2.9. IPv4の設定
物理リンクレイヤと、IPv4レイヤの関係は論理的に以下の構造をとっています。
図 2.9.1 インタフェースやデバイスとIPv4の関係
2.9.1. IPv4アドレスの設定
IPv4アドレスを設定するコマンドは次のとおりです。アドレスを複数設定したい場合はセカンダリアドレスを使用します。セカンダリアドレスは最大15個まで登録可能です。
インタフェースコンフィグモード
項目
説明
ip address
IPv4アドレスの登録
ip address 192.168.0.254/24 ip address 10.10.10.1/24 secondary
注釈
設定変更時はインタフェースがいったんdownします。
セカンダリアドレスは使用可能な機能に制限があります。使用可能機能は以下のとおりです。
機能
プライマリ
セカンダリ
pingの宛先
○
○
SSH/Telnetの宛先
○
○
○
○
○
△
NAT/NAPTアドレスとして使用
○
○
SNMP
○
○
BGPの使用
○
×
VRRP
○
△
IPsec
○
×
注釈
VRRPでセカンダリアドレスを使用する場合、広告パケットの送信元アドレスがプライマリアドレスになりますが、利用は可能です。
2.9.2. unnumberedアドレスの設定
PPPoEやトンネルなどでIPアドレスが不要な場合、unnumberedの設定が可能です。設定コマンドは次のとおりです。
インタフェースコンフィグモード
項目
説明
ip unnumbered
IPv4アドレスを unnumbered で登録
ip unnumbered GigaEthernet1.0
ip unnumbered はインタフェースを指定して利用してください。ICMPエラーなどでアドレスが必要になった場合に、指定したインタフェースのアドレスを優先して使用します。インタフェースを指定しない場合は、最も大きいアドレスが自動的に選択されます。
unnumberedで指定したインタフェースがダウンした場合、unnumberedを設定したインタフェースはIPv4レイヤがダウンするため、IPv4パケットの転送はできますが、IPv4レイヤで動作する機能は動作が停止します。
2.9.3. MTUの変更
IPv4でMTU値をインタフェースのMTUより小さい値に変更するコマンドは次のとおりです。
インタフェースコンフィグモード
項目
説明
ip mtu
MTUの変更
ip mtu 1000
インタフェースのMTUとIPv4のMTUの関係は次のようになります。
図 2.9.2 インタフェースやデバイスとIPv4のMTUの関係
2.9.4. TCP MSS調整
トンネルやPPPoEなどMTUが1500でないインタフェースを利用する場合に、TCPのパケットサイズの上限をフラグメントされないサイズに制限し、性能低下を抑止する機能です。
TCPは接続を確立する際にsynパケットでMSS(Maximum Segment Size)情報を通知しますが、この値を強制的に書き換えることで実現します。
MSS = MTU - IPヘッダ長 - TCPヘッダ長(RFC879)です。
この機能はRFC2923に記載されているPath MTU探索のBlack Hole防止機能として利用することができます。 下記のようなネットワークにおいて両端のホスト間でTCPの通信を行う場合、Path MTU探索が有効でないと、ホストはMSSの値を1460と設定して接続を試みます。しかしMTU1000の区間が経路の途中に存在するため、MSSが960以下でなければ通信はできません。このような場合にMSSの値を強制的に書き換えることで、TCPの通信を可能にします。 ただし、パケットのMSSの値が設定値より小さい場合、書き換えは行いません。
図 2.9.3 Path MTU探索ができないネットワーク例
TCPのMSS値を変更するコマンドは次のとおりです。
インタフェースコンフィグモード
項目
説明
ip tcp adjust-mss
MSSの調整
bridge ip tcp adjust-mss
ブリッジインタフェースでのMSSの調整
interface GigaEthernet0.0 ip tcp adjust-mss 960
設定は、トラフィックがトンネルインタフェースを通過する場合はトンネルインタフェースで行ってください。そうでない場合はトラフィックが通過する任意のインタフェースで設定してください。
"ip tcp adjust-mss auto"を設定すると、インタフェースのMTUに応じた値が自動的に設定されます(ルータインタフェースのみ。ブリッジインタフェース用コマンドでは未対応)。装置管理者が手動でMSS調整値を計算する場合、以下の計算式を参考にしてください。(IPsec、トンネルモード、ESPのみ使用時。)
X = 出力インタフェースMTU - A - B - C - D A:認証データ MD5/SHA1(12byte) SHA256(16byte) SHA384(24byte) SHA512(32byte) B:IV(Initialization Vector) DES/3DES(8byte)、AES(16byte) C:ESPヘッダ(8byte) D:IPヘッダ(20byte) トンネルインタフェースMTU = (X / Eの整数部) x E - F E:DES/3DES 8、AES 16 F:パディング長(1byte) + 次ヘッダ番号(1byte) MSS調整値 = トンネルインタフェースMTU - G G:IPヘッダ(20byte) + TCPヘッダ(20byte)
注釈
