ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. 製品
  3. 企業・官公庁向け製品名一覧
  4. UNIVERGE IXシリーズ
  5. 技術情報/お知らせ
  6. フレッツ 光ネクスト向け IPv6 VPN接続 設定ガイド(IPv6 IPoE)<RA方式>
ここから本文です。

UNIVERGE IXシリーズ 設定事例

フレッツ 光ネクスト向け IPv6 VPN接続 設定ガイド(IPv6 IPoE)

フレッツ 光ネクスト回線のIPv6インターネット接続サービス(IPv6 IPoE)を使用して、離れた拠点間をVPN(IPv4 over IPv6 IPsec)で接続するための設定例をご紹介します。

IPv6 IPoE方式の場合、ご利用のフレッツ回線における“ひかり電話の契約状況”によりIPv6プレフィックスの取得方法が変わります。事前に契約状況の確認をお願いします。

  • ひかり電話を契約していない。⇒RA(Router Advertisement)を使用してIPv6プレフィックスを取得します。このまま本ページの設定例に従って設定を行ってください。
  • ひかり電話を契約している。 ⇒DHCPv6-PDでIPv6プレフィックスを取得します。「IPv6 VPN接続 設定ガイド(IPv6 IPoE)<DHCPv6-PD方式>」に従って設定を行ってください。

  • ひかり電話を契約している場合でも、お使いのひかり電話ルータ(オフィスゲートウェイもしくはホームゲートウェイ)がIPv6 RA送信機能に対応している場合は、本ページの設定例に従ってIPsec接続を行うことも可能です。詳しくはお使いのひかり電話ルータの仕様をご確認ください。

図.IPv6 VPN接続(IPv6 IPoE)

設定ガイド集をお使いになる前に

  • 本設定例は「IX2105」を前提に記載しておりますが、その他ギガビットイーサネット対応機種(「IX2207」など)でも本ページの設定例をそのままご利用いただけます(ご利用構成によってはインタフェース番号の変更が必要です)。
  • IPv6 IPoE方式の場合、IPv6プレフィックスの割り当ては“半固定”とされています。万が一本装置に割り当てられるIPv6プレフィックスに変更が生じた場合、VPN接続の設定変更が必要です。もしくはIPv6 DDNSサービスを使用し、トンネルピアを名前(fqdn)で指定してください。
  • 「IX2105」は、回線終端装置(ONU)のLANポートに接続してください。
  • ネイティブ方式のプロバイダと契約しているユーザ同士でIPv6通信を行う場合、その通信はインターネットを通らず、フレッツ網内(NGN)で折り返されます。(上図参照)
  • 「IX2025」や「IX3015」で設定する場合は、本設定ガイド記載のインタフェースを下記のように読み替えてください。

IX2025、IX3015

インタフェース 記載内容 読み替え
WAN側インタフェース GigaEthernet0.0 FastEthernet0/0.0
LAN側インタフェース GigaEthernet1.0 FastEthernet1/0.0

ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。

準備 PCの設定

概要
あらかじめPCを設定します。

使用するPCを以下のように設定しておきます。

項目 ルータR1拠点のPC ルータR2拠点のPC
IPアドレス 192.168.10.1~192.168.10.253 192.168.20.1~192.168.20.253
サブネットマスク 255.255.255.0 255.255.255.0
デフォルトゲートウェイ 192.168.10.254 192.168.20.254

STEP1 ルータR1の設定

    概要
  • ルータR1に、IPv6インターネット接続の設定と、拠点間通信のためのIPsecトンネルの設定を行います。
  • ルータR1に対しては、ISPから固定IPv6プレフィックス「2001:db8:1100::/64」が割り当てられるものとし、このプレフィックスの中からVPN接続に使用するWANアドレスとして「2001:db8:1100::2」を使用します。
  • ルータR2のWANアドレスは「2001:db8:1200::2」です。

  1. ip ufs-cache enable
    ipv6 ufs-cache enable
    !
  2. ip route 192.168.20.0/24 Tunnel0.0
    !
  3. ipv6 access-list flt-list permit ip src 2001:db8:1200::2/128 dest 2001:db8:1100::2/128
    ipv6 access-list flt-list permit icmp router-advertisement src any dest any
    ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any
    ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any
    !
  4. ike proposal ike-prop encryption aes-256 hash sha group 1024-bit
    ike policy ike-policy peer 2001:db8:1200::2 key himitsu ike-prop
    !
  5. ip access-list sec-list permit ip src any dest any
    ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
    ipsec autokey-map ipsec-map sec-list peer 2001:db8:1200::2 ipsec-prop pfs 1024-bit
    ipsec local-id ipsec-map 192.168.10.0/24
    ipsec remote-id ipsec-map 192.168.20.0/24
    !
  6. interface GigaEthernet0.0
      ipv6 enable
      ipv6 interface-identifier 00:00:00:00:00:00:00:02
      ipv6 address autoconfig receive-default
      ipv6 filter flt-list 1 in
      no shutdown
    !
  7. interface GigaEthernet1.0
      ip address 192.168.10.254/24
      no shutdown
    !
  8. interface Tunnel0.0
      tunnel mode ipsec
      ip unnumbered GigaEthernet1.0
      ip tcp adjust-mss auto
      ipsec policy tunnel ipsec-map df-bit ignore out
      no shutdown

  1. UFSキャッシュ機能を利用して、IPv4とIPv6のIPsec転送を高速化します。
  2. ルータR2のLAN側ネットワークへ、IPsecトンネル経由で通信を行うためのスタティックルートの設定です。
    本例では、トンネル接続用インタフェースとしてTunnel0.0を利用します。
  3. IPv6アクセスリストの設定です。IPv6パケットフィルタの設定に使用します。
    本例では、IPsecピアとの通信とDHCPv6通信を許可します。
  4. IKEの設定です。ISAKMP SAの確立に使用します。
    ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。
  5. IPsecの設定です。IPsec SAの確立に使用します。
    ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPsec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。
  6. IPv6インターネット接続用インタフェースGigaEthernet0.0の設定です。IPv6アドレスのインタフェースID(64bit)を「00:00:00:00:00:00:00:02」に固定します。また、RAの送信元ルータに対してデフォルトルートを設定します。
  7. LAN側インタフェースGigaEthernet1.0の設定です。
  8. ルータR2とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。

STEP2 ルータR2の設定

    概要
  • ルータR1と同じ考え方で設定を行います。
  • ルータR2に対しては、ISPから固定IPv6プレフィックス「2001:db8:1200::/64」が割り当てられるものとし、このプレフィックスの中からVPN接続に使用するWANアドレスとして「2001:db8:1200::2」を使用します。
  • ルータR1のWANアドレスは「2001:db8:1100::2」です。

  1. ip ufs-cache enable
    ipv6 ufs-cache enable
    !
  2. ip route 192.168.10.0/24 Tunnel0.0
    !
  3. ipv6 access-list flt-list permit ip src 2001:db8:1100::2/128 dest 2001:db8:1200::2/128
    ipv6 access-list flt-list permit icmp router-advertisement src any dest any
    ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any
    ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any
    !
  4. ike proposal ike-prop encryption aes-256 hash sha group 1024-bit
    ike policy ike-policy peer 2001:db8:1100::2 key himitsu ike-prop
    !
  5. ip access-list sec-list permit ip src any dest any
    ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
    ipsec autokey-map ipsec-map sec-list peer 2001:db8:1100::2 ipsec-prop pfs 1024-bit
    ipsec local-id ipsec-map 192.168.20.0/24
    ipsec remote-id ipsec-map 192.168.10.0/24
    !
  6. interface GigaEthernet0.0
      ipv6 enable
      ipv6 interface-identifier 00:00:00:00:00:00:00:02
      ipv6 address autoconfig receive-default
      ipv6 filter flt-list 1 in
      no shutdown
    !
  7. interface GigaEthernet1.0
      ip address 192.168.20.254/24
      no shutdown
    !
  8. interface Tunnel0.0
      tunnel mode ipsec
      ip unnumbered GigaEthernet1.0
      ip tcp adjust-mss auto
      ipsec policy tunnel ipsec-map df-bit ignore out
      no shutdown

  1. UFSキャッシュ機能を利用して、IPv4とIPv6のIPsec転送を高速化します。
  2. ルータR1のLAN側ネットワークへ、IPsecトンネル経由で通信を行うためのスタティックルートの設定です。
    本例では、トンネル接続用インタフェースとしてTunnel0.0を利用します。
  3. IPv6アクセスリストの設定です。IPv6パケットフィルタの設定に使用します。
    本例では、IPsecピアとの通信とDHCPv6通信を許可します。
  4. IKEの設定です。ISAKMP SAの確立に使用します。
    ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。
  5. IPsecの設定です。IPsec SAの確立に使用します。
    ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPsec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。
  6. IPv6インターネット接続用インタフェースGigaEthernet0.0の設定です。IPv6アドレスのインタフェースID(64bit)を「00:00:00:00:00:00:00:02」に固定します。また、RAの送信元ルータに対してデフォルトルートを設定します。
  7. LAN側インタフェースGigaEthernet1.0の設定です。
  8. ルータR1とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。

最後に設定の保存を行います。
Router(config)# write memory

ページの先頭へ戻る