この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
IPv6 クライアント アドレス ラーニングを設定する前に、IPv6 をサポートするようにワイヤレス クライアントを設定します。
クライアント アドレス ラーニングは、アソシエーション、再アソシエーション、非認証、タイムアウト時に、ワイヤレス クライアントの IPv4 および IPv6 アドレス、スイッチによって維持されるクライアント遷移ステートについて学習するために、スイッチで設定されます。
IPv6 クライアントで IPv6 アドレスを取得するには、次の 3 つの方法があります。
これらの方法のいずれの場合も、IPv6 クライアントは常にネイバー送信要求 DAD(重複アドレス検出)要求を送信して、ネットワークに重複する IP アドレスがないようにします。 スイッチはクライアントの NDP および DHCPv6 パケットをスヌープして、そのクライアント IP アドレスについて学習します。
IPv6 クライアント アドレス割り当て用の最も一般的な方法は、ステートレス アドレス自動設定(SLAAC)です。 SLAAC はクライアントが IPv6 プレフィクスに基づいてアドレスを自己割り当てするシンプルなプラグ アンド プレイ接続を提供します。 このプロセスが実現しました。
次のように、ステートレス アドレス自動設定(SLAAC)は設定されています。
次の 2 種類のアルゴリズムに基づいて IPv6 アドレスの最後の 64 ビットが学習可能です。
Cisco 対応 IPv6 ルータからの次の Cisco IOS コンフィギュレーション コマンドを使用して、SLAAC のアドレッシングとルータ アドバタイズメントをイネーブルにします。
ipv6 unicast-routing interface Vlan20 description IPv6-SLAAC ip address 192.168.20.1 255.255.255.0 ipv6 address FE80:DB8:0:20::1 linklocal ipv6 address 2001:DB8:0:20::1/64 ipv6 enable end
DHCPv6 の使用は、SLAAC がすでに導入されている場合は、IPv6 クライアント接続で要求されません。 DHCPv6 にはステートレスおよびステートフルという 2 種類の動作モードがあります。
DHCPv6 ステートレス モードは、ルータ アドバタイズメントで使用できない追加のネットワーク情報をクライアントに提供するために使用しますが、これは IPv6 アドレスではありません。すでに SLAAC によって提供されているためです。 この情報には DNS ドメイン名、DNS サーバ、その他の DHCP ベンダー固有オプションを含めることができます。 このインターフェイス設定は、SLAAC をイネーブルにしてステートレス DHCPv6 を実装する Cisco IOS IPv6 ルータ用です。
ipv6 unicast-routing ipv6 dhcp pool IPV6_DHCPPOOL address prefix 2001:db8:5:10::/64 domain-name cisco.com dns-server 2001:db8:6:6::1 interface Vlan20 description IPv6-DHCP-Stateless ip address 192.168.20.1 255.255.255.0 ipv6 nd other-config-flag ipv6 dhcp server IPV6_DHCPPOOL ipv6 address 2001:DB8:0:20::1/64 end
マネージド モードとも呼ばれる DHCPv6 ステートフル オプションは、DHCPv4 に対して同じように動作します。つまり固有のアドレスを、SLAAC のとおりにアドレスの最後の 64 ビットを生成するクライアントではなく、それぞれのクライアントに割り当てます。 このインターフェイス設定は、ローカル Switchのステートフル DHCPv6 を実装している Cisco IOS IPv6 ルータ用です。
ipv6 unicast-routing ipv6 dhcp pool IPV6_DHCPPOOL address prefix 2001:db8:5:10::/64 domain-name cisco.com dns-server 2001:db8:6:6::1 interface Vlan20 description IPv6-DHCP-Stateful ip address 192.168.20.1 255.255.255.0 ipv6 address 2001:DB8:0:20::1/64 ipv6 nd prefix 2001:DB8:0:20::/64 no-advertise ipv6 nd managed-config-flag ipv6 nd other-config-flag ipv6 dhcp server IPV6_DHCPPOOL end
このインターフェイス設定は、外部 DHCP サーバのステートフル DHCPv6 を実装している Cisco IOS IPv6 ルータ用です。
