2.11. データコネクト対応オンデマンドVPN機能の設定

「フレッツ光ネクスト」等のひかり電話回線で「ひかり電話」を契約している場合、帯域保証型のデータ通信サービスである「データコネクト」を利用して、オンデマンドのVPN環境を構築することができます。

2.11.1. データコネクト機能概要

データコネクトは、あて先に電話番号を使った帯域保証型のデータ通信サービスです。ベストエフォート型のサービスとは異なり、帯域保証型のサービスとなっているため安定した通信が可能です。

通信はSIPサーバーを介してUDPで行う必要があるため、IX-RルータではIPsecのNATトラバーサル機能を利用します。また、帯域制御は装置側で行う必要があるため、QoSの設定が必要です。

../_images/11_dataconnect_01.svg

2.11.2. 契約条件

本機能は以下の契約条件で動作します。

  • フレッツ光ネクスト

  • ひかり電話

  • ひかり電話オフィスタイプ

  • ひかり電話オフィスA(エース)

  • ナンバーディスプレイ(着信側のみ必要)

  • 発信電話番号通知(発信側のみ必要)

  • 対向先拠点数分のチャネル数契約

データコネクトの回線速度の上限は、チャネルごとに1Mbpsです。

2.11.3. 制限事項

以下の機能はサポートしておりません。

  • IX-Rルータ、IXルータ以外の装置との接続

  • IPsec NATトラバーサル機能を使用しない接続

  • データコネクトサービスのIPv6対応

  • 複数のひかり電話回線の収容

  • 追加番号による発信(OGW配下などでの発信は可能)

  • VRFのインタフェースでの接続

2.11.4. 注意事項

複数の回線を契約していて、現在接続している回線から別の回線にケーブルを繋ぎかえる場合、2~3分程度接続できないことがあります。ケーブルを抜いて繋ぎなおす前にひかり電話接続機能を有効にしたインタフェースをshutdownとしておくか、接続後装置を再起動してください。

2.11.5. データコネクトサービスの概要

ひかり電話接続機能を有効にして対象の回線にケーブルを接続すると、ルータはDHCPでIPアドレスのほかに電話番号やSIPサーバーのアドレスを取得します。データコネクト機能を利用する場合のDHCPやSIPの動作概要を説明します(主要なシーケンス以外は省略しています。DHCPサーバー、SIPサーバーはひかり電話網にあります)。

../_images/11_dataconnect_02.svg

(1)DHCPサーバーからは、IPアドレス、電話番号、SIPサーバーアドレスなどの情報を取得します。

(2)DHCPで取得した、アドレスと電話番号をSIPサーバーに登録します。

登録が完了していれば、いつでも発着信可能です。拠点1側から発信して切断する場合のシーケンスを以下に示します(拠点1側のみで、主要なシーケンス以外は省略しています)。

../_images/11_dataconnect_03.svg

(3)SIPサーバーに宛先の電話番号へのINVITEを送信することで接続要求します。トラフィックの種類や帯域などの情報を通知し、相手装置と条件が一致すれば接続されます。

(4)BYEを送信することで切断されます。

接続開始は他拠点宛の通信を受信したとき、切断開始は通信がすべて終了して一定時間経過したときにそれぞれ自動的に行われます。

着信する場合も同様で、矢印の向きが反対になります。

2.11.6. 基本設定(IKEv1)

ひかり電話網のデータコネクトサービスを利用して拠点間通信を行うためには、下記の設定が必要になります。

以下のすべての設定が必要です。

  • イーサネットインタフェースのひかり電話接続機能の設定

  • データコネクトプロファイルの設定

  • IPsecトンネル(NATトラバーサル)の設定

  • トンネルインタフェースの設定

  • QoSの設定

ここではデータコネクト対応オンデマンドVPN機能により拠点間通信を行う場合の全体の設定例を示し、それぞれの設定について詳細に説明します。

リスト 2.11.1 設定例
ip route 192.168.2.0/24 Tunnel0.0

ike proposal ike-prop encryption aes hash sha
ike policy ike-policy peer ngn-dynamic key secret mode aggressive ike-prop
ike local-id ike-policy keyid kyoten-1
ike remote-id ike-policy keyid kyoten-2
ike nat-traversal force
ipsec autokey-proposal ipsec-prop esp-aes esp-sha
ipsec dynamic-map ipsec-policy ipv4 ipsec-prop ike-binding ike-policy
ipsec local-id ipsec-policy 192.168.1.0/24
ipsec remote-id ipsec-policy 192.168.2.0/24

