NEC UNIVERGE IX ルータでの使用方法 (IPsec 暗号化あり)

NEC UNIVERGE IX ルータは、本「IPv6 ダイナミック DNS」サービス、および本サービスを利用した拠点間 VPN の構築に対応しています。 このページでは、「IPv6 ダイナミック DNS」サービスをNEC UNIVERGE IX ルータで使用する方法について説明します。

このページでは、「IPv6 ダイナミック DNS」サービスを NEC UNIVERGE IX ルータで使用する方法について、以下の 3 つの節に分けて説明します。

1. NEC UNIVERGE IX ルータを本サービスの DDNS ホスト名に関連付ける方法

まず、NEC UNIVERGE IX ルータ ルータを本サービスの DDNS ホスト名に関連付け、NEC UNIVERGE IX ルータがフレッツ回線または IPv6 インターネットに接続されている場合に、自動的に本サービスの DDNS ホスト名に登録されている IPv6 アドレスが更新されるようにする方法を説明します。

2. NEC UNIVERGE IX ルータを用いてフレッツ網内で拠点間 L3-VPN (IPv4 over IPv6, IPsec) を構築する設定例

次に、NEC UNIVERGE IX ルータに内蔵されている IPsec VPN 機能を用いて、拠点間で IPv4 over IPv6 VPN トンネルを構築する具体的な設定例を説明します。
ここに記載されている方法を参考にすれば、どなたでも、NEC UNIVERGE IX ルータ ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、IP ルーティングベースの VPN 接続を構築できます。

3. NEC UNIVERGE IX ルータを用いてフレッツ網内で拠点間仮想広域イーサネット VPN (Ethernet over IPv6, EtherIP, IPsec) を構築する設定例

最後に、NEC UNIVERGE IX ルータに内蔵されている EtherIP/IPsec VPN 機能を用いて、拠点間で Ethernet over IPv6 トンネルを構築する具体的な設定例を説明します。
ここに記載されている方法を参考にすれば、どなたでも、NEC UNIVERGE IX ルータ ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、仮想的な広域イーサネットを構築できます。

前提条件

  • 一般的に、最新のファームウェア (9.3.11 またはそれ以降を推奨) が動作する、以下の機能に対応した NEC UNIVERGE IX ルータが、本「OPEN IPv6 DDNS for フレッツ・光ネクスト」サービスおよび本サービスを用いた VPN の構築に対応しています。
  • ここでは、NEC UNIVERGE IX ルータの例として「NEC UNIVERGE IX2025」を使用します。
  • WAN 回線としては、すべての拠点で、フレッツ・光ネクスト (IPv6 アドレスおよび DNS サーバー設定が NTT 局内から RA および DHCPv6 により自動的に割り当てられる回線) を利用することを想定しています。
  • NEC UNIVERGE IX ルータの「FastEthernet0/0.0」ポートに WAN 回線を、「FastEthernet1/0.0」ポートに LAN 回線を接続することを想定しています。

より高速な通信が必要な場合 - IPsec 暗号化なしのコンフィグ例

このページに掲載されているコンフィグ例は、IPsec 暗号化ありのコンフィグ例です。セキュリティは非常に高い一方で、暗号化にかかるオーバーヘッドにより速度が低下する場合があります。

フレッツ網内での利用に限定する場合、フレッツ網の安全性は NTT 東日本によってある程度保証されていますので、暗号化をオフにして通信速度を向上させることが可能です。

IPsec 暗号化をオフにする場合のコンフィグ例はこちら

1. NEC UNIVERGE IX ルータを本サービスの DDNS ホスト名に関連付ける方法

まず、NEC UNIVERGE IX ルータを本サービスの DDNS ホスト名に関連付け、NEC UNIVERGE IX ルータがフレッツ回線または IPv6 インターネットに接続されている場合に、自動的に本サービスの DDNS ホスト名に登録されている IPv6 アドレスが更新されるようにする方法を説明します。この方法を習得すると、以下で別途説明するような VPN 構築以外の目的でNEC UNIVERGE IX ルータ ルータとフレッツ・光ネクスト回線 (たとえば、IPv6 経由のスイッチの Ping 監視、SNMP 監視、SSH による遠隔ログインなど) の組み合わせが利用できるようになり、大変便利です。

