Cisco Security Appliance コマンド ライン コンフィギュレーション ガイド Version 7.0(4)
IPv6 の設定
IPv6 の設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

IPv6 の設定

IPv6 対応のコマンド

インターフェイスでの IPv6 の設定

IPv6 デフォルト ルートおよびスタティック ルートの設定

IPv6 アクセスリストの設定

IPv6 コンフィギュレーションの確認

show ipv6 interface コマンド

show ipv6 route コマンド

インターフェイスでのデュアル IP スタックの設定

IPv6 コンフィギュレーションの例

IPv6 の設定

この章では、セキュリティ アプライアンスで IPv6 をイネーブルにする方法および設定する方法について説明します。IPv6 は、ルーテッド ファイアウォール モードでのみ使用できます。

次の事項について説明します。

「IPv6 対応のコマンド」

「インターフェイスでの IPv6 の設定」

「IPv6 デフォルト ルートおよびスタティック ルートの設定」

「IPv6 アクセスリストの設定」

「IPv6 コンフィギュレーションの確認」

「インターフェイスでのデュアル IP スタックの設定」

「IPv6 コンフィギュレーションの例」

IPv6 対応のコマンド

次に示すセキュリティ アプライアンスのコマンドは、IPv6 アドレスの受け入れと表示が可能です。

capture

configure

copy

http

name

object-group

ping

show conn

show local-host

show tcpstat

ssh

telnet

tftp-server

who

write

IPv6 アドレスをサポートするコマンドに IPv6 アドレスを入力するときは、単純に、標準 IPv6 表記で IPv6 アドレスを入力します( ping fe80::2e0:b6ff:fe01:3b7a など)。セキュリティ アプライアンスは、IPv6 アドレスを正しく認識し、処理します。ただし、次の場合は、IPv6 アドレスを角カッコ([ ])で囲む必要があります。

アドレスとポート番号を指定する必要がある場合(e [fe80::2e0:b6ff:fe01:3b7a]:8080 など)

write net コマンド、 config net コマンドなど、コマンドの区切り記号としてコロンを使用する場合( configure net [fe80::2e0:b6ff:fe01:3b7a]:/tftp/config/pixconfig など)

次のコマンドは、IPv6 で動作するように変更されました。

debug

fragment

ip verify

mtu

icmp( ipv6 icmp と入力されます)

次の検査エンジンは、IPv6 をサポートします。

FTP

HTTP

ICMP

SMTP

TCP

UDP

インターフェイスでの IPv6 の設定

少なくとも、各インターフェイスに IPv6 リンクローカル アドレスを設定する必要があります。さらに、サイトローカル アドレスおよびグローバル アドレスをインターフェイスに追加できます。


) セキュリティ アプライアンスは、IPv6 エニーキャスト アドレスはサポートしません。


1 つのインターフェイスに IPv6 アドレスと IPv4 アドレスの両方を設定できます。

インターフェイスに IPv6 を設定するには、次の手順を実行します。


ステップ 1 IPv6 アドレスを設定するインターフェイスに対応するインターフェイス コンフィギュレーション モードに入ります。

hostname(config)# interface if
 

ステップ 2 インターフェイスの IPv6 アドレスを設定します。1 つのインターフェイスに複数の IPv6 アドレス(IPv6 リンクローカル アドレス、サイトローカル アドレス、グローバル アドレスなど)を割り当てることができます。ただし、少なくとも、リンクローカル アドレスを設定する必要があります。

インターフェイスの IPv6 アドレスを設定するには、いくつかの方法があります。次の方法から、要件に合った方法を選びます。

最も単純な方法は、インターフェイスでステートレスな自動設定をイネーブルにする方法です。インターフェイスでステートレスな自動設定をイネーブルにすると、ルータ アドバタイズメント メッセージで受信したプレフィックスに基づいて IPv6 アドレスが設定されます。ステートレスな自動設定がイネーブルになっている場合、インターフェイスのリンクローカル アドレスは、Modified EUI-64 インターフェイス ID に基づいて自動的に生成されます。ステートレスな自動設定をイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# ipv6 address autoconfig
 

