ワイヤレスアダプタ/ワイヤレス VPN ルータ
UNIVERGE WA シリーズ
設定事例集
第 8.0 版 (ソフトウェア Ver8.0 対応) ご注意 ご使用の前にこのマニュアルをよくお読みの上で、正しくお使いください。 お読みになったあとは、いつでもご覧になれる場所に必ず保管してください。はじめに
本設定事例集では、UNIVERGE WA シリーズの設定事例について説明しています。 ルータと組み合わせて使用する構成では、UNIVERGE IX2000/IX3000 シリーズの設定例を 記載しています。 各コマンドの詳細については、コマンドリファレンスや機能説明書をご参照下さい。 本設定事例集は UNIVERGE WA シリーズ ソフトウェア Ver.8.0 に対応しています。 ご注意 (1) 本書の内容の一部または全部を無断で転載することは禁止されています。 (2) 本書の内容については、将来予告なしに変更することがあります。 (3) 本書は内容について万全を期しておりますが、万一ご不審な点や誤り、記載漏れなど お気づきの点がありましたら、ご連絡ください。 (4) 運用した結果については、(3)項にかかわらずいかなる責任も負いかねますので、 あらかじめご了承ください。はじめに
··· i
もくじ
··· ii
1.
アダプタモード設定
··· 1-1
1.1. 内蔵モジュールを使用する ··· 1-1 1.2. データ通信端末(3G/LTE)を使用する ··· 1-5 1.3. データ通信端末(WiMAX)を使用する ··· 1-92.
インターネット接続設定
··· 2-1
2.1. データ通信端末をPPP 接続してインターネットに常時接続する ··· 2-1 2.2. データ通信端末をNDIS 接続してインターネットに常時接続する ··· 2-4 2.3. WiMAX データ通信端末を使用して常時接続を行う ··· 2-7 2.4. PPPoE を使用して常時接続を行う ··· 2-10 2.5. SIM ロックフリーモデルで任意のモバイルキャリアを利用する ··· 2-133.
IPv4 設定··· 3-1
3.1. 複数の経路情報を設定する ··· 3-14.
IPv6 設定··· 4-1
4.1. PPPoEv6 を使用して常時接続を行う ··· 4-1 4.2. RA 方式を使用して常時接続を行う ··· 4-55.
ブリッジ設定
··· 5-1
5.1. トランスペアレントブリッジを使用する ··· 5-1 5.2. PPPoE ブリッジを使用する ··· 5-4 5.3. レイヤ2 高速切替機能でブリッジ経路切替を行う ··· 5-86.
NAT/NAPT 設定 ··· 6-1
6.1. スタティックNAT を使用する ··· 6-1 6.2. ダイナミックNAT を使用する ··· 6-3 6.3. スタティックNAPT 機能を使用して Web サーバを公開する ··· 6-66.4. IPsec inner NAT 機能を使用する ··· 6-8 6.5. NAPT 除外設定を使用した IPsec 接続を行う ··· 6-14
7.
DHCP 設定 ··· 7-1
7.1. DHCP サーバ機能を使用する ··· 7-1 7.2. 複数のDHCP サーバ機能を使用する ··· 7-4 7.3. DHCP リレーエージェント機能を使用する ··· 7-78.
Dynamic DNS 設定 ··· 8-1
8.1. NetMeister のダイナミック DNS を利用して VPN 接続を行う ··· 8-2 8.2. WA シリーズ専用 DDNS サービスを利用しリモートメンテナンスを行う8-69.
IPsec 設定 ··· 9-1
9.1. メインモードのIPsec 接続を行う ··· 9-1 9.2. アグレッシブモードのIPsec 接続を行う ··· 9-6 9.3. IPsec トンネル経由でインターネットに接続する ··· 9-14 9.4. キャリアグレードNAT された通信網で IPsec 接続を行う ··· 9-22 9.5. peerFQDN を使用して動的 IP アドレス環境で IPsec 接続を行う ··· 9-30 9.6. IPsec 簡単コンフィグを使用して VPN 設定を行う ··· 9-39 9.7. NGN 閉域網 IPv6 で、NetMeister のダイナミック DNS 機能を利用し、IPsec 接続を行う ··· 9-44
10.
IKEv2/IPsec 設定 ··· 10-1
10.1.IPv6 網に IKEv2/IPsec トンネルを生成し、拠点間通信を行う ··· 10-1
11.
L2 トンネル設定 ··· 11-1
EtherIP 接続を行う ··· 11-1 EtherIP over IPsec(メイン/トランスポート)接続を行う ··· 11-3 EtherIP over IPsec(アグレッシブ/トランスポート)接続を行う ·· 11-8 L2TPv3 over IPsec(メイン/トンネル)接続を行う ··· 11-12 L2TP インタフェースでパケットに VLAN Tag を付ける ··· 11-18
12.
GRE 設定 ··· 12-1
12.1.GRE over IPsec(トランスポート)接続を行う ··· 12-1
13.
VLAN 設定··· 13-1
13.1.タグVLAN を使用する ··· 13-1 13.2.ポートVLAN を使用する ··· 13-414.
冗長構成
··· 14-1
14.1.VRRP を使用してルータを冗長化する ··· 14-1 14.2.ネットワークモニタを使用してIPsec を迂回する ··· 14-6 14.3.同一IP に複数 IPsec トンネルを設定して迂回する ··· 14-15 14.4.デュアルモバイルでWAN 回線を冗長化する··· 14-24 14.5.ネットワークモニタ機能の複数イベントを使用する ··· 14-2815.
ポリシールーティング設定
··· 15-1
15.1.アプリケーション毎に経路を分ける ··· 15-1 15.2.自発パケットの経路を分ける ··· 15-416.
無線
LAN 設定 ··· 16-1
16.1.マルチSSID で複数のアクセス方式に対応する ··· 16-116.2.有線LAN と無線 LAN を BVI で同一セグメントとして扱う ··· 16-5
16.3.2つの無線LAN グループを別セグメントとして扱う ··· 16-9
16.4.暗号化キーを自動的に定期更新する ··· 16-16
17.1.ログイン認証を行う ··· 17-3
18.
端末認証設定
··· 18-1
18.1.有線LAN および無線 LAN で IEEE802.1X 認証を行う ··· 18-1
18.2.有線LAN および無線 LAN で MAC 認証を行う ··· 18-7
18.3.異なるインタフェースで異なる認証方式を有効にする ··· 18-13
19.
QoS 設定··· 19-1
19.1.自発パケットを優先送信する ··· 19-1 19.2.送信パケットにDSCP 値を付与する(カラーリング機能) ··· 19-4 19.3.物理ポートでトラフィックシェーピングを設定する ··· 19-620.
BGP4 設定··· 20-1
20.1.AS 間で経路情報を交換する ··· 20-121.
URL オフロード設定例 ··· 21-1
21.1.経路制御処理を利用した構成(HTTP プロキシサーバを利用しない)21-1 21.2.フィルタ処理を利用した構成(HTTP プロキシサーバを利用する) ·· 21-522.
URL リダイレクト設定 ··· 22-1
22.1 設定したサイトを利用者のブラウザへ表示させる ··· 22-123.