ipv6 unicast-routing domain-name cisco.com dns-server 2001:db8:6:6::1 interface Vlan20 description IPv6-DHCP-Stateful ip address 192.168.20.1 255.255.255.0 ipv6 address 2001:DB8:0:20::1/64 ipv6 nd prefix 2001:DB8:0:20::/64 no-advertise ipv6 nd managed-config-flag ipv6 nd other-config-flag ipv6 dhcp_relay destination 2001:DB8:0:20::2 end
クライアントにスタティックに設定されたアドレス。
ルータ送信要求メッセージは、ローカル ルーティングに関する情報を入手できる、またはステートレス自動設定を設定できるルータ アドバタイズメントを送信するようにローカル ルータを促進するために、ホスト コントローラによって発行されます。 ルータ アドバタイズメントは定期的に送信され、起動時または再起動操作後などに、ホストはルータ送信要求を使用して即時ルータ アドバタイズメントを要求します。
ルータ アドバタイズメント メッセージは、ルータから定期的に送信されるか、ホストからのルータ送信要求メッセージへの応答として送信されます。 これらのメッセージに含まれる情報は、ホストでステートレス自動設定を実行し、ルーティング テーブルを変更するために使用されます。
IPv6 ネイバー ディスカバリとは、近隣のノード間の関係を決定するメッセージとプロセスのことです。 ネイバー ディスカバリは、IPv4 で使用されていた ARP、ICMP ルータ探索、および ICMP リダイレクトに代わるものです。
信頼できるバインディング テーブル データベースを構築するために、IPv6 ネイバー ディスカバリ検査によってネイバー ディスカバリ メッセージが分析され、準拠しない IPv6 ネイバー ディスカバリ パケットはドロップされます。 スイッチ内のネイバー バインディング テーブルでは、各 IPv6 アドレスと、アソシエートされた MAC アドレスが追跡されます。 クライアントは、ネイバー バインディング タイマーに従って、テーブルから消去されます。
ワイヤレス クライアントの IPv6 アドレスは、スイッチによってキャッシュされます。 スイッチが IPv6 アドレスを検索する NS マルチキャストを受信して、スイッチによって特定された目的のアドレスがクライアントのいずれかに属している場合、スイッチはクライアントに代わって NA メッセージで応答します。 このプロセスによって IPv4 のアドレス解決プロトコル(ARP)テーブルと同等のテーブルが生成されますが、より効率的であり、たいていの場合、使用されるメッセージは少なくなります。
(注) |
スイッチがプロキシのように動作し NA で応答するのは、ipv6 nd suppress コマンドが設定されている場合だけです。 |
スイッチにワイヤレス クライアントの IPv6 アドレスがない場合、スイッチは NA で応答せず、NS パケットをワイヤレス側に転送します。 この問題を解決するために、NS マルチキャスト フォワーディング ノブが用意されています。 このノブがイネーブルの場合、スイッチは存在しない(キャッシュ欠落)IPv6 アドレスの NS パケットを取得し、ワイヤレス側に転送します。 このパケットは、目的のワイヤレス クライアントに到達し、クライアントは NA で応答します。
このキャッシュ ミス シナリオが発生するのはまれで、完全な IPv6 スタックが実装されていないクライアントが、NDP 時にそれらの IPv6 アドレスをアドバタイズしない可能性はほとんどありません。
IPv6 クライアントは、IPv6 アドレスを設定し、IPv6 ルータ アドバタイズメント(RA)パケットに基づいてルータ テーブルにデータを入力します。 RA ガード機能は、有線ネットワークの RA ガード機能に類似しています。 RA ガードは、ワイヤレス クライアントから発信される不要な、または不正な RA パケットをドロップすることによって、IPv6 ネットワークのセキュリティを強化します。 この機能が設定されていないと、悪意のある IPv6 ワイヤレス クライアントが、多くの場合は高い優先順位で、それ自体をネットワークのルータとして通知する可能性があり、そのため、正規の IPv6 ルータよりも優先されることになります。
スイッチで作成された次の設定情報は、受信した RA フレームで検出された情報に対して検証するときに RA ガードで使用できます。
RA ガードはスイッチで行われます。 スイッチで RA メッセージをドロップするようにスイッチを設定できます。 すべての IPv6 RA メッセージがドロップされ、それによって他のワイヤレス クライアントおよびアップストリーム有線ネットワークが悪意のある IPv6 クライアントから保護されます。
//Create a policy for RA Guard// ipv6 nd raguard policy raguard-router trusted-port device-role router
//Applying the RA Guard Policy on port/interface// interface tengigabitethernet1/0/1 (Katana) interface gigabitethernet1/0/1 (Edison) ipv6 nd raguard attach-policy raguard-router
