�u��`�l�b�g��[�N�ɂ�� IPv6 ��K�C�h

Branch Networks における IPv6 導入ガイ
ド
このマニュアルでは、ブランチネットワークにおける IPv6 の計画または導入の方法を説明しま
す。このマニュアルでは、ブランチ設計の基本事項およびベストプラクティス、IPv6、トランジ
ションメカニズム、または IPv4 と IPv6 の機能比較については言及しません。ユーザは Cisco ブ
ランチ設計のベストプラクティスに基づく推奨事項と、IPv6 および関連するトランジションメ
カニズムについて基本事項を理解していることを前提とします。エンタープライズ設計アーキテ
クチャについては、次の資料を参照してください。
• 『Enterprise Branch Architecture Design Overview』
http://www.cisco.com/univercd/cc/td/doc/solution/enbrover.pdf
• 『Enterprise Branch Security Design Guide』
http://www.cisco.com/univercd/cc/td/doc/solution/e_b_sdc1.pdf
目次
概要 3
目的 3
ブランチへの導入の概要 3
シングルティアプロファイル 4
ソリューションの要件 5
動作確認済みのコンポーネント 5
デュアルティアプロファイル 5
ソリューションの要件 6
動作確認済みのコンポーネント 7
マルチティアプロファイル 7
ソリューションの要件 8
動作確認済みのコンポーネント 8
一般的な考慮事項 8
アドレッシング 8
Corporate Headquarters:
Cisco Systems, Inc., 170 West Tasman Drive, San Jose, CA 95134-1706 USA
Copyright © 2006 Cisco Systems, Inc. All rights reserved.
OL-11819-01-J
目次
物理接続 9
VLAN 10
ルーティング 10
ハイアベイラビリティ 10
QoS 11
セキュリティ 11
マルチキャスト 14
管理 15
スケーラビリティとパフォーマンス 16
シングルティアの実装 17
ネットワークトポロジ 18
WAN の設定 19
LAN の設定 19
IPSec および手動トンネルの設定 21
ルーティング 23
セキュリティ 25
QoS 28
マルチキャスト 30
デュアルティアの実装 32
ネットワークトポロジ 32
WAN の設定 33
LAN の設定 33
ルーティング 36
セキュリティ 38
QoS 40
マルチキャスト 42
まとめ 42
今後の作業 42
参考資料 42
推奨する参考資料 42
シスコ独自のリンク 42
Microsoft の IPv6 リンク 43
IPv6 に関する業界のリンク 43
エンタープライズ設計アーキテクチャに関する参考資料 44
設定例 44
シングルティアプロファイル 44
2800-br1-1 45
シングルティアプロファイルの 7206 VPN 設定 62
7206-1 63
Branch Networks における IPv6 導入ガイド
2
OL-11819-01-J
概要
7206-2 64
デュアルティアプロファイル 65
2800-br2-1 65
2800-br2-2 73
3560-br2-1 81
概要
このマニュアルでは、読者が Cisco ブランチ設計の基本事項を理解していることを前提とします。
必要な基礎知識は、シスコおよびネットワーク業界の他社が提供している多数のマニュアルおよ
びトレーニングを通じて得ることができます。これらの分野についてのリソースは、「推奨する
参考資料」（p.42）に記載されています。
目的
このマニュアルでは、各種のブランチ IPv6 導入プロファイルの概要を示し、導入に関する一般
的な考慮事項を説明します。また、各ブランチプロファイルについて、実装に関する詳細情報を
個別に示します。
一般的な考慮事項および実装のセクションで示す設定のほかに、「設定例」（p.44）に各ブランチ
デバイスの設定全体を示します。このマニュアルは WAN のブランチ側を中心としていますが、
「設定例」
（p.44）には HQ WAN ルータで使用する基本的な設定を参考のため示します。これらの
設定は、テストに使用したものに過ぎず、ユーザが必ず使用すべき推奨される WAN ルータ設定
とは限りません。エンタープライズ WAN エッジでの IPv6 の導入に関するマニュアルを今後発行
する予定です。このマニュアルの更新情報と IPv6 関連の新しいマニュアルについては、
http://www.cisco.com/ipv6 を参照してください。
ブランチへの導入の概要
ここでは、最も一般的な 2 つの Cisco ブランチプロファイルについて概要を示し、これら 2 つの
ブランチプロファイルに IPv6 を統合する方法について基本事項を説明します。
ここで説明するブランチ IPv6 導入プロファイルは次のとおりです。
（注）
•
シングルティアプロファイル（p.4）
•
デュアルティアプロファイル（p.5）
•
マルチティアプロファイル（p.7）
マルチティアプロファイルについてはこのセクションで概要のみを説明します。このマニュアル
の一般的な考慮事項または実装のセクションでは、マルチティアプロファイルについては説明し
ません。マルチティアプロファイルの IPv6 コンポーネントは、テストしたうえで今後のブラン
チ設計ガイドに記載します。
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
3
ブランチへの導入の概要
シングルティアプロファイル
シングルティアブランチプロファイルは、完全な統合ソリューションです。LAN および WAN
の接続とセキュリティに関する要件に、1 つのサービス統合型ルータ（ISR）で対応します。図 1
は、シングルティアブランチプロファイルの概念図です。
図1
シングルティアプロファイル
T1
ADSL
IPv6/IPv4
IPv4
IPv6
IPSec
IPSec
IPv4
IPv4
IPv6-in-IPv4
IPv6-in-IPv4
220152
DMVPN
DMVPN
このマニュアルで説明するシングルティアプロファイルでは、1 つの ISR を使用して T1 経由で
の Internet Service Provider（ISP; インターネットサービスプロバイダー）への WAN 接続を提供し
ます。この T1 を本社（HQ）サイトへのプライマリリンクとして使用します。WAN の冗長性を
確保するため、Asymmetric Digital Subscriber Line（ADSL）経由でのバックアップ接続を作成しま
す。シングルティアは、いわゆる「インターネット導入モデル（Internet Deployment Model）」を
使用しています。
HQ サイトへの IPv4 接続は、Dynamic Multi-Point Virtual Private Network（DMVPN）テクノロジー
を使用する IPv4 IPSec によって提供します。HQ サイトへの IPv6 接続には、IPv4 IPSec 手動設定
トンネル（IPv6-in-IPv4）を使用します。DMVPN トンネルと手動設定トンネルは、プライマリ
パスとして T1 リンクを通過し、ADSL リンクでバックアップトンネルを確立します。このマ
ニュアルで説明するシングルティアプロファイルで、IPSec 手動設定トンネル経由での IPv6 接続
が必要な理由は、DMVPN がまだ IPv6 をサポートしていないためです。設計において DMVPN が
IPv6 をサポートしている場合は、追加のトンネル設定は不要です。同じ DMVPN 設計で
IPv4/IPv6（デュアルスタック）がサポートされます。
ブランチから発信されるトラフィックは、インターネット向けのトラフィックも含めて、すべて
HQ への VPN 接続で伝送されます。一般に、シスコはブランチサイトでのスプリットトンネリ
ングの使用を推奨していません。スプリットトンネリングが必要な場合は、その構成によるルー
ティングおよびセキュリティへの影響について慎重に分析しテストすることを推奨します。
（注）
このマニュアルでは扱いませんが、ISP がブランチおよび HQ サイトに IPv6 サポートを提供して
いる場合、ISR から HQ サイトにネイティブの IPv6 IPSec トンネルを確立することも可能です。
このマニュアルでは、ブランチサイトに ISP による IPv6 サービスが提供されていないことを前
提とします。IPv6 IPSec の設定とサポートについての詳細は、次の URL を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/ipv6_c/v6_ipsec.htm
LAN 接続は、統合スイッチングモジュール（EtherSwitch Service Module）によって提供されま
す。ブランチの VLAN インターフェイスでは、デュアルスタック（IPv4 TCP/IP スタックおよび
IPv6 TCP/IP スタックの両方を実行）を使用します。
Branch Networks における IPv6 導入ガイド
4
OL-11819-01-J
ブランチへの導入の概要
HQ に配置するすべてのセキュリティポリシーに加えて、Cisco IOS Firewall の使用、および一般
的なインフラストラクチャセキュリティ機能と設定により、IPv4 と IPv6 の両方に対応するロー
カルセキュリティが提供されます。IPv4 および IPv6 に対応する QoS（Quality of Service）は、1
つのポリシーに統合されています。
シングルティアプロファイルの明らかな欠点は、ルータとスイッチの冗長性がない点です。イン
ターネットへのリンクおよび HQ への VPN 接続については、冗長性があります。ただし、統合ス
イッチおよびルータはそれぞれ 1 つなので、どちらかのコンポーネントに障害が発生すると、サ
イトは HQ から完全に切り離されます。すべてのコンポーネント（スイッチ、ルータ、および
HQ 接続）に完全な冗長性が必要な場合には、デュアルティアプロファイルが解決策になりま
す。
ソリューションの要件
シングルティアプロファイルのソリューション要件は、次のとおりです。
•
ブランチ内のホストマシンのオペレーティングシステム（OS）による IPv6 のサポート
•
Cisco ISR による IPv6/IPv4 デュアルスタックのサポート
•
LAN スイッチの Integrated Network モジュールによる MLD スヌーピングのサポート（IPv6 マ
ルチキャストを使用する場合に必須）
•
Cisco ISR における手動設定トンネル（IPv6-in-IPv4）のサポート
•
Cisco IOS Firewall をサポートする Cisco IOS リリースおよびフィーチャセット
•
IPSec および DMVPN をサポートする Cisco IOS リリースおよびフィーチャセット
動作確認済みのコンポーネント
表 1 に、シングルティアプロファイルで使用し動作確認を行ったコンポーネントを示します。
表1
シングルティアプロファイルのコンポーネント
役割
ハードウェア
ソフトウェア
ルータ / ファイア
ウォール
ISR：2800 シリーズおよび 3800 シ Advanced Enterprise Services
12.4.(6)T2
リーズ
スイッチ
EtherSwitch Service Module ―
NME-X-23ES-1G-P
Advanced IP Services 12.2(25)SEE
ホストデバイス
各種ノート型パソコン：IBM、
HP、および Apple
Microsoft Windows XP SP2、Vista
RC1、Apple Mac OS X 10.4.7、お
よび Red Hat Enterprise Linux WS
デュアルティアプロファイル
デュアルティアプロファイルは、ブランチにおけるルーティングとスイッチングの役割を分離し
ます。図 2 は、デュアルティアプロファイルの概念図です。
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
5
ブランチへの導入の概要
図2
220153
デュアルティアプロファイル
IPv6/IPv4
IPv4
IPv6
シングルティアプロファイルとデュアルティアプロファイルの主な相違点は、次の 3 つです。
•
冗長性
•
スケーラビリティ
•
WAN トランスポート
冗長性 ― デュアルティアでは、耐障害性を提供するため、LAN（スイッチ）および WAN（ルー
タ）コンポーネントを別々にしています。ブランチでの LAN アクセスの提供には、単一のス
イッチまたは複数のスイッチを使用できます。2 つの WAN ルータが、フレームリレークラウド
に冗長に接続するとともに、LAN スイッチに冗長に接続します。
スケーラビリティ ― デュアルティアの方がスケーラビリティに優れているのは、シングルティ
アは「ありとあらゆるもの」を詰め込んだアプローチだからです。言い換えると、ブランチに必
要なあらゆるネットワークロールを ISR で実行します。これはコストや管理しやすさの観点では
優れていますが、アベイラビリティとスケーラビリティには限界があります。ブランチの規模が
大きくなり、ISR で有効にするサービスが増えると、ISR のパフォーマンス能力が限界を超える
リスクが大きくなります。より強力な ISR モデルを使用することで軽減できる可能性もあります
が、耐障害性という要件を満たすことはできません。ブランチで LAN スイッチを追加する必要
が生じた場合は、Cisco StackWise トポロジを使用して複数の Catalyst スイッチを一括できます。
WAN トランスポート ― このマニュアルで説明するデュアルティアモデルの WAN 接続には、
IPSec VPN によるインターネットではなくフレームリレーを使用しています。Cisco IOS ではフ
レームリレー上の IPv6 が完全にサポートされているので、ブランチと HQ の間に何らかのトンネ
ルを使用する必要はありません。これは導入と管理における大きな利点です。ブランチ LAN 上
のホストから WAN を介して HQ ネットワークまで、全体を通じてデュアルスタックが使用され
るからです。トンネルについての特殊な考慮事項（アベイラビリティ、セキュリティ、QoS、マ
ルチキャストなど）が不要なため、IPv6 導入が操作面において大幅に簡易化されます。デュアル
ティアは、いわゆる「プライベート WAN モデル」を使用します。
デュアルティアにおけるセキュリティは、デュアルティアの両方のルータがセキュリティサービ
スを提供し、IPSec トンネルを使用しない点を除いて、シングルティアと同じです。現在、ほと
んどのブランチ導入にデュアルティアプロファイルが採用されています。
ソリューションの要件
デュアルティアプロファイルのソリューション要件は、次のとおりです。
•
ブランチ内のホストマシンの OS による IPv6 のサポート
•
Cisco ISR による IPv6/IPv4 デュアルスタックのサポート
•
LAN スイッチによる MLD スヌーピングのサポート（IPv6 マルチキャストを使用する場合に
必須）
Branch Networks における IPv6 導入ガイド
6
OL-11819-01-J
ブランチへの導入の概要
動作確認済みのコンポーネント
表 2 に、デュアルティアプロファイルで使用し動作確認を行ったコンポーネントを示します。
表2
デュアルティアプロファイルのコンポーネント
役割
ハードウェア
ソフトウェア
ルータ
ISR：2800 シリーズおよび 3800 シ Advanced Enterprise Services
12.4.(6)T2
リーズ
スイッチ
Catalyst 3750
Advanced IP Services 12.2(25)SEE
ホストデバイス
各種ノート型パソコン：IBM、
HP、および Apple
Microsoft Windows XP SP2、Vista
RC1、Apple Mac OS X 10.4.7、お
よび Red Hat Enterprise Linux WS
マルチティアプロファイル
前述したように、マルチティアプロファイルについては概要のみを説明し、実装セクションでは
説明しません。マルチティアプロファイルでの IPv6 については、今後テストしたうえでマニュ
アルに掲載する予定です。ここでは、完全を期すとともに、マルチティアタイプの導入における
IPv6 の設計上の側面についての考察を促すために概要のみを示します。
図 3 は、マルチティアプロファイルの概念図です。
図3
マルチティアプロファイル
LAN
WAN
220154
MPLS
IPv6/IPv4
IPv4
IPv6
図 3 は、どのようなティアや役割が分配されているかを示しています。マルチティアはデュアル
ティアと比べて、いくつか明らかな相違点があります。
•
WAN ティア ― HQ との接続に、フレームリレーではなく MPLS を使用しています。これは
必須ではなく、1 つの選択肢として示しています。
•
ファイアウォールティア ― ファイアウォールサービスを、WAN ルータから切り離していま
す。この例では Cisco ASA 5500 シリーズを使用し、IPv4 および IPv6 の両方にステートフル
ファイアウォールサービスを提供しています。第 2 の ASA（図の薄いグレイの部分）は、ス
テートフルフェールオーバーモードになっています。ステートフルフェールオーバー構成
では、一度にアクティブになるのは 1 つの ASA だけです。
•
アクセスティア ― アクセスティアは、内部サービスおよび LAN ティアの VLAN 終端に使用
されます。アクセスティアは多くの点でキャンパスディストリビューションレイヤに類似
しています。
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
7
一般的な考慮事項
•
LAN ティア ― LAN ティアは、デュアルティアの LAN スイッチと同様です。大規模なブラン
チなど、より大きいスケールが要求される場合には、この他にも考慮すべき点があります。
ソリューションの要件
マルチティアプロファイルのソリューション要件は、次のとおりです。
•
ブランチ内のホストマシンの OS による IPv6 のサポート
•
Cisco ISR による IPv6/IPv4 デュアルスタックのサポート
•
LAN スイッチによる MLD スヌーピングのサポート（IPv6 マルチキャストを使用する場合に
必須）
•
Cisco ASA Software バージョン 7.0 以上
動作確認済みのコンポーネント
マルチティアプロファイルでの IPv6 については、テストを行いマニュアルに掲載する予定です。
最新情報を入手するには、http://www.cisco.com/ipv6 を定期的にチェックしてください。
一般的な考慮事項
このマニュアルの実装セクションで説明する導入プロファイルの両方に当てはまる、一般的な考
慮事項がいくつかあります。ここでは、使用する導入プロファイルに関わらず、ブランチネット
ワークに IPv6 を導入する際に考慮すべき一般的な考慮事項について説明します。特定のプロ
ファイルに関連して理解しておく必要のある考慮事項については、そのプロファイルを明記しま
す。プロファイル固有の考慮事項に対応する具体的な設定は、そのプロファイルの実装セクショ
ンを参照してください。
このマニュアルで説明するブランチ用 IPv6 プロファイルは両方とも、導入のあらゆる側面に関
する基本事項として、シスコのブランチネットワーク設計に関する既存のベストプラクティス
を活用しています。プロファイルの IPv6 コンポーネントの導入方法は、できる限り IPv4 と同じ
にしています。IPv6 で IPv4 と同じ機能または類似した機能が使用できない場合には、代替策を
使用しています。状況によっては、代替策がない場合があります。その場合は、機能サポートに
ついての情報をチェックできるリソースを示します。
このマニュアルで説明するブランチプロファイルで IPv6 を導入する前に、シスコのブランチに
関するベストプラクティスに基づく推奨事項を理解しておくことが重要です。シスコのブランチ
設計に関するベストプラクティスドキュメントは、次の URL の「Branch Office」および
「WAN」のセクションに用意されています。
http://www.cisco.com/go/srnd
（注）
次の各セクションでは、該当するコマンドを赤のテキストで示します。
アドレッシング
前述したように、このマニュアルは入門者向けではないので、IPv6 アドレッシングの基本事項に
ついては説明しません。ただし、ネットワークデバイスのアドレッシングに関する重要な考慮事
項をいくつか説明します。
ほとんどの場合、ポイントツーポイント（P2P）リンクでは /64 プレフィクスを使用すれば問題
ありません。IPv6 は大きいアドレススペースを使用するように設計されているので、アドレス
管理が充分ではない場合でも、お客様がアドレスの制約を経験することはないはずです。
Branch Networks における IPv6 導入ガイド
8
OL-11819-01-J
一般的な考慮事項
P2P リンクに /64 プレフィクスを使用するのは時間の無駄だと考えるネットワーク管理者もいま
す。P2P リンクにもっと長いプレフィクスを使用するという慣例については、IPv6 コミュニティ
で盛んに議論されてきました。より厳密なアドレススペースの制御を希望するのであれば、IPv4
で /30 を使用するのと同じように、P2P リンクで /126 プレフィクスを使用すると安全です。
RFC 3627 では、/127 プレフィクスを使用するのが有害であり、避けるべきである理由が説明さ
れています。詳細については、http://www.ietf.org/rfc/rfc3627.txt を参照してください。
一般に、P2P リンクでは /64 または /126 を使用することをシスコは推奨します。IETF では、さま
ざまなアドレスタイプおよびプレフィクスリンクに関するアドレス割り当てのガイドラインを
文書化する作業を続けています。IETF の IPv6 オペレーションズワーキンググループによる成果
は、次の URL で確認できます。
http://www.ietf.org/html.charters/v6ops-charter.html
このマニュアルで示す P2P 設定では、/64 プレフィクスを使用しています。シングルティアおよ
びデュアルティアプロファイルでは、ユーザの IPv6 アドレスの割り当ては、PC が存在する
VLAN に対応するルータのサブインターフェイス（による RA）で IPv6 プレフィクスをアドバタ
イズすることによって行います。DNS サーバおよびドメイン名のオプションは、DHCP for IPv6
を使用して割り当てます。それ以外のすべての VLAN は、オプションを使用しないステートレス
な自動設定のみを使用します。IPv6 アドレッシングサービスに関する詳細は、次の URL を参照
してください。
•
Cisco IOS の DHCP for IPv6：
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124tcg/tipv6_c/index.htm
•
Cisco IOS の IPv6 アドレッシング：
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/ipv6_c/v6addres.htm
物理接続
IPv6 における物理接続についての考慮事項は IPv4 と同じですが、そのほかに次の 3 つの要素が
あります。
•
新しいテクノロジー、プロトコル、またはアプリケーションを導入する際に重要な要素の一
つに、既存のトラフィックと新しいトラフィックの両方に十分な量の帯域幅を確保すること
があります。ブランチではこれが特に重要です。なぜなら、WAN 接続が低速リンクである
場合が多く、帯域幅の問題を解決するには今のところ QoS に依存するしかないためです。
IPv6 の所要帯域幅については、さまざまな条件が関係し、ケースバイケースでの分析に基づ
いて考察する必要があるため、このマニュアルでは扱いません。
•
IPv6 によるリンク上での Maximum Transmission Unit（最大伝送ユニット ; MTU）の取り扱い
方法を理解しておくこと。このマニュアルは入門者向けではないので、IPv6 の基本的なプロ
トコル動作や仕様については説明しません。IPv6 における MTU およびフラグメンテーショ
ンについての詳細は、次のリンクを参照することを推奨します。IPv6 における MTU および
Path MTU Discovery（PMTUD）について基本事項を知るには、次の URL にある RFC 2460 お
よび RFC 1981 が適しています。
http://www.ietf.org/rfc/rfc2460.txt、http://www.ietf.org/rfc/rfc1981.txt
MTU のもう 1 つの側面は、ブランチのシングルティアプロファイルに関連しています。
GRE トンネルまたは手動トンネルで IPSec を使用する場合、IPSec ヘッダーおよびその他の
トンネルオーバーヘッドに起因して、ルータが IPv4 トラフィックのフラグメンテーション
を実行しなくて済むようなルータの MTU 値の調整方法を検討することが重要です。この問
題についての詳細は、次の URL にあるいずれかの IPSec 設計ガイドを参照してください。
http://www.cisco.com/en/US/netsol/ns656/networking_solutions_design_guidances_list.html#anchor9
•
ワイヤレス LAN 上の IPv6 ― IPv6 は、レイヤ 2 スイッチ上で動作する場合と同様に WLAN ア
クセスポイント上でも正常に動作します。ただし、WLAN 環境で IPv6 を使用する場合、
WLAN デバイス（AP およびコントローラ）の IPv6 による管理、AP またはコントローラベー
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
9
一般的な考慮事項
ス QoS による IPv6 トラフィックの制御、VLAN、および ACL などの考慮事項があります。
WLAN デバイスでこれらのインテリジェントなサービスを利用するには、AP および / また
はコントローラデバイスで IPv6 がサポートされていることが前提となります。
重要なポイントとして、シスコは Cisco IP Phone ポートに直接接続された IPv6 対応ホストの使用
をサポートしています。これらの IP Phone ポートはスイッチポートであり、Catalyst レイヤ 2 ス
イッチにホストを直接接続する場合と同じように動作します。
このマニュアルで説明する IPv6 モデルを実装する前に、上記の考慮事項に加えて、ホストと
ネットワーク機器の既存のトラフィックプロファイル、メモリ、および CPU 利用率を綿密に分
析することを推奨します。また、Service Level Agreement（SLA; サービスレベル契約）を完成さ
せておくことを推奨します。
VLAN
IPv6 における VLAN についての考慮事項は、IPv4 と同様です。デュアルスタック構成を使用す
る場合、IPv4 と IPv6 の両方が同じ VLAN を通過します。このマニュアルで説明する導入プロ
ファイルでは、プライベート VLAN の使用については言及されておらず、動作確認もされていま
せん。プライベート VLAN の使用については、今後の IPv6 マニュアルに記載する予定です。
（IP Phone による）音声 VLAN とトランキングされたデータ VLAN での IPv6 の使用が、完全にサ
ポートされています。現時点での VLAN 設計に関する推奨事項については、次の URL にある、
シスコのブランチ LAN 設計ベストプラクティス資料を参照してください。
http://www.cisco.com/en/US/netsol/ns656/networking_solutions_design_guidances_list.html#anchor1
ルーティング
キャンパスネットワークで実行する IGP の選択には、プラットフォームの機能、IT スタッフの
専門知識、トポロジ、ネットワークの規模など、さまざまな要因が前提になります。このマニュ
アルでは、IPv4 および IPv6 用の IGP は EIGRP です。OSPFv2 for IPv4 および OSPFv3 for IPv6 も使
用できます。
前述したように、シスコではキャンパス設計に関する最新のベストプラクティスの実装に取り組
んでいます。ブランチ用の最新のベストプラクティスに従って、IPv4 および IPv6 の IGP を
チューニングしています。安定性とスケーラビリティが高く、コンバージェンスの速いルーティ
ングプロトコルを提供するように IGP をチューニングすることは、ネットワーク設計における最
優先事項の 1 つにする必要があります。
実装セクションでは、EIGRP のチューニングとともに、シスコのブランチに関する最新の推奨事
項を示します。
EIGRP は、IPv4 および IPv6 の両方で隣接関係とアップデートに関して認証を提供するように設
定されています。
ハイアベイラビリティ
ハイアベイラビリティ（HA）については、このマニュアルでは扱わない多くの側面があります。
HA に関する要件および推奨事項の多くは、シスコの既存のブランチ設計ベストプラクティスを
活用することで達成できます。このマニュアルで説明する主な HA コンポーネントは、次のとお
りです。
•
冗長な WAN 接続 ― シングルティアプロファイルでは、プライマリの WAN 接続は ISP への
T1 接続であり、セカンダリは別の ISP への ADSL 接続です。ただし、これらのリンクは両方
で 1 つの ISR ルータ（ブランチルータ）を使用します。デュアルティアプロファイルでは、
2 つのブランチ ISR にそれぞれ、プライベート WAN へのフレームリレー接続があります。
Branch Networks における IPv6 導入ガイド
10
OL-11819-01-J
一般的な考慮事項
•
冗長なルーティングおよびフォワーディングパス ― これには EIGRP for IPv4 および IPv6 を
利用しています。そのほかに Equal Cost Multi-Path（ECMP; 等コストマルチパス）を使用す
る場合もあります。また、IPSec GRE トンネルおよび手動トンネルの場合、一方のパスをも
う一方よりも優先し、セカンダリパスで冗長性を確保します。
•
ファーストホップゲートウェイのハイアベイラビリティ ― このレベルの HA は、デュアル
ティアプロファイルにのみ該当します（シングルティアには 1 つのルータしかありません）。
デュアルティアでは、HSRPv2 for IPv4 および IPv6 を使用して、ファーストホップゲート
ウェイの冗長性を提供します。シスコは GLBP for IPv4 および IPv6 もサポートしています。
QoS
QoS（Quality of Service）ポリシーは、プロトコル依存（IPv4 または IPv6）ではなく、アプリケー
ション依存またはサービス依存になるように実装することを推奨します。基本的に、既存の QoS
ポリシーで、特定のアプリケーションについて固有の分類、ポリシング、およびキューイングを
使用している場合は、そのアプリケーションに対する IPv4 トラフィックを IPv6 トラフィックと
同じようにポリシーで処理する必要があります。
Modular QoS CLI（MQC）に関する重要な考慮事項は、IPv6 QoS が必要な場合、QoS の match お
よび set ステートメントから ip キーワードを削除することです。IPv6 および IPv4 をサポートする
ように QoS 構文を修正すると、新しい設定基準に対応できます（表 3 を参照）。
表3
QoS 構文の修正
IPv4 のみの QoS 構文
IPv4/IPv6 QoS 構文
match ip dscp
match dscp
match ip precedence
match precedence
set ip dscp
set dscp
set ip precedence
set precedence
IPv6 と IPv4 の両方に使用することができ、CLI に変更を加える必要のない QoS 機能があります
（WRED、ポリシング、および WRR など）。
各プロファイルの実装セクションでは、特定のアプリケーション用のクラス定義、対応する
DSCP 値のマッピング、帯域幅とキューイングに関する推奨事項などの詳しい QoS 設定について
は説明しません。「設定例」（p.44）では、シングルティアおよびデュアルティアプロファイルで
使用する IPv4 および IPv6 QoS の設定全体を示します。
シスコではブランチ用の QoS に関する推奨事項を幅広く用意しており、CCO の資料のほか、
Cisco Press の書籍『End-to-End QoS Network Design』を参考にすることができます。ブランチの
QoS に関するシスコの推奨事項および Cisco Press 書籍についての詳細は、「推奨する参考資料」
（p.42）を参照してください。
セキュリティ
既存の IPv4 キャンパスネットワークで起こりがちな脅威や攻撃の多くは、IPv6 にも当てはまり
ます。不正アクセス、スプーフィング、ルーティング攻撃、ウイルス、ワーム、DoS、
man-in-the-middle 攻撃などは、IPv4 と IPv6 のどちらにも起こりうる脅威です。
IPv6 の新しい脅威には、IPv4 には存在しない、あるいは IPv4 と同じようには起こらないものが
多くあります。IPv6 では、ネイバーおよびルータアドバタイズメントと検出、ヘッダー、フラ
グメンテーションなどの取り扱い方法が本質的に異なります。このような相違点や可能性をすべ
て勘案すると、IPv6 のセキュリティに関する説明は総じて非常に複雑なトピックになり、セキュ
リティに関する詳しい推奨事項は、このマニュアルで扱う範囲を超えています。IPv6 におけるセ
キュリティの脅威を特定して解決するために、シスコおよび業界全体において、さまざまな取り
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
11
一般的な考慮事項
組みが行われています。このマニュアルでは、ブランチで解決できるいくつかの問題を指摘する
とともに、IPv6 デュアルスタックおよびトンネルトラフィックの保護について基本的な例を示
します。
（注）
このマニュアルで示す例は、推奨事項またはガイドラインではなく、読者がキャンパスに IPv6
を導入する際に、自社のセキュリティポリシーおよび拡張機能を綿密に分析できるようにするこ
とを目的としています。
両方のブランチプロファイルに当てはまる、ネットワークデバイスの保護に関する一般的なセ
キュリティの考慮事項は、次のとおりです。
•
キャンパススイッチの適切なアドレスプランニングを通じて、偵察を困難にすること
– ブランチのネットワークデバイス（スイッチおよびルータ）のアドレッシングは、入念
に計画する必要があります。一般的な推奨事項としては、ルータの 64 ビットインター
フェイス ID が、すべてのデバイスでランダムな値になるようにアドレッシングプラン
を工夫することです。デバイスの望ましくないインターフェイス ID の例は、VLAN 2 の
アドレスが 2001:db8:cafe:2::1/64 で、VLAN 3 のアドレスが 2001:db8:cafe:3::1/64 のような
場合です（ここで ::1 は、ルータのインターフェイス ID です）。これではアドレスが簡単
に推測できるので、ブランチインフラストラクチャデバイスに共通するアドレッシング
を攻撃者にすぐに見抜かれてしまいます。さらに良い選択肢は、ブランチ内の全ネット
ワークデバイスのインターフェイス ID をランダムにすることです。前出の VLAN 2 およ
び VLAN 3 の例で言うと、VLAN 2 には 2001:db8:cafe:2::a010:f1a1 など、VLAN 3 には
2001:db8:cafe:3::c801:167a などのアドレスを使用します（ここで「a010:f1a1」は、ルータ
の VLAN 2 のインターフェイス ID です）
。
アドレッシングに関する上記の考慮事項は、運用上、相応の難しさを伴います。ネット
ワークデバイスとアドレッシングの運用管理を容易にするには、インターフェイス ID
のランダム化というセキュリティに関する側面と、ランダムなアドレスを使用してデバ
イスの導入と管理を行う能力との間で、適切なバランスを取る必要があります。
•
ブランチルータおよびスイッチへの管理アクセスの制御：
– プロファイルごとの、すべてのブランチルータおよびスイッチに、デバイスへの管理ア
クセスを保護するための設定が示されています。ルータにはいずれも、管理およびルー
ティング用のループバックインターフェイスが設定されています。ループバックイン
ターフェイスの IPv6 アドレスは、前述したように、推測されやすいインターフェイス ID
値を使用しないアドレッシングアプローチを採用しています。次の例では、インター
フェイス ID は「::bad1:a001」を使用しています。
interface Loopback0
ipv6 address 2001:DB8:CAFE:1000::BAD1:A001/128
no ipv6 redirects
IPv6 による特定のスイッチ / ルータへのアクセスをさらに厳密に制限するには、ACL を
使用し、ループバックインターフェイスを経由する管理インターフェイス（line vty）へ
のアクセスを許可します。許可するソースネットワークは、エンタープライズ IPv6 プレ
フィクスからとします。ACL の生成に拡張性を持たせ、広い範囲のネットワークデバイ
スに対応できるようにするには、デバイスへの管理アクセスを制御する主な方法として、
デバイスの特定のインターフェイスにフィルタリングを適用する代わりにエンタープラ
イズプレフィクス全体を許可するように ACL を定義します。次のエンタープライズサ
イト（単なる例）で使用している IPv6 プレフィクスは、2001:db8:cafe::/48 です。
ipv6 access-list MGMT-IN
remark Permit MGMT only to Loopback0
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:1000::BAD1:A001
deny ipv6 any any log-input
!
