Cisco セキュリティ アプライアンス コマンドライン コンフィギュレーション ガイド v.8.0
IPv6 の設定
IPv6 の設定
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 20MB) | フィードバック

目次

IPv6 の設定

IPv6 対応のコマンド

IPv6 の設定

インターフェイスでの IPv6 の設定

インターフェイスでのデュアル IP スタックの設定

IPv6 アドレスでの Modified EUI-64 インターフェイス ID の使用

IPv6 重複アドレス検出の設定

IPv6 デフォルト ルートおよびスタティック ルートの設定

IPv6 アクセス リストの設定

IPv6 近隣探索の設定

ネイバー送信要求メッセージの設定

ルータ アドバタイズメント メッセージの設定

スタティック IPv6 ネイバーの設定

IPv6 コンフィギュレーションの確認

show ipv6 interface コマンド

show ipv6 route コマンド

IPv6 の設定

この章では、セキュリティ アプライアンスで IPv6 をイネーブルにする方法および設定する方法について説明します。IPv6 は、ルーテッド ファイアウォール モードだけで使用できます。

この章は、次の項で構成されています。

「IPv6 対応のコマンド」

「IPv6 の設定」

「IPv6 コンフィギュレーションの確認」

IPv6 コンフィギュレーションの例については、 付録 A「設定例」 を参照してください。

IPv6 対応のコマンド

次に示すセキュリティ アプライアンスのコマンドは、IPv6 アドレスの受け入れと表示が可能です。

capture

configure

copy

http

name

object-group

ping

show conn

show local-host

show tcpstat

ssh

telnet

tftp-server

who

write


) フェールオーバーは IPv6 をサポートしません。ipv6 address コマンドは、フェールオーバー コンフィギュレーションのスタンバイ アドレスの設定をサポートしません。failover interface ip コマンドは、フェールオーバー インターフェイスおよびステートフル フェールオーバー インターフェイスでの IPv6 アドレスの使用をサポートしません。


IPv6 アドレスをサポートするコマンドに IPv6 アドレスを入力するときは、単純に、標準 IPv6 表記で IPv6 アドレスを入力します( ping fe80::2e0:b6ff:fe01:3b7a など)。セキュリティ アプライアンスは、IPv6 アドレスを正しく認識し、処理します。ただし、次の場合は、IPv6 アドレスを角カッコ([ ])で囲む必要があります。

アドレスと一緒にポート番号を指定する必要がある場合(例 [fe80::2e0:b6ff:fe01:3b7a]:8080

write net コマンドや config net コマンドなど、コマンドが区切り文字としてコロンを使用する場合。次に例を示します。
configure net [fe80::2e0:b6ff:fe01:3b7a]:/tftp/config/pixconfig .

次のコマンドは、IPv6 で動作するように変更されました。

debug

fragment

ip verify

mtu

icmp ipv6 icmp と入力されます)

次の検査エンジンは、IPv6 をサポートします。

FTP

HTTP

ICMP

SIP

SMTP

TCP

UDP

IPv6 の設定

この項は、次の内容で構成されています。

「インターフェイスでの IPv6 の設定」

「インターフェイスでのデュアル IP スタックの設定」

「IPv6 アドレスでの Modified EUI-64 インターフェイス ID の使用」

「IPv6 重複アドレス検出の設定」

「IPv6 デフォルト ルートおよびスタティック ルートの設定」

「IPv6 アクセス リストの設定」

「IPv6 近隣探索の設定」

「スタティック IPv6 ネイバーの設定」

インターフェイスでの IPv6 の設定

少なくとも、各インターフェイスに IPv6 リンクローカル アドレスを設定する必要があります。さらに、インターフェイスにグローバル アドレスを追加できます。


) セキュリティ アプライアンスは、IPv6 エニーキャスト アドレスはサポートしません。


1 つのインターフェイスに IPv6 アドレスと IPv4 アドレスの両方を設定できます。

インターフェイスに IPv6 を設定するには、次の手順を実行します。


ステップ 1 IPv6 アドレスを設定するインターフェイスに対応するインターフェイス コンフィギュレーション モードに入ります。

hostname(config)# interface if
 

ステップ 2 インターフェイスの IPv6 アドレスを設定します。1 つのインターフェイスに複数の IPv6 アドレス(IPv6 リンクローカル アドレス、グローバル アドレスなど)を割り当てることができます。ただし、少なくとも、リンクローカル アドレスを設定する必要があります。

