<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR410 V2 設定例集 2.6 #117
専用線によるネイティブ型IPv6インターネット接続(IPv6フィルター)
専用線を使ってISPとIPv6のネイティブ型接続を行います。この例では、基本設定にIPv6トラフィックフィルターの設定を追加して、IPv6トラフィックの制御方法を示します。
一般的なIPv6接続サービスでは、ネイティブ型、トンネル型などの接続形態にかかわらず、48ビット長(/48)のプレフィックスを割り当てられます。これは、64ビット長(/64)のサブネット65536個に相当する事実上無限のアドレス空間です。そのため、IPv6ではNATを使うことなく個々のホストがグローバルアドレスでインターネットにアクセスできます。
ここでは、次のような構成のネットワークを例に解説します。
表 1:ルーターの基本設定
| TDMグループ名 |
ISP |
| 回線速度 |
128Kbps |
| WAN側物理インターフェース |
bri0 |
| 使用できるプレフィックス |
3ffe:1:1::/48 |
| WAN側(ppp0)IPv6アドレス |
リンクローカルアドレスのみ |
| LAN側(vlan1)IPv6アドレス |
3ffe:1:1:1::1/64 |
この例では、ISPからプレフィックス3ffe:1:1::/48を割り当てられています。これは、3ffe:1:1:0::/64 〜 3ffe:1:1:ffff::/64 の65536個のサブネットを自由に使えることを示しています。ここでは、LAN側インターフェース(vlan1)に3ffe:1:1:1::/64を割り当て、ルーター通知(RA)パケットでクライアントにプレフィックスなどの情報を通知します。
さらに、IPv6フィルターを使って、次のようなトラフィック制御を行います。
- TCPは内部(LAN)から外部(インターネット)へのみコネクションを張ることができる。
- UDPは双方向とも禁止。ただし、内部から外部へのDNS要求/応答だけは許可する。
- ICMPv6は双方向とも許可。
- BRIインターフェース「0」の全スロット(1〜2)を常時起動のTDM(専用線)モードに設定します。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
- bri0のスロット1〜2(128Kbps)に対し、TDMグループ「ISP」を作成します。
CREATE TDM GROUP=ISP INT=bri0 SLOTS=1-2 ↓
- PPPインターフェース「0」をTDMグループ「ISP」上に作成します。LQRはオフにします。
CREATE PPP=0 OVER=TDM-ISP LQR=OFF ↓
- IPv6モジュールを有効にします。
- LAN側(vlan1)インターフェースにIPv6アドレス3ffe:1:1:1::1/64を設定します。「PUBLISH=YES」は、LAN上にプレフィックスなどを通知するよう指示するものです。IPv6対応クライアントホストは、ルーターから通知を受けることにより、自身のアドレスとデフォルトゲートウェイを自動設定できます。
ADD IPV6 INT=vlan1 IP=3ffe:1:1:1::1/64 PUBLISH=YES ↓
- ルーター通知(RA)を有効にします。これにより、「PUBLISH=YES」と指定されたインターフェースでプレフィックスなどの通知を行うようになります。
- WAN側(ppp0)インターフェースはグローバルアドレスを割り当てる必要が特にないので、CREATE IPV6 INTERFACEコマンドでリンクローカルアドレスだけを設定します(IPv4におけるUnnumbered PPPインターフェースとほぼ同じ扱い)。
- デフォルトルートをWAN側(ppp0)インターフェースに向けて設定します。
ADD IPV6 ROUTE=::/0 INT=ppp0 NEXT=:: ↓
- WAN側(ppp0)インターフェースに適用するIPv6フィルター「1」を作成します。
- LAN側から張ったTCPコネクションに限り、インターネット側からLANへのTCPパケットを通過させます。
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=1 DEST=3ffe:1:1::/48 PROTO=TCP SESS=ESTABLISHED ↓
- インターネット側からLAN側へのUDPパケットは、DNSからの応答(始点UDPポート53番)のみ通過させます。
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=2 DEST=3ffe:1:1::/48 PROTO=UDP SPORT=53 ↓
- インターネット側からのICMPv6パケットはすべて通過させます。
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=3 DEST=:: PROTO=ICMP ICMPTYPE=ANY ICMPCODE=ANY ↓
Note
- IPv6フィルターのデフォルト動作は「すべて拒否(EXCLUDE)」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。
- LAN側(vlan1)インターフェースに適用するIPv6フィルター「2」を作成します。
- LAN側からインターネット側へのTCPパケットはすべて通過させます。
ADD IPV6 FILTER=2 SOURCE=3ffe:1:1::/48 ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=1 DEST=:: PROTO=TCP SESS=ANY ↓
- LAN側からインターネット側へのUDPパケットは、DNSへのリクエスト(終点UDPポート53番)のみ通過させます。
ADD IPV6 FILTER=2 SOURCE=3ffe:1:1::/48 ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=2 DEST=:: PROTO=UDP DPORT=53 ↓
- LAN側からインターネット側へのICMPv6パケットはすべて通過させます。
