Cisco ASA シリーズ コマンド リファレンス、I ~ R コマンド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2020年11月22日
章のタイトル: ipv4-prefix コマンド~ ip verify reverse-path コマンド
- ipv4-prefix
- ipv6 address
- ipv6-address-pool
- ipv6-address-pools
- ipv6 dhcp client pd
- ipv6 dhcp client pd hint
- ipv6 dhcp pool
- ipv6 dhcprelay enable
- ipv6 dhcprelay server
- ipv6 dhcprelay timeout
- ipv6 dhcp server
- ipv6 enable
- ipv6 enforce-eui64
- ipv6 icmp
- ipv6 local pool
- ipv6 nd dad attempts
- ipv6 nd managed-config-flag
- ipv6 nd ns-interval
- ipv6 nd other-config-flag
- ipv nd 6-prefix
- ipv6 nd ra-interval
- ipv6 nd ra-lifetime
- ipv6 nd reachable-time
- ipv6 nd suppress-ra
- ipv6 neighbor
- ipv6 ospf
- ipv6 ospf area
- ipv6 ospf cost
- ipv6 ospf database-filter all out
- ipv6 ospf dead-interval
- ipv6 ospf encryption
- ipv6 ospf flood-reduction
- ipv6 ospf hello-interval
- ipv6 ospf mtu-ignore
- ipv6 ospf neighbor
- ipv6 ospf network
- ipv6 ospf priority
- ipv6 ospf retransmit-interval
- ipv6 ospf transmit-delay
- ipv6-prefix
- ipv6 prefix-list
- ipv6 route
- ipv6 router ospf
- ipv6-split-tunnel-policy
- ipv6-vpn-address-assign
- ipv6-vpn-filter
- ip verify reverse-path
ipv4-prefix コマンド~ ip verify reverse-path コマンド
ipv4-prefix
マッピング アドレスおよびポート(MAP)ドメイン内の基本マッピング ルールの IPv4 プレフィックスを設定するには、MAP ドメインの基本マッピング ルール コンフィギュレーション モードで ipv4-prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。
ipv4-prefix ipv4_network_address ネットマスク
no ipv4-prefix ipv4_network_address ネットマスク
構文の説明
カスタマー エッジ(CE)デバイスの IPv4 アドレス プールを定義する IPv4 プレフィックス。ネットワーク アドレスとサブネット マスク(たとえば、192.168.3.0 255.255.255.0)を指定します。異なる MAP ドメインで同じ IPv4 プレフィックスを使用することはできません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv4 プレフィックスは、カスタマー エッジ(CE)デバイスの IPv4 アドレス プールを定義します。CE デバイスは、最初に IPv4 アドレスを、IPv4 プレフィックスによって定義されたプール内のアドレス(およびポート番号)に変換します。次に、MAP は、デフォルトのマッピング ルールのプレフィックスを使用して、この新しいアドレスを IPv6 アドレスに変換します。
例
次の例では、1 という名前の MAP-T ドメインを作成して、ドメインの変換ルールを設定しています。
関連コマンド
|
|
|
|---|---|
ipv6 address
IPv6 をイネーブルにし、インターフェイスで IPv6 アドレスを設定(ルーテッド モード)したり、ブリッジ グループまたは管理インターフェイス アドレスの IPv6 アドレスを設定(トランスペアレント モード)したりするには、 ipv6 address コマンドを使用します。IPv6 アドレスを削除するには、このコマンドの no 形式を使用します。
ipv6 address { autoconfig [ default trust { dhcp | ignore }] | dhcp [ default ] | ipv6_address / prefix_length [ standby ipv6_prefix | cluster-pool poolname ] | ipv6_prefix / prefix_length eui-64 | prefix_name ipv6_address / prefix_length | ipv6_address link-local [ standby ipv6_address ]}
no ipv6 address { autoconfig [ default trust { dhcp | ignore }] | dhcp [ default ] | ipv6_address / prefix_length [ standby ipv6_address | cluster-pool poolname ] | ipv6_prefix / prefix_length eui-64 | prefix_name ipv6_address / prefix_length | ipv6_address link-local [ standby ipv6_address ]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
トランスペアレント モード用にブリッジ グループが追加されました。BVI の IP アドレスを設定し、グローバルには設定しません。 |
|
使用上のガイドライン
インターフェイスに IPv6 アドレスを設定すると、そのインターフェイスで IPv6 がイネーブルになります。IPv6 アドレスを指定した後で ipv6 enable コマンドを使用する必要はありません。
シングル コンテキスト ルーテッド ファイアウォール モードでは、各インターフェイス アドレスはそれぞれ固有のサブネットに存在する必要があります。マルチ コンテキスト モードでは、このインターフェイスが共有インターフェイスにある場合、各 IP アドレスはそれぞれ固有であるものの、同じサブネットに存在する必要があります。インターフェイスが固有のものである場合、この IP アドレスを必要に応じて他のコンテキストで使用できます。
DHCPv6 およびプレフィクス委任オプションは、マルチ コンテキスト モードではサポートされていません。
トランスペアレント モードでは、IPv6 アドレスの手動設定のみがサポートされています。トランスペアレント ファイアウォールは、IP ルーティングに参加しません。ASA に必要な唯一の IP コンフィギュレーションは、BVI のアドレスを設定することです。このアドレスが必要になるのは、ASA がシステム メッセージや AAA サーバとの通信など ASA で発信されるトラフィックの送信元アドレスとしてこのアドレスを使用するためです。このアドレスは、リモート管理アクセスにも使用できます。このアドレスは、上流のルータおよび下流のルータと同じサブネットに存在する必要があります。マルチ コンテキスト モードの場合、各コンテキスト内の管理 IP アドレスを設定します。管理インターフェイスを含むモデルの場合は、このインターフェイスの IP アドレスを管理用に設定することもできます。
スタンバイ IP アドレスは、メイン IP アドレスと同じサブネットに存在する必要があります。
個々のインターフェイスのクラスタ プールは、クラスタ インターフェイス モードを個別インターフェイスに設定( cluster-interface mode individual )してからでないと設定できません。唯一の例外は管理専用インターフェイスです。
例
次に、選択したインターフェイスのグローバル アドレスとして 2001:0DB8:BA98::3210/64 を割り当て、スタンバイ ユニットの対応するインターフェイスのアドレスとして 2001:0DB8:BA98::3211 を割り当てる例を示します。
次に、選択したインターフェイスに自動的に IPv6 アドレスを割り当てる例を示します。
次に、IPv6 プレフィックス 2001:0DB8:BA98::/64 を選択したインターフェイスに割り当て、アドレスの下位 64 ビットに EUI-64 インターフェイス ID を指定する例を示します。このデバイスがフェールオーバー ペアの一部である場合は、 standby キーワードを指定する必要がありません。スタンバイ アドレスは、Modified EUI-64 インターフェイス ID を使用して自動的に作成されます。
次に、選択したインターフェイスのリンクレベル アドレスとして FE80::260:3EFF:FE11:6670 を割り当てる例を示します。
次に、フェールオーバー ペアのプライマリ ユニットで選択したインターフェイスのリンクレベル アドレスとして FE80::260:3EFF:FE11:6670 を割り当て、セカンダリ ユニットの対応するインターフェイスのリンクレベル アドレスとして FE80::260:3EFF:FE11:6671 を割り当てる例を示します。
次に、委任されたプレフィクスを補完するためのアドレスとして ::1:0:0:0:1/64 を割り当てる例を示します。
関連コマンド
|
|
|
|---|---|
ipv6-address-pool
アドレスをリモート クライアントに割り当てるための IPv6 アドレス プール リストを指定するには、トンネル グループ一般属性コンフィギュレーション モードで ipv6-address-pool コマンドを使用します。IPv6 アドレス プールを削除するには、このコマンドの no 形式を使用します。
ipv6-address-pool [( interface_name)] ipv6_address_pool1 [... ipv6_ address_pool6 ]
