Cisco IOS XE 17.x セキュリティおよび VPN 設定ガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2024年10月22日火曜日

章のタイトル： IPv6 RA ガード

IPv6 RA ガード
IPv6 RA ガードの制限
IPv6 RA ガードに関する情報
- IPv6 グローバルポリシー
- IPv6 RA ガード
IPv6 RA ガードの設定方法
- デバイスでの IPv6 RA ガードポリシーの設定
- インターフェイスの IPv6 RA ガードの設定
IPv6 RA ガードの設定例
- 例：IPv6 RA ガードの設定
- 例：IPv6 ND インスペクションおよび RA ガードの設定
その他の参考資料
IPv6 RA ガードの機能情報

IPv6 RA ガード

IPv6 RA ガード機能は、ネットワークデバイスプラットフォームに到着した不要または不正なルータアドバタイズメント（RA）ガードメッセージを、ネットワーク管理者がブロックまたは拒否できるようにするためのサポートを提供します。

IPv6 RA ガードの制限

IPv6 RA ガード機能は、IPv6 トラフィックがトンネリングされる環境では保護を行いません。
この機能は、TCAM（Ternary Content Addressable Memory）がプログラムされているハードウェアでのみサポートされています。
この機能は、入力方向のスイッチポートインターフェイスで設定できます。
この機能は、ホストモードとルータモードをサポートしています。
この機能は、入力方向だけでサポートされます。出力方向ではサポートされません。
この機能は、EtherChannel および EtherChannel ポートメンバーではサポートされません。
この機能は、マージモードのトランクポートではサポートされません。
この機能は、補助 VLAN およびプライベート VLAN（PVLAN）でサポートされています。PVLAN の場合、プライマリ VLAN の機能が継承され、ポート機能とマージされます。
IPv6 RA ガード機能によってドロップされたパケットはスパニングできます。
platform ipv6 acl icmp optimize neighbor-discovery command が設定されている場合、IPv6 RA ガード機能は設定できず、エラーメッセージが表示されます。このコマンドは、RA ガードの ICMP エントリを上書きするデフォルトのグローバル Internet Control Message Protocol（ICMP）エントリを追加します。

IPv6 RA ガードに関する情報

IPv6 グローバルポリシー

IPv6 グローバルポリシーは、ストレージおよびアクセスポリシーデータベースのサービスを提供します。IPv6 ND 検査と IPv6 RA ガードは、IPv6 グローバルポリシー機能です。ND インスペクションまたは RA ガードをグローバルに設定するたびに、ポリシーの属性が、ソフトウェアポリシーデータベースに保存されます。その後ポリシーはインターフェイスに適用され、ポリシーが適用されたこのインターフェイスを含めるためにソフトウェアポリシーデータベースエントリが更新されます。

IPv6 RA ガード

IPv6 RA ガード機能は、ネットワークデバイスプラットフォームに到着した不要または不正な RA ガードメッセージを、ネットワーク管理者がブロックまたは拒否できるようにするためのサポートを提供します。RA は、リンクで自身をアナウンスするためにデバイスによって使用されます。IPv6 RA ガード機能は、それらの RA を分析して、承認されていないデバイスから送信された RA を除外します。ホストモードでは、ポート上の RA とルータリダイレクトメッセージはすべて許可されません。RA ガード機能は、レイヤ 2（L2）デバイスの設定情報を、受信した RA フレームで検出された情報と比較します。L2 デバイスは、RA フレームとルータリダイレクトフレームの内容を設定と照らし合わせて検証した後で、RA をユニキャストまたはマルチキャストの宛先に転送します。RA フレームの内容が検証されない場合は、RA はドロップされます。

ワイヤレス展開では、ワイヤレスポートで受信した RA はドロップされます。ルータはこれらのインターフェイスに存在できないためです。

IPv6 RA ガードの設定方法

デバイスでの IPv6 RA ガードポリシーの設定

Note

ipv6 nd raguard コマンドがポートで設定されている場合、ルータ送信要求メッセージはこれらのポートに複製されません。ルータ要請メッセージを複製するには、ルータ側のすべてのポートをルータロールに設定する必要があります。

SUMMARY STEPS

enable
configure terminal
ipv6 nd raguard policy policy-name
device-role {host | router}
hop-limit {maximum | minimum limit}
managed-config-flag {on | off}
match ipv6 access-list ipv6-access-list-name
match ra prefix-list ipv6-prefix-list-name
other-config-flag {on | off}
router-preference maximum {high | low | medium}
trusted-port
exit

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	ipv6 nd raguard policy `policy-name` Example: `Device(config)# ipv6 nd raguard policy policy1`	RA ガードポリシー名を定義して、RA ガードポリシーコンフィギュレーションモードを開始します。
Step 4	device-role {host \| router} Example: `Device(config-ra-guard)# device-role router`	ポートに接続されているデバイスの役割を指定します。
Step 5	hop-limit {maximum \| minimum `limit`} Example: `Device(config-ra-guard)# hop-limit minimum 3`	（任意）アドバタイズされたホップカウント制限の検証をイネーブルにします。設定されていない場合、このチェックは回避されます。
Step 6	managed-config-flag {on \| off} Example: `Device(config-ra-guard)# managed-config-flag on`	（任意）アドバタイズされた管理アドレスの設定フラグが on であることの検証をイネーブルにします。設定されていない場合、このチェックは回避されます。
Step 7	match ipv6 access-list `ipv6-access-list-name` Example: `Device(config-ra-guard)# match ipv6 access-list list1`	（任意）検査済みメッセージ内の送信者の IPv6 アドレスが設定された承認デバイスソースアクセスリストからのものであることの検証をイネーブルにします。設定されていない場合、このチェックは回避されます。
Step 8	match ra prefix-list `ipv6-prefix-list-name` Example: `Device(config-ra-guard)# match ra prefix-list listname1`	（任意）検証済みメッセージ内のアドバタイズされたプレフィックスが設定された承認プレフィックスリストからのものであることの検証をイネーブルにします。設定されていない場合、このチェックは回避されます。
Step 9	other-config-flag {on \| off} Example: `Device(config-ra-guard)# other-config-flag on`	（任意）アドバタイズされた [Other] 設定パラメータの検証をイネーブルにします。
Step 10	router-preference maximum {high \| low \| medium} Example: `Device(config-ra-guard)# router-preference maximum high`	（任意）アドバタイズされたデフォルトルータの設定パラメータの値が指定された制限値以下であることの検証をイネーブルにします。
Step 11	trusted-port Example: `Device(config-ra-guard)# trusted-port`	（任意）このポリシーが信頼できるポートに適用されることを指定します。すべての RA ガードポリシングが無効になります。
Step 12	exit Example: `Device(config-ra-guard)# exit`	RA ガードポリシーコンフィギュレーションモードを終了してグローバルコンフィギュレーションモードに戻ります。

インターフェイスの IPv6 RA ガードの設定

SUMMARY STEPS

enable
configure terminal
interface type number
ipv6 nd raguard attach-policy [policy-name [vlan {add | except | none | remove | all } vlan [vlan1, vlan2, vlan3 ...]]]
exit
show ipv6 nd raguard policy [policy-name ]
debug ipv6 snooping raguard [filter | interface | vlanid ]

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	interface `type` `number` Example: `Device(config)# interface fastethernet 3/13`	インターフェイスのタイプと番号を指定し、デバイスをインターフェイスコンフィギュレーションモードにします。
Step 4	ipv6 nd raguard attach-policy [`policy-name` [vlan {add \| except \| none \| remove \| all } `vlan` [`vlan1,` `vlan2,` `vlan3` ...]]] Example: `Device(config-if)# ipv6 nd raguard attach-policy`	指定したインターフェイスに IPv6 RA ガード機能を適用します。
Step 5	exit Example: `Device(config-if)# exit`	インターフェイスコンフィギュレーションモードを終了します。
Step 6	show ipv6 nd raguard policy [`policy-name` ] Example: `Device# show ipv6 nd raguard policy raguard1`	RA ガードを使用して設定されているすべてのインターフェイスで RA ガードポリシーを表示します。
Step 7	debug ipv6 snooping raguard [`filter` \| `interface` \| `vlanid` ] Example: `Device# debug ipv6 snooping raguard`	IPv6 RA ガードスヌーピング情報のデバッグをイネーブルにします。

IPv6 RA ガードの設定例

例：IPv6 RA ガードの設定


Device(config)# interface fastethernet 3/13


Device(config-if)# ipv6 nd raguard attach-policy


Device# show running-config interface fastethernet 3/13
 
Building configuration... 
Current configuration : 129 bytes 
! 
interface FastEthernet3/13 
 switchport 
 switchport access vlan 222 
 switchport mode access 
 access-group mode prefer port 
 ipv6 nd raguard 
end

例：IPv6 ND インスペクションおよび RA ガードの設定

この例は、ネイバー探索インスペクションおよび RA ガード機能の両方が設定されているインターフェイスに関する情報を示しています。


Device# show ipv6 snooping capture-policy interface ethernet 0/0

Hardware policy registered on Ethernet 0/0 
Protocol     Protocol value   Message   Value     Action    Feature 
ICMP         58               RS        85        punt      RA Guard 
                                                  punt      ND Inspection 
ICMP         58               RA        86        drop      RA guard 
                                                  punt      ND Inspection 
ICMP         58               NS        87        punt      ND Inspection 
ICM          58               NA        88        punt      ND Inspection 
ICMP         58               REDIR     89        drop      RA Guard 
                                                  punt      ND Inspection

その他の参考資料

関連項目	マニュアルタイトル
IPv6 アドレッシングと接続	『IPv6 Configuration Guide』
Cisco IOS コマンド	『Cisco IOS Master Commands List, All Releases』
IPv6 コマンド	『Cisco IOS IPv6 Command Reference』
Cisco IOS IPv6 機能	『Cisco IOS IPv6 Feature Mapping』

標準および RFC


標準/RFC	タイトル
IPv6 に関する RFC	IPv6 RFCs

MIB


MIB	MIB のリンク
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。	選択したプラットフォーム、Cisco IOS リリース、およびフィーチャセットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs

シスコのテクニカルサポート


説明	リンク
右の URL にアクセスして、シスコのテクニカルサポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。	http://www.cisco.com/cisco/web/support/index.html

IPv6 RA ガードの機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェアリリーストレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。

Table 1. IPv6 RA ガードの機能情報
機能名	リリース	機能情報
IPv6 RA ガード	12.2(33)SXI4 12.2(50)SY 12.2(54)SG 15.0(2)SE 15.0(2)SG Cisco IOS XE Release 3.8S Cisco IOS XE Release 3.2SE Cisco IOS XE Release 3.2SG	次のコマンドが導入または変更されました。debug ipv6 snooping raguard 、device-role 、 hop-limit 、 ipv6 nd raguard attach-policy 、 ipv6 nd raguard policy 、 managed-config-flag 、 match ipv6 access-list 、 match ra prefix-list 、 other-config-flag 、 router-preference maximum 、 show ipv6 nd raguard policy 。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco IOS XE 17.x セキュリティおよび VPN 設定ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： IPv6 RA ガード

IPv6 RA ガード

IPv6 RA ガードの制限

IPv6 グローバル ポリシー

IPv6 RA ガード

デバイスでの IPv6 RA ガード ポリシーの設定

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

Example:

インターフェイスの IPv6 RA ガードの設定

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

Example:

Example:

例：IPv6 RA ガードの設定

例：IPv6 ND インスペクションおよび RA ガードの設定

その他の参考資料

関連資料

標準および RFC

MIB

シスコのテクニカル サポート

IPv6 RA ガードの機能情報

このドキュメントは役に立ちましたか?

シスコに問い合わせ

IPv6 グローバルポリシー

デバイスでの IPv6 RA ガードポリシーの設定

シスコのテクニカルサポート