ADD IPV6 FILTER=2 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=3 DEST=:: PROTO=ICMP ICMPTYPE=ANY ICMPCODE=ANY ↓
Note
- IPv6フィルターのデフォルト動作は「すべて拒否(EXCLUDE)」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。
Note
- Ethernetインターフェース(PPPoEを除く)にIPv6フィルターを適用するときは、最低限ICMPv6のNS、NA、RSメッセージを通過させるよう設定してください。これらはIPv6の通信に必須のメッセージなので、遮断すると正常に通信できなくなります。詳細は本設定例末尾の「メモ」をご覧ください。
- IPv6フィルター「1」をWAN側(ppp0)インターフェースに適用します。
SET IPV6 INT=ppp0 FILTER=1 ↓
- IPv6フィルター「2」をLAN側(vlan1)インターフェースに適用します。
SET IPV6 INT=vlan1 FILTER=2 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ IPv6インターフェースの情報はSHOW IPV6 INTERFACEコマンドで確認できます。
■ IPv6フィルターには、条件を指定するさまざまなパラメーターがあります。くわしくはコマンドリファレンスをご覧ください。
■ IPv6フィルターはパラメーターが多いため、コマンドラインが長くなりがちです。コマンドラインの入力文字数制限によりコマンドを入力できない場合は、省略形を使ったり、コマンドを複数行に分けるなどして対処してください。
■ Ethernetインターフェース(PPPoEを除く)にIPv6フィルターを適用するときは、最低限ICMPv6のNS(Neighbor Solicitation)、NA(Neighbor Advertisement)、RS(Router Solicitation)メッセージを通過させるよう設定してください。これらはIPv6の通信に必須のメッセージなので、遮断すると正常に通信できなくなります。次に、これらのパケットを通過させるための設定例を示します。
ADD IPV6 FILTER=0 SO=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=0 ENTRY=1 PROTO=ICMP ICMPTYPE=RTSOLICIT ICMPCODE=ANY ↓
ADD IPV6 FILTER=0 SO=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=0 ENTRY=2 PROTO=ICMP ICMPTYPE=NBSOLICIT ICMPCODE=ANY ↓
ADD IPV6 FILTER=0 SO=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=0 ENTRY=3 PROTO=ICMP ICMPTYPE=NBADVERT ICMPCODE=ANY ↓
■ IPv6フィルターの設定状況を確認するには次のコマンドを使います。
■ どのIPv6インターフェースにどのソフトウェアIPフィルターが適用されているかを確認するには、次のコマンドを使います。
■ IPv6インターフェースからIPv6フィルターを削除するには、SET IPV6 INTERFACEコマンドのFILTERパラメーターにNONEを指定します。ppp0インターフェースからIPv6フィルターの適用を取り消すには、次のようにします。
SET IPV6 INT=ppp0 FILTER=NONE ↓
■ 現在の設定内容を表示するには、次のコマンドを使います。
ルーターのコンフィグ
[テキスト版]
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISP INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-ISP LQR=OFF ↓
ENABLE IPV6 ↓
ADD IPV6 INT=vlan1 IP=3ffe:1:1:1::1/64 PUBLISH=YES ↓
ENABLE IPV6 ADVERTISE ↓
CREATE IPV6 INT=ppp0 ↓
ADD IPV6 ROUTE=::/0 INT=ppp0 NEXT=:: ↓
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=1 DEST=3ffe:1:1::/48 PROTO=TCP SESS=ESTABLISHED ↓
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=2 DEST=3ffe:1:1::/48 PROTO=UDP SPORT=53 ↓
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=3 DEST=:: PROTO=ICMP ICMPTYPE=ANY ICMPCODE=ANY ↓
ADD IPV6 FILTER=2 SOURCE=3ffe:1:1::/48 ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=1 DEST=:: PROTO=TCP SESS=ANY ↓
ADD IPV6 FILTER=2 SOURCE=3ffe:1:1::/48 ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=2 DEST=:: PROTO=UDP DPORT=53 ↓
ADD IPV6 FILTER=2 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=3 DEST=:: PROTO=ICMP ICMPTYPE=ANY ICMPCODE=ANY ↓
SET IPV6 INT=ppp0 FILTER=1 ↓
SET IPV6 INT=vlan1 FILTER=2 ↓
|
CentreCOM AR410 V2 設定例集 2.6 #117
(C) 2002 - 2008 アライドテレシスホールディングス株式会社
PN: J613-M3048-02 Rev.M
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))