Cisco Catalyst 6500 シリーズ

Catalyst 6500 Supervisor 2T 環境における IPv6 のテクニカル レビュー

ホワイト ペーパー





Catalyst 6500 Supervisor 2T 環境における IPv6 のテクニカル レビュー



目次

1. はじめに

   1.0 Supervisor 2T IPv6 の特徴

   1.1 IPv6 アドレスの概要

      1.1.1 リンクローカル ユニキャスト アドレス

      1.1.2 グローバル ユニキャスト アドレス

      1.1.3 ループバック アドレス

      1.1.4 未指定アドレス

      1.1.5 エニーキャスト アドレス

      1.1.6 マルチキャスト アドレス

   1.2 最大伝送ユニット

2. ユニキャスト ハードウェア FIB テーブル

   2.1 ロード バランシング

   2.2 FIB および隣接関係テーブルの例外

3. ユニキャスト ルーティング プロトコル

   3.1 IPv6 RIP

   3.2 IPv6 EIGRP

   3.3 OSPFv3

   3.4 IS-IS for IPv6

   3.5 MP-BGP

   3.6 スタティック ルート

      3.6.1 直接接続ルート

      3.6.2 再帰スタティック ルート

      3.6.3 完全指定ルート

      3.6.4 フローティング スタティック ルート

   3.7 ポリシーベース ルーティング

4. ユニキャスト リバース パス転送

5. IPv6 トラフィック カウンタと統計情報

   5.1 データ プレーン カウンタ

   5.2 コントロール プレーン カウンタ

   5.3 IPv6 Flexible Netflow

6. ファースト ホップ セキュリティ

   6.1 MAC アドレス バインディング エントリ

   6.2 ネイバー探索インスペクション

   6.3 RA ガード

   6.4 IPv6 over IPv4 トンネリング

      6.4.1 トンネル開始ノード

      6.4.2 トンネル終了ノード

      6.4.3 手動設定トンネル

      6.4.4 IPv6 over IPv4 総称ルーティング カプセル化トンネル

      6.4.5 自動 6to4 トンネル

      6.4.6 Intra-Site Automatic Tunnel Addressing Protocol Tunnel

      6.4.7 トンネルに関する考慮事項

   6.5 IPv6 上のトンネリング

7. VRF-Lite および IPv6

8. IPv6 over MPLS

   8.1 MPLS 上の IPv6 プロバイダー エッジ

   8.2 入力 6PE ノード

   8.3 出力 6PE ノード

   8.4 6PE のその他機能

      8.4.1 クラスベースの TE トンネル選択

      8.4.2 6PE Over FRR

9. IPv6 VPN プロバイダー エッジ(6VPE)

10. IPv6 アクセス リスト

11. IPv6 コントロール プレーンの保護


1. はじめに


このドキュメントでは、Catalyst 6500 プラットフォームを使用した IPv6 の導入に関する考慮事項の詳細な概要を説明します。新しい Supervisor 2T は次世代の IPv6 ネットワークをサポートする機能を提供します。このドキュメントでは、それらの機能の一部を取り上げます。IPv6 のチュートリアルや IPv6 プロトコルの詳細な解説は、このドキュメントの対象外です。IPv6 の一般情報については、http://www.cisco.com/web/JP/solution/netsol/ipv6/index.html の構成ガイドを参照してください。

各企業が今後成長していくにつれ、ネットワークのニーズも増大することが予想されます。これからのネットワークは IPv6 空間で拡大していくことでしょう。現在の IPv4 ネットワークでは、成長に限界があります。一部の企業では、すでに IPv4 アドレス空間が枯渇しており、既存のプールを再割り当てしています。米国以外の国では、IPv4 アドレスの供給量はさらに不足しています。Catalyst 6500 Supervisor 2T は、IPv6 ネットワーク用に設計されました。Supervisor 2T には、前世代までのハードウェアでは利用できなかった IPv6 対応機能拡張が追加されています。この流れを促す要素は、新しい IPv4 アドレス空間の不足以外にも複数あります。そのうちの 1 つが、公共機関における米国政府認定への準拠です。別の理由として、新しい IPv6 専用アプリケーションの使用も挙げられます。IPv6 は、既存の IPv4 ネットワークと競合せずに試験運用することが可能です。Supervisor 2T では、新しい移行テクノロジーを複数利用して、IPv6 のデュアル スタック トポロジの構成または移行作業を実行できます。

1.0 Supervisor 2T IPv6 の特徴

  • IPv6 のパフォーマンスを最高 30 Mpps に強化
  • 最高 16 パスの IPv6 uRPF
  • 出力および入力に関する IPv6 および IPv4 の個別インターフェイス統計情報
  • IPv6 in IPv4 トンネリングのフル サポート
  • IPv6 GRE トンネリングでの IPv6 および IPv4 サポート
  • 再循環なしの Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)カプセル化
  • 総合的なファースト ホップ セキュリティ
  • アクセス リストの容量を拡大
  • シャーシ内およびシャーシ間冗長双方のステートフル スイッチオーバー
  • ルータ アドバタイズメント(RA) ガード(ファースト ホップ セキュリティ)
  • ネイバー検索(ND)インスペクション
  • ポートベースのアクセス コントロール リスト(PACL)
  • デバイス トラッキング

1.1 IPv6 アドレスの概要

IPv6 アドレスは 128 ビット長です。32 の 16 進文字を使用して表し、4 字ごとにコロン(:)を挟みます。この表記形式を使用しても、IPv6 アドレスは覚えづらいため、各グループ内の先頭から続く 0 は削除して簡略化することができます。IPv6 アドレスは、連続するコロンの間の、連続する 0 からなる 16 ビット単位のグループをすべて削除することで、さらに圧縮できます。

IPv6 のアドレッシング アーキテクチャは、RFC 3513 に定義されます。IPv6 アドレスは次の 3 タイプに定義されています。

  • ユニキャスト
  • マルチキャスト
  • エニーキャスト

IPv6 は、多くのリソースを必要とするブロードキャスト タイプを除外した点が、IPv4 と異なります。代わりとして、IPv6 では新たにエニーキャスト タイプを採用しました。

また、IPv6 は、アドレッシング スキームにスコープという概念を取り入れています。すべての IPv6 ユニキャストまたはマルチキャスト アドレスは、グローバルまたはリンクローカルいずれのスコープを定義されています。IPv4 の実装とは異なり、IPv6 が構成されたインターフェイスにはそれぞれ 1 つ以上の IPv6 アドレスを割り当てることが可能です。さらに、IPv6 ユニキャスト アドレスは複数のインターフェイスに割り当てることができます。これは、それら複数のインターフェイスがインターネット レイヤには 1 つのインターフェイスとして提示されるよう実装されている場合に当てはまります。

以下は IPv6 のグローバル アドレスおよびリンクローカル アドレスの例です。

グローバル ユニキャスト:2001:DB8:7654:3210:FEDC:BA98:7654:3210

グローバル マルチキャスト:FF0E::D

リンクローカル ユニキャスト:FE80::224:C4FF:FEDC:D740

リンクローカル マルチキャスト:FF02::A

IPv6 アドレス タイプの完全なリストについては、この後説明します。

1.1.1 リンクローカル ユニキャスト アドレス
このタイプのアドレスのスコープは、リンクのみであり、リンクに限定されています。異なるリンク上のノードは、同じリンク ローカル アドレスを所有することができます。ルータにはインターフェイスごとに 1 つのリンクローカル アドレスが必要です。IPv6 では IPv4 のように ARP の概念はありませんが、ネイバー探索プロトコル(NDP)を使用して IPv6 において ARP 機能を実現しています。ルータは、そのパケットのソース IP アドレスとしてリンクローカル アドレスを使用して、ネイバー アドバタイズメント パケットを送信します。このアドレスは、一意なプレフィクス FE80::0/10 で識別できます。

1.1.2 グローバル ユニキャスト アドレス
これらのアドレスは、グローバルで一意です。また、スコープの制限はなく、どこからでも到達可能です。未指定、ループバック、マルチキャスト、リンクローカル ユニキャスト、およびサイトローカル ユニキャストの各アドレス空間を除くすべてのアドレスは、グローバル ユニキャスト アドレスです。

1.1.3 ループバック アドレス
IPv6 ループバック アドレスは、0::1/128 です。RFC 3513 によると、ループバック アドレスは、IPv6 パケットを自身に送信するすべてのノードで使用できますが、物理的なインターフェイスに割り当てることはできません。リンクローカル スコープがあるものと見なされ、IPv6 パケットではソース アドレスとして使用できません。送信先としてループバック アドレスを持つ IPv6 パケットは、シングル ノードの外に送信することも、IPv6 ルータによって転送することもできません。

1.1.4 未指定アドレス
IPv6 の未指定アドレスは、::/128 です。これは、いずれかのノードに割り当てられることも、IPv6 パケットの宛先アドレスとして使用されることもありません。初期化しようとしているホストが自身のアドレスを学習する前に送信した、いずれかの IPv6 パケットのソース アドレス フィールドに使用されます。

1.1.5 エニーキャスト アドレス
これらは、ユニキャスト アドレス空間から割り当てられます。通常は異なるノードに属する複数のインターフェイスに割り当てられる場合は、アドレスがエニーキャスト アドレスに変わります。エニーキャスト アドレスに送信されるパケットは、このアドレスを持つ最も近いインターフェイスにルーティングされます。これらのアドレスは、ルータ インターフェイスにのみ割り当てられます。IPv6 の各ルータ インターフェイスは、自動的に取得したエニーキャスト アドレスを、サブネット ルータ エニーキャスト アドレスとして使用します。

1.1.6 マルチキャスト アドレス
これらのアドレスは、それぞれに FF00::0/8 プレフィクスが付き、同じデータの受信に関心があるノード グループを識別します。マルチキャスト宛先アドレス(DA)を持つパケットは、このアドレスで識別されるグループの全メンバーに送られます。IPv6 マルチキャスト アドレスも、目的のドメイン内にトラフィックを含める方法としてスコープされます。

1.2 最大伝送ユニット

IPv6 最大伝送ユニット(MTU)の最小要件は、1,280 オクテットです。RFC 2460 では、プロセッサのみが実施できるフラグメンテーションの防止策として、パス MTU ディスカバリ(PMTUD)の使用を推奨しています。これは、エンド ノードが使用するテクニックで、特定の宛先に到達するために使用できる最大 MTU を検出します。PMTU の仕組みは次のとおりです。