line vty 0 4
session-timeout 3
Branch Networks における IPv6 導入ガイド
12
OL-11819-01-J
一般的な考慮事項
access-class MGMT-IN-v4 in
password 7 08334D400E1C17
ipv6 access-class MGMT-IN in
logging synchronous
login local
exec prompt timestamp
transport input ssh
#Apply IPv6 ACL to restrict access
#Accept access to VTY via SSH
– HTTP 経由でのアクセスの制御 ― このマニュアルの作成時点では、Cisco IOS はデバイス
へのアクセス制御のための IPv6 HTTP ACL の使用をサポートしていません。IPv4 用に現
在「ip http access-class」という ACL を使用しているスイッチおよびルータでは、IPv6 に
対して同じレベルの保護が与えられないので、このことは非常に重要です。つまり、従
来は IPv4 で HTTP/HTTPS によるアクセスを禁止されていたサブネットまたはユーザが、
IPv6 を介してスイッチまたはルータにアクセスできるようになることを意味します。
•
コントロールプレーンポリシング（CoPP）― CoPP は、DoS または不要トラフィックによる
CPU リソースへの悪影響を防ぎ、ルータを保護します。重要なコントロールプレーン / 管理
トラフィックが優先されます。CoPP の設定には、さまざまな要因が関係します。具体的な
ポリシーはケースバイケースで判断するので、導入に関する推奨事項を 1 つにまとめること
はできません。
CoPP に関する詳細は、次の URL を参照してください。
http://www.cisco.com/en/US/partner/products/ps6350/products_configuration_guide_chapter09186a00
804559b7.html
•
ブランチ LAN からの入トラフィックの制御 ― ソーストラフィックに対して許可されるプレ
フィクスをフィルタリングします。これは、ブランチルータ上の LAN またはサブインター
フェイスの入力側で実行するのが最も一般的です。ソースプレフィクスに基づく IPv6 トラ
フィックの制御は、単純なスプーフィングからネットワークを保護するのに役立ちます。
次の例では、デュアルティアプロファイル用の基本的な ACL（ブランチルータの LAN イン
ターフェイスの入力側に適用）を示しています。
ipv6 access-list DATA_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2100::/64
permit icmp 2001:DB8:CAFE:2100::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2100::64
permit ipv6 2001:DB8:CAFE:2100::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT HSRPv2 FOR IPv6 FROM OTHER BRANCH ROUTER ON LAN SEGMENT
permit udp any any eq 2029
remark PERMIT DHCPv6 ALL-DHCP-AGENTS REQUESTS FROM HOSTS
permit udp any eq 546 any eq 547
remark PERMIT ALL PIM (103) MESSAGES FROM OTHER BRANCH ROUTER ON LAN SEGMENT
permit 103 FE80::/10 any
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
interface FastEthernet0/0.100
description DATA VLAN for PCs
ipv6 traffic-filter DATA_LAN-v6 in
注意
Cisco IOS IPv6 ACL には、IPv6 近隣探索のための暗黙的な permit エントリが含まれています。
deny ipv6 any any を設定すると、この暗黙的な近隣探索エントリが上書きされます。手動で設定
した catch-all deny ステートメントをロギング目的で使用する場合、permit icmp any any nd-na お
よび permit icmp any any nd-ns の 2 つの permit エントリを追加する必要がある点に注意してくだ
さい。
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
13
一般的な考慮事項
上記の DATA_LAN-v6 の例では、近隣探索の必要性に加えて、インターフェイスで必要なその他
の ICMPv6 サービスに対応するために、より寛大なエントリ（permit icmp FE80::/16 any）を作成
しています。これは、あらゆる ICMPv6 トラフィックを許可する、間口の広い ACL エントリです
が、考慮すべき ICMPv6 ベースの既知および未知の脅威は多くあるので、優れたアイデアとは言
えません。ブロックすべき / ブロックすべきでない各種の ICMPv6 タイプについて具体的に説明
した、RFC、草稿、および IPv6 導入資料があります。ICMPv6 パケットのフィルタリングについ
て説明されている IETF リンクおよび Cisco Press の書籍については、「推奨する参考資料」
（p.42）
を参照してください。
•
IPv6 ステートフルファイアウォールサービス ― ファイアウォールは、ブランチネットワー
クを出入りする IPv6 トラフィックについて、ステートフルなセキュリティインスペクショ
ン機能を提供します。このマニュアルの作成時点では、IPv6 に対応している Cisco IOS
Firewall の機能は、IPv4 ほど多くありません。特に、高度なアプリケーションインスペク
ションおよびコントロールは、まだ IPv6 をサポートしていません。
•
Microsoft Teredo の使用禁止 ― Teredo は、Network Address Translation（NAT; ネットワークア
ドレス変換）ゲートウェイの後ろ側に存在するホストに IPv6 サポートを提供します。Teredo
が引き起こす、いくつかのセキュリティ上の脅威ついては、十分に注意する必要がありま
す。ブランチネットワークでの Teredo に関する適切なセキュリティ推奨事項が定義されるま
では、ブランチで使用する Microsoft Windows XP SP2 および Vista で Teredo をディセーブルに
設定してください。さらなる予防策として、Teredo によるエンタープライズネットワーク外
部でのトンネルの確立を防止するために、UDP ポート 3544 をブロックする ACL を設定する
ことを検討してください（この設定は、ブランチルータまたはそのアップストリーム、たと
えば境界ルータなどで行うことができます）。Teredo に関する情報は、次の URL を参照して
ください。
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/teredo.mspx
•
使用しないサーバのディセーブル化 ― HTTP サーバなど、多くのサービスが IPv4 および IPv6
でサポートされています。これらのサービスをイネーブルまたはディセーブルに設定する
と、一般にその設定は両方のプロトコルに適用されます。ディセーブルにする必要のある一
般的なルータおよびスイッチサービスについては、「参考資料」（p.42）を参照してくださ
い。
IPv6 セキュリティに関する詳細については「参考資料」（p.42）を参照してください。また、
IPv6 ACL およびファイアウォールの設定に関する詳細は、次の URL を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/ipv6_c/v6_tffw.htm
マルチキャスト
IPv6 マルチキャストは、すべてのエンタープライズネットワーク設計において重要なサービス
です。IPv6 マルチキャストの導入で考慮すべき最も重要な要因の 1 つは、ホスト / グループの制
御をブランチ LAN で適切に処理することです。IPv6 における Multicast Listener Discovery（MLD）
は、IPv4 における Internet Group Management Protocol（IGMP）に相当します。どちらもホストの
マルチキャストグループメンバーシップの制御に使用されます。MLD スヌーピングは、マルチ
キャストトラフィックの配信を、リスナーのあるポートだけに制限するための機能です。この機
能がなければ、1 つのレシーバー（またはレシーバーのグループ）だけを対象とするマルチキャ
ストトラフィックが、同じ VLAN に属するブランチ LAN スイッチのすべてのポートにフラッ
ディングされることになります。ブランチ LAN では、スイッチが MLD バージョン 1 および / ま
たはバージョン 2 に対応する MLD スヌーピングをサポートしていることが重要です。
（注）
このマニュアルの作成時点では、MLDv2 のホスト実装例が非常に少数でした。MLDv2 はさまざ
まな Linux、BSD 実装、および Microsoft Windows Vista でもサポートされています。PIM-SSM
ベースの構成では、MLDv2 が重要です。MLDv2 と PIM-SSM の併用は、様々な IPv6 マルチキャ
スト構成向けの優れた組み合わせです。
Branch Networks における IPv6 導入ガイド
14
OL-11819-01-J
一般的な考慮事項
現在、Cisco IOS は次の PIM 実装をサポートしています。PIM-SM、PIM-BSR、PIM-SSM、
Bidirectional PIM、Embedded-RP、および IPv6 Multicast Address Family 用の Multiprotocol BGP。
このマニュアルでは、どちらのブランチプロファイルでも、IPv6 マルチキャスト対応のアプリ
ケーションがサポートされています。この設計で動作確認済みのマルチキャスト対応アプリケー
ションは、Embedded-RP および PIM-SSM グループを使用する Windows Media Services および
VideoLAN Media Client（VLC）です。マルチキャスト送信元は、HQ データセンターの Microsoft
Windows Server 2003、Longhorn、および Red Hat 4.0 サーバで稼働しています。
CCO および業界のいくつかのドキュメントで、IPv6 マルチキャストについて詳しく解説されて
います。このマニュアルでは、IPv6 マルチキャストを有効にするコマンドと、Embedded-RP 定義
に関する要件についての一般的な説明を除いて、設定に関する注意事項は記載していません。詳
細については、次の URL を参照してください。
•
シスコの IPv6 マルチキャストに関する Web ページ：
http://www.cisco.com/en/US/products/ps6594/products_ios_protocol_group_home.html
•
Cisco IOS での IPv6 マルチキャストの設定：
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/ipv6_c/sa_mcast.htm#wp1
133942
管理
IPv6 の管理機能は現在開発中であり、完成までに長い期間を要します。従来使用されてきた管理
ツールの多くは、IPv6 にも対応します。このマニュアルでは、ブランチネットワークの管理に
ついては、管理サービス（Telnet、SSH、および SNMP）の基本的な制御についてのみ考慮しま
す。説明する 2 つのブランチプロファイル内の IPv6 対応デバイスはすべて、SNMP を除く前述
のサービスを介して IPv6 上で管理することができます。このマニュアルの作成時点では、説明
する Catalyst スイッチ（統合スイッチモジュールおよび 3750）は、IPv6 トランスポート上の
SNMP をまだサポートしていません。ただし、IPv6 固有の MIB/ トラップ / 情報の管理は、
Catalyst プラットフォームで IPv4 上の SNMP トランスポート使用することによりサポートされま
す。すべての Cisco ISR は、IPv6 トランスポート上の SNMP をサポートしています。
IPv6 における SNMP の導入は、IPv4 の場合と同じです。このマニュアルで説明するブランチプ
ロファイルでは、SNMPv3（AuthNoPriv）を使用して、HQ データセンターに存在する Cisco NMS
サーバのポーリング機能を提供しています。このマニュアルに示すブランチルータで使用されて
いる SNMPv3 設定の例を次に示します。
snmp-server contact John Doe - [email protected]
snmp-server group IPv6-ADMIN v3 auth write v1default
snmp-server user jdoe IPv6-ADMIN v3 auth md5 cisco1234
Cisco NMS サーバに情報を送信する必要がある場合は、SNMP ホストを定義できます。このホス
トが IPv4 および / または IPv6 経由で SNMP 情報を送信するように定義できます。
snmp-server host 2001:DB8:CAFE:11:2E0:81FF:FE2C:9332 version 3 auth jdoe
管理について綿密な調査が必要とされるもう 1 つの分野は、アドレス管理です。IPv6 について初
歩的なレベルで分析しただけでも、IPv6 アドレススペースの導入と管理が、大規模かつ複雑に
なる可能性があることがわかります。多数のネットワークデバイスを対象に大規模な 16 進アド
レスを割り当てるプロセスは、いずれかの段階で自動化するか、少なくとも現在よりもユーザフ
レンドリーにする必要があります。アドレス管理の問題については、業界でも推奨事項とソ
リューションを提供するための努力が続けられています。シスコは、このような活動の最前線に
位置しています。
現時点で、Cisco ISR へのアドレスプレフィクスの導入に役立つ方法の 1 つは、汎用プレフィク
ス機能を使用することです。汎用プレフィクス機能を使用すると、ルータのグローバルコンフィ
ギュレーションで、ユーザフレンドリーな名前を使用してプレフィクスを定義することができま
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
15
一般的な考慮事項
す。インターフェイス単位でユーザフレンドリーな名前を使用し、インターフェイスの通常の
IPv6 プレフィクス定義の代わりとすることができます。汎用プレフィクス機能の使用例を次に示
します。
汎用プレフィクスの定義：
2801-br1-1(config)# ipv6 general-prefix ESE-BR-1 2001:DB8:CAFE::/48
インターフェイス単位で汎用プレフィクスを「ESE-BR-1」と言う名前で設定：
2801-br1-1(config-if)# ipv6 address ESE-BR-1 ::1100:0:0:BAD1:A001/64
汎用プレフィクスがインターフェイスに正しく割り当てられたかどうかの確認：
2801-br1-1# show ipv6 interface g1/0.100
GigabitEthernet1/0.100 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::217:94FF:FE90:2829
No Virtual link-local address(es):
Description: DATA VLAN for Computers
Global unicast address(es):
2001:DB8:CAFE:1100::BAD1:A001, subnet is 2001:DB8:CAFE:1100::/64
汎用プレフィクス機能についての詳細は、次の URL にある Cisco IOS IPv6 の資料を参照してくだ
さい。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/ipv6_c/v6addres.htm#wp11324
73
シスコはさまざまなネットワーク管理製品で、IPv6 対応ネットワークデバイスの管理（DNS、
DHCPv6、デバイス管理、モニタリング、ネットワーク管理、トラブルシューティング、および
レポート）をサポートしています。シスコのさまざまなネットワーク管理ソリューションについ
ての詳細は、次の URL を参照してください。
http://www.cisco.com/en/US/products/sw/netmgtsw/index.html
スケーラビリティとパフォーマンス
このマニュアルは、テスト対象の各種プラットフォームに関するスケーラビリティおよびパ
フォーマンス情報の分析を目的とはしていません。ブランチでの IPv6 のプランニングと導入に
おけるスケールおよびパフォーマンスに関しては、プラットフォーム別の観点ではなく一般的な
考慮事項が中心となります。
読者は既存のブランチネットワークデバイスのリンク、メモリ、および CPU 利用状況を全般的
に把握している必要があります。これらのうち一つでもすでに逼迫しているものがある場合、
IPv6 などの新しいテクノロジー、機能、またはプロトコルを設計に追加すると、惨事を招きかね
ません。
ブランチネットワークデバイスに関するスケーラビリティとパフォーマンスの考慮事項は、次
のとおりです。
•
IPv6 を実装した結果、ブランチネットワークリンクでのトラフィック利用率が変化するの
は珍しいことではありません。IPv6 の導入によって、従来 IPv4 のみだったアプリケーション
トランスポートのユーザが IPv6 を利用するようになり、IPv4 トラフィックの利用率が減少す
るケースが非常に多く見られます。ルーティングのために通常発生する制御トラフィック
と、手動設定トンネルを使用する場合はトンネルオーバーヘッド（シングルティア）によっ
て、全体的なネットワーク利用率が若干増加する場合が多くあります。
•
Address Resolution Protocol（ARP; アドレス解決プロトコル）/ ネイバーキャッシュ：ルータ
で 2 つのプロトコルを実行することが、スケーラビリティに関する主な考慮事項の 1 つにな
ります。ブランチ LAN ルータが、IPv4 と IPv6 の両方のネイバー情報を追跡しなければなり
ません。IPv4 での ARP と同様に、IPv6 にはネイバーキャッシュが存在します。ここで特に
考慮しなければならないのは、IPv4 の場合、通常 IPv4 アドレスと MAC アドレスの間に 1 対
1 のマッピングがあるのに対し、IPv6 の場合、ホストが使用する複数の IPv6 アドレス（たと
えば、リンクローカル、ユニークローカル、および複数のグローバルアドレス）と、ルータ
Branch Networks における IPv6 導入ガイド
16
OL-11819-01-J
シングルティアの実装
のネイバーキャッシュ内の 1 つの MAC アドレスとの間で、複数のマッピングが存在する場
合がある点です。次に、ブランチ内の Cisco ISR 上で、MAC アドレス「0014.c2e1.e679」のホ
ストに対応する ARP エントリおよびネイバーキャッシュエントリの例を示します。
ブランチ内のホストに対応する ARP エントリ：
Internet
10.124.2.4
2
0014.c2e1.e679
ARPA
FastEthernet0/0.100
ブランチ内のホストに対応する IPv6 ネイバーキャッシュエントリ：
IPv6 Address Age Link-layer Addr State Interface
2001:DB8:CAFE:2100:DDD6:5CC5:3178:F038
0 0014.c2e1.e679
FE80::D48A:B1B6:8861:812C
0 0014.c2e1.e679
REACH Fa0/0.100
DELAY Fa0/0.100
IPv6 ネイバーキャッシュを見ると、このホストに対応する 2 つのエントリがリストされてい
ます。最初のアドレスは、DHCP for IPv6 によって割り当てられたグローバル IPv6 アドレス
（オプション、ステートレスな自動設定によって統計的に定義または割り当てることも可能）
であり、2 番めのアドレスは、ホストによって生成されたリンクローカルアドレス（必須）
です。ホストで使用するアドレスタイプに応じて、1 つのホストに対応するエントリ数は、
最低 1（リンクローカルアドレス）から非常に多数になる場合があります。
ブランチネットワークデバイスで使用されるネイバーテーブル機能を理解し、これらの
テーブルが通常のネットワーク動作中に満杯にならないようにすることが重要です。エント
リを早期にタイムアウトさせるためのタイマーの調節、ネイバーアドバタイズメントのレー
ト制限、IPv6 近隣探索ベースの攻撃による DoS からのブランチルータのより優れた保護な
どについて、推奨事項を決定するためにさらにテストを実施する予定です。
IPv6 マルチキャストについての考慮事項がもう 1 つあります。前述したように、IPv6 マルチ
キャストを使用する場合は、レイヤ 2 で IPv6 マルチキャストフレームがすべてのポートにフ
ラッディングされないようにするために、ブランチ LAN スイッチで MLD スヌーピングがサ
ポートされていることが重要です。
•
ルーティング / フォワーディング ― ブランチルータのルーティングおよびフォワーディング
機能について理解することが非常に重要です。既存のブランチルータが、IPv4 ルーティング
テーブルおよびアップデートを処理するために高い CPU 利用率およびメモリ利用率で動作し
ている場合、既存のルータに IPv6 を追加するのは賢明ではありません。
•
ACL の処理 ― ACL は慎重に計画したうえで導入する必要があります。ブランチルータにお
ける IPv6 ACL の使用目的は、QoS（アクセスレイヤからの入力パケットの分類とマーキン
グ）、セキュリティ（アクセスレイヤでの入力トラフィックに対する DoS、スヌーピング、
および不正アクセスの防止）、および QoS とセキュリティの組み合わせによる、スイッチの
コントロールプレーンに対する攻撃からの保護です。ルータは IPv4 および IPv6 の新しい
サービスに対し、Cisco IOS ステートフルファイアウォールサービス、IDS/IPS、および音声
サービスを提供することもできます。ブランチルータに追加する高度なサービスは、IPv4 と
IPv6 の両方をサポートしている必要があります。これらの追加するサービス全部と、新しく
イネーブルにする IPv6 設定は、いずれもパフォーマンスに影響します。
シングルティアの実装
ここでは、シングルティア導入プロファイルの設定について説明します。WAN および LAN 接
続、IPSec、ルーティング、セキュリティなど、特定の分野ごとに設定を示します。IPv6 の導入
が IPv4 によるアクセス（IPv4 IPSec を使用する手動トンネルなど）に依存している場合は、IPv4
の設定を示します。シングルティアのルータおよびスイッチの設定全体は、「設定例」（p.44）を
参照してください。
HQ ルータの IPv4/IPv6 および IPSec トンネルの設定については、参考のため「設定例」
（p.44）で
示しますが、このマニュアルでは説明しません。
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
17
シングルティアの実装
ネットワークトポロジ
図 4 に、シングルティアプロファイルのすべての設定の前提条件となるネットワークトポロジ
を示します。この図には、ブランチルータおよび統合スイッチのインターフェイスとアドレッシ
ングレイアウトが示されています。IPv4 アドレッシングについては、IPv6（手動トンネル）の接
続用に IPv4 が必要な場合のみ示します。
図4
シングルティアプロファイル — インターフェイス / アドレッシングレイアウト
Interface GE1/0 —
Interface GE1/0.100
2001:db8:cafe:1100::bad1:a001/64
Interface GE1/0.200
2001:db8:cafe:1200::bad1:a001/64
Interface GE1/0.300
2001:db8:cafe:1300::bad1:a001/64
DMVPN
1
— IPv4
VLAN 100
3—
IPv6
2001:db8:cafe:1261::bad1:a001/64
2001:db8:cafe:1100::/64 —
DHCPv6
IP
— IPv6
T1
T1
Interface Serial 0/0/0
172.16.1.2/30
ADSL
SP-DSL
PPPoE
VLAN 200
+
2001:db8:cafe:1200::/64 —
2001:db8:cafe:1100::/64 —
1
WAN
DHCP
IP
4—
IPv6
2001:db8:cafe:1271::bad1:a001/64
VLAN 300
— IPv6
DMVPN
2
220155
2001:db8:cafe:1300::/64
単一のルータ（2800-br1-1）を統合スイッチ（sw-br1-1）と組み合わせて使用し、ブランチ内の 3
つの VLAN 用に WAN および LAN 接続を提供します。
•
WAN ― WAN は 2 つの接続で構成されています。ISP への T1 リンクと、冗長性を確保するた
めに使用する、別の ISP への ADSL リンクです（このマニュアルで示す ADSL リンクは、実
際にはルータの GigabitEthernet インターフェイスのうちの 1 つにおける PPPoE リンクです）。
インターネット経由での HQ サイトへの接続に使用するトンネルは、次のとおりです。
– トンネル 1 は、IPv4 トラフィック専用のプライマリ DMVPN トンネルとして使用されま
す。
– トンネル 2 は、IPv4 トラフィック専用のバックアップ DMVPN トンネルとして使用され
ます。
– トンネル 3 は、IPv6 トラフィック専用のプライマリの手動トンネル（IPv6-in-IPv4）とし
て使用されます。
– トンネル 4 は、IPv6 トラフィック専用のバックアップ手動トンネルとして使用されます。
これらのトンネルはすべて、IPv4 IPSec によるトンネル保護を使用します。
•
LAN ― このシングルティアの LAN 部分は、EtherSwitch Service Module を使用しています。
このシングルティアプロファイルでは、次の 3 つの VLAN が使用されています。
– VLAN 100 ― PC データ VLAN として使用されます。IPv4 アドレッシングは、ルータ上の
ローカル DHCP プールによって提供されます。IPv6 アドレッシングは、ブランチルータ
によってルータのサブインターフェイスに割り当てられたプレフィクスを使用して提供
されます。DNS/ ドメイン名は、IPv6 用のローカル DHCP プールより提供されます。
Branch Networks における IPv6 導入ガイド
18
OL-11819-01-J
シングルティアの実装
– VLAN 200 ― 音声 VLAN として使用されます。IPv4 アドレッシングは、ルータのローカ
ル DHCP プールによって音声固有のオプション（TFTP サーバ）を含めて提供されます。
IPv6 アドレッシングは、ステートレスな自動設定によって提供されます。この設計には
まだ IPv6 対応の IP Phone がないので、プランニング目的で IPv6 をイネーブルにします。
– VLAN 300 ― プリンタ VLAN として使用されます。IPv4 アドレッシングは、ルータ上の
ローカル DHCP プールによって提供されます。ブランチに配置された Hewlett Packard Jet
Direct カードが、ルータインターフェイスからステートレスな自動設定を通じて IPv6 ア
ドレスを自動的に受信します。
（注）
EtherSwitch Service Module は、基本的にはルータに搭載されたモジュール上の Catalyst
3750 です。このシングルティアプロファイルは、外部の Catalyst 3750 を使用したテスト
も行われており、設計上問題がないことが確認されています。
WAN の設定
WAN 設定は IPv6 固有のものではなく、ブランチルータと HQ ルータ間の暗号化された手動トン
ネルに基本的なトランスポートを提供する目的で使用します。2800-br1-1 の WAN 設定全体は、
「設定例」（p.44）を参照してください。
2800-br1-1
interface Serial0/0/0
description to T1 Link Provider (PRIMARY)
ip address 172.16.1.2 255.255.255.252
!
