IPv6
Este apêndice fornece uma visão geral da implementação de IPv6 do SonicOS, de como o IPv6 opera e de como configurar o IPv6 em sua rede. Este apêndice contém as seguintes seções:
– Certificação de Pronto para IPv6
– Visão geral da tecnologia IPv6
– BGP IPv6
– Suporte de IPv6 nos servidores de back-end
– Recursos do IPv6 suportados pela Dell SonicWALL
– Recursos do IPv6 atualmente não suportados pela Dell SonicWALL
– Configuração da interface IPv6
– Configurar interfaces de túnel de IPv6
– Acessar a interface de usuário Dell SonicWALL usando IPv6
– Configuração das regras de acesso de IPv6
– Configuração de VPN IPSec no IPv6
– Configuração de SSL VPN para IPv6
– Limitações de recursos da visualização de IPv6
– Configurar a visualização de IPv6
• Monitoramento de alta disponibilidade de IPv6
– Limitações de recursos do monitoramento de alta disponibilidade de IPv6
– Investigação de alta disponibilidade de IPv6
– Configurar o monitoramento de alta disponibilidade de IPv6
• Monitoramento e diagnóstico de IPv6
– Pesquisa de DNS e pesquisa reversa de nome de IPv6
As seções seguintes fornecem uma visão geral do IPv6:
• Certificação de Pronto para IPv6
• Visão geral da tecnologia IPv6
• Recursos do IPv6 suportados pela Dell SonicWALL
• Recursos do IPv6 atualmente não suportados pela Dell SonicWALL
Certificação de Pronto para IPv6
A Dell SonicWALL atendeu aos requisitos da Fase 1 e Fase 2 de "Pronto para IPv6", conforme especificado pelo Fórum IPv6, um consórcio mundial que fornece orientação técnica para a implantação de IPv6. O Programa de Logotipo de Pronto para IPv6 é um programa de teste da interoperabilidade e conformidade que se destina a aumentar a confiança do utilizador demonstrando que o IPv6 está agora disponível e pronto a ser usado.
A série de testes Pronto para IPv6 vai desde um nível básico de cobertura mínima na Fase 1 até uma cobertura mais completa com a Fase 2:
• Logotipo da Fase 1 (Prata): No primeiro estágio, o logotipo indica que o produto inclui os protocolos de núcleo obrigatórios IPv6 e pode interagir com outras implementações de IPv6.
• Logotipo da Fase 2 (Ouro): A etapa "Pronto para IPv6" implica cuidado apropriado, consenso técnico e referências técnicas claras. O logotipo de Pronto para IPv6 indicará que o produto cumpriu com êxito os rigorosos requisitos estabelecidos pelo Comitê de Logotipo IPv6 (v6LC).
A Dell SonicWALL foi certificada para o status Pronto para IPv6 de Fase 2 (Ouro). Um futuro nível de Fase 3 da cobertura Pronto para IPv6 está atualmente em desenvolvimento.
Para obter mais informações, consulte: http://www.ipv6ready.org/
Visão geral da tecnologia IPv6
Cada dispositivo conectado com a Internet (computador, impressora, smartphone, medidor inteligente, etc.) requer um endereço IP. A versão 4 do protocolo de Internet (IPv4) fornece aproximadamente 4,3 bilhões de endereços IP únicos. A rápida expansão global do uso de Internet, telefones celulares e telefonia VoIP conduzirá, em breve, ao esgotamento destes 4,3 bilhões de endereços IP.
A 3 de fevereiro de 2011, a IANA (Internet Assigned Numbers Authority – Autoridade para atribuição de números na Internet) distribuiu os últimos blocos de endereços IPv4 que restavam pelos Registros Regionais de Internet (RIRs). Depois de os RIRs distribuírem estes endereços pelos ISPs ao longo deste ano, a provisão mundial de novos endereços IPv4 se esgotará.
Felizmente, a IETF (Internet Engineering Task Force) começou a planejar este dia já em 1992 e, em 1998, foi publicada a RFC 2460 para definir a versão 6 do protocolo de Internet (IPv6). Aumentando o tamanho dos endereços de 32 bits para 128 bits, o IPv6 aumenta dramaticamente o número de endereços disponíveis em comparação ao IPv4:
• IPv4: 4.294.967.296 endereços
• IPv6: 340.282.366.920.938.463.463.374.607.431.768.211.456 endereços
Compreender os endereços IPv6
Os endereços IPv6 são escritos em oito grupos de quatro dígitos hexadecimais separados por dois-pontos, no formato:
XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX
Os endereços IPv6 estão logicamente divididos em duas partes: um prefixo de (sub-)rede de 64 bits e um identificador de interface de 64 bits. Aqui está um exemplo de um endereço IPv6:
2001:0db8:85a3:0000:0000:8a2e:0370:7334
Note Os dígitos hexadecimais nos endereços IPv6 não são sensíveis a maiúsculas e minúsculas.
Um endereço IPv6 pode ser abreviado usando as duas regras seguintes:
1. Os zeros iniciais em um valor de 16 bits podem ser omitidos. Assim, nosso endereço exemplificativo pode ser abreviado do formato completo:
– 2001:0db8:85a3:0000:0000:8a2e:0370:7334
para este formato abreviado:
– 2001:db8:85a3:0:0:8a2e:370:7334
2. É possível exprimir qualquer número de grupos consecutivos de quatro zeros (tecnicamente, 16 bits de zeros) por meio de dois-pontos duplos (o símbolo "::"). Combinando estas duas regras, nosso endereço exemplificativo pode ser abreviado do formato completo:
– 2001:0db8:85a3:0000:0000:8a2e:0370:7334
para este formato abreviado:
– 2001:db8:85a3::8a2e:370:7334
|
Note As redes devem estar conectadas com a Internet IPv4 para se conectarem com a Internet IPv6.
Note A pilha do IPv6 deve estar habilitada para computadores nos sites da rede local.
Aqui fica uma imagem simplificada demonstrando o modelo de conectividade para uma implantação típica de IPv6.
O diagrama seguinte apresenta uma comparação dos elementos de cabeçalho entre IPv4 e IPv6.
O IPv6 inclui alguns recursos essenciais para superar as limitações verificadas no IPv4. O novo padrão IP expande o IPv4 em vários aspectos importantes:
• Túnel 6to4 (permite que os nós IPv6 se conectem para fora dos serviços IPv6 por meio de uma rede IPv4)
– Túnel automático 6to4
– Túnel GRE
• Túnel manual IPv6
• Novo e simplificado formato de cabeçalho IPv6
• Número massivamente grande de endereços IPv6 disponíveis
• Infraestrutura eficiente e hierárquica de endereçamento e roteamento
• Atribuição automática de endereços a hosts e roteadores usando NDP (Neighbor Discovery Protocol – Protocolo de descoberta de vizinho) e DHCPv6
• Configuração de endereços com e sem monitoramento de estado
• Segurança integrada – recomenda-se vivamente AH e ESP
• Melhor suporte para QoS – etiqueta de fluxo no cabeçalho
• Novo protocolo para interação entre nós vizinhos
• Extensibilidade para novos recursos usando cabeçalhos de extensão
O BGP IPv6 é suportado no SonicOS 5.9.0.2. Para obter informações sobre a configuração do BGP IPv6, consulte BGP IPv6 do Apêndice B: Roteamento avançado do BGP.
Suporte de IPv6 nos servidores de back-end
A Dell SonicWALL fornece servidores de back-end que mantêm registros de endereços IPv6 (registros AAAA).
A Dell SonicWALL suporta IPv6 nos seguintes servidores de back-end Dell SoniWALL:
• Servidores de gerenciadores de licenças
• Servidores de download de assinaturas
• Servidores de serviço de filtragem de conteúdo (CFS - Content Filtering Service)
• Servidores de painel
• Servidores My sonicWALL
• Servidores de ajuda online
• Servidores de atualização de software
• Servidores de atualização automática de software
• Servidores de download do NetExtender
• Servidores de download de imagens SonicPoint
A Dell SonicWALL não suporta IPv6 nos seguintes servidores de back-end Dell SoniWALL:
• Servidores DRP
• Servidores de respondentes
• Servidores de anti-spam
• Servidores de AV em nuvem
• Servidores de imposição de AV
• Servidores Geo-IP
• Servidores de relatórios de aplicativos
Note Um dispositivo de segurança de rede Dell SonicWALL usará um endereço IPv6 para se conectar com um servidor de back-end somente quando não for possível resolver nenhum endereço IPv4.
O dispositivo de segurança de rede Dell SonicWALL consulta os servidores de back-end para obter endereços IPv6 da seguinte forma:
1. Se estiver disponível um servidor DNS IPv4, o firewall consulta primeiro este servidor para obter um endereço IPv4 (registro A). Se resolvido, o firewall usa o endereço IPv4 retornado para se conectar com o servidor de back-end.
2. Se não estiver disponível um servidor DNS IPv4 ou não for encontrado um endereço IPv4, o firewall procura então um servidor DNS IPv6. Se for encontrado um servidor DNS IPv6, o firewall consulta-o para obter um endereço IPv6 (registro AAAA). Se for encontrado um, esse endereço é usado para a conexão com o servidor de back-end.
3. Se não existir um endereço IPv6 resolvido, a conexão falha.
O firewall usará o endereço IP retornado, qualquer que seja o seu tipo, quer seja um endereço IPv4 (registro A) ou um endereço IPv6 (registro AAAA).
Se o firewall estiver configurado para tentar novamente a consulta, ele continuará consultando até que o período de tempo limite termine.
