VPN / IPv6

IPv6トンネルインターフェースは、IPv6ネットワーク経由で他のプロトコルパケットを転送するための仮想インターフェースです。
本製品はIPv6ネットワーク上におけるIPv4/IPv6パケットのトンネリングに対応しています。
また、トランスポートモードIPsecを併用した通信内容の暗号化と認証にも対応しています。

Note - ファームウェアバージョン5.4.5-0.4までの本製品と5.4.5-1.1以降の本製品との間ではIPsec接続ができません。IPv6トンネルインターフェースをトランスポートモードIPsecで保護する場合はファームウェアのバージョンを揃えてください。

本製品のIPv6トンネルインターフェースの基本仕様は以下のとおりです。

デリバリー（外側）プロトコル：IPv6
IPv6ネットワーク上にIPv6トンネルを構築可能
ペイロード（内側）プロトコル：IPv4/IPv6
- トンネルインターフェースにIPv4アドレスを割り当てれば、IPv4インターフェースとしてIPv4パケットのルーティングが可能
- トンネルインターフェースにIPv6アドレスを割り当てれば、IPv6インターフェースとしてIPv6パケットのルーティングが可能
トランスポートモード IPsec を併用することによりトンネルトラフィックの保護（ESPによる暗号化と認証）が可能。

本章ではIPv6トンネルインターフェースに特化した説明を行います。

トンネルインターフェース全般については「VPN」の「トンネルインターフェース」を、インターフェース全般については「インターフェース」の「一般設定」を、IPsecについては「VPN」の「IPsec」をご覧ください。

基本設定

IPv6ネットワーク上にIPv6トンネルインターフェースを作成し、拠点間でIPv4パケットをトンネリングするには、次の手順にしたがいます。

以下では、上記構成図のルーターAを例に具体的な設定手順を示します。
なお、前提事項として、ルーターA・BはIPv6でインターネットに接続しているものとします。WAN側インターフェースのIPv6アドレスは固定であり、ルーター間でのIPv6通信もできているものとします。

トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。
awplus(config)# interface tunnel0 ↓
トンネリング方式としてipv6を指定します。これには、tunnel mode ipv6コマンドを使います。
awplus(config-if)# tunnel mode ipv6 ↓
トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス（自装置と対向装置のIPv6アドレス）を指定します。これには、tunnel source / tunnel destinationコマンドを使います。
awplus(config-if)# tunnel source 2001:db8:1:1::1 ↓ awplus(config-if)# tunnel destination 2001:db8:2:2::2 ↓
トンネルインターフェースtunnel0にIPアドレスを設定して、同インターフェースでIPv4パケットのルーティングが行われるようにします。これには、ip addressコマンドを使います。
awplus(config-if)# ip address 192.168.254.1/30 ↓
Note - トンネルインターフェースにIPアドレスを設定する場合のマスク長は30ビット以下を推奨します。トンネルインターフェースのIPアドレスを「ip address 192.168.254.1/32」のように32ビットマスクで設定することも可能ですが、トンネルインターフェース上でOSPFなどの経路制御プロトコルを動作させる場合は、ホストアドレスを複数取れる30ビット以下のサブネットマスクを設定する必要があるためです。
対向拠点へのスタティック経路を登録します。これには、ip routeコマンドを使います。
awplus(config-if)# exit ↓ awplus(config)# ip route 192.168.20.0/24 tunnel0 ↓

インターフェースへのIPアドレス設定については「IPルーティング」/「IPインターフェース」を、IPの経路設定については「IPルーティング」/「経路制御」、および、ダイナミックルーティングに関する各セクションをご覧ください。

IPsecによる保護

上記設定ではIPv6トンネル上を流れるIPv4パケットは平文のままです。トンネル上のトラフィックを暗号化するには、次の手順を追加してIPsec保護を有効にしてください。

ISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。addressパラメーターで指定するのは、IPsecの接続相手（対向装置）、すなわち、ルーターBのIPアドレスです。
awplus(config)# crypto isakmp key ouR4ecret address 2001:db8:2:2::2 ↓
IPv6トンネルインターフェースtunnel0に対し、IPsecによる保護を適用します。これにはtunnel protection ipsecコマンドを使います。
awplus(config)# interface tunnel0 ↓ awplus(config-if)# tunnel protection ipsec ↓

設定と状態の確認

■ IPv6トンネルインターフェースの情報はshow interfaceコマンドで確認できます。

awplus> show interface tunnel1 ↓ Interface tunnel1 Link is UP, administrative state is UP Hardware is Tunnel IPv4 address 172.16.10.1/24 pointopoint 172.16.10.255 index 11 metric 1 mtu 1460 <UP,POINTOPOINT,RUNNING,MULTICAST> SNMP link-status traps: Disabled Tunnel source 2001:db8:1:1::1, destination 2001:db8:2:2::2 Tunnel name local 2001:db8:1:1::1, remote 2001:db8:2:2::2 Tunnel ID local (not set), remote (not set) Tunnel protocol/transport ipv6, key disabled, sequencing disabled Tunnel TTL 64 Checksumming of packets disabled, path MTU discovery disabled input packets 0, bytes 0, dropped 0, multicast packets 0 output packets 0, bytes 0, multicast packets 0 broadcast packets 0 Time since last state change: 0 days 00:17:23

PN: 613-002107 Rev.D