Cisco Secure Firewall ASA シリーズコマンドリファレンス、I ～ R コマンド

ipv4-prefix

マッピングアドレスおよびポート（MAP）ドメイン内の基本マッピングルールの IPv4 プレフィックスを設定するには、MAP ドメインの基本マッピングルールコンフィギュレーションモードで ipv4-prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。

ipv4-prefixipv4_network_addressnetmask

no ipv4-prefix ipv4_network_address netmask

構文の説明


`ipv4_network_address` `netmask`	カスタマーエッジ（CE）デバイスの IPv4 アドレスプールを定義する IPv4 プレフィックス。ネットワークアドレスとサブネットマスク（たとえば、192.168.3.0 255.255.255.0）を指定します。異なる MAP ドメインで同じ IPv4 プレフィックスを使用することはできません。

コマンドデフォルト

デフォルト設定はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
MAP ドメインの基本マッピングルールコンフィギュレーションモード	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.13(1)	このコマンドが導入されました。

使用上のガイドライン

IPv4 プレフィックスは、カスタマーエッジ（CE）デバイスの IPv4 アドレスプールを定義します。CE デバイスは、最初に IPv4 アドレスを、IPv4 プレフィックスによって定義されたプール内のアドレス（およびポート番号）に変換します。次に、MAP は、デフォルトのマッピングルールのプレフィックスを使用して、この新しいアドレスを IPv6 アドレスに変換します。

例

次の例では、1 という名前の MAP-T ドメインを作成して、ドメインの変換ルールを設定しています。


ciscoasa(config)# map-domain 1
 
ciscoasa(config-map-domain)# default-mapping-rule 2001:DB8:CAFE:CAFE::/64
 
ciscoasa(config-map-domain)# basic-mapping-rule
 
ciscoasa(config-map-domain-bmr)# ipv4-prefix 192.168.3.0 255.255.255.0
 
ciscoasa(config-map-domain-bmr)# ipv6-prefix 2001:cafe:cafe:1::/64
 
ciscoasa(config-map-domain-bmr)# start-port 1024
 
ciscoasa(config-map-domain-bmr)# share-ratio 16

コマンド	説明
basic-mapping-rule	MAP ドメインの基本マッピングルールを設定します。
default-mapping-rule	MAP ドメインのデフォルトマッピングルールを設定します。
ipv4-prefix	MAP ドメインの基本マッピングルールの IPv4 プレフィックスを設定します。
ipv6-prefix	MAP ドメインの基本マッピングルールの IPv6 プレフィックスを設定します。
map-domain	マッピングアドレスおよびポート（MAP）ドメインを設定します。
share-ratio	MAP ドメインの基本マッピングルールのポート数を設定します。
show map-domain	マッピングアドレスおよびポート（MAP）ドメインに関する情報を表示します。
start-port	MAP ドメインの基本マッピングルールの開始ポートを設定します。

ipv6 address

IPv6 を有効にし、インターフェイスで IPv6 アドレスを設定（ルーテッドモード）したり、ブリッジグループまたは管理インターフェイスアドレスの IPv6 アドレスを設定（トランスペアレントモード）したりするには、ipv6 address コマンドを使用します。IPv6 アドレスを削除するには、このコマンドの no 形式を使用します。

ipv6 prefix { autoconfig [ autoconfig [ default trust { dhcp | ignore } ] | dhcp [ defualt ] | ipv6_address | prefix_name ipv6_address | prefix_length | ipv6_address link-local [ standby ipv6_adress ] }

no ipv6 prefix { autoconfig [ autoconfig [ default trust { dhcp | ignore } ] | dhcp [ defualt ] | ipv6_address | prefix_name ipv6_address | prefix_length | ipv6_address link-local [ standby ipv6_adress ] }

構文の説明

autoconfig

インターフェイスでステートレスな自動設定をイネーブルにします。インターフェイスでステートレスな自動設定をイネーブルにすると、ルータアドバタイズメントメッセージで受信したプレフィックスに基づいて IPv6 アドレスが設定されます。ステートレスな自動設定がイネーブルになっている場合、インターフェイスのリンクローカルアドレスは、Modified EUI-64 インターフェイス ID に基づいて自動的に生成されます。トランスペアレントファイアウォールモードではサポートされません。

（注）

RFC 4862 では、ステートレスな自動設定に設定されたホストはルータアドバタイズメントメッセージを送信しないと規定していますが、ASA はこの場合、ルータアドバタイズメントメッセージを送信します。メッセージを抑制するには、ipv6 nd suppress-ra コマンドを参照してください。

cluster-pool poolname

（任意）ASA クラスタリングの場合に、ipv6 local pool コマンドで定義されたアドレスのクラスタプールを設定します。引数で定義されたメインクラスタの IP アドレスは、現在のマスターユニットだけに属します。各クラスタメンバには、このプールからローカル IP アドレスが割り当てられます。

各ユニットに割り当てられるアドレスは、事前に正確に特定できません。各ユニットで使用されているアドレスを表示するには、show ipv6 local pool poolname コマンドを入力します。各クラスタメンバには、クラスタに参加したときにメンバ ID が割り当てられます。この ID によって、プールから使用されるローカル IP が決定します。

default

（オプション）ルータアドバタイズメントからデフォルトルートを取得します。

default trust

（オプション）ルータアドバタイズメントからデフォルトルートをインストールします。

dhcp (autoconfig)

（オプション）信頼できる送信元から（言い換えると、IPv6 アドレスを提供した同じサーバーから）取得されたルータアドバタイズメントからのデフォルトルートのみを ASA が使用することを指定します。

dhcp

DHCPv6 サーバーから IPv6 アドレスを取得します。

ignore

（オプション）別のネットワークからルータアドバタイズメントを取得できる（よりリスクの高い方法となる可能性がある）ことを指定します。

ipv6_address/prefix_length

インターフェイスにグローバルアドレスを割り当てます。グローバルアドレスを割り当てると、インターフェイスのリンクローカルアドレスが自動的に作成されます。

ipv6_prefix/prefix_length eui-64

Modified EUI-64 形式を使用してインターフェイスの MAC アドレスから生成されたインターフェイス ID と、指定されたプレフィックスを結合することによって、インターフェイスにグローバルアドレスを割り当てます。グローバルアドレスを割り当てると、インターフェイスのリンクローカルアドレスが自動的に作成されます。>prefix-length 引数に指定されている値が 64 ビットを超えている場合は、プレフィックスビットがインターフェイス ID よりも優先されます。指定したアドレスを別のホストが使用している場合は、エラーメッセージが表示されます。

スタンバイアドレスを指定する必要はありません。インターフェイス ID が自動的に生成されます。

Modified EUI-64 形式のインターフェイス ID は、リンク層アドレスの上位 3 バイト（OUI フィールド）と下位 3 バイト（シリアル番号）の間に 16 進数の FFFE を挿入することで、48 ビットリンク層（MAC）アドレスから導出されます。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番めのビット（ユニバーサル/ローカルビット）が反転され、48 ビットアドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビットインターフェイス ID が指定されます。

ipv6_address link-local

手動でリンクローカルアドレスだけを設定します。このコマンドに指定された ipv6_address は、インターフェイス用に自動的に生成されるリンクローカルアドレスを上書きします。リンクローカルアドレスは、リンクローカルプレフィックス FE80::/64 と Modified EUI-64 形式のインターフェイス ID で形成されます。MAC アドレスが 00E0.B601.3B7A のインターフェイスの場合、リンクローカルアドレスは FE80::2E0:B6FF:FE01:3B7A になります。指定したアドレスを別のホストが使用している場合は、エラーメッセージが表示されます。

prefix_name ipv6_address / prefix_length

委任されたプレフィックスを使用します。この機能は、ASA インターフェイスに DHCPv6 プレフィクス委任クライアントを有効にさせる（ipv6 dhcp client pd ）ために必要です。通常、委任されたプレフィクスは /60 以下であるため、複数 /64 ネットワークにサブネット化できます。接続されるクライアント用に SLAAC をサポートする必要がある場合は、/64 がサポートされるサブネット長です。/60 サブネットを補完するアドレス（1:0:0:0:1 など）を指定する必要があります。プレフィックスが /60 未満の場合は、アドレスの前に :: を入力します。たとえば、委任されたプレフィクスが 2001:DB8:1234:5670::/60 である場合、このインターフェイスに割り当てられるグローバル IP アドレスは 2001:DB8:1234:5671::1/64 です。ルータアドバタイズメントでアドバタイズされるプレフィクスは 2001:DB8:1234:5671::/64 です。この例では、プレフィクスが /60 未満である場合、プレフィックスの残りのビットは、前に配置される :: によって示されるように、0 になります。たとえば、プレフィクスが 2001:DB8:1234::/48 である場合、IPv6 アドレスは 2001:DB8:1234::1:0:0:0:1/64 になります。

standby ipv6_address

（任意）フェールオーバーペアのセカンダリユニットまたはフェールオーバーグループで使用されるインターフェイスアドレスを指定します。

コマンドデフォルト

IPv6 はディセーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.2(1)	トランスペアレントファイアウォールモードのサポートが追加されました。
8.2(2)	スタンバイアドレスのサポートが追加されました。
8.4(1)	トランスペアレントモード用にブリッジグループが追加されました。BVI の IP アドレスを設定し、グローバルには設定しません。
9.0(1)	ASA クラスタリングをサポートするために、cluster-pool キーワードが追加されました。
9.6(2)	次のオプションが追加されました。 autoconfig default trust {dhcp \| ignore } dhcp [default ] `prefix_name` `ipv6_address` / `prefix_length`

使用上のガイドライン

インターフェイスに IPv6 アドレスを設定すると、そのインターフェイスで IPv6 が有効になります。IPv6 アドレスを指定した後で ipv6 enable コマンドを使用する必要はありません。

マルチコンテキストモードのガイドライン

シングルコンテキストルーテッドファイアウォールモードでは、各インターフェイスアドレスはそれぞれ固有のサブネットに存在する必要があります。マルチコンテキストモードでは、このインターフェイスが共有インターフェイスにある場合、各 IP アドレスはそれぞれ固有であるものの、同じサブネットに存在する必要があります。インターフェイスが固有のものである場合、この IP アドレスを必要に応じて他のコンテキストで使用できます。

DHCPv6 およびプレフィクス委任オプションは、マルチコンテキストモードではサポートされていません。

トランスペアレントファイアウォールのガイドライン

トランスペアレントモードでは、IPv6 アドレスの手動設定のみがサポートされています。トランスペアレントファイアウォールは、IP ルーティングに参加しません。ASA に必要な唯一の IP 構成は、BVI アドレスの設定です。このアドレスが必要になるのは、システムメッセージや AAA サーバーとの通信などで発信されるトラフィックの送信元アドレスとして、ASA がこのアドレスを使用するためです。このアドレスは、リモート管理アクセスにも使用できます。このアドレスは、上流のルータおよび下流のルータと同じサブネットに存在する必要があります。マルチコンテキストモードの場合、各コンテキスト内の管理 IP アドレスを設定します。管理インターフェイスを含むモデルの場合は、このインターフェイスの IP アドレスを管理用に設定することもできます。

フェールオーバーのガイドライン

スタンバイ IP アドレスは、メイン IP アドレスと同じサブネットに存在する必要があります。

ASA クラスタリングのガイドライン

個々のインターフェイスのクラスタプールは、クラスタインターフェイスモードを個別に設定（cluster-interface mode individual ）しないと設定できません。唯一の例外は管理専用インターフェイスです。

管理専用インターフェイスはいつでも、個別インターフェイスとして設定できます（スパンド EtherChannel モードのときでも）。管理インターフェイスは、個別インターフェイスとすることができます（トランスペアレントファイアウォールモードのときでも）。
スパンド EtherChannel モードでは、管理インターフェイスを個別インターフェイスとして設定すると、管理インターフェイスに対してダイナミックルーティングをイネーブルにできません。スタティックルートを使用する必要があります。

DHCPv6 およびプレフィクス委任オプションは、クラスタリングではサポートされていません。

例

次に、選択したインターフェイスのグローバルアドレスとして 2001:0DB8:BA98::3210/64 を割り当て、スタンバイユニットの対応するインターフェイスのアドレスとして 2001:0DB8:BA98::3211 を割り当てる例を示します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 address 2001:0DB8:BA98::3210/64 standby 2001:0DB8:BA98::3211

次に、選択したインターフェイスに自動的に IPv6 アドレスを割り当てる例を示します。


ciscoasa(config)# interface gigabitethernet 0/1
ciscoasa(config-if)# ipv6 address autoconfig

次に、IPv6 プレフィックス 2001:0DB8:BA98::/64 を選択したインターフェイスに割り当て、アドレスの下位 64 ビットに EUI-64 インターフェイス ID を指定する例を示します。このデバイスがフェールオーバーペアの一部である場合、standby キーワードは指定する必要がありません。スタンバイアドレスは、Modified EUI-64 インターフェイス ID を使用して自動的に作成されます。


ciscoasa(config)# interface gigabitethernet 0/2
ciscoasa(onfig-if)# ipv6 address 2001:0DB8:BA98::/64 eui-64

次に、選択したインターフェイスのリンクレベルアドレスとして FE80::260:3EFF:FE11:6670 を割り当てる例を示します。


ciscoasa(config)# interface gigabitethernet 0/3
ciscoasa(config-if)# ipv6 address FE80::260:3EFF:FE11:6670 link-local

次に、フェールオーバーペアのプライマリユニットで選択したインターフェイスのリンクレベルアドレスとして FE80::260:3EFF:FE11:6670 を割り当て、セカンダリユニットの対応するインターフェイスのリンクレベルアドレスとして FE80::260:3EFF:FE11:6671 を割り当てる例を示します。


ciscoasa(config)# interface gigabitethernet 0/3
ciscoasa(config-if)# ipv6 address FE80::260:3EFF:FE11:6670 link-local standby FE80::260:3EFF:FE11:6671

