Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 設定事例
フレッツ 光ネクスト向け IPv6 VPN接続 設定ガイド(IPv6 IPoE)
フレッツ 光ネクスト回線のIPv6インターネット接続サービス(IPv6 IPoE)を使用して、離れた拠点間をVPN(IPv4 over IPv6 IPsec)で接続するための設定例をご紹介します。
IPv6 IPoE方式の場合、ご利用のフレッツ回線における“ひかり電話の契約状況”によりIPv6プレフィックスの取得方法が変わります。事前に契約状況の確認をお願いします。
- ひかり電話を契約していない。⇒RA(Router Advertisement)を使用してIPv6プレフィックスを取得します。「IPv6 VPN接続 設定ガイド(IPv6 IPoE)<RA方式>」に従って設定を行ってください。
- ひかり電話を契約している。 ⇒DHCPv6-PDでIPv6プレフィックスを取得します。このまま本ページの設定例に従って設定を行ってください。
- ※ひかり電話を契約している場合でも、お使いのひかり電話ルータ(オフィスゲートウェイもしくはホームゲートウェイ)がIPv6 RA送信機能に対応している場合は、IPv6 RAを使用した設定例でIPsec接続を行うことも可能です。詳しくはお使いのひかり電話ルータの仕様をご確認くだ さい。
設定ガイド集をお使いになる前に
- 本設定例は「IX2106」を前提に記載しておりますが、その他ギガビットイーサネット対応機種(「IX2207」など)でも本ページの設定例をそのままご利用いただけます(ご利用構成によってはインタフェース番号の変更が必要です)。
- 本設定例をご利用いただくには、お使いになるIXルータにver.10.1以降のソフトウェアが適用されている必要があります。
- IPv6 IPoE方式の場合、IPv6アドレスの割り当ては半固定とされているため、本例では当社のNetMeister DDNSサービスをご利用いただくことにより拠点間のVPN接続を実現しています。
- 本構成を実現するには、事前にNetMeisterのグループ登録が必要です。グループの作成方法についてはNetMeisterのマニュアルをご参照ください。NetMeisterは無償でご利用いただけます。
- お使いのフレッツ回線で、IPv6 IPoE接続による拠点間通信を行うには「フレッツ・v6オプション」のお申込みが必要です。また、東日本エリア・西日本エリアを跨いだ通信を行うにはIPv6インターネットの契約が必要になります。
- 「IX2106」は、回線終端装置(ONU)のLANポートに接続してください。
ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。
準備 PCの設定
概要
あらかじめPCを設定します。
使用するPCを以下のように設定しておきます。
項目 | ルータR1拠点のPC | ルータR2拠点のPC |
IPアドレス | 192.168.10.1~192.168.10.253 | 192.168.20.1~192.168.20.253 |
サブネットマスク | 255.255.255.0 | 255.255.255.0 |
デフォルトゲートウェイ | 192.168.10.254 | 192.168.20.254 |
STEP1 ルータR1の設定
概要
- ルータR1には、IPv6 IPoEサービスを利用したVPN接続の設定(IKEv2)と、IPv4インターネット接続の設定、NetMeisterの設定を行います。
- ルータR1のVPN接続先として、ルータR2のドメイン名(NetMeisterで管理している名前)を指定します。
- 以下のパラメータ表に適切な文字列を入力してコンフィグの作成を行います。
設定パラメータ表
HOSTNAME1 |
装置のホスト名です。HOSTNAME1がルータR1、HOSTNAME2がルータR2のホスト名です。NetMeisterのドメイン名としても使用します。ホスト名は必ず装置毎に別名にしてください。 |
HOSTNAME2 | |
IKE_ID1 |
IKEv2の認証で使用するIDです。ID1がルータR1、ID2がルータR2のIDです。IDは装置毎に異なる文字列を使用する必要があります。 |
IKE_ID2 | |
MYSECRETKEY |
IKEv2で使用する事前共有鍵です。第三者に推測され難い文字列を使用してください。 |
NM_ID |
NetMeisterの装置登録に使用するパラメータ(グループID、グループパスワード、拠点ID)です。NM_SITENAME1はルータR1の拠点IDです。 |
NM_PASSWORD | |
NM_SITENAME1 | |
PPPoE_ID |
フレッツ回線でIPv4インターネット接続(PPPoE)を行うためのIDとパスワードです。 |
PPPoE_PASSWORD |
コンフィグ例
hostname [HOSTNAME1]
!
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.20.0/24 Tunnel0.0
!
ipv6 ufs-cache enable
ipv6 access-list flt-list permit icmp router-advertisement src any dest any
ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any
ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 546
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 547
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 500
ipv6 access-list flt-list permit 50 src any dest any
ipv6 access-list ipv6-list permit ip src any dest any
ipv6 access-list dynamic dflt-list access ipv6-list
!
ikev2 authentication psk id keyid [IKE_ID1] key char [MYSECRETKEY]
ikev2 authentication psk id keyid [IKE_ID2] key char [MYSECRETKEY]
!
nm ipv6 enable ngn-private east mqtt force ※西日本エリアの場合はwestと入力します。
nm account [NM_ID] password plain [NM_PASSWORD]
nm sitename [MM_SITENAME1]
nm ddns notify interface GigaEthernet1.0 protocol ipv6
!
ppp profile flets
authentication myname [PPPoE_ID]
authentication password [PPPoE_ID] [PPPoE_PASSWORD]
!
ipv6 dhcp client-profile dhcpv6_cl
option-request dns-servers
ia-pd subscriber GigaEthernet1.0
!
ikev2 default-profile
dpd interval 10
local-authentication psk id keyid [IKE_ID1]
!
interface GigaEthernet0.0
ipv6 enable
ipv6 dhcp client dhcpv6_cl
ipv6 traffic-class tos 0
ipv6 filter flt-list 1 in
ipv6 filter dflt-list 1 out
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.10.254/24
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:00:02
no shutdown
!
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding flets
ip address ipcp
ip napt enable
no shutdown
!
interface Tunnel0.0
tunnel mode ipsec-ikev2
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ikev2 connect-type auto
ikev2 peer-fqdn-ipv6 [HOSTNAME2].[NM_ID].v6.nmddns.jp authentication psk id keyid [IKE_ID2]
ikev2 source-address GigaEthernet1.0
no shutdown
STEP2 ルータR2の設定
概要
- ルータR2には、IPv6 IPoEサービスを利用したVPN接続の設定(IKEv2)とNetMeisterの設定を行います。なお、IPv4インターネットにはルータR1を経由して接続します。
- ルータR2のVPN接続先として、ルータR1のドメイン名を指定します。
- 以下の設定パラメータ表に適切な文字列を入力してコンフィグの作成を行います。
設定パラメータ表
HOSTNAME1 |
装置のホスト名です。HOSTNAME1がルータR1、HOSTNAME2がルータR2のホスト名です。NetMeisterのドメイン名としても使用します。ホスト名は必ず装置毎に別名にしてください。 |
HOSTNAME2 | |
IKE_ID1 |
IKEv2の認証で使用するIDです。ID1がルータR1、ID2がルータR2のIDです。IDは装置毎に異なる文字列を使用する必要があります。 |
IKE_ID2 | |
MYSECRETKEY |
IKEv2で使用する事前共有鍵です。第三者に推測され難い文字列を使用してください。 |
NM_ID |
NetMeisterの装置登録に使用するパラメータ(グループID、グループパスワード、拠点ID)です。NM_SITENAME2はルータR2の拠点IDです。 |
NM_PASSWORD | |
NM_SITENAME2 |
コンフィグ例
hostname [HOSTNAME2]
!
ip ufs-cache enable
ip route default Tunnel0.0
!
ipv6 ufs-cache enable
ipv6 access-list flt-list permit icmp router-advertisement src any dest any
ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any
ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 546
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 547
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 500
ipv6 access-list flt-list permit 50 src any dest any
ipv6 access-list ipv6-list permit ip src any dest any
ipv6 access-list dynamic dflt-list access ipv6-list
!
ikev2 authentication psk id keyid [IKE_ID1] key char [MYSECRETKEY]
ikev2 authentication psk id keyid [IKE_ID2] key char [MYSECRETKEY]
!
nm ipv6 enable ngn-private east mqtt force ※西日本エリアの場合はwestと入力します。
nm account [NM_ID] password plain [NM_PASSWORD]
nm sitename [NM_SITENAME2]
nm ddns notify interface GigaEthernet1.0 protocol ipv6
!
ipv6 dhcp client-profile dhcpv6_cl
option-request dns-servers
ia-pd subscriber GigaEthernet1.0
!
ikev2 default-profile
dpd interval 10
local-authentication psk id keyid [IKE_ID2]
!
interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6_cl
ipv6 traffic-class tos 0
ipv6 filter flt-list 1 in
ipv6 filter dflt-list 1 out
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.20.254/24
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:00:02
no shutdown
!
interface Tunnel0.0
tunnel mode ipsec-ikev2
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ikev2 connect-type auto
ikev2 peer-fqdn-ipv6 [HOSTNAME1].[NM_ID].v6.nmddns.jp authentication psk id keyid [IKE_ID1]
ikev2 source-address GigaEthernet1.0
no shutdown
最後に、ルータR1とルータR2の設定の保存を行います。
Router(config)# write memory
資料請求・お問い合わせ