インターフェイスのリンクローカル アドレスだけを設定する必要があり、その他の IPv6 アドレスをインターフェイスに割り当てない場合は、手動でリンクローカル アドレスを定義するか、インターフェイス MAC アドレス(Modified EUI-64 形式)に基づいて生成するかを選択できます。

リンクローカル アドレスを手動で指定するには、次のコマンドを入力します。

hostname(config-if)# ipv6 address ipv6-address link-local
 

インターフェイスで IPv6 をイネーブルにして、インターフェイス MAC アドレスに基づく Modified EUI-64 インターフェイス ID を使用してリンクローカル アドレスを生成するには、次のコマンドを入力します。

hostname(config-if)# ipv6 enable
 

) インターフェイスで、その他の ipv6 address コマンドを入力した場合は、ipv6 enable コマンドを使用する必要はありません。IPv6 サポートは、インターフェイスに IPv6 アドレスが割り当てられるとすぐに、自動的にイネーブルになります。


サイトローカル アドレスまたはグローバル アドレスをインターフェイスに割り当てます。サイトローカル アドレスまたはグローバル アドレスを割り当てると、リンクローカル アドレスが自動的に作成されます。グローバル アドレスまたはサイトローカル アドレスをインターフェイスに追加するには、次のコマンドを入力します。アドレスの下位 64 ビットに Modified EUI-64 インターフェイス ID を使用する場合は、オプションの eui-64 キーワードを使用します。

hostname(config-if)# ipv6 address ipv6-address [eui-64]
 

ステップ 3 (オプション)インターフェイスでルータ アドバタイズメント メッセージを抑止します。デフォルトでは、ルータ アドバタイズメント メッセージは、ルータ送信要求メッセージへの応答として自動的に送信されます。セキュリティ アプライアンスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージをディセーブルにできます。

インターフェイスでルータ アドバタイズメント メッセージを抑止するには、次のコマンドを入力します。

hostname(config-if)# ipv6 nd suppress-ra
 


 

インターフェイスに適用される IPv6 アドレスの例については、「IPv6 コンフィギュレーションの例」を参照してください。

IPv6 デフォルト ルートおよびスタティック ルートの設定

IPv6 ユニキャスト ルーティングは、常にイネーブルです。インターフェイスが IPv6 対応で、IPv6 ACL でトラフィックが許可されている場合、セキュリティ アプライアンスはそのインターフェイス間の IPv6 トラフィックをルーティングします。デフォルト ルートとスタティック ルートは、 ipv6 route コマンドで追加できます。

IPv6 デフォルト ルートおよびスタティック ルートを設定するには、次の手順を実行します。


ステップ 1 デフォルト ルートを追加するには、次のコマンドを使用します。

hostname(config)# ipv6 route interface_name ::/0 next_hop_ipv6_addr
 

アドレス ::/0 は、IPv6 で「any」と同じです。

ステップ 2 (オプション)IPv6 スタティック ルートを定義します。次のコマンドを使用して、IPv6 スタティック ルートを IPv6 ルーティング テーブルに追加します。

hostname(config)# ipv6 route if_name destination next_hop_ipv6_addr [admin_distance]
 

ipv6 route コマンドは、IPv4 スタティック ルートの定義に使用する route コマンドと同じように機能します。



 