次に、委任されたプレフィクスを補完するためのアドレスとして ::1:0:0:0:1/64 を割り当てる例を示します。


ciscoasa(config)# interface gigabitethernet 0/5
ciscoasa(config-if)# ipv6 address Outside-Prefix ::1:0:0:0:1/64

コマンド	説明
debug ipv6 interface	IPv6 インターフェイスのデバッグ情報を表示します。
show ipv6 interface	IPv6 用に設定されたインターフェイスのステータスを表示します。

ipv6-address-pool

アドレスをリモートクライアントに割り当てるための IPv6 アドレスプールのリストを指定するには、トンネルグループ一般属性コンフィギュレーションモードで ipv6-address-pool コマンドを使用します。IPv6 アドレスプールを削除するには、このコマンドの no 形式を使用します。

ipv6-address-pool [ ( interface_name ) ] ipv6_address_pool [ ...ipv6_address_pool6 ]

no ipv6-address-pool [ ( interface_name ) ] ipv6_address_pool [ ...ipv6_address_pool6 ]

構文の説明


interface_name	（任意）アドレスプールに使用するインターフェイスを指定します。
ipv6_`address_pool`	ipv6 local pool コマンドで設定したアドレスプールの名前を指定します。最大 6 個のローカルアドレスプールを指定できます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
トンネルグループ一般属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

これらのコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスが指定されていない場合、コマンドは明示的に参照されていないインターフェイスすべてに対してデフォルトを指定します。

グループポリシーの ipv6-address-pools コマンドによる IPv6 アドレスプールの設定により、トンネルグループの ipv6-address-pool コマンドによる IPv6 アドレスプールの設定が上書きされます。

プールの指定順序は重要です。ASA では、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。

例

次に、トンネルグループ一般属性コンフィギュレーションモードを開始し、IPsec リモートアクセストンネルグループテスト用に、アドレスをリモートクライアントに割り当てるための IPv6 アドレスプールリストを指定する例を示します。


ciscoasa(config)# tunnel-group test type remote-access
ciscoasa(config)# tunnel-group test general-attributes
ciscoasa(config-tunnel-general)# ipv6-address-pool (inside) ipv6addrpool1 ipv6addrpool2 ipv6addrpool3
ciscoasa(config-tunnel-general)#

コマンド	説明
ipv6-address-pools	グループポリシーの IPv6 アドレスプール設定を設定します。これらの設定は、トンネルグループの IPv6 アドレスプール設定を上書きします。
ipv6 local pool	VPN リモートアクセストンネルに使用する IP アドレスプールを設定します。
clear configure tunnel-group	設定されているすべてのトンネルグループをクリアします。
show running-config tunnel-group	すべてのトンネルグループまたは特定のトンネルグループのトンネルグループコンフィギュレーションを表示します。
tunnel-group	トンネルグループを設定します。

ipv6-address-pools

アドレスをリモートクライアントに割り当てるための IPv6 アドレスプールリストを最大 6 つ指定するには、グループポリシー属性コンフィギュレーションモードで ipv6- address-pools コマンドを使用します。グループポリシーから属性を削除し、別のグループポリシーソースからの継承をイネーブルにするには、このコマンドの no 形式を使用します。

ipv6-address-pools value ipv6_address_poll1 [ ...ipv6_address_pool6 ]

no ipv6-address-pools value ipv6_address_poll1 [ ...ipv6_address_pool6 ]

ipv6-address-poolsnone

noipv6-address-poolsnone

構文の説明


ipv6_`address_pool`	ipv6 local pool コマンドで設定した最大 6 つの IPv6 アドレスプールの名前を指定します。各 IPv6 アドレスプール名を区切るには、スペースを使用します。
none	IPv6 アドレスプールが設定されず、他のグループポリシーからの継承をディセーブルにすることを指定します。
value	アドレスを割り当てるための IPv6 アドレスプールを最大 6 つ指定します。

コマンドデフォルト

デフォルトでは、IPv6 アドレスプールの属性は設定されません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシー属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

IPv6 アドレスプールを設定するには、ipv6 local pool コマンドを使用します。

ipv6-address-pools コマンドにおけるプールの指定順序は重要です。ASA では、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。

ipv6- address-pools none コマンドは、ポリシーの別のソース（DefaultGrpPolicy など）からこの属性を継承することを無効にします。no ipv6-address-pools none コマンドは、 ipv6-address-pools none コマンドを構成から削除して、継承を許可するためにデフォルト値に戻します。

例

次に、グループポリシー属性コンフィギュレーションモードを開始し、アドレスをリモートクライアントに割り当てるために使用される IPv6 アドレスプールを firstipv6pool という名前で設定し、そのプールを GroupPolicy1 に関連付ける例を示します。


ciscoasa(config)# ipv6 local pool firstipv6pool 2001:DB8::1000/32 100
ciscoasa(config)# group-policy GroupPolicy1 attributes
ciscoasa(config-group-policy)# ipv6-
address-pools value firstipv6pool
ciscoasa(config-group-policy)#

コマンド	説明
ipv6 local pool	VPN グループポリシーに使用される IPv6 アドレスプールを設定します。
clear configure group-policy	設定されているすべてのグループポリシーをクリアします。
show running-config group-policy	すべてのグループポリシーまたは特定のグループポリシーのコンフィギュレーションを表示します。

ipv6 dhcp client pd

DHCPv6 プレフィクス委任クライアントを有効にし、インターフェイスで取得されるプレフィックスに名前を付けるには、インターフェイスコンフィギュレーションモードで ipv6 dhcp client pd コマンドを使用します。クライアントを無効にするには、このコマンドの no 形式を使用します。

ipv6 dhcp client pd name

no ipv6 dhcp client pd name

構文の説明


`name`	このプレフィックスの名前を設定します。名前には最大 200 文字を使用できます。プレフィックス（ipv6 address `prefix_name` ）を使用してインターフェイスに IP アドレスを割り当てるときに、この名前を使用します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.6(2)	このコマンドが追加されました。

使用上のガイドライン

1 つ以上のインターフェイスで DHCPv6 プレフィクス委任クライアントをイネーブルにします。ASA は、サブネット化して内部ネットワークに割り当てることができる 1 つ以上の IPv6 プレフィックスを取得します。通常、プレフィックス委任クライアントをイネーブルにしたインターフェイスは DHCPv6 アドレスクライアントを使用して IP アドレスを取得し、その他の ASA インターフェイスだけが、委任されたプレフィックスから取得されるアドレスを使用します。

この機能は、クラスタリングではサポートされていません。

この機能は管理専用インターフェイスでは設定できません。

例

次に、GigabitEthernet 0/0 で DHCPv6 アドレスクライアントおよびプレフィックス委任クライアントを設定した後に、アドレスをプレフィックスとともに GigabitEthernet 0/1 および 0/2 に割り当てる例を示します。


interface gigabitethernet 0/0
ipv6 address dhcp setroute default
ipv6 dhcp client pd Outside-Prefix
ipv6 dhcp client pd hint ::/60
interface gigabitethernet 0/1
ipv6 address Outside-Prefix ::1:0:0:0:1/64
interface gigabitethernet 0/2
ipv6 address Outside-Prefix ::2:0:0:0:1/64

コマンド	説明
clear ipv6 dhcp statistics	DHCPv6 統計情報をクリアします。
domain-name	IR メッセージへの応答で SLAAC クライアントに提供されるドメイン名を設定します。
dns-server	IR メッセージへの応答で SLAAC クライアントに提供される DNS サーバーを設定します。
import	ASA がプレフィックス委任クライアントインターフェイスで DHCPv6 サーバーから取得した 1 つ以上のパラメータを使用し、その後、IR メッセージへの応答でそれらを SLAAC クライアントに提供します。
ipv6 address	IPv6 を有効にし、インターフェイスに IPv6 アドレスを設定します。
ipv6 address dhcp	インターフェイスの DHCPv6 を使用してアドレスを取得します。
ipv6 dhcp client pd	委任されたプレフィックスを使用して、インターフェイスのアドレスを設定します。
ipv6 dhcp client pd hint	受信を希望する委任されたプレフィックスについて 1 つ以上のヒントを提供します。
ipv6 dhcp pool	DHCPv6 ステートレスサーバーを使用して、特定のインターフェイスで SLAAC クライアントに提供する情報を含むプールを作成します。
ipv6 dhcp server	DHCPv6 ステートレスサーバーを有効にします。
network	サーバーから受信した委任されたプレフィックスをアドバタイズするように BGP を設定します。
nis address	IR メッセージへの応答で SLAAC クライアントに提供される NIS アドレスを設定します。
nis domain-name	IR メッセージへの応答で SLAAC クライアントに提供される NIS ドメイン名を設定します。
nisp address	IR メッセージへの応答で SLAAC クライアントに提供される NISP アドレスを設定します。
nisp domain-name	IR メッセージへの応答で SLAAC クライアントに提供される NISP ドメイン名を設定します。
show bgp ipv6 unicast	IPv6 BGP ルーティングテーブルのエントリを表示します。
show ipv6 dhcp	DHCPv6 情報を表示します。
show ipv6 general-prefix	DHCPv6 プレフィックス委任クライアントによって獲得されたすべてのプレフィックスと、そのプレフィックスの他のプロセスへの ASA 配布を表示します。
sip address	IR メッセージへの応答で SLAAC クライアントに提供される SIP アドレスを設定します。
sip domain-name	IR メッセージへの応答で SLAAC クライアントに提供される SIP ドメイン名を設定します。
sntp address	IR メッセージへの応答で SLAAC クライアントに提供される SNTP アドレスを設定します。

ipv6 dhcp client pd hint

受信する委任されたプレフィクスに関する 1 つ以上のヒントを提供するには、インターフェイスコンフィギュレーションモードで ipv6 dhcp client pd hint コマンドを使用します。クライアントを無効にするには、このコマンドの no 形式を使用します。

ipv6 dhcp client pd hint ipv6_prefix / prefix_length

no ipv6 dhcp client pd hint ipv6_prefix / prefix_length

構文の説明


`ipv6_prefix/prefix_length`	受信する IPv6 プレフィックスとプレフィックス長を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.6(2)	このコマンドが追加されました。

使用上のガイドライン

通常、特定のプレフィクス長（::/60 など）を要求しますが、以前に特定のプレフィックスを受信しており、リースの期限が切れるときにそれを確実に再取得したい場合は、そのプレフィックスの全体をヒントとして入力できます。複数のヒント（異なるプレフィックスまたはプレフィックス長）を入力すると、どのヒントに従うのか、またはそもそもヒントに従うのかどうかが DHCP サーバーによって決定されます。

例

次に、GigabitEthernet 0/0 で DHCPv6 アドレスクライアントおよびプレフィックス委任クライアントを設定した後に、アドレスをプレフィックスとともに GigabitEthernet 0/1 および 0/2 に割り当てる例を示します。


interface gigabitethernet 0/0
ipv6 address dhcp setroute default
ipv6 dhcp client pd Outside-Prefix
ipv6 dhcp client pd hint ::/60
interface gigabitethernet 0/1
ipv6 address Outside-Prefix ::1:0:0:0:1/64
interface gigabitethernet 0/2
ipv6 address Outside-Prefix ::2:0:0:0:1/64

コマンド	説明
clear ipv6 dhcp statistics	DHCPv6 統計情報をクリアします。
domain-name	IR メッセージへの応答で SLAAC クライアントに提供されるドメイン名を設定します。
dns-server	IR メッセージへの応答で SLAAC クライアントに提供される DNS サーバーを設定します。
import	ASA がプレフィックス委任クライアントインターフェイスで DHCPv6 サーバーから取得した 1 つ以上のパラメータを使用し、その後、IR メッセージへの応答でそれらを SLAAC クライアントに提供します。
ipv6 address	IPv6 を有効にし、インターフェイスに IPv6 アドレスを設定します。
ipv6 address dhcp	インターフェイスの DHCPv6 を使用してアドレスを取得します。
ipv6 dhcp client pd	委任されたプレフィックスを使用して、インターフェイスのアドレスを設定します。
ipv6 dhcp client pd hint	受信を希望する委任されたプレフィックスについて 1 つ以上のヒントを提供します。
ipv6 dhcp pool	DHCPv6 ステートレスサーバーを使用して、特定のインターフェイスで SLAAC クライアントに提供する情報を含むプールを作成します。
ipv6 dhcp server	DHCPv6 ステートレスサーバーを有効にします。
network	サーバーから受信した委任されたプレフィックスをアドバタイズするように BGP を設定します。
nis address	IR メッセージへの応答で SLAAC クライアントに提供される NIS アドレスを設定します。
nis domain-name	IR メッセージへの応答で SLAAC クライアントに提供される NIS ドメイン名を設定します。
nisp address	IR メッセージへの応答で SLAAC クライアントに提供される NISP アドレスを設定します。
nisp domain-name	IR メッセージへの応答で SLAAC クライアントに提供される NISP ドメイン名を設定します。
show bgp ipv6 unicast	IPv6 BGP ルーティングテーブルのエントリを表示します。
show ipv6 dhcp	DHCPv6 情報を表示します。
show ipv6 general-prefix	DHCPv6 プレフィックス委任クライアントによって獲得されたすべてのプレフィックスと、そのプレフィックスの他のプロセスへの ASA 配布を表示します。
sip address	IR メッセージへの応答で SLAAC クライアントに提供される SIP アドレスを設定します。
sip domain-name	IR メッセージへの応答で SLAAC クライアントに提供される SIP ドメイン名を設定します。
sntp address	IR メッセージへの応答で SLAAC クライアントに提供される SNTP アドレスを設定します。

ipv6 dhcp pool

DHCPv6 サーバーからステートレスアドレス自動設定（SLAAC）クライアントに提供させる情報を含む IPv6 DHCP プールを設定するには、グローバルコンフィギュレーションモードで ipv6 dhcp pool コマンドを使用します。プールを削除するには、このコマンドの no 形式を使用します。

ipv6 dhcp pool pool_name

no ipv6 dhcp pool pool_name

構文の説明


`pool_name`	プールの名前を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.6(2)	このコマンドが追加されました。

