このページで紹介するのは、ひかり電話の契約がなくONUにルータを直結する場合と、ひかり電話の契約がありホームゲートウェイ配下にルータを接続する場合です。
NEC IXシリーズではNAT変換はトンネルインタフェースでするため、LAN側プライベートアドレスとDMZ側グローバルアドレスを同時には使えないようです。(PPPoEではできます)
NECのサイトではLAN側に直接IP8やIP16のグローバルアドレスを割り当てる設定例を紹介しています。その例で設置する場合はNEC IXルータ1台でDMZと社内LANのインターネットアクセスの両方をまかなえませんので、社内LAN用には適当なUTMやブロードバンドルータをDMZセグメントに別途追加することになります。
ここではよくあるUTMのように、DMZ側に別のプライベートアドレスのセグメントを割り当ててスタティックNATで公開する方法を紹介します。この方法ではDMZもLANもNEC IXルータ1台でまかなえます。一方、あまり無いケースだと思いますが一般的にルータのCPU負荷限界までアクセスがあるような非常に高負荷なサーバの公開にはNAT変換は不利です。このサイトの設定例とNECのサイトの設定例のどちらを使うかはユーザ様で判断してください。
構成
当ネットで紹介している、NEC IXシリーズ向け固定IP1との違いは
- LAN側は192.168.1.0/24のネットワーク(社内LANセグメント用)は同様
- DMZ側は192.168.2.0/24のネットワーク(DMZセグメント用)を追加
- スタティックNATでグローバルアドレスを192.168.2.2〜のアドレスにIP8の場合7個。IP16の場合15個を割り当てる設定を追加。
- LAN側からDMZ側にはフルアクセス。逆は禁止。
- DMZのサーバ公開のフィルタは、Webの80/443とpingを許可しています。他のサービスも公開する場合は必要に応じて許可フィルタを追加してください。
- NECサイトの上記のLAN側に直接IP8やIP16のグローバルアドレスを割り当てる設定例と、NECサイトの Config作成ツールでPPPoEでのサーバ公開で生成したConfig から、ntpサーバ指定の追加と、以外はほぼXpass設定例のままです。
- 見慣れない「ipv6 traffic-class tos 0」という設定は、NGN内でトンネルパケットが謎の速度低下を起こさないためのものです。詳しくはこちら。
- IX2215とIX2310とIX3110の実機で、光ネクスト隼の、RA方式の/64(ひかり電話なしのONU直結、ひかり電話ありのホームゲートウェイ配下)と、DHCP-pd方式の/56(ひかり電話ありのONU直結)で接続できることを確認しています。他の機種でも同様です。
- IX2310の実機で光クロス10Gの、DHCP-pdの/56で接続できることを確認しています。光クロス10G回線では常にDHCP-pd方式の/56になります。(ネクスト隼までとは違って、光クロスはひかり電話なしですが必ずDHCP-pdですので注意してください。)
回線にクロスパスのIPv6を開通させてください。
回線IDとアクセスキーを用意して、ルータの型番とともにびわこインターネットにお申し込みください。回線IDとアクセスキーは、フレッツ光ネクストの開通時に封筒でご自宅に届いている書類をご覧ください。 お手元に見当たらない場合はNTT116番にお電話して回線IDとアクセスキーの再送を依頼します。(手元に書類がない場合でも回線お名義と設置場所ご住所から開通することもできます。)
弊社で登録処理をすると、回線でクロスパスのIPv6が開通します。
ONUにNEC IXのGE0ポートを、GE1ポートをローカルLAN側につなぎます。
- ひかり電話契約があるときはホームゲートウェイのLANポートにGE0ポートを接続してください。
- IX2207以上はGE0とGE1とGE2の3つ、さらにIX3110はGE3、IX3315はGE4とGE5もありますが、使わなければ同じCONFIGで大丈夫です。
ターミナルからconfigを流し込みます
契約者には次の情報をお送りしています。この8つの項目をサンプルCFGに置き換えてください。
TUNNEL-DESTINATION-ADDRESS トンネル宛先アドレス
IP-ADDRESS 割り当てられた固定IP 固定IP/29(固定IP8)、またはIP/28(固定IP16)
FQDN 契約者のダイナミックDNSのFQDN。httpsから入力します。
DDNS-ID 契約者のダイナミックDNSの認証ID(たいていFQDNと同じです)
DDNS-PASSWORD 契約者のダイナミックDNSの認証パスワード
Basic-ID ダイナミックDNSのBASIC認証ID
Basic-PASS ダイナミックDNSのBASIC認証パスワード
UPDATE-SERVER-URL ダイナミックDNSサービスのサーバアドレスRA方式の設定例
ネクストでひかり電話なし契約でONU直下に接続する場合、ひかり電話あり契約でホームゲートウェイの下に接続する場合はRA方式です。IPv6アドレスはGE0には割り当てられず、GE1インタフェースに/64でIPv6アドレスが割り当てられます。
ntp server 133.243.238.244 timeout 1024
!
