2.12. IPv6の設定
物理リンクレイヤと、IPv6レイヤの関係は論理的に以下の構造をとっています。
図 2.12.1 インタフェースやデバイスとIPv6の関係
以下に設定手順を示します。
ipv6 enable コマンドによる有効化設定
IPv6アドレスの設定
RAの設定(必要に応じて)
ルーティング制御の設定
2.12.1. IPv6の有効設定
IPv6を使用する場合には、インタフェースで次のコマンドを設定します。
インタフェースコンフィグモード
項目
説明
ipv6 enable
IPv6の有効
このコマンドを設定するとIPv6のリンクローカルアドレスが動作します。 インタフェースにグローバルアドレスを付与した場合は、enable設定は省略可能です。
アドレス状態/有効・無効 |
ipv6 enable |
no ipv6 enable |
|---|---|---|
リンクローカルアドレス以外のアドレス付与 |
付与したアドレスは動作
リンクローカルアドレスは動作
|
付与したアドレスは動作
リンクローカルアドレスは動作
|
リンクローカルアドレス以外のアドレスなし |
リンクローカルアドレスは動作 |
リンクローカルアドレスは動作せず |
IPv6アドレスをunnumbered指定した場合、unnumbered指定している先のIPv6アドレスをどのように設定していても、該当のインタフェースにてipv6 enable指定しなければ、そのインタフェースのアドレスは有効になりません。
また、ipv6 unnumbered設定は、ブロードキャストネットワークのインタフェース上では設定できません。
LoopbackインタフェースではIPv6は常に有効に設定されております。
したがってLoopbackインタフェースでは、ipv6 enableコマンドを実行することはできません。
また、NullインタフェースでもIPv6は常に有効です。
2.12.2. IPv6アドレスの設定
IPv6アドレスを設定するコマンドは次のとおりです。
インタフェースコンフィグモード
項目
説明
ipv6 address
IPv6アドレスの設定
ipv6 interface-identifier
インタフェースIDの設定
直接アドレスを記載する方法、EUI-64形式で登録する方法、RAで自動設定する方法、DHCPv6-PDで設定する方法があります。
リンクローカルアドレスはインタフェースIDから生成するため、インタフェースIDを変更するとリンクローカルアドレスと、EUI-64形式で登録したグローバルアドレスを変更します。
(1)直接指定 ipv6 address 2001:db8::1/64 (2)EUI-64形式で指定(リンクローカルアドレスも末尾64bitを::1で揃える例) ipv6 interface-identifier 0:0:0:0:0:0:0:1 ipv6 address 2001:db8::/64 eui-64 (EUI-64形式) (3)RA受信でアドレス自動設定 ipv6 address autoconfig receive-default (4)DHCPv6-PDで自動設定 DHCPv6の章を参照してください。
インタフェースIDの変更は、インタフェースにアドレスが付与された状態でも可能ですが、アドレスが変更になるので注意してください。
インタフェースIDの手動設定は、アドレスの競合に注意してください。
RA受信でアドレスを設定する場合は、以下の制限があります。
1つのルータからのみRA受信が可能です。複数のルータからRAを受信している場合は後から受信したRAの情報が上書きされます。
1つのRAに複数のプレフィックスが設定されている場合、Preferred Lifetimeが0ではない設定済みグローバルアドレスと同一のプレフィックスが付与されます。グローバルアドレスが未設定の場合、Preferred Lifetimeが0ではないプレフィックスを優先的に付与します。
アドレスのLifeTimeの管理は行いません。RAを受信しない状態でLifeTimeが経過してもアドレスは無効にはなりません。
RAを送信する装置をネクストホップとして、スタティックルートを登録できます。
ipv6 route 2001:db8::/64 GigaEthernet0.0 ra ! interface GigaEthernet0.0 ipv6 address autoconfig no shutdown
2.12.3. リンクローカルアドレスの補足
