ワイヤレス : Cisco 5500 シリーズ ワイヤレス コントローラ

ワイヤレス LAN IPv6 クライアント導入ガイド

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 10 月 6 日) | フィードバック


目次


概要

このドキュメントでは、IPv6 クライアントのサポートに関係する Cisco Unified Wireless LAN ソリューションの動作論理および設定について説明します。

IPv6 ワイヤレス クライアント接続

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-01.gif

Cisco Unified Wireless Network ソフトウェア リリース v7.2 で設定される IPv6 機能セットは、ワイヤレス ネットワークが同じワイヤレス ネットワークの IPv4、デュアルスタック、および IPv6 専用のクライアントをサポートできるようにします。 Cisco Unified Wireless LAN への IPv6 クライアント サポートの追加の全体的な目標は、モビリティ、セキュリティ、ゲスト アクセス、QoS、およびエンドポイントの可視性を含む IPv4 と IPv6 クライアントとの間の同等の機能を維持することです。

デバイスごとに最大 8 個の IPv6 クライアント アドレスを追跡できます。 これにより、IPv6 クライアントは単一インターフェイス上でリンクローカル、ステートレス アドレス自動設定(SLAAC)アドレス、IPv6 用の Dynamic Host Configuration Protocol(DHCPv6)アドレス、および代替プレフィックスのアドレスを持つこともできます。 WGB モードで自律アクセス ポイント(AP)のアップリンクに接続されているワークグループ ブリッジ(WGB)クライアントでも、IPv6 をサポートできます。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ワイヤレス LAN コントローラ 2500 シリーズ、5500 シリーズ、または WiSM2

  • 1130、1240、1250、1040、1140、1260、3500、3600 シリーズ AP、および 1520 または 1550 シリーズ メッシュ AP

  • IPv6 対応ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ワイヤレス IPv6 クライアント接続の前提条件

ワイヤレス IPv6 クライアント接続を有効にするには、基礎となる有線ネットワークで、SLAAC または DHCPv6 などの IPv6 ルーティングおよびアドレス割り当て機能をサポートしている必要があります。 ワイヤレス LAN コントローラは IPv6 ルータに対する L2 隣接関係が必要です。また、VLAN はパケットがコントローラに着信するときにタグを付ける必要があります。 AP は、IPv6 ネットワーク上で接続を必要としません。すべてのトラフィックが AP とコントローラと間の IPv4 CAPWAP トンネル内でカプセル化されるためです。

SLAAC アドレスの設定

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-02.gif

IPv6 クライアント アドレス割り当ての最も一般的な方法は SLAAC です。 SLAAC はクライアントが IPv6 プレフィクスに基づいてアドレスを自己割り当てするシンプルなプラグ アンド プレイ接続を提供します。 このプロセスは、IPv6 ルータが、使用されている IPv6 プレフィクス(最初の 64 ビット)および IPv6 デフォルト ゲートウェイをクライアントに通知する定期的なルータ アドバタイズメント メッセージを送信するときに実施されます。 その時点で、クライアントは次の 2 つのアルゴリズムに基づいてその IPv6 アドレスの残りの 64 ビットを生成できます。 これらは、インターフェイスの MAC アドレスに基づく EUI-64、またはランダムに生成されるプライベート アドレスです。 アルゴリズムの選択はクライアントに依存し、多くの場合は設定できます。 重複アドレス検出は、選択されるランダム アドレスが他のクライアントと重複しないように、IPv6 クライアントによって実行されます。 アドバタイズメントを送信するルータのアドレスは、クライアントのデフォルト ゲートウェイとして使用されます。

これらの Cisco IOSか。 Cisco 可能な IPv6 ルータからの設定コマンドが SLAAC アドレッシングおよびルータ アドバタイズメントを有効に するのに使用されています:

ipv6 unicast-routing	
interface Vlan20
 description IPv6-SLAAC
 ip address 192.168.20.1 255.255.255.0
 ipv6 address 2001:DB8:0:20::1/64
 ipv6 enable
end

DHCPv6 アドレスの設定

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-03.gif

DHCPv6 の使用は、SLAAC がすでに導入されている場合は、IPv6 クライアント接続で要求されません。 DHCPv6 には「ステートレス」および「ステートフル」という 2 種類の動作モードがあります。

DHCPv6 ステートレス モードは、ルータ アドバタイズメントで使用できない追加のネットワーク情報をクライアントに提供するために使用しますが、これは IPv6 アドレスではありません。すでに SLAAC によって提供されているためです。 この情報には DNS ドメイン名、DNS サーバ、その他の DHCP ベンダー固有オプションを含めることができます。 このインターフェイス設定は、SLAAC をイネーブルにしてステートレス DHCPv6 を実装する Cisco IOS IPv6 ルータ用です。

ipv6 unicast-routing
interface Vlan20
 description IPv6-DHCP-Stateless
 ip address 192.168.20.1 255.255.255.0
 ipv6 enable
 ipv6 address 2001:DB8:0:20::1/64
 ipv6 nd other-config-flag
 ipv6 dhcp relay destination 2001:DB8:0:10::100
end

マネージド モードとも呼ばれる DHCPv6 ステートフル オプションは、DHCPv4 に対して同じように動作します。つまり固有のアドレスを、SLACC のとおりにアドレスの最後の 64 ビットを生成するクライアントではなく、それぞれのクライアントに割り当てます。 このインターフェイス設定は、SLAAC をディセーブルにしてステートフル DHCPv6 を実装する Cisco IOS IPv6 ルータ用です。

ipv6 unicast-routing
interface Vlan20
 description IPv6-DHCP-Stateful
 ip address 192.168.20.1 255.255.255.0
 ipv6 enable
 ipv6 address 2001:DB8:0:20::1/64
 ipv6 nd prefix 2001:DB8:0:20::/64 no-advertise
 ipv6 nd managed-config-flag
 ipv6 nd other-config-flag
 ipv6 dhcp relay destination 2001:DB8:0:10::100
end

追加情報

デュアルスタックまたはトンネリングの接続方法を使用して完全な IPv6 キャンパス全体の接続用に有線ネットワークを設定する方法は、このドキュメントの対象範囲外です。 詳細については、シスコの検証済み導入ガイド、『キャンパス ネットワークにおける IPv6 の導入』を参照してください。

IPv6 クライアント モビリティ

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-04.gif

コントローラ間の IPv6 クライアントのローミングに対処するには、特にクライアントが同じレイヤ 3 ネットワーク上にとどまることを確実にするため、近隣要請(NS)、ネイバー アドバタイズメント(NA)、ルータ アドバタイズメント(RA)、およびルータ要請(RS)などの ICMPv6 メッセージに対処する必要があります。 IPv6 モビリティの設定は、IPv4 モビリティの設定と同一であり、シームレスなローミングを実現するためにクライアント側で別個のソフトウェアを使用する必要はありません。 必要な設定は、コントローラが同じモビリティ グループまたはドメインに属している必要があることのみです。