Recursos do IPv6 suportados pela Dell SonicWALL
Segue-se uma lista de serviços e recursos do IPv6 que são atualmente suportados pela Dell SonicWALL:
• Regras de acesso
• Objetos de endereços
• Gerenciamento avançado da largura de banda:
– Monitor de gerenciamento de largura de banda
• Anti-Spyware
• Servidor App Flow:
– IPv6 App Flow gerando para servidor App Flow
– IPv6 App Flow gerando para servidor App Flow de terceiros
• Firewall do aplicativo:
– Regras de aplicativos
• Prevenção de ataques:
– Ataque Land
– Antifalsificação MAC
– Ping of Death
– Smurf
– SYN Flood
• Imposição do Client Anti-Virus
• Cache de conexão
• Monitor de conexão:
– Filtragem de endereços IPv6
• Filtragem de conteúdo:
– Restrição de cookies, ActiveX, Java
– Lista personalizada do CFS
– Lista de exclusão CFS
– Serviço de filtragem de conteúdo
– Bloqueio de palavras-chave
• DHCP:
– Servidor DHCP
– Escopo de concessão dinâmica
– Opções genéricas
– Opções integradas (servidor WINS/DNS)
– Persistência de concessão
– Escopo de concessão estática
• Diagnóstico:
– Nslookup
– Ping6
– Nslookup reversa
– Rota de rastreamento
• Cliente DNS
• Pesquisa de DNS e pesquisa reversa de nome
• Pilha dual IPv4 e IPv6
• EPRT
• EPSV
• FTPv6
• Proteção contra inundação:
– Proxy de sincronização de TCP
• Manipulação de fragmentação
• Antivírus no gateway
• Validação de cabeçalho
• Alta disponibilidade:
– Cache de conexão
– Servidor DHCP
– FTP
– IP de monitoramento
– NDP
– SonicPoint
– VPN
• Gerenciamento HTTP/HTTPS por IPv6
• ICMPv6
• IDP
• IKEv2
• Interface
– Modo de cliente DHCP
– Interface IPv6
– Modo de ponte de camada 2
– Modo de cliente PPPoE
• Serviço de prevenção contra intrusões
• Proteção contra falsificação de IP
• Mensagens Syslog de IPv4, incluindo mensagens com endereços IPv6
• BGP IPv6
• Limite de conexões de IPv6
• IPv6 para servidores de back-end
• Modo de ponte de camada 2
• Registrar:
– Entrada de log de endereço IPv6
• Registro de eventos IPv6
• Exclusividade de login
• Roteamento de difusão seletiva com descoberta de ouvinte de difusão seletiva
• NAT
• Balanceamento de carga NAT (somente Sticky IP/sem suporte de investigação)
• Protocolo de descoberta de vizinho
• Conexões NetExtender para usuários com endereços IPv6
• NDP
• OSPFv3
• Captura de pacotes
• Ping
• Roteamento com base em política
• Manipulação de reagrupamentos
• Gerenciamento remoto
• RIPng
• Roteamento
• Serviços de segurança para tráfego IPv6 com DPI
• Túnel IPv6 site a site com IPSec para segurança
• Suporte de IPv6 de SonicPoint
• SSL VPN
• Inspeção com monitoramento de estado de tráfego IPv6
• Syslog:
– Mensagens Syslog de IPv4 para incluir endereços IPv6
• Criação de túnel
– Criação de túnel IPv4 para IPv6
– Criação de túnel IPv6 para IPv4
• Usuários:
– Gerenciamento e login de usuários IPv6
– Exclusividade de login
– Status do usuário
• Visualização
– Monitor de App Flow
– Relatório de App Flow
– Monitor em tempo real
– Relatório de ameaças
– Monitor de usuário
• VLAN:
– VLAN de IPv6 em modo de ponte de camada 2
– Interface VLAN de IPv6
• Políticas de VPN
• Sem Fio
Recursos do IPv6 atualmente não suportados pela Dell SonicWALL
Segue-se uma lista de serviços e recursos do IPv6 que atualmente não são suportados pela Dell SonicWALL.
Note SonicOS 5.9 é um firmware de pilha dual de IP. Os recursos que não são suportados no IPv6 continuam sendo suportados no IPv4.
• Objetos de endereços:
– DAO
– FQDN
• Anti-spam
• Filtro de botnets
• Interface de linha de comando
• Conectar servidor App Flow com endereço IPv6
• Filtragem de conteúdo:
– Política de CFS por faixa de endereço IP
– Websense Enterprice
• DHCP sobre VPN
• Retransmissão de DHCP
• DPI-SSL
• Objetos de endereços dinâmicos para endereços IPv6
• DNS dinâmico
• Configuração de E-CLI
• Proteção contra inundação:
– ICMP
– UDP
• FQDN
• Filtro GeoIP
• Global VPN Client (GVC)
• GMS
• VPN:
– DHCP sobre VPN
– Grupo VPN
– IKE
– IKE DPD
– Servidor L2TP
– IKEv2 móvel
– OCSP
– VPN baseado em Rota
• H.323
• Alta disponibilidade:
– Difusão seletiva v6
– Oracle SQL/Net
– RTSP
– ULA v6
– VoIP
• IKEv1
• Interface:
– Modo de cliente L2TP
– Modo transparente
– Modo com fio
• Auxiliar de IP
• Mensagens Syslog de IPv6
• ISATAP
• LDAP
• Registrar:
– Logs de IPNET Stack
– Registrar resolução de nome de DNS
• Antifalsificação do IP do MAC
• Proxy de difusão seletiva
• Roteamento de difusão seletiva
• NAT entre endereços IPv6 e IPv4
– NAT IPv4 para IPv6
– NAT IPv6 para IPv4
• NetBIOS sobre VPN
• Monitor de rede
• NTP
• Mapeamento QoS
• RADIUS
• Encaminhamento de difusão seletiva RAS
• RBL
• VPNs baseados em rotas
• Conexão única
• Filtragem de lista negra em tempo real (RBL) SMTP
• SNMP
• SSH
• Controle de SSL
• SSL-VPN
• Protocolo com monitoramento de estado:
– Oracle SQL/Net
– SIP
• Syslog:
– Mensagens Syslog de IPv6 para incluir endereços IPv6
• Usuários:
– Serviço para convidados
– LDAP
– Radius
– SSO
• Relatórios do
• Assistente virtual
• VLAN:
– Modo de cliente DHCP
– Modo de cliente L2TP
– Modo de cliente PPPoE
• VoIP
• Aceleração de WAN
• Balanceamento de carga da WAN
• Proxy da Web
Esta seção lista os RFCs de IPv6 suportados no SonicOS 5.9.
Pilha de TCP/IP e protocolos de rede
• RFC 1886 Extensões DNS para suportar IP versão 6 [cliente dns IPAPPL]
• RFC 1981 Descoberta de MTU do caminho para IPv6
• RFC 2113 Opção de alerta de roteador IP
• RFC 2373 Arquitetura de endereçamento de IPv6
• RFC 2374 Um formato de endereço unicast global agregável de IPv6 (substituído por 3587)
• RFC 2375 Atribuições de endereços de difusão seletiva de IPv6
• RFC 2460 Especificação de IPv6
• RFC 2461 Descoberta de vizinho para IPv6
• RFC 2462 Configuração automática de endereços sem monitoramento de estado de IPv6
• RFC 2463 ICMPv6 para especificação de IPv6
• RFC 2464 Transmissão de pacotes IPv6 por redes Ethernet
• RFC 2473 Criação de túneis de pacotes genéricos em especificação de IPv6
• RFC 2474 Definição do campo de serviços diferenciados (campo DS) nos cabeçalhos IPv4 e IPv6
• RFC 2545 Suporte de SonicOS para BGP4+
• RFC 2553 Extensões de interface básica de soquetes para IPv6
• RFC 2710 Descoberta de ouvinte de difusão seletiva (MLD) para IPv6
• RFC 2711 Opção de alerta de roteador IPv6
• RFC 2784 Encapsulamento de roteamento genérico
• RFC 2893 Mecanismos de transição para hosts e roteadores IPv6
• RFC 2991 Problemas de vários caminhos na seleção de próximo salto unicast e de difusão seletiva
• RFC 3056 Conexão de domínios IPv6 via nuvens IPv4
• RFC 3484 Seleção de endereços padrão para protocolo de Internet versão 6 (IPv6) (sem "hooks" de políticas)
• RFC 3493 Extensões de interface básica de soquetes para IPv6
• RFC 3513 Arquitetura de endereçamento do protocolo de Internet versão 6 (IPv6)
• RFC 3542 Interface de programa de aplicativo (API) avançada de soquetes para IPv6
• RFC 3587 Formato de endereço unicast global de IPv6 (substitui 2374)
Conformidade com IPsec
• RFC 1826 Cabeçalho de autenticação de IP [AH antigo]
• RFC 1827 Carga de segurança de encapsulamento (ESP) de IP [ESP antigo]
Conformidade com NAT
• RFC 2663 Terminologia e considerações de conversor de endereços de rede (NAT) de IP.
• RFC 3022 Conversor de endereços de rede de IP tradicional (NAT tradicional).
Conformidade com DNS
• RFC 1886 Extensões DNS para suportar IP versão 6
Esta seção lista os RFCs de IPv6 que atualmente não são suportados no SonicOS 5.9.
