フレッツ光ネクスト IPv6インターネット接続（IPv6 PPPoE）

NTT東日本・NTT西日本が提供するフレッツ光ネクスト回線を利用し、IPv6 PPPoEを用いてIPv6インターネットに接続するための設定例です。また、NGN IPv6の閉域網（サービス情報サイト）への接続もIPv6 NAT（NPTv6）機能とND Proxy機能を併用して同時アクセスが可能になります。

インターネットサービスプロバイダー（ISP）からは、次の情報を提供されているものとします。

表 1：ISPから提供された情報

PPPユーザー名 user@isp

PPPパスワード isppasswd

PPPoEサービス名指定なし

以下、ルーターの基本設定についてまとめます。

表 2：ルーターの基本設定

WAN側物理インターフェース gigabitEthernet 0

WAN側（gigabitEthernet 0.1）IPv6アドレスリンクローカルアドレス

WAN側（gigabitEthernet 0）IPv6アドレス NGN IPv6の閉域網から受信したRAのIPv6プレフィックスに基づいて設定

LAN側（vlan1）IPv6アドレス ISPからDHCPv6-PDで取得したIPv6プレフィックス（/56）に基づいて設定、またはULAアドレスを設定（ISPとのPPPが確立していない場合）

ルーターには、次のような方針で設定を行います。

事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。

■ IPv6インターネット接続用設定

ISPから提供されたPPPユーザー名、PPPパスワードにてIPv6でPPPoE接続をしてセッションを確立します。
ルーターのPPPoEインターフェースでDHCPv6クライアントを動作させ、DHCPv6-PD（Prefix Delegation）でIPv6プレフィックスおよびDNSサーバーアドレスを取得します。
DHCPv6-PDで取得したIPv6プレフィックスに基づいてLAN側インターフェース（vlan 1）にIPv6アドレスを設定します。PPPoEインターフェースはリンクローカルアドレスを使用します。
ファイアウォール（アクセスリスト）を利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にIPv6インターネットへのアクセスができるようにします。

■ サービス情報サイト（NGN IPv6の閉域網）接続用設定

NGN IPv6の閉域網から受信したRA（Router Advertisement）パケットのIPv6プレフィックスに基づいてWAN側インターフェース（gigabitEthernet 0）にNGN IPv6閉域網用のIPv6アドレスを設定します。
ルーターのWAN側インターフェース（gigabitEthernet 0）でDHCPv6クライアントを動作させ、DHCPv6でDNSサーバーアドレス、ドメインリストを取得します。
NGN IPv6の閉域網の経路情報提供サーバーから閉域網宛の経路情報を自動取得します。
IPv6 NAT機能を利用してLAN側ネットワークからNGN IPv6のWAN側ネットワークへ転送するパケットの送信元IPv6アドレス、およびNGN IPv6のWAN側ネットワークから LAN側ネットワークへ転送するパケットの送信先IPv6アドレスの変換を行います。
ND Proxy機能を利用してWAN側およびLAN側ネットワークから受信したNS（Neighbor Solicitation）/NA（Neighbor Advertisement）パケットを対向のネットワークへ転送します。

Note - 上記のIPv6 NAT機能、およびND Proxy機能はNGN IPv6の閉域網接続用に特化した機能です。本構成以外での動作は未サポートです。
ファイアウォール（アクセスリスト）を利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にサービス情報サイト（NGN IPv6閉域網）へのアクセスができるようにします。
ISPとのPPPが確立していない場合は、LAN側インターフェースにULAアドレスを設定します。

■ IPv6インターネット接続 & サービス情報サイト（NGN IPv6）接続共通設定

ルーターのLAN側インターフェースでRAを送信するように設定し、LAN側に接続されたコンピューターはRAのIPv6プレフィックスに基づいてIPv6アドレスを設定します。
ルーターのLAN側インターフェースでDHCPv6サーバーを動作させ、LAN側コンピューターに対してはDNSサーバーアドレスとしてルーター自身のIPv6アドレスを提供します。
ルーターのDNSリレー（プロキシーDNS）機能をオンにして、LAN側コンピューターからのDNSリクエストを、DNSサーバーに転送します。