使用上のガイドライン

SLAAC をプレフィックス委任機能とともに使用するクライアントについては、情報要求（IR）パケットを ASA に送信する際に情報（DNS サーバー、ドメイン名など）を提供するように ASA を設定できます。ASA は、IR パケットを受け取るだけで、クライアントにアドレスを割り当てません。DHCPv6 ステートレスサーバーを設定するには、 ipv6 dhcp server コマンドを使用します。サーバーを有効にする場合は、このプール名を指定します。必要に応じてインターフェイスごとに個別のプールを設定できます。また、複数のインターフェイスで同じプールを使用することもできます。 ipv6 dhcp pool コマンドを入力した後に、クライアントに提供する 1 つ以上のパラメータを設定できます。

プレフィックス委任を設定するには、ipv6 dhcp client pd コマンドを使用します。

この機能は、クラスタリングではサポートされていません。

例

次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバーを有効にする例を示します。


ipv6 dhcp pool Eng-Pool
domain-name eng.example.com
import dns-server
ipv6 dhcp pool IT-Pool
domain-name it.example.com
import dns-server
interface gigabitethernet 0/0
ipv6 address dhcp setroute default
ipv6 dhcp client pd Outside-Prefix
interface gigabitethernet 0/1
ipv6 address Outside-Prefix ::1:0:0:0:1/64
ipv6 dhcp server Eng-Pool
ipv6 nd other-config-flag
interface gigabitethernet 0/2
ipv6 address Outside-Prefix ::2:0:0:0:1/64
ipv6 dhcp server IT-Pool
ipv6 nd other-config-flag

コマンド	説明
clear ipv6 dhcp statistics	DHCPv6 統計情報をクリアします。
domain-name	IR メッセージへの応答で SLAAC クライアントに提供されるドメイン名を設定します。
dns-server	IR メッセージへの応答で SLAAC クライアントに提供される DNS サーバーを設定します。
import	ASA がプレフィックス委任クライアントインターフェイスで DHCPv6 サーバーから取得した 1 つ以上のパラメータを使用し、その後、IR メッセージへの応答でそれらを SLAAC クライアントに提供します。
ipv6 address	IPv6 を有効にし、インターフェイスに IPv6 アドレスを設定します。
ipv6 address dhcp	インターフェイスの DHCPv6 を使用してアドレスを取得します。
ipv6 dhcp client pd	委任されたプレフィックスを使用して、インターフェイスのアドレスを設定します。
ipv6 dhcp client pd hint	受信を希望する委任されたプレフィックスについて 1 つ以上のヒントを提供します。
ipv6 dhcp pool	DHCPv6 ステートレスサーバーを使用して、特定のインターフェイスで SLAAC クライアントに提供する情報を含むプールを作成します。
ipv6 dhcp server	DHCPv6 ステートレスサーバーを有効にします。
network	サーバーから受信した委任されたプレフィックスをアドバタイズするように BGP を設定します。
nis address	IR メッセージへの応答で SLAAC クライアントに提供される NIS アドレスを設定します。
nis domain-name	IR メッセージへの応答で SLAAC クライアントに提供される NIS ドメイン名を設定します。
nisp address	IR メッセージへの応答で SLAAC クライアントに提供される NISP アドレスを設定します。
nisp domain-name	IR メッセージへの応答で SLAAC クライアントに提供される NISP ドメイン名を設定します。
show bgp ipv6 unicast	IPv6 BGP ルーティングテーブルのエントリを表示します。
show ipv6 dhcp	DHCPv6 情報を表示します。
show ipv6 general-prefix	DHCPv6 プレフィックス委任クライアントによって獲得されたすべてのプレフィックスと、そのプレフィックスの他のプロセスへの ASA 配布を表示します。
sip address	IR メッセージへの応答で SLAAC クライアントに提供される SIP アドレスを設定します。
sip domain-name	IR メッセージへの応答で SLAAC クライアントに提供される SIP ドメイン名を設定します。
sntp address	IR メッセージへの応答で SLAAC クライアントに提供される SNTP アドレスを設定します。

ipv6 dhcprelay enable

インターフェイスで DHCPv6 リレーサービスを無効にするには、グローバルコンフィギュレーションモードで ipv6 dhcprelay enable コマンドを使用します。DHCPv6 リレーサービスを無効にするには、このコマンドの no 形式を使用します。

ipv6 dhcprelay enable interface

no ipv6 dhcprelay enable interface

構文の説明


interface	宛先の出力インターフェイスを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用すると、インターフェイスで DHCPv6 リレーサービスをイネーブルにすることができます。このサービスをイネーブルにすると、インターフェイスに対するクライアントからの着信 DHCPv6 メッセージ（他のリレーエージェントでリレーされたメッセージも含む）が、設定されているすべての発信リンクを介してすべての設定済みリレー宛先に転送されます。マルチコンテキストモードの場合は、複数のコンテキストで使用されているインターフェイス（つまり、共有インターフェイス）で DHCP リレーサービスをイネーブルにすることはできません。

例

次に、ASA の外部インターフェイスの DHCPv6 サーバー（IP アドレス 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701）に対する DHCPv6 リレーエージェントを設定する例を示します。クライアント要求の送信元は ASA の内部インターフェイスであり、バインディングのタイムアウト値は 90 秒です。


ciscoasa(config)# ipv6 dhcprelay server 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701 outside
ciscoasa(config)# ipv6 dhcprelay timeout 90
ciscoasa(config)# ipv6 dhcprelay enable inside

コマンド	説明
ipv6 dhcprelay server	クライアントメッセージの転送先となる IPv6 DHCP サーバーの宛先アドレスを指定します。
ipv6 dhcprelay timeout	DHCPv6 サーバーからの応答をリレーバインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さを秒単位で設定します。

ipv6 dhcprelay server

クライアントメッセージの転送先となる IPv6 DHCP サーバーの宛先アドレスを指定するには、グローバルコンフィギュレーションモードで ipv6 dhcprelay server コマンドを使用します。IPv6 DHCP サーバーの宛先アドレスを削除するには、このコマンドの no 形式を使用します。

ipv6 dhcprelay server ipv6-address [ interface ]

no ipv6 dhcprelay server ipv6-address [ interface ]

構文の説明


interface	（オプション）宛先の出力インターフェイスを指定します。
`ipv6-address`	リンクスコープのユニキャスト、マルチキャスト、サイトスコープのユニキャスト、またはグローバル IPv6 アドレスを指定できます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用すると、クライアントメッセージの転送先となる IPv6 DHCP サーバーの宛先アドレスを指定できます。クライアントのメッセージは、この出力インターフェイスが接続されたリンクを経由して宛先アドレスに転送されます。指定したアドレスがリンクスコープのアドレスである場合は、インターフェイスを指定する必要があります。リレー宛先の指定は必須です。ループバックやノードローカルのマルチキャストアドレスは指定できません。サーバーは 1 つのコンテキストに対して 10 台まで指定できます。

例

次に、ASA の外部インターフェイスの DHCPv6 サーバー（IP アドレス 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701）に対する DHCPv6 リレーエージェントを設定する例を示します。クライアント要求の送信元は ASA の内部インターフェイスであり、バインディングのタイムアウト値は 90 秒です。


ciscoasa(config)# ipv6 dhcprelay server 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701 outside
ciscoasa(config)# ipv6 dhcprelay timeout 90
ciscoasa(config)# ipv6 dhcprelay enable inside

コマンド	説明
ipv6 dhcprelay enable	インターフェイスで IPv6 DHCP リレーサービスをイネーブルにします。
ipv6 dhcprelay timeout	DHCPv6 サーバーからの応答をリレーバインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さを秒単位で設定します。

ipv6 dhcprelay timeout

DHCPv6 サーバーからの応答をリレーバインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さ（秒数）を設定するには、グローバルコンフィギュレーションモードで ipv6 dhcprelay timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ipv6dhcprelaytimeoutseconds

noipv6dhcprelaytimeout seconds

構文の説明


`seconds`	DHCPv6 リレーアドレスネゴシエーションの許容時間（秒数）を設定します。有効な値の範囲は、1 ～ 3600 です。

コマンドデフォルト

デフォルトは 60 秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用すると、DHCPv6 サーバからの応答をリレーバインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さを秒単位で設定できます。

例

次に、ASA の外部インターフェイスの DHCPv6 サーバー（IP アドレス 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701）に対する DHCPv6 リレーエージェントを設定する例を示します。クライアント要求の送信元は ASA の内部インターフェイスであり、バインディングのタイムアウト値は 90 秒です。


ciscoasa(config)# ipv6 dhcprelay server 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701 outside
ciscoasa(config)# ipv6 dhcprelay timeout 90
ciscoasa(config)# ipv6 dhcprelay enable inside

コマンド	説明
ipv6 dhcprelay server	クライアントメッセージの転送先となる IPv6 DHCP サーバーの宛先アドレスを指定します。
ipv6 dhcprelay enable	クライアントメッセージの転送先となる IPv6 DHCP サーバーの宛先アドレスを指定します。

ipv6 dhcp server

ステートレスアドレス自動設定 (SLAAC) をプレフィックス委任機能とともに使用しているクライアントの場合は、インターフェイス設定モードで ipv6 dhcp server コマンドを使用して DHCPv6 ステートレスサーバーを設定します。DHCP サーバーをディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 dhcp server pool_name

no ipv6 dhcp server pool_name

構文の説明


`pool_name`	ipv6 dhcp pool コマンドで設定した IPv6 プールの名前を設定します。このプールには、特定のインターフェイスでクライアントに提供する情報が含まれます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.6(2)	このコマンドが追加されました。

使用上のガイドライン

SLAAC をプレフィックス委任機能とともに使用するクライアントについては、情報要求（IR）パケットを ASA に送信する際に情報（DNS サーバー、ドメイン名など）を提供するように ASA を設定できます。ASA は、IR パケットを受け取るだけで、クライアントにアドレスを割り当てません。プレフィックス委任を設定するには、ipv6 dhcp client pd コマンドを使用します。

この機能は、クラスタリングではサポートされていません。

例

次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバーを有効にする例を示します。


ipv6 dhcp pool Eng-Pool
domain-name eng.example.com
import dns-server
ipv6 dhcp pool IT-Pool
domain-name it.example.com
import dns-server
interface gigabitethernet 0/0
ipv6 address dhcp setroute default
ipv6 dhcp client pd Outside-Prefix
interface gigabitethernet 0/1
ipv6 address Outside-Prefix ::1:0:0:0:1/64
ipv6 dhcp server Eng-Pool
ipv6 nd other-config-flag
interface gigabitethernet 0/2
ipv6 address Outside-Prefix ::2:0:0:0:1/64
ipv6 dhcp server IT-Pool
ipv6 nd other-config-flag

コマンド	説明
clear ipv6 dhcp statistics	DHCPv6 統計情報をクリアします。
domain-name	IR メッセージへの応答で SLAAC クライアントに提供されるドメイン名を設定します。
dns-server	IR メッセージへの応答で SLAAC クライアントに提供される DNS サーバーを設定します。
import	ASA がプレフィックス委任クライアントインターフェイスで DHCPv6 サーバーから取得した 1 つ以上のパラメータを使用し、その後、IR メッセージへの応答でそれらを SLAAC クライアントに提供します。
ipv6 address	IPv6 を有効にし、インターフェイスに IPv6 アドレスを設定します。
ipv6 address dhcp	インターフェイスの DHCPv6 を使用してアドレスを取得します。
ipv6 dhcp client pd	委任されたプレフィックスを使用して、インターフェイスのアドレスを設定します。
ipv6 dhcp client pd hint	受信を希望する委任されたプレフィックスについて 1 つ以上のヒントを提供します。
ipv6 dhcp pool	DHCPv6 ステートレスサーバーを使用して、特定のインターフェイスで SLAAC クライアントに提供する情報を含むプールを作成します。
ipv6 dhcp server	DHCPv6 ステートレスサーバーを有効にします。
network	サーバーから受信した委任されたプレフィックスをアドバタイズするように BGP を設定します。
nis address	IR メッセージへの応答で SLAAC クライアントに提供される NIS アドレスを設定します。
nis domain-name	IR メッセージへの応答で SLAAC クライアントに提供される NIS ドメイン名を設定します。
nisp address	IR メッセージへの応答で SLAAC クライアントに提供される NISP アドレスを設定します。
nisp domain-name	IR メッセージへの応答で SLAAC クライアントに提供される NISP ドメイン名を設定します。
show bgp ipv6 unicast	IPv6 BGP ルーティングテーブルのエントリを表示します。
show ipv6 dhcp	DHCPv6 情報を表示します。
show ipv6 general-prefix	DHCPv6 プレフィックス委任クライアントによって獲得されたすべてのプレフィックスと、そのプレフィックスの他のプロセスへの ASA 配布を表示します。
sip address	IR メッセージへの応答で SLAAC クライアントに提供される SIP アドレスを設定します。
sip domain-name	IR メッセージへの応答で SLAAC クライアントに提供される SIP ドメイン名を設定します。
sntp address	IR メッセージへの応答で SLAAC クライアントに提供される SNTP アドレスを設定します。

ipv6 enable

まだ明示的な IPv6 アドレスを設定していない場合に IPv6 処理を有効にするには、グローバルコンフィギュレーションモードで ipv6 enable コマンドを使用します。明示的な IPv6 アドレスでまだ設定されていないインターフェイスで IPv6 処理をディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 enable

no ipv6 enable

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

IPv6 はディセーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	対応	—
グローバルコンフィギュレーション	—	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.2(1)	トランスペアレントファイアウォールモードのサポートが追加されました。