no ipv6-address-pool [( interface_name)] ipv6_ address_pool1 [... ipv6_ address_pool6 ]
構文の説明
ipv6 local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
これらのコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスが指定されていない場合、コマンドは明示的に参照されていないインターフェイスすべてに対してデフォルトを指定します。
グループ ポリシーの ipv6-address-pools コマンドの IPv6 アドレス プール設定は、トンネル グループの ipv6-address-pool コマンドの IPv6 アドレス プール設定を上書きします。
プールの指定順序は重要です。ASA では、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。
例
次に、トンネル グループ一般属性コンフィギュレーション モードを開始し、IPsec リモート アクセス トンネル グループ テスト用に、アドレスをリモート クライアントに割り当てるための IPv6 アドレス プール リストを指定する例を示します。
関連コマンド
|
|
|
|---|---|
グループ ポリシーの IPv6 アドレス プール設定を設定します。これらの設定は、トンネル グループの IPv6 アドレス プール設定を上書きします。 |
|
ipv6-address-pools
アドレスをリモート クライアントに割り当てるための IPv6 アドレス プール リストを最大 6 つ指定するには、グループ ポリシー属性コンフィギュレーション モードで ipv6- address-pools コマンドを使用します。グループ ポリシーから属性を削除し、別のグループ ポリシー ソースからの継承をイネーブルにするには、このコマンドの no 形式を使用します。
ipv6- address-pools value ipv6_ address_pool1 [... ipv6_ address_pool6 ]
no ipv6- address-pools value ipv6_ address_pool1 [... ipv6_ address_pool6 ]
構文の説明
ipv6 local pool コマンドで設定した最大 6 つの IPv6 アドレス プールの名前を指定します。各 IPv6 アドレス プール名を区切るには、スペースを使用します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 アドレス プールを設定するには、 ipv6 local pool コマンドを使用します。
ipv6-address-pools コマンドにプールを指定する順序は重要です。ASA では、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。
ipv6- address-pools none コマンドは、この属性が DefaultGrpPolicy など他のポリシーから継承されないようにします。 no ipv6-address-pools none コマンドは、コンフィギュレーションから ipv6-address-pools none コマンドを削除して、デフォルト値に戻します。これにより、継承が許可されます。
例
次に、グループ ポリシー属性コンフィギュレーション モードを開始し、アドレスをリモート クライアントに割り当てるために使用される IPv6 アドレス プールを firstipv6pool という名前で設定し、そのプールを GroupPolicy1 に関連付ける例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 dhcp client pd
DHCPv6 プレフィクス委任クライアントをイネーブルにするとともに、インターフェイスで取得されるプレフィックスに名前を付けるには、インターフェイス コンフィギュレーション モードで ipv6 dhcp client pd コマンドを使用します。クライアントをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
このプレフィックスの名前を設定します。名前には最大 200 文字を使用できます。プレフィックス( ipv6 address prefix_name )を使用してインターフェイスに IP アドレスを割り当てるときに、この名前を使用します。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
1 つ以上のインターフェイスで DHCPv6 プレフィクス委任クライアントをイネーブルにします。ASA は、サブネット化して内部ネットワークに割り当てることができる 1 つ以上の IPv6 プレフィックスを取得します。通常、プレフィックス委任クライアントをイネーブルにしたインターフェイスは DHCPv6 アドレス クライアントを使用して IP アドレスを取得し、その他の ASA インターフェイスだけが、委任されたプレフィックスから取得されるアドレスを使用します。
例
次に、GigabitEthernet 0/0 で DHCPv6 アドレスクライアントおよびプレフィックス委任クライアントを設定した後に、アドレスをプレフィックスとともに GigabitEthernet 0/1 および 0/2 に割り当てる例を示します。
関連コマンド
ipv6 dhcp client pd hint
受信する委任されたプレフィクスに関する 1 つ以上のヒントを提供するには、インターフェイス コンフィギュレーション モードで ipv6 dhcp client pd hint コマンドを使用します。クライアントをディセーブルにするには、このコマンドの no 形式を使用します。
ipv6 dhcp client pd hint ipv6_prefix/prefix_length
no ipv6 dhcp client pd hint ipv6_prefix/prefix_length
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
通常、特定のプレフィクス長(::/60 など)を要求しますが、以前に特定のプレフィックスを受信しており、リースの期限が切れるときにそれを確実に再取得したい場合は、そのプレフィックスの全体をヒントとして入力できます。複数のヒント(異なるプレフィックスまたはプレフィックス長)を入力すると、どのヒントに従うのか、またはそもそもヒントに従うのかどうかが DHCP サーバによって決定されます。
例
次に、GigabitEthernet 0/0 で DHCPv6 アドレスクライアントおよびプレフィックス委任クライアントを設定した後に、アドレスをプレフィックスとともに GigabitEthernet 0/1 および 0/2 に割り当てる例を示します。
関連コマンド
ipv6 dhcp pool
DHCPv6 サーバからステートレス アドレス自動設定(SLAAC)クライアントに提供させる情報を含む IPv6 DHCP プールを設定するには、グローバル コンフィギュレーション モードで ipv6 dhcp pool コマンドを使用します。プールを削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SLAAC をプレフィックス委任機能とともに使用するクライアントについては、情報要求(IR)パケットを ASA に送信する際に情報(DNS サーバ、ドメイン名など)を提供するように ASA を設定できます。ASA は IR パケットのみを受け入れます。また、アドレスをクライアントに割り当てません。 ipv6 dhcp server コマンドを使用して DHCPv6 ステートレス サーバを設定します。サーバをイネーブルにする場合は、このプール名を指定します。必要に応じてインターフェイスごとに個別のプールを設定できます。また、複数のインターフェイスで同じプールを使用することもできます。 ipv6 dhcp pool コマンドを入力した後に、クライアントに提供する 1 つ以上のパラメータを設定できます。
例
次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。
関連コマンド
|
|
|
|---|---|
ASA がプレフィックス委任クライアント インターフェイスで DHCPv6 サーバから取得した 1 つ以上のパラメータを使用し、その後、IR メッセージへの応答でそれらを SLAAC クライアントに提供します。 |
|
DHCPv6 プレフィックス委任クライアントによって獲得されたすべてのプレフィックスと、そのプレフィックスの他のプロセスへの ASA 配布を表示します。 |
|
ipv6 dhcprelay enable
インターフェイスで DHCPv6 リレー サービスをイネーブルにするには、グローバル コンフィギュレーション モードで ipv6 dhcprelay enable コマンドを使用します。DHCPv6 リレー サービスをディセーブルにするには、このコマンドの no 形式を使用します。
ipv6 dhcprelay enable interface
no ipv6 dhcprelay enable interface
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、インターフェイスで DHCPv6 リレー サービスをイネーブルにすることができます。このサービスをイネーブルにすると、インターフェイスに対するクライアントからの着信 DHCPv6 メッセージ(他のリレー エージェントでリレーされたメッセージも含む)が、設定されているすべての発信リンクを介してすべての設定済みリレー宛先に転送されます。マルチ コンテキスト モードの場合は、複数のコンテキストで使用されているインターフェイス(つまり、共有インターフェイス)で DHCP リレー サービスをイネーブルにすることはできません。
例
次に、ASA の外部インターフェイスの DHCPv6 サーバ(IP アドレス 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701)に対する DHCPv6 リレー エージェントを設定する例を示します。クライアント要求の送信元は ASA の内部インターフェイスで、バインディングのタイムアウト値は 90 秒です。
関連コマンド
|
|
|
|---|---|
DHCPv6 サーバからの応答をリレー バインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さを秒単位で設定します。 |
ipv6 dhcprelay server
