2.20. トンネルの設定
2.20.1. トンネル機能の概要
2台のルータ間を仮想的なトンネルで接続し、離れた2点間で直接パケットを送受信する仕組みです。インターネット上にプライベートアドレスで通信したり、IPv6網上でIPv4通信を行うことができます。
以下はIPv4 over IPv6トンネルの例です。IPv4のパケットにIPv6ヘッダを付与して(カプセル化)送信します。受信側は矢印を逆に辿りカプセル化を解除し、IPv4パケットを受け取れます。
図 2.20.1 インタフェースやIPv4/IPv6とトンネルの関係
UNIVERGE IX-R/IX-V シリーズは以下のトンネル機能をサポートしています。
IPv4 over IPv6モード
IPv4 over IPv4モード
IPsecモード(詳細はIPsecの設定の章を参照してください)
EtherIPモード(詳細はEther over IPの設定の章を参照してください)
L2TP IPsecモード(詳細はL2TPの設定の章を参照してください)
MAP-Eモード
IPv6国内標準プロビジョニング
トンネルのネストは2段まで可能です。
2.20.2. トンネルの設定
トンネルはインタフェースとして実装しています。トンネルインタフェースにパケットをルーティングすることでtunnel modeで指定した種別のカプセル化が行われます。
トンネル設定で使用する主なコマンドは以下のとおりです。
項目
説明
tunnel mode
トンネルモードの選択
tunnel destination
トンネルの送信先アドレス設定
tunnel source
トンネルの送信元アドレス設定
IPsecを利用する場合は、IPsecの章を参照してください。
2.20.3. フラグメントの設定
トンネルはIPv4またはIPv6ヘッダでパケットをカプセル化するため、パケットのサイズが大きくなります。送信可能なパケットサイズには上限があり(MTUサイズ)、カプセル化により送信インタフェースのMTUを超えると、そのままではパケットが送信できません。
カプセル化してMTUを超えるパケットは、通常分割してパケットを送信します(フラグメント)。ただし、IPv4でフラグメント禁止ビットが1(有効)のパケットやIPv6パケットはフラグメントが禁止されているため、デフォルトではパケットを廃棄し、送信元にMTUを下げて送信するようICMPエラーを通知します(Path MTU Discovery)。
ただしPath MTU Discoveryは動作しない場合も多いことから、no tunnel adjust-mtuコマンドでフラグメント禁止でも強制的にフラグメントして送信する設定が可能です。
また、ip forced-fragmentという、パケットのフラグメント禁止ビットを0(無効)に書き換えるコマンドもありますので、ヘッダ情報を書き換えてよい場合に利用してください。
項目
説明
tunnel df-bit
トンネルのフラグメント設定
tunnel adjust-mtu
トンネルインタフェースのMTU指定
ip forced-fragment
強制フラグメント機能の有効設定
また、TCPの通信はMSS調整機能により端末がMTUを超えない範囲でTCPパケットを送信するように設定できます。TCPの性能劣化を抑制するため、通常設定するようにしてください。
なお、no tunnel adjust-mssを設定している場合MSSは自動調整できませんので、適切な値を指定する必要があります。ip forced-fragmentコマンドの場合には自動調整が可能です。
項目
説明
ip tcp adjust-mss
TCP(IPv4)のMSS調整
ipv6 tcp adjust-mss
TCP(IPv6)のMSS調整
tunnel adjust-mtuについて
no tunnel adjust-mtuの場合、トンネルのMTUはシステムの最大MTU値となります。
トンネルのMTUを超えるパケットは、DFビットでフラグメントの可否を判断します。
カプセル化後のサイズが送信する物理インタフェースのMTUを超える場合(no tunnel adjust-mtuは常に)は、DFビットによらずフラグメントし、DFビットを0にします。
tunnel adjust-mtu autoの場合、DFビットはtunnel df-bitの設定に従います。
2.20.4. IPv4 over IPv6トンネルの設定
IPv4 over IPv6トンネルで登録する情報は以下のようになります。
図 2.20.2 IPv4 over IPv6トンネル構成
IPv4 over IPv6トンネルを登録し、アドレスを付与します。 (強制的にフラグメントする場合の設定例) ip route default Tunnel0.0 ! interface GigaEthernet0.0 ipv6 address 2001:db8:1::1/64 no shutdown ! interface GigaEthernet1.0 ip address 192.168.0.1/24 no shutdown ! interface Tunnel0.0 tunnel mode 4-over-6 no tunnel adjust-mtu tunnel destination 2001:db8:1::2 tunnel source 2001:db8:1::1 ip unnumbered GigaEthernet1.0 ip tcp adjust-mss 1400 no shutdown
トンネル内がIPv4の場合にはIPv4アドレスの設定が必要です(ip addressコマンドまたはip unnumberedコマンド)。トンネルに固有のIPv4アドレスが必要でなければ、ip unnumberedコマンドを設定してください(設定の際はIPv4アドレスが割り当てられたインタフェースを指定してください。通常LAN側のインタフェースになります)。