RA スロットリングは、コントローラがワイヤレス ネットワーク宛ての RA パケットを強制的に制限できるようにします。 RA スロットリングを有効にすることにより、多数の RA パケットを送信するルータを最小限の頻度に調整することができ、その場合も IPv6 クライアントの接続は維持されます。 クライアントが RS パケットを送信すると、RA がクライアントに返送されます。 この RA は、コントローラを通過でき、クライアントにユニキャストされます。 このプロセスによって、新しいクライアントやローミング クライアントが RA スロットリングの影響を受けないようにすることができます。
IPv6 ユニキャストはスイッチとコントローラで常にイネーブルにする必要があります。 IPv6 ユニキャスト ルーティングはディセーブルに設定されています。
IPv6 ユニキャスト データグラムの転送をイネーブルにするには、グローバル コンフィギュレーション モードで ipv6 unicast-routing コマンドを使用します。 IPv6 ユニキャスト データグラムの転送をディセーブルにするには、このコマンドの no 形式を使用します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal 例: Switch# configure terminal |
|
ステップ 2 | ipv6 unicast routing 例: Switch (config)# ipv6 unicast routing |
IPv6 ユニキャスト データグラムの転送をイネーブルにします。 |
IPv6 クライアント アドレスを追加し、IPv6 ルータ アドバタイズメント パケットに基づいてルータ テーブルに入力するには、スイッチで RA ガード ポリシーを設定します。
2. ipv6 nd raguard policy raguard-router
3. trustedport
4. device-role router
5. exit
スイッチで RA ガード ポリシーを適用すると、すべての信頼できない RA がブロックされます。
2. interface tengigabitethernet 1/0/1
3. ipv6 nd raguard attach-policy raguard-router
4. exit
強制的に制限できるように RA スロットル ポリシーを設定します。
2. ipv6 nd ra-throttler policy ra-throttler1
3. throttleperiod500
4. max-through10
5. allow-atleast 5 at-most 10
VLAN に RA スロットル ポリシーを適用します。 RA スロットリングを有効にすることにより、多数の RA パケットを送信するルータを最小限の頻度に調整することができ、その場合も IPv6 クライアントの接続は維持されます。
IPv6 スヌーピングはスイッチとコントローラで常にイネーブルにする必要があります。
クライアント マシンで IPv6 をイネーブルにします。
1. vlan configuration 1
2. ipv6 snooping
3. ipv6 nd suppress
4. exit
IPv6 ネイバー探索(ND)マルチキャスト抑制機能では、ドロップする(およびターゲットに代わって送信要求に応答する)、またはユニキャスト トラフィックに変換することで、できるだけ多くの ND マルチキャスト ネイバー送信要求(NS)メッセージを停止します。 この機能は、レイヤ 2 スイッチまたはワイヤレス コントローラで実行され、適切なリンクの処理に必要な制御トラフィックの量を減らすために使用されます。
アドレスがバインディング テーブルに挿入されると、マルチキャスト アドレスに送信されたアドレス解決要求が代行受信され、デバイスはアドレスの所有者に代わって応答するか、レイヤ 2 で要求をユニキャスト メッセージに変換して宛先に転送します。
ネイバー探索(ND)抑制は、VLAN またはスイッチ ポートでイネーブルまたはディセーブルにできます。
1. vlan config901
2. ipv6 nd suppress
3. end
4. interface gi1/0/1
5. ipv6 nd suppress
6. end
インターフェイス上の IPv6 を設定するには、この設定例を使用します。
クライアント上の IPv6 および有線インフラストラクチャ上の IPv6 サポートをイネーブルにします。
1. interface vlan 1
2. ip address fe80::1 link-local
3. ipv6 enable
4. end
1. ipv6 dhcp pool Vlan21
2. address prefix 2001:DB8:0:1:FFFF:1234::/64 lifetime 300 10
3. dns-server 2001:100:0:1::1
4. domain-name example.com
5. end
1. interface vlan 1
2. ip address fe80::1 link-local
3. ipv6 enable
4. no ipv6 nd managed-config-flag
5. no ipv6 nd other-config-flag
6. end
1. interface vlan 1
2. ip address fe80::1 link-local
3. ipv6 enable
