|
•
|
|
•
|
IPv6 接口可以在网络 > 接口 页面通过单击页面右上角查看 IP 版本单选按钮的 IPv6 选项进行配置。
默认情况下,所有 IPv6 接口显示为不使用 IP 地址路由。可以在相同接口添加多个 IPv6 地址。只能在 WAN 接口上配置自动 IP 分配。
可以配置每个接口是否接收路由器发布。可以在各接口启用或禁用 IPv6。
|
•
|
图 87. IPv6 静态模式配置
|
•
|
|
•
|
|
•
|
|
1
|
转至网络 > 接口页面。
|
|
2
|
单击页面右上角的 IPv6 按钮。设备的 IPv6 地址显示。
|
|
3
|
单击您要为其配置 IPv6 地址的接口的配置图标。随即显示“编辑接口”窗口。
|
|
4
|
|
5
|
输入接口的 IPv6 地址。
|
|
6
|
输入地址的前缀长度。
|
|
7
|
如果这是主要 WAN 接口,请输入默认网关的 IPv6 地址。如果这不是主要 WAN 接口,则任何默认网关条目将被忽略,所以您可以将其保留为 ::。(双冒号是空地址的缩写,或 0:0:0:0:0:0:0:0。)
|
|
9
|
选中启用路由器发布使其成为传播网络和前缀信息的发布接口。
|
|
10
|
选中发布 IPv6 主要静态地址的子网前缀向接口发布前缀列表添加默认前缀。该前缀是接口 IPv6 主要静态地址的子网前缀。该选项将帮助链路上的所有主机停留在相同子网中。
|
执行以下步骤修改高级 IPv6 接口选项或配置多个静态 IPv6 地址。
|
1
|
|
2
|
单击添加地址按钮配置接口的多个静态 IPv6 地址。
|
|
3
|
为接口的附加地址输入 IPv6 地址。
|
|
4
|
输入地址的前缀长度。
|
|
5
|
选中发布 IPv6 主要静态地址的子网前缀向接口发布前缀列表添加默认前缀。该前缀是接口 IPv6 主要静态地址的子网前缀。该选项将帮助链路上的所有主机停留在相同子网中。
|
|
6
|
单击确定。
|
|
7
|
|
•
|
选择禁用接口上的所有 IPv6 流量阻止接口处理所有 IPv6 流量。禁用 IPv6 流量可以改进非 IPv6 流量的防火墙性能。如果防火墙在纯 IPv4 环境中部署,Dell SonicWALL 建议启用该选项。
|
|
•
|
选择启用监听路由器发布允许防火墙接收路由器发布。如果禁用,接口过滤所有接收的路由器发布消息,这可以通过阻止接收恶意网络参数(例如前缀信息或默认网关)来增强安全性。该选项在自动模式中不可用。在自动模式中,该选项始终被启用。
|
|
•
|
选中启用无状态地址自动配置允许将自治 IPv6 地址分配到该接口。如果取消选中,所有分配的自治 IPv6 地址将从该接口移除。该选项在自动模式中不可用。在自动模式中,该选项始终被启用。
|
|
•
|
输入重复地址检测传输的数值指定在执行重复地址检测 (DAD) 时向接口分配暂定地址前发送的连续邻居请求消息数。值 0 表示未在接口执行 DAD。
|
|
1
|
|
2
|
选中启用路由器发布复选框使其成为传播网络和前缀信息的发布接口。
|
|
•
|
路由器发布间隔范围 - 从接口发送主动提供的组播路由器发布之间的时间间隔(秒)。
|
|
•
|
链路 MTU - 为接口链路推荐的 MTU。值 0 表示防火墙不发布链路的 MTU。
|
|
•
|
可达到的时间 - 节点在收到可达到确认后认为可达到邻居的时间。值 0 表示防火墙未指定该参数。
|
|
•
|
重传时间 - 重新传输的邻居请求消息之间的时间。值 0 表示防火墙未指定该参数。
|
|
•
|
