Cisco Cisco ASA 5525-X Adaptive Security Appliance - No Payload Encryption Merkblatt
13-4
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
13
장 라우팅 및 투명 모드 인터페이스
라우팅 모드 및 투명 모드 인터페이스에 대한 지침
적어도 IPv6가 작동하려면 링크-로컬 주소를 구성해야 합니다. 전역 주소를 설정하면 링크-로컬 주
소가 인터페이스에서 자동으로 구성되므로, 링크-로컬 주소를 특별히 구성하지 않아도 됩니다. 전역
주소를 구성하지 않은 경우 자동으로 또는 수동으로 링크-로컬 주소를 구성해야 합니다.
참고
링크-로컬 주소만 구성하려면 ipv6 enable(자동 구성) 또는 ipv6 address link-local(수동 구성)
명령을 명령 참조에서 참조하십시오.
수정된 EUI-64 인터페이스 ID
RFC 3513: IPv6(
인터넷 프로토콜 버전 6) 주소 지정 아키텍처에 따르면, 모든 유니캐스트 IPv6
주소(이진 값 000으로 시작하는 것 제외)의 인터페이스 식별자 부분은 길이가 64비트이고 수정된
EUI-64
EUI-64
형식이어야 합니다. ASA는 로컬 링크에 연결된 호스트에 이 요건을 적용할 수 있습니다.
이 기능이 인터페이스에서 활성화된 경우, 그 인터페이스에서 수신한 IPv6 패킷의 소스 주소를 소
스 MAC 주소와 비교하여 검증함으로써 인터페이스 식별자가 수정된 EUI-64 형식을 사용하는지
확인합니다. IPv6 패킷에서 인터페이스 식별자에 수정된 EUI-64 형식을 사용하지 않을 경우 패킷
은 드롭되고 다음 시스템 로그 메시지가 생성됩니다.
%ASA-3-325003: EUI-64 source address check failed.
주소 형식 검증은 흐름이 생성되는 경우에만 수행됩니다. 기존 흐름의 패킷은 검사하지 않습니다.
또한 이 주소 검증은 로컬 링크의 호스트에 대해서만 수행할 수 있습니다. 라우터 뒤에 있는 호스트
로부터 받은 패킷은 주소 형식 검증을 통과하지 못해 드롭됩니다. 그 소스 MAC 주소가 호스트 MAC
주소가 아닌 라우터 MAC 주소이기 때문입니다.
투명 모드에서 지원되지 않는 IPv6 명령
다음 IPv6 명령은 라우터 기능을 필요로 하므로 투명 방화벽 모드에서 지원되지 않습니다.
•
ipv6 address autoconfig
•
ipv6 nd prefix
•
ipv6 nd ra-interval
•
ipv6 nd ra-lifetime
•
ipv6 nd suppress-ra
라우팅 모드 및 투명 모드 인터페이스에 대한 지침
상황 모드
•
다중 상황 모드에서는 시스템 구성에서
에 따라 이미 상황에 할당
한 상황 인터페이스만 구성할 수 있습니다.
•
PPPoE
는 다중 상황 모드에서 지원되지 않습니다.
•
다중 상황, 투명 모드의 경우 각 상황에서는 다른 인터페이스를 사용해야 하며 상황 간에 인터
페이스를 공유할 수 없습니다.
•
다중 상황, 투명 모드의 경우 일반적으로 상황마다 다른 서브넷을 사용합니다. 겹치는 서브넷
을 사용할 수도 있으나, 네트워크 토폴로지상 라우터 및 NAT 구성에서 라우팅과 관련하여 이
를 허용해야 합니다.