• RFC 2002 Suporte à mobilidade de IP
• RFC 2766 Conversão de endereços de rede – conversão de protocolos (NAT-PT)
• RFC 2472 IP versão 6 sobre PPP
• RFC 2452 Base de informações de gerenciamento de IP versão 6 para o protocolo de controle de transmissão (TCP).
• RFC 2454 Base de informações de gerenciamento de IP versão 6 para o protocolo de datagrama de usuário (UDP).
• RFC 2465 Base de informações de gerenciamento para IP versão 6: Convenções textuais e grupo geral.
As seções a seguir descrevem como configurar o IPv6:
• Configuração da interface IPv6
• Configurar interfaces de túnel de IPv6
• Acessar a interface de usuário Dell SonicWALL usando IPv6
• Configuração das regras de acesso de IPv6
• Configuração de VPN IPSec no IPv6
• Configuração de SSL VPN para IPv6
Configuração da interface IPv6
As interfaces IPv6 são configuradas na página Rede > Interfaces clicando na opção IPv6 para o botão de opção Visualizar versão de IP no canto superior direito da página.
Por padrão, todas as interfaces IPv6 aparecem como roteadas sem endereço IP. É possível adicionar múltiplos endereços IPv6 na mesma interface. A atribuição automática de IP só pode ser configurada em interfaces WAN.
Cada interface pode ser configurada para receber anúncios de roteador ou não. O IPv6 pode ser habilitado ou desabilitado em cada interface.
Note A atribuição de zonas para uma interface deve ser configurada por meio da página da interface IPv4 antes de passar para o modo IPv6.
As seções a seguir descrevem a configuração de interfaces IPv6:
• Restrições de configuração de interfaces IPv6
• Configurar uma interface para o modo estático de IPv6
• Configurar uma interface para o modo DHCPv6
• Configurar uma interface para o modo automático
• Configurar uma interface para PPPoE
• Configurar uma subinterface de VLAN
Restrições de configuração de interfaces IPv6
• Não é possível configurar a interface HA para IPv6.
• Somente a interface pai do grupo SwitchPort pode ser configurada como uma interface IPv6, logo todos os filhos de um grupo de portas de comutador devem ser excluídos desta lista.
• Os grupos de pontes de camada 2 e zonas são configurações compartilhadas entre IPv4 e IPv6 em uma interface. Depois de configurados no lado IPv4, o lado IPv6 da interface usará a mesma configuração.
• O gateway padrão e os servidores DNS só podem ser configurados para interfaces de zona de WAN.
• As interfaces VLAN não são atualmente suportadas.
Configurar uma interface para o modo estático de IPv6
O modo estático fornece ao usuário uma forma de atribuir um endereço IPv6 estático, em vez de um endereço atribuído automaticamente. Usando o modo estático, a interface IPv6 ainda pode receber anúncios de roteador e registrar um endereço autônomo da opção de prefixo correspondente. O modo estático não perturba a execução da configuração automática de endereço sem monitoramento de estado na interface IPv6, exceto se o usuário desabilitar manualmente.
O diagrama a seguir mostra uma topologia de amostra com IPv6 configurado no modo estático.
É possível atribuir 3 tipos de endereço IPv6 neste modo:
• Endereço automático
• Endereço autônomo
• Endereço estático
Para configurar uma interface para um endereço IPv6 estático, realize as seguintes etapas:
1. Navegue até a página Rede > Interfaces.
2. Clique no botão IPv6 no canto superior direito da página. São exibidos os endereços IPv6 para o dispositivo.
3. Clique no ícone Configurar da interface para a qual você deseja configurar um endereço IPv6. A janela Editar interface será exibida.
Note A atribuição de zonas para interfaces deve ser configurada na página de endereçamento de IPv4. Para modificar a atribuição de zonas para uma interface IPv6, clique no botão IPv4 no canto superior direito da página, modifique a zona da interface e, em seguida, retorne à página da interface IPv6.
No menu suspenso Atribuição de IP, selecione Estático.
5. Insira o Endereço IPv6 da interface.
6. Insira o Comprimento do prefixo do endereço.
7. Se esta for a interface WAN primária, insira o endereço IPv6 do Gateway padrão. Se esta não for a interface WAN primária, qualquer entrada de gateway padrão será ignorada, por isso você poderá deixar como ::. (Os dois-pontos são a abreviatura para um endereço em branco, ou 0:0:0:0:0:0:0:0.)
8. Se esta for a interface WAN primária, insira até três endereços IPv6 de Servidor DNS. Mais uma vez, se esta não for a interface WAN primária, quaisquer entradas de servidor DNS serão ignoradas.
9. Selecione Habilitar anúncio de roteador para fazer desta uma interface de anúncio que distribui informações de rede e prefixo.
10. Selecione Anunciar prefixo de sub-rede ou endereço estático primário de IPv6 para adicionar um prefixo padrão à lista de prefixos de anúncio da interface. Este prefixo é o prefixo de sub-rede do endereço estático primário de IPv6 da interface. Esta opção ajudará todos os hosts do link a permanecerem na mesma sub-rede.
Configurar opções avançadas de interface IPv6 e múltiplos endereços IPv6
Realize as seguintes etapas para modificar as opções avançadas da interface IPv6 ou para configurar múltiplos endereços IPv6 estáticos.
1. Na janela Editar interface, clique na guia Avançado.
Clique no botão Adicionar endereço para configurar múltiplos endereços IPv6 estáticos para a interface.
Só podem ser adicionados múltiplos endereços IPv6 a uma interface que esteja configurada no modo de endereço IPv6 estático. Não é possível configurar múltiplos endereços IPv6 no modo Automático ou DHCPv6.
3. Insira o Endereço IPv6 do endereço adicional da interface.
4. Insira o Comprimento do prefixo do endereço.
5. Selecione Anunciar prefixo de sub-rede ou endereço estático primário de IPv6 para adicionar um prefixo padrão à lista de prefixos de anúncio da interface. Este prefixo é o prefixo de sub-rede do endereço estático primário de IPv6 da interface. Esta opção ajudará todos os hosts do link a permanecerem na mesma sub-rede.
6. Clique em OK.
7. É possível configurar as seguintes opções adicionais na guia Avançado no título Configurações avançadas:
• Selecione Desabilitar todo o tráfego IPv6 na interface para evitar que a interface manipule todo o tráfego IPv6. Desabilitar o tráfego IPv6 pode melhorar o desempenho do firewall para tráfego que não IPv6. Se o firewall for implantado em um ambiente IPv4 puro, a Dell SonicWALL recomenda que você habilite esta opção.
• Selecione Habilitar escuta para anúncio de roteador para que o firewall receba anúncios de roteador. Se estiver desabilitada, a interface filtra todas as mensagens de anúncio de roteador de entrada, o que melhora a segurança eliminando a possibilidade de receber parâmetros de rede maliciosos (por exemplo, informações de prefixo ou gateway padrão). Esta opção não é visível no modo Automático. No modo Automático, a opção está sempre habilitada.
• Selecione Habilitar configuração automática de endereço sem monitoramento de estado para permitir a atribuição de endereços IPv6 autônomos a esta interface. Se esta opção estiver desmarcada, todos os endereços IPv6 autônomos atribuídos serão removidos desta interface. Esta opção não é visível no modo Automático. No modo Automático, a opção está sempre habilitada.
• Insira um valor numérico para Transmissões de detecção de endereço duplicado para especificar o número de mensagens consecutivas de solicitação de vizinho enviadas ao executar a detecção de endereço duplicado (DAD) antes de atribuir um endereço provisório à interface. Um valor de 0 indica que a DAD não é executada na interface.
Do mesmo modo com ARP grátis de IPv4, o nó IPv6 usa a mensagem de detecção de vizinho para detectar um endereço IPv6 duplicado no mesmo link. A DAD deve ser executada em qualquer endereço Unicast (exceto endereços Anycast) antes de atribuir um provisório a uma interface IPv6.
Definir configurações de anúncio de roteador
Um anúncio de roteador permite que roteadores IPv6 anunciem endereços de servidor recursivo DNS para hosts IPv6. A configuração de DNS com base em anúncio de roteador é uma alternativa útil e opcional em redes onde o endereço de um host IPv6 é configurado automaticamente por meio de configuração automática de endereço sem monitoramento de estado IPv6 e onde os atrasos na obtenção de endereços de servidor e na comunicação com os servidores são críticos. O anúncio de roteador permite que o host obtenha os endereços de servidor mais próximos em cada link. Além disso, aprende estes endereços a partir da mesma mensagem RA que fornece a informação de configuração para o link, evitando assim a execução de um protocolo adicional. Isso pode ser benéfico em alguns ambientes móveis, como IPv6 móvel. A implementação do IPv6 da Dell SonicWALL está em plena conformidade com RFC 4861 em termos de descoberta de roteador e prefixo.
Note O anúncio de roteador só pode ser habilitado quando a interface está no modo Estático.
Para configurar o anúncio de roteador para uma interface IPv6, realize as seguintes etapas.
1. Na janela Editar interface, clique na guia Anúncio de roteador.
Selecione a caixa de seleção Habilitar anúncio de roteador para fazer desta uma interface de anúncio que distribuirá informações de rede e prefixo.
3. Opcionalmente, você pode modificar as seguintes configurações do anúncio de roteador:
– Período de intervalo do anúncio de roteador – o intervalo de tempo permitido entre o envio de anúncios de roteador de difusão seletiva não solicitados a partir desta interface, em segundos.
– MTU de link – a MTU recomendada para o link da interface. Um valor de 0 significa que o firewall não anunciará a MTU de link para o link.
