Umbrella Roaming Client를 위한 듀얼 스택 IPv6 네트워크 구성 이해

소개

이 문서에서는 Umbrella Roaming Client, 특히 이중 스택 IPv6 네트워크 컨피그레이션에 대한 지원에 대해 설명합니다.

개요

현재 Umbrella 로밍 클라이언트는 대시보드의 로밍 클라이언트 페이지에서 IPv6 리디렉션 전환을 전환하여 기본적으로 macOS(로밍 클라이언트 2.1.x+)와 Windows(클라이언트 버전 2.2.x+)에 대해 IPv4 전용 및 이중 스택 네트워크 컨피그레이션을 지원합니다.

현재 Mac 및 Windows 운영 체제 모두에 대해 IPv6 전용 네트워크를 지원하지 않습니다.

버전 4.8.02042부터 AnyConnect Roaming Security Module에 대해 IPv6 리디렉션 지원을 사용할 수 있습니다.

IPv4 리디렉션

로밍 클라이언트의 IPv4 DNS 리디렉션 기능은 변경되지 않습니다. DNS는 여전히 127.0.0.1로 덮어쓰기되어 DNS를 로밍 클라이언트의 DNS 암호화 프록시로 리디렉션합니다. 

흐름:

127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted

IPv6 리디렉션 

버전 2.2.x의 새로운 기능인 IPv6 구성 요소는 로밍 클라이언트에 새로 추가되었습니다. 이 변경 사항은 클라이언트의 후단은 물론 업데이트된 사용자 인터페이스 트레이에도 적용됩니다. 

새로운 기능 IPv6 상태를 확인합니다. 기본적으로 "Not Enabled(활성화되지 않음)"로 표시됩니다. 대시보드에서 IPv6 리디렉션이 켜지면 Umbrella의 새 IPv6 리디렉션이 활성화됩니다. 활성 상태일 때 IPv6에 대한 DNS는 ::1로 덮어씁니다.

IPv6 보호에는 보호 및 암호화, 보호 및 암호화되지 않음, 보호되지 않음 및 기타 상태라는 고유한 독립적인 상태가 있습니다. 이 상태는 업데이트된 GUI에 반영됩니다.

IPv6 리디렉션은 IPv4 커버리지와 독립적으로 발생합니다. 

흐름:

::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted

표준 작업

로밍 클라이언트는 모든 네트워크 상태 변경 및 정기적인 반복 간격(현재 10초)에서 Umbrella 확인기의 가용성을 테스트합니다. DNS를 dns 프록시를 통해 사용할 수 있는 경우 클라이언트는 테스트를 통과한 인터넷 프로토콜 버전에 대해 보호 모드로 들어갑니다. IPv6가 활성화된 경우 10초마다 각 프로토콜에 대해 일반 DNS 연결 확인 패킷이 한 번씩 발생할 것으로 예상됩니다.

두 프로토콜이 모두 활성 상태인 경우 DNS는 다음과 같이 표시됩니다.

::1
127.0.0.1

기능 차트

참고: 내부 DNS는 IPv6의 영향을 받지 않습니다. 지원되지 않는 시나리오에서는 DNS 및 내부 DNS의 우회를 허용합니다. 시나리오는 IPv4 및 IPv6 DNS 설정의 존재를 기반으로 합니다. 내부 네트워크에는 IPv6 DNS 서버가 없는 IPv6 주소가 있을 수 있으며, 이 차트의 경우 IPv4 네트워크로 간주됩니다.

자주 묻는 질문(FAQ)

Umbrella는 AAAA 요청(IPv4 포함)의 차단을 지원합니까?

예, AAAA는 IPv4를 통해 수신된 차단된 도메인에 대한 쿼리를 통해 차단 페이지의 IPv4 매핑 IPv6 주소를 반환합니다.

Umbrella는 IPv6 차단 페이지, 또는 더 일반적으로 IPv6 요청 차단을 지원합니까?

IPv6를 통해 차단 페이지에 연결할 수 없는 것은 사실이지만 "IPv6 요청 차단"과 약간의 잘못된 이름이 있습니다. Umbrella는 IPv4 또는 IPv6 주소가 아닌 도메인을 허용하거나 차단합니다. Umbrella DNS 서비스는 도메인을 IPv4 또는 IPv6 주소로 확인합니다. Umbrella에서 무언가를 차단할 때 A 쿼리에 대한 IPv4 주소 또는 AAAA 쿼리에 대한 IPv4 매핑 IPv6 주소를 반환합니다. 반환된 IP 주소는 도메인이 아닌 Umbrella 블록 페이지에 대한 주소입니다.