IPv6 アドレスを設定するには、いくつかの方法があります。次の方法から、要件に合った方法を選びます。

最も単純な方法は、インターフェイスでステートレスな自動設定をイネーブルにする方法です。インターフェイスでステートレスな自動設定をイネーブルにすると、ルータ アドバタイズメント メッセージで受信したプレフィクスに基づいて IPv6 アドレスが設定されます。ステートレスな自動設定がイネーブルになっている場合、インターフェイスのリンクローカル アドレスは、Modified EUI-64 インターフェイス ID に基づいて自動的に生成されます。ステートレスな自動設定をイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# ipv6 address autoconfig
 

インターフェイスのリンクローカル アドレスだけを設定する必要があり、その他の IPv6 アドレスをインターフェイスに割り当てない場合は、手動でリンクローカル アドレスを定義するか、インターフェイス MAC アドレス(Modified EUI-64 形式)に基づいて生成するかを選択できます。

リンクローカル アドレスを手動で指定するには、次のコマンドを入力します。

hostname(config-if)# ipv6 address ipv6-address link-local
 

インターフェイスで IPv6 をイネーブルにして、インターフェイス MAC アドレスに基づく Modified EUI-64 インターフェイス ID を使用してリンクローカル アドレスを生成するには、次のコマンドを入力します。

hostname(config-if)# ipv6 enable
 

) インターフェイスで、その他の ipv6 address コマンドを入力した場合は、ipv6 enable コマンドを使用する必要はありません。IPv6 サポートは、インターフェイスに IPv6 アドレスが割り当てられるとすぐに、自動的にイネーブルになります。


インターフェイスにグローバル アドレスを割り当てます。グローバル アドレスを割り当てると、リンクローカル アドレスが自動的に作成されます。グローバル アドレスをインターフェイスに追加するには、次のコマンドを入力します。アドレスの下位 64 ビットに Modified EUI-64 インターフェイス ID を使用する場合は、オプションの eui-64 キーワードを使用します。

hostname(config-if)# ipv6 address ipv6-prefix/prefix-length [eui-64]
 

ステップ 3 (オプション)インターフェイスでルータ アドバタイズメント メッセージを抑止します。デフォルトでは、ルータ アドバタイズメント メッセージは、ルータ送信要求メッセージへの応答として自動的に送信されます。セキュリティ アプライアンスで IPv6 プレフィクスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージをディセーブルにできます。

インターフェイスでルータ アドバタイズメント メッセージを抑止するには、次のコマンドを入力します。

hostname(config-if)# ipv6 nd suppress-ra
 


 

インターフェイスでのデュアル IP スタックの設定

セキュリティ アプライアンスは、1 つのインターフェイス上で IPv6 と IPv4 の両方のコンフィギュレーションをサポートします。そのために特別なコマンドを入力する必要はありません。単純に、IPv4 コンフィギュレーション コマンドと IPv6 コンフィギュレーション コマンドを通常と同じように入力します。IPv4 と IPv6 の両方で、デフォルト ルートを設定してください。

IPv6 アドレスでの Modified EUI-64 インターフェイス ID の使用

RFC 3513「Internet Protocol Version 6 (IPv6) Addressing Architecture」(インターネット プロトコル バージョン 6 アドレッシング アーキテクチャ)では、バイナリ値 000 で始まるものを除き、すべてのユニキャスト IPv6 アドレスのインターフェイス識別子部分は長さが 64 ビットで、Modified EUI-64 形式で組み立てることが要求されています。セキュリティ アプライアンスでは、ローカル リンクに接続されたホストにこの要件を適用できます。

ローカル リンクの IPv6 アドレスに Modified EUI-64 形式のインターフェイス識別子の使用を適用するには、次のコマンドを入力します。

hostname(config)# ipv6 enforce-eui64 if_name
 

if_name 引数には、 nameif コマンドで指定したインターフェイスの名前を指定します。このインターフェイスに対してアドレス形式を適用できます。

このコマンドがインターフェイスでイネーブルになると、そのインターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに対して検証され、インターフェイス識別子が Modified EUI-64 形式を使用していることが確認されます。IPv6 パケットがインターフェイス識別子に Modified EUI-64 形式を使用していない場合、そのパケットはドロップされ、次のシステム ログ メッセージが生成されます。

%PIX|ASA-3-325003: EUI-64 source address check failed.
 