管理・保守
··· 23-1
SNTP クライアントを使用して時刻を設定する ··· 23-1 SNMP を使用して情報を収集する ··· 23-3 SYSLOG を使用して情報を収集する ··· 23-6 FTP 自動バージョンアップ機能を使用する ··· 23-8 起動時HTTP 自動バージョンアップ機能を使用する ··· 23-12 スケジューラ機能を利用してMAC アドレスフィルタを変更する ··· 23-16 初期コンフィグモードを変更する ··· 23-20 NetMeister を利用して、装置の管理・保守する ··· 23-22モバイル網接続に必要なパラメータ
···· 付録-1
使用可能なデータ通信端末
··· 付録-4
1. アダプタモード設定
1.1. 内蔵モジュールを使用する
WA1511 の内蔵モジュールを使用したアダプタモードの基本的な設定を説明します。本設 定により、配下に接続するルータからインターネットアクセス等を行うことが可能となり ます。
本設定例は、WA1511 での MobileEthernet0.0(NDIS 接続)を使用した PPPoE-DHCP 接
続を例に挙げています。なお、内蔵モジュールは、Serial0(PPP 接続)を使用した PPPoE-PPP 接続はサポートしていません。Serial 接続はデータ通信端末が必要です。1.2 項を参 照願います。 ■接続構成 ■設定概要 以下の設定を行います。 ・ アダプタモード設定 ・ MobileEthernet0.0 インタフェース設定(アクセスポイント設定) ・ メンテナンス用 IP アドレス設定 ・ オペレータアカウント登録 配下ルータ(IX2215)には以下の設定を行います。 ・ PPP プロファイル、PPPoE 設定 ・ アクセスポイント、ダイヤルアップ番号設定 192.168.1.0/24 UNIVERGE IX2215 PPPoE GE1.0 .254
((
(
モバイル 通信事業者 インターネット サービスプロバイダ GE0.1 GE1.0 端末A 192.168.200.0/24(メンテナンス .254 .253 GE0.0 インターネット接続 装置A 装置B UNIVERGE WA1511 DHCP (NDIS 接続) PDP-Type:IP CID :1 APN :example.net■設定(コンフィグ作成バージョン:Ver7.1.3) [装置A:WA1511 設定]
!
hostname WA1511 !
username test password plain test operator !
https-username test2 password plain test2 operator !
wireless-adapter enable MobileEthernet0.0 ! device usb0 ! device module0 ! interface GigaEthernet0.0 no ip address shutdown ! interface GigaEthernet1.0 ip address 192.168.200.253/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp mobile id IP example.net mobile username test
mobile password plain test test auto-connect no shutdown ! ip route 192.168.1.0/24 192.168.200.254 ! ip name-server 192.168.200.254 ! telnet-server ip enable ! sntp-client enable
ntp-server server servername ! https-server ip enable ! led vpn ipsec ! 以下に装置B(IX2215)の設定例を記載しますが、詳細については IX マニュアルをご確認 下さい。 [装置B:IX2215 設定] !
!
ip route default GigaEthernet0.1 !
proxy-dns ip enable !
ppp profile mobile
authentication myname test authentication password test test ! device GigaEthernet0 ! device GigaEthernet1 ! interface GigaEthernet0.0 ip address 192.168.200.254/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface GigaEthernet0.1 encapsulation pppoe auto-connect
pppoe service-name IP,1,example.net ppp binding mobile ip address ipcp ip tcp adjust-mss auto ip napt enable no shutdown ! ■解説 [装置A:WA1511 設定]
username test password plain test operator
https-username test2 password plain test2 operator
ログイン(CLI、telnet、Web-GUI)するオペレータ権限のユーザアカウントを登録しま
す。
wireless-adapter enable MobileEthernet0.0
動作モードを、内蔵モジュールを使用したNDIS 接続アダプタモードとします。 interface GigaEthernet1.0 ip address 192.168.200.253/24 インタフェースGigaEthernet1.0 にメンテナンス用の IP アドレスを設定します。設定 したIP アドレスが telnet 宛先、http アドレスになります。 interface MobileEthernet0.0 ip address dhcp DHCP によるアドレス割り当てを有効とします。 mobile id IP example.net mobile username test
mobile password plain test test
PDP-Type”IP”、APN”example.net”、ID、Password を設定します。NDIS 接続の場合、 CID は設定不要です。PDP-Type、CID、APN、ID、Password は事業者毎に異なります
ので、本書の付録をご覧頂くか、通信事業者にご確認ください。配下ルータで
Service-Name タグが動作する場合は、WA1511 に PDP-Type、APN、ID、Password の設定は 不要です。 ip route 192.168.1.0/24 192.168.200.254 メンテナンスを行う端末AへのIP ルートを設定します。 telnet-server enable メンテナンスのためにtelnet サーバ機能を有効化します。 https-server ip enable メンテナンスのためにWeb サーバ機能を有効化します。(デフォルトで有効)
1.2. データ通信端末(3G/LTE)を使用する
データ通信端末を使用したアダプタモードの基本的な設定を説明します。本設定により、 配下に接続するルータからインターネットアクセス等を行うことが可能となります。 本設定例は、Serial(PPP 接続)を使用した PPPoE-PPP 接続を例に挙げていますが、 MobileEthernet(NDIS 接続)を使用した PPPoE-DHCP 接続もサポートしています。 データ通信端末を使用したアダプタモードは、WA1020、WA1510、WA1511 および WA1512 でサポートしております。 ■接続構成 ■設定概要 以下の設定を行います。 ・ アダプタモード設定 ・ Serial0 インタフェース設定(アクセスポイント設定) ・ メンテナンス用 IP アドレス設定 ・ オペレータアカウント登録 配下ルータ(IX2215)には以下の設定を行います。 ・ PPP、PPPoE 設定 ・ アクセスポイント、ダイヤルアップ番号設定 192.168.1.0/24 UNIVERGE IX2215 UNIVERGE WA1510 PPPoE GE1.0 Serial0 (PPP 接続) データ通信端末 .254((
(
ワイヤレス データ通信事業者 インターネット サービスプロバイダ 3G/LTE GE0.1 GE1.0 端末A 192.168.200.0/24(メンテナンス .254 .253 GE0.0 インターネット接続 装置A 装置B PDP-Type:PPP CID :1 APN :example.net■設定(コンフィグ作成バージョン:Ver7.5.4) [装置A:WA1510 設定]
!
hostname WA1510 !
username test password plain test operator !
https-username test2 password plain test2 operator !
wireless-adapter enable Serial0 ! interface GigaEthernet1.0 ip address 192.168.200.253/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp mobile id PPP 1 example.net mobile number *99***CID# auto-connect no shutdown ! ip route 192.168.1.0/24 192.168.200.254 ! telnet-server ip enable ! https-server ip enable https-server ip permit 192.168.1.0/24 ! 以下に装置B(IX2215)の設定例を記載しますが、詳細については IX マニュアルをご確認 下さい。 [装置B:IX2215 設定] ! hostname IX2215 !
ip route default GigaEthernet0.1 !
proxy-dns ip enable !
ppp profile mobile
authentication myname test authentication password test test !
device GigaEthernet0 !
device GigaEthernet1 !
