IPv6 コンフィギュレーション ガイド Cisco IOS Release M&T
IPv6 でのファーストホップ セキュリティの実装
IPv6 でのファーストホップ セキュリティの実装
発行日;2012/05/10 | 英語版ドキュメント(2011/09/26 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

IPv6 でのファーストホップ セキュリティの実装

機能情報の確認

目次

IPv6 でファーストホップ セキュリティを実装するための前提条件

IPv6 でファーストホップ セキュリティを実装するための制約事項

IPv6 でのファーストホップ セキュリティの実装に関する情報

IPv6 ファーストホップ セキュリティ バインディング テーブル

IPv6 デバイス トラッキング

IPv6 ポートベースのアクセス リスト サポート

IPv6 グローバル ポリシー

IPv6 RA ガード

IPv6 ND 検査

IPv6 でのセキュア ネイバー探索

IPv6 ネイバー ディスカバリの信頼モデルと脅威

SeND プロトコル

SeND 配置モデル

単一 CA モデル

IPv6 でのファーストホップ セキュリティの実装方法

IPv6 バインディング テーブルの内容の設定

IPv6 デバイス トラッキングの設定

IPv6 ND 検査の設定

IPv6 ND 検査のグローバル設定

指定したインターフェイスでの IPv6 ND 検査の適用

IPv6 ND 検査の確認とトラブルシューティング

IPv6 RA ガードの設定

指定したインターフェイスでの IPv6 RA ガードの適用

IPv6 RA ガードの確認とトラブルシューティング

IPv6 に対する SeND の設定

証明書サーバによる SeND のイネーブル化の設定

ホストによる SeND のイネーブル化の設定

ルータによる SeND のイネーブル化の設定

IPv6 SeND の実装

SeND パラメータの設定

IPv6 PACL の設定

IPv6 アクセス リストの作成

インターフェイスでの PACL モードの設定および IPv6 PACL の適用

IPv6 でファーストホップ セキュリティを実装するための設定例

例:IPv6 ND 検査および RA ガードの設定

例:RA ガード設定

例:インターフェイスでの PACL モードの設定および IPv6 PACL の適用

例:SeND 設定例

例:証明書サーバの設定

例:ホストによる SeND のイネーブル化の設定

例:ルータによる SeND のイネーブル化の設定

例:ルータ モードでの SeND トラストポイントの設定

例:ホスト モードでの SeND トラスト アンカーの設定

例:インターフェイスにおける CGA アドレス生成の設定

その他の関連資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

IPv6 でファーストホップ セキュリティを実装するための機能情報

用語集

IPv6 でのファーストホップ セキュリティの実装

このマニュアルでは、IPv6 でファーストホップ セキュリティ機能を構成する機能の設定について説明します。

スイッチに接続されている IPv6 ネイバーのデータベース テーブルは、Neighbor Discovery(ND; ネイバー探索)プロトコル スヌーピングなどの情報源から作成されます。このデータベース(またはバインディング)テーブルは、さまざまな IPv6 ガード機能(IPv6 ND 検査、ポート単位のアドレス制限、IPv6 デバイス トラッキングなど)で Link-Layer Address(LLA; リンクレイヤ アドレス)、IPv4 または IPv6 アドレス、ネイバーのプレフィクス バインディングを検証して、スプーフィングとリダイレクト攻撃を防ぐために使用されます。

IPv6 ND 検査は、レイヤ 2 ネイバー テーブルでステートレス自動設定アドレスのバインディングを学習し、保護します。IPv6 ND 検査は、信頼できるバインディング テーブル データベースを構築するためにネイバー探索メッセージを分析します。準拠していない IPv6 ネイバー探索メッセージはドロップされます。

Router Advertisement(RA; ルータ アドバタイズメント)は、リンクで自身をアナウンスするためにルータによって使用されます。IPv6 RA ガードは、これらの RA を分析して、未承認のルータによって送信された偽の RA をフィルタリングして除外できます。

ポート単位のアドレス制限機能を使用すると、オペレータは、スイッチのポートで許可される IPv6 アドレスの最大数を指定できます。この機能は、ポート単位のアドレス制限を超えたアドレスで送信された ND メッセージをフィルタリングして除外することで実行されます。

IPv6 デバイス トラッキングは、IPv6 ホストが非表示になったときにネイバー テーブルを即時に更新できるように、IPv6 ホストの活性トラッキングを提供します。

Cisco IOS ソフトウェアのセキュア ネイバー探索機能は、ND プロトコルの脅威に対処するように設計されています。Secure Neighbor Discovery(SeND; セキュア ネイバー探索)では、一連のネイバー探索オプションと 2 つのネイバー探索メッセージが定義されています。アドレスの所有者を設定する新しい自動設定メカニズムも定義されています。IPv6 PACL 機能は、IPv6 ポートベースの ACL サポートを追加します。

機能情報の確認

ご使用のソフトウェア リリースによっては、この章に記載されている機能の中に、一部サポートされていないものがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「IPv6 でファーストホップ セキュリティを実装するための機能情報」を参照してください。

プラットフォーム サポートと Cisco ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。

IPv6 でファーストホップ セキュリティを実装するための前提条件

IPv6 ネイバー探索機能についての知識が必要です。IPv6 ネイバー探索の詳細については、「 Implementing IPv6 Addressing and Basic Connectivity 」を参照してください。

SeND 機能は、暗号ライブラリの使用を必要とするため、暗号イメージで使用可能です。

IPv6 Port-Based Access List(PACL; ポートベースのアクセス リスト)を使用するには、IPv6 アクセス リストの設定方法を知っている必要があります。IPv6 アクセス リストの設定の詳細については、「 Implementing Traffic Filters and Firewalls for IPv6 Security 」を参照してください。

IPv6 でファーストホップ セキュリティを実装するための制約事項

IPv6 PACL 機能は、入力方向だけでサポートされ、出力方向ではサポートされません。

Cisco IOS Release 12.2(33)SXI4 の RA ガード

RA ガード機能は、IPv6 トラフィックがトンネリングされる環境では保護を行いません。

この機能は、TCAM をプログラミングすることによってハードウェアだけでサポートされます。

この機能は、入力方向のスイッチ ポート インターフェイスだけで設定できます。

この機能ではホスト モードだけがサポートされます。

この機能は、入力方向だけでサポートされます。出力方向ではサポートされません。

この機能は、イーサチャネルでサポートされますが、イーサチャネル ポート メンバではサポートされません。

この機能は、マージ モードのトランク ポートではサポートされません。

この機能は、Auxiliary VLAN および PVLAN でサポートされます。PVLAN の場合は、プライマリ VLAN 機能が継承され、ポート機能とマージされます。

RA ガード機能によってドロップされたパケットはスパンできます。

platform ipv6 acl icmp optimize neighbor-discovery コマンドが設定されている場合は、RA ガード機能の設定は許可されず、エラー メッセージが表示されます。このコマンドは、RA ガードの ICMP エントリを上書きするデフォルトのグローバル ICMP エントリを追加します。

IPv6 でのファーストホップ セキュリティの実装に関する情報

「IPv6 ファーストホップ セキュリティ バインディング テーブル」

「IPv6 デバイス トラッキング」

「IPv6 ポートベースのアクセス リスト サポート」

「IPv6 グローバル ポリシー」

「IPv6 でのセキュア ネイバー探索」

IPv6 ファーストホップ セキュリティ バインディング テーブル

スイッチに接続されている IPv6 ネイバーのデータベース テーブルは、Neighbor Discovery(ND; ネイバー探索)プロトコル スヌーピングなどの情報源から作成されます。このデータベース(またはバインディング)テーブルは、さまざまな IPv6 ガード機能で Link-Layer Address(LLA; リンクレイヤ アドレス)、IPv4 または IPv6 アドレス、ネイバーのプレフィクス バインディングを検証して、スプーフィングとリダイレクト攻撃を防ぐために使用されます。

IPv6 デバイス トラッキング

IPv6 デバイス トラッキング機能は、IPv6 ホストが非表示になったときにネイバー テーブルを即時に更新できるように、IPv6 ホストの活性トラッキングを提供します。この機能は、ネットワーク アクセス権限が非アクティブになったときに取り消すために、レイヤ 2 スイッチ経由で接続されたネイバーの活性を定期的に追跡します。

IPv6 ポートベースのアクセス リスト サポート

IPv6 PACL 機能は、IPv6 トラフィック用の L2 スイッチ ポートでアクセス コントロール(許可または拒否)を提供する機能を備えています。IPv6 PACL は、IPV4 トラフィック用の L2 スイッチ ポートでアクセス コントロールを提供する IPv4 PACL と似ています。これらは、入力方向とハードウェアだけでサポートされます。

PACL は、L3 および L4 ヘッダー情報または非 IP L2 情報に基づいて L2 インターフェイスで入力トラフィックをフィルタリングできます。

IPv6 グローバル ポリシー

IPv6 グローバル ポリシーは、これらのポリシーの保存とアクセスに関する機能にポリシー データベース サービスを提供します。IPv6 ND 検査と IPv6 RA ガードは、IPv6 グローバル ポリシー機能です。ND 検査または RA ガードをグローバルに設定するたびに、ポリシーの属性が、ソフトウェア ポリシー データベースに保存されます。その後ポリシーはインターフェイスに適用され、ポリシーが適用されたこのインターフェイスを含めるためにソフトウェア ポリシー データベース エントリが更新されます。

