VPN 対応高速アクセスルータ - NEC(Japan)...VPN 対応高速アクセスルータ UNIVERGE IXシリーズ設定事例集第10.1版（ソフトウェアVer.10.1対応）

VPN 対応高速アクセスルータ

UNIVERGE IX シリーズ

設定事例集第 10.1 版（ソフトウェア Ver.10.1 対応）

日本電気株式会社

はじめに本設定事例集では、IX2000 シリーズルータ（IX2105, IX2106, IX2207, IX2215）及び IX3000

シリーズルータ（IX3015, IX3110, IX3315）のソフトウェア機能設定について、簡潔に説明してい

ます。

各コマンドの詳細については、コマンドリファレンスマニュアルをご参照ください。

なお、本設定事例集は UNIVERGE IX シリーズ・ソフトウェア Ver.10.1 に対応しています。

IX2004 では Ver.8.0 以降、

IX2010, IX2015 では Ver.8.4 以降、



IX2025 では Ver.9.6 以降の機能・コマンドを実行することはできません。

ご注意

(1) 本書の内容の一部または全部を無断で転載することは禁止されています。

(2) 本書の内容については、将来予告なしに変更することがあります。

(3) 本書は内容について万全を期しておりますが、万一ご不審な点や誤り､記載漏れなどお気づきの点がありまし

たら、ご一報くださいますようお願い致します。

(4) 運用した結果については、(3)項に関わらずいかなる責任も負いかねますので、あらかじめご了承ください。

使用機種によるインタフェースの違いについて

このマニュアルで紹介しているネットワーク構成図と設定例は、IX2215 を基に記述しています

が、その他の機種でもインタフェース名を除き、設定時の考え方やコマンドは同じです。

IX2215 以外の機種を使った構成をこのマニュアルを参考にして行うときは、下記の対応表をも

とに実施してください。

なお、論理インタフェース（Loopback、Tunnel、など）は UNIVERGE IX シリーズで同じ名前

を使用します。

表 1. ポートとインタフェース名の対応表(1)

物理ポート名称 IX2215

インタフェース名

IX2105、IX2106


IX2207


GE0 ポート

（基本インタフェース） GigaEthernet0.0 GigaEthernet0.0 GigaEthernet0.0

GE0 ポート

（サブインタフェース） GigaEthernet0.[1-32] GigaEthernet0.[1-32] GigaEthernet0.[1-32]

GE1 ポート

（基本インタフェース） GigaEthernet1.0

GigaEthernet1.0

(SW-HUB) GigaEthernet1.0

GE1 ポート

（サブインタフェース） GigaEthernet1.[1-32]

GigaEthernet1.[1-32]

(SW-HUB) GigaEthernet1.[1-32]

GE2 ポート

（基本インタフェース）

GigaEthernet2.0

(SW-HUB) -

GigaEthernet2.0

(SW-HUB)

GE2 ポート

（サブインタフェース）


(SW-HUB) -


(SW-HUB)

GE3 ポート

（基本インタフェース） - - -

GE3 ポート

（サブインタフェース） - - -

GE4 ポート


GE4 ポート


GE5 ポート


GE5 ポート


BRI ポート BRI0.0 - -

USB ポート USB-Serial0.0 - USB-Serial0.0

USB-Serial1.0

表 2. ポートとインタフェース名の対応表(2)

（*1）IX3015 のスロット 2 に「4BRI-ST カード」実装時

（*2）IX3015 のスロット 2 に「T1 カード」実装時

（*3）IX3315 のみサブインタフェース数を system subinterfaces コマンドで拡張可能

物理ポート名称 IX2215


IX3015


IX3110


IX3315


GE0 ポート

（基本インタフェース） GigaEthernet0.0 FastEthernet0/0.0 GigaEthernet0.0 GigaEthernet0.0

GE0 ポート

（サブインタフェース） GigaEthernet0.[1-32] FastEthernet0/0.[1-32] GigaEthernet0.[1-32]


（*3）

GE1 ポート

（基本インタフェース） GigaEthernet1.0 FastEthernet0/1.0 GigaEthernet1.0 GigaEthernet1.0

GE1 ポート

（サブインタフェース） GigaEthernet1.[1-32] FastEthernet0/1.[1-32] GigaEthernet1.[1-32]


（*3）

GE2 ポート

（基本インタフェース）

GigaEthernet2.0

(SW-HUB)

FastEthernet1/0.0

(SW-HUB) GigaEthernet2.0 GigaEthernet2.0

GE2 ポート

（サブインタフェース）


(SW-HUB)

FastEthernet1/0.[1-32]

(SW-HUB) GigaEthernet2.[1-32]


（*3）

GE3 ポート

（基本インタフェース） - - GigaEthernet3.0 GigaEthernet3.0

GE3 ポート

（サブインタフェース） - - GigaEthernet3.[1-32]


（*3）

GE4 ポート


GigaEthernet4.0

(SW-HUB)

GE4 ポート



(SW-HUB)（*3）

GE5 ポート


GigaEthernet5.0

(SW-HUB)