  1. 送信元ノードから、ローカル MTU を使用してフレームが宛先に送信されます。
  2. 中間ルータの MTU サイズがそれよりも小さい場合、このルータは、新しい MTU 値を指定する ICMPv6 メッセージ(「Type 2 Packet Too Big(タイプ 2 パケットが大きすぎます」)を使用して送信元に応答を返します。
  3. 送信元ノードは、新しい MTU 値を使用して同じフレームを再送信します。
  4. パケットが宛先に到達するまで、より小さい MTU を持つノードがあれば、このプロセスが繰り返されます。
  5. 宛先ノードは、そのパスのための MTU を設定するリクエストを確認します。

サポートされている最大 IPv6 パケット サイズは 65,536 オクテット長で、ペイロード長フィールドの 2 バイト値に制限されます。

2. ユニキャスト ハードウェア FIB テーブル


シスコのスイッチおよびルータ環境での IPv4 実装とは異なり、IPv6 のルーティング機能はデフォルトでは無効です。IPv6 のフォワーディング機能を有効にするには、ipv6 unicast-routing を構成する必要があります。このコマンドは、IPv4 および IPv6 どちらのフレームも転送できるように、デュアルスタック ルータの Supervisor を変換します。

各 IPv6 ルーティング プロセスが自身のルーティング テーブルを作成する場合、Supervisor 2T は IPv6 ハードウェア転送テーブルを IPv4 と同様に構成し、ルーティング プロトコルのルーティング情報ベース(RIB)として参照します。それぞれのルーティング プロトコル RIB は、アドミニストレーティブ ディスタンスを識別子として使用し、マスター IPv6 RIB へコンパイルされます。マスター IPv6 RIB はその後 IPv6 FIB テーブルの入力に使用され、IPv6 ND プロトコルは隣接関係テーブルの構築に使用されます。次に、これら 2 つのテーブルは、ルート プロセッサ(RP)から Supervisor PFC4 までプッシュされ、さらにイーサネット アウトオブバンド チャネル(EOBC)を通して、システム内にあるすべての DFC4 に送られます(図 1 を参照)。

図 1 IPv6 FIB および隣接作成プロセス

図 1 IPv6 FIB および隣接作成プロセス


PFC4/DFC4 では、IPv6 アドレスは、IPv4 および MPLS フォワーディング エントリとして同じ FIB と隣接関係テーブルを共有します。ただし、各 IPv6 プレフィクスは、ハードウェア FIB テーブルの物理エントリを 2 つ消費します。これにより、FIB の合計容量(IPv6 フォワーディング エントリがフル ロードされる場合)が、IPv4 フォワーディング エントリの総数で保存できる半分に減少します。IPv6 エントリをフル ロードした FIB の場合、PFC4/DFC4 の非 XL バージョンでは総数 128,000、および PFC4/DFC4 の XL バージョンでは総数 512,000 に等しくなります。次の出力結果は、各プロトコルが専用の 1,000 エントリのセットを取得し、残りの 248,000 エントリを PFC4 内で共有する方法を表しています。

図 2 プロトコルあたりの PFC4 デフォルト ハードウェア FIB 割り当て

図 2 プロトコルあたりの PFC4 デフォルト ハードウェア FIB 割り当て
※画像をクリックすると、大きな画面で表示されますpopup_icon


FIB の一定数のエントリは、コマンド platform hardware cef maximum-routes ipv6 <amount of 1K entries> を使用して、IPv6 専用に予約できます。

IPv4 と同様に、FIB エントリは、ハードウェアが実行するアクションを指定した、異なる関連ステータスを持つことができます。たとえば、IPv6 グローバル アドレスはどのインターフェイスでも構成でき、その一意のアドレスから 2 つの FIB エントリを作成できます。最初のエントリは「receive」エントリです。これには、RP が処理する IPv6 アドレス宛てのトラフィックを許可する「receive」隣接があります。2 番目のエントリは「attached」エントリです。これには、ネイバー テーブル内にホスト アドレスがない場合、RP にトラフィックを送信するローカル サブネットの「glean」隣接があります。ホストの mac アドレスが NDP プロセスを通して解決されたら、そのホストの一意のアドレスに対応した「resolved」エントリが作成され、すべての書き換え情報が隣接関係テーブルにインストールされます(表 1 および表 2 を参照。FIB および隣接エントリのタイプとアクションは 2 を参照)。

図 3 グローバル アドレス ハードウェア FIB および隣接エントリ

図 3 グローバル アドレス ハードウェア FIB および隣接エントリ
※画像をクリックすると、大きな画面で表示されますpopup_icon


表 1 FIB エントリのタイプ

FIB タイプ 備考 有効な隣接タイプ
Resolved 直後のネクスト ホップは既知 Resolved(すべての情報を書き換え済み)
Connected FIB エントリはインターフェイス IPv6 プレフィクス Glean
Receive FIB エントリはインターフェイス IPv6 アドレス Receive
Attached Static または Connected Glean または Resolved


表 2 隣接エントリのタイプ

隣接タイプ アクション
Resolved レイヤ 2 のヘッダーを書き換えて転送
Receive ルータに送信
Glean ルータに送信して NDP 解決をトリガー
Drop パケットをドロップ

コマンド ipv6 unicast-routing を使用してシステム上で IPv6 を有効にすると、すぐに次のルーティング エントリがインストールされます。

図 4 IPv6 デフォルト ルート エントリ

図 4 IPv6 デフォルト ルート エントリ
※画像をクリックすると、大きな画面で表示されますpopup_icon


このルーティング エントリと対応する FIB エントリは、すべての IPv6 マルチキャスト トラフィックを Supervisor 2T の CPU である RP に送信します。

ルーティング テーブルには表示されないがシステムには表示される追加エントリが 2 つあります。

図 5 IPv6 リンクローカル、システム ループバック、および未指定ルート エントリ

図 5 IPv6 リンクローカル、システム ループバック、および未指定ルート エントリ
※画像をクリックすると、大きな画面で表示されますpopup_icon


エントリ「FE80::/9」は RIB にインストールされ、すべてのリンクローカル アドレスをキャッチします。ハードウェア FIB テーブル内の対応するエントリは、このエントリにヒットするすべてのトラフィックを RP にパントします。これはそのまま、FIB テーブル内には唯一のデフォルト リンクローカル アドレスが保持されることを意味します。リンク ローカル アドレスの過剰なトラフィックから RP を保護するため、厳密なコントロール プレーン ポリシーを設定する必要があります。

Supervisor 2T は、すべてのパケットの送信元および宛先両方のアドレスでスコープの適用をサポートしています。パケットの宛先 IP にリンクローカル スコープがある場合、EARL8 のハードウェアは、入力リンク ID と出力リンク ID を比較して、入力スコープが出力スコープと一致するかどうかを検証します。これら 2 つのリンク ID が同じ場合のみ、パケットが転送されます。スコープが異なる場合、EARL8 では例外が生成され、トラフィックがドロップされるか、リダイレクトされます。

図 6 リンクローカル FIB および隣接エントリ

図 6 リンクローカル FIB および隣接エントリ
※画像をクリックすると、大きな画面で表示されますpopup_icon


未指定アドレス(「::/128」)およびシステム ループバック アドレス(「0::1/128」)をキャッチするためルート エントリ(「::/127」)がインストールされます。これらのアドレスはどちらも宛先アドレスとして表示されることはなく、Supervisor によって自動的にドロップされます。

図 7 未指定およびシステム ループバック隣接

図 7 未指定およびシステム ループバック隣接
※画像をクリックすると、大きな画面で表示されますpopup_icon


デフォルト ルートが設定されていない場合は、追加の FIB デフォルト エントリ(「::/0」)も表示されます。このエントリにヒットするトラフィックは、トラフィックが例外にヒットするまでドロップされます(例外テーブルを参照)。

図 8 未指定ルートのデフォルト隣接

図 8 未指定ルートのデフォルト隣接
※画像をクリックすると、大きな画面で表示されますpopup_icon


図 9 ハードウェア FIB および隣接

図 9 ハードウェア FIB および隣接
※画像をクリックすると、大きな画面で表示されますpopup_icon


フォワーディング決定を実行する場合、Supervisor 2T には、PFC4/DFC4 で使用できるハードウェア フォワーディング エンジンのパフォーマンスによる利点があります。フォワーディング プロセスは 2 つのパスで実行され、入力(書き換え前)および出力(書き換え後)に適用できます。PFC4/DFC4 はどちらも、IPv6 フレームで 30 Mpps(IPv4 は 60 Mpps)のレートで両方のパスを実行する機能があります。

2.1 ロード バランシング

FIB レベルのロード シェアリングは、単一のプレフィクスに複数の隣接がある場合に発生します。これは通常、宛先まで複数の等コスト パスを使用することで達成されます。冗長化を目的とした場合、非常に望ましい状況です。Supervisor 2T は、単一プレフィクスごとに最高 16 のパスまでのロード バランシング トラフィックに対応できます(IPv4 または IPv6)。ロード バランシングはフロー単位で実施され、次の設定でロード バランシング ハッシュをプログラムできます。

図 10 ロード シェアリング設定

図 10 ロード シェアリング設定
※画像をクリックすると、大きな画面で表示されますpopup_icon


ロード バランシング アルゴリズムは、IPv6 の送信元および宛先アドレスを 32 ビット値に圧縮し、これらの値を使用して ロード バランシング ハッシュを作成します。ロード バランシング アルゴリズムの一部であるレイヤ 4 ポートは、現状のまま使用されます。

2.2 FIB および隣接関係テーブルの例外

テーブルの容量が枯渇しているにもかかわらず、ソフトウェアがハードウェア FIB テーブルに新しいエントリを追加しようとした場合、例外 syslog イベントが発生します。このイベントがアクティブな間、ソフトウェアは失敗したエントリでハードウェア FIB 内の既存のプレフィクスを再プログラムし、フォワーディングの低下を緩やかにします。再プログラムされたエントリの隣接は「receive」に変わり、トラフィックはルーティング プロセッサにリダイレクトされます。ハードウェア FIB テーブルのリソースが戻ったら、ソフトウェアはハードウェア FIB テーブルに欠けたプレフィクスを再入力し、syslog メッセージを生成します。

隣接関係テーブルに新しいエントリを追加する空きがない場合、対応する FIB エントリがデフォルトのワイルドカード エントリを使用して、ルーティング プロセッサに入力されるすべてのトラフィックをパントします。ここで、パケットはソフトウェアでフォワーディングされます。