IPv6ではリンクローカルアドレスが必ず付与され、リンク内の通信が可能です。 パケットを中継するだけならグローバルアドレスを付与する必要はありません。
ただし、外部(同一リンク以外)からルータの制御監視等を行う場合は、ルータのいずれかのインタフェースにグローバルアドレスが付与されている必要があります。
図 2.12.2 リンクローカルアドレスとグローバルアドレス
2.12.4. MTUの変更
IPv6でMTU値をインタフェースのMTUより小さい値に変更するコマンドは次のとおりです。
インタフェースコンフィグモード
項目
説明
ipv6 mtu
MTUの変更
ipv6 mtu 1280
インタフェースのMTUとIPv6のMTUの関係は次のようになります。
図 2.12.3 インタフェースやデバイスとIPv6のMTUの関係
2.12.5. TCP MSS調整
TCP パケットのMSS(Maximum Segment Size)値を変更するコマンドは次のとおりです。 Path MTU 探索ができないネットワークで、TCPパケットのフラグメントによる性能低下を防止します。
インタフェースコンフィグモード
項目
説明
ipv6 tcp adjust-mss
MSSの調整
bridge ipv6 tcp adjust-mss
ブリッジインタフェースでのMSSの調整
ipv6 tcp adjust-mss 1360
設定は、最もMTUが小さいインタフェースで設定してください (トンネルインタフェースを通過する場合は、トンネルインタフェースで設定)。
"ipv6 tcp adjust-mss auto"を設定すると、インタフェースのMTUに応じた値が自動的に設定されます。 手動でMSS調整値を計算する場合、以下の計算式を参考にしてください(IPsec、トンネルモード、ESPのみ使用時)。
注釈
EtherIPの場合、ここからさらにEtherIPヘッダ(2byte)、Etherヘッダ(14byte)、合わせて16byteを引いた値が適切なMSS値となります
以下の表は、上記の計算式を基にして各種設定でのMSS値を算出したものになります。
出力I/FのMTU
EtherIP
IPsec
カプセル化モード
暗号、認証プロトコル
MSS設定値
1500
あり
あり
トランスポート
DES/3DES + MD5/SHA1
1354
あり
あり
トランスポート
AES + MD5/SHA1
1346
あり
なし
ー
ー
1384
なし
あり
トランスポート
DES/3DES + MD5/SHA1
1410
なし
あり
トランスポート
AES + MD5/SHA1
1402
なし
あり
トンネル
DES/3DES + MD5/SHA1
1370
なし
あり
トンネル
AES + MD5/SHA1
1362
なし
なし
ー
ー
1440
1492(PPPoE)
あり
あり
トランスポート
DES/3DES + MD5/SHA1
1346
あり
あり
トランスポート
AES + MD5/SHA1
1338
あり
なし
ー
ー
1376
なし
あり
トランスポート
DES/3DES + MD5/SHA1
1402
なし
あり
トランスポート
AES + MD5/SHA1
1394
なし
あり
トンネル
DES/3DES + MD5/SHA1
1362
なし
あり
トンネル
AES + MD5/SHA1
1354
なし
なし
ー
ー
1432
1454(フレッツ)
あり
あり
トランスポート
DES/3DES + MD5/SHA1
1306
あり
あり
トランスポート
AES + MD5/SHA1
1298
あり
なし
ー
ー
1338
なし
あり
トランスポート
DES/3DES + MD5/SHA1
1362
なし
あり
トランスポート
AES + MD5/SHA1
1354
なし
あり
トンネル
DES/3DES + MD5/SHA1
1322
なし
あり
トンネル
AES + MD5/SHA1
1314
なし
なし
ー
ー
1394
2.12.6. 強制リアセンブリ
以下のコマンドをインタフェースコンフィグモードで行うことで、IPv6フラグメントパケットを一時的にリアセンブル状態とし、通常のパケットと同様にアクセスリストを適用することができます。
インタフェースコンフィグモード
項目
説明
ipv6 forced-reassembly
IPフィルタにおける強制リアセンブリの有効化
本コマンドを設定したインタフェースで受信したIPv6フラグメントパケットが対象となります。
送信時には元のサイズにフラグメントしますが、元のサイズがMTUを超えている場合はパケットを廃棄してICMPエラー(Packet Too Big)を送信します。
