30.7.1 IPv6 フィルターの定義

[書式]

ipv6 filter filter_num pass_reject src_addr[/prefix_len] [dest_addr[/prefix_len] [protocol [src_port_list [dest_port_list]]]]
no ipv6 filter filter_num [pass_reject]

[設定値及び初期値]

filter_num
- [設定値] : 静的フィルター番号 (1..21474836)
- [初期値] : -
pass_reject
- [設定値] : フィルターのタイプ (ip filter コマンドに準ずる )
- [初期値] : -
src_addr : IPv6 パケットの始点 IPv6 アドレス
- [設定値] :
  - IPv6アドレス
    - 静的または動的IPv6アドレス
    - , を区切りとして複数設定することができる。
  - FQDN
    - 任意の文字列 (半角 255 文字以内。/ ：は使用できない。, は区切り文字として使われるため、使用できない)
    - * から始まる FQDN は * より後ろの文字列を後方一致条件として判断する例えば *.example.co.jp は www.example.co.jp 、mail.example.co.jp などと一致する
    - , を区切りとして複数設定することができる。
  - map-e
    - MAP-Eのマップルールにより生成され、MAP-Eトンネルに設定されたグローバルIPv6アドレスを表すキーワード
  - hb46pp
    - IPv6 マイグレーション技術の国内標準プロビジョニング方式により取得したグローバル IPv6 アドレスを表すキーワード
  - アプリケーション名を表すニーモニック (ip filter コマンドに準ずる )
  - * (すべての IPv6 アドレスに対応)
- [初期値] : -
prefix_len
- [設定値] : プレフィックス長
- [初期値] : -
dest_addr : IPv6 パケットの終点 IPv6 アドレス
- [設定値] :
  - src_addr と同じ形式
  - 省略した場合は一個の * と同じ
- [初期値] : -

protocol : フィルタリングするパケットの種類 (ip filter コマンドに準ずる )

[設定値] :

icmp-nd	近隣探索に関係するパケットの指定を示すキーワード。(TYPE が 133、134、135、136 のいずれかである ICMPv6 パケット )
icmp4	ICMPv4 パケットの指定を示すキーワード
icmp	ICMPv6 パケットの指定を示すキーワード
icmp6	ICMPv6 パケットの指定を示すキーワード

[初期値] : -

src_port_list
- [設定値] : TCP/UDP のソースポート番号、あるいは ICMPv6 タイプ (ip filter コマンドに準ずる )
- [初期値] : -
dest_port_list
- [設定値] : TCP/UDP のデスティネーションポート番号、あるいは ICMPv6 コード
- [初期値] : -

[説明]

IPv6 のフィルターを定義する。

[ノート]

近隣探索に関係するパケットとは以下の 4 つを意味する。

133: Router Solicitation
134: Router Advertisement
135: Neighbor Solicitation
136: Neighbor Advertisement

src_addr および dest_addr は IPv6 アドレス、FQDN、map-e、hb46pp、およびアプリケーション名を表すニーモニックを混合することも可能。

src_addr および dest_addr への FQDN の指定は、vRX Amazon EC2 版、vRX VMware ESXi 版、RTX5000 / RTX3500 Rev.14.00.31 以前、RTX1220 Rev.15.04.03 以前、RTX1210 Rev.14.01.40 以前、および RTX830 Rev.15.02.23 以前では不可能。
src_addr および dest_addr に FQDN を指定することによって、固定 IP アドレスではないサーバーや 1 つの FQDN に対して複数の固定 IP アドレスを持つサーバーを対象にしたフィルタリングを行うことができる。FQDN を使用する場合、ルーター自身が DNS リカーシブサーバーとして動作し、ルーター配下の端末は DNS サーバーとして本機を指定する必要がある。
指定した FQDN に一致する通信が発生した場合、設定した FQDN に該当する IPv6 アドレスの情報が保持される。保持される期間は、 ip filter fqdn timer コマンドで指定できる。

src_addr および dest_addr への map-e の指定は、vRX シリーズ、RTX5000 / RTX3500 Rev.14.00.31 以前、RTX1210 Rev.14.01.39 以前、および RTX830 Rev.15.02.19 以前では不可能。
src_addr および dest_addr への hb46pp の指定は、vRX シリーズ、RTX5000、RTX3510 Rev.23.01.01、RTX3500、RTX1300 Rev.23.00.11 以前、RTX1220 Rev.15.04.06 以前、RTX1210、および RTX830 Rev.15.02.30 以前では不可能。
src_addr および dest_addr へのアプリケーション名を表すニーモニックの指定は、vRX シリーズ、RTX5000、RTX3510、RTX3500、RTX1300、RTX1220、RTX1210、および RTX830 では不可能。

アプリケーション名を表すニーモニックには、通信先リストに記載されたニーモニックを指定する。
以下の状態では、アプリケーション名を表すニーモニックは評価されない。

LBO の状態が"正常動作中"でないとき
指定されたニーモニックが、通信先リストに含まれていないとき

[設定例]

PP 1 で送受信される IPv6 Packet Too Big を記録する

# pp select 1
# ipv6 pp secure filter in 1 100
# ipv6 pp secure filter out 1 100
# pp enable 1
# ipv6 filter 1 pass-log * * icmp6 2
# ipv6 filter 100 pass * *

Microsoft 365 および Windows Update のパケットは PP1 経由で、その他は TUNNEL1 経由で送信する
```
# ipv6 route default gateway pp 1 filter 1 gateway tunnel 1
# ipv6 filter 1 pass * @m365,@windows_update * *
```

[適用モデル]

vRX シリーズ, RTX5000, RTX3510, RTX3500, RTX1300, RTX1220, RTX1210, RTX840, RTX830