2.21. トンネルの設定

2.21.1. トンネル機能の概要

2台のルータ間を仮想的なトンネルで接続し、離れた2点間で直接パケットを送受信する仕組みです。インターネット上にプライベートアドレスで通信したり、IPv6網上でIPv4通信を行うことができます。

以下はIPv4 over IPv6トンネルの例です。IPv4のパケットにIPv6ヘッダを付与して(カプセル化)送信します。受信側は矢印を逆に辿りカプセル化を解除し、IPv4パケットを受け取れます。

../_images/21_tunnel_01.svg

図 2.21.1 インタフェースやIPv4/IPv6とトンネルの関係

UNIVERGE IX-R/IX-V シリーズは以下のトンネル機能をサポートしています。

  • IPv4 over IPv6モード

  • IPv4 over IPv4モード

  • IPsecモード(詳細はIPsecの設定の章を参照してください)

  • EtherIPモード(詳細はEther over IPの設定の章を参照してください)

  • L2TP IPsecモード(詳細はL2TPの設定の章を参照してください)

  • MAP-Eモード

  • IPv6国内標準プロビジョニング

トンネルのネストは2段まで可能です。

2.21.2. トンネルの設定

トンネルはインタフェースとして実装しています。トンネルインタフェースにパケットをルーティングすることでtunnel modeで指定した種別のカプセル化が行われます。

トンネル設定で使用する主なコマンドは以下のとおりです。

項目

説明

tunnel mode

トンネルモードの選択

tunnel destination

トンネルの送信先アドレス設定

tunnel source

トンネルの送信元アドレス設定

IPsecを利用する場合は、IPsecの章を参照してください。

2.21.3. フラグメントの設定

トンネルはIPv4またはIPv6ヘッダでパケットをカプセル化するため、パケットのサイズが大きくなります。送信可能なパケットサイズには上限があり(MTUサイズ)、カプセル化により送信インタフェースのMTUを超えると、そのままではパケットが送信できません。

カプセル化してMTUを超えるパケットは、通常分割してパケットを送信します(フラグメント)。ただし、IPv4でフラグメント禁止ビットが1(有効)のパケットやIPv6パケットはフラグメントが禁止されているため、デフォルトではパケットを廃棄し、送信元にMTUを下げて送信するようICMPエラーを通知します(Path MTU Discovery)。

ただしPath MTU Discoveryは動作しない場合も多いことから、no tunnel adjust-mtuコマンドでフラグメント禁止でも強制的にフラグメントして送信する設定が可能です。

また、ip forced-fragmentという、パケットのフラグメント禁止ビットを0(無効)に書き換えるコマンドもありますので、ヘッダ情報を書き換えてよい場合に利用してください。

項目

説明

tunnel df-bit

トンネルのフラグメント設定

tunnel adjust-mtu

トンネルインタフェースのMTU指定

ip forced-fragment

強制フラグメント機能の有効設定

また、TCPの通信はMSS調整機能により端末がMTUを超えない範囲でTCPパケットを送信するように設定できます。TCPの性能劣化を抑制するため、通常設定するようにしてください。

なお、no tunnel adjust-mssを設定している場合MSSは自動調整できませんので、適切な値を指定する必要があります。ip forced-fragmentコマンドの場合には自動調整が可能です。

項目

説明

ip tcp adjust-mss

TCP(IPv4)のMSS調整

ipv6 tcp adjust-mss

TCP(IPv6)のMSS調整

  • tunnel adjust-mtuについて

    • no tunnel adjust-mtuの場合、トンネルのMTUはシステムの最大MTU値となります。

    • トンネルのMTUを超えるパケットは、DFビットでフラグメントの可否を判断します。

    • カプセル化後のサイズが送信する物理インタフェースのMTUを超える場合(no tunnel adjust-mtuは常に)は、DFビットによらずフラグメントし、DFビットを0にします。

