この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
マッピング アドレスおよびポート(MAP)ドメイン内の基本マッピング ルールの IPv4 プレフィックスを設定するには、MAP ドメインの基本マッピング ルール コンフィギュレーション モードで ipv4-prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。
ipv4-prefix ipv4_network_address ネットマスク
no ipv4-prefix ipv4_network_address ネットマスク
カスタマー エッジ(CE)デバイスの IPv4 アドレス プールを定義する IPv4 プレフィックス。ネットワーク アドレスとサブネット マスク(たとえば、192.168.3.0 255.255.255.0)を指定します。異なる MAP ドメインで同じ IPv4 プレフィックスを使用することはできません。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IPv4 プレフィックスは、カスタマー エッジ(CE)デバイスの IPv4 アドレス プールを定義します。CE デバイスは、最初に IPv4 アドレスを、IPv4 プレフィックスによって定義されたプール内のアドレス(およびポート番号)に変換します。次に、MAP は、デフォルトのマッピング ルールのプレフィックスを使用して、この新しいアドレスを IPv6 アドレスに変換します。
次の例では、1 という名前の MAP-T ドメインを作成して、ドメインの変換ルールを設定しています。
|
|
---|---|
IPv6 をイネーブルにし、インターフェイスで IPv6 アドレスを設定(ルーテッド モード)したり、ブリッジ グループまたは管理インターフェイス アドレスの IPv6 アドレスを設定(トランスペアレント モード)したりするには、 ipv6 address コマンドを使用します。IPv6 アドレスを削除するには、このコマンドの no 形式を使用します。
ipv6 address { autoconfig [ default trust { dhcp | ignore }] | dhcp [ default ] | ipv6_address / prefix_length [ standby ipv6_prefix | cluster-pool poolname ] | ipv6_prefix / prefix_length eui-64 | prefix_name ipv6_address / prefix_length | ipv6_address link-local [ standby ipv6_address ]}
no ipv6 address { autoconfig [ default trust { dhcp | ignore }] | dhcp [ default ] | ipv6_address / prefix_length [ standby ipv6_address | cluster-pool poolname ] | ipv6_prefix / prefix_length eui-64 | prefix_name ipv6_address / prefix_length | ipv6_address link-local [ standby ipv6_address ]}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
トランスペアレント モード用にブリッジ グループが追加されました。BVI の IP アドレスを設定し、グローバルには設定しません。 |
|
インターフェイスに IPv6 アドレスを設定すると、そのインターフェイスで IPv6 がイネーブルになります。IPv6 アドレスを指定した後で ipv6 enable コマンドを使用する必要はありません。
シングル コンテキスト ルーテッド ファイアウォール モードでは、各インターフェイス アドレスはそれぞれ固有のサブネットに存在する必要があります。マルチ コンテキスト モードでは、このインターフェイスが共有インターフェイスにある場合、各 IP アドレスはそれぞれ固有であるものの、同じサブネットに存在する必要があります。インターフェイスが固有のものである場合、この IP アドレスを必要に応じて他のコンテキストで使用できます。
DHCPv6 およびプレフィクス委任オプションは、マルチ コンテキスト モードではサポートされていません。
トランスペアレント モードでは、IPv6 アドレスの手動設定のみがサポートされています。トランスペアレント ファイアウォールは、IP ルーティングに参加しません。ASA に必要な唯一の IP コンフィギュレーションは、BVI のアドレスを設定することです。このアドレスが必要になるのは、ASA がシステム メッセージや AAA サーバとの通信など ASA で発信されるトラフィックの送信元アドレスとしてこのアドレスを使用するためです。このアドレスは、リモート管理アクセスにも使用できます。このアドレスは、上流のルータおよび下流のルータと同じサブネットに存在する必要があります。マルチ コンテキスト モードの場合、各コンテキスト内の管理 IP アドレスを設定します。管理インターフェイスを含むモデルの場合は、このインターフェイスの IP アドレスを管理用に設定することもできます。
スタンバイ IP アドレスは、メイン IP アドレスと同じサブネットに存在する必要があります。
個々のインターフェイスのクラスタ プールは、クラスタ インターフェイス モードを個別インターフェイスに設定( cluster-interface mode individual )してからでないと設定できません。唯一の例外は管理専用インターフェイスです。
次に、選択したインターフェイスのグローバル アドレスとして 2001:0DB8:BA98::3210/64 を割り当て、スタンバイ ユニットの対応するインターフェイスのアドレスとして 2001:0DB8:BA98::3211 を割り当てる例を示します。
次に、選択したインターフェイスに自動的に IPv6 アドレスを割り当てる例を示します。
次に、IPv6 プレフィックス 2001:0DB8:BA98::/64 を選択したインターフェイスに割り当て、アドレスの下位 64 ビットに EUI-64 インターフェイス ID を指定する例を示します。このデバイスがフェールオーバー ペアの一部である場合は、 standby キーワードを指定する必要がありません。スタンバイ アドレスは、Modified EUI-64 インターフェイス ID を使用して自動的に作成されます。
次に、選択したインターフェイスのリンクレベル アドレスとして FE80::260:3EFF:FE11:6670 を割り当てる例を示します。
次に、フェールオーバー ペアのプライマリ ユニットで選択したインターフェイスのリンクレベル アドレスとして FE80::260:3EFF:FE11:6670 を割り当て、セカンダリ ユニットの対応するインターフェイスのリンクレベル アドレスとして FE80::260:3EFF:FE11:6671 を割り当てる例を示します。
次に、委任されたプレフィクスを補完するためのアドレスとして ::1:0:0:0:1/64 を割り当てる例を示します。
|
|
---|---|
アドレスをリモート クライアントに割り当てるための IPv6 アドレス プール リストを指定するには、トンネル グループ一般属性コンフィギュレーション モードで ipv6-address-pool コマンドを使用します。IPv6 アドレス プールを削除するには、このコマンドの no 形式を使用します。
ipv6-address-pool [( interface_name)] ipv6_address_pool1 [... ipv6_ address_pool6 ]
no ipv6-address-pool [( interface_name)] ipv6_ address_pool1 [... ipv6_ address_pool6 ]
ipv6 local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
これらのコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスが指定されていない場合、コマンドは明示的に参照されていないインターフェイスすべてに対してデフォルトを指定します。
グループ ポリシーの ipv6-address-pools コマンドの IPv6 アドレス プール設定は、トンネル グループの ipv6-address-pool コマンドの IPv6 アドレス プール設定を上書きします。
プールの指定順序は重要です。ASA では、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。
次に、トンネル グループ一般属性コンフィギュレーション モードを開始し、IPsec リモート アクセス トンネル グループ テスト用に、アドレスをリモート クライアントに割り当てるための IPv6 アドレス プール リストを指定する例を示します。
|
|
---|---|
グループ ポリシーの IPv6 アドレス プール設定を設定します。これらの設定は、トンネル グループの IPv6 アドレス プール設定を上書きします。 |
|