– Tempo alcançável – o tempo durante o qual um nó assume que um vizinho é alcançável após receber uma confirmação de alcance. Um valor de 0 significa que este parâmetro não está especificado para este firewall.
– Tempo de retransmissão – o tempo entre mensagens retransmitidas de solicitação de vizinho. Um valor de 0 significa que este parâmetro não está especificado para este firewall.
– Limite de saltos atual – o valor padrão que deve ser inserido no campo Contagem de saltos do cabeçalho IP para pacotes IP de saída. Um valor de 0 significa que este parâmetro não está especificado para este firewall.
– Tempo de vida do roteador – o tempo de vida em que o firewall é aceito como um roteador padrão. Um valor de 0 significa que o roteador não é um roteador padrão.
4. Selecione a caixa de seleção Gerenciado para definir o sinalizador de configuração de endereço gerenciado na mensagem de anúncio de roteador. Se estiver definida, indica que os endereços IPv6 estão disponíveis por meio de protocolo de configuração dinâmica de hosts.
5. Selecione a caixa de seleção Outra configuração para definir o sinalizador de outra configuração na mensagem de anúncio de roteador. Se estiver definida, indica que a informação de outra configuração está disponível por meio de protocolo de configuração dinâmica de hosts.
Definir configurações de prefixo de anúncio de roteador
1. Clique no botão Adicionar prefixo para configurar um prefixo de anúncio. Os prefixos de anúncio são usados para fornecer hosts com prefixos para determinação no link e configuração automática de endereço.
Insira o Prefixo que deve ser anunciado com a mensagem de anúncio de roteador.
3. Insira o Tempo de vida válido para definir o período de tempo (em minutos) durante o qual o prefixo é válido para efeitos de determinação no link. Um valor de "71582789" significa que o tempo de vida é infinito.
4. Insira o Tempo de vida preferido para definir o período de tempo durante o qual os endereços gerados a partir do prefixo por meio de configuração automática de endereço sem monitoramento de estado permanecem como preferidos. Um valor de "71582789" significa que o tempo de vida é infinito.
5. Opcionalmente, clique na caixa de seleção No link para habilitar o sinalizador no link na opção Informação de prefixo, que indica que este prefixo pode ser usado para determinação no link.
6. Opcionalmente, clique na caixa de seleção Autônomo para habilitar o sinalizador de configuração de endereço autônomo na opção Informação de prefixo, que indica que este prefixo pode ser usado para configuração de endereço sem monitoramento de estado.
7. Clique em OK.
Configurar uma interface para o modo DHCPv6
DHCPv6 (DHCP para IPv6) é um protocolo cliente/servidor que permite a definição de configuração sem monitoramento de estado ou configuração de endereço com monitoramento de estado para hosts IPv6. O cliente DHCPv6 é habilitado para aprender endereços IPv6 e parâmetros de rede quando a interface está configurada no modo DHCPv6.
DHCPv6 define dois modos de configuração diferentes:
• Modo DHCPv6 com monitoramento de estado: Os clientes DHCPv6 exigem o endereço IPv6 juntamente com outros parâmetros de rede (por exemplo, servidor DNS, nome de domínio, etc.).
• Modo DHCPv6 sem monitoramento de estado: O cliente DHCPv6 obtém somente os parâmetros de rede que não o endereço IPv6. A escolha de um destes modos depende do sinalizador de configuração de endereço gerenciado (M) ou outra configuração (O) na mensagem anunciada de anúncio de roteador:
– M = 0, O = 0: Nenhuma infraestrutura DHCPv6.
– M = 1, O = 1: O host IPv6 usa DHCPv6 para o endereço IPv6 e outras configurações de parâmetros de rede.
– M = 0, O = 1: O host IPv6 usa DHCPv6 somente para a atribuição de endereço IPv6.
– M = 1, O = 0: O host IPv6 usa DHCPv6 somente para definições de outros parâmetros de rede, ou seja, DHCPv6 sem monitoramento de estado.
O diagrama a seguir mostra uma topologia de amostra de DHCPv6.
Existem três tipos de endereços IPv6 que podem ser atribuídos sob DHCPv6:
• Endereço automático
• Endereço autônomo
• Endereço IPv6 atribuído por meio de cliente DHCPv6
Para configurar uma interface para um endereço DHCPv6, realize as seguintes etapas:
1. Navegue até a página Rede > Interfaces.
2. Clique no botão IPv6 no canto superior direito da página. São exibidos os endereços IPv6 para o dispositivo.
3. Clique no ícone Configurar da interface para a qual você deseja configurar um endereço IPv6. A janela Editar interface será exibida.
4. No menu suspenso Atribuição de IP, selecione DHCPv6.
As opções a seguir podem ser definidas para interfaces IPv6 configuradas para o modo DHCPv6:
– Usar opção de confirmação rápida – se habilitada, o cliente DHCPv6 usa a opção de confirmação rápida para usar a troca de duas mensagens para a atribuição de endereço.
– Enviar dicas para renovar IP anterior ao inicializar – se habilitada, o cliente DHCPv6 tentará renovar o endereço atribuído antes ao inicializar o firewall.
6. Defina o Modo DHCPv6 para a interface. Conforme exigido pelo RFC, o cliente DHCPv6 depende da mensagem de anúncio de roteador para decidir qual o modo (com ou sem monitoramento de estado) que deve escolher. Esta definição limitará a escolha do usuário se este pretender determinar o modo DHCPv6 sozinho. A implementação do DHCPv6 da Dell SonicWALL define dois modos diferentes para encontrar um equilíbrio entre conformidade e flexibilidade:
– Automático – neste modo, a interface IPv6 configura endereços IPv6 usando a configuração automática com/sem monitoramento de estado de acordo com as definições M e O na mensagem de anúncio de roteador recebida mais recentemente.
– Manual – no modo manual, o modo DHCPv6 é configurado manualmente, independentemente de qualquer anúncio de roteador recebido. A opção Solicitar somente informação sem monitoramento de estado determinará qual o modo DHCPv6 usado. Se esta opção não estiver selecionada, o cliente DHCPv6 está no modo com monitoramento de estado; se estiver selecionada, o cliente DHCPv6 está no modo sem monitoramento de estado e obtém somente os parâmetros de rede.
7. Opcionalmente, selecione a caixa de seleção Solicitar somente informação sem monitoramento de estado para que os clientes DHCPv6 solicitem somente a definição de parâmetros de rede a partir do servidor DHCPv6. O endereço IPv6 é atribuído por meio de configuração automática sem monitoramento de estado.
8. Clique em OK para concluir a configuração, clique na guia Avançado para configurar as opções avançadas ou clique na guia Protocolo para visualizar a informação de configuração com e sem monitoramento de estado de DHCPv6.
Definir configurações avançadas para uma interface IPv6
As opções a seguir podem ser configuradas na guia Avançado da janela Editar interface IPv6:
• Selecione Desabilitar todo o tráfego IPv6 na interface para evitar que a interface manipule todo o tráfego IPv6. Desabilitar o tráfego IPv6 pode melhorar o desempenho do firewall para tráfego que não IPv6. Se o firewall for implantado em um ambiente IPv4 puro, a Dell SonicWALL recomenda que você habilite esta opção.
• Selecione Habilitar escuta para anúncio de roteador para que o firewall receba anúncios de roteador. Se estiver desabilitada, a interface filtra todas as mensagens de anúncio de roteador de entrada, o que melhora a segurança eliminando a possibilidade de receber parâmetros de rede maliciosos (por exemplo, informações de prefixo ou gateway padrão). Esta opção não é visível no modo Automático. No modo Automático, a opção está sempre habilitada.
• Selecione Habilitar configuração automática de endereço sem monitoramento de estado para permitir a atribuição de endereços IPv6 autônomos a esta interface. Se esta opção estiver desmarcada, todos os endereços IPv6 autônomos atribuídos serão removidos desta interface. Esta opção não é visível no modo Automático. No modo Automático, a opção está sempre habilitada.
• Insira um valor numérico para Transmissões de detecção de endereço duplicado para especificar o número de mensagens consecutivas de solicitação de vizinho enviadas ao executar a detecção de endereço duplicado (DAD) antes de atribuir um endereço provisório à interface. Um valor de 0 indica que a DAD não é executada na interface.
Do mesmo modo com ARP grátis de IPv4, o nó IPv6 usa a mensagem de detecção de vizinho para detectar um endereço IPv6 duplicado no mesmo link. A DAD deve ser executada em qualquer endereço Unicast (exceto endereços Anycast) antes de atribuir um provisório a uma interface IPv6.
Guia Protocolo DHCPv6
Ao configurar uma interface IPv6 no modo DHCPv6, a guia Protocolo exibe informação adicional sobre DHCPv6.
As informações a seguir são exibidas na guia Protocolo:
• Estado de DHCPv6: Se a interface for configurada para o modo sem monitoramento de estado, o Estado de DHCPv6 será Sem monitoramento de estado. Se a interface for configurada para o modo com monitoramento de estado, o Estado de DHCPv6 será Habilitado ou Desabilitado. Quando a interface está no modo DHCPv6 com monitoramento de estado, passar com o mouse sobre o ícone à esquerda do Estado de DHCPv6 exibirá a informação atual de anúncio de roteador da interface.
• Servidor DHCPv6: O endereço IPv6 do servidor DHCPv6.
• Endereços com monitoramento de estado obtidos via DHCPv6: Exibe informação sobre quaisquer endereços IPv6 com monitoramento de estado obtidos.
