＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

フレッツ 光ネクスト IPv6 PPPoEインターネット接続環境における2点間IPsec VPN（IPv4 over IPv6、両側IPv6アドレス固定）

NTT東日本・NTT西日本が提供するフレッツ 光ネクスト回線でIPv6 PPPoEを用いてIPv6インターネットに接続し、IPv6アドレスで2つの拠点をIPsec（IPv4 over IPv6 IPsec）で結ぶVPN構築例です。本設定例は固定的にIPv6プレフィックスが割り当てられる拠点間をIPsecのトンネルで接続します。

表 1：ISPの情報

	ルーターA	ルーターB
PPPユーザー名	user@ispA	user@ispB
PPPパスワード	isppasswdA	isppasswdB
PPPoEサービス名	指定なし
割り当てIPv6プレフィックス	2001:1:1:1000::/56	2001:1:1:2000::/56

表 2：ルーターの基本設定

	ルーターA	ルーターB
WAN側物理インターフェース	gigabitEthernet 0
WAN側（gigabitEthernet 0.1）IPv6アドレス	リンクローカルアドレス
LAN側（vlan1）IPv6アドレス	2001:1:1:1001::1/64	2001:1:1:2001::1/64
LAN側（vlan1）IPv4アドレス	192.168.10.1/24	192.168.20.1/24
VPN接続設定
ローカルセキュアグループ	192.168.10.0/24	192.168.20.0/24
リモートセキュアグループ	192.168.20.0/24	192.168.10.0/24
トンネル終端アドレス	2001:1:1:2001::1	2001:1:1:1001::1
IKE設定
交換モード	Mainモード
認証方式	事前共有鍵（pre-shared key）
事前共有鍵	secret（文字列）
ローカルID/リモートID	なし/なし
暗号化認証アルゴリズム	AES256 & SHA1-DH2
有効期限	21600秒 (6時間)（デフォルト）
DPDによる死活監視	行う
起動時のISAKMPネゴシエーション	行う
IPsec設定
SAモード	トンネルモード
セキュリティープロトコル	ESP
暗号化認証アルゴリズム	AES256 & SHA1
PFSグループ	なし
有効期限	3600秒（1時間）（デフォルト）

• 事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。
  
  
• ISPから提供されたPPPユーザー名、PPPパスワードにてIPv6でPPPoE接続をしてセッションを確立します。
  
  
• ルーターのPPPoEインターフェースでDHCPv6クライアントを動作させ、DHCPv6-PD（Prefix Delegation）でIPv6プレフィックスを取得します。
  
  
• DHCPv6-PDで取得したIPv6プレフィックスに基づいてLAN側インターフェース（vlan 1）にIPv6アドレスを設定します。PPPoEインターフェースはリンクローカルアドレスを使用します。
  
  
• LAN側インターフェースにIPv4アドレスを設定します。
  
  
• ファイアウォール（アクセスリスト）を利用して、外部からの不正アクセスを遮断します。
  
  
• 対向のルーターへVPN接続する際にIPv6アドレスを指定します。
  
  
• ルーター間はIPv6でIPsecを確立し、双方の拠点のLAN側インターフェース配下のコンピューターでIPv4アドレスによる通信をできるようにします。
  

ルーターAの設定

1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   また、LCP Echoパケットの送信間隔は60秒に設定します。
   

   ppp profile v6-pppoe ↓
    my-username user@ispA password isppasswdA ↓
    lcp keepalive echo-interval 60 ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）をIPv6インターフェースとして使用できるようにします。
   

   interface gigabitEthernet 0 ↓
    ipv6 enable ↓
    no shutdown ↓
       

   
   
3. WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、IPv6インターフェースとして使用できるようにします。
   このインターフェース上で使用するPPP設定情報を括り付け、外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ipv6 enable ↓
    ipv6 unnumbered vlan 1 ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile v6-pppoe ↓
    ipv6 ids in protect ↓
       

   
   
   
4. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   また、IPv6インターフェースとしても使用できるようにします。
   

   interface vlan 1 ↓
    ip address 192.168.10.1/24 ↓
    ipv6 enable ↓
       

   
   
5. IPv6インターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ipv6 address-up-always ↓
       

   
   
6. デフォルトルートを設定します。
   

   ipv6 route default gigabitEthernet 0.1 ↓
       

   
   
7. DHCPv6のパケット、ISAKMPのパケット、およびICMPv6のパケットは通しつつ、他のIPv6インターネットからの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。
   

   access-list ipv6 extended v6pppoe-in ↓
    dynamic permit udp any interface gigabitEthernet 0.1 eq 546 ↓
    dynamic permit udp any interface vlan 1 eq 500 ↓
    dynamic permit icmpv6 any any ↓
   access-list ipv6 extended v6pppoe-out ↓
    dynamic permit ipv6 any any ↓
   interface gigabitEthernet 0.1 ↓
    ipv6 traffic-filter v6pppoe-in in ↓
    ipv6 traffic-filter v6pppoe-out out ↓
       