interface GigabitEthernet0/0
description PPPoE for Backup
pppoe enable
pppoe-client dial-pool-number 1
!
interface Virtual-Template1
no ip address
!
interface Dialer1
description PPPoE to BB provider (BACKUP)
ip address negotiated
ip mtu 1400
encapsulation ppp
load-interval 30
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname [email protected]
ppp chap password 7 095E4F071E0005
!
dialer-list 1 protocol ip permit
LAN の設定
2800-br1-1 および sw-br1-1 の LAN の IPv6 の設定を次に示します。この設定には、ルータと
EtherSwitch モジュールとの間の内部スイッチリンクのほか、スイッチ自体のインターフェイス
設定および VLAN 設定も示します。さらに、DHCP for IPv6 設定も示します。VLAN 100（データ
専用）には IPv6 DHCP プールを使用しています。
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
19
シングルティアの実装
（注）
Cisco Catalyst 3750、3560、および EtherSwitch プラットフォームでは、適切な Switch Database
Management（SDM）テンプレートをイネーブルにして、TCAM を別の用途に使用できるように
する必要があります。sw-br1-1 スイッチには、sdm prefer dual-ipv4-and-ipv6 default コマンドを使
用して、「dual-ipv4-and-ipv6」SDM テンプレートが設定されています（リロードが必要です）。
SDM prefer コマンドおよび関連するテンプレートについての詳細は、次の URL を参照してくだ
さい。
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat3750/12225see/scg/swsdm.htm#
2800-br1-1
ipv6 unicast-routing
ipv6 cef
!
ipv6 dhcp pool DATA_VISTA
dns-server 2001:DB8:CAFE:10:20D:9DFF:FE93:B25D
dns-server 2001:DB8:CAFE:10:51A1:5B1:4A85:B3DA
domain-name cisco.com
!
interface GigabitEthernet1/0
description to INTERNAL SW-BR1-1
ip address 1.1.1.1 255.255.255.0
!
interface GigabitEthernet1/0.100
description DATA VLAN for Computers
encapsulation dot1Q 100
ipv6 address 2001:DB8:CAFE:1100::BAD1:A001/64
ipv6 nd other-config-flag
ipv6 dhcp server DATA_VISTA
#Globally enable IPv6 Unicast Routing
#Globally enable IPv6 CEF
#DHCP for IPv6 pool name
#Primary IPv6 DNS server at HQ
#Secondary IPv6 DNS server at HQ
#DNS domain name passed to client
#Define the router IPv6 address
#for VLAN100. Prefix used by
#hosts in stateless
#autoconfiguration
#Set flag in RA to instruct host
#how to obtain "other"
#information such as domain name
#and DNS server
#Enables DHCP for IPv6 on this nterface
!
interface GigabitEthernet1/0.200
description to Voice VLAN for IP Phones
encapsulation dot1Q 200
ipv6 address 2001:DB8:CAFE:1200::BAD1:A001/64
!
interface GigabitEthernet1/0.300
description to Printer VLAN
encapsulation dot1Q 300
ipv6 address 2001:DB8:CAFE:1300::BAD1:A001/64
!
sw-br1-1
vtp domain ese_branch
vtp mode transparent
!
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree portfast bpduguard default
spanning-tree extend system-id
!
vlan internal allocation policy ascending
Branch Networks における IPv6 導入ガイド
20
OL-11819-01-J
シングルティアの実装
!
vlan 100
name DATA
!
vlan 200
name VOICE
!
vlan 300
name PRINTERS
!
interface FastEthernet1/0/2
description TRUNK to 2800-br1-1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,200,300
switchport mode trunk
load-interval 30
!
interface FastEthernet1/0/3
description PHONE + PC
switchport access vlan 100
switchport mode access
switchport voice vlan 200
load-interval 30
spanning-tree portfast
spanning-tree bpduguard enable
!
interface Vlan100
description VLAN100 for PCs and Switch management
ip address 10.124.1.126 255.255.255.128
ipv6 address 2001:DB8:CAFE:1100::BAD2:F126/64
#IPv6 address used for mgmt on
#sw-br1-1
IPSec および手動トンネルの設定
シングルティアプロファイルでは、IPv4 用の DMVPN（「設定例」[p.44] を参照）および IPv4
IPSec を使用して、IPv6 用の手動トンネルを保護します。DMVPN などのダイナミック VPN モデ
ル（例：VTI）で IPv6 をサポートする場合、同じトンネルで IPv4 および IPv6 に対応できるよう
設定を組み合わせることができます。これは現時点では GRE を使用すると達成できますが、マ
ルチポイント GRE（mGRE）では達成できません。
IPv6 用のプライマリトンネル（Tunnel3）は、スタティッククリプトマップを使用します。トン
ネルの両端（ブランチと HQ）で、スタティックに定義されたパブリック IPv4 アドレスをトンネ
ルソースに使用します。
IPv6 用のセカンダリトンネル（Tunnel4）は、ブランチのスタティッククリプトマップと、HQ
ルータのダイナミッククリプトマップを使用します。その理由は、プライマリの T1 が故障した
場合に、ブランチのバックアップトンネルが dialer1 インターフェイスを使用するからです。
dialer1 インターフェイスは、ADSL/ ケーブルサブスクライバと同じ方法で、ブロードバンドプ
ロバイダーから IPv4 アドレスを動的に受信します。dialer1 インターフェイスを使用する場合、
ダイヤラのアドレスが動的なので、HQ VPN ルータでブランチルータのパブリック IPv4 アドレ
スを静的に定義することはできません。ダイナミッククリプトマップは、ブランチルータの
dialer1 インターフェイスに動的に割り当てられるアドレスの問題を解決します。
（注）
ダイナミッククリプトマップは、このマニュアルで説明していない（IPv6 固有ではない）HQ
ヘッドエンドの VPN ルータに適用されるため、このマニュアルでは、ダイナミッククリプト
マップの動作については説明しません。「設定例」（p.44）では、プライマリおよびセカンダリト
ンネルの HQ ヘッドエンド VPN ルータの設定を示しています（これらはブランチ設計の IPv6 お
よび IPSec トンネルに適用されます）。
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
21
シングルティアの実装
IPSec コマンドの定義についての詳細は、次の Cisco IOS IPSec マニュアルおよび『WAN IPSec VPN
Design Guide』を参照してください。
•
Cisco IOS IPSec マニュアル：
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hsec_c/part17/ch10/index.ht
m
• 『Cisco IPSec VPN Design Guide』
：
http://www.cisco.com/en/US/netsol/ns656/networking_solutions_design_guidances_list.html#anchor9
2800-br1-1
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key CISCO address 172.17.1.3
crypto isakmp key SYSTEMS address 172.17.1.4
#Create ISAKMP policy
#Encryption method
#Pre-shared keys (passwords) used
#Pre-shared key of "CISCO" used with
#peer address of primary HQ IPSec
#VPN router
#Pre-shared key of "SYSTEMS used
#with peer address of secondary HQ
#IPSec VPN router. The HQ router
#uses a null address for the key
#address because of the dialer1
#address assignment
#Dead Peer Detection (DPD) enabled
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set HE1 esp-3des esp-sha-hmac
crypto ipsec transform-set HE2 esp-3des esp-sha-hmac
!
!
crypto map IPv6-HE1 local-address Serial0/0/0
crypto map IPv6-HE1 1 ipsec-isakmp
set peer 172.17.1.3
set transform-set HE1
match address VPN-TO-HE1
#IPSec transform set that will
#be offered during negotiation
#to support ESP/3DES and
#integrity algorithm (user#defined)
#Local source peer interface
#Set IPSec peer as primary HQ IPSec
#VPN router
#ACL that matches protocol 41 from
#branch to HQ IPSEC VPN router
!
crypto map IPv6-HE2 local-address Loopback0
crypto map IPv6-HE2 1 ipsec-isakmp
set peer 172.17.1.4
set transform-set HE2
match address VPN-TO-HE2
!
interface Tunnel3
description IPv6 tunnel to HQ Head-end 1
no ip address
load-interval 30
ipv6 address 2001:DB8:CAFE:1261::BAD1:A001/64
ipv6 mtu 1400
tunnel source Serial0/0/0
tunnel destination 172.17.1.3
tunnel mode ipv6ip
#Primary tunnel for IPv6
#IPv6 address for manual tunnel
#Lower MTU to account for tunnel
#and IPSec overhead - Neither are
#detected when host performs
#PMTUD for IPv6
#T1 interface is tunnel source
#Destination is primary HQ IPSec
#router
#Tunnel mode is IPv6-in-IPv4
Branch Networks における IPv6 導入ガイド
22
OL-11819-01-J
シングルティアの実装
#(Protocol 41)
!
interface Tunnel4
description IPv6 tunnel to HQ Head-end 2
no ip address
load-interval 30
ipv6 address 2001:DB8:CAFE:1271::BAD1:A001/64
ipv6 mtu 1400
tunnel source Loopback0
tunnel destination 172.17.1.4
tunnel mode ipv6ip
!
interface Loopback0
#Secondary tunnel for IPv6
#Loopback used as source instead
#of dialer1 because the dialer is
#DHCP- assigned
#Destination is secondary HQ
#IPSec router
#Loopback used as source for
#Tunnel4
ip address 10.124.100.1 255.255.255.255
interface Serial0/0/0
description to T1 Link Provider (PRIMARY)
crypto map IPv6-HE1
!
interface Dialer1
description PPPoE to BB provider (BACKUP)
crypto map IPv6-HE2
!
!
ip access-list extended VPN-TO-HE1
permit 41 host 172.16.1.2 host 172.17.1.3
ip access-list extended VPN-TO-HE2
permit 41 host 10.124.100.1 host 172.17.1.4
#S0/0/0 used as source for
#Tunnel3
#Apply IPSec VPN policy S0/0/0
#Apply IPSec VPN policy to
#Dialer1
#ACL for crypto-map to primary HE
#Permit protocol 41 (IPv6) from
#S0/0/0 to primary HQ IPSec VPN
#router
#ACL for crypto-map to secondary
#HE
#Permit protocol 41 from Lo0
#(tunnel4 source) to secondary HQ
#IPSec VPN router
ルーティング
シングルティアプロファイルでの IPv6 ルーティングの設定は複雑ではありません。ISP リンク用
の既存の IPv4 ルーティング設定（スタティックルート）を使用して、IPv6 用の 2 つの手動トン
ネルをサポートします。2 つの手動トンネル内部と LAN インターフェイスにおいて EIGRP for
IPv6 を使用して、HQ サイト間およびブランチ内部のルーティング情報を提供します。ブランチ
ルータは EIGRP スタブルータとして設定されています。
EIGRP ルーティングアップデートの保護には、EIGRP ルート認証（MD5）を使用します。
EIGRP for IPv6 についての詳細は、次の URL にある Cisco IOS IPv6 ルーティング設定のページを
参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/ipv6_c/v6eigrp.htm
2800-br1-1
ipv6 unicast-routing
!
key chain ESE
#Enable IPv6 unicast routing (reminder only
#this was enabled in the previous LAN
#configuration section)
#Enable EIGRP Authentication key chain
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
23
シングルティアの実装
key 1
key-string 7 111B180B101719
!
interface Tunnel3
description IPv6 tunnel to HQ Head-end 1
delay 500
ipv6
ipv6
ipv6
ipv6
eigrp 1
hold-time eigrp 1 35
authentication mode eigrp 1 md5
authentication key-chain eigrp 1 ESE
!
interface Tunnel4
description IPv6 tunnel to HQ Head-end 2
delay 2000
ipv6
ipv6
ipv6
ipv6
#Manually adjust delay - This tunnel
#is primary
#Enable EIGRP for IPv6 on tunnel
#Adjust the hold time for EIGRP
#Authentication type of MD5
#Enables authentication of EIGRP for
#IPv6 packets using key-chain "ESE"
#Adjust delay - This tunnel is
#secondary
eigrp 1
hold-time eigrp 1 35
authentication mode eigrp 1 md5
authentication key-chain eigrp 1 ESE
!
interface Loopback0
ipv6 eigrp 1
interface GigabitEthernet1/0.100
description DATA VLAN for Computers
encapsulation dot1Q 100
ipv6 eigrp 1
!
interface GigabitEthernet1/0.200
description to Voice VLAN for IP Phones
encapsulation dot1Q 200
ipv6 eigrp 1
!
interface GigabitEthernet1/0.300
description to Printer VLAN
encapsulation dot1Q 300
ipv6 eigrp 1
!
ipv6 router eigrp 1
router-id 10.124.100.1
stub connected summary
no shutdown
passive-interface GigabitEthernet1/0.100
#Router configuration mode - process 1
#This branch is a stub
#Process is shutdown by default #enable it
#Do not attempt adjacencies out any
#interfaces except Tunnel3 and 4
passive-interface GigabitEthernet1/0.200
passive-interface GigabitEthernet1/0.300
passive-interface Loopback0
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
ip route 0.0.0.0 0.0.0.0 Dialer1 200
#Primary IPv4 static route used for
#DMVPN and encrypted manual tunnels
#Backup IPv4 static route
sw-1-br1
ipv6 route ::/0 Vlan100 FE80::217:94FF:FE90:2829
#Default route out VLAN100 to the
#link-local address of the 2800#br1-1 VLAN100 interface
Branch Networks における IPv6 導入ガイド
24
OL-11819-01-J
シングルティアの実装
セキュリティ
シングルティアプロファイルにおける IPv6 のセキュリティ設定は、IPv4 の設定と非常によく似
「設定例」[p.44] を参照）。IPv6 のセキュリティ設定の中心は、インフラストラクチャ
ています（
（ルータとスイッチ）を保護し、IPv6 ステートフルファイアウォールによってブランチの防御を
多層化することです。
このマニュアルで説明する各プロファイルは、HQ サイトの総合的なセキュリティポリシーおよ
び設計によって保護されています。ただし、シングルティアは WAN 接続の手段としてインター
ネットを使用するので、ブランチの ISP リンク経由でインターネットベースの攻撃が発生すると
きに備えて、ローカルのブランチルータで基本的なセキュリティを提供することが重要です。
（注）
前述したように、このマニュアルでは、ブランチから ISP への直接的な IPv6 対応リンクはありま
せん。IPv6 接続はすべて、IPv4 IPSec トンネルを通じて HQ サイトによって提供されます。ブラ
ンチおよび WAN に関する今後のマニュアルでは、ISP が IPv6 アクセスサービスをブランチに提
供する環境における、ネイティブの IPv6 IPSec 接続について説明する予定です。
図 5 に、シングルティアプロファイルで使用する各種の ACL の配置を示します。
図5
シングルティアプロファイル — セキュリティ ACL の配置
3—
IPv6
IPv6 ACL
IOS Firewall
T1
IPv4 ACL —
ACL
— SSH
ACL
T1
ACL
VLAN100
VLAN200
VLAN300
ACL
ACL
SP-DSL
ADSL
IPv4 ACL —
WAN
ACL
— SSH
4—
IPv6
IPv6 ACL
IOS Firewall
ACL
ACL
ADSL
GigE
IOS firewall
inspect
ACL
T1
220156
ACL
ACL
シングルティアプロファイルのさまざまなインターフェイスに、ACL および IOS IPv6 ファイア
ウォールポリシーが適用されます。次に ACL の配置について要約します。
•
T1 および ADSL リンクでは、IPv4 ベースの ACL を使用して（設定については「設定例」
[p.44] を参照）、エンタープライズ HQ とブランチルータ間の IPSec VPN トンネルの確立に使
用されるパケットと、トラブルシューティングに使用される ICMP パケットを許可します。
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
25
シングルティアの実装
•
トンネル 3 および 4 には、エンタープライズ HQ サイトへ向かう出力側（アウトバウンド）
に適用される IOS IPv6 ファイアウォールインスペクトポリシーがあります。これらのポリ
シーによって、ブランチサイトのホストがアウトバウンド接続を確立できます。入力（イン
バウンド）ACL は、外部から発信されたトラフィックを拒否する目的で使用します。また、
ファイアウォールは確立済みの出力ステートエントリの変更ポイントとして入力 ACL を使
用します。基本的に、ブランチのホストがアウトバウンド接続を確立すると、ファイア
ウォールはその情報をステートテーブルに入力し、このステート情報に一致する場合にの
み、ホストへの戻りのトラフィックを許可するように入力 ACL を変更します。一致しない場
合、パケットはドロップされます。トンネルインターフェイスに関するファイアウォールエ
ントリの設定は、必須ではありません。多くのお客様が、HQ サイトで非常に高度なセキュ
リティ設計を使用し、HQ とブランチホストの両方を保護しています。このプロファイルで
の IOS IPv6 ファイアウォールの使用は、保護能力を強化するための、もう 1 つのセキュリ
ティ層です。
•
ブランチ LAN インターフェイスで入力 ACL を使用し、送信元プレフィクスまたは特定のア
プリケーションに基づいて、VLAN インターフェイスからのトラフィックを許可することが
できます。この設定は省略可能です。このマニュアルの一般的なセキュリティのセクション
で示した LAN ACL の設定は、このような ACL の一例です。
•
ブランチルータおよびスイッチのマネジメントプレーンへのアクセスを制御します。アクセ
スタイプを SSH に限定するとともに、HQ 内部の IPv6 プレフィクスだけにルータとスイッチ
の管理を許可する ACL を作成します。この ACL をさらに厳密にして、特定の管理プレフィ
クスだけにアクセスを許可するように定義することも可能です。
次に、2800-br1-1 ルータおよび sw-br1-1 スイッチでのシングルティアプロファイルの設定を示し
ます。
2800-br1-1
ipv6 inspect one-minute high 2000
ipv6 inspect hashtable-size 2039
ipv6 inspect tcp max-incomplete host 100 block-time 0
ipv6 inspect name v6FW tcp
#Inspection profile for TCP,ICMP,FTP & UDP
ipv6 inspect name v6FW icmp
ipv6 inspect name v6FW ftp
ipv6 inspect name v6FW udp
!
interface Tunnel3
ipv6 traffic-filter INET-WAN-v6 in
#ACL used by IOS FW for dynamic entries
no ipv6 redirects
no ipv6 unreachables
ipv6 inspect v6FW out
#Apply firewall inspection for egress
#traffic
ipv6 virtual-reassembly
#Used by firewall to create dynamic ACLs and
#protect against various fragmentation
#attacks
!
interface Tunnel4
ipv6 traffic-filter INET-WAN-v6 in
no ipv6 redirects
no ipv6 unreachables
ipv6 inspect v6FW out
ipv6 virtual-reassembly
!
interface GigabitEthernet1/0.100
ipv6 traffic-filter DATA_LAN-v6 in
#Filter permitted traffic coming from
#VLANs - OPTIONAL
no ipv6 redirects
no ipv6 unreachables
ipv6 virtual-reassembly
!
no ip http server
Branch Networks における IPv6 導入ガイド
26
OL-11819-01-J
シングルティアの実装
!
ipv6 access-list MGMT-IN
#Management ACL - Permit management access
#for cafe::/48 prefix only to the router's
#loopback
remark permit mgmt only to loopback
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:1000::BAD1:A001
deny ipv6 any any log-input
!
ipv6 access-list DATA_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:1100::/64
permit icmp 2001:DB8:CAFE:1100::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:1100::64
permit ipv6 2001:DB8:CAFE:1100::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT DHCPv6 ALL-DHCP-AGENTS REQUESTS FROM HOSTS
permit udp any eq 546 any eq 547
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
ipv6 access-list INET-WAN-v6
remark PERMIT EIGRP for IPv6
permit 88 any any
remark PERMIT PIM for IPv6
permit 103 any any
remark PERMIT ALL ICMPv6 PACKETS SOURCED USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT SSH TO LOCAL LOOPBACK
permit tcp any host 2001:DB8:CAFE:1000::BAD1:A001 eq 22
remark PERMIT ALL ICMPv6 PACKETS TO LOCAL LOOPBACK
permit icmp any host 2001:DB8:CAFE:1000::BAD1:A001
remark PERMIT ALL ICMPv6 PACKETS TO TUNNEL3
permit icmp any host 2001:DB8:CAFE:1261::BAD1:A001
remark PERMIT ALL ICMPv6 PACKETS TO TUNNEL4
permit icmp any host 2001:DB8:CAFE:1271::BAD1:A001
remark PERMIT ALL ICMPv6 PACKETS TO DATA VLAN
permit icmp any 2001:DB8:CAFE:1100::/64
remark PERMIT ALL ICMPv6 PACKETS TO VOICE VLAN
permit icmp any 2001:DB8:CAFE:1200::/64
remark PERMIT ALL ICMPv6 PACKETS TO PRINTER VLAN
permit icmp any 2001:DB8:CAFE:1300::/64
remark PERMIT ALL IPv6 PACKETS TO DATA VLAN
permit ipv6 any 2001:DB8:CAFE:1100::/64
remark PERMIT ALL IPv6 PACKETS TO VOICE VLAN
permit ipv6 any 2001:DB8:CAFE:1200::/64
remark PERMIT ALL IPv6 PACKETS TO PRINTER VLAN
permit ipv6 any 2001:DB8:CAFE:1300::/64
deny ipv6 any any log
banner login ^C
Unauthorized access to this device and/or network is prohibited.
