2.21. トンネルの設定
2.21.1. トンネル機能の概要
2台のルータ間を仮想的なトンネルで接続し、離れた2点間で直接パケットを送受信する仕組みです。インターネット上にプライベートアドレスで通信したり、IPv6網上でIPv4通信を行うことができます。
以下はIPv4 over IPv6トンネルの例です。IPv4のパケットにIPv6ヘッダを付与して(カプセル化)送信します。受信側は矢印を逆に辿りカプセル化を解除し、IPv4パケットを受け取れます。
図 2.21.1 インタフェースやIPv4/IPv6とトンネルの関係
UNIVERGE IX-R/IX-V シリーズは以下のトンネル機能をサポートしています。
IPv4 over IPv6モード
IPv4 over IPv4モード
IPsecモード(詳細はIPsecの設定の章を参照してください)
EtherIPモード(詳細はEther over IPの設定の章を参照してください)
L2TP IPsecモード(詳細はL2TPの設定の章を参照してください)
MAP-Eモード
IPv6国内標準プロビジョニング
トンネルのネストは2段まで可能です。
2.21.2. トンネルの設定
トンネルはインタフェースとして実装しています。トンネルインタフェースにパケットをルーティングすることでtunnel modeで指定した種別のカプセル化が行われます。
トンネル設定で使用する主なコマンドは以下のとおりです。
項目
説明
tunnel mode
トンネルモードの選択
tunnel destination
トンネルの送信先アドレス設定
tunnel source
トンネルの送信元アドレス設定
IPsecを利用する場合は、IPsecの章を参照してください。
2.21.3. フラグメントの設定
トンネルはIPv4またはIPv6ヘッダでパケットをカプセル化するため、パケットのサイズが大きくなります。送信可能なパケットサイズには上限があり(MTUサイズ)、カプセル化により送信インタフェースのMTUを超えると、そのままではパケットが送信できません。
カプセル化してMTUを超えるパケットは、通常分割してパケットを送信します(フラグメント)。ただし、IPv4でフラグメント禁止ビットが1(有効)のパケットやIPv6パケットはフラグメントが禁止されているため、デフォルトではパケットを廃棄し、送信元にMTUを下げて送信するようICMPエラーを通知します(Path MTU Discovery)。
ただしPath MTU Discoveryは動作しない場合も多いことから、no tunnel adjust-mtuコマンドでフラグメント禁止でも強制的にフラグメントして送信する設定が可能です。
また、ip forced-fragmentという、パケットのフラグメント禁止ビットを0(無効)に書き換えるコマンドもありますので、ヘッダ情報を書き換えてよい場合に利用してください。
項目
説明
tunnel df-bit
トンネルのフラグメント設定
tunnel adjust-mtu
トンネルインタフェースのMTU指定
ip forced-fragment
強制フラグメント機能の有効設定
また、TCPの通信はMSS調整機能により端末がMTUを超えない範囲でTCPパケットを送信するように設定できます。TCPの性能劣化を抑制するため、通常設定するようにしてください。
なお、no tunnel adjust-mssを設定している場合MSSは自動調整できませんので、適切な値を指定する必要があります。ip forced-fragmentコマンドの場合には自動調整が可能です。
項目
説明
ip tcp adjust-mss
TCP(IPv4)のMSS調整
ipv6 tcp adjust-mss
TCP(IPv6)のMSS調整
tunnel adjust-mtuについて
no tunnel adjust-mtuの場合、トンネルのMTUはシステムの最大MTU値となります。
トンネルのMTUを超えるパケットは、DFビットでフラグメントの可否を判断します。
カプセル化後のサイズが送信する物理インタフェースのMTUを超える場合(no tunnel adjust-mtuは常に)は、DFビットによらずフラグメントし、DFビットを0にします。
tunnel adjust-mtu autoの場合、DFビットはtunnel df-bitの設定に従います。
2.21.4. IPv4 over IPv6トンネルの設定
IPv4 over IPv6トンネルで登録する情報は以下のようになります。
図 2.21.2 IPv4 over IPv6トンネル構成
IPv4 over IPv6トンネルを登録し、アドレスを付与します。 (強制的にフラグメントする場合の設定例) ip route default Tunnel0.0 ! interface GigaEthernet0.0 ipv6 address 2001:db8:1::1/64 no shutdown ! interface GigaEthernet1.0 ip address 192.168.0.1/24 no shutdown ! interface Tunnel0.0 tunnel mode 4-over-6 no tunnel adjust-mtu tunnel destination 2001:db8:1::2 tunnel source 2001:db8:1::1 ip unnumbered GigaEthernet1.0 ip tcp adjust-mss 1400 no shutdown
トンネル内がIPv4の場合にはIPv4アドレスの設定が必要です(ip addressコマンドまたはip unnumberedコマンド)。トンネルに固有のIPv4アドレスが必要でなければ、ip unnumberedコマンドを設定してください(設定の際はIPv4アドレスが割り当てられたインタフェースを指定してください。通常LAN側のインタフェースになります)。
2.21.5. IPv4 over IPv4トンネルの設定
IPv4 over IPv4トンネルで登録する情報は以下のようになります。
あらかじめ通信相手となるネットワークがわかっている場合で、プライベートアドレスを用いたネットワークからプライベートアドレスを用いたネットワークにグローバルアドレス空間を介して通信する場合などに有効となる機能です。
図 2.21.3 IPv4 over IPv4トンネルの設定構成図
IPv4 over IPv4トンネルを登録し、アドレスを付与します。 ip route default Tunnel0.0 ! interface GigaEthernet0.0 ip address 10.10.10.1/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.200.1/24 no shutdown ! interface Tunnel0.0 tunnel mode 4-over-4 tunnel destination 10.10.10.2 tunnel source GigaEthernet0.0 ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto no shutdown
トンネル内がIPv4の場合にはIPv4アドレスの設定が必要です(ip addressコマンドまたはip unnumberedコマンド)。トンネルに固有のIPv4アドレスが必要でなければ、ip unnumberedコマンドを設定してください(設定の際はIPv4アドレスが割り当てられたインタフェースを指定してください。通常LAN側のインタフェースになります)。
2.21.6. GRE(Generic Routing Encapsulation)トンネルの設定
GREトンネルは、レイヤやプロトコルの異なるパケットの後にGRE用のヘッダを付与し、カプセル化を行います。GREトンネルでは他のトンネルではサポートしていないキープアライブ機能をサポートしています。この機能を利用することでIX-Rルータ以外の装置と対向する場合でも冗長構成を構築することができます。キープアライブ機能の他にも、チェックサム等通信の信頼性を向上するための機能をサポートしています。(対向装置もGREトンネルをサポートしている必要があります)
GREトンネルでは、以下の機能をサポートしております。
IPv4でのカプセル化
IPv6でのカプセル化
IPv4パケットのカプセル化
Ethernetパケットのカプセル化
IPsecトランスポートモードと組み合わせた通信
GRE over IPsec
GREトンネルで登録する情報は以下のようになります。
図 2.21.4 GREトンネルの設定構成図
GREトンネルを登録し、unnumberedに設定します。 ip route default Tunnel0.0 interface GigaEthernet0.0 ip address 10.10.10.1/24 no shutdown interface GigaEthernet1.0 ip address 192.168.200.1/24 no shutdown interface Tunnel0.0 tunnel mode gre ip tunnel destination 10.10.10.2 tunnel source GigaEthernet0.0 ip unnumbered GigaEthernet1.0 no shutdown
GREでは以下の機能をサポートしています。これらの機能は複数を同時に使用することが可能です。
2.21.6.1. キープアライブの設定
トンネルの接続先の対向装置との正常性を確認する機能です。
キープアライブでは、一定周期で確認用のパケットを送信し、次の送信時までに応答が返らなければ、応答が無かったと判断します。一定回数応答が返らなければ障害を検出し、インタフェースのプロトコル状態をdownにします。(復旧確認のために、パケットの送信は継続します)
また、障害中に一定回数応答が返ると復旧を検出し、インタフェースのプロトコル状態をupにします。なお、確認パケットの送信間隔、障害検出の回数、復旧検出の回数は設定が可能です。
上記機能によりトンネル区間障害中は、トンネルが出力先となる経路はルーティングテーブルから削除されるため、他の経路へ迂回を行うことが可能になります。
図 2.21.5 キープアライブ設定時のシーケンス
設定は以下のコマンドで行います。
図 2.21.6 GREトンネルのキープアライブを使用したISDN迂回構成
項目
説明
tunnel keepalive
キープアライブの設定
ip route default Tunnel0.0 distance 100 ip route default Dialer0 distance 150 ppp profile isdn device BRI0 isdn switch-type ins64 isdn answer1 011-987-6543 interface GigaEthernet0.0 ip address 10.10.10.1/24 no shutdown interface GigaEthernet1.0 ip address 192.168.200.1/24 no shutdown interface Tunnel0.0 tunnel mode gre ip tunnel destination 10.10.10.2 tunnel source 10.10.10.1 tunnel keepalive period 5 retries 2 ip unnumbered GigaEthernet1.0 no shutdown interface Dialer0 encapsulation ppp no auto-connect dialer string 03-1234-5678 ppp binding isdn ip unnumbered GigaEthernet1.0 no shutdown
2.21.6.2. チェックサムオプションの設定
GREヘッダにチェックサムを付与します。GREトンネルでパケット受信時は、チェックサムが付与されている場合のみ、チェックサムの計算を行い、付与されたチェックサムと異なる場合はパケットを廃棄します。
設定は以下のコマンドで行います。
項目
説明
tunnel checksum
チェックサムの設定
ip route default Tunnel0.0 interface GigaEthernet0.0 ip address 10.10.10.1/24 no shutdown interface GigaEthernet1.0 ip address 192.168.200.1/24 no shutdown interface Tunnel0.0 tunnel mode gre ip tunnel destination 10.10.10.2 tunnel source 10.10.10.1 tunnel checksum ip unnumbered GigaEthernet1.0 no shutdown
2.21.6.3. キーオプションの設定
GREヘッダにキー値を設定します。パケット受信時は、トンネルインタフェースに設定しているキー値と一致した場合のみ受信しますので、GREトンネルの両端でキー値は一致している必要があります。キー値が一致するインタフェースが存在しない場合はパケットを廃棄します。
設定は以下のコマンドで行います。
項目
説明
tunnel key
キーの設定
ip route default Tunnel0.0 interface GigaEthernet0.0 ip address 10.10.10.1/24 no shutdown interface GigaEthernet1.0 ip address 192.168.200.1/24 no shutdown interface Tunnel0.0 tunnel mode gre ip tunnel destination 10.10.10.2 tunnel source 10.10.10.1 tunnel key 10 ip unnumbered GigaEthernet1.0 no shutdown
2.21.6.4. シーケンス番号オプションの設定
GREヘッダにシーケンス番号を付与します。UNIVERGE IX-R/IX-V シリーズでは、送信時のシーケンス番号の付与のみ行い、受信時のシーケンス番号のチェック等は行いません。
設定は以下のコマンドで行います。
項目
説明
tunnel sequence-number
シーケンス番号の設定
ip route default Tunnel0.0 interface GigaEthernet0.0 ip address 10.10.10.1/24 no shutdown interface GigaEthernet1.0 ip address 192.168.200.1/24 no shutdown interface Tunnel0.0 tunnel mode gre ip tunnel destination 10.10.10.2 tunnel source 10.10.10.1 tunnel sequence-number ip unnumbered GigaEthernet1.0 no shutdown
2.21.6.5. GREトンネルとIPsecの連携
GREトンネルと物理インタフェース上のIPsec設定を併用することにより、GREトンネルのパケットを暗号化することができます。また、トンネルインタフェースで直接GRE over IPsecの設定も可能です。
前者の方式は、動的アドレス環境で利用できない、性能が低いなどの制限がありますので、通常は後者のトンネルインタフェース方式を利用してください。
IPsecはトランスポートモードで利用します。トランスポートモードの詳細については、IPsecの項を参照してください。with-id-payloadは必ず設定してください。
なお、GRE over IKEv2も設定可能です。モードをトランスポートにして設定してください。
ip route default Tunnel1.0 ip access-list acl permit 47 src 10.0.0.1/32 dest 10.0.0.2/32 ike proposal ike-prop encryption aes hash sha ike policy ike-policy peer 10.0.0.2 key gre-key ike-prop ipsec autokey-proposal sec-prop esp-aes esp-sha ipsec autokey-map sec-policy acl peer 10.0.0.2 sec-prop interface GigaEthernet0.0 ip address 10.0.0.1/24 ipsec policy transport sec-policy with-id-payload no shutdown interface GigaEthernet1.0 ip address 192.168.0.1/24 no shutdown interface Tunnel1.0 tunnel mode gre ip tunnel destination 10.0.0.2 tunnel source 10.0.0.1 ip address 100.0.0.1/30 no shutdownip route default Tunnel1.0 ip access-list acl permit 47 src 10.0.0.1/32 dest 10.0.0.2/32 ike proposal ike-prop encryption aes hash sha ike policy ike-policy peer 10.0.0.2 key gre-key ike-prop ipsec autokey-proposal sec-prop esp-aes esp-sha ipsec autokey-map sec-policy acl peer 10.0.0.2 sec-prop interface GigaEthernet0.0 ip address 10.0.0.1/24 no shutdown interface GigaEthernet1.0 ip address 192.168.0.1/24 no shutdown interface Tunnel1.0 tunnel mode gre ipsec ip address 100.0.0.1/30 ipsec policy transport sec-policy with-id-payload no shutdown
2.21.7. MAP-Eの設定
MAP-Eは、IPv4通信をIPv4 over IPv6にてカプセル化して通信することで、IPv6サービス事業者経由でIPv4インターネットに接続可能にする技術です。
注意
UNIVERGE IX-V シリーズでは、MAP-Eは利用できません。
図 2.21.7 MAP-Eの構成
2.21.7.1. 利用環境
収容可能なMAP-Eサービス回線は1回線です。
以下のサービスに接続できます。
株式会社JPIXが提供する「v6プラス」
ビッグローブ株式会社が提供する「IPv6オプション」
NTTコミュニケーションズ株式会社が提供する「OCNバーチャルコネクト」
光回線終端装置(ONU)のほか、ひかり電話ルータを設置している環境では、IX-Rルータはひかり電話ルータのLAN側に接続し、RA(設定例2)での設定を行ってください。また、ひかり電話ルータを複数段にまたがって設置している環境では利用できません。
注釈
「v6プラス」は、株式会社JPIXの登録商標または商標です。
「OCNバーチャルコネクト」は、NTTコミュニケーションズ株式会社の登録商標または商標です。
「IPv6オプション」は、ビッグローブ株式会社の登録商標または商標です。
また、MAP-Eで動的IPアドレスの回線をご利用の場合は、あわせて以下もご確認ください。
MAP-E(動的IPアドレス)では、複数のユーザーに対し同一IPv4アドレスで異なる範囲のローカルポート番号が払い出されます。
使用可能なローカルポートが限定されているため、特定ポート番号での待ち受けはできません。
TCP, UDP, ICMP以外のポート番号をもたないプロトコルでの通信はできません。
NAPT変換の動作が他のインタフェース上での動作と異なります。詳細はNATの設定ページを参照してください。
2.21.7.2. 設定
MAP-E接続のために、以下の設定が必要です。
項目
説明
tunnel mode map-e jpix/ocn
トンネルモード設定
ip address map-e
IPアドレス設定
ip napt enable
NAPT設定
注釈
IPv6アドレスを取得するインタフェースが複数存在する場合は動作保証しません。
2.21.7.2.1. 【設定例1】ひかり電話ルータを設置していない環境での設定例(V6プラス)
ひかり電話ルータを設置していない環境では、IPv6 PD/RA自動判別により、ひかり電話契約の有無にかかわらず同一コンフィグで接続が可能です。
ip route default Tunnel0.0 ! proxy-dns ip request both ! ip dhcp profile dhcp-lan default-gateway 192.168.0.254 dns-server 192.168.0.254 ! ipv6 dhcp client-profile dhcpv6-cl option-request dns-servers ia-pd subscriber GigaEthernet2.0 ::/64 eui-64 ! interface GigaEthernet0.0 ipv6 enable ipv6 autoselect enable ipv6 autoselect ra-delay 0 ipv6 dhcp client dhcpv6-cl ipv6 nd proxy GigaEthernet2.0 ipv6 traffic-class tos 0 no shutdown ! interface GigaEthernet2.0 ip address 192.168.0.254/24 ip dhcp enable ip dhcp binding dhcp-lan proxy-dns ip enable ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag no shutdown ! interface Tunnel0.0 tunnel mode map-e jpix ip address map-e ip tcp adjust-mss auto ip napt enable no shutdown
proxy-dns ip request both
IPv4 DNS要求パケットを、IPv6 DNSサーバーに問い合わせるために必要です。
ia-pd subscriber GigaEthernet2.0 ::/64 eui-64
MAP-Eで利用するIPv6アドレスのサブネット部が"00"になる必要があります。このため、ひかり電話契約ありの回線(DHCPv6 PD)で接続する場合の対応として、DHCPv6 PDアドレスの割り当て時に”::/64”を指定します。
tunnel mode map-e jpix/ocn/ocn-fixed
MAP-Eのトンネルを指定します。
ビッグローブ株式会社が提供するIPv6接続サービス「IPv6オプション」に接続する場合は、jpixを指定してください。
NTTコミュニケーションズ株式会社が提供する「OCNバーチャルコネクト」の動的IPアドレス回線に接続する場合は、ocnを指定してください。
NTTコミュニケーションズ株式会社が提供する「OCNバーチャルコネクト」の固定IP1アドレス回線に接続する場合は、ocn-fixedを指定してください。
複数固定IPアドレス回線に接続する場合の設定例は、【設定例3】を参照してください。
ip address map-e
MAP-Eで指定されたIPv4アドレスを動的に割り当てる設定が必要です。
ip napt enable
MAP-E(動的IP)での接続時にはNAPT有効化が必要です。
注釈
IPv6アドレスをLAN側でも利用する場合は、ダイナミックフィルタの設定など適切なセキュリティ設定を行ってください。
2.21.7.2.2. 【設定例2】ひかり電話ルータを設置している環境での設定例(v6プラス)
ひかり電話ルータを設置している環境では、IPv6 RAでの設定を行ってください。
DHCPv6-PDではMAP-Eが動作しません。
ip route default Tunnel0.0 ! proxy-dns ip request both ! ip dhcp profile dhcp-lan default-gateway 192.168.0.254 dns-server 192.168.0.254 ! ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers ! interface GigaEthernet0.0 ipv6 address autoconfig receive-default ipv6 dhcp client dhcpv6-cl ipv6 traffic-class tos 0 no shutdown ! interface GigaEthernet2.0 ip address 192.168.0.254/24 ip dhcp enable ip dhcp binding dhcp-lan proxy-dns ip enable no shutdown ! interface Tunnel0.0 tunnel mode map-e jpix ip address map-e ip tcp adjust-mss auto ip napt enable no shutdown
proxy-dns ip request both
IPv4 DNS要求パケットを、IPv6 DNSサーバーに問い合わせるために必要です。
tunnel mode map-e jpix/ocn/ocn-fixed
MAP-Eのトンネルを指定します。
ip address map-e
MAP-Eで指定されたIPv4アドレスを動的に割り当てる設定が必要です。
ip napt enable
MAP-E(動的IP)での接続時にはNAPT有効化が必要です。
注釈
IPv6アドレスをLAN側でも利用する場合は、ダイナミックフィルタの設定など適切なセキュリティ設定を行ってください。
2.21.7.2.3. 【設定例3】ひかり電話ルータを設置している環境での設定例(v6プラス)
OCNバーチャルコネクトで複数固定IPアドレスのサービスを使用する際の設定例です。ここではひかり電話ルータ設置環境でのご利用時の設定を行います。
ip route default Tunnel0.0 ipv6 dhcp enable ! proxy-dns ip request both ! ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers ! ipv6 dhcp server-profile dhcpv6-sv dns-server dhcp ! interface GigaEthernet0.0 no ip address ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 nd proxy GigaEthernet1.0 ipv6 traffic-class tos 0 no shutdown ! interface GigaEthernet1.0 ip address 10.10.10.1/29 ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag proxy-dns ip enable no shutdown ! interface Tunnel0.0 tunnel mode map-e ocn-fixed ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto no shutdown
tunnel mode map-e ocn-fixed
OCNバーチャルコネクトの固定IPアドレストンネルを指定します。
ip unnumbered GigaEthernet1.0
複数固定IPアドレスのサービスをご利用の場合、MAP-EトンネルでのIPアドレス設定は行わず、他のインタフェースをアンナンバード指定します。
アンナンバード先のインタフェースで、インターネット事業者から指定されたグローバルIPv4アドレスを手動で設定する必要があります。
2.21.7.3. MAP-E(動的IP)でのIPv4 VPN設定
MAP-E(動的IP)のIPv4アドレスを使用してVPNを使用する際の設定例です。
ここではひかり電話ルータ設置環境でのご利用時の設定を行います。
また、MAP-E(動的IP)の場合は以下に注意が必要です。
MAP-E(動的IP)側がイニシエータである必要があります。
MAP-E(動的IP)側がレスポンダの構成(L2TP/IPsecなど)はご利用になれません。
必ずNATトラバーサルを使用してください。
ip route default Tunnel0.0 ip route 192.168.0.0/24 Tunnel10.0 ! proxy-dns ip request both ! ikev2 authentication psk id keyid ID_A key char key_A ikev2 authentication psk id keyid ID_B key char key_B ! ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers ! ikev2 default-profile local-authentication psk id keyid ID_A ! interface GigaEthernet0.0 no ip address ipv6 address autoconfig receive-default ipv6 dhcp client dhcpv6-cl ipv6 traffic-class tos 0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 proxy-dns ip enable no shutdown ! interface Tunnel0.0 tunnel mode map-e ip address map-e ip tcp adjust-mss auto ip napt enable no shutdown ! interface Tunnel10.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto ikev2 connect-type auto ikev2 ipsec pre-fragment ikev2 nat-traversal keepalive 20 ikev2 outgoing-interface Tunnel0.0 ikev2 peer 172.16.255.1 authentication psk id keyid ID_B no shutdown
ip route default GigaEthernet0.1 ip route 192.168.1.0/24 Tunnel10.0 ! ikev2 authentication psk id keyid ID_A key char key_A ikev2 authentication psk id keyid ID_B key char key_B ! ppp profile wan authentication myname cl1@test.com authentication password cl1@test.com cl1_pass ! ikev2 default-profile local-authentication psk id keyid ID_B ! interface GigaEthernet1.0 ip address 192.168.0.254/24 no shutdown ! interface GigaEthernet0.1 encapsulation pppoe auto-connect ppp binding wan ip address 172.16.255.1/32 ip napt enable ip napt static GigaEthernet0.1 udp 500 ip napt static GigaEthernet0.1 udp 4500 ip napt static GigaEthernet0.1 50 no shutdown ! interface Tunnel10.0 tunnel mode ipsec-ikev2 ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto ikev2 ipsec pre-fragment ikev2 nat-traversal keepalive 20 ikev2 outgoing-interface GigaEthernet0.1 ikev2 peer any authentication psk id keyid ID_A no shutdown
2.21.7.4. MAP-E(固定IP)でのIPv4 VPN設定
MAP-E(固定IP)のIPv4アドレスを使用してVPNを使用する際の設定例です。
ここではひかり電話ルータ設置環境でのご利用時の設定を行います。
MAP-E(動的IP)と異なり、レスポンダでのVPN接続ができます。
ip route default Tunnel0.0 ! ike nat-traversal ! ike proposal ike1 encryption aes-256 hash sha group 1024-bit ike proposal ike2 encryption aes hash sha group 1024-bit ike proposal ike3 encryption 3des hash sha group 1024-bit ! ike policy ike-policy peer any key secret ike1,ike2,ike3 ! ipsec autokey-proposal sec1 esp-aes-256 esp-sha ipsec autokey-proposal sec2 esp-aes esp-sha ipsec autokey-proposal sec3 esp-3des esp-sha ! ipsec dynamic-map ipsec-map ipv4 sec1,sec2,sec3 ! ppp profile lns authentication request chap authentication password user-A@example.com password-1 lcp pfc lcp acfc ipcp ip-compression ipcp provide-ip-address range 192.168.1.101 192.168.1.102 ! interface GigaEthernet0.0 no ip address ipv6 dhcp client dhcpv6-cl ipv6 address autoconfig receive-default no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.1/24 ip proxy-arp no shutdown ! interface Tunnel0.0 tunnel mode map-e ocn-fixed ip address map-e ip tcp adjust-mss auto ip napt enable ip napt static Tunnel0.0 udp 500 ip napt static Tunnel0.0 udp 4500 ip napt static Tunnel0.0 50 no shutdown ! interface Tunnel10.0 ppp binding lns tunnel mode l2tp-lns ipsec ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto ipsec policy transport ipsec-map no shutdown ! interface Tunnel11.0 ppp binding lns tunnel mode l2tp-lns ipsec ip unnumbered GigaEthernet1.0 ip tcp adjust-mss auto ipsec policy transport ipsec-map no shutdown
ip napt static Tunnel0.0 udp 500
MAP-E(固定IP)で静的NAPTなど、各種NAPTに関する設定を行う場合はMAP-Eトンネルインタフェースに行います。
2.21.8. IPv6国内標準プロビジョニング方式の設定
IPv6国内標準プロビジョニング方式に対応したIPv4 over IPv6トンネルの接続を行います。
注意
UNIVERGE IX-V シリーズでは、MAP-Eは利用できません。
以下のトンネル種別に対応しています。
DS Lite
IPIP
以下のプロバイダに対応しています。
ビッグローブ株式会社
株式会社朝日ネット
上記プロバイダ以外でも、サーバー認証を行っていないサービスの場合は接続が可能です。
設定コマンドは以下になります。
項目
説明
tunnel mode
トンネルモードの選択
tunnel v6pv user
接続ユーザー名設定(ユーザー名、パスワードの指定がある場合)
ip address v6pv
IPアドレスの設定
ip napt enable v6pv
NAPT有効設定
IPv6標準プロビジョニングが動作するためには、「tunnel mode」では「v6pv」を選択します。「ip address v6pv lan」の設定が必須となります。
設定例は以下になります。
ip route default Tunnel0.0 ! proxy-dns ip request both ! ip dhcp profile dhcp-lan default-gateway 192.168.0.254 dns-server 192.168.0.254 ! ipv6 dhcp client-profile dhcpv6-cl option-request dns-servers ia-pd subscriber GigaEthernet1.0 ::/64 eui-64 ! interface GigaEthernet0.0 ipv6 enable ipv6 autoselect enable ipv6 autoselect ra-delay 0 ipv6 dhcp client dhcpv6-cl ipv6 nd proxy GigaEthernet1.0 ipv6 traffic-class tos 0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.0.254/24 ip dhcp binding dhcp-lan proxy-dns ip enable ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag no shutdown ! interface Tunnel0.0 tunnel mode v6pv ip address v6pv lan GigaEthernet1.0 ip napt enable v6pv no shutdown
ip address v6pv lan
unnumberedにて使用するLANインタフェース、複数固定IP時にアドレスを割り当てるLANインタフェースを指定します。
ip napt enable v6pv
v6pvを設定した場合は、IPIP(固定IP1)の場合にNAPTが有効になります。
注釈
IPv6アドレスを取得するインタフェースが複数存在する場合は動作保証しません。