光クロスでDHCPv6-PDを受ける 八丁スイッチSKS8300-8X編

ネットワーク

光クロスでDHCPv6-PDを受ける 八丁スイッチSKS8300-8X編

interface Ethernet1/0/8
switchport access vlan 303

interface Vlan303
ipv6 dhcp client pd X

interface Vlan310
ipv6 address X ::1/64
no ipv6 nd suppress-ra
ipv6 nd other-config-flag
ipv6 dhcp server DNS

interface Vlan311
ipv6 address X ::1:0:0:0:1/64
no ipv6 nd suppress-ra
ipv6 nd other-config-flag
ipv6 dhcp server DNS

ipv6 route ::/0 fe80::AAA:BBB:CCC:DDD Vlan303

service dhcpv6

ipv6 dhcp pool DNS
dns-server 2404:1a8:7f01:a::3
dns-server 2404:1a8:7f01:b::3

authentication ipv6 access-class 500 in
ipv6 access-list 500 deny any-source

authentication ip access-class 1 in
access-list 1 permit 192.168.0.0 255.255.0.0

DHCPv6でPrefixが取得できた場合以下のコマンドで確認できる。

# show ipv6 dhcp interface
Vlan303 is in client mode
State is RENEW
Retransmission timer expires in 139 seconds
List of known servers:
Reachable via address: fe80::AAA:BBB:CCC:DDD
DUID: 000300010AB0BCDDEE00
Configuration parameters:
IA PD: IA ID 11303, T1 6300, T2 10080
Prefix: 2001:db8:a:100::/56
preferred lifetime 12600, valid lifetime 14400
expires at Thu Sep 12 15:01:05 2024 (6410 seconds)
Prefix name: X
Rapid-Commit: disable
#

ipv6 dhcp client pd X

DHCPv6-PDで取ったPrefixをXというPrefixネームに関連付ける
2001:db8:a:100::/56が取れたとする

ipv6 address X ::1/64

Vlan310のインターフェイスにPrefixネーム::1/64(2001:db8:100::1/64)のIPv6アドレスが割り当てられる

ipv6 address X ::1:0:0:0:1/64

とすることでVlan311に2001:db8:101::1/64のIPv6アドレスが割り当てられる。

ipv6 route ::/0 fe80::AAA:BBB:CCC:DDD Vlan303

デフォルトルートが自動で設定されないことから、手動でNTT側の収容ルータへ向ける。NTT側収容ルータのリンクローカルアドレスはshow ipv6 dhcp interfaceで確認したReachable via addressを設定する。

光ネクストのひかり電話無しの場合のようにDNSサーバのアドレスを配る場合は

ipv6 dhcp pool DNS
dns-server 2404:1a8:7f01:a::3
dns-server 2404:1a8:7f01:b::3

でDHCPでDNSサーバを定義する。
その後インターフェイスでDHCPv6サーバの定義名を指定する。

ipv6 nd other-config-flag
ipv6 dhcp server DNS

このままだと外部からtelnetやssh、webconsoleに応答するため、all-denyのACLを定義しipv6の認証全体に適用することが望ましい。
ipv6のACLを適用しただけではIPv6でWebコンソールが表示できてしまう不具合があるようなので、ipにもACLを適用することをおすすめする。
ipにも適用することでipv6のwebアクセスがdenyされる。

authentication ipv6 access-class 500 in
ipv6 access-list 500 deny any-source

authentication ip access-class 1 in
access-list 1 permit 192.168.0.0 255.255.0.0

シェアする

フォローする

kazukichi