発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章 , ドキュメント全体
目次
IPv6 アドレスでの Modified EUI-64 インターフェイス ID の使用
IPv6 デフォルト ルートおよびスタティック ルートの設定
IPv6 の設定
この章では、セキュリティ アプライアンスで IPv6 をイネーブルにする方法および設定する方法について説明します。IPv6 は、ルーテッド ファイアウォール モードでのみ使用できます。
IPv6 コンフィギュレーションの例については、 付録 B「設定例」 を参照してください。
IPv6 対応のコマンド
次に示すセキュリティ アプライアンスのコマンドは、IPv6 アドレスの受け入れと表示が可能です。
(注) フェールオーバーでは、IPv6 はサポートされません。ipv6 address コマンドは、フェールオーバー コンフィギュレーションのスタンバイ アドレスの設定をサポートしません。failover interface ip コマンドは、フェールオーバー インターフェイスおよびステートフル フェールオーバー インターフェイス上の IPv6 アドレスの使用をサポートしません。
IPv6 アドレスをサポートするコマンドに IPv6 アドレスを入力するときは、単純に、標準 IPv6 表記で IPv6 アドレスを入力します( ping fe80::2e0:b6ff:fe01:3b7a など)。セキュリティ アプライアンスは、IPv6 アドレスを正しく認識し、処理します。ただし、次の場合は、IPv6 アドレスを角カッコ([ ])で囲む必要があります。
•
アドレスとポート番号を指定する必要がある場合( [fe80::2e0:b6ff:fe01:3b7a]:8080 など)
•
IPv6 の設定
•
•
インターフェイスでの IPv6 の設定
少なくとも、各インターフェイスに IPv6 リンクローカル アドレスを設定する必要があります。さらに、サイトローカル アドレスおよびグローバル アドレスをインターフェイスに追加できます。
(注) セキュリティ アプライアンスは、IPv6 エニーキャスト アドレスはサポートしません。
1 つのインターフェイスに IPv6 アドレスと IPv4 アドレスの両方を設定できます。
インターフェイスに IPv6 を設定するには、次の手順を実行します。
ステップ 1
ステップ 2
IPv6 アドレスを設定するには、いくつかの方法があります。次の方法から、要件に合った方法を選びます。
•
•
–
–
(注) インターフェイスで、その他の ipv6 address コマンドを入力した場合は、ipv6 enable コマンドを使用する必要はありません。IPv6 サポートは、インターフェイスに IPv6 アドレスが割り当てられるとすぐに、自動的にイネーブルになります。
•
ステップ 3
インターフェイスでルータ アドバタイズメント メッセージを抑止するには、次のコマンドを入力します。
インターフェイスでのデュアル IP スタックの設定
セキュリティ アプライアンスは、1 つのインターフェイス上で IPv6 と IPv4 の両方のコンフィギュレーションをサポートします。そのために特別なコマンドを入力する必要はありません。単純に、IPv4 コンフィギュレーション コマンドと IPv6 コンフィギュレーション コマンドを通常と同じように入力します。IPv4 と IPv6 の両方で、デフォルト ルートを設定してください。
IPv6 アドレスでの Modified EUI-64 インターフェイス ID の使用
RFC 3513「Internet Protocol Version 6(IPv6)Addressing Architecture」(インターネット プロトコル バージョン 6 アドレッシング アーキテクチャ)では、バイナリ値 000 で始まるものは別として、すべてのユニキャスト IPv6 アドレスのインターフェイス識別子部分の長さは 64 ビットで、Modified EUI-64 形式で構築されている必要があります。セキュリティ アプライアンスでは、ローカル リンクに接続されたホストにこの要件を適用することができます。
ローカル リンクの IPv6 アドレスで Modified EUI-64 形式のインターフェイスを適用するには、次のコマンドを入力します。
if_name 引数は、 namif コマンドが指定するインターフェイス名で、このインターフェイスにアドレス形式を適用します。
このコマンドがインターフェイスでイネーブルになると、そのインターフェイスで受信した IPv6 パケットの送信元 アドレスの送信元 MAC アドレスに対する検証が行われ、インターフェイス識別子が Modified EUI-64 形式を使用するようにします。IPv6 パケットがインターフェイス識別子用に Modified EUI-64 形式を使用していない場合、パケットがドロップし、次のシステムログ メッセージが生成されます。
アドレス形式の検証は、フローが生じた場合にのみ行われます。既存のフローからのパケットはチェックを受けません。加えて、アドレス検証は、ローカル リンク上のホストだけを対象として実施できます。ルータの背後にあるホストから受信したパケットは、アドレス形式検証で受け入れられず、ドロップされます。その送信元 MAC アドレスがルータ MAC アドレスで、ホスト MAC アドレスではないためです。