EtherIPの場合、ここからさらにEtherIPヘッダ(2byte)、Etherヘッダ(14byte)、合わせて16byteを引いた値が適切なMSS値となります。
出力回線がフレッツ(MTU=1454)で、トンネルモードで3DES/SHA1使用時。
X = 1454 – 12(SHA1) – 8(3DESのIV) – 8(ESPヘッダ) – 20(IPヘッダ)
X = 1406
トンネルインタフェースMTU = (1406 / 8の整数部) x 8 – 2
トンネルインタフェースMTU = 1398
トンネルインタフェースMSS調整値 = トンネルインタフェースMTU – 40
トンネルインタフェースMSS調整値 = 1358byte
以下の表は、上記の計算式を基にして各種設定でのMSS値を算出したものになります。
出力I/FのMTU
EtherIP
IPsec
カプセル化モード
暗号・認証プロトコル
MSS設定値
1500
あり
あり
トランスポート
DES/3DES + MD5/SHA1
1390
AES + MD5/SHA1
1382
なし
-
-
1424
なし
あり
トランスポート
DES/3DES + MD5/SHA1
1426
AES + MD5/SHA1
1418
トンネル
DES/3DES + MD5/SHA1
1406
AES + MD5/SHA1
1398
なし
-
-
1460
1492(PPPoE)
あり
あり
トランスポート
DES/3DES + MD5/SHA1
1382
AES + MD5/SHA1
1374
なし
-
-
1416
なし
あり
トランスポート
DES/3DES + MD5/SHA1
1418
AES + MD5/SHA1
1410
トンネル
DES/3DES + MD5/SHA1
1398
AES + MD5/SHA1
1390
なし
-
-
1452
1454(フレッツ)
あり
あり
トランスポート
DES/3DES + MD5/SHA1
1342
AES + MD5/SHA1
1334
なし
-
-
1378
なし
あり
トランスポート
DES/3DES + MD5/SHA1
1378
AES + MD5/SHA1
1370
トンネル
DES/3DES + MD5/SHA1
1358
AES + MD5/SHA1
1350
なし
-
-
1414
2.9.5. ICMPリダイレクトメッセージの送信制御設定
ICMP REDIRECTSメッセージの送信を制御することが可能です。デフォルトでは、ICMP REDIRECTSメッセージを送信しますので、REDIRECTSを送信したくない場合に、停止設定を行います。
ノンブロードキャストネットワーク(ポイントツーポイントネットワーク等)では、以下のコマンドは無視されます。
インタフェースコンフィグモード
項目
説明
no ip redirects
ICMPリダイレクトメッセージの送信停止設定
no ip redirects
2.9.6. ARPの設定
ARPに関して、以下の設定を行うことができます。
グローバルコンフィグモード
項目
説明
arp auto-refresh
ARPエントリ自動更新
arp timeout
ARPエントリ生存時間
インタフェースコンフィグモード
項目
説明
arp entry
ARPエントリのスタティック登録
ARPエントリの登録・削除は以下の手順で行われます。コマンドで登録したエントリは生存時間に関係なく保持されます。
図 2.9.4 ARPエントリ登録・削除の手順(auto-refresh設定の場合)
図 2.9.5 ARPエントリ登録・削除の手順(auto-refreshなしの場合)
通信の有無は、ルートキャッシュの情報から判断します。以下の場合は、ルートキャッシュを作成しません。そのため、通信がある場合でも通信が無かったと判断しARPエントリの更新を行いません。ARPエントリの更新が必要な場合は、auto-refreshの設定を行ってください。
QoS使用時
自装置から送信する通信(ICMP replyなど)
auto-refresh設定のありなしにかかわらず、ARPエントリの更新のためのARPの送信に対し、端末から応答が無ければ、ARPエントリは更新されず削除されます。
2.9.7. プロキシARPの設定
注意
UNIVERGE IX-V シリーズをクラウドで利用する場合は、プロキシARPは利用できません。
プロキシARPはARP応答できない端末の代理として、ARP応答する機能です。たとえば、同一リンク上にない端末を同一リンク上に存在する端末であるかのように見せかけることができます。
注意
UNIVERGE IX-V シリーズをクラウドで利用する場合は、プロキシARPおよびローカルプロキシARPは利用できません。
基本動作を以下に示します。
図 2.9.6 プロキシARPの構成図
プロキシARP機能は、あるアドレスに対するARP要求を受信し、そのアドレス宛の経路が存在する場合に応答します。基本的に同一リンク上のネットワークアドレスに対する場合には応答しません。上記の図のような場合に、端末1から端末2に対するARP要求に、代理応答します。
詳細は次のとおりです。
IX-R (a) の動作
端末1からネットワーク2上に存在するアドレスに対するARP要求に代理応答します。
端末1からネットワーク1上に存在するアドレスに対するARP要求には応答しません。
端末1からネットワーク2上のアドレス宛のパケットを受信し、IX-R (b) に送信します。
IX-R (b) の動作
端末2からネットワーク1上に存在するアドレスに対するARP要求に代理応答します。
端末2からネットワーク2上に存在するアドレスに対するARP要求には応答しません。
