ワイヤレス マルチキャストに関する情報
ネットワークがパケットのマルチキャストをサポートしている場合は、deviceが使用するマルチキャストの方法を設定できます。deviceは次の 2 つのモードでマルチキャストを実行します。
-
ユニキャスト モード:deviceは、deviceにアソシエートしているすべてのアクセス ポイントに、すべてのマルチキャスト パケットをユニキャストします。このモードは非効率的ですが、マルチキャストをサポートしていないネットワークでは必要です。
-
マルチキャスト モード:deviceは、マルチキャスト パケットを CAPWAP マルチキャスト グループに送信します。この方法では、device プロセッサのオーバーヘッドが軽減され、パケット レプリケーションの処理がネットワークに移されます。これは、ユニキャストを使った方法よりはるかに効率的です。
Flexconnect モードには、ローカル スイッチングと中央スイッチングという 2 つのサブモードがあります。ローカル スイッチング モードでは、データ トラフィックは AP レベルでスイッチングされ、コントローラはマルチキャスト トラフィックを認識しません。中央スイッチング モードでは、マルチキャスト トラフィックがコントローラに到達します。ただし、IGMP スヌーピングは AP で行われます。
マルチキャスト モードが有効な場合に、deviceがマルチキャスト パケットを有線 LAN から受信すると、deviceは CAPWAP を使用してパケットをカプセル化し、CAPWAP マルチキャスト グループ アドレスへ転送します。deviceは、必ず管理 VLAN を使用してマルチキャスト パケットを送信します。マルチキャスト グループのアクセス ポイントはパケットを受け取り、クライアントがマルチキャスト トラフィックを受信する LAN にマップされたすべての BSSID にこれを転送します。
deviceは、マルチキャスト リスナー検出(MLD)v1 スヌーピングを含む IGMP v1 のすべての機能をサポートしますが、IGMP v2 および IGMP v3 の機能は制限されます。この機能により、IPv6 マルチキャスト フローが追跡され、フローを要求したクライアントにそれらが配信されます。IPv6 マルチキャストをサポートするには、グローバル マルチキャスト モードを有効にする必要があります。
マルチキャスト パケットのダイレクトを向上させるために、インターネット グループ管理プロトコル(IGMP)スヌーピングを導入しています。この機能が有効になっている場合、device スヌーピングは IGMP レポートをクライアントから収集して処理し、レイヤ 3 マルチキャスト アドレスと VLAN 番号に基づいて一意なマルチキャスト グループ ID(MGID)を作成し、その IGMP レポートを IGMP クエリアへ送信します。次に、deviceは、アクセス ポイント上のアクセス ポイント MGID テーブルを、クライアント MAC アドレスを使用して更新します。deviceは、特定のマルチキャスト グループのマルチキャスト トラフィックを受信すると、それをすべてのアクセス ポイントに転送します。ただし、アクティブなクライアントでリッスンしているアクセス ポイント、またはそのマルチキャスト グループへ加入しているアクセス ポイントだけは、その特定の WLAN 上でマルチキャスト トラフィックを送信します。IP パケットは、入力 VLAN および宛先マルチキャスト グループの一意の MGID を使用して転送されます。レイヤ 2 マルチキャスト パケットは、入力 VLAN の一意の MGID を使用して転送されます。
MGID は、CAPWAP ヘッダー内のワイヤレス情報の 16 ビットの予約済みフィールドに入力された 14 ビットの値です。残りの 2 ビットはゼロに設定する必要があります。
マルチキャスト最適化
マルチキャストは、マルチキャスト アドレスと VLAN を 1 つのエンティティ(MGID)としてグループ化することを基本としていました。VLAN グループで、重複したパケットが増加する可能性があります。VLAN グループ機能を使用して、すべてのクライアントがそれぞれ異なる VLAN 上でマルチキャスト ストリームをリッスンします。そのため、deviceは、マルチキャスト アドレスと VLAN の組み合わせごとに異なる MGID を作成します。したがって、アップストリーム ルータは VLAN ごとにコピーを 1 つ送信します。結果的に、グループ内に存在する VLAN の数だけコピーが作成されます。WLAN はすべてのクライアントに対して同じままなので、マルチキャスト パケットの複数のコピーがワイヤレス ネットワークで送信されます。deviceとアクセス ポイント間のワイヤレス メディアでマルチキャスト ストリームの重複を抑制する目的で、マルチキャスト最適化機能を使用できます。