• Servidores DNS: Os endereços IPv6 de quaisquer servidores DNS.
Configurar uma interface para o modo automático
O modo automático usa a configuração automática de endereço sem monitoramento de estado de IPv6 para atribuir o endereço IPv6. Este modo não requer qualquer configuração de endereço manual por parte do administrador da rede. O firewall recorre à rede e recebe a informação de prefixo a partir de roteadores vizinhos. O recurso de configuração automática de endereço sem monitoramento de estado de IPv6 executa todas as etapas de configuração, como a atribuição de endereço IPv6, a exclusão de endereço devido a conflito de endereços ou expiração do tempo de vida e a seleção de gateway padrão com base nas informações coletadas a partir do roteador no link.
Note O modo automático só pode ser configurado para a zona de WAN. Por motivos de segurança, o modo automático não está disponível na interface da zona de LAN.
O diagrama a seguir mostra uma topologia de amostra para IPv6 configurado no modo automático.
Neste modo, é possível atribuir 2 tipos de endereço IPv6:
• Endereço automático – o endereço local do link padrão da interface. Nunca expira e não pode ser editado ou excluído.
• Endereço autônomo – atribuído a partir da configuração automática de endereço sem monitoramento de estado. Os usuários podem excluir manualmente o endereço, caso não pretendam aguardar até que o tempo de vida válido do mesmo expire.
Para configurar uma interface IPv6 para o modo automático, realize as seguintes tarefas:
1. Navegue até a página Rede > Interfaces.
2. Clique no botão IPv6 no canto superior direito da página. São exibidos os endereços IPv6 para o dispositivo.
3. Clique no ícone Configurar da interface para a qual você deseja configurar um endereço IPv6. A janela Editar interface será exibida.
No menu suspenso Atribuição de IP, selecione Automático.
Opcionalmente, você pode optar por inserir um valor numérico para Transmissões de detecção de endereço duplicado na guia Avançado para especificar o número de mensagens consecutivas de solicitação de vizinho enviadas ao executar a detecção de endereço duplicado (DAD) antes de atribuir um endereço provisório à interface. Um valor de 0 indica que a DAD não é executada na interface.
6. Clique em OK.
Configurar uma interface para PPPoE
O protocolo ponto a ponto na Ethernet (PPPoE) para IPv6 permite conectar uma rede de hosts por meio de um dispositivo de acesso por ponte simples a um concentrador de acesso remoto na rede IPv6. Cada host usa sua própria pilha do protocolo ponto a ponto e é apresentada ao usuário uma interface de usuário familiar. O controle de acesso, o faturamento e o tipo de serviço podem ser definidos por usuário, em vez de por site. O PPPoE para IPv4 e IPv6 usa a mesma interface para evitar múltiplas conexões PPPoE na mesma interface e o PPPoE para IPv6 não pode ser aplicado por si só, deve ser usado com o PPPoEv4 ao mesmo tempo. Isso significa que você deve configurar a atribuição de IPv4 para o modo PPPoE antes de configurar o PPPoE para IPv6 na interface. Assim que a conexão PPPoE para IPv6 estiver estabelecida, também é possível passar tráfego IPv4 e comunicar fora da rede local.
Para configurar uma interface para PPPoE com IPv6, realize o seguinte:
1. Navegue até a página Rede > Interfaces na interface de gerenciamento.
2. Configure uma interface no IPv4 para que use PPPoE.
3. Altere o botão de opção Visualizar versão de IP para IPv6.
4. Clique no ícone Configurar da interface pretendida.
5. Configure os parâmetros da interface nas guias Geral e Protocolo.
A negociação de NCP de protocolo ponto a ponto só permite negociar os endereços locais de links que sejam usados para comunicar na rede local, logo deve ser obtido um endereço global para comunicar fora da rede local.
6. Para obter um endereço global, configure a seção Endereço global de PPPoE obtido na guia Geral.
Existem três formas de obter um endereço global
Automático
O endereço global padrão é definido para automático, o que fornece um endereço local de link.
a. Selecione Automático a partir da lista suspensa Atribuição de endereço de PPPoE.
b. Clique no botão OK.
Estático
a. Selecione o modo Estático a partir da lista suspensa Atribuição de endereço de PPPoE.
b. Clique no botão OK.
DHCPv6
a. Selecione DHCPv6 a partir da lista suspensa Atribuição de endereço de PPPoEv6.
b. Na guia Avançado, clique nas caixas de seleção Habilitar escuta para anúncio de roteador e Habilitar configuração automática de endereço sem monitoramento de estado.
c. Clique no botão OK.
O recurso PPPoE para IPv6 está agora configurado. Para desabilitá-lo, clique no botão Desconectar da interface pretendida na página principal Rede > Interfaces.
Configurar uma subinterface de VLAN
O procedimento para configurar uma subinterface de VLAN no IPv6 é idêntico ao procedimento no IPv4. Consulte Definir as configurações das subinterfaces de Filtragem VLAN (Dispositivos Dell SonicWALL série NSA) para mais detalhes.
Todas as subinterfaces de VLAN devem estar configuradas no IPv4 antes de configurá-las no IPv6.
Configurar interfaces de túnel de IPv6
Esta seção descreve como tunelar pacotes IPv4 por meio de redes IPv6 e pacotes IPv6 por meio de redes IPv4. Por exemplo, para passar pacotes IPv6 através da rede IPv4, o pacote IPv6 será encapsulado em um pacote IPv4 no lado de ingresso de um túnel. Quando o pacote encapsulado chegar ao lado de egresso do túnel, o pacote IPv4 será desencapsulado.
Os túneis podem ser configurados manual ou automaticamente. Um túnel configurado determina os endereços de ponto terminal por meio de informação de configuração no nó de encapsulamento. Um túnel automático determina os pontos terminais IPv4 a partir do endereço do datagrama IPv6 incorporado. O encapsulamento de difusão seletiva de IPv4 determina os pontos terminais por meio de descoberta de vizinho.
O diagrama a seguir representa um túnel de IPv6 para IPv4.
As seções a seguir descrevem a configuração de interfaces de túnel de IPv6:
• Configurar o túnel automático 6to4
• Configurar retransmissão 6to4 para acesso de prefixo que não 2002
• Configurar um túnel IPv6 manual
• Configurar um túnel IPv6 GRE
• Configurar a delegação de prefixo IPv6 na interface upstream
• Configurar a delegação de prefixo IPv6 na interface downstream
• Configurar uma interface de túnel 6rd
Configurar o túnel automático 6to4
O túnel automático 6to4 é um túnel automático: os pontos terminais do túnel são extraídos do datagrama IPv6 encapsulado. Não é necessária qualquer configuração manual.
Os túneis 6to4 usam um prefixo no formato "2002:tunnel-IPv4-address::/48" para tunelar tráfego IPv6 sobre IPv4. (por exemplo, se o ponto terminal IPv4 do túnel possuir o endereço a01:203, o prefixo do túnel 6to4 será "2002:a01:203::1.") Os roteadores anunciam um prefixo no formato "2002:[IPv4]:xxxx/64" para clientes IPv6. Para obter informações completas, consulte RFC 3056.
O diagrama a seguir mostra uma topologia de amostra de túnel automático 6to4.
No exemplo, os clientes não precisam especificar o ponto terminal do túnel, mas precisam somente de habilitar o túnel automático 6to4. Todos os pacotes com um prefixo 2002 serão roteados para o túnel e o destino IPv4 do túnel será extraído do endereço IPv6 de destino.
Os túneis 6to4 são fáceis de configurar e usar. Os usuários devem ter um endereço IPv4 e um endereço IPv6 globais, que também deverão possuir um prefixo 2002. Por conseguinte, em geral, o usuário só pode acessar o recurso de rede com um prefixo 2002.
Note Só pode ser configurado um túnel automático 6to4 no firewall.
Para configurar o túnel 6to4 no firewall, realize as seguintes etapas:
1. Navegue até a página Rede > Interfaces.
2. Clique no botão Adicionar interface.
Selecione a Zona para a interface de túnel 6to4. Geralmente, esta é a interface de WAN.
4. No menu suspenso Tipo de túnel, selecione Interface de túnel automático 6to4.
5. Por padrão, o Nome da interface é definido para 6to4AutoTun.
6. Selecione a caixa de seleção Habilitar túnel 6to4 de IPv6.
7. Opcionalmente, é possível configurar o Login de gerenciamento ou Login de usuário via túnel 6to4.
8. Clique em OK.
Configurar retransmissão 6to4 para acesso de prefixo que não 2002
Por padrão, um túnel automático 6to4 só pode acessar o destino com um prefixo 2002. O recurso de retransmissão 6to4 pode ser usado para acessar destinos de prefixo que não 2002. Para habilitar a retransmissão 6to4, basta criar uma política de rota que permita rotear todo o tráfego destinado a prefixos 2003 por meio da interface de túnel automático 6to4, conforme mostrado no exemplo a seguir.
Esta rota estática pode ser adicionada na interface de túnel automático 6to4 para habilitar o recurso de retransmissão, o que torna possível acessar o destino IPv6 com prefixo que não 2002: via túnel 6to4. Observe que o gateway deve ser o endereço IPv6 com o prefixo 2002:.
Configurar um túnel IPv6 manual
Para configurar o túnel 6to4 no firewall, realize as seguintes etapas:
1. Navegue até a página Rede > Interfaces.
2. Clique no botão Adicionar interface.
Selecione a Zona para a interface de túnel.