使用上のガイドライン

ipv6 enable コマンドを実行すると、インターフェイスで IPv6 リンクローカルユニキャストアドレスが自動的に設定され、IPv6 処理のインターフェイスも有効になります。

no ipv6 enable コマンドを使用しても、明示的な IPv6 アドレスが設定されているインターフェイスでの IPv6 処理は無効になりません。

例

次に、選択したインターフェイスで IPv6 処理をイネーブルにする例を示します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 enable

コマンド	説明
ipv6 address	インターフェイスの IPv6 アドレスを設定し、インターフェイス上で IPv6 の処理をイネーブルにします。
show ipv6 interface	IPv6 向けに設定されたインターフェイスの使用状況を表示します。

ipv6 enforce-eui64

ローカルリンク上の IPv6 アドレスに Modified EUI-64 形式のインターフェイス ID の使用を適用するには、グローバルコンフィギュレーションモードで ipv6 enforce-eui64 コマンドを使用します。Modified EUI-64 アドレス形式の適用を無効にするには、このコマンドの no 形式を使用します。

ipv6 enforce-eui64 if_name

no ipv6 enforce-eui64 if_name

構文の説明


`if_name`	Modified EUI-64 アドレス形式の適用を有効にするインターフェイスの名前を nameif コマンドで指定されているとおりに指定します。

コマンドデフォルト

Modified EUI-64 形式の適用はディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。
8.2(1)	トランスペアレントファイアウォールモードのサポートが追加されました。

使用上のガイドライン

このコマンドがインターフェイスでイネーブルになっていると、そのインターフェイス ID が Modified EUI-64 形式を採用していることを確認するために、インターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに照らして確認されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を採用していない場合、パケットはドロップされ、次の syslog メッセージが生成されます。


%ASA-3-325003: EUI-64 source address check failed.

アドレス形式の確認は、フローが作成される場合にのみ実行されます。既存のフローからのパケットは確認されません。また、アドレスの確認はローカルリンク上のホストに対してのみ実行できます。ルータの背後にあるホストから受信したパケットは、アドレス形式の検証に失敗してドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。

48 ビットリンク層（MAC）アドレスから Modified EUI-64 形式のインターフェイス ID を取得するには、リンク層アドレスの上位 3 バイト（OUI フィールド）と下位 3 バイト（シリアル番号）との間に 16 進数 FFFE を挿入します。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番めのビット（ユニバーサル/ローカルビット）が反転され、48 ビットアドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビットインターフェイス ID が指定されます。

例

次に、内部インターフェイスで受信した IPv6 アドレスに対して Modified EUI-64 形式の適用をイネーブルにする例を示します。


ciscoasa(config)# ipv6 enforce-eui64 inside

ipv6 icmp

インターフェイスの ICMP アクセスルールを設定するには、グローバルコンフィギュレーションモードで ipv6 icmp コマンドを使用します。ICMP アクセスルールを削除するには、このコマンドの no 形式を使用します。

ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name

no ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name

構文の説明


any	IPv6 アドレスを指定するキーワード。IPv6 プレフィックス ::/0 の省略形。
deny	選択したインターフェイスで指定の ICMP トラフィックを阻止します。
host	アドレスが特定のホストを指すよう指定します。
`icmp-type`	アクセスルールによってフィルタリングされる ICMP メッセージタイプを指定します。値は、有効な ICMP タイプ番号（0 ～ 255）、または次の ICMP タイプリテラルのいずれかを指定できます。 destination-unreachable packet-too-big time-exceeded parameter-problem echo-request echo-reply membership-query membership-report membership-reduction router-renumbering router-solicitation router-advertisement neighbor-solicitation neighbor-advertisement neighbor-redirect
`if-name`	アクセスルールが適用されるインターフェイスの名前（nameif コマンドで指定した名前）。
`ipv6-address`	ICMPv6 メッセージをインターフェイスに送信しているホストの IPv6 アドレス。
`ipv6-prefix`	ICMPv6 メッセージをインターフェイスに送信している IPv6 ネットワーク。
permit	選択したインターフェイスで指定の ICMP トラフィックを許可します。
`prefix-length`	IPv6 プレフィックスの長さ。この値は、アドレスの高次の連続ビットのうち、プレフィックスのネットワーク部分を構成しているビットの数を示します。プレフィックス長の前にスラッシュ（/）を使用する必要があります。

コマンドデフォルト

ICMP アクセスルールが定義されていない場合、すべての ICMP トラフィックが許可されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.2(1)	トランスペアレントファイアウォールモードのサポートが追加されました。

使用上のガイドライン

IPv6 の ICMP は、IPv4 の ICMP と同じ働きをします。ICMPv6 によって、ICMP 宛先到達不能メッセージなどのエラーメッセージや、ICMP エコー要求および応答メッセージのような情報メッセージが生成されます。さらに、IPv6 の ICMP パケットは IPv6 ネイバー探索プロセスおよびパス MTU ディスカバリに使用されます。

IPv6 対応インターフェイスで許可される最小 MTU は 1280 バイトです。ただし、IPsec がインターフェイスでイネーブルになっている場合、MTU 値は、IPsec 暗号化のオーバーヘッドのために 1380 未満に設定できません。インターフェイスを 1380 バイト未満に設定すると、パケットのドロップが発生する可能性があります。

インターフェイスに対して定義されている ICMP ルールがない場合、すべての IPv6 ICMP トラフィックが許可されます。

インターフェイスに対して定義されている ICMP ルールが複数ある場合は、最初に一致したルールから順に処理され、その後暗黙のすべて拒否ルールが続きます。たとえば、最初に一致したルールが許可ルールである場合、ICMP パケットは処理されます。最初に一致したルールが拒否ルールである場合、または ICMP パケットがそのインターフェイスのいずれのルールにも一致しなかった場合、ASA は ICMP パケットを廃棄し、syslog メッセージを生成します。

そのため、ICMP ルールを入力する順序が重要になります。特定のネットワークからの ICMP トラフィックをすべて拒否するルールを入力し、その後にそのネットワーク上の特定のホストからの ICMP トラフィックを許可するルールが続く場合、ホストのルールはいっさい処理されません。ICMP トラフィックは、ネットワークのルールによってブロックされます。ただし、ホストのルールを先に入力し、その後にネットワークのルールを続けた場合、そのホストからの ICMP トラフィックは許可され、そのネットワークからのそれ以外の ICMP トラフィックはブロックされます。

ipv6 icmp コマンドは、ASA インターフェイスで終了する ICMP トラフィックのアクセスルールを設定します。パススルー ICMP トラフィックのアクセスルールを設定するには、 ipv6 access-list コマンドを参照してください。

例

次に、外部インターフェイスですべての ping 要求を拒否し、すべての packet-too-big メッセージを許可する（パス MTU ディスカバリをサポートするため）方法を示します。


ciscoasa(config)# ipv6 icmp deny any echo-reply outside
ciscoasa(config)# ipv6 icmp permit any packet-too-big outside

次に、ホスト 2000:0:0:4::2 またはプレフィックス 2001::/64 上のホストに対して外部インターフェイスへの ping を許可する例を示します。


ciscoasa(config)# ipv6 icmp permit host 2000:0:0:4::2 echo-reply outside
ciscoasa(config)# ipv6 icmp permit 2001::/64 echo-reply outside
ciscoasa(config)# ipv6 icmp permit any packet-too-big outside

ipv6 local pool

IPv6 アドレスプールを設定するには、グローバルコンフィギュレーションモードで ipv6 local pool コマンドを使用します。プールを削除するには、このコマンドの no 形式を使用します。

ipv6 local pool pool_name ipv6_address / prefix_length number_of_addresses

no ipv6 local pool pool_name ipv6_address / prefix_length number_of_addresses

構文の説明


`ipv6_address`	プールの開始 IPv6 アドレスを指定します。
number_of_addresses	範囲：1 ～ 16384。
`pool_name`	この IPv6 アドレスプールに割り当てる名前を指定します。
`prefix_length`	範囲：0 ～ 128。

コマンドデフォルト

デフォルトでは、IPv6 ローカルアドレスプールは設定されていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
9.0(1)	ASA クラスタリングをサポートするために、 ipv6 address コマンドでクラスタプールとして IPv6 ローカルプールが追加されました。

使用上のガイドライン

VPN の場合、IPv6 ローカルプールを割り当てるには、トンネルグループで ipv6-local-pool コマンドを使用するか、またはグループポリシーで ipv6-address-pools （末尾の「s」に注意）コマンドを使用します。グループポリシーの ipv6-address-pools 設定は、トンネルグループの ipv6-address-pools 設定を上書きします。

例

次に、アドレスをリモートクライアントに割り当てるために使用する firstipv6pool という名前の IPv6 アドレスプールを設定する例を示します。


ciscoasa(config)# ipv6 local pool firstipv6pool 2001:DB8::1001/32 100
ciscoasa(config)#

ipv6 nd dad attempts

重複アドレス検出時にインターフェイスに連続して送信されるネイバー送信要求メッセージの数を設定するには、インターフェイスコンフィギュレーションモードで ipv6 nd dad attempts コマンドを使用します。送信する重複アドレス検出メッセージの数をデフォルト値に戻すには、このコマンドの no 形式を使用します。

ipv6 nd dad attempts value

no ipv6 nd dad attempts value

構文の説明


`value`	0 ～ 600 の数値。0 を入力すると、指定したインターフェイスでの重複アドレス検出がディセーブルになります。1 を入力すると、後続の送信なしの単一の送信が設定されます。デフォルト値は 1 メッセージです。

コマンドデフォルト

デフォルトの試行回数は 1 回です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.2(1)	トランスペアレントファイアウォールモードのサポートが追加されました。

使用上のガイドライン

アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます（重複アドレス検出の実行中、新しいアドレスは一時的な状態になります）。重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。ネイバー送信要求メッセージの送信頻度を設定するには、ipv6 nd ns-interval コマンドを使用します。

重複アドレス検出は、管理上ダウンしているインターフェイスでは停止します。インターフェイスが管理上ダウンしている間、そのインターフェイスに割り当てられたユニキャスト IPv6 アドレスは保留状態に設定されます。

インターフェイスが管理上アップ状態に戻ると、そのインターフェイスで重複アドレス検出が自動的に再起動されます。管理上アップ状態に戻っているインターフェイスでは、インターフェイス上のすべてのユニキャスト IPv6 アドレスを対象に重複アドレス検出が再起動されます。

（注）

インターフェイスのリンクローカルアドレスで重複アドレス検出が実行されている間、他の IPv6 アドレスの状態は仮承諾に設定されたままとなります。リンクローカルアドレスで重複アドレス検出が完了すると、残りの IPv6 アドレスで重複アドレス検出が実行されます。

重複アドレス検出によって重複アドレスが特定された場合、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用されなくなります。重複アドレスがインターフェイスのリンクローカルアドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラーメッセージが発行されます。


%ASA-4-DUPLICATE: Duplicate address FE80::1 on outside

重複アドレスがインターフェイスのグローバルアドレスである場合、そのアドレスは使用されず、次のようなエラーメッセージが発行されます。


%ASA-4-DUPLICATE: Duplicate address 3000::4 on outside

アドレスの状態が DUPLICATE に設定されている間、重複アドレスに関連付けられたコンフィギュレーションコマンドはすべて設定済みのままとなります。

インターフェイスのリンクローカルアドレスが変更された場合、新しいリンクローカルアドレスで重複アドレス検出が実行され、インターフェイスに関連付けられた他のすべての IPv6 アドレスが再生成されます（重複アドレス検出は新規のリンクローカルアドレスでのみ実行されます）。

例

次に、重複アドレス検出がインターフェイスの仮承諾のユニキャスト IPv6 アドレスで実行された場合に、5 つ連続して送信されるネイバー送信要求メッセージを設定する例を示します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 nd dad attempts 5

次に、選択したインターフェイスで重複アドレス検出をディセーブルにする例を示します。


ciscoasa(config)# interface gigabitethernet 0/1
ciscoasa(config-if)# ipv6 nd dad attempts 0

ipv6 nd managed-config-flag

IPv6 ルータアドバタイズメントパケットに管理対象アドレス設定フラグを設定するように ASA を設定するには、インターフェイスコンフィギュレーションモードで ipv6 nd managed config-flag コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ipv6 nd managed-config-flag

no ipv6 managed-config-flag

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

IPv6 自動設定クライアントホストでは、このフラグを使用して、取得されるステートレス自動設定アドレスに加えて、ステートフルアドレス設定プロトコル（DHCPv6）に基づいてアドレスを取得する必要があることを示すことができます。

例

次に、インターフェイス GigabitEthernet 0/0 で IPv6 ルータアドバタイズメントパケットの管理対象アドレス設定フラグを設定する例を示します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 nd managed config-flag

ipv6 nd ns-interval

インターフェイスで IPv6 ネイバー送信要求（NS）メッセージが再送信される時間間隔を設定するには、インターフェイスコンフィギュレーションモードで ipv6 nd ns-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ipv6 nd ns-interval value

no ipv6 nd ns-interval [ value ]

構文の説明


`value`	IPv6 ネイバー送信要求メッセージが送信される時間間隔（ミリ秒単位）。有効な値の範囲は、1000 ～ 3600000 ミリ秒です。デフォルト値は 1000 ミリ秒です。

コマンドデフォルト

ネイバー送信要求のデフォルトの送信間隔は 1,000 ミリ秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.2(1)	トランスペアレントファイアウォールモードのサポートが追加されました。

