プロのインフラエンジニアが、NEC IX2106 でMAP-Eを設定してみた。
なんとなく、最近のラノベ風のタイトルを付けてみた、ルータの設定の解説と、ブログのまとめです。今までの設定の成り行き編とは、少し違うカンジで進めていきたいなぁ。あ、流し込めばとりあえず大丈夫的なConfigも、まとめて再記しますので、気楽に読み進めてください。Biglobeならではな所は無さそうなので、他のMAP-Eでもコレで行けそうです。
★構成
最終的な構成です。ルータは2台とも NEC IX2106。動きが素直で、コスパが良いので仕事でも第一選択肢になるIXシリーズの一番安いやつ。今回は逆に、WANの口(ルーテッドポート)が2個あってもしょうがないので、この構成で十分。10GポートのあるIX2310も一瞬だけ検討しましたが、高すぎます。
ただし、ルータのLAN側はどうせ直接つなぐのは自作マシンと、バッファローのWiFiアクセスポイントだけなので、その他の3ポートをリンクアグリゲーションで直結して、3ギガで繋いでいます。ルータ間はコレくらいあればいいかってカンジで。なぜ、192.168.200.253を使用してないかというと、VRRP構成を考えてたけど、どうもリモートアクセスが阻害されるので、止めた残骸です。。。もういいよ!永久欠番だよ!!
★MAP-E設定
IXルータで、MAP-Eの設定を行う際に、必要な部分は4箇所。IPv6の設定と、セキュリティの設定と、トンネルの設定と、ルーティングの設定とになります。一つづついきます。ちな、特に意味のないIPv4の設定は省きますので、よしなに。
・IPv6の設定
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
interface GigaEthernet0.0
ipv6 enable
ipv6 traffic-class tos 0
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet1.0
no shutdown
interface GigaEthernet1.0
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
まず、HGWからのRAによるプレフィックス配布を受け取って、LAN側への配布を代行するという設定です。ぶっちゃけた話、ココでも躓く人もいると思うので、声を大にして言います。
ひかり電話の契約があっても、HGWが有ればRA!
思い出したのですが、一台目のIX2106でBiglobe v6オプションライトの設定をしたときも、ここで躓きました。いや、設定例をよく読まないのが悪いんですけれども。。。
・セキュリティの設定
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
interface GigaEthernet0.0
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter tunnel-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter tunnel-list 3 out
ipv6 filter dflt-list 100 out
IPv6では、ルータにNAPTの概念がありません。つまりLAN内もインターネットへ公開されている状態となります。これで、外部→内部はIPv6のプレフィックスとPing以外は、内部→外部への通信の帰り以外は拒絶します。コレもstateful packet inspectionっていうのかな?
・トンネルの設定
ip ufs-cache max-entries 20000
ip ufs-cache enable
ipv6 ufs-cache max-entries 10000
interface Tunnel0.0
tunnel mode map-e
ip address map-e
ip tcp adjust-mss auto
ip napt enable
no shutdown
え?こんだけ??っていう向きもありますが、こんだけ。MAP-Eは通常のNAPTと違って、使えるポートが少ないので、少なく使うのがデフォです。(ポートセービングNAT)
なので、この制限を外す設定もあります。が、よっぽど必要と思う以外は要らないかなぁ。UDPのみにするか、TCPもするかは、まかせるよ。
interface Tunnel0.0
ip napt eim-mode udp-only :UDPのみ
ip napt eim-mode :TCP/UDP両方
・ルーティングの設定
ip route default Tunnel0.0
まぁ、これだけ。IPv4はMAP-Eトンネルを通るよ!ってカンジ。
★ホームゲートウェイと言う名の「やる気のある無能」
ここまで、やってできない人も多いと思います。
全てはホームゲートウェイ(HGW)が悪い。
その場合、HGWのフレッツ・ジョイントという機能に勝手にインストールされている、IPv4設定ソフトが邪魔しています。オフにするには、下記の記事を参照してください。
で、この記事にも書いたのですが、MAP-Eは個々のルータで処理させるより、HGWに処理させたほうが速そうです。
その時はルータでNATさせると手っ取り早そうですが、その辺はおまかせします。その場合、トンネルの設定が要らないのと、ルーティングがHGWになります。
なんでこんな事になってるのかというと、恐らくはバッファローなどのWiFiルータで簡単に増速させてあげたい、プロにはありがた迷惑な配慮によると思います。なぜなら・・・ウチのWiFiアクセスポイントで使っていた、WXR-5950AX12では、
おおよそ、設定変更なく、出来た Orz
全てはこれに帰結します。
それは良いんですが、ISPもルータベンダもNTTも、
ドキュメント化しとけ
笛あおい。心の叫び。
使えるプロトコルがISPでバラバラなのもこの状況を支えている。IPv6は奥が深いというか、浅くて広いというか、なんというか。。。
★<今回設定したConfigのまとめ>
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
!
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
!
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
!
interface GigaEthernet0.0
ip address 192.168.1.253/24 :HGWのLAN側アドレスセグメントのどれか
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 traffic-class tos 0
ipv6 nd proxy GigaEthernet1.0
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter tunnel-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter tunnel-list 3 out
ipv6 filter dflt-list 100 out
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.200.254/24 :IXのLAN側、200に大きな意味はない。
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
!
interface Tunnel0.0
tunnel mode map-e
ip address map-e
ip tcp adjust-mss auto
ip napt enable
no shutdown
★<関係記事>
なりゆきは下記記事を御参照ください。