Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

NDP 프록시 및 DAD 프록시

이 주제는 인터페이스 제한 및 인터페이스 무제한 모드를 위한 NDP(Neighbor Discovery Protocol) 프록시 및 DAD(Duplicate Address Detection) 프록시 기능에 대한 세부 정보를 제공합니다.

개요

NDP 프록시 기능을 사용하면 동일한 서브넷에 있고 서로 직접 통신이 제한된 호스트 간에 패킷을 전달할 수 있습니다. 동일한 서브넷을 가진 다른 물리적 세그먼트에 있는 호스트 디바이스가 추가 게이트웨이 및 접두사 없이 통신할 수 있도록 하려면 NDP 프록시가 필요합니다. NDP 프록시는 동일한 접두사를 가진 여러 세그먼트의 중간에 있는 노드 또는 라우터와 같습니다.

디바이스를 주소에 대한 NDP 프록시로 구성할 때, 구성된 프록시 인터페이스(프록시 라우터 또는 노드)는 다른 물리적 세그먼트의 디바이스를 대신하여 NA(Neighbor Advertisement) 응답을 NS(Neighbor Solicitation)로 보냅니다.

DAD 프록시 기능을 사용하면 디바이스가 동일한 서브넷의 다른 노드와 직접 통신할 수 없는 노드에 대한 DAD 쿼리에 응답할 수 있습니다.

메모:

NS가 링크 로컬 주소용인 경우 NDP 또는 DAD 프록시 기능이 작동하지 않습니다.

NDP 및 DAD 프록시(인터페이스 제한 모드)

NDP 프록시 기능(인터페이스 제한 모드)을 사용하면 동일한 서브넷에 있고 서로 직접 통신하도록 제한된 호스트 간에 패킷을 전달할 수 있습니다. 이 기능은 프록시 노드가 액세스 제어를 적용하고 호스트 사이의 트래픽 흐름을 가로채야 하는 시나리오에서 주로 사용됩니다. SRX 시리즈 방화벽에서 NDP 프록시를 구성할 때, 디바이스는 NA를 전송하고 SRX 시리즈 방화벽 내부의 호스트에 할당된 IPv6 접두사의 MAC 주소를 찾는 디바이스의 요청에 응답합니다.

DAD 기능은 NS(Neighbor Solicitation) 메시지를 사용하여 로컬 링크에서 중복 주소 사용을 감지합니다. DAD 기능은 IPv6 주소 및 기능용이며 IPv4의 Gratuitous ARP와 유사합니다.

NDP 및 DAD 프록시(인터페이스 무제한 모드)

Junos OS 릴리스 22.1R1부터 여러 프록시 구성 인터페이스(인터페이스 무제한 모드)에서 NDP 및 DAD 프록시 기능을 지원합니다. NDP 인터페이스 무제한 프록시는 기존 IPv6 ND 기능 내에서 작동하며 활성화된 경우에만 호출됩니다. 인터페이스 무제한 모드: ND 기능은 NDP 및 DAD 프록시에 대해 구성된 모든 인터페이스에서 함께 작동합니다.

이전 릴리스에서는 NDP 및 DAD 프록시 기능이 제한되었으며 구성된 인터페이스로만 제한되었습니다. 현재 NDP 및 DAD 프록시 기능은 구성된 여러 인터페이스(인터페이스 무제한 모드)에서 작동합니다.

인터페이스 무제한 모드에서 NDP 및 DAD 프록시 기능을 사용하면 구성된 인터페이스가 함께 작동하여 추가 접두사 할당의 오버헤드 없이 원래 세그먼트의 노드에 의해 직접 연결할 수 없는 다른 물리적 세그먼트의 노드를 대신하여 NA(Neighbor Advertisement) 응답을 NS(Neighbor Solicitation)로 보냅니다.

명령을 사용하여 인터페이스에서 인터페이스 무제한 모드에서 NDP 프록시를 set interfaces interface-name unit number family inet6 ndp-proxy interface-unrestricted 활성화하면 프록시 인터페이스는 다음을 수행합니다.

  • NS 요청에 대해 NA를 생성합니다. 그런 다음 프록시 인터페이스를 통해 서브넷에서 연결할 수 있는 다른 호스트를 대신하여 호스트에서 요청이 전송됩니다.