4. no ipv6 nd managed-config-flag
5. ipv6 nd other-config-flag
6. end
このインターフェイス設定は、ローカル Switchのステートフル DHCPv6 を実装している Cisco IOS IPv6 ルータ用です。
2. ipv6 unicast-routing
3. ipv6 dhcp pool IPv6_DHCPPOOL
4. address prefix 2001:DB8:0:1:FFFF:1234::/64
5. dns-server 2001:100:0:1::1
6. domain-name example.com
7. exit
8. interface vlan1
9. description IPv6-DHCP-Stateful
10. ipv6 address 2001:DB8:0:20::1/64
11. ip address 192.168.20.1 255.255.255.0
12. ipv6 nd prefix 2001:db8::/64 no-advertise
13. ipv6 nd managed-config-flag
14. ipv6 nd other-config-flag
15. ipv6 dhcp server IPv6_DHCPPOOL
このインターフェイス設定は、外部 DHCP サーバのステートフル DHCPv6 を実装している Cisco IOS IPv6 ルータ用です。
2. ipv6 unicast-routing
3. dns-server 2001:100:0:1::1
4. domain-name example.com
5. exit
6. interface vlan1
7. description IPv6-DHCP-Stateful
8. ipv6 address 2001:DB8:0:20::1/64
9. ip address 192.168.20.1 255.255.255.0
10. ipv6 nd prefix 2001:db8::/64 no-advertise
11. ipv6 nd managed-config-flag
12. ipv6 nd other-config-flag
13. ipv6 dhcp_relaydestination 2001:DB8:0:20::2
Switchに関連づけられた IPv6 クライアントを表示する方法
次に、show ipv6 dhcp pool コマンドの出力例を示します。 このコマンドは、スイッチ上の IPv6 サービス設定を表示します。 vlan 21 の設定済みプールの詳細には、プールからアドレスを現在使用している 6 つのクライアントが表示されます。
1. show ipv6 dhcp pool
関連項目 | マニュアル タイトル |
---|---|
IPv6 コマンド リファレンス | IPv6 Command Reference (Catalyst 3850 Switches) |
IP コマンド リファレンス | IP Command Reference (Catalyst 3850 Switches) |
説明 | リンク |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
MIB | MIB のリンク |
---|---|
本リリースでサポートするすべての MIB | 選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB のダウンロードには、次の URL にある Cisco MIB Locator を使用します。 |
説明 | Link |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングに役立てていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
機能 |
リリース |
変更内容 |
---|---|---|
IPv6 クライアント アドレス ラーニング機能 |
Cisco IOS XE 3.2SE |
この機能が導入されました。 |
目次
クライアント アドレス ラーニングは、アソシエーション、再アソシエーション、非認証、タイムアウト時に、ワイヤレス クライアントの IPv4 および IPv6 アドレス、スイッチによって維持されるクライアント遷移ステートについて学習するために、スイッチで設定されます。
IPv6 クライアントで IPv6 アドレスを取得するには、次の 3 つの方法があります。
これらの方法のいずれの場合も、IPv6 クライアントは常にネイバー送信要求 DAD(重複アドレス検出)要求を送信して、ネットワークに重複する IP アドレスがないようにします。 スイッチはクライアントの NDP および DHCPv6 パケットをスヌープして、そのクライアント IP アドレスについて学習します。
IPv6 クライアント アドレス割り当て用の最も一般的な方法は、ステートレス アドレス自動設定(SLAAC)です。 SLAAC はクライアントが IPv6 プレフィクスに基づいてアドレスを自己割り当てするシンプルなプラグ アンド プレイ接続を提供します。 このプロセスが実現しました。
次のように、ステートレス アドレス自動設定(SLAAC)は設定されています。
次の 2 種類のアルゴリズムに基づいて IPv6 アドレスの最後の 64 ビットが学習可能です。
