[index] AT-AR2010V コマンドリファレンス 5.4.6

設定例集#44: フレッツ 光ネクスト IPv6インターネット接続（IPv6 IPoE、DHCPv6 PD方式）

ルーターの基本設定
WAN側物理インターフェース	eth1
WAN側（eth1）IPv6アドレス	リンクローカルアドレス
LAN側（eth2）IPv6アドレス	DHCPv6 PDで取得したIPv6プレフィックスにもとづいて設定

• ルーターのWAN側インターフェース（eth1）で受信したDHCPv6 PDパケットのIPv6プレフィックスにもとづいてLAN側インターフェース（eth2）にIPv6アドレスを設定します。WAN側インターフェースではリンクローカルアドレスを使用します。
  
  
• 受信したDHCPv6 PDの送信元IPv6アドレスをIPv6のデフォルトゲートウェイとして登録し、ひかり電話から送信されるルーター通知（RA）パケットをデフォルトゲートウェイとして登録しないようにします。
  
  
• DHCPv6でDNSサーバーアドレスを取得します。
  
  
• ルーターのLAN側インターフェースでDHCPv6サーバーを動作させ、LAN側コンピューターに対してIPv6アドレスを配布します。また、LAN側インターフェースからRAを送信し、デフォルトゲートウェイ、DNSサーバーアドレスとしてルーター自身のIPv6アドレスを通知します。
  
  
• ルーターのDNSリレー機能をオンにして、LAN側コンピューターからのDNSリクエストをDNSサーバーに転送します。
  
  
• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にIPv6インターネット、サービス情報サイト（NGN IPv6閉域網）へのアクセスができるようにします。
  

1. WANポートeth1上でDHCPv6 PDクライアントを有効にします。また、IPv6のデフォルト経路をルーター通知（RA）パケットの送信元ではなく、DHCPv6サーバーに向けるよう設定します。これには、ipv6 nd accept-ra-default-routes、ipv6 dhcp client pdコマンドを使います。
   DHCPv6 PDクライアントの詳細は「IPv6ルーティング」/「IPv6インターフェース」をご覧ください。
   

   interface eth1 no ipv6 nd accept-ra-default-routes ipv6 dhcp client pd IPoE default-route-to-server

2. LAN側クライアント向けにDHCPv6サーバー機能を有効にします。また、DNSサーバーアドレスとしてはLAN側インターフェースのアドレスを通知するようにします。これには、ipv6 dhcp pool、dns-serverコマンドを使います。
   

   ipv6 dhcp pool IPoE-eth2 dns-server interface eth2

3. LAN側インターフェースeth2でIPv6を有効にし、DHCPv6 PDで割り当てられたIPv6プレフィックスにもとづくIPv6アドレスを設定します。これにはipv6 enableコマンド、ipv6 address(DHCPv6 PD)コマンドを使います。
   また、LAN側クライアントにIPv6アドレスと設定情報を通知するため、RAの送信とDHCPv6サーバー機能を有効にします。これには、ipv6 nd suppress-ra、ipv6 nd other-config-flag、ipv6 dhcp serverコマンドを使います。
   IPv6インターフェースの詳細は「IPv6ルーティング」/「IPv6インターフェース」をご覧ください。また、DHCPv6サーバーについては「IP付加機能」/「DHCPv6サーバー」をご覧ください。
   

   interface eth2 ipv6 enable no ipv6 nd suppress-ra ipv6 nd other-config-flag ipv6 address IPoE ::1/64 ipv6 dhcp server IPoE-eth2

4. IPv6パケット転送機能を有効化します。これにはipv6 forwardingコマンドを使います。
   

   ipv6 forwarding

5. ファイアウォールのルール作成時に使うエンティティー（通信主体）を定義します。
   エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
   
   外部ネットワークを表すゾーン「ngn」を作成します。
   これには、zone、network、ipv6 subnet、host、ipv6 addressの各コマンドを使います。
   

   zone ngn network wan_ipv6 ipv6 subnet ::/0 interface eth1 host eth1 ipv6 address dynamic interface eth1

