このページでは、「IPv6 ダイナミック DNS」サービスを Allied ルータで使用する方法について、以下の 3 つの節に分けて説明します。
まず、Allied ルータを本サービスの DDNS ホスト名に関連付け、Allied ルータがフレッツ回線または IPv6 インターネットに接続されている場合に、 自動的に本サービスの DDNS ホスト名に登録されている IPv6 アドレスが更新されるようにする方法を説明します。
次に、Allied ルータに内蔵されている IPsec VPN 機能を用いて、拠点間で IPv4 over IPv6 VPN トンネルを構築する具体的な設定例を説明します。
ここに記載されている方法を参考にすれば、どなたでも、Allied ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、IP ルーティングベースの VPN 接続を構築できます。
最後に、Allied ルータに内蔵されている L2TPv3/IPsec VPN 機能を用いて、拠点間で Ethernet over IPv6 トンネルを構築する具体的な設定例を説明します。
ここに記載されている方法を参考にすれば、どなたでも、Allied ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、 かつ IPv6 アドレスの変更を自動追従することができる、仮想的な広域イーサネットを構築できます。
前提条件
- 一般的に、最新の AlliedWare Plus (例: AlliedWare Plus 5.4.9-2.2 など) が動作する任意の Allied ルータが、本サービスを用いた VPN の構築に対応しています。
- ※ IPv4 over IPv6 機能は AlliedWare Plus 5.4.9-1.1 からの対応となります。
- ここでは、Allied ルータの例として「AT-AR4050S および AT-AR2050V」を使用します。
- WAN 回線としては、すべての拠点で、フレッツ・光ネクスト (IPv6 アドレスおよび DNS サーバー設定が NTT 局内から RA および DHCPv6 により自動的に割り当てられる回線) を利用することを想定しています。
- Allied ルータの「eth1」ポートに WAN 回線を、「port 1~8 (AT-AR2050Vの場合は 1~4 )」ポートに LAN 回線を接続することを想定しています。
1. Allied ルータを本サービスの DDNS ホスト名に関連付ける方法
まず、Allied ルータを本サービスの DDNS ホスト名に関連付け、Allied ルータがフレッツ回線または IPv6 インターネットに接続されている場合に、自動的に本サービスの DDNS ホスト名に登録されている IPv6 アドレスが更新されるようにする方法を説明します。この方法を習得すると、以下で別途説明するような VPN 構築以外の目的でAllied ルータとフレッツ・光ネクスト回線 (たとえば、IPv6 経由のスイッチの Ping 監視、SNMP 監視、SSH による遠隔ログインなど) の組み合わせが利用できるようになり、大変便利です。
- すでに DDNS ホスト名は作成されており、以下のようなパラメータとなっているものと仮定します。
- 「sample1.i.e-ntt.jp」という DDNS ホスト名を作成済み。DDNS ホストの新規作成はこちら
- 専用更新ホスト名として「update-0123456789abcdefff.i.e-ntt.jp」が割り当てられているものとする。
すなわち、この「専用更新ホスト名」に任意の IPv6 パケット (ping でもよい) を一定期間ごとに送出することにより、DDNS ホスト名の IPv6 アドレスを更新することができる。
最初に、インターフェイス「eth1」にフレッツ回線を接続すると自動的に IPv6 アドレスが NTT 収容ビルから割り当てられるように、下記のような設定をする必要があります。
! DNS 名前解決を有効にします。
ip domain-lookup
! IPv6 ユニキャスト・ルーティングを有効にします。
ipv6 unicast-routing
! eth1 のインターフェイスを有効にし、IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。
interface eth1
no shutdown
ipv6 enable
!
次に、Allied ルータに内蔵されている Pingポーリング機能で、1 分ごとに呼び出されるタスクを追加します。これにより、Allied ルータが 1 分おきに本 DDNS サービスに対して自己の IPv6 アドレスを更新するためのパケットを送信することができるようになります。
! Pingポーリングに新しいタスクを追加します。
ping-poll 1
normal-interval 60
! 以下の部分は、実際に作成された DDNS ホスト名の「更新専用ホスト」名に置き換えてください。
ip update-0123456789abcdefff.i.e-ntt.jp
active
!