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip dhcp enable
ip access-list all-rej deny ip src any dest any
ip access-list dhcp-c permit udp src any sport eq 68 dest any dport eq 67
ip access-list dhcp-s permit udp src any sport eq 67 dest any dport eq 68
ip access-list dmz-443-filter permit tcp src any sport any dest any dport eq 443
ip access-list dmz-80-filter permit tcp src any sport any dest any dport eq 80
ip access-list dmz-icmp-filter permit icmp src any dest any
ip access-list lan-filter permit ip src any dest any
ip access-list lan2dmz-filter permit ip src 192.168.1.0/24 dest any
ip access-list tunnel-napt permit ip src 192.168.1.0/24 dest any
ip access-list dynamic d-list1 access lan-filter
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
!
proxy-dns ip enable
proxy-dns ip request both
!
ddns enable
!
ip dhcp profile dhcpv4-sv1
assignable-range 192.168.1.100 192.168.1.200
dns-server 192.168.1.1
!
ip dhcp profile dhcpv4-sv2
assignable-range 192.168.2.100 192.168.2.200
dns-server 192.168.2.1
!
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
!
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
!
ddns profile xpass-update
url UPDATE-SERVER-URL
query d=DDNS-ID&p=DDNS-PASSWORD&a=<IP6>&u=FQDN
account Basic-ID
password plain Basic-PASS
transport ipv6
notify-interface GigaEthernet1.0
source-interface GigaEthernet1.0
update-interval 10
!
interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 traffic-class tos 0
ipv6 nd proxy GigaEthernet1.0
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter tunnel-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter tunnel-list 3 out
ipv6 filter dflt-list 100 out
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.1.1/24
ip dhcp binding dhcpv4-sv1
ip filter dhcp-c 1 in
ip filter d-list1 2 in
ip filter dhcp-s 1 out
ip filter all-rej 2 out
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
!
interface GigaEthernet2.0
ip address 192.168.2.1/24
ip dhcp binding dhcpv4-sv2
ip filter dhcp-c 1 in
ip filter d-list1 2 in
ip filter dhcp-s 1 out
ip filter lan2dmz-filter 2 out
ip filter dmz-icmp-filter 3 out
ip filter dmz-80-filter 4 out
ip filter dmz-443-filter 5 out
ip filter all-rej 99 out
no shutdown
!
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination TUNNEL-DESTINATION-ADDRESS
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ip nat enable
ip nat static 192.168.2.1 111.111.111.0 この例ではルータに割り当てています。ipsecVPNや外部からルータのtelnetやsshでの管理する場合必要です。不要ならこの行は削除できます。
ip nat static 192.168.2.2 111.111.111.1 サーバ公開1台目
ip nat static 192.168.2.3 111.111.111.2 サーバ公開2台目
ip nat static 192.168.2.4 1111.111.111.3 サーバ公開3台目
ip nat static 192.168.2.5 1111.111.111.4 サーバ公開4台目
ip nat static 192.168.2.6 111.111.111.5 サーバ公開5台目
ip nat static 192.168.2.7 1111.111.111.6 サーバ公開6台目
ip nat static 192.168.2.8 1111.111.111.7 サーバ公開7台目。IP8契約の場合ここが最後です。
ip napt enable
ip napt address 111.111.111.0 社内LANが外部にアクセスするときのIPアドレス
no shutdownDHCP-pd方式の設定例
ネクストでひかり電話あり契約でONU直結する場合と、光クロス10GでONU直結する場合はDHCP-pd方式です。上位からはIPv6アドレスが/56で降ってきます。GE0にはIPv6アドレスが割り当てられず、GE1インタフェースに/64でIPv6アドレスが割り当てられます。必要があればGE2やGE3にもそれぞれ/64で割り当てることも出来ます。
ntp server 133.243.238.244 timeout 1024
!