Cisco 対応 IPv6 ルータからの次の Cisco IOS コンフィギュレーション コマンドを使用して、SLAAC のアドレッシングとルータ アドバタイズメントをイネーブルにします。
ipv6 unicast-routing interface Vlan20 description IPv6-SLAAC ip address 192.168.20.1 255.255.255.0 ipv6 address FE80:DB8:0:20::1 linklocal ipv6 address 2001:DB8:0:20::1/64 ipv6 enable end
DHCPv6 の使用は、SLAAC がすでに導入されている場合は、IPv6 クライアント接続で要求されません。 DHCPv6 にはステートレスおよびステートフルという 2 種類の動作モードがあります。
DHCPv6 ステートレス モードは、ルータ アドバタイズメントで使用できない追加のネットワーク情報をクライアントに提供するために使用しますが、これは IPv6 アドレスではありません。すでに SLAAC によって提供されているためです。 この情報には DNS ドメイン名、DNS サーバ、その他の DHCP ベンダー固有オプションを含めることができます。 このインターフェイス設定は、SLAAC をイネーブルにしてステートレス DHCPv6 を実装する Cisco IOS IPv6 ルータ用です。
ipv6 unicast-routing ipv6 dhcp pool IPV6_DHCPPOOL address prefix 2001:db8:5:10::/64 domain-name cisco.com dns-server 2001:db8:6:6::1 interface Vlan20 description IPv6-DHCP-Stateless ip address 192.168.20.1 255.255.255.0 ipv6 nd other-config-flag ipv6 dhcp server IPV6_DHCPPOOL ipv6 address 2001:DB8:0:20::1/64 end
マネージド モードとも呼ばれる DHCPv6 ステートフル オプションは、DHCPv4 に対して同じように動作します。つまり固有のアドレスを、SLAAC のとおりにアドレスの最後の 64 ビットを生成するクライアントではなく、それぞれのクライアントに割り当てます。 このインターフェイス設定は、ローカル Switchのステートフル DHCPv6 を実装している Cisco IOS IPv6 ルータ用です。
ipv6 unicast-routing ipv6 dhcp pool IPV6_DHCPPOOL address prefix 2001:db8:5:10::/64 domain-name cisco.com dns-server 2001:db8:6:6::1 interface Vlan20 description IPv6-DHCP-Stateful ip address 192.168.20.1 255.255.255.0 ipv6 address 2001:DB8:0:20::1/64 ipv6 nd prefix 2001:DB8:0:20::/64 no-advertise ipv6 nd managed-config-flag ipv6 nd other-config-flag ipv6 dhcp server IPV6_DHCPPOOL end
このインターフェイス設定は、外部 DHCP サーバのステートフル DHCPv6 を実装している Cisco IOS IPv6 ルータ用です。
ipv6 unicast-routing domain-name cisco.com dns-server 2001:db8:6:6::1 interface Vlan20 description IPv6-DHCP-Stateful ip address 192.168.20.1 255.255.255.0 ipv6 address 2001:DB8:0:20::1/64 ipv6 nd prefix 2001:DB8:0:20::/64 no-advertise ipv6 nd managed-config-flag ipv6 nd other-config-flag ipv6 dhcp_relay destination 2001:DB8:0:20::2 end
ルータ送信要求メッセージは、ローカル ルーティングに関する情報を入手できる、またはステートレス自動設定を設定できるルータ アドバタイズメントを送信するようにローカル ルータを促進するために、ホスト コントローラによって発行されます。 ルータ アドバタイズメントは定期的に送信され、起動時または再起動操作後などに、ホストはルータ送信要求を使用して即時ルータ アドバタイズメントを要求します。
ルータ アドバタイズメント メッセージは、ルータから定期的に送信されるか、ホストからのルータ送信要求メッセージへの応答として送信されます。 これらのメッセージに含まれる情報は、ホストでステートレス自動設定を実行し、ルーティング テーブルを変更するために使用されます。
IPv6 ネイバー ディスカバリとは、近隣のノード間の関係を決定するメッセージとプロセスのことです。 ネイバー ディスカバリは、IPv4 で使用されていた ARP、ICMP ルータ探索、および ICMP リダイレクトに代わるものです。
