シームレスな IPv6 モビリティの設定

IPv6 モビリティを設定するための前提条件

  • クライアントごとに最大 8 個のクライアント アドレスを追跡できます。

  • ステートフル DHCPv6 IP アドレス指定を正常に動作させるには、DHCPv6 サーバとして機能するように設定された、DHCP for IPv6 機能をサポートするスイッチまたはルータを設置する必要があります。または、組み込みの DHCPv6 サーバを備えた、Windows 2008 サーバなどの専用サーバが必要です。

シームレスな IPv6 モビリティをサポートするには、次の設定が必要になる場合があります。

  • IPv6 クライアントのための RA ガードの設定

  • IPv6 クライアントのための RA スロットリングの設定

  • IPv6 ネイバー ディスカバリ キャッシングの設定

IPv6 モビリティの設定に関する制約事項

  • クライアントは、スタティック ステートレス自動設定(Windows XP クライアントなど)またはステートフル DHCPv6 IP アドレス指定(Windows Vista クライアントなど)のいずれかで IPv6 をサポートする必要があります。


    (注)  

    現在、DHCPv6 は Windows Vista クライアントでの使用についてのみサポートされています。 これらのクライアントについては、VLAN がクライアントによって変更された後で DHCPv6 IP アドレスを手動で更新する必要があります。


    (注)  

    IPv6 のダイナミック VLAN 機能はサポートされていません。

  • タグなしインターフェイスにマッピングされている WLAN に関連付けられた IPv6 クライアントが、タグなしインターフェイスにマッピングされている別の WLAN にローミングすることはサポートされていません。

  • 7.4 リリースでは、同じモビリティ グループ、同じ VLAN ID、および異なる IPv4 および IPv6 サブネットがある WLC は、それぞれの IPv6 ルータ アドバタイズメントを生成します。 これらの WLC の WLAN は、すべてのコントローラで同じ VLAN ID を持つ同じ動的インターフェイスに割り当てられます。 クライアントは正しい IPv4 アドレスを受信します。ただし他の WLC に到達する別のサブネットからルータ アドバタイズメントを受信します。 クライアントに最初に渡された IPv6 アドレスが IPv4 アドレスのサブネットに一致しないため、クライアントからのトラフィックがないという問題が生じる可能性があります。 これを解決するために、異なるモビリティ グループの WLC を設定できます。


    (注)  
    IPv6 モビリティ ピアの追加または削除時に、トラフィックをバイパスするための SSH ルールが 16666 ポートおよびモビリティ ピアの IP ペアに適用されます。

IPv6 モビリティについて

インターネット プロトコル バージョン 6(IPv6)は、プロトコルの TCP/IP スイートのバージョン 4(IPv4)の後継となることを意図された次世代のネットワーク層インターネット プロトコルです。 この新しいバージョンでは、一意なグローバル IP アドレスを必要とするユーザとアプリケーションを収容するためのインターネット グローバル アドレス空間が拡張されています。 IPv6 は、128 ビットの送信元アドレスおよび宛先アドレスを組み込むことにより、32 ビットの IPv4 アドレスよりも格段に多くのアドレスを提供します。

コントローラをまたいだ IPv6 クライアントをサポートするには、IPv6 クライアントが同じレイヤ 3 ネットワーク上にとどまるように、ICMPv6 メッセージを特別に処理する必要があります。 コントローラは、ICMPv6 メッセージを代行受信することで IPv6 クライアントを追跡し、シームレスなモビリティを提供して、ネットワーク攻撃からネットワークを保護します。 ICMPv6 パケットは、マルチキャストからユニキャストに変換され、クライアントごとに個別に配信されます。 このプロセスによって、より詳細な制御が可能になります。 特定のクライアントは、特定のネイバー ディスカバリ パケットおよびルータ アドバタイズメント パケットを受信することで IPv6 アドレス指定が適切であることを確認し、不要なマルチキャスト トラフィックを回避します。

IPv6 モビリティの設定は、IPv4 モビリティと同一であり、シームレスなローミングを実現するためにクライアント側で別個のソフトウェアを使用する必要はありません。 コントローラは、同じモビリティ グループに属している必要があります。 IPv4 と IPv6 の両クライアント モビリティが、デフォルトで有効になります。