  • すでに DDNS ホスト名は作成されており、以下のようなパラメータとなっているものと仮定します。
    • 「sample1.i.e-ntt.jp」という DDNS ホスト名を作成済み。DDNS ホストの新規作成はこちら
    • DDNS ホスト名の「ホストキー」(18 文字の英数字) として「0123456789ABCDEFFF」が割り当てられているものとする。

最初に、インターフェイス「FastEthernet0/0.0」にフレッツ回線を接続すると自動的に IPv6 アドレスが NTT 収容ビルから割り当てられるように、下記のような設定をする必要があります。

次に、NEC UNIVERGE IX ルータに内蔵されているイベントマネージャに、1 分ごとに呼び出されるタスクを追加します。これにより、NEC UNIVERGE IX ルータが 1 分おきに本 DDNS サービスに対して自己の IPv6 アドレスを更新するためのパケットを送信することができるようになります。

緑色の文字列は、コメントです。実際に入力する必要はありません。

! 設定モードに入ります。 configure ! DNS サーバーアドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。 ipv6 dhcp client-profile DHCPV6_CLIENT information-request option-request dns-servers no rapid-commit exit ! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。 interface FastEthernet0/0.0 no ip address ipv6 enable ipv6 address autoconfig receive-default ipv6 dhcp client DHCPV6_CLIENT no shutdown exit ! IX ルータに内蔵された DDNS クライアント機能を用いて、本 DDNS サービスに対して ! 定期的 (1 分間隔) で IPv6 アドレスの更新要求を送付します。 ddns profile UPDATE_DDNS source-interface FastEthernet0/0.0 notify-interface FastEthernet0/0.0 transport ipv6 url http://ddnsapi-v6.e-ntt.jp/api/renew/ ! ここで、予め作成してある DDNS ホスト名の「ホストキー」(18 文字の英数字) を指定します。 query 0123456789ABCDEFFF update-interval 1 exit ! DDNS 自動更新機能を有効にします。 ddns enable

上記が完了したら、FastEthernet0/0.0 インターフェイスにフレッツ・光ネクスト回線を接続することにより、NEC UNIVERGE IX ルータ ルータの IPv6 アドレスが、事前に作成された DDNS ホスト名に対して、1 分間に 1 回の間隔で、自動的に更新されるようになります。

2. NEC UNIVERGE IX ルータを用いてフレッツ網内で拠点間 L3-VPN (IPv4 over IPv6, IPsec) を構築する設定例

次に、NEC UNIVERGE IX ルータに内蔵されている IPsec VPN 機能を用いて、拠点間で IPv4 over IPv6 VPN トンネルを構築する具体的な設定例を説明します。

ここに記載されている方法を参考にすれば、どなたでも、NEC UNIVERGE IX ルータ ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、IP ルーティングベースの VPN 接続を構築できます。