GE5 ポート



(SW-HUB)（*3）

BRI ポート BRI0.0 BRI2/0.0（*1）

Serial2/0.0（*2） - -

USB ポート USB-Serial0.0 - - USB-Serial0.0

目次 i

目次

１．IPv4設定１．１２つのLANを接続する（ローカルルータ） ·············· 1-3

１．２経路制御情報を手動で設定する ···················· 1-4

１．３セカンダリアドレスを使用する ···················· 1-5

１．４マルチパスによる負荷分散を行う ··················· 1-6

１．５プロキシARPを使用する ······················ 1-8

１．６経路制御にRIPv2を使用する ····················· 1-10

１．７経路制御にRIPv1を使用する ····················· 1-12

１．８直接接続している経路を再配信する（RIPv2） ············· 1-14

１．９パッシブ・インタフェースを設定する（RIPv2） ············ 1-16

１．１０デフォルト・ルートを広告する（RIPv2） ··············· 1-18

１．１１ RIP経路フィルタリング ······················· 1-20

１．１２ブロードキャストバケットの送信許可設定 ··············· 1-22

２．IPv6設定２．１２つのLANを接続する（ローカルルータ） ·············· 2-2

２．２端末にIPv6アドレスを自動設定する ················· 2-3

２．３経路制御情報を手動で設定する ···················· 2-4

２．４経路制御にRIPngを使用する ····················· 2-5

２．５直接接続している経路を再配信する（RIPng） ············· 2-7

２．６パッシブ・インタフェースを設定する（RIPng） ············ 2-9

２．７デフォルト・ルートを広告する（RIPng） ··············· 2-11

２．８ IPv6インターネット接続サービスを利用する（PPPoE方式） ······ 2-13

３．NAT/NAPT設定３．１動的NATを使用する ························ 3-2

３．２動的NATでグローバルアドレスを使い分ける ············· 3-4

３．３静的NATを使用する ························ 3-6

３．４静的NATネットワーク指定を使用する ················ 3-7

３．５ NAPTを使用する ·························· 3-8

３．６ NAPTでグローバルアドレスを使い分ける ··············· 3-9

３．７サーバを外部に公開する ······················· 3-11

３．８ VPNパススルー設定 ························ 3-13

４．DHCP設定４．１ DHCPサーバ機能を使用する ····················· 4-2

４．２ CATVインターネットに接続する ··················· 4-4

４．３ DHCPリレーエージェント機能を使用する ··············· 4-6

５．IPsec/IKE設定５．１手動鍵を使ってIPsecトンネルを構築する（IPv4） ··········· 5-6

５．２自動鍵（IKE）を使ってIPsecトンネルを構築する（IPv4） ······· 5-9

５．３手動鍵を使ってIPsecトンネルを構成する（IPv6） ··········· 5-13

５．４自動鍵（IKE）を使ってIPsecトンネルを構成する（IPv6） ······· 5-16

５．５ IPsecトランスポート・モードを使用する（IPv4） ··········· 5-20

５．６ IPsecとNATを同時に使用する ···················· 5-23

ii 目次

５．７ IPsecを使ったIPv6 over IPv4トンネリング ·············· 5-27

５．８ IPsecを使ったIPv4 over IPv6トンネリング ·············· 5-30

５．９ IPsecトンネルの状態を監視する ··················· 5-33

６．静的フィルタ設定６．１ HTTPリクエストのみ通信を許可する ················· 6-2

６．２特定の送信元のTelnetのみ通信を許可する··············· 6-4

６．３ ICMP echoパケットを廃棄する ··················· 6-6

６．４外部から開始されるTCP通信を拒否する ··············· 6-8

６．５特定のフィルタにより廃棄したパケットのログを抑制する ········ 6-10

７．動的フィルタ設定７．１外部からの接続要求を全て遮断する（IPv4） ············· 7-3

７．２外部からの接続要求を全て遮断する（IPv6） ············· 7-5

７．３ DMZ（非武装セグメント）を構築する ················ 7-7

７．４ DMZ（非武装セグメント）を構築する（専用線接続） ········· 7-9

８．IPトンネリング設定８．１ IPv6 over IPv4トンネル ······················ 8-2

８．２ IPv4 over IPv6トンネル ······················ 8-5

８．３ IPv4 over IPv4トンネル ······················ 8-8

８．４ IPv6 over IPv6トンネル ······················ 8-11

９．PPPoE設定９．１ PPPoEで端末型接続を行う ····················· 9-2

９．２ PPPoEでネットワーク型接続を行う ················· 9-4

９．３ TCP MSS調整機能を使用する ···················· 9-5

９．４ PPPoE接続でトンネリングを使用する（端末型接続） ········· 9-7

９．５ PPPoE接続でトンネリングを使用する（ネットワーク型接続） ····· 9-10

９．６ PPPoE接続（ネットワーク型接続）で複数のネットワークを収容する ·· 9-13

１０．専用線設定１０．１専用線を使ってLAN間を接続する（IPv4） ·············· 10-2

１０．２専用線を使ってLAN間を接続する（IPv6） ·············· 10-4

１１．ポリシールーティング設定１１．１端末毎に異なるプロバイダと接続する ················· 11-2

１１．２アプリケーション毎に経路を分ける ·················· 11-5

１１．３端末ごとに経路を分ける（IPv6） ·················· 11-7

１１．４ DNSルーティング ························· 11-9

１２．QoS設定１２．１ PQとカラーリング設定 ······················· 12-8

１２．２ CBQとカラーリング設定 ······················ 12-13

１２．３ LLQとカラーリング設定（CoS値） ················· 12-16

１２．４インタフェース毎に優先制御を行う ·················· 12-20

１２．５ BRI回線でVoIP QoSを使用する ··················· 12-23

１２．６イーサネット回線でVoIP QoSを使用する（シェーピング設定） ····· 12-26

１２．７ IEEE802.1Qタグ回線でVoIP QoSを使用する ············ 12-29

１２．８ PQとカラーリング設定（CoS値） ·················· 12-35

目次 iii

１２．９ CoS値に応じた優先制御 ······················· 12-39

１２．１０特定のHUBポートで受信したフレームを優先してWAN回線に送信する · 12-41

１２．１１複数対地へのQoS（優先/帯域制御）設定例（IPsecなし） ······ 12-45

１２．１２複数対地へのQoS（優先/帯域制御）設定例（IPsecあり） ······ 12-51

１２．１３ EtherIPトンネル内でPQによる優先制御を行う ··········· 12-60

１３．管理・メンテナンス１３．１ SNMPエージェント機能を使用する·················· 13-4

１３．２ SNTPクライアント機能を使用する ·················· 13-7

１３．３ SYSLOG機能を使用する ······················ 13-8

１３．４ IPv6 SNMPエージェント機能を使用する ··············· 13-11

１３．５ポートミラーリング機能を使用して送受信するトラフィックをモニタする · 13-14

１３．６ IDS機能を利用する ························· 13-15

１４．OSPFv2 １４．１バックボーン・エリアを構築する ··················· 14-2

１４．２複数のエリアを構築する ······················· 14-5

１４．３バーチャル・リンクを構築する ···················· 14-7

１４．４デフォルトルートを広告する ····················· 14-9

１４．５直接接続している経路を再配信する ·················· 14-11

１４．６スタティックルートの再配信を行う ·················· 14-13

１４．７スタブエリアを構築する ······················· 14-15

１４．８特定のエリアをNSSAに設定する ··················· 14-18

１４．９パッシブインタフェースを設定する ·················· 14-22

１４．１０外部経路フィルタリング ······················ 14-24

