[index] AT-NFV-APL Ver.1.13.1 リファレンスマニュアル

設定例集#45: フレッツ 光ネクスト IPv6インターネット接続（IPv6 IPoE、RA方式）

構成

• ルーターのWAN側インターフェース（eth1）で受信したルーター通知（RA）パケットのIPv6プレフィックスにもとづいてLAN側インターフェース（eth0）にIPv6アドレスを設定します。また、受信したRAの送信元IPv6アドレスをIPv6のデフォルトゲートウェイとして登録します。WAN側インターフェースではリンクローカルアドレスを使用します。
  
  
• DHCPv6でDNSサーバーアドレスを取得します。
  
  
• NDプロキシー機能により、WAN側からLAN側端末へのNS（Neighbor Solicitation）パケットに対し、本製品が自身のMACアドレスでNA（Neighbor Advertisement）を代理応答します。
  

  Note

  NDプロキシー機能は本構成に特化した機能です。本構成以外での動作はサポート対象外です。

  
  
• LAN側に接続されたコンピューターは、本製品のLAN側インターフェースから送信されるRAによってIPv6アドレス、デフォルトゲートウェイ、DNSサーバーアドレスを自動設定します。
  
  
• ルーターのDNSリレー機能をオンにして、LAN側コンピューターからのDNSリクエストをDNSサーバーに転送します。
  
  
• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にIPv6インターネット、サービス情報サイト（NGN IPv6閉域網）へのアクセスができるようにします。
  

AT-NFV-APLの事前設定

Note

10ポート構成（eth1～eth10）のAT-NFV-APL-GTXを想定した例になっていますので、6ポート（eth1～eth6）構成のAT-NFV-APL-GTをご使用の場合は、使用するポートを適宜読み替えてください。

管理IPアドレス

ブリッジ

仮想インターフェース割り当て

ルーターの設定

1. WANポートeth1にリンクローカルアドレスを自動設定し、RAを受信できるようにします。ただし本例では、実際にRAにもとづくアドレスを設定するのはLAN側インターフェースであるため、初期設定で有効になっているアドレス自動設定（SLAAC）は無効化します。また、WANポートで受信したNSに代理応答するためLAN側インターフェース（eth0）へのNDプロキシー機能を有効にします。これには、ipv6 enable、ipv6 nd accept-ra-pinfo、ipv6 nd proxy interfaceコマンドを使います。
   

   interface eth1
    ipv6 enable
    no ipv6 nd accept-ra-pinfo
    ipv6 nd proxy interface eth0
   

2. LAN側インターフェースeth0に対し、WANポートで受信したRAにもとづくIPv6アドレスを自動設定するよう設定します。これにはipv6 address autoconfigコマンドを使います。
   また、LAN側クライアントにIPv6アドレスと設定情報を通知するため、RAの送信を有効にします。これには、ipv6 nd suppress-ra、ipv6 nd dns-serverコマンドを使います。
   IPv6インターフェースの詳細は「IPv6」/「IPv6インターフェース」をご覧ください。
   ※管理用 IPv4アドレス 192.168.1.2/24 は AT-NFV-APLの事前設定時に設定済みのため、ip addressコマンドを手で入力する必要はありません。
   

   interface eth0
    ip address 192.168.1.2/24
    ipv6 address autoconfig eth1
    no ipv6 nd suppress-ra
    ipv6 nd dns-server eth0
   

3. IPv6パケット転送機能を有効化します。これにはipv6 forwardingコマンドを使います。
   

   ipv6 forwarding
   

4. ファイアウォールのルール作成時に使うエンティティー（通信主体）を定義します。
   エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
   
   外部ネットワークを表すゾーン「ngn」を作成します。
   これには、zone、network、ipv6 subnet、host、ipv6 addressの各コマンドを使います。
   
   すべてのIPv6アドレスを表すゾーン「all」を作成します。
   これには、zone、network、ipv6 subnetの各コマンドを使います。
   

   zone all
    network ipv6
     ipv6 subnet ::/0
   

5. 管理用 IPv4 サブネットを表すゾーン「gui」を作成します。
   

   zone gui
    network ipv4
     ip subnet 192.168.1.0/24
   

6. 内部ネットワークを表すゾーン「private_ipv6」を作成します。
   前記コマンドに加え、ここでは host、ipv6 addressの各コマンドも使います。
   

   zone private_ipv6
    network lan
     ipv6 subnet ::/0 interface eth0
     host eth0
      ipv6 address dynamic interface eth0
   

