下。
ISATAP(站内自动隧道寻址协议)可用于通过只有 IPv4 的基础架构提供 IPv6 连接。ISATAP 是通过 IPv4 网络连接双栈 (IPv6/IPv4) 节点与其他双栈节点或 IPv6 节点的简单隧道机制。ISATAP 将 IPv4 网络视为 IPv6 的链路层。
ISATAP 可在多个场景中用于提供 ISATAP 主机之间,和 ISATAP 主机与 IPv6 网络上主机之间的单播连接。
图 1 显示在相同逻辑 ISATAP 子网上 ISATAP 主机之间传送 ISATAP 流量:
图 1
图 2 显示在不同逻辑 ISATAP 子网上主机之间传送 ISATAP 流量:
图 2
图 3 显示在 ISATAP 主机与启用 IPv6 的网络上主机之间传送数据包。
图 3
在图 1 显示的场景中,ISATAP 主机可以直接互相通信,无需通过 ISATAP 路由器或 IPv6 网络。这允许启用 IPv6 的应用程序利用现有 IPv4 基础架构的连接。
其他两个场景需要 ISATAP 路由器的 IPv6 接口连接到 IPv6 网络,以支持在面向 ISATAP 接口的 IPv4 网络与 IPv6 接口之间的转发。
需要在主机和路由器上实施和运行 ISATAP。Windows XP 和 Windows 7 平台上默认启用双栈节点支持。
UTM 中的 ISATAP 支持允许 Dell SonicWALL 在面向 LAN 的接口上作为 ISATAP 路由器,在 ISATAP 隧道接口和连接到 IPv6 网络的 IPv6 接口之间转发 IPv6 数据包。
要配置 ISATAP 隧道,请执行以下任务:
1. 在网络 > 接口页面的查看 IP 版本中,选择 IPv6。
2. 单击添加接口按钮。
3. 在“常规”选项卡中,为隧道接口选择区域。
4. 在隧道类型下拉列表中,选择 ISATAP 隧道接口。
5. 输入隧道接口的名称。
6. 绑定到 IPv4 地址 - 从下拉列表中选择接口。ISATAP 隧道使用绑定接口的 IPv4 地址作为 6over4 隧道的 IPv4 终止地址。
7. IPv6 子网前缀 - 从下拉列表中选择地址对象(或选择“创建新地址对象”)。IPv6 子网前缀是 64 位前缀,被 ISATAP 主机用于 ISATAP 地址自动配置。
8. 隧道接口链路 MTU - 接口链路的推荐 MTU。值 0 表示防火墙不发布链路的 MTU。
9. 在注释字段中输入任何可选的注释文本。此文本将显示在接口表的注释列中。
10. 如果想要启用通过此接口远程管理防火墙,请选择支持的管理协议:HTTPS、Ping 或 SNMP。
11. 如果想要允许具有有限管理权限的选定用户登录安全设备,请在用户登录中选择 HTTP 和/或 HTTPS。
此外,您可以指定 SonicOS 如何解析 ISATAP 主机查询:
1. 导航至防火墙设置 > 高级页面。
2. 找到 IPv6 高级配置部分。
– 启用 ISATAP 的 NetBIOS 名称查询响应 - 如果要安全设备响应 NetBIOS 查询以帮助 ISATAP 主机将名称解析为 IPv4 地址,请选中该选项。
– 解析的名称 ISATAP 有效时间(秒)- 输入时间段(秒)。
使用 IPv6 访问 Dell SonicWALL 用户界面
在防火墙上配置 IPv6 寻址后,可以通过在浏览器的 URL 字段输入防火墙的 IPv6 访问 Dell SonicWALL 用户界面。
• IPv6 DNS
• 地址对象
• 基于策略的路由
• 邻居发现协议
• 组播路由
IPv6 的 DNS 使用与 IPv4 相同的配置方法。单击网络 > DNS 页面左上角的视图 IP 版本单选按钮中的 IPv6 选项。
IPv6 地址对象或地址群组的添加方式与 IPv4 地址对象相同。在网络 > 地址对象页面,视图 IP 版本单选按钮有三个选项:仅 IPv4、仅 IPv6 或 IPv4 和 IPv6。
