Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 技術情報
設定事例v6プラスを用いたURLオフロード設定ガイド
日本ネットワークイネイブラー株式会社(以下、JPNE社)が提供するv6プラス(MAP-E方式)を利用して、拠点間VPNとURLオフロードの設定例をご紹介します。クラウドサービス向けの通信は拠点から直接アクセスさせ(赤線)、オフロード対象外の通信はセンタ経由でアクセスさせます(青線)。本設定例は拠点ルータ側の設定例となります。
v6プラスの詳細は、JPNE社のサービス紹介ページをご参照ください。
図.v6プラス+URLオフロード併用構成
設定ガイド集をお使いになる前に
- 本設定例をご利用いただくには ver.10.4以降のソフトウェアが必要です。
- 本設定例は「IX2106」を前提に記載しておりますが、その他ギガビットイーサネット対応機種(「IX2207」など)でも本ページの設定例をそのままご利用いただけます(ご利用構成によってはインタフェース番号の変更が必要です)。
- 「IX2106」は、回線終端装置(ONU)、もしくはひかり電話対応機器(ひかり電話ルータ/ホームゲートウェイなど)のLANポートに接続してください。
- 本例は、コマンドラインインタフェース(CLI)での設定を想定しています。お使いの機器が「IX2106」、「IX2207」の場合は、あらかじめ設定モードの変更を行ってください(変更方法)。
ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。
IXルータ(拠点側)の設定
概要
フレッツ光ネクスト回線(IPv6 IPoE)でv6プラスを利用した環境での拠点間VPNとURLオフロードの設定例をご紹介します。上記図の左側の装置が拠点、右側の装置がセンタをイメージしています。 Office 365をはじめとするクラウドサービス向けの通信のみは直接拠点からアクセスさせます(赤線)。オフロード対象外の通信はセンタ経由でアクセスさせます(青線)。本設定事例は拠点ルータの設定例となります。(センタ装置に関しては特殊な設定は不要のため、説明を省略しています)
センタ装置について必要なパラメータは以下になります。
トンネルアドレス(peer):169.254.255.254
ルーティングおよびDNSの取得などはセンタ経由で行っております。
v6プラス(固定IPサービス)の設定
v6 プラス(固定IPサービス)の設定を行います。
以下の設定をIX2106に投入します。
v6プラスの各種パラメータについて、詳細は以下サイトをご確認下さい。
v6プラス「固定IPサービス」 設定ガイド : UNIVERGE IXシリーズ | NEC
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default 169.254.255.254 Tunnel1.0
ip dhcp enable
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ip name-server 169.254.255.254
proxy-dns ip enable
proxy-dns ip request both
proxy-dns server 169.254.255.254
!
ip dhcp profile dhcpv4-sv
dns-server 192.168.1.254
!
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
option-request domain-search-list
ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
!
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
!
ddns enable
ddns profile v6plus-update
url <UPDATE-SERVER-URL>
query user=<USERNAME>&pass=<PASSWORD>
transport ipv6
source-interface GigaEthernet1.0
update-interval 10
!
interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 autoselect enable
ipv6 autoselect ra-delay 0
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet1.0
ipv6 traffic-class tos 0
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.1.254/24
ip dhcp binding dhcpv4-sv
ipv6 enable
ipv6 interface-identifier <IF-ID>
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
!
interface Tunnel0.0
description v6-plus
tunnel mode 4-over-6
tunnel destination <BR-ADDRESS>
tunnel source GigaEthernet1.0
ip address <IP-ADDRESS/32>
ip tcp adjust-mss auto
ip napt enable
no shutdown
IPv6フィルタの設定
本設定には、外部から内部へのIPv6アクセスを制限する設定が含まれておりません。セキュリティのため、以下の動的フィルタリング設定の追加を推奨します。
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list tunnel-list permit udp src any sport any dest any dport eq 500
ipv6 access-list tunnel-list permit 50 src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
!
interface GigaEthernet0.0
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter tunnel-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter tunnel-list 3 out
ipv6 filter dflt-list 100 out
NetMeisterの設定
NetMeisterに接続するための設定です。
アカウント情報については、NetMeisterのサイトにて登録頂いたアカウント情報に置き換えをお願い致します。各パラメータについては以下の表を参考にしてください。
| sample-id | NetMeisterサイトで登録したグループID |
| sample-pw_1 | NetMeisterサイトで登録したグループパスワード |
| kyoten | NetMeister上で管理する際のサイト名 |
nm ipv6 enable ngn-private auto mqtt force
nm account <sample-id> password plain <sample-pw_1>
nm sitename <kyoten>
nm ddns notify interface GigaEthernet1.0 protocol ipv6
NetMeister上の設定についてはログイン後に左のメニューバから「設定」を選択、「URLオフロード」の確認/変更を選択すると以下の画面が表示されます。
オフロードさせたいアプリケーションにチェックを入れることで、簡単にオフロード対象にすることが可能です。
図.NetMeister設定画面
URLオフロードの設定
URLオフロードを行うための装置側の設定になります。
NetMeisterから外部リストを取得することで、連携した動作が可能になります。
route-map urlo-map permit 1
match ip url-offload urlo-prof
set interface Tunnel0.0
!
route-map web-dmvpn-map permit 10
match interface GigaEthernet1.0
!
url-offload profile urlo-prof
url netmeister
offload-protocol both
!
ip policy route-map urlo-map
センタ⇔拠点のVPNの設定
センタ⇔拠点間のVPN設定です。
センタ装置に関しては特殊な設定は不要のため、説明を省略しています。
VPNの設定については、以下のマニュアル参考にしてください。
設定事例集 | NEC Manuals
39.3 NetMeister(ダイナミック DNS)を利用した NGN 閉域網の拠点間接続
nhrp local GigaEthernet1.0
ikev2 authentication psk id ipv4 169.254.255.1 key char secret
!
router bgp 65534
neighbor 169.254.255.254 remote-as 65534
neighbor 169.254.255.254 connect-interval 10
neighbor 169.254.255.254 timers 5 15
address-family ipv4 unicast
redistribute connected route-map web-dmvpn-map
!
interface Tunnel1.0
description DM-VPN
tunnel mode mgre ipsec-ikev2
ip address 169.254.255.1/24
ip tcp adjust-mss auto
ip url-offload profile urlo-prof
nhrp nhs 169.254.255.254/24 nbma center.sample-id.v6.nmddns.jp ipv6
ikev2 connect-type auto
ikev2 dpd interval 10
ikev2 local-authentication psk id ipv4 169.254.255.1
ikev2 outgoing-interface GigaEthernet0.0 auto
ikev2 ipsec-mode transport
ikev2 peer any authentication psk
no shutdown
最後に設定の保存を行います。
Router(config)# write memory