IPv6 グローバル ポリシーは、ストレージおよびアクセス ポリシー データベースのサービスを提供します。IPv6 スヌーピング、DHCPv6 ガード、および IPv6 RA ガードは、IPv6 グローバル ポリシーの機能です。IPv6 スヌーピング、DHCPv6 ガード、および IPv6 RA ガードをグローバルに設定するたびに、ポリシーの属性が、ソフトウェア ポリシー データベースに保存されます。その後ポリシーはインターフェイスに適用され、ポリシーが適用されたこのインターフェイスを含めるためにソフトウェア ポリシー データベース エントリが更新されます。

すべてのポート レベルの FHS ポリシーは ifacl リージョンでプログラミングされますが、VLAN レベルのポリシーは FHS リージョンでプログラミングされます。ハードウェア プロファイルを設定するには、tcam regionfhs tcam_size コマンドを使用します。TCAM サイズの範囲は 0 〜 4096 です。

• Cisco Nexus 9200、9300-EX、および9300-FX/FX2プラットフォームスイッチでは、FHS パケットはソフトウェア処理のために copp-s-dhcpreq キューを使用します。

• Cisco Nexus 9300、9500 プラットフォーム スイッチ、Cisco Nexus 3164Q スイッチ、N9K-X9432C-S ライン カード、および Cisco Nexus 3232C および 3264Q スイッチは、クラス デフォルトを使用します。

（注）	In-Service Software Upgrades（ISSU）を使用して Cisco Nexus シリーズスイッチを Cisco NX-OS Release 7.0(3)I7(1) にアップグレードする場合は、ポート レベルの FHS ポリシーを設定する前に Cisco NX-OS ボックスをリロードする必要があります。

デバイスに接続されている IPv6 ネイバーのデータベース テーブルは、IPv6 スヌーピングなどの情報源から作成されます。このデータベース（またはバインディング）テーブルは、スプーフィングやリダイレクト攻撃を防止するために、リンク層アドレス（LLA）、IPv6 アドレス、およびネイバーのプレフィックス バインディングを検証するためにさまざまな IPv6 ガード機能によって使用されます。

IPv6 RA ガード機能は、ネットワーク デバイス プラットフォームに到着した不要または不正な RA ガード メッセージを、ネットワーク管理者がブロックまたは拒否できるようにするためのサポートを提供します。RA は、リンクで自身をアナウンスするためにデバイスによって使用されます。IPv6 RA ガード機能は、それらの RA を分析して、承認されていないデバイスから送信された RA を除外します。ホスト モードでは、ポート上の RA とルータ リダイレクト メッセージはすべて許可されません。RA ガード機能は、レイヤ 2（L2）デバイスの設定情報を、受信した RA フレームで検出された情報と比較します。L2 デバイスは、RA フレームとルータ リダイレクト フレームの内容を設定と照らし合わせて検証した後で、RA をユニキャストまたはマルチキャストの宛先に転送します。RA フレームの内容が検証されない場合は、RA はドロップされます。

ルータ アドバタイズメントは、リンク上で通信するためのグローバル ユニキャスト アドレスおよびその他のアドレス指定情報を作成または取得する方法をデバイスに提案します。RA メッセージは 4 つのフラグを使用して、これがどのように行われるかをデバイスに通知します。

1. アドレス自動構成フラグ（A フラグ）：A フラグはデフォルトで有効になっています。このフラグは、指定したプレフィックスが IPv6 自動構成に使用できることをローカル リンク上のホストに知らせます。

2. その他の構成フラグ（O フラグ）：O フラグはデフォルトで無効になっています。このフラグは、ステートレス DHCPv6 サーバーからグローバル ユニキャスト アドレス以外のアドレス指定情報を取得するようにホストに指示します。この情報には、DNS サーバーのアドレスとドメイン名が含まれる場合があります。

3. 管理対象アドレス構成フラグ（M フラグ）：M フラグはデフォルトで無効になっています。このフラグは、グローバル ユニキャスト アドレスおよびその他すべてのアドレス指定情報にステートフル DHCPv6 サーバーを使用するようにホストに指示します。ステートフル DHCPv6 が必要な場合は、ipv6 managed-config-flag コマンドを使用して M フラグを有効にします。

   （注）	M フラグが有効な場合、A フラグは通常無効にする必要があります。M フラグを手動で有効にしても、A フラグは自動的に無効になりません。A フラグを無効にするには、ipv6 nd prefix ipv6-prefix/prefix-length no-autoconfig コマンドを使用します。

4. オンリンク フラグ（L フラグ）：L フラグもデフォルトで有効になっています。L フラグは、特定のプレフィックスがこのリンクまたはサブネット上にあることを識別します。IPv6 は、接続先 IP アドレスがリンクに対してローカルであるかどうかを判断するために、IPv4 のように論理 AND ハッシュを実行しません。L フラグが無効になっている場合、すべてのパケットはデフォルト ゲートウェイに送信されます。A フラグと L フラグは、デフォルトで ICMPv6 ルーター アドバタイズメント（RA）を介してアドバタイズされます。

IPv6 RA ガードの注意事項と制約事項は次のとおりです。

• IPv6 RA ガード機能は、IPv6 トラフィックがトンネリングされる環境では保護を行いません。

• Cisco NX-OS リリース 10.1(1) から、Cisco Nexus 9300-GX プラットフォーム スイッチで IPV6 RA ガードはサポートされます。

• この機能は、TCAM（Ternary Content Addressable Memory）がプログラムされているハードウェアでのみサポートされています。

• この機能は、入力方向のスイッチ ポート インターフェイスで設定できます。

• この機能は、ホスト モードとルータ モードをサポートしています。

• この機能は、入力方向だけでサポートされます。出力方向ではサポートされません。

• この機能は、補助 VLAN およびプライベート VLAN（PVLAN）でサポートされています。PVLAN の場合、プライマリ VLAN の機能が継承され、ポート機能とマージされます。

• IPv6 RA ガード機能によってドロップされたパケットはスパニングできます。

DHCPv6 ガード機能は、サーバからクライアントに DHCP パケットを転送する、承認されていない DHCP サーバとリレー エージェントから発信される DHCP 応答やアドバタイズメント メッセージをブロックします。クライアントメッセージまたはリレーエージェントによってクライアントからサーバに送信されるメッセージはブロックされません。フィルタリングの決定は、受信側スイッチポート、トランク、またはVLANに割り当てられたデバイスロールによって決定されます。この機能は、トラフィックリダイレクションまたはサービス妨害（DoS）を防止するのに役立ちます。

パケットは、3つのDHCPタイプメッセージのいずれかに分類されます。すべてのクライアントメッセージは、デバイスロールに関係なく常にスイッチングされます。DHCPサーバメッセージは、デバイスロールがserverに設定されている場合にのみ、さらに処理されます。DHCP サーバ アドバタイズメントの追加処理は、サーバ プリファレンス チェックのために行われます。

デバイスがDHCPサーバとして設定されている場合は、デバイスロールの設定に関係なく、すべてのメッセージを切り替える必要があります。

DHCPv6 ガードの注意事項と制約事項は次のとおりです。

• DHCP サーバから到着するパケットがリレー転送またはリレー応答である場合、デバイス ロールのみがチェックされます。さらに、IPv6 DHCP ガードは、スイッチで実行されているローカル リレー エージェントによって送信されたパケットにポリシーを適用しません。

IPv6 の「スヌーピング」機能は、レイヤ 2 IPv6 のファーストホップ機能をいくつか組み合わせたもので、レイヤ 2（またはレイヤ 2 とレイヤ 3 の間）で動作し、IPv6 の機能にセキュリティと拡張性を提供します。この機能によって、Duplicate Address Detection（DAD）、アドレス解決、デバイス検出やネイバー キャッシュに対する攻撃といった、ネイバー探索メカニズムに固有のいくつかの脆弱性が軽減されます。

IPv6 スヌーピングは、レイヤ 2 ネイバー テーブルのステートレス自動設定アドレスのバインディングを学習して保護し、信頼できるバインディング テーブルを構築するためにスヌーピング メッセージを分析します。有効なバインディングのない IPv6 スヌーピング メッセージはドロップされます。IPv6 スヌーピング メッセージは、その IPv6 から MAC へのマッピングが検証可能な場合に信頼できると見なされます。

ターゲット（プラットフォームのターゲット サポートによって異なり、デバイス ポート、スイッチ ポート、レイヤ 2 インターフェイス、レイヤ 3 インターフェイス、および VLAN が含まれることがある）に IPv6 スヌーピングが設定されている場合、IPv6 トラフィックのスヌーピング プロトコルと Dynamic Host Configuration Protocol（DHCP）をルーティング デバイスのスイッチ統合セキュリティ機能（SISF）インフラストラクチャにリダイレクトするためのキャプチャ命令がハードウェアにダウンロードされます。スヌーピング トラフィックの場合、Neighbor Discovery Protocol（NDP）メッセージは SISF に送信されます。DHCPv6の場合、dhcvp6_client および dhcvp_server ポートから送信された UDP メッセージがリダイレクトされます。

IPv6 スヌーピングはその「キャプチャ ルール」を分類子に登録します。分類子では、特定のターゲットにあるすべての機能のルールがすべて集約され、対応する ACL がプラットフォーム依存モジュールにインストールされます。分類子は、リダイレクトされたトラフィックを受信すると、（トラフィックを受信しているターゲットに対して）登録されているすべての機能からすべてのエントリ ポイント（IPv6 スヌーピング エントリ ポイントを含む）を呼び出します。IPv6 スヌーピングのエントリ ポイントは最後に呼び出されるため、他の機能によって行われた決定が IPv6 スヌーピングの決定よりも優先されます。

IPv6 スヌーピングは、IPv6 ホストが非表示になったときにネイバー テーブルを即時に更新できるように、IPv6 ホストの活性トラッキングを提供します。

加えて、IPv6 スヌーピングは、正確なバインディング テーブルに依存するその他多くの IPv6 の機能の基盤です。この機能は、アドレス収集のためにリンク上のスヌーピングおよび DHCP メッセージを検査した後に、それらのアドレスをバインディング テーブルに入力します。また、この機能は、アドレスの所有権を強制し、特定のノードが要求可能なアドレスの数を制限します。

IPv6スヌーピングの注意事項と制限事項は次のとおりです。

• 両方の vPC ピアで同じ設定を実行する必要があります。IPv6 スヌーピングの自動整合性チェッカはサポートされていません。

• IPv6 スヌーピング機能は、TCAM（Ternary Content Addressable Memory）がプログラムされているハードウェアでのみサポートされています。

• この機能は、入力方向のスイッチ ポート インターフェイスまたは VLAN のみで設定できます。

• IPv6 スヌーピングが DHCP バインディングを学習するには、サーバとクライアントの両方の応答を確認する必要があります。IPv6 スヌーピング ポリシーは、インターフェイス（または VLAN）に面したクライアントと、インターフェイス（または VLAN）に面した DHCP サーバの両方にアタッチする必要があります。DHCP リレーの場合、サーバの応答を確認するために、IPv6 スヌーピングポリシーを VLAN レベルでアタッチする必要があります。