    • tunnel adjust-mtu autoの場合、DFビットはtunnel df-bitの設定に従います。

2.21.4. IPv4 over IPv6トンネルの設定

IPv4 over IPv6トンネルで登録する情報は以下のようになります。

../_images/21_tunnel_02.svg

図 2.21.2 IPv4 over IPv6トンネル構成

リスト 2.21.1 設定例
IPv4 over IPv6トンネルを登録し、アドレスを付与します。
(強制的にフラグメントする場合の設定例)

ip route default Tunnel0.0
!
interface GigaEthernet0.0
  ipv6 address 2001:db8:1::1/64
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.0.1/24
  no shutdown
!
interface Tunnel0.0
  tunnel mode 4-over-6
  no tunnel adjust-mtu
  tunnel destination 2001:db8:1::2
  tunnel source 2001:db8:1::1
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss 1400
  no shutdown

トンネル内がIPv4の場合にはIPv4アドレスの設定が必要です(ip addressコマンドまたはip unnumberedコマンド)。トンネルに固有のIPv4アドレスが必要でなければ、ip unnumberedコマンドを設定してください(設定の際はIPv4アドレスが割り当てられたインタフェースを指定してください。通常LAN側のインタフェースになります)。

2.21.5. IPv4 over IPv4トンネルの設定

IPv4 over IPv4トンネルで登録する情報は以下のようになります。

あらかじめ通信相手となるネットワークがわかっている場合で、プライベートアドレスを用いたネットワークからプライベートアドレスを用いたネットワークにグローバルアドレス空間を介して通信する場合などに有効となる機能です。

../_images/21_tunnel_03.svg

図 2.21.3 IPv4 over IPv4トンネルの設定構成図

リスト 2.21.2 設定例
IPv4 over IPv4トンネルを登録し、アドレスを付与します。

ip route default Tunnel0.0
!
interface GigaEthernet0.0
  ip address 10.10.10.1/24
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.200.1/24
  no shutdown
!
interface Tunnel0.0
  tunnel mode 4-over-4
  tunnel destination 10.10.10.2
  tunnel source GigaEthernet0.0
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  no shutdown

トンネル内がIPv4の場合にはIPv4アドレスの設定が必要です(ip addressコマンドまたはip unnumberedコマンド)。トンネルに固有のIPv4アドレスが必要でなければ、ip unnumberedコマンドを設定してください(設定の際はIPv4アドレスが割り当てられたインタフェースを指定してください。通常LAN側のインタフェースになります)。

2.21.6. GRE(Generic Routing Encapsulation)トンネルの設定

GREトンネルは、レイヤやプロトコルの異なるパケットの後にGRE用のヘッダを付与し、カプセル化を行います。GREトンネルでは他のトンネルではサポートしていないキープアライブ機能をサポートしています。この機能を利用することでIX-Rルータ以外の装置と対向する場合でも冗長構成を構築することができます。キープアライブ機能の他にも、チェックサム等通信の信頼性を向上するための機能をサポートしています。(対向装置もGREトンネルをサポートしている必要があります)

GREトンネルでは、以下の機能をサポートしております。

  • IPv4でのカプセル化

  • IPv6でのカプセル化

  • IPv4パケットのカプセル化

  • Ethernetパケットのカプセル化

  • IPsecトランスポートモードと組み合わせた通信

  • GRE over IPsec

GREトンネルで登録する情報は以下のようになります。

../_images/21_tunnel_04.svg

図 2.21.4 GREトンネルの設定構成図

リスト 2.21.3 設定例
GREトンネルを登録し、unnumberedに設定します。

ip route default Tunnel0.0

interface GigaEthernet0.0
  ip address 10.10.10.1/24
  no shutdown

interface GigaEthernet1.0
  ip address 192.168.200.1/24
  no shutdown

interface Tunnel0.0
  tunnel mode gre ip
  tunnel destination 10.10.10.2
  tunnel source GigaEthernet0.0
  ip unnumbered GigaEthernet1.0
  no shutdown