１５．VLANタギング１５．１ VLANタギングを使用する ······················ 15-2

１５．２サブネット毎に異なる経路を使用する ················· 15-4

１６．ISDN設定１６．１ ISDNを使ってインターネットに接続する ··············· 16-3

１６．２フローティング・スタティックを使ったISDN迂回構成 ········· 16-6

１６．３フローティング・スタティックを使ったISDN迂回構成（MLPPP） ··· 16-10

１６．４複数対地とのISDN迂回構成 ····················· 16-14

１６．５ INS1500を使用した複数対地とのISDN迂回構成 ··········· 16-21

１６．６ネットワークモニタを使用した複数対地とのISDN迂回構成 ······· 16-28

１６．７ 4BRI-STカードを使用した複数対地とのISDN迂回構成 ········· 16-34

１６．８代表電話番号を使用した複数対地とのISDN迂回構成 ·········· 16-39

１６．９ ISDN2回線でのマルチリンクPPP構成 ················ 16-43

１６．１０ ISDNを使用したRAS(リモートアクセスサービス)接続 ········ 16-46

１６．１１リモートからのISDN接続を契機に経路を変更する ·········· 16-49

１７．VRRP, ネットワークモニタ設定１７．１ホスト監視による冗長構成 ······················ 17-6

１７．２ホスト監視を使ったISDN迂回構成 ·················· 17-10

１７．３ホスト監視を使ったISDN迂回構成（複数ルートの隠蔽） ········ 17-15

１７．４経路監視とVRRPによるISDN迂回構成 ················ 17-20

１７．５ホスト監視とVRRPによるISDN迂回構成 ··············· 17-25

１７．６ VRRPによる負荷分散構成を構築する ················· 17-28

iv 目次

１７．７ IPv6 over IPv4トンネル冗長構成 ·················· 17-32

１７．８ 2種類のVPNサービスを組み合わせて相互にバックアップ ········ 17-37

１７．９伝送遅延（RTT）監視による冗長構成 ················ 17-46

１７．１０パケットロス率監視による冗長構成 ················· 17-49

１７．１１ IPv4とIPv6の混在ネットワークでVRRPv2/v3を併用する ······ 17-55

１７．１２経路監視とVRRPによるインターネット接続の冗長構成 ········ 17-61

１８．IPsecを用いたインターネットVPN設定１８．１ 2拠点間でのインターネットVPN ··················· 18-2

１８．２動的アドレス環境でのインターネットVPN ·············· 18-6

１８．３ IPsecトンネルのタンデム接続（拠点-拠点間通信，固定IP） ······· 18-11

１８．４ LAN型接続（PPPoE）でのインターネットVPN ············ 18-18

１８．５ IPsecトンネルでルーティングプロトコルを使用する（固定アドレス） ·· 18-22

１８．６ IPsecトンネルでルーティングプロトコルを使用する（動的アドレス） ·· 18-28

１８．７ VRRPによるIPsecトンネルの冗長化 ················· 18-34

１８．８ VRRP仮想IPアドレスを使用したIPsecトンネルの冗長化 ········ 18-41

１８．９ IPsecトンネル経由でインターネットに接続する（固定アドレス） ···· 18-48

１８．１０ IPsecトンネル経由でインターネットに接続する（動的アドレス：PPPoE） 18-52

１８．１１ IPsecトンネル経由でインターネットに接続する（動的アドレス：DHCP） · 18-57

１８．１２ IPsecトンネル経由でインターネットに接続する（ISDN迂回有り） ··· 18-63

１８．１３インターネットVPNでのISDNバックアップ設定例 ·········· 18-68

１８．１４インターネットVPN（優先/帯域制御）設定例 ············ 18-78

１８．１５動的アドレス（DHCP）環境でのインターネットVPN ········ 18-83

１８．１６ GREトンネルをIPsecトランスポートモードでカプセル化する ····· 18-88

１８．１７ L2サービスとインターネットVPNでの相互バックアップ構成 ····· 18-96

１８．１８ IPsec NATトラバーサル機能を使用する ·············· 18-106

１８．１９ IPv6サービスを利用したインターネットVPN（IPoE方式、ひかり電話未契約時） ··· 18-111

１８．２０ IPv6サービスを利用したインターネットVPN（IPoE方式、ひかり電話契約時） ··· 18-117

１８．２１ IPv6サービスを利用したインターネットVPN（PPPoE方式） ·········· 18-124

１８．２２ダイナミックDNSを利用したIPsec接続（IKEv1） ·········· 18-131

１９．ポートベースVLAN設定１９．１ポートベースVLANを使用する ···················· 19-5

１９．２ポートベースVLANとタグVLANの併用 ··············· 19-8

２０．BGP4設定２０．１ eBGPの設定例 ··························· 20-3

２０．２ iBGPの設定例 ··························· 20-5

２０．３外部経路の再配信を行う ······················· 20-8

２０．４ BGP使用時のISDNバックアップ構成 ················· 20-10

２０．５ MED値による負荷分散 ······················· 20-14

２０．６ ASパスプリペンドによる経路制御 ·················· 20-17

２０．７ローカルプリファレンスによる経路制御 ················ 20-20

２０．８ BGPとOSPFの境界ルータとして使用する ·············· 20-23

２０．９ BGPルートリフレクタを使用した構成 ················ 20-25

２０．１０ BGPルートリフレクタを使用した冗長構成 ············· 20-28

２１．IPマルチキャスト設定２１．１ IPv4マルチキャスト通信を行う ··················· 21-3

２１．２ IPv6マルチキャスト通信を行う ··················· 21-4

２１．３ IPv4マルチキャスト通信をIPsecトンネルモードでカプセル化する ···· 21-5

目次 v

２１．４ IPv4マルチキャスト通信をIPv4 over IPv4でカプセル化する ······ 21-7

２１．５ IPv6マルチキャスト通信をIPv6 over IPv4でカプセル化する ······ 21-9

２１．６マルチキャストスタティック設定 ··················· 21-11

２１．７マルチキャスト・ルーティング機能（PIM-SM）を利用する ······· 21-12

２１．８マルチキャストグループごとにランデブーポイントを使い分ける ····· 21-16

２１．９インターネットVPNでPIM-SMを利用する ·············· 21-22

２２．GRE設定２2．１ GREトンネリング ·························· 22-2

２2．２ GREキープアライブによるISDN迂回構成 ··············· 22-4

２2．３ GREキープアライブによるISDN迂回構成（LAN型接続、PPPoE） ··· 22-8

２３．T1設定２３．１デジタル専用線（1.5Mbps）を使ってLAN間を接続する ········ 23-2

２３．２専用線多重機能を使って複数のLAN間を接続する ··········· 23-4

２３．３本装置をDCEとして使用する ···················· 23-7

２４．AAA/RADIUSクライアント設定２４．１ログインユーザを管理・記録する ··················· 24-3

２４．２ログインユーザを管理・記録する（RADIUSサーバ） ·········· 24-4

２４．３ PPP接続ユーザを管理・記録する（RADIUSサーバ） ········· 24-7

２４．４ PPP接続ユーザを管理・記録する（RADIUSサーバ冗長構成） ····· 24-11

２５．ブリッジ設定２５．１トランスペアレントブリッジを使用する ················ 25-2

２５．２ブルータを使用して非IPプロトコルをブリッジ転送する ········· 25-4

２５．３ブルータとQoS（PQ）を使用する ·················· 25-7

２５．４ PPPoEブリッジを使用する ····················· 25-12

２５．５ポート間転送抑止機能を使用する ··················· 25-15

２6．OSPFv3設定２６．１バックボーンエリアを構築する ···················· 26-2

２６．２複数のエリアを構築する ······················· 26-5

２６．３ RIPng経路の再配信を行う ······················ 26-7

２７．EtherIP設定２７．１ EtherIPで2拠点間を接続する ···················· 27-2

２７．２ EtherIPとIPsecを併用して2拠点間を接続する ············· 27-6

２７．３ EtherIPをIPsecでカプセル化する（固定アドレス） ·········· 27-10

２７．４ EtherIPをIPsecでカプセル化する（動的アドレス） ·········· 27-14

２７．５ EtherIPトンネルを冗長化する ···················· 27-18