2.20.5. IPv4 over IPv4トンネルの設定
IPv4 over IPv4トンネルで登録する情報は以下のようになります。
あらかじめ通信相手となるネットワークがわかっている場合で、プライベートアドレスを用いたネットワークからプライベートアドレスを用いたネットワークにグローバルアドレス空間を介して通信する場合などに有効となる機能です。
図 2.20.3 IPv4 over IPv4トンネルの設定構成図
IPv4 over IPv4トンネルを登録し、アドレスを付与します。 ip route default Tunnel0.0 ! interface GigaEthernet0.0 ip address 10.10.10.1/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.200.1/24 no shutdown ! interface Tunnel0.0 tunnel mode 4-over-4 tunnel destination 10.10.10.2 tunnel source GigaEthernet0.0 ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto no shutdown
トンネル内がIPv4の場合にはIPv4アドレスの設定が必要です(ip addressコマンドまたはip unnumberedコマンド)。トンネルに固有のIPv4アドレスが必要でなければ、ip unnumberedコマンドを設定してください(設定の際はIPv4アドレスが割り当てられたインタフェースを指定してください。通常LAN側のインタフェースになります)。
2.20.6. MAP-Eの設定
MAP-Eは、IPv4通信をIPv4 over IPv6にてカプセル化して通信することで、IPv6サービス事業者経由でIPv4インターネットに接続可能にする技術です。
注意
UNIVERGE IX-V シリーズでは、MAP-Eは利用できません。
図 2.20.4 MAP-Eの構成
2.20.6.1. 利用環境
収容可能なMAP-Eサービス回線は1回線です。
以下のサービスに接続できます。
株式会社JPIXが提供する「v6プラス」
ビッグローブ株式会社が提供する「IPv6オプション」
NTTコミュニケーションズ株式会社が提供する「OCNバーチャルコネクト」
光回線終端装置(ONU)のほか、ひかり電話ルータを設置している環境では、IX-Rルータはひかり電話ルータのLAN側に接続し、RA(設定例2)での設定を行ってください。また、ひかり電話ルータを複数段にまたがって設置している環境では利用できません。
注釈
「v6プラス」は、株式会社JPIXの登録商標または商標です。
「OCNバーチャルコネクト」は、NTTコミュニケーションズ株式会社の登録商標または商標です。
「IPv6オプション」は、ビッグローブ株式会社の登録商標または商標です。
また、MAP-Eで動的IPアドレスの回線をご利用の場合は、あわせて以下もご確認ください。
MAP-E(動的IPアドレス)では、複数のユーザーに対し同一IPv4アドレスで異なる範囲のローカルポート番号が払い出されます。
使用可能なローカルポートが限定されているため、特定ポート番号での待ち受けはできません。
TCP, UDP, ICMP以外のポート番号をもたないプロトコルでの通信はできません。
NAPT変換の動作が他のインタフェース上での動作と異なります。詳細はNATの設定ページを参照してください。
2.20.6.2. 設定
MAP-E接続のために、以下の設定が必要です。
項目
説明
tunnel mode map-e jpix/ocn
トンネルモード設定
ip address map-e
IPアドレス設定
ip napt enable
NAPT設定
注釈
IPv6アドレスを取得するインタフェースが複数存在する場合は動作保証しません。
2.20.6.2.1. 【設定例1】ひかり電話ルータを設置していない環境での設定例(V6プラス)
ひかり電話ルータを設置していない環境では、IPv6 PD/RA自動判別により、ひかり電話契約の有無にかかわらず同一コンフィグで接続が可能です。
ip route default Tunnel0.0 ! proxy-dns ip request both ! ip dhcp profile dhcp-lan default-gateway 192.168.0.254 dns-server 192.168.0.254 ! ipv6 dhcp client-profile dhcpv6-cl option-request dns-servers ia-pd subscriber GigaEthernet2.0 ::/64 eui-64 ! interface GigaEthernet0.0 ipv6 enable ipv6 autoselect enable ipv6 autoselect ra-delay 0 ipv6 dhcp client dhcpv6-cl ipv6 nd proxy GigaEthernet2.0 ipv6 traffic-class tos 0 no shutdown ! interface GigaEthernet2.0 ip address 192.168.0.254/24 ip dhcp enable ip dhcp binding dhcp-lan proxy-dns ip enable ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag no shutdown ! interface Tunnel0.0 tunnel mode map-e jpix ip address map-e ip tcp adjust-mss auto ip napt enable no shutdown
proxy-dns ip request both
IPv4 DNS要求パケットを、IPv6 DNSサーバーに問い合わせるために必要です。
ia-pd subscriber GigaEthernet2.0 ::/64 eui-64
MAP-Eで利用するIPv6アドレスのサブネット部が"00"になる必要があります。このため、ひかり電話契約ありの回線(DHCPv6 PD)で接続する場合の対応として、DHCPv6 PDアドレスの割り当て時に”::/64”を指定します。
tunnel mode map-e jpix/ocn/ocn-fixed
MAP-Eのトンネルを指定します。
ビッグローブ株式会社が提供するIPv6接続サービス「IPv6オプション」に接続する場合は、jpixを指定してください。
NTTコミュニケーションズ株式会社が提供する「OCNバーチャルコネクト」の動的IPアドレス回線に接続する場合は、ocnを指定してください。
NTTコミュニケーションズ株式会社が提供する「OCNバーチャルコネクト」の固定IP1アドレス回線に接続する場合は、ocn-fixedを指定してください。
複数固定IPアドレス回線に接続する場合の設定例は、【設定例3】を参照してください。
ip address map-e
MAP-Eで指定されたIPv4アドレスを動的に割り当てる設定が必要です。
ip napt enable
MAP-E(動的IP)での接続時にはNAPT有効化が必要です。
注釈
IPv6アドレスをLAN側でも利用する場合は、ダイナミックフィルタの設定など適切なセキュリティ設定を行ってください。
2.20.6.2.2. 【設定例2】ひかり電話ルータを設置している環境での設定例(v6プラス)
ひかり電話ルータを設置している環境では、IPv6 RAでの設定を行ってください。
DHCPv6-PDではMAP-Eが動作しません。
ip route default Tunnel0.0 ! proxy-dns ip request both ! ip dhcp profile dhcp-lan default-gateway 192.168.0.254 dns-server 192.168.0.254 ! ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers ! interface GigaEthernet0.0 ipv6 address autoconfig receive-default ipv6 dhcp client dhcpv6-cl ipv6 traffic-class tos 0 no shutdown ! interface GigaEthernet2.0 ip address 192.168.0.254/24 ip dhcp enable ip dhcp binding dhcp-lan proxy-dns ip enable no shutdown ! interface Tunnel0.0 tunnel mode map-e jpix ip address map-e ip tcp adjust-mss auto ip napt enable no shutdown
proxy-dns ip request both
IPv4 DNS要求パケットを、IPv6 DNSサーバーに問い合わせるために必要です。
tunnel mode map-e jpix/ocn/ocn-fixed
MAP-Eのトンネルを指定します。
ip address map-e
MAP-Eで指定されたIPv4アドレスを動的に割り当てる設定が必要です。
ip napt enable
MAP-E(動的IP)での接続時にはNAPT有効化が必要です。
注釈
IPv6アドレスをLAN側でも利用する場合は、ダイナミックフィルタの設定など適切なセキュリティ設定を行ってください。
2.20.6.2.3. 【設定例3】ひかり電話ルータを設置している環境での設定例(v6プラス)
OCNバーチャルコネクトで複数固定IPアドレスのサービスを使用する際の設定例です。ここではひかり電話ルータ設置環境でのご利用時の設定を行います。
ip route default Tunnel0.0 ipv6 dhcp enable ! proxy-dns ip request both ! ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers ! ipv6 dhcp server-profile dhcpv6-sv dns-server dhcp ! interface GigaEthernet0.0 no ip address ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 nd proxy GigaEthernet1.0 ipv6 traffic-class tos 0 no shutdown ! interface GigaEthernet1.0 ip address 10.10.10.1/29 ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag proxy-dns ip enable no shutdown ! interface Tunnel0.0 tunnel mode map-e ocn-fixed ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto no shutdown
tunnel mode map-e ocn-fixed
OCNバーチャルコネクトの固定IPアドレストンネルを指定します。
ip unnumbered GigaEthernet1.0
複数固定IPアドレスのサービスをご利用の場合、MAP-EトンネルでのIPアドレス設定は行わず、他のインタフェースをアンナンバード指定します。
アンナンバード先のインタフェースで、インターネット事業者から指定されたグローバルIPv4アドレスを手動で設定する必要があります。
2.20.6.3. MAP-E(動的IP)でのIPv4 VPN設定
MAP-E(動的IP)のIPv4アドレスを使用してVPNを使用する際の設定例です。
ここではひかり電話ルータ設置環境でのご利用時の設定を行います。
また、MAP-E(動的IP)の場合は以下に注意が必要です。
MAP-E(動的IP)側がイニシエータである必要があります。
MAP-E(動的IP)側がレスポンダの構成(L2TP/IPsecなど)はご利用になれません。
必ずNATトラバーサルを使用してください。
ip route default Tunnel0.0 ip route 192.168.0.0/24 Tunnel10.0 ! proxy-dns ip request both ! ikev2 authentication psk id keyid ID_A key char key_A ikev2 authentication psk id keyid ID_B key char key_B ! ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers ! ikev2 default-profile local-authentication psk id keyid ID_A ! interface GigaEthernet0.0 no ip address ipv6 address autoconfig receive-default ipv6 dhcp client dhcpv6-cl ipv6 traffic-class tos 0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 proxy-dns ip enable no shutdown ! interface Tunnel0.0 tunnel mode map-e ip address map-e ip tcp adjust-mss auto ip napt enable no shutdown ! interface Tunnel10.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto ikev2 connect-type auto ikev2 ipsec pre-fragment ikev2 nat-traversal keepalive 20 ikev2 outgoing-interface Tunnel0.0 ikev2 peer 172.16.255.1 authentication psk id keyid ID_B no shutdown
ip route default GigaEthernet0.1 ip route 192.168.1.0/24 Tunnel10.0 ! ikev2 authentication psk id keyid ID_A key char key_A ikev2 authentication psk id keyid ID_B key char key_B ! ppp profile wan authentication myname cl1@test.com authentication password cl1@test.com cl1_pass ! ikev2 default-profile local-authentication psk id keyid ID_B ! interface GigaEthernet1.0 ip address 192.168.0.254/24 no shutdown ! interface GigaEthernet0.1 encapsulation pppoe auto-connect ppp binding wan ip address 172.16.255.1/32 ip napt enable ip napt static GigaEthernet0.1 udp 500 ip napt static GigaEthernet0.1 udp 4500 ip napt static GigaEthernet0.1 50 no shutdown ! interface Tunnel10.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto ikev2 ipsec pre-fragment ikev2 nat-traversal keepalive 20 ikev2 outgoing-interface GigaEthernet0.1 ikev2 peer any authentication psk id keyid ID_A no shutdown
2.20.6.4. MAP-E(固定IP)でのIPv4 VPN設定
MAP-E(固定IP)のIPv4アドレスを使用してVPNを使用する際の設定例です。
ここではひかり電話ルータ設置環境でのご利用時の設定を行います。
MAP-E(動的IP)と異なり、レスポンダでのVPN接続ができます。