アドレスをリモート クライアントに割り当てるための IPv6 アドレス プール リストを最大 6 つ指定するには、グループ ポリシー属性コンフィギュレーション モードで ipv6- address-pools コマンドを使用します。グループ ポリシーから属性を削除し、別のグループ ポリシー ソースからの継承をイネーブルにするには、このコマンドの no 形式を使用します。
ipv6- address-pools value ipv6_ address_pool1 [... ipv6_ address_pool6 ]
no ipv6- address-pools value ipv6_ address_pool1 [... ipv6_ address_pool6 ]
ipv6 local pool コマンドで設定した最大 6 つの IPv6 アドレス プールの名前を指定します。各 IPv6 アドレス プール名を区切るには、スペースを使用します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IPv6 アドレス プールを設定するには、 ipv6 local pool コマンドを使用します。
ipv6-address-pools コマンドにプールを指定する順序は重要です。ASA では、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。
ipv6- address-pools none コマンドは、この属性が DefaultGrpPolicy など他のポリシーから継承されないようにします。 no ipv6-address-pools none コマンドは、コンフィギュレーションから ipv6-address-pools none コマンドを削除して、デフォルト値に戻します。これにより、継承が許可されます。
次に、グループ ポリシー属性コンフィギュレーション モードを開始し、アドレスをリモート クライアントに割り当てるために使用される IPv6 アドレス プールを firstipv6pool という名前で設定し、そのプールを GroupPolicy1 に関連付ける例を示します。
|
|
---|---|
DHCPv6 プレフィクス委任クライアントをイネーブルにするとともに、インターフェイスで取得されるプレフィックスに名前を付けるには、インターフェイス コンフィギュレーション モードで ipv6 dhcp client pd コマンドを使用します。クライアントをディセーブルにするには、このコマンドの no 形式を使用します。
このプレフィックスの名前を設定します。名前には最大 200 文字を使用できます。プレフィックス( ipv6 address prefix_name )を使用してインターフェイスに IP アドレスを割り当てるときに、この名前を使用します。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
1 つ以上のインターフェイスで DHCPv6 プレフィクス委任クライアントをイネーブルにします。ASA は、サブネット化して内部ネットワークに割り当てることができる 1 つ以上の IPv6 プレフィックスを取得します。通常、プレフィックス委任クライアントをイネーブルにしたインターフェイスは DHCPv6 アドレス クライアントを使用して IP アドレスを取得し、その他の ASA インターフェイスだけが、委任されたプレフィックスから取得されるアドレスを使用します。
次に、GigabitEthernet 0/0 で DHCPv6 アドレスクライアントおよびプレフィックス委任クライアントを設定した後に、アドレスをプレフィックスとともに GigabitEthernet 0/1 および 0/2 に割り当てる例を示します。
受信する委任されたプレフィクスに関する 1 つ以上のヒントを提供するには、インターフェイス コンフィギュレーション モードで ipv6 dhcp client pd hint コマンドを使用します。クライアントをディセーブルにするには、このコマンドの no 形式を使用します。
ipv6 dhcp client pd hint ipv6_prefix/prefix_length
no ipv6 dhcp client pd hint ipv6_prefix/prefix_length
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
通常、特定のプレフィクス長(::/60 など)を要求しますが、以前に特定のプレフィックスを受信しており、リースの期限が切れるときにそれを確実に再取得したい場合は、そのプレフィックスの全体をヒントとして入力できます。複数のヒント(異なるプレフィックスまたはプレフィックス長)を入力すると、どのヒントに従うのか、またはそもそもヒントに従うのかどうかが DHCP サーバによって決定されます。
次に、GigabitEthernet 0/0 で DHCPv6 アドレスクライアントおよびプレフィックス委任クライアントを設定した後に、アドレスをプレフィックスとともに GigabitEthernet 0/1 および 0/2 に割り当てる例を示します。
DHCPv6 サーバからステートレス アドレス自動設定(SLAAC)クライアントに提供させる情報を含む IPv6 DHCP プールを設定するには、グローバル コンフィギュレーション モードで ipv6 dhcp pool コマンドを使用します。プールを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
SLAAC をプレフィックス委任機能とともに使用するクライアントについては、情報要求(IR)パケットを ASA に送信する際に情報(DNS サーバ、ドメイン名など)を提供するように ASA を設定できます。ASA は IR パケットのみを受け入れます。また、アドレスをクライアントに割り当てません。 ipv6 dhcp server コマンドを使用して DHCPv6 ステートレス サーバを設定します。サーバをイネーブルにする場合は、このプール名を指定します。必要に応じてインターフェイスごとに個別のプールを設定できます。また、複数のインターフェイスで同じプールを使用することもできます。 ipv6 dhcp pool コマンドを入力した後に、クライアントに提供する 1 つ以上のパラメータを設定できます。
次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。
|
|
---|---|
ASA がプレフィックス委任クライアント インターフェイスで DHCPv6 サーバから取得した 1 つ以上のパラメータを使用し、その後、IR メッセージへの応答でそれらを SLAAC クライアントに提供します。 |
|
DHCPv6 プレフィックス委任クライアントによって獲得されたすべてのプレフィックスと、そのプレフィックスの他のプロセスへの ASA 配布を表示します。 |
|
インターフェイスで DHCPv6 リレー サービスをイネーブルにするには、グローバル コンフィギュレーション モードで ipv6 dhcprelay enable コマンドを使用します。DHCPv6 リレー サービスをディセーブルにするには、このコマンドの no 形式を使用します。
ipv6 dhcprelay enable interface
no ipv6 dhcprelay enable interface
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用すると、インターフェイスで DHCPv6 リレー サービスをイネーブルにすることができます。このサービスをイネーブルにすると、インターフェイスに対するクライアントからの着信 DHCPv6 メッセージ(他のリレー エージェントでリレーされたメッセージも含む)が、設定されているすべての発信リンクを介してすべての設定済みリレー宛先に転送されます。マルチ コンテキスト モードの場合は、複数のコンテキストで使用されているインターフェイス(つまり、共有インターフェイス)で DHCP リレー サービスをイネーブルにすることはできません。
次に、ASA の外部インターフェイスの DHCPv6 サーバ(IP アドレス 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701)に対する DHCPv6 リレー エージェントを設定する例を示します。クライアント要求の送信元は ASA の内部インターフェイスで、バインディングのタイムアウト値は 90 秒です。
|
|
---|---|
DHCPv6 サーバからの応答をリレー バインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さを秒単位で設定します。 |
クライアント メッセージの転送先となる IPv6 DHCP サーバの宛先アドレスを指定するには、グローバル コンフィギュレーション モードで ipv6 dhcprelay server コマンドを使用します。IPv6 DHCP サーバの宛先アドレスを削除するには、このコマンドの no 形式を使用します。
ipv6 dhcprelay server ipv6-address [ interface ]
no ipv6 dhcprelay server ipv6-address [ interface ]
