この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
IPv6 ネイバー探索プロセスは、ICMPv6 メッセージおよび送信要求ノード マルチキャスト アドレスを使用して、同じネットワーク(ローカル リンク)上のネイバーのリンク層アドレスを決定し、ネイバーの読み出し可能性を確認し、隣接ルータを追跡します。
ノード(ホスト)はネイバー探索を使用して、接続リンク上に存在することがわかっているネイバーのリンク層アドレスの特定や、無効になったキャッシュ値の迅速なパージを行います。また、ホストはネイバー探索を使用して、ホストに代わってパケットを転送しようとしている隣接ルータを検出します。さらに、ノードはこのプロトコルを使用して、どのネイバーが到達可能でどのネイバーがそうでないかをアクティブに追跡するとともに、変更されたリンク層アドレスを検出します。ルータまたはルータへのパスが失敗すると、ホストは機能している代替ルータまたは代替パスをアクティブに検索します。
ローカル リンク上にある他のノードのリンクレイヤ アドレスを検出するため、ノードからネイバー送信要求メッセージ(ICMPv6 Type 135)がローカル リンクに送信されます。ネイバー送信要求メッセージを受信すると、宛先ノードは、ネイバー アドバタイズメント メッセージ(ICPMv6 Type 136)をローカル リンク上に送信して応答します。
送信元ノードがネイバー アドバタイズメントを受信すると、送信元ノードと宛先ノードが通信できるようになります。ネイバー送信要求メッセージは、ネイバーのリンク層アドレスが識別された後に、ネイバーの到達可能性の確認にも使用されます。ノードがネイバーの到達可能性を確認するときに、ネイバー送信要求メッセージの宛先アドレスは、ネイバーのユニキャスト アドレスです。
ネイバー アドバタイズメント メッセージは、ローカル リンク上のノードのリンク層アドレスが変更されたときにも送信されます。
ステートレス自動設定プロセス中に、重複アドレス検出は、アドレスがインターフェイスに割り当てられる前に、新しい IPv6 ユニキャスト アドレスの一意性を確認します。
重複アドレスが検出されると、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用対象外となり、次のエラー メッセージが生成されます。
325002: Duplicate address ipv6_address/MAC_address on interface
重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理は無効になります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。
ASA は、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。デフォルトでは、インターフェイスが重複アドレス検出を行う回数は 1 回です。
ネイバー デバイスがデフォルトのルータ アドレスをダイナミックに把握できるように、ASA はルータ アドバタイズメントに参加できます。ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、ASA の IPv6 が設定された各インターフェイスから定期的に送信されます。
ルータ アドバタイズメントもルータ送信要求メッセージに応答して送信されます(ICMPv6 Type 133)。ルータ送信要求メッセージは、ホストからシステムの起動時に送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定を行うことができます。
ネイバーを手動で IPv6 ネイバー キャッシュに定義できます。IPv6 ネイバー探索プロセスによる学習を通して、指定された IPv6 アドレスのエントリがネイバー探索キャッシュにすでに存在する場合、エントリは自動的にスタティック エントリに変換されます。IPv6 ネイバー探索キャッシュ内のスタティック エントリがネイバー探索プロセスによって変更されることはありません。
IPv6 アドレスの設定に従って、IPv6 アドレッシングを設定します。
次の IPv6 ネイバー探索コマンドにはルータ機能が必要なため、トランスペアレント ファイアウォール モードではサポートされません。
時間を設定すると、使用不可能なネイバーの検出がイネーブルになります。設定時間を短くすると、使用不可能なネイバーをさらに迅速に検出できます。ただし、時間を短くすると、すべての IPv6 ネットワーク デバイスで IPv6 ネットワーク帯域幅および処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。
ipv6 nd ra-lifetime コマンドを使用して、ASA をデフォルト ルータとして設定する場合、伝送間隔は IPv6 ルータ アドバタイズメントの有効期間以下にする必要があります。他の IPv6 ノードとの同期を防止するには、実際に使用される値を指定値の 20 % 以内でランダムに調整します。