IPv6 重複アドレス検出の設定
ステートレスな自動設定プロセス中に、アドレスをインターフェイスに割り当てる前に、重複アドレス検出により新しいユニキャスト IPv6 アドレスの一意であることを検証します(新しいアドレスは、重複アドレス検出が行われている間、仮の状態のままになります)。重複アドレス検出は、最初に新しいリンクローカル アドレスで行われます。リンクローカル アドレスが一意であることが検証されれば、次にインターフェイス上のその他すべての IPv6 ユニキャスト アドレスで重複アドレス検出が行われます。
重複アドレス検出は、管理上ダウンしているインターフェイスでは保留されます。インターフェイスが管理上ダウンしている間、そのインターフェイスに割り当てられているユニキャスト IPv6 アドレスは保留状態になります。管理上アップ状態に復帰したインターフェイスでは、重複アドレス検出がインターフェイス上のすべてのユニキャスト IPv6 アドレスを対象として再開します。
重複アドレスが検出されると、そのアドレスの状態が DUPLICATE に設定されて使用されず、次のメッセージが生成されます。
重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理はディセーブルになります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。ただし、その重複アドレスに関連したすべての設定コマンドは、アドレスの状態が DUPLICATE に設定されている間、設定されたままになります。
インターフェイスのリンクローカル アドレスが変わると、重複アドレス検出が新しいリンクローカル アドレスに対して行われ、そのインターフェイスに関連したその他すべての IPv6 アドレスが再生成されます(重複アドレス検出は、新しいリンクローカル アドレスに対してのみ行われます)。
セキュリティ アプライアンスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。デフォルトでは、インターフェイスが重複アドレス検出を行う回数は 1 回です。
重複アドレス検出の試行回数を変更するには、次のコマンドを入力します。
value 引数は 0 ~ 600 の任意の値にできます。 value 引数を 0 に設定すると、インターフェイスの重複アドレス検出がディセーブルになります。
2 回以上重複アドレス検出試行を行うようにインターフェイスを設定する場合、 ipv6 nd ns-interval コマンドを使用して、ネイバー送信要求メッセージの送信間隔を設定することもできます。このメッセージは、デフォルトでは 1000 ミリ秒に 1 回送信されます。
ネイバー送信要求メッセージの送信間隔を変更するには、次のコマンドを入力します。
value 引数は 1000 ~ 3600000 ミリ秒までの任意の値にできます。
(注) この値を変更すると、重複アドレス検出で使用されるものだけでなく、インターフェイス上から送信されるすべてのネイバー送信要求メッセージに適用されます。
IPv6 デフォルト ルートおよびスタティック ルートの設定
ホストが接続されているインターフェイスが IPv6 対応で、IPv6 ACL でトラフィックが許可されている場合、セキュリティ アプライアンスは、直接接続しているホスト間の IPv6 トラフィックを自動的にルーティングします。
セキュリティ アプライアンスは ダイナミック ルーティング プロトコルをサポートしません。したがって、IPv6 トラフィックを直接接続されていないホストやネットワークにルーティングするには、スタティック ルートをホストやネットワークに定義するか、少なくともデフォルト ルートを定義する必要があります。スタティックまたはデフォルトのルートが定義されていない場合、直接接続されていないホストやネットワークへのトラフィックは次のようなエラー メッセージを生成します。
デフォルト ルートとスタティック ルートは、 ipv6 route コマンドで追加できます。
IPv6 デフォルト ルートおよびスタティック ルートを設定するには、次の手順を実行します。
ステップ 1
ステップ 2
(注) ipv6 route コマンドは、IPv4 スタティック ルートの定義に使用する route コマンドと同じように機能します。
IPv6 アクセスリストの設定
IPv6 アクセスリストの設定は、IPv4 アクセスの設定に似ていますが、IPv6 アドレスを使用するという違いがあります。
IPv6 アクセスリストを設定するには、次の手順を実行します。
ステップ 1
•
hostname(config)# ipv6 access-list id [line num] {permit | deny} icmp source destination [icmp_type]•
hostname(config)# ipv6 access-list id [line num] {permit | deny} protocol source [src_port] destination [dst_port]ipv6 access-list コマンドの引数について説明します。
•
•
•
•
•
•
•
•
ステップ 2