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip dhcp enable
ip access-list all-rej deny ip src any dest any
ip access-list dhcp-c permit udp src any sport eq 68 dest any dport eq 67
ip access-list dhcp-s permit udp src any sport eq 67 dest any dport eq 68
ip access-list dmz-443-filter permit tcp src any sport any dest any dport eq 443
ip access-list dmz-80-filter permit tcp src any sport any dest any dport eq 80
ip access-list dmz-icmp-filter permit icmp src any dest any
ip access-list lan-filter permit ip src any dest any
ip access-list lan2dmz-filter permit ip src 192.168.1.0/24 dest any
ip access-list tunnel-napt permit ip src 192.168.1.0/24 dest any
ip access-list dynamic d-list1 access lan-filter
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
!
proxy-dns ip enable
proxy-dns ip request both
!
ddns enable
!
ip dhcp profile dhcpv4-sv1
assignable-range 192.168.1.100 192.168.1.200
dns-server 192.168.1.1
!
ip dhcp profile dhcpv4-sv2
assignable-range 192.168.2.100 192.168.2.200
dns-server 192.168.2.1
!
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
!
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
!
ddns profile xpass-update
url UPDATE-SERVER-URL
query d=DDNS-ID&p=DDNS-PASSWORD&a=<IP6>&u=FQDN
account Basic-ID
password plain Basic-PASS
transport ipv6
notify-interface GigaEthernet1.0
source-interface GigaEthernet1.0
update-interval 10
!
interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 traffic-class tos 0
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter tunnel-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter tunnel-list 3 out
ipv6 filter dflt-list 100 out
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.1.1/24
ip dhcp binding dhcpv4-sv1
ip filter dhcp-c 1 in
ip filter d-list1 2 in
ip filter dhcp-s 1 out
ip filter all-rej 2 out
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
!
interface GigaEthernet2.0
ip address 192.168.2.1/24
ip dhcp binding dhcpv4-sv2
ip filter dhcp-c 1 in
ip filter d-list1 2 in
ip filter dhcp-s 1 out
ip filter lan2dmz-filter 2 out
ip filter dmz-icmp-filter 3 out
ip filter dmz-80-filter 4 out
ip filter dmz-443-filter 5 out
ip filter all-rej 99 out
no shutdown
!
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination TUNNEL-DESTINATION-ADDRESS
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ip nat enable
ip nat static 192.168.2.1 111.111.111.0 この例ではルータに割り当てています。ipsecVPNや外部からルータのtelnetやsshでの管理する場合です。不要ならこの行は削除します。
ip nat static 192.168.2.2 111.111.111.1 サーバ公開1台目
ip nat static 192.168.2.3 111.111.111.2 サーバ公開2台目
ip nat static 192.168.2.4 1111.111.111.3 サーバ公開3台目
ip nat static 192.168.2.5 1111.111.111.4 サーバ公開4台目
ip nat static 192.168.2.6 111.111.111.5 サーバ公開5台目
ip nat static 192.168.2.7 1111.111.111.6 サーバ公開6台目