ipv6 nd prefix コマンドを使用すると、プレフィックスをアドバタイズするかどうかも含めて、プレフィックスごとに個々のパラメータを制御できます。
デフォルトでは、ipv6 address コマンドを使用してインターフェイスにアドレスとして設定されるプレフィックスは、ルータ アドバタイズメントでアドバタイズされます。ipv6 nd prefix コマンドを使用してプレフィックスをアドバタイズメント用に設定すると、これらのプレフィックスだけがアドバタイズされます。
プレフィックスの有効期限を指定するための日付を設定できます。有効な推奨ライフタイムは、リアルタイムでカウントダウンされます。有効期限に達すると、プレフィックスはアドバタイズされなくなります。
onlink がオン(デフォルト)のときは、指定されたプレフィックスがそのリンクに割り当てられます。指定されたプレフィックスを含むそのようなアドレスにトラフィックを送信するノードは、宛先がリンク上でローカルに到達可能であると見なします。
autoconfig がオン(デフォルト)のときは、指定されたプレフィックスがローカル リンク上のホストの IPv6 自動設定に使用されます。
ステートレス自動設定が正しく機能するには、ルータ アドバタイズメント メッセージでアドバタイズされるプレフィックス長が常に 64 ビットでなければなりません。
ルータの有効期間の値は、このインターフェイスから送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。この値は、このインターフェイス上のデフォルト ルータとしての ASA の有用性を示します。
値をゼロ以外の値に設定すると、ASA がこのインターフェイス上のデフォルト ルータであると見なされます。ルータ ライフタイム値としてゼロ以外の値を設定する場合は、その値がルータ アドバタイズメント間隔以上でなければなりません。
次のガイドラインと制限事項は、スタティック IPv6 ネイバーの設定に適用されます。
ipv6 neighbor コマンドは arp コマンドに似ています。IPv6 ネイバー探索プロセスによる学習を通して、指定された IPv6 アドレスのエントリがネイバー探索キャッシュにすでに存在する場合、エントリは自動的にスタティック エントリに変換されます。これらのエントリは、copy コマンドを使用して設定を保存するときに設定に保存されます。
IPv6 ネイバー探索キャッシュのスタティック エントリを表示するには、show ipv6 neighbor コマンドを使用します。
clear ipv6 neighbor コマンドにより、スタティック エントリを除く、IPv6 ネイバー探索キャッシュ内のすべてのエントリを削除します。no ipv6 neighbor コマンドは、指定したスタティック エントリをネイバー探索キャッシュから削除します。このコマンドは、IPv6 ネイバー探索プロセスから認識されるエントリであるダイナミック エントリはキャッシュから削除しません。no ipv6 enable コマンドを使用してインターフェイスで IPv6 をディセーブルにすると、スタティック エントリを除いて、そのインターフェイス用に設定されたすべての IPv6 ネイバー探索キャッシュ エントリが削除されます(エントリの状態が INCMP [Incomplete] に変更されます)。
clear ipv6 neighbor コマンドを実行しても、スタティック エントリが IPv6 ネイバー探索キャッシュから削除されることはありません。ダイナミック エントリのクリアだけが行われます。
生成された ICMP syslog は、IPv6 ネイバー エントリの定期的な更新に起因します。IPv6 ネイバー エントリの ASA デフォルト タイマーは 30 秒であるため、ASA は 30 秒おきに ICMPv6 ネイバー探索および応答パケットを生成します。ASA にフェールオーバー LAN および IPv6 アドレスで設定された状態インターフェイスの両方がある場合は、30 秒ごとに、ICMPv6 ネイバー探索および応答パケットが、設定済みのリンクローカル IPv6 アドレスの 両方の ASA で生成されます。また、各パケットは複数の syslog(ICMP 接続およびローカル ホストの作成またはティアダウン)を生成するため、連続 ICMP syslog が生成されているように見えることがあります。IPV6 ネイバー エントリのリフレッシュ時間は、通常のデータ インターフェイスに設定可能ですが、フェールオーバー インターフェイスでは設定可能ではありません。ただし、この ICMP ネイバー探索トラフィックの CPU の影響はわずかです。
次の表に、IPv6 ネイバー探索のデファルト設定を示します。
このフラグはデフォルトでオンになります。これは、インターフェイスのアドバタイズでプレフィックスが使用されることを意味します。 |
|
インターフェイスごとのネイバー探索設定を行います。インターフェイス コンフィギュレーション モードを開始するには、次の手順を実行します。
例: ciscoasa(config)# interface gigabitethernet 0/0 |