ngn profile ngn_profile
  bandwidth 1000

interface GigaEthernet0.0
  ip address dhcp
  service-policy enable
  service-policy output default-policy-map-ngn
  ngn ip enable
  no shutdown

interface GigaEthernet1.0
  ip address 192.168.1.254/24
  no shutdown

interface Tunnel0.0
  tunnel mode ipsec
  dialer string 2000
  idle-time 120
  ngn binding GigaEthernet0.0 ngn_profile ike-policy ike-policy
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-policy mtu ignore pre-fragment
  no shutdown

2.11.6.1. イーサネットインタフェースのひかり電話接続機能の設定

まず、ひかり電話に接続するイーサネットインタフェースを決定し、以下のコマンドを設定します。

  • インタフェースコンフィグモード

    項目

    説明

    ngn ip enable

    ひかり電話接続機能の有効化(イーサネットインタフェース)
    リスト 2.11.2 設定例
    interface GigaEthernet0.0
  ip address dhcp
  ngn ip enable
  no shutdown

ngn ip enableを設定すると、イーサネットインタフェースはひかり電話網に接続可能になり、ひかり電話網に許可されていない通信を廃棄するフィルタリングが自動的に動作します(送信方向のみ)。

ひかり電話網に接続するインタフェースのIPv4アドレスはDHCPで設定します。ngn ip enableが設定されているインタフェースのDHCPは、ひかり電話網に接続するための認証設定が行われ、DHCP経由でIPアドレスのほか、SIPサーバーのアドレスや電話番号などの情報を取得できるようになります(認証の設定は自動で行います)。

なお、このインタフェースにはQoSも設定しますが、説明は後述の項目を参照してください。

2.11.6.2. データコネクトプロファイルの設定

データコネクトプロファイルを設定し、ひかり電話網に通知するセッション情報を設定します。データコネクト対応オンデマンドVPN機能で使用するプロトコルやポート番号などは自動的に設定するので、ここでは帯域の設定を行います。

  • グローバルコンフィグモード

    項目

    説明

    ngn profile

    データコネクトプロファイルの設定

  • データコネクトプロファイルコンフィグモード

    項目

    説明

    bandwidth

    SDPで通知する帯域の設定
    リスト 2.11.3 設定例
    ngn profile ngn_profile
  bandwidth 1000

複数の拠点と接続する場合、データコネクトプロファイルは共用できます。

bandwidthの設定は接続先の拠点と同一の値を設定しないと接続できません。

2.11.6.3. IPsec(NATトラバーサル)の設定

データコネクト対応オンデマンドVPN機能ではIPsec(NATトラバーサル)の通信を利用します。IPsec(NATトラバーサル)機能自体の説明は、IKE/IPsecの項目を参照してください。ひかり電話網に接続する場合は以下の3つの設定が必須です。

  • IKEの宛先アドレスはひかり電話網から動的に取得するため、peerはngn-dynamicとします。

  • ipsec dynamic-mapの設定では、ike-bindingで関連するikeのポリシーを指定します。

  • 強制的にUDPでカプセル化するため、ike nat-traversalの設定はforceを指定します。

プロポーザルは任意の設定が利用可能です。

IKE/IPsecの設定の詳細については、IKE/IPsecの章を参照してください。

リスト 2.11.4 設定例
ip route 192.168.2.0/24 Tunnel0.0

ike proposal ike-prop encryption aes hash sha
ike policy ike-policy peer ngn-dynamic key secret mode aggressive ike-prop
ike local-id ike-policy keyid kyoten-1
ike remote-id ike-policy keyid kyoten-2
ike nat-traversal force
ipsec autokey-proposal ipsec-prop esp-aes esp-sha
ipsec dynamic-map ipsec-policy ipv4 ipsec-prop ike-binding ike-policy
ipsec local-id ipsec-policy 192.168.1.0/24
ipsec remote-id ipsec-policy 192.168.2.0/24

interface Tunnel0.0
  tunnel mode ipsec
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-policy mtu ignore pre-fragment
  no shutdown

ipsec policyの設定はpre-fragmentが必須です。ひかり電話網はフラグメントパケットを許可しないため、暗号化前にフラグメントすることでフラグメントされる通信が可能になります。

またTCPのフラグメントを避けるため、ip tcp adjust-mssを設定することを推奨します。

2.11.6.4. IPsec以外のトンネルインタフェースの設定

以下の3つの設定が必要です。

  • インタフェースコンフィグモード

    項目

    説明

    ngn binding

    ひかり電話接続機能の割り当て。インタフェースにデータコネクトプロファイルとIKEポリシーを割り当てます。

    dialer string

    宛先の電話番号を指定します。

    idle-time

    設定時間無通信の場合に切断します。
    リスト 2.11.5 設定例
    interface Tunnel0.0
  dialer string 2000
  idle-time 120
  ngn binding GigaEthernet0.0 ngn_profile ike-policy ike-policy

2.11.6.5. QoSの設定

ひかり電話網では保証帯域を超えるトラフィックは破棄されます。このため帯域を超えないようにシェーピング機能を設定しておく必要があります。

default-policy-map-ngnという名前でQoSを設定するだけで、自動的にデータコネクトサービスの帯域にあわせてシェーピングを行います。QoSの設定は次のコンフィグのみで利用できます。

  • インタフェースコンフィグモード

    項目

    説明

    service-policy output default-policy-map-ngn

    ひかり電話のQoS自動設定
    リスト 2.11.6 設定例
    interface GigaEthernet0.0
  service-policy enable
  service-policy output default-policy-map-ngn

注釈

default-policy-map-ngnでは、内部的にトンネルごとのクラスを用意し、それぞれ回線帯域でシェーピングを設定します。データコネクトトンネルを通る通信がすべてこれらのクラスのnormalキューに分類され、回線帯域にあわせてシェーピングします。

ひかり電話網でシェーピング以外のQoSの機能を併用したい場合、本章のQoS詳細設定の方法を参照してください。

2.11.6.6. 多対地の場合の設定

対地の数だけIKE/IPsecの設定とQoSの設定が必要です。ngn profileは設定が同じ場合は共用できます。

2.11.7. 基本設定(IKEv2)

IKEv2を利用してデータコネクト接続を利用する場合の設定例は以下のとおりです。

リスト 2.11.7 設定例
ip route 192.168.2.0/24 Tunnel0.0

ikev2 authentication psk id keyid kyoten-1 key char secret1
ikev2 authentication psk id keyid kyoten-2 key char secret2

ikev2 default-profile
  local-authentication psk id keyid kyoten-1
  nat-traversal keepalive 20 force

ngn profile ngn_profile
  bandwidth 1000

interface GigaEthernet0.0
  ip address dhcp
  service-policy enable
  service-policy output default-policy-map-ngn
  ngn ip enable
  no shutdown

interface GigaEthernet1.0
  ip address 192.168.1.254/24
  no shutdown

interface Tunnel0.0
  dialer string 2000
  ngn binding GigaEthernet0.0 ngn_profile ikev2
  tunnel mode ipsec-ikev2
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  ikev2 ipsec pre-fragment
  ikev2 peer-ngn-dynamic authentication psk id keyid kyoten-2
  no shutdown

IKEv2の送信先はひかり電話網から動的に取得するためpeer-ngn-dynamicを指定します。また、NATトラバーサルの設定を利用するため、デフォルトプロファイルにforceで設定してください。さらに網内でのリアセンブルを防止するため、MSS調整とikev2 ipsec pre-fragmentコマンドの設定を推奨します。その他の設定はIKEv2の章を参照してください。

2.11.8. QoSの詳細設定

データコネクト機能では自動的にデータコネクトサービスの帯域にあわせてシェーピングを行いますが、詳細なQoSの設定を行いたい場合は、通常のQoSの設定を行う必要があります。

データコネクトトンネルインタフェースごとに適切なシェーピングを設定する必要があるため、以下のようにデータコネクトトンネルを指定してクラスを選択する手段を用意しています。

  • クラスマップコンフィグモード

    項目

    説明

    match ngn

    データコネクトトンネルにマッチする
    リスト 2.11.8 設定例
    class-map match-any class-ngn-vpn
  match ngn Tunnel0.0

policy-map ngn-vpn-policy-map
  class class-ngn-vpn
    shape 1000000 16000

シェーピングのCIR値は、ngn profileで設定したbandwidth以下の値に設定してください。対地数が多くQoSの負荷が高い場合はTcが16ms~50ms程度となる範囲での運用を推奨します。

IPsecの機能を利用するため、IPsecのヘッダを送信する分だけ使用できる帯域は小さくなることに注意してください。

なお、シェーピングの帯域は通常MACヘッダを含む値ですが、ひかり電話網ではIPパケットサイズのみで計算します。qos rate-accounting layer-3 の設定を行うことでIPパケットサイズで帯域計算を行うため、設定をしない場合よりも多くの帯域が利用できます。

2.11.8.1. 発着信およびタイマー制御の設定

発着信専用にする設定、通信時間や時刻を監視して切断する設定、特定の時間帯で発信しないようにする設定などが可能です。すべてトンネルインタフェースで設定します。

  • インタフェースコンフィグモード

    項目

    説明
    dialer inbound-call
    dialer outbound-call
    着信拒否設定
    発信拒否設定
    dialer restraint
    dialer total-time
    時刻による発信抑止
    接続時間による発信抑止

    idle-time

    無通信時間の設定

    forced-disconnect-time

    強制切断タイマーの設定

2.11.9. 動作確認方法

多数の機能を組み合わせて動作させるため、動作確認する機能も多岐に渡ります。ここでは問題発生時の切り分け方法を簡単に説明します。

  • ひかり電話網との接続確認

  • 疎通確認

2.11.9.1. 確認コマンド一覧

ひかり電話接続機能は以下の表示コマンドと、イベントログの記録コマンドがあります。ひかり電話接続機能のイベントログは内部の機能ブロック単位でさらに3つに細分化されていますが、特に理由がない場合はすべてwarnレベルで運用してください。

項目

説明

show ngn status

ひかり電話接続機能の状態を表示

show ngn statistics

ひかり電話接続機能の統計情報を表示
show ngn history
show ngn active
発着信の履歴表示
(show ngn activeは接続中のセッションのみを表示)

syslog function ngns

ひかり電話網との接続状態を確認します。

syslog function ngna

ひかり電話網との接続状態を確認します。

syslog function ngnt

ひかり電話網との接続状態を確認します。

2.11.9.2. ひかり電話網との接続確認

ひかり電話網にケーブルを接続すると、DHCPでアドレスやSIPサーバーの情報を取得して、SIPサーバーに登録するまでを自動的に行います。以上が正しく完了しない場合、通信はできません。

ひかり電話網との接続状態はshow ngn statusコマンドで確認できます。

項目

説明

show ngn status

ひかり電話網との接続状態を確認します。

ひかり電話回線にケーブルを接続してshow ngn statusで以下のように「Location is registered」と表示されていれば、ひかり電話網への登録(Register)までは成功したことになります。

リスト 2.11.9 表示例
Router(config)# show ngn status
NGN service is enabled on GigaEthernet0.0
  SIP URI is sip:xxx-xxxx-xxxx@xxxx.xx.xx
  Call handle is 09CB3258
  Location is registered at 192.168.0.12, 0:00:26
  Pre-existing route set is
    sip:192.168.0.12:5060;lr
  Last update at 2025/01/01 0:00:00
  Last status: OK (200)
  3 call handles are using (1 register, 2 sessions)

registeredにならない場合は、正しいポートにケーブルを接続したか、データコネクト通信を行うインタフェースにip address dhcp, ngn ip enable, no shutdownが設定されているか確認してください。また、SIP(UDPポート5060)の送信をフィルタリングしていないかも確認してください。

2.11.9.3. 他拠点との疎通確認

ひかり電話回線に正しく登録されたら、Pingのコマンドで接続先の拠点と疎通確認を行ってください。応答がない場合は以下のコマンドで接続されているかどうかを確認してください。

項目

説明

show ngn active

接続中のセッションの表示

show ngn history

接続履歴の表示
リスト 2.11.10 表示例
Router(config)# show ngn history
2025/01/01 0:00:00, Tunnel0.0, out, xxxxxxxxxx > xxxxxxxxxx
  Used time 0:02:10, idle time 0:00:00/0:00:00, status active
  Trigger packet ip udp (src 192.168.1.1:60000, dest 192.168.1.2:60001)

statusがactiveとなっていて通信ができれば設定は問題ありません。

statusがfailureとなる場合は、データコネクトの宛先電話番号や、ngn profileのbandwidthの設定が他拠点の装置のものと一致しているか確認してください。また、イベントログをwarnに設定していれば、何らかの障害が検出されている可能性があります。

statusがactiveで通信できない場合は、SIPのセッションは確立しているため、IPsecの設定不備の可能性があります。

また、何も表示されない場合は発信できていないので、Pingの送信先、送信元アドレスや、TunnelのIPsecの設定、発信抑止設定などを確認してください。

2.11.9.4. その他機能の確認

セッションが確立している場合(statusがactiveで通信できない場合)は、ひかり電話通信以外の機能の問題の可能性があるので、IPsecやIKEなどのログを確認する必要があります。

ひかり電話網ではIPsecやIKEの宛先アドレスやポートは、相手側装置のアドレスやポートではなく、網内のSBC(SSE)と呼ばれる装置のアドレスやポートになります。このため、IPsecなどの機能のログを確認する場合、show ngn statusコマンドなどで問題のセッションの宛先アドレスやポートが何になっているか確認する必要があります。

項目

説明

show ngn status

ひかり電話網との接続状態を確認します。

セッションが確立している場合は、登録情報の外にセッション情報が表示されます。

リスト 2.11.11 表示例
Router(config)# show ngn status
NGN service is enabled on GigaEthernet0.0
  SIP URI is sip:xxx-xxxx-xxxx@xxxx.xx.xx
  Call handle is 09CB3258
  Location is registered at 192.168.0.12, 0:00:26
  Pre-existing route set is
    sip:192.168.0.12:5060;lr
  Last update at 2025/01/01 0:00:00
  Last status: OK (200)
  3 call handles are using (1 register, 2 sessions)
  Session list:
    Session id 1 on Tunnel0.0
      Dialer string is xxx-xxxx-xxxx
      Connection address is 192.168.0.1, 4500/udp
      Bandwidth is 1000kbps
      Handle is 099718D

Connection addressに記載されている情報が、IKEやIPsecなどのログに表示される相手のIPアドレス、ポート、プロトコルになります。ひかり電話接続機能以外の機能の表示コマンドやログを確認する際には、この値を参照してください。

2.11.10. ホームゲートウェイ/オフィスゲートウェイ配下での接続

ホームゲートウェイ(HGW)またはオフィスゲートウェイ(OGW)にIX-Rルータを配置して接続することができます。

../_images/11_dataconnect_05.svg

基本的な設定はデータコネクト対応オンデマンドVPNの設定と同じですが、接続仕様がひかり電話網に直接接続する場合と異なるため、以下の設定を投入するようにしてください。

リスト 2.11.12 設定例
ngn interface-type private

その他の設定はデータコネクト対応オンデマンドVPN機能と同様です。

この接続では、show ngn statusでInterface type is privateを表示します。その他の項目は通常接続と同様です。

注釈

  • HGW/OGWとの基本的な接続確認は行っておりますが、すべての機種・バージョンとの接続を確認しているわけではありませんので、ご利用の際には動作確認を行ったうえでご利用ください。

  • 通信中にHGW/OGWで内線番号を変更しないでください。通信中の呼が正しく切断されないため、数分程度接続状態が残ります。

  • HGW/OGWは学習したMACアドレスを自動的には消去しないので、MACアドレステーブルが埋まっている場合は接続しても通信できません。不要なMACアドレスを削除して運用してください。

2.11.11. 最大接続数設定

ユーザーごとにデータコネクトトンネルの最大接続数を設定できます。

指定された接続数を超える場合接続を制限します。

  • グローバルコンフィグモード

    項目

    説明

    ngn connect-group

    データコネクトトンネル最大接続数の設定

    ngn binding-connect-group

    データコネクトトンネル最大接続数の割り当て設定
    リスト 2.11.13 設定例
    ngn connect-group ngn-group1 max-connections 5
ngn connect-group ngn-group2 max-connections 10

interface Tunnel1.0
  tunnel mode ipsec
  dialer string 81-111-1111
  ngn binding GigaEthernet0.0 ngn_profile ike-policy ike-policy
  ngn binding-connect-group ngn-group1
  ip unnumbered GigaEthernet1.0
  no shutdown
         :
interface Tunnel50.0
  dialer string 81-111-1150
  ngn binding GigaEthernet0.0 ngn_profile ike-policy ike-policy
  ngn binding-connect-group ngn-group1
  ip unnumbered GigaEthernet1.0
  no shutdown
         :
interface Tunnel51.0
  tunnel mode ipsec
  dialer string 81-222-1111
  ngn binding GigaEthernet0.0 ngn_profile ike-policy ike-policy
  ngn binding-connect-group ngn-group2
  ip unnumbered GigaEthernet1.0
  no shutdown
         :
interface Tunnel100.0
  tunnel mode ipsec
  dialer string 81-222-1150
  ngn binding GigaEthernet0.0 ngn_profile ike-policy ike-policy
  ngn binding-connect-group ngn-group2
  ip unnumbered GigaEthernet1.0
  no shutdown

上記の設定例では、グループ1のユーザーは5接続が上限となり、グループ2のユーザーは10接続が上限となります。

2.11.12. 死活監視機能

ひかり電話網のデータコネクト接続において、SIPサーバーおよび接続先端末の死活監視を行うことができます。

本機能を使用することでSIPサーバーの異常を検知し、経路切り替え等の対処が可能となります。

ネットワークモニタ機能に以下のイベントを設定することで、対象SIPサーバーにメッセージが送信され死活監視を開始することができます。ネットワークモニタ機能の説明は「ネットワークモニタの設定」の項を参照してください。

注釈

SIPメッセージを利用しておりますが、この通信で利用料金が発生することはありません。

../_images/11_dataconnect_06.svg

上記の図では自SIPサーバーに死活監視SIPメッセージを送信し、返答が返って来なければSIPサーバーの障害を検知します。

接続先SIPサーバーの死活監視を行う場合は以下のように設定します。

リスト 2.11.14 設定例
network-monitor ngn-watch enable
!
watch-group ngn-watch
  event 1 ngn unreach-host 81-111-2222

注釈

  • ひかり電話回線死活監視機能では網の規定に従うためネットワークモニタの各種設定が反映されません(suppress restoration/suppress valiance コマンドのみ反映可)。

  • 一部のHGW/OGW配下では本機能を使用できない可能性があります。ご利用の際には動作確認を行った上でご利用ください。