ip nat static 192.168.2.8 1111.111.111.7 サーバ公開7台目。IP8契約の場合ここが最後です。
ip napt enable
ip napt address 111.111.111.0 社内LANが外部にアクセスするときのIPアドレス
no shutdownほか
RA方式でGE1インタフェースのIPv6アドレスは上記CONFIGではMACアドレスから生成されますが、::1を指定したいとき下位64bitを指定もできます。
interface GigaEthernet1.0
ipv6 interface-identifier 00:00:00:00:00:00:00:01RAをDHCP-pdに変更するとき
RAとDHCP-pdの違いは次の点のみです。DHCP-pdでIPv6アドレスの指定はia-pd subscriberコマンドを使います。
IPv6アドレスはMACアドレスから生成する場合です。
ipv6 dhcp client-profile dhcpv6-cl
no information-request
ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
interface GigaEthernet0.0
no ipv6 nd proxy GigaEthernet1.0DHCP-pdでIPv6アドレスに::1を指定したい場合
ipv6 dhcp client-profile dhcpv6-cl
no information-request
ia-pd subscriber GigaEthernet1.0 ::1/64
interface GigaEthernet0.0
no ipv6 nd proxy GigaEthernet1.0telnetで管理する必要がある時
telnetを有効化するときはルータのパスワードは忘れずに設定してください。
ユーザadminの登録
enable
username admin password plain [NEW-PASSWORD] administrator
パスワード変更(現在ログイン中のユーザのパスワード変更)
password [OLD-PASSWORD] [NEW-PASSWORD]
telnetサーバ有効化とtelnet許可範囲をアクセスリストに設定
ip access-list console permit ip src 192.168.1.0/24 dest any
ip access-list console deny ip src any dest any
telnet-server ip access-list console
telnet-server ip enable
ipv6でも管理したいとき
ipv6 access-list console permit ip src x:x:x:x:x:x:x:x/128 dest any
ipv6 access-list console deny ip src any dest any
telnet-server ipv6 access-list console
telnet-server ipv6 enable
interface GigaEthernet0.0
ipv6 filter console 4 in
最後に保存
write memoryビジネス利用でLAN内のPCにIPv6アドレスを配布したくないとき
上記ConfigではLAN内のPCにIPv6アドレスが配布されます。ビジネス利用でセキュリティ面からLAN内にはIPv6アドレスを配布したくないときもあるかと思います。その場合はさらに次の内容をコピペしてください。
interface GigaEthernet1.0
no ipv6 dhcp server dhcpv6-sv
no ipv6 nd ra enable
no ipv6 nd ra other-config-flagDHCP-pdで/56が降ってくるので、GE1だけでなくGE2やGE3でもIPv6を使いたい場合
それぞれのセグメントにIPv6を割り当てるには次のようにします。IPv6のフィルタは必要に応じて別途考慮してください。(NECサイトのFAQページ参照)
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber GigaEthernet1.0 ::1:0:0:0:1/64
ia-pd subscriber GigaEthernet2.0 ::2:0:0:0:1/64
ia-pd subscriber GigaEthernet3.0 ::3:0:0:0:1/64
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
ipv6 dhcp server-profile dhcpv6-sv2
dns-server dhcp
ipv6 dhcp server-profile dhcpv6-sv3
dns-server dhcp
interface GigaEthernet1.0
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
interface GigaEthernet2.0
ipv6 enable
ipv6 dhcp server dhcpv6-sv2
ipv6 nd ra enable
ipv6 nd ra other-config-flag
interface GigaEthernet3.0
ipv6 enable
ipv6 dhcp server dhcpv6-sv3
ipv6 nd ra enable
ipv6 nd ra other-config-flagDDNS設定箇所はわかりにくい部分ですので、具体的にもう少し詳しく説明します
たとえば
FQDN=DDNS-ID=abcdef.v4v6.xpass.jp
DDNS-PASSWORD=ghijkl
Basic-ID=mnopqr
Basic-PASS=stuvwx
UPDATE-SERVER-URL=https://ddnsweb1.ddns.vbbnet.jp/cgi-bin/ddns_api.cgi
のユーザ情報を受け取った方の場合、DDNSのセクションは次のようになります。 <IP6> の箇所は置き換えるのではなくそのまま入力してください。
!
ddns profile xpass-update
url https://ddnsweb1.ddns.vbbnet.jp/cgi-bin/ddns_api.cgi
query d=abcdef.v4v6.xpass.jp&p=ghijkl&a=<IP6>&u=abcdef.v4v6.xpass.jp
account mnopqr
password plain stuvwx
transport ipv6
notify-interface GigaEthernet1.0
source-interface GigaEthernet1.0
update-interval 10
!動作確認
NEC IXシリーズは、インタフェースに機器が接続してUPしていないとIPアドレスが割当たりませんので、設定中はLAN側(GE1)とDMZ側(GE2)に何か接続してリンクUP状態にします。LAN側(GE1)がリンクDOWNしているとインターネット通信ができなくなります。
*DDNSの手動実行
Router(config)# ddns update*インタフェースへのIPv6アドレス割当を確認 RA方式
上位から降ってくるIPv6アドレスが/64でこれ以上分割できませんので、IPv6アドレスはローカルLAN側になるインターフェースGE1にのみ割り当てています。WAN側のGE0には割り当てていません。
Router# show ipv6 address
Interface GigaEthernet0.0 is up, line protocol is up
Link-local address(es):
fe80::xxxx:xxxx:xxxx:xxxx prefixlen 64
fe80:: prefixlen 64 anycast
Multicast address(es):
ff02::1
ff02::2
ff02::1:2
ff02::1:xxxx:0
ff02::1:xxxx:xxxx
Interface GigaEthernet1.0 is up, line protocol is up
Global address(es):
2001:xxxx:xxxx:xxxx:xxxx:xxxx prefixlen 64
2001:xxxx:xxxx:xxxx:: prefixlen 64 anycast
Link-local address(es):
fe80::1 prefixlen 64
fe80:: prefixlen 64 anycast
Multicast address(es):
ff02::1
ff02::2
ff02::1:2
ff02::1:ff00:0
ff02::1:ff00:1
Interface Loopback0.0 is up, line protocol is up
Orphan address(es):
::1 prefixlen 128
Interface Loopback1.0 is up, line protocol is up
Interface Null0.0 is up, line protocol is up
Interface Null1.0 is up, line protocol is up*インタフェースへのIPv6アドレス割当確認 DHCP-pd方式
上位から降ってくるIPv6アドレスが/56で、IPv6アドレスをローカルLAN側になるインターフェースGE1に/64で割り当てています。
Router# show ipv6 address
Interface GigaEthernet0.0 is up, line protocol is up
Global address(es):
2001:xxxx:xxxx:xxxx:: prefixlen 56 anycast
Link-local address(es):
fe80::xxxx:xxxx:xxxx:xxxx prefixlen 64
fe80:: prefixlen 64 anycast
Multicast address(es):
ff02::1
ff02::2
ff02::1:2
ff02::1:xxxx:0
ff02::1:xxxx:xxxx
Interface GigaEthernet1.0 is up, line protocol is up
Global address(es):
2001:xxxx:xxxx:xxxx:xxxx:xxxx prefixlen 64
Valid lifetime 14366, preferred lifetime 12566
2001:xxxx:xxxx:xxxx:: prefixlen 64 anycast
Link-local address(es):
fe80::1 prefixlen 64
fe80:: prefixlen 64 anycast
Multicast address(es):
ff02::1
ff02::2
ff02::1:2
ff02::1:xxxx:0
ff02::1:xxxx:xxxx
Interface Loopback0.0 is up, line protocol is up
Orphan address(es):
::1 prefixlen 128
Interface Loopback1.0 is up, line protocol is up
Interface Null0.0 is up, line protocol is up
Interface Null1.0 is up, line protocol is up
*インタフェースのIPv4アドレス確認
複数固定IPではトンネルインタフェースはunnumberedになります。固定IP1でそのままトンネルインタフェースにIPアドレスが割り当てられるのとは違っています。
Router# show ip address
Interface GigaEthernet1.0 is up, line protocol is up
Internet address is 192.168.1.1/24
Broadcast address is 255.255.255.255
Address determined by config
Interface GigaEthernet2.0 is up, line protocol is up
Internet address is 192.168.2.1/24
Broadcast address is 255.255.255.255
Address determined by config
Interface Null0.0 is up, line protocol is up
Interface is unnumbered.
Interface Tunnel0.0 is up, line protocol is up
Interface is unnumbered. Using address of GigaEthernet2.0 (192.168.2.1)*疎通確認 IPv6
例はクロスパスの接続ポイントと、GoogleDNSです。>Google DNSのIPv6は2022年9月中旬からping6に応答しませんので他のサイトのIPv6アドレスで確認して下さい。
Router(config)# ping6 dgw.xpass.jp
Router(config)# ping6 2001:f60:0:200::1:1
Router(config)# ping6 2001:4860:4860::8888
*疎通確認 IPv4 (トンネルが通っているか)
Router(config)# ping 8.8.8.8接続テスト
こちらのページにアクセスして確認していただけます。IPv4アドレスの次の行のホスト名に、****.west.xps.vectant.ne.jp または ****.east.xps.vectant.ne.jp と表示されればOKです。