ip address 192.168.200.254/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface GigaEthernet0.1 encapsulation pppoe auto-connect
pppoe service-name PPP,1,example.net ppp binding mobile ip address ipcp ip napt enable no shutdown ! ■解説 [装置A:WA1510 設定]
username test password plain test operator
https-username test2 password plain test2 operator
ログイン(CLI、telnet、Web-GUI)するオペレータ権限のユーザアカウントを登録しま
す。
wireless-adapter enable Serial0
動作モードはSerial0 を使用するアダプタモードとします。 interface GigaEthernet1.0 ip address 192.168.200.253/24 インタフェースGigaEthernet1.0 にメンテナンス用の IP アドレスを設定します。設定 したIP アドレスが telnet 宛先、http アドレスになります。 interface Serial0 ip address ipcp アダプタモードでは設定不要です。 mobile id PPP 1 example.net PDP-Type”PPP”、CID”1”、APN”example.net”を設定します。PDP-Type、CID、APN は 事業者毎に異なりますので、本書の付録をご覧頂くか、通信事業者にご確認ください。
配下ルータでService-Name タグが動作する場合は、WA1510 に PDP-Type、CID、APN
の設定は不要です。
mobile number *99***CID#
電話番号を設定します。ほとんどの通信事業者は初期値”*99**CID#”で接続できますが、 KDDI など一部キャリアは設定を変更する必要がありますので、本書の付録をご覧頂く か、通信事業者にご確認ください。 ip route 192.168.1.0/24 192.168.200.254 メンテナンスを行う端末AへのIP ルートを設定します。 telnet-server ip enable
メンテナンスのためにtelnet サーバ機能を有効化します。
https-server ip enable
https-server ip permit 192.168.1.0/24
メンテナンスのためにWeb サーバ機能を有効化します。(デフォルトで有効)
ただし、ソフトウェアバージョン 7.5 以降では、https-server ip permit コマンドが
GigaEthernet1.0 の LAN 指定で設定されています。Web-GUI にて、上記以外の LAN か らアクセスする場合は、この設定を変更する必要があります。
1.3. データ通信端末(WiMAX)を使用する
WiMAX でのアダプタモードにおける基本的な設定を説明します。本設定により、配下に接 続するルータからインターネットアクセス等を行うことが可能となります。 WiMAX データ通信端末を利用したアダプタモードは、WA1020 FW バージョン 7.1.3 まで のサポートとなります。WA1510、WA1511 および WA1512 は非サポートです。 ■接続構成 ■設定概要 以下の設定を行います。 ・ (WiMAX データ通信端末を接続後、電源 ON) ・ アダプタモード設定 ・ メンテナンス用 IP アドレス設定 ・ オペレータアカウント登録 配下ルータ(IX2215)には以下の設定を行います。 ・ DHCP クライアント設定 ・ NAPT 設定 メモ 本製品は、起動時にデータ通信端末の通信方式を判断しますので、ご使用になるWiMAX デ ータ通信端末を本製品に接続した状態で電源ON を行なってください。 192.168.1.0/24 UNIVERGE IX2215 UNIVERGE WA1020 DHCP FE1.0 .254((
(
ワイヤレス データ通信事業者 インターネット サービスプロバイダ WiMAX GE0.0 GE1.0 データ通信端末 端末A FE0.0 192.168.200.0/24(メンテナンス用) .254 .253 (secondary) GE0.0 インターネット接続 装置A 装置B■設定(コンフィグ作成バージョン:Ver7.1.3) [装置A:WA1020 設定]
!
hostname WA1020 !
username test password plain test operator !
https-username test2 password plain test2 operator !
wireless-adapter enable FastEthernet1.0 ! interface FastEthernet0.0 ip address 192.168.200.253/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface FastEthernet1.0 no ip address auto-connect no shutdown ! ip route 192.168.1.0/24 192.168.200.254 ! telnet-server enable ! https-server ip enable 以下に装置B(IX2215)の設定例を記載しますが、詳細については IX マニュアルをご確認 下さい。 [装置B:IX2215 設定] ! hostname IX2215 ! ip dhcp enable !
ip access-list nat-list deny ip src 192.168.200.0/24 dest 192.168.200.0/24 ip access-list nat-list deny ip src 192.168.1.0/24 dest 192.168.200.0/24 ip access-list nat-list permit ip src 192.168.1.0/24 dest any
! proxy-dns ip enable ! interface GigaEthernet0.0 ip address dhcp receive-default ip address 192.168.200.254/24 secondary ip tcp adjust-mss auto ip napt enable
ip napt inside list nat-list no shutdown
ip address 192.168.1.254/24 no shutdown
!
■解説
[装置A:WA1020 設定]
username test password plain test operator
https-username test2 password plain test2 operator
ログイン(CLI、telnet、Web-GUI)するオペレータ権限のユーザアカウントを登録しま
す。
wireless-adapter enable FastEthernet1.0
動作モードをFastEthernet1.0 を使用するアダプタモードとします。 interface FastEthernet0.0 ip address 192.168.200.253/24 インタフェース FastEthernet0.0 にメンテナンス用の IP アドレスを設定します。設定 したIP アドレスが telnet 宛先、http アドレスになります。 interface FastEthernet1.0 no ip address アダプタモードでは設定不要です。 ip route 192.168.1.0/24 192.168.200.254 メンテナンスを行う端末AへのIP ルートを設定します。 telnet-server enable メンテナンスのためにtelnet サーバ機能を有効化します。 https-server ip enable メンテナンスのためにWeb サーバ機能を有効化します。(デフォルトで有効)
2. インターネット接続設定
2.1. データ通信端末を PPP 接続してインターネットに常時接続する
データ通信端末(3G/LTE)を PPP(Serial インタフェース)で接続し、インターネットに 常時接続する基本的な設定を説明します。 ■接続構成 ■設定概要 以下の設定を行います。 ・ ルータモード設定 ・ PPP プロファイル設定 ・ Serial0 インタフェース設定 ・ プロキシ DNS 設定 ・ GigaEthernet1.0 インタフェース設定 ・ NAPT 設定 ・ ルーティング設定 192.168.1.0/24 UNIVERGE WA1510 GE1.0 Serial0 データ通信端末 .254((
(
モバイル 通信事業者 インターネット サービスプロバイダ 3G/LTE 端末A PDP-Type:PPP CID :1 APN :example.net 装置A■設定(コンフィグ作成バージョン:Ver7.5.4) [装置 A:WA1510 設定] ! hostname WA1510 ! no wireless-adapter enable ! ppp profile mobile
authentication username test authentication password plain test ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp ppp profile mobile ip napt enable mobile id PPP 1 example.net mobile number *99***CID# auto-connect
no shutdown !
ip route default Serial0 !
proxy-dns ip enable
proxy-dns server default Serial0 ipcp !
