Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 設定事例
フレッツ 光ネクスト向け IPv6 VPN接続 設定ガイド(IPv6 PPPoE) (IPv6トンネル対応アダプタ利用時)
フレッツ 光ネクスト回線のIPv6インターネット接続サービス(IPv6 PPPoE)を使用して、離れた拠点間をVPN(IPv4 over IPv6 IPsec)で接続するための設定例をご紹介します。
本事例では、一方の拠点のみ『IPv6トンネル対応アダプタ』の配下にIXルータを設置します。
設定ガイド集をお使いになる前に
- 本設定例は「IX2105」を前提に記載しておりますが、その他ギガビットイーサネット対応機種(「IX2207」など)でも本ページの設定例をそのままご利用いただけます(ご利用構成によってはインタフェース番号の変更が必要です)。
- 本設定例では、VPN接続する各拠点に“固定のIPv6プレフィックス”が割り当てられることを前提としております。
- 構成図のルータR2側の「IX2105」は、回線終端装置(ONU)、もしくはひかり電話対応機器(ひかり電話ルータ/ホームゲートウェイなど)のLANポートに接続してください。
- UNIVERGE IXシリーズは、IPv6インターネットを利用するための「ISP接続機能(IPv6 PPPoE)」にのみ対応しております。ISP接続と同時にNTT東日本・NTT西日本が提供するNGN各種サービスを利用する場合は、「IPv6トンネル対応アダプタ」の配下にIXルータを設置する必要があります。
- 「IX2025」や「IX3015」で設定する場合は、本設定ガイド記載のインタフェースを下記のように読み替えてください。
IX2025、IX3015
インタフェース | 記載内容 | 読み替え |
WAN側インタフェース | GigaEthernet0.1 | FastEthernet0/0.1 |
LAN側インタフェース | GigaEthernet1.0 | FastEthernet1/0.0 |
ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。
準備1 PCの設定
概要
あらかじめPCを設定します。
使用するPCを以下のように設定しておきます。
項目 | ルータR1拠点のPC | ルータR2拠点のPC |
IPアドレス | 192.168.10.1~192.168.10.253 | 192.168.20.1~192.168.20.253 |
サブネットマスク | 255.255.255.0 | 255.255.255.0 |
デフォルトゲートウェイ | 192.168.10.254 | 192.168.20.254 |
準備2 IPv6トンネル対応アダプタの設定
概要
IPv6トンネル対応アダプタのセキュリティ設定を確認します。
IPv6トンネル対応アダプタのセキュリティ設定(パケットフィルタ設定、ステートフル パケットインスペクション設定など)によっては、IXルータの送信するIPv6 IPsec通信が相手装置に届かない場合があります。
IPv6トンネル対応アダプタのセキュリティ設定をご確認いただき、IPv6 IPsec通信が許可されていることをご確認ください。
STEP1 ルータR1の設定
- 概要
- ルータR1に、IPv6インターネット接続の設定と、拠点間通信のためのIPsecトンネルの設定を行います。
- ルータR1に対しては、IPv6トンネル対応アダプタから固定IPv6プレフィックス「2001:db8:0:1100::/64」が割り当てられるものとし、VPN接続に使用するWANアドレスとして「2001:db8:0:1100::ace」を使用します。
- ルータR2のWANアドレスは「2001:db8:0:1201:1」です。
- ip ufs-cache enable
ipv6 ufs-cache enable
! - ip route 192.168.20.0/24 Tunnel0.0
! - ipv6 access-list flt-list permit ip src 2001:db8:0:1201::1/128 dest 2001:db8:0:1100::ace/128
ipv6 access-list flt-list permit icmp router-advertisement src any dest any
ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any
ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any
! - ike proposal ike-prop encryption aes-256 hash sha group 1024-bit
ike policy ike-policy peer 2001:db8:0:1201::1 key himitsu ike-prop
! - ip access-list sec-list permit ip src any dest any
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
ipsec autokey-map ipsec-map sec-list peer 2001:db8:0:1201::1 ipsec-prop pfs 1024-bit
ipsec local-id ipsec-map 192.168.10.0/24
ipsec remote-id ipsec-map 192.168.20.0/24
! - interface GigaEthernet1.0
ip address 192.168.10.254/24
no shutdown
! - interface GigaEthernet0.0
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:0a:ce
ipv6 address autoconfig receive-default
ipv6 filter flt-list 1 in
no shutdown
! - interface Tunnel0.0
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-map df-bit ignore out
no shutdown
- UFSキャッシュ機能を利用して、IPv4とIPv6のIPsec転送を高速化します。
- ルータR2のLAN側ネットワークへ、IPsecトンネル経由で通信を行うためのスタティックルートの設定です。
本例では、トンネル接続用インタフェースとしてTunnel0.0を利用します。 - IPv6アクセスリストの設定です。IPv6パケットフィルタの設定に使用します。
本例では、IPsecピアとの通信と一部のICMPv6通信を許可します。 - IKEの設定です。ISAKMP SAの確立に使用します。
ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。 - IPsecの設定です。IPsec SAの確立に使用します。
ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPsec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。 - LAN側インタフェースGigaEthernet1.0の設定です。
- IPv6インターネット接続用インタフェースGigaEthernet0.0の設定です。このインタフェースのIPv6アドレスを「2001:db8:0:1100::ace」に設定するために、インタフェース識別子(interface-identifier)を指定するコマンドを使用します。IPv6トンネル対応アダプタとIPv6アドレスが重複しないようにするために、インタフェース識別子は「00:00:00:00:00:00:00:01」以外の値を設定してください。
- ルータR2とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。
STEP2 ルータR2の設定
- 概要
- ルータR1と同じ考え方で設定を行います。
- ルータR2に対しては、ISPから固定IPv6プレフィックス「2001:db8:0:1200::/56」が割り当てられるものとし、このプレフィックスの中からVPN接続に使用するWANアドレスとして「2001:db8:0:1201::1」を使用します。
- ルータR1のWANアドレスは「2001:db8:0:1100::ace」です。
- ip ufs-cache enable
ipv6 ufs-cache enable
! - ipv6 route 2001:db8:0:1101::1/128 GigaEthernet0.1
- ip route 192.168.10.0/24 Tunnel0.0
! - ipv6 access-list flt-list permit ip src 2001:db8:0:1100::ace/128 dest 2001:db8:0:1201::1/128
ipv6 access-list flt-list permit udp src any sport eq 547 dest any dport eq 546
! - ike proposal ike-prop encryption aes-256 hash sha group 1024-bit
ike policy ike-policy peer 2001:db8:0:1100::ace key himitsu ike-prop
! - ip access-list sec-list permit ip src any dest any
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
ipsec autokey-map ipsec-map sec-list peer 2001:db8:0:1100::ace ipsec-prop pfs 1024-bit
ipsec local-id ipsec-map 192.168.20.0/24
ipsec remote-id ipsec-map 192.168.10.0/24
! - ppp profile flets-v6
authentication myname [ISPへの接続ID]
authentication password [ISPへの接続ID] [パスワード]
! - ipv6 dhcp client-profile dhcpv6-cl
ia-pd subscriber GigaEthernet0.1 ::1:0:0:0:1/64
! - interface GigaEthernet1.0
ip address 192.168.20.254/24
no shutdown
! - interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding flets-v6
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 filter flt-list 1 in
no shutdown
! - interface Tunnel0.0
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-map df-bit ignore out
no shutdown
- UFSキャッシュ機能を利用して、IPv4とIPv6のIPsec転送を高速化します。
- ルータR1のLAN側ネットワークへ、IPsecトンネル経由で通信を行うためのスタティックルートの設定です。
本例では、トンネル接続用インタフェースとしてTunnel0.0を利用します。 - ルータR1のWAN側アドレスと、IPv6インターネット経由でIPsecトンネルを確立するためのスタティックルートです。
本例では、IPv6インターネットへの接続に、インタフェースGigaEthernet0.1を利用します。 - IPv6アクセスリストの設定です。IPv6パケットフィルタの設定に使用します。
本例では、IPsecピアとの通信とDHCPv6通信を許可します。 - IKEの設定です。ISAKMP SAの確立に使用します。
ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。 - IPsecの設定です。IPsec SAの確立に使用します。
ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPsec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。 - IPv6インターネットに接続するためのIDとパスワードを設定します。
- DHCPv6の設定です。ia-pd subscriberコマンドを使用して、WANインタフェースに固定のIPv6アドレスを設定します。
ia-pd subscriberコマンドでは、IPv6アドレスのうちISPから配布されるプレフィックス情報を除く「IPv6アドレスの後半部分(サブネットIDとインタフェースID)」の値を指定することが可能で、ISP配布プレフィックスが「2001:db8:0:1200/56」の場合、本設定によりGE0.1に設定されるIPv6アドレスは「2001:db8:0:1201:1:0:0:0:1」になります。 - LAN側インタフェースGigaEthernet1.0の設定です。
- IPv6インターネット接続用インタフェースGigaEthernet0.1の設定です。
- ルータR1とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。
最後に設定の保存を行います。
Router(config)# write memory
資料請求・お問い合わせ