クライアント メッセージの転送先となる IPv6 DHCP サーバの宛先アドレスを指定するには、グローバル コンフィギュレーション モードで ipv6 dhcprelay server コマンドを使用します。IPv6 DHCP サーバの宛先アドレスを削除するには、このコマンドの no 形式を使用します。
ipv6 dhcprelay server ipv6-address [ interface ]
no ipv6 dhcprelay server ipv6-address [ interface ]
構文の説明
リンク スコープのユニキャスト、マルチキャスト、サイト スコープのユニキャスト、またはグローバル IPv6 アドレスを指定できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、クライアント メッセージの転送先となる IPv6 DHCP サーバの宛先アドレスを指定できます。クライアントのメッセージは、この出力インターフェイスが接続されたリンクを経由して宛先アドレスに転送されます。指定したアドレスがリンク スコープのアドレスである場合は、インターフェイスを指定する必要があります。リレー宛先の指定は必須です。ループバックやノードローカルのマルチキャスト アドレスは指定できません。サーバは 1 つのコンテキストに対して 10 台まで指定できます。
例
次に、ASA の外部インターフェイスの DHCPv6 サーバ(IP アドレス 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701)に対する DHCPv6 リレー エージェントを設定する例を示します。クライアント要求の送信元は ASA の内部インターフェイスで、バインディングのタイムアウト値は 90 秒です。
関連コマンド
|
|
|
|---|---|
DHCPv6 サーバからの応答をリレー バインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さを秒単位で設定します。 |
ipv6 dhcprelay timeout
DHCPv6 サーバからの応答をリレー バインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さ(秒数)を設定するには、グローバル コンフィギュレーション モードで ipv6 dhcprelay timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ipv6 dhcprelay timeout seconds
no ipv6 dhcprelay timeout seconds
構文の説明
DHCPv6 リレー アドレス ネゴシエーションの許容時間(秒数)を設定します。有効な値の範囲は、1 ~ 3600 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、DHCPv6 サーバからの応答をリレー バインディング構造を通して DHCPv6 クライアントに渡すときに許容する時間の長さを秒単位で設定できます。
例
次に、ASA の外部インターフェイスの DHCPv6 サーバ(IP アドレス 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701)に対する DHCPv6 リレー エージェントを設定する例を示します。クライアント要求の送信元は ASA の内部インターフェイスで、バインディングのタイムアウト値は 90 秒です。
関連コマンド
|
|
|
|---|---|
ipv6 dhcp server
ステートレス アドレス自動設定(SLAAC)をプレフィックス委任機能とともに使用するクライアントについては、インターフェイス コンフィギュレーション モードで ipv6 dhcp server コマンドを使用して DHCPv6 ステートレス サーバを設定します。DHCP サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
ipv6 dhcp pool コマンドで設定した IPv6 プールの名前を設定します。このプールには、特定のインターフェイスでクライアントに提供する情報が含まれます。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SLAAC をプレフィックス委任機能とともに使用するクライアントについては、情報要求(IR)パケットを ASA に送信する際に情報(DNSサーバ、ドメイン名など)を提供するように ASA を設定できます。ASA は IR パケットのみを受け入れます。また、アドレスをクライアントに割り当てません。プレフィックス委任を設定するには、 ipv6 dhcp client pd コマンドを使用します。
例
次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。
関連コマンド
ipv6 enable
IPv6 処理をイネーブルにする場合に、まだ明示的な IPv6 アドレスを設定していないときには、グローバル コンフィギュレーション モードで ipv6 enable コマンドを使用します。明示的な IPv6 アドレスでまだ設定されていないインターフェイスで IPv6 処理をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 enable コマンドは、インターフェイスに IPv6 リンクローカル ユニキャスト アドレスを自動的に設定し、さらにインターフェイスを IPv6 処理用にイネーブルにします。
明示的な IPv6 アドレスで設定されているインターフェイスで no ipv6 enable コマンドを実行しても、IPv6 処理はディセーブルになりません。
例
次に、選択したインターフェイスで IPv6 処理をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 enforce-eui64
ローカル リンク上の IPv6 アドレスに Modified EUI-64 形式のインターフェイス ID の使用を適用するには、グローバル コンフィギュレーション モードで ipv6 enforce-eui64 コマンドを使用します。Modified EUI-64 アドレス形式の適用をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
Modified EUI-64 アドレス形式の適用をイネーブルにするインターフェイスの名前を nameif コマンドで指定されているとおりに指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドがインターフェイスでイネーブルになっていると、そのインターフェイス ID が Modified EUI-64 形式を採用していることを確認するために、インターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに照らして確認されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を採用していない場合、パケットはドロップされ、次の syslog メッセージが生成されます。
アドレス形式の確認は、フローが作成される場合にのみ 実行されます。既存のフローからのパケットは確認されません。また、アドレスの 確認はローカル リンク上のホストに対してのみ実行できます。ルータの背後にあるホストから受信したパケットは、アドレス形式の検証に失敗してドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。
48 ビット リンク層(MAC)アドレスから Modified EUI-64 形式のインターフェイス ID を取得するには、リンク層アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)との間に 16 進数 FFFE を挿入します。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番めのビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。
例
次に、内部インターフェイスで受信した IPv6 アドレスに対して Modified EUI-64 形式の適用をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 icmp
インターフェイスの ICMP アクセス ルールを設定するには、グローバル コンフィギュレーション モードで ipv6 icmp コマンドを使用します。ICMP アクセス ルールを削除するには、このコマンドの no 形式を使用します。
ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name
no ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 の ICMP は、IPv4 の ICMP と同じ働きをします。ICMPv6 によって、ICMP 宛先到達不能メッセージなどのエラー メッセージや、ICMP エコー要求および応答メッセージのような情報メッセージが生成されます。さらに、IPv6 の ICMP パケットは IPv6 ネイバー探索プロセスおよびパス MTU ディスカバリに使用されます。
IPv6 対応インターフェイスで許可される最小 MTU は 1280 バイトです。ただし、IPsec がインターフェイスでイネーブルになっている場合、MTU 値は、IPsec 暗号化のオーバーヘッドのために 1380 未満に設定できません。インターフェイスを 1380 バイト未満に設定すると、パケットのドロップが発生する可能性があります。
インターフェイスに対して定義されている ICMP ルールがない場合、すべての IPv6 ICMP トラフィックが許可されます。
インターフェイスに対して定義されている ICMP ルールが複数ある場合は、最初に一致したルールから順に処理され、その後暗黙のすべて拒否ルールが続きます。たとえば、最初に一致したルールが許可ルールである場合、ICMP パケットは処理されます。最初に一致したルールが拒否ルールである場合、または ICMP パケットがそのインターフェイスのどのルールにも一致しなかった場合、ASA は ICMP パケットを廃棄し、syslog メッセージを生成します。