支持类型为主机、范围和网络的地址对象。IPv6 主机当前不支持 MAC 和 FQDN 的动态地址对象。
IPv4 接口为每个接口定义了一对默认地址对象 (DAO) 和一个地址对象组。IPv4 DAO 的基本规则是,每个 IPv4 地址对应于 2 个地址对象:接口 IP 和接口子网。还有一些 AO 组,分别用于区域接口 IP、区域子网、所有接口 IP、所有接口管理 IP 等。
IPv6 接口为每个接口准备了相同的 DAO 集。由于可以将多个 IPv6 分配给一个接口,因而可以动态添加、编辑和删除所有这些地址。因此,需要动态创建和删除 IPv6 DAO。
为解决此问题,将不会为 IPv6 接口动态生成 DAO。将创建数量有限的接口 DAO,导致只能为其他需要参考接口 DAO 的模块提供有限支持。
通过在网络 > 路由页面上选择路由策略的 IPv6 地址对象和网关,IPv6 完全支持基于策略的路由。在网络 > 路由页面上,视图 IP 版本单选按钮具有三个选项:仅 IPv4、仅 IPv6 或 IPv4 和 IPv6。OSPF 功能会显示两个单选按钮,以在版本 2 与版本 3 之间切换。
下一代路由信息协议 (RIPng) 是用于 IPv6 的信息路由协议,它允许路由器通过基于 IPv6 的网络交换用于计算路由的信息。
添加了单选按钮用于在 RIP 和 RIPng 之间切换:
可以通过在网络 > NAT 策略页面选择 IPv6 地址对象配置 IPv6 的 NAT 策略。在网络 > NAT 策略页面上,视图 IP 版本单选按钮具有三个选项:仅 IPv4、仅 IPv6 或 IPv4 和 IPv6。
配置 IPv6 NAT 策略时,源和目标对象只能为 IPv6 地址对象。
注 当前不支持 IPv6 探查 NAT 策略。
邻居发现协议 (NDP) 是作为 IPv6 一部分创建的新消息发送协议,用于执行 IPv4 中 ICMP 和 ARP 活动的很多任务。如同 ARP,邻居发现协议构建动态条目缓存,管理员可以配置静态邻居发现条目。下表显示类似于传统 IPv4 邻居消息的 IPv6 邻居消息和功能。
|
使用静态 NDP 功能,可以在三层 IPv6 地址与二层 MAC 地址之间创建静态映射。
要配置静态 NDP 条目,请执行以下步骤:
浏览到网络 > 邻居发现页面,然后单击添加按钮。
在 IP 地址字段,输入远程设备的 IPv6 地址。
3. 在接口下拉菜单中,选择将作为条目的防火墙接口。
4. 在 MAC 地址字段中,输入远程设备的 MAC 地址。
5. 单击确定。已添加了静态 NDP 条目。
NDP 缓存表显示所有当前的 IPv6 邻居。将显示以下类型的邻居:
– REACHABLE - 已知可在 30 秒内连接到邻居。
– STALE - 无法连接到邻居,流量已在 1200 秒内被发送至邻居。
– STATIC - 邻居被手动配置为静态邻居。
网络 > 组播路由页面用于配置 IPv6 的组播设置,可以分为以下两部分:
• 组播代理
• 组播侦听程序发现
维护 IPv6 与 IPv4 网络之间的互操作性是在网络中实施 IPv6 的一项主要挑战之一。除了可以使用基于数据包的组播转换,Dell SonicWALL 还支持可以在 IPv6 和 IPv4 网络之间的边界上部署组播代理解决方案。Dell SonicWALL 接收来自 IPv4 网络的组播数据,进行缓存然后将数据组播到 IPv6 网络。(或者反之从 IPv6 向 IPv4 网络发送组播数据。)这无需基于数据包的转换即可实现。
要配置 IPv6 和 IPv4 网络之间的组播代理,请执行以下步骤:
1. 浏览至网络 > 组播路由页面。
2. 选中启用组播代理复选框。
3. 在上游接口下拉菜单中,选择连接至 IPv6 网络的接口。
4. 在下游接口下拉菜单中,选择连接至 IPv4 网络的接口。
5. 单击接受按钮。组播数据现已设置代理。