システム内の現在の FIB 使用率をアサートし、ハードウェア FIB のステータスを検証するには、次のコマンドが便利です。

図 11 ハードウェア FIB の使用率とステータス

図 11 ハードウェア FIB の使用率とステータス
※画像をクリックすると、大きな画面で表示されますpopup_icon


3. ユニキャスト ルーティング プロトコル


Supervisor 2T は、IOS で使用可能なすべての IPv6 ルーティング プロトコルをサポートしています。IPv6 ルーティング プロトコルは、IPv4 の対応機能とは独立して機能します。こうしたプロトコルの機能は、他の IOS ルータの同じプロトコルと同じです。

IPv6 ではネクストホップのリンクローカル アドレスを使用して隣接を特定するため、これらのインターフェイスで設定されたグローバル IPv6 アドレスは関連性がありません。

リリース 15.0(1)SY1 では、すべての IPv6 ルーティング プロトコルはステートフル スイッチオーバー(SSO)およびノンストップ フォワーディング(NSF)をサポートする予定です。SSO プロセスは、すべてのソフトウェアおよびハードウェア テーブルを維持し、アクティブおよびスタンバイのスーパーバイザと、FIB テーブルおよび隣接関係テーブルを含めたその他のテーブルを同期します。NSF プロセスでは、ルーティング プロトコルを統合しながら、ルータによるパケット フォワーディングを継続し、スイッチオーバーのルート フラップを防ぎます。RP フェールオーバーが発生すると、FIB は、エポックと呼ばれる特別変数を追加することで、インストールされたパスを「stale(古い)」としてマークします。その結果、ルーティング プロトコルは再統合され、RIB および FIB が入力されます。すべての NSF ルーティング プロトコルが統合されたら、FIB に保持されたすべての古いルートが削除されます。ルーティング プロトコルによる RIB および FIB のこれらエントリの再入力に失敗した場合、古いルートを削除するには、フェールセーフ タイマーが必要です。

3.1 IPv6 RIP

IPv6 に合わせた Routing Information Protocol(RIP)の拡張機能は、RFC 2080 に詳述されています。Supervisor 2T は、IPv6 アドレスおよびプレフィクスを含めて、RFC 2080 に準拠しています。すべての RIP ルータ マルチキャスト グループ アドレス FF02::9 は、RIP アップデート メッセージの宛先アドレスです。

シスコの IPv6 RIP 実装では、各 IPv6 RIP プロセスが固有識別子としてテキスト文字列を使用し、プロセスごとにローカル RIB を保持します。この固有識別子のみでは、複数インスタンスの分割には使用できません。インスタンスの分割は、各プロセスに異なるマルチキャスト グループ アドレスまたはポート番号を使用して実行できます。

デフォルトでは、IPv6 RIP はポイズン リバースありのスプリット ホライズンをサポートし、IPv4 の対応機能と同じアドミニストレーティブ ディスタンスを持っています。ディストリビュート リスト、ルート マップ、プレフィクス リストなどの機能もサポートされています。

次の例は、VSS 環境における Supervisor による IPv6 ルートの扱いを表します。これらは、IPv6 ローカル RIB、IPv6 グローバル RIB、ソフトウェア FIB の特定ルート、ハードウェア FIB および隣接のルートを示します。

図 12 IPv6 RIP

図 12 IPv6 RIP
※画像をクリックすると、大きな画面で表示されますpopup_icon


3.2 IPv6 EIGRP

EIGRP for IPv6 は EIGRP IPv4 とは若干異なり、実行しているインターフェイス上で直接設定できます。これによって、以前必要とされていた IPv6 プロセス定義以下のネットワーク ステートメントを除外しました。グローバル IPv6 アドレスを使用せずに EIGRP for IPv6 を設定できるようになり、パッシブ インターフェイスでタイプを設定する必要がなくなりました。EIGRP for IPv4 とは異なり、IPv6 の設計ではクラスがないため、経路集約はデフォルトで無効化されています。EIGRP for IPV6 では、インターフェイス機能単位で複数の IPv6 アドレスをサポートするスプリット ホライズンも削除されています。

EIGRP for IPv6 プロトコルのインターフェイスは、実行する前にルータ ID が必要です。さらに、Cisco IOS Release 12.2(50)SY からは、EIGRP IPv6 ルータ プロセスを有効にしてプロセスを開始する場合、no shutdown コマンドを明示的に設定する必要があります。

EIGRP for IPv6 は、distribute-list prefix-list コマンドを使用したルート フィルタを提供します。ディストリビュート リストでのルート フィルタの場合、route-map コマンドの使用はサポートされていません。

EIGRP for IPv6 は引き続き認証を MD5 に依存しており、IPsec のサポートは今後のリリースで対応する予定です。

図 13 便利な IPv6 EIGRP

図 13 便利な IPv6 EIGRP
※画像をクリックすると、大きな画面で表示されますpopup_icon


3.3 OSPFv3

OSPFv3 は RFC 2740 で定義されています。プロトコルの基本メカニズム(フラッディング、DR 選出、エリア サポート、SPF 計算など)は変更されていません。OSPFv2 for IPv4 と同様にネイバー ルータは 32 ビットのルータ ID で識別されますが、IPv6 独自の特徴に対応するため、変更されている点もいくつかあります。次のような変更が加えられています。

  • 新しいリンク LSA は、ネイバーの IPv6 リンクローカル アドレスと、これらのネイバーに IPv6 アドレスのリストとリンクに関連したオプションを通知します
  • イントラエリア プレフィクス LSA は、エリア内のすべての IPv6 プレフィクス情報を持っています(OSPFv2 においては、これはルータ LSA およびネットワーク LSA によって実行されます)
  • インターエリア プレフィクス LSA は、内部ネットワークを他エリアのルータにアドバタイズします(OSPFv2 においては、これはネットワーク サマリーまたはタイプ 3 LSA によって実行されます)
  • インターエリア ルータ LSA は、自律システム境界ルータ(ASBR)の場所をアドバタイズします(OSPFv2 においては、これは ASBR 経路集約またはタイプ 4 LSA によって実行されます)

OSPFv3 は、IP サブネット単位ではなくリンク単位で実行され、ネイバーには常にそれらのリンクローカル アドレスがアドバタイズされます。LSA のフラッディング スコープは一般化されています。IPv6 では認証ヘッダー(AH)およびカプセル化セキュリティ ペイロード(ESP)が使えるため、OSPF プロトコル自体からは認証が削除されています。OSPF の認証および暗号化は、12.2(50)SY では対応していませんが、今後のリリースでサポートする予定です。

OSPFv3 は、単一リンク上でルーティング プロセスの複数のインスタンスを実行する機能をサポートしています。8 ビット インスタンス ID を使用してインスタンス間を区別しますが、これは共有メディア環境における認証の代用としても使用できます。

OSPFv2 のオプション機能も、オンデマンドの回線サポート、NSSA エリア、OSPF のマルチキャスト拡張(MOSPF)を含めたすべてが、OSPFv3 でサポートされています。

図 14 便利な IPv6 OSPFv3 コマンド

図 14 便利な IPv6 OSPFv3 コマンド
※画像をクリックすると、大きな画面で表示されますpopup_icon


3.4 IS-IS for IPv6

IPv6 の IS-IS サポートでは、大きな変更はありません。ネイバー ルータは新しいプロトコル ID(0x8E)、および IPv6_Reachability(0xEC)と IPv6_Interface_Address(0x8E)の 2 つの新しい TLV を使用して、IPv6 のサポート機能を通知します。IS-IS はデフォルトで、IPv4 と IPv6 双方のシングル トポロジを実行し、どちらのプロトコルにも同じメトリックを適用します。

マルチ トポロジ IS-IS は IS-IS 拡張機能の 1 つで、アドレス ファミリのセット単位で独立したトポロジを実行できるようになります。今後のリリースでサポートを予定しています。

図 15 IPv6 IS-IS

図 15 IPv6 IS-IS
※画像をクリックすると、大きな画面で表示されますpopup_icon


3.5 MP-BGP

マルチプロトコル BGP は、BGP4 で複数のネットワーク層プロトコルのルーティング情報を伝送できるようにする一連の拡張機能です。MP-BGP は MPLS ラベルの伝送に広く使用され、RFC 2545 では MP-BGP を IPv6 プレフィクスに拡大しています。

異なるネットワーク層プロトコルを区別するため、MP-BGP は特定の属性にアドレス ファミリ識別子(AFI)およびサブアドレス ファミリ識別子(SAFI)を追加します。IPv6 ユニキャストには 2 タプル(AFI:2、SAFI:1)、IPv6 マルチキャストも同様(AFI:2、SAFI:2)にタプルがあります。プロトコル ネゴシエーションの最初の OPEN メッセージの間に、MP-BGP ピアは機能をネゴシエーションし、それぞれのピアは多くの AFI/SAFI ネゴシエーション機能を持つ可能性があります。

MP-BGP は、どの AFI/SAFI でも BGP4 と同じ方法で動作します。事実、ネイバー セッションを確立するプロトコルは、アドバタイズされる AFI/SAFI から独立しています。たとえば、1 回のシングル BGP セッションは複数のアドレス ファミリに転送できます。

図 16 IPv6 MP-BGP

図 16 IPv6 MP-BGP
※画像をクリックすると、大きな画面で表示されますpopup_icon


図 17 MP-BGP の設定例

図 17 MP-BGP の設定例
※画像をクリックすると、大きな画面で表示されますpopup_icon


3.6 スタティック ルート

スタティック ルートは手動で設定され、2 つのネットワーク デバイス間の明確なパスを定義します。IPv6 のスタティック ルートには複数のタイプがあります。

3.6.1 直接接続ルート
このタイプのスタティック ルートでは、出力インターフェイスのみを指定します。宛先は直接このインターフェイスに接続されることを前提とするため、パケットの宛先をネクスト ホップ アドレスとして使用します。

3.6.2 再帰スタティック ルート
このルートではネクスト ホップのみを指定します。出力インターフェイスは、既存の RIB 内で追加のルックアップを実行することで、ネクスト ホップから抽出されます。禁止されているわけではありませんが、通常、自己再帰スタティック ルートを手動で設定するのは得策とはいえません。

