귀하의 경험을 개선할 수 있도록 도와주십시오.

귀하의 의견을 알려주십시오.

2분이 소요되는 설문 조사에 시간을 내주시겠습니까?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
list Table of Contents
keyboard_arrow_right

이 기계 번역이 도움이 되었습니까?

starstarstarstarstar
Go to English page
면책 조항:

이 페이지는 타사 기계 번역 소프트웨어를 사용해 번역됩니다. 주니퍼 네트웍스에서는 우수한 품질의 번역을 제공하기 위한 합리적인 수준의 노력을 기울이지만 해당 컨텐츠의 정확성을 보장할 수 없습니다. 본 번역에 포함된 정보의 정확성과 관련해 의문이 있는 경우 영문 버전을 참조하시기 바랍니다. 다운로드 가능한 PDF는 영어로만 제공됩니다.

NDP 프록시 및 DAD 프록시

date_range 08-Mar-22

요약  이 주제는 제한 인터페이스 및 제한되지 않은 인터페이스 모드에 대한 NDP(Neighbor Discovery Protocol) 프록시 및 DAD(Duplicate Address Detection) 프록시 기능에 대한 세부 정보를 제공합니다.

개요

NDP 프록시 기능을 사용하면 동일한 서브넷에 있고 서로 직접 통신할 수 없는 호스트 간에 패킷 포워딩이 가능합니다. NDP 프록시는 동일한 서브넷을 가진 다른 물리적 세그먼트의 호스트 디바이스가 추가 게이트웨이 및 접두사 없이 통신할 수 있도록 하려는 경우 필요합니다. NDP 프록시는 동일한 접두사로 여러 세그먼트의 중간에 있는 노드 또는 라우터와 같습니다.

디바이스를 주소에 대한 NDP 프록시로 구성할 때 구성된 프록시 인터페이스(프록시 라우터 또는 노드)는 다른 물리적 세그먼트의 디바이스를 대신하여 인접 광고(NA)가 NS(Neighbor Solicitation)에 회신하도록 보냅니다.

DAD 프록시 기능을 사용하면 디바이스가 동일한 서브넷의 다른 노드와 직접 통신할 수 없는 노드에 대한 DAD 쿼리에 응답할 수 있습니다.

참고:

NS가 링크 로컬 주소인 경우 NDP 또는 DAD 프록시 기능이 작동하지 않습니다.

NDP 및 DAD 프록시(인터페이스 제한 모드)

NDP 프록시 기능(인터페이스 제한 모드)은 동일한 서브넷에 있고 서로 직접 통신할 수 없는 호스트 간에 패킷 전달을 지원합니다. 이 기능은 주로 프록시 노드가 액세스 제어를 적용하고 호스트 간에 흐르는 트래픽을 가로채야 하는 시나리오에서 사용됩니다. SRX 시리즈 디바이스에서 NDP 프록시를 구성할 때 디바이스는 NA를 보내고 SRX 시리즈 디바이스 내의 호스트에 할당된 IPv6 접두사의 MAC 주소를 찾는 디바이스의 요청에 응답합니다.

DAD 기능은 이웃 요청(NS) 메시지를 사용하여 로컬 링크에서 중복 주소의 사용을 감지합니다. DAD 기능은 IPv4의 Gratuitous ARP와 유사한 IPv6 주소 및 기능에 대한 것입니다.

NDP 및 DAD 프록시(인터페이스 제한 모드)

릴리스 22.1R1 Junos OS 시작하여, 여러 프록시 구성 인터페이스(인터페이스 제한 모드)에서 NDP 및 DAD 프록시 기능을 지원합니다. NDP 인터페이스 무제한 프록시는 기존 IPv6 ND 기능 내에서 작동하며 활성화된 경우에만 호출됩니다. 제한 없는 인터페이스 모드 ND 기능은 NDP 및 DAD 프록시를 위해 구성된 모든 인터페이스에서 함께 작동합니다.

이전 릴리스에서 NDP 및 DAD 프록시 기능은 제한되었고 구성된 인터페이스만 제한되었습니다. 현재 NDP 및 DAD 프록시 기능은 구성된 여러 인터페이스(인터페이스 제한 모드)에서 작동합니다.

제한 없는 인터페이스 모드의 NDP 및 DAD 프록시 기능을 통해 구성된 인터페이스는 추가 접두사 할당의 오버헤드 없이 원래 세그먼트의 노드에 의해 직접 도달할 수 없는 다른 물리적 세그먼트의 노드를 대신하여 이웃 광고(NA)가 NS(Neighbor Solicitation)에 회신하도록 함께 작동합니다.

명령을 사용하여 인터페이스에 제한 없는 인터페이스 모드에서 NDP 프록시를 set interfaces interface-name unit number family inet6 ndp-proxy interface-unrestricted 활성화하면 프록시 인터페이스:

  • NS 요청에 대한 NA를 생성합니다. 그런 다음 프록시 인터페이스를 통해 서브넷에서 연결할 수 있는 다른 호스트를 대신하여 호스트로부터 요청이 전송됩니다.

  • 이웃 테이블에서 NS에서 요청된 주소를 사용할 수 없는 경우 NS를 생성하고 서브넷의 모든 프록시 인터페이스로 보냅니다.