アドレス形式の検証は、フローが作成された場合にだけ行われます。既存のフローからのパケットはチェックされません。加えて、アドレス検証はローカル リンク上のホストに対してだけ実行できます。ルータの背後にあるホストから受信したパケットは、アドレス形式検証で受け入れられず、ドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。

IPv6 重複アドレス検出の設定

ステートレスな自動設定プロセス中、新しいユニキャスト IPv6 アドレスは重複アドレス検出によって一意であることが検証されてから、インターフェイスに割り当てられます(重複アドレス検出の実行中、新しいアドレスは仮の状態となります)。重複アドレス検出は、最初に新しいリンクローカル アドレスに対して行われます。リンクローカル アドレスが一意であることが検証されたら、次にインターフェイス上のその他すべての IPv6 ユニキャスト アドレスに対して重複アドレス検出が行われます。

重複アドレス検出は、管理上ダウンしているインターフェイスでは一時停止しています。インターフェイスが管理上ダウンしている間、そのインターフェイスに割り当てられているユニキャスト IPv6 アドレスは保留状態に設定されます。管理上アップ状態に復帰したインターフェイスでは、重複アドレス検出がインターフェイス上のすべてのユニキャスト IPv6 アドレスに対して再開されます。

重複アドレスが検出されると、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用対象外となり、次のメッセージが生成されます。

%PIX|ASA-4-325002: Duplicate address ipv6_address/MAC_address on interface
 

重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理はディセーブルになります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。ただし、その重複アドレスに関連付けられたすべての設定コマンドは、アドレスの状態が DUPLICATE に設定されている間、設定されたままになります。

インターフェイスのリンクローカル アドレスに変更があると、新しいリンクローカル アドレスに対して重複アドレス検出が行われ、そのインターフェイスに関連付けられたその他すべての IPv6 アドレスが再生成されます(重複アドレス検出は、新しいリンクローカル アドレスだけに対して行われます)。

セキュリティ アプライアンスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。デフォルトでは、インターフェイスが重複アドレス検出を行う回数は 1 回です。

重複アドレス検出の試行回数を変更するには、次のコマンドを入力します。

hostname(config-if)# ipv6 nd dad attempts value
 

value 引数は 0 ~ 600 の任意の数字にできます。 value 引数を 0 に設定すると、インターフェイスの重複アドレス検出がディセーブルになります。

2 回以上重複アドレス検出試行を送信するようにインターフェイスを設定する場合、 ipv6 nd ns-interval コマンドを使用して、ネイバー送信要求メッセージの送信間隔を設定することもできます。このメッセージは、デフォルトでは 1000 ミリ秒間に 1 回送信されます。

ネイバー送信要求メッセージの送信間隔を変更するには、次のコマンドを入力します。

hostname(config-if)# ipv6 nd ns-interval value
 

value 引数には、1000 ~ 3600000 ミリ秒の値を指定できます。


) この値を変更すると、重複アドレス検出で使用されるものだけでなく、インターフェイスで送信されるすべてのネイバー送信要求メッセージで変更されます。


IPv6 デフォルト ルートおよびスタティック ルートの設定

ホストが接続されているインターフェイスが IPv6 に対応し、IPv6 ACL でトラフィックが許可されていれば、セキュリティ アプライアンスは、直接接続されているホスト間で IPv6 トラフィックを自動的にルーティングします。

セキュリティ アプライアンスはダイナミック ルーティング プロトコルをサポートしません。このため、IPv6 トラフィックを接続されていないホストやネットワークにルーティングするには、そのホストやネットワークへのスタティック ルートを定義するか、少なくともデフォルト ルートを定義する必要があります。スタティック ルートまたはデフォルト ルートが定義されていない場合、直接接続されていないホストやネットワークへのトラフィックは次のようなエラーメッセージを生成します。

