ASAでのEIGRP IPV6の設定
内容
はじめに
このドキュメントでは、Cisco適応型セキュリティアプライアンス(ASA)でEIGRP IPV6を設定する方法について説明します。
前提条件
サポートされる最低限のソフトウェアおよびハードウェアプラットフォーム
| サポートされるManagerの最小バージョン |
管理対象デバイス |
サポートされる管理対象デバイスの最小バージョンが必要 |
注意事項 |
| ASA |
すべてのASAプラットフォーム |
9.20.1 |
CLI を使う場合: |
| CSM |
すべてのASAプラットフォーム |
4.27 |
CSMのGUI |
| ASDM |
すべてのASAプラットフォーム |
7.20.1 |
ASDMのGUI |
要件
次の項目に関する知識があることが推奨されます。
- Cisco Security Manager
- Adaptive Security Device Manager
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco適応型セキュリティアプライアンス(ASA)、9.20.1以降
- 4.27を実行するCisco Security Manager(CSM)
- 7.20.1を実行するCisco Adaptive Security Device Manager(ASDM)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
IPV6に対応したEIGRP
・ EIGRPはすでにサポートされており、ASAで使用できます。EIGRP IPV6の需要は増加しています。
・ EIGRPv4とEIGRPv6の設定は似ていますが、個別に設定および管理できます。
・ プロトコルの違いにより、構成や動作が若干異なります。
新機能
・ 以前のリリースでは、EIGRPはIPv4でのみサポートされ、ASA 9.20以降では、EIGRPはIPV6でサポートされていました。
・ ASAでのみリンクローカルアドレスを使用してEIGRP IPv6をサポート
制限事項
サポート
・ EIGRPv6は現在、ルーテッドモード、HA、およびクラスタでのみASAでサポートされています。
・ EIGRPv6ネイバーシップは、リンクローカルアドレスでのみ有効にできます。
サポート対象外
・ トランスペアレントモード
•マルチコンテキスト
•認証
・ FTD上
機能の詳細
機能の説明
・ IPv6に対応したEIGRPは、IPv4に対応したEIGRPと同じフレームワークを使用します。
・ EIGRP IPv6はIPv6ピアとのみ通信し、IPv6ルートのみをアドバタイズします。
EIGRP IPV4とEIGRP IPv6は次のような特性を共有します。
・ ネイバー、ルーティング、およびトポロジテーブルが維持されます。
・ 高速コンバージェンスとループフリーネットワークのためにDUALスタックを使用します。
次に、これらの違いを示します。
・ ルータモードでのnetworkコマンドはEIGRP IPv6には使用されません。
・ ipv6 router eigrp <AS>を使用してEIGRP IPV6ルータプロセスを有効にします。
・ 特定のインターフェイスでEIGRP IPv6を有効にするようにipv6 eigrp <AS>を明示的に設定します。
・ ユーザーが構成したIPv6アドレスを使用してネイバーシップを確立することはできません。
・ 現在のリリースでは認証はサポートされていません。
EIGRPの機能
EIGRP機能の概要
・ IPv6に対応したEIGRPはEIGRP IPv4と同じです。
・ EIGRPはDiffusing Update Algorithm(DUAL)を使用して高速コンバージェンスを実現します。
DUALは最適ルートを計算するだけでなく、ループフリールートも計算します。
最適ルートの計算のためにDUALで使用されるテーブルは主に2つあります。これらはネイバールーティングテーブル、トポロジテーブルです。
DUALは、報告された到達可能距離に基づいて代替パスを計算します。
・ ネイバーテーブルは、直接接続されたすべてのネイバーを追跡します。helloパケットは、ネイバーのステータスをチェックするために使用されます。
・ トポロジテーブルには、ネットワーク内のすべてのルートのメトリックに関する情報が保持されます。サクセサとフィジブルサクセサは、ベストパスと代替パスの情報を保持します。
仕組み
helloメッセージは、隣接関係を確立する前にネイバーを検出するために使用されます。
トポロジテーブルとルーティングテーブルを構築するために、ネイバー間でアップデートメッセージが交換されます。
ファイアウォールにフィージブルサクセサがないルートをDUALが再計算すると、フィージブルサクセサの他のEIGRPネイバーにクエリーメッセージが送信される
応答メッセージは、EIGRPクエリーパケットへの応答として送信されます。
確認応答メッセージは、EIGRPアップデート、クエリー、および応答の確認応答に使用されます。
EIGRPメッセージフロー
EIGRP IPv6はHelloパケットを使用して、直接接続されたリンク上にある他のEIGRP対応デバイスを検出し、ネイバー関係を形成します。