4. No menu suspenso Tipo de túnel, selecione Interface de túnel manual IPv6.
5. Insira um Nome para a interface de túnel.
6. Insira o Endereço IPv4 remoto para o ponto terminal do túnel.
7. Para a Rede IPv6 remota, selecione um objeto de endereço IPv6, o qual pode ser um grupo, um intervalo, uma rede ou um host.
8. Opcionalmente, é possível configurar o Login de gerenciamento ou Login de usuário via túnel 6to4.
9. Clique em OK.
GRE pode ser usado para tunelar tráfego IPv4 e IPv6 sobre IPv4 ou IPv6. Os túneis GRE são estáticos e ambos os pontos terminais são especificados manualmente. O diagrama a seguir mostra uma amostra de túnel IPv6 GRE.
Um túnel GRE é configurado da mesma forma que um túnel manual, com a exceção de que é selecionada a Interface de túnel GRE no Tipo de túnel.
A delegação de prefixo IPv6, também conhecida como Delegação de prefixo DHCPv6 (DHCPv6-PD), é uma extensão de DHCPv6. Em DHCPv6, os endereços são atribuídos por um servidor DHCPv6 a um host IPv6. Em DHCPv6-PD, são atribuídos endereços completos de sub-rede IPv6 e outros parâmetros por um servidor DHCPv6-PD a um cliente DHCPv6-PD.
Quando DHCPv6-PD está habilitada, é aplicada em todas as interfaces DHCPv6 associadas à zona de WAN. DHCPv6-PD é um modo de configuração de sub-rede adicional que coexiste com DHCPv6.
O endereço IPv6 é uma combinação do prefixo fornecido pelo servidor DHCPv6-PD e do sufixo fornecido pelo cliente DHCPv6-PD. Por padrão, o comprimento do prefixo é 64, mas pode ser editado.
Quando o firewall é iniciado, é automaticamente criado um grupo de objetos de endereços padrão denominado Prefixos de delegação de DHCPv6. Os prefixos delegados da interface upstream são membros deste grupo.
A delegação de prefixo IPv6 é configurada em:
• Uma interface upstream
• Uma ou mais interfaces downstream
Quando a interface upstream aprende a delegação de prefixo do servidor DHCPv6-PD, o SonicOS calcula e aplica os prefixos de endereço IPv6 em todas as interfaces downstream e estas interfaces anunciam esta informação em todos os hosts nos respectivos segmentos de rede.
Esta seção contém os seguintes procedimentos de configuração:
• Configurar a delegação de prefixo IPv6 na interface upstream
• Configurar a delegação de prefixo IPv6 na interface downstream
Note Antes de você desabilitar a delegação de prefixo em sua rede, recomendamos que libere primeiro a delegação de prefixo na interface upstream.
Configurar a delegação de prefixo IPv6 na interface upstream
Para configurar a delegação de prefixo IPv6 na interface upstream:
1. Navegue até a página Rede > Interfaces.
2. Selecione a opção IPv6.
3. Clique no ícone Editar na coluna Configurar da interface que você deseja configurar como interface upstream. Aparece a caixa de diálogo Editar interface.
4. A Zona será sempre WAN.
5. No menu Atribuição de IP, selecione DHCPv6.
6. Selecione a opção Habilitar delegação de prefixo DHCPv6.
7. No menu Modo DHCPv6, selecione Manual.
8. Para consultar a informação do DHCPv6 configurado, clique na guia Protocolo.
No painel Informações gerais do DHCPv6, é exibido o DUID de DHCPv6.
No painel Endereços com monitoramento de estado obtidos via DHCPv6, é exibida a IAID.
No painel Prefixos delegados obtidos via DHCPv6, é exibida a IAID delegada.
9. Clique no botão Renovar.
É exibida a informação nas outras colunas.
Configurar a delegação de prefixo IPv6 na interface downstream
Para configurar a delegação de prefixo IPv6 na interface downstream:
1. Navegue até a página Rede > Interfaces.
2. Selecione a opção IPv6.
3. Clique no ícone Editar na coluna Configurar da interface que você deseja configurar como interface downstream. Aparece a caixa de diálogo Editar interface.
4. Selecione a opção Habilitar anúncio de roteador.
5. Clique na guia Avançado. Aparece a caixa de diálogo Editar interface.
Se o prefixo upstream for obtido, é exibido no painel Endereços IPv6.
6. Se não for possível obter o prefixo upstream, é exibido um endereço alternativo no painel Endereços IPv6.
7. Clique no botão Adicionar endereço.
A caixa de diálogo Adicionar endereço IPv6 será exibida.
8. Selecione a opção Adicionar endereço IPv6 delegado downstream.
9. (Opcional) Selecione a opção Anunciar prefixo de sub-rede do endereço IPv6 estático.
10. Clique na guia Anúncio de roteador.
11. Selecione a opção Habilitar anúncio de roteador.
Se você tiver selecionado a opção Anunciar prefixo de sub-rede do endereço IPv6 estático na guia Geral, o prefixo será listado no painel Configurações da lista de prefixos.
12. Para ver suas novas interfaces IPv6 PD, acesse a página Rede > Roteamento.
13. Selecione a opção IPv6.
São exibidas as duas novas interfaces IPv6 com delegação de prefixo (upstream e downstream).
A rápida implantação do IPv6 (6rd) permite que o IPv6 seja implantado em uma rede IPv4 de forma rápida e fácil. A 6rd usa os prefixos existentes do endereço IPv6 de um provedor de serviços, assegurando que o domínio operacional de 6rd fica limitado à rede do provedor de serviços e sob controle direto do provedor de serviços.
Uma interface de túnel 6rd é uma interface virtual que transporta pacotes IPv6 encapsulados de 6rd em uma rede IPv4.
Note Uma interface de túnel 6rd deve estar vinculada a uma interface física ou virtual.
Quando 6rd está implantada, o serviço IPv6 é equivalente ao IPv6 nativo. O mapeamento 6rd de endereços IPv6 para endereços IPv4 permite a determinação automática de pontos terminais de túnel IPv4 a partir de prefixos IPv6, permitindo a operação sem monitoramento de estado de 6rd.
Um domínio 6rd é composto por vários roteadores de ponta de cliente (CE) 6rd e um ou mais roteadores de retransmissão de borda (BR) 6rd. Os pacotes IPv6 encapsulados por 6rd seguem a topologia de roteamento de IPv4 na rede do provedor de serviços.
Uma implementação de 6rd típica usando roteadores de ponta de cliente e roteadores de retransmissão de borda requer somente uma interface de túnel 6rd. Um roteador de retransmissão de borda que sirva múltiplos domínios 6rd poderá ter mais do que uma interface de túnel 6rd. Porém, cada domínio 6rd pode ter somente uma interface de túnel 6rd.
Os pacotes IPv6 atravessam as retransmissões de borda quando entram ou saem do domínio 6rd de um provedor de serviços. Uma vez que a 6rd é sem monitoramento de estado, os pacotes podem ser enviados para as retransmissões de borda usando o método Anycast, no qual os pacotes de uma única origem são roteados para o nó mais próximo em um grupo de potenciais destinatários ou para vários nós, todos identificados pelo mesmo endereço de destino.
Os provedores de serviços podem implantar a 6rd em um único domínio ou em múltiplos domínios. Um domínio 6rd pode ter somente um prefixo 6rd. Diferentes domínios 6rd devem usar prefixos 6rd diferentes.
Na página Rede > Roteamento, no painel Políticas de rota, existem quatro políticas de rota padrão para interfaces de túnel 6rd.
Existem dois modos de configuração:
• Manual
• DHCP
Os quatro parâmetros 6rd a seguir podem ser definidos manualmente, ou automaticamente pelo servidor DHCPv4, caso você selecione DHCP como o modo de configuração.
• Comprimento da máscara IPv4
• Prefixo 6rd
• Comprimento do prefixo 6rd
• Endereço BR IPv4 de 6rd
No modo DHCP, os parâmetros 6rd são recebidos a partir da interface de vinculação. No modo manual, os parâmetros 6rd devem ser configurados manualmente.
Configurar uma interface de túnel 6rd
Uma interface de túnel 6rd é configurada da mesma forma que as outras interfaces de túnel IPv6. É necessária uma interface de vinculação para configurar uma interface de túnel 6rd.
Para configurar uma interface de túnel 6rd:
1. Navegue até a página Rede > Interfaces.
2. Selecione a opção IPv6.
3. Na parte inferior do painel Configurações de interface, no menu Adicionar interface, selecione Interface de túnel. Aparece a caixa de diálogo Editar interface para IPv6.
Note A guia Protocolo só é exibida quando você seleciona DHCP como o Modo de configuração.
4. No menu Zona, selecione WAN.
5. O menu Tipo de interface é desabilitado. Já se encontra selecionada a opção Interface de túnel, uma vez que foi selecionada no menu Adicionar interface na Etapa 3.
6. No menu Tipo de túnel, selecione Interface de túnel 6rd.
7. Na caixa do nome, digite um nome para sua interface de túnel.
Por exemplo, Túnel 6rd.
8. Na caixa Endereço IPv6 de interface de túnel, insira o endereço IPv6 da interface de túnel.
Por exemplo, 2001::2.
9. Na caixa Comprimento do prefixo, insira o comprimento do prefixo IPv6. Por exemplo, 64.
10. No menu Vincular a, selecione a interface que você pretende; por exemplo, X1.
11. No menu Modo de configuração, selecione o modo que pretende. Manual ou DHCP.
Note Se você selecionar Manual como o Modo de configuração, realize as etapas 12 a 15.