当前跃点限制 - 应填写到出站 IP 数据包的 IP 标头度量字段中的默认值。值 0 表示防火墙未指定该参数。
|
|
•
|
路由器生命期 - 防火墙被接受为默认路由器的生命期。值 0 表示路由器并非默认路由器。
|
|
4
|
选中管理复选框即可在路由器发布消息中设置受管理的地址配置标志。如果设置,即表示通过动态主机配置协议可以获得 IPv6 地址。
|
|
5
|
选中其他配置复选框即可在路由器发布消息中设置其他配置标志。如果设置,即表示通过动态主机配置协议可以获得其他配置信息。
|
|
1
|
单击添加前缀按钮配置发布前缀。发布前缀为主机提供用于在链路上确定和地址自动配置的前缀。
|
|
2
|
|
3
|
输入有效生命期设置前缀可用于在链路上确定的时间长度(分钟)。值“71582789”表示无限生命期。
|
|
4
|
输入首选生命期设置通过地址自动配置从前缀生成的地址保持为首选地址的时间长度。值“71582789”表示无限生命期。
|
|
5
|
另外,可以选择单击链路上复选框在前缀信息选项中启用链路上标志,这表示前缀可用于链路上确定。
|
|
6
|
另外,可以选择单击自治复选框在前缀信息选项中启用自治地址配置标志,这表示前缀可用于无状态地址配置。
|
|
7
|
单击确定。
|
|
•
|
DHCPv6 状态模式:DHCPv6 客户端需要 IPv6 地址与其他网络参数(例如 DNS 服务器、域名等)。
|
|
•
|
DHCPv6 无状态模式:DHCPv6 客户端仅获取 IPv6 地址以外的网络参数。选择哪种模式取决于发布的路由器发布消息中的受管理 (M) 地址配置及其他 (O) 配置标志:
|
图 88. DHCPv6 拓扑
|
•
|
|
•
|
|
1
|
转至网络 > 接口页面。
|
|
2
|
如果您要配置未分配的接口,请单击页面右上角的 IPv4 单选按钮。
|
|
3
|
|
4
|
|
5
|
|
6
|
单击确定。
|
|
7
|
单击页面右上角的 IPv6 按钮。设备的 IPv6 地址显示。
|
|
8
|
|
9
|
|
•
|
启用 DHCPv6 前缀授权 - 如果启用此选项,则这些选项可用:
|
|
•
|
发送首选的代理前缀 - 选择此选项可要求 DHCAPv6 客户端尝试发送两个字段中指定的首选代理前缀。
|
|
•
|
在启动时发送续订以前代理前缀的提示 - 选择此选项可要求 DHCAPv6 客户端尝试在防火墙启动时续订先前分配的代理前缀。
|
|
•
|
使用快速提交选项 - 如果启用,DHCPv6 客户端使用“快速提交选项”以使用两个消息交换用于地址分配。
|
|
•
|
在启动时发送续订以前 IP 的提示 - 如启用,在防火墙启动时,DHCPv6 客户端将尝试续订分配的地址。
|
|
11
|
设置接口的 DHCPv6 模式。按照 RFC 的要求,DHCPv6 客户端根据路由器发布消息决定应该选择哪种模式(有状态或无状态)。如果用户想要自行确定 DHCPv6 模式,以上定义会限制用户的选择。Dell SonicWALL 的 DHCPv6 实施定义了两种不同的模式用于平衡合规与灵活性:
|
|
•
|
自动 - 在这种模式下,IPv6 接口按照最近接收的路由器发布消息中 M 和 O 设置,使用无状态/状态自动配置来配置 IPv6 地址。
|
|
•
|
手动 - 在手动模式下,不管收到的路由器发布如何,DHCPv6 模式总是手动配置。仅请求无状态信息选项将确定使用哪种 DHCPv6 模式。如果取消选中该选项,DHCPv6 客户端则处于有状态模式,如果选中该选项,DHCPv6 客户端处于无状态模式下,仅获取网络参数。
