IPv6 クライアント アドレス ラーニングについて
クライアント アドレス ラーニングは、アソシエーション、再アソシエーション、非認証、タイムアウト時に、ワイヤレス クライアントの IPv4 および IPv6 アドレス、deviceによって維持されるクライアント遷移ステートについて学習するために、deviceで設定されます。
IPv6 クライアントで IPv6 アドレスを取得するには、次の 3 つの方法があります。
-
ステートレス アドレス自動設定(SLACC)
-
ステートフル DHCPv6
-
静的設定
これらの方法のいずれの場合も、IPv6 クライアントは常にネイバー送信要求 DAD(重複アドレス検出)要求を送信して、ネットワークに重複する IP アドレスがないようにします。deviceはクライアントの NDP および DHCPv6 パケットをスヌープして、そのクライアント IP アドレスについて学習します。
(注) |
AP は IPv6 スタティック アドレスでのみ IPv6 コントローラに接続できます。自動設定を備え、複数の IPv6 アドレスを持つ AP は、IPv6 コントローラに接続できません。 |
SLAAC アドレス割り当て
IPv6 クライアント アドレス割り当て用の最も一般的な方法は、ステートレス アドレス自動設定(SLAAC)です。SLAAC はクライアントが IPv6 プレフィクスに基づいてアドレスを自己割り当てするシンプルなプラグ アンド プレイ接続を提供します。このプロセスが実現しました。
次のように、ステートレス アドレス自動設定(SLAAC)は設定されています。
-
ホストは、ルータ送信要求メッセージを送信します。
-
ホストは、ルータ アドバタイズメント メッセージを待機します。
-
ホストは、ルータ アドバタイズメント メッセージから IPv6 プレフィックスの最初の 64 ビットを取得し、これを 64 ビット EUI-64 アドレス(イーサネットの場合、MAC アドレスから作成されます)と組み合わせて、グローバル ユニキャスト メッセージを作成します。ホストは、デフォルト ゲートウェイとして、ルータ アドバタイズメント メッセージの IP ヘッダーに含まれる送信元 IP アドレスも使用します。
-
重複アドレス検出は、選択されるランダム アドレスが他のクライアントと重複しないように、IPv6 クライアントによって実行されます。
-
アルゴリズムの選択はクライアントに依存し、多くの場合は設定できます。
次の 2 種類のアルゴリズムに基づいて IPv6 アドレスの最後の 64 ビットが学習可能です。
-
インターフェイスの MAC アドレスに基づく EUI-64、または
-
ランダムに生成されるプライベート アドレス。
Cisco 対応 IPv6 ルータからの次の Cisco IOS コンフィギュレーション コマンドを使用して、SLAAC のアドレッシングとルータ アドバタイズメントをイネーブルにします。
ipv6 unicast-routing
interface Vlan20
description IPv6-SLAAC
ip address 192.168.20.1 255.255.255.0
ipv6 address FE80:DB8:0:20::1 linklocal
ipv6 address 2001:DB8:0:20::1/64
ipv6 enable
end
ステートフル DHCPv6 アドレス割り当て
DHCPv6 の使用は、SLAAC がすでに導入されている場合は、IPv6 クライアント接続で要求されません。DHCPv6 にはステートレスおよびステートフルという 2 種類の動作モードがあります。
DHCPv6 ステートレス モードは、ルータ アドバタイズメントで使用できない追加のネットワーク情報をクライアントに提供するために使用しますが、これは IPv6 アドレスではありません。すでに SLAAC によって提供されているためです。この情報には DNS ドメイン名、DNS サーバ、その他の DHCP ベンダー固有オプションを含めることができます。このインターフェイス設定は、SLAAC をイネーブルにしてステートレス DHCPv6 を実装する Cisco IOS IPv6 ルータ用です。
ipv6 unicast-routing
ipv6 dhcp pool IPV6_DHCPPOOL
address prefix 2001:db8:5:10::/64
domain-name cisco.com
dns-server 2001:db8:6:6::1
interface Vlan20
description IPv6-DHCP-Stateless
ip address 192.168.20.1 255.255.255.0