上記が完了したら、eth1 インターフェイスにフレッツ・光ネクスト回線を接続することにより、Allied ルータの IPv6 アドレスが、事前に作成された DDNS ホスト名に対して、1 分間に 1 回の間隔で、自動的に更新されるようになります。
2. Allied ルータを用いてフレッツ網内で拠点間 L3-VPN (IPv4 over IPv6, IPsec) を構築する設定例
次に、Allied ルータに内蔵されている IPsec VPN 機能を用いて、拠点間で IPv4 over IPv6 VPN トンネルを構築する具体的な設定例を説明します。
ここに記載されている方法を参考にすれば、どなたでも、Allied ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、IP ルーティングベースの VPN 接続を構築できます。
- 一般的に、最新の AlliedWare Plus (例: AlliedWare Plus 5.4.9-2.2 など) が動作する任意の Allied ルータが、本サービスを用いた VPN の構築に対応しています。
- ※ IPv4 over IPv6 機能は AlliedWare Plus 5.4.9-1.1 からの対応となります。
- ここでは、Allied ルータの例として「AT-AR4050S および AT-AR2050V」を使用します。
- 以下の設定例では、IPsec VPN での認証方式は、事前共有キー (Pre-shared key) とし、事前共有キーの文字列は「Allied」とします。事前共有キーは、任意のものに変更して使用してください。
- WAN 回線としては、すべての拠点で、フレッツ・光ネクスト (IPv6 アドレスおよび DNS サーバー設定が NTT 局内から RA および DHCPv6 により自動的に割り当てられる回線) を利用することを想定しています。
- Allied ルータの「eth1」ポートに WAN 回線を、「port 1~8 (AT-AR2050Vの場合は 1~4 )」ポートに LAN 回線を接続することを想定しています。
- 2 つの拠点で、合計 2 台の Allied ルータを設置するものとします。
すでに DDNS ホスト名は作成されており、以下のようなパラメータとなっているものと仮定します。
- 2 つの拠点のそれぞれの IPv4 ネットワーク間を、IPsec VPN で接続します。この際、2 つの拠点にはそれぞれ以下のような IPv4 ネットワークが接続されているものとします。
- 拠点 1: 「192.168.0.0/24, VLAN10」というネットワークがあるものとします。
本設定例における拠点 1 の Allied ルータは、拠点 1 のLAN 内では、192.168.0.254 という IP アドレスを持つものとします。本 Allied ルータがデフォルト・ゲートウェイでない場合は、LAN 内のデフォルト・ゲートウェイとなっている既設ルータ (以下の設定例では、192.168.0.1 がデフォルト・ゲートウェイとなっている既設ルータであることを想定しています) に設定を追加し、 拠点 2 の「192.168.1.0/24 および 192.168.255.252/30」という IP サブネットに対して 192.168.0.254 をネクストホップとするスタティック・ルーティング・テーブルを追加するか、または、OSPF や RIP などのダイナミック・ルーティング・プロトコルを使用する必要があります。
- 拠点 2: 「192.168.1.0/24, VLAN20」というネットワークがあるものとします。
本設定例における拠点 2 の Allied ルータは、拠点 2 の LAN 内では、192.168.1.254 という IP アドレスを持つものとします。本 Allied ルータがデフォルト・ゲートウェイでない場合は、LAN 内のデフォルト・ゲートウェイとなっている既設ルータ (以下の設定例では、192.168.1.1 がデフォルト・ゲートウェイとなっている既設ルータであることを想定しています) に設定を追加し、 拠点 1 の「192.168.0.0/24 および 192.168.255.252/30」という IP サブネットに対して 192.168.1.254 をネクストホップとするスタティック・ルーティング・テーブルを追加するか、または、OSPF や RIP などのダイナミック・ルーティング・プロトコルを使用する必要があります。
- トンネル IF: 「192.168.255.252/30」というネットワークを作成するものとします。
拠点 1 の Allied ルータは、192.168.255.253 という IP アドレスを持つものとします。 拠点 2 の Allied ルータは、192.168.255.254 という IP アドレスを持つものとします。 拠点 1 の Allied ルータは、拠点 2 の「192.168.1.0/24」という IP サブネットに対して 192.168.255.254 をネクストホップとするスタティック・ルーティング・テーブルを追加するか、または、OSPF や RIP などのダイナミック・ルーティング・プロトコルを使用する必要があります。 拠点 2 の Allied ルータは、拠点 1 の「192.168.0.0/24」という IP サブネットに対して 192.168.255.253 をネクストホップとするスタティック・ルーティング・テーブルを追加するか、または、OSPF や RIP などのダイナミック・ルーティング・プロトコルを使用する必要があります。
拠点 1 の Allied ルータ (以下の例は AT-AR2050V を想定しています) の設定例は、以下のとおりです。工場出荷時の状態から Allied ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。
! 設定モードに入ります。
enable
configure terminal
! 初期設定を行います。
service password-encryption
no banner motd
ip domain-lookup
ipv6 unicast-routing
spanning-tree mode rstp
no spanning-tree rstp enable
! ホスト名を設定します。
hostname sample1
! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。
interface eth1
no shutdown
no ip address
ipv6 enable
!