例: ciscoasa(config)# interface gigabitethernet 0/0 ciscoasa(config-if)# ipv6 nd ns-interval 9000 |
ネイバー到達可能時間を設定すると、使用できないネイバーを検出できます。時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワーク デバイスの処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。
ipv6 nd ra-interval [msec] value 例: ciscoasa(config)# interface gigabitethernet 0/0 ciscoasa(config-if)# ipv6 nd ra-interval 201 オプションの msec キーワードは、この値がミリ秒単位で指定されることを示します。このキーワードが存在しない場合、値は秒単位で指定されます。 value 引数の有効な値の範囲は 3 ~ 1800 秒、msec キーワードが指定されている場合は 500 ~ 1800000 ミリ秒です。デフォルトは 200 秒です。 ASA がデフォルト ルータとして設定されている場合、送信間隔は IPv6 ルータ アドバタイズメント ライフタイム以下にする必要があります。詳細については、ルータ ライフタイム値の設定を参照してください。他の IPv6 ノードと同期しないようにするには、使用する実際値を必要値の 20 % 以内にランダムに調整します。 |
ipv6 nd ra-lifetime [msec] value 例: ciscoasa(config)# interface gigabitethernet 0/0 ciscoasa(config-if)# ipv6 nd ra-lifetime 2000 |
ルータ アドバタイズメント メッセージは、ルータ送信要求メッセージへの応答として自動的に送信されます。ASA で IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを無効にできます。
インターフェイスでの IPv6 ルータ アドバタイズメントでルータ ライフタイム値を抑制するには、次の手順を実行します。
IPv6 ルータ アドバタイズメントにフラグを追加して、IPv6 アドレスや DNS サーバ アドレスなどの追加情報を取得するために DHCPv6 を使用するよう IPv6 自動設定クライアントに通知できます。
ステップ 1 | IPv6 ルータ アドバタイズメント パケットの管理対象アドレス設定フラグを設定します。
例: ciscoasa(config-if)# ipv6 nd managed-config-flag このフラグは、取得されるステートレス自動設定のアドレス以外のアドレスの取得に DHCPv6 を使用する必要があることを IPv6 自動設定クライアントに通知します。 |
ステップ 2 | IPv6 ルータ アドバタイズメント パケットのその他のアドレス設定フラグを設定します。
例: ciscoasa(config-if)# ipv6 nd other-config-flag このフラグは、DHCPv6 から DNS サーバ アドレスなどの追加情報の取得に DHCPv6 を使用する必要があることを IPv6 自動設定クライアントに通知します。 |
ipv6 nd prefix ipv6-prefix/prefix-length | default [[valid-lifetime preferred-lifetime] | [at valid-date preferred-date] | infinite | no-advertise | off-link | no-autoconfig] 例: ciscoasa(config)# interface gigabitethernet 0/0 ciscoasa(config-if)# ipv6 nd prefix 2001:DB8::/32 1000 900
|
ipv6 neighbor ipv6_address if_name mac_address 例: ciscoasa(config-if)# ipv6 neighbor 3001:1::45A inside 002.7D1A.9472 ipv6_address 引数にはネイバーのリンクローカル IPv6 アドレス、if_name 引数にはネイバーを使用可能にするためのインターフェイス、mac_address 引数にはネイバー インターフェイスの MAC アドレスを指定します。 |
ipv6 nd ns-interval、ipv6 nd ra-lifetime、ipv6 nd suppress-ra、ipv6 neighbor、ipv6 nd prefix、ipv6 nd dad-attempts、ipv6 nd reachable-time、ipv6 address、および ipv6 enforce-eui64 コマンドが導入されました。 |
||
コマンド ipv6 nd managed-config-flag、ipv6 nd other-config-flag が導入されました。 |