信頼できるバインディング テーブル データベースを構築するために、IPv6 ネイバー ディスカバリ検査によってネイバー ディスカバリ メッセージが分析され、準拠しない IPv6 ネイバー ディスカバリ パケットはドロップされます。 スイッチ内のネイバー バインディング テーブルでは、各 IPv6 アドレスと、アソシエートされた MAC アドレスが追跡されます。 クライアントは、ネイバー バインディング タイマーに従って、テーブルから消去されます。
ワイヤレス クライアントの IPv6 アドレスは、スイッチによってキャッシュされます。 スイッチが IPv6 アドレスを検索する NS マルチキャストを受信して、スイッチによって特定された目的のアドレスがクライアントのいずれかに属している場合、スイッチはクライアントに代わって NA メッセージで応答します。 このプロセスによって IPv4 のアドレス解決プロトコル(ARP)テーブルと同等のテーブルが生成されますが、より効率的であり、たいていの場合、使用されるメッセージは少なくなります。
(注) |
スイッチがプロキシのように動作し NA で応答するのは、ipv6 nd suppress コマンドが設定されている場合だけです。 |
スイッチにワイヤレス クライアントの IPv6 アドレスがない場合、スイッチは NA で応答せず、NS パケットをワイヤレス側に転送します。 この問題を解決するために、NS マルチキャスト フォワーディング ノブが用意されています。 このノブがイネーブルの場合、スイッチは存在しない(キャッシュ欠落)IPv6 アドレスの NS パケットを取得し、ワイヤレス側に転送します。 このパケットは、目的のワイヤレス クライアントに到達し、クライアントは NA で応答します。
このキャッシュ ミス シナリオが発生するのはまれで、完全な IPv6 スタックが実装されていないクライアントが、NDP 時にそれらの IPv6 アドレスをアドバタイズしない可能性はほとんどありません。
IPv6 クライアントは、IPv6 アドレスを設定し、IPv6 ルータ アドバタイズメント(RA)パケットに基づいてルータ テーブルにデータを入力します。 RA ガード機能は、有線ネットワークの RA ガード機能に類似しています。 RA ガードは、ワイヤレス クライアントから発信される不要な、または不正な RA パケットをドロップすることによって、IPv6 ネットワークのセキュリティを強化します。 この機能が設定されていないと、悪意のある IPv6 ワイヤレス クライアントが、多くの場合は高い優先順位で、それ自体をネットワークのルータとして通知する可能性があり、そのため、正規の IPv6 ルータよりも優先されることになります。
スイッチで作成された次の設定情報は、受信した RA フレームで検出された情報に対して検証するときに RA ガードで使用できます。
RA ガードはスイッチで行われます。 スイッチで RA メッセージをドロップするようにスイッチを設定できます。 すべての IPv6 RA メッセージがドロップされ、それによって他のワイヤレス クライアントおよびアップストリーム有線ネットワークが悪意のある IPv6 クライアントから保護されます。
//Create a policy for RA Guard// ipv6 nd raguard policy raguard-router trusted-port device-role router
//Applying the RA Guard Policy on port/interface// interface tengigabitethernet1/0/1 (Katana) interface gigabitethernet1/0/1 (Edison) ipv6 nd raguard attach-policy raguard-router
RA スロットリングは、コントローラがワイヤレス ネットワーク宛ての RA パケットを強制的に制限できるようにします。 RA スロットリングを有効にすることにより、多数の RA パケットを送信するルータを最小限の頻度に調整することができ、その場合も IPv6 クライアントの接続は維持されます。 クライアントが RS パケットを送信すると、RA がクライアントに返送されます。 この RA は、コントローラを通過でき、クライアントにユニキャストされます。 このプロセスによって、新しいクライアントやローミング クライアントが RA スロットリングの影響を受けないようにすることができます。
IPv6 ユニキャスト データグラムの転送をイネーブルにするには、グローバル コンフィギュレーション モードで ipv6 unicast-routing コマンドを使用します。 IPv6 ユニキャスト データグラムの転送をディセーブルにするには、このコマンドの no 形式を使用します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal 例: Switch# configure terminal |
|
ステップ 2 | ipv6 unicast routing 例: Switch (config)# ipv6 unicast routing |
IPv6 ユニキャスト データグラムの転送をイネーブルにします。 |
2. ipv6 nd raguard policy raguard-router
3. trustedport
4. device-role router
5. exit
2. interface tengigabitethernet 1/0/1