   
   
8. Phase1のProposal、およびISAKMPポリシーを設定します。
   

   isakmp proposal isakmp encryption aes256 hash sha1 group 2 ↓
   isakmp policy isakmp ↓
    peer 2001:1:1:2001::1 ↓
    auth preshared key secret ↓
    proposal isakmp ↓
    keepalive enable ↓
       

   
   
9. Phase2のProposal、およびIPsecポリシーを設定します。
   

   access-list ip extended ipsec ↓
    permit ip any any ↓
   ipsec proposal ipsec esp encryption aes256 hash sha1 ↓
   ipsec policy ipsec ↓
    peer 2001:1:1:2001::1 ↓
    access-list ipsec ↓
    local-id 192.168.10.0/24 ↓
    remote-id 192.168.20.0/24 ↓
    proposal ipsec ↓
    always-up-sa ↓
       

   
   
10. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。
    

    interface tunnel 0 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy ipsec ↓
        

    
    
11. ルーターBのLAN側（192.168.20.0/24）宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。
    

    ip route 192.168.20.0/24 tunnel 0 ↓
    ip route 192.168.20.0/24 Null 254 ↓
        

    
    
12. PPPoEインターフェースでDHCPv6クライアントを有効にします。
    DHCPv6サーバーから割り当てられたIPv6プレフィックスに基づいてLAN側インターフェース（vlan 1）にIPv6アドレスを自動的に設定するようにします。
    

    interface gigabitEthernet 0.1 ↓
     ipv6 dhcp client isp-v6 ↓
    ipv6 dhcp client-profile isp-v6 ↓
     ia-pd configure vlan 1 ::1:0:0:0:1/64 ↓
        

    
    
13. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

ルーターBの設定

1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   また、LCP Echoパケットの送信間隔は60秒に設定します。
   

   ppp profile v6-pppoe ↓
    my-username user@ispB password isppasswdB ↓
    lcp keepalive echo-interval 60 ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）をIPv6インターフェースとして使用できるようにします。
   

   interface gigabitEthernet 0 ↓
    ipv6 enable ↓
    no shutdown ↓
       

   
   
3. WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、IPv6インターフェースとして使用できるようにします。
   このインターフェース上で使用するPPP設定情報を括り付け、外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ipv6 enable ↓
    ipv6 unnumbered vlan 1 ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile v6-pppoe ↓
    ipv6 ids in protect ↓
       

   
   
   
4. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   また、IPv6インターフェースとしても使用できるようにします。
   

   interface vlan 1 ↓
    ip address 192.168.20.1/24 ↓
    ipv6 enable ↓
       

   
   
5. IPv6インターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ipv6 address-up-always ↓
       

   
   
6. デフォルトルートを設定します。
   

   ipv6 route default gigabitEthernet 0.1 ↓
       

   
   
7. DHCPv6のパケット、ISAKMPのパケット、およびICMPv6のパケットは通しつつ、他のIPv6インターネットからの通信を遮断し、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。
   

   access-list ipv6 extended v6pppoe-in ↓
    dynamic permit udp any interface gigabitEthernet 0.1 eq 546 ↓
    dynamic permit udp any interface vlan 1 eq 500 ↓
    dynamic permit icmpv6 any any ↓
   access-list ipv6 extended v6pppoe-out ↓
    dynamic permit ipv6 any any ↓
   interface gigabitEthernet 0.1 ↓
    ipv6 traffic-filter v6pppoe-in in ↓
    ipv6 traffic-filter v6pppoe-out out ↓
       

   
   
8. Phase1のProposal、およびISAKMPポリシーを設定します。
   

   isakmp proposal isakmp encryption aes256 hash sha1 group 2 ↓
   isakmp policy isakmp ↓
    peer 2001:1:1:1001::1 ↓
    auth preshared key secret ↓
    proposal isakmp ↓
    keepalive enable ↓
       

   
   
9. Phase2のProposal、およびIPsecポリシーを設定します。
   

   access-list ip extended ipsec ↓
    permit ip any any ↓
   ipsec proposal ipsec esp encryption aes256 hash sha1 ↓
   ipsec policy ipsec ↓
    peer 2001:1:1:1001::1 ↓
    access-list ipsec ↓
    local-id 192.168.20.0/24 ↓
    remote-id 192.168.10.0/24 ↓
    proposal ipsec ↓
    always-up-sa ↓
       

   
   
