サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ 設定事例

フレッツ 光ネクスト向け IPv6 VPN接続 設定ガイド(IPv6 PPPoE) (IPv6トンネル対応アダプタ利用時)

フレッツ 光ネクスト回線のIPv6インターネット接続サービス(IPv6 PPPoE)を使用して、離れた拠点間をVPN(IPv4 over IPv6 IPsec)で接続するための設定例をご紹介します。

本事例では、一方の拠点のみ『IPv6トンネル対応アダプタ』の配下にIXルータを設置します。

図.IPv6 VPN接続(IPv6 PPPoE)

設定ガイド集をお使いになる前に

  • 本設定例は「IX2105」を前提に記載しておりますが、その他ギガビットイーサネット対応機種(「IX2207」など)でも本ページの設定例をそのままご利用いただけます(ご利用構成によってはインタフェース番号の変更が必要です)。
  • 本設定例では、VPN接続する各拠点に“固定のIPv6プレフィックス”が割り当てられることを前提としております。
  • 構成図のルータR2側の「IX2105」は、回線終端装置(ONU)、もしくはひかり電話対応機器(ひかり電話ルータ/ホームゲートウェイなど)のLANポートに接続してください。
  • UNIVERGE IXシリーズは、IPv6インターネットを利用するための「ISP接続機能(IPv6 PPPoE)」にのみ対応しております。ISP接続と同時にNTT東日本・NTT西日本が提供するNGN各種サービスを利用する場合は、「IPv6トンネル対応アダプタ」の配下にIXルータを設置する必要があります。
  • 「IX2025」や「IX3015」で設定する場合は、本設定ガイド記載のインタフェースを下記のように読み替えてください。

IX2025、IX3015

インタフェース 記載内容 読み替え
WAN側インタフェース GigaEthernet0.1 FastEthernet0/0.1
LAN側インタフェース GigaEthernet1.0 FastEthernet1/0.0

ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。

準備1 PCの設定

概要
あらかじめPCを設定します。

使用するPCを以下のように設定しておきます。

項目 ルータR1拠点のPC ルータR2拠点のPC
IPアドレス 192.168.10.1~192.168.10.253 192.168.20.1~192.168.20.253
サブネットマスク 255.255.255.0 255.255.255.0
デフォルトゲートウェイ 192.168.10.254 192.168.20.254

準備2 IPv6トンネル対応アダプタの設定

概要
IPv6トンネル対応アダプタのセキュリティ設定を確認します。

IPv6トンネル対応アダプタのセキュリティ設定(パケットフィルタ設定、ステートフル パケットインスペクション設定など)によっては、IXルータの送信するIPv6 IPsec通信が相手装置に届かない場合があります。

IPv6トンネル対応アダプタのセキュリティ設定をご確認いただき、IPv6 IPsec通信が許可されていることをご確認ください。

STEP1 ルータR1の設定

    概要
  • ルータR1に、IPv6インターネット接続の設定と、拠点間通信のためのIPsecトンネルの設定を行います。
  • ルータR1に対しては、IPv6トンネル対応アダプタから固定IPv6プレフィックス「2001:db8:0:1100::/64」が割り当てられるものとし、VPN接続に使用するWANアドレスとして「2001:db8:0:1100::ace」を使用します。
  • ルータR2のWANアドレスは「2001:db8:0:1201:1」です。

  1. ip ufs-cache enable
    ipv6 ufs-cache enable
    !
  2. ip route 192.168.20.0/24 Tunnel0.0
    !
  3. ipv6 access-list flt-list permit ip src 2001:db8:0:1201::1/128 dest 2001:db8:0:1100::ace/128
    ipv6 access-list flt-list permit icmp router-advertisement src any dest any
    ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any
    ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any
    !
  4. ike proposal ike-prop encryption aes-256 hash sha group 1024-bit
    ike policy ike-policy peer 2001:db8:0:1201::1 key himitsu ike-prop
    !
  5. ip access-list sec-list permit ip src any dest any
    ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
    ipsec autokey-map ipsec-map sec-list peer 2001:db8:0:1201::1 ipsec-prop pfs 1024-bit
    ipsec local-id ipsec-map 192.168.10.0/24
    ipsec remote-id ipsec-map 192.168.20.0/24
    !
  6. interface GigaEthernet1.0
      ip address 192.168.10.254/24
      no shutdown
    !
  7. interface GigaEthernet0.0
      ipv6 enable
      ipv6 interface-identifier 00:00:00:00:00:00:0a:ce
      ipv6 address autoconfig receive-default
      ipv6 filter flt-list 1 in
      no shutdown
    !
  8. interface Tunnel0.0
      tunnel mode ipsec
      ip unnumbered GigaEthernet1.0
      ip tcp adjust-mss auto
      ipsec policy tunnel ipsec-map df-bit ignore out
      no shutdown

  1. UFSキャッシュ機能を利用して、IPv4とIPv6のIPsec転送を高速化します。
  2. ルータR2のLAN側ネットワークへ、IPsecトンネル経由で通信を行うためのスタティックルートの設定です。
    本例では、トンネル接続用インタフェースとしてTunnel0.0を利用します。
  3. IPv6アクセスリストの設定です。IPv6パケットフィルタの設定に使用します。
    本例では、IPsecピアとの通信と一部のICMPv6通信を許可します。
  4. IKEの設定です。ISAKMP SAの確立に使用します。
    ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。
  5. IPsecの設定です。IPsec SAの確立に使用します。
    ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPsec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。
  6. LAN側インタフェースGigaEthernet1.0の設定です。
  7. IPv6インターネット接続用インタフェースGigaEthernet0.0の設定です。このインタフェースのIPv6アドレスを「2001:db8:0:1100::ace」に設定するために、インタフェース識別子(interface-identifier)を指定するコマンドを使用します。IPv6トンネル対応アダプタとIPv6アドレスが重複しないようにするために、インタフェース識別子は「00:00:00:00:00:00:00:01」以外の値を設定してください。
  8. ルータR2とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。

STEP2 ルータR2の設定

    概要
  • ルータR1と同じ考え方で設定を行います。
  • ルータR2に対しては、ISPから固定IPv6プレフィックス「2001:db8:0:1200::/56」が割り当てられるものとし、このプレフィックスの中からVPN接続に使用するWANアドレスとして「2001:db8:0:1201::1」を使用します。
  • ルータR1のWANアドレスは「2001:db8:0:1100::ace」です。

  1. ip ufs-cache enable
    ipv6 ufs-cache enable
    !
  2. ipv6 route 2001:db8:0:1101::1/128 GigaEthernet0.1
  3. ip route 192.168.10.0/24 Tunnel0.0
    !
  4. ipv6 access-list flt-list permit ip src 2001:db8:0:1100::ace/128 dest 2001:db8:0:1201::1/128
    ipv6 access-list flt-list permit udp src any sport eq 547 dest any dport eq 546
    !
  5. ike proposal ike-prop encryption aes-256 hash sha group 1024-bit
    ike policy ike-policy peer 2001:db8:0:1100::ace key himitsu ike-prop
    !
  6. ip access-list sec-list permit ip src any dest any
    ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha
    ipsec autokey-map ipsec-map sec-list peer 2001:db8:0:1100::ace ipsec-prop pfs 1024-bit
    ipsec local-id ipsec-map 192.168.20.0/24
    ipsec remote-id ipsec-map 192.168.10.0/24
    !
  7. ppp profile flets-v6
      authentication myname [ISPへの接続ID]
      authentication password [ISPへの接続ID] [パスワード]
    !
  8. ipv6 dhcp client-profile dhcpv6-cl
      ia-pd subscriber GigaEthernet0.1 ::1:0:0:0:1/64
    !
  9. interface GigaEthernet1.0
      ip address 192.168.20.254/24
      no shutdown
    !
  10. interface GigaEthernet0.1
      encapsulation pppoe
      auto-connect
      ppp binding flets-v6
      ipv6 enable
      ipv6 dhcp client dhcpv6-cl
      ipv6 filter flt-list 1 in
      no shutdown
    !
  11. interface Tunnel0.0
      tunnel mode ipsec
      ip unnumbered GigaEthernet1.0
      ip tcp adjust-mss auto
      ipsec policy tunnel ipsec-map df-bit ignore out
      no shutdown

  1. UFSキャッシュ機能を利用して、IPv4とIPv6のIPsec転送を高速化します。
  2. ルータR1のLAN側ネットワークへ、IPsecトンネル経由で通信を行うためのスタティックルートの設定です。
    本例では、トンネル接続用インタフェースとしてTunnel0.0を利用します。
  3. ルータR1のWAN側アドレスと、IPv6インターネット経由でIPsecトンネルを確立するためのスタティックルートです。
    本例では、IPv6インターネットへの接続に、インタフェースGigaEthernet0.1を利用します。
  4. IPv6アクセスリストの設定です。IPv6パケットフィルタの設定に使用します。
    本例では、IPsecピアとの通信とDHCPv6通信を許可します。
  5. IKEの設定です。ISAKMP SAの確立に使用します。
    ike proposalコマンドで暗号/認証方式を選択し、ike policyコマンドで接続先アドレスと事前共有鍵を登録します。
  6. IPsecの設定です。IPsec SAの確立に使用します。
    ipsec autokey-proposalコマンドで暗号/認証方式を選択し、ipsec autokey-mapコマンドで接続先アドレスとIPsec処理を適用するトラフィック(ip access-listコマンドで指定)の指定を行います。
  7. IPv6インターネットに接続するためのIDとパスワードを設定します。
  8. DHCPv6の設定です。ia-pd subscriberコマンドを使用して、WANインタフェースに固定のIPv6アドレスを設定します。
    ia-pd subscriberコマンドでは、IPv6アドレスのうちISPから配布されるプレフィックス情報を除く「IPv6アドレスの後半部分(サブネットIDとインタフェースID)」の値を指定することが可能で、ISP配布プレフィックスが「2001:db8:0:1200/56」の場合、本設定によりGE0.1に設定されるIPv6アドレスは「2001:db8:0:1201:1:0:0:0:1」になります。
  9. LAN側インタフェースGigaEthernet1.0の設定です。
  10. IPv6インターネット接続用インタフェースGigaEthernet0.1の設定です。
  11. ルータR1とIPsecトンネルで接続するためのインタフェースTunnel0.0の設定です。

最後に設定の保存を行います。
Router(config)# write memory

資料請求・お問い合わせ