■解説
no wireless-adapter enable
動作モードをルータモードに設定します。
ppp profile mobile
authentication username test authentication password plain test
PPP プロファイル”mobile”を作成し、通信事業者が指定するユーザ ID とパスワードを 設定します。
補足
KDDI のデータ通信端末 DATA01、DATA03、DATA04、DATA07 を使用する場合は、LCP Echo-Request を無効にする no lcp echo enable 設定が必要です。
interface Serial0
補足
dial tone 設定が必要です。
ip address ipcp
インタフェースSerial0 の IP アドレスを設定します。ip address ipcp を設定すること
で、IPCP を使用して IP アドレスを取得します。 ppp profile mobile PPP プロファイル”mobile”を インタフェース Serial0 に適用します。 ip napt enable インタフェースSerial0 で NAPT 機能を有効化して、複数台の端末が同時にインターネ ット接続できるように設定します mobile id PPP 1 example.net PDP-Type、CID、APN を設定します。PDP-Type、CID、APN は事業者毎に異なりま すので、本書の付録をご覧頂くか、通信事業者にご確認ください。
mobile number *99***CID#
電話番号を設定します。ほとんどの通信事業者は初期値”*99**CID#”で接続できますが、 KDDI など一部キャリアは設定を変更する必要がありますので、本書の付録をご覧頂く か、通信事業者にご確認ください。 auto-connect 回線接続を常時接続に設定します。 proxy-dns ip enable
proxy-dns server default Serial0 ipcp
プロキシDNS を有効化します。 プロキシ DNS が問合せを行う DNS サーバとして、PPP の IPCP にて取得した DNS サーバを設定します。この設定は、本装置からのDNS 問合せをする際にも使用します。 interface GigaEthernet1.0 ip address 192.168.1.254/24 インタフェースGigaEthernet1.0 の IP アドレスを設定します。
ip route default Serial0
2.2. データ通信端末を NDIS 接続してインターネットに常時接続する
データ通信端末(3G/LTE)を NDIS(MobileEthernet インタフェース)で接続し、インタ ーネットに常時接続する基本的な設定を説明します。 ■接続構成 ■設定概要 以下の設定を行います。 ・ ルータモード設定 ・ MobileEthernet インタフェース設定 ・ プロキシ DNS 設定 ・ GigaEthernet1.0 インタフェース設定 ・ NAPT 設定 ・ ルーティング設定 192.168.1.0/24 UNIVERGE WA1510 GE1.0 ME0.0 データ通信端末 .254((
(
モバイル 通信事業者 インターネット サービスプロバイダ 3G/LTE 端末A PDP-Type:IP APN :example.net 装置A■設定(コンフィグ作成バージョン:Ver7.5.4) [装置 A:WA1510 設定] ! hostname WA1510 ! no wireless-adapter enable ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface Serial0 ip address ipcp
mobile number *99***CID# auto-connect shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable mobile id IP example.net mobile username test mobile password plain test auto-connect
no shutdown !
ip route default MobileEthernet0.0 !
proxy-dns ip enable
proxy-dns server default MobileEthernet0.0 dhcp ! ■解説 no wireless-adapter enable 動作モードをルータモードに設定します。 interface MobileEthernet0.0 NDIS が動作するデータ通信端末用インタフェースです。 補足 インタフェース Serial0 とは排他です。MobileEthernet0.0 インタフェースを有効にし た場合、インタフェースSerial0 は自動的に無効になります。 ip address dhcp DHCP を使用して IP アドレスを取得します。 ip tcp adjust-mss auto TCP 通信の最大データ長を調整する mss を auto に設定します。
NAPT 機能を有効化して、複数台の端末が同時にインターネット接続できるように設 定します。
mobile id IP example.net mobile username test mobile password plain test
PDP-Type、APN および通信事業者が指定するユーザ ID とパスワードを設定します。 CID は不要です。PDP-Type、APN は事業者毎に異なりますので、本書の付録をご覧頂 くか、通信事業者にご確認ください。
ip route default MobileEthernet0.0
インタフェースMobileEthernet0.0 をデフォルトルートに設定します。
proxy-dns ip enable
proxy-dns server default MobileEthernet0.0 dhcp
プロキシDNS を有効化します。
プロキシ DNS が問合せを行う DNS サーバとして、DHCP にて取得した DNS サーバ
2.3. WiMAX データ通信端末を使用して常時接続を行う
WiMAX データ通信端末使用時のルータモードにおける基本的な設定を説明します。本設定 により、端末からインターネットアクセスを行うことが可能となります。 WiMAX データ通信端末は、FW バージョン 7.1.3 までのサポートとなります。 ■接続構成 ■設定概要 以下の設定を行います。 ・ (WiMAX データ通信端末を接続後、電源 ON) ・ ルータモード設定 ・ WiMAX (FastEthernet1.0)インタフェースの設定 ・ プロキシ DNS 設定・ FastEthernet0.0 インタフェース設定(WA1020 以外は GigaEthernet0.0) ・ NAPT 設定 ・ ルーティング設定 メモ 本製品は、起動時にデータ通信端末の通信方式を判断しますので、ご使用になるWiMAX デ ータ通信端末を本製品に接続した状態で電源ON を行なってください。 192.168.1.0/24 UNIVERGE WA1020 FE0.0 .254
((
(
モバイル 通信事業者 インターネット サービスプロバイダ 端末A FE1.0 WiMAX データ通信端末 装置A■設定(コンフィグ作成バージョン:Ver7.1.3) [装置 A:WA1020 設定] ! hostname WA1020 ! no wireless-adapter enable ! interface FastEthernet0.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface FastEthernet1.0 ip address dhcp ip tcp adjust-mss 1360 ip napt enable auto-connect no shutdown !
ip route default FastEthernet1.0 !
proxy-dns ip enable
proxy-dns server default FastEthernet1.0 dhcp ! ■解説 no wireless-adapter enable 動作モードをルータモードに設定します。 interface FastEthernet1.0 ip address dhcp
インタフェースFastEthernet1.0 の IP アドレスを設定します。ip address dhcp を設定
することで、WiMAX 網から IP アドレスを取得します。
ip tcp adjust-mss 1360
TCP の MSS 値を”1360”(WiMAX の推奨値)に設定します。(WiMAX の MTU は 1400)
auto-connect
回線接続を常時接続に設定します。
proxy-dns ip enable
proxy-dns server default FastEthernet1.0 dhcp
プロキシDNS を有効化します。 プロキシDNS が問合せを行う DNS サーバとして、DHCP クライアントにて取得した DNS サーバを設定します。この設定は、本装置からの DNS 問合せをする際にも使用 します。 interface FastEthernet0.0 ip address 192.168.1.254/24
インタフェースFastEthernet0.0 の IP アドレスを設定します。
interface FastEthernet1.0 ip napt enable
インタフェースFastEthernet1.0で NAPT 機能を有効化して、複数台の端末が同時にイ
ンターネット接続できるように設定します
ip route default FastEthernet1.0
2.4. PPPoE を使用して常時接続を行う
有線回線における基本的な設定を説明します。本設定により、端末からインターネットア クセスを行うことが可能となります。 ■接続構成 ■設定概要 以下の設定を行います。 ・ PPP プロファイル設定 ・ GigaEthernet0.0 インタフェース設定 ・ PPPoE0 インタフェース設定 ・ NAPT 設定 ・ プロキシ DNS 設定 ・ GigaEthernet1.0 インタフェース設定 ・ ルーティング設定 192.168.1.0/24 通信事業者 ネットワーク インターネット サービスプロバイダ 端末A GE0.0 GE1.0 .254 userID : test@example.net password : test PPPoE0 装置A UNIVERGE WA2610-AP■設定(コンフィグ作成バージョン:Ver7.1.3) [装置 A:WA2610-AP 設定] ! hostname WA2610-AP ! ppp profile pppoe
authentication username test@example.net authentication password plain test
! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface PPPoE0 ip address ipcp ip tcp adjust-mss auto ppp profile pppoe auto-connect ip napt enable no shutdown !
ip route default PPPoE0 !
proxy-dns ip enable
proxy-dns server default PPPoE0 ipcp !
