IX2015」タグアーカイブ

NEC UNIVERGE IX2015のEtherIP over IPsecで外部のVPNサーバにDS-Lite経由で接続する。

前回はNEC UNIVERGE IX2015にて、IPv6 IPoEとDS-Liteを併用する設定について紹介しました。

今回は、DS-Lite経由で外部に設置したVPNサーバにEtherIP over IPsecで接続してみます。
VPNサーバとして、ConoHa VPS上に構築したSoftEther VPN Server (Version 4.29 Build 9680)を使用します。
前回の設定と比べると、さらに簡略化された最低限のコンフィグのみを記載します。
以下、NEC UNIVERGE IX2015 Version 8.3.49にて設定、動作確認しました。

WAN側IPv6設定

FastEthernet0/0.0 をWAN側とし、RA+DHCPv6でIPv6アドレスを割り当てます。今回FE0/0.0ではIPv4を使用しません。
また、LAN側のIPv6 IPoE設定も行いません。

ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers

interface FastEthernet0/0.0
no ip address
ipv6 address autoconfig receive-default
ipv6 dhcp client dhcpv6-cl
no shutdown

DS-Lite設定

Tunnel0.0 にDS-Lite用のIPv4 over IPv6トンネルを設定し、IPv4のデフォルトルートとします。
ただし、今回は簡略化のためproxy-dnsを設定していません。

tunnel destinationに設定したAFTRのアドレスは、例によってNTT東日本での現時点の設定例のため、最新のアドレスはプロバイダによって指定されるものを参照してください。

ip route default Tunnel0.0

interface Tunnel0.0
tunnel mode 4-over-6
no tunnel adjust-mtu
tunnel destination 2404:8e00::feed:100
ip address 192.0.0.2/29
ip tcp adjust-mss 1460
no shutdown

前回と異なる点は、トンネルにIPv4アドレスを割り当てたことです。
192.0.0.2/29 は必ずしもこのアドレスでなくとも動きますが、 RFC6333 で決められているDS-Liteのトンネル用のアドレスですのでこれを使います。
この設定を入れることで、IX2015のコンソール上から ping 8.8.8.8 などが通るようになったかと思います。

EtherIP over IPsec設定

SoftEther VPN ServerにEtherIP over IPsecで接続し、Tunnel1.0とFastEthernet0/1.0をブリッジします。
ここではVPNサーバのグローバルIPアドレスを 192.0.2.1 、IPsec事前共有鍵を vpntest 、ISAKMP Phase 1 IDを ix2015_jtgh3rt64yqhsu4h とします。
192.0.2.1 は単なる例示用のアドレスであり、前述の 192.0.0.2/29 とは何も関係がありません。

ip access-list allow_all permit ip src any dest any

ike proposal ike_prop_test1 encryption aes hash sha group 1024-bit lifetime 3600
ike policy ike_policy_test1 peer 192.0.2.1 key vpntest mode aggressive ike_prop_test1
ike keepalive ike_policy_test1 10 2
ike local-id ike_policy_test1 keyid ix2015_jtgh3rt64yqhsu4h
ike nat-traversal policy ike_policy_test1 keepalive 10

ipsec autokey-proposal ipsec_prop_test1 esp-aes esp-sha lifetime time 3600

ipsec autokey-map ipsec_map_test1 allow_all peer 192.0.2.1 ipsec_prop_test1
bridge irb enable

interface FastEthernet0/1.0
no ip address
bridge-group 2
no shutdown

interface Tunnel1.0
tunnel mode ether-ip ipsec
no ip address
ipsec policy tunnel ipsec_map_test1 out
bridge-group 2
no shutdown

bridge-groupが2であることに特に意味はありません。前回の設定と被らないようにずらしているだけです。

ここまで設定すれば、FE0/1.0に接続した機器はL2VPNに繋がった状態になるでしょう。

NEC UNIVERGE IX2015でIPv6 IPoEとDS-Liteを使用する。

IX2015はFastEthernetな機種なので、今からメインで使うことはないですが、IPv6 IPoE・DS-Liteのテストとして試しに設定してみました。
手元の環境がひかり電話なしのため、RA方式でIPv6アドレスを受け取る設定です。

http://jpn.nec.com/univerge/ix/Support/ipv6/index.html
基本的には公式の設定事例を参考にしているため、最新の情報はそちらを参照してください。
また、フィルタの設定を行っていません。ほぼ最低限のコンフィグのみです。