! LAN ポート。IPv4 アドレスを手動設定します。
interface port1.0.1-1.0.4
no shutdown
switchport
switchport mode access
switchport access vlan 10
!
interface vlan10
no shutdown
ip address 192.168.0.254/24
!
! 拠点 1 の既設のルータがデフォルト・ゲートウェイとなっていることを想定しています。
ip route 0.0.0.0/0 192.168.0.1
! 拠点 2 のネットワーク宛の経路を手動設定します。
ip route 192.168.1.0/24 192.168.255.254
! IPsec VPN 構築時の事前共有キーです。hostname 項目には必ずトンネル対向のFQNDを記載してください。
! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
crypto isakmp key Allied hostname sample2.i.e-ntt.jp
! VPN トンネルが構築される際のトンネルインターフェイスのテンプレートです。
interface tunnel0
tunnel source eth1
! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
tunnel destination sample2.i.e-ntt.jp
tunnel local selector 1 0.0.0.0/0
tunnel remote selector 1 0.0.0.0/0
tunnel protection ipsec
tunnel mode ipsec ipv6
ip address 192.168.255.253/30
ip tcp adjust-mss pmtu
!
! Pingポーリングに新しいタスクを追加します。
ping-poll 1
normal-interval 60
! 以下の部分は、実際に作成された DDNS ホスト名の「更新専用ホスト」名に置き換えてください。
ip update-0123456789abcdefff.i.e-ntt.jp
active
!
ping-poll 2
normal-interval 60
! トンネル対向に向けた監視を入れます。
ip 192.168.255.254
up-count 3
fail-count 3
sample-size 3
active
!
拠点 2 の Allied ルータ (以下の例は AT-AR4050S を想定しています) の設定例は、以下のとおりです。工場出荷時の状態から Allied ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。
! 設定モードに入ります。
enable
configure terminal
! 初期設定を行います。
service password-encryption
no banner motd
ip domain-lookup
ipv6 unicast-routing
spanning-tree mode rstp
no spanning-tree rstp enable
! ホスト名を設定します。
hostname sample2
! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。
interface eth1
no shutdown
no ip address
ipv6 enable
!
! LAN ポート。IPv4 アドレスを手動設定します。
interface port1.0.1-1.0.8
no shutdown
switchport
switchport mode access
switchport access vlan 20
!
interface vlan20
no shutdown
ip address 192.168.1.254/24
!
! 拠点 2 の既設のルータがデフォルト・ゲートウェイとなっていることを想定しています。
ip route 0.0.0.0/0 192.168.1.1
! 拠点 1 のネットワーク宛の経路を手動設定します。
ip route 192.168.0.0/24 192.168.255.253
! IPsec VPN 構築時の事前共有キーです。hostname 項目には必ずトンネル対向のFQNDを記載してください。
! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
crypto isakmp key Allied hostname sample1.i.e-ntt.jp
! VPN トンネルが構築される際のトンネルインターフェイスのテンプレートです。
interface tunnel0
tunnel source eth1
! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
tunnel destination sample1.i.e-ntt.jp
tunnel local selector 1 0.0.0.0/0
tunnel remote selector 1 0.0.0.0/0
tunnel protection ipsec
tunnel mode ipsec ipv6
ip address 192.168.255.254/30
ip tcp adjust-mss pmtu
!