デフォルト ルートの設定に使用する ipv6 route コマンドの例については、「IPv6 コンフィギュレーションの例」を参照してください。

IPv6 アクセスリストの設定

IPv6 アクセスリストの設定は、IPv4 アクセスの設定に似ていますが、IPv6 アドレスを使用するという違いがあります。

IPv6 アクセスリストを設定するには、次の手順を実行します。


ステップ 1 アクセス エントリを作成します。アクセスリストを作成するには、 ipv6 access-list コマンドを使用して、アクセスリストのエントリを作成します。このコマンドには 2 つの主な形式があり、いずれかを選択できます。1 つは、特に ICMP トラフィック用のアクセスリスト エントリを作成する形式で、もう 1 つは、その他のすべての種類の IP トラフィック用のアクセスリスト エントリを作成する形式です。

特に ICMP トラフィック用の IPv6 アクセスリスト エントリを作成するには、次のコマンドを入力します。

hostname(config)# ipv6 access-list id [line num] {permit | deny} icmp source destination [icmp_type]
 

IPv6 アクセスリスト エントリを作成するには、次のコマンドを入力します。

hostname(config)# ipv6 access-list id [line num] {permit | deny} protocol source [src_port] destination [dst_port]
 

ipv6 access-list コマンドの引数について説明します。

id:アクセスリストの名前。1 つのアクセスリストに複数のエントリを入力する場合は、各コマンドで同じ id を使用します。

line num :アクセスリストにエントリを追加するときに、そのエントリを入力するリスト内の行番号を指定できます。

permit | deny :指定したトラフィックの通過をブロックするか、許可するかを決定します。

icmp :アクセスリスト エントリを ICMP トラフィックに適用するかどうかを示します。

protocol :アクセスリスト エントリで制御するトラフィックを指定します。IP プロトコルの名前( ip tcp 、または udp )または番号(1 ~ 254)を使用できます。 object-group grp_id を使用して、プロトコル オブジェクト グループを指定することもできます。

source および destination :トラフィックの送信元または宛先を指定します。送信元または宛先には、アドレス範囲を示す prefix / length 形式の IPv6 プレフィックス、任意のアドレスを指定するキーワード any 、または host host_ipv6_addr で指定された特定のホストを使用できます。

src_port および dst_port :送信元および宛先ポート(またはサービス)引数。演算子(より小さいを表す lt 、より大きいを表す gt 、等しいを表す eq 、等しくないを表す neq 、両端を含む範囲を表す range )の後ろにスペースとポート番号を続けます( range キーワードの場合は、2 つのポート番号をスペースで区切ります)。

icmp_type :アクセス規則によってフィルタリングされる ICMP メッセージ タイプを指定します。値は、有効な ICMP タイプ番号(0 ~ 155)または 付録D「アドレス、プロトコル、およびポート」 で示す ICMP タイプ リテラルのいずれかにできます。 object-group id を使用して、ICMP オブジェクト グループを指定することもできます。

ステップ 2 アクセスリストをインターフェイスに適用するには、次のコマンドを入力します。

hostname(config)# access-group access_list_name {in | out} interface if_name
 


 

IPv6 アクセスリストの例については、「IPv6 コンフィギュレーションの例」を参照してください。

IPv6 コンフィギュレーションの確認

この項では、IPv6 コンフィギュレーションを確認する方法について説明します。さまざまな show コマンドを使用して、IPv6 設定を確認できます。

ここでは、次の項目について説明します。

「show ipv6 interface コマンド」

「show ipv6 route コマンド」

show ipv6 interface コマンド

IPv6 インターフェイス設定を表示するには、次のコマンドを入力します。

hostname# show ipv6 interface [if_name]
 

「outside」などのインターフェイス名を含めると、指定したインターフェイスの設定が表示されます。コマンドに名前を含めないと、IPv6 がイネーブルになっているすべてのインターフェイスの設定が表示されます。コマンドの出力では、次の項目が表示されます。