6. 内部ネットワークを表すゾーン「private_ipv6」を作成します。
   

   zone private_ipv6 network lan ipv6 subnet ::/0 interface eth2 host eth2 ipv6 address dynamic interface eth2

7. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
   これには、application、protocol、dport、sportの各コマンドを使います。
   アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
   
   DHCPv6パケット（サーバー着）を表すカスタムアプリケーション「dhcpv6-r」を定義します。
   

   application dhcpv6-r protocol udp dport 546

8. DHCPv6パケット（サーバー発）を表すカスタムアプリケーション「dhcpv6-s」を定義します。
   

   application dhcpv6-s protocol udp sport 546

9. ICMPv6パケットを表すカスタムアプリケーション「icmpv6」を定義します。
   

   application icmpv6 protocol ipv6-icmp

10. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewall、rule、protectの各コマンドを使います。
    
    ・rule 10 - 内部から内部への通信を許可します（ここでは本製品・端末間の通信）
    ・rule 20 - 内部から外部への通信を許可します
    ・rule 30 - 本製品（LAN側インターフェースに設定したアドレス）から外部へのDNS通信を許可します
    ・rule 40, 50 - 本製品（LAN側インターフェースに設定したアドレス）・外部間でのICMP通信を許可します
    ・rule 60, 70 - 本製品（WAN側インターフェースのリンクローカルアドレス）・外部DHCPv6サーバー間でのDHCPv6通信を許可します
    
    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    

    firewall rule 10 permit any from private_ipv6 to private_ipv6 rule 20 permit any from private_ipv6 to ngn rule 30 permit dns from private_ipv6.lan.eth2 to ngn rule 40 permit icmpv6 from private_ipv6.lan.eth2 to ngn rule 50 permit icmpv6 from ngn to private_ipv6.lan.eth2 rule 60 permit dhcpv6-s from ngn.wan_ipv6.eth1 to ngn rule 70 permit dhcpv6-r from ngn to ngn.wan_ipv6.eth1 protect

11. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    

    ip dns forwarding

12. 以上で設定は完了です。
    

    end

awplus# copy running-config startup-config ↓ Building configuration... [OK]

awplus# write memory ↓ Building configuration... [OK]

awplus(config)# log buffered level informational program kernel msgtext Firewall ↓

awplus# show log | include firewall ↓

! interface eth1 no ipv6 nd accept-ra-default-routes ipv6 dhcp client pd IPoE default-route-to-server ! ipv6 dhcp pool IPoE-eth2 dns-server interface eth2 ! interface eth2 ipv6 enable no ipv6 nd suppress-ra ipv6 nd other-config-flag ipv6 address IPoE ::1/64 ipv6 dhcp server IPoE-eth2 ! ipv6 forwarding ! zone ngn network wan_ipv6 ipv6 subnet ::/0 interface eth1 host eth1 ipv6 address dynamic interface eth1 ! zone private_ipv6 network lan ipv6 subnet ::/0 interface eth2 host eth2 ipv6 address dynamic interface eth2 ! application dhcpv6-r protocol udp dport 546 ! application dhcpv6-s protocol udp sport 546 ! application icmpv6 protocol ipv6-icmp ! firewall rule 10 permit any from private_ipv6 to private_ipv6 rule 20 permit any from private_ipv6 to ngn rule 30 permit dns from private_ipv6.lan.eth2 to ngn rule 40 permit icmpv6 from private_ipv6.lan.eth2 to ngn rule 50 permit icmpv6 from ngn to private_ipv6.lan.eth2 rule 60 permit dhcpv6-s from ngn.wan_ipv6.eth1 to ngn rule 70 permit dhcpv6-r from ngn to ngn.wan_ipv6.eth1 protect ! ip dns forwarding ! end

(C) 2016 - 2017 アライドテレシスホールディングス株式会社

PN: 613-002311 Rev.E