そのため、ICMP ルールを入力する順序が重要になります。特定のネットワークからの ICMP トラフィックをすべて拒否するルールを入力し、その後にそのネットワーク上の特定のホストからの ICMP トラフィックを許可するルールが続く場合、ホストのルールはいっさい処理されません。ICMP トラフィックは、ネットワークのルールによってブロックされます。ただし、ホストのルールを先に入力し、その後にネットワークのルールを続けた場合、そのホストからの ICMP トラフィックは許可され、そのネットワークからのそれ以外の ICMP トラフィックはブロックされます。
ipv6 icmp コマンドは、ASA インターフェイスで終了する ICMP トラフィックのアクセス ルールを設定します。パススルー ICMP トラフィックのアクセス ルールを設定するには、 ipv6 access-list コマンドを参照してください。
例
次に、外部インターフェイスですべての ping 要求を拒否し、すべての packet-too-big メッセージを許可する(パス MTU ディスカバリをサポートするため)方法を示します。
次に、ホスト 2000:0:0:4::2 またはプレフィックス 2001::/64 上のホストに対して外部インターフェイスへの ping を許可する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 local pool
IPv6 アドレス プールを設定するには、グローバル コンフィギュレーション モードで ipv6 local pool コマンドを使用します。プールを削除するには、このコマンドの no 形式を使用します。
ipv6 local pool pool_name ipv6_address/prefix_length number_of_addresses
no ipv6 local pool pool_name ipv6_address/prefix_length number_of_addresses
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
ASA クラスタリングをサポートするために、 ipv6 address コマンドでクラスタ プールとして IPv6 ローカル プールを指定できるようになりました。 |
使用上のガイドライン
VPN の場合、IPv6 ローカル プールを割り当てるには、トンネル グループで ipv6-local-pool コマンドを使用するか、またはグループ ポリシーで ipv6-address-pools (末尾の「s」に注意)コマンドを使用します。グループ ポリシーの ipv6-address-pools 設定は、トンネル グループの ipv6-address-pools 設定を上書きします。
例
次に、アドレスをリモート クライアントに割り当てるために使用する firstipv6pool という名前の IPv6 アドレス プールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd dad attempts
重複アドレス検出時にインターフェイスに連続して送信されるネイバー送信要求メッセージの数を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd dad attempts コマンドを使用します。送信する重複アドレス検出メッセージの数をデフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
0 ~ 600 の数値。0 を入力すると、指定したインターフェイスでの重複アドレス検出がディセーブルになります。1 を入力すると、後続の送信なしの単一の送信が設定されます。デフォルト値は 1 メッセージです。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます(重複アドレス検出の実行中、新しいアドレスは一時的な状態になります)。重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。ネイバー送信要求メッセージの送信頻度を設定するには、 ipv6 nd ns-interval コマンドを使用します。
重複アドレス検出は、管理上ダウンしているインターフェイスでは停止します。インターフェイスが管理上ダウンしている間、そのインターフェイスに割り当てられたユニキャスト IPv6 アドレスは保留状態に設定されます。
インターフェイスが管理上アップ状態に戻ると、そのインターフェイスで重複アドレス検出が自動的に再起動されます。管理上アップ状態に戻っているインターフェイスでは、インターフェイス上のすべてのユニキャスト IPv6 アドレスを対象に重複アドレス検出が再起動されます。
(注
) インターフェイスのリンクローカル アドレスで重複アドレス検出が実行されている間、他の IPv6 アドレスの状態は仮承諾に設定されたままとなります。リンクローカル アドレスで重複アドレス検出が完了すると、残りの IPv6 アドレスで重複アドレス検出が実行されます。
重複アドレス検出によって重複アドレスが特定された場合、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用されなくなります。重複アドレスがインターフェイスのリンクローカル アドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラー メッセージが発行されます。
重複アドレスがインターフェイスのグローバル アドレスである場合、そのアドレスは使用されず、次のようなエラー メッセージが発行されます。
アドレスの状態が DUPLICATE に設定されている間、重複アドレスに関連付けられたコンフィギュレーション コマンドはすべて設定済みのままとなります。
インターフェイスのリンクローカル アドレスが変更された場合、新しいリンクローカル アドレスで重複アドレス検出が実行され、インターフェイスに関連付けられた他のすべての IPv6 アドレスが再生成されます(重複アドレス検出は新規のリンクローカル アドレスでのみ実行されます)。
例
次に、重複アドレス検出がインターフェイスの仮承諾のユニキャスト IPv6 アドレスで実行された場合に、5 つ連続して送信されるネイバー送信要求メッセージを設定する例を示します。
次に、選択したインターフェイスで重複アドレス検出をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd managed-config-flag
IPv6 ルータ アドバタイズメント パケットの管理対象アドレス設定フラグを設定するように ASA を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd managed config-flag コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 自動設定クライアント ホストでは、このフラグを使用して、取得されるステートレス自動設定アドレスに加えて、ステートフル アドレス設定プロトコル(DHCPv6)に基づいてアドレスを取得する必要があることを示すことができます。
例
次に、インターフェイス GigabitEthernet 0/0 で IPv6 ルータ アドバタイズメント パケットの管理対象アドレス設定フラグを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd ns-interval
インターフェイスで IPv6 ネイバー送信要求メッセージが再送信される時間間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ns-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd ns-interval [ value ]
構文の説明
IPv6 ネイバー送信要求メッセージが送信される時間間隔(ミリ秒単位)。有効な値の範囲は、1000 ~ 3600000 ミリ秒です。デフォルト値は 1000 ミリ秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、GigabitEthernet 0/0 での IPv6 ネイバー送信要求の送信間隔を 9000 ミリ秒に設定します。
関連コマンド
|
|
|
|---|---|
ipv6 nd other-config-flag
IPv6 ルータ アドバタイズメント パケットの他の設定フラグを設定するように ASA を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd other-config-flag コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 自動設定クライアント ホストでは、このフラグを使用して、ステートフル アドレス設定プロトコル(DHCPv6)に基づいて DNS サーバなどの非アドレス設定情報を取得する必要があることを示すことができます。
例
次に、インターフェイス GigabitEthernet 0/0 で IPv6 ルータ アドバタイズメント パケットの他の設定フラグを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv nd 6-prefix
IPv6 ルータ アドバタイズメントにどの IPv6 プレフィックスを含めるかを設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。
ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]
no ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]
構文の説明
デフォルト
IPv6 ルータ アドバタイズメントを発信するインターフェイスに設定されているすべてのプレフィックスが、有効ライフタイム 2592000 秒(30 日)および優先ライフタイム 604800 秒(7 日)でアドバタイズされます。どちらのライフタイムにも「onlink」フラグと「autoconfig」フラグが設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、プレフィックスをアドバタイズするかどうかなど、プレフィックスごとに個々のパラメータを制御できます。
デフォルトでは、 ipv6 address コマンドを使用してインターフェイスにアドレスとして設定されるプレフィックスは、ルータ アドバタイズメントでアドバタイズされます。 ipv6 nd prefix コマンドを使用してアドバタイズメント用にプレフィックスを設定した場合は、そのプレフィックスだけがアドバタイズされます。
default キーワードを使用すると、すべてのプレフィックスのデフォルト パラメータを設定できます。