3.6.3 完全指定ルート
このルートでは、出力インターフェイスおよびネクスト ホップをどちらも指定します。ネクスト ホップは、指定された出力インターフェイスに直接接続する必要があります。リンクローカル アドレスをネクスト ホップとして使用する場合、MAC アドレスからこのアドレスを生成するため、出力インターフェイスの追加が必要です。スイッチの MAC アドレスはすべてのインターフェイス上で同一なため、異なる 2 つのインターフェイスが、ネイバー スイッチ上で同じリンクローカル アドレスを共有することもあります。この形のスタティック ルートは、出力インターフェイスが複数のネイバーを持つ VLAN インターフェイスの場合にも使用されます。

3.6.4 フローティング スタティック ルート
このスタティック ルートは、設定されたルーティング プロトコルを使用して学習したダイナミック ルートをバックアップするために使用されます。フローティング スタティック ルートは、バックアップするダイナミック ルーティング プロトコルよりも長いアドミニストレーティブ ディスタンスが設定されます。結果として、このルーティング プロトコルから学習したダイナミック ルーティングでは、常にフローティング スタティック ルートが優先されます。

Supervisor 2T を備えたハードウェアでは、すべてのスタティック ルートがサポートされます。

3.7 ポリシーベース ルーティング

ポリシーベース ルーティング(PBR)は、条件付きで RIB によるルーティング結果よりも優先されます。条件は、アクセス コントロール リスト(ACL)で評価され、ルーティングや他のアクションは一部がルート マップで判断されます。ポリシー ルート マップにおいて、ACL 許可エントリとは、トラフィックをポリシー ベースでルーティングする必要があるという意味です。また ACL 拒否エントリとは、現在のシーケンスをスキップして次のシーケンスを評価するという意味です。最終シーケンス エントリの結果が拒否の場合、このスイッチはこれらのパケットのポリシー ルーティングをスキップして、通常の RIB フォワーディングに送信します。

現在 Supervisor 2T では IPv6 PBR はサポートしておらず、バージョン 15.0(2)SY でサポート予定ですが、一定の制限があります。PFC4/DFC4 は、パケット長と DSCP 値を一致させ、ポリシー結果のインターフェイスまたはネクスト ホップ アドレスいずれかを設定する機能を提供します。

トラッキング オプションは、DSCP 値の設定と同じく、PFC4/DFC4 ではサポートしていません。

4. ユニキャスト リバース パス転送


ユニキャスト リバース パス転送(uRPF)は、IPv6 の宛先アドレス スプーフィングを使用した一部のサービス拒絶(DoS)攻撃を無効化できるインターネット セキュリティ ツールです。uRPF の基本機能は、ネットワーク入力フィルタリングの実行により、パケットが受信されたインターフェイスまでを遡ることができる、IPv6 宛先アドレスを持つパケットのみを許可します。

Supervisor 2T は、3 モードの uRPF、ストリクト モード、ルーズ モード、VRF モードをサポートしています。ストリクト モードでは、パケットを受信するインターフェイスとルータが返信パケットの送信に使用するインターフェイスが、同じである必要があります。ルーズ モードでは、送信元アドレスに必要なのはルーティング テーブル内で一致するプレフィクスのみです。デフォルト ルートが FIB に表示されている場合、Supervisor 2T は、送信元検証プロセスでデフォルト経路の使用を許可する「allow-default」をサポートしています (VRF モードのユニキャスト RPF については、後のセクションで説明します)。

IPv6 uRPF はインターフェイス単位の設定が可能であり、uRPF for IPv4 からは完全に独立しています。Supervisor 2T は、FIB 内に等コストで「ベスト」なリターン パスが複数ある場合でも、ハードウェアでの uRPF 検証を実行します(ハードウェア内でサポートされるパスは最高 16 です)。

IPv6 uRPF およびセキュリティ アクセス リストは、同じインターフェイスで同時に表示できます。その場合、ハードウェアは RPF よりも先に ACL を検証します。どちらの確認も成功した場合、パケットが転送されます。

ACL は、構成によって uFPF チェックの条件を指定することもできます。ACL を指定すると、パケットが RPF の厳格なチェックに失敗した場合のみ適用されます。ACL は、特別なケースの RPF ドロップ決定を上書きするか、スプーフィングされた IP パケットのログを有効にするか、いずれかの目的で使用できます。これは、DoS 攻撃の送信元を追跡する際に役立ちます。

FIB TCAM に含まれるのはデフォルトのリンクローカル アドレスのみであるため(「ユニキャスト ハードウェア FIB テーブル」セクションを参照)、リンクローカル送信元アドレスは RPF チェックでドロップできます。

次の例は、スイッチ上のストリクト モードおよびルーズ モードの uRPF 両方の設定およびハードウェア設定を示します。

図 18 ストリクト/ルーズ uRPF

図 18 ストリクト/ルーズ uRPF
※画像をクリックすると、大きな画面で表示されますpopup_icon


次の例は、管理者が特定のプレフィクスの RPF 到達可能性を検証する方法を示します。特定のフローで RPF チェックに失敗した場合、例外テーブルと呼ばれる特殊用途テーブルを追加します。

図 19 特定プレフィクスの uRPF 統計情報および uRPF 検証

図 19 特定プレフィクスの uRPF 統計情報および uRPF 検証
※画像をクリックすると、大きな画面で表示されますpopup_icon


より複雑な例では、RPF チェックに失敗した場合でも、IPv6 送信元アドレス 2011:ff::0/64 を通るトラフィックのみを許可しています。ただし、管理者には定期的に状況が通知されます。

図 20 アクセス リスト ロギングを使用する uRPF

図 20 アクセス リスト ロギングを使用する uRPF
※画像をクリックすると、大きな画面で表示されますpopup_icon


5. IPv6 トラフィック カウンタと統計情報


5.1 データ プレーン カウンタ

Supervisor 2T では、IPv4、IPv6 および MPLS のトラフィックを個別にカウントすることが可能です。これらの追加カウンタは、PFC4/DFC4 が保持します。結果、これらのカウンタは、このスイッチによって切り替えられるトラフィックによってのみ更新され、スイッチ自体のインターフェイスに送信されるトラフィックでは更新されません。

ループバック インターフェイスおよびトンネル インターフェイスでは、これらの個別カウンタは使用できません。

Supervisor 2T でも、プレフィクス単位での統計情報を収集できます。この機能はデフォルトでは無効ですが、設定によって最大 64 のプレフィクスまで情報を収集できます。

図 21 データ プレーン カウンタ

図 21 データ プレーン カウンタ
※画像をクリックすると、大きな画面で表示されますpopup_icon


Supervisor 2T には、IPv6 の統計情報収集を含む IP-MIB の改訂版サポートも含まれます。以下の例では、システム全体の IPv6 統計情報テーブルで SNMP walk が実行され、フィルタリングによって着信トラフィックの情報のみが表示されています。

図 22 SNMP データ プレーン オブジェクト

図 22 SNMP データ プレーン オブジェクト
※画像をクリックすると、大きな画面で表示されますpopup_icon


5.2 コントロール プレーン カウンタ

Supervisor 2T は、ルーティング プロセッサ(RP)が処理する必要があるトラフィックの統計情報を収集します。これらの統計は、デフォルトですべてのインターフェイスから収集され、複数のプロトコル バケットに分割されます。いったん ipv6 traffic interface-statistics が設定されると、これらの統計情報が収集され、インターフェイス単位でクリアできます。

図 23 コントロール プレーン カウンタ

図 23 コントロール プレーン カウンタ
※画像をクリックすると、大きな画面で表示されますpopup_icon


改訂された IP-FORWARD-MIB もサポートしています。次の例では、ルーティング テーブルで SNMP walk が実行され、OSPFv3 によって学習されたルートのみがフィルタリングで表示されています(Unix プログラムの sed を使用して「:00」を削除し、よりわかりやすい出力結果を表示しています)。このテーブルは、IPv6 送信先プレフィクス、サブネット マスク(例、:2002:1::/64)、およびネクスト ホップ アドレスによって索引付けされていることに注意してください。

図 24 SNMP コントロール プレーン オブジェクト

図 24 SNMP コントロール プレーン オブジェクト
※画像をクリックすると、大きな画面で表示されますpopup_icon


5.3 IPv6 Flexible Netflow

Supervisor 2T が前バージョンから引き継いだ多くの拡張機能の 1 つに、Flexible Netflow のサポートがあります。このパワフルなモニタリング ネットワークでは、どのインターフェイスでどの情報を収集する必要があるかを管理者が選択できます。

Supervisor 720 では Netflow ポリシーを設定できるのは入力のみでしたが、Supervisor 2T では、入力と出力のインターフェイスおよびサブインターフェイスにポリシーを適用できます。

Supervisor 2T では、管理者は、宛先アドレス、送信元アドレス、プロトコル タイプ、DSCP、優先順位、トラフィック クラスの各 IPv6 フィールドを収集できます。

Supervisor 2T は、最高 100 万の Netflow エントリを IPv4 と IPv6 の両方でサポートできます。Supervisor 720 は、IPv6 の容量を効率的に 2 分割して、IPv6 エントリごとに 2 つの Netflow エントリを消費していました。この制限は Supervisor 2T では適用されません。

Netflow を使用するには、次の 4 つの設定手順を実行する必要があります。

  1. Flow Record を定義する:この定義は、値が変更されると毎回新しいエントリの作成をトリガーするフィールド(マッチ ステートメント)と、個別エントリの収集データを蓄積するフィールド(コレクト ステートメント)から構成されています。
  2. Flow Export の定義:これらのステートメントには、収集したデータを蓄積する外部ホストの定義が含まれます。
  3. Flow Monitor の定義:この設定は、定義したレコードを定義したエクスポートに関連付けます。それにより、複数のエクスポート先と単一レコードの関連付けを可能にします。
  4. Flow Monitor の適用:これは、特定の方向にあるインターフェイスに適用されます。
  5. デュアル スタック スイッチの場合、IPv4 および IPv6 の情報は同じレコード内または個別に収集できます。

図 25 Flexible Netflow の設定例

図 25 Flexible Netflow の設定例
※画像をクリックすると、大きな画面で表示されますpopup_icon

それぞれの Flow Monitor は、PFC4/DFC4 それぞれに保持されるキャッシュと関連付けされています。このキャッシュはコマンド プロンプトで表示できます。

