CCNP-ENARSI_IPv6
ito_110ICMPv6(Internet Control Message Protocol for IPv6)
IPv6用のICMP
-
ICMPとは?
デバイスがネットワーク内のデータ転送エラーを通知するために使用する通信ルールのセット
AWS_ICMP とは何ですか? -
IPv4で使用されたICMPの機能に加えて、ARPに類似のアドレス解決機能を追加されてされている
- エラー通知や近隣探索が可能
ito_110ICMPv6(Internet Control Message Protocol for IPv6)
IPv6用のICMP
-
ICMPとは?
デバイスがネットワーク内のデータ転送エラーを通知するために使用する通信ルールのセット
AWS_ICMP とは何ですか? -
IPv4で使用されたICMPの機能に加えて、ARPに類似のアドレス解決機能を追加されてされている
- エラー通知や近隣探索が可能
ito_110NDP(Neighbor Discovery Protocol)
Neighbor Discovery Protocol → 近隣探索プロトコル
NDPで使用するICMPv6パケットは下記
RS(Router Solicitation:ルータ要請)
- RAを要請するパケット
- リンク上の全ルータ宛に送信する
- タイプフィールド:133
RA(Router Advertisement:ルータ広告)
- アドレス情報やネットワーク設定を告知するパケット
- リンク上の全ルータ宛に定期的に送信する
- タイプフィールド:134
- RAに含まれる主な情報
- IPv6アドレスのプレフィックス(ローカルリンク上でホストが自動的にIPv6アドレスを構成できるようにする)
- ライフタイム(IPv6アドレスのプレフィックスを使用できる期間)
- フラグ(オートコンフィグレーションのタイプを示す)
NS(Neighbor Solicitation:ネイバー要請)
- MACアドレスを問い合わせるパケット
- タイプフィールド:135
NA(Neighbor Advertisement:近隣広告)
- NSへの応答パケット
- タイプフィールド:136
Redirect(リダイレクト)
- 最適なネクストホップをノードに通知するパケット
- タイプフィールド:137
NDPによって以下の機能が実現される
- MACアドレスの解決(IPv4のARPに相当)
- SLAAC(StateLess Address Auto Configuration:アドレスの自動設定)
- DAD(Duplicate Address Detection:重複アドレスの検出)
ito_110IPv6アドレスの設定方法
手動設定
設定範囲が128ビットの場合
(config-if)#ipv6 address[アドレス/プレフィックス長]
IPv6アドレスを全桁設定する
アドレスを固定する場合に使用される設定方法
設定範囲が64ビットの場合
(config-if)#ipv6 address[サブネットID/64] eui-64
サブネットIDを手動で設定、インターフェースIDをEUI-64で自動設定させる
半分だけ手動、残り半分は自動
ステートレス自動設定(SLAAC)
(config-if)#ipv6 address autoconfig [default]
ICMPv6を使って接続したネットワークのプレフィックスとゲートウェイアドレスを取得して、
インターフェイスIDをEUI-64に自動設定させる
IPアドレス以外の情報は手動で設定する必要がある。
アドレス管理をしない場合の設定方法
ステートレス自動設定(DHCPv6ステートレス)
(config-if)#ipv6 address autoconfig [default]
ICMPv6を使って接続したネットワークのプレフィックスとゲートウェイアドレスを取得して、
インターフェイスIDをEUI-64に自動設定させる
IPアドレス以外の情報はDHCPサーバから取得する
ステートレス自動設定(DHCPv6ステートフル)
(config-if)#ipv6 address dhcp
IPv4でのDHCPと同様にアドレスだけでなくDNSサーバなども自動設定させる。
細かいアドレス管理を行う場合の設定方法
ito_110SLAAC(StateLess Address Auto Configuration)
IPv6の設定方法
SLAACはICMPv6のNDPを利用して自動設定する
- IPv6ルーティングが有効なルータが定期的にRAによって、そのセグメントのプレフィックスを広告する
- ネットワークに追加されたホストはRSを送信し、ルータがRAを即時に送信するよう要求する
- ホストは、受信したRAからプレフィックスを、EUI-64によってインターフェースIDを取得し、IPv6アドレスを自動設定する。また、RAを送信したルータのIPv6アドレスをデフォルトゲートウェイとして設定する
- アドレス設定が完了し、通信が可能になる
ito_110コマンド:RAメッセージの抑制
(config-if)#ipv6 nd ra suppress
定期的に送信するRAメッセージを停止する
ただし、RSを受け取った際に送信するRAメッセージは止めない
全てのRAメッセージを停止するは下記
(config-if)#ipv6 nd ra suppress all
ステートレス自動設定で生成されるIPv6アドレスの構成
| 64bit | 64bit |
|---|---|
| プレフィックス | インターフェイスID |
| ルータから通知 | MACアドレスから生成 |
ito_110EUI-64(Extended Unique Identifier 64-bit)
ホストが自身のユニークな64ビットインターフェースIDを自動生成するための手法です。この方法は、デバイスのMACアドレスを使用してIPv6アドレスを生成するために利用される。
ito_110IPv6アドレスの割り当て方法とフラグ
IPv6アドレスの割り当て方法を指定するには、MフラグとOフラグを使用します。
これらのフラグのON/OFFの組み合わせによって割り当て方法が決まります。
- Mフラグ・・・ONの場合、IPアドレスをDHCPv6サーバから取得させる。OFFの場合、ICMPv6を使ってIPアドレスを自動生成させる。
- Oフラグ・・・ONの場合、IPv6アドレス以外の情報をDHCPv6サーバから取得させる。OFFの場合、IPv6アドレス以外の情報を手動設定させる。
ito_110コマンド:インターフェースのIPv6情報を表示
# show ipv6 interface
IPv6ファーストホップセキュリティ
IPv6ファーストホップセキュリティは、PCがネットワークに接続する一歩目となるスイッチで働くセキュリティ機能
IPv6スヌーピング・IPv6 NDインスペクション
NDPメッセージを確認(のぞき見)して情報を集める機能
不正なNDPメッセージは破棄
IPv6バインディングテーブル
IPv6ネットワークにおいて、MACアドレスとIPv6アドレスの有効なバインディング情報を保持するデータベース
IPv6ソースガード
バインディングテーブルを利用して、送信元が不明なパケットを破棄する機能
IPv6プレフィックスガード
Router Advertisement(RA)などで収集したプレフィックス情報を元に、不正なトラフィックを破棄するかどうかを判定する
IPv6宛先ガード
不正なIPv6宛先アドレス情報を検出し、適切な通信を確保するための仕組みを提供する
IPv6RAガード
不正なRouter Advertisement(RA)メッセージを検出する機能
プライベートVLAN
不正なルータからのRAメッセージを破棄する
IPv6DHCPガード
不正なDynamic Host Configuration Protocol for IPv6(DHCPv6)メッセージを検出する
NDマルチキャスト抑制機能
IPv6ネットワークにおいて、ネイバー・ディスカバリ(Neighbor Discovery)プロトコルにおけるマルチキャストトラフィックを制御するための機能