プレフィックスの有効期限を指定するための日付を設定できます。有効な推奨ライフタイムは、リアルタイムでカウントダウンされます。有効期限に達すると、プレフィックスはアドバタイズされなくなります。
onlink が「on」(デフォルト)である場合、指定されたプレフィックスがそのリンクに割り当てられます。指定されたプレフィックスを含むそのようなアドレスにトラフィックを送信するノードは、宛先がリンク上でローカルに到達可能であると見なします。
autoconfig が「on」(デフォルト)である場合、ローカル リンク上のホストに対して、指定されたプレフィックスが IPv6 自動設定に使用できることを示します。
例
次に、有効ライフタイムを 1000 秒、優先ライフタイムを 900 秒にして、指定したインターフェイスから送信されるルータ アドバタイズメントに IPv6 プレフィックス 2001:200::/35 を含める例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd ra-interval
インターフェイス上で IPv6 ルータ アドバタイズメントの送信間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-interval コマンドを使用します。デフォルトの間隔に戻すには、このコマンドの no 形式を使用します。
ipv6 nd ra-interval [ msec ] value
no ipv6 nd ra-interval [[ msec ] value ]
構文の説明
(任意)指定される値がミリ秒単位であることを示します。このキーワードが指定されていない場合、指定される値は秒単位となります。 |
|
IPv6 ルータ アドバタイズメントの送信間隔。有効な値の範囲は、3 ~ 1800 秒であるか、 msec キーワードが指定されている場合には 500 ~ 1800000 ミリ秒です。デフォルトは 200 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 nd ra-lifetime コマンドを使用して ASA がデフォルト ルータとして設定されている場合、送信間隔は IPv6 ルータ アドバタイズメントのライフタイム以下にする必要があります。他の IPv6 ノードとの同期を防止するには、実際に使用される値を指定値の 20 % 以内でランダムに調整します。
例
次に、選択したインターフェイスで IPv6 ルータ アドバタイズメントの間隔を 201 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd ra-lifetime
インターフェイスの IPv6 ルータ アドバタイズメントの「ルータ ライフタイム」の値を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-lifetime コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd ra-lifetime [ seconds ]
構文の説明
ASA がこのインターフェイスでデフォルト ルータであることの有効性。有効な値の範囲は、0 ~ 9000 秒です。デフォルトは 1,800 秒です。0 は、ASA を、選択したインターフェイス上のデフォルト ルータと見なしてはならないことを示します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
「ルータ ライフタイム」の値は、このインターフェイスから送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。値は、ASA がこのインターフェイス上でデフォルト ルータとして有効であることを示します。
値をゼロ以外の値に設定すると、ASA がこのインターフェイス上でデフォルト ルータであると見なされます。「ルータ ライフタイム」の値としてゼロ以外の値を設定する場合は、その値がルータ アドバタイズメント間隔以上でなければなりません。
例
次に、選択したインターフェイス上で IPv6 ルータ アドバタイズメントのライフタイムを 1801 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd reachable-time
到達可能性確認イベントが発生した後でリモート IPv6 ノードが到達可能であると見なされる時間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd reachable-time コマンドを使用します。デフォルトの時間に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd reachable-time [ value ]
構文の説明
リモート IPv6 ノードが到達可能であると見なされる時間(ミリ秒単位)。有効な値の範囲は、0 ~ 3600000 ミリ秒です。デフォルト値は 0 です value 引数に 0 を使用すると、到達可能時間が未定のまま送信されます。到達可能時間の値を設定し、追跡するのは、受信デバイスの役割です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
時間を設定すると、使用不可能なネイバーの検出がイネーブルになります。設定時間を短くすると、使用不可能なネイバーをさらに迅速に検出できます。ただし、時間を短くすると、すべての IPv6 ネットワーク デバイスで IPv6 ネットワーク帯域幅および処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。
このコマンドが 0 に設定されている際の実際の値を含め、ASA で使用されている到達可能時間を参照するには、 show ipv6 interface コマンドを使用して、使用されている ND 到達可能時間など IPv6 インターフェイスに関する情報を表示します。
例
次に、選択したインターフェイスで IPv6 到達可能時間を 1700000 ミリ秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd suppress-ra
LAN インターフェイスで IPv6 ルータ アドバタイズメントの送信を抑制するには、インターフェイス コンフィギュレーション モードで ipv6 nd suppress-ra コマンドを使用します。LAN インターフェイスで IPv6 ルータ アドバタイズメントの送信を再びイネーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
IPv6 ユニキャスト ルーティングがイネーブルになっている場合、ルータ アドバタイズメントは LAN インターフェイスで自動的に送信されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
LAN 以外のインターフェイス タイプ(たとえばシリアル インターフェイスやトンネル インターフェイス)で IPv6 ルータ アドバタイズメントの送信をイネーブルにするには、 no ipv6 nd suppress-ra コマンドを使用します。
例
次に、選択したインターフェイスで IPv6 ルータ アドバタイズメントを抑制する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 neighbor
IPv6 ネイバー探索キャッシュにスタティック エントリを設定するには、グローバル コンフィギュレーション モードで ipv6 neighbor コマンドを使用します。ネイバー探索キャッシュからスタティック エントリを削除するには、このコマンドの no 形式を使用します。
ipv6 neighbor ipv6_address if_name mac_address
no ipv6 neighbor ipv6_address if_name [ mac_address ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 neighbor コマンドは、 arp コマンドに似ています。IPv6 ネイバー探索プロセスによる学習を通して、指定された IPv6 アドレスのエントリがネイバー探索キャッシュにすでに存在する場合、エントリは自動的にスタティック エントリに変換されます。これらのエントリは、 copy コマンドを使用してコンフィギュレーションを格納すると、コンフィギュレーションに格納されます。
IPv6 ネイバー探索キャッシュのスタティック エントリを表示するには、 show ipv6 neighbor コマンドを使用します。
clear ipv6 neighbors コマンドは、スタティック エントリを除いて IPv6 ネイバー探索キャッシュのすべてのエントリを削除します。 no ipv6 neighbor コマンドは、ネイバー探索キャッシュから指定のスタティック エントリを削除します。ダイナミック エントリ(IPv6 ネイバー探索プロセスから学習したエントリ)はキャッシュから削除されません。 no ipv6 enable コマンドを使用してインターフェイスで IPv6 をディセーブルにすると、スタティック エントリを除いて、そのインターフェイス用に設定されたすべての IPv6 ネイバー探索キャッシュ エントリが削除されます(エントリの状態が INCMP [Incomplete] に変更されます)。
例
次に、IPv6 アドレスを 3001:1::45A、MAC アドレスを 0002.7D1A.9472 にして、内部ホスト用のスタティック エントリをネイバー探索キャッシュに追加する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 ospf
IPv6 の OSPFv3 インターフェイスのコンフィギュレーションをイネーブルにするには、グローバル コンフィギュレーション モードで ipv6 ospf コマンドを使用します。IPv6 の OSPFv3 インターフェイスのコンフィギュレーションをディセーブルにするには、このコマンドの no 形式を使用します。
ipv6 ospf [ process-id ] [ cost | database-filter | dead-interval seconds | flood-reduction | hello-interval seconds | mtu-ignore | neighbor | network | priority | retransmit-interval seconds | transmit-delay seconds ]
no ipv6 ospf [ process-id ] [ cost | database-filter | dead-interval seconds | flood-reduction | hello-interval seconds | mtu-ignore | neighbor | network | priority | retransmit-interval seconds | transmit-delay seconds ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、OSPFv3 インターフェイスのコンフィギュレーションをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 ospf area
IPv6 の OSPFv3 エリアを作成するには、グローバル コンフィギュレーション モードで ipv6 ospf area コマンドを使用します。IPv6 の OSPFv3 エリアのコンフィギュレーションをディセーブルにするには、このコマンドの no 形式を使用します。
ipv6 ospf area [ area-num ] [ instance ]
no ipv6 ospf area [ area-num ] [ instance ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPFv3 ルーティングは、それぞれのインターフェイスについて個別に設定する必要があります。OSPFv3 エリアは各インターフェイスに 1 つだけ設定することができ、ASA の OSPFv3 でサポートされるインスタンスはインターフェイスごとに 1 つだけです。使用されるエリア インスタンス ID はインターフェイスごとに異なります。エリア インスタンス ID は、OSPF パケットの受信にのみ影響し、OSPF の通常のインターフェイスと仮想リンクに適用されます。
例
次に、OSPFv3 インターフェイスのコンフィギュレーションをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 ospf cost
インターフェイスでパケットを送信するコストを明示的に指定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf cost コマンドを使用します。インターフェイスでパケットを送信するコストをデフォルト値にリセットするには、このコマンドの no 形式を使用します。
no ipv6 ospf cost interface-cost
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
ipv6 ospf database-filter all out
OSPFv3 インターフェイスへの発信 LSA をフィルタリングするには、インターフェイス コンフィギュレーション モードで ipv6 ospf databse-filter all out コマンドを使用します。インターフェイスに対する LSA の転送を元に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf database-filter all out
no ipv6 ospf database-filter all out
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、指定したインターフェイスへの発信 LSA をフィルタリングする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 ospf dead-interval
hello パケットを確認できないときにネイバーがルータのダウンを宣言するまでの時間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf dead-interval コマンドを使用します。デフォルト時間に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf dead-interval seconds
no ipv6 ospf dead-interval seconds
構文の説明
間隔を秒単位で指定します。この値はネットワーク上のすべてのノードで同じにする必要があります。有効値の範囲は 1 ~ 65535 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、hello パケットを確認できないときにネイバーがルータのダウンを通知するまでの時間を設定する場合に使用します。
例
関連コマンド
|
|
|
|---|---|
ipv6 ospf encryption
インターフェイスの暗号化タイプを指定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf encryption コマンドを使用します。インターフェイスの暗号化タイプを削除するには、このコマンドの no 形式を使用します。
ipv6 ospf encryption { ipsec spi spi esp encryption-algorithm [[ key-encryption-type ] key ] authentication-algorithm [ key-encryption-type ] key | null }
no ipv6 ospf encryption { ipsec spi spi esp encryption-algorithm [[ key-encryption-type ] key ] authentication-algorithm [ key-encryption-type ] key | null }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、インターフェイスで SHA-1 暗号化をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 ospf flood-reduction
インターフェイスへの LSA のフラッディング削減を指定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf flood-reduction コマンドを使用します。インターフェイスへの LSA のフラッディング削減を削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、インターフェイスへの LSA のフラッディング削減をイネーブルにする例を示します。
ciscoasa(config-if)# interface GigabitEthernet3/2.200
ip address 20.20.200.30 255.255.255.0 standby 20.20.200.31
ipv6 address 3001::1/64 standby 3001::8
ipv6 address 6001::1/64 standby 6001::8
関連コマンド
|
|
|
|---|---|
ipv6 ospf hello-interval
hello パケットを確認できないときにネイバーがルータのダウンを宣言するまでの時間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf dead-interval コマンドを使用します。デフォルト時間に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf dead-interval seconds
no ipv6 ospf dead-interval seconds
構文の説明
間隔を秒単位で指定します。この値はネットワーク上のすべてのノードで同じにする必要があります。有効値の範囲は 1 ~ 65535 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、hello パケットを確認できないときにネイバーがルータのダウンを通知するまでの時間を設定する場合に使用します。
例
関連コマンド
|
|
|
|---|---|
ipv6 ospf mtu-ignore
ASA でデータベース記述子(DBD)パケットを受信した際の OSPFv3 最大伝送単位(MTU)不一致検出をディセーブルにするには、インターフェイス コンフィギュレーション モードで ipv6 ospf mtu-ignore コマンドを使用します。ASA で DBD パケットを受信した際の MTU 不一致検出をデフォルトの設定にリセットするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ASA で DBD パケットを受信した際の OSPFv3 MTU 不一致検出をディセーブルにする場合に使用します。
例
次に、ASA で DBD パケットを受信した際の OSPFv3 MTU 不一致検出をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 ospf neighbor
非ブロードキャスト ネットワークへの OSPFv3 ルータの相互接続を設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf neighbor コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
ipv6 ospf neighbor ipv6-address [ priority number ] [ poll-interval seconds ] [ cost number ] [ database-filter ]
no ipv6 ospf neighbor ipv6-address [ priority number ] [ poll-interval seconds ] [ cost number ] [ database-filter ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
|
|
|
|
|||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、OSPFv3 ネイバー ルータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 ospf network
OSPFv3 ネットワーク タイプをデフォルト以外のタイプに設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf network コマンドを使用します。デフォルトのタイプに戻すには、このコマンドの no 形式を使用します。
ipv6 ospf network { broadcast | point-to-point non-broadcast }
no ipv6 ospf network { broadcast | point-to-point non-broadcast }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、OSPFv3 ネットワークをブロードキャスト ネットワークに設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 ospf priority
指定したネットワークにおいて指定ルータを特定するためのルータのプライオリティを設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf priority コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf priority number-value
no ipv6 ospf priority number-value
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、ルータのプライオリティを 4 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 ospf retransmit-interval
インターフェイスに属する隣接関係の LSA 再送信の間隔を指定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf retransmit-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf retransmit-interval seconds
no ipv6 ospf retransmit-interval seconds
構文の説明
再送信の間隔(秒数)を指定します。接続ネットワーク上の任意の 2 台のルータ間で想定される往復遅延より大きな値にする必要があります。有効値の範囲は、1 ~ 65535 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
ipv6 ospf transmit-delay
インターフェイスでリンクステート更新パケットを送信するために必要とされる時間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 ospf transmit-delay コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ipv6 ospf transmit-delay seconds
no ipv6 ospf transmit-delay seconds
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、インターフェイスでリンクステート更新パケットを送信するために必要とされる時間を設定する場合に使用します。
例
関連コマンド
|
|
|
|---|---|
ipv6-prefix
マッピングアドレスおよびポート(MAP)ドメイン内の基本マッピングルールの IPv6 プレフィックスを設定するには、MAP ドメインの基本マッピング ルール コンフィギュレーション モードで ipv6-prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。
ipv6-prefix ipv6_prefix/prefix_length
no ipv6-prefix ipv6_prefix/prefix_length
構文の説明
IPv6 プレフィックスは、カスタマーエッジ(CE)デバイスの IPv6 アドレスのアドレスプールを定義します。IPv6 プレフィックスおよびプレフィックス長(通常は 64)を指定しますが、8 未満を指定することはできません。異なる MAP ドメインで同じ IPv6 プレフィックスを使用することはできません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 プレフィックスは、CE デバイスの IPv6 アドレスのアドレスプールを定義します。MAP は、このプレフィックスを持つ宛先アドレスと、デフォルトのマッピングルールで定義されている IPv6 プレフィックスを持つ送信元アドレスを持つパケットが、適切なポート範囲内にある場合にのみ、IPv6 パケットを IPv4 に戻します。他のアドレスから CE デバイスに送信されるすべての IPv6 パケットは、MAP を変換せずに IPv6 トラフィックとして処理されるだけです。MAP の送信元/宛先プールからのパケットは、範囲外のポートでは単にドロップされます。
例
次の例では、1 という名前の MAP-T ドメインを作成して、ドメインの変換ルールを設定しています。
関連コマンド
|
|
|
|---|---|
ipv6 prefix-list
IPv6 プレフィックス リストのエントリを作成するには、グローバル コンフィギュレーション モードで ipv6 prefix-list コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
ipv6 prefix-list list-name [ seq seq-number ] { deny ipv6-prefix/prefix-length | permit ipv6-prefix/prefix-length | description text } [ ge ge-value ] [ le le-value ]
構文の説明
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
関連コマンド
|
|
|
|---|---|
ipv6 route
IPv6 ルートを IPv6 ルーティング テーブルに追加するには、グローバル コンフィギュレーション モードで ipv6 route コマンドを使用します。IPv6 デフォルト ルートを削除するには、このコマンドの no 形式を使用します。
ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance | tunneled ]
no ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance | tunneled ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 ルーティング テーブルの内容を表示するには、 show ipv6 route コマンドを使用します。
トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義することができます。 tunneled オプションを使用してデフォルト ルートを作成すると、ASA に着信するトンネルからのすべてのトラフィックは、学習したルートまたはスタティック ルートを使用してルーティングできない場合、このルートに送信されます。トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。
tunneled オプションを使用したデフォルト ルートには、次の制約事項が適用されます。
- トンネル ルートの出力インターフェイスで、ユニキャスト RPF( ip verify reverse-path コマンド)をイネーブルにしないでください。トンネル ルートの出力インターフェイスで uRPF をイネーブルにすると、セッションに障害が発生します。
- トンネル ルートの出力インターフェイスで、TCP 代行受信をイネーブルにしないでください。イネーブルにすると、セッションでエラーが発生します。
- VoIP インスペクション エンジン(CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY)、DNS インスペクション エンジン、または DCE RPC インスペクション エンジンは、トンネル ルートでは使用しないでください。これらのインスペクション エンジンは、トンネル ルートを無視します。
tunneled オプションを使用して複数のデフォルト ルートは定義できません。トンネル トラフィックの ECMP はサポートされていません。
例
次に、アドミニストレーティブ ディスタンスを 110 にして、ネットワーク 7fff::0/32 のパケットを 3FFE:1100:0:CC00::1 にある内部インターフェイス上のネットワーキング デバイスにルーティングする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 router ospf
OSPFv3 ルーティング プロセスを作成し、IPv6 ルータ コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ipv6 router ospf コマンドを使用します。
構文の説明
ローカルに割り当てられる内部 ID を指定します。有効な値は 1 ~ 65535 の正の整数です。この番号は、IPv6 の OSPFv3 ルーティング プロセスをイネーブルにしたときに管理目的で割り当てられます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 router ospf コマンドは、ASA で実行される OSPFv3 ルーティング プロセスのグローバル コンフィギュレーション コマンドです。 ipv6 router ospf コマンドを入力すると、IPv6 ルータ コンフィギュレーション モードであることを示す (config-rtr)# コマンド プロンプトが表示されます。
no ipv6 router ospf コマンドを使用する場合は、必要な情報を指定する場合を除き、オプションの引数を指定する必要はありません。 no ipv6 router ospf コマンドは、 process-id 引数によって指定された OSPFv3 ルーティング プロセスを終了します 。process-id の値は、ASA においてローカルに割り当てます。OSPFv3 ルーティング プロセスごとに固有の値を割り当てる必要があります。最大 2 つのプロセスが使用できます。
IPv6 ルータ コンフィギュレーション モードの ipv6 router ospf コマンドでは、OSPFv3 固有の次のオプションを使用して OSPFv3 ルーティング プロセスを設定できます。
- area :OSPFv3 エリア パラメータを設定します。サポートされているパラメータには、0 ~ 4294967295 の 10 進数値のエリア ID、 A.B.C.D の IP アドレス形式のエリア ID などがあります。
- default :コマンドをデフォルト値に設定します。 originate パラメータはデフォルト ルートを配布します。