端末2からネットワーク1上のアドレス宛のパケットを受信し、IX-R (a) に送信します。
なお、受信ネットワークに存在するか否かは、ルーティングテーブルを見て判断していますので、受信ネットワークに対するARP要求であっても、経路の設定次第で代理応答させることも可能です。
プロキシARPを設定するコマンドは次のとおりです。
インタフェースコンフィグモード
項目
説明
ip proxy-arp
プロキシARPの有効
ネットワーク1からのARPをネットワーク2側へ、 ネットワーク2からのARPをネットワーク1側へ プロキシを行う ip route 192.168.1.128/25 10.0.0.1 ! interface GigaEthernet0.0 ip address 192.168.1.126/25 ip proxy-arp no shutdown
ip route 192.168.1.0/25 10.0.0.2 ! Interface GigaEthernet0.0 ip address 192.168.1.254/25 ip proxy-arp no shutdown
proxy-arp コマンドでは特定ホストからの特定のアドレスに対してのみARP代理応答をするように、アクセスリストを使用して設定することも可能です。
これらの範囲指定は次のように記述します。
アクセスリストの送信元アドレスに、ARP要求元アドレス
アクセスリストの宛先アドレスに、ARP要求対象アドレス
permit の場合には宛先アドレスの経路情報の有無にかかわらず、指定範囲でARP代理応答し、denyの場合は代理応答しません。
これらを利用することでARP代理応答をする範囲を制限することができます。
前図の端末1からのARPはすべての宛先に対してプロキシを行う ip access-list list1 permit ip src 192.168.1.1/32 dest any ! interface GigaEthernet0.0 ip address 192.168.1.126/25 ip proxy-arp list1 no shutdown
2.9.7.1. ローカルプロキシARP
注意
UNIVERGE IX-V シリーズをクラウドで利用する場合は、ローカルプロキシARPは利用できません。
ローカルプロキシARP機能を有効にした場合、同一サブネット内のすべてのIPアドレスのARPに応答を返します。
ただし、以下のARPには応答を返しません。
Gratuitous ARP(Sender=Targetの重複チェック)
DHCPクライアントの重複チェック(Sender Protocol Address=0.0.0.0)
ネットワークアドレス(ホスト部分がすべて0)
ブロードキャストアドレス(ホスト部分がすべて1)
設定は以下のとおりです。
インタフェースコンフィグモード
項目
説明
ip local-proxy-arp
ローカルプロキシARPの有効
ローカルプロキシARPを設定 interface GigaEthernet1.0 ip address 192.168.0.1/24 ip local-proxy-arp no shutdown
本機能が有効の場合、ICMPリダイレクトメッセージを送信しません。ip redirectコマンド設定時もICMPリダイレクトメッセージは送信しません。
特定ホストからの特定のアドレスに対してのみARP代理応答をするように、アクセスリストを使用して設定することも可能です。
これらの範囲指定は次のように記述します。
アクセスリストの送信元アドレスに、ARP要求元アドレス
アクセスリストの宛先アドレスに、ARP要求対象アドレス
ローカルプロキシARPを設定 192.168.0.2からのARPのみ同一サブネット内すべてのARPに対して応答を返す ip access-list accesslist1 permit ip src 192.168.0.2/32 dest any ! interface GigaEthernet1.0 ip address 192.168.0.1/24 ip local-proxy-arp accesslist1 no shutdown
注釈
ローカルプロキシARP有効時は同一サブネット内のすべてのIPアドレスに応答を返します。他にARPの応答を返す装置がある場合、ARP送信元の装置にてアドレス解決が正しく行われない可能性があります。ネットワーク構成にはご注意ください。
2.9.8. ダイレクトブロードキャスト
ダイレクトブロードキャストを有効化すると、指定したインタフェース宛のブロードキャストパケットを、指定のインタフェースへブロードキャストで転送することができます。
設定は以下のとおりです。
インタフェースコンフィグモード
項目
説明
ip directed-broadcast
ダイレクトブロードキャストの設定
ダイレクトブロードキャストを設定 interface GigaEthernet1.0 ip address 192.168.0.1/24 ip directed-broadcast no shutdown
上記の設定を行うと、ダイレクトブロードキャストを設定したGigaEthernet1.0のネットワーク(192.168.0.0/24)のブロードキャストアドレスとなる192.168.0.255宛のパケットを、GigaEthernet1.0に転送するようになります。 ダイレクトブロードキャストを設定していない場合は、パケットを破棄します。
なお、それ以外のセグメント宛のブロードキャストパケットについては、ダイレクトブロードキャスト設定の有無にかかわらず、ユニキャストパケットと同様に転送を行います。