コントローラ間の IPv6 クライアント モビリティのプロセスを次に示します。

  1. 両方のコントローラにクライアントが配置された元の同じ VLAN へのアクセスがある場合、ローミングはクライアント レコードが新しいコントローラにコピーされる単純なレイヤ 2 のローミング イベントになり、アンカーのコントローラにトンネリングして戻されるトラフィックはありません。

  2. 2 つ目のコントローラにクライアントが配置された元の VLAN へのアクセスがない場合、レイヤ 3 のローミング イベントが発生します。これは、クライアントからのすべてのトラフィックがモビリティ トンネル(IP 上のイーサネット)経由でアンカー コントローラにトンネリングして戻される必要があることを意味します。

    1. クライアントが元の IPv6 アドレスを保持することを確実にするため、元の VLAN からの RA はアンカー コントローラによって外部コントローラに送信され、AP から L2 ユニキャストを使用してクライアントに配信されます。

    2. ローミングされたクライアントが DHCPv6 を介してアドレスを更新する、または SLAAC を介して新しいアドレスを生成すると、RS、NA、および NS パケットは元の VLAN に引き続きトンネリングされて、クライアントはその VLAN に適用できる IPv6 アドレスを受け取ります。

注: IPv6 専用クライアントのモビリティは、VLAN 情報に基づいています。 これは、IPv6 専用クライアントのモビリティがタグなしの VLAN ではサポートされないことを意味します。

VLAN Select のサポート(インターフェイス グループ)

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-05.gif

インターフェイス グループ機能は、組織がコントローラに複数の VLAN が設定された単一の WLAN を持てるようにし、これらの VLAN 全体でワイヤレス クライアントののロード バランシングを許可できるようにします。 この機能は、グループ内の複数の VLAN 上の数千人のユーザに WLAN を拡張できるようにする一方で、IPv4 サブネット サイズを小さくするために使用されます。 L2 ワイヤレス ユニキャスト経由で正しいクライアントに正しい RA がシステムによって自動的に送信されるため、インターフェイス グループで IPv6 クライアントをサポートするための追加の設定は必要ありません。 RA をユニキャストすることによって、別の VLAN にある、同じ WLAN 上のクライアントが間違った RA を受信することはありません。

IPv6 クライアントのファースト ホップ セキュリティ

ルータ アドバタイズメント ガード

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-06.gif

RA ガード機能は、ワイヤレス クライアントから受信する RA をドロップすることによって IPv6 ネットワークのセキュリティを強化します。 この機能がない場合、間違って設定された、または悪意のある IPv6 クライアントがネットワークのルータとして自分自身をアナウンスする可能性があります。このようなクライアントのほとんどは、有効な IPv6 ルータよりも優先される高い優先順位が設定されています。

デフォルトでは、RA ガードは AP で有効になり(ただし、AP で無効にすることも可能)、コントローラでは必ず有効になります。 AP で RA をドロップすることは、よりスケーラブルなソリューションを実現し、機能拡張されたクライアントごとの RA ドロップ カウンタを提供するため推奨されます。 いずれの場合も、悪意のある、または誤って設定された IPv6 クライアントから他のワイヤレス クライアントやアップストリームの有線ネットワークを保護するため、ある時点で IPv6 RA はドロップされます。

DHCPv6 サーバ ガード

DHCPv6 サーバ ガード機能は、ワイヤレス クライアントが他のワイヤレス クライアントやアップストリームの有線クライアントに IPv6 アドレスを配信しないようにします。 DHCPv6 アドレスが配信されないようにするため、ワイヤレス クライアントからのすべての DHCPv6 アドバタイズ パケットはドロップされます。 この機能はコントローラで動作し、設定を必要とせず、自動的に有効になります。

IPv6 ソース ガード

IPv6 ソース ガード機能は、ワイヤレス クライアントが他のクライアントの IPv6 アドレスをスプーフィングできないようにします。 この機能は、IPv4 ソース ガードに似ています。 IPv6 ソース ガードはデフォルトで有効になっていますが、CLI で無効にすることができます。

IPv6 アドレスのアカウンティング

RADIUS 認証とアカウンティングの場合、コントローラは [Framed-IP-address] 属性を使用して 1 つの IP アドレスを返信します。 この場合は、IPv4 アドレスが使用されます。

[Calling-Station-ID] 属性は、コントローラの [Call Station ID Type] が [IP Address] に設定されている場合に IP アドレスを返信するため、このアルゴリズムを使用します。

  1. IPv4 アドレス

  2. グローバル ユニキャスト IPv6 アドレス

  3. リンクローカル IPv6 アドレス

クライアント IPv6 アドレスは頻繁に変更されるため(一時的またはプライベート アドレス)、時間の経過とともにこれらを追跡することが重要です。 Cisco NCS は、各クライアントで使用されているすべての IPv6 アドレスを記録し、クライアントがローミングされたり、新しいセッションが確立されたりするたびに、その履歴をログに記録します。 これらのレコードは、NCS で最大 1 年間保持するように設定できます。

注: コントローラの [Call Station ID Type] のデフォルト値は、バージョン 7.2 で [System MAC Address] に変更されました。 アップグレードするときは、この値は MAC アドレスによるクライアントの一義的なトラッキングを可能にするため変更する必要があります。これは、[Calling-Station-ID] が IP アドレスに設定されている場合、IPv6 アドレスがセッション中に変更されてアカウンティングで問題が生じる可能性があるためです。

IPv6 アクセス コントロール リスト

特定のアップストリームの有線リソースへのアクセスを制限したり、特定のアプリケーションをブロックしたりするために、IPv6 アクセス コントロール リスト(ACL)を使用してトラフィックを識別し、これを許可または拒否することができます。 IPv6 ACL は、送信元、宛先、送信元ポート、および宛先ポートを含め IPv4 ACL と同じオプションがサポートされています(ポート範囲もサポートされています)。 外部 Web サーバを使用した IPv6 ゲスト認証をサポートするために、事前認証 ACL もサポートされています。 ワイヤレス コントローラは、それぞれ 64 個の固有ルールのある最大 64 個の固有 IPv6 ACL をサポートします。 デュアルスタック クライアントの場合、ワイヤレス コントローラはそれぞれ 64 個の固有ルールのある最大 64 個の追加の固有 IPv4 ACL、合計 128 個の ACL をサポートします。