LAN側コンピューターからIPv6インターネット、サービス情報サイト（NGN IPv6閉域網）へアクセスする際の流れは以下の通りです。

■ ISPとのPPPが確立している場合

IPv6インターネット、サービス情報サイト（NGN IPv6閉域網）の双方へアクセスすることができます。
LAN側コンピューターからIPv6インターネットへアクセスする際のパケットの送信元IPv6アドレスはISPから割り当てられたIPv6プレフィックスで生成されたIPv6アドレスがそのまま使用されます。
LAN側コンピューターからサービス情報サイト（NGN IPv6の閉域網）へアクセスする場合、ルーターがLAN側コンピューターから受信したパケット（送信元IPv6アドレスがISPから割り当てられたIPv6プレフィックスで生成されたIPv6アドレス）をWAN側インターフェース（gigabitEthernet 0）から送信する際に、送信元IPv6アドレスをルーターのWAN側インターフェースのIPv6プレフィックスを使用したIPv6アドレスに変換します。
サービス情報サイト（NGN IPv6の閉域網）からLAN側コンピューターへのパケットをルーターが受信した場合は、ルーターは送信先IPv6アドレスをISPから割り当てられたIPv6プレフィックスを使用したIPv6アドレスに変換します。

■ ISPとのPPPが確立していない場合

サービス情報サイト（NGN IPv6閉域網）へのみアクセスすることができます（IPv6インターネットへのアクセスはできません）。
ルーターのLAN側インターフェースにはULAアドレスが設定されるためルーターはそのULAアドレスのIPv6プレフィックスを含めたRAを送信します。
LAN側に接続されたコンピューターはそのRAのIPv6プレフィックスに基づいてIPv6アドレスを設定し、DHCPv6で取得したDNSサーバーアドレス（ルーター自身のULAアドレス）を設定します。
LAN側コンピューターからサービス情報サイト（NGN IPv6の閉域網）へアクセスする場合、ルーターがLAN側コンピューターから受信したパケット（送信元IPv6アドレスがULAアドレスのIPv6プレフィックスで生成されたIPv6アドレス）をWAN側インターフェース（gigabitEthernet 0）から送信する際に送信元IPv6アドレスをルーターのWAN側インターフェースのIPv6プレフィックスを使用したIPv6アドレスに変換します。
サービス情報サイト（NGN IPv6の閉域網）からLAN側コンピューターへのパケットをルーターが受信した場合は、ルーターは送信先IPv6アドレスをULAアドレスのIPv6プレフィックスを使用したIPv6アドレスに変換します。

ルーターの設定

ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
また、LCP Echoパケットの送信間隔は60秒に設定します。
WAN0インターフェース（gigabitEthernet 0）を有効にします。
WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、IPv6インターフェースとして使用できるようにします。
このインターフェース上で使用するPPP設定情報を括り付け、外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
LAN側インターフェース（vlan 1）をIPv6インターフェースとして使用できるようにします。
ISPとのPPPが確立していない場合は、LAN側インターフェースにULAアドレスを設定するようにします。
このインターフェースからRAパケットを送信する設定をし、RAパケットのOフラグをセットするようにします。
このインターフェースのIPv6アドレスが使用不可（IPv6アドレスが消失）になった場合、そのIPv6プレフィックスについてLifetimeフィールドに0をセットしたRAパケットを送信するようにします。

DHCPv6のパケット、およびICMPv6のパケットは通しつつ、他のIPv6インターネットからの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。

access-list ipv6 extended v6pppoe-in ↓
 dynamic permit udp any interface gigabitEthernet 0.1 eq 546 ↓
 dynamic permit icmpv6 any any ↓
access-list ipv6 extended v6pppoe-out ↓
 dynamic permit ipv6 any any ↓
interface gigabitEthernet 0.1 ↓
 ipv6 traffic-filter v6pppoe-in in ↓
 ipv6 traffic-filter v6pppoe-out out ↓

NGN IPv6の閉域網から受信したRAのIPv6プレフィックスに基づいてWAN0インターフェースにNGN IPv6閉域網用のIPv6アドレスを設定するようにします。
NGN IPv6の閉域網の経路情報提供サーバーから閉域網宛の経路情報を自動取得するようにします。
ND Proxy機能、およびIPv6 NAT機能を有効にします。
また、外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
自装置のDNS問い合わせ機能を有効にします。

DHCPv6のパケット、およびICMPv6のパケットは通しつつ、他のNGN IPv6の閉域網からの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、WAN0インターフェース上に割り当てます。

access-list ipv6 extended v6ngn-in ↓
 dynamic permit udp any interface gigabitEthernet 0 eq 546 ↓
 dynamic permit icmpv6 any any ↓
access-list ipv6 extended v6ngn-out ↓
 dynamic permit ipv6 any any ↓
interface gigabitEthernet 0 ↓
 ipv6 traffic-filter v6ngn-in in ↓
 ipv6 traffic-filter v6ngn-out out ↓