어떤 경우든 반환된 IP 주소는 IPv4를 통해서만 액세스할 수 있으므로 클라이언트가 이후에 IPv4에 연결하려면 최소한 IPv4가 가능해야 합니다.

요청이 Umbrella 지능형 프록시를 통해 프록시되는 경우는 거의 동일합니다. AAAA requests for gray-listed domains(IPv4를 통해 수신된 회색 목록 도메인에 대한 AAAA 요청)는 프록시의 IPv4 매핑 IPv6 주소를 반환합니다. 클라이언트가 IPv4를 사용할 수 있어야 이후에 프록시에 연결할 수 있습니다.

IPv6 AAAA 요청이 허용되는 경우 Umbrella에서 이를 로깅합니까?

예, Umbrella는 요청이 등록된 ID에서 온 경우 기록합니다. IPv6 주소가 있는 네트워크도 등록해야 보고서에 로깅할 수 있습니다. 로밍 클라이언트 또는 기타 ID 유형에서도 마찬가지입니다.

잠시 만요, IPv6 네트워크를 Umbrella에 등록할 수 있을까요?

예! 손님으로 오시고 등록하세요.

IPv6 DNS 서버가 있는 듀얼 스택 네트워크에서 커버리지가 예상대로 적용되지 않는 예상 시나리오가 있습니까?

예. Umbrella IPv4 확인기에 연결할 수 없으면 IPv4 바운드 DNS가 보호되지 않습니다. Umbrella IPv6 확인기에 연결할 수 없으면 IPv6 바운드 DNS가 보호되지 않습니다. 네트워크 제한으로 인해 보호되지 않는 리디렉션 중 하나 또는 둘 다를 가질 수 있습니다. 예제 시나리오의 다음 질문을 참조하십시오.

액세스 가능한 IPv6 DNS 서버가 있지만 Umbrella IPv6 리졸버에 액세스할 수 없는 경우에는 어떻게 합니까? 클라이언트가 보호를 유지할 수 있습니까?

창: IPv6에서 Umbrella에 액세스할 수 없으므로 IPv6 보호가 오프라인 상태로 유지됩니다. IPv6 로컬 확인자로 전송된 DNS는 클라이언트 외부에서 정상적으로 확인됩니다. IPv4 공용 DNS 리졸버를 사용할 수 있으므로 IPv4 DNS 스택으로 전송된 모든 DNS는 Umbrella에 의해 보호됩니다. 따라서 IPv6를 통해 전송된 DNS는 보호되지 않는 반면 IPv4로 전송된 DNS는 보호됩니다. 현장에서 볼 수 있는 한 가지 예는 IPv6 DNS 서버가 있지만 리졸버에 대한 IPv6 액세스가 없는 모바일 핫스팟입니다.

네트워크 인터페이스에 "fec0:..."과 같은 일부 로컬 전용 IPv6 DNS 서버가 있는 경우 어떻게 해야 합니까?...."

창: 버전 2.2.109부터 일부 일관성 없는 동작이 발생할 수 있습니다. 이 문제는 다음 릴리스에서 해결되며 로밍 클라이언트에서 처리되지 않습니다.

클라이언트의 IPv4 상태가 IPv6 상태와 상호 작용합니까?

창: 아니요. 네트워크 가용성과 각 프로토콜에 대한 DNS 서버의 존재 여부에 따라 완전히 독립된 상태입니다.

Umbrella가 IPv4에서만 액세스할 수 있지만 컴퓨터가 IPv6 지원 네트워크에 있는 경우 IPv6 DNS를 IPv4 DNS 서버로 리디렉션할 수 있습니까?

창: 아니요. 클라이언트는 IPv6 DNS 리디렉션을 위해 IPv6 리졸버에만 DNS를 전송합니다(가능한 경우). IPv6 바인딩된 DNS가 IPv4 리졸버로 전송되지 않으며 정책을 수신할 수 없습니다.

macOS는 Windows와 다릅니까?

예. macOS는 IPv6 및 IPv4 DNS를 위한 중앙 저장 위치를 가지고 있으며, 우리는 로컬 DNS를 위한 우리의 저장 위치를 알맞게 주문한다. DNS는 Windows와 달리 macOS에서 127.0.0.1로 계속 전달됩니다.

IPv4 DNS에 대한 VA 뒤에 있는 네트워크에서는 IPv6 구성 요소도 가상 어플라이언스 뒤에서 비활성화할 수 있습니까?

현재로서는 VA에서 IPv6를 지원할 때까지는 불가능합니다. 로밍 클라이언트의 IPv6 리디렉션 구성 요소는 IPv6 바운드 DNS 요청에 대해 활성, 암호화 및 보호 상태로 유지됩니다.