%PIX|ASA-6-110001: No route to dest_address from source_address
 

デフォルト ルートとスタティック ルートは、 ipv6 route コマンドで追加できます。

IPv6 デフォルト ルートおよびスタティック ルートを設定するには、次の手順を実行します。


ステップ 1 デフォルト ルートを追加するには、次のコマンドを入力します。

hostname(config)# ipv6 route if_name ::/0 next_hop_ipv6_addr
 

アドレス ::/0 は、IPv6 で「any」と同じです。

ステップ 2 (オプション)IPv6 スタティック ルートを定義します。次のコマンドを使用して、IPv6 スタティック ルートを IPv6 ルーティング テーブルに追加します。

hostname(config)# ipv6 route if_name destination next_hop_ipv6_addr [admin_distance]
 

ipv6 route コマンドは、IPv4 スタティック ルートの定義に使用する route コマンドと同じように機能します。



 

IPv6 アクセス リストの設定

IPv6 アクセス リストの設定は、IPv4 アクセスの設定に似ていますが、IPv6 アドレスを使用するという違いがあります。

IPv6 アクセス リストを設定するには、次の手順を実行します。


ステップ 1 アクセス エントリを作成します。アクセス リストを作成するには、 ipv6 access-list コマンドを使用して、アクセス リストのエントリを作成します。このコマンドには 2 つの主な形式があり、いずれかを選択できます。1 つは、特に ICMP トラフィック用のアクセス リスト エントリを作成する形式で、もう 1 つは、その他のすべての種類の IP トラフィック用のアクセス リスト エントリを作成する形式です。

特に ICMP トラフィック用の IPv6 アクセス リスト エントリを作成するには、次のコマンドを入力します。

hostname(config)# ipv6 access-list id [line num] {permit | deny} icmp source destination [icmp_type]
 

IPv6 アクセス リスト エントリを作成するには、次のコマンドを入力します。

hostname(config)# ipv6 access-list id [line num] {permit | deny} protocol source [src_port] destination [dst_port]
 

ipv6 access-list コマンドの引数について説明します。

id:アクセス リストの名前。1 つのアクセス リストに複数のエントリを入力する場合は、各コマンドで同じ id を使用します。

line num :アクセス リストにエントリを追加するときに、そのエントリを入力するリスト内の行番号を指定できます。

permit | deny :指定したトラフィックの通過をブロックするか、許可するかを決定します。

icmp :アクセス リスト エントリを ICMP トラフィックに適用するかどうかを示します。

protocol :アクセス リスト エントリで制御するトラフィックを指定します。IP プロトコルの名前( ip tcp 、または udp )または番号(1 ~ 254)を使用できます。 object-group grp_id を使用して、プロトコル オブジェクト グループを指定することもできます。

source および destination :トラフィックの送信元または宛先を指定します。送信元または宛先には、アドレス範囲を示す prefix / length 形式の IPv6 プレフィクス、任意のアドレスを指定するキーワード any 、または host host_ipv6_addr で指定された特定のホストを使用できます。

src_port および dst_port :送信元ポートおよび宛先ポート(またはサービス)引数。演算子(より小さいを表す lt 、より大きいを表す gt 、等しいを表す eq 、等しくないを表す neq 、両端を含む範囲を表す range )の後ろにスペースとポート番号を続けます( range キーワードの場合は、2 つのポート番号をスペースで区切ります)。

icmp_type :アクセス規則によってフィルタリングされる ICMP メッセージ タイプを指定します。値は、有効な ICMP タイプ番号(0 ~ 155)または 付録 C「アドレス、プロトコル、およびポート」 で示す ICMP タイプ リテラルのいずれかにできます。 object-group id を使用して、ICMP オブジェクト グループを指定することもできます。

ステップ 2 アクセス リストをインターフェイスに適用するには、次のコマンドを入力します。

hostname(config)# access-group access_list_name {in | out} interface if_name
 


 

IPv6 近隣探索の設定

IPv6 近隣探索プロセスでは、ICMPv6 メッセージと送信要求ノード マルチキャスト アドレスを使用して、同一ネットワーク(ローカル リンク)上にあるネイバーのリンクレイヤ アドレスを判別し、ネイバーの到達可能性を検証して、隣接ルータの状態を追跡し続けます。