! Pingポーリングに新しいタスクを追加します。
ping-poll 1
normal-interval 60
! 以下の部分は、実際に作成された DDNS ホスト名の「更新専用ホスト」名に置き換えてください。
ip update-0123456789abcdefff.i.e-ntt.jp
active
!
ping-poll 2
normal-interval 60
! トンネル対向に向けた監視を入れます。
ip 192.168.255.253
up-count 3
fail-count 3
sample-size 3
active
!
3. Allied ルータを用いてフレッツ網内で拠点間仮想広域イーサネット VPN (Ethernet over IPv6, L2TPv3, IPsec) を構築する設定例
最後に、Allied ルータに内蔵されている L2TPv3/IPsec VPN 機能を用いて、拠点間で Ethernet over IPv6 トンネルを構築する具体的な設定例を説明します。
ここに記載されている方法を参考にすれば、どなたでも、Allied ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、仮想的な広域イーサネットを構築できます。
- 一般的に、最新の AlliedWare Plus (例: AlliedWare Plus 5.4.9-2.2 など) が動作する任意の Allied ルータが、本サービスを用いた VPN の構築に対応しています。
- ※ IPv4 over IPv6 機能は AlliedWare Plus 5.4.9-1.1 からの対応となります。
- ここでは、Allied ルータの例として「AT-AR4050S および AT-AR2050V」を使用します。
- 以下の設定例では、IPsec VPN での認証方式は、事前共有キー (Pre-shared key) とし、事前共有キーの文字列は「Allied」とします。事前共有キーは、任意のものに変更して使用してください。
- WAN 回線としては、すべての拠点で、フレッツ・光ネクスト (IPv6 アドレスおよび DNS サーバー設定が NTT 局内から RA および DHCPv6 により自動的に割り当てられる回線) を利用することを想定しています。
- Allied ルータの「eth1」ポートに WAN 回線を、「port 1~8 (AT-AR2050Vの場合は 1~4 )」ポートに LAN 回線を接続することを想定しています。
- 2 つの拠点で、合計 2 台の Allied ルータを設置するものとします。
すでに DDNS ホスト名は作成されており、以下のようなパラメータとなっているものと仮定します。
- ここでは、LAN 回線側を VLAN10 とし、トンネルインタフェースは VLAN Trunk を用いることを想定しています。この設定により、任意の VLAN を拠点間で重畳して利用することが可能です。
- 以下の設定が完了すると、拠点 1 の Allied ルータと拠点 2 の Allied ルータとは、いずれも、「port 1~8 (AT-AR2050Vの場合は 1~4 )」ポート同士が Ethernet でブリッジ接続されたことになり、任意の Ethernet 装置が相互に通信できるようになります。
拠点 1 の Allied ルータ (以下の例は AT-AR2050V を想定しています) の設定例は、以下のとおりです。工場出荷時の状態から Allied ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。
! 設定モードに入ります。
enable
configure terminal
! 初期設定を行います。
service password-encryption
no banner motd
ip domain-lookup
ipv6 unicast-routing
spanning-tree mode rstp
no spanning-tree rstp enable
! ホスト名を設定します。
hostname sample1
! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。
interface eth1
no shutdown
no ip address
ipv6 enable
!
! LAN ポート。IPv4 アドレスを手動設定します。
interface port1.0.1-1.0.4
no shutdown
switchport
switchport mode access
switchport access vlan 10
!
! Bridge を設定します。複数 VLAN を拠点間で重畳して利用する場合は、重畳する VLAN の数だけ作成します。(1 VLAN ごとに 1 Bridge 必要です、例では 3 Bridge 作成します。)
bridge 1
bridge 2
bridge 3
! VLAN を Bridge に割り当てます。複数 VLAN を拠点間で重畳して利用する場合は、重畳する VLAN ごとに同様の設定を投入してください。
interface vlan10
no shutdown
bridge-group 1
!
! IPsec VPN 構築時の事前共有キーです。hostname 項目には必ずトンネル対向のFQNDを記載してください。
! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
crypto isakmp key Allied hostname sample2.i.e-ntt.jp
! VPN トンネルが構築される際のトンネルインターフェイスのテンプレートです。
interface tunnel0
! トンネルサブインタフェースを定義します。重畳する VLAN ごとに必要です。
encapsulation dot1q 2
mtu 1500
tunnel source eth1
! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
tunnel destination sample2.i.e-ntt.jp
tunnel df clear
tunnel local name sample1.i.e-ntt.jp
tunnel remote name sample2.i.e-ntt.jp
tunnel local id 1
tunnel remote id 2
tunnel protection ipsec
tunnel mode l2tp v3 ipv6
!
! トンネルインターフェイスと VLAN を Bridge するための設定です。重畳する VLAN 毎にサブインタフェースを設定してください。encapsulation dot1q 3 の場合は interface tunnel0.3 となります。
interface tunnel0.2
bridge-group 1
mtu 1500
!
! Pingポーリングに新しいタスクを追加します。
ping-poll 1
normal-interval 60
! 以下の部分は、実際に作成された DDNS ホスト名の「更新専用ホスト」名に置き換えてください。
ip update-0123456789abcdefff.i.e-ntt.jp
active
!
拠点 2 の Allied ルータ (以下の例は AT-AR4050S を想定しています) の設定例は、以下のとおりです。工場出荷時の状態から Allied ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。
! 設定モードに入ります。
enable
configure terminal
! 初期設定を行います。
service password-encryption
no banner motd
ip domain-lookup
ipv6 unicast-routing
spanning-tree mode rstp
no spanning-tree rstp enable
! ホスト名を設定します。
hostname sample2
! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。
interface eth1
no shutdown
no ip address
ipv6 enable
!
! LAN ポート。IPv4 アドレスを手動設定します。
interface port1.0.1-1.0.8
no shutdown
switchport
switchport mode access
switchport access vlan 10
!
! Bridge を設定します。複数 VLAN を拠点間で重畳して利用する場合は、重畳する VLAN の数だけ作成します。(1 VLAN ごとに 1 Bridge 必要です、例では 3 Bridge 作成します。)
bridge 1
bridge 2
bridge 3
! VLAN を Bridge に割り当てます。複数 VLAN を拠点間で重畳して利用する場合は、重畳する VLAN ごとに同様の設定を投入してください。
interface vlan10
no shutdown
bridge-group 1
!
! IPsec VPN 構築時の事前共有キーです。hostname 項目には必ずトンネル対向のFQNDを記載してください。
! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
crypto isakmp key Allied hostname sample2.i.e-ntt.jp
! VPN トンネルが構築される際のトンネルインターフェイスのテンプレートです。
interface tunnel0
! トンネルサブインタフェースを定義します。重畳する VLAN ごとに必要です。
encapsulation dot1q 2
mtu 1500
tunnel source eth1
! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
tunnel destination sample1.i.e-ntt.jp
tunnel df clear
tunnel local name sample2.i.e-ntt.jp
tunnel remote name sample1.i.e-ntt.jp
tunnel local id 2
tunnel remote id 1
tunnel protection ipsec
tunnel mode l2tp v3 ipv6
!
! トンネルインターフェイスと VLAN を Bridge するための設定です。重畳する VLAN 毎にサブインタフェースを設定してください。encapsulation dot1q 3 の場合は interface tunnel0.3 となります。
interface tunnel0.2
bridge-group 1
mtu 1500
!
! Pingポーリングに新しいタスクを追加します。
ping-poll 1
normal-interval 60
! 以下の部分は、実際に作成された DDNS ホスト名の「更新専用ホスト」名に置き換えてください。
ip update-0123456789abcdefff.i.e-ntt.jp
active
!