IPv6
この付録では、IPv6 の実装の概要と、IPv6 の動作、およびネットワークに合わせて IPv6 を設定する方法を説明します。この付録は以下のセクションで構成されます。
• 機能の概要
– IPv6 の利点
– Dell SonicWALL による IPv6 機能のサポート
– Dell SonicWALL で現在サポートされていない IPv6 機能
• IPv6 の設定
– IPv6 を使用した Dell SonicWALL ユーザ インターフェースへのアクセス
• IPv6 可視化
以下のセクションでは、IPv6 の概要を説明します。
• IPv6 の利点
• Dell SonicWALL による IPv6 機能のサポート
• Dell SonicWALL で現在サポートされていない IPv6 機能
Dell SonicWALL は、IPv6 の配備に関する技術的なガイダンスを提供している世界的なコンソーシアムである IPv6 Forum によって指定されている "IPv6 Ready" の Phase-1 および Phase-2 の要件を満たしています。IPv6 Ready Logo プログラムは、現在 IPv6 が利用可能でいつでも使用できる状態にあることを示すことでユーザの信頼感を高めることを目的とした、適合性および相互運用性に関するテスト プログラムです。
IPv6 Ready の一連のテストは、基本的なレベルで最小の範囲を押さえた Phase-1 と、より網羅性の高い Phase-2 に分かれています。
• Phase-1 (シルバー) ロゴ:最初の段階であるこのロゴは、製品に IPv6 の必須のコア プロトコルが含まれ、他の IPv6 実装との相互運用が可能なことを示します。
• Phase-2 (ゴールド) ロゴ:この "IPv6 Ready" の段階は、適切なケア、技術的なコンセンサス、および明確な技術的リファレンスの存在を意味します。この IPv6 Ready ロゴは、製品が IPv6 Logo Committee (v6LC) によって提示された厳しい要件を首尾よく満たしていることを示します。
Dell SonicWALL は Phase-2 (ゴールド) の IPv6 Ready ステータスの認証を受けています。将来的な Phase-3 レベルの IPv6 Ready の範囲については、現在策定中です。
詳細については、以下を参照してください。http://www.ipv6ready.org/
インターネットに接続されるすべての機器 (コンピュータ、プリンタ、スマートフォン、スマート メーターなど) には IP アドレスが必要です。インターネット プロトコル バージョン 4 (IPv4) は、約 43 億個の一意な IP アドレスを提供します。インターネット、モバイル フォン、および VoIP テレフォニーの利用の急激かつ世界的な拡大により、この 43 億個の IP アドレスはまもなく枯渇してしまいます。
2011 年 2 月 3 日、IANA (Internet Assigned Numbers Authority) は最後まで残っていた IPv4 アドレスのブロック群を地域インターネット レジストリ (RIR) に分配しました。今年の後半、各 RIR がこれらのアドレスを ISP に割り振ってしまうと、全世界で新しい IPv4 アドレスの供給ができなくなります。
幸い、IETF (Internet Engineering Task Force) がこの日に備えた計画の立案を 1992 年頃に開始し、1998 年には インターネット プロトコル、バージョン 6 (IPv6) を定義する RFC 2460 が公開されました。アドレス長を 32 ビットから 128 ビットに増やすことで、IPv6 では使用可能なアドレス数が IPv4 よりも大幅に増加しています。
• IPv4:4,294,967,296 アドレス
• IPv6:340,282,366,920,938,463,463,374,607,431,768,211,456 アドレス
IPv6 アドレスについて
IPv6 アドレスは、次のように、コロンで区切られた 4 桁の 16 進数から成るグループ 8 つの並びで記述されます。
XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX
IPv6 アドレスは論理的には 2 つの部分に分かれています。64 ビットの (サブ) ネットワーク接頭辞と、同じく 64 ビットのインターフェース ID です。IPv6 アドレスの例を示します。
2001:0db8:85a3:0000:0000:8a2e:0370:7334
Note IPv6 アドレス中の 16 進数に大文字と小文字の区別はありません。
IPv6 アドレスの表記は、次の 2 つのルールを使用して簡略化できます。
1. 16 ビット値内の先頭にある 0 の並びは省略できます。そのため、先ほどの完全な表記の例、
– 2001:0db8:85a3:0000:0000:8a2e:0370:7334
は、次のような形式に簡略化できます。
– 2001:db8:85a3:0:0:8a2e:370:7334
2. 4 つの 0 から成るグループ (厳密には 16 ビット分の 0) が続く場合は、その数にかかわらず連続する 2 つのコロン ("::") で表現できます。これら 2 つのルールを組み合わせると、例に挙げたアドレスの完全な表記、
– 2001:0db8:85a3:0000:0000:8a2e:0370:7334
は、次のような形式に簡略化できます。
– 2001:db8:85a3::8a2e:370:7334
|
Note IPv6 インターネットに接続するためには、ネットワークに IPv4 のインターネット接続が必要です。
Note ローカル ネットワーク サイトのコンピュータでは、IPv6 スタックが有効になっている必要があります。
次の簡略図は、一般的な IPv6 配備の接続モデルを示ています。
次の図は、IPv4 と IPv6 のヘッダー要素を比較したものです。
IPv6 には、IPv4 による制限を緩和するための重要な機能がいくつかあります。この新しい IP 規格は、いくつかの重要な点で IPv4 を拡張しています。
• 6to4 トンネル (IPv6 ノードが IPv4 ネットワークを介して外部の IPv6 サービスに接続できるようにします)
– 6to4 自動トンネル
– GRE トンネル
• IPv6 手動トンネル
• 簡素化された新しい IPv6 ヘッダー形式
• 膨大な数の IPv6 アドレスが利用可能
• 効率的かつ階層的なアドレス指定およびルーティング インフラストラクチャ
• 近隣者発見プロトコル (NDP) および DHCPv6 を使用した、ホストおよびルータへの自動アドレス割り当て
• ステートレスなアドレス設定とステートフルなアドレス設定
• ビルトイン セキュリティ - AH および ESP (強く推奨)
• QoS のより適切なサポート - ヘッダー内のフロー ラベル
• 近隣ノードとの対話のための新しいプロトコル
• 拡張ヘッダーを使用した新しい機能に対応できる拡張性
Dell SonicWALL による IPv6 機能のサポート
以下に、Dell SonicWALL で現在サポートされている IPv6 のサービスと機能の一覧を示します。
• アクセス ルール
• アドレス オブジェクト
• 詳細帯域幅管理:
– 帯域幅管理の監視
• アンチスパイウェア
• アプリケーション フロー サーバ:
– アプリケーション フロー サーバに対する IPv6 アプリケーション フロー生成
– サード パーティのアプリケーション フロー サーバに対する IPv6 アプリケーション フロー生成
• アプリケーション ファイアウォール:
– アプリケーション ルール
• 攻撃の防止
– Land 攻撃
– MAC アンチスプーフ
– Ping of Death
– Smurf
– SYN フラッド
• クライアント アンチウイルス強制
• 接続キャッシュ
• 接続監視:
– IPv6 アドレス フィルタ
• コンテンツ フィルタ:
– ActiveX、Java、Cookie 制限
– CFS ユーザ定義リスト
– CFS 除外リスト
– コンテンツ フィルタ サービス
– キーワード検閲による遮断
• DHCP:
– DHCP サーバ
– 動的なリース範囲
– 汎用オプション
– 統合オプション (DNS/WINS サーバ)
– リースの永続性
– 静的なリース範囲
• 診断:
– Nslookup
– Ping6
– 逆引き Nslookup
– Traceroute
• DNS クライアント
• DNS 調査と逆引き名前調査
• デュアル スタックの IP4 と IPv6
• EPRT
• EPSV
• FTPv6
• フラッド防御:
– TCP 同期プロキシ
• 断片化の処理
• ゲートウェイ アンチウイルス
• ヘッダー検証
• 高可用性:
– 接続キャッシュ
– DHCP サーバ
– FTP
– 監視 IP
– NDP
– SonicPoint
– VPN
• IPv6 上での HTTP/HTTPS 管理
• ICMPv6
• IDP
• IKEv2
• インターフェース
– DHCP クライアント モード
– IPv6 インターフェース
– レイヤ 2 ブリッジ モード
– PPPoE クライアント モード
• 侵入防御サービス
• IP スプーフ保護
• IPv4 Syslog メッセージ (IPv6 アドレスを伴うメッセージを含む)
• IPv6 接続制限
• レイヤ 2 ブリッジ モード
• ログ:
– IPv6 アドレス ログ登録
• IPv6 イベントのログ
• ログインの一意性
• マルチキャスト リスナー発見によるマルチキャスト ルーティング
• NAT
• NAT 負荷分散 (スティッキー IP のみ/監視サポートなし)
• 近隣者発見プロトコル
• IPv6 アドレスによるユーザ向けの NetExtender 接続
• NDP
• OSPFv3
• パケット キャプチャ
• Ping
• ポリシー ベース ルーティング
• 再構築の処理
• リモート管理
• RIPng
• ルーティング
• DIP による IPv6 トラフィック向けのセキュリティ サービス
• セキュリティのための IPSec によるサイト間 IPv6 トンネル
• SonicPoint IPv6 サポート
• SSL VPN
• IPv6 トラフィックのステートフル検査
• Syslog:
– IPv6 アドレスを含めるための IPv4 Syslog メッセージ
• トンネル
– IPv4 から IPv6 へのトンネル
– IPv6 から IPv4 へのトンネル
• ユーザ:
– IPv6 ユーザのログインと管理
– ログインの一意性
– ユーザ状況
• 可視化
– アプリケーション フロー監視
– アプリケーション フロー報告
– リアルタイム監視
– 脅威報告
– ユーザ監視
• VLAN:
– レイヤ 2 ブリッジ モードでの IPv6 VLAN
– IPv6 VLAN インターフェース
• VPN ポリシー
• 無線
Dell SonicWALL で現在サポートされていない IPv6 機能
以下に、Dell SonicWALL で現在サポートされていない IPv6 サービスおよび機能の一覧を示します。
Note SonicOS 5.9 はデュアル IP スタックのファームウェアです。IPv6 でサポートされていない機能であっても IPv4 でサポートされているものがあります。
• アドレス オブジェクト:
– DAO
– 完全修飾名
• アンチスパム
• ボットネット フィルタ
• コマンド ライン インターフェース
• IPv6 アドレスによるアプリケーション フロー サーバの接続
• コンテンツ フィルタ:
– IP アドレス範囲ごとの CFS ポリシー
– Websense Enterprice
• VPN を越えた DHCP
• DHCP リレー
• DPI-SSL
• IPv6 アドレスの動的アドレス オブジェクト
• 動的 DNS
• E-CLI 設定
• フラッド防御:
– ICMP
– UDP
• 完全修飾名
• GeoIP フィルタ
• グローバル VPN クライアント (GVC)
• GMS
• VPN:
– VPN を越えた DHCP
– グループ VPN
– IKE
– IKE DPD
– L2TP サーバ
– モバイル IKEv2
– OCSP
– ルート ベース VPN
• H.323
• 高可用性:
– マルチキャスト v6
– Oracle SQL/Net
– RTSP
– ULA v6
– VoIP
• IKEv1
• インターフェース:
– L2TP クライアント モード
– トランスペアレント モード
– 有線モード
• IP Helper
• IPv6 Syslog メッセージ
• ISATAP
• LDAP
• ログ:
– IPNET スタックからのログ
– DNS 名前解決のログ
• MAC-IP アンチスプーフ
• マルチキャスト プロキシ
• マルチキャスト ルーティング
• IPv6 アドレスと IPv4 アドレス間の NAT
– IPv4 から IPv6 への NAT
– IPv6 から IPv4 への NAT
• VPN を越えた NetBIOS
• ネットワーク監視
• NTP
• QoS 割付
• RADIUS
• RAS マルチキャスト転送
• RBL
• ルートベース VPN
• シングル サイン オン
• SMTP リアルタイム ブラックリスト (RBL) フィルタ
• SNMP
• SSH
• SSL 制御
• SSL-VPN
• ステートフル プロトコル:
– Oracle SQL/Net
– SIP
• Syslog:
– IPv6 アドレスを含めるための IPv6 Syslog メッセージ
• ユーザ:
– ゲスト サービス
– LDAP
– Radius
– SSO
• ViewPoint
• 仮想アシスタント
• VLAN:
– DHCP クライアント モード
– L2TP クライアント モード
– PPPoE クライアント モード
• VoIP
• WAN 高速化
• WAN 負荷分散
• ウェブ プロキシ
このセクションでは、SonicOS 5.9 でサポートされている IPv6 関連の RFC の一覧を示します。
TCP/IP スタックおよびネットワーク プロトコル
• RFC 1886『IP DNS Extensions to support IP version 6 (バージョン 6 をサポートするための DNS 拡張)』[IPAPPL DNS クライアント]
• RFC 1981『Path MTU Discovery for IPv6 (IP バージョン 6のためのパス MTU 発見)』
• RFC 2113『IP Router Alert Option (IP ルータ アラート オプション)』
• RFC 2373『IPv6 Addressing Architecture (IPv6 のアドレス指定手法)』
• RFC 2374『An IPv6 Aggregatable Global Unicast Address Format (IPv6 の統合可能グローバル ユニキャスト アドレス形式)』(3587 により廃止)
• RFC 2375『IPv6 Multicast Address Assignments (IPv6 マルチキャスト アドレスの割り当て)』
• RFC 2460『IPv6 specification (IPv6 仕様)』
• RFC 2461『Neighbour discovery for IPv6 (IPv6 の近隣者発見)』
• RFC 2462『IPv6 Stateless Address Autoconfiguration (IPv6 のステートレス アドレス自動設定)』
• RFC 2463『ICMPv6 for IPv6 specification (IPv6 仕様向け ICMPv6)』
• RFC 2464『Transmission of IPv6 Packets over Ethernet Networks (イーサネット ネットワーク上での IPv6 パケットの送信)』
• RFC 2473『Generic Packet Tunneling in IPv6 Specification (IPv6 仕様における汎用パケット トンネル)』
• RFC 2474『Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers (IPv4 および IPv6 ヘッダー内の Differentiated Services フィールド (DS フィールド) の定義)』
• RFC 2545『SonicOS support for BGP4+ (SonicOS による BGP4+ のサポート)』
• RFC 2553『Basic Socket Interface Extensions for IPv6 (IPv6 向けの基本的なソケット インターフェース拡張)』
• RFC 2710『Multicast Listener Discovery (MLD) for IPv6 (IPv6 でのマルチキャスト リスナー発見 (MLD))』
• RFC 2711『IPv6 Router Alert Option (IPv6 のルータ アラート オプション)』
• RFC 2784『Generic Routing Encapsulation (汎用的なルーティング カプセル化)』
• RFC 2893『Transition Mechanisms for IPv6 Hosts and Routers (IPv6 ホストおよびルータの移行メカニズム)』
• RFC 2991『Multipath Issues in Unicast and Multicast Next-Hop Selection (マルチキャスト ネクストホップ選択でのマルチパス問題)』
• RFC 3056『Connection of IPv6 Domains via IPv4 Clouds (IPv4 クラウドを介した IPv6 ドメインの接続)』
• RFC 3484『Default Address Selection for Internet Protocol version 6 (IPv6) (インターネット プロトコル バージョン 6 (IPv6) の既定のアドレス選択)』 (ポリシー フックなし)
• RFC 3493『Basic Socket Interface Extensions for IPv6 (IPv6 向けの基本的なソケット インターフェース拡張)』
• RFC 3513『Internet Protocol Version 6 (IPv6) Addressing Architecture (インターネット プロトコル バージョン 6 (IPv6) のアドレス指定手法)』
• RFC 3542『Advanced Sockets Application Program Interface (API) for IPv6 (IPv6 向けの高度なソケット アプリケーション プログラム インターフェース (API))』
• RFC 3587『IPv6 Global Unicast Address Format (IPv6 のグローバル ユニキャスト アドレス形式)』 (これにより 2374 は廃止)
IPsec 適合
• RFC 1826『IP Authentication Header (IP 認証ヘッダー)』 [旧 AH]
• RFC 1827『IP Encapsulating Security Payload (ESP) (セキュリティ ペイロードの IP カプセル化)』 [旧 ESP]
NAT 適合
• RFC 2663『IP Network Address Translator (NAT) Terminology and Considerations (IP ネットワーク アドレス変換 (NAT) に関する用語と考慮事項)』
• RFC 3022『Traditional IP Network Address Translator (Traditional NAT) (従来の IP ネットワーク アドレス変換 (従来の NAT))』
DNS 適合
• RFC 1886『DNS Extensions to support IP version 6 (IP バージョン 6 をサポートするための DNS 拡張)』
このセクションでは、SonicOS 5.9 で現在サポートされていない IPv6 関連 RFC の一覧を示します。
• RFC 2002『IP Mobility Support (IP モビリティ サポート)』
• RFC 2766『Network Address Translation - Protocol Translation (NAT-PT) (ネットワーク アドレス変換 - プロトコル変換 (NAT-PT))』
• RFC 2472『IP Version 6 over PPP (PPP 上の IP バージョン 6)』