GREでは以下の機能をサポートしています。これらの機能は複数を同時に使用することが可能です。

2.21.6.1. キープアライブの設定

トンネルの接続先の対向装置との正常性を確認する機能です。

キープアライブでは、一定周期で確認用のパケットを送信し、次の送信時までに応答が返らなければ、応答が無かったと判断します。一定回数応答が返らなければ障害を検出し、インタフェースのプロトコル状態をdownにします。(復旧確認のために、パケットの送信は継続します)

また、障害中に一定回数応答が返ると復旧を検出し、インタフェースのプロトコル状態をupにします。なお、確認パケットの送信間隔、障害検出の回数、復旧検出の回数は設定が可能です。

上記機能によりトンネル区間障害中は、トンネルが出力先となる経路はルーティングテーブルから削除されるため、他の経路へ迂回を行うことが可能になります。

../_images/21_tunnel_05.svg

図 2.21.5 キープアライブ設定時のシーケンス

設定は以下のコマンドで行います。

../_images/21_tunnel_06.svg

図 2.21.6 GREトンネルのキープアライブを使用したISDN迂回構成

項目

説明

tunnel keepalive

キープアライブの設定

リスト 2.21.4 設定例:GREトンネルのキープアライブを使用したISDN迂回構成
ip route default Tunnel0.0 distance 100
ip route default Dialer0 distance 150

ppp profile isdn

device BRI0
  isdn switch-type ins64
  isdn answer1 011-987-6543

interface GigaEthernet0.0
  ip address 10.10.10.1/24
  no shutdown

interface GigaEthernet1.0
  ip address 192.168.200.1/24
  no shutdown

interface Tunnel0.0
  tunnel mode gre ip
  tunnel destination 10.10.10.2
  tunnel source 10.10.10.1
  tunnel keepalive period 5 retries 2
  ip unnumbered GigaEthernet1.0
  no shutdown

interface Dialer0
  encapsulation ppp
  no auto-connect
  dialer string 03-1234-5678
  ppp binding isdn
  ip unnumbered GigaEthernet1.0
  no shutdown

2.21.6.2. チェックサムオプションの設定

GREヘッダにチェックサムを付与します。GREトンネルでパケット受信時は、チェックサムが付与されている場合のみ、チェックサムの計算を行い、付与されたチェックサムと異なる場合はパケットを廃棄します。

設定は以下のコマンドで行います。

項目

説明

tunnel checksum

チェックサムの設定

リスト 2.21.5 設定例
ip route default Tunnel0.0

interface GigaEthernet0.0
  ip address 10.10.10.1/24
  no shutdown

interface GigaEthernet1.0
  ip address 192.168.200.1/24
  no shutdown

interface Tunnel0.0
  tunnel mode gre ip
  tunnel destination 10.10.10.2
  tunnel source 10.10.10.1
  tunnel checksum
  ip unnumbered GigaEthernet1.0
  no shutdown

2.21.6.3. キーオプションの設定

GREヘッダにキー値を設定します。パケット受信時は、トンネルインタフェースに設定しているキー値と一致した場合のみ受信しますので、GREトンネルの両端でキー値は一致している必要があります。キー値が一致するインタフェースが存在しない場合はパケットを廃棄します。

設定は以下のコマンドで行います。

項目

説明

tunnel key

キーの設定

リスト 2.21.6 設定例:キー値に10を設定
ip route default Tunnel0.0

interface GigaEthernet0.0
  ip address 10.10.10.1/24
  no shutdown

interface GigaEthernet1.0
  ip address 192.168.200.1/24
  no shutdown

interface Tunnel0.0
  tunnel mode gre ip
  tunnel destination 10.10.10.2
  tunnel source 10.10.10.1
  tunnel key 10
  ip unnumbered GigaEthernet1.0
  no shutdown