  • 一般的に、最新のファームウェア (9.3.11 またはそれ以降を推奨) が動作する、以下の機能に対応した NEC UNIVERGE IX ルータが、本「OPEN IPv6 DDNS for フレッツ・光ネクスト」サービスおよび本サービスを用いた VPN の構築に対応しています。
  • ここでは、NEC UNIVERGE IX ルータの例として「NEC UNIVERGE IX2025」を使用します。
  • 以下の設定例では、IPsec VPN での認証方式は、事前共有キー (Pre-shared key) とし、事前共有キーの文字列は「password12345」とします。事前共有キーは、任意のものに変更して使用してください。
  • WAN 回線としては、すべての拠点で、フレッツ・光ネクスト (IPv6 アドレスおよび DNS サーバー設定が NTT 局内から RA および DHCPv6 により自動的に割り当てられる回線) を利用することを想定しています。
  • NEC UNIVERGE IX ルータの「FastEthernet0/0.0」ポートに WAN 回線を、「FastEthernet1/0.0」ポートに LAN 回線を接続することを想定しています。
  • 2 つの拠点で、合計 2 台の NEC UNIVERGE IX ルータを設置するものとします。 すでに DDNS ホスト名は作成されており、以下のようなパラメータとなっているものと仮定します。
    • 拠点 1: 「sample1.i.e-ntt.jp」という DDNS 名を作成済み。DDNS ホストの新規作成はこちら
      DDNS ホスト名の「ホストキー」(18 文字の英数字) として「0123456789ABCDEFFF」が割り当てられているものとする。
    • 拠点 2: 「sample2.i.e-ntt.jp」という DDNS 名を作成済み。DDNS ホストの新規作成はこちら
      DDNS ホスト名の「ホストキー」(18 文字の英数字) として「FFFEDCBA9876543210」が割り当てられているものとする。
  • 2 つの拠点のそれぞれの IPv4 ネットワーク間を、IPsec VPN で接続します。この際、2 つの拠点にはそれぞれ以下のような IPv4 ネットワークが接続されているものとします。
    • 拠点 1: 「192.168.0.0/24」というネットワークがあるものとします。
      本設定例における拠点 1 の NEC UNIVERGE IX ルータは、拠点 1 のLAN 内では、192.168.0.254 という IP アドレスを持つものとします。本 NEC UNIVERGE IX ルータがデフォルト・ゲートウェイでない場合は、LAN 内のデフォルト・ゲートウェイとなっている既設ルータ (以下の設定例では、192.168.0.1 がデフォルト・ゲートウェイとなっている既設ルータであることを想定しています) に設定を追加し、拠点 2 の「192.168.10.0/24」という IP サブネットに対して 192.168.0.254 をネクストホップとするスタティック・ルーティング・テーブルを追加するか、または、OSPF や RIP などのダイナミック・ルーティング・プロトコルを使用する必要があります。
    • 拠点 2: 「192.168.10.0/24」というネットワークを作成するものとします。
      本設定例における拠点 2 の NEC UNIVERGE IX ルータは、拠点 2 の LAN 内では、192.168.10.254 という IP アドレスを持つものとします。また、拠点 2 の LAN 内の DHCP クライアントに対して、拠点 2 の NEC UNIVERGE IX ルータ ルータは、192.168.10.101 - 192.168.10.200 の範囲内の DHCP プールから、DHCP プロトコルにより IP アドレスを自動配布するものとします。本設定例における拠点 2 の NEC UNIVERGE IX ルータ ルータは、イニシエータとして、拠点 1 の NEC UNIVERGE IX ルータに IPsec VPN 接続を行います。VPN 接続が完了すると、拠点 2 の NEC UNIVERGE IX ルータは、「192.168.10.0/24」というネットワークを拠点 1 の NEC UNIVERGE IX ルータのルーティング・ポリシーに挿入します。これにより、拠点 2 と 拠点 1 との VPN 接続が完了し、LAN 内のクライアント同士は、異なる拠点同士であっても互いに VPN 通信をすることができるようになります。
NECルータによるレイヤ3(IP)拠点サブネット間ルーティング型 VPN(IPsec over IPv6)

拠点 1 の NEC UNIVERGE IX ルータの設定例は、以下のとおりです。工場出荷時の状態から NEC UNIVERGE IX ルータ ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。