IPv6 路由器使用组播侦听程序发现 (MLD) 协议发现与防火墙直接相连的组播侦听程序。MLD 为 IPv6 执行的功能与 IGMP 在 IPv4 中的功能相似。有两个 MLD 版本。MLDv1 类似于 IGMPv2,MLDv2 类似于 IGMPv3。
|
MLD 功能不需要任何明确的配置。有多个可微调的变量用于修改 MLD 行为:
• 组播路由器查询间隔:指定 MLD 查询之间的时间长度(秒)。默认值为 125 秒。
• 组播最后侦听程序查询间隔:路由器在从组播群组中删除不响应端口之前等待的最长时间。降低该值将缩短防火墙检测组播地址或来源的最后侦听程序退出所需的时间。默认值是 1000 毫秒(1 秒)。
• 组播路由器查询响应间隔:插入到定期 MLD 查询的最大响应延时。通过变更组播路由器查询响应间隔,管理员可以调节链路上 MLD 消息的突发状况,提高该值可以减少流量突发,主机的响应也分布到更大的间隔。组播路由器查询响应间隔必须小于查询间隔。默认值为 10000 毫秒(10 秒)。
• 组播路由器可靠变量:指定在删除目标前发送的无响应查询数。该变量允许根据链路上预计的数据包损失调节协议。对于有损链路(例如无线连接),可靠变量的值可能增加。默认值为 2。可靠变量不得配置为小于 2。
在网络 > DNS 页面左上角的查看 IP 版本单选按钮中选择 IPv6 选项后,DHCPv6 服务器的配置方式与 IPv4 相似。
IPv6 防火墙访问规则的配置方式与 IPv4 访问规则相同,但需要选择 IPv6 地址对象,而不是 IPv4 地址对象。在防火墙 > 访问规则页面,视图 IP 版本单选按钮有三个选项:仅 IPv4、仅 IPv6 或 IPv4 和 IPv6。
在添加 IPv6 访问规则时,源和目标只能是 IPv6 地址对象。
您可以在防火墙设置 > 高级中配置 IPv6 的高级防火墙设置,包括数据包限制和流量限制。更多信息,请参见第 596 页的IPv6 高级配置。
在 VPN > 设置页面左上角的视图 IP 版本单选按钮中选择 IPv6 选项后,IPSec VPN 的 IPv6 配置方式与 IPv4 VPN 相似。
IPv6 目前不支持某些 VPN 功能,包括:
• 支持 IKEv2,但目前不支持 IKE
• 不支持 GroupVPN
• 不支持 DHCP Over VPN。
在配置 IPv6 VPN 策略时,在常规选项卡上必须使用 IPv6 地址配置网关。不支持 FQDN。在配置 IKE 身份验证时,IPV6 地址可用于本地和对等 IKE ID。
IPv6 不支持 DHCP Over VPN 和 L2TP 服务器。
在 VPN 策略的网络选项卡上,必须选择 IPV6 地址对象(或者仅包含 IPv6 地址对象的地址群组)用于本地网络和远程网络。
不支持 DHCP Over VPN,因此受保护网络的 DHCP 选项不可用。
本地网络的任何地址选项和远程网络的全部隧道传输选项被移除。选择全零 IPv6 网络地址对象可实现相同的功能和行为。
在建议选项卡中,IPv6 和 IPv4 的配置完全相同,不过 IPv6 仅支持 IKEv2 模式。
在高级选项卡中,只能为 IPv6 VPN 策略配置启用 Keep Alive 和 IKEv2 设置。
注 由于接口可以具有多个 IPv6 地址,所以有时隧道的本地地址可能定期发生变化。如果用户需要一致的 IP 地址,则将 VPN 策略配置为绑定到接口,而不是绑定到区域,并手动指定地址。地址必须是该接口的一个 IPv6 地址。
SonicOS 支持拥有 IPv6 地址的用户使用 NetExtender 连接。在 SSLVPN > 客户端设置页面上,首先配置传统 IPv6 IP 地址池,然后配置 IPv6 IP 池。每个客户端将分配两个内部地址:一个 IPv4 和一个 IPv6。
不支持 IPv6 DNS/Wins 服务器
在 SSLVPN > 客户端路由页面上,用户可以从所有地址对象,包括所有预定义 IPv6 地址对象的下拉列表中选择一个客户端路由。