■解説
ppp profile pppoe
authentication username test@example.net authentication password plain test
PPP プロファイル”pppoe”を作成し、通信事業者が指定するユーザ ID とパスワードを 設定します。
interface PPPoE0 ip address ipcp
論理インタフェースPPPoE0 の IP アドレスを設定します。ip address ipcp を設定する
ことで、IPCP を使用して IP アドレスを取得します。
ip tcp adjust-mss auto
PPPoE のカプセル化にともない MTU が LAN の 1500 より小さくなるため、tcp 通信
の最大データ長を調整するmss を auto に設定します。 ppp profile pppoe 論理インタフェースPPPoE0 に回線の認証に使用する PPP プロファイル”pppoe”を適 用します。 auto-connect 回線接続を常時接続に設定します。 ip napt enable 論理インタフェースPPPoE0 で NAPT 機能を有効化して、複数台の端末が同時にイン ターネット接続できるように設定します。 interface GigaEthernet0.0 no ip address encapsulation PPPoE0 有線回線を収容するインタフェースGigaEthernet0.0 に、論理インタフェース PPPoE0 を割当てます。インタフェースGigaEthernet0.0 の IP アドレスは設定しません。 proxy-dns ip enable
proxy-dns server default PPPoE0 ipcp
プロキシDNS を有効化します。 プロキシ DNS が問合せを行う DNS サーバとして、PPP の IPCP にて取得した DNS サーバを設定します。この設定は、本装置からのDNS 問合せをする際にも使用します。 interface GigaEthernet1.0 ip address 192.168.1.254/24 インタフェースGigaEthernet1.0 の IP アドレスを設定します。
ip route default PPPoE0
2.5. SIM ロックフリーモデルで任意のモバイルキャリアを利用する
SIM ロックフリーモデル WA2612-AP-ML01 の内蔵モジュールを使用して、サポートする モバイルキャリアと接続する設定を説明します。 ■接続構成 ■設定概要 以下の設定を行います。 ・ MobileEthernet0.0 インタフェース設定 ・ NAPT 設定 ・ プロキシ DNS 設定 ・ GigaEthernet1.0 インタフェース設定 ・ ルーティング設定 メモ ・SIM ロックフリーは、WA2612-AP-ML01 のみ対応しております。 ・FW バージョン 7.3.7 以降は、Serial0 インタフェースおよび MobileEthernt0.0 インタフ ェースのいずれも利用可能です。 上記以前のFW バージョンでは、使用できるインタフェースに制限がございますので、 詳しくは取扱説明書でご確認ください。・au、SoftBank が提供する M2M 用 SIM はご利用になれますが、データ通信用 SIM はご
利用になれません。MVNO 事業者が提供するデータ通信用 SIM はご利用になれますが、 一部、利用できない契約/サービスの場合がございますので、ご使用になる前に必ず販売元お よび通信事業者様に契約内容を確認してください。 ・3G 専用の SIM カードはご利用できません。 192.168.1.0/24 au MVNO 端末A GE1.0 .254 内蔵モジュール 装置A UNIVERGE WA2612-AP-ML01 au MNO ドコモ MNO/MVNO Softbank MNO
■設定(コンフィグ作成バージョン:Ver7.3.7) [装置 A:WA2612-AP 設定] ! hostname WA2612-AP ! interface GigaEthernet0.0 no ip address no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface MobileEthernet0.0 ip address dhcp ip tcp adjust-mss auto ip napt enable
mobile username test@example.net mobile password plain test
mobile id IP (APN) mobile carrier auto auto-connect no shutdown !
ip route default MobileEthenret0.0 !
proxy-dns ip enable
proxy-dns server default MobileEthernet0.0 dhcp ! ■解説 ip address dhcp DHCP を使用して IP アドレスを取得します。 ip tcp adjust-mss auto TCP 通信の最大データ長を調整する mss を auto に設定します。 ip napt enable NAPT 機能を有効化して、複数台の端末が同時にインターネット接続できるように設 定します。
mobile username test@example.net mobile username test
mobile password plain test
PDP-Type、APN および通信事業者が指定するユーザ ID とパスワードを設定します。 CID は不要です。PDP-Type、APN は事業者毎に異なりますので、本書の付録をご覧頂 くか、通信事業者にご確認ください。
mobile carrier auto
の SIM を 使 用 す る 場 合 は 、 ”other” を 選 択 し て く だ さ い 。 通 信 事 業 者 ”docomo” ”au” ”softbank” を固定設定することもできます。
3. IPv4 設定
3.1. 複数の経路情報を設定する
LAN 間を接続するローカルルータの設定を説明します。 ■接続構成 ■設定概要 以下の設定を行います。 ・ GigaEthernet0.0インタフェース設定 ・ GigaEthernet1.0インタフェース設定 ・ ルーティング設定 ■設定(コンフィグ作成バージョン:Ver7.1.3) [装置A:WA1510 設定] ! hostname WA1510 ! no wireless-adapter enable ! interface GigaEthernet0.0 ip address 192.168.3.254/24 no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! ip route default 192.168.3.253 ip route 192.168.1.0/24 192.168.2.253 ! 192.168.2.0/24 GE1.0 インターネット サービスプロバイダ 装置A GE0.0 192.168.1.0/24 192.168.3.0/24 ルータB ルータA .254 .254 .253 .253 UNIVERGE WA1510■解説 interface GigaEthernet0.0 ip address 192.168.3.254/24 no shutdown インタフェースGigaEthernet0.0 に IP アドレス”192.168.3.254/24”を設定します。 interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown インタフェースGigaEthernet1.0 に IP アドレス”192.168.2.254/24”を設定します。 ip route default 192.168.3.253 デフォルトルートをIP アドレス”192.168.3.253”とします。宛先がルートテーブルに無 いパケットは全てデフォルトルートに転送します。 ip route 192.168.1.0/24 192.168.2.253 宛先が”192.168.1.0/24”ネットワークのパケットは IP アドレス”192.168.2.253”に転送 します。
4. IPv6 設定
4.1. PPPoEv6 を使用して常時接続を行う
IPv6 のルータモードにおける基本的な PPPoEv6 設定を説明します。本設定により、端末
からIPv6 によるインターネットアクセスを行うことが可能です。
本設定は、以下の環境を想定した設定例です。
・ISP と PPPoE 接続した装置Aは、DHCP-PD によりインタフェース GE1.0 に IPv6 アド
レスが割り当てられます。 ・端末Aは、装置AのRA により IPv6 アドレスを割り当てられます。 ・RA で割り当てる IPv6 アドレスは、DHCP-PD によって ISP から割り当てられたグロー バルアドレスです。 ■接続構成 ■設定概要 以下の設定を行います。 ・ PPP プロファイル設定 ・ IPv6 フィルタ設定 ・ DHCPv6-PD クライアント設定 ・ PPPoE インタフェース設定 ・ 物理インタフェース(GE0)設定 ・ プロキシ DNS 設定 ・ stateless DHCPv6 サーバ設定 ・ LAN インタフェース(GE1)設定 ・ ルーティング設定 通信事業者 ネットワーク インターネット サービスプロバイダ 端末A PPPoE0 GE1.0 DHCP-PD による自動取得 自動取得 装置A UNIVERGE WA2610-AP RA による自動取得
■設定(コンフィグ作成バージョン:Ver7.3.7) [装置A:WA2610-AP 設定]
!