この項は、次の内容で構成されています。

「ネイバー送信要求メッセージの設定」

「ルータ アドバタイズメント メッセージの設定」

ネイバー送信要求メッセージの設定

ローカル リンク上にある他のノードのリンクレイヤ アドレスを検出するため、ノードからネイバー送信要求メッセージ(ICMPv6 Type 135)がローカル リンクに送信されます。ネイバー送信要求メッセージは送信要求ノード マルチキャスト アドレスに送信されます。ネイバー送信要求メッセージ内の送信元アドレスは、ネイバー送信要求メッセージを送信したノードの IPv6 アドレスです。ネイバー送信要求メッセージには、送信元ノードのリンクレイヤ アドレスも含まれています。

ネイバー送信要求メッセージを受信すると、宛先ノードは、ネイバー アドバタイズメント メッセージ(ICPMv6 Type 136)をローカル リンク上に送信して応答します。ネイバー アドバタイズメント メッセージ内の送信元アドレスは、ネイバー アドバタイズメント メッセージを送信したノードの IPv6 アドレスです。宛先アドレスは、ネイバー送信要求メッセージを送信したノードの IPv6 アドレスです。ネイバー アドバタイズメント メッセージのデータ部分には、ネイバー アドバタイズメント メッセージを送信したノードのリンクレイヤ アドレスが含まれています。

送信元ノードがネイバー アドバタイズメントを受信すると、送信元ノードと宛先ノードとの通信が可能になります。図 13-1 にネイバー送信要求と応答のプロセスを示します。

図 13-1 IPv6 近隣探索:ネイバー送信要求メッセージ

 

ネイバー送信要求メッセージは、ネイバーのリンクレイヤ アドレスを特定した後に、ネイバーの到達可能性を検証するためにも使用します。あるノードがネイバーの到達可能性を検証する場合、ネイバー送信要求メッセージ内の宛先アドレスはネイバーのユニキャスト アドレスです。

ネイバー アドバタイズメント メッセージは、ローカル リンクのノードのリンクレイヤ アドレスに変更があった場合にも送信されます。そのような変更があった場合、ネイバー アドバタイズメントの宛先アドレスは All-Nodes マルチキャスト アドレスになります。

ネイバー送信要求メッセージの送信間隔とネイバー到達可能時間は、インターフェイスごとに設定できます。詳細については、次の項目を参照してください。

「ネイバー送信要求メッセージの送信間隔の設定」

「ネイバー到達可能時間の設定」

ネイバー送信要求メッセージの送信間隔の設定

インターフェイスに IPv6 ネイバー送信要求メッセージを再送信する間隔を設定するには、次のコマンドを入力します。

hostname(config-if)# ipv6 nd ns-interval value
 

value 引数の有効な値は、1000 ~ 3600000 ミリ秒です。デフォルト値は 1000 ミリ秒です。

この設定は、ルータ アドバタイズメント メッセージでも送信されます。

ネイバー到達可能時間の設定

ネイバー到達可能時間を設定すると、使用できないネイバーを検出できます。時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワーク デバイスの処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。

到達可能性確認イベントが発生した後でリモートの IPv6 ノードを到達可能と見なす時間を設定するには、次のコマンドを入力します。

hostname(config-if)# ipv6 nd reachable-time value
 

value 引数の有効な値は、0 ~ 3600000 ミリ秒です。デフォルトは 0 です。

この情報は、ルータ アドバタイズメント メッセージでも送信されます。

value に 0 を使用すると、到達可能時間が判定不能として送信されます。到達可能時間の値の設定および追跡は、受信デバイスで決まります。この値を 0 に設定した場合に、セキュリティ アプライアンスで使用される時間を確認するには、 show ipv6 interface コマンドを使用して、IPv6 インターフェイスに関する情報を表示します。使用中の ND 到達可能時間も含まれています。

ルータ アドバタイズメント メッセージの設定

ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、セキュリティ アプライアンスの IPv6 が設定された各インターフェイスから定期的に送信されます。ルータ アドバタイズメント メッセージは All-Nodes マルチキャスト アドレスに送信されます。

図 13-2 IPv6 近隣探索:ルータ アドバタイズメント メッセージ

 

ルータ アドバタイズメント メッセージには、通常、次の情報が含まれています。

ローカル リンク上のノードが IPv6 アドレスを自動設定するために使用できる 1 つ以上の IPv6 プレフィクス。

アドバタイズメントに含まれるプレフィクスごとのライフタイム情報。

実行できる自動設定のタイプを示すフラグのセット(ステートレスまたはステートフル)。

デフォルト ルータ情報(アドバタイズメントを送信するルータをデフォルト ルータとして使用する必要があるかどうか、デフォルト ルータであれば、そのルータをデフォルト ルータとして使用する秒単位の時間)。