2.21.6.4. シーケンス番号オプションの設定

GREヘッダにシーケンス番号を付与します。UNIVERGE IX-R/IX-V シリーズでは、送信時のシーケンス番号の付与のみ行い、受信時のシーケンス番号のチェック等は行いません。

設定は以下のコマンドで行います。

項目

説明

tunnel sequence-number

シーケンス番号の設定

リスト 2.21.7 設定例
ip route default Tunnel0.0

interface GigaEthernet0.0
  ip address 10.10.10.1/24
  no shutdown

interface GigaEthernet1.0
  ip address 192.168.200.1/24
  no shutdown

interface Tunnel0.0
  tunnel mode gre ip
  tunnel destination 10.10.10.2
  tunnel source 10.10.10.1
  tunnel sequence-number
  ip unnumbered GigaEthernet1.0
  no shutdown

2.21.6.5. GREトンネルとIPsecの連携

GREトンネルと物理インタフェース上のIPsec設定を併用することにより、GREトンネルのパケットを暗号化することができます。また、トンネルインタフェースで直接GRE over IPsecの設定も可能です。

前者の方式は、動的アドレス環境で利用できない、性能が低いなどの制限がありますので、通常は後者のトンネルインタフェース方式を利用してください。

IPsecはトランスポートモードで利用します。トランスポートモードの詳細については、IPsecの項を参照してください。with-id-payloadは必ず設定してください。

なお、GRE over IKEv2も設定可能です。モードをトランスポートにして設定してください。

リスト 2.21.8 設定例:IKEv1/IPsec 物理インタフェース方式
ip route default Tunnel1.0
ip access-list acl permit 47 src 10.0.0.1/32 dest 10.0.0.2/32

ike proposal ike-prop encryption aes hash sha
ike policy ike-policy peer 10.0.0.2 key gre-key ike-prop

ipsec autokey-proposal sec-prop esp-aes esp-sha
ipsec autokey-map sec-policy acl peer 10.0.0.2 sec-prop

interface GigaEthernet0.0
  ip address 10.0.0.1/24
  ipsec policy transport sec-policy with-id-payload
  no shutdown

interface GigaEthernet1.0
  ip address 192.168.0.1/24
  no shutdown

interface Tunnel1.0
  tunnel mode gre ip
  tunnel destination 10.0.0.2
  tunnel source 10.0.0.1
  ip address 100.0.0.1/30
  no shutdown
リスト 2.21.9 設定例:IKEv1/IPsec トンネルインタフェース方式
ip route default Tunnel1.0
ip access-list acl permit 47 src 10.0.0.1/32 dest 10.0.0.2/32

ike proposal ike-prop encryption aes hash sha
ike policy ike-policy peer 10.0.0.2 key gre-key ike-prop

ipsec autokey-proposal sec-prop esp-aes esp-sha
ipsec autokey-map sec-policy acl peer 10.0.0.2 sec-prop

interface GigaEthernet0.0
  ip address 10.0.0.1/24
  no shutdown

interface GigaEthernet1.0
  ip address 192.168.0.1/24
  no shutdown

interface Tunnel1.0
  tunnel mode gre ipsec
  ip address 100.0.0.1/30
  ipsec policy transport sec-policy with-id-payload
  no shutdown

2.21.7. MAP-Eの設定

MAP-Eは、IPv4通信をIPv4 over IPv6にてカプセル化して通信することで、IPv6サービス事業者経由でIPv4インターネットに接続可能にする技術です。

注意

UNIVERGE IX-V シリーズでは、MAP-Eは利用できません。

../_images/21_tunnel_07.svg

図 2.21.7 MAP-Eの構成

2.21.7.1. 利用環境

  • 収容可能なMAP-Eサービス回線は1回線です。

  • 以下のサービスに接続できます。

    • 株式会社JPIXが提供する「v6プラス」

    • ビッグローブ株式会社が提供する「IPv6オプション」

    • NTTコミュニケーションズ株式会社が提供する「OCNバーチャルコネクト」

  • 光回線終端装置(ONU)のほか、ひかり電話ルータを設置している環境では、IX-Rルータはひかり電話ルータのLAN側に接続し、RA(設定例2)での設定を行ってください。また、ひかり電話ルータを複数段にまたがって設置している環境では利用できません。

注釈

  • 「v6プラス」は、株式会社JPIXの登録商標または商標です。

  • 「OCNバーチャルコネクト」は、NTTコミュニケーションズ株式会社の登録商標または商標です。

  • 「IPv6オプション」は、ビッグローブ株式会社の登録商標または商標です。

また、MAP-Eで動的IPアドレスの回線をご利用の場合は、あわせて以下もご確認ください。

  • MAP-E(動的IPアドレス)では、複数のユーザーに対し同一IPv4アドレスで異なる範囲のローカルポート番号が払い出されます。

  • 使用可能なローカルポートが限定されているため、特定ポート番号での待ち受けはできません。

  • TCP, UDP, ICMP以外のポート番号をもたないプロトコルでの通信はできません。

  • NAPT変換の動作が他のインタフェース上での動作と異なります。詳細はNATの設定ページを参照してください。

2.21.7.2. 設定

MAP-E接続のために、以下の設定が必要です。

項目

説明

tunnel mode map-e jpix/ocn

トンネルモード設定

ip address map-e

IPアドレス設定

ip napt enable

NAPT設定

注釈

IPv6アドレスを取得するインタフェースが複数存在する場合は動作保証しません。

2.21.7.2.1. 【設定例1】ひかり電話ルータを設置していない環境での設定例(V6プラス)

ひかり電話ルータを設置していない環境では、IPv6 PD/RA自動判別により、ひかり電話契約の有無にかかわらず同一コンフィグで接続が可能です。

リスト 2.21.10 設定例
ip route default Tunnel0.0
!
proxy-dns ip request both
!
ip dhcp profile dhcp-lan
  default-gateway 192.168.0.254
  dns-server 192.168.0.254
!
ipv6 dhcp client-profile dhcpv6-cl
  option-request dns-servers
  ia-pd subscriber GigaEthernet2.0 ::/64 eui-64
!
interface GigaEthernet0.0
  ipv6 enable
  ipv6 autoselect enable
  ipv6 autoselect ra-delay 0
  ipv6 dhcp client dhcpv6-cl
  ipv6 nd proxy GigaEthernet2.0
  ipv6 traffic-class tos 0
  no shutdown
!
interface GigaEthernet2.0
  ip address 192.168.0.254/24
  ip dhcp enable
  ip dhcp binding dhcp-lan
  proxy-dns ip enable
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag
  no shutdown
!
interface Tunnel0.0
  tunnel mode map-e jpix
  ip address map-e
  ip tcp adjust-mss auto
  ip napt enable
  no shutdown
  • proxy-dns ip request both

    IPv4 DNS要求パケットを、IPv6 DNSサーバーに問い合わせるために必要です。

  • ia-pd subscriber GigaEthernet2.0 ::/64 eui-64

    MAP-Eで利用するIPv6アドレスのサブネット部が"00"になる必要があります。このため、ひかり電話契約ありの回線(DHCPv6 PD)で接続する場合の対応として、DHCPv6 PDアドレスの割り当て時に”::/64”を指定します。

  • tunnel mode map-e jpix/ocn/ocn-fixed

    MAP-Eのトンネルを指定します。

    ビッグローブ株式会社が提供するIPv6接続サービス「IPv6オプション」に接続する場合は、jpixを指定してください。

    NTTコミュニケーションズ株式会社が提供する「OCNバーチャルコネクト」の動的IPアドレス回線に接続する場合は、ocnを指定してください。

    NTTコミュニケーションズ株式会社が提供する「OCNバーチャルコネクト」の固定IP1アドレス回線に接続する場合は、ocn-fixedを指定してください。

    複数固定IPアドレス回線に接続する場合の設定例は、【設定例3】を参照してください。

  • ip address map-e

    MAP-Eで指定されたIPv4アドレスを動的に割り当てる設定が必要です。

  • ip napt enable

    MAP-E(動的IP)での接続時にはNAPT有効化が必要です。

注釈

IPv6アドレスをLAN側でも利用する場合は、ダイナミックフィルタの設定など適切なセキュリティ設定を行ってください。

2.21.7.2.2. 【設定例2】ひかり電話ルータを設置している環境での設定例(v6プラス)