２７．６複数のEtherIPトンネルをグループ分けする ·············· 27-24

２７．７ブリッジ環境でのTCP MSS調整とIPフィルタ ············· 27-28

２７．８複数のセグメントを異なるEtherIPトンネルに収容する ········· 27-32

２７．９複数のVLANタグ付きフレームを1つのEtherIPトンネルで透過する ··· 27-38

２７．１０ VRRP仮想IPアドレスを使用してEtherIPトンネルを冗長化する ···· 27-42

２７．１１ EtherIPトンネルで接続する拠点間の通信を制限する ········· 27-49

２７．１２ IPv6インターネット上でEtherIPを利用する（PPPoE方式） ····· 27-56

２７．１３ダイナミックDNSを利用したIPsec接続（EtherIP） ········· 27-60

２７．１４ Ethernet over GREで2拠点間を接続する ············· 27-66

vi 目次

２７．１５異なるVLANを複数のEthernet over GREトンネルに収容する ···· 27-70

２７．１６ IKEv2を使用してEtherIP over IPsecトンネルを接続する ······ 27-75

２７．１７ L2VPNを利用した遠隔ポートミラーリング ············· 27-80

２８．端末認証設定２８．１ MACアドレスベースでのdot1x認証を行う ·············· 28-2

２８．２ブリッジモードでdot1x認証を行う ·················· 28-4

２８．３ MACアドレス認証機能を使用する ·················· 28-9

２８．４ IEEE802.1X機能を使用して検疫ネットワークを構築する ······· 28-11

２9．NGN設定２９．１ NGN回線を使用して拠点間接続を行う ················ 29-2

２９．２ホスト監視を使ったNGN迂回構成 ·················· 29-7

２９．３ NGN回線を使用しての冗長構成 ··················· 29-14

２９．４ NGN回線を使用して音声通信とデータ通信を併用する ········· 29-21

２９．５ NGN回線での優先制御（PQ）設定例 ················· 29-26

２９．６ NGN回線を使用して拠点間接続を行う（IKEv2） ··········· 29-35

２９．７データコネクトでRADIUS認証を利用する ··············· 29-40

３０．IKEv2設定３０．１ 2拠点間でのインターネットVPN（IKEv2）·············· 30-2

３０．２動的アドレス環境でのインターネットVPN（IKEv2） ········· 30-6

３０．３ IKEv2を使用してIPv4/IPv6デュアルスタックのトンネル接続を行う ··· 30-12

３０．４ IPv6インターネット上でIKEv2を利用する（IPoE方式、ひかり電話契約時） ·· 30-16

３０．５ IPv6インターネット上でIKEv2を利用する（PPPoE方式） ······· 30-21

３０．６ IPsecトンネル（IKEv2）経由でインターネットに接続する ······· 30-22

３０．７ IKEv2を使用してGRE over IPsecトンネルを接続する ········· 30-27

３１．リンクアグリゲーション設定３１．１リンクアグリゲーションによる冗長構成 ················ 31-2

３２．ワイヤレスWAN設定３２．１データ通信端末を利用したインターネットVPN ············ 32-2

３２．２インターネットVPNでのモバイル回線バックアップ ·········· 32-9

３２．３データ通信端末同士でインターネットVPNを構築する（DDNS） ···· 32-19

３２．４複数のモバイル回線に同時接続し、回線の品質により経路を切り替える ·· 32-26

３３．L2TP/IPsec設定３３．１ L2TP/IPsecを用いたリモート接続 ·················· 33-2

３３．２ L2TP/IPsecを用いたリモート接続（RADIUSサーバ併用） ······· 33-7

３４．スケジューラ設定３４．１スケジューラ機能を利用して消費電力を削減する ············ 34-2

３４．２ USBメモリに定期的に装置ログを保存する ·············· 34-5

３４．３ Wake on LAN機能を使い、決められた時間に端末を自動起動する ···· 34-7

３５．ダイナミックVPN設定３５．１ダイナミックVPN機能を利用して、拠点間のVPNを動的に接続する ··· 35-2

３５．２ダイナミックVPNの冗長構成(センタ機器の冗長化) ··········· 35-10

目次 vii

３５．３ダイナミックVPNの冗長構成(センタ機器と拠点回線の冗長化) ······ 35-23

３５．４拠点～センタ間の経路情報をスタティックルートで制御する ·········· 35-38

３５．５拠点～センタ間の経路情報をスタティックルートで制御する(センタ機器の冗長化) · 35-44

３５．６ IPv6サービスを利用したダイナミックVPN（IPoE方式、ひかり電話未契約時） ·· 35-56

３６．VRF-Liteの設定３６．１ VRF-Liteの設定 ·························· 36-2

３６．２ VRF-Lite機能を利用して、複数拠点間VPNネットワーク接続を行う ··· 36-4

３６．３ VRF-LiteとVRRP機能による負荷分散を行う ············· 36-9

３６．４ VRF-Lite機能によりアドレス競合時にVPN接続を行う ········· 36-15

３６．５ VRF-Lite機能によりダイナミックVPN接続を行う ··········· 36-20

３７．URLフィルタの設定３７．１ URLフィルタ機能を利用して特定のサイトへの通信を制限する ····· 37-2

３８．URLオフロードの設定３８．１ Office 365向けの通信のみをオフロードさせる ············ 38-2

３８．２プロキシサーバ環境でOffice 365向けの通信のみをオフロードさせる······ 38-7

３９．NetMeisterの設定３９．１ NetMeisterを利用したリモート接続および装置管理 ·········· 39-2

３９．２ NetMeister（ダイナミックDNS）を利用したIPsec接続（IKEv2） ··· 39-5

３９．３ NetMeister（ダイナミックDNS）を利用したIPsec接続（ダイナミックVPN）

·································· 39-10

３９．４ NetMeisterを利用したURLオフロード ················ 39-20

４０．UTM機能の設定４０．１ UTM機能を有効にしたインターネット接続 ·············· 40-2

４０．２ UTM機能を有効にしたインターネット接続（拠点間VPN構成時） ······· 40-6

viii 目次

IPv4設定 1-1

１．IPv4 設定

Ver.2 の変更点

セカンダリアドレス設定が可能になりました。事例1.3 項を参照ください。 IP アンナンバードに設定されたインタフェースから出力するパケットのソースアドレス

指定が可能になりました。

IPv4 インタフェースのMTUサイズ変更が可能になりました。 RIP に下記の機能を追加しました。

RIP パケットをユニキャストアドレス宛に送信する機能自分の有する経路情報を集約してRIP 広告する機能（RIPv2のみ） RIP パケットの送信間隔や、経路消失と判定するまでの間隔を変更する機能

Ver.3 の変更点

OSPFv2で入手した経路情報のRIP による再配信に対応しました。スタティックルートのマルチパスに対応しました（Ver.3.0.12 以降、マルチパス振り分

け方法はパケット単位のみ）

Ver.4 の変更点

プロキシARP機能を追加しました。スタティックルートのマルチパスの振り分け方法として、フロー単位（IPパケットの始点

/終点アドレス、次プロトコルの組で識別）を追加しました。

RIP コマンド体系を、OSPFv2と同様「ルータ・コンフィグモード」で設定する方式に変更しました（Ver.3 で作成したコンフィグは、自動的に引き継ぎ処理が行われます）。

TCP MSS 自動調整に対応しました。本機能を使用することにより、Pass-MTU-Black-Hole 問題を回避することができます（使用例は9章に記載します）。

Ver.5.1 の変更点

クラスレスアドレスを使って設計されたネットワークで本装置の RIPv1 を動作させると、存在しない経路情報を隣接ルータに配信してしまう問題を改善しました。

既に Cisco ルータなどを使って RIPv1 による経路制御を行っているネットワークに本装

置を導入しても、ルーティングテーブル異常による通信障害を回避できます。


強制フラグメント機能（ip forced-fragment コマンド）を追加しました。出力回線の MTU長よりも大きな IPv4パケットを転送する際に、そのパケットに DFビ

ットがセットされていたとしても、強制的にフラグメントして送信することができます。

1-2 IPv4設定


traceroute のソースアドレス指定（source オプション）が可能になりました。 no interface コマンドの実行により、該当インタフェースが show running-config に

表示されなくなります。

IPv4設定 1-3

１．１２つの LANを接続する（ローカルルータ）

GE0 ポートを 192.168.1.0/24 のネットワークに、GE1 ポートを 192.168.2.0/24 のネット

ワークに接続し、お互いに通信できるように設定します。

■設定手順 GE0ポートとGE1ポートそれぞれに IP アドレスを設定することで、LAN間通信が可能になりま

す。

IP の設定は、GE0 はインタフェース GigaEthernet0.0 に、GE1 はインタフェース

GigaEthernet1.0 に行います。デフォルト設定時、各インタフェースはシャットダウンされています

ので、通信に先立ちシャットダウン解除する必要があります。

■設定 [本装置の設定]