IPv6 近隣探索の設定
IPv6 近隣探索プロセスでは、ICMPv6 メッセージと送信要求ノード マルチキャスト アドレスを使用して、同一ネットワーク上のネイバーのリンクレイヤ アドレスを判別し(ローカルリンク)、ネイバーへの到達性情報を検証し、隣接ルータを常に把握します。
ネイバー送信要求メッセージの設定
ローカル リンク上の他のノードのリンクレイヤ アドレスを探索するため、ノードからネイバー送信要求メッセージ(ICMPv6 Type 135)が送信されます。ネイバー送信要求メッセージが送信要求ノード マルチキャスト アドレスに送信されます。ネイバー送信要求メッセージの送信元アドレスは、ネイバー送信要求メッセージを送信するノードの IPv6 アドレスです。ネイバー送信要求メッセージには、送信元ノードのリンクレイヤ アドレスも含まれています。
ネイバー送信要求メッセージを受信すると、宛先ノードは、ネイバー アドバタイズメント メッセージ(ICPMv6 Type 136)をローカル リンクで送信して応答します。ネイバー アドバタイズメント メッセージの送信元アドレスは、ネイバー送信要求メッセージを送信するノードの IPv6 アドレスです。宛先アドレスは、ネイバー送信要求メッセージを送信するノードの IPv6 アドレスです。ネイバー アドバタイズメント メッセージのデータ部分には、ネイバー アドバタイズメント メッセージを送信するノードのリンクレイヤ アドレスが含まれています。
送信元ノードがネイバー アドバタイズメントを受信すると、送信元ノードと宛先ノードとの通信が可能になります。図12-1 にネイバー送信要求と応答プロセスを示します。
ネイバー送信要求メッセージは、ネイバーのリンクレイヤ アドレスの特定後に、ネイバーの到達性情報を検証するためにも使用します。あるノードがあるネイバーの到達性情報を検証する場合、ネイバー送信要求メッセージ中の宛先アドレスがネイバーのユニキャスト アドレスです。
ローカル リンクのノードのリンクレイヤ アドレスに変更があると、ネイバー アドバタイズメント メッセージも送信されます。そのような変更があると、ネイバー アドバタイズメントの宛先アドレスが All-Nodes マルチキャスト アドレスです。
インターフェイスごとに、ネイバー送信要求メッセージの間隔とネイバー到達時間を設定することができます。詳細については、続きの項目も参照してください。
ネイバー送信要求メッセージ間隔の設定
インターフェイスでの IPv6 ネイバー送信要求の再送信間隔を設定するには、次のコマンドを入力します。
ネイバー到達時間の設定
ネイバー到達時間を設定すると、使用できないネイバーを検出できます。設定時間を短くすると、使用できないネイバーを早く検出できます。ただし、時間を短くすると、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワーク デバイスの処理リソースの消費が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。
到達確認イベントの発生後に、リモート IPv6 ノードが到達可能と見なされるように時間を設定するには、次のコマンドを入力します。
value 引数の有効な値は、0 ~ 3600000 ミリ秒です。デフォルトは 0 です。
この情報は、ルータ アドバタイズメント メッセージでも送信されます。
0 を value に指定すると、到達時間が判定不能として送信されます。到達時間の値の設定および追跡は、受信デバイスで決まります。値を 0 に設定した場合に、セキュリティ アプライアンスで使用される時間を表示するには、 show ipv6 interface コマンドを使用して、IPv6 インターフェイスに関する情報を参照します。使用中の ND 到達時間も含まれています。
ルータ アドバタイズメント メッセージの設定
ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、セキュリティ アプライアンスの IPv6 が設定された各インターフェイスから定期的に送信されます。ルータ アドバタイズメント メッセージが All-Nodes マルチキャスト アドレスに送信されます。
図12-2 IPv6 近隣探索:ルータ アドバタイズメント メッセージ
ルータ アドバタイズメント メッセージには、通常、次の情報が含まれています。
•
•
•
•
•
•
ルータ アドバタイズメントもルータ送信要求メッセージに応えて送信されます(ICMPv6 Type 133)。ルータ送信要求メッセージは、システムの起動時にホストから送信されるため、ホストは、次に予定されているルータ アドバタイズメント メッセージを待つことなく自動設定を行えます。ルータ送信要求メッセージは、通常システムの起動時にホストから送信され、ホストには設定済みのユニキャスト アドレスがないため、ルータ送信要求メッセージの送信元アドレスが通常未指定 IPv6 アドレスとなります(0:0:0:0:0:0:0:0)。ホストに設定済みのユニキャスト アドレスがある場合、ルータ送信要求メッセージを送信するインターフェイスのユニキャスト アドレスが、メッセージの送信元アドレスとして使用されます。ルータ送信要求メッセージの宛先アドレスは、リンクの範囲を指定したAll-Routers マルチキャスト アドレスです。ルータ送信要求に応えてルータ アドバタイズメントが送信される場合、ルータ アドバタイズメント メッセージの宛先アドレスがルータ送信要求メッセージの送信元のユニキャスト アドレスです。