|
|
12
|
另外,也可以选中仅请求无状态信息复选框使 DHCPv6 客户端只向 DHCPv6 服务器请求网络参数设置。IPv6 地址通过无状态自动配置进行分配。
|
|
13
|
|
14
|
|
15
|
单击确定完成配置。
|
以下选项可以在 IPv6 编辑接口对话框的高级选项卡中配置:
|
•
|
选择禁用接口上的所有 IPv6 流量阻止接口处理所有 IPv6 流量。禁用 IPv6 流量可以改进非 IPv6 流量的防火墙性能。如果防火墙在纯 IPv4 环境中部署,Dell SonicWALL 建议启用该选项。
|
|
•
|
选择启用监听路由器发布允许防火墙接收路由器发布。如果禁用,接口过滤所有接收的路由器发布消息,这可以通过阻止接收恶意网络参数(例如前缀信息或默认网关)来增强安全性。该选项在自动模式中不可用。在自动模式中,该选项始终被启用。
|
|
•
|
选中启用无状态地址自动配置允许将自治 IPv6 地址分配到该接口。如果取消选中,所有分配的自治 IPv6 地址将从该接口移除。该选项在自动模式中不可用。在自动模式中,该选项始终被启用。
|
|
•
|
输入重复地址检测传输的数值指定在执行重复地址检测 (DAD) 时向接口分配暂定地址前发送的连续邻居请求消息数。值 0 表示未在接口执行 DAD。
|
与 IPv4 无故 ARP 类似,IPv6 节点使用邻居请求消息检测相同链路上的重复 IPv6 地址。在向 IPv6 接口分配暂定地址前,DAD 必须在任何单播地址上执行(任意广播地址除外)。
在 DHCpv6 模式中配置 IPv6 接口时,协议选项卡显示附加 DHCPv6 信息。
|
•
|
DHCPv6 状态:如果为无状态模式配置了接口,DHCPv6 将为无状态。如果为状态模式配置了接口,DHCPv6 状态将为启用或禁用。如果接口在状态 DHCPv6 模式中,将光标放置在 DHCPv6 状态左侧的图标上即可显示接口的当前路由器发布信息。
|
|
•
|
DHCPv6 服务器:DHCPv6 服务器的 IPv6 地址。
|
|
•
|
通过 DHCPv6 获得的状态地址:显示任何获得的状态 IPv6 地址的信息。
|
|
•
|
DNS 服务器:任何 DNS 服务器的 IPv6 地址。
|
图 89. IPv6 自动模式配置
|
1
|
转至网络 > 接口页面。
|
|
2
|
单击页面右上角的 IPv6 按钮显示 IPv6 地址。
|
|
3
|
单击您要为其配置 IPv6 地址的接口的配置图标。将显示“编辑接口”对话框。
|
|
4
|
|
5
|
|
6
|
单击确定。
|
在 IPv6 中配置 VLAN 子接口的程序与在 IPv4 中配置完全相同。详细信息,请参阅第 249 页的配置 VLAN 子接口。
所有 VLAN 子接口在 IPv6 中配置之前,必须在 IPv4 中配置。
在 IPv6 中配置有线模式接口的程序与在 IPv4 中配置完全相同。详细信息,请参阅第 255 页的配置有线模式的接口。
所有有线模式接口必须在 IPv4 中配置,无法在 IPv6 中编辑有线模式设置。在 IPv4 中启用的任何功能(例如“链路状态传播”)将应用于 IPv6。
隧道可以是自动或手动配置。配置的隧道按封装节点上的配置信息确定端点地址。自动隧道根据嵌入式 IPv6 数据报的地址确定 IPv4 端点。IPv4 组播隧道通过邻居发现机制确定端点。
Figure 90 描述了 IPv6 至 IPv4 隧道。
图 90. IPv6 至 IPv4 隧道接口
6 至 4 自动隧道是自动隧道:隧道端点提取自封装式 IPv6 数据报。无需手动配置。
6 至 4 隧道使用形式为 2002:tunnel-IPv4-address::/48 的前缀通过 IPv4 对 IPv6 流量进行隧道传输(例如,如果隧道的 IPv4 端点的地址为 a01:203,则 6 至 4 隧道前缀为 2002:a01:203::1)。路由器向 IPv6 客户端发布
2002:[IPv4]:xxxx/64 形式的前缀。如需完整的信息,请参见 RFC 3056。
Figure 91 显示 6 至 4 自动隧道拓扑结构的示例。
图 91. 6 至 4 自动隧道拓扑结构
在本例中,客户无需指定隧道端点,但需要启用 6 至 4 自动隧道。拥有 2002 前缀的所有数据包都传送至隧道,且隧道的 IPv4 目标将从目标 IPv6 地址中提取。
6 至 4 隧道易于配置和使用。用户必须使用具有 2002 前缀的全局 IPv4 地址和 IPv6 地址。因此,总而言之,用户只能访问拥有 2002 前缀的网络资源。
|
1
|
转至网络 > 接口页面。
|
|
2
|
|
•
|
单击添加接口按钮。
|
|
•
|
将显示编辑接口对话框。
|
3
|
选择 6 至 4 隧道接口的区域。这通常是 WAN 接口。
|
|
4
|
|
5
|
|
6
|
选中启用 IPv6 6 至 4 隧道复选框。默认情况下,该复选框处于选中状态。
|
|
7
|
|
8
|
|
注:仅选择 HTTPS 可自动启用添加规则以启用从 HTTP 到 HTTPS 的重定向选项。如果您还选择了 HTTP,则系统将取消选择添加规则以启用从 HTTP 到 HTTPS 的重定向选项,且您无法选择该选项。
|
|
9
|
单击确定。
|
默认情况下,6 至 4 自动隧道只能访问拥有 2002 前缀的目标。6 至 4 中继功能可用于访问非 2002 前缀的目标。
要启用 6 至 4 中继,转到网络 > 路由。然后,单击添加按钮创建通过 6 至 4 自动隧道接口传送以 2003 前缀为目标的所有流量的路由策略,如下例所示:
可以向 6 至 4 自动隧道接口添加该静态路由以启用中继功能,这样就可以通过 6 至 4 隧道访问拥有非 2002: 前缀的 IPv6 目标。注意网关必须是具有 2002: 前缀的 IPv6 地址。
|
1
|
转至网络 > 接口页面。
|
|
2
|
|
3
|
选择隧道接口的区域。
|
|
4
|
|
5
|
输入隧道接口的名称。
|
|
6
|
|
7
|
|
8
|
从远程 IPv4 地址下拉菜单中,为隧道端点选择 IPv4 地址对象。
|
|
9
|
从远程 IPv6 网络下拉菜单中,选择 IPv6 地址对象,此对象可以是群组、范围、网络或主机。
|
|
10
|
|
11
|
|
注:仅选择 HTTPS 可自动启用添加规则以启用从 HTTP 到 HTTPS 的重定向选项。如果您还选择了 HTTP,则系统将取消选择添加规则以启用从 HTTP 到 HTTPS 的重定向选项,且您无法选择该选项。
|
|
12
|
单击确定。
|
GRE 可用于通过 IPv4 或 IPv6 以隧道方式传输 IPv4 和 IPv6 流量。GRE 隧道是静态隧道,其中,两个端点由手动指定。下图显示 GRE IPv6 隧道示例。
图 92. GRE IPv6 隧道配置
GRE 隧道的配置类似于手动隧道,但选择 GRE 隧道接口作为隧道类型。
在启用 DHCPv6-PD 时,可以应用于附加到 WAN 区域的所有 DHCPv6 接口。DHCPv6-PD 是与 DHCPv6 共存的附加子网配置模式。