ひかり電話ルータを設置している環境では、IPv6 RAでの設定を行ってください。

DHCPv6-PDではMAP-Eが動作しません。

リスト 2.21.11 設定例
ip route default Tunnel0.0
!
proxy-dns ip request both
!
ip dhcp profile dhcp-lan
  default-gateway 192.168.0.254
  dns-server 192.168.0.254
!
ipv6 dhcp client-profile dhcpv6-cl
  information-request
  option-request dns-servers
!
interface GigaEthernet0.0
  ipv6 address autoconfig receive-default
  ipv6 dhcp client dhcpv6-cl
  ipv6 traffic-class tos 0
  no shutdown
!
interface GigaEthernet2.0
  ip address 192.168.0.254/24
  ip dhcp enable
  ip dhcp binding dhcp-lan
  proxy-dns ip enable
  no shutdown
!
interface Tunnel0.0
  tunnel mode map-e jpix
  ip address map-e
  ip tcp adjust-mss auto
  ip napt enable
  no shutdown
  • proxy-dns ip request both

    IPv4 DNS要求パケットを、IPv6 DNSサーバーに問い合わせるために必要です。

  • tunnel mode map-e jpix/ocn/ocn-fixed

    MAP-Eのトンネルを指定します。

  • ip address map-e

    MAP-Eで指定されたIPv4アドレスを動的に割り当てる設定が必要です。

  • ip napt enable

    MAP-E(動的IP)での接続時にはNAPT有効化が必要です。

注釈

IPv6アドレスをLAN側でも利用する場合は、ダイナミックフィルタの設定など適切なセキュリティ設定を行ってください。

2.21.7.2.3. 【設定例3】OCN バーチャルコネクト複数固定 IP 回線の設定

OCNバーチャルコネクトで複数固定IPアドレスのサービスを使用する際の設定例です。ここではひかり電話ルータ設置環境でのご利用時の設定を行います。

リスト 2.21.12 設定例
ip route default Tunnel0.0
ipv6 dhcp enable
!
proxy-dns ip request both
!
ipv6 dhcp client-profile dhcpv6-cl
  information-request
  option-request dns-servers
!
ipv6 dhcp server-profile dhcpv6-sv
  dns-server dhcp
!
interface GigaEthernet0.0
  no ip address
  ipv6 enable
  ipv6 dhcp client dhcpv6-cl
  ipv6 nd proxy GigaEthernet1.0
  ipv6 traffic-class tos 0
  no shutdown
!
interface GigaEthernet1.0
  ip address 10.10.10.1/29
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag
  proxy-dns ip enable
  no shutdown
!
interface Tunnel0.0
  tunnel mode map-e ocn-fixed
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  no shutdown
  • tunnel mode map-e ocn-fixed

    OCNバーチャルコネクトの固定IPアドレストンネルを指定します。

  • ip unnumbered GigaEthernet1.0

    複数固定IPアドレスのサービスをご利用の場合、MAP-EトンネルでのIPアドレス設定は行わず、他のインタフェースをアンナンバード指定します。

    アンナンバード先のインタフェースで、インターネット事業者から指定されたグローバルIPv4アドレスを手動で設定する必要があります。

2.21.7.3. MAP-E(動的IP)でのIPv4 VPN設定

MAP-E(動的IP)のIPv4アドレスを使用してVPNを使用する際の設定例です。

ここではひかり電話ルータ設置環境でのご利用時の設定を行います。

また、MAP-E(動的IP)の場合は以下に注意が必要です。

  • MAP-E(動的IP)側がイニシエータである必要があります。

  • MAP-E(動的IP)側がレスポンダの構成(L2TP/IPsecなど)はご利用になれません。

  • 必ずNATトラバーサルを使用してください。

    リスト 2.21.13 設定例:MAP-E(動的IP)側
    ip route default Tunnel0.0
    ip route 192.168.0.0/24 Tunnel10.0
    !
    proxy-dns ip request both
    !
    ikev2 authentication psk id keyid ID_A key char key_A
    ikev2 authentication psk id keyid ID_B key char key_B
    !
    ipv6 dhcp client-profile dhcpv6-cl
      information-request
      option-request dns-servers
    !
    ikev2 default-profile
      local-authentication psk id keyid ID_A
    !
    interface GigaEthernet0.0
      no ip address
      ipv6 address autoconfig receive-default
      ipv6 dhcp client dhcpv6-cl
      ipv6 traffic-class tos 0
      no shutdown
    !
    interface GigaEthernet1.0
      ip address 192.168.1.254/24
      proxy-dns ip enable
      no shutdown
    !
    interface Tunnel0.0
      tunnel mode map-e
      ip address map-e
      ip tcp adjust-mss auto
      ip napt enable
      no shutdown
    !
    interface Tunnel10.0
      tunnel mode ipsec-ikev2
      ip unnumbered GigaEthernet1.0
      ip tcp adjust-mss auto
      ikev2 connect-type auto
      ikev2 ipsec pre-fragment
      ikev2 nat-traversal keepalive 20
      ikev2 outgoing-interface Tunnel0.0
      ikev2 peer 172.16.255.1 authentication psk id keyid ID_B
      no shutdown
    
    リスト 2.21.14 設定例:対向レスポンダ側
    ip route default GigaEthernet0.1
    ip route 192.168.1.0/24 Tunnel10.0
    !
    ikev2 authentication psk id keyid ID_A key char key_A
    ikev2 authentication psk id keyid ID_B key char key_B
    !
    ppp profile wan
      authentication myname cl1@test.com
      authentication password cl1@test.com cl1_pass
    !
    ikev2 default-profile
      local-authentication psk id keyid ID_B
    !
    interface GigaEthernet1.0
      ip address 192.168.0.254/24
      no shutdown
    !
    interface GigaEthernet0.1
      encapsulation pppoe
      auto-connect
      ppp binding wan
      ip address 172.16.255.1/32
      ip napt enable
      ip napt static GigaEthernet0.1 udp 500
      ip napt static GigaEthernet0.1 udp 4500
      ip napt static GigaEthernet0.1 50
      no shutdown
    !
    interface Tunnel10.0
      tunnel mode ipsec-ikev2
      ip unnumbered GigaEthernet1.0
      ip tcp adjust-mss auto
      ikev2 ipsec pre-fragment
      ikev2 nat-traversal keepalive 20
      ikev2 outgoing-interface GigaEthernet0.1
      ikev2 peer any authentication psk id keyid ID_A
      no shutdown
    