「IPv6 RA ガード」

「IPv6 ND 検査」

IPv6 RA ガード

IPv6 RA ガードは、ネットワーク スイッチ プラットフォームに到着した不要または不正な RA ガード メッセージをネットワーク管理者がブロックまたは拒否できるようにするためのサポートを提供します。RA は、リンクで自身をアナウンスするためにルータによって使用されます。RA ガード機能は、これらの RA を分析して、未承認のルータによって送信された偽の RA をフィルタリングして除外します。ホスト モードでは、ポートではルータ アドバタイズメントとルータ リダイレクト メッセージはすべて許可されません。RA ガード機能は、L2 デバイスの設定情報を、受信した RA フレームで検出された情報と比較します。L2 デバイスは、RA フレームとルータ リダイレクト フレームの内容を設定と照らし合わせて検証した後で、RA をユニキャストまたはマルチキャストの宛先に転送します。RA フレームの内容が検証されない場合は、RA はドロップされます。

IPv6 ND 検査

IPv6 ND 検査は、レイヤ 2 ネイバー テーブルでステートレス自動設定アドレスのバインディングを学習し、保護します。IPv6 ND 検査は、信頼できるバインディング テーブル データベースを構築するためにネイバー探索メッセージを分析します。準拠していない IPv6 ネイバー探索メッセージはドロップされます。SA ネイバー探索メッセージは、IPv6 から Media Access Control(MAC; メディア アクセス コントロール)へのマッピングが検証可能である場合は信頼できると見なされます。

この機能は、Duplicate Address Detection(DAD; 重複アドレス検出)、アドレス解決、ルータ探索、およびネイバー キャッシュに対する攻撃など、ネイバー探索メカニズムの固有の脆弱性を一部軽減します。

IPv6 ネイバー ディスカバリの信頼モデルと脅威

IPv6 ネイバー ディスカバリの信頼モデルは 3 つあります。これらのモデルについて、次に説明します。

認証されたすべてのノードは、IP レイヤで正しく動作し、偽りの情報が含まれたネイバー ディスカバリまたは Router Discovery(RD; ルータ ディスカバリ)メッセージを送信することはないと互いを信頼しています。このモデルは、ノードが単一の管理下にあり、非公開グループまたは半公開グループを形成する状況にあることを表します。このモデルの例として、企業イントラネットがあります。

ネットワーク内の他のノードによって信頼されるルータが正規のルータとなり、ローカル ネットワークと接続された外部ネットワークの間でパケットをルーティングします。このルータは、IP レイヤで正しく動作し、偽りの情報が含まれたネイバー ディスカバリまたは RD メッセージを送信することはないと信頼されています。このモデルは、オペレータによってパブリック ネットワークが運用されていることを表します。クライアントは、オペレータに対して支払いを行うことでオペレータのクレデンシャルを受け取ります。オペレータが IP 転送サービスを提供するとクライアントは信頼しています。クライアントは、互いのことを正しく動作すると信頼していません。他のクライアント ノードは偽りのネイバー ディスカバリおよび RD メッセージを送信する可能性があると見なされます。

ノードが IP レイヤで相互に直接信頼しないモデル。このモデルは、信頼されたネットワーク オペレータが利用できない場合に適していると考えられます。

同じリンクのノードが ND を使用して、互いの存在とリンクレイヤ アドレスを検出して、ルータを検索し、アクティブなネイバーへのパスに関する到着可能性情報を維持します。ND は、ホストとルータの両方によって使用されます。初期の ND 仕様では、IPsec を使用して ND メッセージを保護していました。ただし、IPsec の使用に関する使用可能な詳細な指示は少ししかありません。ND を保護するために必要な手動で設定されたセキュリティ アソシエーションの数は非常に多くなることがあり、これによって、ほとんどの目的でこの方法は役に立たなくなります。このような脅威を考慮し、排除する必要があります。

SeND プロトコル

SeND プロトコルは ND の脅威に対処します。これは、一連の新しい ND オプションと、2 つの新しい ND メッセージ(Certification Path Solicitation(CPS; 認証パス請求)と Certification Path Answer(CPA))を定義します。新しい自動設定メカニズムも定義されており、そのメカニズムを新しい ND オプションと組み合せてアドレスの所有者を設定できます。

SeND は、ND を保護するために次の項で定義されているメカニズムを定義します。

「SeND での暗号化生成アドレス」

「権限委任ディスカバリ」

SeND での暗号化生成アドレス

Cryptographically Generated Address(CGA; 暗号化生成アドレス)は、公開キーと補助パラメータの暗号ハッシュから生成された IPv6 アドレスです。これにより、SeND プロトコルで暗号公開キーを IPv6 アドレスに安全に関連付けることができます。

まず、CGA アドレスを生成するノードで Rivest, Shamir, and Adelman(RSA; Rivest、Shamir、および Adelman)キー ペア(SeND では RSA の公開キーと秘密キーのペアを使用)を取得する必要があります。次に、ノードはインターフェイス ID 部分(右端の 64 ビット)を計算し、その結果をプレフィクスに付加して CGA アドレスを形成します。

CGA アドレスの生成は、ワンタイム イベントです。有効な CGA はスプーフィングできず、それに関連付けられた受信 CGA パラメータは再利用されます。これは、メッセージには、アドレスの所有者だけが持っている CGA の生成に使用された公開キーに一致する秘密キーで署名する必要があるからです。

シグニチャのライフタイムには制限があるため、ユーザは、CGA アドレス、CGA パラメータ、および CGA シグニチャを含む完全な SeND メッセージを再送できません。

権限委任ディスカバリ

権限委任ディスカバリは、トラスト アンカーを使用したルータの権限の認証に使用します。トラスト アンカーは、ホストが信頼する第三者であり、ルータにはトラスト アンカーへの認証パスがあります。基本的なレベルでは、ルータはトラスト アンカーによって認証されます。複雑な環境では、ルータはトラスト アンカーによって認証されたユーザによって認証されます。ルータ アイデンティティ(またはノードがルータとして機能するための権限)を認証する以外に、認証パスには、ルータがルータ アドバタイズメントでアドバタイズできるプレフィクスに関する情報が含まれます。権限委任ディスカバリを使用すると、ノードはルータをデフォルト ルータとして採用できます。

トラスト アンカーのないホスト間配置

ホスト間への SeND の配置は単純です。ホストは、トラスト アンカーを使用して送信元の権限を確立するのではなく、RSA キー ペアをローカルに生成し、CGA アドレスを自動設定して、送信元の権限を検証します。図 1 に、このモデルを示します。

図 1 ホスト間配置モデル

ネイバー請求フロー

ネイバー請求シナリオでは、ホストおよびホスト モードのルータは、ネイバー請求とネイバー アドバタイズメントを交換します。これらのネイバー請求とネイバー アドバタイズメントは、CGA アドレスと CGA オプションで保護され、ナンス、タイムスタンプ、および RSA ネイバー ディスカバリ オプションが含まれます。図 2 に、このシナリオを示します。

図 2 ネイバー請求フロー

ホストとルータ間の配置モデル

多くの場合、ホストは証明書を取得したりアナウンスしたりできるインフラストラクチャにアクセスできません。このような場合、ホストは CGA を使用して関係を保護し、トラスト アンカーを使用してルータとの関係を保護します。RA を使用する場合は、SeND は、ルータをトラスト アンカーによって認証することを要求します。図 3 に、このシナリオを示します。

図 3 ホストとルータ間の配置モデル

ルータ アドバタイズメントと認証パスのフロー

図 4 に、認証パス請求の CPS/CPA SeND メッセージを使用して実行される証明書交換を示します。この図では、ルータ R は X.509 証明書を使用して独自の CA(証明書 CR)によって認証されます。CA 自体(CA2)は、独自の CA(証明書 C2)によって認証され、最終的にはホストが信頼する CA(CA0)によって認証されます。証明書 CR には、RFC 3779 に従った IP 拡張が含まれており、ルータ R が RA でアナウンスできるプレフィクス範囲が記述されています。CA2 によって認証されるこのプレフィクス範囲は、CA1 によって認証される CA2 独自の範囲のサブセットです。証明書チェーンの受信時の検証プロセスでは、証明書チェーンおよび入れ子になったプレフィクス範囲の一貫性が検証されます。

図 4 ルータ アドバタイズメントと認証パスのフロー

単一 CA モデル

図 3 に示す配置モデルは、ホストとルータの両方がシスコの Certification Server(CS; 証明書サーバ)などの単一の CA を信頼する環境で簡略化できます。図 5 に、このモデルを示します。

