IPv6 クライアントは、IPv6 アドレスを設定し、IPv6 ルータ アドバタイズメント(RA)パケットに基づいてルータ テーブルにデータを入力します。 RA ガード機能は、有線ネットワークの RA ガード機能に類似しています。 RA ガードは、ワイヤレス クライアントから発信される不要な、または不正な RA パケットをドロップすることによって、IPv6 ネットワークのセキュリティを強化します。 この機能が設定されていないと、悪意のある IPv6 クライアントが、それ自体をネットワークのルータとして通知する可能性があり、そのため、正規の IPv6 ルータよりも優先されることになります。
RA ガードは、コントローラで実行されます。 アクセス ポイントまたはコントローラで RA メッセージをドロップするように、コントローラを設定できます。 デフォルトでは、RA ガードはアクセス ポイントで設定され、コントローラでも有効になります。 すべての IPv6 RA メッセージがドロップされ、それによって他のワイヤレス クライアントおよびアップストリーム有線ネットワークが悪意のある IPv6 クライアントから保護されます。
(注)
RA ガードは、FlexConnect ローカル スイッチング モードでもサポートされています。
RA ガードの設定(GUI)
ステップ 1
[Controller]>[IPv6]>[RA Guard]を選択して、[IPv6 RA Guard] ページを開きます。 デフォルトでは、[IPv6 RA Guard on AP] が有効になります。
ステップ 2
RA ガードを無効にするには、ドロップダウン リストから、[Disable]を選択します。 コントローラは、RA パケットの送信側として識別されたクライアントも表示します。
ステップ 3
[Apply]をクリックして、変更を確定します。
ステップ 4
[SaveConfiguration] をクリックして、変更を保存します。
RA ガードの設定(CLI)
RA ガードを設定するには、次のコマンドを使用します。
config ipv6 ra-guard ap {enable | disable}
RA スロットリングについて
RA スロットリングは、コントローラがワイヤレス ネットワーク宛ての RA パケットを強制的に制限できるようにします。 RA スロットリングを有効にすることにより、多数の RA パケットを送信するルータを最小限の頻度に調整することができ、その場合も IPv6 クライアントの接続は維持されます。 クライアントが RS パケットを送信すると、RA がクライアントに返送されます。 これは、コントローラを通過でき、クライアントにユニキャストされます。 このプロセスによって、新しいクライアントやローミング クライアントが RA スロットリングの影響を受けないようにすることができます。
[MaxThrough]:スロットリングが実行される前に送信可能な、VLAN 上の RA パケットの最大数。 [No Limit] オプションは、スロットリングを使用せずに、無制限の RA パケット数を許可します。 範囲は 0 ~ 256 RA パケットです。 デフォルトは 10 RA パケットです。
[IntervalOption]:このオプションは、IPv6 RA パケットに設定された RFC 3775 値に基づいた、さまざまなコントローラの動作を許可します。
[Passthrough]:RFC 3775 インターバルオプションが指定された RA メッセージが、スロットリングなしで通過することを許可します。
[Ignore]:RAスロットルが、インターバル オプションの指定されたパケットを通常の RA として処理し、有効である場合はスロットリングが適用されるようにします。
[Throttle]:インターバルオプションが指定された RA パケットに、常にレート制限が適用されるようにします。
[AllowAt-least]:スロットリングが実行される前にマルチキャストとして送信できる、ルータごとの RA パケットの最小数。 範囲は 0 ~ 32 RA パケットです。
[AllowAt-most]:スロットリングが実行される前にマルチキャストとして送信できる、ルータごとの RA パケットの最大数。 [No Limit] オプションは、ルータの通過する無制限の RA パケット数を許可します。 範囲は 0 ~ 256 RA パケットです。
(注)
RA スロットリングが実行されると、最初の IPv6 対応ルータのみの通過が許可されます。 異なるルータが複数の IPv6 プレフィックスを処理しているネットワークについては、RA スロットリングを無効にしてください。