2.12.7. RAの設定
リンクに端末が存在する場合、通常、RAを送信する必要があります。 RAのパラメータは特別な場合を除いて変更する必要はありませんので、必要に応じて変更してください。
インタフェースコンフィグモード
項目
説明
ipv6 nd ra enable
RA送信の設定
ipv6 nd ra managed-config-flag
メッセージフラグ設定(Mフラグ)
ipv6 nd ra other-config-flag
メッセージフラグ設定(Oフラグ)
ipv6 nd ra prefix-advertisement
メッセージプレフィックスオプションの設定
ipv6 nd ra lifetime
ルータ生存時間の設定
ipv6 nd ra max-interval
送信間隔最大値の設定
ipv6 nd ra min-interval
送信間隔最小値の設定
ipv6 nd ra reachable-time
近隣ノード到達可能性時間の設定
ipv6 nd ra import-prefix
プレフィックスオプション自動生成の設定
ipv6 nd ra retrans-timer
再送タイマー設定
ipv6 nd ra cur-hoplimit
ホップリミット設定
ipv6 nd ra linkmtu
リンクMTU設定
ipv6 nd ra dns-server
DNSサーバーアドレス送信
ipv6 nd ra domain-name
DNSサーチリスト送信
2.12.7.1. RAパラメータ
ルータ広告(RA)は、ルータがリンク上の端末に定期的に送信する情報で、ルータの所在およびリンクの各種情報を通知するものです。
端末は、RAを受信すると、リンクの各種情報をもとにアドレス生成等の各種自動設定を行うとともに、送信元ルータをデフォルトルータに設定します。
以下に、RAを用いた端末に対する自動設定の指示に関して具体的に説明します。
2.12.7.2. MフラグとOフラグ
RAには、MフラグおよびOフラグの2つの重要なフラグが含まれており、この値を変更することにより、端末に対してのアドレスの自動設定方法を指示することが可能です。
Mフラグは、Managed Address Configurationフラグのことで、アドレス自動設定をルータが広告したプレフィックスにより生成するステートレスで行うか、DHCPv6等のプロトコルを使用したステートフルで行うかを指示するものです。
Oフラグは、Other Stateful Configurationフラグのことで、アドレス以外の情報、たとえばDNSサーバーのアドレス等をDHCPv6等のプロトコルを使用して取得することを指示します。デフォルトでは、ステートレスアドレス自動設定(M=無効)、DHCPv6等によるアドレス以外の情報取得なし(O=無効)です。UNIVERGE IX-R/IX-V シリーズでは、Mフラグをipv6 nd ra managed-config-flagコマンド、Oフラグをipv6 nd ra other-config-flagコマンドにより変更することが可能です。
インタフェースコンフィグモード
項目
説明
ipv6 nd ra managed-config-flag
ルータ通知メッセージフラグ設定(Mフラグ)
ipv6 nd ra other-config-flag
ルータ通知メッセージフラグ設定(Oフラグ)
たとえば、ステートレスアドレス自動設定と DHCPv6 によるアドレス以外の情報取得の指示を行う場合、次のように設定します。
no ipv6 nd ra managed-config-flag no ipv6 nd ra other-config-flag
ルータからの通知情報を使用せず、完全にアドレスおよびその他情報の自動設定を DHCPv6 サーバーに任せる場合は、次のように設定します。
ipv6 nd ra managed-config-flag ipv6 nd ra other-config-flag
2.12.7.3. On-linkフラグとAutonomousフラグ
また、ステートレスアドレス自動設定等で使用するプレフィックス情報の中にも、On-linkフラグおよびAutonomousフラグの2つの重要なフラグが含まれており、この値を変更することにより、通知する個々のプレフィックスの使用を指定することが可能です。
On-linkフラグは、通知するプレフィックスが同一リンクの決定に使用できるかどうかを指示するものです。 端末は、On-linkフラグで指定されたプレフィックスを持つ端末とはダイレクトで、off-linkで指定されたプレフィックスを持つ端末とはルータ経由で通信を行うようになります。
