クロスパス固定IP8/16 – NEC IX2207/IX2215/IX2235/IX2310/IX3110/IX3315 ほかで設定

このページで紹介するのは、ひかり電話の契約がなくONUにルータを直結する場合と、ひかり電話の契約がありホームゲートウェイ配下にルータを接続する場合です。

NEC IXシリーズではNAT変換はトンネルインタフェースでするため、LAN側プライベートアドレスとDMZ側グローバルアドレスを同時には使えないようです。(PPPoEではできます)

NECのサイトではLAN側に直接IP8やIP16のグローバルアドレスを割り当てる設定例を紹介しています。その例で設置する場合はNEC IXルータ1台でDMZと社内LANのインターネットアクセスの両方をまかなえませんので、社内LAN用には適当なUTMやブロードバンドルータをDMZセグメントに別途追加することになります。

ここではよくあるUTMのように、DMZ側に別のプライベートアドレスのセグメントを割り当ててスタティックNATで公開する方法を紹介します。この方法ではDMZもLANもNEC IXルータ1台でまかなえます。一方、あまり無いケースだと思いますが一般的にルータのCPU負荷限界までアクセスがあるような非常に高負荷なサーバの公開にはNAT変換は不利です。このサイトの設定例とNECのサイトの設定例のどちらを使うかはユーザ様で判断してください。

構成

当ネットで紹介している、NEC IXシリーズ向け固定IP1との違いは

  • LAN側は192.168.1.0/24のネットワーク(社内LANセグメント用)は同様
  • DMZ側は192.168.2.0/24のネットワーク(DMZセグメント用)を追加
  • スタティックNATでグローバルアドレスを192.168.2.2〜のアドレスにIP8の場合7個。IP16の場合15個を割り当てる設定を追加。
  • LAN側からDMZ側にはフルアクセス。逆は禁止。
  • DMZのサーバ公開のフィルタは、Webの80/443とpingを許可しています。他のサービスも公開する場合は必要に応じて許可フィルタを追加してください。
  • NECサイトの上記のLAN側に直接IP8やIP16のグローバルアドレスを割り当てる設定例と、NECサイトの Config作成ツールでPPPoEでのサーバ公開で生成したConfig から、ntpサーバ指定の追加と、以外はほぼXpass設定例のままです。
  • 見慣れない「ipv6 traffic-class tos 0」という設定は、NGN内でトンネルパケットが謎の速度低下を起こさないためのものです。詳しくはこちら
  • IX2215とIX2310とIX3110の実機で、光ネクスト隼の、RA方式の/64(ひかり電話なしのONU直結、ひかり電話ありのホームゲートウェイ配下)と、DHCP-pd方式の/56(ひかり電話ありのONU直結)で接続できることを確認しています。他の機種でも同様です。
  • IX2310の実機で光クロス10Gの、DHCP-pdの/56で接続できることを確認しています。光クロス10G回線では常にDHCP-pd方式の/56になります。(ネクスト隼までとは違って、光クロスはひかり電話なしですが必ずDHCP-pdですので注意してください。)

回線にクロスパスのIPv6を開通させてください。

回線IDとアクセスキーを用意して、ルータの型番とともにびわこインターネットにお申し込みください。回線IDとアクセスキーは、フレッツ光ネクストの開通時に封筒でご自宅に届いている書類をご覧ください。 お手元に見当たらない場合はNTT116番にお電話して回線IDとアクセスキーの再送を依頼します。(手元に書類がない場合でも回線お名義と設置場所ご住所から開通することもできます。)

弊社で登録処理をすると、回線でクロスパスのIPv6が開通します。

ONUにNEC IXのGE0ポートを、GE1ポートをローカルLAN側につなぎます。

  • ひかり電話契約があるときはホームゲートウェイのLANポートにGE0ポートを接続してください。
  • IX2207以上はGE0とGE1とGE2の3つ、さらにIX3110はGE3、IX3315はGE4とGE5もありますが、使わなければ同じCONFIGで大丈夫です。

ターミナルからconfigを流し込みます

契約者には次の情報をお送りしています。この8つの項目をサンプルCFGに置き換えてください。

TUNNEL-DESTINATION-ADDRESS	トンネル宛先アドレス
IP-ADDRESS 		割り当てられた固定IP 固定IP/29(固定IP8)、またはIP/28(固定IP16)
FQDN			契約者のダイナミックDNSのFQDN。httpsから入力します。
DDNS-ID	 		契約者のダイナミックDNSの認証ID(たいていFQDNと同じです)	 
DDNS-PASSWORD	 	契約者のダイナミックDNSの認証パスワード
Basic-ID		ダイナミックDNSのBASIC認証ID
Basic-PASS		ダイナミックDNSのBASIC認証パスワード
UPDATE-SERVER-URL	ダイナミックDNSサービスのサーバアドレス