IPv6 クライアントは、IPv6 アドレスを設定し、IPv6 ルータ アドバタイズメント(RA)パケットに基づいてルータ テーブルにデータを入力します。 RA ガード機能は、有線ネットワークの RA ガード機能に類似しています。 RA ガードは、ワイヤレス クライアントから発信される不要な、または不正な RA パケットをドロップすることによって、IPv6 ネットワークのセキュリティを強化します。 この機能が設定されていないと、悪意のある IPv6 クライアントが、それ自体をネットワークのルータとして通知する可能性があり、そのため、正規の IPv6 ルータよりも優先されることになります。
RA ガードは、コントローラで実行されます。 アクセス ポイントまたはコントローラで RA メッセージをドロップするように、コントローラを設定できます。 デフォルトでは、RA ガードはアクセス ポイントで設定され、コントローラでも有効になります。 すべての IPv6 RA メッセージがドロップされ、それによって他のワイヤレス クライアントおよびアップストリーム有線ネットワークが悪意のある IPv6 クライアントから保護されます。
(注)
RA ガードは、FlexConnect ローカル スイッチング モードでもサポートされています。
RA ガードの設定(GUI)
ステップ 1
[Controller]>[IPv6]>[RA Guard]を選択して、[IPv6 RA Guard] ページを開きます。 デフォルトでは、[IPv6 RA Guard on AP] が有効になります。
ステップ 2
RA ガードを無効にするには、ドロップダウン リストから、[Disable]を選択します。 コントローラは、RA パケットの送信側として識別されたクライアントも表示します。
ステップ 3
[Apply]をクリックして、変更を確定します。
ステップ 4
[SaveConfiguration] をクリックして、変更を保存します。
RA ガードの設定(CLI)
RA ガードを設定するには、次のコマンドを使用します。
config ipv6 ra-guard ap {enable | disable}
RA スロットリングについて
RA スロットリングは、コントローラがワイヤレス ネットワーク宛ての RA パケットを強制的に制限できるようにします。 RA スロットリングを有効にすることにより、多数の RA パケットを送信するルータを最小限の頻度に調整することができ、その場合も IPv6 クライアントの接続は維持されます。 クライアントが RS パケットを送信すると、RA がクライアントに返送されます。 これは、コントローラを通過でき、クライアントにユニキャストされます。 このプロセスによって、新しいクライアントやローミング クライアントが RA スロットリングの影響を受けないようにすることができます。
[MaxThrough]:スロットリングが実行される前に送信可能な、VLAN 上の RA パケットの最大数。 [No Limit] オプションは、スロットリングを使用せずに、無制限の RA パケット数を許可します。 範囲は 0 ~ 256 RA パケットです。 デフォルトは 10 RA パケットです。
[IntervalOption]:このオプションは、IPv6 RA パケットに設定された RFC 3775 値に基づいた、さまざまなコントローラの動作を許可します。
[Passthrough]:RFC 3775 インターバルオプションが指定された RA メッセージが、スロットリングなしで通過することを許可します。
[Ignore]:RAスロットルが、インターバル オプションの指定されたパケットを通常の RA として処理し、有効である場合はスロットリングが適用されるようにします。
[Throttle]:インターバルオプションが指定された RA パケットに、常にレート制限が適用されるようにします。
[AllowAt-least]:スロットリングが実行される前にマルチキャストとして送信できる、ルータごとの RA パケットの最小数。 範囲は 0 ~ 32 RA パケットです。
[AllowAt-most]:スロットリングが実行される前にマルチキャストとして送信できる、ルータごとの RA パケットの最大数。 [No Limit] オプションは、ルータの通過する無制限の RA パケット数を許可します。 範囲は 0 ~ 256 RA パケットです。
(注)
RA スロットリングが実行されると、最初の IPv6 対応ルータのみの通過が許可されます。 異なるルータが複数の IPv6 プレフィックスを処理しているネットワークについては、RA スロットリングを無効にしてください。