図 26 Flexible Netflow のキャッシュ

図 26 Flexible Netflow のキャッシュ
※画像をクリックすると、大きな画面で表示されますpopup_icon


6. ファースト ホップ セキュリティ


ファースト ホップは、戦略的にエンド システムの前に置かれているため、特に多くの脅威に晒されています。ファースト ホップに直接働きかける脅威は少数であり、大半はリンク操作の脆弱性を利用します。攻撃者は、不正なファースト ホップとして自身を挿入し、エンド システムを騙します。これらの脅威の多くは、IPv6 に固有のプロトコルの脆弱性を利用しているとはいえ、IPv6 にとって新しいものではありません。たとえば、攻撃者は、攻撃者のアドレスを初期化するのを防ぎ、不正なアドレスの構築を指示し、不正なデフォルト ゲートウェイを通知するなど、エンド システムを悪用するおそれがあります。

ファースト ホップは脆弱ですが、戦略的に物理的な場所に設置し、攻撃が到達する前にエンド システムを保護したり、エンド システムが悪意を持ってローカル ドメインに入るのを防いだりします。ファースト ホップに設置できる軽減メカニズムの大部分は、アドレス割り当ての詳細な知識、およびレイヤ 3 の知識をレイヤ 2 の知識と結びつける機能に対応します。

6.1 MAC アドレス バインディング エントリ

不正なホストがルータ ネイバー キャッシュをオーバーフローするのを防ぐ方法の 1 つは、単一の MAC アドレスにバインドできる IPv6 アドレスの最大量を制限することです。この機能が有効でない場合、悪意あるホストが、ファースト ホップ ルータのメモリの一部を飽和状態にすることで DoS を作り出すおそれがあります。単一の MAC アドレスにバインドできる IPv6 アドレスの最大数は、ipv6 neighbor binding max-entries <Number of entries> <mac-limit>|<port-limit> |<vlan-limit> コマンドを使用して MAC/ポートまたは VLAN 単位でグローバルに設定できます。

6.2 ネイバー探索インスペクション

NDP は、IPv6 および ICMPv6 の上で実行され、そのメッセージは ICMP メッセージのサブセットを含みます。これらは、IPv4 の ARP によって実行される機能を置換し、強化します。セキュリティ機能は、NDP メッセージのサブセット(RS、RA、NS、NA、および REDIR)にのみ集中します。表 3 を参照してください。

表 3 ICMPv6 メッセージ タイプ

ICMP タイプ メッセージの説明 役割 関連資料
133 ルータ要請(RS) RA を迅速に送信するようルータに指示する RFC 4861
134 ルータ アドバタイズメント(RA) 以下をアドバタイズする:
  • デフォルト ルータ
  • オンリンク プレフィクス
  • 到達可能プレフィクス
  • 運用パラメータ
RFC 4861
135 ネイバー要請(NS)
  • ターゲット ノードのリンク層アドレスを要求する★重複アドレス検出(DAD)プロセスの一部
RFC 4861
136 ネイバー アドバタイズメント(NA)
  • NS に応答する
  • リンク層アドレスの変更をアドバタイズする
RFC 4861
137 リダイレクト メッセージ(REDIR) より良いファースト ホップ ルータのホストを通知する RFC 4861


6.3 RA ガード

RA はマルチキャスト アドレス FF02::1 に送信される特別な ICMP メッセージです。これらのメッセージを使用して、ルータがリンク上にあるホストを通知し、そのセグメントのルーティング プレフィクスについて知らせます。

不正な RA は、不正または不適切に設定された VLAN 接続ルータによって、意図的にまたは故意ではなく生成されるおそれがあります。

RA ガードはレイヤ 2 インターフェイス上で設定されます。これは、着信 RA を検証し、メッセージ内またはレイヤ 2 のデバイス設定にある情報のみに基づいて、それを切り替えるかブロックするかを判断します。RA 検証に有益な、受信フレーム内にある一般的な情報は次のとおりです。

  • フレームを受信したポート
  • IPv6 送信元アドレス
  • プレフィクス リスト

レイヤ 2 デバイス上で作成された次の設定情報を RA ガードが利用可能な状態にして、受信した RA フレーム内にある情報と比較して検証できます。

  • RA ガード メッセージの受信をポートで許可/拒否する
  • RA 送信者の IP 送信元アドレスを許可/拒否する
  • プレフィクス リストおよびプレフィクス範囲を許可する
  • 制御ルータの設定

RA フレームの内容を設定と比較して検証した後、レイヤ 2 デバイスは、ユニキャストまたはマルチキャストいずれかの宛先に RA を切り替えます。それ以外は、RA はドロップされます。

Supervisor 2T は、PFC4/DFC4 レベルで RA ガードを実装しています。これによって、CPU の介入なしで RA インスペクションの高い割合を実現しています。

RA ガードを設定する場合、レイヤ 2 ポートは次の定義された役割の 1 つに割り当てる必要があります。

  1. ポートに接続された「host」デバイスはホストであり、したがって、すべてのインバウンド RA/リダイレクト メッセージがブロックされます。
  2. ポートに接続された「router」デバイスはルータです。この役割では、ポート上ですべてのメッセージ(RS/RA/リダイレクト)が許可されます。

  3. 「monitor」はポート上のインバウンド RA/リダイレクトを許可しませんが、マルチキャスト ルータ要請メッセージは VLAN の他のポートに切り替えられます。
  4. 「switch」はインバウンド RA/リダイレクトを許可しません。
  5. 次の例は、トランク インターフェイスに適用された RA ガード ポリシーです。これは、リモート スイッチに接続されたルータ R3 のみに、1 つのグローバル ルーティングを通知することを許可します。ルーティング スコープはプレフィクス リストで定義され、ルータはリンクローカル アドレスを使用してアクセス リストで定義されます。

4. 「switch」はインバウンド RA/リダイレクトを許可しません。

※画像をクリックすると、大きな画面で表示されますpopup_icon


6.4 IPv6 over IPv4 トンネリング

インターネットは IPv6 に移行しつつありますが、既存の IPv4 ルーティング インフラストラクチャは、機能を残したまま IPv6 トラフィックの伝送に使用できます。現行の IPv4 環境と IPv6 プロトコルの共存と相互運用性を促進するため、ホストおよびルータは IPv4 パケット内に IPv6 パケットをカプセル化することで、IPv4 トポロジを介して IPv6 パケットをトンネルできます。

IPv6 over IPv4 のエンド ノードは、デュアル スタック システムにする必要があります。宛先 IPv4 アドレスの生成方法に基づいて、IPv6 in IPv4 トンネルは手動またはダイナミックに構成されます。手動設定トンネル(MCT)の宛先 IPv4 アドレスは、トンネル インターフェイス上で設定され、ダイナミック トンネルの宛先 IPv4 アドレスは、パケットの IPv6 宛先アドレスから動的に抽出されます。

トンネリングの基本メカニズムは次のとおりです。

  • トンネルの開始ノードによって、カプセル化された IPv4 ヘッダーが作成され、カプセル化パケットが伝送されます
  • ネットワークは、IPv4 ルーティング プロトコルを使用して、カプセル化されたパケットを送信します
  • トンネルの終了ノードは、カプセル化されたパケットを受信し、必要であれば再構成して、IPv4 ヘッダーを削除し、受信した IPv6 パケットを処理します

Supervisor 2T は、次のタイプの IPv6 in IPv4 トンネルをサポートしています。

  • IPv6 over IPv4 (IPv6IP)
  • 総称ルーティング カプセル化(GRE)ヘッダーを使用した IPv6 over IPv4
  • IPv4 互換(IETF 非推奨のためここでは取り上げません)
  • 6to4
  • Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)

IPv6IP および GRE トンネルは MCT トンネルです。IPv6IP トンネルは、IPv6 ペイロードを IPv4 ヘッダーのすぐ後に追加して作成します(プロトコル ID 47 を使用)。この形のトンネルは、GRE ヘッダーを使用するよりも効率的ですが、トンネルされるトラフィックは IPv6 のみに制限されます。IPv4GRE トンネル(プロトコル ID 41)は、より一般的なトンネル タイプで、IPv6 またはその他のトラフィックの送信に使用できます。GRE ヘッダーは 20 バイトのオーバーヘッドを追加しますが、たとえば CLNS (ISIS の転送プロトコル)のトンネル内伝送を許可します。

図 27 に、スタティック トンネルを使用した IPv4 ヘッダーの IPv6 パケットのカプセル化/非カプセル化を示します。

図 27 MCT カプセル化/非カプセル化プロセス

図 27 MCT カプセル化/非カプセル化プロセス
※画像をクリックすると、大きな画面で表示されますpopup_icon


トンネル トラフィックを検査するには、次のルールが適用されます。

  • IPv4 プロトコル タイプのフィールドは、41 または 47 に設定する必要があります
  • IPv4 送信元アドレスは、トンネルのカプセル化エンド ポイントを特定する、カプセル化ノードの IPv4 アドレスの 1 つです
  • IPv4 宛先アドレスは、トンネルの非カプセル化エンド ポイントを特定する、非カプセル化ノードの IPv4 アドレスの 1 つです
  • IPv4 トンネル ヘッダーの存続可能時間(TTL)およびタイプ オブ サービス(ToS)は、送信元エンドポイントに設定します

6.4.1 トンネル開始ノード
Supervisor 2T がトンネルのカプセル化エンドポイントとして動作する場合(図 28 を参照)、IPv6 パケットの初回 FIB ルックアップでは、最終的な結果は返されませんが、トンネル カプセル化の書き換えエントリが指摘されます。書き換えエントリにはパケットのカプセル化に必要な IPv4 ヘッダー情報が含まれます。このカプセル化された IPv4 パケットは、フォワーディング エンジンに再循環されます。2 番目のパスでは、フォワーディング エンジンは IPv4 FIB ルックアップを実行します。最後の書き換えエントリには、ネクスト ホップおよび宛先 IPv4 アドレスにパケットを転送するために必要な MAC アドレスの書き換え情報が含まれます。先に説明したとおり、IPv4 ヘッダーのカプセル化では、41 または 47 のプロトコル値を使用して、それ自体を IPv6-in-IPv4 パケットとして識別します。

図 28 トンネルのカプセル化プロセス

図 28 トンネルのカプセル化プロセス
※画像をクリックすると、大きな画面で表示されますpopup_icon


6.4.2 トンネル終了ノード
トンネルの非カプセル化ポイントでは、着信トンネル パケットの IP 宛先アドレスは、通常、スイッチの IP アドレスの 1 つです。ルータの IP アドレスの 1 つを持つパケットは、トンネル パケットの場合もあれば非トンネル パケットの場合もあります。非トンネル パケットはルータを宛先として、ソフトウェアによって処理される必要があります。トンネル パケットは非カプセル化、インナー パケットはフォワーディングされる必要があります。トンネル トラフィックはその宛先アドレスのみでは識別できないため、MCT とトラフィックを区別するには 3 タプル(送信元アドレス、宛先アドレス、プロトコル タイプ)が必要です。また、自動トンネルの識別には 2 タプル(宛先アドレスおよびプロトコル タイプ)が必要です。入力トンネル インターフェイスを判断するには、宛先アドレスのみに基づいた FIB ルックアップでは十分ではありません。