使用上のガイドライン

この値は、このインターフェイスから送信されるすべての IPv6 ルータアドバタイズメントに含まれます。

例

次の例では、GigabitEthernet 0/0 での IPv6 ネイバー送信要求の送信間隔を 9000 ミリ秒に設定します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 nd ns-interval 9000

ipv6 nd other-config-flag

IPv6 ルータアドバタイズメントパケットの他の設定フラグを設定するように ASA を設定するには、インターフェイスコンフィギュレーションモードで ipv6 nd other-config-flag コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ipv6 nd other-config-flag

no ipv6 other-config-flag

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

IPv6 自動設定クライアントホストでは、このフラグを使用して、ステートフルアドレス設定プロトコル（DHCPv6）に基づいて DNS サーバーなどの非アドレス設定情報を取得する必要があることを示すことができます。

例

次に、インターフェイス GigabitEthernet 0/0 で IPv6 ルータアドバタイズメントパケットの他の設定フラグを設定する例を示します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 nd other-config-flag

ipv6 nd prefix

IPv6 ルータアドバタイズメントに含める IPv6 プレフィックスを設定するには、インターフェイスコンフィギュレーションモードで ipv6 nd prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。

構文の説明


at `valid-date` `preferred-date`	ライフタイムおよびプリファレンスが期限切れになる日付と時刻。プレフィックスは、この指定された日付と時刻に達するまで有効です。日付は date-valid-expire month-valid-expire hh:mm-valid-expire date-prefer-expire month-prefer-expire hh:mm-prefer-expire の形式で表されます。
default	デフォルト値が使用されます。
infinite	（任意）有効なライフタイムが期限切れになりません。
`ipv6-prefix`	ルータアドバタイズメントに含まれる IPv6 ネットワーク番号。この引数は、RFC 2373 に記述されている形式である必要があります。RFC 2373 では、コロンで区切った 16 ビット値を使用して 16 進数形式でアドレスを指定します。
no-advertise	（任意）ローカルリンク上のホストでは、指定されたプレフィックスが IPv6 自動設定に使用されないことを示します。
no-autoconfig	（任意）ローカルリンク上のホストでは、指定されたプレフィックスが IPv6 自動設定に使用できないことを示します。
off-link	（任意）指定されたプレフィックスがオンリンクの判別に使用されないことを示します。
`preferred-lifetime`	指定された IPv6 プレフィックスが優先プレフィックスとしてアドバタイズされる時間（秒単位）。有効値の範囲は 0 ～ 4294967295 秒です。最大値は無限ですが、これは infinite キーワードを使用して指定することもできます。デフォルトは 604800（7 日間）です。
`prefix-length`	IPv6 プレフィックスの長さ。この値は、アドレスの高次の連続ビットのうち、プレフィックスのネットワーク部分を構成しているビットの数を示します。プレフィックス長の前にスラッシュ（/）を使用する必要があります。
`valid-lifetime`	指定された IPv6 プレフィックスが有効プレフィックスとしてアドバタイズされる時間。有効値の範囲は 0 ～ 4294967295 秒です。最大値は無限ですが、これは infinite キーワードを使用して指定することもできます。デフォルトは 2592000（30 日間）です。

コマンドデフォルト

IPv6 ルータアドバタイズメントを発信するインターフェイスに設定されているすべてのプレフィックスが、有効ライフタイム 2592000 秒（30 日）および優先ライフタイム 604800 秒（7 日）でアドバタイズされます。どちらのライフタイムにも「onlink」フラグと「autoconfig」フラグが設定されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用すると、プレフィックスをアドバタイズするかどうかなど、プレフィックスごとに個々のパラメータを制御できます。

デフォルトでは、 ipv6 address コマンドを使用してインターフェイスにアドレスとして設定されるプレフィックスは、ルータアドバタイズメントでアドバタイズされます。ipv6 nd prefix コマンドを使用してプレフィックスをアドバタイズメント用に設定すると、設定したプレフィックスだけがアドバタイズされます。

default キーワードを使用すると、すべてのプレフィックスのデフォルトパラメータを設定できます。

プレフィックスの有効期限を指定するための日付を設定できます。有効な推奨ライフタイムは、リアルタイムでカウントダウンされます。有効期限に達すると、プレフィックスはアドバタイズされなくなります。

onlink が「on」（デフォルト）である場合、指定されたプレフィックスがそのリンクに割り当てられます。指定されたプレフィックスを含むそのようなアドレスにトラフィックを送信するノードは、宛先がリンク上でローカルに到達可能であると見なします。

autoconfig が「on」（デフォルト）である場合、ローカルリンク上のホストに対して、指定されたプレフィックスが IPv6 自動設定に使用できることを示します。

例

次に、有効ライフタイムを 1000 秒、優先ライフタイムを 900 秒にして、指定したインターフェイスから送信されるルータアドバタイズメントに IPv6 プレフィックス 2001:200::/35 を含める例を示します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 nd prefix 2001:200::/35 1000 900

ipv6 nd ra-interval

インターフェイス上で IPv6 ルータアドバタイズメントの送信間隔を設定するには、インターフェイスコンフィギュレーションモードで ipv6 nd ra-interval コマンドを使用します。デフォルトの間隔に戻すには、このコマンドの no 形式を使用します。

ipv6 nd ra-interval [ msec ] value

no ipv6 nd ra-interval [ [ msec ] value ]

構文の説明


msec	（任意）指定される値がミリ秒単位であることを示します。このキーワードが指定されていない場合、指定される値は秒単位となります。
`value`	IPv6 ルータアドバタイズメントの送信間隔。有効な値の範囲は、3 ～ 1800 秒です、ただし、msec キーワードが指定されている場合は 500 ～ 1800000 ミリ秒です。デフォルトは 200 秒です。

コマンドデフォルト

200 秒。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

ipv6 nd ra-lifetime コマンドを使用して、ASA をデフォルトルータとして設定する場合、伝送間隔は IPv6 ルータアドバタイズメントの有効期間以下にする必要があります。他の IPv6 ノードとの同期を防止するには、実際に使用される値を指定値の 20 % 以内でランダムに調整します。

例

次に、選択したインターフェイスで IPv6 ルータアドバタイズメントの間隔を 201 秒に設定する例を示します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 nd ra-interval 201

ipv6 nd ra-lifetime

インターフェイスの IPv6 ルータアドバタイズメントの「ルータライフタイム」の値を設定するには、インターフェイスコンフィギュレーションモードで ipv6 nd ra-lifetime コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ipv6 nd ra-lifetime seconds

no ipv6 nd ra-lifetime [ seconds ]

構文の説明


`seconds`	ASA がこのインターフェイスでデフォルトルータであることの有効性。有効な値の範囲は、0 ～ 9000 秒です。デフォルトは 1,800 秒です。0 の場合、ASA は選択したインターフェイスのデフォルトルータと見なされません。

コマンドデフォルト

1800 秒。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

「ルータライフタイム」の値は、このインターフェイスから送信されるすべての IPv6 ルータアドバタイズメントに含まれます。この値は、このインターフェイス上のデフォルトルータとしての ASA の有用性を示します。

値をゼロ以外の値に設定すると、ASA はこのインターフェイス上のデフォルトルータであると見なされます。「ルータライフタイム」の値としてゼロ以外の値を設定する場合は、その値がルータアドバタイズメント間隔以上でなければなりません。

値を 0 に設定すると、ASA はこのインターフェイス上のデフォルトルータとは見なされません。

例

次に、選択したインターフェイス上で IPv6 ルータアドバタイズメントのライフタイムを 1801 秒に設定する例を示します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 nd ra-lifetime 1801

ipv6 nd reachable-time

何らかの到達可能性確認イベントが発生してからリモート IPv6 ノードが到達可能と見なされるまでの時間を設定するには、インターフェイスコンフィギュレーションモードで ipv6 nd reachable-time コマンドを使用します。デフォルトの時間に戻すには、このコマンドの no 形式を使用します。

ipv6 nd reachable-time value

no ipv6 nd reachable-time [ value ]

構文の説明


`value`	リモート IPv6 ノードが到達可能であると見なされる時間（ミリ秒単位）。有効な値の範囲は、0 ～ 3600000 ミリ秒です。デフォルト値は 0 です `value` 引数に 0 を使用すると、到達可能時間が未定のまま送信されます。到達可能時間の値を設定し、追跡するのは、受信デバイスの役割です。

コマンドデフォルト

0 ミリ秒。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.2(1)	トランスペアレントファイアウォールモードのサポートが追加されました。

使用上のガイドライン

時間を設定すると、使用不可能なネイバーの検出がイネーブルになります。設定時間を短くすると、使用不可能なネイバーをさらに迅速に検出できます。ただし、時間を短くすると、すべての IPv6 ネットワークデバイスで IPv6 ネットワーク帯域幅および処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。

このコマンドが 0 に設定されている際の実際の値を含め、ASA で使用されている到達可能時間を確認するには、show ipv6 interface コマンドを使用して、使用されている ND 到達可能時間など IPv6 インターフェイスに関する情報を表示します。

例

次に、選択したインターフェイスで IPv6 到達可能時間を 1700000 ミリ秒に設定する例を示します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 nd reachable-time 1700000

ipv6 nd suppress-ra

ローカルエリアネットワーク（LAN）インターフェイスで IPv6 ルータアドバタイズメントの送信を抑制するには、インターフェイスコンフィギュレーションモードで ipv6 nd suppress-ra コマンドを使用します。LAN インターフェイスで IPv6 ルータアドバタイズメントの送信を再び有効にするには、このコマンドの no 形式を使用します。

ipv6 nd suppress-ra

no ipv6 nd suppress-ra

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

IPv6 ユニキャストルーティングがイネーブルになっている場合、ルータアドバタイズメントは LAN インターフェイスで自動的に送信されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

LAN 以外のインターフェイスタイプ（たとえばシリアルインターフェイスやトンネルインターフェイス）で IPv6 ルータアドバタイズメントの送信を有効にするには、 no ipv6 nd suppress-ra コマンドを使用します。

例

次に、選択したインターフェイスで IPv6 ルータアドバタイズメントを抑制する例を示します。


ciscoasa(config)# interface gigabitethernet 0/0
ciscoasa(config-if)# ipv6 nd suppress-ra

ipv6 neighbor

IPv6 ネイバー探索キャッシュにスタティックエントリを設定するには、グローバルコンフィギュレーションモードで ipv6 neighbor コマンドを使用します。ネイバー探索キャッシュからスタティックエントリを削除するには、このコマンドの no 形式を使用します。

ipv6 neighbor ipv6_address if_name mac_address

no ipv6 neighbor ipv6_address if_name [ mac_address ]

構文の説明


`if_name`	nameif コマンドで指定された内部インターフェイス名または外部インターフェイス名。
`ipv6_address`	ローカルデータリンクアドレスに対応する IPv6 アドレス。
`mac_address`	ローカルデータ回線（ハードウェア MAC）アドレス。

コマンドデフォルト

スタティックエントリは、IPv6 ネイバー探索キャッシュに設定されません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.2(1)	トランスペアレントファイアウォールモードのサポートが追加されました。

使用上のガイドライン

ipv6 neighbor コマンドは、arp コマンドと類似しています。IPv6 ネイバー探索プロセスによる学習を通して、指定された IPv6 アドレスのエントリがネイバー探索キャッシュにすでに存在する場合、エントリは自動的にスタティックエントリに変換されます。変換されたエントリは、 copy コマンドを使用して設定を保存するときに設定に保存されます。

show ipv6 neighbor コマンドは、IPv6 ネイバー探索キャッシュ内のスタティックエントリを表示するために使用します。

clear ipv6 neighbors コマンドは、スタティックエントリを除く、IPv6 ネイバー探索キャッシュ内のすべてのエントリを削除します。no ipv6 neighbor コマンドは、指定されたスタティックエントリをネイバー探索キャッシュから削除します。IPv6 ネイバー探索プロセスで学習されたダイナミックエントリはキャッシュから削除されません。no ipv6 enable コマンドを使用してインターフェイスで IPv6 を無効にすると、スタティックエントリを除く、そのインターフェイス用に設定されたすべての IPv6 ネイバー探索キャッシュエントリが削除されます（エントリの状態が INCMP [Incomplete] に変更されます）。

IPv6 ネイバー探索キャッシュ内のスタティックエントリがネイバー探索プロセスによって変更されることはありません。

例

次に、IPv6 アドレスを 3001:1::45A、MAC アドレスを 0002.7D1A.9472 にして、内部ホスト用のスタティックエントリをネイバー探索キャッシュに追加する例を示します。


ciscoasa(config)# ipv6 neighbor 3001:1::45A inside 0002.7D1A.9472

ipv6 ospf

IPv6 の OSPFv3 インターフェイスのコンフィギュレーションを有効にするには、グローバルコンフィギュレーションモードで ipv6 ospf コマンドを使用します。IPv6 の OSPFv3 インターフェイスのコ構成を無効にするには、このコマンドの no 形式を使用します。