リンク スコープのユニキャスト、マルチキャスト、サイト スコープのユニキャスト、またはグローバル IPv6 アドレスを指定できます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用すると、クライアント メッセージの転送先となる IPv6 DHCP サーバの宛先アドレスを指定できます。クライアントのメッセージは、この出力インターフェイスが接続されたリンクを経由して宛先アドレスに転送されます。指定したアドレスがリンク スコープのアドレスである場合は、インターフェイスを指定する必要があります。リレー宛先の指定は必須です。ループバックやノードローカルのマルチキャスト アドレスは指定できません。サーバは 1 つのコンテキストに対して 10 台まで指定できます。
次に、ASA の外部インターフェイスの DHCPv6 サーバ(IP アドレス 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701)に対する DHCPv6 リレー エージェントを設定する例を示します。クライアント要求の送信元は ASA の内部インターフェイスで、バインディングのタイムアウト値は 90 秒です。
|
|
---|---|
DHCPv6 サーバからの応答をリレー バインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さを秒単位で設定します。 |
DHCPv6 サーバからの応答をリレー バインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さ(秒数)を設定するには、グローバル コンフィギュレーション モードで ipv6 dhcprelay timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ipv6 dhcprelay timeout seconds
no ipv6 dhcprelay timeout seconds
DHCPv6 リレー アドレス ネゴシエーションの許容時間(秒数)を設定します。有効な値の範囲は、1 ~ 3600 です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用すると、DHCPv6 サーバからの応答をリレー バインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さを秒単位で設定できます。
次に、ASA の外部インターフェイスの DHCPv6 サーバ(IP アドレス 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701)に対する DHCPv6 リレー エージェントを設定する例を示します。クライアント要求の送信元は ASA の内部インターフェイスで、バインディングのタイムアウト値は 90 秒です。
|
|
---|---|
ステートレス アドレス自動設定(SLAAC)をプレフィックス委任機能とともに使用するクライアントについては、インターフェイス コンフィギュレーション モードで ipv6 dhcp server コマンドを使用して DHCPv6 ステートレス サーバを設定します。DHCP サーバをディセーブルにするには、このコマンドの no 形式を使用します。
ipv6 dhcp pool コマンドで設定した IPv6 プールの名前を設定します。このプールには、特定のインターフェイスでクライアントに提供する情報が含まれます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
SLAAC をプレフィックス委任機能とともに使用するクライアントについては、情報要求(IR)パケットを ASA に送信する際に情報(DNSサーバ、ドメイン名など)を提供するように ASA を設定できます。ASA は IR パケットのみを受け入れます。また、アドレスをクライアントに割り当てません。プレフィックス委任を設定するには、 ipv6 dhcp client pd コマンドを使用します。
次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。
IPv6 処理をイネーブルにする場合に、まだ明示的な IPv6 アドレスを設定していないときには、グローバル コンフィギュレーション モードで ipv6 enable コマンドを使用します。明示的な IPv6 アドレスでまだ設定されていないインターフェイスで IPv6 処理をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ipv6 enable コマンドは、インターフェイスに IPv6 リンクローカル ユニキャスト アドレスを自動的に設定し、さらにインターフェイスを IPv6 処理用にイネーブルにします。
明示的な IPv6 アドレスで設定されているインターフェイスで no ipv6 enable コマンドを実行しても、IPv6 処理はディセーブルになりません。
次に、選択したインターフェイスで IPv6 処理をイネーブルにする例を示します。
|
|
---|---|
ローカル リンク上の IPv6 アドレスに Modified EUI-64 形式のインターフェイス ID の使用を適用するには、グローバル コンフィギュレーション モードで ipv6 enforce-eui64 コマンドを使用します。Modified EUI-64 アドレス形式の適用をディセーブルにするには、このコマンドの no 形式を使用します。
Modified EUI-64 アドレス形式の適用をイネーブルにするインターフェイスの名前を nameif コマンドで指定されているとおりに指定します。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドがインターフェイスでイネーブルになっていると、そのインターフェイス ID が Modified EUI-64 形式を採用していることを確認するために、インターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに照らして確認されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を採用していない場合、パケットはドロップされ、次の syslog メッセージが生成されます。
アドレス形式の確認は、フローが作成される場合にのみ 実行されます。既存のフローからのパケットは確認されません。また、アドレスの 確認はローカル リンク上のホストに対してのみ実行できます。ルータの背後にあるホストから受信したパケットは、アドレス形式の検証に失敗してドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。
48 ビット リンク層(MAC)アドレスから Modified EUI-64 形式のインターフェイス ID を取得するには、リンク層アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)との間に 16 進数 FFFE を挿入します。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番めのビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。
次に、内部インターフェイスで受信した IPv6 アドレスに対して Modified EUI-64 形式の適用をイネーブルにする例を示します。
|
|
---|---|
インターフェイスの ICMP アクセス ルールを設定するには、グローバル コンフィギュレーション モードで ipv6 icmp コマンドを使用します。ICMP アクセス ルールを削除するには、このコマンドの no 形式を使用します。
ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name
no ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IPv6 の ICMP は、IPv4 の ICMP と同じ働きをします。ICMPv6 によって、ICMP 宛先到達不能メッセージなどのエラー メッセージや、ICMP エコー要求および応答メッセージのような情報メッセージが生成されます。さらに、IPv6 の ICMP パケットは IPv6 ネイバー探索プロセスおよびパス MTU ディスカバリに使用されます。
IPv6 対応インターフェイスで許可される最小 MTU は 1280 バイトです。ただし、IPsec がインターフェイスでイネーブルになっている場合、MTU 値は、IPsec 暗号化のオーバーヘッドのために 1380 未満に設定できません。インターフェイスを 1380 バイト未満に設定すると、パケットのドロップが発生する可能性があります。
インターフェイスに対して定義されている ICMP ルールがない場合、すべての IPv6 ICMP トラフィックが許可されます。
インターフェイスに対して定義されている ICMP ルールが複数ある場合は、最初に一致したルールから順に処理され、その後暗黙のすべて拒否ルールが続きます。たとえば、最初に一致したルールが許可ルールである場合、ICMP パケットは処理されます。最初に一致したルールが拒否ルールである場合、または ICMP パケットがそのインターフェイスのどのルールにも一致しなかった場合、ASA は ICMP パケットを廃棄し、syslog メッセージを生成します。
そのため、ICMP ルールを入力する順序が重要になります。特定のネットワークからの ICMP トラフィックをすべて拒否するルールを入力し、その後にそのネットワーク上の特定のホストからの ICMP トラフィックを許可するルールが続く場合、ホストのルールはいっさい処理されません。ICMP トラフィックは、ネットワークのルールによってブロックされます。ただし、ホストのルールを先に入力し、その後にネットワークのルールを続けた場合、そのホストからの ICMP トラフィックは許可され、そのネットワークからのそれ以外の ICMP トラフィックはブロックされます。