LAN側IPv4設定

FastEthernet1/0.0 をLAN側とし、インターフェースにIPv4アドレスを割り当て、DHCPを有効にします。

ip ufs-cache enable
ip dhcp enable

ip dhcp profile dhcpv4-sv
  dns-server 192.168.1.254

interface FastEthernet1/0.0
  ip address 192.168.1.254/24
  ip dhcp binding dhcpv4-sv
  no shutdown

ここまで設定すると、FE1/0.0に繋いだ機器は192.168.1.0/24のIPアドレスが振られ、 ping 192.168.1.254 を実行するとIX2015から応答が返ってくるでしょう。

WAN側IPv6設定

FastEthernet0/0.0 をWAN側とし、インターフェースにフレッツNGNのRA+DHCPv6でIPv6アドレスを割り当てます。FE0/0.0ではIPv4を無効化しています。

ipv6 dhcp client-profile dhcpv6-cl
  information-request
  option-request dns-servers

interface FastEthernet0/0.0
  no ip address
  ipv6 address autoconfig receive-default
  ipv6 dhcp client dhcpv6-cl
  no shutdown

ここまで設定すると、IX2015のコンソール上から外部のIPv6アドレスに対して ping6 2001:4860:4860::8888 などを実行すると、応答が返ってくるでしょう。

DS-Lite設定

Tunnel0.0 にDS-Lite用のIPv4 over IPv6トンネルを設定し、IPv4のデフォルトルートとします。

tunnel destinationで指定したDS-LiteのAFTRと呼ばれるアドレスは、NTT東日本での一例です。
最新のアドレスは、 http://www.mfeed.ad.jp/transix/ds-lite/ にある設定例などから確認してください。

また、IX2015の最終バージョンであるVer 8.3.49では、 proxy-dns ip enable request both というコマンドが使えず、IPv4で受けたDNS問い合わせをIPv6で上位に問い合わせることができないため、ここではGoogle Public DNSの8.8.8.8と8.8.4.4を設定しました。

ip route default Tunnel0.0

proxy-dns ip enable
proxy-dns server 8.8.8.8
proxy-dns server 8.8.4.4

interface Tunnel0.0
  tunnel mode 4-over-6
  no tunnel adjust-mtu
  tunnel destination 2404:8e00::feed:100
  ip unnumbered FastEthernet1/0.0
  ip tcp adjust-mss 1460
  no shutdown

ここまで設定すると、FE1/0.0に繋いだ機器からIPv4のインターネット接続が可能になっているでしょう。
機器側でのIPv6接続が不要であれば、ここまででおおよそ快適なインターネット接続が可能でしょう。

IPv6 IPoE設定

FastEthernet0/0.0 と FastEthernet1/0.0 の2つのインターフェース間で、IPv6のパケットのみブリッジするよう設定します。

access-list mflt-list permit src any dest any type ipv6
access-list mflt-list permit src any dest any type ip

bridge irb enable
no bridge 1 bridge ip

interface FastEthernet0/0.0
  filter mflt-list 1 in
  bridge-group 1

interface FastEthernet1/0.0
  filter mflt-list 1 in
  bridge-group 1

ここまで設定すると、FE1/0.0に繋いだ機器からIPv6のインターネット接続も可能になっているでしょう。

IX他機種での設定

同世代以降のNEC UNIVERGE IXシリーズであれば、ほぼ同様の設定が使えます。

IX2005でも同様に設定して通信ができることを確認しました。これらの機種はFastEthernetのため、スループットは90Mbps程度で頭打ちしてしまいます。

DS-LiteやIPv6 IPoEの速度を十分に活用するには、GigaEthernet機種での使用をおすすめします。