プロのインフラエンジニアが、NEC IX2106 でMAP-Eを設定してみた。

なんとなく、最近のラノベ風のタイトルを付けてみた、ルータの設定の解説と、ブログのまとめです。今までの設定の成り行き編とは、少し違うカンジで進めていきたいなぁ。あ、流し込めばとりあえず大丈夫的なConfigも、まとめて再記しますので、気楽に読み進めてください。Biglobeならではな所は無さそうなので、他のMAP-Eでもコレで行けそうです。

★構成


最終的な構成です。ルータは2台とも NEC IX2106。動きが素直で、コスパが良いので仕事でも第一選択肢になるIXシリーズの一番安いやつ。今回は逆に、WANの口(ルーテッドポート)が2個あってもしょうがないので、この構成で十分。10GポートのあるIX2310も一瞬だけ検討しましたが、高すぎます。

ただし、ルータのLAN側はどうせ直接つなぐのは自作マシンと、バッファローのWiFiアクセスポイントだけなので、その他の3ポートをリンクアグリゲーションで直結して、3ギガで繋いでいます。ルータ間はコレくらいあればいいかってカンジで。なぜ、192.168.200.253を使用してないかというと、VRRP構成を考えてたけど、どうもリモートアクセスが阻害されるので、止めた残骸です。。。もういいよ!永久欠番だよ!!

★MAP-E設定

IXルータで、MAP-Eの設定を行う際に、必要な部分は4箇所。IPv6の設定と、セキュリティの設定と、トンネルの設定と、ルーティングの設定とになります。一つづついきます。ちな、特に意味のないIPv4の設定は省きますので、よしなに。

・IPv6の設定

ipv6 ufs-cache enable
ipv6 dhcp enable

ipv6 dhcp client-profile dhcpv6-cl
  information-request
  option-request dns-servers

ipv6 dhcp server-profile dhcpv6-sv
  dns-server dhcp

interface GigaEthernet0.0
  ipv6 enable
  ipv6 traffic-class tos 0
  ipv6 dhcp client dhcpv6-cl
  ipv6 nd proxy GigaEthernet1.0
  no shutdown

interface GigaEthernet1.0
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag
  no shutdown

まず、HGWからのRAによるプレフィックス配布を受け取って、LAN側への配布を代行するという設定です。ぶっちゃけた話、ココでも躓く人もいると思うので、声を大にして言います。

ひかり電話の契約があっても、HGWが有ればRA!

思い出したのですが、一台目のIX2106でBiglobe v6オプションライトの設定をしたときも、ここで躓きました。いや、設定例をよく読まないのが悪いんですけれども。。。

・セキュリティの設定

ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list

interface GigaEthernet0.0
  ipv6 filter dhcpv6-list 1 in
  ipv6 filter icmpv6-list 2 in
  ipv6 filter tunnel-list 3 in
  ipv6 filter block-list 100 in
  ipv6 filter dhcpv6-list 1 out
  ipv6 filter icmpv6-list 2 out
  ipv6 filter tunnel-list 3 out
  ipv6 filter dflt-list 100 out

IPv6では、ルータにNAPTの概念がありません。つまりLAN内もインターネットへ公開されている状態となります。これで、外部→内部はIPv6のプレフィックスとPing以外は、内部→外部への通信の帰り以外は拒絶します。コレもstateful packet inspectionっていうのかな?

・トンネルの設定

ip ufs-cache max-entries 20000
ip ufs-cache enable

ipv6 ufs-cache max-entries 10000

interface Tunnel0.0
  tunnel mode map-e
  ip address map-e
  ip tcp adjust-mss auto
  ip napt enable
  no shutdown

え?こんだけ??っていう向きもありますが、こんだけ。MAP-Eは通常のNAPTと違って、使えるポートが少ないので、少なく使うのがデフォです。(ポートセービングNAT)
なので、この制限を外す設定もあります。が、よっぽど必要と思う以外は要らないかなぁ。UDPのみにするか、TCPもするかは、まかせるよ。

interface Tunnel0.0
  ip napt eim-mode udp-only    :UDPのみ
  ip napt eim-mode        :TCP/UDP両方

・ルーティングの設定

ip route default Tunnel0.0

まぁ、これだけ。IPv4はMAP-Eトンネルを通るよ!ってカンジ。


★ホームゲートウェイと言う名の「やる気のある無能」

ここまで、やってできない人も多いと思います。
全てはホームゲートウェイ(HGW)が悪い。

その場合、HGWのフレッツ・ジョイントという機能に勝手にインストールされている、IPv4設定ソフトが邪魔しています。オフにするには、下記の記事を参照してください。


で、この記事にも書いたのですが、MAP-Eは個々のルータで処理させるより、HGWに処理させたほうが速そうです。

その時はルータでNATさせると手っ取り早そうですが、その辺はおまかせします。その場合、トンネルの設定が要らないのと、ルーティングがHGWになります。

なんでこんな事になってるのかというと、恐らくはバッファローなどのWiFiルータで簡単に増速させてあげたい、プロにはありがた迷惑な配慮によると思います。なぜなら・・・ウチのWiFiアクセスポイントで使っていた、WXR-5950AX12では、

おおよそ、設定変更なく、出来た Orz

全てはこれに帰結します。
それは良いんですが、ISPもルータベンダもNTTも、

ドキュメント化しとけ

笛あおい。心の叫び。
使えるプロトコルがISPでバラバラなのもこの状況を支えている。IPv6は奥が深いというか、浅くて広いというか、なんというか。。。


<関係記事>
なりゆきは下記記事を御参照ください。



<今回設定したConfigのまとめ>

ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
!
ipv6 dhcp client-profile dhcpv6-cl
  information-request
  option-request dns-servers
!
ipv6 dhcp server-profile dhcpv6-sv
  dns-server dhcp
!
interface GigaEthernet0.0
  ip address 192.168.1.253/24    :HGWのLAN側アドレスセグメントのどれか
  ipv6 enable
  ipv6 dhcp client dhcpv6-cl
  ipv6 traffic-class tos 0
  ipv6 nd proxy GigaEthernet1.0
  ipv6 filter dhcpv6-list 1 in
  ipv6 filter icmpv6-list 2 in
  ipv6 filter tunnel-list 3 in
  ipv6 filter block-list 100 in
  ipv6 filter dhcpv6-list 1 out
  ipv6 filter icmpv6-list 2 out
  ipv6 filter tunnel-list 3 out
  ipv6 filter dflt-list 100 out
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.200.254/24   :IXのLAN側、200に大きな意味はない。
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag
  no shutdown
!
interface Tunnel0.0
  tunnel mode map-e
  ip address map-e
  ip tcp adjust-mss auto
  ip napt enable
  no shutdown

<おわり>

コメント

このブログの人気の投稿

薄々は・・・だけど。

なんだコレ!?