- default-information :デフォルト情報の配布を制御します。
- distance :ルート タイプに基づいて、OSPFv3 ルート アドミニストレーティブ ディスタンスを定義します。サポートされるパラメータには、1 ~ 254 の値のアドミニストレーティブ ディスタンス、OSPF ディスタンスの ospf などがあります。
- exit :IPv6 ルータ コンフィギュレーション モードを終了します。
- ignore :ルータがタイプ 6 Multicast OSPF(MOSPF)パケットのリンクステート アドバタイズメント(LSA)を受信した場合に、 lsa パラメータが指定されている syslog メッセージの送信を抑止します。
- log-adjacency-changes :OSPFv3 ネイバーが起動または停止したときに、ルータが syslog メッセージを送信するように設定します。 detail パラメータによって、すべての状態変更がログに記録されます。
- passive-interface :次のパラメータを使用してインターフェイスでのルーティング更新を抑制します。
– GigabitEthernet :GigabitEthernet IEEE 802.3z インターフェイスを指定します。
– Management :管理インターフェイスを指定します。
– Port-channel :インターフェイスのイーサネット チャネルを指定します。
– Redundant :冗長インターフェイスを指定します。
– default :すべてのインターフェイス上でルーティングが更新されないようにします。
– A.B.C.D :IP アドレス形式の OSPF ルータ ID を指定します。
– cluster-pool :レイヤ 3 クラスタリングが設定されている場合に、IP アドレス プールを設定します。
- summary-prefix :0 ~ 128 の有効な値で IPv6 アドレス サマリーを設定します。 X:X:X:X::X/ パラメータは、IPv6 プレフィックスを指定します。
- timers :次のパラメータを使用して、ルーティング タイマーを調整します。
例
次に、OSPFv3 ルーティング プロセスをイネーブルにし、IPv6 ルータ コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6-split-tunnel-policy
IPv6 スプリット トンネリング ポリシーを設定するには、グループ ポリシー コンフィギュレーション モードで ipv6-split- tunnel-policy コマンドを使用します。実行コンフィギュレーションから ipv6-split-tunnel-policy 属性を削除するには、このコマンドの no 形式を使用します。
ipv6-split-tunnel-policy { tunnelall | tunnelspecified | excludespecified }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 スプリット トンネリングは、本来は、セキュリティ機能ではなくトラフィック管理機能です。最適なセキュリティを確保するには、IPv6 スプリット トンネリングをイネーブルにしないことを推奨します。
これにより、別のグループ ポリシーから IPv6 スプリット トンネリングの値を継承できます。
IPv6 スプリット トンネリングを使用すると、リモートアクセス VPN クライアントは、条件に応じて、パケットを IPsec または SSL IPv6 トンネルを介して暗号化された形式で送信したり、クリア テキスト形式でネットワーク インターフェイスに送信したりできます。IPv6 スプリット トンネリングをイネーブルにすると、宛先が IPsec または SSL VPN トンネル エンドポイントの反対側ではないパケットでは、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングは必要なくなります。
例
次に、FirstGroup という名前のグループ ポリシーに対して、指定したネットワークのみをトンネリングするスプリット トンネリング ポリシーを設定する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# ipv6-split-tunnel-policy tunnelspecified
関連コマンド
|
|
|
|---|---|
ipv6-vpn-address-assign
IPv6 アドレスをリモート アクセス クライアントに割り当てる方法を指定するには、グローバル コンフィギュレーション モードで ipv6- vpn-addr-assign コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no バージョンを使用します。設定されている VPN アドレスの割り当て方法を ASA からすべて削除するには、引数なしで、このコマンドの no 形式を使用します。
ipv6-vpn-addr-assign { aaa | local }
no ipv6-vpn-addr-assign { aaa | local }
構文の説明
外部または内部(LOCAL)の AAA (認証、認可、アカウンティング)サーバからユーザ単位でアドレスを取得します。IP アドレスが設定された認証サーバを使用している場合は、この方式を使用することをお勧めします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA では、AAA またはローカルのいずれかの方法でリモート アクセス クライアントに IPv6 アドレスを割り当てることができます。複数のアドレス割り当て方法を設定すると、ASA は IPv6 アドレスが見つかるまで各オプションを検索します。
例
次に、アドレス割り当て方法として AAA を設定する例を示します。
ciscoasa(config)# ipv6-vpn-addr-assign aaa
次に、アドレス割り当て方法としてローカル アドレス プールを使用するように設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6-vpn-filter
VPN 接続に使用する IPv6 ACL の名前を指定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで ipv6-vpn-filter コマンドを使用します。 ipv6-vpn-filter none コマンドの発行によって作成されるヌル値を含め、ACL を削除するには、このコマンドの no 形式を使用します。
ipv6-vpn-filter { value IPV6-ACL-NAME | none }
構文の説明
アクセス リストがないことを示します。ヌル値を設定して、アクセス リストを使用できないようにします。アクセス リストを他のグループ ポリシーから継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
クライアントレス SSL VPN は、 ipv6-vpn-filter コマンドに定義されている ACL を使用しません。
no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。値の継承を防止するには、 ipv6-vpn-filter none コマンドを使用します。
このユーザまたはグループ ポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。次に、 ipv6-vpn-filter コマンドを使用して、その ACL を適用します。
例
次に、FirstGroup というグループ ポリシーの ipv6_acl_vpn というアクセス リストを呼び出すフィルタを設定する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# ipv6-vpn-filter value ipv6_acl_vpn
関連コマンド
|
|
|
|---|---|
ip verify reverse-path
ユニキャスト RPF をイネーブルにするには、グローバル コンフィギュレーション モードで ip verify reverse-path コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
ip verify reverse-path interface interface_name
no ip verify reverse-path interface interface_name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Unicast RPF は、ルーティング テーブルに従い、すべてのパケットが正しい発信元インターフェイスと一致する送信元 IP アドレスを持っていることを確認して、IP スプーフィング(パケットが不正な送信元 IP アドレスを使用し、実際の送信元を隠蔽すること)から保護します。
通常、ASA は、パケットの転送先を判定するときに宛先アドレスだけを調べます。Unicast RPF は、送信元アドレスも調べるように ASA に指示します。そのため、逆経路転送(Reverse Path Forwarding)と呼ばれます。ASA の通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートを ASA のルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。
たとえば、外部トラフィックの場合、ASA はデフォルト ルートを使用して Unicast RPF 保護の条件を満たすことができます。トラフィックが外部インターフェイスから入り、送信元アドレスがルーティング テーブルにない場合、ASA はデフォルト ルートを使用して、外部インターフェイスを発信元インターフェイスとして正しく識別します。
ルーティング テーブルにあるアドレスから外部インターフェイスにトラフィックが入り、このアドレスが内部インターフェイスに関連付けられている場合、ASA はパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが入った場合は、一致するルート(デフォルト ルート)が外部インターフェイスを示しているため、ASA はパケットをドロップします。
例
次に、外部インターフェイスでユニキャスト RPF をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック