IPv6
이 부록에서는 SonicOS의 IPv6 구현, IPv6의 작동 방식 및 네트워크에 IPv6을 구성하는 방법을 간략하게 소개합니다. 이 부록에 포함된 섹션은 다음과 같습니다.
• 기능 개요
– IPv6의 이점
– IPv6 BGP
– 현재 지원되지 않는 Dell SonicWALL IPv6 기능
• IPv6 구성
– IPv6을 사용하여 Dell SonicWALL 사용자 인터페이스 액세스
• IPv6 시각화
– 패킷 캡처
다음 섹션에서는 IPv6에 대해 간략하게 설명합니다.
• IPv6의 이점
• 현재 지원되지 않는 Dell SonicWALL IPv6 기능
Dell SonicWALL은 IPv6 배포를 위한 기술 지침을 제공하는 전 세계 컨소시엄인 IPv6 Forum에서 지정한 "IPv6 가능" 1단계 및 2단계 요구 사항을 충족합니다. IPv6 가능 로고 프로그램은 IPv6이 현재 제공되고 사용 가능함을 제시함으로써 사용자의 신뢰도를 높이기 위한 적합성 및 상호 운용성 테스트 프로그램입니다.
IPv6 가능 테스트 시리즈는 1단계의 기본적인 최소 적용 수준에서 2단계의 더욱 완전한 적용 수준으로 확장됩니다.
• 1단계(실버) 로고: 1단계의 로고는 제품이 IPv6 필수 핵심 프로토콜을 포함하며 기타 IPv6 구현과 상호 운용될 수 있음을 나타냅니다.
• 2단계(골드) 로고: "IPv6 가능" 단계는 적절한 관리, 기술적 합의 및 명확한 기술 참조를 나타냅니다. IPv6 가능 로그는 제품이 v6LC(IPv6 Logo Committee)에서 제시하는 엄격한 요구 사항을 충족했음을 나타냅니다.
Dell SonicWALL은 2단계(골드) IPv6 가능 상태에 대해 인증을 받았습니다. 이후 발표될 IPv6 가능 적용 상태의 3단계 수준은 현재 개발 중입니다.
자세한 내용은 다음 페이지를 참조하십시오. http://www.ipv6ready.org
컴퓨터, 프린터, 스마트폰, 스마트 측정기 등 인터넷에 연결되는 모든 장치에는 IP 주소가 필요합니다. IPv4(인터넷 프로토콜 버전 4)는 약 43억 개의 고유한 IP 주소를 제공합니다. 그러나 인터넷, 휴대폰 및 VoIP 전화 통신 사용량이 급증하면서 이 43억개의 IP 주소는 곧 고갈될 것으로 예상됩니다.
2011년 2월 3일에 IANA(Internet Assigned Numbers Authority)는 마지막 남은 IPv4 주소 블록을 RIR(Regional Internet Registry)에 배포했습니다. 따라서 올 연말까지 RIR에서 이 주소를 ISP에 배포하고 나면 전 세계적으로 새로운 IPv4 주소를 더 이상 공급할 수 없게 됩니다.
IETF(Internet Engineering Task Force)는 1992년부터 이를 대비하기 위한 계획을 시작했으며, 1998년에 IPv6(인터넷 프로토콜 버전 6)을 정의하는 RFC 2460이 게시되었습니다. IPv6에서는 주소 길이가 32비트에서 128비트로 길어져 IPv4에 비해 사용 가능한 주소 수가 대폭 늘어났습니다.
• IPv4: 4,294,967,296개 주소
• IPv6: 340,282,366,920,938,463,463,374,607,431,768,211,456 개 주소
IPv6 주소 이해
IPv6 주소는 다음과 같이 콜론으로 구분되는 4개의16진수 그룹 8개로 작성됩니다.
XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX
IPv6 주소는 논리적으로 64비트(하위) 네트워크 접두사와 64비트 인터페이스 식별자의 두 부분으로 구분됩니다. 다음은 IPv6 주소의 예입니다.
2001:0db8:85a3:0000:0000:8a2e:0370:7334
Note IPv6 주소의 16진수는 대/소문자를 구분하지 않습니다.
다음의 두 규칙을 사용하여 IPv6 주소를 약어로 표시할 수 있습니다.
1. 16비트 값 내의 선행 0은 생략할 수 있습니다. 따라서 위의 예제 주소는 아래의 전체 형식에서
– 2001:0db8:85a3:0000:0000:8a2e:0370:7334
다음과 같은 약어 형식으로 표시할 수 있습니다.
– 2001:db8:85a3:0:0:8a2e:370:7334
2. 4개의 0(기술적으로는 16비트 0)으로 구성된 연속 그룹(수는 관계없음)은 "::"과 같이 콜론 두 개로 표현할 수 있습니다. 이러한 두 규칙을 함께 적용하는 경우 예제 주소는 아래의 전체 형식에서
– 2001:0db8:85a3:0000:0000:8a2e:0370:7334
다음과 같은 약어 형식으로 표시할 수 있습니다.
– 2001:db8:85a3::8a2e:370:7334
|
Note IPv6 인터넷에 연결하려면 네트워크가 IPv4 인터넷에 연결되어 있어야 합니다.
Note 로컬 네트워크 사이트에서 컴퓨터에 대해 IPv6 스택을 사용하도록 설정해야 합니다.
아래 그림에서는 일반적인 IPv6 배포의 연결 모델을 간략하게 보여 줍니다.
다음 다이어그램에는 IPv4와 IPv6 간의 헤더 요소를 비교한 내용이 나와 있습니다.
IPv6은 IPv4에서 확인된 제한을 개선하는 몇 가지 주요 기능을 제공합니다. 새로운 IP 표준에서는 다음과 같이 여러 가지 주요 측면에서 IPv4의 기능이 확장됩니다.
• 6to4 터널(IPv6 노드가 IPv4 네트워크를 통해 외부 IPv6 서비스에 연결할 수 있음)
– 6to4 자동 터널
– GRE 터널
• IPv6 수동 터널
• 간소화된 새로운 IPv6 헤더 형식
• 사용 가능한 IPv6 주소 대폭 증가
• 효율적인 계층형 주소 지정 및 라우팅 인프라
• NDP(인접 항목 검색 프로토콜) 및 DHCPv6을 사용하여 호스트 및 라우터에 자동으로 주소 지정
• 상태 비저장 및 상태 저장 주소 구성
• 기본 제공 보안 기능 - AH 및 ESP 권장
• 더욱 효율적인 QoS 지원 - 헤더의 플로우 레이블
• 인접 노드 상호 작용을 위한 새 프로토콜
• 확장 헤더를 사용하여 새로운 기능을 사용할 수 있도록 확장 가능
IPv6 BGP는 SonicOS 5.9.0.2에서 지원됩니다. IPv6 BGP에 대한 자세한 내용은 부록 B: BGP 고급 라우팅의 IPv6 BGP을 참조하십시오.
Dell SonicWALL에서는 IPv6 주소 레코드(AAAA 레코드)를 유지 관리하는 백엔드 서버를 제공합니다.
Dell SonicWALL은 다음과 같은 Dell SonicWALL 백엔드 서버에서 IPv6을 지원합니다.
• 라이선스 관리자 서버
• 시그니쳐 다운로드 서버
• CFS(콘텐츠 필터링 서비스) 서버
• 대시보드 서버
• MysonicWALL 서버
• 온라인 도움말 서버
• 소프트웨어 업데이트 서버
• 자동 소프트웨어 업그레이드 서버
• NetExtender 다운로드 서버
• SonicPoint 이미지 다운로드 서버
Dell SonicWALL에서 IPv6을 지원하지 않는 Dell SonicWALL 백엔드 서버는 다음과 같습니다.
• DRP 서버
• 목적지 서버
• 스팸 방지 서버
• 클라우드 AV 서버
• AV 강제 적용 서버
• Geo-IP 서버
• 앱 레포팅 서버
Note Dell SonicWALL 네트워크 보안 어플라이언스는 IPv4 주소를 확인할 수 없을 때만 IPv6 주소를 사용하여 백엔드 서버에 연결합니다.
Dell SonicWALL 네트워크 보안 어플라이언스는 다음과 같이 백엔드 서버의 IPv6 주소를 쿼리합니다.
1. IPv4 DNS 서버를 사용할 수 있는 경우 방화벽은 IPv4 DNS 서버에서 IPv4 주소(A 레코드)를 먼저 쿼리합니다. 해당 주소가 확인되면 방화벽은 반환된 IPv4 주소를 사용하여 백엔드 서버에 연결합니다.
2. IPv4 DNS 서버를 사용할 수 없거나 IPv4 주소를 찾을 수 없으면 방화벽은 IPv6 DNS 서버를 검색합니다. IPv6 DNS 서버가 발견되면 방화벽은 IPv6 주소(AAAA 레코드)를 쿼리합니다. 해당 주소가 확인되면 방화벽은 이 주소를 사용하여 백엔드 서버에 연결합니다.
3. IPv6 주소가 확인되지 않으면 연결에 실패합니다.
방화벽은 IPv4 주소(A 레코드) 및/또는 IPv6 주소(AAAA 레코드) 중 반환되는 유형의 IP 주소를 사용합니다.
방화벽이 쿼리를 다시 시도하도록 구성되어 있는 경우에는 타임아웃 기간이 종료될 때까지 쿼리를 계속합니다.
아래 목록에는 현재 Dell SonicWALL에서 지원되는 IPv6 서비스 및 기능이 나와 있습니다.
• 액세스 규칙
• 주소 개체
• 고급 대역폭 관리:
– 대역폭 관리 모니터
• 안티스파이웨어
• AppFlow 서버:
– AppFlow 서버로 생성되는 IPv6 앱 플로우
– 타사 AppFlow 서버로 생성되는 IPv6 앱 플로우
• 어플리케이션 방화벽:
– 앱 규칙
• 공격 방지:
– 랜드 공격
– MAC 안티스푸핑
– 핑 오브 데스
– 스머프
– SYN Flood
• 클라이언트 안티바이러스 규약
• 연결 캐시
• 연결 모니터:
– IPv6 주소 필터링
• 콘텐츠 필터링:
– ActiveX, Java, 쿠키 제한
– CFS 사용자 지정 목록
– CFS 제외 목록
– 콘텐츠 필터링 서비스
– 키워드 차단
• DHCP:
– DHCP 서버
– 동적 리스 범위
– 일반 옵션
– 통합 옵션(DNS/WINS 서버)
– 리스 지속성
– 고정 리스 범위
• 진단:
– Nslookup
– Ping6
– 역방향 Nslookup
– 경로 추적
• DNS 클라이언트
• DNS 조회 및 역방향 이름 조회
• 이중 스택 IPv4 및 IPv6
• EPRT
• EPSV
• FTPv6
• Flood 차단:
– TCP 동기화 프록시
• 조각화 처리
• 게이트웨이 안티바이러스
• 헤더 유효성 검사
• 고가용성:
– 연결 캐시
– DHCP 서버
– FTP
– 모니터링 IP
– NDP
– SonicPoint
– VPN
• IPv6을 통한 HTTP/HTTPS 관리
• ICMPv6
• IDP
• IKEv2
• 인터페이스
– DHCP 클라이언트 모드
– IPv6 인터페이스
– 레이어 2 브리지 모드
– PPPoE 클라이언트 모드
• 침입 방지 서비스
• IP 스푸핑 보호
• IPv4 Syslog 메시지(IPv6 주소가 지정된 메시지 포함)
• IPv6 BGP
• IPv6 연결 제한
• 백엔드 서버용 IPv6
• 레이어 2 브리지 모드
• 기록:
– IPv6 주소 로그 항목
• IPv6 이벤트 로깅
• 로그인 고유성
• 멀티캐스트 라우팅(멀티캐스트 수신기 검색 포함)
• NAT
• NAT 부하 분산(고정 IP만/헬스체크 미지원)
• 인접 항목 검색 프로토콜
• IPv6 주소 사용자에 대한 NetExtender 연결
• NDP
• OSPFv3
• 패킷 캡처
• Ping
• 정책 기준 라우팅
• 리어셈블 처리
• 원격 관리
• RIPng
• 라우팅
• DPI를 사용하는 IPv6 트래픽용 보안 서비스
• 보안을 위해 IPSec을 사용하는 사이트 간 IPv6 터널
• SonicPoint IPv6 지원
• SSL VPN
• IPv6 트래픽의 상태 저장 검사
• Syslog:
– IPv6 주소를 포함하는 IPv4 Syslog 메시지
• 터널링
– IPv4에서 IPv6로의 터널
– IPv6에서 IPv4로의 터널
• 사용자:
– IPv6 사용자 로그인 및 관리
– 로그인 고유성
– 사용자 상태
• 시각화
– AppFlow 모니터
– 앱 플로우레포팅
– 실시간 모니터
– 위협 보고서
– 사용자 모니터
• VLAN:
– 레이어 2 브리지 모드의 IPv6 VLAN
– IPv6 VLAN 인터페이스
• VPN 정책
• 무선
현재 지원되지 않는 Dell SonicWALL IPv6 기능
아래 목록에는 현재 Dell SonicWALL에서 지원되지 않는 IPv6 서비스 및 기능이 나와 있습니다.
Note SonicOS 5.9는 이중 IP 스택 펌웨어입니다. 따라서 IPv6에 지원되지 않는 기능도 IPv4에는 계속 지원됩니다.
• 주소 개체:
– DAO
– FQDN
• 스팸 방지
• Botnet 필터
• 명령줄 인터페이스
• IPv6 주소를 사용하여 AppFlow 서버에 연결
• 콘텐츠 필터링:
– IP 주소 범위에 따른 CFS 정책
– Websense Enterprise
• DHCP over VPN
• DHCP 릴레이
• DPI-SSL
• IPv6 주소용 동적 주소 개체
• 동적 DNS
• E-CLI 구성
• Flood 보호:
– ICMP
– UDP
• FQDN
• Geo-IP 필터
• GVC(글로벌 VPN 클라이언트)
• GMS
• VPN:
– DHCP over VPN
– 그룹 VPN
– IKE
– IKE DPD
– L2TP 서버
– 모바일 IKEv2
– OCSP
– 경로 기준 VPN
• H.323
• 고가용성:
– 멀티캐스트 v6
– Oracle SQL/Net
– RTSP
– ULA v6
– VoIP
• IKEv1
• 인터페이스:
– L2TP 클라이언트 모드
– 투명 모드
– 유선 모드
• IP 헬퍼
• IPv6 Syslog 메시지
• ISATAP
• LDAP
• 기록:
– IPNET 스택의 로그
– 로그 DNS 이름 확인
• MAC-IP 안티스푸핑
• 멀티캐스트 프록시
• 멀티캐스트 라우팅
• IPv6 및 IPv4 주소 간의 NAT
– IPv4에서 IPv6로의 NAT
– IPv6에서 IPv4로의 NAT
• NetBIOS over VPN
• 네트워크 모니터
• NTP
• QoS 매핑
• RADIUS
• RAS 멀티캐스트 전달
• RBL
• 경로 기반 VPN
• Single Sign On
• SMTP RBL(실시간 블랙리스트) 필터링
• SNMP
• SSH
• SSL 제어
• SSL-VPN
• 상태 저장 프로토콜:
– Oracle SQL/Net
– SIP
• Syslog:
– IPv6 주소를 포함하는 IPv6 Syslog 메시지
• 사용자:
– 게스트 서비스
– LDAP
– Radius
– SSO
• 뷰포인트
• 가상 길잡이
• VLAN:
– DHCP 클라이언트 모드
– L2TP 클라이언트 모드
– PPPoE 클라이언트 모드
• VoIP
• WAN 가속
• WAN 부하 분산
• 웹 프록시
이 섹션에는 SonicOS 5.9에서 지원되는 IPv6 RFC 목록이 포함되어 있습니다.
TCP/IP 스택 및 네트워크 프로토콜
• IP 버전 6 지원을 위한 RFC 1886 확장 [IPAPPL DNS 클라이언트]
• RFC 1981 IPv6용 경로 MTU 검색
• RFC 2113 IP 라우터 경고 옵션
• RFC 2373 IPv6 주소 지정 아키텍처
• RFC 2374 IPv6 어그리게이션 가능 글로벌 유니캐스트 주소(3587로 대체됨)
• RFC 2375 IPv6 멀티캐스트 주소 할당
• RFC 2460 IPv6 사양
• RFC 2461 IPv6용 인접 항목 검색
• RFC 2462 IPv6 상태 비저장 주소 자동 구성
• RFC 2463 IPv6 사양용 ICMPv6
• RFC 2464 이더넷 네트워크를 통한 IPv6 패킷 전송
• RFC 2473 IPv6 사양의 일반 패킷 터널링
• RFC 2474 IPv4 및 IPv6 헤더의 DS(Differentiated Services) 필드 정의
• RFC 2545 BGP4+용 SonicOS 지원
• RFC 2553 IPv6용 기본 소켓 인터페이스 확장
• RFC 2710 IPv6용 MLD(멀티캐스트 수신기 검색)
• RFC 2711 IPv6 라우터 경고 옵션
• RFC 2784 일반 라우팅 캡슐화
• RFC 2893 IPv6 호스트 및 라우터용 전환 메커니즘
• RFC 2991 유니캐스트 및 멀티캐스트 다음 홉 선택 시의 다중 경로 문제
• RFC 3056 IPv4 클라우드를 통한 IPv6 도메인의 연결
• RFC 3484 IPv6(인터넷 프로토콜 버전 6)용 기본 주소 선택(정책 후크 없음)
• RFC 3493 IPv6용 기본 소켓 인터페이스 확장
• RFC 3513 IPv6(인터넷 프로토콜 버전 6) 주소 지정 아키텍처
• RFC 3542 IPv6용 고급 소켓 API(어플리케이션 프로그래밍 인터페이스)
• RFC 3587 IPv6 글로벌 유니캐스트 주소 형식(2374로 대체됨)
IPsec 적합성
• RFC 1826 IP 인증 헤더 [이전의 AH]
• RFC 1827 IP ESP(Encapsulating Security Payload) [이전의 ESP]
NAT 적합성
• RFC 2663 IP NAT(네트워크 주소 변환기) 용어 및 고려 사항
• RFC 3022 기존 IP NAT(네트워크 주소 변환기)
DNS 적합성
• RFC 1886 IP 버전 6 지원을 위한 DNS 확장
이 섹션에는 SonicOS 5.9에서 현재 지원되지 않는 IPv6 RFC 목록이 포함되어 있습니다.
• RFC 2002 IP 이동성 지원
• RFC 2766 NAT-PT(네트워크 주소 변환 - 프로토콜 변환)
• RFC 2472 IPv6 over PPP
• RFC 2452 TCP(Transmission Control Protocol)용 IP 버전 6 관리 정보 데이터베이스
• RFC 2454 UDP(User Datagram Protocol)용 IP 버전 6 관리 정보 데이터베이스
• RFC 2465 IP 버전 6용 관리 정보 데이터베이스: 텍스트 규칙 및 일반 그룹
다음 섹션에서는 IPv6을 구성하는 방법을 설명합니다.
• IPv6을 사용하여 Dell SonicWALL 사용자 인터페이스 액세스
IPv6 인터페이스는 네트워크 > 인터페이스 페이지의 오른쪽 위 모서리에서 IP 버전 보기 라디오 단추에 대해 IPv6 옵션을 클릭하는 방법으로 구성합니다.
기본적으로 모든 IPv6 인터페이스는 IP 주소를 사용하지 않고 라우팅되는 것으로 표시됩니다. 같은 인터페이스에 여러 IPv6 주소를 추가할 수 있습니다. 자동 IP 할당은 WAN 인터페이스에 대해서만 구성할 수 있습니다.
각 인터페이스에서 라우터 광고 수신 여부를 구성할 수 있습니다. 각 인터페이스에 대해 IPv6을 사용하거나 사용하지 않도록 설정할 수 있습니다.
Note IPv6 모드로 전환하기 전에 IPv4 인터페이스 페이지에서 인터페이스의 영역 할당을 구성해야 합니다.
다음 섹션에서는 IPv6 인터페이스 구성을 설명합니다.
• HA 인터페이스는 IPv6용으로 구성할 수 없습니다.
• SwitchPort 그룹의 상위 인터페이스만 IPv6 인터페이스로 구성할 수 있으므로 스위치 포트 그룹의 모든 하위 항목은 이 목록에서 제외해야 합니다.
• 영역 및 레이어 2 브리지 그룹은 인터페이스의 IPv4 및 IPv6 간에 공유되는 구성입니다. 이러한 구성이 IPv4 측에서 공유되면 인터페이스의 IPv6 측에서도 같은 구성을 사용합니다.
• 기본 게이트웨이 및 DNS 서버는 WAN 영역 인터페이스에 대해서만 구성할 수 있습니다.
• VLAN 인터페이스는 현재 지원되지 않습니다.
고정 모드를 사용하면 자동 할당 주소가 아닌 고정 IPv6 주소를 할당할 수 있습니다. 고정 모드 사용 시 IPv6 인터페이스는 라우터 보급을 계속 수신 대기하고 적절한 접두사 옵션에서 자치 주소를 러닝할 수 있습니다. 고정 모드는 사용자가 수동으로 사용하지 않도록 설정하는 경우가 아니면 IPv6 인터페이스에서 상태 비저장 주소 자동 구성 실행을 중단하지 않습니다.
다음 다이어그램에는 IPv6이 고정 모드에 구성된 샘플 토폴로지가 나와 있습니다.
이 모드에서는 세 가지 유형의 IPv6 주소를 할당할 수 있습니다.
• 자동 주소
• 자치 주소
• 고정 주소
고정 IPv6 주소용 인터페이스를 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. 페이지 오른쪽 위 모서리에서 IPv6 단추를 클릭합니다. 어플라이언스의 IPv6 주소가 표시됩니다.
3. IPv6 주소를 구성하려는 인터페이스의 구성 아이콘을 클릭합니다. 인터페이스 편집 창이 표시됩니다.
Note IPv4 주소 지정 페이지에서 인터페이스의 영역 할당을 구성해야 합니다. IPv6 인터페이스에 대한 영역 할당을 수정하려면 페이지 오른쪽 상단에서 IPv4 단추를 클릭하고 인터페이스의 영역을 수정한 후에 IPv6 인터페이스 페이지로 돌아옵니다.
IP 할당 풀다운 메뉴에서 고정을 선택합니다.
5. 인터페이스의 IPv6 주소를 입력합니다.
6. 주소의 접두사 길이를 입력합니다.
7. Primary WAN 인터페이스의 경우 기본 게이트웨이의 IPv6 주소를 입력합니다. Primary WAN 인터페이스가 아닌 경우에는 기본 게이트웨이 항목이 무시되므로 이 항목을 ::으로 두어도 됩니다. 이중 콜론은 빈 주소, 즉 0:0:0:0:0:0:0:0의 약어입니다.
8. Primary WAN 인터페이스의 경우 DNS 서버 IPv6 주소를 3개까지 입력합니다. 마찬가지로 Primary WAN 인터페이스가 아닌 경우 DNS 서버 항목은 무시됩니다.
9. 이 인터페이스를 네트워크 및 접두사 정보를 배포하는 보급 인터페이스로 지정하려면 라우터 보급 사용을 선택합니다.
10. 인터페이스 보급 접두사 목록에 기본 접두사를 추가하려면 IPv6 Primary 고정 주소의 서브넷 접두사 전파를 선택합니다. 해당 접두사는 인터페이스 IPv6 기본 정적 주소의 서브넷 접두사입니다. 이 옵션을 사용하면 링크의 모든 호스트를 같은 서브넷에 유지할 수 있습니다.
고급 IPv6 인터페이스 옵션 및 여러 IPv6 주소 구성
고급 IPv6 인터페이스 옵션을 수정하거나 여러 고정 IPv6 주소를 구성하려면 다음 단계를 수행합니다.
1. 인터페이스 편집 창에서 고급 탭을 클릭합니다.
주소 추가 단추를 클릭하여 인터페이스에 대해 여러 고정 IPv6 주소를 구성합니다.
고정 IPv6 주소 모드용으로 구성된 인터페이스에 대해서만 여러 IPv6 주소를 추가할 수 있습니다. 자동 또는 DHCPv6 모드에 대해서는 여러 IPv6 주소를 구성할 수 없습니다.
3. 인터페이스의 추가 주소로 IPv6 주소를 입력합니다.
4. 주소의 접두사 길이를 입력합니다.
5. 인터페이스 보급 접두사 목록에 기본 접두사를 추가하려면 IPv6 Primary 고정 주소의 서브넷 접두사 전파를 선택합니다. 해당 접두사는 인터페이스 IPv6 기본 정적 주소의 서브넷 접두사입니다. 이 옵션을 사용하면 링크의 모든 호스트를 같은 서브넷에 유지할 수 있습니다.
6. 확인을 클릭합니다.
7. 고급 탭의 고급 설정 제목 아래에서 다음의 추가 옵션을 구성할 수 있습니다.
• 인터페이스에서 모든 IPv6 트래픽 처리를 중지하도록 하려면 인터페이스에서 모든 IPv6 트래픽 사용 안 함을 선택합니다. IPv6 트래픽을 사용하지 않도록 설정하면 IPv6 이외의 트래픽에 대한 방화벽 성능을 개선할 수 있습니다. 방화벽이 기본 IPv6 환경에 배포되어 있으면 이 옵션을 사용하도록 설정하는 것이 좋습니다.
• 방화벽이 라우터 보급을 받도록 하려면 라우터 보급 수신 대기 사용을 선택합니다. 이 옵션을 사용하지 않도록 설정하면 인터페이스가 모든 수신 라우터 보급 메시지를 필터링합니다. 따라서 접두사 정보 또는 기본 게이트웨이와 같은 악의적인 네트워크 매개 변수 수신 가능성을 차단하여 보안을 개선할 수 있습니다. 자동 모드에서는 이 옵션이 표시되지 않습니다. 즉 자동 모드에서는 해당 옵션이 항상 사용하도록 설정됩니다.
• 자치 IPv6 주소를 이 인터페이스에 할당하도록 허용하려면 상태 비저장 주소 자동 구성 사용을 선택합니다. 이 옵션을 선택하지 않으면 할당된 모든 자치 IPv6 주소가 이 인터페이스에서 제거됩니다. 자동 모드에서는 이 옵션이 표시되지 않습니다. 즉, 자동 모드에서는 해당 옵션이 항상 사용하도록 설정됩니다.
• 미정 주소를 인터페이스에 할당하기 전에 DAD(백업 주소 감지)를 수행하는 동안 전송되는 연속 인접 항목 요청 메시지의 수를 지정하려면 백업 주소 감지 전송에 숫자 값을 입력합니다. 값을 0으로 지정하면 인터페이스에서 DAD가 수행되지 않습니다.
IPv6 노드에서는 IPv4 Gratuitous ARP와 마찬가지로 인접 항목 요청 메시지를 사용하여 같은 링크의 백업 IPv6 주소를 감지합니다. 미정 주소를 IPv6 인터페이스에 할당하기 전에 애니캐스트 주소를 제외한 모든 유니캐스트 주소에 대해 DAD를 수행해야 합니다.
라우터 보급 설정 구성
라우터 보급을 사용하면 IPv6 라우터가 DNS 재귀 서버 주소를 IPv6 호스트로 보급할 수 있습니다. 라우터 보급 기반 DNS 구성은 IPv6 호스트의 주소가 IPv6 상태 비저장 주소 자동 구성을 통해 자동으로 구성되며, 서버 주소를 획득하고 서버와 통신하는 과정의 지연 시간이 중요한 네트워크에서 필요에 따라 대체 기능으로 유용하게 사용할 수 있습니다. 라우터 보급을 통해 호스트는 모든 링크에서 가장 가까운 서버 주소를 획득할 수 있습니다. 또한 링크에 대해 구성 정보를 제공하는 동일 RA 메시지에서 이러한 주소를 러닝할 수 있으므로 프로토콜을 추가로 실행할 필요가 없습니다. 따라서 모바일 IPv6을 사용하는 환경 등의 일부 모바일 환경에서 효과적일 수 있습니다. Dell SonicWALL의 IPv6 구현은 라우터 및 접두사 검색 관련 RFC 4861에 완벽하게 적합합니다.
Note 인터페이스가 고정 모드일 때만 라우터 보급을 사용하도록 설정할 수 있습니다.
IPv6 인터페이스에 대해 라우터 보급을 구성하려면 다음 단계를 수행합니다.
1. 인터페이스 편집 창에서 라우터 보급 탭을 클릭합니다.
이 인터페이스를 네트워크 및 접두사 정보를 배포하는 보급 인터페이스로 지정하려면 라우터 보급 사용 확인란을 선택합니다.
3. 원하는 경우 다음과 같은 라우터 보급 설정을 수정할 수 있습니다.
– 라우터 보급 간격 범위 - 인터페이스로부터의 원치 않는 멀티캐스트 라우터 보급 전송 간의 허용되는 간격입니다.
– 링크 MTU - 인터페이스 링크에 대한 권장 MTU입니다. 값이 0이면 방화벽이 링크에 대해 링크 MTU를 보급하지 않는 것입니다.
– 도달 가능 시간 - 노드가 도달 가능 확인을 수신한 후 인접 항목에 도달할 수 있다고 가정하는 시간입니다. 값이 0이면 이 매개 변수가 이 방화벽에서 지정되지 않는 것입니다.
– 다시 전송 시간 - 다시 전송된 인접 항목 요청 메시지 간의 시간입니다. 값이 0이면 이 매개 변수가 이 방화벽에서 지정되지 않는 것입니다.
– 현재 홉 제한 - 송신 IP 패킷에서 IP 헤더의 홉 수 필드에 입력해야 하는 기본값입니다. 값이 0이면 이 매개 변수가 이 방화벽에서 지정되지 않는 것입니다.
– 라우터 수명 - 방화벽이 기본 라우터로 적용되는 수명입니다. 값이 0이면 라우터가 기본 라우터가 아닌 것입니다.
4. 라우터 보급 메시지에서 관리되는 주소 구성 플래그를 설정하려면 관리 확인란을 선택합니다. 이 플래그는 설정하는 경우 Dynamic Host Configuration Protocol을 통해 IPv6 주소를 사용할 수 있음을 나타냅니다.
5. 라우터 보급 메시지에서 기타 구성 플래그를 설정하려면 기타 구성 확인란을 선택합니다. 이 플래그는 설정하는 경우 Dynamic Host Configuration Protocol을 통해 기타 구성 정보를 사용할 수 있음을 나타냅니다.
라우터 보급 접두사 설정 구성
1. 보급 접두사를 구성하려면 접두사 추가 단추를 클릭합니다. 보급 접두사는 온 링크 결정 및 주소 자동 구성을 위해 호스트에 접두사를 제공하는 데 사용됩니다.