hostname WA2610-AP !
ipv6 access-list fw-lst deny ip src any dest any
ipv6 access-list dhcp-lst permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcp-lst permit udp src any sport eq 546 dest any dport any ipv6 access-list ndp-lst permit icmp src any dest any
ipv6 access-list dynamic ok-lst permit icmp src any dest any
ipv6 access-list dynamic ok-lst permit tcp src any sport any dest any dport any ipv6 access-list dynamic ok-lst permit udp src any sport any dest any dport any !
ppp profile test
authentication username test@example.com authentication password plain test
! !
ipv6 dhcp-client profile test-cl option-request dns-servers ia-option ia-pd
!
ipv6 dhcp-server enable !
ipv6 dhcp-server profile test-sv !
ipv6 prefix-delegation profile default source-interface PPPoE0 ! interface GigaEthernet0.0 no ip address encapsulation PPPoE0 no shutdown ! interface GigaEthernet1.0 no ip address
ipv6 dhcp-server binding test-sv ipv6 address pd-profile default ipv6 enable ipv6 nd ra other-config-flag ipv6 nd send-ra no shutdown ! interface PPPoE0 no ip address
ipv6 dhcp-client binding test-cl ipv6 enable
ipv6 tcp adjust-mss auto ppp profile test
auto-connect
ipv6 filter ndp-lst 1 in ipv6 filter dhcp-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ok-lst 1 out
ipv6 filter ndp-lst 2 out ipv6 filter dhcp-lst 3 out no shutdown
!
ipv6 route default PPPoE0 !
proxy-dns ipv6 enable
proxy-dns server default PPPoE0 dhcpv6 !
■解説
[装置A:WA2610-AP 設定]
ipv6 access-list fw-lst deny ip src any dest any
ipv6 access-list dhcp-lst permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcp-lst permit udp src any sport eq 546 dest any dport any ipv6 access-list ndp-lst permit icmp src any dest any
ipv6 access-list dynamic ok-lst permit icmp src any dest any
ipv6 access-list dynamic ok-lst permit tcp src any sport any dest any dport any ipv6 access-list dynamic ok-lst permit udp src any sport any dest any dport any
外部からの不正アクセスを防ぐためフィルタを設定します。IPv6 の制御用通信以外
は動的フィルタで通信を制限します。
ppp profile test
authentication username test@example.com authentication password plain test
PPP プロファイル”test”を作成し、通信事業者が指定するユーザ ID とパスワードを設 定します。
ipv6 dhcp-client profile test-cl option-request dns-servers ia-option ia-pd
DHCPv6-PD クライアントプロファイルを作成し、DHCPv6-PD サーバから取得する
情報(dns サーバ)を設定します。
ipv6 dhcp-server enable
DHCP サーバ機能を有効にします。
ipv6 dhcp-server profile test-sv
stateless DHCP サーバ機能のプロファイルを作成します。
ipv6 prefix-delegation profile default source-interface PPPoE0
DHCPv6-PD サーバから取得した prefix 情報を GE1.0 へ割り当てるためのプロファイ ル設定を行います。
interface GigaEthernet0.0 encapsulation PPPoE0
PPPoE インタフェースを割り当てる設定を行います。
interface GigaEthernet1.0
ipv6 dhcp-server binding test-sv ipv6 address pd-profile default ipv6 enable ipv6 nd ra other-config-flag ipv6 nd send-ra DHCPv6 クライアントから取得した DNS サーバの設定とプレフィックスを LAN 配 下の端末に配信します。RA 配信時に O フラグをセットすることで DNS サーバのア ドレスを自動設定させることが可能です。 interface PPPoE0 PPPoE インタフェースを作成します。
ipv6 dhcp-client binding test-cl
DHCPv6-PD クライアントのプロファイルを指定します。 ipv6 enable
IPv6 を有効化します。
ipv6 tcp adjust-mss auto
TCP セッション確立時の MSS 値の設定を行います。 ppp profile test PPP プロファイルを適用します。 ipv6 filter ndp-lst 1 in ipv6 filter dhcp-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ok-lst 1 out ipv6 filter ndp-lst 2 out ipv6 filter dhcp-lst 3 out
外部からの不正アクセス対応のフィルタ指定と動的フィルタを設定します。 ipv6 route default PPPoE0
デフォルトルートを設定します。
proxy-dns ipv6 enable
proxy-dns server default PPPoE0 dhcpv6
4.2. RA 方式を使用して常時接続を行う
IPv6 網接続方式の RA(Router Advertisement)方式の設定例を説明します。IPv6 網から、 RA により Prefix を取得して IPv6 アドレスを登録します。LAN 側は、L2 トンネル機能の EtherIP を使用して、IPv6 網を経由した L2VPN 通信の設定例として説明をします。 ■接続構成 ■設定概要 以下の設定を行います。 ・ IKE プロポーザルの設定 ・ IKE ポリシーの設定 ・ IPsec プロポーザルの設定 ・ IPsec ポリシーの設定 ・ IPsec プロファイルの設定 ・ IPsec インタフェースの設定 ・ ルーティングの設定 ・ IPv6 フィルタの設定 ・ WAN 側インタフェースの設定 ・ ブリッジの設定 ・ EtherIP インタフェースの設定 ・ DNS サーバの設定 ・ Dynamic DNS の設定(装置 B) ・ Dynamic DNS サービスの登録確認 GE1 .1 端末1 172.16.1.0/24 装置A GE0 GE0 WAN WAN 装置B 装置B GE0: 2001:db8:1:0:cafe::1/64 DNSサーバ:2001:db8:0:0:abc::1 固定IPv6 RA受信 インターネット サービスプロバイダ 暗号 : AES(256bit) 認証 : SHA2 DH-group : 1024bit
EtherIP over IPsec(IPv6)
172.16.1.0/24 .2 端末2 GE1 DDNS サービス:DDNS.example.jp username:user password:passwd FQDN:c.DDNS.example.jp EtherIP 接続の対向 loopback インタフェース 装置A:192.168.1.1/32 装置B:192.168.1.2/32 UNIVERGE WA2610-AP UNIVERGE WA1510
■設定(コンフィグ作成バージョン:Ver7.3.7) [装置A:WA1510 設定] ! no password encrypted ! hostname WA1510 !
ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list sec-lst permit 50 src any dest any
ipv6 access-list sec-lst permit udp src any sport eq 500 dest any dport eq 500 !
bridge ieee enable !
interface GigaEthernet0.0 no ip address
ipv6 enable
ipv6 address autoconfig receive-default ipv6 tcp adjust-mss auto
ipv6 filter ndp-lst 1 in ipv6 filter sec-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ndp-lst 1 out ipv6 filter sec-lst 2 out ipv6 filter fw-lst 10 out no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 192.168.1.1/32 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 no shutdown ! interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1330 ether-ip peer 192.168.1.2 ether-ip source 192.168.1.1 no shutdown ! ip route 192.168.1.2/32 IPsec0 !
ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
dh-group 1024-bit !
ike policy ikepol1 mode aggressive local-id key-id wa1500
dpd-keepalive enable ph1 20 3 proposal ikeprop1
pre-shared-key plain hogehoge !
ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
!
ipsec policy ipsecpol1
local-id 2001:db8:a:0::1/128
remote-id 2001:db8:1:0:cafe::1/128 proposal ipsecprop1
!
ipsec profile ipsecprof1 mode tunnel
ipsec policy ipsecpol1 ike policy ikepol1 source GigaEthernet0.0 peer c.DDNS.example.jp ipv6 !
ipv6 name-server 2001:db8:0:0:abc::1 ! [装置B:WA2610-AP 設定] ! no password encrypted ! hostname WA2600 !
ipv6 access-list fw-lst deny ip src any dest any ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list sec-lst permit 50 src any dest any
ipv6 access-list sec-lst permit udp src any sport eq 500 dest any dport eq 500 !
bridge ieee enable !
interface GigaEthernet0.0 no ip address
ipv6 enable
ipv6 address 2001:db8:1:0:cafe::1/64 ipv6 tcp adjust-mss auto
ipv6 filter ndp-lst 1 in ipv6 filter sec-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ndp-lst 1 out ipv6 filter sec-lst 2 out ipv6 filter fw-lst 10 out
no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 no shutdown ! interface Loopback0.0 ip address 192.168.1.2/32 no shutdown ! interface IPsec0 ip address unnumbered ipsec map ipsecprof1 no shutdown ! interface EtherIP0 bridge ieee 1 bridge ip tcp adjust-mss 1330 ether-ip peer 192.168.1.1 ether-ip source 192.168.1.2 no shutdown ! ip route 192.168.1.1/32 IPsec0 !
ike proposal ikeprop1
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256 lifetime 28800
dh-group 1024-bit !
ike policy ikepol1 mode aggressive
remote-id key-id wa1500 dpd-keepalive enable ph1 20 3 proposal ikeprop1
pre-shared-key plain hogehoge !
ipsec proposal ipsecprop1
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256 lifetime 28800
!
ipsec policy ipsecpol1
local-id 2001:db8:1:0:cafe::1/128 remote-id 2001:db8:a:0::1/128 proposal ipsecprop1
!
ipsec profile ipsecprof1 mode tunnel
ike policy ikepol1
source GigaEthernet0.0 peer any ipv6
!
ipv6 name-server 2001:db8:0:0:abc::1 ! ddns profile test source GigaEthernet0.0 query dn=c.DDNS.example.jp&ipv6=<IPV6> transport ipv6 url http://user:passwd@DDNS.example.jp/index.html ! ddns enable ddns interval 30
ddns account profile test !
■解説
[装置A:WA1510 設定]
ipv6 access-list fw-lst deny ip src any dest any
ipv6 access-list ndp-lst permit icmp src any dest any ipv6 access-list sec-lst permit 50 src any dest any
ipv6 access-list sec-lst permit udp src any sport eq 500 dest any dport eq 500
外部からの不正アクセスを防ぐためフィルタを設定します。IPv6 の必要な通信と制御 用通信以外は通信を制限します。icmpv6 は、NDP や RA 等 IPv6 の制御系で使用しま す。 interface GigaEthernet0.0 no ip address ipv6 enable
ipv6 address autoconfig receive-default ipv6 tcp adjust-mss auto
ipv6 filter ndp-lst 1 in ipv6 filter sec-lst 2 in ipv6 filter fw-lst 10 in ipv6 filter ndp-lst 1 out ipv6 filter sec-lst 2 out ipv6 filter fw-lst 10 out no shutdown
RA による Prefix 取得を利用する GigaEthernet0.0 インタフェースに、RA 受信とデフ
ォルトルート生成の設定を行います。IPv6 フィルタを登録して、IPsec 通信以外の不
要な通信をフィルタします。
ipsec profile ipsecprof1 mode tunnel
ipsec policy ipsecpol1 ike policy ikepol1
peer c.DDNS.example.jp ipv6
IPsec プロファイル名”ipsecprof1”を設定し、動作モード、適用する IPsec ポリシー、 IKE ポリシー、peer(対向先)、source (SA を確立するインタフェース)を設定しま
す。mode は tunnel を指定します。peer(対向先)は、装置Aは装置Bの peer を IPv6
FQDN で指定し、装置Bは装置Aの peer を peer any ipv6(レスポンダ)で設定しま す。
ipv6 name-server 2001:db8:0:0:abc::1
DNS サーバの IPv6 アドレスを設定します。ipv6 name-server コマンドにて、事業者
から提示されたDNS サーバを登録し、装置A、Bで FQDN の名前解決のリゾルバを 動作させます。 [装置B:WA2610-AP 設定] ddns profile test ダイナミックDNS プロファイルを設定します。 IPv6 での ddns 利用は、http のプロファイル方式になります。ddns profile コマンドに てDDNS の動作設定を行います。 source GigaEthernet0.0 query dn=c.DDNS.example.jp&ipv6=<IPV6> ダイナミックDNS サーバへ送信するクエリ情報を設定します。 transport ipv6 ダイナミックDNS サーバへの問い合わせに使用するプロトコルを指定します。 url http://user:passwd@DDNS.example.jp/index.html ダイナミックDNS サーバの URL を登録します。 ddns enable ダイナミックDNS 機能を有効化します。 ddns interval 30 ダイナミックDNS サービスへの IP アドレス登録間隔を設定します。
ddns account profile test
ダイナミックDNS サーバへアクセスを行います。 メモ ・DDNS サービスは、事業者により仕様が異なりますので、profile で指定する内容や動作 については、事業者にご確認願います。サービスの仕様によってはご利用になれない場 合がございます。 ・profile の指定は、1つのみとなります。 ・登録確認の方法は、登録した FQDN を指定し IP アドレスが解決されることを確認しま す。インターネットに接続できる PC 等から、登録している FQDN の IPv6 アドレスを
nslookup にて確認し、show ipv6 address コマンドで表示される IP アドレスと同じであ ることを確認します。
5. ブリッジ設定
5.1. トランスペアレントブリッジを使用する
トランスペアレントブリッジ機能を使用して、同じブリッジグループに属する端末間の通 信を行う設定を説明します。
本設定は、以下の環境を想定した設定例です。
・装置AのインタフェースGE0.0 では、送信元 MAC アドレスが端末Cで、且つ宛先 MAC
アドレスが端末Aの IPv4 パケット、ならびに送信元 MAC アドレスが監視端末の IPv4
パケットを受信許可します。
・装置AのインタフェースGE1.0 では、送信元 MAC アドレスが端末Aで、且つ宛先 MAC
アドレスが端末CのIPv4 パケットを受信許可します。 ・装置AをIP ホストとするためにインタフェース BVI を設定します。監視端末から装置A へのping や telnet が可能となります。 ・ブリッジ学習テーブル保持時間を300 秒(デフォルト 1200 秒)とします。 ■接続構成 ■設定概要 以下の設定を行います。 ・ ブリッジ設定 ・ GigaEthernet0.0インタフェース設定 ・ GigaEthernet1.0インタフェース設定 ・ BVI0.0インタフェース設定 ・ MACフィルタ設定 端末A 端末B 端末C 端末D 監視端末 GE0.0 GE1.0 00:11:22:33:44:aa 00:11:22:33:44:bb 00:11:22:33:44:cc 00:11:22:33:44:dd 192.168.1.10 00:11:22:33:44:ee 192.168.1.100 UNIVERGE WA1510 装置A
■設定(コンフィグ作成バージョン:Ver7.3.7) [装置A:WA1510 設定]
!
hostname WA1510 !
bridge ieee enable
bridge ieee aging-time 300 ! interface GigaEthernet0.0 no ip address bridge ieee 1 mac-filter-extended in ge0 no shutdown ! interface GigaEthernet1.0 no ip address bridge ieee 1 mac-filter-extended in ge1 no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface BVI0.0 ip address 192.168.1.100/24 bridge ieee 1 no shutdown !
mac access-list-extended ge0
permit src 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff ethertype ip permit src 00:11:22:33:44:ee ff:ff:ff:ff:ff:ff dest any ethertype ip
!
mac access-list-extended ge1
permit src 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff ethertype ip !
telnet-server ip permit !