ipv6 icmp コマンドは、ASA インターフェイスで終了する ICMP トラフィックのアクセス ルールを設定します。パススルー ICMP トラフィックのアクセス ルールを設定するには、 ipv6 access-list コマンドを参照してください。
次に、外部インターフェイスですべての ping 要求を拒否し、すべての packet-too-big メッセージを許可する(パス MTU ディスカバリをサポートするため)方法を示します。
次に、ホスト 2000:0:0:4::2 またはプレフィックス 2001::/64 上のホストに対して外部インターフェイスへの ping を許可する例を示します。
|
|
---|---|
IPv6 アドレス プールを設定するには、グローバル コンフィギュレーション モードで ipv6 local pool コマンドを使用します。プールを削除するには、このコマンドの no 形式を使用します。
ipv6 local pool pool_name ipv6_address/prefix_length number_of_addresses
no ipv6 local pool pool_name ipv6_address/prefix_length number_of_addresses
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA クラスタリングをサポートするために、 ipv6 address コマンドでクラスタ プールとして IPv6 ローカル プールを指定できるようになりました。 |
VPN の場合、IPv6 ローカル プールを割り当てるには、トンネル グループで ipv6-local-pool コマンドを使用するか、またはグループ ポリシーで ipv6-address-pools (末尾の「s」に注意)コマンドを使用します。グループ ポリシーの ipv6-address-pools 設定は、トンネル グループの ipv6-address-pools 設定を上書きします。
次に、アドレスをリモート クライアントに割り当てるために使用する firstipv6pool という名前の IPv6 アドレス プールを設定する例を示します。
|
|
---|---|
重複アドレス検出時にインターフェイスに連続して送信されるネイバー送信要求メッセージの数を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd dad attempts コマンドを使用します。送信する重複アドレス検出メッセージの数をデフォルト値に戻すには、このコマンドの no 形式を使用します。
0 ~ 600 の数値。0 を入力すると、指定したインターフェイスでの重複アドレス検出がディセーブルになります。1 を入力すると、後続の送信なしの単一の送信が設定されます。デフォルト値は 1 メッセージです。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます(重複アドレス検出の実行中、新しいアドレスは一時的な状態になります)。重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。ネイバー送信要求メッセージの送信頻度を設定するには、 ipv6 nd ns-interval コマンドを使用します。
重複アドレス検出は、管理上ダウンしているインターフェイスでは停止します。インターフェイスが管理上ダウンしている間、そのインターフェイスに割り当てられたユニキャスト IPv6 アドレスは保留状態に設定されます。
インターフェイスが管理上アップ状態に戻ると、そのインターフェイスで重複アドレス検出が自動的に再起動されます。管理上アップ状態に戻っているインターフェイスでは、インターフェイス上のすべてのユニキャスト IPv6 アドレスを対象に重複アドレス検出が再起動されます。
(注) インターフェイスのリンクローカル アドレスで重複アドレス検出が実行されている間、他の IPv6 アドレスの状態は仮承諾に設定されたままとなります。リンクローカル アドレスで重複アドレス検出が完了すると、残りの IPv6 アドレスで重複アドレス検出が実行されます。
重複アドレス検出によって重複アドレスが特定された場合、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用されなくなります。重複アドレスがインターフェイスのリンクローカル アドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラー メッセージが発行されます。
重複アドレスがインターフェイスのグローバル アドレスである場合、そのアドレスは使用されず、次のようなエラー メッセージが発行されます。
アドレスの状態が DUPLICATE に設定されている間、重複アドレスに関連付けられたコンフィギュレーション コマンドはすべて設定済みのままとなります。
インターフェイスのリンクローカル アドレスが変更された場合、新しいリンクローカル アドレスで重複アドレス検出が実行され、インターフェイスに関連付けられた他のすべての IPv6 アドレスが再生成されます(重複アドレス検出は新規のリンクローカル アドレスでのみ実行されます)。
次に、重複アドレス検出がインターフェイスの仮承諾のユニキャスト IPv6 アドレスで実行された場合に、5 つ連続して送信されるネイバー送信要求メッセージを設定する例を示します。
次に、選択したインターフェイスで重複アドレス検出をディセーブルにする例を示します。
|
|
---|---|
IPv6 ルータ アドバタイズメント パケットの管理対象アドレス設定フラグを設定するように ASA を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd managed config-flag コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IPv6 自動設定クライアント ホストでは、このフラグを使用して、取得されるステートレス自動設定アドレスに加えて、ステートフル アドレス設定プロトコル(DHCPv6)に基づいてアドレスを取得する必要があることを示すことができます。
次に、インターフェイス GigabitEthernet 0/0 で IPv6 ルータ アドバタイズメント パケットの管理対象アドレス設定フラグを設定する例を示します。
|
|
---|---|
インターフェイスで IPv6 ネイバー送信要求メッセージが再送信される時間間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ns-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd ns-interval [ value ]
IPv6 ネイバー送信要求メッセージが送信される時間間隔(ミリ秒単位)。有効な値の範囲は、1000 ~ 3600000 ミリ秒です。デフォルト値は 1000 ミリ秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例では、GigabitEthernet 0/0 での IPv6 ネイバー送信要求の送信間隔を 9000 ミリ秒に設定します。
|
|
---|---|
IPv6 ルータ アドバタイズメント パケットの他の設定フラグを設定するように ASA を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd other-config-flag コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IPv6 自動設定クライアント ホストでは、このフラグを使用して、ステートフル アドレス設定プロトコル(DHCPv6)に基づいて DNS サーバなどの非アドレス設定情報を取得する必要があることを示すことができます。
次に、インターフェイス GigabitEthernet 0/0 で IPv6 ルータ アドバタイズメント パケットの他の設定フラグを設定する例を示します。
|
|
---|---|
IPv6 ルータ アドバタイズメントにどの IPv6 プレフィックスを含めるかを設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。
ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]
no ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]
IPv6 ルータ アドバタイズメントを発信するインターフェイスに設定されているすべてのプレフィックスが、有効ライフタイム 2592000 秒(30 日)および優先ライフタイム 604800 秒(7 日)でアドバタイズされます。どちらのライフタイムにも「onlink」フラグと「autoconfig」フラグが設定されます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用すると、プレフィックスをアドバタイズするかどうかなど、プレフィックスごとに個々のパラメータを制御できます。
デフォルトでは、 ipv6 address コマンドを使用してインターフェイスにアドレスとして設定されるプレフィックスは、ルータ アドバタイズメントでアドバタイズされます。 ipv6 nd prefix コマンドを使用してアドバタイズメント用にプレフィックスを設定した場合は、そのプレフィックスだけがアドバタイズされます。
default キーワードを使用すると、すべてのプレフィックスのデフォルト パラメータを設定できます。
プレフィックスの有効期限を指定するための日付を設定できます。有効な推奨ライフタイムは、リアルタイムでカウントダウンされます。有効期限に達すると、プレフィックスはアドバタイズされなくなります。
onlink が「on」(デフォルト)である場合、指定されたプレフィックスがそのリンクに割り当てられます。指定されたプレフィックスを含むそのようなアドレスにトラフィックを送信するノードは、宛先がリンク上でローカルに到達可能であると見なします。
autoconfig が「on」(デフォルト)である場合、ローカル リンク上のホストに対して、指定されたプレフィックスが IPv6 自動設定に使用できることを示します。
次に、有効ライフタイムを 1000 秒、優先ライフタイムを 900 秒にして、指定したインターフェイスから送信されるルータ アドバタイズメントに IPv6 プレフィックス 2001:200::/35 を含める例を示します。
|
|
---|---|
インターフェイス上で IPv6 ルータ アドバタイズメントの送信間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-interval コマンドを使用します。デフォルトの間隔に戻すには、このコマンドの no 形式を使用します。
ipv6 nd ra-interval [ msec ] value
no ipv6 nd ra-interval [[ msec ] value ]
(任意)指定される値がミリ秒単位であることを示します。このキーワードが指定されていない場合、指定される値は秒単位となります。 |
|
IPv6 ルータ アドバタイズメントの送信間隔。有効な値の範囲は、3 ~ 1800 秒であるか、 msec キーワードが指定されている場合には 500 ~ 1800000 ミリ秒です。デフォルトは 200 秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ipv6 nd ra-lifetime コマンドを使用して ASA がデフォルト ルータとして設定されている場合、送信間隔は IPv6 ルータ アドバタイズメントのライフタイム以下にする必要があります。他の IPv6 ノードとの同期を防止するには、実際に使用される値を指定値の 20 % 以内でランダムに調整します。
次に、選択したインターフェイスで IPv6 ルータ アドバタイズメントの間隔を 201 秒に設定する例を示します。
|
|
---|---|
インターフェイスの IPv6 ルータ アドバタイズメントの「ルータ ライフタイム」の値を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-lifetime コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd ra-lifetime [ seconds ]
ASA がこのインターフェイスでデフォルト ルータであることの有効性。有効な値の範囲は、0 ~ 9000 秒です。デフォルトは 1,800 秒です。0 は、ASA を、選択したインターフェイス上のデフォルト ルータと見なしてはならないことを示します。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
「ルータ ライフタイム」の値は、このインターフェイスから送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。値は、ASA がこのインターフェイス上でデフォルト ルータとして有効であることを示します。
値をゼロ以外の値に設定すると、ASA がこのインターフェイス上でデフォルト ルータであると見なされます。「ルータ ライフタイム」の値としてゼロ以外の値を設定する場合は、その値がルータ アドバタイズメント間隔以上でなければなりません。
次に、選択したインターフェイス上で IPv6 ルータ アドバタイズメントのライフタイムを 1801 秒に設定する例を示します。
|
|
---|---|
到達可能性確認イベントが発生した後でリモート IPv6 ノードが到達可能であると見なされる時間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd reachable-time コマンドを使用します。デフォルトの時間に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd reachable-time [ value ]
リモート IPv6 ノードが到達可能であると見なされる時間(ミリ秒単位)。有効な値の範囲は、0 ~ 3600000 ミリ秒です。デフォルト値は 0 です value 引数に 0 を使用すると、到達可能時間が未定のまま送信されます。到達可能時間の値を設定し、追跡するのは、受信デバイスの役割です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
時間を設定すると、使用不可能なネイバーの検出がイネーブルになります。設定時間を短くすると、使用不可能なネイバーをさらに迅速に検出できます。ただし、時間を短くすると、すべての IPv6 ネットワーク デバイスで IPv6 ネットワーク帯域幅および処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。
このコマンドが 0 に設定されている際の実際の値を含め、ASA で使用されている到達可能時間を参照するには、 show ipv6 interface コマンドを使用して、使用されている ND 到達可能時間など IPv6 インターフェイスに関する情報を表示します。
次に、選択したインターフェイスで IPv6 到達可能時間を 1700000 ミリ秒に設定する例を示します。
|
|
---|---|
LAN インターフェイスで IPv6 ルータ アドバタイズメントの送信を抑制するには、インターフェイス コンフィギュレーション モードで ipv6 nd suppress-ra コマンドを使用します。LAN インターフェイスで IPv6 ルータ アドバタイズメントの送信を再びイネーブルにするには、このコマンドの no 形式を使用します。
IPv6 ユニキャスト ルーティングがイネーブルになっている場合、ルータ アドバタイズメントは LAN インターフェイスで自動的に送信されます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
LAN 以外のインターフェイス タイプ(たとえばシリアル インターフェイスやトンネル インターフェイス)で IPv6 ルータ アドバタイズメントの送信をイネーブルにするには、 no ipv6 nd suppress-ra コマンドを使用します。
次に、選択したインターフェイスで IPv6 ルータ アドバタイズメントを抑制する例を示します。
|
|
---|---|
IPv6 ネイバー探索キャッシュにスタティック エントリを設定するには、グローバル コンフィギュレーション モードで ipv6 neighbor コマンドを使用します。ネイバー探索キャッシュからスタティック エントリを削除するには、このコマンドの no 形式を使用します。
ipv6 neighbor ipv6_address if_name mac_address
no ipv6 neighbor ipv6_address if_name [ mac_address ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ipv6 neighbor コマンドは、 arp コマンドに似ています。IPv6 ネイバー探索プロセスによる学習を通して、指定された IPv6 アドレスのエントリがネイバー探索キャッシュにすでに存在する場合、エントリは自動的にスタティック エントリに変換されます。これらのエントリは、 copy コマンドを使用してコンフィギュレーションを格納すると、コンフィギュレーションに格納されます。
IPv6 ネイバー探索キャッシュのスタティック エントリを表示するには、 show ipv6 neighbor コマンドを使用します。
clear ipv6 neighbors コマンドは、スタティック エントリを除いて IPv6 ネイバー探索キャッシュのすべてのエントリを削除します。 no ipv6 neighbor コマンドは、ネイバー探索キャッシュから指定のスタティック エントリを削除します。ダイナミック エントリ(IPv6 ネイバー探索プロセスから学習したエントリ)はキャッシュから削除されません。 no ipv6 enable コマンドを使用してインターフェイスで IPv6 をディセーブルにすると、スタティック エントリを除いて、そのインターフェイス用に設定されたすべての IPv6 ネイバー探索キャッシュ エントリが削除されます(エントリの状態が INCMP [Incomplete] に変更されます)。
次に、IPv6 アドレスを 3001:1::45A、MAC アドレスを 0002.7D1A.9472 にして、内部ホスト用のスタティック エントリをネイバー探索キャッシュに追加する例を示します。
|
|
---|---|
IPv6 の OSPFv3 インターフェイスのコンフィギュレーションをイネーブルにするには、グローバル コンフィギュレーション モードで ipv6 ospf コマンドを使用します。IPv6 の OSPFv3 インターフェイスのコンフィギュレーションをディセーブルにするには、このコマンドの no 形式を使用します。
ipv6 ospf [ process-id ] [ cost | database-filter | dead-interval seconds | flood-reduction | hello-interval seconds | mtu-ignore | neighbor | network | priority | retransmit-interval seconds | transmit-delay seconds ]
no ipv6 ospf [ process-id ] [ cost | database-filter | dead-interval seconds | flood-reduction | hello-interval seconds | mtu-ignore | neighbor | network | priority | retransmit-interval seconds | transmit-delay seconds ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、OSPFv3 インターフェイスのコンフィギュレーションをイネーブルにする例を示します。
|
|
---|---|
IPv6 の OSPFv3 エリアを作成するには、グローバル コンフィギュレーション モードで ipv6 ospf area コマンドを使用します。IPv6 の OSPFv3 エリアのコンフィギュレーションをディセーブルにするには、このコマンドの no 形式を使用します。
ipv6 ospf area [ area-num ] [ instance ]
no ipv6 ospf area [ area-num ] [ instance ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
OSPFv3 ルーティングは、それぞれのインターフェイスについて個別に設定する必要があります。OSPFv3 エリアは各インターフェイスに 1 つだけ設定することができ、ASA の OSPFv3 でサポートされるインスタンスはインターフェイスごとに 1 つだけです。使用されるエリア インスタンス ID はインターフェイスごとに異なります。エリア インスタンス ID は、OSPF パケットの受信にのみ影響し、OSPF の通常のインターフェイスと仮想リンクに適用されます。
次に、OSPFv3 インターフェイスのコンフィギュレーションをイネーブルにする例を示します。
|
|
---|---|
インターフェイスでパケットを送信するコストを明示的に指定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf cost コマンドを使用します。インターフェイスでパケットを送信するコストをデフォルト値にリセットするには、このコマンドの no 形式を使用します。
no ipv6 ospf cost interface-cost
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
|
|
---|---|
OSPFv3 インターフェイスへの発信 LSA をフィルタリングするには、インターフェイス コンフィギュレーション モードで ipv6 ospf databse-filter all out コマンドを使用します。インターフェイスに対する LSA の転送を元に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf database-filter all out
no ipv6 ospf database-filter all out
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、指定したインターフェイスへの発信 LSA をフィルタリングする例を示します。
|
|
---|---|
hello パケットを確認できないときにネイバーがルータのダウンを宣言するまでの時間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf dead-interval コマンドを使用します。デフォルト時間に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf dead-interval seconds
no ipv6 ospf dead-interval seconds
間隔を秒単位で指定します。この値はネットワーク上のすべてのノードで同じにする必要があります。有効値の範囲は 1 ~ 65535 です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、hello パケットを確認できないときにネイバーがルータのダウンを通知するまでの時間を設定する場合に使用します。
|
|
---|---|
インターフェイスの暗号化タイプを指定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf encryption コマンドを使用します。インターフェイスの暗号化タイプを削除するには、このコマンドの no 形式を使用します。
ipv6 ospf encryption { ipsec spi spi esp encryption-algorithm [[ key-encryption-type ] key ] authentication-algorithm [ key-encryption-type ] key | null }
no ipv6 ospf encryption { ipsec spi spi esp encryption-algorithm [[ key-encryption-type ] key ] authentication-algorithm [ key-encryption-type ] key | null }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、インターフェイスで SHA-1 暗号化をイネーブルにする例を示します。
|
|
---|---|
インターフェイスへの LSA のフラッディング削減を指定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf flood-reduction コマンドを使用します。インターフェイスへの LSA のフラッディング削減を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、インターフェイスへの LSA のフラッディング削減をイネーブルにする例を示します。
ciscoasa(config-if)# interface GigabitEthernet3/2.200
ip address 20.20.200.30 255.255.255.0 standby 20.20.200.31
ipv6 address 3001::1/64 standby 3001::8
ipv6 address 6001::1/64 standby 6001::8
|
|
---|---|
hello パケットを確認できないときにネイバーがルータのダウンを宣言するまでの時間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf dead-interval コマンドを使用します。デフォルト時間に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf dead-interval seconds
no ipv6 ospf dead-interval seconds
間隔を秒単位で指定します。この値はネットワーク上のすべてのノードで同じにする必要があります。有効値の範囲は 1 ~ 65535 です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、hello パケットを確認できないときにネイバーがルータのダウンを通知するまでの時間を設定する場合に使用します。
|
|
---|---|
ASA でデータベース記述子(DBD)パケットを受信した際の OSPFv3 最大伝送単位(MTU)不一致検出をディセーブルにするには、インターフェイス コンフィギュレーション モードで ipv6 ospf mtu-ignore コマンドを使用します。ASA で DBD パケットを受信した際の MTU 不一致検出をデフォルトの設定にリセットするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、ASA で DBD パケットを受信した際の OSPFv3 MTU 不一致検出をディセーブルにする場合に使用します。
次に、ASA で DBD パケットを受信した際の OSPFv3 MTU 不一致検出をディセーブルにする例を示します。
|
|
---|---|
非ブロードキャスト ネットワークへの OSPFv3 ルータの相互接続を設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf neighbor コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
ipv6 ospf neighbor ipv6-address [ priority number ] [ poll-interval seconds ] [ cost number ] [ database-filter ]
no ipv6 ospf neighbor ipv6-address [ priority number ] [ poll-interval seconds ] [ cost number ] [ database-filter ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
|
|
|
---|---|
次に、OSPFv3 ネイバー ルータを設定する例を示します。
|
|
---|---|
OSPFv3 ネットワーク タイプをデフォルト以外のタイプに設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf network コマンドを使用します。デフォルトのタイプに戻すには、このコマンドの no 形式を使用します。
ipv6 ospf network { broadcast | point-to-point non-broadcast }
no ipv6 ospf network { broadcast | point-to-point non-broadcast }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、OSPFv3 ネットワークをブロードキャスト ネットワークに設定する例を示します。
|
|
---|---|
指定したネットワークにおいて指定ルータを特定するためのルータのプライオリティを設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf priority コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf priority number-value
no ipv6 ospf priority number-value
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ルータのプライオリティを 4 に設定する例を示します。
|
|
---|---|
インターフェイスに属する隣接関係の LSA 再送信の間隔を指定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf retransmit-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf retransmit-interval seconds
no ipv6 ospf retransmit-interval seconds
再送信の間隔(秒数)を指定します。接続ネットワーク上の任意の 2 台のルータ間で想定される往復遅延より大きな値にする必要があります。有効値の範囲は、1 ~ 65535 秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
|
|
---|---|
インターフェイスでリンクステート更新パケットを送信するために必要とされる時間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf transmit-delay コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf transmit-delay seconds
no ipv6 ospf transmit-delay seconds
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、インターフェイスでリンクステート更新パケットを送信するために必要とされる時間を設定する場合に使用します。
|
|
---|---|
マッピングアドレスおよびポート(MAP)ドメイン内の基本マッピングルールの IPv6 プレフィックスを設定するには、MAP ドメインの基本マッピング ルール コンフィギュレーション モードで ipv6-prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。
ipv6-prefix ipv6_prefix/prefix_length
no ipv6-prefix ipv6_prefix/prefix_length
IPv6 プレフィックスは、カスタマーエッジ(CE)デバイスの IPv6 アドレスのアドレスプールを定義します。IPv6 プレフィックスおよびプレフィックス長(通常は 64)を指定しますが、8 未満を指定することはできません。異なる MAP ドメインで同じ IPv6 プレフィックスを使用することはできません。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IPv6 プレフィックスは、CE デバイスの IPv6 アドレスのアドレスプールを定義します。MAP は、このプレフィックスを持つ宛先アドレスと、デフォルトのマッピングルールで定義されている IPv6 プレフィックスを持つ送信元アドレスを持つパケットが、適切なポート範囲内にある場合にのみ、IPv6 パケットを IPv4 に戻します。他のアドレスから CE デバイスに送信されるすべての IPv6 パケットは、MAP を変換せずに IPv6 トラフィックとして処理されるだけです。MAP の送信元/宛先プールからのパケットは、範囲外のポートでは単にドロップされます。
次の例では、1 という名前の MAP-T ドメインを作成して、ドメインの変換ルールを設定しています。
|
|
---|---|
IPv6 プレフィックス リストのエントリを作成するには、グローバル コンフィギュレーション モードで ipv6 prefix-list コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
ipv6 prefix-list list-name [ seq seq-number ] { deny ipv6-prefix/prefix-length | permit ipv6-prefix/prefix-length | description text } [ ge ge-value ] [ le le-value ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
|
|
---|---|
IPv6 ルートを IPv6 ルーティング テーブルに追加するには、グローバル コンフィギュレーション モードで ipv6 route コマンドを使用します。IPv6 デフォルト ルートを削除するには、このコマンドの no 形式を使用します。
ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance | tunneled ]
no ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance | tunneled ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IPv6 ルーティング テーブルの内容を表示するには、 show ipv6 route コマンドを使用します。
トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義することができます。 tunneled オプションを使用してデフォルト ルートを作成すると、ASA に着信するトンネルからのすべてのトラフィックは、学習したルートまたはスタティック ルートを使用してルーティングできない場合、このルートに送信されます。トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。
tunneled オプションを使用したデフォルト ルートには、次の制約事項が適用されます。
tunneled オプションを使用して複数のデフォルト ルートは定義できません。トンネル トラフィックの ECMP はサポートされていません。
次に、アドミニストレーティブ ディスタンスを 110 にして、ネットワーク 7fff::0/32 のパケットを 3FFE:1100:0:CC00::1 にある内部インターフェイス上のネットワーキング デバイスにルーティングする例を示します。
|
|
---|---|
OSPFv3 ルーティング プロセスを作成し、IPv6 ルータ コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ipv6 router ospf コマンドを使用します。
ローカルに割り当てられる内部 ID を指定します。有効な値は 1 ~ 65535 の正の整数です。この番号は、IPv6 の OSPFv3 ルーティング プロセスをイネーブルにしたときに管理目的で割り当てられます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ipv6 router ospf コマンドは、ASA で実行される OSPFv3 ルーティング プロセスのグローバル コンフィギュレーション コマンドです。 ipv6 router ospf コマンドを入力すると、IPv6 ルータ コンフィギュレーション モードであることを示す (config-rtr)# コマンド プロンプトが表示されます。
