設定例集#60: DS-LiteによるIPv4・IPv6インターネットへの同時接続(ひかり電話なし)


構成
ルーターの設定
設定の保存
ファイアウォールログについて
ルーターのコンフィグ



DS-Lite(Dual Stack Lite)によってIPv4 over IPv6トンネルを構築し、NTT東日本・NTT西日本が提供するフレッツ 光ネクスト回線を利用したIPv6 IPoE接続経由でIPv6インターネットだけでなく、IPv4インターネットにも接続するための設定例です。

本例はマルチフィード社が提供するDS-Lite IPv4接続オプションを利用した接続設定例となります。

構成

ルーターの基本設定
WAN側物理インターフェース eth1
WAN側(eth1)IPv6アドレス リンクローカルアドレス
LAN側(vlan1)IPv6アドレス ルーター通知(RA)で取得したIPv6プレフィックスにもとづいて設定

ここでは、次の方針で設定を行います。


ルーターの設定

  1. WANポートeth1にリンクローカルアドレスを自動設定し、RAを受信できるようにします。ただし本例では、実際にRAにもとづくアドレスを設定するのはLAN側インターフェースであるため、初期設定で有効になっているアドレス自動設定(SLAAC)は無効化します。また、WANポートで受信したNSに代理応答するためLAN側インターフェース(vlan1)へのNDプロキシー機能を有効にします。これには、ipv6 enableipv6 nd accept-ra-pinfoipv6 nd proxy interfaceコマンドを使います。
    interface eth1
     ipv6 enable
     no ipv6 nd accept-ra-pinfo
     ipv6 nd proxy interface vlan1
    
  2. LAN側クライアント向けのDHCPv6プールを作成します。DNSサーバーアドレスとしてはLAN側インターフェースのアドレスを通知するようにします。これには、ipv6 dhcp pooldns-serverコマンドを使います。
    ipv6 dhcp pool IPoE-vlan1
     dns-server interface vlan1
    
  3. LAN側インターフェースvlan1に対し、IPv4アドレスを固定設定します。また、WANポートで受信したRAにもとづくIPv6アドレスを自動設定するよう設定します。これにはip addressコマンドとipv6 address autoconfigコマンドを使います。
    また、IPv6設定情報をLAN側クライアントに通知するため、RAの送信とDHCPv6サーバー機能を有効にします。これには、ipv6 nd suppress-raipv6 nd other-config-flagipv6 dhcp serverコマンドを使います。
    IPv6インターフェースの詳細は「IPv6」/「IPv6インターフェース」をご覧ください。また、DHCPv6サーバーについては「IP付加機能」/「DHCPv6サーバー」をご覧ください。
    interface vlan1
     ip address 192.168.10.1/24
     ipv6 address autoconfig eth1
     no ipv6 nd suppress-ra
     ipv6 nd other-config-flag
     ipv6 dhcp server IPoE-vlan1
    
  4. IPv6パケット転送機能を有効化します。これにはipv6 forwardingコマンドを使います。
    ipv6 forwarding
    
  5. LAN側ネットワークに接続されているコンピューターのためにDHCPサーバー機能の設定を行います。
    DHCPサーバー機能の詳細は「IP付加機能」/「DHCPサーバー」をご覧ください。

    これには、ip dhcp poolコマンドでDHCPプールを作成し、以下の情報を設定します。

    ・サブネット(network
    ・リースするIPアドレス(range
    ・デフォルトゲートウェイ(default-router
    ・DNSサーバーアドレス(dns-server
    ・リース時間(lease
    ip dhcp pool pool10
     network 192.168.10.0 255.255.255.0
     range 192.168.10.100 192.168.10.131
     dns-server 192.168.10.1
     default-router 192.168.10.1
     lease 0 2 0
    
  6. DHCPサーバーを有効化します。これには、service dhcp-serverコマンドを使います。
    service dhcp-server
    
  7. DS-Liteの設定を行います。
    DS-Liteの詳細は「IPv6」/「DS-Lite」をご覧ください。

    DS-Liteの基本設定項目は次の3点です。
    ・DS-Lite機能の有効化(ds-lite enableコマンド)
    ・AFTRの指定(ds-lite static-aftr-nameコマンド)
    ・上流インターフェースの指定(ds-lite upstream-interfaceコマンド)
    ds-lite enable
    ds-lite static-aftr-name gw.transix.jp
    ds-lite upstream-interface vlan1
    
  8. ファイアウォールのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    IPv4ネットワークを表すゾーン「ipv4」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone ipv4
     network all
      ip subnet 0.0.0.0/0
    
  9. 外部ネットワークを表すゾーン「ngn」を作成します。
    前記コマンドに加え、ここではipv6 subnethostipv6 addressの各コマンドも使います。
    zone ngn
     network wan_ipv6
      ipv6 subnet ::/0 interface eth1
      host eth1
       ipv6 address dynamic interface eth1
    
  10. 内部ネットワークを表すゾーン「private_ipv6」を作成します。
    zone private_ipv6
     network lan
      ipv6 subnet ::/0 interface vlan1
      host vlan1
       ipv6 address dynamic interface vlan1
    
  11. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocoldportsportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    DHCPv6パケット(クライアント着)を表すカスタムアプリケーション「dhcpv6-r」を定義します。
    application dhcpv6-r
     protocol udp
     dport 546
    
  12. DHCPv6パケット(クライアント発)を表すカスタムアプリケーション「dhcpv6-s」を定義します。
    application dhcpv6-s
     protocol udp
     sport 546
    
  13. ICMPv6パケットを表すカスタムアプリケーション「icmpv6」を定義します。
    application icmpv6
     protocol ipv6-icmp
    
  14. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部から内部へのIPv6通信を許可します(ここでは本製品・端末間の通信)
    ・rule 20 - 内部から外部へのIPv6通信を許可します
    ・rule 30 - 本製品(LAN側インターフェースに設定したアドレス)から外部へのDNS通信を許可します
    ・rule 40, 50 - 本製品(LAN側インターフェースに設定したアドレス)・外部間でのICMP通信を許可します
    ・rule 60, 70 - 本製品(WAN側インターフェースのリンクローカルアドレス)・外部DHCPv6サーバー間でのDHCPv6通信を許可します
    ・rule 80 - すべてのIPv4通信を許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
     rule 10 permit any from private_ipv6 to private_ipv6
     rule 20 permit any from private_ipv6 to ngn
     rule 30 permit dns from private_ipv6.lan.vlan1 to ngn
     rule 40 permit icmpv6 from private_ipv6.lan.vlan1 to ngn
     rule 50 permit icmpv6 from ngn to private_ipv6.lan.vlan1
     rule 60 permit dhcpv6-s from ngn.wan_ipv6.eth1 to ngn
     rule 70 permit dhcpv6-r from ngn to ngn.wan_ipv6.eth1
     rule 80 permit any from ipv4.all to ipv4.all
     protect
    
  15. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    ip dns forwarding
    
  16. 以上で設定は完了です。
    end
    

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility kern msgtext Firewall

■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall

ルーターのコンフィグ

!
interface eth1
 ipv6 enable
 no ipv6 nd accept-ra-pinfo
 ipv6 nd proxy interface vlan1
!
ipv6 dhcp pool IPoE-vlan1
 dns-server interface vlan1
!
interface vlan1
 ip address 192.168.10.1/24
 ipv6 address autoconfig eth1
 no ipv6 nd suppress-ra
 ipv6 nd other-config-flag
 ipv6 dhcp server IPoE-vlan1
!
ipv6 forwarding
!
ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 dns-server 192.168.10.1
 default-router 192.168.10.1
 lease 0 2 0
!
service dhcp-server
!
ds-lite enable
ds-lite static-aftr-name gw.transix.jp
ds-lite upstream-interface vlan1
!
zone ipv4
 network all
  ip subnet 0.0.0.0/0
!
zone ngn
 network wan_ipv6
  ipv6 subnet ::/0 interface eth1
  host eth1
   ipv6 address dynamic interface eth1
!
zone private_ipv6
 network lan
  ipv6 subnet ::/0 interface vlan1
  host vlan1
   ipv6 address dynamic interface vlan1
!
application dhcpv6-r
 protocol udp
 dport 546
!
application dhcpv6-s
 protocol udp
 sport 546
!
application icmpv6
 protocol ipv6-icmp
!
firewall
 rule 10 permit any from private_ipv6 to private_ipv6
 rule 20 permit any from private_ipv6 to ngn
 rule 30 permit dns from private_ipv6.lan.vlan1 to ngn
 rule 40 permit icmpv6 from private_ipv6.lan.vlan1 to ngn
 rule 50 permit icmpv6 from ngn to private_ipv6.lan.vlan1
 rule 60 permit dhcpv6-s from ngn.wan_ipv6.eth1 to ngn
 rule 70 permit dhcpv6-r from ngn to ngn.wan_ipv6.eth1
 rule 80 permit any from ipv4.all to ipv4.all
 protect
!
ip dns forwarding
!
end



(C) 2019 アライドテレシスホールディングス株式会社

PN: 613-002735 Rev.B