IPv6インターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。

デフォルトルートを設定します。

ipv6 route default gigabitEthernet 0.1 ↓

DNSリレー機能を有効にします。
LAN側PCのためにDHCPv6サーバー機能を有効にします。
DHCPv6クライアントに提供するDNSサーバーアドレス（LAN側インターフェース（vlan 1）のIPv6アドレス）、使用期限を設定します。

WAN0インターフェースでDHCPv6クライアントを有効にします。
DHCPv6サーバーに要求する項目を設定します。

interface gigabitEthernet 0 ↓
 ipv6 dhcp client ngn-v6 ↓
ipv6 dhcp client-profile ngn-v6 ↓
 request dns-server ↓
 request domain-name ↓
 request information-refresh ↓
 information-only ↓

PPPoEインターフェースでDHCPv6クライアントを有効にします。
DHCPv6サーバーに要求する項目を設定します。
DHCPv6サーバーから割り当てられたIPv6プレフィックスに基づいてLAN側インターフェース（vlan 1）にIPv6アドレスを自動的に設定するようにします。
設定は以上です。設定内容をstartup-configに保存します。

まとめ

ルーターのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ipv6 domain lookup ! ! ! ipv6 address-up-always ppp profile v6-pppoe my-username user@isp password 8 e$QNKMe2ohmPDFnghyVppETegAA lcp keepalive echo-interval 60 ! interface gigabitEthernet 0 ipv6 address autoconfig ipv6 ngn enable no shutdown ipv6 nd proxy vlan 1 ngn ipv6 npt vlan 1 auto nd-multicast ipv6 traffic-filter v6ngn-in in ipv6 traffic-filter v6ngn-out out ipv6 dhcp client ngn-v6 ipv6 ids in protect ! interface gigabitEthernet 0.1 ipv6 enable ipv6 unnumbered vlan 1 no shutdown pppoe enable ppp bind-profile v6-pppoe ipv6 traffic-filter v6pppoe-in in ipv6 traffic-filter v6pppoe-out out ipv6 dhcp client isp-v6 ipv6 ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface vlan 1 ipv6 enable ipv6 ngn ula no shutdown no ipv6 nd suppress-ra ipv6 nd other-config-flag ipv6 nd ra-invalidate ! ipv6 route default gigabitEthernet 0.1 ! access-list ipv6 extended v6ngn-in dynamic permit udp any interface gigabitEthernet 0 eq 546 dynamic permit icmpv6 any any access-list ipv6 extended v6ngn-out dynamic permit ipv6 any any access-list ipv6 extended v6pppoe-in dynamic permit udp any interface gigabitEthernet 0.1 eq 546 dynamic permit icmpv6 any any access-list ipv6 extended v6pppoe-out dynamic permit ipv6 any any ! proxydns ipv6 enable ! ! ipv6 dhcp pool vlan 1 dns-server interface vlan 1 information-refresh 0 2 0 dhcp-server ipv6 enable ! ipv6 dhcp client-profile ngn-v6 request dns-server request domain-name request information-refresh information-only ipv6 dhcp client-profile isp-v6 request dns-server ia-pd configure vlan 1 ::1:0:0:0:0/64 eui-64 ! ! end

CentreCOM ARX640S 設定例集 5.1.5 #30

PN: 613-001568 Rev.E

＜前頁次頁＞＜＜＞＞ ↑ 目次（番号順 (詳細)・回線別 (詳細)・機能別 (詳細)）

PPPユーザー名	user@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし

WAN側物理インターフェース	gigabitEthernet 0
WAN側（gigabitEthernet 0.1）IPv6アドレス	リンクローカルアドレス
WAN側（gigabitEthernet 0）IPv6アドレス	NGN IPv6の閉域網から受信したRAのIPv6プレフィックスに基づいて設定
LAN側（vlan1）IPv6アドレス	ISPからDHCPv6-PDで取得したIPv6プレフィックス（/56）に基づいて設定、またはULAアドレスを設定（ISPとのPPPが確立していない場合）

フレッツ 光ネクスト IPv6インターネット接続（IPv6 PPPoE）

フレッツ光ネクスト IPv6インターネット接続（IPv6 PPPoE）