IPv6 のグローバルな設定

IPv6 のグローバルな設定(GUI)

    ステップ 1   [Controller] > [General] を選択します。
    ステップ 2   [Global IPv6 Config] ドロップダウン リストから、[Enabled] または [Disabled] を選択します。
    ステップ 3   [Apply] をクリックします。
    ステップ 4   [Save Configuration] をクリックします。

    IPv6 のグローバルな設定(CLI)

    IPv6 をグローバルに設定するには、次のコマンドを使用します。

    • 次のコマンドを入力して、IPv6 をグローバルに有効または無効にします。

      config ipv6 {enable | disable}

    IPv6 クライアントのための RA ガードの設定

    RA ガードについて

    IPv6 クライアントは、IPv6 アドレスを設定し、IPv6 ルータ アドバタイズメント(RA)パケットに基づいてルータ テーブルにデータを入力します。 RA ガード機能は、有線ネットワークの RA ガード機能に類似しています。 RA ガードは、ワイヤレス クライアントから発信される不要な、または不正な RA パケットをドロップすることによって、IPv6 ネットワークのセキュリティを強化します。 この機能が設定されていないと、悪意のある IPv6 クライアントが、それ自体をネットワークのルータとして通知する可能性があり、そのため、正規の IPv6 ルータよりも優先されることになります。

    RA ガードは、コントローラで実行されます。 アクセス ポイントまたはコントローラで RA メッセージをドロップするように、コントローラを設定できます。 デフォルトでは、RA ガードはアクセス ポイントで設定され、コントローラでも有効になります。 すべての IPv6 RA メッセージがドロップされ、それによって他のワイヤレス クライアントおよびアップストリーム有線ネットワークが悪意のある IPv6 クライアントから保護されます。


    (注)  
    RA ガードは、FlexConnect ローカル スイッチング モードでもサポートされています。

    RA ガードの設定(GUI)

      ステップ 1   [Controller] > [IPv6] > [RA Guard] を選択して、[IPv6 RA Guard] ページを開きます。 デフォルトでは、[IPv6 RA Guard on AP] が有効になります。
      ステップ 2   RA ガードを無効にするには、ドロップダウン リストから、[Disable] を選択します。 コントローラは、RA パケットの送信側として識別されたクライアントも表示します。
      ステップ 3   [Apply] をクリックして、変更を確定します。
      ステップ 4   [Save Configuration] をクリックして、変更を保存します。

      RA ガードの設定(CLI)

      RA ガードを設定するには、次のコマンドを使用します。

      config ipv6 ra-guard ap {enable | disable}

      IPv6 クライアントのための RA スロットリングの設定

      RA スロットリングについて

      RA スロットリングは、コントローラがワイヤレス ネットワーク宛ての RA パケットを強制的に制限できるようにします。 RA スロットリングを有効にすることにより、多数の RA パケットを送信するルータを最小限の頻度に調整することができ、その場合も IPv6 クライアントの接続は維持されます。 クライアントが RS パケットを送信すると、RA がクライアントに返送されます。 これは、コントローラを通過でき、クライアントにユニキャストされます。 このプロセスによって、新しいクライアントやローミング クライアントが RA スロットリングの影響を受けないようにすることができます。

      RA スロットリングの設定(GUI)

        ステップ 1   [Controll] > [IPv6] > [RA Throttle Policy] ページを選択します。 デフォルトでは、[IPv6 RA Throttle Policy] が無効になります。 このチェックボックスをオフにして、RA スロットリング ポリシーを無効にします。
        ステップ 2   次のパラメータを設定します。

        • [Throttle period]:スロットリングの期間。 RA スロットリングは、VLAN に対する [Max Through] 制限に達した後、または特定のルータに対する [Allow At-Most] 値に達した後にのみ実行されます。 範囲は 10 ~ 86400 秒です。 デフォルトは 600 秒です。

        • [Max Through]:スロットリングが実行される前に送信可能な、VLAN 上の RA パケットの最大数。 [No Limit] オプションは、スロットリングを使用せずに、無制限の RA パケット数を許可します。 範囲は 0 ~ 256 RA パケットです。 デフォルトは 10 RA パケットです。

        • [Interval Option]:このオプションは、IPv6 RA パケットに設定された RFC 3775 値に基づいた、さまざまなコントローラの動作を許可します。

