IPv6 スヌーピング

IPv6 スヌーピング機能は、複数のレイヤ 2 IPv6 ファーストホップセキュリティ機能（IPv6 ネイバー探索インスペクション、IPv6 デバイストラッキング、IPv6 アドレス収集、および IPv6 バインディングテーブルのリカバリを含む）をバンドルして、セキュリティと拡張性を提供します。IPv6 ND インスペクションは、レイヤ 2（またはレイヤ 2 とレイヤ 3 の間）で動作し、IPv6 の機能にセキュリティと拡張性を提供します。

IPv6 スヌーピングの制限

IPv6 スヌーピング機能は、EtherChannel ポートではサポートされません。

IPv6 スヌーピングに関する情報

ここでは、IPv6 スヌーピングについて説明します。

IPv6 スヌーピング

IPv6 スヌーピング機能によって、複数のレイヤ 2 IPv6 ファーストホップセキュリティ機能（IPv6 アドレス収集と IPv6 デバイストラッキングを含む）がバンドルされます。この機能は、レイヤ 2（またはレイヤ 2 とレイヤ 3 の間）で動作し、IPv6 の機能にセキュリティと拡張性を提供します。この機能によって、Duplicate Address Detection（DAD）、アドレス解決、デバイス検出やネイバーキャッシュに対する攻撃といった、ネイバー探索メカニズムに固有のいくつかの脆弱性が軽減されます。

IPv6 スヌーピングは、レイヤ 2 ネイバーテーブルのステートレス自動設定アドレスのバインディングを学習して保護し、信頼できるバインディングテーブルを構築するために ND メッセージを分析します。有効なバインディングのない IPv6 ND メッセージはドロップされます。ND メッセージは、その IPv6 から MAC へのマッピングが検証可能な場合に信頼できると見なされます。

ターゲット（プラットフォームのターゲットサポートによって異なり、デバイスポート、スイッチポート、レイヤ 2 インターフェイス、レイヤ 3 インターフェイス、および VLAN が含まれることがある）に IPv6 スヌーピングが設定されている場合、IPv6 トラフィックの ND プロトコルと Dynamic Host Configuration Protocol（DHCP）をルーティングデバイスのスイッチ統合セキュリティ機能（SISF）インフラストラクチャにリダイレクトするためのキャプチャ命令がハードウェアにダウンロードされます。ND トラフィックの場合、NS、NA、RS、RA、REDIRECT などのメッセージが SISF にリダイレクトされます。DHCP の場合、ポート 546 または 547 から送信された UDP メッセージがリダイレクトされます。

IPv6 スヌーピングはその「キャプチャルール」を分類子に登録します。分類子では、特定のターゲットにあるすべての機能のルールがすべて集約され、対応する ACL がプラットフォーム依存モジュールにインストールされます。分類子は、リダイレクトされたトラフィックを受信すると、（トラフィックを受信しているターゲットに対して）登録されているすべての機能からすべてのエントリポイント（IPv6 スヌーピングのエントリポイントを含む）を呼び出します。IPv6 スヌーピングのエントリポイントは最後に呼び出されるため、他の機能によって行われた決定が IPv6 スヌーピングの決定よりも優先されます。

IPv6 デバイストラッキング

IPv6 デバイストラッキングは、IPv6 ホストが非表示になったときにネイバーテーブルを即時に更新できるように、IPv6 ホストの活性トラッキングを提供します。

IPv6 ファーストホップセキュリティバインディングテーブル

IPv6 ファーストホップセキュリティバインディングテーブルのリカバリメカニズム機能を使用すると、デバイスのリブート時にバインディングテーブルをリカバリできます。デバイスに接続されている IPv6 ネイバーのデータベーステーブルは、ND スヌーピングなどの情報源から作成されます。このデータベース（またはバインディング）テーブルは、スプーフィングやリダイレクト攻撃を防止するために、リンク層アドレス（LLA）、IPv4 または IPv6 アドレス、およびネイバーのプレフィックスバインディングを検証するためにさまざまな IPv6 ガード機能によって使用されます。

このメカニズムにより、デバイスのリブート時にバインディングテーブルをリカバリできます。リカバリメカニズムは、不明な送信元、（バインディングテーブルにまだ指定されていない送信元や、ND または DHCP グリーニングを使用して学習されていない送信元）からのデータトラフィックをブロックします。この機能は、宛先ガードで宛先アドレスの解決に失敗したときに、不足しているバインディングテーブルのエントリをリカバリします。障害が発生すると、バインディングテーブルのエントリは、設定に応じて、DHCP サーバーまたは宛先ホストにクエリを実行することでリカバリできます。

