NTT コミュニケーションズ OCNは,IPv6 接続サービスを提供しています..IPv6接続サービスでは,/64のグローバルアドレスがアサインされます.PPPoEによるNative接続は,無料でなかなかすばらしいです.
OCN 「フレッツ 光ネクスト」対応 IPv6インターネット接続(いわゆる案2の接続です.)では,PPPoE IPv6対応ルータ日立製作所製 DS-RA1 での接続をしなければなりません.IPv6を申し込むと,2日くらいでDS-RA1が届きます.このルータは,高性能ではありますが,やはり,愛用するNEC IX2105には,VPN性能や多機能な面において,及びません.
そこで,IX2105 を使った OCNにおける PPPoE IPv6接続 を利用した IPv6接続方法をここにまとめます.
ちなみに,NEC IX2105 とは,CiscoっぽいCLIでの設定,小型省電力(4W以下),ハイパフォーマンスなIPsec機能,Ether IPの対応,IPv6対応,GigabitEthernet 対応,などなど,玄人好みのIPルータです.ネットワーク玄人の方なら,買って触って満足.お値段高めで,値上がりしてるんです.おすすめです.IPsecで拠点間接続して遊ぶには最適.詳しくは,メーカサイトへどうぞ.
考え方は単純です,現在,おそらく,PPPoE IPv4接続として,以下のように設定があるでしょう.
interface GigaEthernet0.1
description OCNwithBFlets
encapsulation pppoe
no auto-connect
forced-disconnect-time 7200
ppp binding ocnwithflets
ip address ipcp
ip mtu 1454
ip tcp adjust-mss auto
ip napt enable
ip napt translation tcp-timeout 36000
ip napt translation finrst-timeout 40
これに加えて,IPv6 PPPoEの設定を, interface
GigaEthernet0.2へ,IPv6ルーティング,デフォルトルートの設定を行います.
※黄色マーカ部分は,追加部分,水色マーカー部分は,設定やI/Fの固有名なので,環境に合わせた改変が必要かもしれません.
interface GigaEthernet0.2
encapsulation pppoe
auto-connect
ppp binding ocnv6withflets
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-client
no shutdown
ipv6 ufs-cache enable
ipv6 route default GigaEthernet0.2
また,OCN IPv6では,網から落ちてくる prefix/DNS情報をDHCPv6 client で拾い(上記,ipv6 dhcp client dhcpv6-client),かつ,これを内側(通常,gigaEthrnet 1.0)に RAや,DHCPv6 serverで配る設定を行います.
ipv6 dhcp client-profile dhcpv6-client
option-request dns-servers
ia-pd subscriber GigaEthernet1.0
!
ipv6 dhcp server-profile dhcpv6-server
dns-server dhcp
よって,内側のgigaEthernet 1.0に,以下のような設定を加えます.
interface GigaEthernet1.0
filter mflt-list 1 in
ip address 192.168.0.1/24
ip mtu 1454
ip dhcp binding dhcpv4-server
ipv6 enable
ipv6 dhcp server dhcpv6-server
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
ここまでで,IPv6アドレス(/64)が使えるようになるわけですが,このままでは,世界中から内部のノードへアクセスできてしまします.それなりにフィルタを設定する必要があります.ここでは,内部を起点に外部への通信(TCP)は許可,外部を起点に内部への通信(TCP)は不許可という設定を入れておきます.フィルタ acl-deny (全部落とす) acl-dhcpv6 (DHCPv6許可) acl-icmpv6 (ICMPv6許可) acl-permit (全部許可) dflt-list (acl-permitした通信の帰りは許可)を gigaethernet 0.2 に設定すればOKです.