• RFC 2452『IP Version 6 Management Information Base for the Transmission Control Protocol (伝送制御プロトコル向けの IP バージョン 6 管理情報ベース)』
• RFC 2454『IP Version 6 Management Information Base for the User Datagram Protocol (ユーザ データグラム プロトコル向けの IP バージョン 6 管理情報ベース)』
• RFC 2465『Management Information Base for IP Version 6:Textual Conventions and General Group (IP バージョン 6 向けの管理情報ベース: テキスト化規則と一般グループ)』
以下のセクションでは、IPv6 の設定方法について説明します。
• IPv6 を使用した Dell SonicWALL ユーザ インターフェースへのアクセス
IPv6 インターフェースは、「ネットワーク > インターフェース」ページの右上隅にある「表示する IP バージョン」ラジオ ボタンで「IPv6」オプションを選択してから設定します。
既定では、すべての IPv6 インターフェースは IP アドレスなしでルートされるように現れます。1 つのインターフェースに複数の IPv6 アドレスを追加することができます。自動 IP 割り当ては WAN インターフェースに対してのみ設定できます。
それぞれのインターフェースはルータ広告を受信する、または、しないように設定できます。それぞれのインターフェース上で IPv6 を有効または無効に設定できます。
Note インターフェースへのゾーン割り当ては、IPv6 モードに切り替える前に IPv4 インターフェースのページ上で設定する必要があります。
以下のセクションで、IPv6 インターフェース設定について説明します。
• HA インターフェースは IPv6 用に設定できません。
• スイッチ ポート グループでは親インターフェースのみ IPv6 インターフェースとして設定可能なため、スイッチ ポート グループのすべての子供はこのリストから除外されます。
• ゾーンおよびレイヤ 2 ブリッジ グループは、インターフェースの IPv4 と IPv6 で設定が共有されます。それらが IPv4 側で設定されると、同一インターフェースの IPv6 側も同じ設定を使います。
• デフォルト ゲートウェイと DNS サーバは WAN ゾーン インターフェースにのみ設定可能です。
• 現在 VLAN インターフェースはサポートされていません。
静的モードは、自動割当アドレスとは対照的に、静的 IPv6 アドレスを割り当てる方法を提供します。静的モードを使用してもなお、IPv6 インターフェースはルータ広告を受け取り、自律アドレスを適切な接頭辞オプションから習得することが可能です。静的モードは IPv6 インターフェース上のステートレス アドレス自動設定の動作を、ユーザが手動で無効にしない限り妨害しません。
下図は静的モードで設定された IPv6 のサンプル トポロジを示します。
このモード下では、3 種類の IPv6 アドレスを割り当てることが可能です。
• 自動アドレス
• 自律アドレス
• 静的アドレス
インターフェースを IPv6 アドレス用に設定するには、以下の手順に従います。
1. 「ネットワーク > インターフェース」ページに移動します。
2. ページの右上隅にある「IPv6」ボタンを選択します。装置の IPv6 アドレスが表示されます。
3. IPv6 アドレスを設定したいインターフェースの「設定」アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。
Note インターフェースへのゾーン割り当ては IPv4 アドレス設定ページで設定する必要があります。IPv6 インターフェースに対するゾーン割り当てを編集するには、ページ右上にある「IPv4」ボタンを選択して、インターフェースのゾーンを編集してから、IPv6 インターフェースのページに戻ります。
「ネットワーク モード」プルダウン メニューで「静的」を選択します。
5. インターフェースの IPv6 アドレスを入力します。
6. アドレスの接頭辞長を入力します。
7. プライマリ WAN インターフェースの場合、「デフォルト ゲートウェイ」の IPv6 アドレスを入力します。プライマリ WAN インターフェースでない場合は、デフォルト ゲートウェイの登録はすべて無視されるので、「::」のままにしておいて構いません(ダブル コロンは空のアドレス 0:0:0:0:0:0:0:0 の省略形です)。
8. プライマリ WAN インターフェースの場合は、DNS サーバの IPv6 アドレスを最大 3 つ入力します。この場合もまた、プライマリ WAN インターフェースではない場合は、すべての DNS サーバの登録が無視されます。
9. インターフェースをネットワークと接頭辞情報を配布する通知インターフェースにするには、「ルータ広告を有効にする」を選択します。
10. インターフェース通知接頭辞リスト内に既定の接頭辞を追加するには、「IPv6 プライマリ静的アドレスのサブネット接頭辞を広告する」を選択します。この接頭辞はインターフェースの IPv6 プライマリ静的アドレスのサブネット接頭辞です。このオプションは同じサブネット内につながっている、すべてのホストの役に立ちます。
IPv6 詳細オプションと複数 IPv6 アドレスを設定する
IPv6 インターフェースの詳細オプションを編集する、または複数の静的 IPv6 アドレスを設定するには、以下の手順に従います。
1. 「インターフェースの編集」ウィンドウで、「詳細」タブを選択します。
インターフェースに対して複数の静的 IPv6 アドレスを設定するには、「アドレスの追加」ボタンを選択します。
複数の IPv6 アドレスは、静的 IPv6 アドレス モードで設定されているインターフェースに対してのみ追加可能です。自動または DHCPv6 モードに対しては、複数の IPv6 アドレスを設定できません。
3. インターフェースの追加アドレスとなる IPv6 アドレスを入力します。
4. アドレスの接頭辞長を入力します。
5. インターフェース通知接頭辞リスト内に既定の接頭辞を追加するには、「IPv6 プライマリ静的アドレスのサブネット接頭辞を広告する」を選択します。この接頭辞はインターフェースの IPv6 プライマリ静的アドレスのサブネット接頭辞です。このオプションは同じサブネット内につながっている、すべてのホストの役に立ちます。
6. 「OK」を選択します。
7. 「詳細」タブの「詳細設定」という見出しの下で、以下の追加オプションを設定できます。
• インターフェースにすべての IPv6 トラフィックの処理を停止させるには、「インターフェース上のすべての IPv6 トラフィックを無効にする」を選択します。IPv6 トラフィックを無効にすると、非 IPv6 トラフィックに対するファイアウォール パフォーマンスを向上させることが可能です。ファイアウォールが純粋な IPv4 環境に配備されている場合、Dell SonicWALL ではこのオプションを有効にすることを推奨しています。
• ファイアウォールがルータ広告を受信するようにするには、「ルータ広告を受信する」を選択します。無効にした場合、インターフェースはすべての着信ルータ広告メッセージを遮断するので、悪意のあるネットワーク パラメータ (例えば接頭辞情報やデフォルト ゲートウェイ) 受信の可能性を排除することによるセキュリティ向上が可能です。このオプションは自動モードでは表示されません。自動モードでは常に有効です。
• このインターフェースに自律的 IPv6 アドレスを割り当てることを許可するには、「ステートレス アドレス自動設定を有効にする」を選択します。非選択にした場合は、このインターフェースからすべての割り当てられた自律的 IPv6 アドレスが削除されます。このオプションは自動モードでは表示されません。自動モードでは常に有効です。
• インターフェースに仮アドレスが割り当てられる前の重複アドレス検知 (DAD) 実行時に送信される、連続した近隣者要請メッセージの数を指定するには、「重複アドレス検知の送信」にその数を入力します。0 を指定すると、このインターフェースでは DAD は実行されません。
IPv6 ノードは、同一リンク上の重複 IPv6 アドレスを検出するために、IPv4 の重複回避用 ARP (Gratuitous ARP) に似た近隣者要請メッセージを使います。DAD はどのユニキャスト アドレス (エニーキャスト アドレスを除く) 上でも、IPv6 インターフェースに仮アドレスを割り当てる前に実行される必要があります。
ルータ広告の設定
ルータ広告により、IPv6 ルータが DNS リカーシブ サーバ アドレスを IPv6 ホストに通知可能になります。IPv6 ホストのアドレスが IPv6 ステートレス アドレス自動設定を通して自動設定され、かつサーバ アドレスを取得してそのサーバと通信する際の遅延が大きな問題になる環境のネットワーク内でルータ広告ベースの DNS 設定は有用で任意の代替になります。ルータ広告により、ホストはそれぞれのリンク上で最も近いサーバのアドレスを入手できます。加えて、リンクに対する設定情報を提供する同一の RA メッセージからこれらのアドレスを学習し、それにより追加のプロトコルの実行を回避します。これは Mobile IPv6 のような、いくつかのモバイル環境で有益になり得ます。Dell SonicWALL の IPv6 実装は、RFC 4861 の ルータおよび接頭辞発見に完全に適合しています。
Note ルータ広告は、インターフェースが静的モードの場合にのみ有効にできます。
IPv6 インターフェースに対してルータ広告を設定するには、以下の手順に従います。
1. インターフェースの編集ウィンドウで、「ルータ広告」タブを選択します。
「ルータ広告を有効にする」チェックボックスを選択して、これをネットワークと接頭辞情報を配信する通知側インターフェースにします。
3. オプションで、以下のルータ広告設定を編集できます。
– ルータ広告間隔範囲 - インターフェースから、要請されていないマルチキャスト ルータ広告の送信を許可する間隔の秒数です。
– リンク MTU - インターフェース リンクに対する推奨 MTU です。値 0 は、ファイアウォールがこのリンクに対してリンク MTU を通知しないことを意味します。
– 到達可能時間 - ノードが到達可能の確認を受信した後で、近隣者が到達可能であるとみなす時間です。値 0 は、このファイアウォールによってパラメータが指定されないことを意味します。
– 再送信時間 - 近隣者要請メッセージを再送出する間隔です。値 0 は、このファイアウォールによってパラメータが指定されないことを意味します。
– 現在のホップ制限 - 送信 IP パケットに対する IP ヘッダのホップ カウント フィールドに設定される既定値です。値 0 は、このファイアウォールによってパラメータが指定されないことを意味します。
– ルータ存続期間 - ファイアウォールを既定のルータとして受け入れるライフタイムです。値 0 は、このファイアウォールが既定のルータではないことを意味します。
4. ルータ広告メッセージ内に管理アドレス設定フラグを設定するには、「管理」チェックボックスを選択します。設定すると、IPv6 アドレスが DHCP を通して利用可能であることを示します。
5. ルータ広告メッセージ内に他の設定フラグを設定するには、「その他設定」チェックボックスを選択します。設定すると、他の設定情報が DHCP を通して利用可能であることを示します。
ルータ広告接頭辞の設定
1. 通知する接頭辞を設定するには、「接頭辞の追加」ボタンを選択します。通知する接頭辞は、ホストにオンリンク決定とアドレス自動設定のための接頭辞を提供するために使用されます。
ルータ広告メッセージで通知される「接頭辞」を入力します。
3. 接頭辞がオンリンク決定の目的に対して有効な期間 (分単位) を設定する「有効存続期間」を入力します。値 "71582789" は、存続期間が無期限であることを意味します。
4. ステートレス アドレス自動設定を通して接頭辞から生成されるアドレスを残存させる期間を設定する「優先存続期間」を入力します。値 "71582789" は、存続期間が無期限であることを意味します。
5. オプションで、この接頭辞をオンリンク決定のために使用できることを示す、接頭辞情報オプション内のリンク上フラグを有効にするには「リンク上」チェックボックスを選択します。
6. オプションで、この接頭辞をステートレス アドレス設定のために使用できることを示す、接頭辞情報オプション内の自律アドレス設定フラグを有効にするには「自律」チェックボックスを選択します。
7. 「OK」を選択します。
DHCPv6 (IPv6 用 DHCP) は、IPv6 ホストに対してステートフル アドレス設定またはステートレス アドレス設定を提供する、クライアント/サーバ プロトコルです。DHCPv6 クライアントは、インターフェースが DHCPv6 モードで設定されている場合に、IPv6 アドレスおよびネットワーク パラメータを学習することが可能です。
DHCPv6 は、2 つの異なる設定モードを定義します。
• DHCPv6 ステートフル モード:DHCPv6 クライアントは IPv6 アドレスと共にその他のネットワーク パラメータ (例えば DNS サーバ、ドメイン名など) を要求します。
• DHCPv6 ステートレス モード:DHCPv6 クライアントは IPv6 アドレス以外のネットワーク パラメータのみを要求します。通知されるルータ広告メッセージ内の管理 (M) アドレス設定、または、その他 (O) アドレス設定フラグに応じて、以下のモードを選択します。
– M=0、O=0:DHCPv6 インフラ無し
– M=1、O=1:IPv6 アドレスと、その他ネットワーク パラメータ設定の両方に対してDHCPv6 を使う IPv6 ホスト
– M=0、O=1:IPv6 アドレス割り当てのみに DHCPv6 を使う IPv6 ホスト
– M=1、O=0:その他のネットワーク パラメータ設定のみに対してDHCPv6 を使う IPv6 ホスト (DHCPv6 ステートレス)
下図は、DHCPv6 トポロジの例を示します。
以下の 3 種類の IPv6 アドレスが、DHCPv6 で割り当て可能です。
• 自動アドレス
• 自律アドレス
• DHCPv6 クライアントを介して割り当てられる IPv6 アドレス
インターフェースを DHCPv6 アドレス用に設定するには、以下の手順に従います。
1. 「ネットワーク > インターフェース」ページに移動します。
2. ページの右上隅にある「IPv6」ボタンを選択します。装置の IPv6 アドレスが表示されます。
3. IPv6 アドレスを設定したいインターフェースの「設定」アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。
4. 「ネットワーク モード」プルダウン メニューから、「DHCPv6」を選択します。
DHCPv6 モード用に設定する IPv6 インターフェースに対しては、以下のオプションを設定できます。
– 急速コミット オプションを使用する - 有効にすると、DHCPv6 クライアントはアドレス割り当てのための 2 つのメッセージ交換で高速コミット オプションを使用します。
– 起動時に以前の IP の更新指示を送信する - 有効にすると、DHCPv6 クライアントはファイアウォールの起動時に、以前に割り当てられたアドレスの更新を試みます。
6. インターフェースの「DHCPv6 モード」を設定します。RFC 要求により、DHCPv6 クライアントはルータ広告メッセージに応じて、選択する必要があるモード (ステートフルかステートレス) を決定します。この定義により、DHCPv6 モードのみを決定する場合にユーザの選択肢が制限されます。Dell SonicWALL による DHCPv6 の実装では、次の 2 種類のモードを定義して適合性と柔軟性のバランスを取っています。
– 自動 - このモードでは、IPv6 インターフェースはステートフル/ステートレス自動設定を使い、受信した最新のルータ広告メッセージ内の M および O 設定に従って、IPv6 アドレスを設定します。
– 手動 - 手動モードでは、DHCPv6 モードは受信したルータ広告に関係なく手動で設定されます。「ステートレス情報のみ要求する」オプションは、どちらの DHCPv6 モードを使うか決定します。このオプションが非選択の場合は、DHCPv6 クライアントはステートフル モードで動作し、選択されている場合は、DHCPv6 クライアントはステートレス モードでネットワーク パラメータのみ取得します。
7. オプションで、「ステートレス情報のみ要求する」チェックボックスを選択して、DHCPv6 クライアントが DHCPv6 サーバに対してネットワーク パラメータ設定のみ要求するようにします。IPv6 アドレスは、ステートレス自動設定を通して割り当てられます。
8. 設定を完了するには「OK」を選択します。 または、「詳細」タブを選択して詳細オプションを設定するか、「プロトコル」タブを選択して DHCPv6 ステートフルおよびステートレス設定情報を参照します。
IPv6 インターフェースに対する詳細設定
IPv6 インターフェースの編集ウィンドウの「詳細」タブで、以下のオプションが設定可能です。
• インターフェースにすべての IPv6 トラフィックの処理を停止させるには、「インターフェース上のすべての IPv6 トラフィックを無効にする」を選択します。IPv6 トラフィックを無効にすると、非 IPv6 トラフィックに対するファイアウォール パフォーマンスを向上させることが可能です。ファイアウォールが純粋な IPv4 環境に配備されている場合、Dell SonicWALL ではこのオプションを有効にすることを推奨しています。
• ファイアウォールがルータ広告を受信するようにするには、「ルータ広告を受信する」を選択します。無効にした場合、インターフェースはすべての着信ルータ広告メッセージを遮断するので、悪意のあるネットワーク パラメータ (例えば接頭辞情報やデフォルト ゲートウェイ) 受信の可能性を排除することによるセキュリティ向上が可能です。このオプションは自動モードでは表示されません。自動モードでは常に有効です。
• このインターフェースに自律的 IPv6 アドレスを割り当てることを許可するには、「ステートレス アドレス自動設定を有効にする」を選択します。非選択にした場合は、このインターフェースからすべての割り当てられた自律的 IPv6 アドレスが削除されます。このオプションは自動モードでは表示されません。自動モードでは常に有効です。
• インターフェースに仮アドレスが割り当てられる前の重複アドレス検知 (DAD) 実行時に送信される、連続した近隣者要請メッセージの数を指定するには、「重複アドレス検知の送信」にその数を入力します。0 を指定すると、このインターフェースでは DAD は実行されません。
IPv6 ノードは、同一リンク上の重複 IPv6 アドレスを検出するために、IPv4 の重複回避用 ARP (Gratuitous ARP) に似た近隣者要請メッセージを使います。DAD はどのユニキャスト アドレス (エニーキャスト アドレスを除く) 上でも、IPv6 インターフェースに仮アドレスを割り当てる前に実行される必要があります。
DHCPv6 プロトコル タブ
IPv6 インターフェースを DHCPv6 モードで設定する場合、「プロトコル」タブに追加の DHCPv6 情報が表示されます。
「プロトコル」タブには以下の情報が表示されます。
• DHCPv6 状況:インターフェースがステートレス モードで設定されている場合、「DHCPv6 状況」はステートレスになります。インターフェースがステートフル モードで設定されている場合、「DHCPv6 状況」は「有効」か「無効」のどちらかになります。インターフェースがステートフル DHCPv6 モード の場合、「DHCPv6 状況」の左側にあるアイコンにマウス カーソルを合わせると、インターフェースに対する現在のルータ広告情報が表示されます。
• DHCPv6 サーバ:DHCPv6 サーバの IPv6 アドレスです。
• DHCPv6 で取得したステートフル アドレス:取得したステートフル IPv6 アドレスの情報を表示します。
• DNS サーバ:DNS サーバの IPv6 アドレスです。
自動モードは IPv6 アドレスの割り当てに IPv6 のステートレス アドレス自動設定を使います。このモードには、ネットワーク管理者による手動のアドレス設定は不要です。ファイアウォールはネットワークをリッスンし、近隣ルータからの接頭辞情報を受信します。IPv6 ステートレス アドレス自動設定機能は、IPv6 アドレス割り当て、アドレス競合や期限切れに対するアドレス削除、およびオンリンク ルータから収集した情報に基づくデフォルト ゲートウェイ選択といった、すべての詳細設定を実行します。
Note 自動モードは WAN ゾーンに対してのみ設定可能です。セキュリティを考慮して、LAN ゾーン インターフェースでは自動モードは利用できません。
次の図に、自動モードで設定された IPv6 トポロジの例を示します。
このモードでは、以下の 2 種類の IPv6 アドレスが割り当て可能です。
• 自動アドレス - インターフェースの既定のリンクローカル アドレスです。これはタイムアウトすることがなく、編集や削除ができません。
• 自律アドレス - ステートレス アドレス自動設定から割り当てられます。ユーザは、有効な存続期間が過ぎるのを待ちたくない場合に、アドレスを手動で削除できます。
IPv6 インターフェースを自動モードで設定するには、以下の手順に従います。
1. 「ネットワーク > インターフェース」ページに移動します。
2. ページの右上隅にある「IPv6」ボタンを選択します。装置の IPv6 アドレスが表示されます。
3. IPv6 アドレスを設定したいインターフェースの「設定」アイコンを選択します。「インターフェースの編集」ウィンドウが表示されます。
「ネットワーク モード」プルダウン メニューから、「自動」を選択します。
オプションで、インターフェースに仮アドレスを割り当てる前の重複アドレス検出 (DAD) 実行中に送信される連続した近隣者要請メッセージの数を指定するには、「詳細」タブの「重複アドレス検知の送信」にその数を入力します。0 を指定すると、このインターフェースでは DAD は実行されません。
6. 「OK」を選択します。
IPv6 用のポイント ツー ポイント プロトコル オーバー イーサネット (PPPoE) は、簡素なブリッジ アクセス機器を介してホストのネットワークを IPv6 ネットワーク内のリモートのアクセス コンセントレータへ接続する機能を提供します。各ホストは自身のポイント ツー ポイント プロトコル スタックを利用して、ユーザには使い慣れたユーザ インターフェースが提供されます。アクセス制御、課金、およびサービス種別は、サイト毎ではなくユーザ毎に実行できます。IPv4 と IPv6 の PPPoE は、同一インターフェース上の複数 PPPoE 接続を避けるために同じインターフェースを使用し、また、IPv6 の PPPoE は単独では適用できず、同時に PPPoEv4 でも使われる必要があります。これは、インターフェースに IPv6 の PPPoE を設定する前に、PPPoE モードへの IPv4 割り当てを設定する必要があることを意味します。IPv6 の PPPoE 接続が確立すると、それは IPv4 トラフィックも通し、ローカル ネットワークを越えて通信します。
インターフェースに IPv6 の PPPoE を設定するには、以下の手順に従います。
1. 管理インターフェースで「ネットワーク > インターフェース」ページに移動します。
2. インターフェースを IPv4 で PPPoE を使うように設定します。
3. 「表示する IP バージョン」ラジオ ボタンを「IPv6」に変更します。
4. 設定するインターフェースの「設定」アイコンを選択します。
5. 「一般」と「プロトコル」タブのインターフェース パラメータを設定します。
ポイント ツー ポイント プロトコル NCP ネゴシエーションは、ローカル ネットワーク内の通信に使用されるリンク ローカル アドレスのみネゴシエートできます。 そのため、ローカル ネットワークを越えて通信するためには、グローバル アドレスを取得する必要があります。
6. グローバル アドレスを取得するには、「一般」タブの「取得した PPPoE グローバル アドレス」セクションを設定します。
グローバル アドレスの取得には 3 つの方法があります。
自動
既定のグローバル アドレスは、リンク ローカル アドレスを提供する「自動」に設定されています。
a.: 「PPPoE アドレスの割り当て」ドロップダウン リストから、「自動」を選択します。
b.: 「OK」ボタンを選択します。
静的
a.: 「PPPoE アドレスの割り当て」ドロップダウン リストから、「静的」を選択します。
b.: 「OK」ボタンを選択します。
DHCPv6
a.: 「PPPoE アドレスの割り当て」ドロップダウン リストから、「DHCPv6」を選択します。
b.: 「詳細」タブで、「ルータ広告を受信する」および「ステートレス アドレス自動設定を有効にする」チェックボックスを選択します。
c.: 「OK」ボタンを選択します。
これで IPv6 に対する PPPoE 機能は設定されました。 これを無効にするには、「ネットワーク > インターフェース」のメイン ページで無効にしたいインターフェースの「切断」ボタンを選択します。
IPv6 での VLAN サブインターフェースの設定手順は、IPv4 での設定と同じです。詳細については、VLAN サブインターフェースの設定 (Dell SonicWALL NSA シリーズ装置)を参照してください。
すべての VLAN サブインターフェースは、IPv6 での設定前に IPv4 で設定する必要があります。
このセクションでは、IPv6 ネットワークを通して IPv4 パケットをトンネルする、また IPv4 ネットワークを通して IPv6 パケットをトンネルする方法について説明します。例えば、IPv4 ネットワーク上で IPv6 パケットを通過させるために、IPv6 パケットはトンネルの入り口側で IPv4 パケット内にカプセル化されます。カプセル化されたパケットがトンネルの出口に到着すると、IPv4 パケットはカプセル化解除されます。
トンネルは自動または手動設定どちらでも可能です。設定されたトンネルは、カプセル化するノード上の設定情報から、エンドポイント アドレスを決定します。自動トンネルは、付加された IPv6 データグラムのアドレスから IPv4 エンドポイントを決定します。IPv4 マルチキャスト トンネルは近隣者発見を通してエンドポイントを決定します。
下図は、IPv6 から IPv4 へのトンネルを示します。
以下のセクションで、IPv6 トンネル インターフェースの設定について説明します。
• 非 2002 接頭辞へのアクセスのための 6to4 リレーの設定
• アップストリーム インターフェースでの IPv6 接頭辞委任の設定
• ダウンストリーム インターフェースでの IPv6 接頭辞の設定
6to4 自動トンネルは、トンネル エンドポイントをカプセル化された IPv6 データグラムから抽出する自動トンネルです。手動設定は不要です。
6to4 トンネルでは、"2002:トンネル IPv4 アドレス::/48" の形の接頭辞を使用して、IPv4 上で IPv6 トラフィックをトンネルします(例えばトンネルの IPv4 エンドポイントがアドレス "a01:203" を持つ場合、6to4 トンネルの接頭辞は "2002:a01:203::1" です)。ルータは IPv6 クライアントに "2002:[IPv4]:xxxx/64" の形の接頭辞を通知します。完全な情報については、RFC 3056 を参照してください。
下図は、6to4 自動トンネル トポロジの例を示します。
この例では、顧客がトンネル エンドポイントを指定する必要はなく、6to4 自動トンネルを有効にする必要があるだけです。2002 の接頭辞を持つすべてのパケットはトンネルにルーティングされ、トンネルの IPv4 宛先は、IPv6 の宛先アドレスから抽出されます。
6to4 トンネルは容易に設定して使用できます。ユーザはグローバル IPv4 アドレスと、接頭辞が 2002 の IPv6 アドレスを持つ必要があります。そのため一般的には、ユーザは接頭辞 が 2002 のネットワーク リソースにしかアクセスできません。
Note 6to4 自動トンネルは、ファイアウォール上に 1 つだけ設定できます。
ファイアウォールで 6to4 トンネルを設定するには、以下の手順を実行します。
1. 「ネットワーク > インターフェース」ページに移動します。
2. 「インターフェースの追加」ボタンを選択します。
6to4 トンネル インターフェースの「ゾーン」を選択します。通常は WAN インターフェースです。
4. 「トンネル種別」プルダウン メニューから、「6to4 自動トンネル インターフェース」を選択します。
5. 既定では、インターフェースの「名前」が「6to4AutoTun」に設定されます。
6. 「IPv6 6to4 トンネルを有効にする」チェックボックスを選択します。
7. オプションで、この 6to4 トンネルを介した「管理」ログインまたは「ユーザ ログイン」を設定できます。
8. 「OK」を選択します。
非 2002 接頭辞へのアクセスのための 6to4 リレーの設定
既定では、6to4 自動トンネルは接頭辞が 2002 の宛先にしかアクセスできません。6to4 リレー機能を使うと、非 2002 接頭辞の宛先にアクセスできます。6to4 リレーを有効にするには、下記の例のように、接頭辞が 2003 の宛先へのすべてのトラフィックを 6to4 自動トンネル インターフェースを越えてルーティングする、ルート ポリシーを作成するだけです。
この静的ルートは、6to4 トンネルを通して非 2002 接頭辞の IPv6 宛先にアクセス可能にするリレー機能を有効にするために 6to4 自動トンネル インターフェース上に追加できます。ゲートウェイは接頭辞 2002 の IPv6 アドレスでなければならないことに注意してください。
ファイアウォールで 6to4 トンネルを設定するには、以下の手順を実行します。
1. 「ネットワーク > インターフェース」ページに移動します。
2. 「インターフェースの追加」ボタンを選択します。
トンネル インターフェースの「ゾーン」を選択します。
4. 「トンネル種別」プルダウン メニューから、「IPv6 手動トンネル インターフェース」を選択します。
5. トンネル インターフェースの「名前」を入力します。
6. トンネル エンドポイントの「リモート IPv4 アドレス」を入力します。
7. 「リモート IPv6 ネットワーク」の IPv6 アドレス オブジェクトを選択します。グループ、範囲、ネットワーク、またはホストを選択できます。