マルチキャスト最適化では、マルチキャスト トラフィック用に使用可能なマルチキャスト VLAN を作成できます。device内の VLAN の 1 つを、マルチキャスト グループが登録されるマルチキャスト VLAN として設定できます。クライアントは、マルチキャスト VLAN 上でマルチキャスト ストリームをリッスンできます。MGID は、マルチキャスト VLAN とマルチキャスト IP アドレスを使用して生成されます。同じ WLAN の異なる VLAN 上にある複数のクライアントが単一のマルチキャスト IP アドレスをリッスンしている場合、単一の MGID が生成されます。deviceは、この VLAN グループ上のクライアントからのすべてのマルチキャスト ストリームが常にマルチキャスト VLAN 上に送出されるようにして、その VLAN グループのすべての VLAN に対し、アップストリーム ルータに登録されるエントリが 1 つになるようにします。クライアントが異なる VLAN 上にあっても、1 つのマルチキャスト ストリームだけが VLAN グループにヒットします。したがって、ネットワークで送信されるマルチキャスト パケットは、1 つのストリームだけになります。
IPv6 グローバル ポリシー
IPv6 グローバル ポリシーは、ストレージおよびアクセス ポリシー データベースのサービスを提供します。IPv6 ND 検査と IPv6 RA ガードは、IPv6 グローバル ポリシー機能です。ND インスペクションまたは RA ガードをグローバルに設定するたびに、ポリシーの属性が、ソフトウェア ポリシー データベースに保存されます。その後ポリシーはインターフェイスに適用され、ポリシーが適用されたこのインターフェイスを含めるためにソフトウェア ポリシー データベース エントリが更新されます。
IPv6 スヌーピングに関する情報
IPv6 ネイバー ディスカバリ ネイバー インスペクション
IPv6 ネイバー探索インスペクション、または IPv6「スヌーピング」機能によって、複数のレイヤ 2 IPv6 ファーストホップ セキュリティ機能(IPv6 アドレス収集と IPv6 デバイス トラッキングを含む)がバンドルされます。IPv6 ネイバー探索(ND)インスペクションは、レイヤ 2(またはレイヤ 2 とレイヤ 3 の間)で動作し、IPv6 の機能にセキュリティと拡張性を提供します。この機能によって、Duplicate Address Detection(DAD)、アドレス解決、デバイス検出やネイバー キャッシュに対する攻撃といった、ネイバー探索メカニズムに固有のいくつかの脆弱性が軽減されます。
IPv6 ND インスペクションは、レイヤ 2 ネイバー テーブルのステートレス自動設定アドレスのバインディングを学習して保護し、信頼できるバインディング テーブルを構築するために ND メッセージを分析します。有効なバインディングのない IPv6 ND メッセージはドロップされます。ND メッセージは、その IPv6 から MAC へのマッピングが検証可能な場合に信頼できると見なされます。この機能によって、Duplicate Address Detection(DAD)、アドレス解決、デバイス検出やネイバー キャッシュに対する攻撃といった、ネイバー探索メカニズムに固有のいくつかの脆弱性が軽減されます。
ターゲット(プラットフォームのターゲット サポートによって異なり、デバイス ポート、スイッチ ポート、レイヤ 2 インターフェイス、レイヤ 3 インターフェイス、および VLAN が含まれることがある)に IPv6 ND インスペクションが設定されている場合、IPv6 トラフィックの ND プロトコルと Dynamic Host Configuration Protocol(DHCP)をルーティング デバイスのスイッチ統合セキュリティ機能(SISF)インフラストラクチャにリダイレクトするためのキャプチャ命令がハードウェアにダウンロードされます。ND トラフィックの場合、NS、NA、RS、RA、REDIRECT などのメッセージが SISF にリダイレクトされます。DHCP の場合、ポート 546 または 547 から送信された UDP メッセージがリダイレクトされます。