緑色の文字列は、コメントです。実際に入力する必要はありません。

! 設定モードに入ります。 configure ! 初期設定を行います。 logging buffered 204800 cyclic logging timestamp datetime logging subsystem all warn ip ufs-cache enable ipv6 ufs-cache enable ! DNS サーバーアドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。 ipv6 dhcp client-profile DHCPV6_CLIENT information-request option-request dns-servers no rapid-commit exit ! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。 interface FastEthernet0/0.0 no ip address ipv6 enable ipv6 address autoconfig receive-default ipv6 dhcp client DHCPV6_CLIENT no shutdown exit ! LAN ポート。IPv4 アドレスを手動設定します。 interface FastEthernet1/0.0 no ipv6 enable ip address 192.168.0.254/24 no shutdown exit ! 拠点 1 の既設のルータがデフォルト・ゲートウェイとなっていることを想定しています。 ip route 0.0.0.0/0 192.168.0.1 ! IPsec VPN の暗号化の設定です。 ike proposal IKE_PROPOSAL encryption aes hash sha group 1024-bit ! 以下の行には、対向拠点 (拠点 2) の IX ルータの DDNS ホスト名 (FQDN) を指定します。 ike policy IKE_POLICY peer-fqdn-ipv6 sample2.i.e-ntt.jp key password12345 IKE_PROPOSAL mode main ip access-list IPSEC_ACL permit ip src any dest any ipsec autokey-proposal IPSEC_PROPOSAL esp-aes esp-sha ! 以下の行には、対向拠点 (拠点 2) の IX ルータの DDNS ホスト名 (FQDN) を指定します。 ipsec autokey-map IPSEC_MAP IPSEC_ACL peer-fqdn-ipv6 sample2.i.e-ntt.jp IPSEC_PROPOSAL ike keepalive IKE_POLICY 10 3 ! VPN トンネルにおけるローカル側のサブネット範囲を指定します。 ipsec local-id IPSEC_MAP 0.0.0.0/0 ! VPN トンネルにおけるリモート (対向) 側のサブネット範囲を指定します。 ipsec remote-id IPSEC_MAP 192.168.10.0/24 ! IPsec によって構築される仮想のトンネルインターフェイスの設定です。 interface Tunnel0.0 tunnel mode ipsec ipsec policy tunnel IPSEC_MAP df-bit ignore out ip address unnumbered FastEthernet1/0.0 ip tcp adjust-mss auto no shutdown exit ! VPN トンネルが構築された後のリモート (対向) 側のサブネット範囲を指定します。 ip route 192.168.10.0/24 Tunnel0.0 ! IX ルータに内蔵された DDNS クライアント機能を用いて、本 DDNS サービスに対して ! 定期的 (1 分間隔) で IPv6 アドレスの更新要求を送付します。 ddns profile UPDATE_DDNS source-interface FastEthernet0/0.0 notify-interface FastEthernet0/0.0 transport ipv6 url http://ddnsapi-v6.e-ntt.jp/api/renew/ ! ここで、拠点 1 用に予め作成してある DDNS ホスト名の「ホストキー」(18 文字の英数字) を指定します。 query 0123456789ABCDEFFF update-interval 1 exit ! DDNS 自動更新機能を有効にします。 ddns enable

拠点 2 の NEC UNIVERGE IX ルータの設定例は、以下のとおりです。工場出荷時の状態から NEC UNIVERGE IX ルータ ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。

緑色の文字列は、コメントです。実際に入力する必要はありません。

! 設定モードに入ります。 configure ! 初期設定を行います。 logging buffered 204800 cyclic logging timestamp datetime logging subsystem all warn ip ufs-cache enable ipv6 ufs-cache enable ! DNS サーバーアドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。 ipv6 dhcp client-profile DHCPV6_CLIENT information-request option-request dns-servers no rapid-commit exit ! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。 interface FastEthernet0/0.0 no ip address ipv6 enable ipv6 address autoconfig receive-default ipv6 dhcp client DHCPV6_CLIENT no shutdown exit ! LAN ポートで DHCP サーバー機能を有効にし、クライアントに対して IP アドレスを配布します。 ! (不要な場合は、削除してください。) ip dhcp profile FastEthernet1/0.0 assignable-range 192.168.10.101 192.168.10.200 subnet-mask 255.255.255.0 default-gateway 192.168.10.254 dns-server 8.8.8.8 8.8.4.4 exit ! LAN ポート。IPv4 アドレスを手動設定します。 interface FastEthernet1/0.0 no ipv6 enable ip address 192.168.10.254/24 ip dhcp binding FastEthernet1/0.0 no shutdown exit ! DHCP サーバーを有効にします。 ip dhcp enable ! IPsec VPN の暗号化の設定です。 ike proposal IKE_PROPOSAL encryption aes hash sha group 1024-bit ! 以下の行には、対向拠点 (拠点 1) の IX ルータの DDNS ホスト名 (FQDN) を指定します。 ike policy IKE_POLICY peer-fqdn-ipv6 sample1.i.e-ntt.jp key password12345 IKE_PROPOSAL mode main ip access-list IPSEC_ACL permit ip src any dest any ipsec autokey-proposal IPSEC_PROPOSAL esp-aes esp-sha ! 以下の行には、対向拠点 (拠点 1) の IX ルータの DDNS ホスト名 (FQDN) を指定します。 ipsec autokey-map IPSEC_MAP IPSEC_ACL peer-fqdn-ipv6 sample1.i.e-ntt.jp IPSEC_PROPOSAL ike keepalive IKE_POLICY 10 3 ! VPN トンネルにおけるローカル側のサブネット範囲を指定します。 ipsec local-id IPSEC_MAP 10.253.14.0/24 ! VPN トンネルにおけるリモート (対向) 側のサブネット範囲を指定します。 ipsec remote-id IPSEC_MAP 0.0.0.0/0 ! IPsec によって構築される仮想のトンネルインターフェイスの設定です。 interface Tunnel0.0 tunnel mode ipsec ipsec policy tunnel IPSEC_MAP df-bit ignore out ip address unnumbered FastEthernet1/0.0 ip tcp adjust-mss auto no shutdown exit ! VPN トンネルが構築された後のリモート (対向) 側のサブネット範囲を指定します。 ! ここでは、リモート (対向) 拠点をデフォルトゲートウェイにすることを想定しています。 ip route 0.0.0.0/0 Tunnel0.0 ! IX ルータに内蔵された DDNS クライアント機能を用いて、本 DDNS サービスに対して ! 定期的 (1 分間隔) で IPv6 アドレスの更新要求を送付します。 ddns profile UPDATE_DDNS source-interface FastEthernet0/0.0 notify-interface FastEthernet0/0.0 transport ipv6 url http://ddnsapi-v6.e-ntt.jp/api/renew/ ! ここで、拠点 2 用に予め作成してある DDNS ホスト名の「ホストキー」(18 文字の英数字) を指定します。 query FFFEDCBA9876543210 update-interval 1 exit ! DDNS 自動更新機能を有効にします。 ddns enable

3. NEC UNIVERGE IX ルータを用いてフレッツ網内で拠点間仮想広域イーサネット VPN (Ethernet over IPv6, EtherIP, IPsec) を構築する設定例

最後に、NEC UNIVERGE IX ルータに内蔵されている EtherIP/IPsec VPN 機能を用いて、拠点間で Ethernet over IPv6 トンネルを構築する具体的な設定例を説明します。

ここに記載されている方法を参考にすれば、どなたでも、NEC UNIVERGE IX ルータ ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、仮想的な広域イーサネットを構築できます。