RA方式の設定例

ネクストでひかり電話なし契約でONU直下に接続する場合、ひかり電話あり契約でホームゲートウェイの下に接続する場合はRA方式です。IPv6アドレスはGE0には割り当てられず、GE1インタフェースに/64でIPv6アドレスが割り当てられます。

ntp server 133.243.238.244 timeout 1024
!
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip dhcp enable
ip access-list all-rej deny ip src any dest any
ip access-list dhcp-c permit udp src any sport eq 68 dest any dport eq 67
ip access-list dhcp-s permit udp src any sport eq 67 dest any dport eq 68
ip access-list dmz-443-filter permit tcp src any sport any dest any dport eq 443
ip access-list dmz-80-filter permit tcp src any sport any dest any dport eq 80
ip access-list dmz-icmp-filter permit icmp src any dest any
ip access-list lan-filter permit ip src any dest any
ip access-list lan2dmz-filter permit ip src 192.168.1.0/24 dest any
ip access-list tunnel-napt permit ip src 192.168.1.0/24 dest any
ip access-list dynamic d-list1 access lan-filter
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
!
proxy-dns ip enable
proxy-dns ip request both
!
ddns enable
!
ip dhcp profile dhcpv4-sv1
  assignable-range 192.168.1.100 192.168.1.200
  dns-server 192.168.1.1
!
ip dhcp profile dhcpv4-sv2
  assignable-range 192.168.2.100 192.168.2.200
  dns-server 192.168.2.1
!
ipv6 dhcp client-profile dhcpv6-cl
  information-request
  option-request dns-servers
!
ipv6 dhcp server-profile dhcpv6-sv
  dns-server dhcp
!
ddns profile xpass-update
  url UPDATE-SERVER-URL
  query d=DDNS-ID&p=DDNS-PASSWORD&a=<IP6>&u=FQDN
  account Basic-ID
  password plain Basic-PASS
  transport ipv6
  notify-interface GigaEthernet1.0
  source-interface GigaEthernet1.0
  update-interval 10
!
interface GigaEthernet0.0
  no ip address
  ipv6 enable
  ipv6 dhcp client dhcpv6-cl
  ipv6 traffic-class tos 0
  ipv6 nd proxy GigaEthernet1.0
  ipv6 filter dhcpv6-list 1 in
  ipv6 filter icmpv6-list 2 in
  ipv6 filter tunnel-list 3 in
  ipv6 filter block-list 100 in
  ipv6 filter dhcpv6-list 1 out
  ipv6 filter icmpv6-list 2 out
  ipv6 filter tunnel-list 3 out
  ipv6 filter dflt-list 100 out
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.1.1/24
  ip dhcp binding dhcpv4-sv1
  ip filter dhcp-c 1 in
  ip filter d-list1 2 in
  ip filter dhcp-s 1 out
  ip filter all-rej 2 out
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag
  no shutdown
!
interface GigaEthernet2.0
  ip address 192.168.2.1/24
  ip dhcp binding dhcpv4-sv2
  ip filter dhcp-c 1 in
  ip filter d-list1 2 in
  ip filter dhcp-s 1 out
  ip filter lan2dmz-filter 2 out
  ip filter dmz-icmp-filter 3 out
  ip filter dmz-80-filter 4 out
  ip filter dmz-443-filter 5 out
  ip filter all-rej 99 out
  no shutdown
!
interface Tunnel0.0
  tunnel mode 4-over-6
  tunnel destination TUNNEL-DESTINATION-ADDRESS
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  ip nat enable
  ip nat static 192.168.2.1 111.111.111.0 この例ではルータに割り当てています。ipsecVPNや外部からルータのtelnetやsshでの管理する場合必要です。不要ならこの行は削除できます。
  ip nat static 192.168.2.2 111.111.111.1 サーバ公開1台目
  ip nat static 192.168.2.3 111.111.111.2 サーバ公開2台目
  ip nat static 192.168.2.4 1111.111.111.3 サーバ公開3台目
  ip nat static 192.168.2.5 1111.111.111.4 サーバ公開4台目
  ip nat static 192.168.2.6 111.111.111.5 サーバ公開5台目
  ip nat static 192.168.2.7 1111.111.111.6 サーバ公開6台目
  ip nat static 192.168.2.8 1111.111.111.7 サーバ公開7台目。IP8契約の場合ここが最後です。
  ip napt enable
  ip napt address 111.111.111.0 社内LANが外部にアクセスするときのIPアドレス
  no shutdown