3. ipv6 nd raguard attach-policy raguard-router
4. exit
2. ipv6 nd ra-throttler policy ra-throttler1
3. throttleperiod500
4. max-through10
5. allow-atleast 5 at-most 10
VLAN に RA スロットル ポリシーを適用します。 RA スロットリングを有効にすることにより、多数の RA パケットを送信するルータを最小限の頻度に調整することができ、その場合も IPv6 クライアントの接続は維持されます。
1. vlan configuration 1
2. ipv6 snooping
3. ipv6 nd suppress
4. exit
IPv6 ネイバー探索(ND)マルチキャスト抑制機能では、ドロップする(およびターゲットに代わって送信要求に応答する)、またはユニキャスト トラフィックに変換することで、できるだけ多くの ND マルチキャスト ネイバー送信要求(NS)メッセージを停止します。 この機能は、レイヤ 2 スイッチまたはワイヤレス コントローラで実行され、適切なリンクの処理に必要な制御トラフィックの量を減らすために使用されます。
アドレスがバインディング テーブルに挿入されると、マルチキャスト アドレスに送信されたアドレス解決要求が代行受信され、デバイスはアドレスの所有者に代わって応答するか、レイヤ 2 で要求をユニキャスト メッセージに変換して宛先に転送します。
1. vlan config901
2. ipv6 nd suppress
3. end
4. interface gi1/0/1
5. ipv6 nd suppress
6. end
1. interface vlan 1
2. ip address fe80::1 link-local
3. ipv6 enable
4. end
1. ipv6 dhcp pool Vlan21
2. address prefix 2001:DB8:0:1:FFFF:1234::/64 lifetime 300 10
3. dns-server 2001:100:0:1::1
4. domain-name example.com
5. end
1. interface vlan 1
2. ip address fe80::1 link-local
3. ipv6 enable
4. no ipv6 nd managed-config-flag
5. no ipv6 nd other-config-flag
6. end
1. interface vlan 1
2. ip address fe80::1 link-local
3. ipv6 enable
4. no ipv6 nd managed-config-flag
5. ipv6 nd other-config-flag
6. end
2. ipv6 unicast-routing
3. ipv6 dhcp pool IPv6_DHCPPOOL
4. address prefix 2001:DB8:0:1:FFFF:1234::/64
5. dns-server 2001:100:0:1::1
6. domain-name example.com
7. exit
8. interface vlan1
9. description IPv6-DHCP-Stateful
10. ipv6 address 2001:DB8:0:20::1/64
11. ip address 192.168.20.1 255.255.255.0
12. ipv6 nd prefix 2001:db8::/64 no-advertise
13. ipv6 nd managed-config-flag
14. ipv6 nd other-config-flag
15. ipv6 dhcp server IPv6_DHCPPOOL
2. ipv6 unicast-routing
3. dns-server 2001:100:0:1::1
4. domain-name example.com
5. exit
6. interface vlan1
7. description IPv6-DHCP-Stateful
8. ipv6 address 2001:DB8:0:20::1/64
9. ip address 192.168.20.1 255.255.255.0
10. ipv6 nd prefix 2001:db8::/64 no-advertise
11. ipv6 nd managed-config-flag
12. ipv6 nd other-config-flag
13. ipv6 dhcp_relaydestination 2001:DB8:0:20::2
次に、show ipv6 dhcp pool コマンドの出力例を示します。 このコマンドは、スイッチ上の IPv6 サービス設定を表示します。 vlan 21 の設定済みプールの詳細には、プールからアドレスを現在使用している 6 つのクライアントが表示されます。
1. show ipv6 dhcp pool
説明 | リンク |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
説明 | Link |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングに役立てていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |