設定例集#212: WPA2/WPA3パーソナルを使用した無線ネットワーク設定と”v6プラス” を利用したインターネット接続設定

構成
設定開始前に
自動設定の確認と削除
システム時刻の設定
TQRの設定
無線機能の設定
ルーター機能の設定
設定の保存
ファイアウォールログについて
TQRのコンフィグ

設定例集#212: [ 設定例集目次 ] ページ内目次

MAP-EによってIPv4 over IPv6トンネルを構築し、NTT東日本・NTT西日本が提供するフレッツ 光ネクスト回線を経由してIPv4インターネットに接続するための設定例です。
無線セキュリティーには、WPAパーソナルを使用します。

本例は日本ネットワークイネイブラー株式会社が提供する ”v6プラス” を利用した接続設定例となります。
※ ”v6プラス” は、日本ネットワークイネイブラー株式会社の登録商標(または商標)です。

本例では2つのVAPを1つのIPセグメントにし、インターネットへの通信のみを許可するよう設定します。

構成

設定例集#212: [ 設定例集目次 ] ページ内目次

表 1:無線の基本設定
VAPインターフェース
SSID
セキュリティー方式
セキュリティーキー
WPAバージョン
vap1.0 無線1 (2.4GHz) VAP0 Network2 WPAパーソナル passphrase1 WPA2 WPA3
vap2.0 無線2 (5GHz) VAP0 Network5 WPAパーソナル passphrase17 WPA2 WPA3
Note
VAPインターフェースの命名規則については「インターフェース」/「一般設定」をご参照ください。

ブリッジの設定
ブリッジ
メンバー
br1 vap1.0 vap2.0
ルーターの基本設定
WAN側物理インターフェース eth2
WAN側(eth2)IPv6アドレス リンクローカルアドレス
LAN側(br1)IPv6アドレス ルーター通知(RA)で取得したIPv6プレフィックスにもとづいて設定
WAN側(tunnel0)IPv4アドレス MAPルール配信サーバーから取得した情報にもとづいて自動設定
LAN側(br1)IPv4アドレス 192.168.10.1/24
DHCPサーバー機能 有効
DHCPサーバーの設定
DHCPプール pool10
リース時間 2時間
対象サブネット 192.168.10.0/24
デフォルトゲートウェイ 192.168.10.1
DNSサーバー 192.168.10.1
提供するIPアドレスの範囲 192.168.10.100~192.168.10.131(32個)

ここでは、次の方針で設定を行います。

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
特に本製品はリアルタイムクロックを内蔵していないため、起動するたびに時刻をあわせる必要があります。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

TQRの設定

設定例集#212: [ 設定例集目次 ] ページ内目次

無線機能の設定

  1. 無線機能の設定を行うため、wirelessコマンドで無線設定モードに入ります。
    wireless
  2. 各VAPで使用するセキュリティー設定を作成します。
    セキュリティー設定の詳細は「無線機能」/「セキュリティー設定」をご覧ください。
    ・WPAパーソナル用セキュリティー設定(security mode wpa-personal
    ・セキュリティーキー(key
    ・WPAバージョン(versions
     security 1 mode wpa-personal
  key passphrase1
  versions wpa2 wpa3
 security 17 mode wpa-personal
  key passphrase17
  versions wpa2 wpa3
  3. 各VAPで使用するネットワーク設定を作成します。
    ・ネットワーク設定(network
    ・SSID(ssid
    ・SSID非公開(hide-ssid
    ・セキュリティー設定(security
    Note
    本設定例では、2.4GHzと5GHzのVAPに別々のSSIDを設定していますが、両帯域のVAPに同じSSIDを設定し、バンドステアリングを有効にすることで、2.4GHz・5GHz帯の両方をサポートしている無線端末に対し、混雑していない帯域への接続を促し、帯域を有効に使うことができます。
    具体的な設定については設定例集#201aをご参照ください。
     network 1
  ssid Network2
  hide-ssid
  security 1
 network 17
  ssid Network5
  hide-ssid
  security 17
  4. 無線1/2に対して各種機能やVAPの設定を行います。
    ap-profile localコマンドでAPプロファイルモードに移動してから、radioコマンドで無線番号を指定して以下のコマンドを実行します。
    ・無線の有効化(enable
    ・VAPの設定(vap
    ・Zero Wait DFS(zero-wait-dfs enable
     ap-profile local
  radio 1
   enable
   vap 0 network 1
  radio 2
   enable
   zero-wait-dfs enable
   vap 0 network 17
  5. ここでいったん特権EXECモードに移動し、wireless ap-configuration apply ap localコマンドを実行して無線設定内容を適用してください。
    これにより、各VAPインターフェース(vap1.0、vap2.0)が有効になります。
    無線適用が終わったら再度グローバルコンフィグモードに戻って設定を続けます。
    end
wireless ap-configuration apply ap local
configure terminal
  6. ソフトウェアブリッジ「1」を作成します。これにはbridgeコマンドを使います。
    ブリッジングの詳細は「ブリッジング」/「一般設定」をご覧ください。
    bridge 1
  7. vap1.0とvap2.0をブリッジ「1」に割り当てます。これにはbridge-groupコマンドを使います。
    Note
    本設定例では、2.4GHzと5GHzの同一番号のVAPをブリッジに所属させ同じセグメントで運用しています。
    2.4GHzと5GHzのVAPを異なるセグメントで運用する場合は、「無線機能」/「設定のポイント」を参照してVAPごとにIPアドレスを設定し、エンティティーとファイアウォールの設定を変更してください。
    interface vap1.0
 bridge-group 1

interface vap2.0
 bridge-group 1
  8. ここで再び特権EXECモードに移動し、wireless ap-configuration apply ap localコマンドを実行して無線設定内容を適用してください。
    VAPを作成した後にブリッジを作成してVAPに適用する場合は、VAP作成後に無線適用が必須となります。
    無線適用が終わったら再度グローバルコンフィグモードに戻って設定を続けます。
    end
wireless ap-configuration apply ap local
configure terminal

ルーター機能の設定

  1. WANポートeth2にリンクローカルアドレスを自動設定し、RAを受信できるようにします。ただし本例では、実際にRAにもとづくアドレスを設定するのはLAN側インターフェースであるため、初期設定で有効になっているアドレス自動設定(SLAAC)は無効化します。また、WANポートで受信したNSに代理応答するためLAN側インターフェース(br1)へのNDプロキシー機能を有効にします。これには、ipv6 enableipv6 nd accept-ra-pinfoipv6 nd proxy interfaceコマンドを使います。
    interface eth2
 ipv6 enable
 no ipv6 nd accept-ra-pinfo
 ipv6 nd proxy interface br1
  2. LAN側インターフェースbr1に対し、IPv4アドレスを固定設定します。また、WANポートで受信したRAにもとづくIPv6アドレスを自動設定するよう設定します。これにはip addressコマンドとipv6 address autoconfigコマンドを使います。
    また、IPv6設定情報をLAN側クライアントに通知するため、RAの送信を有効にします。これには、ipv6 nd suppress-raipv6 nd dns-serverコマンドを使います。
    IPv6インターフェースの詳細は「IPv6」/「IPv6インターフェース」をご覧ください。
    interface br1
 ip address 192.168.10.1/24
 ipv6 address autoconfig eth2
 no ipv6 nd suppress-ra
 ipv6 nd dns-server br1
  3. IPv6パケット転送機能を有効化します。これにはipv6 forwardingコマンドを使います。
    ipv6 forwarding
  4. LAN側ネットワークに接続されているコンピューターのためにDHCPサーバー機能の設定を行います。
    DHCPサーバー機能の詳細は「IP付加機能」/「DHCPサーバー」をご覧ください。

    これには、ip dhcp poolコマンドでDHCPプールを作成し、以下の情報を設定します。

    ・サブネット(network
    ・リースするIPアドレス(range
    ・デフォルトゲートウェイ(default-router
    ・DNSサーバーアドレス(dns-server
    ・リース時間(lease
    ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 dns-server 192.168.10.1
 default-router 192.168.10.1
 lease 0 2 0
  5. DHCPサーバーを有効化します。これには、service dhcp-serverコマンドを使います。
    service dhcp-server
  6. MAP-E設定を作成します。
    MAP-Eの詳細は「IPv6」/「MAP-E」をご覧ください。

    ・MAP-E設定の作成開始(softwire-configurationコマンド)
    ・MAPルール取得方式の指定(methodコマンド)
    ・使用するMAPバージョンの指定(map-versionコマンド)
    ・同一IPアドレスを共有する加入者サイト間の直接通信を有効化(mesh-modeコマンド)
    ・上流インターフェースの指定(upstream-interfaceコマンド)
    ・MAPルール提供元の指定(vendor-nameコマンド)
    softwire-configuration JPNE
 method proprietary
 map-version draft
 mesh-mode
 upstream-interface br1
 vendor-name JPNE
  7. MAP-Eを利用したIPv4 over IPv6トンネルインターフェースtunnel0を作成します。

    ・MAP-E設定の指定(tunnel softwireコマンド)
    ・MAP-E用トンネルインターフェースであることの指定(tunnel mode map-eコマンド)
    ・MSS書き換え(ip tcp adjust-mss
    interface tunnel0
 tunnel softwire JPNE
 tunnel mode map-e
 ip tcp adjust-mss pmtu
  8. IPv4のデフォルト経路をtunnel0に向けます。これにはip routeコマンドを使います。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 tunnel0
  9. ファイアウォールのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    IPv4の内部ネットワークを表すゾーン「ipv4-internal」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone ipv4-internal
 network dhcp
  ip subnet 0.0.0.0/0 interface br1
 network lan
  ip subnet 192.168.10.0/24 interface br1
  10. IPv4インターネットを表すゾーン「ipv4-internet」を作成します。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。
    zone ipv4-internet
 network wan
  ip subnet 0.0.0.0/0 interface tunnel0
  host nat
   ip address dynamic interface tunnel0
  11. IPv6の内部ネットワークを表すゾーン「ipv6-internal」を作成します。
    前記コマンドに加え、ここではipv6 subnetipv6 addressの各コマンドも使います。
    zone ipv6-internal
 network lan
  ipv6 subnet ::/0 interface br1
  host br1
   ipv6 address dynamic interface br1
  12. IPv6インターネットを表すゾーン「ipv6-internet」を作成します。
    zone ipv6-internet
 network wan
  ipv6 subnet ::/0 interface eth2
  host eth2
   ipv6 address dynamic interface eth2
  13. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocoldportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    DHCPv4パケットを表すカスタムアプリケーション「dhcpv4」を定義します。
    application dhcpv4
 protocol udp
 dport 67 to 68
  14. DHCPv6パケットを表すカスタムアプリケーション「dhcpv6」を定義します。
    application dhcpv6
 protocol udp
 dport 546 to 547
  15. ICMPv6パケットを表すカスタムアプリケーション「icmpv6」を定義します。
    application icmpv6
 protocol ipv6-icmp
  16. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部でのDHCPv4による通信を許可します
    ・rule 20 - 内部から内部へのIPv4通信を許可します(ここでは本製品・端末間の通信)
    ・rule 30 - 内部から外部へのIPv4通信を許可します
    ・rule 40 - 本製品のトンネルインターフェースに設定されたIPv4アドレスから外部へのIPv4通信を許可します
    ・rule 100 - 内部から内部へのIPv6通信を許可します(ここでは本製品・端末間の通信)
    ・rule 110 - 内部から外部へのIPv6通信を許可します
    ・rule 120 - 本製品(LAN側インターフェースに設定したアドレス)から外部へのIPv6通信を許可します
    ・rule 130 - 本製品(WAN側インターフェースのリンクローカルアドレス)から外部へのIPv6通信を許可します
    ・rule 140 - 外部から本製品(LAN側インターフェースに設定したアドレス)へのICMPv6通信を許可します
    ・rule 150 - 外部から本製品(WAN側インターフェースのリンクローカルアドレス)へのDHCPv6通信を許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit dhcpv4 from ipv4-internal.dhcp to ipv4-internal.dhcp
 rule 20 permit any from ipv4-internal.lan to ipv4-internal.lan
 rule 30 permit any from ipv4-internal.lan to ipv4-internet
 rule 40 permit any from ipv4-internet.wan.nat to ipv4-internet
 rule 100 permit any from ipv6-internal to ipv6-internal
 rule 110 permit any from ipv6-internal to ipv6-internet
 rule 120 permit any from ipv6-internal.lan.br1 to ipv6-internet
 rule 130 permit any from ipv6-internet.wan.eth2 to ipv6-internet
 rule 140 permit icmpv6 from ipv6-internet to ipv6-internal.lan.br1
 rule 150 permit dhcpv6 from ipv6-internet to ipv6-internet.wan.eth2
 protect
  17. LAN側ネットワークに接続されているすべてのIPv4ホストがダイナミックENAT機能を使用してインターネットにアクセスできるよう設定します。
    これには、natruleenableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from ipv4-internal to ipv4-internet
 enable
  18. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    ip dns forwarding
  19. 以上で設定は完了です。
    end

設定の保存

設定例集#212: [ 設定例集目次 ] ページ内目次
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility local5

■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall

TQRのコンフィグ

設定例集#212: [ 設定例集目次 ] ページ内目次
!
wireless
!
 security 1 mode wpa-personal
  key passphrase1
  versions wpa2 wpa3
 security 17 mode wpa-personal
  key passphrase17
  versions wpa2 wpa3
!
 network 1
  ssid Network2
  hide-ssid
  security 1
 network 17
  ssid Network5
  hide-ssid
  security 17
!
 ap-profile local
  radio 1
   enable
   vap 0 network 1
  radio 2
   enable
   zero-wait-dfs enable
   vap 0 network 17
!
bridge 1
!
interface vap1.0
 bridge-group 1

interface vap2.0
 bridge-group 1
!
interface eth2
 ipv6 enable
 no ipv6 nd accept-ra-pinfo
 ipv6 nd proxy interface br1
!
interface br1
 ip address 192.168.10.1/24
 ipv6 address autoconfig eth2
 no ipv6 nd suppress-ra
 ipv6 nd dns-server br1
!
ipv6 forwarding
!
ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 dns-server 192.168.10.1
 default-router 192.168.10.1
 lease 0 2 0
!
service dhcp-server
!
softwire-configuration JPNE
 method proprietary
 map-version draft
 mesh-mode
 upstream-interface br1
 vendor-name JPNE
!
interface tunnel0
 tunnel softwire JPNE
 tunnel mode map-e
 ip tcp adjust-mss pmtu
!
ip route 0.0.0.0/0 tunnel0
!
zone ipv4-internal
 network dhcp
  ip subnet 0.0.0.0/0 interface br1
 network lan
  ip subnet 192.168.10.0/24 interface br1
!
zone ipv4-internet
 network wan
  ip subnet 0.0.0.0/0 interface tunnel0
  host nat
   ip address dynamic interface tunnel0
!
zone ipv6-internal
 network lan
  ipv6 subnet ::/0 interface br1
  host br1
   ipv6 address dynamic interface br1
!
zone ipv6-internet
 network wan
  ipv6 subnet ::/0 interface eth2
  host eth2
   ipv6 address dynamic interface eth2
!
application dhcpv4
 protocol udp
 dport 67 to 68
!
application dhcpv6
 protocol udp
 dport 546 to 547
!
application icmpv6
 protocol ipv6-icmp
!
firewall
 rule 10 permit dhcpv4 from ipv4-internal.dhcp to ipv4-internal.dhcp
 rule 20 permit any from ipv4-internal.lan to ipv4-internal.lan
 rule 30 permit any from ipv4-internal.lan to ipv4-internet
 rule 40 permit any from ipv4-internet.wan.nat to ipv4-internet
 rule 100 permit any from ipv6-internal to ipv6-internal
 rule 110 permit any from ipv6-internal to ipv6-internet
 rule 120 permit any from ipv6-internal.lan.br1 to ipv6-internet
 rule 130 permit any from ipv6-internet.wan.eth2 to ipv6-internet
 rule 140 permit icmpv6 from ipv6-internet to ipv6-internal.lan.br1
 rule 150 permit dhcpv6 from ipv6-internet to ipv6-internet.wan.eth2
 protect
!
nat
 rule 10 masq any from ipv4-internal to ipv4-internet
 enable
!
ip dns forwarding
!
end

設定例集#212: [ 設定例集目次 ] ページ内目次

(C) 2023 - 2024 アライドテレシスホールディングス株式会社

PN: 613-003212 Rev.E