ipv6 nd other-config-flag
ipv6 dhcp server IPV6_DHCPPOOL
ipv6 address 2001:DB8:0:20::1/64
end
静的 IP アドレス割り当て
クライアントにスタティックに設定されたアドレス。
ルータ要求
ルータ送信要求メッセージは、ローカル ルーティングに関する情報を入手できる、またはステートレス自動設定を設定できるルータ アドバタイズメントを送信するようにローカル ルータを促進するために、ホスト コントローラによって発行されます。ルータ アドバタイズメントは定期的に送信され、起動時または再起動操作後などに、ホストはルータ送信要求を使用して即時ルータ アドバタイズメントを要求します。
Router Advertisement
ルータ アドバタイズメント メッセージは、ルータから定期的に送信されるか、ホストからのルータ送信要求メッセージへの応答として送信されます。これらのメッセージに含まれる情報は、ホストでステートレス自動設定を実行し、ルーティング テーブルを変更するために使用されます。
ネイバー探索
IPv6 ネイバー ディスカバリとは、近隣のノード間の関係を決定するメッセージとプロセスのことです。ネイバー ディスカバリは、IPv4 で使用されていた ARP、ICMP ルータ探索、および ICMP リダイレクトに代わるものです。
信頼できるバインディング テーブル データベースを構築するために、IPv6 ネイバー ディスカバリ検査によってネイバー ディスカバリ メッセージが分析され、準拠しない IPv6 ネイバー ディスカバリ パケットはドロップされます。 内のネイバー バインディング テーブルでは、各 IPv6 アドレスと、アソシエートされた MAC アドレスが追跡されます。クライアントは、ネイバー バインディング タイマーに従って、テーブルから消去されます。
ネイバー探索抑制
ワイヤレス クライアントの IPv6 アドレスは、deviceによってキャッシュされます。deviceが IPv6 アドレスを検索する NS マルチキャストを受信して、deviceによって特定された目的のアドレスがクライアントのいずれかに属している場合、deviceはクライアントに代わって NA メッセージで応答します。このプロセスによって IPv4 のアドレス解決プロトコル(ARP)テーブルと同等のテーブルが生成されますが、より効率的であり、たいていの場合、使用されるメッセージは少なくなります。
(注) |
deviceがプロキシのように動作し NA で応答するのは、ipv6 nd suppress コマンドが設定されている場合だけです。 |
deviceにワイヤレス クライアントの IPv6 アドレスがない場合、deviceは NA で応答せず、NS パケットをワイヤレス側に転送します。この問題を解決するために、NS マルチキャスト フォワーディング ノブが用意されています。このノブがイネーブルの場合、deviceは存在しない(キャッシュ欠落)IPv6 アドレスの NS パケットを取得し、ワイヤレス側に転送します。このパケットは、目的のワイヤレス クライアントに到達し、クライアントは NA で応答します。
このキャッシュ ミス シナリオが発生するのはまれで、完全な IPv6 スタックが実装されていないクライアントが、NDP 時にそれらの IPv6 アドレスをアドバタイズしない可能性はほとんどありません。
RA ガード
RA ガード機能は、ワイヤレス クライアントから送信されるルータ アドバタイズメントをドロップすることで、IPv6 ネットワークのセキュリティを強化します。この機能が設定されていないと、誤設定されたか、または悪意のある IPv6 クライアントが、多くの場合は高順位でクライアント自体をネットワークのルータとしてアナウンスし、正規の IPv6 ルータよりも優先される可能性があります。デフォルトでは、RA ガードは常にコントローラ上で有効になっています。
RA スロットリング
RA スロットリングは、コントローラがワイヤレス ネットワーク宛ての RA パケットを強制的に制限できるようにします。RA スロットリングを有効にすることにより、多数の RA パケットを送信するルータを最小限の頻度に調整することができ、その場合も IPv6 クライアントの接続は維持されます。クライアントが RS パケットを送信すると、RA がクライアントに返送されます。この RA は、コントローラを通過でき、クライアントにユニキャストされます。このプロセスによって、新しいクライアントやローミング クライアントが RA スロットリングの影響を受けないようにすることができます。