Autonomousフラグは、通知するプレフィックスがステートレスアドレス自動設定で使用可能かどうかを指示するものです。
デフォルトでは、On-link、ステートレスアドレス自動設定使用可能(Autonomous=有効)です。
UNIVERGE IX-R/IX-V シリーズでは、ipv6 addressコマンドによりインタフェースに付与したアドレスのプレフィックス部分を通知するとともに、プレフィックス情報のオプションをipv6 nd prefix-advertisementコマンドおよびipv6 prefixコマンドにより変更することが可能です。
たとえば、インタフェースにプレフィックスが異なる2つのアドレスを付与し、一方のプレフィックスをステートレスアドレス自動設定の対象から除きたい場合、以下のように設定します。
グローバルコンフィグモード
項目
説明
ipv6 prefix
ルータ通知用プレフィックスの設定
インタフェースコンフィグモード
項目
説明
ipv6 nd ra prefix-advertisement
ルータ通知メッセージプレフィックスオプションの設定
ipv6 prefix prefix-1 2001:db8:0:ffff::/64 on-link ! interface GigaEthernet0.0 ipv6 address 2001:db8:0:1::1/64 ipv6 address 2001:db8:0:ffff::1/64 ipv6 nd ra prefix-advertisement prefix-1 no shutdown
なお、off-linkのプレフィックス情報通知は、サイト内で使用しているプレフィックス(サイトプレフィックス)を端末に認識させる場合に使用します。
2.12.8. NDプロキシの設定
注意
UNIVERGE IX-V シリーズをクラウドで利用する場合は、NDプロキシは利用できません。
WAN 側から受信した RA にて通知されたプレフィックスを、LAN 側に RA により通知することができます。
ブリッジを使用することにより、同様な動作をさせることは可能ですが、ND プロキシを使用することによって、UNIVERGE IX-R/IX-V シリーズにて WAN 側へのブロードキャストやマルチキャストパケットの送信を抑止することができます。
WAN 側と LAN 側でのアドレス重複の検知ができます。
UNIVERGE IX-R/IX-V シリーズのプレフィックスが無効になった(削除された)場合、配下の端末にプレフィックス無効の RA を送信します。
RA を受信するルータは 1 台のみの構成で使用できます。ルータを複数設置する場合は DHCPv6-PD 機能を使用してください。
図 2.12.4 NDプロキシの構成
NDプロキシの設定は以下のとおりです。
インタフェースコンフィグモード
項目
説明
ipv6 nd proxy
NDプロキシ設定GigaEthernet0.0 から RA を受信し、GigaEthernet1.0 に RA を送信 DHCPv6 の Information にて DNS サーバー、NTP サーバーのアドレスを受信 proxy-dns ipv6 enable ! ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers option-request ntp-servers ! interface GigaEthernet0.0 ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 nd proxy GigaEthernet1.0 no ipv6 redirects no shutdown ! interface GigaEthernet1.0 ipv6 enable ipv6 nd ra enable ipv6 nd ra dns-server fe80::260:11ff:fe11:1111 no shutdown
ND プロキシは、1 インタフェースのみ設定可能です。
ND プロキシ有効時の動作は以下のようになります。
WAN 側インタフェース up 時にプレフィックス要求(RS)を送信します。プレフィックス通知(RA)受信時、RA を送信した装置を出力先としたデフォルトルートを設定し、受信したプレフィックスを LAN 側に割り当てます。RA 受信後は、LAN 側の端末からの RS に対して、受信したプレフィックスを通知します。