■解説 [本装置の設定] ip address 192.168.1.254/24

インタフェースに対する IPv4アドレス設定コマンド。/24はサブネットマスク長です。

no shutdown

インタフェースのシャットダウンを解除します。

Router# enable-config

Router(config)# interface GigaEthernet0.0

Router(config-GigaEthernet0.0)# ip address 192.168.1.254/24

Router(config-GigaEthernet0.0)# no shutdown

Router(config-GigaEthernet0.0)# interface GigaEthernet1.0



本装置

192.168.1.1

192.168.1.2

192.168.2.1

192.168.2.2

GE0

192.168.1.254

GE1

192.168.2.254

192.168.1.0/24 192.168.2.0/24

1-4 IPv4設定

１．２経路制御情報を手動で設定する

下図構成において、192.168.4.0/24 宛のパケットをルータ B に、それ以外のパケットをルータ

Aに転送するよう設定します。

■設定手順 192.168.4.0/24 宛のパケットをルータ B に転送する「スタティックルート」と、それ以外のパ

ケットをルータAに転送する「デフォルトルート」を設定します。

ここでは、GE2 を 192.168.1.0/24 のネットワークに、GE0 を 192.168.2.0/24 のネットワ

ークに接続した場合の設定例を記述します。


■解説 [本装置の設定] ip route 192.168.4.0/24 192.168.2.2

スタティックルート設定コマンドです。本設定により、192.168.4.0/24 宛のパケットは

192.168.2.2 のアドレスを持つルータBに転送されます。

ip route default 192.168.2.1

デフォルトルート設定コマンドです。


Router(config)# ip route 192.168.4.0/24 192.168.2.2

Router(config)# ip route default 192.168.2.1







GE2

192.168.1.254

192.168.2.0/24

ルータB

192.168.4.0/24

192.168.2.2

192.168.2.1

IPv4

ネットワークルータA

GE0

192.168.2.254

本装置

192.168.1.1

192.168.1.2

192.168.1.0/24

192.168.4.1

IPv4設定 1-5

１．３セカンダリアドレスを使用する

セカンダリアドレスは、インターネットに接続された本装置のメンテナンス用アドレスとして使用

したり、装置を運用しながら IPアドレスを変更したりするときに使用できます。

■設定手順 GE2側 IP アドレス設定時に、セカンダリアドレス設定を追加します。


■解説 [本装置の設定] interface GigaEthernet2.0

ip address 192.168.0.1/29 secondary

GE2（GigaEthernet2.0）に対し、セカンダリアドレスを設定します。




Router(config-GigaEthernet2.0)# ip address 192.168.0.1/29 secondary


本装置

172.16.10.0/24

192.168.0.0/29

GE2

プライマリ：172.16.10.254

セカンダリ：192.168.0.1

LAN（172.16.10.0)

管理用端末

（192.168.0.2）

1-6 IPv4設定

１．４マルチパスによる負荷分散を行う

同じメトリック値を持つスタティックルートを複数設定することにより、トラフィックの負荷分散

を実現できます。マルチパスにおけるパケットの振り分け方法は、パケット単位（パケット毎にラウ

ンドロビンで振り分け）とフロー単位（始点/終点アドレス、次プロトコルの組で振り分け）のどちら

かを選択可能です。

■設定手順マルチパス動作のデフォルト設定はパケット単位ですが、本例ではフロー単位に設定します。

■設定 [本装置(A)の設定]


Router(config)# ip route 10.10.20.0/24 192.168.2.2 metric 10


Router(config)# ip multipath per-flow










GE2

10.10.10.1 GE2

10.10.20.1

GE0

192.168.2.1

GE1

192.168.3.1

GE0

192.168.2.2

GE1

192.168.3.2

本装置(A)

10.10.10.0/24 10.10.20.0/24

本装置(B)

IPv4設定 1-7

[本装置(B)の設定]

■解説 [本装置(A)の設定] ip route 10.10.20.0/24 192.168.2.2 metric 10

ip route 10.10.20.0/24 192.168.3.2 metric 10

同じ宛先で経路の異なる2つのスタティックルートを、同じメトリック値に設定しています。

ip multipath per-flow

マルチパスの制御をフロー単位で行います。デフォルト設定はパケット単位（ip multipath

per-packet）です。


本装置(A)と同様の考え方で設定を行います。




Router(config)# ip multipath per-flow










1-8 IPv4設定

１．５プロキシARPを使用する

ネットワーク 10.1.1.0/24 に存在するホストと、その一部のネットワークアドレスを持つセグメ

ント（10.1.1.240/28）間で通信を可能にする場合、プロキシARP機能を使用します。

■設定手順本装置(A)の GE2（GigaEthernet2.0）に対して、本装置(B)の GE2（10.1.1.241）と端末

（10.1.1.242）に対するARPリクエストに応答するよう設定します。

GE0

192.168.2.1

GE2

10.1.1.241

GE0

192.168.2.2

GE2

10.1.1.1

10.1.1.0/24 10.1.1.240/28

本装置(A) 本装置(B)

10.1.1.242

IPv4設定 1-9



■解説 [本装置(A)の設定] ip route 10.1.1.241/32 192.168.2.2

ip route 10.1.1.242/32 192.168.2.2

別セグメントに存在する本装置(B)の GE2側、及びホストへの経路を設定します。

ip access-list arp-list permit ip src any dest 10.1.1.241/32

ip access-list arp-list permit ip src any dest 10.1.1.242/32

プロキシARP対象のトラフィックをアクセスリストで指定します。

interface GigaEthernet2.0

ip proxy-arp arp-list

プロキシARPを有効化します。アクセスリスト“arp-list”に相当するトラフィックに対し、本

装置(A)が ARPリプライを返します。

[本装置(B)の設定] ip route default 192.168.2.1

デフォルトルートの設定です。


Router(config)# ip route default 192.168.2.1










Router(config)# ip access-list arp-list permit ip src any dest 10.1.1.241/32

Router(config)# ip access-list arp-list permit ip src any dest 10.1.1.242/32



Router(config-GigaEthernet2.0)# ip proxy-arp arp-list





1-10 IPv4設定

１．６経路制御にRIPv2 を使用する

RIPv2によるダイナミックルーティングを行います。

■設定手順ネットワークを構成している各インタフェースでRIP を有効化します。




Router(config)# ip router rip

Router(config-ip-rip)# exit



Router(config-GigaEthernet0.0)# ip rip enable













GE0

192.168.1.1

本装置(A)

本装置(B)

本装置(C)

192.168.1.0/24 192.168.2.0/24

GE0

192.168.1.2

GE0

192.168.1.3

GE2

192.168.2.10

GE2

192.168.2.11

IPv4設定 1-11

[本装置(C)の設定]

■解説 [本装置(A)(B)(C)の設定] ip router rip

RIP を起動します。


ip rip enable


ip rip enable

本コマンドが設定されたインタフェースで、RIP 動作を開始します。本設定を入力したインタフ

ェースでは、デフォルト設定の場合、RIPv2の送受信を開始します。












1-12 IPv4設定

１．７経路制御にRIPv1 を使用する

RIPv1によるダイナミックルーティングを行います。

■設定手順本装置はデフォルトRIPv2で動作するため、RIPv1で動作するよう設定を行います。









Router(config-GigaEthernet0.0)# ip rip send version 1

Router(config-GigaEthernet0.0)# ip rip receive version 1

















GE0

192.168.1.1

本装置(A)