構文の説明


cost	インターフェイス上でパケットを送信するコストを明示的に指定します。
database-filter	OSPFv3 インターフェイスへの発信 LSA をフィルタリングします。
dead-interval seconds	秒単位で設定する期間内に hello パケットが確認されないと、当該ルータがダウンしていることがネイバーによって示されます。この値はネットワーク上のすべてのノードで同じにする必要があります。値の範囲は、1 ～ 65535 です。デフォルト値は、ipv6 ospf hello-interval コマンドで設定された間隔の 4 倍です。
flood-reduction	インターフェイスに LSA のフラッディング削減を指定します。
hello-interval seconds	インターフェイス上で送信される hello パケット間の間隔（秒数）を指定します。この値は特定のネットワーク上のすべてのノードで同じにする必要があります。値の範囲は、1 ～ 65535 です。デフォルトの間隔は、イーサネットインターフェイスで 10 秒、非ブロードキャストインターフェイスで 30 秒です。
mtu-ignore	DBD パケットを受信した場合の OSPF MTU 不一致検出をディセーブルにします。OSPF MTU 不一致検出は、デフォルトでイネーブルになっています。
neighbor	非ブロードキャストネットワークへの OSPFv3 ルータの相互接続を設定します。
network	ネットワークタイプに依存するデフォルト以外のタイプに OSPF ネットワークタイプを設定します。
priority	ルータプライオリティを設定します。これは、ネットワークにおける指定ルータの特定に役立ちます。有効値の範囲は 0 ～ 255 です。
`process-id`	イネーブルにする OSPFv3 プロセスを指定します。有効値の範囲は 1 ～ 65535 です。
retransmit-interval seconds	インターフェイスに属する隣接関係の LSA 再送信間の時間を秒単位で指定します。接続ネットワーク上の任意の 2 台のルータ間で想定される往復遅延より大きな値にする必要があります。有効な値の範囲は、1 ～ 65535 秒です。デフォルトは 5 秒です。
transmit-delay seconds	インターフェイス上でリンクステート更新パケットを送信する時間を秒単位で設定します。有効な値の範囲は、1 ～ 65535 秒です。デフォルト値は 1 秒です。

コマンドデフォルト

デフォルトではすべての IPv6 アドレスが含まれます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

OSPFv3 エリアを作成する前に OSPFv3 ルーティングプロセスをイネーブルにする必要があります。

例

次に、OSPFv3 インターフェイスのコンフィギュレーションをイネーブルにする例を示します。


ciscoasa(config)# ipv6 ospf 3

ipv6 ospf area

IPv6 の OSPFv3 エリアを作成するには、グローバルコンフィギュレーションモードで ipv6 ospf area コマンドを使用します。IPv6 の OSPFv3 エリアのコンフィギュレーションを無効にするには、このコマンドの no 形式を使用します。

ipv6 ospf area [ area-num ] [ instance ]

no ipv6 ospf area [ area-num ] [ instance ]

構文の説明


area-num	イネーブルにする OSPFv3 エリアを指定します。
instance	インターフェイスに割り当てるエリアインスタンス ID を指定します。

コマンドデフォルト

デフォルトではすべての IPv6 アドレスが含まれます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

OSPFv3 ルーティングは、それぞれのインターフェイスについて個別に設定する必要があります。OSPFv3 エリアは各インターフェイスに 1 つだけ設定でき、ASA の OSPFv3 でサポートされるインスタンスはインターフェイスごとに 1 つだけです。使用されるエリアインスタンス ID はインターフェイスごとに異なります。エリアインスタンス ID は、OSPF パケットの受信にのみ影響し、OSPF の通常のインターフェイスと仮想リンクに適用されます。

例

次に、OSPFv3 インターフェイスのコンフィギュレーションをイネーブルにする例を示します。


ciscoasa(config)# ipv6 ospf 3 area 2

ipv6 ospf cost

インターフェイスでパケットを送信するコストを明示的に指定するには、インターフェイスコンフィギュレーションモードで ipv6 ospf cost コマンドを使用します。インターフェイスでパケットを送信するコストをデフォルト値にリセットするには、このコマンドの no 形式を使用します。

ipv6 ospf cost interface-cost

no ipv6 ospf cost interface-cost

構文の説明


interface-cost	リンクステートメトリックとして表される符号なし整数値を指定します。値の範囲は、1 ～ 65535 です。

コマンドデフォルト

デフォルトのコストは帯域幅に基づきます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、インターフェイスのパケットコストを明示的に指定する場合に使用します。

例

次に、パケットコストを 65 に設定する例を示します。


ciscoasa(config-if)# ipv6 ospf cost 65

ipv6 ospf database-filter all out

OSPFv3 インターフェイスへの発信 LSA をフィルタリングするには、インターフェイスコンフィギュレーションモードで ipv6 ospf databse-filter all out コマンドを使用します。インターフェイスに対する LSA の転送を元に戻すには、このコマンドの no 形式を使用します。

ipv6 ospf database-filter all out

no ipv6 ospf database-filter all out

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

すべての発信 LSA がインターフェイスにフラッディングされます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、OSPFv3 インターフェイスへの発信 LSA をフィルタリングする場合に使用します。

例

次に、指定したインターフェイスへの発信 LSA をフィルタリングする例を示します。


ciscoasa(config)# interface ethernet 0
ciscoasa(config)# ipv6 enable
ciscoasa(config-if)# ipv6 ospf database-filter all out

ipv6 ospf dead-interval

hello パケットを確認できないときにネイバーがルータのダウンを宣言するまでの時間を設定するには、インターフェイスコンフィギュレーションモードで ipv6 ospf dead-interval コマンドを使用します。デフォルト時間に戻すには、このコマンドの no 形式を使用します。

ipv6 ospf dead-interval seconds

no ipv6 ospf dead-interval seconds

構文の説明


seconds	間隔を秒単位で指定します。この値はネットワーク上のすべてのノードで同じにする必要があります。有効値の範囲は 1 ～ 65535 です。

コマンドデフォルト

デフォルト値は、ipv6 ospf hello-interval コマンドで設定された間隔の 4 倍です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、hello パケットを確認できないときにネイバーがルータのダウンを通知するまでの時間を設定する場合に使用します。

例

次に、デッド間隔を 60 に設定する例を示します。


ciscoasa(config)# interface ethernet 0
ciscoasa(config)# ipv6 enable
ciscoasa(config-if)# ipv6 ospf dead-interval 60

ipv6 ospf encryption

インターフェイスの暗号化タイプを指定するには、インターフェイスコンフィギュレーションモードで ipv6 ospf encryption コマンドを使用します。インターフェイスの暗号化タイプを削除するには、このコマンドの no 形式を使用します。

ipv6 ospf encryption { ipsec spi spi esp encryption-algorithm [ [ key-encryption-type ] key ] authentication-algorithm [ key-encryption-type ] key | null }

no ipv6 ospf encryption { ipsec spi spi esp encryption-algorithm [ [ key-encryption-type ] key ] authentication-algorithm [ key-encryption-type ] key | null }

構文の説明


authentication-algorithm	使用する暗号化アルゴリズムを指定します。有効な値は次のいずれかです。 md5 ：Message Digest 5（MD5）を有効にします。 sha1 ：SHA-1 を有効にします。
encryption- algorithm	ESP で使用する暗号化アルゴリズムを指定します。. 有効な値は次のとおりです。 aes-cdc ：AES-CDC 暗号化を有効にします。 3des ：トリプル DES 暗号化を有効にします。 des ：DES 暗号化を有効にします。 null ：暗号化なしの ESP を指定します。
esp	カプセル化セキュリティペイロード（ESP）を指定します。
ipsec	IP セキュリティプロトコルを指定します。
key	メッセージダイジェストの計算で使用される番号を指定します。MD5 認証を使用する場合、キーの長さは 32 桁の 16 進数（16 バイト）である必要があります。SHA-1 認証を使用する場合、キーの長さは 40 桁の 16 進数（20 バイト）である必要があります。
key-encryption-type	（オプション）キー暗号化タイプを指定します。次のいずれかの値を指定できます。 0 ：キーは暗号化されません。 7 ：キーは暗号化されます。
null	この設定をエリア認証よりも優先します。
spi spi	セキュリティポリシーインデックス（SPI）の値を指定します。spi の有効な値の範囲は 256 ～ 42949667295 で、10 進数で入力する必要があります。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、インターフェイスの暗号化タイプを指定する場合に使用します。

例

次に、インターフェイスで SHA-1 暗号化をイネーブルにする例を示します。


ciscoasa(config)# interface ethernet 0/0
ciscoasa(config)# ipv6 enable
ciscoasa(config-if)# ipv6 ospf encryption ipsec spi 1001 esp null sha1 123456789A123456789B123456789C123456789D

ipv6 ospf flood-reduction

インターフェイスへの LSA のフラッディング削減を指定するには、インターフェイスコンフィギュレーションモードで ipv6 ospf flood-reduction コマンドを使用します。インターフェイスへの LSA のフラッディング削減を削除するには、このコマンドの no 形式を使用します。

ipv6 ospf flood-reduction

no ipv6 ospf flood-reduction

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、インターフェイスへの LSA のフラッディング削減を指定する場合に使用します。

例

次に、インターフェイスへの LSA のフラッディング削減をイネーブルにする例を示します。


ciscoasa(config-if)# interface GigabitEthernet3/2.200
 vlan 200
 nameif outside
 security-level 100
 ip address 20.20.200.30 255.255.255.0 standby 20.20.200.31 
 ipv6 address 3001::1/64 standby 3001::8
 ipv6 address 6001::1/64 standby 6001::8
 ipv6 enable
 ospf priority 255
 ipv6 ospf cost 100
 ipv6 ospf 100 area 10 instance 200 
ipv6 ospf flood reduction

ipv6 ospf hello-interval

hello パケットを確認できないときにネイバーがルータのダウンを宣言するまでの時間を設定するには、インターフェイスコンフィギュレーションモードで ipv6 ospf dead-interval コマンドを使用します。デフォルト時間に戻すには、このコマンドの no 形式を使用します。

ipv6 ospf dead-interval seconds

no ipv6 ospf dead-interval seconds

構文の説明


seconds	間隔を秒単位で指定します。この値はネットワーク上のすべてのノードで同じにする必要があります。有効値の範囲は 1 ～ 65535 です。

コマンドデフォルト

デフォルトの間隔は、イーサネットを使用する場合は 10 秒、非ブロードキャストを使用する場合は 30 秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、hello パケットを確認できないときにネイバーがルータのダウンを通知するまでの時間を設定する場合に使用します。

例

次に、デッド間隔を 60 に設定する例を示します。


ciscoasa(config)# interface ethernet 0
ciscoasa(config)# ipv6 enable
ciscoasa(config-if)# ipv6 ospf dead-interval 60

ipv6 ospf mtu-ignore

ASA でデータベース記述子（DBD）パケットを受信した際の OSPFv3 最大伝送ユニット（MTU）不一致検出を無効にするには、インターフェイスコンフィギュレーションモードで ipv6 ospf mtu-ignore コマンドを使用します。ASA で DBD パケットを受信した際の MTU 不一致検出をデフォルト設定にリセットするには、このコマンドの no 形式を使用します。

ipv6 ospf mtu-ignore

no ipv6 ospf mtu-ignore

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

OSPFv3 MTU 不一致検出は、デフォルトでイネーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、ASA で DBD パケットを受信した際の OSPFv3 MTU 不一致検出を無効にする場合に使用します。

例

次に、ASA で DBD パケットを受信した際の OSPFv3 MTU 不一致検出を無効にする例を示します。


ciscoasa(config)# interface serial 0/0
ciscoasa(config)# ipv6 enable
ciscoasa(config-if)# ipv6 ospf mtu-ignore

ipv6 ospf neighbor

非ブロードキャストネットワークへの OSPFv3 ルータの相互接続を設定するには、インターフェイスコンフィギュレーションモードで ipv6 ospf neighbor コマンドを使用します。構成を削除するには、このコマンドの no 形式を使用します。

ipv6 ospf neighbor ipv6-address [ priority number ] [ poll-interval seconds ] [ cost number ] [ database-filter ]

no ipv6 ospf neighbor ipv6-address [ priority number ] [ poll-interval seconds ] [ cost number ] [ database-filter ]

構文の説明


cost number	（オプション）ネイバーに 1 ～ 65535 の整数を使用したコストを割り当てます。コストが具体的に設定されていないネイバーについては、インターフェイスのコストは ipv6 ospf cost コマンドに基づいて想定されます。
database-filter	（任意）OSPF ネイバーに送出されるリンクステートアドバタイズメント（LSA）をフィルタリングします。
ipv6-address	ネイバーのリンクローカル IPv6 アドレス。この引数は、RFC 2373 に記述されている形式である必要があります。RFC 2373 では、コロンで区切った 16 ビット値を使用して 16 進数形式でアドレスを指定します。
poll-interval seconds	（オプション）ポーリングの時間間隔（秒）を表す数値。RFC 2328 では、この値を hello interval よりずっと大きくすることが推奨されています。デフォルトは 120 秒（2 分）です。このキーワードはポイントツーマルチポイントインターフェイスには適用されません。
priority number	（オプション）指定の IPv6 プレフィックスが関連付けられている非ブロードキャストネイバーのルータプライオリティ値を示す数。デフォルトは 0 です。

コマンドデフォルト

デフォルトはネットワークタイプによって異なります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション				—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、非ブロードキャストネットワークへの OSPFv3 ルータの相互接続を設定する場合に使用します。

例

次に、OSPFv3 ネイバールータを設定する例を示します。


ciscoasa(config)# interface serial 0
ciscoasa(config)# ipv6 enable
ciscoasa(config-if)# ipv6 ospf 1 area 0
ciscoasa(config-if)# ipv6 ospf neighbor FE80::A8BB:CCFF:FE00:C01

ipv6 ospf network

OSPFv3 ネットワークタイプをデフォルト以外のタイプに設定するには、インターフェイスコンフィギュレーションモードで ipv6 ospf network コマンドを使用します。デフォルトのタイプに戻すには、このコマンドの no 形式を使用します。

ipv6 ospf network { broadcast | point-to-point non-broadcast }

no ipv6 ospf network { broadcast | point-to-point non-broadcast }

構文の説明


broadcast	ネットワークタイプをブロードキャストに設定します。
point-to-point non-broadcast	ネットワークタイプをポイントツーポイントの非ブロードキャストに設定します。

コマンドデフォルト

デフォルトはネットワークタイプによって異なります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、OSPFv3 ネットワークタイプをデフォルト以外のタイプに設定する場合に使用します。

