サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ 設定事例

フレッツ 光ネクスト向け IPv6 VPN接続 設定ガイド(IPv6 IPoE)

フレッツ 光ネクスト回線のIPv6インターネット接続サービス(IPv6 IPoE)を使用して、離れた拠点間をVPN(IPv4 over IPv6 IPsec)で接続するための設定例をご紹介します。

IPv6 IPoE方式の場合、ご利用のフレッツ回線における“ひかり電話の契約状況”によりIPv6プレフィックスの取得方法が変わります。事前に契約状況の確認をお願いします。

  • ひかり電話を契約していない。⇒RA(Router Advertisement)を使用してIPv6プレフィックスを取得します。「IPv6 VPN接続 設定ガイド(IPv6 IPoE)<RA方式>」に従って設定を行ってください。
  • ひかり電話を契約している。 ⇒DHCPv6-PDでIPv6プレフィックスを取得します。このまま本ページの設定例に従って設定を行ってください。

  • ひかり電話を契約している場合でも、お使いのひかり電話ルータ(オフィスゲートウェイもしくはホームゲートウェイ)がIPv6 RA送信機能に対応している場合は、IPv6 RAを使用した設定例でIPsec接続を行うことも可能です。詳しくはお使いのひかり電話ルータの仕様をご確認くだ さい。
IPv6 IPoEサービスを利用したVPN接続の構成図
図.IPv6 VPN接続(IPv6 IPoE)

設定ガイド集をお使いになる前に

  • 本設定例は「IX2106」を前提に記載しておりますが、その他ギガビットイーサネット対応機種(「IX2207」など)でも本ページの設定例をそのままご利用いただけます(ご利用構成によってはインタフェース番号の変更が必要です)。
  • 本設定例をご利用いただくには、お使いになるIXルータにver.10.1以降のソフトウェアが適用されている必要があります。
  • IPv6 IPoE方式の場合、IPv6アドレスの割り当ては半固定とされているため、本例では当社のNetMeister DDNSサービスをご利用いただくことにより拠点間のVPN接続を実現しています。
  • 本構成を実現するには、事前にNetMeisterのグループ登録が必要です。グループの作成方法についてはNetMeisterのマニュアルをご参照ください。NetMeisterは無償でご利用いただけます。
  • お使いのフレッツ回線で、IPv6 IPoE接続による拠点間通信を行うには「フレッツ・v6オプション」のお申込みが必要です。また、東日本エリア・西日本エリアを跨いだ通信を行うにはIPv6インターネットの契約が必要になります。
  • 「IX2106」は、回線終端装置(ONU)のLANポートに接続してください。

ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。

準備 PCの設定

概要
あらかじめPCを設定します。

使用するPCを以下のように設定しておきます。

項目 ルータR1拠点のPC ルータR2拠点のPC
IPアドレス 192.168.10.1~192.168.10.253 192.168.20.1~192.168.20.253
サブネットマスク 255.255.255.0 255.255.255.0
デフォルトゲートウェイ 192.168.10.254 192.168.20.254

STEP1 ルータR1の設定

概要

  • ルータR1には、IPv6 IPoEサービスを利用したVPN接続の設定(IKEv2)と、IPv4インターネット接続の設定、NetMeisterの設定を行います。
  • ルータR1のVPN接続先として、ルータR2のドメイン名(NetMeisterで管理している名前)を指定します。
  • 以下のパラメータ表に適切な文字列を入力してコンフィグの作成を行います。

設定パラメータ表

HOSTNAME1

装置のホスト名です。HOSTNAME1がルータR1、HOSTNAME2がルータR2のホスト名です。NetMeisterのドメイン名としても使用します。ホスト名は必ず装置毎に別名にしてください。

HOSTNAME2

IKE_ID1

IKEv2の認証で使用するIDです。ID1がルータR1、ID2がルータR2のIDです。IDは装置毎に異なる文字列を使用する必要があります。

IKE_ID2

MYSECRETKEY

IKEv2で使用する事前共有鍵です。第三者に推測され難い文字列を使用してください。

NM_ID

NetMeisterの装置登録に使用するパラメータ(グループID、グループパスワード、拠点ID)です。NM_SITENAME1はルータR1の拠点IDです。

NM_PASSWORD

NM_SITENAME1

PPPoE_ID

フレッツ回線でIPv4インターネット接続(PPPoE)を行うためのIDとパスワードです。

PPPoE_PASSWORD

コンフィグ例

hostname [HOSTNAME1]
!
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.20.0/24 Tunnel0.0
!
ipv6 ufs-cache enable
ipv6 access-list flt-list permit icmp router-advertisement src any dest any
ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any
ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 546
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 547
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 500
ipv6 access-list flt-list permit 50 src any dest any
ipv6 access-list ipv6-list permit ip src any dest any
ipv6 access-list dynamic dflt-list access ipv6-list
!
ikev2 authentication psk id keyid [IKE_ID1] key char [MYSECRETKEY]
ikev2 authentication psk id keyid [IKE_ID2] key char [MYSECRETKEY]
!
nm ipv6 enable ngn-private east mqtt force ※西日本エリアの場合はwestと入力します。
nm account [NM_ID] password plain [NM_PASSWORD]
nm sitename [MM_SITENAME1]
nm ddns notify interface GigaEthernet1.0 protocol ipv6
!
ppp profile flets
  authentication myname [PPPoE_ID]
  authentication password [PPPoE_ID] [PPPoE_PASSWORD]
!
ipv6 dhcp client-profile dhcpv6_cl
  option-request dns-servers
  ia-pd subscriber GigaEthernet1.0
!
ikev2 default-profile
  dpd interval 10
  local-authentication psk id keyid [IKE_ID1]
!
interface GigaEthernet0.0
  ipv6 enable
  ipv6 dhcp client dhcpv6_cl
  ipv6 traffic-class tos 0
  ipv6 filter flt-list 1 in
  ipv6 filter dflt-list 1 out
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.10.254/24
  ipv6 enable
  ipv6 interface-identifier 00:00:00:00:00:00:00:02
  no shutdown
!
interface GigaEthernet0.1
  encapsulation pppoe
  auto-connect
  ppp binding flets
  ip address ipcp
  ip napt enable
  no shutdown
!
interface Tunnel0.0
  tunnel mode ipsec-ikev2
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  ikev2 connect-type auto
  ikev2 peer-fqdn-ipv6 [HOSTNAME2].[NM_ID].v6.nmddns.jp authentication psk id keyid [IKE_ID2]
  ikev2 source-address GigaEthernet1.0
  no shutdown

STEP2 ルータR2の設定

概要

  • ルータR2には、IPv6 IPoEサービスを利用したVPN接続の設定(IKEv2)とNetMeisterの設定を行います。なお、IPv4インターネットにはルータR1を経由して接続します。
  • ルータR2のVPN接続先として、ルータR1のドメイン名を指定します。
  • 以下の設定パラメータ表に適切な文字列を入力してコンフィグの作成を行います。

設定パラメータ表

HOSTNAME1

装置のホスト名です。HOSTNAME1がルータR1、HOSTNAME2がルータR2のホスト名です。NetMeisterのドメイン名としても使用します。ホスト名は必ず装置毎に別名にしてください。

HOSTNAME2

IKE_ID1

IKEv2の認証で使用するIDです。ID1がルータR1、ID2がルータR2のIDです。IDは装置毎に異なる文字列を使用する必要があります。

IKE_ID2

MYSECRETKEY

IKEv2で使用する事前共有鍵です。第三者に推測され難い文字列を使用してください。

NM_ID

NetMeisterの装置登録に使用するパラメータ(グループID、グループパスワード、拠点ID)です。NM_SITENAME2はルータR2の拠点IDです。

NM_PASSWORD

NM_SITENAME2

コンフィグ例

hostname [HOSTNAME2]
!
ip ufs-cache enable
ip route default Tunnel0.0
!
ipv6 ufs-cache enable
ipv6 access-list flt-list permit icmp router-advertisement src any dest any
ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any
ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 546
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 547
ipv6 access-list flt-list permit udp src any sport any dest any dport eq 500
ipv6 access-list flt-list permit 50 src any dest any
ipv6 access-list ipv6-list permit ip src any dest any
ipv6 access-list dynamic dflt-list access ipv6-list
!
ikev2 authentication psk id keyid [IKE_ID1] key char [MYSECRETKEY]
ikev2 authentication psk id keyid [IKE_ID2] key char [MYSECRETKEY]
!
nm ipv6 enable ngn-private east mqtt force ※西日本エリアの場合はwestと入力します。
nm account [NM_ID] password plain [NM_PASSWORD]
nm sitename [NM_SITENAME2]
nm ddns notify interface GigaEthernet1.0 protocol ipv6
!
ipv6 dhcp client-profile dhcpv6_cl
  option-request dns-servers
  ia-pd subscriber GigaEthernet1.0
!
ikev2 default-profile
  dpd interval 10
  local-authentication psk id keyid [IKE_ID2]
!
interface GigaEthernet0.0
  no ip address
  ipv6 enable
  ipv6 dhcp client dhcpv6_cl
  ipv6 traffic-class tos 0
  ipv6 filter flt-list 1 in
  ipv6 filter dflt-list 1 out
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.20.254/24
  ipv6 enable
  ipv6 interface-identifier 00:00:00:00:00:00:00:02
  no shutdown
!
interface Tunnel0.0
  tunnel mode ipsec-ikev2
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  ikev2 connect-type auto
  ikev2 peer-fqdn-ipv6 [HOSTNAME1].[NM_ID].v6.nmddns.jp authentication psk id keyid [IKE_ID1]
  ikev2 source-address GigaEthernet1.0
  no shutdown

最後に、ルータR1とルータR2の設定の保存を行います。
Router(config)# write memory

資料請求・お問い合わせ