インターフェイスの名前とステータス。

リンクローカルおよびグローバルなユニキャスト アドレス

インターフェイスが属するマルチキャスト グループ

ICMP リダイレクトおよびエラー メッセージの設定

近隣探索の設定

次に、 show ipv6 interface コマンドの出力例を示します。

hostname# show ipv6 interface
 
ipv6interface is down, line protocol is down
IPv6 is enabled, link-local address is fe80::20d:88ff:feee:6a82 [TENTATIVE]
No global unicast address is configured
Joined group address(es):
ff02::1
ff02::1:ffee:6a82
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
 

show interface コマンドは、インターフェイスの IPv4 設定のみを表示します。インターフェイスの IPv6 コンフィギュレーションを表示するには、show ipv6 interface コマンドを使用する必要があります。show ipv6 interface コマンドでは、インターフェイスの IPv4 設定は表示されません(そのインターフェイスで両方が設定されている場合)。


show ipv6 route コマンド

IPv6 ルーティング テーブルのルートを表示するには、次のコマンドを入力します。

hostname# show ipv6 route
 

show ipv6 route コマンドの出力は、IPv4 の show route コマンドに似ています。次の情報が表示されます。

ルートを導出したプロトコル

リモート ネットワークの IPv6 プレフィックス

ルートの管理ディスタンスとメトリック

ネクストホップ ルータのアドレス

ネクストホップ ルータから指定のネットワークに到達するためのインターフェイス

次に、 show ipv6 route コマンドの出力例を示します。

hostname# show ipv6 route
 
IPv6 Routing Table - 7 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
L fe80::/10 [0/0]
via ::, inside
L fec0::a:0:0:a0a:a70/128 [0/0]
via ::, inside
C fec0:0:0:a::/64 [0/0]
via ::, inside
L ff00::/8 [0/0]
via ::, inside
 

インターフェイスでのデュアル IP スタックの設定

セキュリティ アプライアンスは、1 つのインターフェイス上で IPv6 と IPv4 の両方のコンフィギュレーションをサポートします。そのために特別なコマンドを入力する必要はありません。単純に、IPv4 コンフィギュレーション コマンドと IPv6 コンフィギュレーション コマンドを通常と同じように入力します。IPv4 と IPv6 の両方で、デフォルト ルートを設定してください。

IPv6 コンフィギュレーションの例

例9-1 で、IPv6 コンフィギュレーションの機能をいくつか示します。

各インターフェイスに IPv6 と IPv4 の両方のアドレスが設定されています。

ipv6 route コマンドで IPv6 デフォルト ルートが設定されています。

IPv6 アクセスリストが外部インターフェイスに適用されています。

例9-1 IPv6 コンフィギュレーションの例

interface Ethernet0
speed auto
duplex auto
nameif outside
security-level 0
ip address 16.142.10.100 255.255.255.0
ipv6 address 2001:400:3:1::100/64
ipv6 nd suppress-ra
ospf mtu-ignore auto
!
interface Ethernet1
speed auto
duplex auto
nameif inside
security-level 100
ip address 16.140.10.100 255.255.255.0
ipv6 address 2001:400:1:1::100/64
ospf mtu-ignore auto
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname coyupix
boot system flash:/cdisk.7.0.0.16
ftp mode passive
names
access-list allow extended permit icmp any any
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
ipv6 route outside ::/0 2001:400:3:1::1
ipv6 access-list outacl permit icmp6 2001:400:2:1::/64 2001:400:1:1::/64
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq telnet
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq ftp
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq www
no failover
monitor-interface outside
monitor-interface inside
asdm image
no asdm history enable
arp timeout 14400
access-group allow in interface outside
access-group outacl in interface outside
route outside 0.0.0.0 0.0.0.0 16.142.10.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:02:00 rpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
fragment size 200 outside
fragment chain 24 outside
fragment size 200 inside
fragment chain 24 inside
sysopt nodnsalias inbound
sysopt nodnsalias outbound
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect smtp
inspect sqlnet
inspect sip
inspect skinny
inspect rpc
inspect xdmcp
inspect netbios
inspect mgcp
inspect tftp
inspect snmp
!
terminal width 80
service-policy global_policy global
Cryptochecksum:00000000000000000000000000000000
: end