ipv6 access-list acl-deny deny ip src any dest any
ipv6 access-list acl-dhcpv6 permit udp src any sport eq 547 dest any dport eq 546
ipv6 access-list acl-dhcpv6 permit udp src any sport eq 546 dest any dport eq 547
ipv6 access-list acl-icmpv6 permit icmp src any dest any
ipv6 access-list acl-permit permit ip src any dest any
ipv6 access-list dynamic dflt-list access acl-permit
interface GigaEthernet0.2
encapsulation pppoe
auto-connect
ppp binding ocnv6withflets
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-client
ipv6 filter acl-dhcpv6 1 in
ipv6 filter acl-icmpv6 2 in
ipv6 filter acl-block 100 in
ipv6 filter acl-dhcpv6 1 out
ipv6 filter acl-icmpv6 2 out
ipv6 filter dflt-list 100 out
no shutdown
以下は,内側のIPv4は,NATPで,192.168.0.0/24,ルータIPは, 192.168.0.1
として,IPv6は,プロバイダからのprefixを配る.加えて,DHCPv4でのアドレス配布(.10-.100),DHCPv6での,DNSの配布, RAでの
IPv6 prefix配布,アクセスコントロールを行う例です.
なお,管理者は,admin , OCNの認証用IDは, hogehoge@abcdef.ocn.ne.jp ,パスワードは,hoge11としています.
hostname EXAMPLE1 timezone +09 00 ! ! ! username admin password hash 0000000000 administrator ! ! ! ntp server 210.173.160.27 ! ! ! logging buffered 131072 logging subsystem all warn logging timestamp datetime access-list mflt-list permit src any dest any type ipv6 access-list mflt-list permit src any dest any type ip ! ! ip ufs-cache enable ip route default GigaEthernet0.1 ip dhcp enable ip access-list mgmtacl permit ip src 192.168.0.0/24 dest any ip access-list web_console permit ip src any dest 192.168.0.1/32 ipv6 ufs-cache enable ipv6 route default GigaEthernet0.2 ipv6 access-list acl-deny deny ip src any dest any ipv6 access-list acl-dhcpv6 permit udp src any sport eq 547 dest any dport eq 546 ipv6 access-list acl-dhcpv6 permit udp src any sport eq 546 dest any dport eq 547 ipv6 access-list acl-icmpv6 permit icmp src any dest any ipv6 access-list acl-permit permit ip src any dest any ipv6 access-list dynamic dflt-list access acl-permit ! ! dns cache enable ! proxy-dns ip enable proxy-dns ip query-interval 1 ! telnet-server ip enable telnet-server ip access-list mgmtacl ! ! ! ppp profile ocnv6withflets authentication myname hogehoge@ipv6.ocn.ne.jp authentication password hogehoge@ipv6.ocn.ne.jp hoge11 ! ppp profile ocnwithflets authentication myname hogehoge@abcdef.ocn.ne.jp authentication password hogehoge@abcdef.ocn.ne.jp hoge11 ! ip dhcp profile dhcpv4-server assignable-range 192.168.0.10 192.168.0.100 dns-server 192.168.0.1 ! ipv6 dhcp client-profile dhcpv6-client option-request dns-servers ia-pd subscriber GigaEthernet1.0 ! ipv6 dhcp server-profile dhcpv6-server dns-server dhcp ! device GigaEthernet0 device GigaEthernet1 ! interface GigaEthernet0.0 filter mflt-list 1 in no ip address bridge-group 1 no shutdown ! interface GigaEthernet1.0 filter mflt-list 1 in ip address 192.168.0.1/24 ip mtu 1454 ip dhcp binding dhcpv4-server ipv6 enable ipv6 dhcp server dhcpv6-server ipv6 nd ra enable ipv6 nd ra other-config-flag no shutdown ! interface GigaEthernet0.1 description OCNwithBFlets encapsulation pppoe no auto-connect forced-disconnect-time 7200 ppp binding ocnwithflets ip address ipcp ip mtu 1454 ip tcp adjust-mss auto ip napt enable ip napt translation tcp-timeout 36000 ip napt translation finrst-timeout 40 no shutdown ! interface GigaEthernet0.2 encapsulation pppoe auto-connect ppp binding ocnv6withflets no ip address ipv6 enable ipv6 dhcp client dhcpv6-client ipv6 tcp adjust-mss auto ipv6 filter acl-dhcpv6 1 in ipv6 filter acl-icmpv6 2 in ipv6 filter acl-block 100 in ipv6 filter acl-dhcpv6 1 out ipv6 filter acl-icmpv6 2 out ipv6 filter dflt-list 100 out no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 ! interface Null0.0 no ip address !