7. 外部ネットワークを表すゾーン「public_ipv6」を作成します。
   

   zone public_ipv6
    network wan
     ipv6 subnet ::/0 interface eth1
     host eth1
      ipv6 address dynamic interface eth1
   

8. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
   これには、application、protocol、dportの各コマンドを使います。
   アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
   
   DHCPv6パケットを表すカスタムアプリケーション「dhcpv6」を定義します。
   

   application dhcpv6
    protocol udp
    dport 546 to 547
   

9. ICMPv6パケットを表すカスタムアプリケーション「icmpv6」を定義します。
   

   application icmpv6
    protocol ipv6-icmp
   

10. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewall、rule、protectの各コマンドを使います。
    
    ・rule 10 - 管理用IPv4サブネット内の通信を許可します
    ・rule 20 - DHCPv6通信を許可します
    ・rule 30 - ICMPv6通信を許可します
    ・rule 40 - 内部から内部への通信を許可します
    ・rule 50 - 内部から本製品（LAN側インターフェースに設定したアドレス）への通信を許可します
    ・rule 60 - 内部から外部への通信を許可します
    ・rule 70 - 本製品（LAN側インターフェースに設定したアドレス）から内部への通信を許可します
    ・rule 80 - 本製品（LAN側インターフェースに設定したアドレス）から外部への通信を許可します
    ・rule 90 - 本製品（WAN側インターフェースのリンクローカルアドレス）から外部への通信を許可します
    
    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    

    firewall
     rule 10 permit any from gui to gui
     rule 20 permit dhcpv6 from all to all
     rule 30 permit icmpv6 from all to all
     rule 40 permit any from private_ipv6 to private_ipv6
     rule 50 permit any from private_ipv6 to private_ipv6.lan.eth0
     rule 60 permit any from private_ipv6 to public_ipv6
     rule 70 permit any from private_ipv6.lan.eth0 to private_ipv6
     rule 80 permit any from private_ipv6.lan.eth0 to public_ipv6
     rule 90 permit any from public_ipv6.wan.eth1 to public_ipv6
     protect
    

11. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    

    ip dns forwarding
    

12. 以上で設定は完了です。
    

    end
    

設定の保存

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

awplus# write memory ↓
Building configuration...
[OK]

ファイアウォールログについて

awplus(config)# log buffered level informational facility local5 ↓

awplus# show log | include Firewall ↓

ルーターのコンフィグ

!
interface eth1
 ipv6 enable
 no ipv6 nd accept-ra-pinfo
 ipv6 nd proxy interface eth0
!
interface eth0
 ip address 192.168.1.2/24
 ipv6 address autoconfig eth1
 no ipv6 nd suppress-ra
 ipv6 nd dns-server eth0
!
ipv6 forwarding
!
zone all
 network ipv6
  ipv6 subnet ::/0
!
zone gui
 network ipv4
  ip subnet 192.168.1.0/24
!
zone private_ipv6
 network lan
  ipv6 subnet ::/0 interface eth0
  host eth0
   ipv6 address dynamic interface eth0
!
zone public_ipv6
 network wan
  ipv6 subnet ::/0 interface eth1
  host eth1
   ipv6 address dynamic interface eth1
!
application dhcpv6
 protocol udp
 dport 546 to 547
!
application icmpv6
 protocol ipv6-icmp
!
firewall
 rule 10 permit any from gui to gui
 rule 20 permit dhcpv6 from all to all
 rule 30 permit icmpv6 from all to all
 rule 40 permit any from private_ipv6 to private_ipv6
 rule 50 permit any from private_ipv6 to private_ipv6.lan.eth0
 rule 60 permit any from private_ipv6 to public_ipv6
 rule 70 permit any from private_ipv6.lan.eth0 to private_ipv6
 rule 80 permit any from private_ipv6.lan.eth0 to public_ipv6
 rule 90 permit any from public_ipv6.wan.eth1 to public_ipv6
 protect
!
ip dns forwarding
!
end

(C) 2021 - 2025 アライドテレシスホールディングス株式会社

PN: 613-002993 Rev.Q