no ipv6 router ospf コマンドを使用する場合は、必要な情報を指定する場合を除き、オプションの引数を指定する必要はありません。 no ipv6 router ospf コマンドは、 process-id 引数によって指定された OSPFv3 ルーティング プロセスを終了します 。process-id の値は、ASA においてローカルに割り当てます。OSPFv3 ルーティング プロセスごとに固有の値を割り当てる必要があります。最大 2 つのプロセスが使用できます。
IPv6 ルータ コンフィギュレーション モードの ipv6 router ospf コマンドでは、OSPFv3 固有の次のオプションを使用して OSPFv3 ルーティング プロセスを設定できます。
– GigabitEthernet :GigabitEthernet IEEE 802.3z インターフェイスを指定します。
– Management :管理インターフェイスを指定します。
– Port-channel :インターフェイスのイーサネット チャネルを指定します。
– Redundant :冗長インターフェイスを指定します。
– default :すべてのインターフェイス上でルーティングが更新されないようにします。
– A.B.C.D :IP アドレス形式の OSPF ルータ ID を指定します。
– cluster-pool :レイヤ 3 クラスタリングが設定されている場合に、IP アドレス プールを設定します。
次に、OSPFv3 ルーティング プロセスをイネーブルにし、IPv6 ルータ コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
IPv6 スプリット トンネリング ポリシーを設定するには、グループ ポリシー コンフィギュレーション モードで ipv6-split- tunnel-policy コマンドを使用します。実行コンフィギュレーションから ipv6-split-tunnel-policy 属性を削除するには、このコマンドの no 形式を使用します。
ipv6-split-tunnel-policy { tunnelall | tunnelspecified | excludespecified }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IPv6 スプリット トンネリングは、本来は、セキュリティ機能ではなくトラフィック管理機能です。最適なセキュリティを確保するには、IPv6 スプリット トンネリングをイネーブルにしないことを推奨します。
これにより、別のグループ ポリシーから IPv6 スプリット トンネリングの値を継承できます。
IPv6 スプリット トンネリングを使用すると、リモートアクセス VPN クライアントは、条件に応じて、パケットを IPsec または SSL IPv6 トンネルを介して暗号化された形式で送信したり、クリア テキスト形式でネットワーク インターフェイスに送信したりできます。IPv6 スプリット トンネリングをイネーブルにすると、宛先が IPsec または SSL VPN トンネル エンドポイントの反対側ではないパケットでは、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングは必要なくなります。
次に、FirstGroup という名前のグループ ポリシーに対して、指定したネットワークのみをトンネリングするスプリット トンネリング ポリシーを設定する例を示します。
ciscoasa(config)#
group-policy FirstGroup attributes
ciscoasa(config-group-policy)#
ipv6-split-tunnel-policy tunnelspecified
|
|
---|---|
IPv6 アドレスをリモート アクセス クライアントに割り当てる方法を指定するには、グローバル コンフィギュレーション モードで ipv6- vpn-addr-assign コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no バージョンを使用します。設定されている VPN アドレスの割り当て方法を ASA からすべて削除するには、引数なしで、このコマンドの no 形式を使用します。
ipv6-vpn-addr-assign { aaa | local }
no ipv6-vpn-addr-assign { aaa | local }
外部または内部(LOCAL)の AAA (認証、認可、アカウンティング)サーバからユーザ単位でアドレスを取得します。IP アドレスが設定された認証サーバを使用している場合は、この方式を使用することをお勧めします。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA では、AAA またはローカルのいずれかの方法でリモート アクセス クライアントに IPv6 アドレスを割り当てることができます。複数のアドレス割り当て方法を設定すると、ASA は IPv6 アドレスが見つかるまで各オプションを検索します。
次に、アドレス割り当て方法として AAA を設定する例を示します。
ciscoasa(config)# ipv6-vpn-addr-assign aaa
次に、アドレス割り当て方法としてローカル アドレス プールを使用するように設定する例を示します。
|
|
---|---|
VPN 接続に使用する IPv6 ACL の名前を指定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで ipv6-vpn-filter コマンドを使用します。 ipv6-vpn-filter none コマンドの発行によって作成されるヌル値を含め、ACL を削除するには、このコマンドの no 形式を使用します。
ipv6-vpn-filter { value IPV6-ACL-NAME | none }
アクセス リストがないことを示します。ヌル値を設定して、アクセス リストを使用できないようにします。アクセス リストを他のグループ ポリシーから継承しないようにします。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
クライアントレス SSL VPN は、 ipv6-vpn-filter コマンドに定義されている ACL を使用しません。
no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。値の継承を防止するには、 ipv6-vpn-filter none コマンドを使用します。
このユーザまたはグループ ポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。次に、 ipv6-vpn-filter コマンドを使用して、その ACL を適用します。
次に、FirstGroup というグループ ポリシーの ipv6_acl_vpn というアクセス リストを呼び出すフィルタを設定する例を示します。
ciscoasa(config)#
group-policy FirstGroup attributes
ciscoasa(config-group-policy)#
ipv6-vpn-filter value ipv6_acl_vpn
|
|
---|---|
ユニキャスト RPF をイネーブルにするには、グローバル コンフィギュレーション モードで ip verify reverse-path コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
ip verify reverse-path interface interface_name
no ip verify reverse-path interface interface_name
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Unicast RPF は、ルーティング テーブルに従い、すべてのパケットが正しい発信元インターフェイスと一致する送信元 IP アドレスを持っていることを確認して、IP スプーフィング(パケットが不正な送信元 IP アドレスを使用し、実際の送信元を隠蔽すること)から保護します。
通常、ASA は、パケットの転送先を判定するときに宛先アドレスだけを調べます。Unicast RPF は、送信元アドレスも調べるように ASA に指示します。そのため、逆経路転送(Reverse Path Forwarding)と呼ばれます。ASA の通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートを ASA のルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。
たとえば、外部トラフィックの場合、ASA はデフォルト ルートを使用して Unicast RPF 保護の条件を満たすことができます。トラフィックが外部インターフェイスから入り、送信元アドレスがルーティング テーブルにない場合、ASA はデフォルト ルートを使用して、外部インターフェイスを発信元インターフェイスとして正しく識別します。
ルーティング テーブルにあるアドレスから外部インターフェイスにトラフィックが入り、このアドレスが内部インターフェイスに関連付けられている場合、ASA はパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが入った場合は、一致するルート(デフォルト ルート)が外部インターフェイスを示しているため、ASA はパケットをドロップします。
次に、外部インターフェイスでユニキャスト RPF をイネーブルにする例を示します。
|
|
---|---|