^C
line vty 0 4
ipv6 access-class MGMT-IN in
#Apply management ACL
transport input ssh
#Allow only SSH
sw-br1-1
interface Vlan100
ipv6 address 2001:DB8:CAFE:1100::BAD2:F126/64
!
ipv6 access-list MGMT-IN
#Management ACL - Permit management access
#for cafe::/48 prefix only to the switch
#VLAN100 interface
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:1100::BAD2:F126
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
27
シングルティアの実装
deny ipv6 any any log-input
!
banner login ^C
Unauthorized access to this device and/or network is prohibited.
^C
!
line vty 0 4
ipv6 access-class MGMT-IN in
transport input ssh
QoS
シングルティアプロファイルの QoS 設定は、IPv4 と IPv6 でほぼ同じです。シングルティアブラ
ンチプロファイルでは、IPv4 アプリケーション用の Network-Based Application Recognition
（NBAR）を設定します。このマニュアルの作成時点では、NBAR は IPv6 アプリケーションをサ
ポートしていませんが、IPv6 のサポートが計画されています。NBAR が IPv6 を認識できないた
め、ACL を使用してアプリケーションタイプを静的に定義し、その ACL マッチをクラスマップ
にマッピングし、適切な DSCP 値を設定します。
次の設定は、IPv6 に QoS ポリシーを適用する場所と、具体的な match/set の変更方法を示すこと
を目的としています。一連のコマンドおよびポリシー定義は、シスコが推奨する QoS の値であ
り、このマニュアルでは扱わないため、この設定には注釈はありません。「設定例」（p.44）に、
すべてのルータおよびスイッチの QoS 設定全体が記載されています。『Cisco QoS Design Guide』
は、次の URL を参照してください。
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns432/c649/ccmigration_09186a008049b062.pdf
2800-br1-1
class-map match-any BRANCH-BULK-DATA
match access-group name BULK-DATA-APPS
match access-group name BULK-DATA-APPS-V6
!
class-map match-any BRANCH-TRANSACTIONAL-DATA
match protocol citrix
match protocol ldap
match protocol sqlnet
match protocol http url "*cisco.com"
match protocol custom-01
match access-group name BRANCH-TRANSACTIONAL-V6
class-map match-any BRANCH-MISSION-CRITICAL
match access-group name MISSION-CRITICAL-SERVERS
match access-group name MISSION-CRITICAL-V6
class-map match-any BRANCH-NET-MGMT
match protocol snmp
match protocol syslog
match protocol telnet
match protocol nfs
match protocol dns
match protocol icmp
match protocol tftp
match access-group name BRANCH-NET-MGMT-V6
class-map match-any BRANCH-SCAVENGER
match protocol napster
match protocol gnutella
match protocol fasttrack
match protocol kazaa2
match access-group name BRANCH-SCAVENGER-V6
!
policy-map BRANCH-WAN-EDGE
class NET-MGMT
bandwidth percent 2
Branch Networks における IPv6 導入ガイド
28
OL-11819-01-J
シングルティアの実装
class MISSION-CRITICAL-DATA
bandwidth percent 15
random-detect dscp-based
class TRANSACTIONAL-DATA
bandwidth percent 12
random-detect dscp-based
class BULK-DATA
bandwidth percent 4
random-detect dscp-based
class SCAVENGER
bandwidth percent 1
!
policy-map BRANCH-LAN-EDGE-IN
class BRANCH-MISSION-CRITICAL
set dscp 25
class BRANCH-TRANSACTIONAL-DATA
set dscp af21
class BRANCH-NET-MGMT
set dscp cs2
class BRANCH-BULK-DATA
set dscp af11
class BRANCH-SCAVENGER
set dscp cs1
class WORMS
drop
class class-default
set dscp default
!
interface GigabitEthernet0/0
description PPPoE for Backup
max-reserved-bandwidth 100
#Overrides the default 75% BW limit.
#Required when the total sum of all QoS BW
#statements exceeds 75%
service-policy output BRANCH-WAN-EDGE
!
interface GigabitEthernet1/0.100
description DATA VLAN for Computers
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
interface GigabitEthernet1/0.200
description to Voice VLAN for IP Phones
service-policy output BRANCH-LAN-EDGE-OUT
!
interface GigabitEthernet1/0.300
description to Printer VLAN
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
interface Serial0/0/0
description to T1 Link Provider (PRIMARY)
max-reserved-bandwidth 100
service-policy output BRANCH-WAN-EDGE
!
interface Virtual-Template1
max-reserved-bandwidth 100
service-policy output BRANCH-WAN-EDGE
!
interface Dialer1
description PPPoE to BB provider (BACKUP)
max-reserved-bandwidth 100
service-policy output BRANCH-WAN-EDGE
!
ipv6 access-list BULK-DATA-APPS-V6
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
29
シングルティアの実装
permit
permit
permit
permit
tcp
tcp
tcp
tcp
any
any
any
any
any
any
any
any
eq
eq
eq
eq
ftp
ftp-data
pop3
143
!
ipv6 access-list BRANCH-TRANSACTIONAL-V6
remark Microsoft RDP traffic-mark dscp af21
permit tcp any any eq 3389
permit udp any any eq 3389
!
ipv6 access-list MISSION-CRITICAL-V6
remark Data-Center traffic-mark dscp 25
permit ipv6 any 2001:DB8:CAFE:10::/64
permit ipv6 any 2001:DB8:CAFE:11::/64
!
ipv6 access-list BRANCH-SCAVENGER-V6
remark Gnutella, Kazaa, Doom, iTunes traffic-mark dscp cs1
permit tcp any any range 6346 6347
permit udp any any range 6346 6347
permit tcp any any eq 1214
permit tcp any any eq 666
permit udp any any eq 666
permit tcp any any eq 3689
permit udp any any eq 3689
!
ipv6 access-list BRANCH-NET-MGMT-V6
remark Common management traffic plus vmware console-mark dscp cs2
permit udp any any eq syslog
permit udp any any eq snmp
permit tcp any any eq telnet
permit tcp any any eq 22
permit tcp any any eq 2049
permit udp any any eq 2049
permit tcp any any eq domain
permit udp any any eq tftp
permit tcp any any eq 902
マルチキャスト
シングルティアプロファイルでの IPv6 マルチキャストの設定は、非常にシンプルです。IPv6 マ
ルチキャストの設計についてはこのマニュアルの範囲外であり、PIM、マルチキャストアベイラ
ビリティおよびセキュリティに関して選択できる多くのオプションがあります。このマニュアル
では、2800-br1-1 ルータおよび sw-br1-1 スイッチでの IPv6 マルチキャストの基本的な設定のみを
示します。設定により、PIM-SSM または Embedded-RP を使用できます。IPv6 マルチキャストス
トリームは HQ サイトのデータセンターから発信されます。
sw-br1-1
ipv6 mld snooping
#Globally enable MLD snooping (see following note)
2800-br1-1
ipv6 multicast-routing
#Globally enable IPv6 multicast routing
最初に理解すべきことは、PIM-SSM または Embedded-RP を使用する場合、IPv6 マルチキャスト
をイネーブルにするために必要な CLI 入力はないという点です。PIM-SSM のみを使用する場合、
グローバルで「ipv6 multicast-routing」をイネーブルにするだけで、すべての IPv6 対応インター
フェイスで自動的に PIM がイネーブルになります。これは、IPv4 マルチキャストで必要とされ
る点との大きな違いです。
Branch Networks における IPv6 導入ガイド
30
OL-11819-01-J
シングルティアの実装
（注）
PIM-SSM を使用する場合、ホストは MLDv2 を使用する必要があり、ブランチスイッチは
MLDv2 スヌーピングをサポートしている必要があります。ホストまたはスイッチが MLDv2 をサ
ポートしない場合は、Cisco IOS の機能を使用して、ブランチルータで MLDv1 レポートを
MLDv2 レポートにマッピングできます。これを SSM マッピングといいます。詳細については、
次の URL を参照してください。
http://www.cisco.com/en/US/partner/products/ps6350/products_configuration_guide_chapter09186a00801
d6618.html#wp1290106
このマニュアルでは、スイッチが MLDv2 スヌーピングを完全にサポートするので、SSM マッピ
ングは不要です。
上記の例では、レイヤ 2 スイッチ（sw-br1-1）には IPv6 マルチキャストの認識能力が必要です。
マルチキャストをアクティブにリッスンしているポートにのみ、マルチキャストトラフィックを
配信するためです。これは MLD スヌーピングをイネーブルにすることによって達成されます。
スイッチで MLD スヌーピングをイネーブルに設定し、ブランチルータで IPv6 マルチキャスト
ルーティングをイネーブルに設定することにより、sw-br1-1 が 2800-br1-1 をローカルで接続され
たマルチキャストルータとして認識できるようになります。
sw-br1-1# show ipv6 mld snooping mrouter
Vlan
ports
-------100
Gi1/0/2(dynamic)
200
Gi1/0/2(dynamic)
300
Gi1/0/2(dynamic)
ブランチスイッチにアクティブなグループがある場合、そのグループに関する情報を表示できま
す。
sw-br1-1# show ipv6 mld snooping address
Vlan
Group
Type
Version
Port List
------------------------------------------------------------100
FF35::1111
mld
v2
Gi1/0/2
2800-br1-1 では、PIM、マルチキャストルート、RPF、およびグループに関する情報を、IPv4 の
場合と同じように表示できます。PIM-SSM (FF35::1111) を使用しているアクティブグループの出
力は次のとおりです。このストリームは HQ データセンターから着信し、VLAN100（2800-br1-1
G1/0.100）インターフェイスに発信されます。
2800-br1-1# show ipv6 mroute
#show ipv6 pim topology can also be used
Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group,
C - Connected, L - Local, I - Received Source Specific Host Report,
P - Pruned, R - RP-bit set, F - Register flag, T - SPT-bit set,
J - Join SPT
Timers: Uptime/Expires
Interface state: Interface, State
(2001:DB8:CAFE:11:2E0:81FF:FE2C:9332, FF35::1111), 00:01:28/00:03:10, flags: sTI
Incoming interface: Tunnel3
RPF nbr: FE80::230:F2FF:FE15:9C1B
Immediate Outgoing interface list:
GigabitEthernet1/0.100, Forward, 00:01:28/00:03:02
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
31
デュアルティアの実装
デュアルティアの実装
ここでは、デュアルティアプロファイルの設定について説明します。WAN および LAN 接続、
ルーティング、セキュリティなど、特定の分野ごとに設定を示します。シングルティアプロファ
イルとは違って、デュアルティアプロファイルではトンネリングを使用しないので、どのイン
ターフェイスでも IPv4 設定およびアドレッシングは示しません。デュアルティアのルータおよ
びスイッチの設定全体は、「設定例」（p.44）を参照してください。
ネットワークトポロジ
図 6 は、デュアルティアプロファイルで説明するすべての設定の前提条件となる図を示します。
この図では、2 つのブランチルータ、Catalyst スイッチのインターフェイスおよび IPv6 アドレッ
シングレイアウトを示しています。
図6
デュアルティアプロファイル — インターフェイス / アドレッシングレイアウト
VLAN 100
Interface F0/0.100
2001:db8:cafe:2100::bad1:1010/64
Interface F0/0.200
2001:db8:cafe:2200::bad1:1010/64
Interface F0/0.300
2001:db8:cafe:2300::bad1:1010/64
2001:db8:cafe:2100::/64 —
DHCPv6
Cisco 2800-br2-1
Interface S0/1/0.17
2001:db8:cafe:1262::bad1:1010/64
HSRP for IPv6 VIP
100
FE80::5:73FF:FEA0:C9
200
FE80::5:73FF:FEA0:CA
300
FE80::5:73FF:FEA0:CB
IP
VLAN 200
WAN
Interface S0/2/0.18
2001:db8:cafe:1272::bad1:1020/64
+
2001:db8:cafe:2200::/64 —
2001:db8:cafe:2100::/64 —
WAN
VLAN 300
2001:db8:cafe:2300::/64
Interface F0/0.100
2001:db8:cafe:2100::bad1:1020/64
Interface F0/0.200
2001:db8:cafe:2200::bad1:1020/64
Interface F0/0.300
2001:db8:cafe:2300::bad1:1020/64
220157
Cisco 2800-br2-2
2 つのブランチルータ（2800-br2-1 および 2800-br2-2）を Catalyst 3560 スイッチ（3560-br2-1）と
併用して、ブランチ内の 3 つの VLAN に WAN および LAN 接続を提供します。
•
WAN ― WAN は 2 つのブランチルータからそれぞれ 1 つのフレームリレー接続で構成されま
す。シングルティアプロファイルとは違って、デュアルティアプロファイルではトンネルは
使用しません。ブランチルータのシリアルインターフェイスでは、デュアルスタック動作を
イネーブルにします。これらのインターフェイスは、IPv4 に依存せずに WAN 上で IPv6 パ
ケットを伝送します。これはトンネルとは違って最適なシナリオです。
•
LAN ― デュアルティアの LAN 部分では、Catalyst 3560 スイッチを使用します。ブランチで
スイッチを増設する必要が生じた場合は、ルータにトランキングすることもできますし、
StackWise テクノロジーを使用することもできます。このデュアルティアプロファイルでは、
次の 3 つの VLAN が使用されています。
Branch Networks における IPv6 導入ガイド
32
OL-11819-01-J
デュアルティアの実装
– VLAN 100 ― PC データ VLAN として使用されます。IPv4 アドレッシングは、ルータ上の
ローカル DHCP プールによって提供されます。IPv6 アドレッシングは、ルータのサブイ
ンターフェイスに割り当てられたプレフィクスを使用して、ブランチルータで提供され
ます。DNS/ ドメイン名は、IPv6 用のローカル DHCP プールによって提供されます。
– VLAN 200 ― 音声 VLAN として使用されます。IPv4 アドレッシングは、ルータのローカ
ル DHCP プールによって音声固有のオプション（TFTP サーバ）を含めて提供されます。
IPv6 アドレッシングは、ステートレスな自動設定によって提供されます。この設計には
まだ IPv6 対応の IP Phone がないので、プランニング目的で IPv6 をイネーブルにします。
– VLAN 300 ― プリンタ VLAN として使用されます。IPv4 アドレッシングは、ルータ上の
ローカル DHCP プールによって提供されます。ブランチに配置された Hewlett Packard Jet
Direct カードが、ルータインターフェイスからステートレスな自動設定を通じて IPv6 ア
ドレスを自動的に受信します。
WAN の設定
次の WAN 設定は、IPv6 のみに適用されます。両方のブランチルータでの WAN 設定全体は、
「設定例」（p.44）を参照してください。
2800-br2-1
interface Serial0/1/0
encapsulation frame-relay
!
interface Serial0/1/0.17 point-to-point
description TO FRAME-RELAY PROVIDER
ipv6 address 2001:DB8:CAFE:1262::BAD1:1010/64
frame-relay interface-dlci 17
2800-br2-2
interface Serial0/2/0
encapsulation frame-relay
!
interface Serial0/2/0.18 point-to-point
description TO FRAME-RELAY PROVIDER
ipv6 address 2001:DB8:CAFE:1272::BAD1:1020/64
frame-relay interface-dlci 18
LAN の設定
次に 2800-br2-1、2800-br2-2、および 3560-br2 の LAN の IPv6 の設定を示します。これらの設定
は、ルータと Catalyst 3560 スイッチ間のトランクリンク、およびスイッチ自体のインターフェイ
スおよび VLAN 設定を示しています。さらに、DHCP for IPv6 設定も示されています。VLAN 100
（データ専用）には IPv6 DHCP プールを使用しています。
2800-br2-1 ルータと 2800-br2-2 ルータの間では、HSRPv2 for IPv6 を使用しています。2800-br2-1
は、アクティブな HSRP ルータとして設定されています。2800-br2-1 は HSRP に関してシリアル
インターフェイスをトラッキングします。シリアルリンクがダウンした場合には、このルータは
HSRP をトリガーしてスタンバイモードに切り替えます。GLBP for IPv6 もサポートされており、
HSRP の代わりに使用できます。HSRP for IPv6 および GLBP for IPv6 についての詳細は、Cisco
IOS ドキュメンテーションライブラリを参照してください。HSRP のトラブルシューティングお
よびモニタリングに関する重要な注意事項の 1 つは、
「debug standby」コマンドをイネーブルにす
ると、IPv4 と IPv6 の両方の出力が表示される点です。そのため、スタンバイ hello タイマーが低
い値に設定されていて、デバッグをコンソールに出力する場合は、注意が必要です。
アップリンクの帯域利用率を最適化するために、HSRP アクティブにするルータを VLAN ごとに
交互にすることが望ましい場合があります。たとえば、2800-br2-1 ルータを、データ
（VLAN100）およびプリンタ（VLAN300）VLAN に対しては HSRP アクティブにし、音声
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
33
デュアルティアの実装
（VLAN200）VLAN に対してはスタンバイにすることができます。2800-br2-2 は、音声
（VLAN200）VLAN に対しては HSRP アクティブにし、VLAN 100 および 300 に対してはスタンバ
イにします。この方法は問題なく動作し、IPv6 および IPv4 で完全にサポートされます。次に示
す LAN 設定では、2800-br1-1 は 3 つの VLAN 全部について HSRP アクティブです。
1 つ注意すべき点として、デュアルティアプロファイルでは、多くのお客様がセキュリティのレ
イヤを追加するために Cisco IOS Firewall を導入します。Cisco IOS Firewall を使用する場合は、使
用しているルーティングが非アシンメトリックであることを必ず確認してください。アップスト
リームパケットによって、リターントラフィックを許可するためのダイナミック ACL が生成さ
れるため、この確認は重要です。リターントラフィックが（ロードバランシングにより）第 2
のブランチルータ経由で戻ると、そのセッションに対応するダイナミック ACL が存在しないた
め、パケットがドロップされます。一般に、HSRP アクティブのインターフェイスは、同じプレ
フィクスのスタンバイルータインターフェイスよりも、高いルーティングプリファレンスに設
定することがベストプラクティスです。そのためには、アクティブルータのインターフェイス
の delay 値を低くします（例：delay 500）。このマニュアルで説明するデュアルティアプロファイ
ルでは、Cisco IOS Firewall は使用していません。
（注）
Catalyst 3750、3560、および EtherSwitch プラットフォームでは、適切な Switch Database
Management（SDM）テンプレートをイネーブルにして、TCAM を別の用途に使用できるように
する必要があります。3560-br2-1 スイッチには、sdm prefer dual-ipv4-and-ipv6 default コマンドを
使用して、「dual-ipv4-and-ipv6」SDM テンプレートが設定されています（リロードが必要です）。
sdm prefer コマンドおよび関連するテンプレートについての詳細は、次の URL を参照してくださ
い。
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat3750/12225see/scg/swsdm.htm#
2800-br2-1
ipv6 unicast-routing
ipv6 cef
!
ipv6 dhcp pool DATA_VISTA
dns-server 2001:DB8:CAFE:10:20D:9DFF:FE93:B25D
dns-server 2001:DB8:CAFE:10:51A1:5B1:4A85:B3DA
domain-name cisco.com
!
interface FastEthernet0/0.100
description DATA VLAN for PCs
encapsulation dot1Q 100
ipv6 address 2001:DB8:CAFE:2100::BAD1:1010/64
ipv6 nd other-config-flag
ipv6 dhcp server DATA_VISTA
standby version 2
standby 201 ipv6 autoconfig
standby 201 priority 120
standby 201 preempt delay minimum 30
standby 201 authentication ese
standby 201 track Serial0/1/0.17 90
#Globally enable IPv6 Unicast Routing
#Globally enable IPv6 CEF
#DHCP for IPv6 pool name
#Primary IPv6 DNS server at HQ
#Secondary IPv6 DNS server at HQ
#DNS domain name passed to client
#Define the router IPv6 address
#for VLAN100
#Set flag in RA to instruct host
#how to obtain "other"
#information such as domain name
#and DNS server
#Enables DHCP for IPv6 on this
#interface
#Enable HSRPv2 - required for
#IPv6 support
#HSRP standby address is auto#generated by IOS
#Increase priority to force this
#router to be "active" router
#Delay going to active from
#standby state for 30 seconds
#(allows for device/routing
#stability before becoming
active)
#Enable HSRPv2 authentication for
#group 201
#Track the frame-relay link.
Branch Networks における IPv6 導入ガイド
34
OL-11819-01-J
デュアルティアの実装
!
interface FastEthernet0/0.200
description Voice VLAN for IP Phones
encapsulation dot1Q 200
ipv6 address 2001:DB8:CAFE:2200::BAD1:1010/64
standby version 2
standby 202 ipv6 autoconfig
standby 202 priority 120
standby 202 preempt delay minimum 30
standby 202 authentication ese
standby 202 track Serial0/1/0.17 90
!
interface FastEthernet0/0.300
description PRINTER VLAN
encapsulation dot1Q 300
ipv6 address 2001:DB8:CAFE:2300::BAD1:1010/64
standby version 2
standby 203 ipv6 autoconfig
standby 203 priority 120
standby 203 preempt delay minimum 30
standby 203 authentication ese
standby 203 track Serial0/1/0.17 90
2800-br2-2
ipv6 unicast-routing
ipv6 cef
!
ipv6 dhcp pool DATA_VISTA
prefix-delegation 2001:DB8:CAFE:2100::/64 00030001000F8F373B70
dns-server 2001:DB8:CAFE:10:20D:9DFF:FE93:B25D
dns-server 2001:DB8:CAFE:10:51A1:5B1:4A85:B3DA
domain-name cisco.com
!
interface FastEthernet0/0.100
description DATA VLAN for Computers
encapsulation dot1Q 100
ipv6 address 2001:DB8:CAFE:2100::BAD1:1020/64
ipv6 nd other-config-flag
ipv6 dhcp server DATA_VISTA
standby version 2
standby 201 ipv6 autoconfig
standby 201 preempt
standby 201 authentication ese
!
interface FastEthernet0/0.200
description to Voice VLAN for IP Phones
encapsulation dot1Q 200
ipv6 address 2001:DB8:CAFE:2200::BAD1:1020/64
standby version 2
standby 202 ipv6 autoconfig
standby 202 preempt
standby 202 authentication ese
!
interface FastEthernet0/0.300
description to Printer VLAN
encapsulation dot1Q 300
ipv6 address 2001:DB8:CAFE:2300::BAD1:1020/64
standby version 2
standby 203 ipv6 autoconfig
standby 203 preempt
standby 203 authentication ese
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
35
デュアルティアの実装
3560-br2-1
vtp domain ese_branch
vtp mode transparent
!