EIGRP IPv6は、送信元アドレスが送信インターフェイスのリンクローカルアドレスであるHelloパケットを送信します。
helloメッセージは、ネイバーのステータスを追跡するためのキープアライブメッセージに似ています。
helloメッセージのデフォルトタイマーは5秒です。 Helloメッセージが交換されると、アップデートメッセージが送受信されます。これは、トポロジテーブルを作成し、それに応じてRIBにルートをインストールするために使用されます。
ネイバーシップの確立
内部ビュー/ASA CLI
ネイバーシップ:基本設定とマルチ/ユニキャスト
ネイバーシップを確立するには、ルータモード設定が必要です。IPv6キーワードで始まる設定を除き、IPv4でも同じです。
また、参加インターフェイスを自律システムに接続する必要もあります。
ネイバーシップは、マルチキャストまたはユニキャストのいずれかを使用して、2つの方法で形成できます。
ネイバーシップ:インターフェイスとルータIDの指定
- ルータモードの設定に加えて、ネイバーシップに参加するインターフェイスは、それぞれの自律システムに接続する必要があります。
- インターフェイスでIPv6が有効になっていることを確認します。
- ネイバーシップを形成するには、ルータIDが必要です。これはIPv4インターフェイスから暗黙的に取得されるか、ルータモードで明示的に設定する必要があります。そうしなければ、ネイバーシップは形成されません。
基本的な隣接関係
接続されたトポロジと、ユニキャストおよびマルチキャストのネイバーシップの設定を指示するだけです。
確認
ネイバーシップ状態の確認
show ipv6 eigrp neighbors は、ネイバーシップの状態を確認するために使用されます。
ciscoasa(config-rtr)# show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(50)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
1 Link-local address: m3 12 1w3d 270 1620 0 153 fe80::250:56ff:fe9f:e7e8
0 Link-local address: m2 12 1w3d 174 1044 0 152 fe80::250:56ff:fe9f:8d83
Helloおよびホールド間隔の設定
- Hello間隔とホールド間隔は、インターフェイスの下の設定を使用して設定できます。
- 非ブロードキャスト多重アクセスネットワーク(NBMA)インターフェイスの場合、helloタイマーのデフォルト値は5秒、ホールドタイムのデフォルト値は15秒です。
ciscoasa(config-if)# ipv6 hello-interval eigrp 100 ?
interface mode commands/options:
<1-65535> Seconds between hello transmissions
ciscoasa(config-if)#
ciscoasa(config-if)# ipv6 hold-time eigrp 200 ?
interface mode commands/options:
<1-65535> Seconds before neighbor is considered down
ciscoasa(config-if)#
パッシブインターフェイスの設定
- インターフェイスでネイバーシップを形成しない場合は、passive-interfaceコンフィギュレーションを使用して、インターフェイス上のHelloが送信されず、隣接関係が形成されないようにできます。
ciscoasa(config-rtr)# passive-interface ?
ipv6-router mode commands/options:
Current available interface(s):
default Suppress routing updates on all interfaces
g0 Name of interface GigabitEthernet0/0
mgmt Name of interface Management0/0
ciscoasa(config-rtr)#
ルートフィルタリングの配布リスト
- 配布リストをプレフィクス設定とともに使用すると、特定のインターフェイスに対する着信または発信のルーティングアップデートをフィルタリングできます。
ciscoasa(config-rtr)# distribute-list prefix-list abc ?
ipv6-router mode commands/options:
in Filter incoming routing updates
out Filter outgoing routing updates
ciscoasa(config-rtr)#
他のプロトコルからのルートの再配布
- 他のルーティングプロトコルからのルートをEIGRPに再配布できる。
- ルータでredistributeコマンドを使用します。
ciscoasa(config-rtr)# redistribute ?