    NS 패킷의 수신 인터페이스에 속하는 경로 테이블의 대상 주소에 대해 포워드 가능한 경로를 찾습니다. 경로 조회는 다음 홉을 해결하기 위해 을(를) 가리키는 경로 목록을 제공합니다. 프록시는 이러한 다음 홉을 사용하여 구성된 다른 포트에서 NS를 보냅니다.

    참고:

    프록시가 경로 조회를 수행하고 결과 경로 다음 홉이 NS가 도착한 동일한 인터페이스를 가리킨 다음 프록시는 해당 NS를 삭제합니다.

  • 요청된 대상 주소가 neighbor 캐시에서 사용 가능하고 도달 가능한 경우에도 인접 도달 가능성 탐지(NUD)를 적용할 수 있습니다. 포스 ND 기능은 호스트가 한 세그먼트에서 다른 세그먼트로 이동할 때 유용합니다. NDP 프록시 포스 확인 기능을 활성화하려면 명령을 사용합니다 set protocols neighbor-discovery ndp-proxy proxy-force-resolve .

  • 인접 항목이 해결되면 호스트 간에 패킷을 포워딩하여 프록시(proxies)로 패킷을 전달하여 호스트 간의 통신을 허용합니다.

DAD 기능은 이웃 요청(NS) 메시지를 사용하여 로컬 링크에서 중복 주소의 사용을 감지합니다.

명령을 사용하여 여러 인터페이스에서 DAD 프록시를 활성화할 set interfaces interface-name unit <number> family inet6 dad-proxy interface-unrestricted 때:

  • DAD 프록시는 NS 임시 주소가 다른 프록시 인터페이스를 통해 도달할 수 있는 경우 다른 호스트를 대신하여 DAD NS 요청에 대한 NA 응답을 생성합니다.

  • DAD NS 요청이 도달하고 임시 주소를 사용할 수 없거나 neighbor 캐시의 교착 상태에 있는 경우 DAD 프록시는 수신된 주소를 제외한 다른 모든 프록시 인터페이스에서 NUD를 시작합니다.
  • DAD 요청이 다른 호스트가 이미 DAD 프로세스 중간에 있는 임시 주소를 호스트에서 보낸 경우, DAD 프록시는 두 호스트 모두에 대해 NA로 회신합니다.

NDP 프록시 구성

인터페이스 제한 모드 또는 인터페이스 제한 모드(여러 인터페이스 전반)에서 NDP(Neighbor Discovery Protocol) 프록시를 활성화할 수 있습니다. 인터페이스에서 DAD 프록시 인터페이스 제한 모드와 인터페이스 제한 모드를 동시에 구성할 수 없습니다.
  1. 인터페이스로 제한되는 NDP 프록시를 활성화하려면(인터페이스 제한 모드):
    content_copy zoom_out_map
    set interfaces interface-name family inet6 ndp-proxy interface-restricted
    
  2. 여러 인터페이스(인터페이스 제한 모드)에서 NDP 프록시를 활성화하려면:
    content_copy zoom_out_map
    set interfaces interface-name unit number family inet6 ndp-proxy interface-unrestricted
  3. 도달 가능한 이미 학습된 항목에 대해 NS를 전송하는 NDP 프록시 동작을 활성화 또는 비활성화하는 방법:
    content_copy zoom_out_map
    set protocols neighbor-discovery ndp-proxy proxy-force-resolve
  4. neighbor 캐시에 없는 주소에 대해 NDP 프록시를 비활성화하려면 다음을 수행합니다.
    content_copy zoom_out_map
    set protocols neighbor-discovery ndp-proxy no-proxy-on-resolve
    
  5. NDP 프록시 요청, NDP 프록시 충돌, NDP 프록시 복제, NDP 프록시 확인 요청 및 NDP 패킷 삭제와 같은 이벤트의 통계를 얻으려면 다음을 수행합니다.
    show system statistics icmp6

DAD 프록시 구성

제한된 인터페이스(인터페이스 제한 모드) 또는 여러 인터페이스(제한되지 않은 인터페이스 모드)에서 DAD(Duplicate Address Detection) 프록시를 활성화할 수 있습니다. 인터페이스 제한 모드 및 인터페이스 제한 모드에서 DAD 프록시를 동시에 구성할 수 없습니다.

인터페이스 또는 여러 인터페이스에서 DAD 프록시를 구성하려면 다음을 수행합니다.

  1. 인터페이스로 제한된 DAD 프록시를 활성화하려면(인터페이스 제한 모드):
    content_copy zoom_out_map
    set interfaces interface-name family inet6 dad-proxy interface-restricted
    
  2. 여러 인터페이스(인터페이스 제한 모드)에서 DAD 프록시를 활성화하려면:
    content_copy zoom_out_map
    set interfaces interface-name unit <number> family inet6 dad-proxy interface-unrestricted
  3. neighbor 캐시에 없는 주소에 대해 DAD 프록시를 비활성화하려면 다음을 수행합니다.
    content_copy zoom_out_map
    set protocols neighbor-discovery dad-proxy  no-proxy-on-resolve
    
  4. DAD 프록시 요청, DAD 프록시 충돌, DAD 프록시 복제, DAD 프록시 확인 요청 및 삭제된 DAD 패킷과 같은 이벤트의 통계를 보려면 다음을 수행합니다.
    show system statistics icmp6
external-footer-nav