注 支持 IPv6 FQDN。
应用程序流量监控和实时监控的 IPv6 可视化是 IPv4 可视化的扩展,提供了接口/应用程序速率的实时监控和管理界面中会话的可视性。
通过新的 IPv6 可视化仪表板监控改善,管理员可以更快速响应网络安全漏洞和网络带宽问题。管理员可以查看员工正在访问哪些网站,在其网络中正在使用哪些应用程序和服务及其使用程度,从而监督传输自/至组织的内容。
应用程序流量监控页面具有两个新选项用于查看 IP 版本选择。这些选项用于仅监控 IPv6 流量,或同时监控 IPv4 和 IPv6 流量。
实时监控页面在“应用程序和带宽”面板的接口下拉菜单下具有相同的两个新选项。
IPv6 的可视化具有以下功能限制:
• 不支持 IPv6 URL 分级,因为 CFS 不支持 IPv6 的所有方面。
• 不支持 IPv6 国家或地区信息。
• 不支持 IPv6 外部报告。
IPv6 和 IPv4 的应用程序流量监控和实时监控可视化的配置相同,利用“查看 IP 版本”单选按钮更改视图/配置。有关可视化常规配置的更多信息,请参阅第 45 页的可视化仪表板。
IPv6 高可用性 (HA) 监控作为 IPv4 中 HA 监控的扩展程序实施。在配置 IPv6 的 HA 监控后,可以从 IPv6 监控地址管理主要和备用设备,且 IPv6 探测可以检测 HA 对的网络状态。
IPv6 和 IPv4 单选按钮显示在高可用性 > 监控页面中,可以在两个视图之间切换以轻松配置两个 IP 版本:
本节包含以下子节:
IPv6 HA 监控的功能限制如下:
• 不能在 IPv6 HA 监控配置页面中更改物理/链路监控属性。在 IPv4 HA 监控配置页面设置属性。
• 不能在 IPv6 HA 监控配置页面中“覆盖虚拟 MAC”属性。在 IPv4 HA 监控配置页面设置属性。
• 无法同时对 IPv4 和 IPv6 启用 HA 探测。也就是说,如果启用了 IPv4 探测,IPv6 探测必须被禁用,反之亦然。
ICMPv6 数据包定期从主要和备用设备被发出以探测 IPv6 地址,还会监控来自被探测的 IPv6 地址的响应。如果活动设备无法到达被探测的 IPv6 地址,但闲置设备可以,则备用设备具有更好的网络状态和故障切换动作。
IPv6 HA 探测中使用 IPv6 地址、ICMPv6 回显请求和 ICMPv6 回响响应。IPv4 和 IPv6 中用于判断主要和备用设备的网络状态的逻辑相同。
IPv6 HA 监控配置页面继承自 IPv4,所以配置程序几乎完全相同。只需选择 IPv6 单选按钮并参阅IPv6了解详细的配置信息。
在配置 IPv6 HA 监控时请考虑以下因素:
• 物理/链路监控和虚拟 MAC 复选框显示为灰色不可用,因为它们是二层属性。也就是说,IPv4 和 IPv6 使用这些属性,所以用户必须在 IPv4 监控页面进行配置。
• 主要/备用 IPv6 地址必须在接口的相同子网中,且不能与主要/备用设备的全局 IP 和链路本地 IP 相同。
• 如果主要/备用监控 IP 被设为(非 ::),就不能是相同的。
• 如果启用了管理复选框,则主要/备用监控 IP 不能为未指定(即 ::)。
• 如果启用了探测复选框,则探测 IP 不能为未指定。
SonicOS 完整补充了 IPv6 诊断工具,包括:
• 数据包捕获
数据包捕获完全支持 IPv6。
此外,IPv6 关键字可用于过滤数据包捕获。
Ping 工具包含一个新的 IPv6 网络优先选项。
Ping 一个域名时,它使用返回的第一个 IP 地址,并显示实际的 Ping 地址。如果同时返回 IPv4 和 IPv6 地址,防火墙默认 Ping IPv4 地址。
如果启用了 IPv6 网络优先,防火墙将 Ping IPv6 地址。
执行 IPv6 DNS 查找或 IPv6 反向域名查找时,必须输入 DNS 服务器地址。可以使用 IPv6 或 IPv4 地址。