10. トンネルインターフェース（tunnel 0）を作成し、インターフェースを使用できるようにします。
    このトンネルインターフェースに対応するIPsecポリシーを設定します。
    

    interface tunnel 0 ↓
     tunnel mode ipsec ↓
     ip unnumbered vlan 1 ↓
     ip tcp mss auto ↓
     no shutdown ↓
     tunnel policy ipsec ↓
        

    
    
11. ルーターAのLAN側（192.168.10.0/24）宛のルートを設定します。
    また、ルーター間のVPN接続が有効になるまでは、このルートを使用できないように設定します。
    

    ip route 192.168.10.0/24 tunnel 0 ↓
    ip route 192.168.10.0/24 Null 254 ↓
        

    
    
12. PPPoEインターフェースでDHCPv6クライアントを有効にします。
    DHCPv6サーバーから割り当てられたIPv6プレフィックスに基づいてLAN側インターフェース（vlan 1）にIPv6アドレスを自動的に設定するようにします。
    

    interface gigabitEthernet 0.1 ↓
     ipv6 dhcp client isp-v6 ↓
    ipv6 dhcp client-profile isp-v6 ↓
     ia-pd configure vlan 1 ::1:0:0:0:1/64 ↓
        

    
    
13. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

まとめ

ルーターAのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ! ! ipv6 address-up-always ppp profile v6-pppoe my-username user@ispA password 8 e$QNKMe2ohmPDFBWKSYxCJz8gAA lcp keepalive echo-interval 60 ! interface gigabitEthernet 0 ipv6 enable no shutdown ! interface gigabitEthernet 0.1 ipv6 enable ipv6 unnumbered vlan 1 no shutdown pppoe enable ppp bind-profile v6-pppoe ipv6 traffic-filter v6pppoe-in in ipv6 traffic-filter v6pppoe-out out ipv6 dhcp client isp-v6 ipv6 ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy ipsec ! interface vlan 1 ip address 192.168.10.1/24 ipv6 enable no shutdown ! ip route 192.168.20.0/24 tunnel 0 ip route 192.168.20.0/24 Null 254 ! access-list ip extended ipsec permit ip any any ! ipv6 route default gigabitEthernet 0.1 ! access-list ipv6 extended v6pppoe-in dynamic permit udp any interface gigabitEthernet 0.1 eq 546 dynamic permit udp any interface vlan 1 eq 500 dynamic permit icmpv6 any any access-list ipv6 extended v6pppoe-out dynamic permit ipv6 any any ! isakmp proposal isakmp encryption aes256 hash sha1 group 2 ! isakmp policy isakmp peer 2001:1:1:2001::1 auth preshared key 8 e$I3eQu7yNuLxQA proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption aes256 hash sha1 ! ipsec policy ipsec peer 2001:1:1:2001::1 access-list ipsec local-id 192.168.10.0/24 remote-id 192.168.20.0/24 proposal ipsec always-up-sa ! ! ! ipv6 dhcp client-profile isp-v6 ia-pd configure vlan 1 ::1:0:0:0:1/64 ! ! end

ルーターBのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ! ! ipv6 address-up-always ppp profile v6-pppoe my-username user@ispB password 8 e$QNKMe2ohmPDGyL5Yl1OWFlAAA lcp keepalive echo-interval 60 ! interface gigabitEthernet 0 ipv6 enable no shutdown ! interface gigabitEthernet 0.1 ipv6 enable ipv6 unnumbered vlan 1 no shutdown pppoe enable ppp bind-profile v6-pppoe ipv6 traffic-filter v6pppoe-in in ipv6 traffic-filter v6pppoe-out out ipv6 dhcp client isp-v6 ipv6 ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 0 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy ipsec ! interface vlan 1 ip address 192.168.20.1/24 ipv6 enable no shutdown ! ip route 192.168.10.0/24 tunnel 0 ip route 192.168.10.0/24 Null 254 ! access-list ip extended ipsec permit ip any any ! ipv6 route default gigabitEthernet 0.1 ! access-list ipv6 extended v6pppoe-in dynamic permit udp any interface gigabitEthernet 0.1 eq 546 dynamic permit udp any interface vlan 1 eq 500 dynamic permit icmpv6 any any access-list ipv6 extended v6pppoe-out dynamic permit ipv6 any any ! isakmp proposal isakmp encryption aes256 hash sha1 group 2 ! isakmp policy isakmp peer 2001:1:1:1001::1 auth preshared key 8 e$I3eQu7yNuLxQA proposal isakmp keepalive enable ! ipsec proposal ipsec esp encryption aes256 hash sha1 ! ipsec policy ipsec peer 2001:1:1:1001::1 access-list ipsec local-id 192.168.20.0/24 remote-id 192.168.10.0/24 proposal ipsec always-up-sa ! ! ! ipv6 dhcp client-profile isp-v6 ia-pd configure vlan 1 ::1:0:0:0:1/64 ! ! end

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）