ホストに関する追加情報。たとえば、ホストから発信するパケットで使用するホップ制限や MTU など。

特定のリンク上でのネイバー送信要求メッセージの再送信間隔。

ノードがネイバーを到達可能と見なす時間。

ルータ アドバタイズメントもルータ送信要求メッセージに応答して送信されます(ICMPv6 Type 133)。ルータ送信要求メッセージは、ホストからシステムの起動時に送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定を行うことができます。ルータ送信要求メッセージは、通常システムの起動時にホストから送信され、ホストには設定済みのユニキャスト アドレスがないため、ルータ送信要求メッセージ内の送信元アドレスは通常未指定 IPv6 アドレスとなります(0:0:0:0:0:0:0:0)。ホストに設定済みのユニキャスト アドレスがある場合、ルータ送信要求メッセージを送信するインターフェイスのユニキャスト アドレスが、メッセージ内の送信元アドレスとして使用されます。ルータ送信要求メッセージ内の宛先アドレスは、リンクの範囲を指定した All-Routers マルチキャスト アドレスです。ルータ送信要求に応答してルータ アドバタイズメントが送信される場合、ルータ アドバタイズメント メッセージ内の宛先アドレスはルータ送信要求メッセージの送信元のユニキャスト アドレスです。

次の設定値をルータ アドバタイズ メントメッセージに対して設定できます。

ルータ アドバタイズメント メッセージの定期的な時間間隔。

ルータ ライフタイム値。これは IPv6 ノードがセキュリティ アプライアンスをデフォルト ルータと見なす時間を示します。

リンクで使用されている IPv6 ネットワークのプレフィクス。

ルータ アドバタイズメント メッセージをインターフェイスが送信するかどうか。

特に指定のない限り、ルータ アドバタイズメント メッセージ設定はインターフェイス固有のものであり、インターフェイス コンフィギュレーション モードで入力されます。この設定の変更方法については、次の項目を参照してください。

「ルータ アドバタイズメントの送信間隔の設定」

「ルータ ライフタイム値の設定」

「IPv6 プレフィクスの設定」

「ルータ アドバタイズメント メッセージの抑止」

ルータ アドバタイズメントの送信間隔の設定

ルータ アドバタイズメントは、デフォルトでは 200 秒ごとに送信されます。インターフェイスでのルータ アドバタイズメントの送信間隔を変更するには、次のコマンドを入力します。

ipv6 nd ra-interval [msec] value
 

有効値の範囲は 3 ~ 1800 秒です( msec キーワードを使用している場合は 500 ~ 1800000 ミリ秒)。

ipv6 nd ra-lifetime コマンドを使用してセキュリティ アプライアンスがデフォルト ルータとして設定されている場合、送信間隔は IPv6 ルータ アドバタイズメント ライフタイム以下にする必要があります。他の IPv6 ノードと同期しないようにするには、実際に使用されている値を必要な値の 20% 以内にランダムに調整します。

ルータ ライフタイム値の設定

ルータ ライフタイム値は、ローカル リンク上のノードがセキュリティ アプライアンスをそのリンクのデフォルト ルータと見なす時間を指定します。

ルータ ライフタイム値をインターフェイスの IPv6 ルータ アドバタイズメントに設定するには、次のコマンドを入力します。

hostname(config-if)# ipv6 nd ra-lifetime seconds
 

有効値の範囲は 0 ~ 9000 秒です。デフォルトは 1800 秒です。0 を入力すると、セキュリティ アプライアンスは選択したインターフェイスのデフォルト ルータと見なされません。

IPv6 プレフィクスの設定

ステートレス自動設定では、ルータ アドバタイズメント メッセージで提供される IPv6 プレフィクスを使用して、リンクローカル アドレスからグローバル ユニキャスト アドレスを作成します。

IPv6 ルータ アドバタイズメントに含める IPv6 プレフィクスを設定するには、次のコマンドを入力します。

hostname(config-if)# ipv6 nd prefix ipv6-prefix/prefix-length

) ステートレス自動設定が正しく機能するには、ルータ アドバタイズメント メッセージでアドバタイズされたプレフィクス長が常に 64 ビットでなければなりません。


ルータ アドバタイズメント メッセージの抑止

デフォルトでは、ルータ アドバタイズメント メッセージは、ルータ送信要求メッセージへの応答として自動的に送信されます。セキュリティ アプライアンスで IPv6 プレフィクスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージをディセーブルにできます。

インターフェイスでの IPv6 ルータ アドバタイズメントの送信を抑止するには、次のコマンドを入力します。

hostname(config-if)# ipv6 nd suppress-ra
 

このコマンドを入力すると、リンク上でセキュリティ アプライアンスは IPv6 ルータではなく、通常の IPv6 ネイバーのように見えるようになります。

スタティック IPv6 ネイバーの設定

ネイバーを手動で IPv6 ネイバー キャッシュに定義できます。指定された IPv6 アドレスのエントリがすでに近隣探索キャッシュにある場合、つまり IPv6 近隣探索プロセスで取得されている場合、そのエントリが自動的にスタティック エントリに変換されます。IPv6 近隣探索キャッシュ内のスタティック エントリが近隣探索プロセスによって変更されることはありません。

IPv6 近隣探索キャッシュにスタティック エントリを設定するには、次のコマンドを入力します。

hostname(config-if)# ipv6 neighbor ipv6_address if_name mac_address
 

ipv6_address 引数にはネイバーのリンクローカル IPv6 アドレス、 if_name 引数にはネイバーを使用可能にするためのインターフェイス、 mac_address 引数にはネイバー インターフェイスの MAC アドレスを指定します。


clear ipv6 neighbors コマンドは、スタティック エントリを IPv6 近隣探索キャッシュから削除しません。ダイナミック エントリを消去するだけです。


IPv6 コンフィギュレーションの確認

この項では、IPv6 コンフィギュレーションを確認する方法について説明します。さまざまな show コマンドを使用して、IPv6 設定を確認できます。

この項は、次の内容で構成されています。

「show ipv6 interface コマンド」

「show ipv6 route コマンド」

show ipv6 interface コマンド

IPv6 インターフェイス設定を表示するには、次のコマンドを入力します。

hostname# show ipv6 interface [if_name]
 

「outside」などのインターフェイス名を含めると、指定したインターフェイスの設定が表示されます。コマンドに名前を含めないと、IPv6 がイネーブルになっているすべてのインターフェイスの設定が表示されます。コマンドの出力では、次の項目が表示されます。

インターフェイスの名前とステータス

リンクローカルおよびグローバルなユニキャスト アドレス

インターフェイスが属するマルチキャスト グループ

ICMP リダイレクトおよびエラー メッセージの設定

近隣探索の設定

次に、 show ipv6 interface コマンドの出力例を示します。

hostname# show ipv6 interface
 
ipv6interface is down, line protocol is down
IPv6 is enabled, link-local address is fe80::20d:88ff:feee:6a82 [TENTATIVE]
No global unicast address is configured
Joined group address(es):
ff02::1
ff02::1:ffee:6a82
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
 

show interface コマンドは、インターフェイスの IPv4 設定だけを表示します。インターフェイスの IPv6 コンフィギュレーションを表示するには、show ipv6 interface コマンドを使用する必要があります。show ipv6 interface コマンドでは、インターフェイスの IPv4 設定は表示されません(そのインターフェイスで両方のタイプのアドレスが設定されている場合)。


show ipv6 route コマンド

IPv6 ルーティング テーブルのルートを表示するには、次のコマンドを入力します。

hostname# show ipv6 route
 

show ipv6 route コマンドの出力は、IPv4 の show route コマンドに似ています。次の情報が表示されます。

ルートを導出したプロトコル

リモート ネットワークの IPv6 プレフィクス

ルートの管理ディスタンスとメトリック

ネクストホップ ルータのアドレス

ネクストホップ ルータから指定のネットワークに到達するためのインターフェイス

次に、 show ipv6 route コマンドの出力例を示します。

hostname# show ipv6 route
 
IPv6 Routing Table - 7 entries
Codes: C - Connected, L - Local, S - Static
L fe80::/10 [0/0]
via ::, inside
L fec0::a:0:0:a0a:a70/128 [0/0]
via ::, inside
C fec0:0:0:a::/64 [0/0]
via ::, inside
L ff00::/8 [0/0]
via ::, inside