IPv6を扱うために

Netscreen500はデフォルトではIPv6が有効になっていません。そこでまずIPv6を有効にしてあげます。

set enver ipv6=yes
save
reset 

ちなみに無効化するには

unset enver ipv6=no
save
reset

このコマンドを入れることでIPv6が有効になります。具体的な機能については以下を参照。

NetScreen IPv6 Reference Guide
http://www.juniper.net/techpubs/software/screenos/screenos5x/screenos5xipv6/IPv6_ref.pdf

Transparent Modeでの問題

NS500でIPv6を有効にするとIFやPolicyでIPv6が扱えるようになります。というわけで早速Transparent Modeで透過FWにしようとしたところ色々と問題が。

・DenyしてもRAが飛んで来る
Transparent Modeにした後、V1-TrustとV1-Untrustを利用してルータと端末を分断、後以下のようなPolicyをいれたところ問題が。

set policy id 0 name "any-any Logging" from "V1-Trust" to "V1-Untrust"  "Any-IPv6" "Any-IPv6" "ANY" deny log
set policy id 1 name "any-any Logging" from "V1-Untrust" to "V1-Trust"  "Any-IPv6" "Any-IPv6" "ANY" deny log

とりあえずDenyして隔離しようとしたところ何故かRAが端末に届く。色々と調べたところ、V1-UntrustからV1-Trustに向かってパケットが流れてしまっている始末。なにやら不穏そうなのでいろいろ調べたところ、こういうオチが。

Solution:
Upgrade to ScreenOS 6.2 for the following new feature:

    Transparent Mode for IPv6―ScreenOS now supports IPv6 addressing and functionality on security devices in transparent mode. This feature adds support for three new kinds of VPNs: IPv4 over IPv6 IPsec, IPv6 over IPv4 IPsec and IPv6 over IPv6 IPsec. Device management is also permitted in IPv6 mode.
    Also, refer to the Release Notes for ScreenOS 6.2: www.juniper.net/techpubs/software/screenos/screenos6.2.0 

Is IPv6 supported on ScreenOS in transparent mode?
http://kb.juniper.net/InfoCenter/index?page=content&id=KB13443

というわけで、ScreenOSが6.2以降にならないとTransparent ModeでIPv6をフィルターできません。ちなみに5.4でトラフィックを流しこんでも、PolicyをいれていなければDropされます。残念。

ちょっとした小技

NAT/Router mode で稼動しているとき、すべてのIPv6インタフェースルーティングをすることができるので、ethernet I/F以外でどういう挙動をするか試したところ、mgt/ha1/ha2でもルーティングできました。

なんというか、想定した用途以外の使い方な気もする。

まとめ

結局色々試したところ、ScreenOS5系のIPv6機能はまだまだといった感じです。NAT/Router modeでは一応フィルターとかも動くので使い方によっては十分だと思いますが、若干物足りない感じでした。