          • [Passthrough]:RFC 3775 インターバル オプションが指定された RA メッセージが、スロットリングなしで通過することを許可します。

          • [Ignore]:RA スロットルが、インターバル オプションの指定されたパケットを通常の RA として処理し、有効である場合はスロットリングが適用されるようにします。

          • [Throttle]:インターバル オプションが指定された RA パケットに、常にレート制限が適用されるようにします。

        • [Allow At-least]:スロットリングが実行される前にマルチキャストとして送信できる、ルータごとの RA パケットの最小数。 範囲は 0 ~ 32 RA パケットです。

        • [Allow At-most]:スロットリングが実行される前にマルチキャストとして送信できる、ルータごとの RA パケットの最大数。 [No Limit] オプションは、ルータの通過する無制限の RA パケット数を許可します。 範囲は 0 ~ 256 RA パケットです。

          (注)     

          RA スロットリングが実行されると、最初の IPv6 対応ルータのみの通過が許可されます。 異なるルータが複数の IPv6 プレフィックスを処理しているネットワークについては、RA スロットリングを無効にしてください。

        ステップ 3   [Apply] をクリックして、変更を確定します。
        ステップ 4   [Save Configuration] をクリックして、変更を保存します。

        RA スロットル ポリシーの設定(CLI)

        RA スロットル ポリシーを設定するには、次のコマンドを使用します。

        config ipv6 neigbhor-binding ra-throttle {allow at-least at-least-value | enable | disable | interval-option { ignore | passthrough | throttle} | max-through {max-through-value | no-limit}

        IPv6 ネイバー ディスカバリ キャッシングの設定

        IPv6 ネイバー ディスカバリについて

        IPv6 ネイバー ディスカバリとは、近隣のノード間の関係を決定するメッセージとプロセスのことです。 ネイバー ディスカバリは、IPv4 で使用されていた ARP、ICMP ルータ探索、および ICMP リダイレクトに代わるものです。

        信頼できるバインディング テーブル データベースを構築するために、IPv6 ネイバー ディスカバリ検査によってネイバー ディスカバリ メッセージが分析され、準拠しない IPv6 ネイバー ディスカバリ パケットはドロップされます。 コントローラ内のネイバー バインディング テーブルでは、各 IPv6 アドレスと、アソシエートされた MAC アドレスが追跡されます。 クライアントは、ネイバー バインディング タイマーに従って、テーブルから消去されます。

        ネイバー バインディングの設定(GUI)

          ステップ 1   [Controller] > [IPv6] > [Neighbor Binding] ページを選択します。
          ステップ 2   次を設定します。

          • [Down–Lifetime]:インターフェイスがダウンした場合に、IPv6 キャッシュ エントリを保持する時間を指定します。 範囲は 0 ~ 86400 秒です。

          • [Reachable–Lifetime]:IPv6 アドレスがアクティブである時間を指定します。 範囲は 0 ~ 86400 秒です。

          • [Stale–Lifetime]:IPv6 アドレスをキャッシュに保持する時間を指定します。 範囲は 0 ~ 86400 秒です。

          ステップ 3   [Unknown Address Multicast NS Forwarding] を有効または無効にします。
          ステップ 4   [NA Multicast Forwarding] を有効または無効にします。

          [NA Multicast Forwarding] を有効にすると、有線/無線からのすべての未承認マルチキャスト NA は無線に転送されません。

          ステップ 5   [Apply] をクリックします。
          ステップ 6   [Save Configuration] をクリックします。

          ネイバー バインディングの設定(CLI)

          • 次のコマンドを入力して、ネイバー バインディング パラメータを設定します。 config ipv6 neighbor-binding timers {down-lifetime | reachable-lifetime | stale-lifetime} {enable | disable}

          • 次のコマンドを入力して、不明なアドレス マルチキャスト NS の転送を設定します。

            config ipv6 ns-mcast-fwd {enable | disable}

          • 次のコマンドを入力して、NA マルチキャストの転送を設定します。

            config ipv6 na-mcast-fwd {enable | disable}

            [NA Multicast Forwarding] を有効にすると、有線/無線からのすべての未承認マルチキャスト NA は無線に転送されません。