ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. 製品
  3. 企業・官公庁向け製品名一覧
  4. UNIVERGE IXシリーズ
  5. 技術情報/お知らせ
  6. フレッツ 光ネクスト向け IPv6 VPN接続 設定ガイド(IPv6 PPPoE) (IPv6トンネル対応アダプタ利用時)
ここから本文です。

UNIVERGE IXシリーズ 設定事例

フレッツ 光ネクスト向け IPv6 VPN接続 設定ガイド(IPv6 PPPoE) (IPv6トンネル対応アダプタ利用時)

フレッツ 光ネクスト回線のIPv6インターネット接続サービス(IPv6 PPPoE)を使用して、離れた拠点間をVPN(IPv4 over IPv6 IPsec)で接続するための設定例をご紹介します。

本事例では、一方の拠点のみ『IPv6トンネル対応アダプタ』の配下にIXルータを設置します。

図.IPv6 VPN接続(IPv6 PPPoE)

設定ガイド集をお使いになる前に

  • 本設定例は「IX2105」を前提に記載しておりますが、その他ギガビットイーサネット対応機種(「IX2207」など)でも本ページの設定例をそのままご利用いただけます(ご利用構成によってはインタフェース番号の変更が必要です)。
  • 本設定例では、VPN接続する各拠点に“固定のIPv6プレフィックス”が割り当てられることを前提としております。
  • 構成図のルータR2側の「IX2105」は、回線終端装置(ONU)、もしくはひかり電話対応機器(ひかり電話ルータ/ホームゲートウェイなど)のLANポートに接続してください。
  • UNIVERGE IXシリーズは、IPv6インターネットを利用するための「ISP接続機能(IPv6 PPPoE)」にのみ対応しております。ISP接続と同時にNTT東日本・NTT西日本が提供するNGN各種サービスを利用する場合は、「IPv6トンネル対応アダプタ」の配下にIXルータを設置する必要があります。
  • 「IX2025」や「IX3015」で設定する場合は、本設定ガイド記載のインタフェースを下記のように読み替えてください。

IX2025、IX3015

インタフェース 記載内容 読み替え
WAN側インタフェース GigaEthernet0.1 FastEthernet0/0.1
LAN側インタフェース GigaEthernet1.0 FastEthernet1/0.0

ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。

準備1 PCの設定

概要
あらかじめPCを設定します。

使用するPCを以下のように設定しておきます。

項目 ルータR1拠点のPC ルータR2拠点のPC
IPアドレス 192.168.10.1~192.168.10.253 192.168.20.1~192.168.20.253
サブネットマスク 255.255.255.0 255.255.255.0
デフォルトゲートウェイ 192.168.10.254 192.168.20.254

準備2 IPv6トンネル対応アダプタの設定

概要
IPv6トンネル対応アダプタのセキュリティ設定を確認します。

IPv6トンネル対応アダプタのセキュリティ設定(パケットフィルタ設定、ステートフル パケットインスペクション設定など)によっては、IXルータの送信するIPv6 IPsec通信が相手装置に届かない場合があります。

IPv6トンネル対応アダプタのセキュリティ設定をご確認いただき、IPv6 IPsec通信が許可されていることをご確認ください。

STEP1 ルータR1の設定

    概要
  • ルータR1に、IPv6インターネット接続の設定と、拠点間通信のためのIPsecトンネルの設定を行います。
  • ルータR1に対しては、IPv6トンネル対応アダプタから固定IPv6プレフィックス「2001:db8:0:1100::/64」が割り当てられるものとし、VPN接続に使用するWANアドレスとして「2001:db8:0:1100::ace」を使用します。
  • ルータR2のWANアドレスは「2001:db8:0:1201:1」です。

  1. ip ufs-cache enable
    ipv6 ufs-cache enable
    !
  2. ip route 192.168.20.0/24 Tunnel0.0
    !
  3. ipv6 access-list flt-list permit ip src 2001:db8:0:1201::1/128 dest 2001:db8:0:1100::ace/128
    ipv6 access-list flt-list permit icmp router-advertisement src any dest any
    ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any
    ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any
    !
  4. ike proposal ike-prop encryption aes-256 hash sha group 1024-bit
    ike policy ike-policy peer 2001:db8:0:1201::1 key himitsu ike-prop
    !
  5. ip access-list sec-list permit ip src any dest any
    ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
    ipsec autokey-map ipsec-map sec-list peer 2001:db8:0:1201::1 ipsec-prop pfs 1024-bit
    ipsec local-id ipsec-map 192.168.10.0/24
    ipsec remote-id ipsec-map 192.168.20.0/24
    !
  6. interface GigaEthernet1.0
      ip address 192.168.10.254/24
      no shutdown
    !
  7. interface GigaEthernet0.0
      ipv6 enable
      ipv6 interface-identifier 00:00:00:00:00:00:0a:ce
      ipv6 address autoconfig receive-default
      ipv6 filter flt-list 1 in
      no shutdown
    !
  8. interface Tunnel0.0
      tunnel mode ipsec
      ip unnumbered GigaEthernet1.0
      ip tcp adjust-mss auto
      ipsec policy tunnel ipsec-map df-bit ignore out
      no shutdown

  1. UFSキャッシュ機能を利用して、IPv4とIPv6のIPsec転送を高速化します。
  2. ルータR2のLAN側ネットワークへ、IPsecトンネル経由で通信を行うためのスタティックルートの設定です。
    本例では、トンネル接続用インタフェースとしてTunnel0.0を利用します。
  3. IPv6アクセスリストの設定です。IPv6パケットフィルタの設定に使用します。
    本例では、IPsecピアとの通信と一部のICMPv6通信を許可します。
  4. IKEの設定です。ISAKMP SAの確立に使用します。
    ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。
  5. IPsecの設定です。IPsec SAの確立に使用します。
    ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPsec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。
  6. LAN側インタフェースGigaEthernet1.0の設定です。
  7. IPv6インターネット接続用インタフェースGigaEthernet0.0の設定です。このインタフェースのIPv6アドレスを「2001:db8:0:1100::ace」に設定するために、インタフェース識別子(interface-identifier)を指定するコマンドを使用します。IPv6トンネル対応アダプタとIPv6アドレスが重複しないようにするために、インタフェース識別子は「00:00:00:00:00:00:00:01」以外の値を設定してください。
  8. ルータR2とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。

STEP2 ルータR2の設定

    概要
  • ルータR1と同じ考え方で設定を行います。
  • ルータR2に対しては、ISPから固定IPv6プレフィックス「2001:db8:0:1200::/56」が割り当てられるものとし、このプレフィックスの中からVPN接続に使用するWANアドレスとして「2001:db8:0:1201::1」を使用します。
  • ルータR1のWANアドレスは「2001:db8:0:1100::ace」です。

  1. ip ufs-cache enable
    ipv6 ufs-cache enable
    !
  2. ipv6 route 2001:db8:0:1101::1/128 GigaEthernet0.1
  3. ip route 192.168.10.0/24 Tunnel0.0
    !
  4. ipv6 access-list flt-list permit ip src 2001:db8:0:1100::ace/128 dest 2001:db8:0:1201::1/128
    ipv6 access-list flt-list permit udp src any sport eq 547 dest any dport eq 546
    !
  5. ike proposal ike-prop encryption aes-256 hash sha group 1024-bit
    ike policy ike-policy peer 2001:db8:0:1100::ace key himitsu ike-prop
    !
  6. ip access-list sec-list permit ip src any dest any
    ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
    ipsec autokey-map ipsec-map sec-list peer 2001:db8:0:1100::ace ipsec-prop pfs 1024-bit
    ipsec local-id ipsec-map 192.168.20.0/24
    ipsec remote-id ipsec-map 192.168.10.0/24
    !
  7. ppp profile flets-v6
      authentication myname [ISPへの接続ID]
      authentication password [ISPへの接続ID] [パスワード]
    !
  8. ipv6 dhcp client-profile dhcpv6-cl
      ia-pd subscriber GigaEthernet0.1 ::1:0:0:0:1/64
    !
  9. interface GigaEthernet1.0
      ip address 192.168.20.254/24
      no shutdown
    !
  10. interface GigaEthernet0.1
      encapsulation pppoe
      auto-connect
      ppp binding flets-v6
      ipv6 enable
      ipv6 dhcp client dhcpv6-cl
      ipv6 filter flt-list 1 in
      no shutdown
    !
  11. interface Tunnel0.0
      tunnel mode ipsec
      ip unnumbered GigaEthernet1.0
      ip tcp adjust-mss auto
      ipsec policy tunnel ipsec-map df-bit ignore out
      no shutdown

  1. UFSキャッシュ機能を利用して、IPv4とIPv6のIPsec転送を高速化します。
  2. ルータR1のLAN側ネットワークへ、IPsecトンネル経由で通信を行うためのスタティックルートの設定です。
    本例では、トンネル接続用インタフェースとしてTunnel0.0を利用します。
  3. ルータR1のWAN側アドレスと、IPv6インターネット経由でIPsecトンネルを確立するためのスタティックルートです。
    本例では、IPv6インターネットへの接続に、インタフェースGigaEthernet0.1を利用します。
  4. IPv6アクセスリストの設定です。IPv6パケットフィルタの設定に使用します。
    本例では、IPsecピアとの通信とDHCPv6通信を許可します。
  5. IKEの設定です。ISAKMP SAの確立に使用します。
    ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。
  6. IPsecの設定です。IPsec SAの確立に使用します。
    ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPsec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。
  7. IPv6インターネットに接続するためのIDとパスワードを設定します。
  8. DHCPv6の設定です。ia-pd subscriberコマンドを使用して、WANインタフェースに固定のIPv6アドレスを設定します。
    ia-pd subscriberコマンドでは、IPv6アドレスのうちISPから配布されるプレフィックス情報を除く「IPv6アドレスの後半部分(サブネットIDとインタフェースID)」の値を指定することが可能で、ISP配布プレフィックスが「2001:db8:0:1200/56」の場合、本設定によりGE0.1に設定されるIPv6アドレスは「2001:db8:0:1201:1:0:0:0:1」になります。
  9. LAN側インタフェースGigaEthernet1.0の設定です。
  10. IPv6インターネット接続用インタフェースGigaEthernet0.1の設定です。
  11. ルータR1とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。

最後に設定の保存を行います。
Router(config)# write memory

ページの先頭へ戻る