DHCP-pd方式の設定例

ネクストでひかり電話あり契約でONU直結する場合と、光クロス10GでONU直結する場合はDHCP-pd方式です。上位からはIPv6アドレスが/56で降ってきます。GE0にはIPv6アドレスが割り当てられず、GE1インタフェースに/64でIPv6アドレスが割り当てられます。必要があればGE2やGE3にもそれぞれ/64で割り当てることも出来ます。

ntp server 133.243.238.244 timeout 1024
!
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip dhcp enable
ip access-list all-rej deny ip src any dest any
ip access-list dhcp-c permit udp src any sport eq 68 dest any dport eq 67
ip access-list dhcp-s permit udp src any sport eq 67 dest any dport eq 68
ip access-list dmz-443-filter permit tcp src any sport any dest any dport eq 443
ip access-list dmz-80-filter permit tcp src any sport any dest any dport eq 80
ip access-list dmz-icmp-filter permit icmp src any dest any
ip access-list lan-filter permit ip src any dest any
ip access-list lan2dmz-filter permit ip src 192.168.1.0/24 dest any
ip access-list tunnel-napt permit ip src 192.168.1.0/24 dest any
ip access-list dynamic d-list1 access lan-filter
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
!
proxy-dns ip enable
proxy-dns ip request both
!
ddns enable
!
ip dhcp profile dhcpv4-sv1
  assignable-range 192.168.1.100 192.168.1.200
  dns-server 192.168.1.1
!
ip dhcp profile dhcpv4-sv2
  assignable-range 192.168.2.100 192.168.2.200
  dns-server 192.168.2.1
!
ipv6 dhcp client-profile dhcpv6-cl
  option-request dns-servers
  ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
!
ipv6 dhcp server-profile dhcpv6-sv
  dns-server dhcp
!
ddns profile xpass-update
  url UPDATE-SERVER-URL
  query d=DDNS-ID&p=DDNS-PASSWORD&a=<IP6>&u=FQDN
  account Basic-ID
  password plain Basic-PASS
  transport ipv6
  notify-interface GigaEthernet1.0
  source-interface GigaEthernet1.0
  update-interval 10
!
interface GigaEthernet0.0
  no ip address
  ipv6 enable
  ipv6 dhcp client dhcpv6-cl
  ipv6 traffic-class tos 0
  ipv6 filter dhcpv6-list 1 in
  ipv6 filter icmpv6-list 2 in
  ipv6 filter tunnel-list 3 in
  ipv6 filter block-list 100 in
  ipv6 filter dhcpv6-list 1 out
  ipv6 filter icmpv6-list 2 out
  ipv6 filter tunnel-list 3 out
  ipv6 filter dflt-list 100 out
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.1.1/24
  ip dhcp binding dhcpv4-sv1
  ip filter dhcp-c 1 in
  ip filter d-list1 2 in
  ip filter dhcp-s 1 out
  ip filter all-rej 2 out
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag
  no shutdown
!
interface GigaEthernet2.0
  ip address 192.168.2.1/24
  ip dhcp binding dhcpv4-sv2
  ip filter dhcp-c 1 in
  ip filter d-list1 2 in
  ip filter dhcp-s 1 out
  ip filter lan2dmz-filter 2 out
  ip filter dmz-icmp-filter 3 out
  ip filter dmz-80-filter 4 out
  ip filter dmz-443-filter 5 out
  ip filter all-rej 99 out
  no shutdown
!
interface Tunnel0.0
  tunnel mode 4-over-6
  tunnel destination TUNNEL-DESTINATION-ADDRESS
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  ip nat enable
  ip nat static 192.168.2.1 111.111.111.0 この例ではルータに割り当てています。ipsecVPNや外部からルータのtelnetやsshでの管理する場合です。不要ならこの行は削除します。
  ip nat static 192.168.2.2 111.111.111.1 サーバ公開1台目
  ip nat static 192.168.2.3 111.111.111.2 サーバ公開2台目
  ip nat static 192.168.2.4 1111.111.111.3 サーバ公開3台目
  ip nat static 192.168.2.5 1111.111.111.4 サーバ公開4台目
  ip nat static 192.168.2.6 111.111.111.5 サーバ公開5台目
  ip nat static 192.168.2.7 1111.111.111.6 サーバ公開6台目
  ip nat static 192.168.2.8 1111.111.111.7 サーバ公開7台目。IP8契約の場合ここが最後です。
  ip napt enable
  ip napt address 111.111.111.0 社内LANが外部にアクセスするときのIPアドレス
  no shutdown

ほか

RA方式でGE1インタフェースのIPv6アドレスは上記CONFIGではMACアドレスから生成されますが、::1を指定したいとき下位64bitを指定もできます。

interface GigaEthernet1.0
ipv6 interface-identifier 00:00:00:00:00:00:00:01

RAをDHCP-pdに変更するとき

RAとDHCP-pdの違いは次の点のみです。DHCP-pdでIPv6アドレスの指定はia-pd subscriberコマンドを使います。
IPv6アドレスはMACアドレスから生成する場合です。

ipv6 dhcp client-profile dhcpv6-cl
 no information-request
 ia-pd subscriber GigaEthernet1.0 ::/64 eui-64

interface GigaEthernet0.0
 no ipv6 nd proxy GigaEthernet1.0

DHCP-pdでIPv6アドレスに::1を指定したい場合

ipv6 dhcp client-profile dhcpv6-cl
 no information-request
 ia-pd subscriber GigaEthernet1.0 ::1/64

interface GigaEthernet0.0
 no ipv6 nd proxy GigaEthernet1.0

telnetで管理する必要がある時

telnetを有効化するときはルータのパスワードは忘れずに設定してください。

ユーザadminの登録
enable
username admin password plain [NEW-PASSWORD] administrator

パスワード変更(現在ログイン中のユーザのパスワード変更)
password [OLD-PASSWORD] [NEW-PASSWORD]

telnetサーバ有効化とtelnet許可範囲をアクセスリストに設定
ip access-list console permit ip src 192.168.1.0/24 dest any
ip access-list console deny ip src any dest any
telnet-server ip access-list console
telnet-server ip enable

ipv6でも管理したいとき
ipv6 access-list console permit ip src x:x:x:x:x:x:x:x/128 dest any
ipv6 access-list console deny ip src any dest any
telnet-server ipv6 access-list console
telnet-server ipv6 enable
interface GigaEthernet0.0
ipv6 filter console 4 in

最後に保存
write memory

ビジネス利用でLAN内のPCにIPv6アドレスを配布したくないとき

上記ConfigではLAN内のPCにIPv6アドレスが配布されます。ビジネス利用でセキュリティ面からLAN内にはIPv6アドレスを配布したくないときもあるかと思います。その場合はさらに次の内容をコピペしてください。

interface GigaEthernet1.0
no ipv6 dhcp server dhcpv6-sv
no ipv6 nd ra enable
no ipv6 nd ra other-config-flag

DHCP-pdで/56が降ってくるので、GE1だけでなくGE2やGE3でもIPv6を使いたい場合

それぞれのセグメントにIPv6を割り当てるには次のようにします。IPv6のフィルタは必要に応じて別途考慮してください。(NECサイトのFAQページ参照)

ipv6 dhcp client-profile dhcpv6-cl
  option-request dns-servers
  ia-pd subscriber GigaEthernet1.0 ::1:0:0:0:1/64
  ia-pd subscriber GigaEthernet2.0 ::2:0:0:0:1/64
  ia-pd subscriber GigaEthernet3.0 ::3:0:0:0:1/64

ipv6 dhcp server-profile dhcpv6-sv
  dns-server dhcp

ipv6 dhcp server-profile dhcpv6-sv2
  dns-server dhcp
  
ipv6 dhcp server-profile dhcpv6-sv3
  dns-server dhcp

interface GigaEthernet1.0
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag

interface GigaEthernet2.0
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv2
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag

interface GigaEthernet3.0
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv3
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag

DDNS設定箇所はわかりにくい部分ですので、具体的にもう少し詳しく説明します

たとえば
FQDN=DDNS-ID=abcdef.v4v6.xpass.jp
DDNS-PASSWORD=ghijkl
Basic-ID=mnopqr
Basic-PASS=stuvwx
UPDATE-SERVER-URL=https://ddnsweb1.ddns.vbbnet.jp/cgi-bin/ddns_api.cgi

のユーザ情報を受け取った方の場合、DDNSのセクションは次のようになります。 <IP6> の箇所は置き換えるのではなくそのまま入力してください。

!
ddns profile xpass-update
  url https://ddnsweb1.ddns.vbbnet.jp/cgi-bin/ddns_api.cgi
  query d=abcdef.v4v6.xpass.jp&p=ghijkl&a=<IP6>&u=abcdef.v4v6.xpass.jp
  account mnopqr
  password plain stuvwx
  transport ipv6
  notify-interface GigaEthernet1.0
  source-interface GigaEthernet1.0
  update-interval 10
!

動作確認

NEC IXシリーズは、インタフェースに機器が接続してUPしていないとIPアドレスが割当たりませんので、設定中はLAN側(GE1)とDMZ側(GE2)に何か接続してリンクUP状態にします。LAN側(GE1)がリンクDOWNしているとインターネット通信ができなくなります。

*DDNSの手動実行

Router(config)# ddns update

*インタフェースへのIPv6アドレス割当を確認 RA方式
上位から降ってくるIPv6アドレスが/64でこれ以上分割できませんので、IPv6アドレスはローカルLAN側になるインターフェースGE1にのみ割り当てています。WAN側のGE0には割り当てていません。

Router# show ipv6 address 
Interface GigaEthernet0.0 is up, line protocol is up
  Link-local address(es):
    fe80::xxxx:xxxx:xxxx:xxxx prefixlen 64
    fe80:: prefixlen 64 anycast
  Multicast address(es):
    ff02::1
    ff02::2
    ff02::1:2
    ff02::1:xxxx:0
    ff02::1:xxxx:xxxx
Interface GigaEthernet1.0 is up, line protocol is up
  Global address(es):
    2001:xxxx:xxxx:xxxx:xxxx:xxxx prefixlen 64
    2001:xxxx:xxxx:xxxx:: prefixlen 64 anycast
  Link-local address(es):
    fe80::1 prefixlen 64
    fe80:: prefixlen 64 anycast
  Multicast address(es):
    ff02::1
    ff02::2
    ff02::1:2
    ff02::1:ff00:0
    ff02::1:ff00:1
Interface Loopback0.0 is up, line protocol is up
  Orphan address(es):
    ::1 prefixlen 128
Interface Loopback1.0 is up, line protocol is up
Interface Null0.0 is up, line protocol is up
Interface Null1.0 is up, line protocol is up

インタフェースへのIPv6アドレス割当確認 DHCP-pd方式
上位から降ってくるIPv6アドレスが/56で、IPv6アドレスをローカルLAN側になるインターフェースGE1に/64で割り当てています。

Router# show ipv6 address 
Interface GigaEthernet0.0 is up, line protocol is up
  Global address(es):
    2001:xxxx:xxxx:xxxx:: prefixlen 56 anycast
  Link-local address(es):
    fe80::xxxx:xxxx:xxxx:xxxx prefixlen 64
    fe80:: prefixlen 64 anycast
  Multicast address(es):
    ff02::1
    ff02::2
    ff02::1:2
    ff02::1:xxxx:0
    ff02::1:xxxx:xxxx
Interface GigaEthernet1.0 is up, line protocol is up
  Global address(es):
    2001:xxxx:xxxx:xxxx:xxxx:xxxx prefixlen 64
      Valid lifetime 14366, preferred lifetime 12566
    2001:xxxx:xxxx:xxxx:: prefixlen 64 anycast
  Link-local address(es):
    fe80::1 prefixlen 64
    fe80:: prefixlen 64 anycast
  Multicast address(es):
    ff02::1
    ff02::2
    ff02::1:2
    ff02::1:xxxx:0
    ff02::1:xxxx:xxxx
Interface Loopback0.0 is up, line protocol is up
  Orphan address(es):
    ::1 prefixlen 128
Interface Loopback1.0 is up, line protocol is up
Interface Null0.0 is up, line protocol is up
Interface Null1.0 is up, line protocol is up

*インタフェースのIPv4アドレス確認

複数固定IPではトンネルインタフェースはunnumberedになります。固定IP1でそのままトンネルインタフェースにIPアドレスが割り当てられるのとは違っています。

Router# show ip address
Interface GigaEthernet1.0 is up, line protocol is up
  Internet address is 192.168.1.1/24
  Broadcast address is 255.255.255.255
  Address determined by config
Interface GigaEthernet2.0 is up, line protocol is up
  Internet address is 192.168.2.1/24
  Broadcast address is 255.255.255.255
  Address determined by config
Interface Null0.0 is up, line protocol is up
  Interface is unnumbered.
Interface Tunnel0.0 is up, line protocol is up
  Interface is unnumbered. Using address of GigaEthernet2.0 (192.168.2.1)

*疎通確認 IPv6

例はクロスパスの接続ポイントと、GoogleDNSです。

Router(config)# ping6 dgw.xpass.jp
Router(config)# ping6 2001:4860:4860::8888


*疎通確認 IPv4 (トンネルが通っているか)

Router(config)# ping 8.8.8.8

接続テスト

こちらのページにアクセスして確認していただけます。IPv4アドレスの次の行のホスト名に、****.west.xps.vectant.ne.jp または ****.east.xps.vectant.ne.jp と表示されればOKです。

http://check.xpass.jp/