IPv6 地址是 DHCPv6-PD 服务器提供的前缀和 DHCPv6-PD 客户端提供的后缀的组合。前缀长度默认为 64 位,但可以编辑。
防火墙启动时,将自动创建称为 Prefixes from DHCPv6 Delegation 的默认地址对象群组。授权自上游接口的前缀是该群组的成员。
|
•
|
当上游接口向 DHCPv6-PD 服务器学习前缀授权后,SonicOS 计算 IPv6 地址前缀并将其应用于所有下游接口,下游接口将这些信息发布到网络分段的所有主机中。
|
1
|
转到网络 > 接口页面。
|
|
2
|
|
3
|
|
4
|
|
5
|
选择启用 DHCPv6 前缀授权选项。
|
|
6
|
|
7
|
要查看配置的 DHCPv6 信息,请单击协议选项卡。
|
DHCPv6 常规信息面板中显示 DHCPv6 DUID。
通过 DHCPv6 获取的状态地址面板中显示状态 IAID。
通过 DHCPv6 获取的授权前缀面板中显示授权 IAID。
|
8
|
单击续订按钮。其他列的信息也得以显示。
|
|
1
|
转到网络 > 接口页面。
|
|
2
|
选择 IPv6 选项。
|
|
3
|
|
4
|
选择启用路由器发布选项。
|
|
5
|
单击高级选项卡。
|
如果获取了上游前缀,将显示在 IPv6 地址面板中。
|
6
|
如果无法获取上游前缀,则替代地址显示在 IPv6 地址面板中。
|
|
7
|
|
8
|
选择添加下游授权的 IPv6 地址选项。
|
|
9
|
(可选)选择发布静态 IPv6 地址的子网前缀选项。
|
|
10
|
单击路由器发布选项卡。
|
|
11
|
选择启用路由器发布选项。
|
如果在常规选项卡下选择了发布静态 IPv6 地址的子网前缀选项,前缀将列出在前缀列表设置面板中。
|
12
|
要查看新 IPv6 PD 接口,转到网络 > 路由页面。
|
|
13
|
选择 IPv6 选项。
|
6rd 隧道接口是在 IPv4 网络中传输 6rd 封装式 IPv6 数据包的虚拟接口。
部署 6rd 后,IPv6 服务等同于本机 IPv6。IPv6 地址与 IPv4 地址的 6rd 映射提供从 IPv6 前缀自动确定 IPv4 隧道端点的方式,从而允许 6rd 的无状态操作。
6rd 域包含多个 6rd 用户边缘 (CE) 路由器和一个或多个 6rd 边界中继 (BR) 路由器。6rd 封装的 IPv6 数据包遵循服务提供商网络内的 IPv4 路由拓扑结构。
服务提供商可以在单个域或多个域中部署 6rd。6rd 域只能有一个 6rd 前缀。不同的 6rd 域必须使用不同的 6rd 前缀。
在网络 > 路由页面的路由策略面板,有四个用于 6rd 隧道接口的默认路由策略。
|
•
|
|
•
|
可以手动设置以下四个 6rd 参数,或如果您选择 DHCP 作为配置模式,这些参数将由 DHCPv4 服务器自动设置。
|
•
|
|
•
|
在 DHCP 模式中,从绑定的接口接收 6rd 参数。在手动模式中,6rd 参数必须手动配置。
6rd 隧道接口的配置方式与其他 IPv6 隧道接口相同。配置 6rd 隧道接口需要绑定接口。
|
1
|
转到网络 > 接口页面。
|
|
2
|
|
3
|
|
4
|
|
5
|
|
6
|
|
7
|
在名称框中,输入隧道接口的名称,例如 6rd 隧道。
|
|
8
|
|
9
|
|
10
|
|
11
|
|
12
|
|
13
|
|
14
|
|
15
|
|
16
|
(可选)在注释字段中,输入说明隧道接口的注释。
|
|
17
|
选择自动添加默认路由选项。
|
|