ip route default Tunnel0.0 ! ike nat-traversal ! ike proposal ike1 encryption aes-256 hash sha group 1024-bit ike proposal ike2 encryption aes hash sha group 1024-bit ike proposal ike3 encryption 3des hash sha group 1024-bit ! ike policy ike-policy peer any key secret ike1,ike2,ike3 ! ipsec autokey-proposal sec1 esp-aes-256 esp-sha ipsec autokey-proposal sec2 esp-aes esp-sha ipsec autokey-proposal sec3 esp-3des esp-sha ! ipsec dynamic-map ipsec-map ipv4 sec1,sec2,sec3 ! ppp profile lns authentication request chap authentication password user-A@example.com password-1 lcp pfc lcp acfc ipcp ip-compression ipcp provide-ip-address range 192.168.1.101 192.168.1.102 ! interface GigaEthernet0.0 no ip address ipv6 dhcp client dhcpv6-cl ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.1/24 ip proxy-arp no shutdown ! interface Tunnel0.0 tunnel mode map-e ocn-fixed ip address map-e ip tcp adjust-mss auto ip napt enable ip napt static Tunnel0.0 udp 500 ip napt static Tunnel0.0 udp 4500 ip napt static Tunnel0.0 50 no shutdown ! interface Tunnel10.0 ppp binding lns tunnel mode l2tp-lns ipsec ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto ipsec policy transport ipsec-map no shutdown ! interface Tunnel11.0 ppp binding lns tunnel mode l2tp-lns ipsec ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto ipsec policy transport ipsec-map no shutdown
ip napt static Tunnel0.0 udp 500
MAP-E(固定IP)で静的NAPTなど、各種NAPTに関する設定を行う場合はMAP-Eトンネルインタフェースに行います。
2.20.7. IPv6国内標準プロビジョニング方式の設定
IPv6国内標準プロビジョニング方式に対応したIPv4 over IPv6トンネルの接続を行います。
注意
UNIVERGE IX-V シリーズでは、MAP-Eは利用できません。
以下のトンネル種別に対応しています。
DS Lite
IPIP
以下のプロバイダに対応しています。
ビッグローブ株式会社
株式会社朝日ネット
上記プロバイダ以外でも、サーバー認証を行っていないサービスの場合は接続が可能です。
設定コマンドは以下になります。
項目
説明
tunnel mode
トンネルモードの選択
tunnel v6pv user
接続ユーザー名設定(ユーザー名、パスワードの指定がある場合)
ip address v6pv
IPアドレスの設定
ip napt enable v6pv
NAPT有効設定
IPv6標準プロビジョニングが動作するためには、「tunnel mode」では「v6pv」を選択します。「ip address v6pv lan」の設定が必須となります。
設定例は以下になります。
ip route default Tunnel0.0 ! proxy-dns ip request both ! ip dhcp profile dhcp-lan default-gateway 192.168.0.254 dns-server 192.168.0.254 ! ipv6 dhcp client-profile dhcpv6-cl option-request dns-servers ia-pd subscriber GigaEthernet1.0 ::/64 eui-64 ! interface GigaEthernet0.0 ipv6 enable ipv6 autoselect enable ipv6 autoselect ra-delay 0 ipv6 dhcp client dhcpv6-cl ipv6 nd proxy GigaEthernet1.0 ipv6 traffic-class tos 0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.0.254/24 ip dhcp binding dhcp-lan proxy-dns ip enable ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag no shutdown ! interface Tunnel0.0 tunnel mode v6pv ip address v6pv lan GigaEthernet1.0 ip napt enable v6pv no shutdown
ip address v6pv lan
unnumberedにて使用するLANインタフェース、複数固定IP時にアドレスを割り当てるLANインタフェースを指定します。
ip napt enable v6pv
v6pvを設定した場合は、IPIP(固定IP1)の場合にNAPTが有効になります。
注釈
IPv6アドレスを取得するインタフェースが複数存在する場合は動作保証しません。