このため、出力 ACL を使用してパケットが到着するトンネル インターフェイスを完全に識別します。通常の IPv4 フォワーディングと、トンネル終了ポイント パケットのフォワーディングの主な違いは、FIB ルックアップが、自分の IP アドレスを宛先とするパケットすべてに固定の隣接ポインタを提供することです。

ルータの IP アドレスを宛先とするすべてのパケットの出力 ACL は、パケットがトンネルの終了ポイントに到達したか、非カプセル化する必要があるかを判断します。その後、パケットはフォワーディング エンジンに再循環され、インナー IPv6 パケットの宛先アドレスの 2 回目のルックアップが行われます。ほとんどの場合、IPv6 FIB ルックアップは、MAC 書き換えをトリガーし、パケットをシステム外に転送するレイヤ 2 の書き換えエントリで終わります (図 29)。

図 29 トンネルの非カプセル化プロセス

図 29 トンネルの非カプセル化プロセス
※画像をクリックすると、大きな画面で表示されますpopup_icon


6.4.3 手動設定トンネル
手動設定トンネル(MCT)は、2 つの IPv6 ドメインと IPv4 バックボーンの間の接続を永続的に確立します。主な用途は、2 つのエッジ ルータ間、エンド システムとエッジ ルータ間、またはリモート IPv6 ネットワークへの接続の、定期的な通信です。

次の例では、SUP2T-1 および SUP2T-2 間の手動 IPv6 トンネルを設定しています。両方のスイッチのトンネル インターフェイス 0 は、グローバル IPv6 アドレスおよび IPv4 アドレスで手動設定されています。トンネルの宛先も、トンネルのもう一方のエンドポイントの IP アドレスの 1 つを手動設定する必要があります。トンネル モード「ipv6ip」は、IPv6 over IPv4 トンネル(プロトコル ID 47)を手動設定したことを示します。

図 30 IPv6IP トンネルの設定

図 30 IPv6IP トンネルの設定
※画像をクリックすると、大きな画面で表示されますpopup_icon


6.4.4 IPv6 over IPv4 総称ルーティング カプセル化トンネル
IPv6 トラフィックは、標準の GRE トンネル テクニックを使用した IPv4 総称ルーティング カプセル化(GRE)トンネルを通して伝送できます。このトンネルは、標準のポイントツーポイント カプセル化スキームの実装が必要なサービスを提供するために設計されました。GRE ヘッダーには、カプセル化プロトコルを特定するプロトコル フィールドが含まれます。GRE トンネルは、IS-IS または IPv6 をトンネル プロトコルとして指定することを許可します。これは、IS-IS および IPv6 両方のトラフィックが同じトラフィックを通過することを許可するものです。

次の例に、SUP2T-1 および SUP2T-2 間の IPv6 over IPv4 GRE トンネルを示します。両方のスイッチのトンネル インターフェイス 0 は、グローバル IPv6 アドレスおよび IPv4 アドレスで手動設定されています。トンネルの宛先も、トンネルのもう一方のエンドポイントの IP アドレスの 1 つを手動設定する必要があります。トンネル モード「gre ip」は、トンネルのカプセル化プロトコルとして GRE IPv4 を指定します。

図 31 IPv4 GRE トンネルの設定

図 31 IPv4 GRE トンネルの設定
※画像をクリックすると、大きな画面で表示されますpopup_icon


6.4.5 自動 6to4 トンネル
6to4 は IPv6 サイトが IPv4 ネットワークを介して、明示的なトンネル設定なしで互いに通信するメカニズムです(RFC 3056)。IPv6 アドレス内に埋め込まれた IPv4 アドレスを使用して、もう一方のトンネル エンドを自動検出するため、これらのトンネルはマルチポイント トンネルになります。

自動 6to4 トンネルは、別の IPv6 ネットワーク上の境界ルータまたはホストへのトンネルをパケット単位で作成する、隔離された IPv6 ネットワーク上の境界ルータで設定されます。トンネルの宛先は、プレフィクス 2002::/16 で始まる IPv6 アドレスから抽出された境界ルータの IPv4 アドレスから判断されます。アドレス形式は次のとおりです。

図 32 6to4 アドレス形式

図 32 6to4 アドレス形式


埋め込まれている IPv4 アドレスに続く 16 ビットは、サイト内のネットワークの番号付けに使用できます。6to4 ルータは、6to4 トンネリングを実装したルータを宛先とします。6to4 ルータがある IPv6 サイトは 6to4 サイトと呼ばれます。それぞれの 6to4 サイトには、境界ルータに割り当てられた、有効な、グローバルで一意の 32 ビット IPv4 アドレスが少なくとも 1 つあります。サイトはその IPv6 ネットワークに 6to4 アドレス プレフィクスを使用できます。6to4 トンネルのエンドポイントは、トンネルされるパケットの宛先アドレスと同じである必要はありませんので注意してください。これは、IPv4 アドレスが IPv6 アドレスのプレフィクスに埋め込まれているためです。

次の例では、SUP2T-1 および SUP2T-2 間の 6to4 トンネルを設定しています。両方のスイッチのインターフェイスは、グローバル IPv6 アドレスおよび IPv4 アドレスで設定されています。両方のスイッチのトンネル インターフェイス 0 は、両方のルータ インターフェイス上の IPv4 または IPv6 アドレスがトンネル送信元アドレスの比較に使用されているため、IPv4 または IPv6 アドレスなしで設定されています。宛先アドレスはパケット単位で自動的に構成されるため、トンネル宛先アドレスはどちらのルータでも指定されません。6to4 トンネルを指定するには、トンネル モードを「ipv6ip 6to4」に設定します。トンネル インターフェイス 0 へのネットワーク 2002::/16 の IPv6 スタティック ルートは、どちらのルータでも設定されます。

図 33 6to4 トンネルの設定

図 33 6to4 トンネルの設定
※画像をクリックすると、大きな画面で表示されますpopup_icon


6.4.6 Intra-Site Automatic Tunnel Addressing Protocol Tunnel
The Intra-Site Automatic Tunnel Addressing Protocol(ISATAP)は、IPv6-in-IPv4 トンネリング メカニズムを定義します。このメカニズムは、IPv4 を通して IPv6 ネクスト ホップ アドレスにパケットを自動トンネルする、IPv6 ルータに直接接続されないデュアルスタック ノードを許可します。ISATAP メカニズムは、EUI-64 ベースのインターフェイス識別子形式を使用しているため、IPv6 アドレス内に IPv4 アドレスが埋め込まれています。埋め込み IPv4 アドレスは、グローバル割り当てできますが、プライベート IPv4 アドレスでも構いません。6to4 トンネル方式とは異なり、ISATAP には特別な IPv6 ネットワーク プレフィクスは不要で、新しいインターフェイス識別子の形式にローカルおよびグローバル両方の IPv6 ユニキャスト プレフィクスを使用できます。

新しいインターフェイス識別子形式は、IPv4 アドレスを下位 32 ビットに埋め込み、その後に 0x5EFE と続きます(図 34 を参照)。

図 34 ISATAP アドレス形式

図 34 ISATAP アドレス形式


図 35 ISATAP トンネル アドレスの例

図 35 ISATAP トンネル アドレスの例


次の例では、SUP2T-1 および SUP2T-2 間の ISATAP トンネルを設定しています。トンネルの送信元コマンドは、設定した IPv4 アドレスを持つインターフェイスを示す必要があります。トンネル モードは「ipv6ip isatap」で指定されます。アドバタイズされる ISATAP IPv6 アドレスおよびプレフィクスは、IPv6 アドレス コマンドを使用して設定します。IPv6 アドレスは EUI-64 アドレスとして設定する必要がありますので注意してください。これは、インターフェイス識別子の最後の 32 ビットが IPv4 宛先アドレスとして使用されるためです。

ISATAP トンネル アドレスの例

※画像をクリックすると、大きな画面で表示されますpopup_icon


6.4.7 トンネルに関する考慮事項
エンドポイント インターフェイス

Supervisor 2T のフォワーディング エンジンに採用された論理インターフェイス(LIF)マッピングと呼ばれる新しいテクノロジーは、複数のトンネルによるエンドポイント インターフェイスの共有を可能にしました。これは以前の Supervisor 720 および Supervisor 32 ファミリの Supervisor では不可能でした (LIF の詳細については、『Supervisor 2T アーキテクチャ』 を参照してください)。

MTU
Supervisor 2T では、IPv6 宛先アドレスに基づいたパケット単位のダイナミック パス MTU チェックはサポートしていません。したがって、IPv6 トンネルの MTU は、IPv6 の最低 MTU 1280 バイトと、出力インターフェイスの MTU からカプセル化サイズを引いたものの間の値から構成される値でプログラムする必要があります。

オリジナルの IPv6 パケットがパス MTU を上回る場合、そのパケットは破棄され、オリジナル パケットの送信元アドレスに ICMPv6 の「Packet Too Big(パケットが大きすぎます)」メッセージが送信されます。

オリジナルの IPv6 パケットがパス MTU と等しいかそれを下回る場合、オリジナル パケットはカプセル化されます。最終的なトンネル パケットは、物理出力インターフェイスの MTU を上回る場合、この後断片化される場合があります。断片化プロセスはソフトウェアにより実行されます。

カプセル化されたトラフィックが出力物理インターフェイスで、またはトンネル パス内で断片化される場合、その断片はフォワーディング エンジンでは再構成されません。代わりに、コントロール プレーンに転送されてリアセンブリされます。

フォワーディング レート
トンネルのカプセル化または非カプセル化が必要なパケットのフォワーディング レートは、IPv6 ユニキャスト パケットの通常のフォワーディング レート(15 Mpps)の半分です。これは、トンネルのエンドポイント両方で実行する必要がある再循環プロセスによるものです(上記を参照)。カプセル化されたトラフィックは、IPv4 レート(60 Mpps)でフォワーディングされます。

TOS/トラフィック クラス
トンネル インターフェイス コマンド tunnel tos では、トンネル パケットの IPv4 ヘッダのカプセル化の TOS 値を設定できます。値は 0 〜 255 の範囲で指定できます。トンネル インターフェイス上でこのコマンドが発行されない場合、トンネル ヘッダーの TOS/トラフィック クラス値はインナー ヘッダーからコピーされます。以前の Supervisor では不可能だった IPv4 と IPv6 の間の QoS 値を分ける機能は、QoS ポリシーを IPv6 とは独立して再定義できる柔軟性を提供します。

6.5 IPv6 上のトンネリング

Supervisor 2T は、ハードウェアでは IPv6 と IPv6 GRE の 2 つの MCT トンネルのみをサポートしています。

  • IPv6 カプセル化:オリジナル パケットは、トンネル開始ポイントで IPv6 ヘッダーを使用してカプセル化され、トンネル終了ポイントで非カプセル化されます。
  • GRE over IPv6:オリジナル パケットは、トンネル開始ポイントで、GRE ヘッダー(プロトコル ID:0x2F)を使用して最初にカプセル化されます。最終的な GRE フレームは IPv6 ヘッダーを使用してカプセル化され、トンネル終了ポイントでは逆の操作が行われます。

複数のプロトコルによるカプセル化を実行できるのは、IPv6 GRE トンネルのみです(設定例は図 37 を参照)。

他のトンネル テクノロジー同様、Supervisor 2T ではトンネルの両方のエンドポイントでパケットの再循環が必要です。

図 36 IPv6 GRE トンネル

図 36 IPv6 GRE トンネル
※画像をクリックすると、大きな画面で表示されますpopup_icon


図 37 IPv6 GRE トンネルの設定例

図 37 IPv6 GRE トンネルの設定例
※画像をクリックすると、大きな画面で表示されますpopup_icon


7. VRF-Lite および IPv6


VPN ルーティングおよび転送(VRF)インスタンスは、同じルーティング デバイス上のルーティング テーブルの複数インスタンスを作成するために使用されます。この機能は通常 MPLS と関連付けされ、サービス プロバイダーはこれを使用して複数のお客様のトラフィックを分割します。

VRF-Lite は MPLS がない VRF です。ボーダレス ネットワークでは、VRF-Lite は、管理者による同じデバイス上での複数のルーティング インスタンスの作成を許可し、完全な MPLS ソリューションを導入せずにトラフィックを分割する目的を達成します。VRF そのものは、異なるまたは同一の IPv6 アドレスを持つエントリを分離する、FIB テーブルの追加キーと見なすことができます。特定の VRF の一部ではないアドレスとルートは、「グローバル」アドレスと呼ばれることが多く、それと関連したデフォルト VRF があります。

これは MPLS を使用しないため、VRF-Lite では VRF の伝播を考慮しません。このタスクは、802.1q トランクを使用したホップバイホップ ベース、またはトンネルを使用したエンドツーエンドのいずれかで、手動実行する必要があります。

ホップバイホップ方式を使用して VRF を伝播する場合、管理者は、通常、サブインターフェイスを作成して、ネイバー スイッチ間の接続上にある特定の VRF と関連付けます。論理インターフェイス(LIF)マッピングのおかげで、同じ VLAN 識別方法を 2 つの異なるプライマリ インターフェイス上で設定できるようになり、ホップバイホップ伝播が強化されました (LIF の詳細については、『Supervisor 2T アーキテクチャ』 を参照してください)。以下のトポロジでは、SUP2T-2 は、VRF-1 に対して SUP2T-1 と SUP2T-2 を接続するインターフェイスに VLAN10 を割り当てています。

図 38 ホップバイホップ VRF 伝播

図 38 ホップバイホップ VRF 伝播


図 39 ホップバイホップ VRF の設定例

図 39 ホップバイホップ VRF の設定例
※画像をクリックすると、大きな画面で表示されますpopup_icon


Supervisor 2T によって、トンネル エンドポイントは VRF 上に存在できます。これは、IPv4 ネットワーク全体で複数の IPv6 VRF の接続を可能にします。次の例は、同じループバック インターフェイス上にある 2 トンネルが終了する可能性を示します。最初のトンネルは、IPv4 と IPv6 トラフィック両方をカプセル化する GRE トンネル、2 番目のトンネルは IPv6 トラフィックのみを伝送します。

図 40 IPv6 VRF トンネルの設定例

図 40 IPv6 VRF トンネルの設定例
※画像をクリックすると、大きな画面で表示されますpopup_icon


図 41 デュアル スタック GRE トンネル FIB テーブル

図 41 デュアル スタック GRE トンネル FIB テーブル
※画像をクリックすると、大きな画面で表示されますpopup_icon


8. IPv6 over MPLS


MPLS は、サービス プロバイダーや大企業が使用するインフラストラクチャ テクノロジーです。これを利用すると、バーチャル プライベート ネットワーク(VPN)、トラフィック エンジニアリング(TE)、Quality Of Service (QoS)、高速コンバージェンス(FRR または高速再ルーティング)などのサービスの統合が容易になります。MPLS 用語では、ノード タイプを 3 つ定義しています。MPLS ネットワークの境界に存在するプロバイダー エッジ(PE)は、一方でカスタマー エッジ(CE)、もう一方でプロバイダー(P) ノードに対応します。P ノードは IPv4 ヘッダーではなく、転送先の決定を MPLS ラベルによって行うため、ラベル スイッチング ルータと呼ばれることもあります。

パケットが入力 PE の MPLS ネットワークに入ると、そのラベルに従って出力 PE に転送されます。このパスにはラベル スイッチング パス(LSP)と呼ばれる特定のパケットが続き、ラベル配布プロトコル(LDP)またはリソース予約プロトコル(RSVP)などのコントロール プレーン プロトコルによって設定されます。複数のラベルをオリジナルのフレーム内にスタックできます。各ラベルは、プロトコルまたは手動設定によって付けられる修飾子です。LSP 内のルーティング決定は、通常最上位のラベル上で行われ、ラベル スワッピングと呼ばれます(MPLS の詳細については、『MPLS & VPN アーキテクチャ』、Ivan Pepelnjak / Jim Guichard 著を参照してください)。

Supervisor 2T は、Ethernet Over MPLS(EoMPLS)および Virtual Private LAN Service(VPLS; 仮想プライベート LAN サービス)などのレイヤ 2 サービスを含め、PE および P レベル両方の MPLS スイッチングをサポートするために必要なすべての機能を提供します (これらの機能のサポートについては、ホワイト ペーパー『Supervisor 2T およびネットワーク仮想化』 [英語] で詳述します)。

8.1 MPLS 上の IPv6 プロバイダー エッジ

IPv6 プロバイダー エッジ(6PE)は、従来の IPv6 over IPv4 トンネルの代替ソリューションです。これは IPv6 over IPv4 トンネルと同じ利点を提供しつつ、トンネルのスケーラビリティとオーバーヘッドの制限を排除し、さらに MPLS テクノロジー(QoS、TE、FRR など)の利点が加えられています。

デュアル スタックする PE ルータを必要とするのは MPLS ネットワークを介した IPv6 転送のみで、コア ルータには追加修正は必要ありません。入力 PE が受信した IPv6 トラフィックは、既存の MPLS/IPv4 インフラストラクチャを使用して宛先 IPv6 ネットワークに転送されます。MPLS コアでは、LDP と、ルート アップデートの交換や接続の確立に使用される OSPF や IS-IS などの IGP を含めたすべてのコントロール プレーン プロトコルが IPv4 上で維持されています。データ プレーン側では、MPLS ドメイン上の P ルータは、パケットのスイッチに MPLS ラベルを限定使用するため、IPv6 パケットのスイッチングを認識しません。

図 42 6PE トポロジの例

図 42 6PE トポロジの例
※画像をクリックすると、大きな画面で表示されますpopup_icon


図 43 6PE 設定例

図 43 6PE 設定例
※画像をクリックすると、大きな画面で表示されますpopup_icon


8.2 入力 6PE ノード

次の例は、2 つの MP-iBGP ネイバー間に存在する LSP を示します。入力 PE では、フォワーディング エンジンによって、通常のレイヤ 2 書き換えに加えて、発信トラフィックにラベル 29 が指定されます。このラベルは LDP によって割り当てられ、MPLS フォワーディング テーブル(ラベル スイッチングにおいてルーティング テーブルに相当するもの)内に存在します。このラベルは、書き換え操作中にハードウェア隣接関係テーブルにプッシュされます。

図 44 MPLS フォワーディング テーブルおよび CEF テーブルの 6PE ラベル

図 44 MPLS フォワーディング テーブルおよび CEF テーブルの 6PE ラベル
※画像をクリックすると、大きな画面で表示されますpopup_icon


SUP2T-2 over MP-iBGP によってアドバタイズされる IPv6 プレフィクスは、以下に示すようにネクスト ホップ 5.5.5.5 から到達可能です。ネクスト ホップ(::FFFF:5.5.5.5)は、IPv4 マッピングされた IPv6 アドレスで、LSP エンドポイントの IPv4 アドレスから抽出されます。これは、アドバタイズされたプレフィクスに到達するための LSP を識別します。

図 45 6PE MP-BGP ネクスト ホップ

図 45 6PE MP-BGP ネクスト ホップ
※画像をクリックすると、大きな画面で表示されますpopup_icon


MP-iBGP プロセスは、この例では MP-iBGP ネイバーの IPv4 ループバックを示す IPv6 再帰ルートをインストールします。また、MP-iBGP プロセスは、IPv6 LSP を詳細に定義する追加ラベル(ラベル 20)を提供します。フォワーディング エンジンは、このように、書き換え操作中、オリジナル フレームに 2 ラベルをプッシュします。

図 46 6PE および IGP ラベル プッシュ

図 46 6PE および IGP ラベル プッシュ
※画像をクリックすると、大きな画面で表示されますpopup_icon


IPv6 FIB エントリは、宛先 IPv6 プレフィクスと共に、ハードウェア FIB テーブルにインストールされます。対応する隣接エントリはプログラムされ、2 つの MPLS ラベル(L1 および L2)をプッシュし、出力インターフェイスの MAC 書き換え情報を提供します(以下の図に示します)。

図 47 6PE ラベル インポジション

図 47 6PE ラベル インポジション
※画像をクリックすると、大きな画面で表示されますpopup_icon


8.3 出力 6PE ノード

出力 6PE ノードでは、同時に 2 つの操作が行われます。集約 BGP ラベルが参照されて表示され、対応する隣接関係テーブルには、パケットを転送する必要がある仮想プライベート VLAN の識別子が含まれます。6PE の場合、ラベルが VPN を識別しないため、隣接はグローバル テーブルを示します。個別の FIB ルックアップが IPv6 ヘッダーを使用して実行されます。対応する隣接エントリは、出力インターフェイスおよび MAC 書き換え情報を提供します。

図 48 出力 6PE ラベル

図 48 出力 6PE ラベル
※画像をクリックすると、大きな画面で表示されますpopup_icon


図 49 出力 6PE ラベルの説明

図 49 出力 6PE ラベルの説明
※画像をクリックすると、大きな画面で表示されますpopup_icon


トンネルとは異なり、質の高い帯域幅を提供する 6PE には入力/出力どちらの PE でも再循環は必要ないので注意してください。

8.4 6PE のその他の機能

8.4.1 クラスベースの TE トンネル選択
クラスベースの MPLS TE トンネル選択(CBTS)は、同じヘッド エンドとテール エンドの間に並行する PE トンネルを構築することを可能にし、それぞれで異なる CoS サブセットを伝送しようという発想です。このトンネルは、スタックにラベルを追加することで作成され、Supervisor 2T はフォワーディング エンジンを使用したシングル パスで最高 5 ラベルまでのインポジションをサポートします。次の設定例を参照してください。

図 50 MPLS TE トンネルの設定例

図 50 MPLS TE トンネルの設定例
※画像をクリックすると、大きな画面で表示されますpopup_icon


CBTS は、これらの異なる並行トンネルに IPv6 パケットを動的にルーティングします。このトンネルにはそれぞれ EXP 値が割り当てられ、CBTS 選択はこの値に基づいて行われます。

8.4.2 6PE Over FRR
MPLS トラフィック エンジニアリングは、MPLS ラベル スイッチ パス トンネルを使用して、パスに沿ったルータ ペア間のトラフィックを転送します。パスに沿ったリンクまたはノードのエラーが起きてトンネルの接続が切断された場合、トンネル ヘッドにエラーが報告され、トンネル ヘッドはトンネル エンドへの代替パスを再確立しようとします。残念ながら、トンネルの再確立は大幅に遅れ、音声哉ビデオなどの時間に左右されるアプリケーションはサービスの中断を引き起こす場合があります。結果、FRR(高速再ルーティング)メカニズムを使用することで、トンネルの再確立の遅延が改善されました。

FRR の基礎理論は、冗長リンクまたはノードを持つことであるため、リンクまたはノードにエラーが発生した場合は、トラフィックを極めて短時間で代替リンク/ノードに再ルーティングすることで、こうしたアプリケーションのサービスの中断を最小限に抑えられます。

9. IPv6 VPN プロバイダー エッジ(6VPE)


6VPE は MP-BGP を使用して、IPv4 または IPv6 ベースの MPLS コアを介したバーチャル プライベート ネットワーク(VPN)拡張機能を提供します。原則は 6PE と同じく、IPv6 ネットワークを異なる VPN に分離する利点があります。

図 51 6VPE 設定例

図 51 6VPE 設定例
※画像をクリックすると、大きな画面で表示されますpopup_icon


ハードウェア FIB から見ると、6VPE は 6PE と同じ仕組みで動作します。入力 PE ルータでは、フォワーディング エンジンは VRF テーブルの IPv6 ルックアップを実行して、MP-BGP がアドバタイズしたアウター IGP/LDP ラベルおよびインナー ラベル(VPN ラベル)の 2 ラベルを設定します。出力ルータでは、フォワーディング エンジンは VPN ラベルを表示し(6PE のセクションで説明したとおり)、対応する VRF テーブル(6PE のグローバル テーブルの代わり)内でインナー IPv6 宛先アドレスに基づいたルックアップを実行します。

PFC4 VRF テーブルは、最高 4,000 までの IPv6 VPN をサポートしています。

図 52 6VPE MP-BGP ルート

図 52 6VPE MP-BGP ルート
※画像をクリックすると、大きな画面で表示されますpopup_icon


宣言された MP-BGP ルートに加えて、それぞれの VRF は、グローバル CEF テーブルに含まれるすべてのデフォルト ルートをミラーリングします。

図 53 6VPE VRF ルーティング テーブル

図 53 6VPE VRF ルーティング テーブル
※画像をクリックすると、大きな画面で表示されますpopup_icon


10. IPv6 アクセス リスト


ハードウェアを分類するため、Supervisor 2T には、Ternary Content Addressable Memory(TCAM)が備えられています。

IPv6 ACL TCAM は、標準と拡張両方の IPv6 ACL をサポートしています。IPV6 標準 ACL は、送信元と宛先両方のアドレスをサポートしています。これは、送信元アドレスのみをサポートしていた IPV4 標準 ACL とは異なります。IPv6 拡張 ACL は、IPv6 送信元アドレスおよび宛先アドレスと、次を含む上位のレイヤ プロトコル情報をサポートします。

  • TCP および UDP プロトコル タイプ
  • 送信元および宛先ポート番号
  • SYN、ACK、FIN、PSH、URG、RST、および Established(ACK および RST)を含む TCP フラグ
  • 送信元または宛先アドレスがある ICMPv6 パケットおよび ICMP タイプ

ACL プロセスは 2 ステップで実行されます。図 54 に示すとおり、最初のステップでは結果(許可または拒否)を出す ACL アセスメントが実行され、次のステップでは ACL の統計情報が追加されます。

ハードウェア内の IPv6 ACL と一致するパケットの統計情報はすべてライン カードに集約され、show ipv6 access-list コマンドを使用して表示できます。Supervisor 720 および Supervisor 32 では、このプロセスは パケットから RP へのブリッジを意味していました。システム全体で最大 4,000 カウンタをサポートしています。

CAM ACL は、システムが PFC4XL モードで動作している場合は最大 256,000 エントリまで保存できますが、IPv6 ACL エントリ(ACE)ごとに 2 エントリが必要です。TCAM 空間は、QoS 分類プロセスとセキュリティ分類プロセスが共有します。デフォルト割り当ては QoS プロセス用として 1 バンクの TCAM を予約し、IPv6 ACL 用としてシステム内で最大 96,000 の IPv6 ACL エントリを確保します(IPv4 の場合は 192,000)。IPv6 ACE あたり 288 ビットを使用できるので、内部圧縮メカニズム、EUI-64 の手動 IPv6 アドレス圧縮は不要になりました。これらの拡張 ACL では、論理演算子(gt、lt、および eq キーワード)を使用して設定する論理演算ユニット(LOU)も合計 208 使用できます。

図 54 ACL ブロック ダイアグラム

図 54 ACL ブロック ダイアグラム
※画像をクリックすると、大きな画面で表示されますpopup_icon


Supervisor 2T には、ポートベースのアクセス コントロール リスト(PACL)のサポートが含まれます。これは、特定のレイヤ 2 ポート上で IPv6 トラフィックのアクセス コントロールを行う機能を提供します。PACL は、アクセス ポートおよびトランク ポート上の入力方向のみサポートします。

11. IPv6 コントロール プレーンの保護


設定ミス、プロトコル エラー、機器の不具合、および悪意あるアプリケーションから CPU リソースを保護することは、ネットワーク管理者にとって最も困難な作業の 1 つです。コントロール プレーン インターフェイスが過剰に保護されている場合、コントロール プレーンのパフォーマンスと再コンバージェンスに影響が出ます。適切に保護されていても、CPU 使用率が不意に急上昇し、ネットワークの運用に影響するおそれがあります。

Supervisor 720 および Supervisor 32 と同様、Supervisor 2T には 2 つのコントロール プレーン保護メカニズムが備えられています。

  • レート リミッタ
  • コントロール プレーン ポリシング

レート リミッタを使用して、Supervisor がネットワーク イベントにどう反応するかを制御します。コントロール プレーン ポリシング(CoPP)は、コントロール プレーン インターフェイスに適用される QoS ポリシーと見なすこともできます。

たとえば、パケットの宛先アドレスが ND キャッシュ内に存在しない場合、フォワーディング エンジンはパケットをコントロール プレーンにパントして、アドレス解決を実行します。

CEF GLEAN レート リミッタは、アドレス解決に必要なトラフィック量を制限します。このレート リミッタはデフォルトで有効、CPU が生成する ND の量を毎秒 1,000 リクエストに制限します。

ACL ブロック ダイアグラム

※画像をクリックすると、大きな画面で表示されますpopup_icon


Supervisor 720 および Supervisor 32 とは異なり、Supervisor 2T の QoS 機能はデフォルトで有効化されています。Supervisor 2T には、Modular QoS CLI(MQC)設定スキームに準拠した、事前定義されたコントロール プレーン ポリシーがあります。たとえば、次のポリシーは、複数の NDP パケットをコントロール プレーン プロセッサに転送できるレートを制御します。このポリシーは 4 つのステップで構成されています。

1. ポリサーの対象となるパケットを特定するリストのアクセス グループの定義

1. ポリサーの対象となるパケットを特定するリストのアクセス グループの定義

※画像をクリックすると、大きな画面で表示されますpopup_icon


2. 1 つまたは複数のアクセス リスト定義を登録するクラス マップの定義

2. 1 つまたは複数のアクセス リスト定義を登録するクラス マップの定義

※画像をクリックすると、大きな画面で表示されますpopup_icon


3. キーワード policy-default-autocopp で事前設定され、すべてのクラス マップ定義を含むポリシー マップの定義

3. キーワード policy-default-autocopp で事前設定され、すべてのクラス マップ定義を含むポリシー マップの定義

※画像をクリックすると、大きな画面で表示されますpopup_icon


ポリシー マップはリーキー バケット アルゴリズムを使用して各クラスに割り当てられるレートを定義します。set-discard-class-transmit キーワード セットは、破棄クラスの内部ラベルに特定の値(この場合は 48)を設定し、パケットをプロセッサ キューに転送します。ポリサーが設定した内部の DSCP 値は、プロセッサ キュー内で輻輳が発生した場合、CPU が特定クラスのメッセージを処理する優先順位を制御します。

4. ポリシー マップは入力方向のコントロール プレーン インターフェイスに適用されます。

4. ポリシー マップは入力方向のコントロール プレーン インターフェイスに適用されます。

※画像をクリックすると、大きな画面で表示されますpopup_icon


CoPP ポリシー内でクラス単位の詳細なアカウンティングが行われます。

4. ポリシー マップは入力方向のコントロール プレーン インターフェイスに適用されます。

※画像をクリックすると、大きな画面で表示されますpopup_icon