18
|
如果选择手动作为配置模式,6rd 隧道接口设置就会显示在常规选项卡下。
如果选择 DHCP 作为配置模式,6rd 隧道接口设置就会显示在协议选项卡下。
ISATAP 可在多个场景中用于提供 ISATAP 主机之间,和 ISATAP 主机与 IPv6 网络上主机之间的单播连接。
Figure 93 显示在相同逻辑 ISATAP 子网上的 ISATAP 主机之间传送 ISATAP 流量:
图 93. 在 ISATAP 主机和相同逻辑 ISATAP 子网之间传送流量
Figure 94 显示在不同 ISATAP 子网上的主机之间传送 ISATAP 流量:
图 94. 在 ISATAP 主机和不同 ISATAP 子网之间传送流量
Figure 95 显示在 ISATAP 主机与启用 IPv6 的网络上的主机之间传送数据包。
图 95. 在 ISATAP 主机与启用 IPv6 的网络上的主机之间传送数据包
在图 1 显示的场景中,ISATAP 主机可以直接互相通信,无需通过 ISATAP 路由器或 IPv6 网络。这允许启用 IPv6 的应用程序利用现有 IPv4 基础架构的连接。
其他两个场景需要 ISATAP 路由器的 IPv6 接口连接到 IPv6 网络,以支持在面向 ISATAP 接口的 IPv4 网络与 IPv6 接口之间的转发。
需要在主机和路由器上实施和运行 ISATAP。Windows XP 和 Windows 7 平台上默认启用双栈节点支持。
|
1
|
|
2
|
单击添加接口按钮。
|
|
3
|
|
4
|
|
5
|
输入隧道接口的名称。
|
|
6
|
绑定到 IPv4 地址 - 从下拉列表中选择接口。ISATAP 隧道使用绑定接口的 IPv4 地址作为 6over4 隧道的 IPv4 终止地址。
|
|
7
|
IPv6 子网前缀 - 从下拉列表中选择地址对象(或选择“创建新地址对象”)。IPv6 子网前缀是 64 位前缀,被 ISATAP 主机用于 ISATAP 地址自动配置。
|
|
8
|
隧道接口链路 MTU - 接口链路的推荐 MTU。值 0 表示防火墙不发布链路的 MTU。
|
|
9
|
|
10
|
|
11
|
此外,您可以指定 SonicOS 如何解析 ISATAP 主机查询:
|
1
|
转至防火墙设置 > 高级页面。
|
|
2
|
找到 IPv6 高级配置部分。
|
|
•
|
启用 ISATAP 的 NetBIOS 名称查询响应 – 如果要安全设备响应 NetBIOS 查询以帮助 ISATAP 主机将名称解析为 IPv4 地址,请选中该选项。
|
|
•
|
解析的名称 ISATAP 有效时间(秒)– 输入时间段(秒)。
|
在防火墙上配置 IPv6 寻址后,可以通过在浏览器的 URL 字段输入防火墙的 IPv6 访问 Dell SonicWALL 用户界面。
|
•
|
|
•
|
|
•
|
|
•
|
IPv6 的 DNS 使用与 IPv4 相同的配置方法。单击网络 > DNS 页面左上角的查看 IP 版本单选按钮中的 IPv6 选项。
IPv6 地址对象或地址群组的添加方式与 IPv4 地址对象相同。在网络 > 地址对象页面上,查看 IP 版本单选按钮包含三个选项:仅 IPv4、仅 IPv6 或 IPv4 和 IPv6。
IPv6 接口为每个接口准备了相同的 DAO 集。由于可以将多个 IPv6 分配给一个接口,因而可以动态添加、编辑和删除所有这些地址。因此,需要动态创建和删除 IPv6 DAO。