ipv6-router mode commands/options:
bgp Border Gateway Protocol (BGP)
connected Connected Routes
eigrp Enhanced Interior Gateway Routing Protocol (EIGRP)
isis ISO IS-IS
ospf Open Shortest Path First (OSPF)
static Static Routes
ciscoasa(config-rtr)#
ASDMでのEIGRP IPv6
EIGRPv6の新しいオプションの概要
- EIGRPv6のサポートは、ASDM 7.20.1の一部として追加されています。
- interfaces sub CLIコマンドの一部として追加されたEIGRPv6設定。
- ルータに追加されたEIGRPv6設定とサポートのルータコマンド。
インターフェイスでのEIGRPv6の設定
- Configuration > Device Setup > Routing > EIGRPv6の順に移動します。
- Interfaceを選択すると、サポートされているすべてのインターフェイスが表示されます。
インターフェイスのEIGRPv6設定
- Configuration > Device Setup > Routing > EIGRPv6 > Interfaceの順に移動します。
- Interface を選択して、Editをクリックします。
- プロセスID、Helloインターバル、ホールドタイム、スプリットホライズン、サマリーアドレスを設定するには、チェックボックスをオンにします。
- 設定を行い、OKをクリックします。
- [Send] をクリックします。
- CLIが表示されたら、Send、Cancel、またはSave to Fileをクリックします。
プロセスインスタンスとパッシブインターフェイス
- Configuration > Device Setup > Routing > EIGRPv6 > Set upの順に移動します。
- プロセスインスタンスとパッシブインターフェイスを確認できます。
- Process Instancesで、EIGRPv6 Processを有効にします。
パッシブインターフェイスの設定
- Configuration > Device Setup > Routing > EIGRPv6 > Set upの順に移動します。
- Passive Interfaces > Add > Select Interfaceの順にクリックします。
- [OK] をクリックします。
- [APPLY] をクリックします。
- CLIウィンドウが表示されます。
ルータのEIGRPとデフォルトメトリックの設定
- Device Setup > Routing > EIGRPv6 > Set upの順に移動します。
- Process Instances > Provide Process ID Valueの順にクリックします。
- Advancedボタンをクリックします。
- ルータID、デフォルトメトリック、スタブ、およびログネイバーの値を提供します。
- [APPLY] をクリックします。
- CLIウィンドウが表示されます。
フィルタルール(配布リスト)の設定
- Configuration > Device Setup > Routing > EIGRPv6 > Filter Rulesの順に移動します。
- Add > Select Prefix list > Direction > Interfaceの順にクリックします。
- [OK] をクリックします。
- [APPLY] をクリックします。
- CLIウィンドウが表示されます。
ルートの再配布の設定
- Configuration > Device Setup > Routing > EIGRPv6 > Redistributionの順に移動します。
- Add > Select protocolの順にクリックします。
- オプションのメトリックの提供
- [OK] をクリックします。
- [APPLY] をクリックします。
- CLIウィンドウが表示されます
ネイバー:ユニキャストルータモード
- Configuration > Device Setup > Routing > EIGRPv6 > Static Neighborの順に移動します。
- Add > Select Interfaceの順にクリックします。
- ネイバーアドレスを入力します。
- [OK] をクリックします。
- [APPLY] をクリックします。
- CLIウィンドウが表示されます。
マルチキャストルータモード
マルチキャストルータモードの設定は、ユニキャストルータモードの設定に似ています。
- Configuration > Device Setup > Routing > EIGRPv6 > Setupの順に移動します。
- チェックボックスをオンにして、EIGRPv6プロセスを有効にします。
- EIGRPv6 Process入力フィールドに値を入力します。
- [APPLY] をクリックします。
- CLIが表示されます。
CSMでのIPv6 EIGRP
CSM for EIGRPv6の新しいオプションの概要
- EIGRPv6サポートは、CSM 4.27の一部として追加されています。
- インターフェイスサブCLIコマンドの一部として追加されたEIGRPv6設定。
- RouterおよびSupport Routerコマンドに追加されたEIGRPv6設定。
EIGRP IPv6サポートの有効化
- Platform > Routing > EIGRP > IPv6 Familyの順に選択します。
- Enable IPv6 EIGRPチェックボックスをクリックして、IPv6を有効にします。
- AS番号として1 ~ 65535 を指定します。
- タブを使用すると、設定(ここに示す)、フィルタルール、ネイバー、再配布、サマリーアドレス、およびインターフェイスを設定できます。
EIGRP IPv6 Setupタブ
- Platform > Routing > EIGRP > IPv6 Family > Setupタブの順に移動します。
- パッシブインターフェイスには3つのオプションがあります
1. なし
2. デフォルト
3. 特定のインターフェイス
- デフォルト:すべてのインターフェイスでルーティングアップデートを抑制します。
- Specific Interfaceで、interface selectorからinterfaceを選択します。
- デフォルトメトリックに値を割り当てます。
- OKをクリックして、Saveをクリックします。
EIGRP IPv6フィルタルールタブ
- Platform > Routing > EIGRP > IPv6 Family > Filter Rulesタブに移動します。
- 方向(着信または発信)に従ってEigrp Filter Directionを選択します。
- Interfaceを選択します。
- IPv6プレフィックスリストを入力し、IPv6プレフィックスリストに基づいて接続をフィルタリングします。
EIGRP IPv6ネイバータブ
- Platform > Routing > EIGRP > IPv6 Family > Neighborsタブに移動します。
- Add/Edit IPv6 Eigrp Neighbor PageダイアログでInterfaceとNetworkを入力します。
EIGRP IPv6再配布タブ
- Platform > Routing > EIGRP > IPv6 Family > Redistributionタブに移動します。
- Addボタンをクリックして、Protocolを選択します。プロトコルの選択に基づいて、他のオプションが有効になります。
- BGPとOSPFの場合、IDテキストボックスが有効になります。
- OSPFが有効な場合、オプションのOSPF再配布オプションが有効になります
- ISISが有効な場合、ISISレベルが有効になります。
EIGRP IPv6集約アドレスタブ
- Platform > Routing > EIGRP > IPv6 Family > Summary Addressタブに移動します。
- Addボタンをクリックして、Interface selectorからinterfaceを選択します。
- Networkで、IPv6 addressとAdministrative Distanceの値を選択します。
- OKをクリックして、Saveをクリックします。
EIGRP IPv6インターフェイスタブ
- Platform > Routing > EIGRP > IPv6 Family > Interfacesタブに移動します。
- Addボタンをクリックして、Interface selectorからinterfaceを選択します。
- Hello間隔(オプション)とホールドタイム(オプション)を変更できます。
- スプリットホライズンはデフォルトで有効になっています。 このチェックはオフにできます。
- OKをクリックして、Saveをクリックします。
トラブルシューティング
トラブルシューティング手順
- showコマンドを使用して、ネイバーシップの状態を確認します。
- show ipv6 eigrp topologyの出力を調べて、トポロジテーブルの内容を確認します。
- show ipv6 eigrp eventsコマンドを使用します。このコマンドは、EIGRPに関連する主要なイベントに関する有用な情報を提供できます。
- show eigrp tech-support detailed を使用して、ネイバーシップとトポロジテーブルのタイマー値を確認します。
ipv6 eigrpイベントを表示する
show ipv6 eigrp events:デバッグに役立つ、システムでの重要なイベントロギングを表示します。
ciscoasa(config-rtr)# show ipv6 eigrp events
Event information for AS 50:
1 18:05:56.203 Metric set: 1001::/64 768
2 18:05:56.203 Route installing: 1001::/64 fe80::250:56ff:fe9f:e7e8
4 18:05:56.203 FC sat rdbmet/succmet: 768 512
5 18:05:56.203 Rcv update dest/nh: 1001::/64 fe80::250:56ff:fe9f:e7e8
6 18:05:56.203 Change queue emptied, entries: 1
7 18:05:56.203 Metric set: 1001::/64 768
8 18:05:56.203 Update reason, delay: new if 4294967295
Show ipv6 eigrp timers
show ipv6 eigrp timers:現在のhelloタイマーと適用されたホールドタイマーが表示されます。
- helloインターバルおよびホールドタイマーのデフォルトのタイマーは、5秒および15秒です。
- 帯域幅の小さいNBMAインターフェイスの場合、helloタイマーのデフォルト値は15秒です。ホールドタイマーのデフォルト値は180秒です
ciscoasa(config-rtr)# show ipv6 eigrp timers
EIGRP-IPv6 Timers for AS(50)
Hello Process
Expiration Type
| 0 .406 (parent)
| 0 .406 Hello (m2)
Update Process
Expiration Type
| 11.600 (parent)
| 11.600 (parent)
| 11.600 Peer holding
| 11.930 (parent)
| 11.930 Peer holding
ipv6 eigrp topologyを表示します
show ipv6 eigrp topology:トポロジテーブルは、ネイバールータによってアドバタイズされたすべての宛先で構成されます。
ciscoasa(config-rtr)# show ipv6 eigrp topology
EIGRP-IPv6 Topology Table for AS(50)/ID(172.27.173.103)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 1001::/64, 1 successors, FD is 768, serno 8907
via fe80::250:56ff:fe9f:8d83 (768/512), m2
P 3001::/64, 1 successors, FD is 768, serno 8906
via fe80::250:56ff:fe9f:8d83 (768/512), m2
P 2001::/64, 1 successors, FD is 768, serno 8905
via fe80::250:56ff:fe9f:8d83 (768/512), m2
EIGRPのshow tech
Show techは、タイマーパラメータ、ネイバーシップの詳細、EIGRPのトラフィック統計情報、メモリ使用量カウンタなどの有用な情報を収集するため、トラブルシューティングに使用できます。
ciscoasa(config-if)# show eigrp tech-support detailed ?
exec mode commands/options:
| Output modifiers
<cr>
ciscoasa(config-if)#
問題例
ネイバー形成に見られる問題
- ネイバー形成で問題が発生した場合:
- ルータモード設定でルータIDが明示的に設定されていない場合、少なくとも1つのIPv4アドレスが設定されているかどうかを確認します。
- ルータモード設定で必ずrouter-idを設定してください。
改訂履歴
| 改訂 | 発行日 | 注釈 |
|---|---|---|
|
2.0
|
2024年7月19日
|
更新された書式。
|
|
1.0
|
2024年7月18日
|
初版リリース
|
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
29-Jul-2024 |
初版 |
フィードバック