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree portfast bpduguard default
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 100
name DATA
!
vlan 200
name VOICE
!
vlan 300
name PRINTERS
!
interface FastEthernet0/1
description to 2800-br2-1 TRUNK
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,200,300
switchport mode trunk
load-interval 30
!
interface FastEthernet0/2
description to 2800-br2-2 TRUNK
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,200,300
switchport mode trunk
load-interval 30
!
interface FastEthernet0/4
description phone with PC connected to phone
switchport access vlan 100
switchport mode access
switchport voice vlan 200
load-interval 30
spanning-tree portfast
spanning-tree bpduguard enable
!
interface Vlan100
description VLAN100 for PCs and Switch management
ipv6 address 2001:DB8:CAFE:2100::BAD2:F126/64
#IPv6 address used for mgmt on
#3560-br2-1
ルーティング
HQ サイトへのフレームリレーリンクと、すべての LAN インターフェイスに、EIGRP for IPv6 を
使用しています。
2800-br2-1
ipv6 unicast-routing
!
key chain ESE
#Enable IPv6 unicast routing (reminder only #this was enabled in the previous LAN
#configuration section)
#Enable EIGRP Authentication key chain
Branch Networks における IPv6 導入ガイド
36
OL-11819-01-J
デュアルティアの実装
key 1
key-string 7 04490A0808245E
!
interface Loopback0
ip address 10.124.102.1 255.255.255.255
ipv6 address 2001:DB8:CAFE:2000::BAD1:1010/128
ipv6 eigrp 1
!
interface FastEthernet0/0.100
description DATA VLAN for PCs
ipv6 eigrp 1
!
interface FastEthernet0/0.200
description Voice VLAN for IP Phones
ipv6 eigrp 1
!
interface FastEthernet0/0.300
description PRINTER VLAN
ipv6 eigrp 1
!
interface Serial0/1/0.17 point-to-point
description TO FRAME-RELAY PROVIDER
ipv6 eigrp 1
ipv6 hold-time eigrp 1 35
ipv6 authentication mode eigrp 1 md5
ipv6 authentication key-chain eigrp 1 ESE
!
ipv6 router eigrp 1
router-id 10.124.102.1
stub connected summary
no shutdown
#Enable EIGRP for IPv6 on interface
#Adjust the hold time for EIGRP
#Authentication type of MD5
#Enables authentication of EIGRP for
#IPv6 packets using key-chain "ESE"
#Router configuration mode - process 1
#Set RID - Loopback0
#This branch is a stub
#Process is shutdown by default #enable it
#Do not attempt adjacencies out any
#interfaces except S0/1/0.17 ("passive#interface default" can be used also
passive-interface FastEthernet0/0.100
passive-interface FastEthernet0/0.200
passive-interface FastEthernet0/0.300
passive-interface Loopback0
2800-br2-2
ipv6 unicast-routing
!
key chain ESE
key 1
key-string 7 04490A0808245E
!
interface Loopback0
ip address 10.124.102.2 255.255.255.255
ipv6 address 2001:DB8:CAFE:2000::BAD1:1020/128
ipv6 eigrp 1
!
interface FastEthernet0/0.100
description DATA VLAN for PCs
ipv6 eigrp 1
!
interface FastEthernet0/0.200
description Voice VLAN for IP Phones
ipv6 eigrp 1
!
interface FastEthernet0/0.300
description PRINTER VLAN
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
37
デュアルティアの実装
ipv6 eigrp 1
!
interface Serial0/2/0.18 point-to-point
description TO FRAME-RELAY PROVIDER
ipv6 eigrp 1
ipv6 hold-time eigrp 1 35
ipv6 authentication mode eigrp 1 md5
ipv6 authentication key-chain eigrp 1 ESE
!
ipv6 router eigrp 1
router-id 10.124.102.2
stub connected summary
no shutdown
passive-interface FastEthernet0/0.100
passive-interface FastEthernet0/0.200
passive-interface FastEthernet0/0.300
passive-interface Loopback0
3560-br2-1
ipv6 route ::/0 Vlan100 FE80::5:73FF:FEA0:C9
#Default route out VLAN100 to the
#HSRP VIP address used on 2800#br2-1 and 2800-br2-2
2800-br2-1 での show standby コマンドの出力は次のとおりです。両方のブランチルータが使用す
る VLAN100 インターフェイスのスタンバイアドレスを、矢印で示します。
FastEthernet0/0.100 - Group 201 (version 2)
State is Active
2 state changes, last state change 02:34:56
Virtual IP address is FE80::5:73FF:FEA0:C9
Active virtual MAC address is 0005.73a0.00c9
Local virtual MAC address is 0005.73a0.00c9 (v2 IPv6 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.872 secs
Authentication text "ese"
Preemption enabled, delay min 30 secs
Active router is local
Standby router is FE80::20F:8FFF:FE37:3B70, priority 100 (expires in 8.548 sec)
Priority 120 (configured 120)
Track interface Serial0/1/0.17 state Up decrement 90
IP redundancy name is "hsrp-Fa0/0.100-201" (default)
セキュリティ
IPv6 に関するセキュリティ設定の中心は、インフラストラクチャ（ルータおよびスイッチ）を保
護することです。このマニュアルで説明する各プロファイルは、HQ サイトの総合的なセキュリ
ティポリシーおよび設計によって保護されています。HQ のセキュリティ要素に加えて、デュア
ルティアプロファイルでは次の考慮事項があります。
•
WAN ― このマニュアルでは、トラフィックの分離という観点で、フレームリレーベースの
プライベート WAN は信頼できるものと想定されています。そのため、デュアルティアプロ
ファイルでは、IPv6 対応の Cisco IOS Firewall は設定していません。ワームなどの脅威からの
防御のため、保護能力を強化する目的で Cisco IOS Firewall を使用する必要がある場合には、
シングルティアプロファイルで示した設定を参照し、IPv6 におけるファイアウォール設定の
基本的なフローを確認してください。
Branch Networks における IPv6 導入ガイド
38
OL-11819-01-J
デュアルティアの実装
•
LAN ― ブランチ LAN インターフェイスで入力 ACL を使用し、送信元プレフィクスまたは特
定のアプリケーションに基づいて、VLAN インターフェイスからのトラフィックを許可する
ことができます。この設定は省略可能です。このマニュアルの一般的なセキュリティのセク
ションで示した LAN ACL の設定は、このような ACL の一例です。
•
ブランチルータおよびスイッチのマネジメントプレーンへのアクセスを制御します。アクセ
スタイプを SSH に限定するとともに、HQ 内部の IPv6 プレフィクスだけにルータとスイッチ
の管理を許可する ACL を作成します。この ACL をさらに厳密にして、特定の管理プレフィ
クスだけにアクセスを許可するように定義することも可能です。
2800-br2-1
interface FastEthernet0/0.100
description DATA VLAN for PCs
ipv6 traffic-filter DATA_LAN-v6 in
#Filter permitted traffic coming from
#VLANs - OPTIONAL
no ipv6 redirects
no ipv6 unreachables
!
interface Serial0/1/0.17 point-to-point
description TO FRAME-RELAY PROVIDER
no ipv6 redirects
no ipv6 unreachables
!
no ip http server
!
ipv6 access-list MGMT-IN
#Management ACL - Permit management access
#for cafe::/48 prefix only to the router's
#loopback
remark permit mgmt only to loopback
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:2000::BAD1:1010
deny ipv6 any any log-input
!
ipv6 access-list DATA_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2100::/64
permit icmp 2001:DB8:CAFE:2100::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2100::64
permit ipv6 2001:DB8:CAFE:2100::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT DHCPv6 ALL-DHCP-AGENTS REQUESTS FROM HOSTS
permit udp any eq 546 any eq 547
remark PERMIT ALL PIM PACKETS FROM OTHER BRANCH ROUTER
permit 103 FE80::/16 any
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
banner login ^C
Unauthorized access to this device and/or network is prohibited.
^C
line vty 0 4
ipv6 access-class MGMT-IN in
#Apply management ACL
transport input ssh
#Allow only SSH
2800-br2-2
interface FastEthernet0/0.100
description DATA VLAN for PCs
ipv6 traffic-filter DATA_LAN-v6 in
no ipv6 redirects
no ipv6 unreachables
!
interface Serial0/2/0.18 point-to-point
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
39
デュアルティアの実装
description TO FRAME-RELAY PROVIDER
no ipv6 redirects
no ipv6 unreachables
!
no ip http server
!
ipv6 access-list MGMT-IN
remark permit mgmt only to loopback
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:2000::BAD1:1020
deny ipv6 any any log-input
!
ipv6 access-list DATA_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2100::/64
permit icmp 2001:DB8:CAFE:2100::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2100::64
permit ipv6 2001:DB8:CAFE:2100::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT DHCPv6 ALL-DHCP-AGENTS REQUESTS FROM HOSTS
permit udp any eq 546 any eq 547
remark PERMIT ALL PIM PACKETS FROM OTHER BRANCH ROUTER
permit 103 FE80::/16 any
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
banner login ^C
Unauthorized access to this device and/or network is prohibited.
^C
line vty 0 4
ipv6 access-class MGMT-IN in
transport input ssh
3560-br2-1
interface Vlan100
ipv6 address 2001:DB8:CAFE:2100::BAD2:F126/64
!
ipv6 access-list MGMT-IN
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:2100::BAD2:F126
deny ipv6 any any log-input
!
banner login ^C
Unauthorized access to this device and/or network is prohibited.
^C
!
line vty 0 4
ipv6 access-class MGMT-IN in
transport input ssh
QoS
デュアルティアプロファイルの QoS 設定は、インターフェイスレベルで QoS ポリシーを適用す
る点を除いて、シングルティアプロファイルとまったく同じです。デュアルティアプロファイ
ルでは、フレームリレーリンクを使用します。次の設定は、フレームリレーでのシリアルイン
ターフェイスの QoS レイアウトを示しています。
ポリシーの例については、シングルティアプロファイルの QoS セクションを参照してください。
次の設定は、どのインターフェイスに QoS ポリシーを適用するかを示しています。
Branch Networks における IPv6 導入ガイド
40
OL-11819-01-J
デュアルティアの実装
2800-br2-1
interface FastEthernet0/0.100
description DATA VLAN for PCs
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
interface FastEthernet0/0.200
description Voice VLAN for IP Phones
service-policy output BRANCH-LAN-EDGE-OUT
!
interface FastEthernet0/0.300
description PRINTER VLAN
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
interface Serial0/1/0.17 point-to-point
description TO FRAME-RELAY PROVIDER
frame-relay interface-dlci 17
class QOS-BR2-MAP
!
map-class frame-relay QOS-BR2-MAP
service-policy output WAN-EDGE-FRTS
!
policy-map WAN-EDGE-FRTS
class class-default
shape average 1460000 14600 0
service-policy BRANCH-WAN-EDGE
#Binds the map-class to the FR DLCI
#Attaches nested MQC policies to map-class
#Enabled MQC-Based FRTS
#Queues packets headed to the shaper
2800-br2-2
interface FastEthernet0/0.100
description DATA VLAN for PCs
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
interface FastEthernet0/0.200
description Voice VLAN for IP Phones
service-policy output BRANCH-LAN-EDGE-OUT
!
interface FastEthernet0/0.300
description PRINTER VLAN
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
interface Serial0/2/0.18 point-to-point
description TO FRAME-RELAY PROVIDER
frame-relay interface-dlci 18
class QOS-BR2-MAP
!
map-class frame-relay QOS-BR2-MAP
service-policy output WAN-EDGE-FRTS
!
policy-map WAN-EDGE-FRTS
class class-default
shape average 1460000 14600 0
service-policy BRANCH-WAN-EDGE
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
41
まとめ
マルチキャスト
デュアルティアプロファイルでの IPv6 マルチキャストの設定は、シングルティアプロファイル
とまったく同じです。詳細については、シングルティアの実装セクションに記載されている IPv6
マルチキャストの設定を参照してください。「設定例」（p.44）に、デュアルティアプロファイル
の全デバイスについて IPv6 マルチキャストの設定を示します。
まとめ
このマニュアルでは、ブランチネットワークでの IPv6 の導入方法について説明しました。説明
したブランチプロファイルは、シングルティアとデュアルティアです。設定の大部分は、シスコ
のブランチ設計に関する既存のベストプラクティスに基づいています。説明した各プロファイル
は、この環境で IPv6 を導入する唯一の方法ではなく、ブランチ環境で活用できる選択肢を示し
たものです。
今後の作業
このマニュアルは、エンタープライズカスタマー向けに IPv6 の基本的な実装ガイダンスを提供
することを目的とした一連の資料の 1 つです。キャンパス、WAN、データセンター、およびエ
ンタープライズエッジでの IPv6 導入について分析した、同様のマニュアルも発行が予定されて
います。
このマニュアルは「進行型のマニュアル」であり、機能の完成度に応じて変更される予定です。
ただし、最終目標は、すべてのエンタープライズアーキテクチャ設計ガイドに、IPv6 を 1 つの
ベースラインコンポーネントとして完全に統合することです。そうすれば、さまざまなテクノロ
ジーや設計について個別の資料を参照するのではなく、エンタープライズのあらゆる分野に関す
る最新の設計ベストプラクティスを、1 つの資料で学習できるようになります。一連のエンター
プライズアーキテクチャ設計ガイドは、次の URL で参照できます。
http://www.cisco.com/go/srnd
参考資料
このマニュアルでは、IPv6 のテクノロジーやプロトコルのさまざまな側面をよく理解する必要が
あることを随所で指摘してきました。IPv6 の実装には、セキュリティ、QoS、アベイラビリ
ティ、管理、IT トレーニング、アプリケーションサポートなど、設計に関する多くの考慮事項
があります。
ここでは、IPv6、設計に関するシスコの推奨事項、製品とソリューション、および業界の活動に
関する参考資料を示します。
推奨する参考資料
次に、このマニュアルで説明したトピックについて詳しい情報を入手できる参考資料のリストを
示します。
シスコ独自のリンク
ここでは、シスコシステムズ独自のリンクを示します。
Cisco IPv6 CCO ホームページ：
http://www.cisco.com/ipv6
Branch Networks における IPv6 導入ガイド
42
OL-11819-01-J
参考資料
『Cisco SRND WAN Guide』：
http://www.cisco.com/en/US/netsol/ns656/networking_solutions_design_guidances_list.html#anchor9
『Cisco IOS IPv6 Configuration Guide, Release 12.4』：
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hipv6_c/index.htm
『Catalyst 3750 Switch Software Configuration Guide, 12.2(25)SEE』：
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat3750/12225see/scg/index.htm
『Cisco Solution Reference Network Design (SRND) Guide』
：
http://www.cisco.com/go/srnd
『Cisco Solution Reference Network Design (SRND) Branch Guide』
：
http://www.cisco.com/en/US/netsol/ns656/networking_solutions_design_guidances_list.html#anchor1
『Cisco Solution Reference Network Design (SRND) WAN Guide』：
http://www.cisco.com/en/US/netsol/ns656/networking_solutions_design_guidances_list.html#anchor9
『Enterprise QoS SRND』：
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns432/c649/ccmigration_09186a008049b062.pdf
『Cisco IOS IPv6 Traffic Filter Configurations』：
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/ipv6_c/v6_tffw.htm
『Cisco IOS Configuring Frame Relay』：
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hwan_c/ch05/index.htm
『Cisco IOS Configuring Security for VPNs with IPSec』：
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hsec_c/part17/ch10/index.htm
シスコルータの保護に関するオンライントレーニングとマニュアル：
http://www.cisco.com/web/about/security/security_services/ciag/workforce_development/securing_cisco_r
outers.html
Microsoft の IPv6 リンク
ここでは、Microsoft Corporation 独自のリンクを示します。
Microsoft IPv6 ホーム：
http://www.microsoft.com/technet/itsolutions/network/ipv6/default.mspx
Microsoft TechNet - Teredo Overview：
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/teredo.mspx
IPv6 に関する業界のリンク
『Deploying IPv6 Networks』Ciprian P. Popoviciu、Eric Levy-Abegnoli、Patrick Grossetete 著
（ISBN-10:1-58705-210-5; ISBN-13:978-1-58705-210-1）
：
http://www.ciscopress.com/bookstore/product.asp?isbn=1587052105&rl=1
National Security Agency - 『Security for IPv6 on Cisco Routers』：
http://www.nsa.gov/notices/notic00004.cfm?Address=/snac/routers/I33-002R-06.pdf
IETF IPv6 オペレーションズワーキンググループ：
http://www.ietf.org/html.charters/v6ops-charter.html
go6 IPv6 ポータル - IPv6 ナレッジセンター：
http://wiki.go6.net/index.php?title=Main_Page
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
43
設定例
6NET - 大規模な国際的 IPv6 パイロットネットワーク：
http://www.6net.org/
IETF IPv6 ワーキンググループ：
http://www.ietf.org/html.charters/ipv6-charter.html
IETF IPv6 オペレーションズワーキンググループ：
http://www.ietf.org/html.charters/v6ops-charter.html
Internet Protocol, Version 6（IPv6）仕様：
http://www.ietf.org/rfc/rfc2460.txt
『Neighbor Discovery for IPv6』
：
http://www.ietf.org/rfc/rfc2461.txt
『IPv6 Stateless Address Autoconfiguration』：
http://www.ietf.org/rfc/rfc2462.txt
『Transmission of IPv6 Packets over Ethernet Networks』：
http://www.ietf.org/rfc/rfc2464.txt
『Transition Mechanisms for IPv6 Hosts and Routers』：
http://www.ietf.org/rfc/rfc2893.txt
『Privacy Extensions for Stateless Address Autoconfiguration in IPv6』：
http://www.ietf.org/rfc/rfc3041.txt
『IPv6 Addressing Architecture』：
http://www.ietf.org/rfc/rfc4291.txt
Internet Control Message Protocol （ICMPv6）for Internet Protocol Version 6（IPv6）仕様：
http://www.ietf.org/rfc/rfc4443.txt
North American IPv6 Task Force - 『IPv6 Security Technology』論文：
http://www.ipv6forum.org/dl/white/NAv6TF_Security_Report.pdf
エンタープライズ設計アーキテクチャに関する参考資料
エンタープライズ設計アーキテクチャに関する情報は、次の資料を参照してください。
• 『Enterprise Branch Architecture Design Overview』
http://www.cisco.com/univercd/cc/td/doc/solution/enbrover.pdf
• 『Enterprise Branch Security Design Guide』
http://www.cisco.com/univercd/cc/td/doc/solution/e_b_sdc1.pdf
設定例
ここでは、シングルティアおよびデュアルティアプロファイルで使用するルータおよびスイッチ
の設定全体を示します。一部の設定は、このマニュアルで説明されているすべてのプロファイル
に共通であるため、1 回しか示しません。ページ数を削減するために、設定では、使用しないイ
ンターフェイスやシャットダウンされたインターフェイスを省略しています。
シングルティアプロファイル
ここでは、シングルティアプロファイルの設定例を示します。
Branch Networks における IPv6 導入ガイド
44
OL-11819-01-J
設定例
2800-br1-1
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname 2800-br1-1
!
boot-start-marker
boot system flash:c2800nm-adventerprisek9-mz.124-6.T2.bin
boot-end-marker
!
security authentication failure rate 3 log
logging count
logging buffered 8192 debugging
logging rate-limit 5
enable secret 5 $1$ezo2$g3aYrFW2Zeq.kLYRvva4u0
!
no aaa new-model
!
resource policy
!
clock timezone mst -7
no network-clock-participate wic 0
no ip source-route
!
ip nbar port-map custom-03 tcp 5554 9996
ip nbar port-map custom-02 udp 1434
ip nbar port-map custom-01 tcp 3200 3201 3202 3203 3600
ip nbar port-map netbios udp 135 137 138 139 445
ip nbar port-map netbios tcp 137 139 445
ip cef
ip dhcp relay information trust-all
no ip dhcp use vrf connected
!
ip dhcp pool DATA_LAN
network 10.124.1.0 255.255.255.128
dns-server 10.121.10.7
default-router 10.124.1.1
domain-name cisco.com
!
ip dhcp pool VOICE_LAN
network 10.125.1.0 255.255.255.0
dns-server 10.121.10.7
default-router 10.125.1.1
option 150 ip 10.121.10.7
domain-name cisco.com
!
ip dhcp pool PRINTER_LAN
network 10.124.1.128 255.255.255.128
dns-server 10.121.10.7
default-router 10.124.1.129
!
ip ftp source-interface Loopback0
ip ftp username cisco
ip ftp password 7 071D2042490C0B
no ip bootp server
no ip domain lookup
ip domain name cisco.com
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
45
設定例
ip multicast-routing
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh source-interface Loopback0
no ip port-map telnet port tcp 23 description Telnet
ip inspect one-minute high 2000
ip inspect tcp max-incomplete host 100 block-time 0
ip inspect name FW appfw APPFW
ip inspect name FW tcp router-traffic
ip inspect name FW udp router-traffic
ip inspect name FW dns
ip inspect name FW icmp
ip inspect name FW kazaa
ip inspect name FW netbios-dgm
ip inspect name FW netbios-ns
ip inspect name FW netbios-ssn
ip inspect name FW ssh
ip inspect name FW telnet alert on
ip inspect name FW http java-list 10 alert on
ip inspect name FW https
ip inspect name FW ftp
ip inspect name FW parameter max-sessions 1000
ip ips sdf location flash://sdmips.sdf
ip ips deny-action ips-interface
ip ips notify SDEE
ip ips signature 1107 0 disable
ip ips signature 2000 0 disable
ip ips signature 2001 0 disable
ip ips name ceb
login block-for 30 attempts 3 within 200
login delay 2
vpdn enable
!
appfw policy-name APPFW
application http
port-misuse default action allow alarm
request-method rfc default action allow alarm
timeout 60
application im yahoo
service default action allow alarm
application im msn
server deny name msn.cisco.com
timeout 60
alert on
application im aol
service text-chat action allow alarm
!
ipv6 unicast-routing
ipv6 cef
ipv6 inspect one-minute high 2000
ipv6 inspect hashtable-size 2039
ipv6 inspect tcp max-incomplete host 100 block-time 0
ipv6 inspect name v6FW tcp
ipv6 inspect name v6FW icmp
ipv6 inspect name v6FW ftp
ipv6 inspect name v6FW udp
ipv6 dhcp pool DATA_VISTA
dns-server 2001:DB8:CAFE:10:20D:9DFF:FE93:B25D
dns-server 2001:DB8:CAFE:10:51A1:5B1:4A85:B3DA
domain-name cisco.com
!
ipv6 multicast-routing
!
voice-card 0
Branch Networks における IPv6 導入ガイド
46
OL-11819-01-J
設定例
no dspfarm
!
!
key chain ESE
key 1
key-string 7 111B180B101719
!
crypto pki trustpoint TP-self-signed-1729957883
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1729957883
revocation-check none
rsakeypair TP-self-signed-1729957883
!
crypto pki certificate chain TP-self-signed-1729957883
certificate self-signed 01
3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31373239 39353738 3833301E 170D3036 30363134 31353432
33375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 37323939
35373838 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100D428 80941683 0170D8DE 030D2C3C 33A07D6F 6CD1C01F E5356009 24ED5755
D7485842 1C02DB49 A2A51B2B 5A68D212 898A916A A3458FA1 38E6994C F5715130
35AB574D FC8A0C23 6E397EDB 4AAE2A38 1A2CC8D5 547B3745 83D11BCE 69E7F491
090137C4 EA5863C0 2ABB64AF F985967A 2B170738 F4BF28B6 56009BA5 BEEC7C1E
94350203 010001A3 74307230 0F060355 1D130101 FF040530 030101FF 301F0603
551D1104 18301682 14323835 312D6272 312D312E 63697363 6F2E636F 6D301F06
03551D23 04183016 801497B3 EB034DE7 C5481685 6DF51BA1 9C26CFD4 DA17301D
0603551D 0E041604 1497B3EB 034DE7C5 4816856D F51BA19C 26CFD4DA 17300D06
092A8648 86F70D01 01040500 03818100 92D03B85 6E53F61E 3FD536AD 0B5C2C94
25E6A607 DD31170F 236B50F3 8A77685A 548164EC 022D262A EC26695F A26584EB
469EA2AE 52878DA3 18A35708 BE9A1184 59D65E6B 652D8B6F E4392602 2E82F88F
B57277C5 C4DE7908 82844EEA 06D079C1 B8190635 3268AEE8 A196FB1A A606C35C
484DC275 D0F47913 1157FC30 BAFEAE13
quit
username cisco privilege 15 secret 5 $1$4ycA$NSpAnrOgeAIKX/jdDEsfB0
!
class-map match-any BRANCH-BULK-DATA
match access-group name BULK-DATA-APPS
match access-group name BULK-DATA-APPS-V6
class-map match-all SQL-SLAMMER
match protocol custom-02
match packet length min 404 max 404
class-map match-all BULK-DATA
match dscp af11 af12
class-map match-all INTERACTIVE-VIDEO
match dscp af41 af42
class-map match-any CALL-SIGNALLING
match dscp cs3
match dscp af31
class-map match-any BRANCH-TRANSACTIONAL-DATA
match protocol citrix
match protocol ldap
match protocol sqlnet
match protocol http url "*cisco.com"
match protocol custom-01
match access-group name BRANCH-TRANSACTIONAL-V6
class-map match-any BRANCH-MISSION-CRITICAL
match access-group name MISSION-CRITICAL-SERVERS
match access-group name MISSION-CRITICAL-V6
class-map match-any WORMS
match protocol http url "*.ida*"
match protocol http url "*cmd.exe*"
match protocol http url "*root.exe*"
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
47
設定例
match protocol http url "*readme.eml*"
match class-map SQL-SLAMMER
match protocol exchange
match protocol netbios
match protocol custom-03
class-map match-all VOICE
match dscp ef
class-map match-all MISSION-CRITICAL-DATA
match dscp 25
class-map match-any BRANCH-NET-MGMT
match protocol snmp
match protocol syslog
match protocol telnet
match protocol nfs
match protocol dns
match protocol icmp
match protocol tftp
match access-group name BRANCH-NET-MGMT-V6
class-map match-all ROUTING
match dscp cs6
class-map match-all SCAVENGER
match dscp cs1
class-map match-all NET-MGMT
match dscp cs2
class-map match-any BRANCH-SCAVENGER
match protocol napster
match protocol gnutella
match protocol fasttrack
match protocol kazaa2
match access-group name BRANCH-SCAVENGER-V6
class-map match-all TRANSACTIONAL-DATA
match dscp af21 af22
!
policy-map BRANCH-LAN-EDGE-OUT
class class-default
set cos dscp
policy-map BRANCH-WAN-EDGE
class VOICE
priority percent 18
class INTERACTIVE-VIDEO
priority percent 15
class CALL-SIGNALLING
bandwidth percent 5
class ROUTING
bandwidth percent 3
class NET-MGMT
bandwidth percent 2
class MISSION-CRITICAL-DATA
bandwidth percent 15
random-detect dscp-based
class TRANSACTIONAL-DATA
bandwidth percent 12
random-detect dscp-based
class BULK-DATA
bandwidth percent 4
random-detect dscp-based
class SCAVENGER
bandwidth percent 1
class class-default
bandwidth percent 25
random-detect
policy-map BRANCH-LAN-EDGE-IN
class BRANCH-MISSION-CRITICAL
set dscp 25
Branch Networks における IPv6 導入ガイド
48
OL-11819-01-J
設定例
class BRANCH-TRANSACTIONAL-DATA
set dscp af21
class BRANCH-NET-MGMT
set dscp cs2
class BRANCH-BULK-DATA
set dscp af11
class BRANCH-SCAVENGER
set dscp cs1
class WORMS
drop
class class-default
set dscp default
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key CISCO address 172.17.1.3
crypto isakmp key SYSTEMS address 172.17.1.4
crypto isakmp key SYSTEMS address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
crypto ipsec transform-set brb esp-3des esp-sha-hmac
crypto ipsec transform-set brb-back esp-3des esp-sha-hmac
crypto ipsec transform-set HE1 esp-3des esp-sha-hmac
crypto ipsec transform-set HE2 esp-3des esp-sha-hmac
!
crypto ipsec profile dmvpn
set security-association lifetime seconds 300
set transform-set brb
!
crypto ipsec profile dmvpn-back
set security-association lifetime seconds 300
set transform-set brb-back
!
crypto map IPv6-HE1 local-address Serial0/0/0
crypto map IPv6-HE1 1 ipsec-isakmp
set peer 172.17.1.3
set transform-set HE1
match address VPN-TO-HE1
!
crypto map IPv6-HE2 local-address Loopback0
crypto map IPv6-HE2 1 ipsec-isakmp
set peer 172.17.1.4
set transform-set HE2
match address VPN-TO-HE2
!
interface Tunnel1
description DMVPN to HQ Head-end 1
ip address 10.126.1.2 255.255.255.0
ip access-group INET in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1400
ip hold-time eigrp 10 35
no ip next-hop-self eigrp 10
ip pim nbma-mode
ip pim sparse-mode
ip nhrp authentication secret
ip nhrp map multicast dynamic
ip nhrp map multicast 172.17.1.3
ip nhrp map 10.126.1.1 172.17.1.3
ip nhrp network-id 10203
ip nhrp nhs 10.126.1.1
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
49
設定例
ip inspect FW out
ip ips ceb in
ip virtual-reassembly
ip route-cache flow
no ip split-horizon eigrp 10
load-interval 30
delay 500
no ipv6 mfib forwarding
no clns route-cache
tunnel source 172.16.1.2
tunnel mode gre multipoint
tunnel key 123
tunnel protection ipsec profile dmvpn
!
interface Tunnel2
description DMVPN to HQ Head-end 2
ip address 10.127.1.2 255.255.255.0
ip access-group INET-BACK in
no ip unreachables
no ip proxy-arp
ip mtu 1400
ip hold-time eigrp 10 35
no ip next-hop-self eigrp 10
ip pim nbma-mode
ip pim sparse-mode
ip nhrp authentication secret
ip nhrp map multicast dynamic
ip nhrp map multicast 172.17.1.4
ip nhrp map 10.127.1.1 172.17.1.4
ip nhrp network-id 30201
ip nhrp nhs 10.127.1.1
ip inspect FW out
ip ips ceb in
ip virtual-reassembly
ip route-cache flow
no ip split-horizon eigrp 10
load-interval 30
delay 2000
no clns route-cache
tunnel source Dialer1
tunnel destination 172.17.1.4
tunnel key 321
tunnel protection ipsec profile dmvpn-back
!
interface Tunnel3
description IPv6 tunnel to HQ Head-end 1
no ip address
load-interval 30
delay 500
ipv6 address 2001:DB8:CAFE:1261::BAD1:A001/64
ipv6 traffic-filter INET-WAN-v6 in
ipv6 mtu 1400
no ipv6 redirects
no ipv6 unreachables
ipv6 eigrp 1
ipv6 hold-time eigrp 1 35
ipv6 authentication mode eigrp 1 md5
ipv6 authentication key-chain eigrp 1 ESE
ipv6 inspect v6FW out
ipv6 virtual-reassembly
tunnel source Serial0/0/0
tunnel destination 172.17.1.3
tunnel mode ipv6ip
!
Branch Networks における IPv6 導入ガイド
50
OL-11819-01-J
設定例
interface Tunnel4
description IPv6 tunnel to HQ Head-end 2
no ip address
load-interval 30
delay 2000
ipv6 address 2001:DB8:CAFE:1271::BAD1:A001/64
ipv6 traffic-filter INET-WAN-v6 in
ipv6 mtu 1400
no ipv6 redirects
no ipv6 unreachables
ipv6 eigrp 1
ipv6 hold-time eigrp 1 35
ipv6 authentication mode eigrp 1 md5
ipv6 authentication key-chain eigrp 1 ESE
ipv6 inspect v6FW out
ipv6 virtual-reassembly
tunnel source Loopback0
tunnel destination 172.17.1.4
tunnel mode ipv6ip
!
interface Null0
no ip unreachables
!
interface Loopback0
ip address 10.124.100.1 255.255.255.255
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
ipv6 address 2001:DB8:CAFE:1000::BAD1:A001/128
no ipv6 redirects
no ipv6 unreachables
ipv6 eigrp 1
ipv6 virtual-reassembly
!
interface GigabitEthernet0/0
description PPPoE for Backup
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip ips ceb in
ip virtual-reassembly
load-interval 30
duplex half
speed 10
pppoe enable
pppoe-client dial-pool-number 1
max-reserved-bandwidth 100
service-policy output BRANCH-WAN-EDGE
!
interface GigabitEthernet1/0
description to INTERNAL SW-BR1-1
ip address 1.1.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
!
interface GigabitEthernet1/0.100
description DATA VLAN for Computers
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
51
設定例
encapsulation dot1Q 100
ip address 10.124.1.1 255.255.255.128
ip access-group LANout in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip ips ceb in
ip virtual-reassembly
ip policy route-map no_split
no snmp trap link-status
ipv6 address 2001:DB8:CAFE:1100::BAD1:A001/64
ipv6 traffic-filter DATA_LAN-v6 in
no ipv6 redirects
no ipv6 unreachables
ipv6 nd other-config-flag
ipv6 eigrp 1
ipv6 dhcp server DATA_VISTA
ipv6 virtual-reassembly
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
interface GigabitEthernet1/0.200
description to Voice VLAN for IP Phones
encapsulation dot1Q 200
ip address 10.125.1.1 255.255.255.0
ip access-group VOICEout in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip ips ceb in
ip virtual-reassembly
ip policy route-map no_split
no snmp trap link-status
ipv6 address 2001:DB8:CAFE:1200::BAD1:A001/64
ipv6 traffic-filter VOICE_LAN-v6 in
no ipv6 redirects
no ipv6 unreachables
ipv6 eigrp 1
ipv6 virtual-reassembly
service-policy output BRANCH-LAN-EDGE-OUT
!
interface GigabitEthernet1/0.300
description to Printer VLAN
encapsulation dot1Q 300
ip address 10.124.1.129 255.255.255.128
ip access-group PRINTERout in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip ips ceb in
ip virtual-reassembly
ip policy route-map no_split
no snmp trap link-status
ipv6 address 2001:DB8:CAFE:1300::BAD1:A001/64
ipv6 traffic-filter PRINTER_LAN-v6 in
no ipv6 redirects
no ipv6 unreachables
ipv6 eigrp 1
ipv6 virtual-reassembly
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
Branch Networks における IPv6 導入ガイド
52
OL-11819-01-J
設定例
!
interface Serial0/0/0
description to T1 Link Provider (PRIMARY)
ip address 172.16.1.2 255.255.255.252
ip access-group WAN-link in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip ips ceb in
ip virtual-reassembly
ip route-cache flow
load-interval 30
no ipv6 mfib forwarding
clock rate 2016000
dce-terminal-timing-enable
crypto map IPv6-HE1
max-reserved-bandwidth 100
service-policy output BRANCH-WAN-EDGE
!
interface Virtual-Template1
no ip address
max-reserved-bandwidth 100
service-policy output BRANCH-WAN-EDGE
!
interface Dialer1
description PPPoE to BB provider
ip address negotiated
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1400
ip nbar protocol-discovery
ip ips ceb in
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
load-interval 30
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname [email protected]
ppp chap password 7 095E4F071E0005
crypto map IPv6-HE2
max-reserved-bandwidth 100
service-policy output BRANCH-WAN-EDGE
!
router eigrp 10
passive-interface GigabitEthernet0/1.100
passive-interface GigabitEthernet0/1.200
passive-interface GigabitEthernet0/1.300
network 10.0.0.0
no auto-summary
eigrp stub connected summary
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
ip route 0.0.0.0 0.0.0.0 Dialer1 200
!
no ip http server
!
ip access-list extended BULK-DATA-APPS
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
53
設定例
permit tcp any any eq ftp
permit tcp any any eq ftp-data
permit tcp any any eq pop3
permit tcp any any eq 143
ip access-list extended INET
permit eigrp any any
permit icmp any 10.126.1.0 0.0.0.255
permit icmp any 10.126.1.0 0.0.0.255 packet-too-big
permit icmp any 10.126.1.0 0.0.0.255 unreachable
permit icmp any 10.126.1.0 0.0.0.255 echo-reply
permit icmp any 10.126.1.0 0.0.0.255 time-exceeded
permit icmp any 10.124.100.0 0.0.0.255
permit icmp any 10.124.100.0 0.0.0.255 packet-too-big
permit icmp any 10.124.100.0 0.0.0.255 unreachable
permit icmp any 10.124.100.0 0.0.0.255 echo-reply
permit icmp any 10.124.100.0 0.0.0.255 time-exceeded
permit icmp any 10.124.1.0 0.0.0.255
permit icmp any 10.124.1.0 0.0.0.255 packet-too-big
permit icmp any 10.124.1.0 0.0.0.255 unreachable
permit icmp any 10.124.1.0 0.0.0.255 echo-reply
permit icmp any 10.124.1.0 0.0.0.255 time-exceeded
permit icmp any 10.125.1.0 0.0.0.127
permit icmp any 10.125.1.0 0.0.0.127 packet-too-big
permit icmp any 10.125.1.0 0.0.0.127 unreachable
permit icmp any 10.125.1.0 0.0.0.127 echo-reply
permit icmp any 10.125.1.0 0.0.0.127 time-exceeded
permit udp any host 10.124.100.1 eq ntp
permit tcp any host 10.124.100.1 eq telnet
permit tcp any host 10.124.100.1 eq 22
permit ip any 10.125.1.0 0.0.0.255
permit ip any 10.124.1.0 0.0.0.255
permit ip any 10.126.1.0 0.0.0.255
deny
ip host 255.255.255.255 any
deny
ip any any log
ip access-list extended INET-BACK
permit eigrp any any
permit icmp any 10.127.1.0 0.0.0.255
permit icmp any 10.127.1.0 0.0.0.255 packet-too-big
permit icmp any 10.127.1.0 0.0.0.255 unreachable
permit icmp any 10.127.1.0 0.0.0.255 echo-reply
permit icmp any 10.127.1.0 0.0.0.255 time-exceeded
permit icmp any 10.124.100.0 0.0.0.255
permit icmp any 10.124.100.0 0.0.0.255 packet-too-big
permit icmp any 10.124.100.0 0.0.0.255 unreachable
permit icmp any 10.124.100.0 0.0.0.255 echo-reply
permit icmp any 10.124.100.0 0.0.0.255 time-exceeded
permit icmp any 10.124.1.0 0.0.0.255
permit icmp any 10.124.1.0 0.0.0.255 packet-too-big
permit icmp any 10.124.1.0 0.0.0.255 unreachable
permit icmp any 10.124.1.0 0.0.0.255 echo-reply
permit icmp any 10.124.1.0 0.0.0.255 time-exceeded
permit icmp any 10.125.1.0 0.0.0.127
permit icmp any 10.125.1.0 0.0.0.127 packet-too-big
permit icmp any 10.125.1.0 0.0.0.127 unreachable
permit icmp any 10.125.1.0 0.0.0.127 echo-reply
permit icmp any 10.125.1.0 0.0.0.127 time-exceeded
permit udp any host 10.124.100.1 eq ntp
permit tcp any host 10.124.100.1 eq telnet
permit tcp any host 10.124.100.1 eq 22
permit ip any 10.125.1.0 0.0.0.255
permit ip any 10.124.1.0 0.0.0.255
permit ip any 10.127.1.0 0.0.0.255
deny
ip host 255.255.255.255 any
deny
ip any any log
Branch Networks における IPv6 導入ガイド
54
OL-11819-01-J
設定例
ip access-list extended LANout
permit udp host 0.0.0.0 host 255.255.255.255
permit ip 10.124.1.0 0.0.0.127 any
deny
ip any any log
ip access-list extended MGMT-IN-v4
permit tcp 10.120.0.0 0.0.255.255 any
permit tcp 10.121.0.0 0.0.255.255 any
permit tcp 10.122.0.0 0.0.255.255 any
deny
ip any any log-input
ip access-list extended MISSION-CRITICAL-SERVERS
permit ip any 10.121.10.0 0.0.0.255
permit ip any 10.121.11.0 0.0.0.255
permit ip any 10.121.12.0 0.0.0.255
ip access-list extended PPPoE-BACK
permit esp any any
permit gre any any
permit udp host 172.17.1.4 any eq isakmp
permit icmp host 172.17.1.4 any
permit icmp host 172.17.1.4 any packet-too-big
permit icmp host 172.17.1.4 any unreachable
permit icmp any any echo-reply
permit icmp any any time-exceeded
deny
tcp any any
deny
udp any any
deny
ip host 255.255.255.255 any
deny
ip any any
ip access-list extended PRINTERout
permit udp host 0.0.0.0 host 255.255.255.255
permit ip 10.124.1.128 0.0.0.127 any
deny
ip any any
ip access-list extended VOICEout
permit udp host 0.0.0.0 host 255.255.255.255
permit ip 10.125.1.0 0.0.0.127 any
deny
ip any any
ip access-list extended VPN-TO-HE1
permit 41 host 172.16.1.2 host 172.17.1.3
ip access-list extended VPN-TO-HE2
permit 41 host 10.124.100.1 host 172.17.1.4
ip access-list extended WAN-link
permit esp any any
permit gre any any
permit udp any host 172.16.1.2 eq isakmp
permit icmp any host 172.16.1.2
permit icmp any host 172.16.1.2 packet-too-big
permit icmp any host 172.16.1.2 unreachable
permit udp any host 10.124.100.1 eq isakmp
permit icmp any host 10.124.100.1
permit icmp any host 10.124.100.1 packet-too-big
permit icmp any host 10.124.100.1 unreachable
permit icmp any any echo-reply
permit icmp any any time-exceeded
deny
tcp any any
deny
udp any any
deny
ip host 255.255.255.255 any
deny
ip any any
ip access-list extended WAN_TRAFFIC
deny
ip any 10.124.1.0 0.0.0.255
deny
ip any 10.125.1.0 0.0.0.127
permit ip any any
!
access-list 10 permit 10.126.1.0
access-list 10 permit 172.16.1.0
dialer-list 1 protocol ip permit
!
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
55
設定例
ipv6 router eigrp 1
router-id 10.124.100.1
stub connected summary
no shutdown
passive-interface GigabitEthernet1/0.100
passive-interface GigabitEthernet1/0.200
passive-interface GigabitEthernet1/0.300
passive-interface Loopback0
!
route-map no_split permit 10
match ip address WAN_TRAFFIC
set ip next-hop 172.17.100.3 172.17.100.4
!
ipv6 access-list MGMT-IN
remark permit mgmt only to loopback
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:1000::BAD1:A001
deny ipv6 any any log-input
!
ipv6 access-list DATA_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:1100::/64
permit icmp 2001:DB8:CAFE:1100::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:1100::64
permit ipv6 2001:DB8:CAFE:1100::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT DHCPv6 ALL-DHCP-AGENTS REQUESTS FROM HOSTS
permit udp any eq 546 any eq 547
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
ipv6 access-list VOICE_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:1200::/64
permit icmp 2001:DB8:CAFE:1200::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:1200::64
permit ipv6 2001:DB8:CAFE:1200::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT DHCPv6 ALL-DHCP-AGENTS REQUESTS FROM HOSTS
permit udp any eq 546 any eq 547
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
ipv6 access-list PRINTER_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX CAFE:1300::/64
permit icmp 2001:DB8:CAFE:1300::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX CAFE:1300::64
permit ipv6 2001:DB8:CAFE:1300::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT DHCPv6 ALL-DHCP-AGENTS REQUESTS FROM HOSTS
permit udp any eq 546 any eq 547
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
ipv6 access-list INET-WAN-v6
remark PERMIT EIGRP for IPv6
permit 88 any any
remark PERMIT PIM for IPv6
permit 103 any any
remark PERMIT ALL ICMPv6 PACKETS SOURCED USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT SSH TO LOCAL LOOPBACK
permit tcp any host 2001:DB8:CAFE:1000::BAD1:A001 eq 22
remark PERMIT ALL ICMPv6 PACKETS TO LOCAL LOOPBACK
Branch Networks における IPv6 導入ガイド
56
OL-11819-01-J
設定例
permit icmp any host 2001:DB8:CAFE:1000::BAD1:A001
remark PERMIT ALL ICMPv6 PACKETS TO TUNNEL3
permit icmp any host 2001:DB8:CAFE:1261::BAD1:A001
remark PERMIT ALL ICMPv6 PACKETS TO TUNNEL4
permit icmp any host 2001:DB8:CAFE:1271::BAD1:A001
remark PERMIT ALL ICMPv6 PACKETS TO DATA VLAN
permit icmp any 2001:DB8:CAFE:1100::/64
remark PERMIT ALL ICMPv6 PACKETS TO VOICE VLAN
permit icmp any 2001:DB8:CAFE:1200::/64
remark PERMIT ALL ICMPv6 PACKETS TO PRINTER VLAN
permit icmp any 2001:DB8:CAFE:1300::/64
remark PERMIT ALL IPv6 PACKETS TO DATA VLAN
permit ipv6 any 2001:DB8:CAFE:1100::/64
remark PERMIT ALL IPv6 PACKETS TO VOICE VLAN
permit ipv6 any 2001:DB8:CAFE:1200::/64
remark PERMIT ALL IPv6 PACKETS TO PRINTER VLAN
permit ipv6 any 2001:DB8:CAFE:1300::/64
deny ipv6 any any log
!
ipv6 access-list BULK-DATA-APPS-V6
permit tcp any any eq ftp
permit tcp any any eq ftp-data
permit tcp any any eq pop3
permit tcp any any eq 143
!
ipv6 access-list BRANCH-TRANSACTIONAL-V6
remark Microsoft RDP traffic-mark dscp af21
permit tcp any any eq 3389
permit udp any any eq 3389
!
ipv6 access-list MISSION-CRITICAL-V6
remark Data-Center traffic-mark dscp 25
permit ipv6 any 2001:DB8:CAFE:10::/64
permit ipv6 any 2001:DB8:CAFE:11::/64
!
ipv6 access-list BRANCH-SCAVENGER-V6
remark Gnutella, Kazaa, Doom, iTunes traffic-mark dscp cs1
permit tcp any any range 6346 6347
permit udp any any range 6346 6347
permit tcp any any eq 1214
permit tcp any any eq 666
permit udp any any eq 666
permit tcp any any eq 3689
permit udp any any eq 3689
!
ipv6 access-list BRANCH-NET-MGMT-V6
remark Common management traffic plus vmware console-mark dscp cs2
permit udp any any eq syslog
permit udp any any eq snmp
permit tcp any any eq telnet
permit tcp any any eq 22
permit tcp any any eq 2049
permit udp any any eq 2049
permit tcp any any eq domain
permit icmp any any
permit udp any any eq tftp
permit tcp any any eq 902
!
control-plane
!
banner login ^C
Unauthorized access to this device and/or network is prohibited.
^C
!
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
57
設定例
line con 0
session-timeout 3
password 7 021405550C031D
logging synchronous
login local
transport output none
line aux 0
session-timeout 3
login local
line vty 0 4
session-timeout 3
access-class MGMT-IN-v4 in
privilege level 15
password 7 15000A02032F39
ipv6 access-class MGMT-IN in
login local
exec prompt timestamp
transport input ssh
transport output all
line vty 5 15
session-timeout 3
access-class MGMT-IN-v4 in
privilege level 15
ipv6 access-class MGMT-IN in
login local
transport input ssh
!
scheduler allocate 20000 1000
ntp clock-period 17179952
ntp server 172.17.100.3
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
sw-br1-1
version 12.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname sw-br1-1
!
logging count
logging buffered 8192 debugging
logging rate-limit 5
no logging console
enable secret 5 $1$QP5H$2MrLruxrlLtWr5Av7kJr..
!
username cisco password 7 15000A02032F39
no aaa new-model
clock timezone mst -7
!
vtp domain ese_branch
vtp mode transparent
ip subnet-zero
ip routing
Branch Networks における IPv6 導入ガイド
58
OL-11819-01-J
設定例
no ip domain-lookup
ip domain-name cisco.com
ip dhcp smart-relay
!
ip dhcp snooping vlan 100,300
ip dhcp snooping database flash:dhcp.txt
ip dhcp snooping database timeout 10
ip dhcp snooping
ip ftp source-interface Vlan100
ip ftp username shmcfarl
ip ftp password 7 08334D400E1C17
ip ssh time-out 60
ip ssh authentication-retries 2
ip arp inspection vlan 100,200,300
ip arp inspection validate src-mac
ip arp inspection log-buffer entries 100
ip arp inspection log-buffer logs 20 interval 120
login block-for 30 attempts 3 within 200
login delay 2
ipv6 mld snooping
!
mls qos map policed-dscp 0 10 18 24 25 34 to 8
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue output cos-map queue 1 threshold 3 5
mls qos srr-queue output cos-map queue 2 threshold 1 2 4
mls qos srr-queue output cos-map queue 2 threshold 2 3
mls qos srr-queue output cos-map queue 2 threshold 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 0
mls qos srr-queue output cos-map queue 4 threshold 3 1
mls qos srr-queue output dscp-map queue 1 threshold 3 46
mls qos srr-queue output dscp-map queue 2 threshold 1 16 18 20 22 25 32 34 36
mls qos srr-queue output dscp-map queue 2 threshold 1 38
mls qos srr-queue output dscp-map queue 2 threshold 2 24 26
mls qos srr-queue output dscp-map queue 2 threshold 3 48 56
mls qos srr-queue output dscp-map queue 3 threshold 3 0
mls qos srr-queue output dscp-map queue 4 threshold 1 8
mls qos srr-queue output dscp-map queue 4 threshold 3 10 12 14
mls qos queue-set output 1 threshold 2 70 80 100 100
mls qos queue-set output 1 threshold 4 40 100 100 100
mls qos
!
crypto pki trustpoint TP-self-signed-1526307456
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1526307456
revocation-check none
rsakeypair TP-self-signed-1526307456
!
!
crypto ca certificate chain TP-self-signed-1526307456
certificate self-signed 01
30820296 308201FF A0030201 02020101 300D0609 2A864886 F70D0101 04050030
56312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31353236 33303734 35363123 30210609 2A864886 F70D0109
02161433 3735302D 6272312D 312E6369 73636F2E 636F6D30 1E170D39 33303331
38323134 3134355A 170D3230 30313031 30303030 30305A30 56312F30 2D060355
04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D
31353236 33303734 35363123 30210609 2A864886 F70D0109 02161433 3735302D
6272312D 312E6369 73636F2E 636F6D30 819F300D 06092A86 4886F70D 01010105
0003818D 00308189 02818100 ADC25240 DC815D60 CBBA6018 44FDD27B 45EF2AD8
0F94DF03 19300913 B54A5166 06CCE023 1C68F289 886C275D F65360BF 715FC1E3
960C00B3 E83D12D2 99610A5F C5592CEE 0445B2B3 DD3D2CE3 B4781F2E 6CD2F8FF
F83ADB25 3379A92F E84FFD92 8A3F8309 6DE6868F 74227CDD 4703E13C 7149E5D5
7FC4E7A2 6C648937 014AB545 02030100 01A37430 72300F06 03551D13 0101FF04
05300301 01FF301F 0603551D 11041830 16821433 3735302D 6272312D 312E6369
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
59
設定例
73636F2E
BCF64E27
F64E273D
5E78A05B
B27DBA5C
FF1D788D
8A545231
quit
636F6D30
3D019CB3
019CB330
2023622E
98E82419
731254E3
9917C72B
1F060355
301D0603
0D06092A
508BD657
2512CCDE
55484C63
1E2754CB
1D230418
551D0E04
864886F7
8DF56A5F
C118EAC4
69FB2B39
EF93926C
30168014
1604148A
0D010104
89671B36
B73D12FF
781F75F0
B264803E
8AE28F7E
E28F7E81
05000381
F05231BE
BBE53D2B
C01D3373
2722306C
81F0F656
F0F65689
81000E0D
A8CE35E3
20CE42A1
DACFB86B
C749
892AE117
2AE117BC
5A24A796
DD87E668
8D5682F4
E9948967
!
errdisable recovery cause link-flap
errdisable recovery interval 60
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree portfast bpduguard default
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 100
name DATA
!
vlan 200
name VOICE
!
vlan 300
name PRINTERS
!
class-map match-all DVLAN-PC-VIDEO
match access-group name DVLAN-PC-VIDEO
class-map match-all VVLAN-voice
match access-group name VVLAN-voice
class-map match-all VVLAN-any
match access-group name VVLAN-any
class-map match-all DVLAN-Transactional-Data
match access-group name DVLAN-Transactional-Data
class-map match-all DVLAN-Mission-Critical-Data
match access-group name DVLAN-Mission-Critical-Data
class-map match-all DVLAN-Bulk-Data
match access-group name DVLAN-Bulk-Data
class-map match-all VVLAN-call-signalling
match access-group name VVLAN-call-signalling
!
policy-map ipphone+pc
class VVLAN-voice
set dscp ef
police 128000 8000 exceed-action drop
class VVLAN-call-signalling
set dscp cs3
police 32000 8000 exceed-action policed-dscp-transmit
class VVLAN-any
set dscp default
police 32000 8000 exceed-action policed-dscp-transmit
class DVLAN-PC-VIDEO
set dscp af41
police 48000 8000 exceed-action policed-dscp-transmit
class DVLAN-Mission-Critical-Data
set dscp 25
police 5000000 8000 exceed-action policed-dscp-transmit
class DVLAN-Transactional-Data
set dscp af21
police 5000000 8000 exceed-action policed-dscp-transmit
class DVLAN-Bulk-Data
Branch Networks における IPv6 導入ガイド
60
OL-11819-01-J
設定例
set dscp af11
police 5000000 8000 exceed-action policed-dscp-transmit
!
interface FastEthernet1/0/2
description TRUNK to 2800-br1-1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,200,300
switchport mode trunk
switchport port-security aging time 10
ip arp inspection trust
load-interval 30
srr-queue bandwidth share 1 70 25 5
srr-queue bandwidth shape 3 0 0 0
priority-queue out
mls qos trust dscp
ip dhcp snooping limit rate 10
ip dhcp snooping trust
!
interface FastEthernet1/0/3
description PHONE + PC
switchport access vlan 100
switchport mode access
switchport voice vlan 200
switchport port-security maximum 2
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
ip arp inspection limit rate 100
load-interval 30
srr-queue bandwidth share 1 70 25 5
srr-queue bandwidth shape 3 0 0 0
priority-queue out
mls qos trust device cisco-phone
spanning-tree portfast
spanning-tree bpduguard enable
ip verify source
ip dhcp snooping limit rate 100
!
interface Vlan100
description VLAN100 for PCs and Switch management
ip address 10.124.1.126 255.255.255.128
no ip redirects
no ip unreachables
no ip proxy-arp
ipv6 address 2001:DB8:CAFE:1100::BAD2:F126/64
no ipv6 redirects
no ipv6 unreachables
!
!
ip classless
no ip http server
!
ip access-list extended DVLAN-Bulk-Data
permit tcp any any eq 143
permit tcp any any eq 220
ip access-list extended DVLAN-Mission-Critical-Data
permit tcp any any range 3200 3203
permit tcp any any eq 3600
permit tcp any any range 2000 2002
ip access-list extended DVLAN-PC-VIDEO
permit udp any any range 16384 32767
ip access-list extended DVLAN-Transactional-Data
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
61
設定例
permit tcp any any eq 1352
ip access-list extended MGMT-IN-v4
permit tcp 10.120.0.0 0.0.255.255 any
permit tcp 10.121.0.0 0.0.255.255 any
permit tcp 10.122.0.0 0.0.255.255 any
permit tcp 10.124.1.0 0.0.0.255 any
permit tcp 10.124.100.0 0.0.0.255 any
deny
ip any any log-input
ip access-list extended VVLAN-any
permit ip 10.125.1.0 0.0.0.255 any
ip access-list extended VVLAN-call-signalling
permit tcp 10.125.1.0 0.0.0.255 any range 2000 2002 dscp af31
permit tcp 10.125.1.0 0.0.0.255 any range 2000 2002 dscp cs3
ip access-list extended VVLAN-voice
permit udp 10.125.1.0 0.0.0.255 any range 16384 32767 dscp ef
!
ipv6 route ::/0 Vlan100 FE80::217:94FF:FE90:2829
!
ipv6 access-list MGMT-IN
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:1100::BAD2:F126
deny ipv6 any any log-input
!
control-plane
!
banner login ^C
Unauthorized access to this device and/or network is prohibited.
^C
!
line con 0
session-timeout 3
password 7 021405550C031D
logging synchronous
login local
transport output none
line vty 0 4
session-timeout 3
access-class MGMT-IN-v4 in
password 7 021405550C031D
ipv6 access-class MGMT-IN in
logging synchronous
login local
exec prompt timestamp
transport input ssh
line vty 5 15
session-timeout 3
access-class MGMT-IN-v4 in
password 7 0101070A5C0E14
ipv6 access-class MGMT-IN in
login local
exec prompt timestamp
transport input ssh
!
end
シングルティアプロファイルの 7206 VPN 設定
（注）
このセクションは参考用です。
Branch Networks における IPv6 導入ガイド
62
OL-11819-01-J
設定例
7206-1
crypto isakmp policy 1
encr 3des
authentication pre-share
!
crypto isakmp policy 2
encr 3des
authentication pre-share
crypto isakmp key CISCO address 172.16.1.2
crypto isakmp key SYSTEMS address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
crypto ipsec transform-set brb esp-3des esp-sha-hmac
crypto ipsec transform-set STRONG esp-3des esp-sha-hmac
!
crypto ipsec profile dmvpn
set security-association lifetime seconds 300
set transform-set brb
!
!
crypto map STATIC-MAP-BR1 local-address GigabitEthernet0/1
crypto map STATIC-MAP-BR1 2 ipsec-isakmp
set peer 172.16.1.2
set transform-set STRONG
set pfs group2
match address VPN-TO-BR1
!
interface Tunnel1
ip address 10.126.1.1 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 10
ip pim dr-priority 10000
ip nhrp authentication secret
ip nhrp map multicast dynamic
ip nhrp network-id 10203
no ip split-horizon eigrp 10
delay 500
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key 123
tunnel protection ipsec profile dmvpn
!
interface Tunnel3
description to VPN to BR1
no ip address
delay 500
ipv6 address 2001:DB8:CAFE:1261::ACE1:F000/64
ipv6 mtu 1400
ipv6 eigrp 1
ipv6 hold-time eigrp 1 35
ipv6 authentication mode eigrp 1 md5
ipv6 authentication key-chain eigrp 1 ESE
tunnel source GigabitEthernet0/1
tunnel destination 172.16.1.2
tunnel mode ipv6ip
!
interface Loopback0
ip address 172.17.100.3 255.255.255.255
!
interface GigabitEthernet0/1
description to 7304-1/2 ISP
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
63
設定例
ip address 172.17.1.3 255.255.255.0
duplex auto
speed auto
media-type rj45
no negotiation auto
crypto map STATIC-MAP-BR1
!
router eigrp 10
redistribute static
network 10.0.0.0
no auto-summary
!
ip access-list extended VPN-TO-BR1
permit 41 host 172.17.1.3 host 172.16.1.2
!
ipv6 router eigrp 1
no shutdown
distribute-list prefix-list DEFAULT out Tunnel3
redistribute static
!
ipv6 prefix-list DEFAULT seq 5 permit ::/0
7206-2
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key SYSTEMS address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set BRB-BACK esp-3des esp-sha-hmac
crypto ipsec transform-set BR1-V6-BACK esp-3des esp-sha-hmac
!
crypto ipsec profile DMVPN
set security-association lifetime seconds 120
set transform-set BRB-BACK
!
crypto dynamic-map DYNO 10
set transform-set BR1-V6-BACK
match address VPN-TO-BR1v6
!
crypto map dynamic-map 10 ipsec-isakmp dynamic DYNO
!
interface Tunnel1
ip address 10.127.1.1 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 10
ip pim dr-priority 10000
ip nhrp authentication secret
ip nhrp map multicast dynamic
ip nhrp network-id 30201
no ip split-horizon eigrp 10
delay 2000
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key 321
tunnel protection ipsec profile DMVPN
!
interface Tunnel2
description IPv6 to BR1 VPN
Branch Networks における IPv6 導入ガイド
64
OL-11819-01-J
設定例
no ip address
delay 2000
ipv6 address 2001:DB8:CAFE:1271::FFFF/64
ipv6 mtu 1400
ipv6 eigrp 1
ipv6 hold-time eigrp 1 35
ipv6 authentication mode eigrp 1 md5
ipv6 authentication key-chain eigrp 1 ESE
tunnel source GigabitEthernet0/1
tunnel destination 10.124.100.1
tunnel mode ipv6ip
!
interface Loopback0
ip address 172.17.100.4 255.255.255.255
!
interface GigabitEthernet0/1
description to 7304-1/2 ISP
ip address 172.17.1.4 255.255.255.0
duplex auto
speed auto
media-type rj45
no negotiation auto
crypto map dynamic-map
!
router eigrp 10
redistribute static
network 10.0.0.0
distribute-list BR1-BACK out GigabitEthernet0/2
distribute-list BR1-BACK out Tunnel1
no auto-summary
!
ip access-list standard BR1-BACK
deny
10.124.100.1
permit any
!
ip access-list extended VPN-TO-BR1v6
permit 41 host 172.17.1.4 host 10.124.100.1
!
ipv6 router eigrp 1
no shutdown
distribute-list prefix-list DEFAULT out Tunnel2
redistribute static
!
ipv6 prefix-list DEFAULT seq 5 permit ::/0
デュアルティアプロファイル
ここでは、デュアルティアプロファイルの設定例を示します。
2800-br2-1
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
65
設定例
hostname 2800-br2-1
!
boot-start-marker
boot system flash:c2801-adventerprisek9-mz.124-9.T.bin
boot-end-marker
!
security authentication failure rate 3 log
logging count
logging buffered 8192 debugging
logging rate-limit 5
no logging console
enable secret 5 $1$2Z9T$IB1McBi.bL1bzXSUnC0BQ0
!
no aaa new-model
!
resource policy
!
clock timezone mst -7
no ip source-route
ip cef
!
!
ip nbar port-map custom-03 tcp 5554 9996
ip nbar port-map custom-02 udp 1434
ip nbar port-map custom-01 tcp 3200 3201 3202 3203 3600
ip nbar port-map netbios udp 135 137 138 139 445
ip nbar port-map netbios tcp 137 139 445
ip dhcp relay information trust-all
no ip dhcp use vrf connected
!
ip dhcp pool DATA_LAN
network 10.124.2.0 255.255.255.128
dns-server 10.121.10.7
default-router 10.124.2.1
domain-name cisco.com
!
ip dhcp pool VOICE_LAN
network 10.125.2.0 255.255.255.0
dns-server 10.121.10.7
default-router 10.125.2.1
option 150 ip 10.121.10.7
domain-name cisco.com
!
ip dhcp pool PRINTER_LAN
network 10.124.2.128 255.255.255.128
dns-server 10.121.10.7
default-router 10.124.2.129
!
ip ftp source-interface FastEthernet0/1
ip ftp username cisco
ip ftp password 7 104D000A0618
no ip bootp server
no ip domain lookup
ip domain name cisco.com
ip multicast-routing
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh source-interface FastEthernet0/1
login block-for 30 attempts 3 within 200
login delay 2
ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool DATA_VISTA
dns-server 2001:DB8:CAFE:10:20D:9DFF:FE93:B25D
Branch Networks における IPv6 導入ガイド
66
OL-11819-01-J
設定例
dns-server 2001:DB8:CAFE:10:51A1:5B1:4A85:B3DA
domain-name cisco.com
!
ipv6 multicast-routing
!
voice-card 0
!
key chain ESE
key 1
key-string 7 04490A0808245E
!
crypto pki trustpoint TP-self-signed-2525156842
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2525156842
revocation-check none
rsakeypair TP-self-signed-2525156842
!
crypto pki certificate chain TP-self-signed-2525156842
certificate self-signed 01
3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32353235 31353638 3432301E 170D3036 30373036 31373333
30375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 35323531
35363834 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100CC4D BB3D0B65 93A1B38F 92FB7F23 5F5B37C4 8DE04BDA BAF6D89B 5E5CCDBE
A08447BA 0AF75EBE EDD2181F 1BA30448 A4E2AA6F 93E71235 FD3A220E 948120C0
BAFA03DA 0368CBB6 C9260DE2 BF118FEE 24C5C09F FB51267C 756C4D9B C9F3EE05
E8A8EFC3 61F3D318 61994198 30C7E26C 49DF60AE ADFE980C 6A2EC257 4940B018
61390203 010001A3 74307230 0F060355 1D130101 FF040530 030101FF 301F0603
551D1104 18301682 14323830 312D6272 322D312E 63697363 6F2E636F 6D301F06
03551D23 04183016 80142819 D80AF17B E5C3D667 18E283AF 61089A66 3370301D
0603551D 0E041604 142819D8 0AF17BE5 C3D66718 E283AF61 089A6633 70300D06
092A8648 86F70D01 01040500 03818100 1364BA90 747BF961 9FAA286F 4DCCCF58
03EFAA0F 394352F6 86FBA797 8849D048 EA252F3F C3D4CDA3 E0FEA4C0 C537CE44
5DB08E2D 176FFC8D 26D124AB F9B34FE4 61D753B8 241E17A1 A59974D2 4D7FC267
979A7DFB 10CC4C61 82A7F53B E1D7328B 670D940E 58E33140 97103B60 5F430C32
E616F9E8 85D0D5E9 0AAF403E EED5680F
quit
username cisco privilege 15 secret 5 $1$2on7$TSSIMoo25tSj5./ycyEav0
!
class-map match-any BRANCH-BULK-DATA
match access-group name BULK-DATA-APPS
match access-group name BULK-DATA-APPS-V6
class-map match-all SQL-SLAMMER
match protocol custom-02
match packet length min 404 max 404
class-map match-all BULK-DATA
match dscp af11 af12
class-map match-all INTERACTIVE-VIDEO
match dscp af41 af42
class-map match-any CALL-SIGNALLING
match dscp cs3
match dscp af31
class-map match-any BRANCH-TRANSACTIONAL-DATA
match protocol citrix
match protocol ldap
match protocol sqlnet
match protocol http url "*cisco.com"
match protocol custom-01
match access-group name BRANCH-TRANSACTIONAL-V6
class-map match-any BRANCH-MISSION-CRITICAL
match access-group name MISSION-CRITICAL-SERVERS
match access-group name MISSION-CRITICAL-V6
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
67
設定例
class-map match-any WORMS
match protocol http url "*.ida*"
match protocol http url "*cmd.exe*"
match protocol http url "*root.exe*"
match protocol http url "*readme.eml*"
match class-map SQL-SLAMMER
match protocol exchange
match protocol netbios
match protocol custom-03
class-map match-all VOICE
match dscp ef
class-map match-all MISSION-CRITICAL-DATA
match dscp 25
class-map match-any BRANCH-NET-MGMT
match protocol snmp
match protocol syslog
match protocol telnet
match protocol nfs
match protocol dns
match protocol icmp
match protocol tftp
match access-group name BRANCH-NET-MGMT-V6
class-map match-all ROUTING
match dscp cs6
class-map match-all SCAVENGER
match dscp cs1
class-map match-all NET-MGMT
match dscp cs2
class-map match-any BRANCH-SCAVENGER
match protocol napster
match protocol gnutella
match protocol fasttrack
match protocol kazaa2
match access-group name BRANCH-SCAVENGER-V6
class-map match-all TRANSACTIONAL-DATA
match dscp af21 af22
!
policy-map BRANCH-LAN-EDGE-OUT
class class-default
set cos dscp
policy-map BRANCH-WAN-EDGE
class VOICE
priority percent 18
class INTERACTIVE-VIDEO
priority percent 15
class CALL-SIGNALLING
bandwidth percent 5
class ROUTING
bandwidth percent 3
class NET-MGMT
bandwidth percent 2
class MISSION-CRITICAL-DATA
bandwidth percent 15
random-detect dscp-based
class TRANSACTIONAL-DATA
bandwidth percent 12
random-detect dscp-based
class BULK-DATA
bandwidth percent 4
random-detect dscp-based
class SCAVENGER
bandwidth percent 1
class class-default
bandwidth percent 25
Branch Networks における IPv6 導入ガイド
68
OL-11819-01-J
設定例
random-detect
policy-map WAN-EDGE-FRTS
class class-default
shape average 1460000 14600 0
service-policy BRANCH-WAN-EDGE
policy-map BRANCH-LAN-EDGE-IN
class BRANCH-MISSION-CRITICAL
set dscp 25
class BRANCH-TRANSACTIONAL-DATA
set dscp af21
class BRANCH-NET-MGMT
set dscp cs2
class BRANCH-BULK-DATA
set dscp af11
class BRANCH-SCAVENGER
set dscp cs1
class WORMS
drop
class class-default
set dscp default
!
interface Null0
no ip unreachables
!
interface Loopback0
ip address 10.124.102.1 255.255.255.255
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
ipv6 address 2001:DB8:CAFE:2000::BAD1:1010/128
no ipv6 redirects
no ipv6 unreachables
ipv6 eigrp 1
!
interface FastEthernet0/0.100
description DATA VLAN for PCs
encapsulation dot1Q 100
ip address 10.124.2.2 255.255.255.128
ip access-group DATA_LAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ipv6 address 2001:DB8:CAFE:2100::BAD1:1010/64
ipv6 traffic-filter DATA_LAN-v6 in
no ipv6 redirects
no ipv6 unreachables
ipv6 nd other-config-flag
ipv6 dhcp server DATA_VISTA
ipv6 eigrp 1
standby version 2
standby 101 ip 10.124.2.1
standby 101 priority 120
standby 101 preempt delay minimum 30
standby 101 authentication ese
standby 101 track Serial0/1/0.17 90
standby 201 ipv6 autoconfig
standby 201 priority 120
standby 201 preempt delay minimum 30
standby 201 authentication ese
standby 201 track Serial0/1/0.17 90
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
69
設定例
interface FastEthernet0/0.200
description Voice VLAN for IP Phones
encapsulation dot1Q 200
ip address 10.125.2.2 255.255.255.0
ip access-group VOICE_LAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ipv6 address 2001:DB8:CAFE:2200::BAD1:1010/64
ipv6 traffic-filter VOICE_LAN-v6 in
no ipv6 redirects
no ipv6 unreachables
ipv6 eigrp 1
standby version 2
standby 102 ip 10.125.2.1
standby 102 priority 120
standby 102 preempt delay minimum 30
standby 102 authentication ese
standby 102 track Serial0/1/0.17 90
standby 202 ipv6 autoconfig
standby 202 priority 120
standby 202 preempt delay minimum 30
standby 202 authentication ese
standby 202 track Serial0/1/0.17 90
service-policy output BRANCH-LAN-EDGE-OUT
!
interface FastEthernet0/0.300
description PRINTER VLAN
encapsulation dot1Q 300
ip address 10.124.2.130 255.255.255.128
ip access-group PRINTER_LAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ipv6 address 2001:DB8:CAFE:2300::BAD1:1010/64
ipv6 traffic-filter PRINTER_LAN-v6 in
no ipv6 redirects
no ipv6 unreachables
ipv6 eigrp 1
standby version 2
standby 103 ip 10.124.2.129
standby 103 priority 120
standby 103 preempt delay minimum 30
standby 103 authentication ese
standby 103 track Serial0/1/0.17 90
standby 203 ipv6 autoconfig
standby 203 priority 120
standby 203 preempt delay minimum 30
standby 203 authentication ese
standby 203 track Serial0/1/0.17 90
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
interface Serial0/1/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation frame-relay
ip route-cache flow
no ipv6 mfib forwarding
no keepalive
max-reserved-bandwidth 100
!
Branch Networks における IPv6 導入ガイド
70
OL-11819-01-J
設定例
interface Serial0/1/0.17 point-to-point
description TO FRAME-RELAY PROVIDER
ip address 10.126.2.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ipv6 address 2001:DB8:CAFE:1262::BAD1:1010/64
ipv6 eigrp 1
ipv6 hold-time eigrp 1 35
ipv6 authentication mode eigrp 1 md5
ipv6 authentication key-chain eigrp 1 ESE
frame-relay interface-dlci 17
class QOS-BR2-MAP
!
router eigrp 10
passive-interface FastEthernet0/0.100
passive-interface FastEthernet0/0.200
passive-interface FastEthernet0/0.300
network 10.0.0.0
no auto-summary
eigrp stub connected summary
!
no ip http server
!
ip access-list extended BULK-DATA-APPS
permit tcp any any eq ftp
permit tcp any any eq ftp-data
permit tcp any any eq pop3
permit tcp any any eq 143
ip access-list extended DATA_LAN
permit udp host 0.0.0.0 host 255.255.255.255
permit ip 10.124.2.0 0.0.0.127 any
deny
ip any any log
ip access-list extended MGMT-IN-v4
permit tcp 10.120.0.0 0.0.255.255 any
permit tcp 10.121.0.0 0.0.255.255 any
permit tcp 10.122.0.0 0.0.255.255 any
deny
ip any any log-input
ip access-list extended MISSION-CRITICAL-SERVERS
permit ip any 10.121.10.0 0.0.0.255
permit ip any 10.121.11.0 0.0.0.255
permit ip any 10.121.12.0 0.0.0.255
ip access-list extended PRINTER_LAN
permit udp host 0.0.0.0 host 255.255.255.255
permit ip 10.124.2.128 0.0.0.127 any
deny
ip any any log
ip access-list extended VOICE_LAN
permit udp host 0.0.0.0 host 255.255.255.255
permit ip 10.125.2.0 0.0.0.255 any
deny
ip any any log
!
!
map-class frame-relay QOS-BR2-MAP
service-policy output WAN-EDGE-FRTS
access-list 25 permit 10.121.10.0 0.0.0.255
ipv6 router eigrp 1
router-id 10.124.102.1
stub connected summary
no shutdown
passive-interface FastEthernet0/0.100
passive-interface FastEthernet0/0.200
passive-interface FastEthernet0/0.300
passive-interface Loopback0
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
71
設定例
!
ipv6 access-list DATA_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2100::/64
permit icmp 2001:DB8:CAFE:2100::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2100::64
permit ipv6 2001:DB8:CAFE:2100::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT DHCPv6 ALL-DHCP-AGENTS REQUESTS FROM HOSTS
permit udp any eq 546 any eq 547
remark PERMIT ALL PIM PACKETS FROM OTHER BRANCH ROUTER
permit 103 FE80::/16 any
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
ipv6 access-list VOICE_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2200::/64
permit icmp 2001:DB8:CAFE:2200::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2200::64
permit ipv6 2001:DB8:CAFE:2200::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
ipv6 access-list PRINTER_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX CAFE:2300::/64
permit icmp 2001:DB8:CAFE:2300::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX CAFE:2300::64
permit ipv6 2001:DB8:CAFE:2300::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
ipv6 access-list MGMT-IN
remark permit mgmt only to loopback
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:2000::BAD1:1010
deny ipv6 any any log-input
!
ipv6 access-list BULK-DATA-APPS-V6
permit tcp any any eq ftp
permit tcp any any eq ftp-data
permit tcp any any eq pop3
permit tcp any any eq 143
!
ipv6 access-list BRANCH-TRANSACTIONAL-V6
remark Microsoft RDP traffic-mark dscp af21
permit tcp any any eq 3389
permit udp any any eq 3389
!
ipv6 access-list MISSION-CRITICAL-V6
remark Data-Center traffic-mark dscp 25
permit ipv6 any 2001:DB8:CAFE:10::/64
permit ipv6 any 2001:DB8:CAFE:11::/64
!
ipv6 access-list BRANCH-SCAVENGER-V6
remark Gnutella, Kazaa, Doom, iTunes traffic-mark dscp cs1
permit tcp any any range 6346 6347
permit udp any any range 6346 6347
permit tcp any any eq 1214
permit tcp any any eq 666
permit udp any any eq 666
Branch Networks における IPv6 導入ガイド
72
OL-11819-01-J
設定例
permit tcp any any eq 3689
permit udp any any eq 3689
!
ipv6 access-list BRANCH-NET-MGMT-V6
remark Common management traffic plus vmware console-mark dscp cs2
permit udp any any eq syslog
permit udp any any eq snmp
permit tcp any any eq telnet
permit tcp any any eq 22
permit tcp any any eq 2049
permit udp any any eq 2049
permit tcp any any eq domain
permit icmp any any
permit udp any any eq tftp
permit tcp any any eq 902
!
control-plane
!
banner login ^C
Unauthorized access to this device and/or network is prohibited.
^C
!
line con 0
session-timeout 3
password 7 021405550C031D
logging synchronous
login local
transport output none
line aux 0
login local
line vty 0 4
session-timeout 3
access-class MGMT-IN-v4 in
privilege level 15
password 7 08334D400E1C17
ipv6 access-class MGMT-IN in
login local
exec prompt timestamp
transport input ssh
!
scheduler allocate 20000 1000
ntp clock-period 17180046
ntp server 172.17.100.3
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
!
webvpn context dummy
ssl authenticate verify all
!
no inservice
!
end
2800-br2-2
version 12.4
no service pad
service tcp-keepalives-in
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
73
設定例
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname 2800-br2-2
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
logging count
logging buffered 8192 debugging
logging rate-limit 5
no logging console
enable secret 5 $1$2fsF$NMxkOn/sjTUDao8zNrHAG.
!
no aaa new-model
!
resource policy
!
clock timezone mst -7
no ip source-route
!
ip nbar port-map custom-03 tcp 5554 9996
ip nbar port-map custom-02 udp 1434
ip nbar port-map custom-01 tcp 3200 3201 3202 3203 3600
ip nbar port-map netbios udp 135 137 138 139 445
ip nbar port-map netbios tcp 137 139 445
ip cef
ip dhcp relay information trust-all
no ip dhcp use vrf connected
!
ip dhcp pool DATA_LAN
network 10.124.2.0 255.255.255.128
dns-server 10.121.10.7
default-router 10.124.2.1
domain-name cisco.com
!
ip dhcp pool VOICE_LAN
network 10.125.2.0 255.255.255.0
dns-server 10.121.10.7
default-router 10.125.2.1
option 150 ip 10.121.10.7
domain-name cisco.com
!
ip dhcp pool PRINTER_LAN
network 10.124.2.128 255.255.255.128
dns-server 10.121.10.7
default-router 10.124.2.129
!
ip ftp source-interface FastEthernet0/1
ip ftp username cisco
ip ftp password 7 104D000A0618
no ip bootp server
no ip domain lookup
ip domain name cisco.com
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh source-interface FastEthernet0/1
login block-for 30 attempts 3 within 200
login delay 2
ipv6 unicast-routing
Branch Networks における IPv6 導入ガイド
74
OL-11819-01-J
設定例
ipv6 cef
ipv6 dhcp pool DATA_VISTA
dns-server 2001:DB8:CAFE:10:20D:9DFF:FE93:B25D
dns-server 2001:DB8:CAFE:10:51A1:5B1:4A85:B3DA
domain-name cisco.com
!
ipv6 multicast-routing
!
voice-card 0
no dspfarm
!
key chain ESE
key 1
key-string 7 04490A0808245E
!
crypto pki trustpoint TP-self-signed-1654346828
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1654346828
revocation-check none
rsakeypair TP-self-signed-1654346828
!
crypto pki certificate chain TP-self-signed-1654346828
certificate self-signed 01
3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31363534 33343638 3238301E 170D3036 30373130 31383039
35325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 36353433
34363832 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B0B6 8F0E2383 4BC3B2BD EEF10B2C A9A30936 06B0A7A0 4ADF5C79 553BF2F6
1221FE21 80163367 EB75F1A5 3F310B43 5C1B6B03 B477AD5E 6CD7F630 1A06AE27
0F5B4089 54C08AD8 8866720B 2B9D16C0 D9C41113 1FA53640 45E54D38 F9E8F4FD
7654EB2F 6279435A C4AC028E F7AF7F51 4752D813 69B2F231 2101291C 5934DEFB
5ED50203 010001A3 74307230 0F060355 1D130101 FF040530 030101FF 301F0603
551D1104 18301682 14323831 312D6272 322D322E 63697363 6F2E636F 6D301F06
03551D23 04183016 80142905 DF055BFA FE526B72 E5231250 BB168532 6291301D
0603551D 0E041604 142905DF 055BFAFE 526B72E5 231250BB 16853262 91300D06
092A8648 86F70D01 01040500 03818100 A0FF1536 9779B5D7 181BADED D3394F8E
0FDEF0EB C8313736 75ED2CBE 993665D8 752EB46E 7F8FE7F5 F34022BE 86D53461
3A7F30D0 3617AA66 9166069D 3488674D 7EBB7551 7E7181CC 00EFD17B 27872412
BFB24FDD A9CD971D E4F3DF29 4574A132 9FE2A085 91871CFA 2E56FCB5 6050AEED
124009D4 B90FC6DA 237F6A1D 90D1CE93
quit
username cisco privilege 15 secret 5 $1$2on7$TSSIMoo25tSj5./ycyEav0
!
class-map match-any BRANCH-BULK-DATA
match access-group name BULK-DATA-APPS
match access-group name BULK-DATA-APPS-V6
class-map match-all SQL-SLAMMER
match protocol custom-02
match packet length min 404 max 404
class-map match-all BULK-DATA
match dscp af11 af12
class-map match-all INTERACTIVE-VIDEO
match dscp af41 af42
class-map match-any CALL-SIGNALLING
match dscp cs3
match dscp af31
class-map match-any BRANCH-TRANSACTIONAL-DATA
match protocol citrix
match protocol ldap
match protocol sqlnet
match protocol http url "*cisco.com"
match protocol custom-01
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
75
設定例
match access-group name BRANCH-TRANSACTIONAL-V6
class-map match-any BRANCH-MISSION-CRITICAL
match access-group name MISSION-CRITICAL-SERVERS
match access-group name MISSION-CRITICAL-V6
class-map match-any WORMS
match protocol http url "*.ida*"
match protocol http url "*cmd.exe*"
match protocol http url "*root.exe*"
match protocol http url "*readme.eml*"
match class-map SQL-SLAMMER
match protocol exchange
match protocol netbios
match protocol custom-03
class-map match-all VOICE
match dscp ef
class-map match-all MISSION-CRITICAL-DATA
match dscp 25
class-map match-any BRANCH-NET-MGMT
match protocol snmp
match protocol syslog
match protocol telnet
match protocol nfs
match protocol dns
match protocol icmp
match protocol tftp
match access-group name BRANCH-NET-MGMT-V6
class-map match-all ROUTING
match dscp cs6
class-map match-all SCAVENGER
match dscp cs1
class-map match-all NET-MGMT
match dscp cs2
class-map match-any BRANCH-SCAVENGER
match protocol napster
match protocol gnutella
match protocol fasttrack
match protocol kazaa2
match access-group name BRANCH-SCAVENGER-V6
class-map match-all TRANSACTIONAL-DATA
match dscp af21 af22
!
policy-map BRANCH-LAN-EDGE-OUT
class class-default
set cos dscp
policy-map BRANCH-WAN-EDGE
class VOICE
priority percent 18
class INTERACTIVE-VIDEO
priority percent 15
class CALL-SIGNALLING
bandwidth percent 5
class ROUTING
bandwidth percent 3
class NET-MGMT
bandwidth percent 2
class MISSION-CRITICAL-DATA
bandwidth percent 15
random-detect dscp-based
class TRANSACTIONAL-DATA
bandwidth percent 12
random-detect dscp-based
class BULK-DATA
bandwidth percent 4
random-detect dscp-based
Branch Networks における IPv6 導入ガイド
76
OL-11819-01-J
設定例
class SCAVENGER
bandwidth percent 1
class class-default
bandwidth percent 25
random-detect
policy-map WAN-EDGE-FRTS
class class-default
shape average 1460000 14600 0
service-policy BRANCH-WAN-EDGE
policy-map BRANCH-LAN-EDGE-IN
class BRANCH-MISSION-CRITICAL
set dscp 25
class BRANCH-TRANSACTIONAL-DATA
set dscp af21
class BRANCH-NET-MGMT
set dscp cs2
class BRANCH-BULK-DATA
set dscp af11
class BRANCH-SCAVENGER
set dscp cs1
class WORMS
drop
class class-default
set dscp default
!
interface Null0
no ip unreachables
!
interface Loopback0
ip address 10.124.102.2 255.255.255.255
no ip redirects
no ip unreachables
no ip proxy-arp
ipv6 address 2001:DB8:CAFE:2000::BAD1:1020/128
no ipv6 redirects
no ipv6 unreachables
ipv6 eigrp 1
!
interface FastEthernet0/0.100
description DATA VLAN for Computers
encapsulation dot1Q 100
ip address 10.124.2.3 255.255.255.128
ip access-group DATA_LAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ipv6 address 2001:DB8:CAFE:2100::BAD1:1020/64
ipv6 traffic-filter DATA_LAN-v6 in
no ipv6 redirects
ipv6 nd other-config-flag
ipv6 eigrp 1
standby version 2
standby 101 ip 10.124.2.1
standby 101 preempt
standby 101 authentication ese
standby 201 ipv6 autoconfig
standby 201 preempt
standby 201 authentication ese
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
interface FastEthernet0/0.200
description to Voice VLAN for IP Phones
encapsulation dot1Q 200
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
77
設定例
ip address 10.125.2.3 255.255.255.0
ip access-group VOICE_LAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ipv6 address 2001:DB8:CAFE:2200::BAD1:1020/64
ipv6 traffic-filter VOICE_LAN-v6 in
no ipv6 redirects
ipv6 eigrp 1
standby version 2
standby 102 ip 10.125.2.1
standby 102 preempt
standby 102 authentication ese
standby 202 ipv6 autoconfig
standby 202 preempt
standby 202 authentication ese
service-policy output BRANCH-LAN-EDGE-OUT
!
interface FastEthernet0/0.300
description to Printer VLAN
encapsulation dot1Q 300
ip address 10.124.2.131 255.255.255.128
ip access-group PRINTER_LAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ipv6 address 2001:DB8:CAFE:2300::BAD1:1020/64
ipv6 traffic-filter PRINTER_LAN-v6 in
no ipv6 redirects
ipv6 eigrp 1
standby version 2
standby 103 ip 10.124.2.129
standby 103 preempt
standby 103 authentication ese
standby 203 ipv6 autoconfig
standby 203 preempt
standby 203 authentication ese
service-policy input BRANCH-LAN-EDGE-IN
service-policy output BRANCH-LAN-EDGE-OUT
!
interface Serial0/2/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation frame-relay
ip route-cache flow
no ipv6 mfib forwarding
no keepalive
max-reserved-bandwidth 100
!
interface Serial0/2/0.18 point-to-point
description TO FRAME-RELAY PROVIDER
ip address 10.127.2.2 255.255.255.252
ipv6 address 2001:DB8:CAFE:1272::BAD1:1020/64
ipv6 eigrp 1
ipv6 hold-time eigrp 1 35
ipv6 authentication mode eigrp 1 md5
ipv6 authentication key-chain eigrp 1 ESE
frame-relay interface-dlci 18
class QOS-BR2-MAP
!
router eigrp 10
passive-interface FastEthernet0/0.100
Branch Networks における IPv6 導入ガイド
78
OL-11819-01-J
設定例
passive-interface FastEthernet0/0.200
passive-interface FastEthernet0/0.300
network 10.0.0.0
no auto-summary
eigrp stub connected summary
!
no ip http server
!
ip access-list extended BULK-DATA-APPS
permit tcp any any eq ftp
permit tcp any any eq ftp-data
permit tcp any any eq pop3
permit tcp any any eq 143
ip access-list extended DATA_LAN
permit udp host 0.0.0.0 host 255.255.255.255
permit ip 10.124.2.0 0.0.0.127 any
deny
ip any any log
ip access-list extended MGMT-IN-v4
permit tcp 10.120.0.0 0.0.255.255 any
permit tcp 10.121.0.0 0.0.255.255 any
permit tcp 10.122.0.0 0.0.255.255 any
deny
ip any any log-input
ip access-list extended MISSION-CRITICAL-SERVERS
permit ip any 10.121.10.0 0.0.0.255
permit ip any 10.121.11.0 0.0.0.255
permit ip any 10.121.12.0 0.0.0.255
ip access-list extended PRINTER_LAN
permit udp host 0.0.0.0 host 255.255.255.255
permit ip 10.124.2.128 0.0.0.127 any
deny
ip any any log
ip access-list extended VOICE_LAN
permit udp host 0.0.0.0 host 255.255.255.255
permit ip 10.125.2.0 0.0.0.255 any
deny
ip any any log
!
!
map-class frame-relay QOS-BR2-MAP
service-policy output WAN-EDGE-FRTS
access-list 25 permit 10.121.10.0 0.0.0.255
!
ipv6 router eigrp 1
router-id 10.124.102.2
stub connected summary
no shutdown
passive-interface FastEthernet0/0.100
passive-interface FastEthernet0/0.200
passive-interface FastEthernet0/0.300
passive-interface Loopback0
!
ipv6 access-list DATA_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2100::/64
permit icmp 2001:DB8:CAFE:2100::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2100::64
permit ipv6 2001:DB8:CAFE:2100::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark PERMIT DHCPv6 ALL-DHCP-AGENTS REQUESTS FROM HOSTS
permit udp any eq 546 any eq 547
remark PERMIT ALL PIM PACKETS FROM OTHER BRANCH ROUTER
permit 103 FE80::/16 any
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
ipv6 access-list VOICE_LAN-v6
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
79
設定例
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2200::/64
permit icmp 2001:DB8:CAFE:2200::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2200::64
permit ipv6 2001:DB8:CAFE:2200::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
ipv6 access-list PRINTER_LAN-v6
remark PERMIT ICMPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2300::/64
permit icmp 2001:DB8:CAFE:2300::/64 any
remark PERMIT IPv6 PACKETS FROM HOSTS WITH PREFIX 2001:DB8:CAFE:2300::64
permit ipv6 2001:DB8:CAFE:2300::/64 any
remark PERMIT ALL ICMPv6 PACKETS SOURCED BY HOSTS USING THE LINK-LOCAL PREFIX
permit icmp FE80::/10 any
remark DENY ALL OTHER IPv6 PACKETS AND LOG
deny ipv6 any any log-input
!
!
ipv6 access-list MGMT-IN
remark permit mgmt only to loopback
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:2000::BAD1:1020
deny ipv6 any any log-input
!
ipv6 access-list BULK-DATA-APPS-V6
permit tcp any any eq ftp
permit tcp any any eq ftp-data
permit tcp any any eq pop3
permit tcp any any eq 143
!
ipv6 access-list BRANCH-TRANSACTIONAL-V6
remark Microsoft RDP traffic-mark dscp af21
permit tcp any any eq 3389
permit udp any any eq 3389
!
ipv6 access-list MISSION-CRITICAL-V6
remark Data-Center traffic-mark dscp 25
permit ipv6 any 2001:DB8:CAFE:10::/64
permit ipv6 any 2001:DB8:CAFE:11::/64
!
ipv6 access-list BRANCH-SCAVENGER-V6
remark Gnutella, Kazaa, Doom, iTunes traffic-mark dscp cs1
permit tcp any any range 6346 6347
permit udp any any range 6346 6347
permit tcp any any eq 1214
permit tcp any any eq 666
permit udp any any eq 666
permit tcp any any eq 3689
permit udp any any eq 3689
!
ipv6 access-list BRANCH-NET-MGMT-V6
remark Common management traffic plus vmware console-mark dscp cs2
permit udp any any eq syslog
permit udp any any eq snmp
permit tcp any any eq telnet
permit tcp any any eq 22
permit tcp any any eq 2049
permit udp any any eq 2049
permit tcp any any eq domain
permit icmp any any
permit udp any any eq tftp
permit tcp any any eq 902
Branch Networks における IPv6 導入ガイド
80
OL-11819-01-J
設定例
!
control-plane
!
banner login ^C
Unauthorized access to this device and/or network is prohibited.
^C
!
line con 0
session-timeout 3
password 7 021405550C031D
logging synchronous
login local
transport output none
line aux 0
login local
line vty 0 4
session-timeout 3
access-class MGMT-IN-v4 in
privilege level 15
password 7 105C0817021200
ipv6 access-class MGMT-IN in
logging synchronous
login local
exec prompt timestamp
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17180078
ntp server 172.17.100.3
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
!
webvpn context dummy
ssl authenticate verify all
!
no inservice
!
!
end
3560-br2-1
version 12.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname 3560-br2-1
!
logging count
logging buffered 8192 debugging
logging rate-limit 5
no logging console
enable secret 5 $1$Zh7/$YXJse1q1kWuYdRbANfYZn.
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
81
設定例
!
username cisco privilege 15 secret 5 $1$2on7$TSSIMoo25tSj5./ycyEav0
no aaa new-model
clock timezone mst -7
vtp domain ese_branch
vtp mode transparent
ip subnet-zero
ip routing
no ip domain-lookup
ip domain-name cisco.com
ip dhcp smart-relay
!
ip dhcp snooping vlan 100,300
ip dhcp snooping database flash:dhcp.txt
ip dhcp snooping database timeout 10
ip dhcp snooping
ip ftp source-interface FastEthernet0/24
ip ftp username shmcfarl
ip ftp password 7 105C0817021200
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh source-interface FastEthernet0/24
ip arp inspection vlan 100,200,300
ip arp inspection validate src-mac
ip arp inspection log-buffer entries 100
ip arp inspection log-buffer logs 20 interval 120
login block-for 30 attempts 3 within 200
login delay 2
ipv6 mld snooping
!
mls qos map policed-dscp 0 10 18 24 25 34 to 8
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue output cos-map queue 1 threshold 3 5
mls qos srr-queue output cos-map queue 2 threshold 1 2 4
mls qos srr-queue output cos-map queue 2 threshold 2 3
mls qos srr-queue output cos-map queue 2 threshold 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 0
mls qos srr-queue output cos-map queue 4 threshold 3 1
mls qos srr-queue output dscp-map queue 1 threshold 3 46
mls qos srr-queue output dscp-map queue 2 threshold 1 16 18 20 22 25 32 34 36
mls qos srr-queue output dscp-map queue 2 threshold 1 38
mls qos srr-queue output dscp-map queue 2 threshold 2 24 26
mls qos srr-queue output dscp-map queue 2 threshold 3 48 56
mls qos srr-queue output dscp-map queue 3 threshold 3 0
mls qos srr-queue output dscp-map queue 4 threshold 1 8
mls qos srr-queue output dscp-map queue 4 threshold 3 10 12 14
mls qos queue-set output 1 threshold 2 70 80 100 100
mls qos queue-set output 1 threshold 4 40 100 100 100
mls qos
!
crypto pki trustpoint TP-self-signed-3651489792
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3651489792
revocation-check none
rsakeypair TP-self-signed-3651489792
!
!
crypto ca certificate chain TP-self-signed-3651489792
certificate self-signed 01
30820296 308201FF A0030201 02020101 300D0609 2A864886 F70D0101 04050030
56312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33363531 34383937 39323123 30210609 2A864886 F70D0109
02161433 3536302D 6272322D 312E6369 73636F2E 636F6D30 1E170D39 33303330
39303234 3634355A 170D3230 30313031 30303030 30305A30 56312F30 2D060355
Branch Networks における IPv6 導入ガイド
82
OL-11819-01-J
設定例
04031326
33363531
6272322D
0003818D
E138C6DB
D3B0E54B
E211B0B2
DF41B639
05300301
73636F2E
6C20C150
20C150E7
17C9C2E3
307FDC7A
114D1249
D8B6B2AF
quit
494F532D
34383937
312E6369
00308189
D5485567
47455B3A
3BCA80BC
727766A4
01FF301F
636F6D30
E7FE1D31
FE1D3130
B67F1337
163EEF9D
3D3B9E0E
95058FDB
53656C66
39323123
73636F2E
02818100
3603A196
F7898664
E08B542E
49C5BE73
0603551D
1F060355
301D0603
0D06092A
AD9F357F
5B13F7D4
E8997F12
5A8FA6CE
2D536967
30210609
636F6D30
A198301A
13878DA4
A49D078F
10F649F0
02030100
11041830
1D230418
551D0E04
864886F7
B83183A2
AF76C6CB
7BCFCDF2
D0620F5E
6E65642D
2A864886
819F300D
7E8F977E
DC244BB5
7D96C2F1
80E88837
01A37430
16821433
30168014
160414DB
0D010104
252CF44E
E828CDA7
BA7B6072
1B8220CD
43657274
F70D0109
06092A86
67FA0647
D3C8C482
06B10AA1
6DBA6C23
72300F06
3536302D
DB539092
5390926F
05000381
EAA2922B
373BDE27
042A1F05
D5E550C9
69666963
02161433
4886F70D
B34AD8E4
D5AA0BB9
44AB2AA5
A9664AEB
03551D13
6272322D
6F3293DD
3293DDE4
810011FC
AE76122B
5BA65E44
28A63EF1
B6F5
6174652D
3536302D
01010105
27314936
9222DE65
D560CE67
DD4750A3
0101FF04
312E6369
E467CA33
67CA336C
F98E50AD
649732FB
CB2ABC44
298E07BF
!
!
errdisable recovery cause link-flap
errdisable recovery interval 60
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree portfast bpduguard default
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 100
name DATA
!
vlan 200
name VOICE
!
vlan 300
name PRINTER
!
class-map match-all DVLAN-PC-VIDEO
match access-group name DVLAN-PC-VIDEO
class-map match-all VVLAN-voice
match access-group name VVLAN-voice
class-map match-all VVLAN-any
match access-group name VVLAN-any
class-map match-all DVLAN-Transactional-Data
match access-group name DVLAN-Transactional-Data
class-map match-all DVLAN-Mission-Critical-Data
match access-group name DVLAN-Mission-Critical-Data
class-map match-all DVLAN-Bulk-Data
match access-group name DVLAN-Bulk-Data
class-map match-all VVLAN-call-signalling
match access-group name VVLAN-call-signalling
!
policy-map IPPHONE+PC
class VVLAN-voice
set dscp ef
police 128000 8000 exceed-action drop
class VVLAN-call-signalling
set dscp cs3
police 32000 8000 exceed-action policed-dscp-transmit
class VVLAN-any
set dscp default
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
83
設定例
police 32000 8000 exceed-action policed-dscp-transmit
class DVLAN-PC-VIDEO
set dscp af41
police 48000 8000 exceed-action policed-dscp-transmit
class DVLAN-Mission-Critical-Data
set dscp 25
police 5000000 8000 exceed-action policed-dscp-transmit
class DVLAN-Transactional-Data
set dscp af21
police 5000000 8000 exceed-action policed-dscp-transmit
class DVLAN-Bulk-Data
set dscp af11
police 5000000 8000 exceed-action policed-dscp-transmit
!
interface FastEthernet0/1
description to 2800-br2-1 TRUNK
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,200,300
switchport mode trunk
switchport port-security aging time 10
ip arp inspection trust
load-interval 30
srr-queue bandwidth share 1 70 25 5
srr-queue bandwidth shape 3 0 0 0
priority-queue out
mls qos trust dscp
ip dhcp snooping limit rate 10
ip dhcp snooping trust
!
interface FastEthernet0/2
description to 2800-br2-2 TRUNK
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100,200,300
switchport mode trunk
switchport port-security aging time 10
ip arp inspection trust
load-interval 30
srr-queue bandwidth share 1 70 25 5
srr-queue bandwidth shape 3 0 0 0
priority-queue out
mls qos trust dscp
ip dhcp snooping limit rate 10
ip dhcp snooping trust
!
interface FastEthernet0/4
description phone with PC connected to phone
switchport access vlan 100
switchport mode access
switchport voice vlan 200
switchport port-security maximum 2
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
ip arp inspection limit rate 100
load-interval 30
srr-queue bandwidth share 1 70 25 5
srr-queue bandwidth shape 3 0 0 0
priority-queue out
mls qos trust device cisco-phone
spanning-tree portfast
spanning-tree bpduguard enable
ip verify source
ip dhcp snooping limit rate 100
Branch Networks における IPv6 導入ガイド
84
OL-11819-01-J
設定例
!
interface Vlan100
description VLAN100 for PCs and Switch management
ip address 10.124.2.126 255.255.255.128
no ip redirects
no ip unreachables
no ip proxy-arp
ipv6 address 2001:DB8:CAFE:2100::BAD2:F126/64
no ipv6 redirects
no ipv6 unreachables
!
ip classless
no ip http server
!
ip access-list extended DVLAN-Bulk-Data
permit tcp any any eq 143
permit tcp any any eq 220
ip access-list extended DVLAN-Mission-Critical-Data
permit tcp any any range 3200 3203
permit tcp any any eq 3600
permit tcp any any range 2000 2002
ip access-list extended DVLAN-PC-VIDEO
permit udp any any range 16384 32767
ip access-list extended DVLAN-Transactional-Data
permit tcp any any eq 1352
ip access-list extended MGMT-IN-v4
permit tcp 10.120.0.0 0.0.255.255 any log-input
permit tcp 10.121.0.0 0.0.255.255 any log-input
permit tcp 10.122.0.0 0.0.255.255 any log-input
permit tcp 10.124.2.0 0.0.0.255 any log-input
permit tcp 10.124.102.0 0.0.0.255 any log-input
deny
ip any any log-input
ip access-list extended VVLAN-any
permit ip 10.125.2.0 0.0.0.255 any
ip access-list extended VVLAN-call-signalling
permit tcp 10.125.2.0 0.0.0.255 any range 2000 2002 dscp af31
permit tcp 10.125.2.0 0.0.0.255 any range 2000 2002 dscp cs3
ip access-list extended VVLAN-voice
permit udp 10.125.2.0 0.0.0.255 any range 16384 32767 dscp ef
!
ipv6 route ::/0 Vlan100 FE80::5:73FF:FEA0:C9
!
!
ipv6 access-list MGMT-IN
permit tcp 2001:DB8:CAFE::/48 host 2001:DB8:CAFE:2100::BAD2:F126
deny ipv6 any any log-input
!
control-plane
!
banner login ^C
Unauthorized access to this device and/or network is prohibited.
^C
!
line con 0
session-timeout 3
password 7 021405550C031D
logging synchronous
login local
transport output none
line vty 0 4
session-timeout 3
access-class MGMT-IN-v4 in
password 7 071D2042490C0B
ipv6 access-class MGMT-IN in
Branch Networks における IPv6 導入ガイド
OL-11819-01-J
85
設定例
logging synchronous
login local
exec prompt timestamp
transport input ssh
line vty 5 15
session-timeout 3
access-class MGMT-IN-v4 in
password 7 105C0817021200
ipv6 access-class MGMT-IN in
login local
exec prompt timestamp
transport input ssh
Branch Networks における IPv6 導入ガイド
86
OL-11819-01-J

Download Report

�u��`�l�b�g��[�N�ɂ�� IPv6 ��K�C�h

Paperzz.com

Your Paperzz

�u�����`�l�b�g���[�N�ɂ����� IPv6 �����K�C�h

Paperzz.com

Your Paperzz

�u��`�l�b�g��[�N�ɂ�� IPv6 ��K�C�h