例

次に、OSPFv3 ネットワークをブロードキャストネットワークに設定する例を示します。


ciscoasa(config)# interface serial 0
ciscoasa(config)# ipv6 enable
ciscoasa(config-if)# ipv6 ospf 1 area 0
ciscoasa(config-if)# ipv6 ospf network broadcast
ciscoasa(config-if)# encapsulation frame-relay

ipv6 ospf priority

指定したネットワークにおいて指定ルータを特定するためのルータのプライオリティを設定するには、インターフェイスコンフィギュレーションモードで ipv6 ospf priority コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ipv6 ospf priority number-value

no ipv6 ospf priority number-value

構文の説明


number-value	ルータのプライオリティを指定する数値を設定します。有効値の範囲は 0 ～ 255 です。

コマンドデフォルト

デフォルトのプライオリティは 1 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、ルータのプライオリティを設定する場合に使用します。

例

次に、ルータのプライオリティを 4 に設定する例を示します。


ciscoasa(config)# interface ethernet 0
ciscoasa(config-if)# ipv6 ospf priority 4

ipv6 ospf retransmit-interval

インターフェイスに属する隣接の LSA 再送信間隔を指定するには、インターフェイスコンフィギュレーションモードで ipv6 ospf retransmit-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ipv6 ospf retransmit-interval seconds

no ipv6 ospf retransmit-interval seconds

構文の説明


seconds	再送信の間隔（秒数）を指定します。接続ネットワーク上の任意の 2 台のルータ間で想定される往復遅延より大きな値にする必要があります。有効な値の範囲は、1 ～ 65535 秒です。

コマンドデフォルト

デフォルトは 5 秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、インターフェイスに属する隣接関係の LSA 再送信の間隔を指定する場合に使用します。

例

次に、再送信間隔を 8 秒に設定する例を示します。


ciscoasa(config)# interface ethernet 2
ciscoasa(config)# ipv6 enable
ciscoasa(config-if)# ipv6 ospf retransmit-interval 8

ipv6 ospf transmit-delay

インターフェイス上でリンクステート更新パケットを送信するために必要な推定時間を設定するには、インターフェイスコンフィギュレーションモードで ipv6 ospf transmit-delay コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ipv6 ospf transmit-delay seconds

no ipv6 ospf transmit-delay seconds

構文の説明


seconds	リンクステートの更新を送信するために必要な時間（秒数）を指定します。有効な値の範囲は、1 ～ 65535 秒です。

コマンドデフォルト

デフォルト値は 1 秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、インターフェイスでリンクステート更新パケットを送信するために必要とされる時間を設定する場合に使用します。

例

次に、転送遅延を 3 秒に設定する例を示します。


ciscoasa(config)# interface ethernet 0
ciscoasa(config)# ipv6 enable
ciscoasa(config-if)# ipv6 ospf transmit-delay 3

ipv6-prefix

マッピングアドレスおよびポート（MAP）ドメイン内の基本マッピングルールの IPv6 プレフィックスを設定するには、MAP ドメインの基本マッピングルールコンフィギュレーションモードで ipv6-prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。

ipv6-prefix ipv6_prefix / prefix_length

no ipv6-prefix ipv6_prefix / prefix_length

構文の説明


`ipv6_prefix/prefix_length`	IPv6 プレフィックスは、カスタマーエッジ（CE）デバイスの IPv6 アドレスのアドレスプールを定義します。IPv6 プレフィックスおよびプレフィックス長（通常は 64）を指定しますが、8 未満を指定することはできません。異なる MAP ドメインで同じ IPv6 プレフィックスを使用することはできません。

コマンドデフォルト

デフォルト設定はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
MAP ドメインの基本マッピングルールコンフィギュレーションモード	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.13(1)	このコマンドが導入されました。

使用上のガイドライン

IPv6 プレフィックスは、CE デバイスの IPv6 アドレスのアドレスプールを定義します。MAP は、このプレフィックスを持つ宛先アドレスと、デフォルトのマッピングルールで定義されている IPv6 プレフィックスを持つ送信元アドレスを持つパケットが、適切なポート範囲内にある場合にのみ、IPv6 パケットを IPv4 に戻します。他のアドレスから CE デバイスに送信されるすべての IPv6 パケットは、MAP を変換せずに IPv6 トラフィックとして処理されるだけです。MAP の送信元/宛先プールからのパケットは、範囲外のポートでは単にドロップされます。

例

次の例では、1 という名前の MAP-T ドメインを作成して、ドメインの変換ルールを設定しています。


ciscoasa(config)# map-domain 1
 
ciscoasa(config-map-domain)# default-mapping-rule 2001:DB8:CAFE:CAFE::/64
 
ciscoasa(config-map-domain)# basic-mapping-rule
 
ciscoasa(config-map-domain-bmr)# ipv4-prefix 192.168.3.0 255.255.255.0
 
ciscoasa(config-map-domain-bmr)# ipv6-prefix 2001:cafe:cafe:1::/64
 
ciscoasa(config-map-domain-bmr)# start-port 1024
 
ciscoasa(config-map-domain-bmr)# share-ratio 16

ipv6 prefix-list

IPv6 プレフィックスリストのエントリを作成するには、グローバルコンフィギュレーションモードで ipv6 prefix-list コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。

ipv6 prefix-list list-name [ seq seq-number ] { deny ipv6-prefix | prefix-length | description text } [ ge ge-value ] [ le le-value ]

no ipv6 prefix-list list-name

構文の説明

list-name

プレフィックスリストの名前。

既存のアクセスリストと同じ名前にすることはできません。

（注）

「detail」または「summary」はキーワードであるため、名前に使用できません。

seq seq-number

（オプション）設定するプレフィックスリストエントリのシーケンス番号。

deny

条件に一致するネットワークを拒否します。

permit

条件に一致するネットワークを許可します。

ipv6-prefix

指定したプレフィックスリストに割り当てられている IPv6 ネットワーク。

この引数は、RFC 2373 に記述されている形式にする必要があります。コロン区切りの 16 ビット値を使用して、アドレスを 16 進数で指定します。

prefix-length

IPv6 プレフィックスの長さ。この値は、アドレスの高次の連続ビットのうち、プレフィックスのネットワーク部分を構成しているビットの数を示します。プレフィックス長の前にスラッシュ（/）を使用する必要があります。

description text

プレフィックスリストの説明。最大 80 文字です。

ge ge-value

（任意）ipv6-prefix /prefix-length 引数の値以上のプレフィックス長を指定します。これは長さの範囲の最小値です（長さ範囲の「下限」に該当する値）。

le le-value

（任意）ipv6-prefix /prefix-length 引数の値以下のプレフィックス長を指定します。これは長さの範囲の最大値です（長さ範囲の「上限」に該当する値）。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.3(2)	このコマンドが追加されました。

ipv6 route

IPv6 ルートを IPv6 ルーティングテーブルに追加するには、グローバルコンフィギュレーションモードで ipv6 route コマンドを使用します。IPv6 デフォルトルートを削除するには、このコマンドの no 形式を使用します。

ipv6 route if_name ipv6-prefix | prefix-length ipv6-address [ administrative-distance | tunneled ]

no ipv6 route if_name ipv6-prefix | prefix-length ipv6-address [ administrative-distance | tunneled ]

構文の説明


`administrative-distance`	（任意）ルートのアドミニストレーティブディスタンス。デフォルト値は 1 です。この場合、スタティックルートは接続ルートを除く他のどのタイプのルートよりも優先されます。
`if_name`	ルートを設定するインターフェイスの名前。
`ipv6-address`	指定したネットワークに到達するために使用可能なネクストホップの IPv6 アドレス。
`ipv6-prefix`	スタティックルートの宛先となる IPv6 ネットワーク。この引数は、RFC 2373 に記述されている形式である必要があります。RFC 2373 では、コロンで区切った 16 ビット値を使用して 16 進数形式でアドレスを指定します。
`prefix-length`	IPv6 プレフィックスの長さ。この値は、アドレスの高次の連続ビットのうち、プレフィックスのネットワーク部分を構成しているビットの数を示します。プレフィックス長の前にスラッシュ（/）を使用する必要があります。
tunneled	（オプション）ルートを VPN トラフィックのデフォルトトンネルゲートウェイとして指定します。

コマンドデフォルト

デフォルトでは、アドミニストレーティブディスタンスは 1 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.2(1)	トランスペアレントファイアウォールモードのサポートが追加されました。

使用上のガイドライン

IPv6 ルーティングテーブルの内容を表示するには、show ipv6 route コマンドを使用します。

トンネルトラフィックには、標準のデフォルトルートの他に別のデフォルトルートを 1 つ定義することができます。tunneled オプションを使用してデフォルトルートを作成すると、ASA に着信するトンネルからのトラフィックはすべて、学習したルートまたはスタティックルートを使用してルーティングできない場合、このルートに送信されます。トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルトルートをすべて上書きします。

tunneled オプションが指定されたデフォルトルートには、次の制限事項が適用されます。

トンネルルートの出力インターフェイスで、ユニキャスト RPF（ip verify reverse-path コマンド）を有効にしないでください。トンネルルートの出力インターフェイスで uRPF をイネーブルにすると、セッションに障害が発生します。
トンネルルートの出力インターフェイスで、TCP 代行受信をイネーブルにしないでください。イネーブルにすると、セッションでエラーが発生します。
VoIP インスペクションエンジン（CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY）、DNS インスペクションエンジン、または DCE RPC インスペクションエンジンは、トンネルルートでは使用しないでください。これらのインスペクションエンジンは、トンネルルートを無視します。

tunneled オプションを使用して複数のデフォルトルートは定義できません。トンネルトラフィックの ECMP はサポートされていません。

例

次に、アドミニストレーティブディスタンスを 110 にして、ネットワーク 7fff::0/32 のパケットを 3FFE:1100:0:CC00::1 にある内部インターフェイス上のネットワーキングデバイスにルーティングする例を示します。


ciscoasa(config)# ipv6 route inside 7fff::0/32 3FFE:1100:0:CC00::1 110

ipv6 router ospf

OSPFv3 ルーティングプロセスを作成し、IPv6 ルータコンフィギュレーションモードを開始するには、グローバルコンフィギュレーションモードで ipv6 router ospf コマンドを使用します。

ipv6 router ospf process-id

構文の説明


process-id	ローカルに割り当てられる内部 ID を指定します。有効な値は 1 ～ 65535 の正の整数です。この番号は、IPv6 の OSPFv3 ルーティングプロセスをイネーブルにしたときに管理目的で割り当てられます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

ipv6 router ospf コマンドは、ASA 上で実行される OSPFv3 ルーティングプロセスのグローバルコンフィギュレーションコマンドです。ipv6 router ospf コマンドを入力すると、IPv6 ルータコンフィギュレーションモードであることを示す (config-rtr)# がコマンドプロンプトに表示されます。

no ipv6 router ospf コマンドを使用する場合、必要な情報を指定する場合を除き、オプションの引数を指定する必要はありません。no ipv6 router ospf コマンドは、 process-id argument 引数によって指定された OSPFv3 ルーティングプロセスを終了します。 process-id の値は、ASA においてローカルに割り当てます。OSPFv3 ルーティングプロセスごとに固有の値を割り当てる必要があります。最大 2 つのプロセスが使用できます。

IPv6 ルータコンフィギュレーションモードで ipv6 router ospf コマンドを使用し、OSPFv3 固有の次のオプションを指定して OSPFv3 ルーティングプロセスを設定できます。

area ：OSPFv3 エリアパラメータを設定します。サポートされているパラメータには、0 ～ 4294967295 の 10 進数値のエリア ID、A.B.C.D の IP アドレス形式のエリア ID などがあります。
default ：コマンドをデフォルト値に設定します。originate パラメータはデフォルトルートを配布します。
default-information ：デフォルト情報の配布を制御します。
distance ：ルートタイプに基づいて、OSPFv3 ルートアドミニストレーティブディスタンスを定義します。サポートされるパラメータには、1 ～ 254 の値のアドミニストレーティブディスタンス、OSPF ディスタンスの ospf などがあります。
exit— ：IPv6 ルータコンフィギュレーションモードを終了します。
ignore ：ルータがタイプ 6 Multicast OSPF（MOSPF）パケットのリンクステートアドバタイズメント（LSA）を受信した場合に、lsa パラメータが指定されている syslog メッセージの送信を抑止します。
log-adjacency-changes ：OSPFv3 ネイバーが起動または停止したときに、ルータが syslog メッセージを送信するように設定します。detail パラメータによって、すべての状態変更がログに記録されます。
passive-interface ：次のパラメータを使用してインターフェイスでのルーティング更新を抑制します。
- GigabitEthernet ：GigabitEthernet IEEE 802.3z インターフェイスを指定します。
- Management ：管理インターフェイスを指定します。
- Port-channel ：インターフェイスのイーサネットチャネルを指定します。
- Redundant ：冗長インターフェイスを指定します。
- default ：すべてのインターフェイス上でルーティングが更新されないようにします。
redistribute ：次のパラメータに基づいて 1 つのルーティングドメインから別のルーティングドメインへのルートの再配布を設定します。
- connected ：接続ルートを指定します。
- ospf ：OSPF ルートを指定します。
- static ：スタティックルートを指定します。
router-id ：次のパラメータを使用して、指定されたプロセスの固定ルータ ID を作成します。
- A.B.C.D ：IP アドレス形式の OSPF ルータ ID を指定します。
- cluster-pool ：レイヤ 3 クラスタリングが設定されている場合に、IP アドレスプールを設定します。
summary-prefix ：0 ～ 128 の有効な値で IPv6 アドレスサマリーを設定します。X:X:X:X::X/ パラメータは、IPv6 プレフィックスを指定します。
timers— ：次のパラメータを使用して、ルーティングタイマーを調整します。
- lsa ：OSPF LSA タイマーを指定します。
- pacing ：OSPF ペーシングタイマーを指定します。
- throttle ：OSPF スロットルタイマーを指定します。