라우터 보급 메시지를 통해 보급할 접두사를 입력합니다.
3. 온 링크 결정용으로 접두사를 사용할 수 있는 기간을 분 단위로 설정하려면 유효 수명을 입력합니다. 값이 "71582789"이면 수명이 무한임을 나타냅니다.
4. 상태 비저장 주소 자동 구성을 통해 접두사에서 생성되는 주소가 기본 설정 주소로 유지되는 기간을 설정하려면 기본 설정 수명을 입력합니다. 값이 "71582789"이면 수명이 무한임을 나타냅니다.
5. 필요에 따라 온-링크 확인란을 클릭하여 접두사 정보 옵션에서 온-링크 플래그를 사용하도록 설정합니다. 그러면 이 접두사를 온-링크 결정에 사용할 수 있습니다.
6. 필요에 따라 자치 확인란을 클릭하여 접두사 정보 옵션에서 자치 주소 구성 플래그를 사용하도록 설정합니다. 그러면 이 접두사를 상태 비저장 주소 구성에 사용할 수 있습니다.
7. 확인을 클릭합니다.
DHCPv6(IPv6용 DHCP)은 IPv6 호스트에 대해 상태 저장 주소 구성 또는 상태 비저장 구성 설정을 제공하는 클라이언트/서버 프로토콜입니다. 인터페이스가 DHCPv6 모드로 구성되어 있으면 DHCPv6 클라이언트는 IPv6 주소 및 네트워크 매개 변수를 러닝할 수 있도록 설정됩니다.
DHCPv6에서는 두 가지 구성 모드가 정의됩니다.
• DHCPv6 상태 저장 모드: DHCPv6 클라이언트에 IPv6 주소와 기타 네트워크 매개 변수(예: DNS 서버, 도메인 이름 등)가 모두 필요합니다.
• DHCPv6 상태 비저장 모드: DHCPv6 클라이언트가 IPv6 주소 이외의 네트워크 매개 변수만 가져옵니다. 이러한 모드 중 선택하는 모드의 종류에 따라 보급되는 라우터 보급 메시지에서 관리(M) 주소 구성 및 기타(O) 구성 플래그가 결정됩니다.
– M = 0, O = 0: DHCPv6 인프라가 없습니다.
– M = 1, O = 1: IPv6 호스트가 IPv6 주소 및 기타 네트워크 매개 변수 설정용으로 모두 DHCPv6을 사용합니다.
– M = 0, O = 1: IPv6 호스트가 IPv6 주소 할당용으로만 DHCPv6을 사용합니다.
– M = 1, O = 0: IPv6 호스트가 기타 네트워크 매개 변수 설정용으로 모두 DHCPv6을 사용합니다(IPv6 상태 비저장).
다음 다이어그램에는 샘플 DHCPv6 토폴로지가 나와 있습니다.
DHCPv6에서는 세 가지 유형의 IPv6 주소를 할당할 수 있습니다.
• 자동 주소
• 자치 주소
• DHCPv6 클라이언트를 통해 할당되는 IPv6 주소
DHCPv6 주소용으로 인터페이스를 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. 페이지 오른쪽 위 모서리에서 IPv6 단추를 클릭합니다. 어플라이언스의 IPv6 주소가 표시됩니다.
3. IPv6 주소를 구성하려는 인터페이스의 구성 아이콘을 클릭합니다. 인터페이스 편집 창이 표시됩니다.
4. IP 할당 풀다운 메뉴에서 DHCPv6을 선택합니다.
DHCPv6 모드용으로 구성된 IPv6 인터페이스에 대해 다음 옵션을 구성할 수 있습니다.
– 빠른 커밋 옵션 사용 - 이 옵션을 사용하도록 설정하면 DHCPv6 클라이언트가 빠른 커밋 옵션을 통해 주소 할당을 위한 두 메시지 교환을 사용합니다.
– 시작할 때 이전 IP 갱신 힌트 보내기 - 이 옵션을 사용하도록 설정하면 방화벽 시작 시 DHCPv6 클라이언트가 이전에 할당된 주소 갱신을 시도합니다.
6. 인터페이스의 DHCPv6 모드를 설정합니다. RFC에서 요구하는 대로 DHCPv6 클라이언트는 라우터 보급 메시지에 따라 선택해야 하는 모드(상태 저장 또는 상태 비저장)를 결정합니다. DHCPv6 모드만 결정하려는 경우 이 정의에 따라 사용자의 선택이 제한됩니다. Dell SonicWALL의 DHCPv6 구현에서는 적합성과 유연성의 균형을 유지하기 위해 다음의 두 모드가 정의됩니다.
– 자동 - 이 모드에서는 IPv6 인터페이스가 가장 최근에 수신된 라우터 보급 메시지의 M 및 O 설정에 따라 상태 비저장/상태 저장 자동 구성을 사용하여 IPv6 주소를 구성합니다.
– 수동 - 수동 모드에서는 수신된 라우터 보급에 관계없이 DHCPv6 모드가 수동으로 구성됩니다. 사용되는 DHCPv6 모드는 상태 비저장 정보만 요청 옵션에 따라 결정됩니다. 이 옵션을 선택하지 않으면 DHCPv6 클라이언트는 상태 저장 모드가 되고, 이 옵션을 선택하면 DHCPv6 클라이언트는 상태 비저장 모드가 되어 네트워크 매개 변수만 가져옵니다.
7. 필요에 따라 DHCPv6 클라이언트가 DHCPv6 서버에서 네트워크 매개 변수 설정만 요청하도록 하려면 상태 비저장 정보만 요청 확인란을 선택합니다. IPv6 주소는 상태 비저장 자동 구성을 통해 할당됩니다.
8. 확인을 클릭하여 구성을 완료합니다. 또는 고급 탭을 클릭하여 고급 옵션을 구성하거나 프로토콜 탭을 클릭하여 DHCPv6 상태 저장 및 상태 비저장 구성 정보를 확인합니다.
IPv6 인터페이스용 고급 설정 구성
IPv6 인터페이스 편집 창의 고급 탭에서 다음 옵션을 구성할 수 있습니다.
• 인터페이스에서 모든 IPv6 트래픽 처리를 중지하도록 하려면 인터페이스에서 모든 IPv6 트래픽 사용 안 함을 선택합니다. IPv6 트래픽을 사용하지 않도록 설정하면 IPv6 이외의 트래픽에 대한 방화벽 성능을 개선할 수 있습니다. 방화벽이 기본 IPv6 환경에 배포되어 있으면 이 옵션을 사용하도록 설정하는 것이 좋습니다.
• 방화벽이 라우터 보급을 받도록 하려면 라우터 광고 수신 대기 사용을 선택합니다. 이 옵션을 사용하지 않도록 설정하면 인터페이스가 모든 수신 라우터 보급 메시지를 필터링합니다. 따라서 접두사 정보 또는 기본 게이트웨이와 같은 악의적인 네트워크 매개 변수 수신 가능성을 차단하여 보안을 개선할 수 있습니다. 자동 모드에서는 이 옵션이 표시되지 않습니다. 즉, 자동 모드에서는 해당 옵션이 항상 사용하도록 설정됩니다.
• 자치 IPv6 주소를 이 인터페이스에 할당하도록 허용하려면 상태 비저장 주소 자동 구성 사용을 선택합니다. 이 옵션을 선택하지 않으면 할당된 모든 자치 IPv6 주소가 이 인터페이스에서 제거됩니다. 자동 모드에서는 이 옵션이 표시되지 않습니다. 즉, 자동 모드에서는 해당 옵션이 항상 사용하도록 설정됩니다.
• 미정 주소를 인터페이스에 할당하기 전에 DAD(백업 주소 감지)를 수행하는 동안 전송되는 연속 인접 엔트리 요청 메시지의 수를 지정하려면 백업 주소 감지 전송에 숫자 값을 입력합니다. 값을 0으로 지정하면 인터페이스에서 DAD가 수행되지 않습니다.
IPv6 노드에서는 IPv4 Gratuitous ARP와 마찬가지로 인접 엔트리 요청 메시지를 사용하여 같은 링ㄹ크의 백업 IPv6 주소를 감지합니다. 미정 주소를 IPv6 인터페이스에 할당하기 전에 애니캐스트 주소를 제외한 모든 유니캐스트 주소에 대해 DAD를 수행해야 합니다.
DHCPv6 프로토콜 탭
DHCpv6 모드에서 IPv6 인터페이스를 구성할 때 프로토콜 탭에는 추가 DHCPv6 정보가 표시됩니다.
프로토콜 탭에 표시되는 정보는 다음과 같습니다.
• DHCPv6 상태: 인터페이스가 상태 비저장 모드용으로 구성되어 있으면 DHCPv6 상태는 상태 비저장입니다. 인터페이스가 상태 저장 모드용으로 구성되어 있으면 DHCPv6 상태는 사용 또는 사용 안 함입니다. 인터페이스가 상태 저장 DHCPv6 모드 상태일 때 DHCPv6 상태 왼쪽의 아이콘 위에 마우스를 놓으면 인터페이스의 현재 라우터 보급 정보가 표시됩니다.
• DHCPv6 서버: DHCPv6 서버의 IPv6 주소입니다.
• DHCPv6을 통해 취득한 상태 저장 주소: 취득한 상태 저장 IPv6 주소에 대한 정보를 표시합니다.
• DNS 서버: DNS 서버의 IPv6 주소입니다.
자동 모드에서는 IPv6의 상태 비저장 주소 자동 구성을 사용하여 IPv6 주소를 할당합니다. 이 모드에서는 네트워크 관리자가 수동 주소 구성을 수행하지 않아도 됩니다. 방화벽이 네트워크에서 수신 대기하다가 인접 항목 라우터로부터 접두사 정보를 수신합니다. IPv6 상태 비저장 주소 자동 구성 기능이 IPv6 주소 할당, 주소 충돌 또는 수명 만료 시 주소 삭제, 온-링크 라우터에서 수집된 정보를 기반으로 기본 게이트웨이 선택 등의 모든 구성 세부 작업을 수행합니다.
Note 자동 모드는 WAN 영역에 대해서만 구성할 수 있습니다. 보안을 고려하여 LAN 영역 인터페이스에서는 자동 모드를 사용할 수 없습니다.
다음 다이어그램에는 IPv6이 자동 모드에 구성된 샘플 토폴로지가 나와 있습니다.
이 모드에서는 두 가지 유형의 IPv6 주소를 할당할 수 있습니다.