  • 一般的に、最新のファームウェア (9.3.11 またはそれ以降を推奨) が動作する、以下の機能に対応した NEC UNIVERGE IX ルータが、本「OPEN IPv6 DDNS for フレッツ・光ネクスト」サービスおよび本サービスを用いた VPN の構築に対応しています。
  • ここでは、NEC UNIVERGE IX ルータの例として「NEC UNIVERGE IX2025」を使用します。
  • 以下の設定例では、IPsec VPN での認証方式は、事前共有キー (Pre-shared key) とし、事前共有キーの文字列は「password12345」とします。事前共有キーは、任意のものに変更して使用してください。
  • WAN 回線としては、すべての拠点で、フレッツ・光ネクスト (IPv6 アドレスおよび DNS サーバー設定が NTT 局内から RA および DHCPv6 により自動的に割り当てられる回線) を利用することを想定しています。
  • NEC UNIVERGE IX ルータの「FastEthernet0/0.0」ポートに WAN 回線を、「FastEthernet1/0.0」ポートに LAN 回線を接続することを想定しています。
  • 2 つの拠点で、合計 2 台の NEC UNIVERGE IX ルータを設置するものとします。 すでに DDNS ホスト名は作成されており、以下のようなパラメータとなっているものと仮定します。
    • 拠点 1: 「sample1.i.e-ntt.jp」という DDNS 名を作成済み。DDNS ホストの新規作成はこちら
      DDNS ホスト名の「ホストキー」(18 文字の英数字) として「0123456789ABCDEFFF」が割り当てられているものとする。
    • 拠点 2: 「sample2.i.e-ntt.jp」という DDNS 名を作成済み。DDNS ホストの新規作成はこちら
      DDNS ホスト名の「ホストキー」(18 文字の英数字) として「FFFEDCBA9876543210」が割り当てられているものとする。
  • 以下の設定が完了すると、拠点 1 の NEC UNIVERGE IX ルータと拠点 2 の NEC UNIVERGE IX ルータとは、いずれも、lan1 ポート同士が Ethernet でブリッジ接続されたことになり、任意の Ethernet 装置が相互に通信できるようになります。
NECルータによるレイヤ2(Ethernet)拠点間ブリッジ型 VPN(L2TPv3/IPsec over IPv6)

拠点 1 の NEC UNIVERGE IX ルータの設定例は、以下のとおりです。工場出荷時の状態から NEC UNIVERGE IX ルータ ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。

緑色の文字列は、コメントです。実際に入力する必要はありません。

! 設定モードに入ります。 configure ! 初期設定を行います。 logging buffered 204800 cyclic logging timestamp datetime logging subsystem all warn ip ufs-cache enable ipv6 ufs-cache enable ! DNS サーバーアドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。 ipv6 dhcp client-profile DHCPV6_CLIENT information-request option-request dns-servers no rapid-commit exit ! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。 interface FastEthernet0/0.0 no ip address ipv6 enable ipv6 address autoconfig receive-default ipv6 dhcp client DHCPV6_CLIENT no shutdown exit ! LAN ポート。今回は Ethernet レベル (L2) の拠点間ブリッジ VPN であるため、 ! LAN ポートには IP アドレスの設定は不要です。 interface FastEthernet1/0.0 no ipv6 enable no ip address bridge-group 1 no shutdown exit ! IPsec VPN の暗号化の設定です。 ike proposal IKE_PROPOSAL encryption aes hash sha group 1024-bit ! 以下の行には、対向拠点 (拠点 2) の IX ルータの DDNS ホスト名 (FQDN) を指定します。 ike policy IKE_POLICY peer-fqdn-ipv6 sample2.i.e-ntt.jp key password12345 IKE_PROPOSAL mode main ipv6 access-list IPSEC_ACL permit ip src any dest any ipsec autokey-proposal IPSEC_PROPOSAL esp-aes esp-sha ! 以下の行には、対向拠点 (拠点 2) の IX ルータの DDNS ホスト名 (FQDN) を指定します。 ipsec autokey-map IPSEC_MAP IPSEC_ACL peer-fqdn-ipv6 sample2.i.e-ntt.jp IPSEC_PROPOSAL ike keepalive IKE_POLICY 10 3 ! EtherIP トンネルによって構築される仮想のトンネルインターフェイスの設定です。 interface Tunnel0.0 tunnel mode ether-ip ipsec ipsec policy tunnel IPSEC_MAP df-bit ignore out no ip address bridge-group 1 bridge ip tcp adjust-mss 1312 no shutdown exit ! EtherIP トンネルを用いたブリッジを有効にします。 bridge irb enable ! IX ルータに内蔵された DDNS クライアント機能を用いて、本 DDNS サービスに対して ! 定期的 (1 分間隔) で IPv6 アドレスの更新要求を送付します。 ddns profile UPDATE_DDNS source-interface FastEthernet0/0.0 notify-interface FastEthernet0/0.0 transport ipv6 url http://ddnsapi-v6.e-ntt.jp/api/renew/ ! ここで、拠点 1 用に予め作成してある DDNS ホスト名の「ホストキー」(18 文字の英数字) を指定します。 query 0123456789ABCDEFFF update-interval 1 exit ! DDNS 自動更新機能を有効にします。 ddns enable