2.21.7.4. MAP-E(固定IP)でのIPv4 VPN設定

MAP-E(固定IP)のIPv4アドレスを使用してVPNを使用する際の設定例です。

ここではひかり電話ルータ設置環境でのご利用時の設定を行います。

MAP-E(動的IP)と異なり、レスポンダでのVPN接続ができます。

リスト 2.21.15 設定例
ip route default Tunnel0.0
!
ike nat-traversal
!
ike proposal ike1 encryption aes-256 hash sha group 1024-bit
ike proposal ike2 encryption aes hash sha group 1024-bit
ike proposal ike3 encryption 3des hash sha group 1024-bit
!
ike policy ike-policy peer any key secret ike1,ike2,ike3
!
ipsec autokey-proposal sec1 esp-aes-256 esp-sha
ipsec autokey-proposal sec2 esp-aes esp-sha
ipsec autokey-proposal sec3 esp-3des esp-sha
!
ipsec dynamic-map ipsec-map ipv4 sec1,sec2,sec3
!
ppp profile lns
  authentication request chap
  authentication password user-A@example.com password-1
  lcp pfc
  lcp acfc
  ipcp ip-compression
  ipcp provide-ip-address range 192.168.1.101 192.168.1.102
!
interface GigaEthernet0.0
  no ip address
  ipv6 dhcp client dhcpv6-cl
  ipv6 address autoconfig receive-default
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.1.1/24
  ip proxy-arp
  no shutdown
!
interface Tunnel0.0
  tunnel mode map-e ocn-fixed
  ip address map-e
  ip tcp adjust-mss auto
  ip napt enable
  ip napt static Tunnel0.0 udp 500
  ip napt static Tunnel0.0 udp 4500
  ip napt static Tunnel0.0 50
  no shutdown
!
interface Tunnel10.0
  ppp binding lns
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  ipsec policy transport ipsec-map
  no shutdown
!
interface Tunnel11.0
  ppp binding lns
  tunnel mode l2tp-lns ipsec
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  ipsec policy transport ipsec-map
  no shutdown
  • ip napt static Tunnel0.0 udp 500

    MAP-E(固定IP)で静的NAPTなど、各種NAPTに関する設定を行う場合はMAP-Eトンネルインタフェースに行います。

2.21.8. IPv6国内標準プロビジョニング方式の設定

IPv6国内標準プロビジョニング方式に対応したIPv4 over IPv6トンネルの接続を行います。

注意

UNIVERGE IX-V シリーズでは、MAP-Eは利用できません。

以下のトンネル種別に対応しています。

  • DS Lite

  • IPIP

以下のプロバイダに対応しています。

  • ビッグローブ株式会社

  • 株式会社朝日ネット

上記プロバイダ以外でも、サーバー認証を行っていないサービスの場合は接続が可能です。

設定コマンドは以下になります。

項目

説明

tunnel mode

トンネルモードの選択

tunnel v6pv user

接続ユーザー名設定(ユーザー名、パスワードの指定がある場合)

ip address v6pv

IPアドレスの設定

ip napt enable v6pv

NAPT有効設定

IPv6標準プロビジョニングが動作するためには、「tunnel mode」では「v6pv」を選択します。「ip address v6pv lan」の設定が必須となります。

設定例は以下になります。

リスト 2.21.16 設定例
  ip route default Tunnel0.0
  !
  proxy-dns ip request both
  !
  ip dhcp profile dhcp-lan
    default-gateway 192.168.0.254
    dns-server 192.168.0.254
  !
  ipv6 dhcp client-profile dhcpv6-cl
    option-request dns-servers
    ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
  !
  interface GigaEthernet0.0
    ipv6 enable
    ipv6 autoselect enable
    ipv6 autoselect ra-delay 0
    ipv6 dhcp client dhcpv6-cl
    ipv6 nd proxy GigaEthernet1.0
    ipv6 traffic-class tos 0
    no shutdown
  !
  interface GigaEthernet1.0
    ip address 192.168.0.254/24
    ip dhcp binding dhcp-lan
    proxy-dns ip enable
    ipv6 enable
    ipv6 dhcp server dhcpv6-sv
    ipv6 nd ra enable
    ipv6 nd ra other-config-flag
    no shutdown
  !
  interface Tunnel0.0
    tunnel mode v6pv
    ip address v6pv lan GigaEthernet1.0
    ip napt enable v6pv
    no shutdown
  • ip address v6pv lan

    unnumberedにて使用するLANインタフェース、複数固定IP時にアドレスを割り当てるLANインタフェースを指定します。

  • ip napt enable v6pv

    v6pvを設定した場合は、IPIP(固定IP1)の場合にNAPTが有効になります。

注釈

IPv6アドレスを取得するインタフェースが複数存在する場合は動作保証しません。