図 5 単一 CA 配置モデル

IPv6 でのファーストホップ セキュリティの実装方法

「IPv6 バインディング テーブルの内容の設定」

「IPv6 デバイス トラッキングの設定」

「IPv6 ND 検査の設定」

「IPv6 RA ガードの設定」

「IPv6 に対する SeND の設定」

「IPv6 PACL の設定」

IPv6 バインディング テーブルの内容の設定

手順の概要

1. enable

2. configure terminal

3. ipv6 neighbor binding vlan vlan-id { interface type number | ipv6-address | mac-address } [ tracking [ disable | enable | retry-interval value ] | reachable-lifetime value ]

4. ipv6 neighbor binding max-entries entries [ vlan-limit number | interface-limit number | mac-limit number ]

5. ipv6 neighbor binding logging

6. exit

7. show ipv6 neighbor binding [ vlan vlan-id | interface type number | ipv6 ipv6-address | mac mac-address ]

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ipv6 neighbor binding vlan vlan-id { interface type number | ipv6-address | mac-address } [ tracking [ disable | enable | retry-interval value ] | reachable-lifetime value ]

 

Router(config)# ipv6 neighbor binding reachable-entries 100

バインディング テーブル データベースにスタティック エントリを追加します。

ステップ 4

ipv6 neighbor binding max-entries entries [ vlan-limit number | interface-limit number | mac-limit number ]

 

Router(config)# ipv6 neighbor binding max-entries

バインディング テーブル キャッシュに挿入できるエントリの最大数を指定します。

ステップ 5

ipv6 neighbor binding logging

 
Router(config)# ipv6 neighbor binding logging

バインディング テーブル メイン イベントのロギングをイネーブルにします。

ステップ 6

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了して、ルータを特権 EXEC モードにします。

ステップ 7

show ipv6 neighbor binding [ vlan vlan-id | interface type number | ipv6 ipv6-address | mac mac-address ]

 

Router# show ipv6 neighbor binding

バインディング テーブルの内容を表示します。

IPv6 デバイス トラッキングの設定

IPv6 デバイス トラッキング機能のバインディング テーブルでエントリのライフサイクルを細かく制御するには、次の作業を実行します。この機能は Cisco IOS Release 12.2(50)SY で使用可能です。IPv6 デバイス トラッキングが機能するには、バインディング テーブルにデータを入力する必要があります(「IPv6 バインディング テーブルの内容の設定」を参照)。

手順の概要

1. enable

2. configure terminal

3. ipv6 neighbor tracking [ retry-interval value ]

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ipv6 neighbor tracking [ retry-interval value ]

 

Router(config)# ipv6 neighbor tracking

この機能の順序でエントリを追跡します。

IPv6 ND 検査のグローバル設定

手順の概要

1. enable

2. configure terminal

3. ipv6 nd inspection policy policy-name

4. drop-unsecure

5. sec-level minimum value

6. device-role { host | monitor | router }

7. tracking { enable [ reachable-lifetime { value | infinite }] | disable [ stale-lifetime { value | infinite }]}

8. trusted-port

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ipv6 nd inspection policy policy-name

 

Router(config)# ipv6 nd inspection policy policy1

ND 検査ポリシー名を定義して、ルータを ND 検査ポリシー コンフィギュレーション モードにします。

ステップ 4

drop-unsecure

 

Router(config-nd-inspection)# drop-unsecure

オプションが指定されていないか無効なオプションが指定されているか、またはシグニチャが無効なメッセージをドロップします。

ステップ 5

sec-level minimum value

 

Router(config-nd-inspection)# sec-level minimum 2

CGA オプションを使用する場合の最小のセキュリティ レベル パラメータ値を指定します。

ステップ 6

device-role { host | monitor | router }

 

Router(config-nd-inspection)# device-role monitor

ポートに接続されているデバイスのロールを指定します。

ステップ 7

tracking { enable [ reachable-lifetime { value | infinite }] | disable [ stale-lifetime { value | infinite }]}

 

Router(config-nd-inspection)# tracking disable stale-lifetime infinite

ポートでデフォルトのトラッキング ポリシーを上書きします。

ステップ 8

trusted-port

 

Router(config-nd-inspection)# trusted-port

信頼できるポートにするポートを設定します。

指定したインターフェイスでの IPv6 ND 検査の適用

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ipv6 nd inspection [ attach-policy [ policy policy-name ] | vlan { add | except | none | remove | all } vlan [ vlan1, vlan2, vlan3 ...]]]

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface fastethernet 0/0

インターフェイス タイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードに設定します。

ステップ 4

ipv6 nd inspection [ attach-policy [ policy policy-name ] | vlan { add | except | none | remove | all } vlan [ vlan1, vlan2, vlan3 ...]]]

 
Router(config-if)# ipv6 nd inspection

インターフェイスで ND 検査機能を適用します。

IPv6 ND 検査の確認とトラブルシューティング

手順の概要

1. enable

2. show ipv6 snooping capture-policy [ interface type number ]

3. show ipv6 snooping counters [ interface type number ]

4. show ipv6 snooping features

5. show ipv6 snooping policies [ interface type number ]

6. debug ipv6 snooping [ binding-table | classifier | errors | feature-manager | filter acl | ha | hw-api | interface interface | memory | ndp-inspection | policy | vlan vlanid | switcher | filter acl | interface interface | vlanid ]

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ipv6 snooping capture-policy [ interface type number ]

 
Router# show ipv6 snooping capture-policy interface ethernet 0/0

スヌーピング ND メッセージ キャプチャ ポリシーを表示します。

ステップ 3

show ipv6 snooping counter [ interface type number ]

 
Router# show ipv6 snooping counters interface Fa4/12

インターフェイス カウンタによってカウントされたパケットに関する情報を表示します。

ステップ 4

show ipv6 snooping features

 
Router# show ipv6 snooping features

ルータに設定されているスヌーピング機能に関する情報を表示します。

ステップ 5

show ipv6 snooping policies [ interface type number ]

 
Router# show ipv6 snooping policies

設定されているポリシーと、ポリシーが接続されているインターフェイスに関する情報を表示します。

ステップ 6

debug ipv6 snooping [ binding-table | classifier | errors | feature-manager | filter acl | ha | hw-api | interface interface | memory | ndp-inspection | policy | vlan vlanid | switcher | filter acl | interface interface | vlanid ]

 
Router# debug ipv6 snooping

IPv6 でスヌーピング情報のデバッグをイネーブルにします。

指定したインターフェイスでの IPv6 RA ガードの適用

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ipv6 nd raguard attach-policy [ policy-name [ vlan { add | except | none | remove | all } vlan [ vlan1, vlan2, vlan3 ...]]]

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Gigabit 0/0

インターフェイス タイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードに設定します。

ステップ 4

ipv6 nd raguard attach-policy [ policy-name [ vlan { add | except | none | remove | all } vlan [ vlan1, vlan2, vlan3 ...]]]

 
Router(config-if)# ipv6 nd raguard attach-policy

指定したインターフェイスで RA ガード機能を適用します。

Cisco IOS Release 12.2(33)SXI4 および 12.2(54)SG での IPv6 RA ガードの設定

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ipv6 nd raguard

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface fastethernet 0/0

インターフェイス タイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードに設定します。

ステップ 4

ipv6 nd raguard

 

Router(config-if)# ipv6 nd raguard

IPv6 RA ガード機能を適用します。

IPv6 RA ガードの確認とトラブルシューティング

手順の概要

1. enable

2. show ipv6 nd raguard policy [ policy-name ]

3. debug ipv6 snooping raguard [ filter | interface | vlanid ]

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ipv6 nd raguard policy [ policy-name ]

 
Router# show ipv6 nd raguard policy raguard1

RA ガードを使用して設定されているすべてのインターフェイスで RA ガード ポリシーを表示します。

ステップ 3

debug ipv6 snooping raguard [ filter | interface | vlanid ]

 
Router# debug ipv6 snooping raguard

IPv6 RA ガード機能でスヌーピング情報のデバッグをイネーブルにします。

IPv6 に対する SeND の設定

証明書サーバは、キー ペアの検証および認証後に証明書を許可するために使用されます。SeND の配置では、証明書を許可するためのツールが必須です。Linux 上の Open Secure Sockets Layer(OpenSSL)など、証明書の許可に使用できるツールは多数あります。ただし、IP 拡張を含む証明書の許可をサポートする証明書サーバはごく少数です。Cisco IOS 証明書サーバは、IP 拡張を含む証明書などのあらゆる種類の証明書をサポートします。

SeND はホスト モードで使用できます。ホストで使用できる機能は、SeND 機能のサブセットです。CGA は完全に使用可能であり、プレフィクス権限委任は CPS の送信と CPA の受信を行うホスト側でサポートされます。

SeND を実装するには、ホストに次のパラメータを設定します。

インターフェイス上の CGA アドレスの生成に使用する RSA キー ペア。

RSA キー ペアを使用して計算される SeND 修飾子。

SeND インターフェイス上のキー。

SeND インターフェイス上の CGA。

コンテンツが最小限の Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)トラストポイント。たとえば、証明書サーバの URL。トラスト アンカーの証明書をホスト上でプロビジョニングする必要があります。

SeND はルータ モードでも使用できます。 ipv6 unicast-routing コマンドを使用すると、ノードをルータに設定できます。SeND を実装するには、ルータにホストと同じ要素を設定します。ルータは証明書サーバから独自の証明書を取得する必要があります。証明書サーバから証明書を取得するために、トラストポイントの RSA キーと所有者名が使用されます。証明書を取得してアップロードすると、ルータは証明書サーバに対する証明書要求を生成し、証明書をインストールします。

ホストまたはルータで SeND を設定する前に、次の操作を実行する必要があります。

ホストに 1 つ以上のトラスト アンカーを設定します。

ホストに RSA キー ペアを設定するか、RSA キー ペアをローカルに生成する機能を設定します。トラスト アンカーを通じて独自の権限を設定していないホストの場合、これらのキーは CA によって認証されません。

ルータに RSA キーと対応する証明書チェーンを設定するか、またはチェーンのあるレベルでホストのトラスト アンカーに一致するこれらの証明書チェーンを取得する機能を設定します。

ホストとルータは、起動時に CGA を取得するか、または生成する必要があります。一般的に、ルータは CGA を自動設定して(CGA 操作で使用したキー ペアとともに)永続的なストレージに保存します。少なくとも、SeND インターフェイス上のリンクローカル アドレスを CGA にする必要があります。また、グローバル アドレスを CGA にすることができます。

「証明書サーバによる SeND のイネーブル化の設定」

「ホストによる SeND のイネーブル化の設定」

「ルータによる SeND のイネーブル化の設定」

証明書サーバによる SeND のイネーブル化の設定

SeND パラメータを設定する前に、ホストとルータに RSA キー ペアと対応する証明書チェーンを設定する必要があります。証明書を許可するように証明書サーバを設定するには、次の作業を実行します。証明書サーバを設定したら、証明書サーバの他のパラメータを設定できます。

手順の概要

1. enable

2. configure terminal

3. ip http server

4. crypto pki trustpoint name

5. ip-extension [ multicast | unicast ] { inherit [ ipv4 | ipv6 ] | prefix ipaddress | range min-ipaddress max-ipaddress }

6. revocation-check {[ crl ] [ none ] [ ocsp ]}

7. exit

8. crypto pki server name

9. grant auto

10. cdp-url url-name

11. no shutdown

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip http server

 

Router(config)# ip http server

HTTP サーバを設定します。

ステップ 4

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint CA

(任意)証明書サーバが使用するトラストポイントを宣言し、CA トラストポイント コンフィギュレーション モードを開始します。

X.509 IP 拡張を使用する場合は、このコマンドを使用します。CS トラストポイントを自動的に生成する場合は、 ステップ 8 に移動します。

ステップ 5

ip-extension [ multicast | unicast ] { inherit [ ipv4 | ipv6 ] | prefix ipaddress | range min-ipaddress max-ipaddress }

 

Router(ca-trustpoint)# ip-extension prefix 2001:100::/32

(任意)Cisco IOS CA の Certificate Authority(CA; 認証局)の登録または生成の証明書要求に IP 拡張を含めることを指定します。

ステップ 6

revocation-check {[ crl ] [ none ] [ ocsp ]}

 

Router(ca-trustpoint)# revocation-check crl

(任意)1 つ以上の失効チェック方式を設定します。

ステップ 7

exit

 

Router(ca-trustpoint)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 8

crypto pki server name

 

Router(config)# crypto pki server CA

PKI サーバを設定し、ルータをサーバ コンフィギュレーション モードにします。

ステップ 9

grant auto

 

Router(config-server)# grant auto

(任意)すべての証明書要求を自動的に許可します。

ステップ 10

cdp-url url-name

 

Router(config-server)# cdp-url http://209.165.202.129/CA.crl

(任意)ホストで Certificate Revocation List(CRL; 証明書失効リスト)を使用する場合は、URL 名を設定します。

ステップ 11

no shutdown

 

Router(config-server)# no shutdown

証明書サーバをイネーブルにします。

ホストによる SeND のイネーブル化の設定

SeND はホスト モードで使用できます。ホスト モードで SeND パラメータを設定する前に、まず次のコマンドを使用してホストを設定します。ホストを設定したら、そのホストで SeND パラメータを設定できます。

手順の概要

1. enable

2. configure terminal

3. crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename : ] [ on devicename : ]

4. ipv6 cga modifier rsakeypair key-label sec-level { 0 | 1 }

5. crypto pki trustpoint name

6. enrollment [ mode ] [ retry period minutes ] [ retry count number ] url url [ pem ]

7. revocation-check {[crl] [none] [ocsp]}

8. exit

9. crypto pki authenticate name

10. ipv6 nd secured sec-level minimum value

11. interface type number

12. ipv6 cga rsakeypair key-label

13. ipv6 address ipv6-address / prefix-length link-local cga

14. ipv6 nd secured trustanchor trustanchor-name

15. ipv6 nd secured timestamp { delta value | fuzz value }

16. exit

17. ipv6 nd secured full-secure

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Host> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Host# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename : ] [ on devicename : ]

 

Host(config)# crypto key generate rsa label SEND modulus 1024

RSA キーを設定します。

ステップ 4

ipv6 cga modifier rsakeypair key-label sec-level { 0 | 1 }

 

Host(config)# ipv6 cga modifier rsakeypair SEND sec-level 1

SeND で RSA キーを使用できるようにします(修飾子を生成します)。

ステップ 5

crypto pki trustpoint name

 

Host(config)# crypto pki trustpoint SEND

ノードのトラストポイントを指定し、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 6

enrollment [ mode ] [ retry period minutes ] [ retry count number ] url url [pem]

 

Host(ca-trustpoint)# enrollment url http://209.165.200.254

CA の登録パラメータを指定します。

ステップ 7

revocation-check {[crl] [none] [ocsp]}

 

Host(ca-trustpoint)# revocation-check none

1 つ以上の失効チェック方式を設定します。

ステップ 8

exit

 

Host(ca-trustpoint)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 9

crypto pki authenticate name

 

Host(config)# crypto pki authenticate SEND

CA の証明書を取得して、認証局を認証します。

ステップ 10

ipv6 nd secured sec-level minimum value

 

Host(config)# ipv6 nd secured sec-level minimum 1

(任意)CGA を設定します。

セキュリティ レベルやキー サイズなどの追加パラメータを指定できます。

例では、ピアによって受け入れられるセキュリティ レベルが設定されています。

ステップ 11

interface type number

 

Host(config)# interface fastethernet 0/0

インターフェイスのタイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードにします。

ステップ 12

ipv6 cga rsakeypair key-label

 

Host(config-if)# ipv6 cga rsakeypair SEND

(任意)インターフェイス上の CGA を設定します。

ステップ 13

ipv6 address ipv6-address / prefix-length link-local cga

 

Host(config-if)# ipv6 address FE80::260:3EFF:FE11:6770/23 link-local cga

インターフェイスの IPv6 リンクローカル アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。

ステップ 14

ipv6 nd secured trustanchor trustanchor-name

 

Host(config-if)# ipv6 nd secured trustanchor SEND

(任意)証明書の検証に使用するトラスト アンカーを設定します。

ステップ 15

ipv6 nd secured timestamp { delta value | fuzz value }

 

Host(config-if)# ipv6 nd secured timestamp delta 300

(任意)タイミング パラメータを設定します。

ステップ 16

exit

 

Host(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 17

ipv6 nd secured full-secure

 

Host(config)# ipv6 nd secured full-secure

(任意)全般的な SeND パラメータを設定します。

例では、SeND にセキュア モードが設定されています。

ルータによる SeND のイネーブル化の設定

SeND はルータ モードで使用できます。ルータ モードで SeND パラメータを設定する前に、次の作業を実行します。ルータを設定したら、そのルータで SeND パラメータを設定できます。

手順の概要

1. enable

2. configure terminal

3. crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename : ] [ on devicename : ]

4. ipv6 cga modifier rsakeypair key-label sec-level { 0 | 1 }

5. crypto pki trustpoint name

6. subject-name [ attr tag ] [ eq | ne | co | nc ] string

7. rsakeypair key-label

8. revocation-check {[ crl ] [ none ] [ ocsp ]}

9. exit

10. crypto pki authenticate name

11. crypto pki enroll name

12. ipv6 nd secured sec-level [ minimum value ]

13. interface type number

14. ipv6 cga rsakeypair key-label

15. ipv6 address ipv6-address / prefix-length link-local cga

16. ipv6 nd secured trustanchor trustanchor-name

17. ipv6 nd secured timestamp { delta value | fuzz value }

18. exit

19. ipv6 nd secured full-secure

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename: ] [ on devicename: ]

 

Router(config)# crypto key generate rsa label SEND modulus 1024

RSA キーを設定します。

ステップ 4

ipv6 cga modifier rsakeypair key-label sec-level { 0 | 1 }

 

Router(config)# ipv6 cga modifier rsakeypair SEND sec-level 1

SeND で RSA キーを使用できるようにします(修飾子を生成します)。

ステップ 5

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint SEND

単一階層または複数階層の CA の PKI を設定し、ルータのトラストポイントを指定して、ルータを CA トラストポイント コンフィギュレーション モードにします。

ステップ 6

subject-name [ attr tag ][ eq | ne | co | nc ] string

 

Router(ca-trustpoint)# subject-name C=FR, ST=PACA, L=Example, O=Cisco, OU=NSSTG, CN=router

ルール エントリを作成します。

ステップ 7

rsakeypair key-label

 

Router(ca-trustpoint)# rsakeypair SEND

SeND の RSA キー ペアをバインドします。

ステップ 8

revocation-check {[ crl ] [ none ] [ ocsp ]}

 

Router(ca-trustpoint)# revocation-check none

1 つ以上の失効チェック方式を設定します。

ステップ 9

exit

 

host(ca-trustpoint)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 10

crypto pki authenticate name

 

host(config)# crypto pki authenticate SEND

CA の証明書を取得して、認証局を認証します。

ステップ 11

crypto pki enroll name

 

Router(config)# crypto pki enroll SEND

CA からルータの証明書を取得します。

ステップ 12

ipv6 nd secured sec-level minimum value

 

Router(config)# ipv6 nd secured sec-level minimum 1

(任意)CGA を設定し、セキュリティ レベルやキー サイズなどの追加パラメータを指定します。

例では、SeND がピアから受け入れる最小セキュリティ レベルが設定されています。

ステップ 13

interface type number

 

Router(config)# interface fastethernet 0/0

インターフェイスのタイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードにします。

ステップ 14

ipv6 cga rsakeypair key-label

 

Router(config-if)# ipv6 cga rsakeypair SEND

(任意)インターフェイス上の CGA を設定します。

例では、OGA が生成されます。

ステップ 15

ipv6 address ipv6-address / prefix-length link-local cga

 

Router(config-if)# ipv6 address fe80::link-local cga

インターフェイスの IPv6 リンクローカル アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。

ステップ 16

ipv6 nd secured trustanchor trustpoint-name

 

Router(config-if)# ipv6 nd secured trustanchor SEND

(任意)証明書の検証に使用するトラスト アンカーを設定します。

ステップ 17

ipv6 nd secured timestamp { delta value | fuzz value }

 

Router(config-if)# ipv6 nd secured timestamp delta 300

(任意)タイミング パラメータを設定します。

ステップ 18

exit

 

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 19

ipv6 nd secured full-secure

 

Router(config)# ipv6 nd secured full-secure

(任意)セキュア モードや認可方式などの全般的な SeND パラメータを設定します。

例では、SeND セキュリティ モードをイネーブルにしています。

RSA キー ペアとそのキー ペアの CGA 修飾子の作成

手順の概要

1. enable

2. configure terminal

3. crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename : ] [ on devicename : ]

4. ipv6 cga modifier rsakeypair key-label sec-level { 0 | 1 }

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename : ] [ on devicename : ]

 

Router(config)# crypto key generate rsa label SeND

RSA キー ペアを生成します。

ステップ 4

ipv6 cga modifier rsakeypair key-label sec-level { 0 | 1 }

 

Router(config)# ipv6 cga modifier rsakeypair SeND sec-level 1

指定した RSA キーの CGA 修飾子を生成します。これにより、キーを SeND で使用できるようになります。

PKI の証明書登録の設定

証明書登録は、CA から証明書を取得するプロセスであり、証明書を要求するエンド ホストと CA の間で行われます。PKI に参加する各ピアは、CA に登録する必要があります。IPv6 では、デバイス証明書を自動的または手動で登録できます。

手順の概要

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. subject-name [ x.500-name ]

5. enrollment [ mode ] [ retry period minutes ] [ retry count number ] url url [ pem ]

6. serial-number [ none ]

7. auto-enroll [ percent ] [ regenerate ]

8. password string

9. rsakeypair key-label [ key-size [ encryption-key-size ]]

10. fingerprint ca-fingerprint

11. ip-extension [ multicast | unicast ] { inherit [ ipv4 | ipv6 ] | prefix ipaddress | range min-ipaddress max-ipaddress }

12. exit

13. crypto pki authenticate name

14. exit

15. copy [ /erase ] [ /verify | /noverify ] source-url destination-url

16. show crypto pki certificates

17. show crypto pki trustpoints [ status | label [ status ]]

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint trustpoint1

ルータで使用するトラストポイントを宣言し、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 4

subject-name [ x.500-name ]

 

Router(ca-trustpoint)# subject-name name1

証明書要求の所有者名を指定します。

ステップ 5

enrollment [ mode ] [ retry period minutes ] [ retry count number ] url url [ pem ]

 

Router(ca-trustpoint)# enrollment url http://name1.example.com

ルータが証明書要求を送信する CA の URL を指定します。

ステップ 6

serial-number [ none ]

 

Router(ca-trustpoint)# serial-number

(任意)証明書要求のルータのシリアル番号を指定します。

ステップ 7

auto-enroll [ percent ] [ regenerate ]

 

Router(ca-trustpoint)# auto-enroll

(任意)自動登録をイネーブルにします。これにより、CA から自動的にルータ証明書を要求できます。

ステップ 8

password string

 

Router(ca-trustpoint)# password password1

(任意)証明書の失効パスワードを指定します。

ステップ 9

rsakeypair key-label [ key-size [ encryption-key-size ]]

 

Router(ca-trustpoint)# rsakeypair SEND

証明書に関連付けるキー ペアを指定します。

ステップ 10

fingerprint ca-fingerprint

 

Router(ca-trustpoint)# fingerprint 12EF53FA 355CD23E 12EF53FA 355CD23E

(任意)認証時に CA 証明書のフィンガープリントと照合するフィンガープリントを指定します。

ステップ 11

ip-extension [ multicast | unicast ] { inherit [ ipv4 | ipv6 ] | prefix ipaddress | range min-ipaddress max-ipaddress }

 

Router(ca-trustpoint)# ip-extension unicast prefix 2001:100:1://48

IP 拡張(IPv6 プレフィクスまたは範囲)を追加して、ルータがアドバタイズできるプレフィクス リストを確認します。

ステップ 12

exit

 

Router(ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 13

crypto pki authenticate name

 

Router(config)# crypto pki authenticate name1

CA 証明書を取得し、認証します。

CA 証明書がコンフィギュレーションにすでにロードされている場合、このコマンドはオプションです。

ステップ 14

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 15

copy [ / erase ] [ / verify | / noverify ] source-url destination-url

 

Router# copy system:running-config nvram:startup-config

(任意)実行コンフィギュレーションを NVRAM スタートアップ コンフィギュレーションにコピーします。

ステップ 16

show crypto pki certificates

 

Router# show crypto pki certificates

(任意)証明書、CA の証明書、および RA 証明書に関する情報を表示します。

ステップ 17

show crypto pki trustpoints [ status | label [ status ]]

 

Router# show crypto pki trustpoints name1

(任意)ルータに設定されているトラストポイントを表示します。

全般的な CGA パラメータの設定

手順の概要

1. enable

2. configure terminal

3. ipv6 nd secured sec-level [ minimum value ]

4. ipv6 nd secured key-length [[ minimum | maximum ] value ]

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ipv6 nd secured sec-level [ minimum value ]

 

Router(config)# ipv6 nd secured sec-level minimum 1

SeND セキュリティ レベルを設定します。

ステップ 4

ipv6 nd secured key-length [[ minimum | maximum ] v alue ]

 

Router(config)# ipv6 nd secured key-length minimum 512

SeND key-length オプションを設定します。

インターフェイスにおける CGA アドレス生成の設定

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ipv6 cga rsakeypair key-label

5. ipv6 address { ipv6-address / prefix-length [ cga ] | prefix-name sub-bits / prefix-length [ cga ]}

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet 0/0

インターフェイスのタイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードにします。

ステップ 4

ipv6 cga rsakeypair key-label

 

Router(config-if)# ipv6 cga rsakeypair SEND

指定したインターフェイスで使用する RSA キー ペアを指定します。

ステップ 5

ipv6 address { ipv6-address / prefix-length [ cga ] | prefix-name sub-bits / prefix-length [ cga ]}

 

Router(config-if)# ipv6 address 2001:0DB8:1:1::/64 cga

IPv6 の一般的なプレフィクスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。

cga キーワードを指定すると、CGA アドレスが生成されます。

コマンドを使用して、CGA リンクローカル アドレスを設定する必要があります。

SeND トラストポイントの設定

ルータ モードで、インターフェイスで CGA アドレスを生成するために使用されるキー ペアを、CA と、SeND プロトコル経由でオンデマンドで送信された証明書によって認証する必要があります。1 つの RSA キー ペアおよび関連付けられた証明書があれば SeND は動作できます。ただし、ユーザは異なるラベルで識別される複数のキーを使用する場合があります。SeND と CGA は、キーをラベルで直接参照するか、またはトラストポイントで間接的に参照します。

SeND をトラストポイントにバインドするには、複数の手順が必要になります。最初に、キー ペアが生成されます。次に、デバイスがこのキー ペアをトラストポイントで参照して、SeND インターフェイス設定はトラストポイントを指します。複数の手順が必要になる理由は、次の 2 つです。

