ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
IPv6 ネイバーの設定
IPv6 ネイバーの設定
発行日;2012/02/01 | 英語版ドキュメント(2010/01/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

IPv6 ネイバーの設定

IPv6 ネイバー検出について

IPv6 スタティック ネイバーの追加

IPv6 ネイバー検出の設定

ネイバー送信要求メッセージの設定

IPv6 ネイバー送信要求メッセージ間隔の設定

IPv6 ネイバー到達可能時間の設定

ルータ アドバタイズメント メッセージの設定

ルータ アドバタイズメントの送信間隔の設定

ルータ ライフタイム値の設定

ルータ アドバタイズメント メッセージの抑止

スタティック ネイバーの編集および削除

スタティック ネイバーの編集

スタティック ネイバーの削除

ダイナミック ネイバーの表示と削除

IPv6 ネイバーの設定

この章では、IPv6 ネイバー検出について説明します。IPv6 ネイバーの追加方法およびネイバー送信要求メッセージの設定方法を説明します。

この章には、次の項があります。

「IPv6 ネイバー検出について」

「IPv6 スタティック ネイバーの追加」

「IPv6 ネイバー検出の設定」

「スタティック ネイバーの編集および削除」

「ダイナミック ネイバーの表示と削除」

IPv6 ネイバー検出について

ノード(ホスト)はネイバー検出を使用して、添付されたリンクに常駐し、無効になったキャッシュ値を素早くパージすることがわかっているネイバーのリンク層アドレスを判断します。また、ホストはネイバー検出を使用して、ホストに代わってパケットを転送しようとしている隣接ルータを検出します。最後に、ノードはプロトコルを使用して、どのネイバーに到達可能で、どのネイバーに到達できないかアクティブに記録し、変更されたリンク層アドレスを検出します。ルータまたはルータへのパスが失敗すると、ホストは機能している代替ルータまたは代替パスをアクティブに検索します。

ネイバー検出プロセスでは、IPv6(ICMPv6)メッセージおよび送信要求ノード マルチキャスト アドレスが使用されます。すべての IPv6 ノードは、そのユニキャストおよびキャスト アドレスに対応しているマルチキャスト グループに加入する必要があります。

ノードが同じローカル リンク上の別のノードのリンク層アドレスを判断しようとしている場合、ネイバー送信要求メッセージがローカル リンク上で送信されます。この機能は IPv4 の ARP に似ていますが、IPv4 ARP メッセージで使用されているブロードキャストが回避されます。この場合、すべてのノードで関係ない不要なブロードキャスト要求が受信されます。送信元ノードは、宛先ノードの IPv6 アドレスの右端 24 ビットを取得し、ネイバー送信要求メッセージをローカル リンク上の送信要求ノード マルチキャスト グループ アドレスに送信します。宛先ノードは、そのリンク層アドレスに応答します。ネイバー送信要求メッセージを送信するには、送信元ノードは最初に DNS などのネーミング サービス メカニズムを使用して、宛先ノードの IPv6 ユニキャスト アドレスを識別する必要があります。ネイバー送信要求メッセージは、ネイバーのリンク層アドレスを特定した後に、ネイバーの到達可能性を検証するためにも使用します。

ネイバー アドバタイズメント メッセージは、ネイバー送信要求メッセージへの応答です。ネイバー送信要求メッセージの受信後、宛先ノードはローカル リンク上でネイバー アドバタイズメント メッセージを送信することで応答します。ネイバー アドバタイズメント受信後、送信元ノードと宛先ノードは通信できます。ネイバー アドバタイズメント メッセージは、ローカル リンクのノードのリンク層アドレスに変更があった場合にも送信されます。

ノードはネイバー検出キャッシュに手動で追加できます。

IPv6 スタティック ネイバーの追加

ネイバーを追加しようとする前に、少なくとも 1 つのインターフェイスで IPv6 がイネーブルになっていることを確認します。そうしないと、ASDM によって、設定が失敗したというエラー メッセージが返されます。インターフェイスでの IPv6 の設定については、「インターフェイスの設定」を参照してください。

IPv6 ネイバー検出の詳細については、「IPv6 ネイバー検出について」を参照してください。

IPv6 スタティック ネイバーを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Advanced] > [IPv6 Neighbor Discovery Cache] を選択します。

ステップ 2 [Add] をクリックします。

[Add IPv6 Static Neighbor] ダイアログボックスが表示されます。

ステップ 3 [Interface Name] ドロップダウン リストから、ネイバーを追加するインターフェイスを選択します。

ステップ 4 [IP Address] フィールドにローカル データリンク アドレスに対応する IPv6 アドレスを入力するか、省略符号( [...] )をクリックしてアドレスを参照します。

ネイバー検出キャッシュに指定した IPv6 アドレスのエントリがすでに存在する(IPv6 ネイバー検出プロセスを通じて取得された)場合は、そのエントリは自動的にスタティック エントリに変換されます。

ステップ 5 [MAC address] フィールドに、ローカルのデータ回線(ハードウェア) MAC アドレスを入力します。

ステップ 6 [OK] をクリックします。


) 変更を適用し、コンフィギュレーションを保存する前に、[Reset] をクリックすると、変更をすべてキャンセルし元の値を復元できます。


ステップ 7 [Apply] をクリックして、コンフィギュレーションを保存します。


 

IPv6 ネイバー検出の設定

IPv6 ネイバー検出プロセスは、ICMPv6 メッセージおよび送信要求ノード マルチキャスト アドレスを使用して、同じネットワーク(ローカル リンク)上のネイバーのリンク層アドレスを決定し、ネイバーの到達可能性を確認し、ネイバー ルータを追跡します。IPv6 スタティック ネイバー追加の詳細については、「IPv6 スタティック ネイバーの追加」を参照してください。IPv6 ネイバー検出の詳細については、「IPv6 ネイバー検出について」を参照してください。

この項は、次の内容で構成されています。

「ネイバー送信要求メッセージの設定」

「ルータ アドバタイズメント メッセージの設定」

ネイバー送信要求メッセージの設定

ローカル リンク上にある他のノードのリンク層アドレスを検出するため、ノードからネイバー送信要求メッセージ(ICMPv6 Type 135)がローカル リンクに送信されます。ネイバー送信要求メッセージが送信要求ノード マルチキャスト アドレスに送信されます。ネイバー送信要求メッセージの送信元アドレスは、ネイバー送信要求メッセージを送信しているノードの IPv6 アドレスです。ネイバー送信要求メッセージには、送信元ノードのリンク層アドレスも含まれています。

ネイバー送信要求メッセージを受信すると、宛先ノードは、ネイバー アドバタイズメント メッセージ(ICPMv6 Type 136)をローカルリンク上に送信して応答します。ネイバー アドバタイズメント メッセージ内の送信元アドレスは、ネイバー アドバタイズメント メッセージを送信したノードの IPv6 アドレスです。宛先アドレスは、ネイバー送信要求メッセージを送信したノードの IPv6 アドレスです。ネイバー アドバタイズメント メッセージのデータ部分には、ネイバー アドバタイズメント メッセージを送信したノードのリンク層アドレスが含まれています。

送信元ノードがネイバー アドバタイズメントを受信すると、送信元ノードと宛先ノードとの通信が可能になります。ネイバー送信要求メッセージは、ネイバーのリンク層アドレスを特定した後に、ネイバーの到達可能性を検証するためにも使用します。あるノードがネイバーの到達可能性を検証する場合、ネイバー送信要求メッセージ内の宛先アドレスはネイバーのユニキャスト アドレスです。

ネイバー アドバタイズメント メッセージは、ローカル リンクのノードのリンク層アドレスに変更があった場合にも送信されます。そのような変更があった場合、ネイバー アドバタイズメントの宛先アドレスは All-Nodes マルチキャスト アドレスになります。

ネイバー送信要求メッセージの送信間隔とネイバー到達可能時間は、インターフェイスごとに設定できます。詳細については、次の項目を参照してください。

「IPv6 ネイバー送信要求メッセージ間隔の設定」

「IPv6 ネイバー到達可能時間の設定」

IPv6 ネイバー送信要求メッセージ間隔の設定

インターフェイスに IPv6 ネイバー送信要求メッセージを再送信する間隔を設定できます。有効値の範囲は 1000 ~ 3600000 ミリ秒です。デフォルト値は 1000 ミリ秒です。この設定は、ルータ アドバタイズメント メッセージでも送信されます。

ネイバー送信要求メッセージの送信間隔を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] を選択します。

ステップ 2 ネイバー送信要求メッセージの送信間隔を設定するインターフェイスを選択します。このインターフェイスは、IPv6 アドレスを使用して設定されている必要があります。詳細については、「IPv6 ネイバー検出の設定」を参照してください。

ステップ 3 [Edit] をクリックします。

[General]、[Advanced]、および [IPv6] という 3 つのタブを持つ [Edit Interface] ダイアログボックスが表示されます。

ステップ 4 [IPv6] タブをクリックします。

ステップ 5 [NS Interval] フィールドで、時間間隔を入力します。

ステップ 6 [OK] をクリックします。

ステップ 7 [Apply] をクリックして、コンフィギュレーションを保存します。


 

IPv6 ネイバー到達可能時間の設定

ネイバー到達可能時間を設定すると、使用できないネイバーを検出できます。時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワーク デバイスの処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。

有効な時間の値の範囲は 0 ~ 3600000 ミリ秒です。デフォルトは 0 です。ただし、0 を使用すると、到達可能時間が判定不能として送信されます。到達可能時間の値の設定および追跡は、受信デバイスで決まります。

到達可能性確認イベントが発生した後でリモートの IPv6 ノードを到達可能と見なす時間を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] を選択します。

ステップ 2 時間を設定するインターフェイスを選択します。このインターフェイスは、IPv6 アドレスを使用して設定されている必要があります。詳細については、「IPv6 ネイバー検出の設定」を参照してください。

ステップ 3 [Edit] をクリックします。

[General]、[Advanced]、および [IPv6] という 3 つのタブを持つ [Edit Interface] ダイアログボックスが表示されます。

ステップ 4 [IPv6] タブをクリックします。

ステップ 5 [Rachable Time] フィールドに有効な値を入力します。

ステップ 6 [OK] をクリックします。

ステップ 7 [Apply] をクリックして、コンフィギュレーションを保存します。


 

ルータ アドバタイズメント メッセージの設定

ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、セキュリティ アプライアンスの各 IPv6 設定インターフェイスに定期的に送信されます。ルータ アドバタイズメント メッセージは All-Nodes マルチキャスト アドレスに送信されます。

 

ルータ アドバタイズメント メッセージには、通常、次の情報が含まれています。

ローカル リンク上のノードが IPv6 アドレスを自動設定するために使用できる 1 つまたは複数の IPv6 プレフィクス。

アドバタイズメントに含まれるプレフィクスごとのライフタイム情報。

実行できる自動設定のタイプを示すフラグのセット(ステートレスまたはステートフル)。

デフォルト ルータ情報(アドバタイズメントを送信するルータをデフォルト ルータとして使用する必要があるかどうか、デフォルト ルータであれば、そのルータをデフォルト ルータとして使用する秒単位の時間)。

ホストに関する追加情報。たとえば、ホストから発信するパケットで使用するホップ制限や MTU など。

特定のリンク上でのネイバー送信要求メッセージの再送信間隔。

ノードがネイバーを到達可能と見なす時間。

ルータ アドバタイズメントもルータ送信要求メッセージに応答して送信されます(ICMPv6 Type 133)。ルータ送信要求メッセージは、ホストからシステムの起動時に送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定を行うことができます。ルータ送信要求メッセージは、通常システムの起動時にホストから送信され、ホストには設定済みのユニキャストアドレスがないため、ルータ送信要求メッセージ内の送信元アドレスは通常未指定 IPv6 アドレスとなります(0:0:0:0:0:0:0:0)。ホストに設定済みのユニキャスト アドレスがある場合、ルータ送信要求メッセージを送信するインターフェイスのユニキャストアドレスが、メッセージ内の送信元アドレスとして使用されます。ルータ送信要求メッセージ内の宛先アドレスは、リンクの範囲を指定した All-Routers マルチキャスト アドレスです。ルータ送信要求に応答してルータ アドバタイズメントが送信される場合、ルータアドバタイズメント メッセージ内の宛先アドレスはルータ送信要求メッセージの送信元のユニキャスト アドレスです。

次の設定値をルータ アドバタイズメント メッセージに対して設定できます。

ルータ アドバタイズメント メッセージの定期的な時間間隔。

ルータ ライフタイム値。これは IPv6 ノードがセキュリティ アプライアンスをデフォルト ルータと見なす時間を示します。

リンクで使用されている IPv6 ネットワークのプレフィクス。

ルータ アドバタイズメント メッセージをインターフェイスが送信するかどうか。

特に指定のない限り、ルータ アドバタイズメント メッセージ設定はインターフェイス固有のものであり、インターフェイス設定モードで入力されます。これらの設定の変更の詳細については、次の項目を参照してください。

「ルータ アドバタイズメントの送信間隔の設定」

「ルータ ライフタイム値の設定」

「ルータ アドバタイズメント メッセージの抑止」

ルータ アドバタイズメントの送信間隔の設定

ルータ アドバタイズメントは、デフォルトでは 200 秒ごとに送信されます。有効値の範囲は 3 ~ 1800 秒です。

セキュリティ アプライアンスがデフォルト ルータとして設定されている場合、送信間隔は IPv6 ルータ アドバタイズメント ライフタイム以下にする必要があります。(「ルータ ライフタイム値の設定」を参照してください)。他の IPv6 ノードと同期しないようにするには、実際に使用されている値を必要な値の 20% 以内にランダムに調整します。

インターフェイスのルータ アドバタイズメントの送信間隔を変更するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] を選択します。

ステップ 2 時間を設定するインターフェイスを選択します。

このインターフェイスは、IPv6 アドレスを使用して設定されている必要があります。詳細については、「インターフェイスの設定」を参照してください。

ステップ 3 [Edit] をクリックします。

[General]、[Advanced]、および [IPv6] という 3 つのタブを持つ [Edit Interface] ダイアログボックスが表示されます。

ステップ 4 [IPv6] タブ をクリックします。

ステップ 5 [RA Interval] フィールドに、有効な送信間隔値を入力します。


) (オプション)秒単位のデフォルト値ではなく、ミリ秒単位のルータ アドバタイズメント送信間隔の値を追加するには、[RA Interval in Milliseconds] チェックボックスをオンにして、[RA Interval] フィールドに 500 ~ 1800000 の値を入力します。


ステップ 6 [OK] をクリックします。

ステップ 7 [Apply] をクリックして、コンフィギュレーションを保存します。


 

ルータ ライフタイム値の設定

ルータ ライフタイム値は、ローカル リンク上のノードがセキュリティ アプライアンスをそのリンクのデフォルト ルータと見なす時間を指定します。有効値の範囲は 0 ~ 9000 秒です。デフォルトは 1800 秒です。0 を入力すると、セキュリティ アプライアンスは選択したインターフェイスのデフォルト ルータと見なされません。

ルータ ライフタイム値をインターフェイスの IPv6 ルータ アドバタイズメントに設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] を選択します。

ステップ 2 ライフタイム値を設定するインターフェイスを選択します。

このインターフェイスは、IPv6 アドレスを使用して設定されている必要があります。詳細については、「インターフェイスの設定」を参照してください。

ステップ 3 [Edit] をクリックします。

[General]、[Advanced]、および [IPv6] という 3 つのタブを持つ [Edit Interface] ダイアログボックスが表示されます。

ステップ 4 [IPv6] タブ をクリックします。

ステップ 5 [RA Lifetime] フィールドに有効なライフタイム値を入力します。

ステップ 6 [OK] をクリックします。

ステップ 7 [Apply] をクリックして、コンフィギュレーションを保存します。


 

ルータ アドバタイズメント メッセージの抑止

デフォルトでは、ルータ アドバタイズメント メッセージは、ルータ送信要求メッセージへの応答として自動的に送信されます。セキュリティ アプライアンスで IPv6 プレフィクスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージをディセーブルにできます。

インターフェイスでの IPv6 ルータ アドバタイズメントの送信を抑止するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] を選択します。

ステップ 2 ライフタイム値を設定するインターフェイスを選択します。このインターフェイスは、IPv6 アドレスを使用して設定されている必要があります。詳細については、「IPv6 ネイバー検出の設定」を参照してください。

ステップ 3 [Edit] をクリックします。

[General]、[Advanced]、および [IPv6] という 3 つのタブを持つ [Edit Interface] ダイアログボックスが表示されます。

ステップ 4 [IPv6] タブ をクリックします。

ステップ 5 [Suppress RA] チェックボックスをオンにします。

ステップ 6 IPv6 アドレス用に設定されたインターフェイスでルータ アドバタイズメント メッセージが抑止されたことを確認します。


 

スタティック ネイバーの編集および削除

この項は、次の内容で構成されています。

「スタティック ネイバーの編集」

「スタティック ネイバーの削除」

スタティック ネイバーの編集

コンフィギュレーションで定義されているスタティック ネイバーを編集するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Advanced] > [IPv6 Neighbor Discovery Cache] を選択します。

ステップ 2 メイン ペインで、編集するネイバーを選択し、 [Edit] をクリックします。

[Edit IPv6 Static Neighbor] ダイアログボックスが表示されます。

ステップ 3 必要な変更内容をすべて入力し、 [OK] をクリックします。


) 変更を適用して、コンフィギュレーションでネイバーを永続的に変更する前に、[Reset] をクリックすると、変更をすべてキャンセルし元の値を復元できます。


ステップ 4 [Apply] をクリックし、変更内容をコンフィギュレーションに保存します。


 

スタティック ネイバーの削除

コンフィギュレーションからスタティック ネイバーを削除するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Advanced] > [IPv6 Neighbor Discovery Cache] を選択します。

ステップ 2 メイン ペインで、削除するネイバーを選択し、 [Delete] をクリックします。

選択されたネイバーがリストから削除されます。


) 変更を適用し、コンフィギュレーションからネイバーを完全に削除する前に、[Reset] をクリックすると、変更をすべてキャンセルし元の値を復元できます。


ステップ 3 [Apply] をクリックし、現在のコンフィギュレーションに対する変更を保存します。


 

ダイナミック ネイバーの表示と削除

ホストまたはノードがネイバーと通信する場合、ネイバーはネイバー検出キャッシュに追加されます。ネイバーは、ホストまたはノードとの通信がなくなってしまった場合、キャッシュから削除されます。

動的に検出されたネイバーを表示し、IPv6 ネイバー検出キャッシュからネイバーを削除するには、次の手順を実行します。


ステップ 1 [Monitoring] > [Interface Graphs] > [IPv6 Neighbor Discovery Cache] を選択します。

[IPv6 Neighbor Discovery Cache] ペインでは、スタティックおよびダイナミックに検出されたネイバーをすべて表示できます。

ステップ 2 キャッシュから動的に検出されたネイバーをすべて削除するには、 [Clear Dynamic Neighbor Entries] をクリックします。

ネイバーの情報がキャッシュから削除されます。


) このタスクにより、ダイナミックに検出されたネイバーだけがキャッシュからクリアされます。スタティック ネイバーはクリアされません。スタティック ネイバーをクリアする方法については、「スタティック ネイバーの削除」を参照してください。