8. オプションで、この 6to4 トンネルを介した「管理」ログインまたは「ユーザ ログイン」を設定できます。
9. 「OK」を選択します。
GRE は IPv4 または IPv6 上で IPv4 および IPv6 をトンネルするために使用できます。GRE トンネルは、両側のエンドポイントを手動で指定する静的トンネルです。次の図に、GRE IPv6 トンネルの例を示します。
GRE トンネルの設定は手動トンネルと似ていますが、「トンネル種別」に「GRE トンネル インターフェース」を選択することが異なります。
DHCPv6 接頭辞委任 (DHCPv6-PD) とも呼ばれる IPv6 接頭辞委任は、DHCPv6 に対する拡張機能です。DHCPv6 では、アドレスが DHCPv6 サーバによって IPv6 ホストに割り当てられます。DHCPv6-PD では、完全な IPv6 サブネット アドレスと他のパラメータが DHCPv6-PD サーバによって DHCPv6-PD クライアントに割り当てられます。
DHCPv6-PD が有効になっている場合、WAN ゾーンに接続されているすべての DHCPv6 インターフェースに DHCPv6-PD が適用されます。DHCPv6-PD は、DHCPv6 と共存する追加のサブネット設定モードです。
IPv6 アドレスは、DHCPv6-PD サーバによって提供される接頭辞と、DHCPv6-PD クライアントによって提供される接尾辞を組み合わせたものになります。接頭辞長は既定で 64 ですが、この値は編集できません。
ファイアウォールを起動すると、DHCPv6 委任による接頭辞という既定のアドレス オブジェクト グループが自動的に作成されます。アップストリーム インターフェースから委任された接頭辞は、このグループのメンバーです。
IPv6 接頭辞委任の設定は、以下に対して行います。
• アップストリーム インターフェース
• 1 つ以上のダウンストリーム インターフェース
アップストリーム インターフェースが接頭辞委任を DHCPv6-PD サーバから学習すると、SonicOS は IPv6 アドレスの接頭辞を計算してすべてのウンストリーム インターフェースに適用し、ダウンストリーム インターフェースはこの情報を各自のネットワーク セグメント内のすべてのホストに通知します。
このセクションでは、以下の設定手順について説明します。
• アップストリーム インターフェースでの IPv6 接頭辞委任の設定
• ダウンストリーム インターフェースでの IPv6 接頭辞の設定
Note ネットワーク内で接頭辞委任を無効にする前に、まずアップストリーム インターフェースで接頭辞委任を破棄することを推奨します。
アップストリーム インターフェースでの IPv6 接頭辞委任の設定
アップストリーム インターフェースで IPv6 接頭辞委任を設定するには:
1. 「ネットワーク > インターフェース」ページに移動します。
2. 「IPv6」オプションを選択します。
3. アップストリーム インターフェースとして設定したいインターフェースの「設定」列にある 「編集」アイコンを選択します。「インターフェースの編集」ダイアログが表示されます。
4. 「ゾーン」は常に「WAN」になります。
5. 「ネットワーク モード」プルダウン メニューから、「DHCPv6」を選択します。
6. 「DHCPv6 接頭辞委任を有効にする」オプションを選択します。
7. 「DHCPv6 モード」メニューから、「手動」を選択します。
8. 設定された DHCPv6 情報を確認するには、「プロトコル」タブを選択します。
「DHCPv6 一般情報」パネルには、DHCPv6 DUID が表示されます。
「DHCPv6 で取得したステートフル アドレス」パネルには、ステートフル IAID が表示されます。
「DHCPv6 によって取得した委任された接頭辞」パネルには、委任された IAID が表示されます。
9. 「再取得」ボタンを選択します。
その他の列の情報が表示されます。
ダウンストリーム インターフェースでの IPv6 接頭辞の設定
ダウンストリーム インターフェースで IPv6 接頭辞委任を設定するには:
1. 「ネットワーク > インターフェース」ページに移動します。
2. 「IPv6」オプションを選択します。
3. ダウンストリーム インターフェースとして設定したいインターフェースの「設定」列にある 「編集」アイコンを選択します。「インターフェースの編集」ダイアログが表示されます。
4. 「ルータ広告を有効にする」オプションを選択します。
5. 「詳細」タブを選択します。「インターフェースの編集」ダイアログが表示されます。
アップストリームの接頭辞が取得されている場合は、「IPv6 アドレス」パネルにその接頭辞が表示されます。
6. アップストリームの接頭辞が取得できていない場合は、「IPv6 アドレス」パネルに代替アドレスが表示されます。
7. 「アドレスの追加」ボタンを選択します。
「IPv6 アドレスの追加」ダイアログが表示されます。
8. 「委任されたダウンストリーム IPv6 アドレスを追加する」オプションを選択します。
9. (省略可能) 「静的 IPv6 アドレスのサブネット接頭辞を広告する」オプションを選択します。
10. 「ルータ広告」タブを選択します。
11. 「ルータ広告を有効にする」オプションを選択します。
「一般」タブにある「静的 IPv6 アドレスのサブネット接頭辞を広告する」オプションを選択した場合は、接頭辞が「接頭辞リストの設定」パネルに表示されます。
12. 新しい IPv6 PD インターフェースを確認するには、「ネットワーク > ルーティング」ページに移動します。
13. 「IPv6」オプションを選択します。
接頭辞委任による 2 つの新しい IPv6 インターフェース (アップストリームおよびダウンストリーム) が表示されます。
IPv6 の急速配備 (6rd) では、IPv4 ネットワーク全体に IPv6 を迅速かつ容易に配備できます。6rd では、サービス プロバイダの既存の IPv6 アドレス接頭辞を利用して、6rd の運用ドメインが、サービス プロバイダのネットワークに制限され、サービス プロバイダの直接的な管理下に置かれるようにします。
6rd トンネル インターフェースは、6rd のカプセル化された IPv6 パケットを IPv4 ネットワーク内で転送する仮想インターフェースです。
Note 6rd トンネル インターフェースは、物理インターフェースまたは仮想インターフェースにバインドされている必要があります。
6rd の配備が行われると、IPv6 サービスはネイティブの IPv6 と等価です。IPv4 アドレスに対する IPv6 アドレスの 6rd 割付は、IPv6 接頭辞からの IPv4 トンネル エンドポイントの自動決定を実現し、6rd のステートレス運用を可能にします。
6rd ドメインは、数台の 6rd カスタマー エッジ (CE) ルータと 1 台以上の 6rd ボーダー リレー (BR) ルータで構成されます。6rd によってカプセル化された IPv6 パケットは、サービス プロバイダ ネットワーク内の IPv4 ルーティング トポロジに従います。
カスタマー エッジ ルータとボーダー リレー ルータを使用した一般的な 6rd 実装に必要な 6rd トンネル インターフェースは、1 つだけです。複数の 6rd ドメインでサービスを提供するボーダー リレー ルータは、複数のトンネル インターフェースを持っている場合があります。ただし、それぞれの 6rd ドメインで持つことができる 6rd トンネル インターフェースは 1 つだけです。
IPv6 パケットは、サービス プロバイダの 6rd ドメインに出入りする際にボーダー リレーを通過します。6rd はステートレスなので、パケットはエニーキャスト方式を使用してボーダー リレーに送信できます。この方式では、1 つの送信元からのパケットが受信者候補のグループ内の最も近いノード、またはすべてが同じ送信先アドレスによって識別される複数のノードにルーティングされます。
サービス プロバイダは、6rd を 1 つのドメイン、または複数のドメインに配備できます。1 つの 6rd ドメインは 6rd 接頭辞を 1 つしか持てません。異なる 6rd ドメインは別々の 6rd 接頭辞を使用する必要があります。
「ネットワーク > ルーティング」ページの「ルート ポリシー」パネルには、6rd トンネル インターフェース用の 4 つの既定のルート ポリシーがあります。
次の 2 つの設定モードがあります。
• 手動
• DHCP
次の 4 つの 6rd パラメータは手動で設定できます。また、設定モードとして DHCP を選択している場合は、DHCPv4 サーバによって自動的に設定することもできます。
• IPv4 マスク長
• 6rd 接頭辞
• 6rd 接頭辞長
• 6rd BR IPv4 アドレス
DHCP モードでは、6rd パラメータをバインドされたインターフェースから受け取ります。手動モードでは、6rd パラメータを手動で設定する必要があります。
6rd トンネル インターフェースは、その他の IPv6 トンネル インターフェースと同じように設定できます。6rd トンネル インターフェースを設定するには、バインドされたインターフェースが必要です。
6rd トンネル インターフェースを設定するには:
1. 「ネットワーク > インターフェース」ページに移動します。
2. 「IPv6」オプションを選択します。
3. 「インターフェース設定」パネルの下部にある「インターフェースの追加」メニューから、「トンネル インターフェース」を選択します。「IPv6 用インターフェースの編集」ダイアログが表示されます。
Note 「プロトコル」タブは、「設定モード」として「DHCP」を選択している場合にのみ表示されます。
4. 「ゾーン」メニューから、「WAN」を選択します。
5. 「インターフェース種別」メニューは無効になっています。この選択は既にステップ 3で「インターフェースの追加」メニューから選択した「トンネル インターフェース」になっています。
6. 「トンネル種別」メニューから「6rd トンネル インターフェース」を選択します。
7. 「名前」ボックスにトンネル インターフェースの名前を入力します。
例えば、"6rd トンネル" と入力します。
8. 「トンネル インターフェース IPv6 アドレス」ボックスに、トンネル インターフェースの IPv6 アドレスを入力します。
例えば、"2001::2" と入力します。
9. 「接頭辞長」ボックスに、IPv6 接頭辞の長さを入力します。例えば、"64" と入力します。
10. 「適用先」メニューから適切なインターフェースを選択します (X1 など)。
11. 「設定モード」メニューから適切なモードを選択します。「手動」または「DHCP」を選択します。
Note 「設定モード」として手動」を選択した場合は、ステップ 12 ~ 15 を実行します。
「設定モード」として DHCP を選択した場合は、ステップ 12 ~ 15 をスキップします。
12. 「6rd 接頭辞」ボックスに 6rd 接頭辞を入力します (2222:2222:: など)
(「手動」モードのみ)。
13. 「6rd 接頭辞長」ボックスに 6rd 接頭辞の長さを入力します (32 など)。
(「手動」モードのみ)。
14. 「IPv4 マスク長」ボックスに IPv4 サブネット マスクの長さを入力します。
(「手動」モードのみ)。
15. 「BR IPv4 アドレス」ボックスに、6rd ボーダー リレーの IPv4 アドレスを入力します。
(「手動」モードのみ)。
16. (省略可能) 「コメント」ボックスにトンネル インターフェースを説明するコメントを入力します。
17. 「デフォルト ルートに自動的に追加する」オプションを選択します。
18. 適切な「管理」オプションまたは「ユーザ ログイン」オプションを選択します。
「設定モード」として「手動」を選択した場合は、「一般」タブに 6rd トンネル インターフェースの設定が表示されます。
「設定モード」として「DHCP」を選択した場合は、「プロトコル」タブに 6rd トンネル インターフェースの設定が表示されます。
IPv6 を使用した Dell SonicWALL ユーザ インターフェースへのアクセス
ファイアウォールでの IPv6 アドレス指定の設定が完了したら、ブラウザの URL フィールドにファイアウォールの IPv6 を入力することで、Dell SonicWALL ユーザ インターフェースにアクセスできます。
IPv6 用の DNS は IPv4 用と同じ方法で設定されます。「ネットワーク > DNS」ページの右上隅にある「表示する IP バージョン」ラジオ ボタンで「IPv6」オプションを選択するだけです。
IPv6 アドレス オブジェクトとアドレス グループは IPv4 アドレス オブジェクトと同じ方法で追加できます。「ネットワーク > アドレス オブジェクト」ページの「表示する IP バージョン」ラジオ ボタンには次の 3 つのオプションがあります。「IPv4 のみ」、「IPv6 のみ」、「IPv4 と IPv6」です。
ホスト、範囲、ネットワークの種別のアドレス オブジェクトがサポートされます。現時点では IPv6 ホストに対して、MAC と FQDN の動的アドレス オブジェクトはサポートされません。
IPv4 インターフェースは各インターフェースに対して既定のアドレス オブジェクト (DAO) とアドレス オブジェクト グループのペアを定義します。IPv4 DAO の基本ルールでは、各 IPv4 アドレスが次の 2 つのアドレス オブジェクトに対応します。インターフェース IP とインターフェース サブネットです。ゾーン インターフェース IP、ゾーン サブネット、すべてのインターフェース IP、すべてのインターフェース管理 IP、その他のペアも存在します。
IPv6 インターフェースは、各インターフェースのために同じ DAO セットを作成します。複数の IPv6 を 1 つのインターフェースに割り当てることが可能なため、それらすべてのアドレスを動的に追加、編集、削除できます。したがって、IPv6 DAO は動的に作成され、削除される必要があります。
これを処理するために、DAO は IPv6 インターフェースに対して動的に生成されません。制限によりインターフェース DAO を参照する必要がある他のモジュールをサポートする、限られたインターフェース DAO だけが作成されます。
ポリシー ベースのルーティングは、「ネットワーク > ルーティング」ページ上でルート ポリシーに対してIPv6 アドレス オブジェクトとゲートウェイを選択することで、IPv6 に対して完全にサポートされます。「ネットワーク > ルーティング」ページの「表示する IP バージョン」ラジオ ボタンには次の 3 つのオプションがあります。「IPv4 のみ」、「IPv6 のみ」、「IPv4 と IPv6」です。OSPF 機能には、バージョン 2 と 3 を切り替える 2 つのラジオ ボタンが表示されます。
次世代RIP (RIPng) は、IPv6 ベースのネットワークを通して、ルート計算のための情報を交換することを可能にする、IPv6 に対するルーティング情報プロトコルです。
RIP と RIPng を切り替えるラジオ ボタンがあります。
IPv6 に対する NAT ポリシーは、「ネットワーク > NAT ポリシー」ページ上で IPv6 アドレス オブジェクトを選択することで設定可能です。「ネットワーク > NAT ポリシー」ページの「表示する IP バージョン」ラジオ ボタンには次の 3 つのオプションがあります。「IPv4 のみ」、「IPv6 のみ」、「IPv4 と IPv6」です。
IPv6 NAT ポリシーを設定する場合は、送信元と送信先オブジェクトには IPv6 アドレス オブジェクトのみ使用可能です。
Note 現時点では NAT ポリシーに対する IPv6 監視はサポートされていません。
近隣者発見プロトコル (NDP) は、IPv4 の ICMP と ARP が実現するいくつかのタスクを実行するために IPv6 の一部として作成された、新しいメッセージング プロトコルです。ARP と同じように、近隣者発見によって動的登録のキャッシュが構築され、管理者は静的な近隣者発見の登録を設定できます。下記の表は従来の IPv4 近隣者メッセージと類似した IPv6 近隣者メッセージおよび機能を示します。
|
NDP を設定するには、「ネットワーク > 近隣者発見」ページに移動します。
静的 NDP 機能により、レイヤ 3 IPv6 アドレスとレイヤ 2 MAC アドレスとの間に静的割付を作成できます。静的 NDP 登録を設定するには、以下の手順を実行します。
1. 「ネットワーク > 近隣者発見」ページで、「追加」ボタンを選択します。
「IP アドレス」フィールドに、リモート機器の IPv6 アドレスを入力します。
3. 「インターフェース」プルダウン メニューから、この登録で使用するファイアウォール上のインターフェースを選択します。
4. 「MAC アドレス」フィールドに、リモート機器の MAC アドレスを入力します。
5. 「OK」を選択します。静的 NDP 登録が追加されます。
NDP キャッシュ テーブルに、現在のすべての IPv6 近隣者が表示されます。以下の種別の近隣者が表示されます。
• REACHABLE - 近隣者は 30 秒以内で到達可能であると認識されています。
• STALE - 近隣者はすでに到達可能であると認識されていなく、その近隣者に 1200 秒以内にトラフィックが送信されています。
• STATIC - 近隣者は静的近隣者として手動で設定されました。
「ネットワーク > マルチキャスト ルーティング」ページは、IPv6 用のマルチキャスト設定を行うために使用します。これらの設定は、以下の 2 つのセクションに分かれています。
IPv6 と IPv4 との間の相互運用性の維持は、ネットワークで IPv6 を実装する際の主な課題の 1 つです。Dell SonicWALL では、パケットベースのマルチキャスト変換を使用できる一方で、IPv6 と IPv4 のネットワーク間の境界に配備できるマルチキャスト プロキシ ソリューションをサポートしています。Dell SonicWALL は、IPv4 ネットワークからマルチキャスト データを受け取り、キャッシュしたうえで、そのデータを IPv6 ネットワークにマルチキャストします (IPv6 から IPv4 ネットワークへのマルチキャスト データの送信ではこの逆の処理が行われます)。これを実現するのにパケットベースの変換は必要ありません。
IPv6 と IPv4 のネットワーク間のマルチキャスト プロキシを設定するには、以下の手順を実行します。
1. 「ネットワーク > マルチキャスト ルーティング」ページに移動します。
2. 「マルチキャスト プロキシを有効にする」チェックボックスを選択します。
3. 「アップストリーム インターフェース」プルダウン メニューで、IPv6 ネットワークに接続されているインターフェースを選択します。
4. 「ダウンストリーム インターフェース」プルダウン メニューで、IPv4 ネットワークに接続されているインターフェースを選択します。
5. 「適用」ボタンを選択します。これでマルチキャスト データがプロキシされるようになります。
マルチキャスト リスナー発見 (MLD) プロトコルは、ファイアウォールに直接接続されているマルチキャスト リスナーを発見するために IPv6 ルータによって使用されます。MLD は、IPv4 で使用される IGMP とよく似た IPv6 用の機能を実行します。MLD には 2 つのバージョンがあります。MLDv1 は IGMPv2 に、MLDv2 は IGMPv3 に類似しています。
|
MLD の機能は明示的な設定を一切必要としません。MLD の動作を変更するために微調整できる変数がいくつかります。
• マルチキャスト ルータ問い合わせ間隔:MLD の問い合わせ間隔の長さを秒単位で指定します。既定値は 125 秒です。
• マルチキャスト最終受信者問い合わせ間隔:反応がないポートをマルチキャスト グループから削除するまでにルータが待機する最長時間です。この値を小さくすると、ファイアウォールがマルチキャスト アドレスまたは送信元に対する最終リスナーの離脱を検出するのに要する時間が短縮されます。既定値は 1000 ミリ秒 (1 秒) です。
• マルチキャスト ルータ クエリ応答間隔:定期的な MLD 問い合わせの間に挿入される最大応答遅延です。マルチキャスト ルータ クエリ応答間隔を変更することで、管理者はリンクでの MLD メッセージのバースト度を調整できます。値が大きいほどトラフィックのバースト度は低下し、ホストの応答はより長い期間内に分散します。マルチキャスト ルータ クエリ応答間隔は、マルチキャスト ルータ問い合わせ間隔よりも小さくする必要があります。既定値は 10000 ミリ秒 (10 秒) です。
• マルチキャスト ルータ強靭性変数:ターゲットが削除されるまでに、無応答の状態で送信される問い合わせの数を指定します。この変数により、リンク上での想定されるパケット損失に応じてプロトコルを調整できます。損失の多いリンク (無線接続など) では、強靱性変数の値を増やすとよいでしょう。既定値は 2 です。この強靱性変数は 2 より小さな値には設定しないでください。
DHCPv6 サーバは、「ネットワーク > DNS」ページの右上隅にある「表示する IP バージョン」ラジオ ボタンで「IPv6」オプションを選択した後、IPv4 用と同じ方法で設定できます。
IPv6 ファイアウォール アクセス ルールは、IPv4 アドレス オブジェクトの代わりに IPv6 アドレス オブジェクトを選択することで、IPv4 アクセスと同様の方法で設定できます。「ネットワーク > アクセス ルール」ページの「表示する IP バージョン」ラジオ ボタンには次の 3 つのオプションがあります。「IPv4 のみ」、「IPv6 のみ」、「IPv4 と IPv6」です。
IPv6 アクセス ルールを追加する際、送信元および送信先には IPv6 アドレス オブジェクトのみ使用できます。
IPSec VPN は、「VPN > 設定」ページの右上隅にある「表示する IP バージョン」ラジオ ボタンで「IPv6」オプションを選択した後、IPv4 VPN と同様の方法で設定できます。
現在 IPv6 でサポートされていない特定の VPN 機能があります。
• IKEv2 はサポートされていますが、JKE は現在サポートされていません。
• GroupVPN はサポートされていません。
• VPN を越えた DHCP はサポートされていません。
IPv6 VPN ポリシーを設定する際には、「一般」タブで、IPv6 アドレスを使用してゲートウェイを設定する必要があります。FQDN はサポートされていません。IKE 認証の設定時には、ローカルおよびピアの IKE ID に IPv6 アドレスを使用できます。
VPN を越えた DHCP と L2TP サーバはサポートされていません。
VPN ポリシーの「ネットワーク」タブで、IPV6 アドレス オブジェクト (または IPv6 アドレス オブジェクトを含むアドレス グループ) を「ローカル ネットワーク」および「リモート ネットワーク」で選択する必要があります。
VPN を越えた DHCP はサポートされていません。そのため、保護されたネットワーク用の DHCP オプションは使用できません。
「ローカル ネットワーク」の「すべてのアドレス」と、「リモート ネットワーク」の「強制トンネル」オプションは削除されました。すべて 0 の IPv6 ネットワーク アドレス オブジェクトを同じ機能や動作に対して選択できます。
「プロポーザル」タブでの設定は、IPv6 のみが IKEv2 モードをサポートしている点を除き、.IPv6 と IPv4 で同じです。
「詳細」タブでは、「キープ アライブを有効にする」と「IKEv2 設定」のみを IPv6 VPN ポリシーに対して設定できます。
Note インターフェースは複数の IPv6 アドレスを持つことができるので、トンネルのローカル アドレスは定期的に変化することがあります。ユーザが一貫性のある IP アドレスを必要としている場合は、ゾーンではなくインターフェースにバインドされるように VPN ポリシーを設定し、アドレスを手動で指定します。このアドレスは、そのインターフェースに対する IPv6 アドレスの 1 つでなければなりません。
SonicOS は IPv6 アドレスによるユーザ向けの NetExtender 接続をサポートしています。「SSL VPN > クライアント設定」ページで、まず従来の IP アドレス プールを設定し、次に IPv6 の IP プールを設定します。クライアントには 2 つの内部アドレスが割り当てられます。1 つは IPv4、もう 1 つは IPv6 です。
IPv6 DNS/WINS サーバはサポートされていません。
「SSLVPN > クライアント ルート」ページで、ユーザは、事前定義されたすべての IPv6 アドレス オブジェクトを含むすべてのアドレス オブジェクトのドロップダウン リストからクライアント ルートを選択できます。
Note IPv6 FQDN がサポートされています。
アプリケーション フロー監視およびリアルタイム監視のための IPv6 可視化は、IPv4 可視化を拡張したものであり、管理インターフェースにおけるインターフェース/アプリケーションの速度のリアルタイム監視とセッションの可視化を実現します。
IPv6 向けの新しい可視化ダッシュボード監視の強化により、管理者はネットワーク セキュリティの脆弱性とネットワーク帯域幅の問題により迅速に対処できます。管理者は、組織内外へ送信されるコンテンツを管理するために、従業員がどのウェブサイトにアクセスしているか、ネットワーク内でどのアプリケーションとサービスが、どのような範囲で使用されているかを確認できます。
「アプリケーション フロー監視」ページには、「表示する IP バージョン」の選択に対応した新しい 2 つのオプションがあります。これらのオプションにより、IPv6 のみのトラフィック、または IPv4 と IPv6 の両方のトラフィックを監視できます。
「リアルタイム監視」ページの「アプリケーション」および「帯域幅」パネルの「インターフェース」ドロップダウン メニューにも、同じ 2 つの新しいオプションがあります。
IPv6 の可視化には、次に示す機能上の制限があります。
• IPv6 の URL 格付けはサポートされていません。CFS は IPv6 のすべての面をサポートしているわけではないからです。
• IPv6 の国情報はサポートされていません。
• IPv6 の外部報告はサポートされていません。
アプリケーション フロー監視とリアルタイム監視の可視化は、IPv6 と IPv4 で同様に設定され、「表示する IP バージョン」ラジオ ボタンを選択して表示/設定を変更します。可視化に関する一般的な設定の詳細については、可視化ダッシュボードを参照してください。
IPv6 の高可用性 (HA) 監視は、IPv4 での HA 監視の拡張版として実装されています。IPv6 での HA 監視の設定後は、プライマリとバックアップの両方の装置を IPv6 監視アドレスから管理でき、IPv6 監視によって HA ペアのネットワーク状況を検出できます。
「高可用性 .> 監視」ページに「IPv6」と「IPv4」のラジオ ボタンが表示され、2 つの表示を切り替えて双方の IP バージョンを容易に設定できます。
このセクションは次のサブセクションから構成されています。
IPv6 HA 監視機能の制限は次のとおりです。
• IPv6 HA 監視の設定ページでは「物理リンク監視」プロパティを変更できません。このプロパティは IPv4 の HA 監視設定ページで設定します。
• IPv6 HA 監視の設定ページでは「仮想 MAC の上書き」プロパティを変更できません。このプロパティは IPv4 の HA 監視設定ページで設定します。
• HA 監視は IPv4 と IPv6 の両方で同時には有効にできません。つまり、IPv4 の監視が有効になっている場合は IPv6 の監視を無効にする必要があり、その逆もまた同様です。
ICMPv6 パケットは、IPv6 アドレスを監視するためにプライマリとバックアップの各装置から定期的に送信され、監視対象 IPv6 アドレスからの応答が監視されます。監視対象 IPv6 アドレスにアクティブな装置が到達できず、アイドル状態の装置が到達できる場合は、このバックアップ装置のほうがネットワーク状況が良いのでフェイルオーバーが開始されます。
IPv6 HA 監視では、IPv6 アドレス、ICMPv6 エコー要求、および ICMPv6 エコー応答が使用されます。プライマリとバックアップの各装置のネットワーク状況の判断に使用されるロジックは、IPv4 と IPv6 で同じです。
IPv6 HA 監視の設定ページは、IPv4 のものを継承しているので、設定手順はほとんど同じです。ただ IPv6 のラジオ ボタンを選択するだけです。その後の設定の詳細については、付録 C:IPv6を参照してください。
IPv6 HA 監視の設定時には、次の点を考慮します。
• 「物理リンク監視」と「仮想 MAC」のチェックボックスは淡色表示されます。これらはレイヤ 2 プロパティだからです。つまり、これらのプロパティは、IPv4 と IPv6 の両方で使用されるので、ユーザは IPv4 監視ページで設定する必要があります。
• プライマリ/バックアップの IP アドレスは、インターフェースの同一サブネット内になければならず、プライマリ/バックアップ装置のグローバル IP やリンクローカル IP と同じにはできません。
• プライマリ/バックアップの監視 IP が ("::"以外に) 設定されている場合、それらは同じにはできません。
• 「管理」チェックボックスが選択されている場合、プライマリ/バックアップの監視 IP は未指定 (::) にはできません。
• 監視のチェックボックスが有効になっている場合は、監視 IP を未指定にはできません。
SonicOS では、次に示すような、IPv6 用の診断ツールを重視しています。
パケット キャプチャは IPv6 を完全にサポートしています。
パケット キャプチャのフィルタには IPv6 キーワードを使用できます。
この Ping ツールには、「IPv6 ネットワークを優先して Ping を実行」という新しいオプションが含まれています。
ドメイン名に対して Ping を実行すると、返された最初の IP アドレスが使用され、実際の Ping 実行アドレスが表示されます。IPv4 と IPv6 の両方のアドレスが返された場合、既定ではファイアウォールによって IPv4 アドレスに対する Ping が実行されます。
「IPv6 ネットワークを優先して Ping を実行」オプションが有効になっている場合、ファイアウォールは IPv6 アドレスに対して Ping を実行します。
IPv6 の DNS 調査または IPv6 の逆引き名前調査の実行時には、DNS サーバ アドレスを入力する必要があります。IPv6 と IPv4 のどちらのアドレスでも使用できます。