• 자동 주소 - 인터페이스의 기본 링크-로컬 주소입니다. 이 주소는 편집하거나 삭제할 수 없으며, 타임아웃도 적용되지 않습니다.
• 자치 주소 - 상태 비저장 자동 구성을 통해 할당되는 주소입니다. 사용자는 주소의 유효 수명 만료 시까지 기다리지 않으려는 경우 주소를 수동으로 삭제할 수 있습니다.
자동 모드용 IPv6 인터페이스를 구성하려면 다음 작업을 수행합니다.
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. 페이지 오른쪽 위 모서리에서 IPv6 단추를 클릭합니다. 어플라이언스의 IPv6 주소가 표시됩니다.
3. IPv6 주소를 구성하려는 인터페이스의 구성 아이콘을 클릭합니다. 인터페이스 편집 창이 표시됩니다.
IP 할당 풀다운 메뉴에서 자동을 선택합니다.
필요에 따라 미정 주소를 인터페이스에 할당하기 전에 DAD(중복 주소 감지)를 수행하는 동안 전송되는 연속 인접 항목 요청 메시지의 수를 지정하려면 고급 탭에서 중복 주소 감지 전송에 숫자 값을 입력할 수 있습니다. 값을 0으로 지정하면 인터페이스에서 DAD가 수행되지 않습니다.
6. 확인을 클릭합니다.
IPv6용 PPPoE(Point-to-Point Protocol Over Ethernet)는 IPv6 네트워크의 원격 액세스 집중 장치로의 간단한 브리징 액세스 장치를 통해 호스트 네트워크를 연결하는 기능을 제공합니다. 각 호스트는 자체 PPP(Point-to-Point Protocol) 스택을 사용하며, 사용자에게는 친숙한 사용자 인터페이스가 표시됩니다. 액세스 제어, 대금 청구 및 다양한 유형의 서비스를 사이트가 아닌 사용자 단위로 수행할 수 있습니다. 동일 인터페이스에서 여러 PPPoE 연결을 방지하기 위해 IPv4 및 IPv6용 PPPoE는 같은 인터페이스를 사용합니다. 또한 IPv6용 PPPoE는 단독으로 적용할 수 없으며 PPPoEv4와 동시에 사용해야 합니다. 즉 인터페이스에서 IPv6용 PPPoE를 구성하기 전에 PPPoE 모드에 대한 IPv4 할당을 구성해야 합니다. 설정된 IPv6용 PPPoE 연결은 IPv4 트래픽도 전달할 수 있으며 로컬 네트워크 외부와도 통신할 수 있습니다.
IPv6을 사용하는 PPPoE용 인터페이스를 구성하려면 다음 단계를 수행합니다.
1. 관리 인터페이스에서 네트워크 > 인터페이스 페이지로 이동합니다.
2. PPPoE를 사용하도록 IPv4의 인터페이스를 구성합니다.
3. IP 버전 보기 라디오 단추를 IPv6으로 변경합니다.
4. 원하는 인터페이스의 구성 아이콘을 클릭합니다.
5. 일반 및 프로토콜 탭의 인터페이스 매개 변수를 구성합니다.
PPP(Point-to-Point Protocol) NCP 협상에서는 로컬 네트워크 내의 통신에 사용되는 링크 로컬 주소만 협상할 수 있습니다. 따라서 로컬 네트워크 외부와 통신을 하려면 글로벌 주소를 가져와야 합니다.
6. 글로벌 주소를 가져오려면 일반 탭의 PPPoE 글로벌 주소를 가져옴 섹션을 구성합니다.
글로벌 주소는 다음의 세 가지 방법으로 가져올 수 있습니다.
자동
기본 글로벌 주소가 자동으로 설정되어 링크 로컬 주소가 제공됩니다.
a.PPPoE 주소 할당 드롭다운 목록에서 자동을 선택합니다.
b.확인 단추를 클릭합니다.
정적
a.PPPoE 주소 할당 드롭다운 목록에서 고정을 선택합니다.
b.확인 단추를 클릭합니다.
DHCPv6
a.PPPoEv6 주소 할당 드롭다운 목록에서 DHCPv6을 선택합니다.
b.고급 탭에서 라우터 보급 수신 대기 사용 및 상태 비저장 주소 자동 구성 사용 확인란을 선택합니다.
c.확인 단추를 클릭합니다.
이제 IPv6용 PPPoE 기능이 구성되었습니다. 해당 기능을 사용하지 않도록 설정하려면 기본 네트워크 > 인터페이스 페이지에서 원하는 인터페이스에 대해 연결 끊기 단추를 클릭합니다.
IPv6에서 VLAN 서브인터페이스를 구성하는 절차는 IPv4의 절차와 같습니다. 자세한 내용은 VLAN 서브인터페이스 구성(Dell SonicWALL NSA 시리즈 어플라이언스)을 참조하십시오.
모든 VLAN 서브인터페이스는 IPv6에서 구성하기 전에 IPv4에서 먼저 구성해야 합니다.
이 섹션에서는 IPv6 네트워크를 통해 IPv4 패킷을 터널링하고 IPv4 네트워크를 통해 IPv6 패킷을 터널링하는 방법을 설명합니다. 예를 들어 IPv4 네트워크를 통해 IPv6 패킷을 전달하려는 경우 터널의 수신측에서 IPv6 패킷이 IPv4 패킷으로 캡슐화됩니다. 캡슐화된 IPv4 패킷은 터널의 송신측에 도달하면 캡슐화가 해제됩니다.
터널은 자동 또는 수동으로 구성할 수 있습니다. 구성된 터널에 따라 캡슐화 노드의 구성 정보를 기준으로 끝점 주소가 결정됩니다. 자동 터널의 경우 포함된 IPv6 데이터그램의 주소에서 IPv4 끝점이 결정됩니다. IPv4 멀티캐스트 터널링에서는 인접 항목 검색을 통해 끝점이 결정됩니다.
다음 다이어그램에는 IPv6에서 IPv4로의 터널이 나와 있습니다.
다음 섹션에서는 IPv6 터널 인터페이스 구성을 설명합니다.
• 2002 접두사를 사용하지 않는 액세스를 위한 6to4 릴레이 구성
• 다운스트림 인터페이스에서 IPv6 접두사 위임 구성
6to4 자동 터널은 자동 터널이므로 터널 끝점이 캡슐화된 IPv6 데이터그램에서 추출됩니다. 따라서 수동 구성은 수행할 필요가 없습니다.
6to4 터널은 "2002:터널-IPv4-주소::/48" 형식의 접두사를 사용하여 IPv4를 통해 IPv6 트래픽을 터널링합니다. 예를 들어 터널의 IPv4 끝점 주소가 a01:203이면 6to4 터널 접두사는 "2002:a01:203::1"입니다. 라우터는 "2002:[IPv4]:xxxx/64" 형식의 접두사를 IPv6 클라이언트에 보급합니다. 전체 정보는 RFC 3056을 참조하십시오.
다음 다이어그램에는 샘플 6to4 자동 터널 토폴로지가 나와 있습니다.
이 예에서 고객은 터널 끝점을 지정하지 않아도 되며 6to4 자동 터널을 사용하도록 설정하기만 하면 됩니다. 그러면 접두사가 2002인 모든 패킷이 터널로 경로 지정되며 터널의 IPv4 목적지가 목적지 IPv6 주소에서 추출됩니다.
6to4 터널은 쉽게 구성하고 사용할 수 있습니다. 사용자에게는 글로벌 IPv4 및 IPv6 주소가 있어야 하며, 이들 주소에도 2002 접두사가 있어야 합니다. 따라서 일반적으로 사용자는 2002 접두사가 있는 네트워크 리소스에만 액세스할 수 있습니다.
Note 방화벽에서는 6to4 자동 터널을 하나만 구성할 수 있습니다.
방화벽에서 6to4 터널을 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. 인터페이스 추가 단추를 클릭합니다.
6to4 터널 인터페이스의 영역을 선택합니다. 이 영역은 보통 WAN 인터페이스입니다.
4. 터널 유형 풀다운 메뉴에서 6to4 자동 터널 인터페이스를 선택합니다.
5. 기본적으로 인터페이스 이름은 6to4AutoTun으로 설정됩니다.
6. IPv6 6to4 터널 사용 확인란을 선택합니다.
7. 필요에 따라 6to4 터널을 통한 관리 로그인 또는 사용자 로그인을 구성할 수 있습니다.
8. 확인을 클릭합니다.
2002 접두사를 사용하지 않는 액세스를 위한 6to4 릴레이 구성
기본적으로 6to4 자동 터널은 2002 접두사가 있는 목적지에만 액세스할 수 있습니다. 6to4 릴레이 기능을 사용하면 2002 접두사가 없는 목적지에 액세스할 수 있습니다. 6to4 릴레이를 사용하도록 설정하려는 경우 아래 예에 나와 있는 것처럼 6to4 자동 터널 인터페이스를 통해 2003 접두사를 대상으로 하는 모든 트래픽을 경로 지정하는 경로 지정 정책을 만들면 됩니다.
이 고정 경로를 6to4 자동 터널 인터페이스에 추가하여 릴레이 기능을 사용하도록 설정할 수 있습니다. 그러면 6to4 터널을 통해 2002 접두사가 없는 IPv6 목적지에 액세스할 수 있습니다. 단, 게이트웨이 주소는 접두사가 2002인 IPv6 주소여야 합니다.
방화벽에서 6to4 터널을 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. 인터페이스 추가 단추를 클릭합니다.
터널 인터페이스의 영역을 선택합니다.
4. 터널 유형 풀다운 메뉴에서 6to4 수동 터널 인터페이스를 선택합니다.
5. 터널 인터페이스의 이름을 입력합니다.
6. 터널 끝점의 원격 IPv4 주소를 입력합니다.
7. 원격 IPv6 네트워크에서는 IPv6 주소 개체(그룹, 범위, 네트워크 또는 호스트일 수 있음)를 선택합니다.
8. 필요에 따라 6to4 터널을 통한 관리 로그인 또는 사용자 로그인을 구성할 수 있습니다.
9. 확인을 클릭합니다.
GRE를 사용하면 IPv4 또는 IPv6을 통해 IPv4 및 IPv6 트래픽을 터널링할 수 있습니다. GRE 터널은 두 끄,끝점을 모두 수동으로 지정하는 고정 터널입니다. 다음 다이어그램에는 샘플 GRE IPv6 터널이 나와 있습니다.
GRE 터널의 구성은 터널 유형으로 GRE 터널 인터페이스를 선택한다는 것을 제외하면 수동 터널과 비슷합니다.
DHCPv6-PD(DHCPv6 접두사 위임)이라고도 하는 IPv6 접두사 위임은 DHCPv6의 확장 기능입니다. DHCPv6에서는 DHCPv6 서버를 통해 IPv6 호스트로 주소가 할당됩니다. DHCPv6-PD에서는 전체 IPv6 서브넷 주소 및 기타 매개 변수가 DHCPv6-PD 서버를 통해 DHCPv6-PD 클라이언트로 할당됩니다.
DHCPv6-PD는 사용하도록 설정하는 경우 WAN 영역에 연결된 모든 DHCPv6 인터페이스에 적용됩니다. DHCPv6-PD는 DHCPv6과 함께 사용되는 추가 서브넷 구성 모드입니다.
IPv6 주소는 DHCPv6-PD 서버에서 제공하는 접두사와 DHCPv6-PD 클라이언트에서 제공하는 접미사가 결합된 것입니다. 접두사 길이는 기본적으로 64자이지만 편집할 수 있습니다.
방화벽이 시작되면 DHCPv6 위임의 접두사라는 기본 주소 개체 그룹이 자동으로 만들어집니다. 업스트림 인터페이스에서 위임된 접두사는 이 그룹의 구성원입니다.
IPv6 접두사 위임은 다음 위치에서 구성됩니다.
• 업스트림 인터페이스
• 다운스트림 인터페이스 하나 이상
업스트림 인터페이스가 DHCPv6-PD 서버에서 접두사 위임을 러닝하면 SonicOS에서 IPv6 주소 접두사를 계산한 다음 모든 다운스트림 인터페이스에 적용합니다. 그러면 다운스트림 인터페이스는 네트워크 세그먼트의 모든 호스트에 이 정보를 보급합니다.
이 섹션에 포함된 구성 절차는 다음과 같습니다.
• 다운스트림 인터페이스에서 IPv6 접두사 위임 구성
Note 네트워크에서 접두사 위임을 사용하지 않도록 설정하기 전에 먼저 업스트림 인터페이스에서 접두사 위임을 해제하는 것이 좋습니다.
업스트림 인터페이스에서 IPv6 접두사 위임을 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. IPv6 옵션을 선택합니다.
3. 업스트림 인터페이스로 구성하려는 인터페이스의 구성 열에서 편집 아이콘을 클릭합니다. 인터페이스 편집 대화 상자가 표시됩니다.
4. 영역은 항상 WAN입니다.
5. IP 할당 메뉴에서 DHCPv6을 선택합니다.
6. DHCPv6 접두사 위임 사용 옵션을 선택합니다.
7. DHCPv6 모드 메뉴에서 수동을 선택합니다.
8. 구성된 DHCPv6 정보를 확인하려면 프로토콜 탭을 클릭합니다.
DHCPv6 일반 정보 패널에 DHCPv6 DUID가 표시됩니다.
DHCPv6을 통해 취득한 상태 저장 주소 패널에 상태 저장 IAID가 표시됩니다.
DHCPv6을 통해 취득한 위임된 접두사 패널에 위임된 IAID가 표시됩니다.
9. 갱신 단추를 클릭합니다.
다른 열의 정보가 표시됩니다.
다운스트림 인터페이스에서 IPv6 접두사 위임을 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. IPv6 옵션을 선택합니다.
3. 다운스트림 인터페이스로 구성하려는 인터페이스의 구성 열에서 편집 아이콘을 클릭합니다. 인터페이스 편집 대화 상자가 표시됩니다.
4. 라우터 보급 사용 옵션을 선택합니다.
5. 고급 탭을 클릭합니다. 인터페이스 편집 대화 상자가 표시됩니다.
업스트림 접두사를 가져온 경우 IPv6 주소 패널에 해당 접두사가 표시됩니다.
6. 업스트림 접두사를 가져올 수 없는 경우 IPv6 주소 패널에는 대체 주소가 표시됩니다.
7. 주소 추가 단추를 클릭합니다.
IPv6 주소 추가 대화 상자가 나타납니다.
8. 다운스트림 위임된 IPv6 주소 추가 옵션을 선택합니다.
9. (옵션) 고정 IPv6 주소의 서브넷 접두사 전파 옵션을 선택합니다.
10. 라우터 보급 탭을 클릭합니다.
11. 라우터 보급 사용 옵션을 선택합니다.
일반 탭에서 고정 IPv6 주소의 서브넷 접두사 전파 옵션을 선택한 경우 접두사가 접두사 목록 설정 패널에 나열됩니다.
12. 새 IPv6 PD 인터페이스를 확인하려면 네트워크 > 라우팅 페이지로 이동합니다.
13. IPv6 옵션을 선택합니다.
접두사가 위임된 새 IPv6 인터페이스 두 개(업스트림 및 다운스트림)가 표시됩니다.
IPv6 6rd(신속 배포) 기능을 사용하면 IPv4 네트워크를 통해 IPv6을 빠르고 쉽게 배포할 수 있습니다. 6rd는 서비스 공급자의 기존 IPv6 주소 접두사를 사용함으로써 6rd 작동 도메인을 서비스 공급자 네트워크로 제한하는 동시에 서비스 공급자가 직접 제어할 수 있도록 합니다.
6rd 터널 인터페이스는 IPv4 네트워크에서 캡슐화된 6rd IPv6 패킷을 전송하는 가상 인터페이스입니다.
Note 6rd 터널 인터페이스는 물리적 또는 가상 인터페이스에 바인딩해야 합니다.
6rd를 배포하는 경우 IPv6 서비스는 기본 IPv6과 동일합니다. IPv6 주소를 IPv4 주소로 자동 매핑하면 IPv6 접두사에서 IPv4 터널 끝점을 자동으로 결정하여 6rd의 상태 비저장 작업을 수행할 수 있습니다.
6rd 도메인은 여러 6rd CE(고객 에지) 라우터와 하나 이상인 6rd BR(경계 릴레이) 라우터로 구성됩니다. 6rd를 통해 캡슐화된 IPv6 패킷은 서비스 공급자 네트워크 내의 IPv4 라우팅 토폴로지를 따릅니다.
고객 에지 라우터 및 경계 릴레이 라우터를 사용하는 일반적인 6rd 구현에서는 6rd 터널 인터페이스 하나만 있으면 됩니다. 여러 6rd 도메인을 처리하는 경계 릴레이 라우터의 경우 6rd 터널 인터페이스를 두 개 이상 포함할 수 있습니다. 그러나 각 6rd 도메인에는 6rd 터널 인터페이스가 하나만 포함될 수 있습니다.
IPv6 패킷은 서비스 공급자의 6rd 도메인으로 들어오거나 도메인에서 나갈 때 경계 릴레이를 통과합니다. 6rd는 상태 비저장 방식이므로 애니캐스트 방법을 사용하여 패킷을 경계 릴레이로 전송할 수 있습니다. 이 방법에서는 단일 출발지의 패킷이 잠재적 수신기 그룹의 가장 가까운 노드 또는 같은 목적지 주소로 식별되는 여러 노드로 경로 지정됩니다.
서비스 공급자는 단일 도메인 또는 여러 도메인에 6rd를 배포할 수 있습니다. 6rd 도메인은 6rd 접두사를 하나만 포함할 수 있습니다. 즉 각 6rd 도메인이 서로 다른 6rd 접두사를 사용해야 합니다.
네트워크 > 라우팅 페이지의 경로 지정 정책 패널에는 6rd 터널 인터페이스에 대한 기본 경로 지정 정책이 4개 있습니다.
구성 방법은 다음의 두 가지입니다.
• 수동
• DHCP
다음의 6rd 매개 변수 4개는 수동으로 설정할 수도 있고, 구성 모드로 DHCP를 선택하는 경우에는 DHCPv4 서버를 통해 자동으로 설정할 수도 있습니다.
• IPv4 마스크 길이
• 6rd 접두사
• 6rd 접두사 길이
• 6rd BR IPv4 주소
DHCP 모드에서는 바운드 인터페이스에서 6rd 매개 변수가 수신됩니다. 수동 모드에서는 6rd 매개 변수를 수동으로 구성해야 합니다.
6rd 터널 인터페이스는 다른 IPv6 인터페이스와 같은 방식으로 구성됩니다. 6rd 터널 인터페이스를 구성하려면 바운드 인터페이스가 필요합니다.
6rd 터널 인터페이스를 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. IPv6 옵션을 선택합니다.
3. 인터페이스 설정 패널 아래쪽의 인터페이스 추가 메뉴에서 터널 인터페이스를 선택합니다. 인터페이스 편집 - IPv6용 대화 상자가 표시됩니다.
Note 프로토콜 탭은 모드 구성으로 DHCP를 선택해야 표시됩니다.
4. 영역 메뉴에서 WAN을 선택합니다.
5. 인터페이스 유형 메뉴는 사용할 수 없습니다. 이 메뉴에는 3단계의 인터페이스 추가 메뉴에서 선택한 터널 인터페이스가 이미 선택되어 있습니다.
6. 터널 유형 메뉴에서 6rd 터널 인터페이스를 선택합니다.
7. 이름 상자에 터널 인터페이스의 이름을 입력합니다.
예를 들어 6rd 터널을 입력합니다.
8. 터널 인터페이스 IPv6 주소 상자에 터널 인터페이스의 IPv6 주소를 입력합니다.
예를 들어 2001::2를 입력합니다.
9. 접두사 길이 상자에 IPv6 접두사의 길이를 입력합니다. 예를 들어 64를 입력합니다.
10. 다음으로 바인딩됨 메뉴에서 X1 등의 원하는 인터페이스를 선택합니다.
11. 모드 구성 메뉴에서 원하는 모드를 수동 또는 DHCP 중에서 선택합니다.
Note 모드 구성으로 수동을 선택하는 경우 12~15단계를 수행합니다.
모드 구성으로 DHCP를 선택하는 경우 12~15단계를 건너뜁니다.
12. 6rd 접두사 상자에 6rd 접두사를 2222:2222::과 같이 입력합니다.
이 단계는 수동 모드에만 적용됩니다.
13. 6rd 접두사 길이 상자에 6rd 접두사의 길이를 32와 같이 입력합니다.
이 단계는 수동 모드에만 적용됩니다.
14. IPv4 마스크 길이 상자에 IPv4 서브넷 마스크의 길이를 입력합니다.
이 단계는 수동 모드에만 적용됩니다.
15. BR IPv4 주소 상자에 6rd 경계 릴레이의 IPv4 주소를 입력합니다.
이 단계는 수동 모드에만 적용됩니다.
16. (옵션) 설명 상자에 터널 인터페이스의 설명을 입력합니다.
17. 기본 경로 자동 추가 옵션을 선택합니다.
18. 원하는 관리 옵션 또는 사용자 로그인 옵션을 선택합니다.
모드 구성으로 수동을 선택한 경우 6rd 터널 인터페이스 설정이 일반 탭 아래에 표시됩니다.
모드 구성으로 DHCP를 선택한 경우 6rd 터널 인터페이스 설정이 프로토콜 탭 아래에 표시됩니다.
IPv6을 사용하여 Dell SonicWALL 사용자 인터페이스 액세스
방화벽에서 IPv6 주소 지정을 구성하고 나면 브라우저의 URL 필드에 방화벽의 IPv6을 입력하여 Dell SonicWALL 사용자 인터페이스에 액세스할 수 있습니다.
• IPv6 DNS
• 주소 개체
IPv6용 DNS는 IPv4용 DNS와 같은 방식으로 구성됩니다. 네트워크 > DNS 페이지의 왼쪽 위에 있는 IP 버전 보기 라디오 단추에서 IPv6 옵션을 클릭하면 됩니다.
IPv6 주소 오브젝트 또는 주소 그룹은 IPv4 주소 오브젝트와 같은 방식으로 추가할 수 있습니다. 네트워크 > 주소 개체 페이지에서 IP 버전 보기 라디오 단추에는 IPv4만, IPv6만, IPv4 및 IPv6의 3개 옵션이 있습니다.
호스트, 범위 및 네트워크 유형의 주소 오브젝트가 지원됩니다. MAC 및 FQDN에 대한 동적 주소 오브젝트는 현재 IPv6 호스트에 대해 지원되지 않습니다.
IPv4 인터페이스는 각 인터페이스에 대한 DAO(기본 주소 오브젝트) 및 주소 오브젝트 그룹을 정의합니다. IPv4 DAO에 대한 기본 규칙은 각 IPv4 주소가 두 주소 오브젝트, 즉 인터페이스 IP 및 인터페이스 서브넷에 해당해야 한다는 것입니다. 영역 인터페이스 IP, 영역 서브넷, 모든 인터페이스 IP, 모든 인터페이스 관리 IP 등에 대한 AO 그룹도 있습니다.
IPv6 인터페이스는 각 인터페이스에 대해 동일한 DAO 집합을 준비합니다. 여러 IPv6을 인터페이스 하나에 할당할 수 있으므로 이러한 모든 주소를 동적으로 추가, 편집 및 삭제할 수 있습니다. 따라서 IPv6 DAO는 동적으로 만들고 삭제해야 합니다.
이를 위해 IPv6 인터페이스에 대해서는 DAO가 동적으로 생성되지 않습니다. 즉, 제한된 인터페이스 DAO만 생성되므로 인터페이스 DAO를 참조해야 하는 기타 모듈에 대한 지원이 제한됩니다.
네트워크 > 라우팅 페이지에서 경로 정책에 대해 IPv6 주소 개체와 게이트웨이를 선택하는 방법으로 IPv6에 대해 정책 기준 라우팅을 완전하게 지원할 수 있습니다. 네트워크 > 라우팅 페이지에서 IP 버전 보기 라디오 단추에는 IPv4만, IPv6만, IPv4 및 IPv6의 3개 옵션이 있습니다. OSPF 기능은 버전 2와 버전 3 간을 전환할 수 있도록 2개 라디오 단추를 표시합니다.
RIPng(Routing Information Protocol next generation)는 라우터가 IPv6 기반 네트워크를 통해 경로 계산을 위한 정보를 교환하도록 허용하는 IPv6용 정보 라우팅 프로토콜입니다.
RIP 및 RIPng 간 전환을 위한 라디오 단추가 추가되었습니다.
네트워크 > NAT 정책 페이지에서 IPv6 주소 개체를 선택하는 방법으로 IPv6에 대해 NAT 정책을 구성할 수 있습니다. 네트워크 > NAT 정책 페이지에서 IP 버전 보기 라디오 단추에는 IPv4만, IPv6만, IPv4 및 IPv6의 3개 옵션이 있습니다.
IPv6 NAT 정책을 구성할 때는 IPv6 주소 개체만 원본 개체와 대상 개체로 사용할 수 있습니다.
Note NAT 정책에 대한 IPv6 헬스체크는 현재 지원되지 않습니다.
NDP(인접 엔트리 검색 프로토콜)는 IPv4에서 ICMP 및 ARP가 수행했던 다양한 작업을 수행하기 위해 IPv6의 일부분으로 생성된 새로운 메시징 프로토콜입니다. 인접 엔트리 검색 역시 ARP와 마찬가지로 동적 엔트리 캐시를 작성하며, 관리자는 고정 인접 엔트리 검색 엔트리를 구성할 수 있습니다. 아래 표에는 기존의 IPv4 인접 엔트리 메시지와 유사한 IPv6 인접 엔트리 메시지 및 기능이 나와 있습니다.
|
NDP를 구성하려면 네트워크 > 인접 엔트리 검색 페이지로 이동합니다.
고정 NDP 기능을 사용하면 레이어 3 IPv6 주소와 레이어 2 MAC 주소 간에 고정 매핑을 만들 수 있습니다. 고정 NDP 엔트리를 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 인접 엔트리 검색 페이지에서 추가 단추를 클릭합니다.
IP 주소 필드에 원격 장치의 IPv6 주소를 입력합니다.
3. 인터페이스 풀다운 메뉴에서 엔트리에 사용할 방화벽의 인터페이스를 선택합니다.
4. MAC 주소 필드에 원격 장치의 MAC 주소를 입력합니다.
5. 확인을 클릭합니다. 고정 NDP 엔트리가 추가됩니다.
NDP 캐시 표에는 현재 IPv6 인접 엔트리가 모두 표시됩니다. 표시되는 인접 엔트리 유형은 다음과 같습니다.
• REACHABLE - 인접 항목이 30초 이내에 도달 가능한 것으로 확인됩니다.
• STALE - 인접 항목이 더 이상 도달 가능한 것으로 확인되지 않으며 1,200초 이내에 인접 항목으로 트래픽이 전송되었습니다.
• STATIC - 인접 항목이 고정 인접 항목으로 수동 구성되었습니다.
네트워크 > 멀티캐스트 라우팅 페이지를 사용하여 IPv6용 멀티캐스트 설정을 구성합니다. 이 페이지는 다음의 두 섹션으로 구분됩니다.
네트워크에서 IPv6을 구현할 때의 주요 문제 중 하나는 IPv6 및 IPv4 네트워크 간에 상호 운용성을 유지 관리하는 것입니다. 패킷 기반 멀티캐스트 변환을 사용할 수는 있지만, Dell SonicWALL에서는 IPv6 및 IPv4 네트워크 간의 경계에 배포할 수 있는 멀티캐스트 프록시 솔루션을 지원합니다. Dell SonicWALL은 IPv4 네트워크에서 멀티캐스트 데이터를 수신하여 캐시한 다음 IPv6 네트워크로 멀티캐스트합니다. 그리고 IPv6에서 IPv4 네트워크로 멀티캐스트 데이터를 보내는 경우에는 반대 방향으로 작업이 수행됩니다. 이 작업에서는 패킷 기반 변환을 수행하지 않아도 됩니다.
IPv6 및 IPv4 네트워크 간에 멀티캐스트 프록시를 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 멀티캐스트 라우팅 페이지로 이동합니다.
2. 멀티캐스트 프록시 사용 확인란을 선택합니다.
3. 업스트림 인터페이스 풀다운 메뉴에서 IPv6 네트워크에 연결된 인터페이스를 선택합니다.
4. 다운스트림 인터페이스 풀다운 메뉴에서 IPv4 네트워크에 연결된 인터페이스를 선택합니다.
5. 수락 단추를 클릭합니다. 멀티캐스트 데이터가 프록시됩니다.
MLD(멀티캐스트 수신기 검색) 프로토콜은 IPv6 라우터에서 방화벽에 직접 연결되는 멀티캐스트 수신기를 검색하는 데 사용됩니다. MLD는 IPv4에서 IGMP를 사용하는 것과 비슷한 기능을 IPv6에서 수행합니다. LMD에는 두 가지 버전이 있습니다. MLDv1은 IGMPv2와, MLDv2는 IGMPv3과 비슷합니다.
|
MLD 기능은 명시적으로 구성하지 않아도 됩니다. MLD 동작을 미세 조정할 수 있는 다양한 변수가 있습니다.
• 멀티캐스트 라우터 쿼리 간격: MLD 쿼리 간의 시간(초)을 지정합니다. 기본값은 125초입니다.
• 멀티캐스트 마지막 수신기 쿼리 간격: 라우터가 멀티캐스트 그룹의 비응답 포트를 삭제할 때까지 기다리는 최대 시간입니다. 이 값을 줄이면 방화벽이 멀티캐스트 주소 또는 출발지에 대한 마지막 수신기의 출발을 감지하는 데 필요한 시간이 감소합니다. 기본값은 1,000밀리초(1초)입니다.
• 멀티캐스트 라우터 쿼리 응답 간격: 정기 MLD 쿼리에 삽입되는 최대 응답 지연 시간입니다. 관리자는 멀티캐스트 라우터 쿼리 응답 간격을 변경하여 링크의 MLD 메시지 버스트를 조정할 수 있습니다. 값을 높이면 호스트 응답이 분산되는 간격이 길어지므로 트래픽의 버스트가 감소합니다. 멀티캐스트 라우터 쿼리 응답 간격은 쿼리 간격보다 짧아야 합니다. 기본값은 10,000밀리초(10초)입니다.
• 멀티캐스트 라우터 견고성 변수: 대상을 삭제할 때까지 응답 없이 전송되는 쿼리 수를 지정합니다. 이 변수를 사용하여 링크의 예상 패킷 손실에 따라 프로토콜을 조정할 수 있습니다. 무선 연결 등 손실이 허용되는 링크에서는 견고성 변수 값을 높일 수 있습니다. 기본값은 2입니다. 견고성 변수를 2보다 작게 구성하면 안 됩니다.
DHCPv6 서버는 네트워크 > DNS 페이지의 왼쪽 위에 있는 IP 버전 보기 라디오 단추에서 IPv6 옵션을 선택하여 IPv4와 비슷하게 구성할 수 있습니다.
IPv6 방화벽 액세스 규칙은 IPv4 주소 개체 대신 IPv6 주소 개체를 선택하여 IPv6 액세스 규칙과 비슷한 방식으로 구성할 수 있습니다. 방화벽 > 액세스 규칙 페이지에서 IP 버전 보기 라디오 단추에는 IPv4만, IPv6만, IPv4 및 IPv6의 3개 옵션이 있습니다.
IPv6 액세스 규칙을 추가할 때는 IPv6 주소 개체만 출발지 및 목적지로 사용할 수 있습니다.
IPSec VPN은 VPN > 설정 페이지의 왼쪽 위에 있는 IP 버전 보기 라디오 단추에서 IPv6 옵션을 선택하여 IPv4 VPN과 비슷한 방식으로 IPv6에 대해 구성할 수 있습니다.
현재 IPv6에 대해 지원되지 않는 특정 VPN 기능은 다음과 같습니다.
• IKEv2는 지원되지만 IKE는 현재 지원되지 않습니다.
• GroupVPN은 지원되지 않습니다.
• DHCP over VPN은 지원되지 않습니다.
IPv6 VPN 정책을 구성할 때는 일반 탭에서 IPv6 주소를 사용하여 게이트웨이를 구성해야 합니다. FQDN은 지원되지 않습니다. IKE 인증을 구성할 때는 로컬 및 피어 IKE ID에 IPv6 주소를 사용할 수 있습니다.
DHCP Over VPN 및 L2TP 서버는 IPv6에 지원되지 않습니다.
VPN 정책의 네트워크 탭에서 로컬 네트워크 및 원격 네트워크에 대해 IPv6 주소 개체 또는 IPv6 주소 개체만 포함하는 주소 그룹을 선택해야 합니다.
DHCP Over VPN이 지원되지 않으므로 보호된 네트워크에 대한 DHCP 옵션을 사용할 수 없습니다.
로컬 네트워크에 대한 임의 주소 옵션 및 원격 네트워크에 대한 모든 터널 옵션이 제거되었습니다. 모두 0인 IPv6 네트워크 주소 개체를 선택해도 같은 기능과 동작을 사용할 수 있습니다.
암호화 탭의 구성은 IPv6의 경우 IKEv2 모드만 지원된다는 점을 제외하면 IPv6과 IPv4에서 동일합니다.
고급 탭에서는 IPv6 VPN 정책에 대해 연결 유지 사용 및 IKEv2 설정만 구성할 수 있습니다.
Note 한 인터페이스에 IPv6 주소가 여러 개 있을 수 있으므로 터널의 로컬 주소가 정기적으로 바뀔 수 있습니다. 사용자가 일정한 IP 주소를 사용해야 하는 경우 영역이 아닌 인터페이스에 VPN 정책이 바인딩되도록 구성한 다음 주소를 수동으로 지정하십시오. 주소는 해당 인터페이스의 IPv6 주소 중 하나여야 합니다.
SonicOS는 IPv6 주소 사용자를 위한 NetExtender 연결을 지원합니다. SSLVPN > 클라이언트 설정 페이지에서 먼저 기존 IPv6 IP 주소 풀을 구성한 다음 IPv6 IP 풀을 구성합니다. 그러면 클라이언트에 내부 주소(IPv4 주소와 IPv6 주소 하나씩)가 두 개 할당됩니다.
IPv6 DNS/Wins 서버는 지원되지 않습니다.
사용자는 SSLVPN > 클라이언트 경로 페이지에서 미리 정의된 모든 IPv6 주소 개체를 포함한 모든 주소 개체의 드롭다운 목록에서 클라이언트 경로를 선택할 수 있습니다.
Note IPv6 FQDN도 지원됩니다.
AppFlow 모니터 및 실시간 모니터용 IPv6 시각화는 IPv4 시각화의 확장 기능으로, 인터페이스/어플리케이션 속도 실시간 모니터링 기능 및 관리 인터페이스의 세션 확인 기능을 제공합니다.
관리자는 IPv6용으로 향상된 새로운 시각화 대시보드 모니터링 기능을 통해 네트워크 보안 취약성 및 네트워크 대역폭 문제에 더욱 신속하게 대응할 수 있습니다. 관리자는 직원들이 액세스하는 웹 사이트 및 네트워크에서 사용 중인 어플리케이션/서비스와 사용 범위를 확인하여 조직 내부와 외부로 전송되는 콘텐츠를 감시할 수 있습니다.
AppFlow 모니터 페이지에서는 IP 버전 보기 선택을 위한 두 가지 옵션이 새롭게 제공됩니다. 이러한 옵션을 통해 IPv6 트래픽만 모니터링하거나 IPv4 및 IPv6 트래픽을 모니터링할 수 있습니다.
실시간 모니터 페이지의 어플리케이션 및 대역폭 패널에 있는 인터페이스 드롭다운 메뉴에도 동일한 두 가지 옵션이 새롭게 제공됩니다.
IPv6용 시각화의 기능은 다음과 같이 제한됩니다.
• CFS에서 IPv6의 모든 측면을 지원하지는 않으므로 IPv6 URL 등급이 지원되지 않습니다.
• IPv6 국가 정보가 지원되지 않습니다.
• IPv6 외부 레포팅이 지원되지 않습니다.
AppFlow 모니터 및 실시간 모니터 시각화는 IPv6 및 IPv4에서 같은 방식으로 구성됩니다. 즉 IP 버전 보기 단추를 선택하여 보기/구성을 변경합니다. 시각화의 일반 구성에 대한 자세한 내용은 시각화 대시보드를 참조하십시오.
IPv6 HA(고가용성) 모니터링은 IPv4의 HA 모니터링에 대한 확장으로 구현됩니다. IPv6용으로 HA 모니터링을 구성하고 나면 Primary 어플라이언스와 백업 어플라이언스를 모두 IPv6 모니터링 주소에서 관리할 수 있으며 IPv6 헬스체크에서 HA 쌍의 네트워크 상태를 감지할 수 있습니다.
IPv6 및 IPv4 라디오 단추는 고가용성 > 모니터링 페이지에 표시되며, 각 단추를 클릭하여 두 IP 버전을 쉽게 구성할 수 있도록 두 보기 간에 전환할 수 있습니다.
이 섹션에 포함된 하위 섹션은 다음과 같습니다.
IPv6 HA 모니터링 기능은 다음과 같이 제한됩니다.
• IPv6 HA 모니터링 구성 페이지에서 물리적/링크 모니터링 속성을 변경할 수 없습니다. 속성은 IPv4 HA 모니터링 구성 페이지에서 설정합니다.
• IPv6 HA 모니터링 구성 페이지에서 가상 MAC 재정의 속성을 변경할 수 없습니다. 속성은 IPv4 HA 모니터링 구성 페이지에서 설정합니다.
• IPv4 및 IPv6에서 동시에 HA 헬스체크를 사용하도록 설정할 수 없습니다. 즉 IPv4 헬스체크를 사용하도록 설정하면 IPv6 헬스체크는 사용할 수 없고, 그 반대의 경우도 마찬가지입니다.
IPv6 주소 헬스체크를 수행하기 위해 ICMPv6 패킷을 Primary 및 백업 어플라이언스에서 정기적으로 전송하며, 헬스체크를 수행한 IPv6 주소의 응답을 모니터링합니다. 활성 어플라이언스는 헬스체크를 수행한 IPv6 주소에 연결할 수 없는데 Idle 어플라이언스는 연결할 수 있는 경우 백업 어플라이언스의 네트워크 상태가 더 양호한 것이므로 Failover가 시작됩니다.
IPv6 HA 헬스체크에서는 IPv6 주소, ICMPv6 Echo 요청 및 ICMPv6 Echo 응답이 사용됩니다. Primary 및 백업 어플라이언스의 네트워크 상태를 판단하는 데 사용되는 논리는 IPv4 및 IPv6에서 동일합니다.
IPv6 HA 모니터링 구성 페이지는 IPv4에서 상속되므로 구성 절차는 거의 동일합니다. IPv6 라디오 단추를 선택하고 부록 C: IPv6에서 구성 세부 정보를 참조하면 됩니다.
IPv6 HA 모니터링을 구성할 때는 다음 사항을 고려하십시오.
• 물리적/링크 모니터링 및 가상 MAC 확인란은 레이어 2의 속성이므로 회색으로 표시됩니다. 즉, 이러한 속성은 IPv4와 IPv6에서 모두 사용되므로 사용자는 IPv4 모니터링 페이지에서 해당 속성을 구성해야 합니다.
• Primary/백업 IPv6 주소는 인터페이스의 같은 서브넷에 있어야 하며 Primary/백업 어플라이언스의 글로벌 IP 및 링크-로컬 IP와 같을 수 없습니다.
• Primary/백업 모니터링 IP를 ::이 아닌 으로 설정하는 경우에는 두 IP가 같을 수 없습니다.
• 관리 확인란을 사용하도록 설정한 경우 Primary/백업 모니터링 IP를 ::과 같이 지정하지 않은 상태로 둘 수는 없습니다.
• 헬스체크 확인란을 사용하도록 설정한 경우 헬스체크 IP를 지정하지 않은 상태로 둘 수는 없습니다.
SonicOS는 다음을 비롯하여 IPv6용으로 전체 진단 도구를 제공합니다.
• 패킷 캡처
패킷 캡처에서는 IPv6가 완전하게 지원됩니다.
IPv6 키워드를 사용하여 패킷 캡처를 필터링할 수 있습니다.
ping 도구에는 새로운 Ping IPv6 network preferred 옵션이 포함되어 있습니다.
도메인 이름에 대해 ping을 실행할 때는 반환되는 첫 번째 IP 주소가 사용되며 실제 ping 대상 주소가 표시됩니다. IPv4 및 IPv6 주소가 모두 반환되면 방화벽은 기본적으로 IPv4 주소에 대해 ping을 실행합니다.
Ping IPv6 network preferred 옵션을 사용하도록 설정하면 방화벽은 IPv6 주소에 대해 ping을 실행합니다.
IPv6 DNS 조회 또는 IPv6 역방향 이름 조회를 수행할 때는 DNS 서버 주소를 입력해야 합니다. IPv6 또는 IPv4 주소를 사용할 수 있습니다.