  • NS에서 요청된 주소를 인접 테이블에서 사용할 수 없는 경우 NS를 생성하고 서브넷의 모든 프록시 인터페이스로 보냅니다.

    NS 패킷의 수신 인터페이스에 속하는 경로 테이블에서 대상 주소에 대해 전달 가능한 경로를 찾습니다. 경로 조회는 다음 홉을 해결하도록 가리키는 경로 목록을 제공합니다. 프록시는 이러한 다음 홉을 사용하여 구성된 다른 포트에서 NS를 보냅니다.

    메모:

    프록시가 경로 검색을 수행하고 결과 경로 다음 홉이 NS가 도착한 동일한 인터페이스를 가리키면 프록시는 해당 NS를 삭제합니다.

  • 요청한 대상 주소가 인접 캐시에서 사용 가능하고 도달 가능한 경우에도 NUD(Neighbor Unreachability Detection)를 시행할 수 있습니다. 강제 ND 기능은 호스트가 한 세그먼트에서 다른 세그먼트로 이동할 때 유용합니다. NDP 프록시 강제 해결 기능을 활성화하려면 명령을 사용합니다 set protocols neighbor-discovery ndp-proxy proxy-force-resolve .

  • 프록시하는 호스트 간에 패킷을 전달하여 인접 항목이 확인되면 호스트 간의 통신을 허용합니다.

DAD 기능은 NS(Neighbor Solicitation) 메시지를 사용하여 로컬 링크에서 중복 주소 사용을 감지합니다.

명령을 사용하여 여러 인터페이스에서 DAD 프록시를 set interfaces interface-name unit <number> family inet6 dad-proxy interface-unrestricted 활성화하는 경우:

  • DAD 프록시는 다른 프록시 인터페이스를 통해 NS 임시 주소에 연결할 수 있는 경우 다른 호스트를 대신하여 DAD NS 요청에 대한 NA 응답을 생성합니다.

  • DAD NS 요청이 도착하고 미정 주소를 사용할 수 없거나 인접 캐시에서 오래된 상태인 경우 DAD 프록시는 수신된 프록시 인터페이스를 제외한 다른 모든 프록시 인터페이스에서 NUD를 시작합니다.

  • 다른 호스트에 의해 이미 DAD 프로세스 중간에 있는 임시 주소에 대한 호스트의 DAD 요청이 있는 경우 DAD 프록시는 두 호스트 모두에 대해 NA로 응답합니다.

NDP 프록시 구성

인터페이스 제한 모드 또는 인터페이스 제한 없는 모드(여러 인터페이스에 걸쳐)에서 NDP(Neighbor Discovery Protocol) 프록시를 활성화할 수 있습니다. 인터페이스에서 DAD 프록시 인터페이스 제한 모드와 인터페이스 제한 모드를 동시에 구성할 수는 없습니다.
  1. 인터페이스로 제한된 NDP 프록시를 활성화하려면(인터페이스 제한 모드):
  2. 여러 인터페이스(인터페이스 무제한 모드)에서 NDP 프록시를 활성화하려면:
  3. 도달 가능한 이미 학습된 항목에 대해 NS를 전송하는 NDP 프록시 동작을 활성화 또는 비활성화하려면 다음을 수행합니다.
  4. neighbor 캐시에 없는 주소에 대해 NDP 프록시를 비활성화하려면:
  5. NDP 프록시 요청, NDP 프록시 충돌, NDP 프록시 중복, NDP 프록시 해결 요청 및 삭제된 NDP 패킷과 같은 이벤트 통계를 가져오려면 다음을 수행합니다.
    show system statistics icmp6

DAD 프록시 구성

제한된 인터페이스(인터페이스 제한 모드) 또는 여러 인터페이스(인터페이스 제한 모드)에서 중복 주소 감지(DAD) 프록시를 활성화할 수 있습니다. 인터페이스 제한 모드와 인터페이스 제한 모드에서 동시에 DAD 프록시를 구성할 수 없습니다.