■解説
[装置A:WA1510 設定]
bridge ieee enable
bridge ieee aging-time 300
ブリッジ機能を有効化し、ブリッジ学習テーブル保持時間を300 秒に設定します。 interface GigaEthernet0.0 bridge ieee 1 mac-filter-extended in ge0 インタフェースGigaEthernet0.0 にブリッジを設定します。 MAC フィルタリスト”ge0”を受信方向で適用します。
bridge ieee 1 mac-filter-extended in ge1 インタフェースGigaEthernet1.0 にブリッジを設定します。 MAC フィルタリスト”ge1”を受信方向で適用します。 interface BVI0.0 ip address 192.168.1.100/24 bridge ieee 1 インタフェースBVI0.0 に IP アドレスを設定し、IP ホスト機能を有効化します。 ブリッジを設定します。
mac access-list-extended ge0
permit src 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff ethertype ip permit src 00:11:22:33:44:ee ff:ff:ff:ff:ff:ff dest any ethertype ip
MAC アクセスリスト”ge0”を作成します。
送信元:00:11:22:33:44:cc、宛先:00:11:22:33:44:aa、且つ IPv4 送信元:00:11:22:33:44:ee、宛先:任意、且つ IPv4
のパケットが許可されます。
mac access-list-extended ge1
permit src 00:11:22:33:44:aa ff:ff:ff:ff:ff:ff dest 00:11:22:33:44:cc ff:ff:ff:ff:ff:ff ethertype ip
MAC アクセスリスト”ge1”を作成します。
送信元:00:11:22:33:44:aa、宛先:00:11:22:33:44:cc、且つ IPv4 のパケットが許可されます。
5.2. PPPoE ブリッジを使用する
BVI インタフェースの PPPoE 機能とブリッジ機能を併用して、LAN 内の PPPoE クライ アントが存在するような環境にも対応する設定を説明します。
本設定は、以下の環境を想定した設定例です。
・端末AからのIPv4 パケットは、装置Aが PPPoE クライアントとして、NAPT、PPPoE
カプセル化を行い、WAN 側と送受信されます。 ・端末BからのパケットはルータがPPPoE クライアントとして、PPPoE カプセル化を行 います。装置Aは、ルータから受信したPPPoE パケットをそのまま WAN 側に転送しま す。また、WAN 側から受信した PPPoE パケットをそのままルータに転送します。 ■接続構成 ■設定概要 以下の設定を行います。 ・ ブリッジ設定 ・ GigaEthernet0.0インタフェース設定 ・ GigaEthernet1.0インタフェース設定 ・ PPPoE0インタフェース設定 ・ BVI0.0インタフェース設定 ・ VLAN**インタフェース設定 ・ ルーティング設定 GE1.0 P1~2 インターネット サービスプロバイダ 装置A 192.168.1.0/24 ルータ UNIVERGE WA2610-AP GE0.0 GE1.0 P3~4 PPPoE クライアント PPPoE セッション 1 PPPoE セッション 2 .254 端末A 端末B
■設定(コンフィグ作成バージョン:Ver7.3.7) [装置A:WA2610-AP 設定] ! hostname WA2610-AP ! ppp profile pppoe
authentication username test@example.net authentication password plain test
!
bridge ieee enable !
ip dhcp-server enable ip dhcp-server profile vlan1 default-gateway auto dns-server auto subnet-mask auto ! interface GigaEthernet0.0 no ip address bridge ieee 1 no shutdown ! interface GigaEthernet1.0 vlan-type port VLAN1 port 1 2 vlan-type port VLAN2 port 3 4 no ip address no shutdown ! interface PPPoE0 ip address ipcp ppp profile pppoe ip tcp adjust-mss auto auto-connect ip napt enable no shutdown ! interface Loopback0.0 ip address 127.0.0.1/8 no shutdown ! interface VLAN1 ip address 192.168.1.254/24 ip dhcp-server binding vlan1 no shutdown ! interface VLAN2 no ip address bridge ieee 1 no shutdown ! interface BVI0.0 no ip address bridge ieee 1 encapsulation PPPoE0
no shutdown !
ip route default PPPoE0 !
proxy-dns ip enable
proxy-dns server default PPPoE0 ipcp !
■解説
[装置A:WA2610-AP 設定]
ppp profile pppoe
authentication username test@example.net authentication password plain test
PPP プロファイル”pppoe”を作成し、通信事業者が指定するユーザ ID とパスワードを
設定します。本プロファイルは自装置のPPPoE 接続に用います。
bridge ieee enable
ブリッジ機能を有効化します。 interface GigaEthernet0.0 no ip address bridge ieee 1 インタフェースGigaEthernet0.0 にブリッジを設定します。 interface GigaEthernet1.0
vlan-type port VLAN1 port 1 2 vlan-type port VLAN2 port 3 4
インタフェース GigaEthernet1.0 にポート VLAN を設定し、2つの論理セグメン
ト”VLAN1”と”VLAN2”に分離します。ポート 1~2 をインタフェース VLAN1、ポート 3
~4 をインタフェース VLAN2 に割り当てます。
interface PPPoE0 ip address ipcp
論理インタフェースPPPoE0 の IP アドレスを設定します。ip address ipcp を設定する
ことで、IPCP を使用して IP アドレスを取得します。
ip tcp adjust-mss auto
PPPoE のカプセル化にともない MTU が LAN の 1500 より小さくなるため、tcp 通信
の最大データ長を調整するmss を auto に設定します。 ppp profile pppoe 論理インタフェースPPPoE0 に回線の認証に使用する PPP プロファイル”pppoe”を適 用します。 auto-connect 回線接続を常時接続に設定します。 ip napt enable 論理インタフェースPPPoE0 で NAPT 機能を有効化して、複数台の端末が同時にイン ターネット接続できるように設定します。
ip address 192.168.1.254/24 ip dhcp-server binding vlan1
インタフェースVLAN1(GE1 ポート 1~2)に IP アドレスを設定します。 interface VLAN2 no ip address bridge ieee 1 インタフェース VLAN2(GE1 ポート 3~4)にブリッジを設定します。インタフェー スGigaEthernet0.0 と同じブリッジグループとなります。 interface BVI0.0 no ip address bridge ieee 1 encapsulation PPPoE0 インタフェースBVI0.0 に PPPoE インタフェースをバインドします。インタフェース VLAN1 のパケットはルーティングを行いつつ、インタフェース VLAN2 のパケットは ブリッジします。