図 2.12.5 NDプロキシ有効時の動作
アクセスリストを設定することにより、特定ホストからの特定アドレスに対する要求のみ、アドレス解決要求(NS)に応答するように制限することができます。
アクセスリストは次のように比較を行います。
送信元アドレスと、アドレス要求(NS)の送信元アドレス
送信先アドレスと、アドレス要求(NS)で解決するアドレス(Target Address)
permit の場合は応答し、deny の場合は応答しません。
解決するアドレスが x:x:x:x::0~x:x:x:x::ff は応答を返さない ipv6 access-list wan-hosts deny ip src any dest :: ffff:ffff:ffff:ffff::ff ipv6 access-list wan-hosts permit ip src any dest any ! interface GigaEthernet0.0 ipv6 enable ipv6 nd proxy GigaEthernet1.0 wan-hosts no ipv6 redirects no shutdown ! interface GigaEthernet1.0 ipv6 enable ipv6 nd ra enable no shutdown
注意
DHCP で配布された、DNS サーバー、NTP サーバーを除き、WAN 側インタフェースのネットワーク内に設置した装置とは通信できません。次項のローカル ND プロキシを設定した場合、NS の応答を返すため、端末から WAN 側インタフェースのネットワーク宛のパケットは送信されますが、UNIVERGE IX-R/IX-V シリーズでは WAN 側インタフェースに転送されないため、通信はできません。
2.12.9. ローカルNDプロキシの設定
注意
UNIVERGE IX-V シリーズをクラウドで利用する場合は、ローカルNDプロキシは利用できません。
ローカル ND プロキシ機能を有効にした場合、すべての IPv6 アドレスの NS に応答を返します。
ただし、以下のNSには応答を返しません。
アドレス重複検出(送信元アドレスが未指定)の場合
Target Address がマルチキャストの場合
Target Address がリンクローカルアドレスの場合
アクセスリストを設定することにより、特定ホストからの特定アドレスに対する要求のみ、アドレス解決要求(NS)に応答するように制限することができます。
アクセスリストは次のように比較を行います。
送信元アドレスと、アドレス要求(NS)の送信元アドレス
送信先アドレスと、アドレス要求(NS)で解決するアドレス(Target Address)
設定は以下のとおりです。
インタフェースコンフィグモード
項目
説明
ipv6 nd local-proxy
ローカルNDプロキシ設定
2001:db8::100 からの NS のみすべての NS に対して応答を返す。 ipv6 access-list lan-hosts permit ip src 2001:db8::100/32 dest any ! interface GigaEthernet1.0 ipv6 enable ipv6 address 2001:db8::1/64 ipv6 nd local-proxy lan-hosts no shutdown
本機能が有効の場合、ICMP リダイレクトメッセージを送信しません。
注意
ローカル ND プロキシ有効時は、すべての IP アドレスに応答を返します。他に NS の応答を返す装置がある場合、NS 送信元の装置にてアドレス解決が正しく行われない可能性があります。ネットワーク構成にはご注意ください。
2.12.10. ICMPv6リダイレクトメッセージの送信制御設定
ブロードキャストネットワークにおいて、ICMPv6 REDIRECTS メッセージの送信を制御します。 デフォルトでは、ICMPv6 REDIRECTS メッセージを送信しますので、REDIRECTS を送信したくない場合に、停止設定を行います。
ノンブロードキャストネットワーク(ポイントツーポイントネットワーク等)では、以下のコマンドは無視されます。
インタフェースコンフィグモード
項目
説明
no ipv6 redirects
ICMP リダイレクトメッセージの送信停止設定
interface GigaEthernet1.0 ipv6 enable no ipv6 redirects no shutdown