同じキー ペアを複数の SeND インターフェイスで使用できる。

トラストポイントには、SeND で権限委任の実行に必要な証明書などの追加情報が含まれる。

参照されるトラストポイント用に CA 証明書をアップロードする必要があります。参照されるトラストポイントは、実際にはトラスト アンカーです。

特定のインターフェイスに対して、同じ RSA キーを指す複数のトラストポイントを設定できます。この機能は、ホストごとにトラスト アンカー(つまり、ホストが信頼する CA)が異なる場合に便利です。ルータは、ホストが信頼する CA によって署名された証明書を各ホストに提供できます。

手順の概要

1. enable

2. configure terminal

3. crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename : ] [ on devicename : ]

4. ipv6 cga modifier rsakeypair key-label sec-level { 0 | 1 }

5. crypto pki trustpoint name

6. subject-name [ x.500-name ]

7. rsakeypair key-label [ key-size [ encryption-key-size ]]

8. enrollment terminal [ pem ]

9. ip-extension [ multicast | unicast ] { inherit [ ipv4 | ipv6 ] | prefix ipaddress | range min-ipaddress max-ipaddress }

10. exit

11. crypto pki authenticate name

12. crypto pki enroll name

13. crypto pki import name certificate

14. interface type number

15. ipv6 nd secured trustpoint trustpoint-name

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto key generate rsa [ general-keys | usage-keys | signature | encryption ] [ label key-label ] [ exportable ] [ modulus modulus-size ] [ storage devicename : ] [ on devicename : ]

 

Router(config)# crypto key generate rsa label SEND

RSA キー ペアを生成します。

ステップ 4

ipv6 cga modifier rsakeypair key-label sec-level { 0 | 1 }

 

Router(config)# ipv6 cga modifier rsakeypair SEND sec-level 1

指定した RSA キーの CGA 修飾子を生成します。これにより、キーを SeND で使用できるようになります。

ステップ 5

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint trustpoint1

ルータで使用するトラストポイントを宣言し、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 6

subject-name [ x.500-name ]

 

Router(ca-trustpoint)# subject-name name1

証明書要求の所有者名を指定します。

ステップ 7

rsakeypair key-label [ key-size [ encryption-key-size ]]

 

Router(ca-trustpoint)# rsakeypair SEND

証明書に関連付けるキー ペアを指定します。

ステップ 8

enrollment terminal [ pem ]

 

Router(ca-trustpoint)# enrollment terminal

カットアンドペーストによる手動での証明書登録を指定します。

ステップ 9

ip-extension [ multicast | unicast ] { inherit [ ipv4 | ipv6 ] | prefix ipaddress | range min-ipaddress max-ipaddress }

 

Router(ca-trustpoint)# ip-extension unicast prefix 2001:100:1://48

IP 拡張をルータ証明書要求に追加します。

ステップ 10

exit

 

Router(ca-trustpoint)# exit

CA トラストポイント コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 11

crypto pki authenticate name

 

Router(config)# crypto pki authenticate trustpoint1

CA の証明書を取得して、認証局を認証します。

ステップ 12

crypto pki enroll name

 

Router(config)# crypto pki enroll trustpoint1

CA からルータの証明書を取得します。

ステップ 13

crypto pki import name certificate

 

Router(config)# crypto pki import trustpoint1 certificate

証明書を TFTP によって手動でインポートするか、端末でカットアンドペーストによってインポートします。

ステップ 14

interface type number

 

Router(config)# interface Ethernet 0/0

インターフェイスのタイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードにします。

ステップ 15

ipv6 nd secured trustpoint trustpoint-name

 

Router(config-if)# ipv6 nd secured trustpoint trustpoint1

インターフェイスに対して SeND をイネーブルにし、使用するトラストポイントを指定します。

インターフェイスの SeND トラスト アンカーの設定

この作業は、ホスト モードでだけ実行できます。ホストに 1 つ以上のトラスト アンカーを設定する必要があります。SeND がインターフェイス上のトラストポイントにバインドされるとすぐに(「SeND トラストポイントの設定」を参照)、このトラストポイントはトラスト アンカーになります。

トラスト アンカーの設定は、次の項目で構成されます。

公開キーのシグニチャ アルゴリズムおよび関連付けられている公開キー(パラメータが含まれている場合があります)

名前

オプションの公開キー ID

トラスト アンカーが許可されるアドレス範囲のオプション リスト

PKI はすでに設定されているため、トラスト アンカーの設定は、SeND を 1 つまたは複数の PKI トラストポイントにバインドすることによって完了します。PKI は、必要なパラメータ(名前、キーなど)が含まれる、対応する証明書のアップロードに使用されます。

インターフェイスでトラスト アンカーを設定するには、次の任意の作業を実行します。この作業を実行すると、証明書の要求時に CPS にリストされるトラスト アンカーを選択できます。トラスト アンカーを設定しない場合は、ホストに設定されているすべての PKI トラストポイントが考慮されます。

手順の概要

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. enrollment terminal [ pem ]

5. exit

6. crypto pki authenticate name

7. interface type number

8. ipv6 nd secured trustanchor trustanchor-name

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint anchor1

ルータで使用するトラストポイントを宣言し、CA トラストポイント コンフィギュレーション モードを開始します。

ステップ 4

enrollment terminal [ pem ]

 

Router(ca-trustpoint)# enrollment terminal

カットアンドペーストによる手動での証明書登録を指定します。

ステップ 5

exit

 
Router(ca-trustpoint)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

crypto pki authenticate name

 

Router(config)# crypto pki authenticate anchor1

CA の証明書を取得して、認証局を認証します。

ステップ 7

interface type number

 

Router(config)# interface Ethernet 0/0

インターフェイスのタイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードにします。

ステップ 8

ipv6 nd secured trustanchor trustanchor-name

 

Router(config-if)# ipv6 nd secured trustanchor anchor1

インターフェイスのトラスト アンカーを指定し、SeND をトラストポイントにバインドします。

セキュアなネイバー ディスカバリ メッセージとセキュアでないネイバー ディスカバリ メッセージの共存モードの設定

SeND のセキュアなインターフェイスへの移行中、ネットワーク オペレータは、セキュアなネイバー ディスカバリ メッセージを受け入れるノードとセキュアでないネイバー ディスカバリ メッセージを受け入れるノードが共存する環境で特定のインターフェイスを実行する場合があります。同じインターフェイスでセキュアおよび非セキュア ND メッセージの共存モードを設定するには、次の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ipv6 nd secured trustpoint trustpoint-name

5. no ipv6 nd secured full-secure

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet 0/0

インターフェイスのタイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードにします。

ステップ 4

ipv6 nd secured trustpoint trustpoint-name

 

Router(config-if)# ipv6 nd secured trustpoint trustpoint1

インターフェイスに対して SeND をイネーブルにし、使用するトラストポイントを指定します。

ステップ 5

no ipv6 nd secured full-secure

 

Router(config-if)# no ipv6 nd secured full-secure

同じインターフェイスでセキュアおよび非セキュア ND メッセージの共存モードを提供します。

SeND パラメータのグローバルな設定

手順の概要

1. enable

2. configure terminal

3. ipv6 nd secured key-length [[ minimum | maximum ] value ]

4. ipv6 nd secured sec-level minimum value

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ipv6 nd secured key-length [[ minimum | maximum ] value ]

 

Router(config)# ipv6 nd secured key-length minimum 512

SeND key-length オプションを設定します。

ステップ 4

ipv6 nd secured sec-level minimum value

 

Router(config)# ipv6 nd secured sec-level minimum 2

ピアから受け入れることができる最小セキュリティ レベル値を設定します。

SeND タイムスタンプの設定

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ipv6 nd secured timestamp { delta value | fuzz value }

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface Ethernet 0/0

インターフェイスのタイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードにします。

ステップ 4

ipv6 nd secured timestamp { delta value | fuzz value }

 

Router(config-if)# ipv6 nd secured timestamp delta 600

SeND タイムスタンプを設定します。

IPv6 アクセス リストの作成

IPv6 PACL の最初の設定作業は、IPv6 アクセス リストの作成です。この作業の詳細は、「 Implementing Traffic Filters and Firewalls for IPv6 Security 」で説明されています。

インターフェイスでの PACL モードの設定および IPv6 PACL の適用

使用する IPv6 アクセス リストの設定後に、指定した IPv6 L2 インターフェイスで PACL モードを設定する必要があります。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. access-group mode { prefer { port | vlan } | merge }

5. ipv6 traffic-filter access-list-name { in | out }

手順の詳細
コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface fastethernet 0/0

インターフェイス タイプと番号を指定し、ルータをインターフェイス コンフィギュレーション モードに設定します。

ステップ 4

access-group mode { prefer { port | vlan } | merge }

 

Router(config-if)# access-group mode prefer port

指定したレイヤ 2 インターフェイスのモードを設定します。

このコマンドの no 形式は、モードをデフォルト値(merge)に設定します。

prefer vlan キーワードの組み合わせは IPv6 ではサポートされません。

ステップ 5

ipv6 traffic-filter access-list-name { in | out }

 

Router(config-if)# ipv6 traffic-filter list1 in

インターフェイス上の着信 IPv6 トラフィックをフィルタリングします。


out キーワードと発信トラフィックのフィルタリングは IPv6 PACL 設定ではサポートされません。


IPv6 でファーストホップ セキュリティを実装するための設定例

「例:IPv6 ND 検査および RA ガードの設定」

「例:RA ガード設定」

「例:インターフェイスでの PACL モードの設定および IPv6 PACL の適用」

「例:SeND 設定例」

例:IPv6 ND 検査および RA ガードの設定

この例では、ND 検査と RA ガード機能を設定するイーサネット 0/0 インターフェイスについて説明します。

Router# show ipv6 snooping capture interface ethernet 0/0
 
Hardware policy registered on Et0/0
Protocol Protocol value Message Value Action Feature
ICMP 58 RS 85 punt RA Guard
punt ND Inspection
ICMP 58 RA 86 drop RA guard
punt ND Inspection
ICMP 58 NS 87 punt ND Inspection
ICM 58 NA 88 punt ND Inspection
ICMP 58 REDIR 89 drop RA Guard
punt ND Inspection

例:RA ガード設定

ここでは、RA ガード機能の設定例を示します。

Router(config)# interface fastethernet 3/13

Router(config-if)# ipv6 nd raguard

Router# show run interface fastethernet 3/13
 
Building configuration...
 
Current configuration : 129 bytes
!
interface FastEthernet3/13
switchport
switchport access vlan 222
switchport mode access
access-group mode prefer port
ipv6 nd raguard
end

例:インターフェイスでの PACL モードの設定および IPv6 PACL の適用

使用する IPv6 アクセス リストの設定後に、指定した IPv6 スイッチポートで PACL モードを設定できます。ここでは、list1 という名前のアクセス リストを使用して、PACL モードを設定して、IPv6 PACL を GigabitEthernet インターフェイスに適用する方法の例を示します。

Router(config)# interface gigabitethernet 3/24
Router(config-if)# access-group mode prefer port
Router(config-if)# ipv6 traffic-filter list1 in

例:SeND 設定例

例:証明書サーバの設定

次に、証明書サーバを設定する例を示します。

crypto pki server CA
issuer-name C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=CA0 lifetime ca-certificate 700 !
crypto pki trustpoint CA
ip-extension prefix 2001::/16
revocation-check crl
rsakeypair CA
no shutdown

) IP 拡張のない証明書サーバを設定する必要がある場合は、ip-extension コマンドを使用しないでください。


IP 拡張のある証明書サーバを表示するには、 show crypto pki certificates verbose コマンドを使用します。

Router# show crypto pki certificates verbose
 
CA Certificate
Status: Available
Version: 3
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
c=FR
st=fr
l=example
o=cisco
ou=nsstg
cn=CA0
Subject:
c=FR
st=fr
l=example
o=cisco
ou=nsstg
cn=CA0
Validity Date:
start date: 09:50:52 GMT Feb 5 2009
end date: 09:50:52 GMT Jan 6 2011
Subject Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Signature Algorithm: MD5 with RSA Encryption
Fingerprint MD5: 87DB764F 29367A65 D05CEE3D C12E0AC3
Fingerprint SHA1: 04A06602 86AA72E9 43F2DB33 4A7D40A2 E2ED3325
X509v3 extensions:
X509v3 Key Usage: 86000000
Digital Signature
Key Cert Sign
CRL Signature
X509v3 Subject Key ID: 75B477C6 B2CA7BBE C7866657 57C84A32 90CEFB5A
X509v3 Basic Constraints:
CA: TRUE
X509v3 Authority Key ID: 75B477C6 B2CA7BBE C7866657 57C84A32 90CEFB5A
Authority Info Access:
X509v3 IP Extension:
IPv6:
2001::/16
Associated Trustpoints: CA

例:ホストによる SeND のイネーブル化の設定

次に、SeND をイネーブルにするようにホストを設定する例を示します。

enable
configure terminal
crypto key generate rsa label SEND modulus 1024
The name for the keys will be: SEND
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
ipv6 cga modifier rsakeypair SEND sec-level 1
crypto pki trustpoint SEND
enrollment url http://209.165.200.254
revocation-check none
exit
crypto pki authenticate SEND
Certificate has the following attributes:
Fingerprint MD5: FC99580D 0A280EB4 2EB9E72B 941E9BDA
Fingerprint SHA1: 22B10EF0 9A519177 145EA4F6 73667837 3A154C53
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
ipv6 nd secured sec-level minimum 1
interface fastethernet 0/0
ipv6 cga rsakeypair SEND
ipv6 address FE80::260:3EFF:FE11:6770 link-local cga
ipv6 nd secured trustanchor SEND
ipv6 nd secured timestamp delta 300
exit
ipv6 nd secured full-secure
 

設定を確認するには、 show running-config コマンドを使用します。

host# show running-config
 
Building configuration...
[snip]
crypto pki trustpoint SEND
enrollment url http://209.165.200.225
revocation-check none
!
interface Ethernet1/0
ip address 209.165.202.129 255.255.255.0
duplex half
ipv6 cga rsakeypair SEND
ipv6 address 2001:100::/64 cga

例:ルータによる SeND のイネーブル化の設定

次に、SeND をイネーブルにするようにルータを設定する例を示します。

enable
configure terminal
crypto key generate rsa label SEND modulus 1024
ipv6 cga modifier rsakeypair SEND sec-level 1
crypto pki trustpoint SEND
subject-name C=FR, ST=PACA, L=Example, O=Cisco, OU=NSSTG, CN=router
rsakeypair SEND
revocation-check none
exit
crypto pki authenticate SEND
Certificate has the following attributes:
Fingerprint MD5: FC99580D 0A280EB4 2EB9E72B 941E9BDA
Fingerprint SHA1: 22B10EF0 9A519177 145EA4F6 73667837 3A154C53
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
crypto pki enroll SEND
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re-enter password:
 
% The subject name in the certificate will include: C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=route r % The subject name in the certificate will include: Router % Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]:
 
Request certificate from CA? [yes/no]: yes % Certificate request sent to Certificate
Authority % The 'show crypto pki certificate SEND verbose' commandwill show the fingerprint.
 
*Feb 5 09:40:37.171: CRYPTO_PKI: Certificate Request Fingerprint MD5:
A6892F9F 23561949 4CE96BB8 CBC85 E64
*Feb 5 09:40:37.175: CRYPTO_PKI: Certificate Request Fingerprint SHA1:
30832A66 E6EB37DF E578911D 383F 96A0 B30152E7
*Feb 5 09:40:39.843: %PKI-6-CERTRET: Certificate received from Certificate Authority
interface fastethernet 0/0
ipv6 nd secured sec-level minimum 1
ipv6 cga rsakeypair SEND
ipv6 address fe80::link-local cga
ipv6 nd secured trustanchor SEND
ipv6 nd secured timestamp delta 300
exit
ipv6 nd secured full-secure
 

証明書が生成されたことを確認するには、 show crypto pki certificates コマンドを使用します。

Router# show crypto pki certificates
 
Certificate
Status: Available
Certificate Serial Number: 0x15
Certificate Usage: General Purpose
Issuer:
cn=CA
Subject:
Name: Router
hostname=Router
c=FR
st=fr
l=example
o=cisco
ou=nsstg
cn=router
Validity Date:
start date: 09:40:38 UTC Feb 5 2009
end date: 09:40:38 UTC Feb 5 2010
Associated Trustpoints: SEND
 
CA Certificate
Status: Available
Certificate Serial Number: 0x1
Certificate Usage: Signature
Issuer:
cn=CA
Subject:
cn=CA
Validity Date:
start date: 10:54:53 UTC Jun 20 2008
end date: 10:54:53 UTC Jun 20 2011
Associated Trustpoints: SEND
 

設定を確認するには、 show running-config コマンドを使用します。

Router# show running-config
 
Building configuration...
[snip]
crypto pki trustpoint SEND
enrollment url http://209.165.201.1
subject-name C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=router revocation-check none rsakeypair SEND !
interface Ethernet1/0
ip address 209.165.200.225 255.255.255.0
duplex half
ipv6 cga rsakeypair SEND
ipv6 address FE80:: link-local cga
ipv6 address 2001:100::/64 cga

例:ルータ モードでの SeND トラストポイントの設定

次に、ルータ モードで SeND トラストポイントを設定する例を示します。

enable
configure terminal
crypto key generate rsa label SEND
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 778
% Generating 778 bit RSA keys, keys will be non-exportable...[OK]
ipv6 cga modifier rsakeypair SEND sec-level 1
crypto pki trustpoint trstpt1
subject-name C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=sa14-72b
rsakeypair SEND
enrollment terminal
ip-extension unicast prefix 2001:100:1://48
exit
crypto pki authenticate trstpt1
crypto pki enroll trstpt1
crypto pki import trstpt1 certificate
interface Ethernet 0/0
ipv6 nd secured trustpoint trstpt1

例:ホスト モードでの SeND トラスト アンカーの設定

次に、ホスト モードでインターフェイスの SeND トラスト アンカーを設定する例を示します。

enable
configure terminal
! Configure the location of the CS we trust !
crypto pki trustpoint B1
enrollment terminal
crypto pki authenticate anchor1
exit
! Only Query a certificate signed by the CS at B2 on this interface !
interface Ethernet0/0
ip address 204.209.1.54 255.255.255.0
ipv6 cga rsakeypair SEND
ipv6 address 2001:100::/64 cga
ipv6 nd secured trustanchor anchor1

例:インターフェイスにおける CGA アドレス生成の設定

次に、インターフェイスにおける CGA アドレス生成を設定する例を示します。

enable
configure terminal
interface fastEthernet 0/0
ipv6 cga rsakeypair SEND
ipv6 address 2001:100::/64 cga
exit

その他の関連資料

関連資料

関連項目
参照先

IPv6 ネイバー探索

『Implementing IPv6 Addressing and Basic Connectivity』

IPv6 での ICMP

『Implementing IPv6 Addressing and Basic Connectivity』

IPv6:IPv6 ステートレス自動設定

『Implementing IPv6 Addressing and Basic Connectivity』

IPv6 アクセス リスト

『Implementing Traffic Filters and Firewalls for IPv6 Security』

IPv6 DHCP

『Implementing DHCP for IPv6』

PKI の証明書登録の設定

Cisco IOS Security Configuration Guide 』の「 Configuring Certificate Enrollment for a PKI 」の章

IPv6 コマンド

『Cisco IOS IPv6 Command Reference』

すべての Cisco IOS コマンド

『Cisco IOS Master Command List, All Releases』

規格

規格
タイトル

新しい規格または変更された規格はサポートされていません。また、既存の規格に対するサポートに変更はありません。

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco ソフトウェア リリース、およびフィーチャ セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 3756

『IPv6 Neighbor Discovery (ND) Trust Models and Threats』

RFC 3779

『X.509 Extensions for IP Addresses and AS Identifiers』

RFC 3971

『Secure Neighbor Discovery (SeND)』

RFC 3972

『Cryptographically Generated Addresses (CGA)』

RFC 6105

『IPv6 Router Advertisement Guard』

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

IPv6 でファーストホップ セキュリティを実装するための機能情報

表 1 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。

プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。


 

表 1 IPv6 でファーストホップ セキュリティを実装するための機能情報

機能名
リリース
機能情報

IPv6 デバイス トラッキング

12.2(50)SY

この機能を使用すると、IPv6 ホストが非表示になったときにネイバー バインディング テーブルを即時に更新できるように、IPv6 ホストの活性を追跡できます。

この機能に関する詳細については、次の各項を参照してください。

「IPv6 デバイス トラッキング」

「IPv6 PACL の設定」

「IPv6 PACL の設定」

ipv6 neighbor binding ipv6 neighbor binding down-lifetime ipv6 neighbor binding logging ipv6 neighbor binding max-entries ipv6 neighbor binding stale-lifetime ipv6 neighbor binding vlan、ipv6 neighbor tracking show ipv6 neighbor binding の各コマンドが導入または変更されました。

IPv6 ND 検査

12.2(50)SY

IPv6 ND 検査機能は、レイヤ 2 ネイバー テーブルでステートレス自動設定アドレスのバインディングを学習し、保護します。

この機能に関する詳細については、次の各項を参照してください。

「IPv6 ND 検査」

「指定したインターフェイスでの IPv6 ND 検査の適用」

「例:IPv6 ND 検査および RA ガードの設定」

clear ipv6 snooping counters、debug ipv6 snooping、 device-role drop-unsecure ipv6 nd inspection ipv6 nd inspection policy sec-level minimum show ipv6 snooping capture-policy show ipv6 snooping counters 、s how ipv6 snooping features show ipv6 snooping policies tracking , trusted-port の各コマンドが導入されました。

IPv6 PACL

12.2(54)SG
12.2(33)SXI4
12.2(50)SY

IPv6 PACL は、Layer 3(L3; レイヤ 3)サブネットと VLAN 間、または VLAN 内のトラフィックの移動を許可または拒否します。

この機能に関する詳細については、次の各項を参照してください。

「IPv6 ポートベースのアクセス リスト サポート」

「IPv6 PACL の設定」

「その他の関連資料」

access-group mode、ipv6 traffic-filter の各コマンドが導入または変更されました。

IPv6 RA ガード

12.2(54)SG
12.2(33)SXI4
12.2(50)SY

IPv6 RA ガードは、ネットワーク スイッチ プラットフォームに到着した不要または不正な RA ガード メッセージをネットワーク管理者がブロックまたは拒否できるようにするためのサポートを提供します。

この機能に関する詳細については、次の各項を参照してください。

「IPv6 RA ガード」

「Cisco IOS Release 12.2(33)SXI4 および 12.2(54)SG での IPv6 RA ガードの設定」

「Cisco IOS Release 12.2(33)SXI4 および 12.2(54)SG での IPv6 RA ガードの設定」

「IPv6 RA ガードの確認とトラブルシューティング」

「例:RA ガード設定」

Cisco IOS ソフトウェアのセキュア ネイバー ディスカバリ

12.4(24)T

Secure Neighbor Discovery(SeND; セキュア ネイバー探索)プロトコルは、ND プロトコルの脅威に対処するように設計されています。SeND では、一連のネイバー ディスカバリ オプションと 2 つのネイバー ディスカバリ メッセージが定義されています。アドレスの所有者を設定する新しい自動設定メカニズムも定義されています。

この機能に関する詳細については、次の各項を参照してください。

「IPv6 でのセキュア ネイバー探索」

「SeND パラメータの設定」

「例:SeND 設定例」

auto-enroll crypto key generate rsa crypto pki authenticate crypto pki enroll crypto pki import enrollment terminal (ca-trustpoint) enrollment url (ca-trustpoint) fingerprint ip-extension ip http server ipv6 address ipv6 address link-local ipv6 cga modifier rsakeypair ipv6 cga modifier rsakeypair (interface) ipv6 nd secured certificate-db ipv6 nd secured full-secure ipv6 nd secured full-secure (interface) ipv6 nd secured key-length ipv6 nd secured sec-level ipv6 nd secured timestamp ipv6 nd secured timestamp-db ipv6 nd secured trustanchor ipv6 nd secured trustpoint password (ca-trustpoint) revocation-check rsakeypair serial-number (ca-trustpoint) show ipv6 cga address-db show ipv6 cga modifier-db show ipv6 nd secured certificates show ipv6 nd secured counters interface show ipv6 nd secured nonce-db show ipv6 nd secured timestamp-db subject-name の各コマンドが導入または変更されました。

用語集

ACE :Access Control Entry(アクセス コントロール エントリ)。

ACL :Access Control List(アクセス コントロール リスト)。

CA :Certification Authority(認証局)

CGA :Cryptographically Generated Address(暗号化生成アドレス)。

CPA :Certificate Path Answer(認証パス応答)。

CPR :Certificate Path Response(証明書パス応答)。

CPS :Certification Path Solicitation(認証パス請求)。アドレッシング プロセスで使用される請求メッセージ。

CRL :Certificate Revocation List(証明書失効リスト)。

CS :Certification Server(証明書サーバ)。

CSR :Certificate Signing Request(証明書署名要求)。

DAD :Duplicate Address Detection(重複アドレス検出)。同じリンク上の 2 つの IPv6 ノードが同じアドレスを使用していないことを確認するメカニズム。

DER :Distinguished Encoding Rule(識別符号化ルール)。データ値の符号化方式。

LLA :Link-Layer Address(リンクレイヤ アドレス)。

MAC :Media Access Control(メディア アクセス コントロール)。

NUD :Neighbor Unreachability Detection(ネイバー到達不能検出)。ネイバー到達可能性の追跡に使用されるメカニズム。

PACL :Port-Based Access List(ポートベース アクセス リスト)。

PKI :Public Key Infrastructure(公開キー インフラストラクチャ)。

RA :Router Advertisement(ルータ アドバタイズメント)。

RD :Router Discovery(ルータ ディスカバリ)。ホストはリンク上に存在するルータと使用可能なサブネット プレフィクスを検出できます。ルータ探索は、ネイバー探索プロトコルの一部です。

SeND ノード :SeND を実装する IPv6 ノード。

ULA :Unique Local Addressing(ユニーク ローカル アドレス)。

トラスト アンカー :ルータがルータとして機能することを許可するために、ホストが信頼するエンティティ。ホストには、ルータ ディスカバリを保護するために一連のトラスト アンカーが設定されています。

ナンス :ノードによって生成され、一度だけ使用される予測不可能な乱数または疑似乱数。SeND では、ナンスは特定のアドバタイズメントがそれをトリガーした請求にリンクされることを保証するために使用されます。

非 SeND ノード :SeND を実装しないが、セキュリティなしでネイバー探索プロトコルだけを使用する IPv6 ノード。

ルータ権限証明書 :公開キー証明書。