IPv6 ACL の AAA オーバーライド

Cisco Identity Services Engine(ISE)、ACS などの一元化された AAA サーバによるアクセス コントロールのサポートのために、AAA Override 属性を使用して每クライアントについて IPv6 ACL をプロビジョニングできます。 この機能を使用するには、IPv6 ACL をコントローラで設定し、AAA Override 機能を有効にして WLAN を設定する必要があります。 IPv6 ACL の実際の名前付き AAA 属性は、IPv4 ベースの ACL をプロビジョニングするために使用される Airespace-ACL-Name 属性に似た Airespace-IPv6-ACL-Name です。 AAA 属性が返すコンテンツは、コントローラで設定された IPv6 ACL の名前に一致する文字列になるはずです。

IPv6 クライアントのパケット最適化

ネイバー探索キャッシング

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-07.gif

IPv6 ネイバー探索プロトコル(NDP)は、アドレス解決プロトコル(ARP)の代わりに NA および NS パケットを利用し、IPv6 クライアントがネットワーク上の他のクライアントの MAC アドレスを解決できるようにします。 NDP プロセスはアドレス解決を実行するために、最初にマルチキャスト アドレスを使用するため通信が非常に多くなる場合があります。 マルチキャスト パケットはネットワーク セグメント上のすべてのクライアントに送信されるため、貴重な無線通信時間が消費される可能性があります。

NDP プロセスの効率を上げるため、ネイバー探索キャッシングはコントローラがプロキシとして機能し、解決できる NS クエリーに応答できるようにします。 ネイバー探索キャッシングはコントローラに存在する、基盤となるネイバー バインディング テーブルによって可能になります。 ネイバー バインディング テーブルでは、各 IPv6 アドレスと、アソシエートされた MAC アドレスが追跡されます。 IPv6 クライアントが別のクライアントのリンク層アドレスを解決しようとすると、NS パケットは NA パケットで応答するコントローラによってインターセプトされます。

ルータ アドバタイズメント スロットリング

ルータ アドバタイズメント スロットリングは、コントローラがワイヤレス ネットワーク宛ての RA のレート制限を強制できるようにします。 RA スロットリングを有効にすると、RA を頻繁(たとえば、3 秒ごと)に送信するように設定されたルータの周波数を、IPv6 クライアント接続を引き続き維持できる最小周波数に減らすことができます。 これにより、送信されるマルチキャスト パケットの数を減らすことで通信時間を最適化することができます。 いずれの場合も、クライアントが RS を送信すると、RA はコントローラを介して許可され、要求元クライアントにユニキャストで送信されます。 これは、新しいクライアントまたはローミングされたクライアントが RA スロットリングによる悪影響を受けないことを確実にするためです。

IPv6 ゲスト アクセス

IPv4 クライアントの無線および有線のゲスト機能は、デュアルスタックと IPv6 専用クライアントで同じように動作します。 ゲスト ユーザが関連付けられると、IPv4 または IPv6 キャプティブ ポータル経由でクライアントが認証されるまで「WEB_AUTH_REQ」の run 状態になります。 コントローラは、この状態の IPv4 と IPv6 の両方の HTTP/HTTPS トラフィックをインターセプトし、コントローラの仮想 IP アドレスにリダイレクトします。 ユーザがキャプティブ ポータル経由で認証されると、その MAC アドレスが run 状態に遷移し、IPv4 と IPv6 の両方のトラフィックの通過が許可されます。 外部 Web 認証の場合、事前認証 ACL は外部 Web サーバを使用できるようにします。

IPv6 専用クライアントのリダイレクションをサポートするために、コントローラは、コントローラに設定された IPv4 仮想アドレスに基づいて IPv6 仮想アドレスを自動的に作成します。 仮想 IPv6 アドレスは、[:: ffff: <virtual IPv4 address>] の表記法に従います。 たとえば、仮想 IP アドレス 1.1.1.1 は、[::ffff:1.1.1.1] に変換されます。

ゲスト アクセス認証に信頼された SSL 証明書を使用する場合は、コントローラの IPv4 と IPv6 の両方の仮想アドレスが SSL 証明書のホスト名と一致するように DNS で定義されていることを確認します。 これは、証明書がデバイスのホスト名と一致しないことを示すセキュリティ警告をクライアントが受信しないことを確実にします。

注: コントローラの自動生成された SSL 証明書には、IPv6 仮想アドレスは含まれません。 これにより、Web ブラウザにセキュリティ警告が表示される可能性があります。 ゲスト アクセスに信頼された SSL 証明書を使用することを推奨します。

IPv6 VideoStream

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-08.gif

VideoStream は信頼性が高くスケーラブルなワイヤレス マルチキャスト ビデオ配信を可能にし、各クライアントにユニキャスト形式のストリームを送信します。 実際のマルチキャストからユニキャストの変換(L2)は AP で実行されるため、スケーラブルなソリューションが提供されます。 コントローラは IPv4 CAPWAP マルチキャスト トンネル内で IPv6 ビデオ トラフィックを送信し、AP に対する効率的なネットワーク分配を可能にします。

IPv6 QoS

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-09.gif

IPv6 パケットは、IPv4 による DSCP 値の使用と同じようなマーキングを使用し、最大 64 個の異なるトラフィック クラス(0 ~ 63)をサポートします。 有線ネットワークからのダウンストリーム パケットでは、エンドツーエンドの QoS が維持されることを確実にするため、IPv6 トラフィック クラス値は CAPWAP トンネルのヘッダーにコピーされます。 アップストリーム方向では同様に、IPv6 トラフィック クラスでレイヤ 3 にマーキングされたクライアント トラフィックはコントローラに向かう CAPWAP パケットのマーキングによって承認されます。

IPv6 および FlexConnect

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-10.gif

FlexConnect – ローカル スイッチング WLAN

ローカル スイッチング モードの FlexConnect は、IPv4 での動作と同じように、トラフィックをローカル VLAN とブリッジングすることによって IPv6 クライアントをサポートします。 クライアント モビリティは、FlexConnect グループのレイヤ 2 ローミングでサポートされます。

FlexConnect ローカル スイッチング モードでは、次の IPv6 固有の機能がサポートされています。

  • IPv6 RA ガード

  • IPv6 ブリッジング

  • IPv6 ゲスト認証(コントローラでホストされます)

FlexConnect ローカル スイッチング モードでは、次の IPv6 固有の機能がサポートされていません。

FlexConnect – 中央スイッチング WLAN

中央スイッチングを使用する FlexConnect モードの AP の場合(コントローラにトラフィックをトンネリングして戻す)、コントローラの [AP Multicast Mode] に [Multicast - Unicast Mode] を設定する必要があります。 FlexConnect AP はコントローラの CAPWAP マルチキャスト グループに参加しないため、コントローラでマルチキャスト パケットを複製し、各 AP に個別にユニキャストで送信する必要があります。 この方法は、[Multicast - Multicast Mode] よりも非効率的で、コントローラに負荷を追加します。

FlexConnect 中央スイッチング モードでは、次の IPv6 固有の機能がサポートされていません。

  • IPv6 VideoStream

注: IPv6 を実行する中央でスイッチされる WLAN は、Flex 7500 シリーズ コントローラではサポートされていません。

NCS での IPv6 クライアントの表示

NCS v1.1 のリリースでは、無線および有線ネットワークの両方にある IPv6 クライアントのネットワークを監視および管理するために、数多くの IPv6 固有の機能が追加されました。

IPv6 ダッシュボード項目

どのようなタイプのクライアントがネットワークに存在するかを確認するには、NCS の「Dashlet」を使用できます。これは、IPv6 固有の統計情報を確認し、IPv6 クライアントをドリルダウンする機能を提供します。

IP Address Type Dashlet:ネットワーク上の IP クライアントのタイプを表示します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-11.gif

Client Count by IP Address Type:時間の経過とともに IP クライアントのタイプを表示します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-12.gif

Client Traffic by IP Address Type:各タイプのクライアントからのトラフィックを表示します。 デュアルスタックのカテゴリのクライアントは、IPv4 と IPv6 の両方のトラフィックを含んでいます。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-13.gif

IPv6 Address Assignment:各クライアントのアドレス割り当て方法を次の 4 種類のカテゴリのいずれかで表示します。

  • DHCPv6:中央サーバによってアドレスが割り当てられるクライアント。 このクライアントには、SLAAC アドレスもある場合があります。

  • SLAAC or Static:ステートレス アドレス自動割り当てを使用するクライアント、または静的に設定されたアドレスを使用するクライアント。

  • Unknown:場合によっては IPv6 アドレスの割り当てを検出できないことがあります。

    • この状態は、一部のスイッチが IPv6 のアドレス割り当て情報をスヌープしないため、NCS 有線クライアントでのみ発生します。

  • Self-Assigned:完全に自動割り当てされるリンクローカル アドレスのみのクライアント。

    • このカテゴリのクライアントはグローバルな一意のアドレスまたはローカルな一意のアドレスを持たないため、IPv6 接続の問題が発生する場合があります。

円グラフの各セクションはクリック可能で、管理者はクライアントのリストをドリルダウンすることができます。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-14.gif

IPv6 クライアントの監視

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-15.gif

IPv6 クライアント情報を監視および管理するために、[Clients and Users] ページに次の列が追加されました。

  • IP Type:クライアント側から確認される IP アドレスに基づいたクライアントのタイプ。 指定できるのは、IPv4、IPv6、またはデュアルスタック(IPv4 アドレスと IPv6 アドレスの両方があるクライアントを表す)です。

  • IPv6 Assignment Type:アドレス割り当て方法は NCS によって SLAAC or Static、DHCPv6、Self-Assigned、または Unknown のいずれかとして検出されます。

  • Global Unique:クライアントが使用する最新の IPv6 グローバル アドレス。 列の内容にカーソルを合わせると、クライアントが使用する追加の IPv6 のグローバルな一意のアドレスが表示されます。

  • Local Unique:クライアントが使用する最新の IPv6 のローカルな一意のアドレス。 列の内容にカーソルを合わせると、クライアントが使用する追加の IPv6 のグローバルな一意のアドレスが表示されます。

  • Link Local:他の IPv6 アドレスが割り当てられる前に、セルフアサインされ、通信に使用されるクライアントの IPv6 アドレス。

  • Router Advertisements Dropped:クライアントが送信し、AP でドロップされるルータ アドバタイズメントの数。 この列を使用し、正しく設定されていないクライアント、または IPv6 ルータのように動作するように設定された悪意のあるクライアントを追跡できます。 列を並べ替えて、問題のあるクライアントを簡単に特定することができます。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-16.gif

IPv6 固有の列の表示に加えて、[IP Address] 列には IPv4 アドレス(デュアルスタック クライアントの場合)または IPv6 のグローバルな一意のアドレス(IPv6 専用クライアントの場合)を最初に表示するプライオリティが設定されたクライアントの現在の IP アドレスが表示されます。

ワイヤレス IPv6 クライアント サポートの設定

AP へのマルチキャスト配信モード

Cisco Unified Wireless Network では、コントローラに関連付けられている AP へのマルチキャスト配信として 2 つの方法がサポートされています。 両方のモードにおいて、有線ネットワークからの元のマルチキャスト パケットは、CAPWAP ユニキャストまたはマルチキャストのいずれかを介して AP に送信されたレイヤ 3 CAPWAP パケット内でカプセル化されます。 トラフィックは CAPWAP カプセル化されるため、AP はクライアント トラフィックと同じ VLAN 上にある必要はありません。 次にマルチキャスト配信の 2 つの方法を比較します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-17.gif

マルチキャスト ユニキャスト モード マルチキャスト マルチキャスト モード
配信メカニズム コントローラによってマルチキャスト パケットが複製されてユニキャスト CAPWAP トンネルの各 AP に送信されます。 コントローラによってマルチキャスト パケットの 1 つのコピーが送信されます。
サポートされる AP モード FlexConnect およびローカル ローカル モードのみ
有線ネットワーク上での L3 マルチキャスト ルーティングが必要 いいえ はい
コントローラの負荷
有線ネットワークの負荷

Multicast-Multicast 配信モードの設定

拡張性および有線帯域幅の効率化のために、マルチキャスト マルチキャスト モードのオプションが推奨されています。

注: この手順は、2500 シリーズのワイヤレス コントローラにのみ必須ですが、より効率的なマルチキャスト送信を可能にするためすべてのコントローラ プラットフォームに推奨されます。

[General] ページの [Controller] タブに移動して、[AP Multicast Mode] に [Multicast] モードの使用が設定されていて、有効なグループ アドレスが設定されていることを確認します。 グループ アドレスは IPv4 マルチキャスト グループです。また、プライベート マルチキャスト アプリケーションの範囲である 239.X.X.X ~ 239.255.255.255 の範囲内であることが推奨されます。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-18.gif

注: 224.X.X.X、239.0.0.X または 239.128.0.X アドレス範囲をマルチキャスト グループ アドレスに使用しないでください。 これらの範囲のアドレスは、リンク ローカル MAC アドレスとオーバーラップし、IGMP スヌーピングが有効の場合でもすべてのスイッチ ポートにフラッディングします。

Multicast-Unicast 配信モードの設定

コントローラと AP または FlexConnect モード間に CAPWAP マルチキャストを配信するように有線ネットワークが適切に設定されてなく、IPv6 をサポートする中央でスイッチされる WLAN に AP が使用される場合は、ユニチキャスト モードが必要です。

  1. [General] ページの [Controller] タブに移動して、[AP Multicast Mode] で [Unicast] モードの使用が設定されていることを確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-19.gif

  2. IPv6 対応クライアントをワイヤレス LAN に接続します。 [Monitor] タブ、[Clients] メニューの順に移動して、クライアントが IPv6 アドレスを受信していること確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-20.gif

IPv6 モビリティの設定

同じモビリティ グループまたは同じモビリティ ドメイン内にコントローラを配置することを除き、IPv6 モビリティのための特定の設定はありません。 これは、合計で最大 72 個のコントローラがモビリティのドメインに参加できるようにし、最も大規模なキャンパスにもシームレスなモビリティを提供します。

[Controller] タブ > [Mobility Groups] の順に移動し、MAC アドレスおよび IP アドレスでグループに各コントローラを追加します。 これは、モビリティ グループ内のすべてのコントローラで実行する必要があります。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-21.gif

IPv6 マルチキャストの設定

コントローラはクライアントが要求するマルチキャスト フローをインテリジェントに追跡して配信できるようにする、IPv6 マルチキャスト用の MLDv1 スヌーピングをサポートしています。

注: 以前のバージョンのリリースとは異なり、IPv6 ユニキャスト トラフィック サポートは「Global Multicast Mode」がコントローラで有効になっていることを要求しません。 IPv6 ユニキャスト トラフィック サポートは、自動的に有効になります。

  1. マルチキャスト IPv6 トラフィックをサポートするには、[Controller] タブ > [Multicast] ページ、および [Enable MLD Snooping] の順に移動します。 IPv6 マルチキャストを有効にするには、コントローラの [Global Multicast Mode] も有効にする必要があります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-22.gif

    注: Apple の Bonjour などのピアツーピア検出アプリケーションが必要な場合は、Global Multicast Mode、IGMP、および MLD スヌーピングを有効にする必要があります。

  2. IPv6 マルチキャスト トラフィックがスヌーピングされていることを確認するには、[Monitor] タブと [Multicast] ページに移動します。 IPv4(IGMP)と IPv6(MLD)マルチキャスト グループの両方がリストされていることを確認します。 MGID をクリックし、そのグループ アドレスに加入しているワイヤレス クライアントを表示します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-23.gif

IPv6 RA ガードの設定

[Controller] タブに移動して、左側のメニューから [IPv6] > [RA Guard] に移動します。 AP 上で IPv6 RA ガードを [Enable] にします。 コントローラの RA ガードは無効にすることができません。 RA ガードの設定に加えて、このページには RA の送信元として識別されたクライアントがすべて表示されます。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-24.gif

IPv6 アクセス コントロール リストの設定

  1. [Security] タブに移動し、[Access Control Lists] を開き、[New] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-25.gif

  2. ACL の一意の名前を入力し、[ACL Type] を [IPv6] に変更し、[Apply]をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-26.gif

  3. 上記の手順で作成した新しい ACL をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-27.gif

  4. [Add New Rule] をクリックし、ルールに必要なパラメータを入力し、[Apply] をクリックします。 リストの最後にルールを配置するため、シーケンス番号は空白のままにします。 [Inbound] の [Direction] オプションはワイヤレス ネットワークからのトラフィック、[Outbound] はワイヤレス クライアントに向かうトラフィックに使用します。 ACL の最後のルールは、「すべてを暗黙的に拒否」であることに注意してください。 IPv6 サブネット全体を照合するには 64 のプレフィックス長を使用し、個別のアドレスにアクセスを一義的に制限するには 128 のプレフィックス長を使用します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-28.gif

  5. IPv6 ACL は WLAN/SSID 単位で適用され、複数の WLAN 上で同時に使用できます。 [WLANs] タブに移動し、問題の [SSID] の [WLAN ID] をクリックし、IPv6 ACL を適用します。 [Advanced] をクリックし、IPv6 の [Override Interface ACL] を ACL の名前に変更します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-29.gif

外部 Web 認証用の IPv6 ゲストアクセスの設定

  1. Web サーバ用に IPv4 および IPv6 事前認証 ACL を設定します。 これは、クライアントが完全に認証される前に外部サーバとの間のトラフィックの送受信を可能にします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-30.gif

    外部 Web アクセスの動作の詳細については、『ワイヤレス LAN コントローラを使用した外部 Web 認証の設定例』を参照してください。

  2. 上部の [WLANs] タブに移動し、ゲスト WLAN を設定します。 ゲスト SSID を作成し、レイヤ 3 Web ポリシーを使用します。 ステップ 1 で定義した事前認証 ACL が IPv4 および IPv6 に選択されています。 [Over-ride Global Config] セクションにチェックマークを付け、[Web Auth type] ドロップダウン ボックスから [External] を選択します。 Web サーバの URL を入力します。 外部サーバのホスト名は、IPv4 および IPv6 DNS で解決可能である必要があります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-31.gif

IPv6 RA スロットリングの設定

  1. トップレベルの [Controller] メニューに移動して、左側の [IPv6] > [RA Throttle Policy] オプションをクリックします。 チェックボックスをクリックし、RA スロットリングを有効にします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-32.gif

    注: RA スロットリングが実行されると、最初の IPv6 対応ルータのみの通過が許可されます。 異なるルータでサービスされる複数の IPv6 プレフィックスがあるネットワークでは、RA にスロットリングを無効にする必要があります。

  2. スロットル期間およびその他のオプションは、TAC からアドバイスされた場合にのみ調整します。 ただし、ほとんどの導入ではデフォルト値が推奨されます。 RA スロットリング ポリシーのさまざまな設定オプションは、次を考慮して設定する必要があります。

    • [Allow At-least] の数値は、[Max Through] よりも小さい [Allow At-most] 以下の数値にする必要があります。

    • RA スロットル ポリシーは、ほとんどの RA のデフォルトのライフタイムである 1800 秒以上のスロットル期間を使用すべきではありません。

RA スロットリングの各オプションは、次のとおりです。

  • Throttle Period:スロットリングが実行される期間。 RA スロットリングは、VLAN の [Max Through] 制限に到達した後にのみ有効になります。

  • Max Through:これは、スロットリングが実行される前の VLAN ごとの RA の最大数です。 [No Limit] オプションは、スロットリングを使用せずに、無制限の量の RA を許可します。

  • Interval Option:間隔オプションは、IPv6 RA の RFC 3775 値セットに基づいてコントローラが異なる動作をするようにします。

    • Passthrough:この値は RFC3775 間隔オプションがある RA がスロットリングを使用せずに通過できるようにします。

    • Ignore:この値により、RA スロットルは間隔オプションがあるパケットを通常の RA として処理し、有効な場合はスロットリングの対象とします。

    • Throttle:この値により、間隔オプションがある RA は必ずレート制限の対象となります。

  • Allow At-least:マルチキャストとして送信されるルータあたりの RA の最小数です。

  • Allow At-most:スロットリングが実行される前にマルチキャストとして送信されるルータあたりの RA の最大数です。 [No Limit] オプションは、そのルータに無制限の数の RA を許可します。

IPv6 ネイバー バインディング テーブルの設定

  1. トップレベルの [Controller] メニューに移動して、左側のメニューで [IPv6] > [Neighbor Binding Timers] オプションをクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-33.gif

  2. 必要に応じて、[Down Lifetime]、[Reachable Lifetime]、および [Stale Lifetime] を調整します。 モバイル性の高いクライアントを使用する導入では、古いアドレス タイマーのタイマーを調整する必要があります。 次に、推奨される値を示します。

    • Down Lifetime:30 秒

    • Reachable Lifetime:300 秒

    • State Lifetime:86400 秒

    各ライフタイムのタイマーは、IPv6 アドレスの状態を示します。

    • Down Lifetime:ダウン タイマーは、コントローラのアップリンク インターフェイスがダウンした場合に、IPv6 キャッシュ エントリを保持する期間を指定します。

    • Reachable Lifetime:このタイマーは、IPv6 アドレスがアクティブとしてマーキングされる期間を指定します。これは、このアドレスから最近トラフィックが受信されたことを意味します。 このタイマーの期限が切れると、アドレスは「古い」状態に移行します。

    • Stale Lifetime:このタイマーは、[Reachable Lifetime] から表示されなくなった IPv6 アドレスをキャッシュに保持する期間を指定します。 このライフタイムが終了すると、アドレスはバインディング テーブルから削除されます。

IPv6 VideoStream の設定

  1. コントローラでグローバル VideoStream 機能が有効になっていることを確認します。 802.11a/g/n ネットワークおよび、WLAN SSID で VideoStream を有効にする方法の詳細については、『Cisco Unified Wireless Network ソリューション: VideoStream 導入ガイド』を参照してください。

  2. コントローラの [Wireless] タブに移動し、[Media Stream] > [Streams] の順に選択します。 [Add New] をクリックして新しいストリームを作成します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-34.gif

  3. ストリームに名前を付け、最初と最後の IPv6 アドレスを入力します。 1 つのストリームのみを使用する場合、最初と最後のアドレスは同じです。 アドレスの追加後、[Apply] をクリックしてストリームを作成します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113427-cuwn-ipv6-guide-35.gif

IPv6 クライアント接続のトラブルシューティング

特定のクライアントが IPv6 トラフィックを渡せない

一部のクライアント IPv6 ネットワーキング スタックの実装では、ネットワークにアクセスする際に自分自身を正しくアナウンスしないため、ネイバー バインディング テーブルで配置のためにコントローラによって適切にスヌープされません。 ネイバー バインディング テーブルに存在しないアドレスはすべて、IPv6 ソース ガード機能によりブロックされます。 これらのクライアントがトラフィックを渡すには、次のオプションを設定する必要があります。

  1. CLI を介して IPv6 ソース ガード機能を無効にします。

    config network ip-mac-binding disable
    
  2. CLI を介してマルチキャスト ネイバー要請の転送を有効にします。

    config ipv6 ns-mcast-fwd enable
    

IPv6 クライアントのレイヤ 3 ローミングに成功したことを確認する

アンカー コントローラと外部コントローラの両方で次の debug コマンドを発行します。

debug client <mac address>

debug mobility handoff enable
debug mobility packet enable

アンカー コントローラでの debug の結果:

00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) State Update from Mobility-Complete to 
  Mobility-Incomplete
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Setting handles to 0x00000000
00:21:6a:a7:4f:ee pemApfDeleteMobileStation2: APF_MS_PEM_WAIT_L2_AUTH_COMPLETE =
  0.
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Deleted mobile LWAPP rule on AP 
  [04:fe:7f:49:03:30]
00:21:6a:a7:4f:ee Updated location for station old AP 04:fe:7f:49:03:30-1, new 
  AP 00:00:00:00:00:00-0
00:21:6a:a7:4f:ee Stopping deletion of Mobile Station: (callerId: 42)
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) State Update from Mobility-Incomplete to 
  Mobility-Complete, mobility role=Anchor, client state=APF_MS_STATE_ASSOCIATED
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Change state to RUN (20) last state RUN (20)
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Reached PLUMBFASTPATH: from line 4968
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Adding Fast Path rule type = Airespace AP 
  Client on AP 00:00:00:00:00:00, slot 0, interface = 13, QOS = 0
  IPv4 ACL ID = 255, IPv6 ACL ID = 255,
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Fast Path rule (contd...) 802.1P = 0, DSCP = 
  0, TokenID = 7006  Local Bridging Vlan = 20, Local Bridging intf id = 13
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID
  255, IPv6 ACL ID 255)
00:21:6a:a7:4f:ee 0.0.0.0 Removed NPU entry.
00:21:6a:a7:4f:ee Set symmetric mobility tunnel for 00:21:6a:a7:4f:ee as in 
  Anchor role
00:21:6a:a7:4f:ee 0.0.0.0 Added NPU entry of type 1, dtlFlags 0x1
00:21:6a:a7:4f:ee Pushing IPv6: fe80:0000:0000:0000: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee Pushing IPv6: 2001:0db8:0000:0020: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee 0.0.0.0, VLAN Id 20 Not sending gratuitous ARP
00:21:6a:a7:4f:ee Copy AP LOCP - mode:0 slotId:0, apMac 0x0:0:0:0:0:0
00:21:6a:a7:4f:ee Copy WLAN LOCP EssIndex:3 aid:0 ssid:    Roam
00:21:6a:a7:4f:ee Copy Security LOCP ecypher:0x0 ptype:0x2, p:0x0, eaptype:0x6 
  w:0x1 aalg:0x0, PMState:        RUN
00:21:6a:a7:4f:ee Copy 802.11 LOCP a:0x0 b:0x0 c:0x0 d:0x0 e:0x0 protocol2:0x5 
  statuscode 0, reasoncode 99, status 3
00:21:6a:a7:4f:ee Copy CCX LOCP 4
00:21:6a:a7:4f:ee Copy e2e LOCP 0x1
00:21:6a:a7:4f:ee Copy MobilityData LOCP status:2, anchorip:0xac14e2c6
00:21:6a:a7:4f:ee Copy IPv6 LOCP: fe80::3057:534d:587d:73ae

外部コントローラでの debug の結果:

00:21:6a:a7:4f:ee Adding mobile on LWAPP AP f0:25:72:3c:0f:20(1)
00:21:6a:a7:4f:ee Reassociation received from mobile on AP f0:25:72:3c:0f:20
00:21:6a:a7:4f:ee 0.0.0.0 START (0) Changing IPv4 ACL 'none' (ACL ID 255) ===> 
  'none' (ACL ID 255) --- (caller apf_policy.c:1697)
00:21:6a:a7:4f:ee 0.0.0.0 START (0) Changing IPv6 ACL 'none' (ACL ID 255) ===> 
  'none' (ACL ID 255) --- (caller apf_policy.c:1864)
00:21:6a:a7:4f:ee Applying site-specific Local Bridging override for station 
  00:21:6a:a7:4f:ee - vapId 3, site 'default-group', interface 'client-b1'
00:21:6a:a7:4f:ee Applying Local Bridging Interface Policy for station 
  00:21:6a:a7:4f:ee - vlan 25, interface id 12, interface 'client-b1'
00:21:6a:a7:4f:ee processSsidIE  statusCode is 0 and status is 0
00:21:6a:a7:4f:ee processSsidIE  ssid_done_flag is 0 finish_flag is 0
00:21:6a:a7:4f:ee STA - rates (8): 140 18 152 36 176 72 96 108 0 0 0 0 0 0 0 0
*apfMsConnTask_4: Jan 22 20:37:45.370: 00:21:6a:a7:4f:ee suppRates  statusCode 
  is 0 and gotSuppRatesElement is 1
00:21:6a:a7:4f:ee Processing RSN IE type 48, length 22 for mobile 
  00:21:6a:a7:4f:ee
00:21:6a:a7:4f:ee 0.0.0.0 START (0) Initializing policy
00:21:6a:a7:4f:ee 0.0.0.0 START (0) Change state to AUTHCHECK (2) last state 
  AUTHCHECK (2)
00:21:6a:a7:4f:ee 0.0.0.0 AUTHCHECK (2) Change state to 8021X_REQD (3) last 
  state 8021X_REQD (3)
00:21:6a:a7:4f:ee 0.0.0.0 8021X_REQD (3) DHCP Not required on AP 
  f0:25:72:3c:0f:20 vapId 3 apVapId 3for this client
00:21:6a:a7:4f:ee Not Using WMM Compliance code qosCap 00
00:21:6a:a7:4f:ee 0.0.0.0 8021X_REQD (3) Plumbed mobile LWAPP rule on AP 
  f0:25:72:3c:0f:20 vapId 3 apVapId 3
00:21:6a:a7:4f:ee apfMsAssoStateInc
00:21:6a:a7:4f:ee apfPemAddUser2 (apf_policy.c:268) Changing state for mobile 
  00:21:6a:a7:4f:ee on AP f0:25:72:3c:0f:20 from Idle to Associated
00:21:6a:a7:4f:ee Scheduling deletion of Mobile Station:  (callerId: 49) in 1800
  seconds
00:21:6a:a7:4f:ee Sending Assoc Response to station on BSSID f0:25:72:3c:0f:20 
  (status 0) ApVapId 3 Slot 1
00:21:6a:a7:4f:ee apfProcessAssocReq (apf_80211.c:6290) Changing state for 
  mobile 00:21:6a:a7:4f:ee on AP f0:25:72:3c:0f:20 from Associated to Associated
<…SNIP…>
00:21:6a:a7:4f:ee 0.0.0.0 8021X_REQD (3) Change state to L2AUTHCOMPLETE (4) last
  state L2AUTHCOMPLETE (4)
00:21:6a:a7:4f:ee 0.0.0.0 L2AUTHCOMPLETE (4) DHCP Not required on AP 
  f0:25:72:3c:0f:20 vapId 3 apVapId 3for this client
00:21:6a:a7:4f:ee Not Using WMM Compliance code qosCap 00
00:21:6a:a7:4f:ee 0.0.0.0 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 
  f0:25:72:3c:0f:20 vapId 3 apVapId 3
00:21:6a:a7:4f:ee 0.0.0.0 L2AUTHCOMPLETE (4) Change state to DHCP_REQD (7) last 
  state DHCP_REQD (7)
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) pemAdvanceState2 5253, Adding TMP rule
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Adding Fast Path rule
  type = Airespace AP - Learn IP address
  on AP f0:25:72:3c:0f:20, slot 1, interface = 13, QOS = 0
  IPv4 ACL ID = 255, IP
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) 802.1P = 0, 
  DSCP = 0, TokenID = 7006  Local Bridging Vlan = 25, Local Bridging intf id = 
  12
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 
  ACL ID 255, IPv6 ACL ID 255)
00:21:6a:a7:4f:ee Stopping retransmission timer for mobile 00:21:6a:a7:4f:ee
00:21:6a:a7:4f:ee 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
00:21:6a:a7:4f:ee Sent an XID frame
00:21:6a:a7:4f:ee Username entry () already exists in name table, length = 253
00:21:6a:a7:4f:ee Username entry () created in mscb for mobile, length = 253
00:21:6a:a7:4f:ee Applying post-handoff policy for station 00:21:6a:a7:4f:ee - 
  valid mask 0x1000
00:21:6a:a7:4f:ee QOS Level: -1, DSCP: -1, dot1p: -1, Data Avg: -1, realtime 
  Avg: -1, Data Burst -1, Realtime Burst -1
00:21:6a:a7:4f:ee     Session: -1, User session: -1, User elapsed -1 Interface: 
  N/A, IPv4 ACL: N/A, IPv6 ACL:
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Change state to DHCP_REQD (7) last state
  DHCP_REQD (7)
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) pemCreateMobilityState 6370, Adding TMP 
  rule
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Replacing Fast Path rule type = 
  Airespace AP - Learn IP address on AP f0:25:72:3c:0f:20, slot 1, interface = 
  13, QOS = 0 IPv4 ACL ID = 255,
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Fast Path rule (contd...) 802.1P = 0, 
  DSCP = 0, TokenID = 7006  Local Bridging Vlan = 25, Local Bridging intf id = 
  12
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Successfully plumbed mobile rule (IPv4 
  ACL ID 255, IPv6 ACL ID 255)
00:21:6a:a7:4f:ee Scheduling deletion of Mobile Station:  (callerId: 55) in 1800
  seconds
00:21:6a:a7:4f:ee Pushing IPv6: fe80:0000:0000:0000: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee apfMsRunStateInc
00:21:6a:a7:4f:ee 0.0.0.0 DHCP_REQD (7) Change state to RUN (20) last state RUN 
  (20)
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Reached PLUMBFASTPATH: from line 5776
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Change state to RUN (20) last state RUN (20)
00:21:6a:a7:4f:ee Pushing IPv6: 2001:0db8:0000:0020: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) State Update from Mobility-Incomplete to 
  Mobility-Complete, mobility role=Foreign, client state=APF_MS_STATE_ASSOCIATED
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Change state to RUN (20) last state RUN (20)
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Reached PLUMBFASTPATH: from line 4968
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Replacing Fast Path rule
  type = Airespace AP Client
  on AP f0:25:72:3c:0f:20, slot 1, interface = 13, QOS = 0
  IPv4 ACL ID = 255, IPv6 ACL ID = 25
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Fast Path rule (contd...) 802.1P = 0, DSCP = 
  0, TokenID = 7006  Local Bridging Vlan = 25, Local Bridging intf id = 12
00:21:6a:a7:4f:ee 0.0.0.0 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID
  255, IPv6 ACL ID 255)
00:21:6a:a7:4f:ee 0.0.0.0 Added NPU entry of type 9, dtlFlags 0x0
00:21:6a:a7:4f:ee Set symmetric mobility tunnel for 00:21:6a:a7:4f:ee as in 
  Foreign role
00:21:6a:a7:4f:ee 0.0.0.0 Added NPU entry of type 1, dtlFlags 0x1
00:21:6a:a7:4f:ee Pushing IPv6: fe80:0000:0000:0000: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee Pushing IPv6: 2001:0db8:0000:0020: 3057:534d:587d:73ae , and 
  MAC: 00:21:6A:A7:4F:EE , Binding to Data Plane. SUCCESS !!
00:21:6a:a7:4f:ee Copy AP LOCP - mode:0 slotId:1, apMac 0xf0:25:72:3c:f:20
00:21:6a:a7:4f:ee Copy WLAN LOCP EssIndex:3 aid:1 ssid:    Roam
00:21:6a:a7:4f:ee Copy Security LOCP ecypher:0x0 ptype:0x2, p:0x0, eaptype:0x6 
  w:0x1 aalg:0x0, PMState:        RUN
00:21:6a:a7:4f:ee Copy 802.11 LOCP a:0x0 b:0x0 c:0x0 d:0x0 e:0x0 protocol2:0x7 
  statuscode 0, reasoncode 99, status 3
00:21:6a:a7:4f:ee Copy CCX LOCP 4
00:21:6a:a7:4f:ee Copy e2e LOCP 0x1
00:21:6a:a7:4f:ee Copy MobilityData LOCP status:3, anchorip:0xac14e2c5
00:21:6a:a7:4f:ee Copy IPv6 LOCP: fe80::3057:534d:587d:73ae
00:21:6a:a7:4f:ee Copy IPv6 LOCP: 2001:db8:0:20:3057:534d:587d:73ae

便利な IPv6 CLI コマンド

Show ipv6 neighbor-binding summary
Debug ipv6 neighbor-binding filter client <Client MAC> enable
Debug ipv6 neighbor-binding filter errors enable

よく寄せられる質問(FAQ)

Q: ブロードキャスト ドメインを制限する最適な IPv6 プレフィックス サイズは何ですか。

A: IPv6 サブネットは /64 以下に分割できますが、この設定では SLAAC が損なわれ、クライアント接続の問題が発生します。 ホストの数を減らすためにセグメンテーションが必要な場合は、インターフェイス グループ機能を使用し、それぞれが異なる IPv6 プレフィックスを使用する異なるバックエンド VLAN 間でクライアントをロード バランスすることができます。

Q: IPv6 クライアントのサポートに関して拡張性の制限はありますか。

A: IPv6 クライアント サポートに関する主要な拡張性の制限は、すべてのワイヤレス クライアント IPv6 アドレスを追跡するネイバー バインディング テーブルです。 このテーブルは、8(クライアントあたりのアドレスの最大数)で乗算されたクライアントの最大数をサポートするためにコントローラ プラットフォームごとに拡張されます。 IPv6 バインディング テーブルの追加は、プラットフォームによってはコントローラのメモリ使用量を全負荷の約 10 ~ 15% に増加させることがあります。

ワイヤレス コントローラ クライアントの最大数 IPv6 ネイバー バインディング テーブルのサイズ
2500 500 4,000
5500 7,000 56,000
WiSM2 15,000 120,000

Q: コントローラの CPU とメモリに対する IPv6 機能の影響は何ですか。

A: CPU にはコントロール プレーンを処理する複数のコアがあるため、影響は最小になります。 それぞれに 8 個の IPv6 アドレスがある、サポートされている最大数のクライアントでテストしたときの CPU 使用率は 30% 未満、メモリ使用率は 75% 未満でした。

Q: IPv6 クライアントのサポートを無効にすることはできますか。

A: ネットワークで IPv4 のみを有効にして、IPv6 をブロックしたい場合は、すべてのトラフィックが拒否される IPv6 ACL を使用し、WLAN ごとに適用することができます。

Q: IPv4 用の 1 つの WLAN、IPv6 の別の WLAN を設定することは可能ですか。

A: 同じ AP で動作する 2 つの異なる WLAN が同じ SSID 名とセキュリティ タイプを持つことは不可能です。 IPv6 クライアントからの IPv4 クライアントのセグメンテーションには、2 つの WLAN を作成する必要があります。 各 WLAN は、すべての IPv4 または IPv6 トラフィックをそれぞれブロックする ACL で設定する必要があります。

Q: クライアントごとに複数の IPv6 アドレスをサポートすることが重要なのはなぜですか。

A: クライアントはインターフェイスごとに複数の IPv6 アドレスを持つことができます。これらのアドレスは静的に SLAAC または DHCPv6 で割り当てられるか、常にセルフアサインされたリンクローカル アドレスを持ちます。 クライアントは、異なる IPv6 プレフィックスを使用して追加アドレスを持つことができます。

Q: IPv6 プライベート アドレスとは何ですか、これを追跡することが重要なのはなぜですか。

A: プライベート アドレス(一時アドレスとも呼ばれます)は、SLAAC アドレス割り当ての使用時にクライアントによってランダムに生成されます。 これらのアドレスは通常、同じホストのポストフィックス(最後の 64 ビット)を常時使用することによるホストの追跡可能性を回避するために、1 日程度の頻度でローテーションされます。 著作権の侵害のトレースなどの監視目的で、これらのプライベート アドレスを追跡することが重要です。 Cisco NCS は、各クライアントで使用されているすべての IPv6 アドレスを記録し、クライアントがローミングされたり、新しいセッションが確立されたりするたびに、その履歴をログに記録します。 これらのレコードは、NCS で最大 1 年間保持するように設定できます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113427