Se você selecionar DHCP como o Modo de configuração, ignore as etapas 12 a 15.
12. Na caixa Prefixo 6rd, insira o prefixo 6rd; por exemplo, 2222:2222::
(somente no modo Manual).
13. Na caixa Comprimento do prefixo 6rd, insira o comprimento do prefixo 6rd; por exemplo, 32
(somente no modo Manual).
14. Na caixa Comprimento da máscara IPv4, insira o comprimento da máscara de sub-rede IPv4
(somente no modo Manual).
15. Na caixa Endereço BR IPv4, insira o endereço IPv4 da retransmissão de borda 6rd
(somente no modo Manual).
16. (Opcional) Na caixa Comentário, insira um comentário para descrever a interface de túnel.
17. Selecione a opção Adicionar rota padrão automaticamente.
18. Selecione as opções de Gerenciamento ou as opções de Login de usuário que desejar.
Se você tiver selecionado Manual como o Modo de configuração, suas configurações da interface de túnel 6rd são exibidas na guia Geral.
Se você tiver selecionado DHCP como o Modo de configuração, suas configurações da interface de túnel 6rd são exibidas na guia Protocolo.
Acessar a interface de usuário Dell SonicWALL usando IPv6
Após configurar o endereçamento IPv6 no firewall, a interface de usuário Dell SonicWALL pode ser acessada inserindo o IPv6 do firewall no campo URL de seu navegador.
• Roteamento com base em política
• Protocolo de descoberta de vizinho
• Roteamento de difusão seletiva
O DNS para IPv6 é configurado com o mesmo método que é usado para IPv4. Basta clicar na opção IPv6 no botão de opção Visualizar versão de IP no canto superior esquerdo da página Rede > DNS.
Os grupos de endereços ou objetos de endereços IPv6 podem ser adicionados da mesma forma que os objetos de endereços IPv4. Na página Rede > Objetos de endereços, o botão de opção Visualizar versão de IP possui três opções: Somente IPv4, somente IPv6 ou IPv4 e IPv6.
São suportados objetos de endereços do tipo Host, Intervalo e Rede. Os objetos de endereços dinâmicos para MAC e FQDN não são atualmente suportados para hosts IPv6.
As interfaces IPv4 definem um par de objetos de endereços padrão (DAO) e um grupo de objetos de endereços para cada interface. A regra básica para DAO de IPv4 é que cada endereço IPv4 corresponde a 2 objetos de endereços: IP de interface e sub-rede de interface. Existem também pares de grupos AO para IP de interfaces de zonas, sub-redes de zonas, todos os IP de interfaces, todos os IP de gerenciamento de interfaces, etc.
A interface IPv6 prepara o mesmo conjunto DAO para cada interface. Uma vez que é possível atribuir múltiplos IPv6 a uma interface, todos esses endereços podem ser adicionados, editados e excluídos dinamicamente. Por conseguinte, os DAO de IPv6 precisam ser criados e excluídos dinamicamente.
Para tratar disso, os DAO não são gerados dinamicamente para interfaces IPv6. São criados somente DAO de interface limitados, o que resulta em suporte limitado para outro módulo que precise acessar DAO de interface.
Roteamento com base em política
O roteamento com base em política é totalmente suportado para IPv6 selecionando gateways e objetos de endereços IPv6 para políticas de rota na página Rede > Roteamento. Na página Rede > Roteamento, o botão de opção Visualizar versão de IP possui três opções: Somente IPv4, somente IPv6 ou IPv4 e IPv6. O recurso OSPF exibe dois botões de opção para alternar entre a versão 2 e a versão 3.
O RIPng (Routing Information Protocol next generation) é um protocolo de roteamento de informação para IPv6 que permite aos roteadores a troca de informação de rotas de computação por meio de uma rede com base em IPv6.
É adicionado um botão de opção para alternar entre RIP e RIPng:
As políticas de NAT podem ser configuradas para IPv6 selecionando objetos de endereços IPv6 na página Rede > Políticas de NAT. Na página Rede > Políticas de NAT, o botão de opção Visualizar versão de IP possui três opções: Somente IPv4, somente IPv6 ou IPv4 e IPv6.
Ao configurar políticas de NAT de IPv6, os objetos de origem e destino só podem ser objetos de endereços IPv6.
Note A investigação de IPv6 para políticas de NAT não é atualmente suportada.
Protocolo de descoberta de vizinho
O protocolo de descoberta de vizinho (NDP – Neighbor Discovery Protocol) é um novo protocolo de mensagens que foi criado como parte do IPv6 para executar várias tarefas que ICMP e ARP realizam no IPv4. Tal como ARP, a descoberta de vizinho cria um cache de entradas dinâmicas e o administrador pode configurar entradas estáticas de descoberta de vizinho. A tabela a seguir mostra as funções e mensagens de vizinhança do IPv6 que são análogas às mensagens de vizinhança tradicionais do IPv4.
|
Para configurar o NDP, acesse a página Rede > Descoberta de vizinho.
O recurso NDP estático permite que sejam criados mapeamentos estáticos entre um endereço IPv6 de camada 3 e um endereço MAC de camada 2. Para configurar uma entrada NDP estática, execute as seguintes etapas:
1. Na página Rede > Descoberta de vizinho, clique no botão Adicionar.
No campo Endereço IP, insira o endereço IPv6 do dispositivo remoto.
3. No menu suspenso Interface, selecione a interface no firewall que será usada para a entrada.
4. No campo Endereço MAC, insira o endereço MAC do dispositivo remoto.
5. Clique em OK. A entrada NDP estática é adicionada.
A tabela Cache NDP exibe todos os vizinhos IPv6 atuais. São exibidos os seguintes tipos de vizinhos:
• ALCANÇÁVEL – o vizinho é alcançável no espaço de 30 segundos.
• OBSOLETO – o vizinho já não é alcançável e o tráfego foi enviado para o vizinho no espaço de 1200 segundos.
• ESTÁTICO – o vizinho foi manualmente configurado como um vizinho estático.
Roteamento de difusão seletiva
A página Rede > Roteamento de difusão seletiva é usada para definir configurações de difusão seletiva para IPv6, as quais se dividem nas duas seções a seguir:
• Descoberta de ouvinte de difusão seletiva
Manter a interoperabilidade entre as redes IPv6 e IPv4 é um dos principais desafios da implementação de IPv6 em uma rede. Embora a conversão de difusão seletiva com base em pacotes possa ser usada, a Dell SonicWALL suporta uma solução de proxy de difusão seletiva que pode ser implantada na fronteira entre as redes IPv6 e IPv4. A Dell SonicWALL recebe dados de difusão seletiva da rede IPv4, armazena-os em cache e, em seguida, transmite os dados para a rede IPv6 por meio de difusão seletiva. (E vice-versa para enviar dados de difusão seletiva de IPv6 para a rede IPv4.) Não é necessária conversão com base em pacotes para esta operação.
Para configurar o proxy de difusão seletiva entre as redes IPv6 e IPv4, execute as seguintes etapas:
1. Navegue até a página Rede > Roteamento de difusão seletiva.
2. Marque a caixa de seleção Habilitar proxy de difusão seletiva.
3. No menu suspenso Interface upstream, selecione a interface que será conectada à rede IPv6.
4. No menu suspenso Interface downstream, selecione a interface que será conectada à rede IPv4.
5. Clique no botão Aceitar. É aplicado proxy aos dados de difusão seletiva \.
Descoberta de ouvinte de difusão seletiva
O protocolo de descoberta de ouvinte de difusão seletiva (MLD – Multicast Listener Discovery) é usado pelos roteadores IPv6 para descobrir ouvintes de difusão seletiva que estão diretamente conectados ao firewall. O MLD executa no IPv6 uma função idêntica ao IGMP no IPv4. Existem duas versões do MLD. MLDv1 é semelhante ao IGMPv2 e MLDv2 é semelhante ao IGMPv3.
|
A funcionalidade MLD não requer qualquer configuração explícita. Existem várias variáveis que podem ser ajustadas para modificar o comportamento de MLD:
• Intervalo de consulta do roteador de difusão seletiva: Especifica o tempo, em segundos, entre consultas MLD. O valor padrão é 125 segundos.
• Intervalo de consulta do último ouvinte de difusão seletiva: O tempo máximo que o roteador aguarda antes de excluir uma porta não respondente do grupo de difusão seletiva. Reduzir este valor diminuirá o tempo necessário para que o firewall detecte a partida do último ouvinte para uma origem ou um endereço de difusão seletiva. O valor padrão é 1000 milissegundos (1 segundo).
• Intervalo de resposta de consulta do roteador de difusão seletiva: O atraso máximo de resposta que é inserido nas consultas MLD periódicas. Ao variar o intervalo de resposta de consulta do roteador de difusão seletiva, um administrador pode ajustar a aglomeração de mensagens MLD no link; valores elevados tornam o tráfego menos aglomerado, uma vez que as respostas dos hosts se repartem por um intervalo maior. O intervalo de resposta de consulta do roteador de difusão seletiva deve ser inferior ao intervalo de consulta. O valor padrão é 10 000 milissegundos (10 segundos).
• Variável de robustez do roteador de difusão seletiva: Especifica o número de consultas que serão enviadas sem resposta antes de o destino ser excluído. Esta variável permite o ajuste do protocolo de acordo com a perda de pacote esperada em um link. Para links com perda (conexões sem fio, por exemplo), o valor da variável de robustez pode ser aumentado. O valor padrão é 2. A variável de robustez não deve ser configurada com um valor inferior a 2.