リカバリプロトコルとプレフィックスリスト

IPv6 ファーストホップセキュリティバインディングテーブルのリカバリメカニズム機能は、DHCP と NDP の両方でリカバリを試みる前に、一致するプレフィックスリストを提供する機能を導入します。

アドレスがプロトコルと関連付けられているプレフィックスリストと一致しない場合、そのプロトコルではバインディングテーブルエントリのリカバリは試行されません。プレフィックスリストは、プロトコルを使用してレイヤ 2 ドメインに割り当てられているアドレスに対して有効なプレフィックスに対応している必要があります。デフォルトではプレフィックスリストは存在せず、すべてのアドレスのリカバリが試行されます。プロトコルにプレフィックスリストを関連付けるコマンドは、protocol {dhcp | ndp} [ prefix-list prefix-list-name] です。

IPv6 デバイストラッキング

IPv6 アドレス収集

IPv6 アドレス収集は、正確なバインディングテーブルに依存するその他多くの IPv6 の機能の基盤です。この機能は、アドレス収集のためにリンク上の ND および DHCP メッセージを検査した後に、それらのアドレスをバインディングテーブルに入力します。また、この機能は、アドレスの所有権を強制し、特定のノードが要求可能なアドレスの数を制限します。

次の図は、IPv6 アドレス収集の仕組みを示しています。

複数の IA_NA および IA_PD のサポート

場合によっては、ネットワークデバイスが DHCP サーバーから複数の IPv6 アドレスを要求して受信することがあります。これは、レジデンシャルゲートウェイがアドレスをその LAN クライアントに配布することを要求する場合など、デバイスの複数のクライアントにアドレスを提供するために実行できます。デバイスが DHCPv6 パケットを送信すると、パケットにはデバイスに割り当てられているすべてのアドレスが含まれます。

SISF は DHCPv6 パケットを分析する際に、パケットの IA_NA（Identity Association-Nontemporary Address）および IA_PD（Identity Association-Prefix Delegation）コンポーネントを検査し、パケットに含まれる各 IPv6 アドレスを抽出します。SISF は、抽出された各アドレスをバインディングテーブルに追加します。

IPv6 スヌーピングの設定方法

インターフェイスの IPv6 スヌーピングの設定

手順の概要

enable
configure terminal
ipv6 snooping policy snooping-policy
exit
interface type number
ipv6 snooping attach-policy snooping-policy

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	ipv6 snooping policy `snooping-policy` 例: `Device(config)# ipv6 snooping policy policy1`	IPv6 スヌーピングポリシーを設定し、IPv6 スヌーピングコンフィギュレーションモードを開始します。
ステップ 4	exit 例: `Device(config-ipv6-snooping)# exit`	IPv6 スヌーピングコンフィギュレーションモードを終了します。
ステップ 5	interface `type` `number` 例: `Device(config)# interface Gigabitethernet 0/0/1`	インターフェイスコンフィギュレーションモードを開始します。
ステップ 6	ipv6 snooping attach-policy `snooping-policy` 例: `Device(config-if)# ipv6 snooping attach-policy policy1`	インターフェイスに IPv6 スヌーピングポリシーを対応付けます。

IPv6 ND インスペクションの確認とトラブルシューティング

SUMMARY STEPS

enable
show ipv6 snooping capture-policy [interface type number ]
show ipv6 snooping counter [interface type number ]
show ipv6 snooping features
show ipv6 snooping policies [interface type number ]
debug ipv6 snooping

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	show ipv6 snooping capture-policy [interface `type` `number` ] Example: `Device# show ipv6 snooping capture-policy interface ethernet 0/0`	スヌーピング ND メッセージキャプチャポリシーを表示します。
Step 3	show ipv6 snooping counter [interface `type` `number` ] Example: `Device# show ipv6 snooping counter interface FastEthernet 4/12`	インターフェイスカウンタによってカウントされたパケットに関する情報を表示します。
Step 4	show ipv6 snooping features Example: `Device# show ipv6 snooping features`	デバイスに設定されているスヌーピング機能に関する情報を表示します。
Step 5	show ipv6 snooping policies [interface `type` `number` ] Example: `Device# show ipv6 snooping policies`	設定されているポリシーと、ポリシーが接続されているインターフェイスに関する情報を表示します。
Step 6	debug ipv6 snooping Example: `Device# debug ipv6 snooping`	IPv6 でスヌーピング情報のデバッグをイネーブルにします。

IPv6 デバイストラッキングの設定

IPv6 ファーストホップセキュリティバインディングテーブルの内容の設定

手順の概要

enable
configure terminal
ipv6 neighbor binding {ipv6-address | ipv6-prefix} interface type number [hardware-address | mac-address] [tracking [disable | enable | retry-interval value ] | reachable-lifetime value ]
ipv6 neighbor binding max-entries entries
ipv6 neighbor binding logging
exit
show ipv6 neighbor binding

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	ipv6 neighbor binding {`ipv6-address` \| `ipv6-prefix`} interface `type` `number` [`hardware-address` \| `mac-address`] [tracking [disable \| enable \| retry-interval `value` ] \| reachable-lifetime `value` ] 例: `Device(config)# ipv6 neighbor binding 2001:DB8:0:ABCD::1 interface GigabitEthernet 0/0/1 reachable-lifetime 100`	バインディングテーブルデータベースにスタティックエントリを追加します。
ステップ 4	ipv6 neighbor binding max-entries `entries` 例: `Device(config)# ipv6 neighbor binding max-entries 100`	バインディングテーブルキャッシュに挿入できるエントリの最大数を指定します。
ステップ 5	ipv6 neighbor binding logging 例: `Device(config)# ipv6 neighbor binding logging`	バインディングテーブルメインイベントのロギングを有効にします。
ステップ 6	exit 例: `Device(config)# exit`	グローバルコンフィギュレーションモードを終了し、特権 EXEC モードを開始します。
ステップ 7	show ipv6 neighbor binding 例: `Device# show ipv6 neighbor binding`	バインディングテーブルの内容を表示します。

IPv6 ファーストホップセキュリティバインディングテーブルのリカバリメカニズムの設定

手順の概要

enable
configure terminal
ipv6 neighbor binding ipv6-address interface type number
ipv6 prefix-list list-name permit ipv6-prefix/prefix-length ge ge-value
ipv6 snooping policy snooping-policy-id
destination-glean {recovery | log-only} [dhcp]
data-glean {recovery | log-only} [ndp | dhcp]
prefix-glean
protocol dhcp [prefix-list prefix-list-name]
exit
ipv6 destination-guard policy policy-name
enforcement {always | stressed}
exit
interface type number
ipv6 snooping attach-policy snooping-policy
ipv6 destination-guard attach-policy policy-name
end

手順の詳細

コマンドまたはアクション目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

ipv6 neighbor binding ipv6-address interface type number

例:


Device(config)# ipv6 neighbor binding 2001:db8::1 interface Gigabitethernet3/0/1

バインディングテーブルデータベースにスタティックエントリを追加します。

ステップ 4

ipv6 prefix-list list-name permit ipv6-prefix/prefix-length ge ge-value

例:


Device(config)# ipv6 prefix-list abc permit 2001:DB8::/64 ge 128

IPv6 プレフィックスリストのエントリを作成します。

ステップ 5

ipv6 snooping policy snooping-policy-id

例:


Device(config)# ipv6 snooping policy xyz

IPv6 スヌーピングコンフィギュレーションモードを開始し、指定されたスヌーピングポリシーの設定を変更できるようします。

ステップ 6

destination-glean {recovery | log-only} [dhcp]

例:


Device(config-ipv6-snooping)# destination-glean recovery dhcp

宛先アドレスは DHCP からリカバリする必要があることを指定します。

（注）

ロギング（リカバリなし）が必要な場合は、destination-glean log-only コマンドを使用します。

ステップ 7

data-glean {recovery | log-only} [ndp | dhcp]

例:


Device(config-ipv6-snooping)# data-glean recovery ndp

ソース（または「データ」）アドレスグリーニングを使用して、IPv6 ファーストホップセキュリティバインディングテーブルのリカバリをイネーブルにします。

（注）

ロギング（リカバリなし）が必要な場合は、data-glean log-only コマンドを使用します。

ステップ 8

prefix-glean

例:


Device(config-ipv6-snooping)# prefix-glean

デバイスが IPv6 ルータアドバタイズメント（RA）または Dynamic Host Configuration Protocol（DHCP）からプレフィックスを収集できるようにします。

ステップ 9

protocol dhcp [prefix-list prefix-list-name]

例:


Device(config-ipv6-snooping)# protocol dhcp prefix-list abc

（任意）アドレスを DHCP で収集し、プロトコルを特定の IPv6 プレフィックスリストと関連付ける必要があることを指定します。

ステップ 10

exit

例:


Device(config-ipv6-snooping)# exit

IPv6 スヌーピングコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードに戻ります。

ステップ 11

ipv6 destination-guard policy policy-name

例:


Device(config)# ipv6 destination-guard policy xyz

（任意）宛先ガードコンフィギュレーションモードを開始し、指定した宛先ガードポリシーの設定を変更できるようにします。

ステップ 12

enforcement {always | stressed}

例:


Device(config-destguard)# enforcement stressed

ポリシーの強制レベルを、すべての条件下で強制するか、システムに負荷がかかっている場合のみ強制するか設定します。

ステップ 13

exit

例:


Device(config-destguard)# exit

宛先ガードコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードに戻ります。

ステップ 14

interface type number

例:

Device(config)# interface Gigabitethernet 0/0/1

インターフェイスコンフィギュレーションモードを開始します。

ステップ 15

ipv6 snooping attach-policy snooping-policy

例:

Device(config-if)# ipv6 snooping attach-policy xyz

インターフェイスに IPv6 スヌーピングポリシーを対応付けます。

ステップ 16

ipv6 destination-guard attach-policy policy-name

例:


Device(config-if)# ipv6 destination-guard attach-policy xyz

指定したインターフェイスに宛先ガードポリシーを対応付けます。

（注）

IPv6 宛先ガードポリシーの設定方法の詳細については、「IPv6 宛先ガード」を参照してください。

ステップ 17

end

例:


Device(config-if)# end

インターフェイスコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

アドレス収集の設定およびリカバリプロトコルとプレフィックスリストの関連付け

SUMMARY STEPS

enable
configure terminal
ipv6 snooping policy snooping-policy-id
protocol {dhcp | ndp} [prefix-list prefix-list-name]
end

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	ipv6 snooping policy `snooping-policy-id` Example: `Device(config)# ipv6 snooping policy 200`	IPv6 スヌーピングコンフィギュレーションモードを開始し、指定されたスヌーピングポリシーの設定を変更できるようします。
Step 4	protocol {dhcp \| ndp} [prefix-list `prefix-list-name`] Example: `Device(config-ipv6-snooping)# protocol dhcp prefix-list dhcp_prefix_list`	Dynamic Host Configuration Protocol（DHCP）で収集される必要があるアドレスを指定し、リカバリプロトコル（DHCP）とプレフィックスリストを関連付けます。
Step 5	end Example: `Device(config-ipv6-snooping)# end`	IPv6 スヌーピングコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

IPv6 デバイストラッキングの設定

IPv6 デバイストラッキング機能のバインディングテーブルでエントリのライフサイクルを細かく調整するには、次の作業を実行します。IPv6 デバイストラッキングが機能するには、バインディングテーブルにデータを入力する必要があります。

SUMMARY STEPS

enable
configure terminal
ipv6 neighbor tracking [retry-interval value ]

DETAILED STEPS

Command or Action Purpose

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します（要求された場合）。

Step 2

configure terminal

Example:


Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

Step 3

ipv6 neighbor tracking [retry-interval value ]

Example:


Device(config)# ipv6 neighbor tracking

バインディングテーブルのエントリを追跡します。

IPv6 プレフィックス収集の設定

SUMMARY STEPS

enable
configure terminal
ipv6 snooping policy snooping-policy
prefix-glean [ only]

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	ipv6 snooping policy `snooping-policy` Example: `Device(config)# ipv6 snooping policy policy1`	IPv6 スヌーピングポリシーを設定し、IPv6 スヌーピングポリシーコンフィギュレーションモードを開始します。
Step 4	prefix-glean `[` only`]` Example: `Device(config-ipv6-snooping)# prefix-glean`	デバイスが IPv6 RA または DHCPv6 トラフィックからプレフィックスを収集できるようにします。

IPv6 スヌーピングの設定例

例：インターフェイスの IPv6 ND インスペクションの設定

Device(config)# ipv6 snooping policy policy1
Device(config-ipv6-snooping)# exit
Device(config)# interface Gigabitethernet 0/0/1
Device(config-if)# ipv6 snooping attach-policy policy1
. 
.
.
Device# show ipv6 snooping policies interface gigabitethernet 0/0/1
Target               Type  Policy               Feature        Target range
Gi0/0/1              PORT  my_policy            Destination Gu vlan all
Gi0/0/1              PORT  policy1              Snooping       vlan all

例：IPv6 バインディングテーブルの内容の設定


Device(config)# ipv6 neighbor binding 2001:DB8:0:ABCD::1 interface GigabitEthernet 0/0/1 reachable-lifetime 100
Device(config)# ipv6 neighbor binding max-entries 100
Device(config)# ipv6 neighbor binding logging
Device(config)# exit

例：IPv6 ファーストホップセキュリティバインディングテーブルのリカバリの設定

Device> enable
Device# configure terminal
Device(config)# ipv6 neighbor binding 2001:db8::1 interface Gigabitethernet3/0/1
Device(config)# ipv6 prefix-list abc permit 2001:DB8::/64 ge 128
Device(config)# ipv6 snooping policy xyz
Device(config-ipv6-snooping)# destination-glean recovery dhcp
Device(config-ipv6-snooping)# data-glean recovery ndp
Device(config-ipv6-snooping)# prefix-glean
Device(config-ipv6-snooping)# protocol dhcp prefix-list abc
Device(config-ipv6-snooping)# exit
Device(config)# ipv6 destination-guard policy xyz
Device(config-destguard)# enforcement stressed
Device(config-destguard)# exit
Device(config)# interface Gigabitethernet 0/0/1
Device(config-if)# ipv6 snooping attach-policy xyz
Device(config-if)# ipv6 destination-guard attach-policy xyz
Device(config-if)# end

例：アドレス収集の設定およびリカバリプロトコルとプレフィックスリストの関連付け

次の例は、NDP がすべてのアドレスのリカバリに使用され、DHCP が dhcp_prefix_list という名前のプレフィックスリストと一致するアドレスのリカバリに使用されることを示しています。


Device(config-ipv6-snooping)# protocol ndp 
Device(config-ipv6-snooping)# protocol dhcp prefix-list dhcp_prefix_list

Cisco TrustSec の概要の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェアリリーストレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。

Table 1. Cisco TrustSec の概要の機能情報
機能名	リリース	機能情報
IPv6 の有効化 - インラインタギング	Cisco IOS XE Fuji 16.8.1	IPv6 のサポートが導入されました。

Cisco IOS XE 17.x セキュリティおよび VPN 設定ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： IPv6 スヌーピング

IPv6 スヌーピング

IPv6 スヌーピングの制限

IPv6 スヌーピングに関する情報

IPv6 スヌーピング

IPv6 デバイス トラッキング

IPv6 ファーストホップ セキュリティ バインディング テーブル

リカバリ プロトコルとプレフィックス リスト

IPv6 デバイス トラッキング

IPv6 アドレス収集

複数の IA_NA および IA_PD のサポート

インターフェイスの IPv6 スヌーピングの設定

手順の概要

手順の詳細

例:

例:

例:

例:

例:

例:

IPv6 ND インスペクションの確認とトラブルシューティング

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

Example:

IPv6 ファーストホップ セキュリティ バインディング テーブルの内容の設定

手順の概要

手順の詳細

例:

例:

例:

例:

例:

例:

例:

IPv6 ファーストホップ セキュリティ バインディング テーブルのリカバリ メカニズムの設定

手順の概要

手順の詳細

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

アドレス収集の設定およびリカバリ プロトコルとプレフィックス リストの関連付け

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

IPv6 デバイス トラッキングの設定

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

IPv6 プレフィックス収集の設定

SUMMARY STEPS

DETAILED STEPS

IPv6 デバイストラッキング

IPv6 ファーストホップセキュリティバインディングテーブル

リカバリプロトコルとプレフィックスリスト

IPv6 デバイストラッキング

IPv6 ファーストホップセキュリティバインディングテーブルの内容の設定

IPv6 ファーストホップセキュリティバインディングテーブルのリカバリメカニズムの設定

アドレス収集の設定およびリカバリプロトコルとプレフィックスリストの関連付け

IPv6 デバイストラッキングの設定

例：IPv6 バインディングテーブルの内容の設定

例：IPv6 ファーストホップセキュリティバインディングテーブルのリカバリの設定

例：アドレス収集の設定およびリカバリプロトコルとプレフィックスリストの関連付け