例

次に、OSPFv3 ルーティングプロセスをイネーブルにし、IPv6 ルータコンフィギュレーションモードを開始する例を示します。


ciscoasa(config)# ipv6 router ospf 10
ciscoasa(config-rtr)#

ipv6-split-tunnel-policy

IPv6 スプリットトンネリングポリシーを設定するには、グループポリシーコンフィギュレーションモードで ipv6-spli t-tunnel-policy コマンドを使用します。実行コンフィギュレーションから ipv6-split-tunnel-policy 属性を削除するには、このコマンドの no 形式を使用します。

ipv6-split-tunnel-policy { tunnelall | tunnelspecified | excludespecified }

no ipv6-split-tunnel-policy

構文の説明


excludespecified	トラフィックを暗号化しないで送信する先となるネットワークのリストを定義します。この機能は、社内ネットワークにトンネルを介して接続しながら、ローカルネットワーク上のデバイス（プリンタなど）にアクセスするリモートユーザーにとって役立ちます。
ipv6-split-tunnel-policy	トラフィックのトンネリングのルールを設定することを指定します。
tunnelall	トラフィックを暗号化しないで送信しないこと、または ASA 以外の宛先に送信しないことを指定します。リモートユーザーは企業ネットワークを経由してインターネットにアクセスしますが、ローカルネットワークにはアクセスできません。
tunnelspecified	指定したネットワークから、または指定したネットワークへのすべてのトラフィックをトンネリングします。このオプションによって、スプリットトンネリングが有効になります。トンネリングするアドレスのネットワークリストを作成できるようになります。その他のすべてのアドレスへのデータは暗号化しないで送信され、リモートユーザーのインターネットサービスプロバイダーによってルーティングされます。

コマンドデフォルト

IPv6 スプリットトンネリングは、デフォルト（tunnelall ）では無効になっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

IPv6 スプリットトンネリングは、本来は、セキュリティ機能ではなくトラフィック管理機能です。最適なセキュリティを確保するには、IPv6 スプリットトンネリングをイネーブルにしないことを推奨します。

これにより、別のグループポリシーから IPv6 スプリットトンネリングの値を継承できます。

IPv6 スプリットトンネリングを使用すると、リモートアクセス VPN クライアントは、条件に応じて、パケットを IPsec または SSL IPv6 トンネルを介して暗号化された形式で送信したり、クリアテキスト形式でネットワークインターフェイスに送信したりできます。IPv6 スプリットトンネリングをイネーブルにすると、宛先が IPsec または SSL VPN トンネルエンドポイントの反対側ではないパケットでは、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングは必要なくなります。

このコマンドでは、IPv6 スプリットトンネリングポリシーが特定のネットワークに適用されます。

例

次に、FirstGroup という名前のグループポリシーに対して、指定したネットワークのみをトンネリングするスプリットトンネリングポリシーを設定する例を示します。


ciscoasa
(config)#
 group-policy FirstGroup attributes
ciscoasa
(config-group-policy)#
 ipv6-split-
tunnel-policy tunnelspecified

ipv6-vpn-address-assign

IPv6 アドレスをリモートアクセスクライアントに割り当てる方法を指定するには、グローバルコンフィギュレーションモードで ipv6- vpn-addr-assign コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no バージョンを使用します。設定されている VPN アドレスの割り当て方法を ASA からすべて削除するには、引数なしで、このコマンドの no 形式を使用します。

ipv6-vpn-addr-assign { aaa | local }

no ipv6-vpn-addr-assign { aaa | local }

構文の説明


aaa	外部または内部（LOCAL）の AAA （認証、認可、アカウンティング）サーバーからユーザー単位でアドレスを取得します。IP アドレスが設定された認証サーバーを使用している場合は、この方式を使用することをお勧めします。
local	ASA の内部で設定されているアドレスプールから IPv6 アドレスを配布します。

コマンドデフォルト

デフォルトでは、AAA とローカルの両方の VPN アドレス割り当てオプションがイネーブルになります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。
9.5(2)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

ASA では、AAA またはローカルのいずれかの方法でリモートアクセスクライアントに IPv6 アドレスを割り当てることができます。複数のアドレス割り当て方式を設定すると、ASA は IPv6 アドレスが見つかるまで各オプションを検索します。

例

次に、アドレス割り当て方法として AAA を設定する例を示します。


ciscoasa(config)# ipv6-vpn-addr-assign aaa

次に、アドレス割り当て方法としてローカルアドレスプールを使用するように設定する例を示します。


ciscoasa(config)# no ipv6-vpn-addr-assign local

ipv6-vpn-filter

VPN 接続に使用する IPv6 ACL の名前を指定するには、グループポリシーコンフィギュレーションモードまたはユーザー名コンフィギュレーションモードで ipv6-vpn-filter コマンドを使用します。ipv6-vpn-filter none コマンドを発行して作成したヌル値を含めて、ACL を削除するには、このコマンドの no 形式を使用します。

ipv6-vpn-filter { value IPV6-ACL-NAME | none }

no ipv6-vpn-filter

構文の説明


none	アクセスリストがないことを示します。ヌル値を設定して、アクセスリストを使用できないようにします。アクセスリストを他のグループポリシーから継承しないようにします。
value `IPV6-ACL-NAME`	事前に設定済みのアクセスリストの名前を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—
ユーザー名コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
9.0(1)	ipv6-vpn-filter コマンドは廃止されました。IPv4 または IPv6 エントリを指定して統合フィルタを設定するには、vpn-filter コマンドを使用します。この IPv6 フィルタは、vpn-filter コマンドで指定されたアクセスリストに IPv6 エントリがない場合にのみ使用されます。
9.1(4)	ipv6-vpn-filter コマンドは無効になっており、コマンドの「no」形式のみ使用できます。IPv4 と IPv6 のエントリに対応した統合フィルタを設定するには、vpn-filter コマンドを使用します。このコマンドを誤って使用して IPv6 ACL を指定した場合、接続は終了します。

使用上のガイドライン

クライアントレス SSL VPN では、ipv6-vpn-filter コマンドで定義された ACL は使用されません。

no オプションを使用すると、値を別のグループポリシーから継承できるようになります。値が継承されないようにするには、ipv6-vpn-filter none コマンドを使用します。

このユーザーまたはグループポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。次に、ipv6-vpn-filter コマンドを使用して、それらの ACL を適用します。

例

次に、FirstGroup というグループポリシーの ipv6_acl_vpn というアクセスリストを呼び出すフィルタを設定する例を示します。


ciscoasa
(config)#
 group-policy FirstGroup attributes
ciscoasa
(config-group-policy)#
 ipv6-vpn-filter value ipv6_acl_vpn

ip verify reverse-path

ユニキャスト RPF を有効にするには、グローバルコンフィギュレーションモードで ip verify reverse-path コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip verify reverse-path interface interface_name

no ip verify reverse-path interface interface_name

構文の説明


`interface_name`	ユニキャスト RPF をイネーブルにするインターフェイス。

コマンドデフォルト

この機能はデフォルトで無効に設定されています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

Unicast RPF は、ルーティングテーブルに従い、すべてのパケットが正しい発信元インターフェイスと一致する送信元 IP アドレスを持っていることを確認して、IP スプーフィング（パケットが不正な送信元 IP アドレスを使用し、実際の送信元を隠蔽すること）から保護します。

通常、ASA は、パケットの転送先を判定するときに宛先アドレスだけを調べます。ユニキャスト RPF は、送信元アドレスも調べるように ASA に指示するため、リバースパスフォワーディング（RPF）と呼ばれます。ASA の通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートを ASA のルーティングテーブルに含める必要があります。詳細については、RFC 2267 を参照してください。

たとえば、外部トラフィックの場合、ASA はデフォルトルートを使用してユニキャスト RPF 保護の条件を満たすことができます。トラフィックが外部インターフェイスから入り、送信元アドレスがルーティングテーブルにない場合、ASA はデフォルトルートを使用して、外部インターフェイスを送信元インターフェイスとして正しく識別します。

ルーティングテーブルにあるアドレスから外部インターフェイスにトラフィックが入り、そのアドレスが内部インターフェイスに関連付けられている場合、ASA はパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが入った場合、一致するルート（デフォルトルート）が外部インターフェイスを示しているため、ASA はパケットをドロップします。

ユニキャスト RPF は、次のように実装されます。

ICMP パケットにはセッションがないため、個々のパケットはチェックされません。
UDP と TCP にはセッションがあるため、最初のパケットは逆ルートルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。

例

次に、外部インターフェイスでユニキャスト RPF をイネーブルにする例を示します。


ciscoasa(config)# ip verify reverse-path interface outside

ipv6 unnumbered

インターフェイス（ループバックインターフェイスなど）から IPv6 アドレスを借用または継承するには、インターフェイスコンフィギュレーションモードで ipv6 unnumbered コマンドを使用します。インターフェイスからの IP アドレスの継承を停止するには、このコマンドの no 形式を使用します。

ipv6 unnumbered interface-name

no ipv6 unnumbered

構文の説明


`interface-name`	IPv6 アドレスを引き継ぐインターフェイスの名前を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.19(1)	このコマンドが追加されました。

使用上のガイドライン

ipv6 unnumbered コマンドは、選択した interface の IPv6 アドレスを現在のインターフェイスのアドレスとして継承するために使用されます。

例

次に、ループバックインターフェイスから IPv6 アドレスを借りて、VTI トンネルインターフェイスに使用する例を示します。

ciscoasa(config)# interface tunnel 1

ciscoasa(conf-if)# ipv6 unnumbered loopback1

コマンド	説明
ipv6-address-pool	IPv6 アドレスプールを VPN トンネルグループポリシーに関連付けます。
ipv6-address-pools	IPv6 アドレスプールを VPN グループポリシーに関連付けます。
clear configure ipv6 local pool	設定済みのすべての IPv6 ローカルプールをクリアします。
show running-config ipv6	IPv6 のコンフィギュレーションを表示します。

コマンド	説明
ipv6 address	インターフェイスで IPv6 アドレスを設定します。
ipv6 enable	インターフェイス上で IPv6 をイネーブルにします。

コマンド	説明
ipv6 nd ns-interval	インターフェイスで IPv6 ネイバー送信要求メッセージが送信される時間間隔を設定します。
show ipv6 interface	IPv6 向けに設定されたインターフェイスの使用状況を表示します。

コマンド	説明
ipv6 address	IPv6 アドレスを設定し、インターフェイスで IPv6 処理を有効にします。
show ipv6 interface	IPv6 向けに設定されたインターフェイスの使用状況を表示します。

コマンド	説明
ipv6 nd ra-lifetime	IPv6 ルータアドバタイズメントのライフタイムを設定します。
show ipv6 interface	IPv6 向けに設定されたインターフェイスの使用状況を表示します。

コマンド	説明
ipv6 nd ra-interval	インターフェイスで IPv6 ルータアドバタイズメントメッセージが送信される時間間隔を設定します。
show ipv6 interface	IPv6 向けに設定されたインターフェイスの使用状況を表示します。

コマンド	説明
clear ipv6 neighbors	スタティックエントリを除く、IPv6 ネイバー探索キャッシュ内のすべてのエントリを削除します。
show ipv6 neighbor	IPv6 ネイバーキャッシュ情報を表示します。

コマンド	説明
clear ipv6 ospf	OSPFv3 ルーティングプロセスの IPv6 設定をすべて削除します。
debug ospfv3	OSPFv3 ルーティングプロセスのトラブルシューティング用のデバッグ情報を表示します。

コマンド	説明
show ipv6 prefix-list	IPv6 プレフィックスリストを表示します。
show ipv6 route	IPv6 ルーティングテーブルの現在の内容を表示します。

コマンド	説明
debug ipv6 route	IPv6 ルーティングテーブルの更新およびルートキャッシュの更新に関するデバッグメッセージを表示します。
show ipv6 route	IPv6 ルーティングテーブルの現在の内容を表示します。

コマンド	説明
split-tunnel-network-list none	スプリットトンネリングのアクセスリストがないことを指定します。トラフィックはすべてトンネルを通過します。
split-tunnel-network-list value	トンネリングが必要なネットワークと不要なネットワークを区別するために、ASA が使用するアクセスリストを指定します。

コマンド	説明
access-list	アクセスリストを作成するか、ダウンロード可能なアクセスリストを使用します。
vpn-filter	VPN 接続に使用する IPv4 または IPv6 の ACL の名前を指定します。

コマンド	説明
clear configure ip verify reverse-path	ip verify reverse-path コマンドを使用して設定された構成をクリアします。
clear ip verify statistics	ユニキャスト RPF の統計情報をクリアします。
show ip verify statistics	ユニキャスト RPF 統計情報を表示します。
show running-config ip verify reverse-path	ip verify reverse-path コマンドを使用して設定された構成を表示します。

コマンド	説明
ip unnumbered `interface-name`	指定されたインターフェイスの IP アドレスを継承します。
interface loopback `loopback-number`	ループバックインターフェイスを作成します。

Cisco Secure Firewall ASA シリーズ コマンド リファレンス、I ～ R コマンド

偏向のない言語

翻訳について

検索結果

章のタイトル： ipv – ir

ipv – ir

ipv4-prefix

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

ipv6 address

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

ipv6-address-pool

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

ipv6-address-pools

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

ipv6 dhcp client pd

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

ipv6 dhcp client pd hint

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

ipv6 dhcp pool

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

ipv6 dhcprelay enable

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

ipv6 dhcprelay server

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

ipv6 dhcprelay timeout

構文の説明

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード