2.6. Ether over IPの設定
注意
UNIVERGE IX-V シリーズをクラウドで利用する場合は、Ether over IPは利用できません。
IPネットワーク上にイーサネットのブリッジを形成する機能です。離れた拠点間のイーサネット上の通信をIPパケットでカプセル化し、あたかも同一リンク上に存在しているかのように見せかけることができます。
次のような特徴・用途があります。
IPネットワーク上の拠点同士で擬似的に広域イーサネット網を構築可能
同一のIPネットワーク同士を接続させることができる
任意のプロトコルをIPネットワーク上でブリッジさせることができる
IPsecと併用することでセキュアなEthernet over IPsecを構築可能
PPPoE上でもブリッジ機能が利用可能
IPv6に対応
IPsecと組み合わせることで動的アドレスにも対応
宛先にFQDNを指定することも可能
2.6.1. EtherIP機能
イーサネットフレームをEtherIPパケットでカプセル化することで、IPネットワーク上の離れた拠点間でのブリッジ通信を可能としています。
EtherIPは以下のRFCに準拠しています。
Tunneling Ethernet Frames in IP Datagrams (EtherIP) – RFC3378
図 2.6.1 EtherIP機能使用時のブロック図
EtherIP機能は、通常のトンネルとは異なりデータリンク層のフレームを直接IPでカプセル化することで実現する機能です。ブリッジ機能を利用して物理インタフェースとトンネルインタフェースを接合し、トンネルインタフェースでtunnel mode ether-ipを指定することで、イーサネットフレームをIPでカプセル化できる仕組みです。
ブリッジ側のインタフェースからイーサネットフレームを受信した場合、ブリッジフォワーダによってトンネルインタフェースに転送されます。そこでIPパケットでカプセル化して受信したのち、IPv4/IPv6フォワーダに転送されます。
またIPv4/IPv6フォワーダからトンネルインタフェースに送信する場合は、カプセル化したトンネルヘッダを取り外し、イーサネットフレームとしてからブリッジフォワーダに送信されます。
図 2.6.2 EtherIPパケットフォーマット(プロトコル番号:97)
イーサネットフレームはFCSを含みません。
図 2.6.3 EtherIP ヘッダフォーマット
ビット0-3:プロトコルバージョン = 3
ビット4-15:予約 = 0
EtherIPのヘッダは、バージョン情報のみで構成されています。RFC3378により上記と異なるヘッダを持つEtherIPパケットを受信した場合は廃棄します。
2.6.1.1. EtherIPの基本設定
グローバルコンフィグモード
項目
説明
bridge irb enable
ブリッジ機能(IRB)の有効化
bridge GROUP bridge ip/ipv6
ブリッジプロトコルの設定
インタフェースコンフィグモード
項目
説明
bridge-group GROUP
ブリッジグループの設定
tunnel mode ether-ip ip
EtherIPの設定(IPv4)
tunnel mode ether-ip ipv6
EtherIPの設定(IPv6)
tunnel mode ether-ip ipsec
EtherIPの設定(IPsec)
表示コマンド
項目
説明
show bridge
ブリッジの学習テーブルの表示
show bridge traffic
ブリッジの統計情報の表示
2.6.1.2. IPsecを使用しないEtherIPの設定
離れた拠点に存在する同一イーサネットリンク同士を接続し通信可能にします。
宛先にFQDNを指定することで、動的アドレス環境でも利用可能です。
図 2.6.4 IPsecを使用しないEtherIPの構成
ブリッジの機能を使用するため、bridge irb enableコマンドを設定します。
Tunnel I/Fのモードをether-ipのipに設定します(IPsecを使用しない場合)。
EtherIPを使用するI/FとTunnel I/Fを同一ブリッジグループに設定します。
bridge irb enable ! interface GigaEthernet0.0 ip address 10.0.0.2/24 no shutdown ! interface GigaEthernet1.0 no ip address bridge-group 1 no shutdown ! interface Tunnel0.0 tunnel mode ether-ip ip tunnel destination 10.0.0.1 tunnel source 10.0.0.2 no ip address bridge-group 1 no shutdown
bridge irb enable ! interface GigaEthernet0.0 ip address 10.0.0.1/24 no shutdown ! interface GigaEthernet1.0 no ip address bridge-group 1 no shutdown ! interface Tunnel0.0 tunnel mode ether-ip ip tunnel destination 10.0.0.2 tunnel source 10.0.0.1 no ip address bridge-group 1 no shutdown
2.6.1.3. IPsecを使用したEtherIPの設定
セキュアな通信を行いたい場合、EtherIPにIKEv1/IPsecおよびIKEv2/IPsecを使用することができます。
IKEv1/IPsecの設定例
ブリッジの機能を使用するため、bridge irb enableコマンドを設定します。
Tunnel I/Fのモードをether-ipのipsecに設定します(IPsecを使用する場合)。
EtherIPを使用するI/FとTunnel I/Fを同一ブリッジグループに設定します。
動的アドレス環境では、IPsec自動鍵ダイナミックポリシーマップ機能を適用します。動的アドレス側のルータはローカルIDを、固定アドレス側のルータはリモートIDをそれぞれ設定する必要があり、動的アドレス側からのみ通信を開始できます。
ipsec policy transportによるトランスポートモードの設定は、デフォルトではIDを送信しませんので、識別のためwith-id-payloadの設定が必要です。
ip route default GigaEthernet0.1 ! ike proposal ike-prop encryption aes hash sha ike policy ike peer any key secret mode aggressive ike-prop ike remote-id ike keyid remote ! ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600 ipsec dynamic-map dmap1 ipv4 ipsec-prop ipsec remote-id dmap1 0.0.0.2 ! bridge irb enable ! ppp profile pppoe authentication myname router1@example.com authentication password router1@example.com password1 ! interface GigaEthernet0.1 encapsulation pppoe auto-connect ppp binding pppoe ip address 10.0.0.1/24 no shutdown ! interface GigaEthernet1.0 no ip address bridge-group 1 no shutdown ! interface Tunnel0.0 tunnel mode ether-ip ipsec no ip address ipsec policy transport dmap1 with-id-payload bridge-group 1 no shutdown
ip route default GigaEthernet0.1 ! ike proposal ike-prop encryption aes hash sha ike policy ike peer 10.0.0.1 key secret mode aggressive ike-prop ike local-id ike keyid remote ! ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600 ipsec autokey-map map1 ipv4 peer 10.0.0.1 ipsec-prop ipsec local-id map1 0.0.0.2 ! bridge irb enable ! ppp profile pppoe authentication myname router2@example.com authentication password router2@example.com password1 ! interface GigaEthernet0.1 encapsulation pppoe auto-connect ppp binding pppoe ip address ipcp no shutdown ! interface GigaEthernet1.0 no ip address bridge-group 1 no shutdown ! interface Tunnel0.0 tunnel mode ether-ip ipsec no ip address ipsec policy transport map1 with-id-payload bridge-group 1 no shutdown
2.6.1.4. IRBの設定
ブリッジ機能を利用しているため、非IP通信のみEtherIP転送したり、BVIインタフェースを経由してルータ機能を併用することも可能です。詳細はブリッジの説明を参照してください。
2.6.1.5. フィルタの設定
EtherIPトンネルインタフェースでは、ブリッジIP/IPv6フィルタとMACフィルタが使用できます。詳細はブリッジ機能、パケットフィルタ機能、MACフィルタ機能の章の説明を参照してください。
2.6.1.6. TCP-MSS調整の設定
EtherIPトンネルインタフェースでTCP-MSS調整機能が利用できます。機能の詳細はブリッジ機能、IPv4機能、IPv6機能の章の説明を参照してください。
EtherIPではMSSの値は自動調整できません。設定の際には付録のTCP-MSS調整値の項を参考にしてください。
2.6.2. ネットワーク設計の注意事項
Ether over IP機能はフラッディング処理の負荷が高いです。UNIVERGE IX-R/IX-V シリーズでは対地数によらず装置の処理能力はほぼ一定値となりますので、使用可能な対地数は処理能力と各対地のトラフィックから決定してください。
ブロードキャストは、各対地にコピーを行うため、ユニキャストに比較して負荷が高く、また、対地数が増えるほど負荷が高くなります。そのため、転送可能なトラフィックを考える際には、ユニキャストとブロードキャストがどの程度転送するかを考慮する必要があります。
使用したい対地数に対して、使用するトラフィック量が多い場合には、以下のような対処により、ブロードキャストを減らし、使用可能なユニキャストを増やすことで対応してください。
- 構成を変更
配下に端末が多い場合は、ARPによるトラフィックが増加します。このような場合、EtherIPを使用するUNIVERGE IX-R/IX-V シリーズのLAN側にルータを設置し、ネットワークを分けることにより、EtherIPを通るブロードキャストパケットは、ルータが送信するパケットのみとすることができます。
図 2.6.5 ネットワークを分ける場合
- フィルタを使用
不要なブロードキャストをフィルタすることにより、ブロードキャストトラフィックを減らすことができます。
2.6.3. 制限事項
複数のブリッジグループを1つのトンネルに通すことはできません。
VLANタグの付与、付替、削除等の操作はできません。VLANタグは透過のみ設定可能です。
Cos値の書き換えはできません。
スパニングツリーの機能がないためループになる構成では使用しないでください。
2.6.4. 注意事項
Ether IPで複数のトンネルを同じブリッジグループに設定した場合、パケットコピー処理がソフトウェアによって行われるため、性能が低下する場合があります。
インターネット網などを使用する場合、網内遅延が発生するため、遅延の影響を受けるアプリケーションを利用する場合は注意が必要です。
IPネットワークで通信しますので、フレームの転送順序が逆転する可能性があります。