拠点 2 の NEC UNIVERGE IX ルータの設定例は、以下のとおりです。工場出荷時の状態から NEC UNIVERGE IX ルータ ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。

緑色の文字列は、コメントです。実際に入力する必要はありません。

! 設定モードに入ります。 configure ! 初期設定を行います。 logging buffered 204800 cyclic logging timestamp datetime logging subsystem all warn ip ufs-cache enable ipv6 ufs-cache enable ! DNS サーバーアドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。 ipv6 dhcp client-profile DHCPV6_CLIENT information-request option-request dns-servers no rapid-commit exit ! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。 interface FastEthernet0/0.0 no ip address ipv6 enable ipv6 address autoconfig receive-default ipv6 dhcp client DHCPV6_CLIENT no shutdown exit ! LAN ポート。今回は Ethernet レベル (L2) の拠点間ブリッジ VPN であるため、 ! LAN ポートには IP アドレスの設定は不要です。 interface FastEthernet1/0.0 no ipv6 enable no ip address bridge-group 1 no shutdown exit ! IPsec VPN の暗号化の設定です。 ike proposal IKE_PROPOSAL encryption aes hash sha group 1024-bit ! 以下の行には、対向拠点 (拠点 1) の IX ルータの DDNS ホスト名 (FQDN) を指定します。 ike policy IKE_POLICY peer-fqdn-ipv6 sample1.i.e-ntt.jp key password12345 IKE_PROPOSAL mode main ipv6 access-list IPSEC_ACL permit ip src any dest any ipsec autokey-proposal IPSEC_PROPOSAL esp-aes esp-sha ! 以下の行には、対向拠点 (拠点 1) の IX ルータの DDNS ホスト名 (FQDN) を指定します。 ipsec autokey-map IPSEC_MAP IPSEC_ACL peer-fqdn-ipv6 sample1.i.e-ntt.jp IPSEC_PROPOSAL ike keepalive IKE_POLICY 10 3 ! EtherIP トンネルによって構築される仮想のトンネルインターフェイスの設定です。 interface Tunnel0.0 tunnel mode ether-ip ipsec ipsec policy tunnel IPSEC_MAP df-bit ignore out no ip address bridge-group 1 bridge ip tcp adjust-mss 1312 no shutdown exit ! EtherIP トンネルを用いたブリッジを有効にします。 bridge irb enable ! IX ルータに内蔵された DDNS クライアント機能を用いて、本 DDNS サービスに対して ! 定期的 (1 分間隔) で IPv6 アドレスの更新要求を送付します。 ddns profile UPDATE_DDNS source-interface FastEthernet0/0.0 notify-interface FastEthernet0/0.0 transport ipv6 url http://ddnsapi-v6.e-ntt.jp/api/renew/ ! ここで、拠点 2 用に予め作成してある DDNS ホスト名の「ホストキー」(18 文字の英数字) を指定します。 query FFFEDCBA9876543210 update-interval 1 exit ! DDNS 自動更新機能を有効にします。 ddns enable