IPv6 ND インスペクションはその「キャプチャ ルール」を分類子に登録します。分類子では、特定のターゲットにあるすべての機能のルールがすべて集約され、対応する ACL がプラットフォーム依存モジュールにインストールされます。分類子は、リダイレクトされたトラフィックを受信すると、(トラフィックを受信しているターゲットに対して)登録されているすべての機能からすべてのエントリ ポイント(IPv6 ND インスペクションのエントリ ポイントを含む)を呼び出します。このエントリ ポイントは最後に呼び出されるため、他の機能によって行われた決定が IPv6 ND インスペクションの決定よりも優先されます。
IPv6 デバイス トラッキング
IPv6 デバイス トラッキングは、IPv6 ホストが非表示になったときにネイバー テーブルを即時に更新できるように、IPv6 ホストの活性トラッキングを提供します。
IPv6 ファーストホップ セキュリティ バインディング テーブル
IPv6 ファーストホップ セキュリティ バインディング テーブルのリカバリ メカニズム機能を使用すると、デバイスのリブート時にバインディング テーブルをリカバリできます。デバイスに接続されている IPv6 ネイバーのデータベース テーブルは、ND スヌーピングなどの情報源から作成されます。このデータベース(またはバインディング)テーブルは、スプーフィングやリダイレクト攻撃を防止するために、リンク層アドレス(LLA)、IPv4 または IPv6 アドレス、およびネイバーのプレフィックス バインディングを検証するためにさまざまな IPv6 ガード機能によって使用されます。
このメカニズムにより、デバイスのリブート時にバインディング テーブルをリカバリできます。リカバリ メカニズムは、不明な送信元、(バインディング テーブルにまだ指定されていない送信元や、ND または DHCP グリーニングを使用して学習されていない送信元)からのデータ トラフィックをブロックします。この機能は、宛先ガードで宛先アドレスの解決に失敗したときに、不足しているバインディング テーブルのエントリをリカバリします。障害が発生すると、バインディング テーブルのエントリは、設定に応じて、DHCP サーバまたは宛先ホストにクエリを実行することでリカバリできます。
リカバリ プロトコルとプレフィックス リスト
IPv6 ファーストホップ セキュリティ バインディング テーブルのリカバリ メカニズム機能は、DHCP と NDP の両方でリカバリを試みる前に、一致するプレフィックス リストを提供する機能を導入します。
アドレスがプロトコルと関連付けられているプレフィックス リストと一致しない場合、そのプロトコルではバインディング テーブル エントリのリカバリは試行されません。プレフィックス リストは、プロトコルを使用してレイヤ 2 ドメインに割り当てられているアドレスに対して有効なプレフィックスに対応している必要があります。デフォルトではプレフィックス リストは存在せず、すべてのアドレスのリカバリが試行されます。プロトコルにプレフィックス リストを関連付けるコマンドは、protocol {dhcp | ndp} [ prefix-list prefix-list-name] です。
IPv6 アドレス収集
IPv6 アドレス収集は、正確なバインディング テーブルに依存するその他多くの IPv6 の機能の基盤です。この機能は、アドレス収集のためにリンク上の ND および DHCP メッセージを検査した後に、それらのアドレスをバインディング テーブルに入力します。また、この機能は、アドレスの所有権を強制し、特定のノードが要求可能なアドレスの数を制限します。
次の図は、IPv6 アドレス収集の仕組みを示しています。
IPv6 RA ガード
IPv6 RA ガード機能は、ネットワーク デバイス プラットフォームに到着した不要または不正な RA ガード メッセージを、ネットワーク管理者がブロックまたは拒否できるようにするためのサポートを提供します。RA は、リンクで自身をアナウンスするためにデバイスによって使用されます。IPv6 RA ガード機能は、それらの RA を分析して、承認されていないデバイスから送信された RA を除外します。ホスト モードでは、ポート上の RA とルータ リダイレクト メッセージはすべて許可されません。RA ガード機能は、レイヤ 2(L2)デバイスの設定情報を、受信した RA フレームで検出された情報と比較します。L2 デバイスは、RA フレームとルータ リダイレクト フレームの内容を設定と照らし合わせて検証した後で、RA をユニキャストまたはマルチキャストの宛先に転送します。RA フレームの内容が検証されない場合は、RA はドロップされます。
ワイヤレス展開では、ワイヤレス ポートで受信した RA はドロップされます。ルータはこれらのインターフェイスに存在できないためです。