次の設定をルータ アドバタイズメント メッセージ用に行うことができます。
•
•
•
•
特に注記のないかぎり、ルータ アドバタイズメント メッセージ設定はインターフェイス固有のものであり、インターフェイス コンフィギュレーション モードで入力されます。この設定の変更については、次の項目を参照してください。
ルータ アドバタイズメントの送信間隔の設定
デフォルトでは、ルータ アドバタイズメントは 200 秒ごとに送信されます。インターフェイスでのルータ アドバタイズメントの送信間隔を変更するには、次のコマンドを入力します。
有効値の範囲は 3 ~ 1800 秒です( msec キーワードを使用している場合は 500 ~ 1800000 ミリ秒)。
ipv6 nd ra-lifetime コマンドでセキュリティ アプライアンスがデフォルト ルータとして設定されている場合、送信間隔は IPv6 ルータ アドバタイズメント ライフタイム以下になります。他の IPv6 ノードとの同期を防止するには、実際に使用されている値を、必要な値の 20% 以内になるように調整します。
ルータ ライフタイム値の設定
ルータ ライフタイム値は、ローカルリンク上のノードがセキュリティ アプライアンスをリンク上のデフォルト ルータと見なす時間を指定します。
ルータ ライフタイム値をインターフェイスの IPv6 ルータ アドバタイズメントに設定するには、次のコマンドを入力します。
有効値の範囲は 0 ~ 9000 秒です。デフォルトは、1800 秒です。0 を入力すると、セキュリティ アプライアンスが選択されたインターフェイス上のデフォルト ルータと見なされません。
IPv6 プレフィックスの設定
ステートレス自動設定では、ルータ アドバタイズメント メッセージで提供される IPv6 プレフィックスを使用して、リンクローカル アドレスからのグローバル ユニキャスト アドレスを作成します。
IPv6 ルータ アドバタイズメントに含める IPv6 プレフィックスを設定するには、次のコマンドを入力します。
(注) ステートレス自動設定が正しく機能するには、ルータ アドバタイズメント メッセージでアドバタイズされたプレフィックス長が常に 64 ビットでなければなりません。
ルータ アドバタイズメント メッセージの抑止
デフォルトでは、ルータ アドバタイズメント メッセージは、ルータ送信要求メッセージへの応答として自動的に送信されます。セキュリティ アプライアンスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージをディセーブルにできます。
インターフェイスで IPv6 ルータ アドバタイズメントの送信を抑止するには、次のコマンドを入力します。
このコマンドを入力すると、セキュリティ アプライアンスがリンク上で IPv6 ルータではなく、正規の IPv6 ネイバーとして表示されます。
スタティック IPv6 ネイバーの設定
ネイバーを手動で IPv6 ネイバー キャッシュに定義できます。指定された IPv6 アドレスのエントリが近隣探索キャッシュにある場合、つまり IPv6 近隣探索プロセスで検出できた場合、そのエントリが自動的にスタティック エントリに変換されます。IPv6 近隣探索キャッシュのスタティック エントリは、近隣探索プロセスによって修正されません。
IPv6 近隣探索キャッシュにスタティック エントリを設定するには、次のコマンドを入力します。
ipv6_address 引数はネイバーのリンクローカル IPv6 アドレスで、 if_name 引数はネイバーを利用できるようにするインターフェイスです。また、 mac_address 引数はネイバー インターフェイスの MAC アドレスです。
(注) clear ipv6 neighbors コマンドは、スタティック エントリを IPv6 近隣探索キャッシュから削除しません。ダイナミック エントリをクリアするだけです。
IPv6 コンフィギュレーションの確認
この項では、IPv6 コンフィギュレーションを確認する方法について説明します。さまざまな show コマンドを使用して、IPv6 設定を確認できます。
show ipv6 interface コマンド
IPv6 インターフェイス設定を表示するには、次のコマンドを入力します。
「outside」などのインターフェイス名を含めると、指定したインターフェイスの設定が表示されます。コマンドに名前を含めないと、IPv6 がイネーブルになっているすべてのインターフェイスの設定が表示されます。コマンドの出力では、次の項目が表示されます。
次に、 show ipv6 interface コマンドの出力例を示します。
(注) show interface コマンドは、インターフェイスの IPv4 設定のみを表示します。インターフェイスの IPv6 コンフィギュレーションを表示するには、show ipv6 interface コマンドを使用する必要があります。show ipv6 interface コマンドでは、インターフェイスの IPv4 設定は表示されません(そのインターフェイスで両方が設定されている場合)。