O servidor DHCPv6 pode ser configurado da mesma forma que IPv4 após selecionar a opção IPv6 no botão de opção Visualizar versão de IP no canto superior esquerdo da página Rede > DNS.
Configuração das regras de acesso de IPv6
As regras de acesso do firewall de IPv6 podem ser configuradas da mesma forma que as regras de acesso de IPv4, escolhendo objetos de endereços IPv6 em vez de objetos de endereços IPv4. Na página Firewall > Regras de acesso, o botão de opção Visualizar versão de IP possui três opções: Somente IPv4, somente IPv6 ou IPv4 e IPv6.
Ao adicionar uma regra de acesso de IPv6, a origem e o destino só podem ser objetos de endereços IPv6.
Configuração de VPN IPSec no IPv6
As VPN IPSec podem ser configuradas para IPv6 da mesma forma que as VPN de IPv4 após selecionar a opção IPv6 no botão de opção Visualizar versão de IP no canto superior esquerdo da página VPN > Configurações.
Determinados recursos de VPN não são atualmente suportados para IPv6, incluindo:
• IKEv2 é suportado, enquanto IKE não é atualmente suportado
• GroupVPN não é suportado
• DHCP sobre VPN não é suportado.
Ao configurar uma política de VPN de IPv6, na guia Geral, os gateways devem ser configurados usando endereços IPv6. FQDN não é suportado. Ao configurar a autenticação IKE, podem ser usados endereços IPV6 para as IDs IKE de mesmo nível e locais.
DHCP sobre VPN e o servidor L2TP não são suportados para IPv6.
Na guia Rede da política de VPN, devem ser selecionados os objetos de endereços IPV6 (ou grupos de endereços que contêm somente objetos de endereços IPv6) para a Rede local e a Rede remota.
DHCP sobre VPN não é suportado, logo as opções de DHCP para rede protegida não estão disponíveis.
A opção Qualquer endereço para Redes locais e a opção Tunelar tudo para Redes remotas foram removidas. É possível optar por selecionar um objeto de endereço de rede IPv6 só com zeros para a mesma funcionalidade e o mesmo comportamento.
Na guia Propostas, a configuração é idêntica para IPv6 e IPv4, exceto o fato de IPv6 só suportar o modo IKEv2.
Na guia Avançado, somente Habilitar keep alive e as Configurações de IKEv2 podem ser configuradas para as políticas de VPN de IPv6.
Note Uma vez que uma interface pode ter múltiplos endereços IPv6, por vezes, o endereço local do túnel pode variar periodicamente. Se o usuário necessitar de um endereço IP consistente, configure a política de VPN para que se vincule a uma interface e não a uma zona e especifique o endereço manualmente. O endereço deve ser um dos endereços IPv6 dessa interface.
Configuração de SSL VPN para IPv6
O SonicOS suporta conexões NetExtender para usuários com endereços IPv6. Na página SSLVPN > Configurações de cliente, configure primeiro o pool de endereços IP IPv6 tradicionais e, em seguida, configure um pool de IPs IPv6. Serão atribuídos aos clientes dois endereços internos: um IPv4 e um IPv6.
Os servidores WINS/DNS IPv6 não são suportados
Na página SSLVPN > Rotas de cliente, o usuário pode selecionar uma rota de cliente na lista suspensa de todos os objetos de endereços, incluindo todos os objetos de endereços IPv6 predefinidos.
Note FQDN de IPv6 não é suportado.
A visualização de IPv6 para o monitor de App Flow e o monitor em tempo real é uma extensão da visualização de IPv4, permitindo o monitoramento em tempo real de taxas de interface/aplicativo e a visibilidade de sessões na interface de gerenciamento.
Com as novas melhorias no monitoramento do painel de visualização para IPv6, os administradores podem responder de forma mais rápida a vulnerabilidades na segurança da rede e a problemas de largura de banda da rede. Os administradores podem saber quais os sites que seus funcionários acessam, quais e em que medida os aplicativos e serviços estão sendo usados em suas redes para controlar o conteúdo transmitido para dentro e fora das organizações.
A página Monitor de App Flow tem duas novas opções para a seleção Visualizar versão de IP. Estas permitem monitorar tráfego somente de IPv6 ou de IPv4 e IPv6.
A página Monitoramento em tempo real tem essas duas novas opções no menu suspenso Interface nos painéis Aplicativos e Largura de banda.
Limitações de recursos da visualização de IPv6
A visualização para IPv6 apresenta as seguintes limitações em termos de recursos:
• A classificação de URL de IPv6 não é suportada, uma vez que o CFS não suporta todos os aspectos de IPv6.
• A informação de país de IPv6 não é suportada.
• Os relatórios externos de IPv6 não são suportados.
Configurar a visualização de IPv6
A visualização do monitor de App Flow e do monitoramento em tempo real é configurada da mesma forma no IPv6 e no IPv4; selecione os botões de opção Visualizar versão de IP para alterar a visualização/configuração. Consulte Painel de visualização para obter mais informações sobre a configuração geral da Visualização.
Monitoramento de alta disponibilidade de IPv6
O monitoramento de alta disponibilidade (HA) de IPv6 é implementado como uma extensão do monitoramento HA no IPv4. Depois de configurar o monitoramento HA para IPv6, os dispositivos primários e de backup podem ser gerenciados a partir do endereço de monitoramento IPv6 e a investigação de IPv6 consegue detectar o status da rede de pares HA.
Os botões de opção IPv6 e IPv4 exibidos na página Alta disponibilidade > Monitoramento permitem alternar entre as duas visualizações para uma configuração fácil de ambas as versões de IP.
Esta seção contém as seguintes subseções:
• Limitações de recursos do monitoramento de alta disponibilidade de IPv6
• Investigação de alta disponibilidade de IPv6
• Configurar o monitoramento de alta disponibilidade de IPv6
Limitações de recursos do monitoramento de alta disponibilidade de IPv6
As limitações de recursos do monitoramento HA de IPv6 são as seguintes:
• A propriedade do monitoramento de link/físico não pode ser alterada na página de configuração do monitoramento HA de IPv6. Defina a propriedade na página de configuração do monitoramento HA de IPv4.
• A propriedade de substituição do MAC virtual não pode ser alterada na página de configuração do monitoramento HA de IPv6. Defina a propriedade na página de configuração do monitoramento HA de IPv4.
• A investigação HA não pode ser habilitada no IPv4 e no IPv6 ao mesmo tempo. Ou seja, se a investigação de IPv4 estiver habilitada, a investigação de IPv6 deve estar desabilitada e vice-versa.
Investigação de alta disponibilidade de IPv6
Um pacote ICMPv6 é enviado periodicamente dos dispositivos primários e de backup para investigar o endereço IPv6 e a resposta do endereço IPv6 investigado é monitorada. Se o dispositivo ativo não conseguir detectar o endereço IPv6 investigado, mas o dispositivo inativo conseguir, o dispositivo de backup tem um status de rede melhor e o failover começa.
Na investigação HA de IPv6, são usados endereços IPv6, solicitações de eco de ICMPv6 e respostas de eco de ICMPv6. A lógica usada para determinar o status da rede dos dispositivos primários e de backup é a mesma para IPv4 e IPv6.
Configurar o monitoramento de alta disponibilidade de IPv6
A página de configuração do monitoramento HA de IPv6 é herdada do IPv4, logo os procedimentos de configuração são praticamente idênticos. Basta selecionar o botão de opção IPv6 e consultar o Apêndice C: IPv6 para obter detalhes de configuração.
Leve em conta o seguinte ao configurar o monitoramento HA de IPv6:
• As caixas de seleção Monitoramento de link/físico e MAC virtual estão esmaecidos porque são propriedades de camada dois. Ou seja, as propriedades são usadas pelo IPv4 e IPv6, logo o usuário tem de configurá-las na página de monitoramento do IPv4.
• O endereço IPv6 primário/de backup deve estar na mesma sub-rede da interface e não pode ser igual ao IP global e ao IP local do link do dispositivo primário/de backup.
• Se o IP de monitoramento primário/de backup estiver definido para (não ::), não podem
ser iguais.
• Se a caixa de seleção Gerenciamento estiver habilitada, o IP de monitoramento primário/de backup não pode estar sem especificar (isto é, ::).
• Se a caixa de seleção de investigação estiver habilitada, o IP de investigação não pode estar sem especificar.
Monitoramento e diagnóstico de IPv6
O SonicOS fornece uma gama completa de ferramentas de diagnóstico para IPv6, incluindo as seguintes:
• Pesquisa de DNS e pesquisa reversa de nome de IPv6
A captura de pacotes suporta completamente o IPv6.
É possível usar palavras-chave do IPv6 para filtrar a captura de pacotes.
A ferramenta de ping inclui uma nova opção Executar ping da rede IPv6 preferida.
Ao executar ping em um domínio, é usado o primeiro endereço IP que é retornado e é mostrado o endereço de ping real. Se forem retornados um endereço IPv4 e um endereço IPv6, por padrão, o firewall executa ping no endereço IPv4.
Se a opção Executar ping da rede IPv6 preferida estiver habilitada, o firewall executará ping no endereço IPv6.
Pesquisa de DNS e pesquisa reversa de nome de IPv6
Ao executar uma pesquisa de DNS de IPv6 ou uma pesquisa reversa de nome de IPv6, você deve inserir o endereço do servidor DNS. Pode ser usado o endereço IPv6 ou IPv4.