Amazon VPC上のCisco ASAvインスタンスでIPv6を有効にする

Amazon VPC上のCisco ASAvインスタンスでIPv6を有効にする

#Amazon VPC
#ネットワーク
#セキュリティ
#AWS
トラン

トラン

facebook logohatena logotwitter logo
Clock Icon2017.04.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、ももんが大好きの小山です。みなさんいかがお過ごしでしょうか?

きょうは、VPC 上に起動した Cisco ASAv インスタンスで IPv6 を有効にする方法についてご紹介したいと思います。

準備

ASAv のインターフェイスで IPv6 を使用するためには、ENI で IPv6 アドレスが有効になっている必要があります。あらかじめ以下の前提を満たすように準備しましょう。

  • VPC に IPv6 の CIDR ブロック (/46) が割り当てられていること
  • IPv6 を使用したいインターフェイス (今回は outside) のサブネットに IPv6 の CIDR ブロック (/64) が割り当てられていること
  • (オプション) IPv6 アドレス (/64) が割り当てられたサブネットのルートテーブルでインターネットゲートウェイへのルートが設定されていること
  • IPv6 を使用したいインターフェイスに IPv6 アドレスが割り当てられていること
  • Amazon VPC の IPv6 の使用開始 - Amazon Virtual Private Cloud

Cisco ASAv インスタンスへ ASDM から接続できるようにする方法については、以下をご覧ください。 EC2に起動したCisco ASAvインスタンスをASDMから操作する | Developers.IO

やってみる

早速やってみましょう。ASDM を起動して ASAv へ接続したら、Configuration > Device Setup > Interface Settings > Interfaces を開きます。続いて IPv6 を使用したいインターフェイスを選択して、Editボタンを押しましょう。

Edit Interfaceが表示されたら、IPv6タブで以下の3箇所を設定します。Enable IPv6 を選択する必要はありません。

  • Enable address autoconfiguration: default trust dhcp (IPv6 アドレスの自動設定を有効にし、ルータが提供する DHCP サービスのみ信頼します)
  • Enable DHCP (インターフェイスの DHCP クライアントを有効にします)
  • Enable Default (DHCP による IPv6 デフォルトルートの自動設定を有効にします)

注意: Amazon VPC では、IPv6 を使用したいインターフェイスで DHCPv6 を有効にする必要があります。Router Advertisements (RA) による Stateless Address Autoconfiguration (SLAAC) は使用できませんから注意してください! IPv6 への移行 - Amazon Virtual Private Cloud

設定を確かめたら、OK > Apply の順に選択して適用しましょう。以上の操作で、runnning-config には以下のような設定が加わります。

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 100.95.0.36 255.255.255.0 
 ipv6 address autoconfig default trust dhcp
 ipv6 address dhcp default

正しい IPv6 アドレスが設定されたかどうか確かめるには、Tools > Command Line Interface... からshow ipv6 interfaceを実行しましょう。

ASAv から外部の IPv6 ホストへ到達できるかどうか確かめるには、Tools > Ping... を使用します。

外部から ASAv へ IPv6 で到達できることを確かめるため、ENI のセキュリティグループで ICMP を許可して PING を送ってみます。

$ ping6 -c 5 2a05:d018:6ba:7993:6131:380a:ba50:2d84
PING6(56=40+8+8 bytes) 2001:db8:ff7:5699:1cf4:3d06:252:efc9 --> 2a05:d018:6ba:7993:6131:380a:ba50:2d84
16 bytes from 2a05:d018:6ba:7993:6131:380a:ba50:2d84, icmp_seq=0 hlim=47 time=55.653 ms
16 bytes from 2a05:d018:6ba:7993:6131:380a:ba50:2d84, icmp_seq=1 hlim=47 time=53.976 ms
16 bytes from 2a05:d018:6ba:7993:6131:380a:ba50:2d84, icmp_seq=2 hlim=47 time=54.478 ms
16 bytes from 2a05:d018:6ba:7993:6131:380a:ba50:2d84, icmp_seq=3 hlim=47 time=54.832 ms
16 bytes from 2a05:d018:6ba:7993:6131:380a:ba50:2d84, icmp_seq=4 hlim=47 time=57.197 ms

--- 2a05:d018:6ba:7993:6131:380a:ba50:2d84 ping6 statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 53.976/55.227/57.197/1.126 ms

きちんと到達できていますね!

おわりに

いかがでしたか? 今回は、VPC 上の ASAv で IPv6 を使用できるようにする方法についてご紹介しました。次回は、AnyConnect で IPv6 を提供する方法についてもご紹介したいと思います。

したっけまた!

Share this article

facebook logohatena logotwitter logo

関連記事

パブリックアクセスブロック(BPA)でインターネットアクセスを遮断してみた

パブリックアクセスブロック(BPA)でインターネットアクセスを遮断してみた

User avatar
suzuki.ryo
2024.11.22
CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

User avatar
suzuki.ryo
2024.11.21
S3バケットへのアクセスをオンプレミスサーバーのプライベートIPアドレスで制限する方法2選

S3バケットへのアクセスをオンプレミスサーバーのプライベートIPアドレスで制限する方法2選

User avatar
平井裕二
2024.11.19
複数アカウントでAmazon ECRのVPCエンドポイント(com.amazonaws.region.ecr.dkr)を共有する際の注意点

複数アカウントでAmazon ECRのVPCエンドポイント(com.amazonaws.region.ecr.dkr)を共有する際の注意点

User avatar
平井裕二
2024.11.12
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.