本装置(B)

本装置(C)

192.168.1.0/24 192.168.2.0/24

GE0

192.168.1.2

GE0

192.168.1.3

GE2

192.168.2.10

GE2

192.168.2.11

IPv4設定 1-13


■解説 [本装置(A)(B)(C)の設定] ip router rip


ip rip enable



ip rip send version 1

RIPv1で送信します。

ip rip receive version 1

RIPv1のみ受信します。
















1-14 IPv4設定

１．８直接接続している経路を再配信する（RIPv2）

RIPv2を話さないインタフェースのネットワーク情報をRIPv2で広告したい場合、直接経路の再配

信設定を行います。

■設定手順直接接続された経路（ダイレクト・ルート）の再配信は、redistribute connected コマンドを使用

します。

GE2

192.168.0.100

GE0

192.168.1.1

本装置(A)

192.168.0.0/24 192.168.1.0/24

GE2

192.168.1.2

GE0

192.168.2.10

本装置(B)

192.168.2.0/24

IPv4設定 1-15



■解説 [本装置(A)の設定] ip router rip

redistribute connected

本装置(A)の有するインタフェースのうち、RIP を起動していないが、状態がアップになっている

インタフェースのアドレスを、外部ルートとして広告します。この場合、インタフェース

“GigaEthernet2.0”が接続されているネットワークの情報が広告されます。


1.6 項と同じ設定です。














Router(config-ip-rip)# redistribute connected









1-16 IPv4設定

１．９パッシブ・インタフェースを設定する（RIPv2）

あるインタフェースで RIP を話さないが、そのインタフェースが属するネットワーク情報を隣接す

る RIP ルータへ広告したい場合、そのインタフェースを「パッシブ・インタフェース」に設定します

（直接経路の再配信と異なる点は、インタフェース毎にRIP 広告に含めるか否かを設定できる点です）。

■設定手順 RIP の送受信動作は、インタフェース毎に起動/停止設定が可能で、停止設定にすることにより「パ

ッシブ・インタフェース」となります。

GE2

192.168.0.100

GE0

192.168.1.1

本装置(A)

192.168.0.0/24 192.168.1.0/24

GE2

192.168.1.2

GE0

192.168.2.10

本装置(B)

192.168.2.0/24

IPv4設定 1-17




■解説 [本装置(A)の設定] interface GigaEthernet2.0

no ip rip send

no ip rip receive

RIP パケットの送受信動作を行いません。本設定により、そのインタフェースは「パッシブ・イ

ンタフェース」として動作します。











Router(config-GigaEthernet2.0)# no ip rip send

Router(config-GigaEthernet2.0)# no ip rip receive


1-18 IPv4設定

１．１０デフォルトルートを広告する（RIPv2）

デフォルトルートを広告して、各ネットワークからインターネット・アクセスできるように設定し

ます。

■設定手順デフォルトルートを生成設定は、最も出口に近いルータ（この場合は本装置(A)）で行います。



Router(config)# ip route default GigaEthernet0.1

Router(config)# ppp profile sample

Router(config-ppp-sample)# authentication myname [email protected]

Router(config-ppp-sample)# authentication password [email protected] password-1

Router(config-ppp-sample)# exit


Router(config-ip-rip)# originate-default







Router(config-GigaEthernet0.1)# ip address ipcp

Router(config-GigaEthernet0.1)# ppp binding sample

Router(config-GigaEthernet0.1)# ip napt enable


PPPoE

本装置(B)

192.168.1.0/24

192.168.2.0/24

GE2

192.168.1.1 GE0

192.168.2.11

本装置(A)

GE2

192.168.2.10 GE0(PPPoE)

IPCPで自動取得

IPv4

ネットワーク

IPv4設定 1-19


■解説 [本装置(A)の設定] ip route default GigaEthernet0.1


ppp profile sample

authentication myname [email protected]

authentication password [email protected] password-1


ppp binding sample

ip address ipcp

PPPoE 接続のための設定です。プロファイルコマンドでユーザ名/パスワードを設定し、インタ

フェースにプロファイルの関連付けと IPアドレス自動割付（IPCP）の設定を行います。

ip router rip


originate-default

隣接するRIPngルータに対し、自身がデフォルトルートであることを広告します。


ip rip enable




ip napt enable

NAPTを有効化します。

[本装置(B)の設定] redistribute connected

ネットワーク192.168.1.0/24の情報を本装置(A)へ伝えるために、ダイレクト・ルートの再配

信を行います。



Router(config-ip-rip)# redistribute connected









1-20 IPv4設定

１．１１ RIP 経路フィルタリング

ルーティング情報を他の RIP ルータに広告する際に、経路フィルタリングを行うことで必要なルー

ティング情報だけを広告することができます。本設定では 192.168.0.0/24 の情報だけ RIP 広告す

るような設定にします。

■設定手順経路フィルタリングは、プレフィックスリストとdistribute-list prefix コマンドを使用します。



Router(config)# ip prefix-list dist-rip 10 deny 172.16.0.0/24



Router(config)# ip prefix-list dist-rip 40 permit any


Router(config-ip-rip)# distribute-list prefix dist-rip out










広告しない

経路

192.168.1.0/24

GE0

10.10.10.1

本装置(A)

本装置(B)

10.10.10.0/24

GE0

10.10.10.2

GE2

192.168.1.1 本装置(A)

ルーティング情報

192.168.0.0/24

172.16.0.0/24

172.16.1.0/24

172.16.2.0/24

192.168.0.0/24

RIP 広告経路

IPv4設定 1-21


■解説 [本装置(A)の設定] ip prefix-list dist-rip 10 deny 172.16.0.0/24

ip prefix-list dist-rip 20 deny 172.16.1.0/24

ip prefix-list dist-rip 30 deny 172.16.2.0/24

ip prefix-list dist-rip 40 permit any

本装置(A)の有するルーティング情報のうち、172.16.0.0/24～172.16.2.0/24以外の情報を

許可するプレフィックスリストの設定をします。

ip router rip

distribute-list prefix dist-rip out

作成したプレフィックスリストに該当する経路情報のみ配信を許可します。














1-22 IPv4設定

１．１２ブロードキャストパケットの送信許可設定

ネットワーク 192.168.0.0/24 に存在するホストから、192.168.1.0/24 のブロードキャスト

アドレス（192.168.1.255）宛にパケットを送信する場合、ダイレクト（directed）ブロードキャ

スト機能を使用します。

■設定手順本装置(B)の GE2（GigaEthernet2.0）にダイレクトブロードキャスト設定を行います。但し、ブ

ロードキャストパケットを無条件で許可した場合、宛先ネットワークに属する全てのホストで応答処

理が発生し、網内が輻輳状態になる可能性がありますので、特定パケットのみ送信許可するフィルタ

を設定します。










GE0

10.10.10.1

GE2

192.168.1.1 GE0

10.10.10.2

GE2

192.168.0.1

192.168.0.0/24 192.168.1.0/24

本装置(A) 本装置(B)

192.168.1.255(UDP/138)

ダイレクトブロードキャスト

& フィルタ

IPv4設定 1-23


■解説 [本装置(A)の設定]


[本装置(B)の設定] ip access-list b/c-flt permit udp src 192.168.0.0/24 sport any dest 192.168.1.255/32 dport eq 138

ip access-list b/c-flt deny ip src 192.168.0.0/24 dest 192.168.1.255/32

ip access-list b/c-flt permit ip src 192.168.0.0/24 dest 192.168.1.0/24


ip filter b/c-flt 1 out

192.168.0.0/24 からブロードキャストアドレス（192.168.1.255：UDP/138 番）宛のパ

ケットのみ許可するフィルタを設定し、GE2の送信方向に関連付けます。

また、192.168.0.0/24 から 192.168.1.0/24 宛の通信を許可するフィルタ設定を入れる前

に、UDP/138番のブロードキャストアドレス以外は禁止するフィルタ設定を追加しておきます。


ip directed-broadcast

GE2において、ダイレクトブロードキャストの送信を有効にします。



Router(config)# ip access-list b/c-flt permit udp src 192.168.0.0/24 sport any

dest 192.168.1.255/32 dport eq 138

Router(config)# ip access-list b/c-flt deny ip src 192.168.0.0/24 dest 192.168.1.255/32

Router(config)# ip access-list b/c-flt permit ip src 192.168.0.0/24 dest 192.168.1.0/24



Router(config-GigaEthernet2.0)# ip directed-broadcast

Router(config-GigaEthernet2.0)# ip filter b/c-flt 1 out





1-24 IPv4設定

IPv6設定 2-1

２．IPv6 設定

Ver.2 の変更点

・ IP アンナンバードに設定されたインタフェースから出力するパケットのソースアドレス指定が

可能になりました。

・各インタフェース上で IPv6を有効化するコマンド“ipv6 enable”が追加になりました。

Ver1 では、各インタフェースにno shutdownコマンド（インタフェースを有効化するコマン

ド）を投入すると、自動的に IPv6を起動し、リンクローカル・アドレスを生成しました。

Ver2 では、no shutdownコマンドに加えて、ipv6 address コマンドを使ってユニキャスト・

アドレスを設定するか、ipv6 enable コマンドを投入すると IPv6を起動します（リンクローカ

ル・アドレスを生成します）。

上記理由から、Ver1 を下記構成でお使いの場合、Ver2 へバージョンアップした際に ipv6

enable コマンドを追加する必要があります。

例）

・リンクローカル・アドレスのみ使用して IPv6ルーティングを実行していた。

・ IPv6 over IPv4や IPv6 over IPv6などで、トンネルインタフェースを IPv6で使用して

いた場合（事例8.1,8.4 を参照ください）

Ver.3 の変更点

・サイト境界ルータに対応しました（Ver.8.3 以降は未対応となります）。


・ IPv6 RA関連コマンドを、「ipv6 nd ra」で始まるコマンド体系に変更しました。

・以下設定コマンドを新たに追加しました。

- ipv6 nd ra cur-hoplimit

- ipv6 nd ra linkmtu

- ipv6 nd ra retrans-timer

・ show ipv6 neighbor-discovery, show ipv6 interface コマンドにRA関連情報として、プレ

フィックス情報、始点リンク層アドレス、リンク MTU、ホップリミットおよび再送タイマを追

加しました。

2-2 IPv6設定

２．１２つの LANを接続する（ローカルルータ）

GE0ポートを2001:db8:100::/64 のネットワークに、GE1ポートを2001:db8:200::/64 の

ネットワークに接続し、お互いに通信できるように設定します。

■設定手順 GE0ポートとGE1ポートそれぞれに IPv6アドレスを設定することで、LAN間通信が可能になり

ます。

IPv6 の設定は、GE0 はインタフェース GigaEthernet0.0 に、GE1 はインタフェース

GigaEthernet1.0 に行います。デフォルト設定時、各インタフェースはシャットダウンされています

ので、通信に先立ちシャットダウン解除する必要があります。


■解説 [本装置の設定] ipv6 address 2001:db8:100::3/64

インタフェースに対する IPv6アドレス設定コマンドです。/64はプレフィックス長です。

no shutdown

インタフェースのシャットダウンを解除します。



Router(config-GigaEthernet0.0)# ipv6 address 2001:db8:100::3/64





本装置

2001:db8:100::1

2001:db8:100::2

2001:db8:200::1

2001:db8:200::2

GE0

2001:db8:100::3

GE1

2001:db8:200::3

2001:db8:100::/64 2001:db8:200::/64

IPv6設定 2-3

２．２端末に IPv6 アドレスを自動設定する

IPv6の特徴である「アドレス自動設定（ステートレス・アドレス・コンフィグレーション）」を使

って、端末に対して IPv6アドレスを自動的に設定します。

■設定手順ルータ通知メッセージに含まれる「プレフィックス長」等の設定と、IPv6端末と接続しているイン

タフェース（ここではGE2とします）に対してメッセージ送信開始設定を行います。


■解説 [本装置の設定] interface GigaEthernet2.0

ipv6 nd ra enable

GE2（GigaEthernet2.0）からルータ通知メッセージを送信します。




Router(config-GigaEthernet2.0)# ipv6 nd ra enable


本装置

GE2

2001:db8:100::1

2001:db8:100::/64

ルータ要請メッセージ

（Router Solicitation）

ルータ通知メッセージ

（Router Advertisement）

IPv6端末

2-4 IPv6設定

２．３経路制御情報を手動で設定する

下図構成において、2001:db8:300::0/64宛のパケットをルータBに、それ以外のパケットをル

ータAに転送するよう設定します。

■設定手順 2001:db8:300::/64宛のパケットをルータBに転送する「スタティックルート」と、それ以外の

パケットをルータAに転送する「デフォルトルート」を設定します。

ここでは、GE2を 2001:db8:100::/64 のネットワークに、GE0を 2001:db8:200::/64 のネ

ットワークに接続した場合の設定例を記述します。


■解説 [本装置の設定] ipv6 route 2001:db8:300::/64 2001:db8:200::2

スタティックルート設定コマンドです。本設定により、2001:db8:300::/64 宛のパケットは

2001:db8:200::2 のアドレスを持つルータBに転送されます。

ipv6 route default 2001:db8:200::1

デフォルトルート設定コマンドです。

ipv6 nd ra enable

GE2（GigaEthernet2.0）から、ルータ通知メッセージ（RA）を送信します。


Router(config)# ipv6 route 2001:db8:300::/64 2001:db8:200::2

Router(config)# ipv6 route default 2001:db8:200::1








2001:db8:100::/64 2001:db8:200::/6

本装置

自動設定

自動設定

GE2

2001:db8:100::3 GE0

2001:db8:200::3

ルータB

2001:db8:300::/64

2001:db8:200::2

2001:db8:200::1

IPv6

ネットワークルータA

IPv6設定 2-5

２．４経路制御にRIPng を使用する

RIPng によるダイナミックルーティングを行います。

■設定手順ネットワークを構成している各インタフェースでRIPngを有効化します。




Router(config)# ipv6 router rip

Router(config-ipv6-rip)# exit



Router(config-GigaEthernet0.0)# ipv6 rip enable













GE0

2001:db8:100::1

本装置(A)

本装置(B)

本装置(C)

2001:db8:100::0/64 2001:db8:200::0/6

GE0

2001:db8:100::2

GE0

2001:db8:100::3

GE2

2001:db8:200::1

GE2

2001:db8:200::2

2-6 IPv6設定


■解説 [本装置(A)(B)(C)の設定] ipv6 router rip

RIPngを起動します。


ipv6 rip enable


ipv6 rip enable

本コマンドが設定されたインタフェースで、RIPng動作を開始します。












IPv6設定 2-7

２．５直接接続している経路を再配信する（RIPng）

RIPng を話さないインタフェースのネットワーク情報をRIPngで広告したい場合、直接経路の再配

信設定を行います。

■設定手順直接接続された経路（ダイレクト・ルート）の再配信は、redistribute connected コマンドを使用

します。

GE0

2001:db8:200::1

本装置(A)

本装置(B)

2001:db8:200::/64

GE2

2001:db8:200::2

GE0

2001:db8:300::1

GE2

2001:db8:100::1

2001:db8:100::/64 2001:db8:300::/64

2-8 IPv6設定



■解説 [本装置(A)の設定] ipv6 router rip

redistribute connected

本装置(A)の有するインタフェースのうち、RIPngを起動していないが、状態がアップになってい

るインタフェースのアドレスを、外部ルートとして広告します。この場合、インタフェース

“GigaEthernet2.0”が接続されているネットワークの情報が広告されます。
















Router(config-ipv6-rip)# redistribute connected









IPv6設定 2-9

２．６パッシブ・インタフェースを設定する（RIPng）

あるインタフェースでRIPngを話さないが、そのインタフェースが属するネットワーク情報を隣接

する RIP ルータへ広告したい場合、そのインタフェースを「パッシブ・インタフェース」に設定しま

す（直接経路の再配信と異なる点は、インタフェース毎にRIPng広告に含めるか否かを設定できる点

です）。

■設定手順 RIPngの送受信動作は、インタフェース毎に起動/停止設定が可能で、停止設定にすることにより「パ

ッシブ・インタフェース」となります。

GE0

2001:db8:200::1

本装置(A)

本装置(B)

2001:db8:200::/64 2001:db8:300::/64

GE2

2001:db8:200::2GE0

2001:db8:300::1 GE2

2001:db8:100::1

2001:db8:100::/64

2-10 IPv6設定




■解説 [本装置(A)の設定] interface GigaEthernet2.0

no ipv6 rip send

no ipv6 rip receive

RIPng パケットの送受信動作を行いません。本設定により、そのインタフェースは「パッシブ・

インタフェース」として動作します。











Router(config-GigaEthernet2.0)# no ipv6 rip send

Router(config-GigaEthernet2.0)# no ipv6 rip receive


IPv6設定 2-11

２．７デフォルトルートを広告する（RIPng）

デフォルトルートをRIPngで広告します。

■設定手順デフォルトルートの生成設定は、最も出口に近いルータ（この場合は本装置(A)）で行います。



Router(config)# ipv6 route default 2001:db8:300::2


Router(config-ipv6-rip)# originate-default









本装置(B)

2001:db8:200::/64

GE2

2001:db8:100::1 GE0

2001:db8:200::1

本装置(A)

GE2

2001:db8:200::2

GE0

2001:db8:300::1

2001:db8:300::/64

2001:db8:300::2

ルータ

2001:db8:100::/64

2-12 IPv6設定


■解説 [本装置(A)の設定] ipv6 route default 2001:db8:300::2


ipv6 router rip

RIPngを起動します。

originate-default

隣接するRIPngルータに対し、自身がデフォルトルートであることを広告します。


ipv6 rip enable

本コマンドが設定されたインタフェースで、RIPng動作を開始します。

[本装置(B)の設定] redistribute connected

ネットワーク 2001:db8:100::/64 の情報を本装置(A)へ伝えるために、ダイレクト・ルートの

再配信を行います。



Router(config-ipv6-rip)# redistribute connected









IPv6設定 2-13

２．８ IPv6 インターネット接続サービスを利用する（PPPoE 方式）

フレッツ光ネクスト回線の IPv6 インターネット接続サービス（IPv6 PPPoE）を利用する例を

紹介します。

IX2000/IX3000 シリーズは IPv6 インターネットを利用するための「ISP 接続機能（IPv6

PPPoE）」に対応しております。ISP接続と同時にNTT東日本・NTT西日本が提供するNGN各

種サービスを利用する場合は、「IPv6 トンネル対応アダプタ」の配下に IX ルータを設置する必要

があります。

■設定手順 ISPから「IPv6プレフィックス」と「DNSサーバアドレス」の情報を取得し、その情報を基にLAN

内の IPv6端末の IPv6アドレスを自動設定するための設定を行います。外部からの不正アクセスに備

え、動的フィルタの設定を行います。

GE2

自動設定

本装置

GE0(PPPoE)

自動設定(DHCPv6-PD)

NGN網

IPv6

ネットワーク

IPv6端末

自動設定

2-14 IPv6設定



Router(config)# ipv6 ufs-cache enable

Router(config)# ipv6 route default GigaEthernet0.1

Router(config)# ipv6 dhcp enable

Router(config)# ipv6 access-list block-list deny ip src any dest any

Router(config)# ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546

Router(config)# ipv6 access-list dhcpv6-list permit udp src any sport eq 546 dest any dport any

Router(config)# ipv6 access-list icmpv6-list permit icmp src any dest any

Router(config)# ipv6 access-list permit-list permit ip src any dest any

Router(config)# ipv6 access-list dynamic dflt-list access permit-list

Router(config)# ppp profile sample-v6

Router(config-ppp-sample-v6)# authentication myname [email protected]

Router(config-ppp-sample-v6)# authentication password [email protected] password-1

Router(config-ppp-sample-v6)# exit

Router(config)# ipv6 dhcp client-profile dhcpv6-cl

Router(config-ipv6-dhc-dhcpv6-cl)# option-request dns-servers

Router(config-ipv6-dhc-dhcpv6-cl)# ia-pd subscriber GigaEthernet2.0

Router(config-ipv6-dhc-dhcpv6-cl)# exit

Router(config)# ipv6 dhcp server-profile dhcpv6-sv

Router(config-ipv6-dhc-dhcpv6-sv)# dns-server dhcp

Router(config-ipv6-dhc-dhcpv6-sv)# exit


Router(config-GigaEthernet2.0)# no ip address

Router(config-GigaEthernet2.0)# ipv6 enable

Router(config-GigaEthernet2.0)# ipv6 dhcp server dhcpv6-sv


Router(config-GigaEthernet2.0)# ipv6 nd ra other-config-flag



Router(config-GigaEthernet0.1)# ppp binding sample-v6

Router(config-GigaEthernet0.1)# ipv6 enable

Router(config-GigaEthernet0.1)# ipv6 dhcp client dhcpv6-cl

Router(config-GigaEthernet0.1)# ipv6 filter dhcpv6-list 1 in

Router(config-GigaEthernet0.1)# ipv6 filter icmpv6-list 2 in

Router(config-GigaEthernet0.1)# ipv6 filter block-list 100 in

Router(config-GigaEthernet0.1)# ipv6 filter dhcpv6-list 1 out

Router(config-GigaEthernet0.1)# ipv6 filter icmpv6-list 2 out

Router(config-GigaEthernet0.1)# ipv6 filter dflt-list 100 out


IPv6設定 2-15

■解説 [本装置の設定] ipv6 ufs-cache enable

UFSキャッシュ機能を有効

Documents

VPN 対応 高速アクセスルータ - NEC(Japan)...VPN 対応 高速アクセスルータ UNIVERGE IXシリーズ 設定事例集 第10.1版（ソフトウェアVer.10.1対応）

VPN 対応高速アクセスルータ - NEC(Japan)...VPN 対応高速アクセスルータ UNIVERGE IXシリーズ設定事例集第10.1版（ソフトウェアVer.10.1対応）