인터페이스 또는 여러 인터페이스에서 DAD 프록시를 구성하려면:

  1. 인터페이스로 제한된 DAD 프록시를 활성화하려면(인터페이스 제한 모드):
  2. 여러 인터페이스(인터페이스 무제한 모드)에서 DAD 프록시를 활성화하려면:
  3. 인접 캐시에 없는 주소에 대해 DAD 프록시를 비활성화하려면:
  4. DAD 프록시 요청, DAD 프록시 충돌, DAD 프록시 중복, DAD 프록시 확인 요청 및 삭제된 DAD 패킷과 같은 이벤트의 통계를 가져오려면 다음을 수행합니다.
    show system statistics icmp6

사용자 경로에 대한 NDP 프록시 지원

이 주제에서는 NDP(Neighbor Discovery Protocol) 프록시 지원을 소개합니다. 인터페이스에 대해 이 기능이 활성화되면 호스트 경로는 ARP(Address Resolution Protocol) 및 NDP(Neighbor Discovery Protocol) 테이블에 있는 각 IPv4 또는 IPv6 호스트 주소에 대한 RIB(Routing Information Base)에서 유지됩니다.

예를 들어, 동일한 네트워크 세그먼트에 속하지만 서로 다른 물리적 네트워크에 있는 두 호스트가 각각 자체 게이트웨이에 연결되어 있다고 가정해 보겠습니다. 두 호스트 모두 동일한 IP 주소로 구성됩니다.

서버와 게이트웨이 간의 유연한 배포 및 마이그레이션을 지원하기 위해 서버가 호스트로 분할되면 여러 게이트웨이 간에 계층 2 연결을 구성하는 것이 일반적입니다. 그러나 이로 인해 더 큰 레이어 2 도메인 및 브로드캐스트 스톰과 같은 네트워크 문제가 발생할 수 있습니다. 이 문제를 해결하려면 호스트 게이트웨이에서 경로 기반 프록시 인접 검색을 사용할 수 있습니다. 게이트웨이는 소스 호스트에 자체 MAC 주소를 전송하고 소스 호스트에서 다른 호스트로 전송되는 트래픽은 레이어 2 스위칭 대신 경로를 통해 수행됩니다.

그림 1: 프록시 ND 토폴로지 Proxy ND topology

IPV6 주소가 2001:db8:a20::1/64 및 2001:db8:20::2/64인 호스트 A와 호스트 B가 동일한 네트워크 세그먼트에 있다고 간주해 보겠습니다. 라우터 A와 라우터 B는 레이어 3 네트워크를 사용하여 연결됩니다. 두 라우터의 호스트에 대한 인터페이스는 동일한 MAC 및 IPv6 주소를 갖습니다. 대상 IPv6 주소와 로컬 IPv6 주소가 동일한 네트워크 세그먼트에 있으므로 호스트 A가 호스트 B와 통신하려는 경우 NS(Neighbor Solicitation) 패킷을 전송하여 호스트 B의 MAC 주소 요청을 합니다. 그러나 호스트 A와 호스트 B가 서로 다른 물리적 네트워크에 있으므로 호스트 B는 NS를 수신하지 않고 응답할 수 없습니다.

이 문제를 해결하기 위해 사용자 경로를 기반으로 하는 새로운 프록시 ND(Neighbor Discovery) 옵션이 도입되었습니다. 이 모드는 무제한 프록시 모드에서만 지원됩니다.

새로운 프록시 모드는 호스트 경로 생성 기능을 사용하여 연결 가능성을 확인합니다. 인터페이스에 대해 이 기능이 활성화되면 호스트 경로는 ARP(Address Resolution Protocol) 및 NDP(Neighbor Discovery Protocol) 테이블에 있는 각 IPv4 또는 IPv6 호스트 주소에 대한 RIB(Routing Information Base)에서 유지됩니다. RIB에서 활성 상태인 이러한 호스트 경로는 라우팅 프로토콜 내보내기 정책에 따라 BGP 또는 IGP로 재배포할 수 있습니다. 사용자 경로 프록시 ND는 호스트의 연결성을 확인하기 위해 이러한 재배포된 사용자 경로에 의존합니다.

메모:

사전 예방적 ARP 검색은 연결 가능한 VM을 빠르게 학습하는 데 도움이 되며 사전 예방적 IPV6 인접 학습은 지원되지 않습니다.

메모:

기본이 아닌 라우팅 테이블의 호스트 경로는 지원되지 않으므로 새로운 사용자 경로 기반 프록시도 지원되지 않습니다.

참조