为解决此问题,将不会为 IPv6 接口动态生成 DAO。将创建数量有限的接口 DAO,导致只能为其他需要参考接口 DAO 的模块提供有限支持。
通过在网络 > 路由页面上选择路由策略的 IPv6 地址对象和网关,IPv6 完全支持基于策略的路由。在网络 > 路由页面上,查看 IP 版本单选按钮包含三个选项:仅 IPv4、仅 IPv6 或 IPv4 和 IPv6。OSPF 功能会显示两个单选按钮,以便在版本 2 与版本 3 之间切换。
下一代路由信息协议 (RIPng) 是用于 IPv6 的信息路由协议,它允许路由器通过基于 IPv6 的网络交换用于计算路由的信息。
可以通过在网络 > NAT 策略页面选择 IPv6 地址对象来配置 IPv6 的 NAT 策略。在网络 > NAT 策略页面上,查看 IP 版本单选按钮包含三个选项:仅 IPv4、仅 IPv6 或 IPv4 和 IPv6。
配置 IPv6 NAT 策略时,源和目标对象只能为 IPv6 地址对象。
使用静态 NDP 功能,可以在三层 IPv6 地址与二层 MAC 地址之间创建静态映射。
|
1
|
|
2
|
在 IP 地址字段中,输入远程设备的 IPv6 地址。
|
|
3
|
在接口下拉菜单中,选择将用于条目的防火墙接口。
|
|
4
|
在 MAC 地址字段中,输入远程设备的 MAC 地址。
|
|
5
|
单击确定。已添加了静态 NDP 条目。
|
NDP 缓存表显示所有当前的 IPv6 邻居。将显示以下类型的邻居:
在网络 > DNS 页面左上角的查看 IP 版本单选按钮中选择 IPv6 选项后,DHCPv6 服务器的配置方式与 IPv4 相似。
IPv6 防火墙访问规则的配置方式与 IPv4 访问规则相同,但需要选择 IPv6 地址对象,而不是 IPv4 地址对象。在防火墙 > 访问规则页面,查看 IP 版本单选按钮包含三个选项:仅 IPv4、仅 IPv6 或 IPv4 和 IPv6。
在添加 IPv6 访问规则时,源和目标只能是 IPv6 地址对象。
您可以在防火墙设置 > 高级中配置 IPv6 的高级防火墙设置,包括数据包限制和流量限制。更多信息,请参见第 771 页的 IPv6 高级配置。
在 VPN > 设置页面左上角的查看 IP 版本单选按钮中选择 IPv6 选项后,IPSec VPN 的 IPv6 配置方式与 IPv4 VPN 相似。
在配置 IPv6 VPN 策略时,必须在常规选项卡上使用 IPv6 地址配置网关。不支持 FQDN。在配置 IKE 身份验证时,IPV6 地址可用于本地和对等 IKE ID。
在 VPN 策略的网络选项卡上,必须选择 IPV6 地址对象(或仅包含 IPv6 地址对象的地址群组)用于本地网络和远程网络。
不支持 DHCP Over VPN,因此受保护网络的 DHCP 选项不可用。
本地网络的任何地址选项和远程网络的 Tunnel All 选项已删除。选择全零 IPv6 网络地址对象可实现相同的功能和行为。
在建议选项卡中,IPv6 和 IPv4 的配置完全相同,不过 IPv6 仅支持 IKEv2 模式。
在高级选项卡中,只能为 IPv6 VPN 策略配置启用 Keep Alive 和 IKEv2 设置。
SonicOS 支持拥有 IPv6 地址的用户使用 NetExtender 连接。在 SSLVPN > 客户端设置页面上,首先配置传统 IPv6 IP 地址池,然后配置 IPv6 IP 池。每个客户端将分配两个内部地址:一个 IPv4 和一个 IPv6。
在 SSLVPN > 客户端路由页面上,用户可以从所有地址对象,包括所有预定义 IPv6 地址对象的下拉列表中选择一个客户端路由。
