• 検索結果がありません。

FortiGate IPoE設定ガイド

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2022

シェア "FortiGate IPoE設定ガイド"

Copied!
16
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 16 ページ )

全文

(1)

DEPLOYMENT GUIDE

FortiGate IPoE設定ガイド

インターネットマルチフィード株式会社 transix DS-Liteサービス編

Version 1.00 2021年12月

(2)

免責事項

本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。

フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を 問わず本ドキュメントまたはその一部を複製する事は禁じられています。

また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、

ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承 下さい。尚、本ドキュメントの作成にあたっては細心の注意を払っておりますが、その 記述内容は予告なしに変更される事があります。

(3)

目次

第1章:はじめに ... 4

第2章:FortiGateの設定 ... 7

第3章:動作確認方法 ... 14

改定履歴 ... 16

(4)

4

1. はじめに

この設定ガイドはインターネットマルチフィード株式会社が提供するtransix IPv4接続(DS-Lite)でFortiGate を宅内ルータとして利用する際の基本的な設定について説明しています。

transixサービス、対応端末に関してはインターネットマルチフィード株式会社のホームページをご参照くださ い。

https://www.mfeed.ad.jp/transix/overview.html https://www.mfeed.ad.jp/transix/dslite/dslite.html https://www.mfeed.ad.jp/transix/staticip/

対応しているサービスはDS-Lite方式、固定IP方式のサービスになります。

本ガイドでご紹介している機能はFOS7.0.2以上のバージョンが必要になります。以前のバージョンをご利用の場 合は予めFortiGateのバージョンアップを実施してください。ファームウェアのアップグレードパスやアップグレ ード方法に関してはリリースノートやマニュアルなどをご参照ください。

本ガイドの設定はFortiGate60Fで記載しています。インターフェース名など機器に依存する箇所に関してはお使 いのFortiGateに合わせて設定してください。

本ガイド執筆時のバージョンではご紹介の機能はCLIからのみの設定となります。ポリシー設定など一部既存機 能等はGUIでも設定可能ですが本ガイドでは設定はCLIで記載しております。

本ガイドでのIPv4アドレスは疑似環境で行っているためプライベートIPアドレスを使用しております。

(5)

5

接続イメージ

利用機器と OS バージョン

FortiGate FortiGate-60F 7.0.2

構成

HGWの配下にFortiGateを設置する際はHGWでIPoE設定をオフにしてください。

また、ひかり電話契約有りでひかり電話対応HGWの配下にFortiGateを設置する際はHGWのLANポートに接続し てください。

物理構成

<図1-2-1. 物理構成図>

FortiGate

(6)

6

論理構成

<図1-2-2. 論理構成図>

参考資料

本設定ガイドは公式な設定ガイドに基づいています。より詳細な情報が必要な場合は以下も合わせてご参照くだ さい。

https://docs.fortinet.com/document/fortigate/7.0.2/administration-guide/954635/getting-started

FortiGateとパソコンなど設定用端末の接続に関してはシリアルコンソールなどで接続してください。接続方法な ど詳細な情報が必要な場合は以下も合わせてご参照ください。

https://docs.fortinet.com/document/fortigate/7.0.2/administration-guide/901037/connecting-to-the-cli

(7)

7

2. FortiGate の設定

WAN1 インターフェースの IPv6 の設定

CLIより WAN1インターフェースに以下の項目を設定します。

config system interface edit wan1

config ipv6

set dhcp6-information-request enable set autoconf enable

set unique-autoconf-addr enable end

next end

(8)

8

トンネルインターフェースの有効化

CLIより vne-tunnelの項目で以下の設定を行います。DS-Lite方式ではIPv4のアドレスの指定はございません が、FortiGateが自発パケットをvne.rootインターフェースで送信する場合にIPv4アドレスの設定が必要となり ます。ご利用になっていないプライベートIPアドレスを設定することをおすすめいたします。FortiGateは設定さ れたプライベートIPv4アドレスでIPv4インターネットにアクセスいたしますが、transix網にてNATが行われる ためIPv4でのインターネットアクセスが可能です。

AFTRのIPv6アドレスはDS-Liteサービスご契約時のご案内にてご確認ください。update-urlはDS-Lite方式では 本来不要ですが、FortiOSの仕様(fixed-ipモードの仕様)により設定する必要がございます。本例ではloopbackに 相当する::1をダミーアドレスとして設定しております。

config system vne-tunnel set status enable set interface wan1

set ipv4-address 192.168.255.255 255.255.255.255 set br <AFTRのIPv6アドレス>

set update-url http://[::1]

set mode fixed-ip end

(9)

9

デフォルト DNS 設定の削除(オプション)

「DNSサーバとしてDHCPv6 information requestで取得したサーバを利用する為デフォルトの設定を削除しま す。

DNS サーバの設定(オプション)

internal インターフェースにDNSサーバ recursiveモードの設定を行います。設定したinternalインターフェー スでDNSサーバの機能が有効になります。

config system dns unset primary unset secondary end

config system dns-server edit internal

next end

(10)

10

IPv4 ポリシーの作成

CLIによりinternalインターフェースからトンネルインターフェース(vne.root)宛のIPv4ファイアウォールポリ シー設定を行います。dstintfはトンネルインターフェースのvne.rootを選択します。アドレスやサービス等は実際 の構成に合わせてください。本ガイドでは説明を簡単にするために全てを許可と設定しています。

config firewall policy edit 1

set name internal-to-vne.root set srcintf internal

set dstintf vne.root set srcaddr all"

set dstaddr all"

set action accept set schedule always set service ALL

set tcp-mss-sender 1420 set tcp-mss-receiver 1420 set nat enable

next end

(11)

11

デフォルトルートの設定

トンネルインターフェースのvne.rootをデフォルトルートとして設定します。

IPv6 Neighbor Discover Proxy 機能の有効化(オプション)

下記のコマンドでIPv6 Neighbor Discover Proxyの機能をwan1、internal間で有効にします。

FortiGate配下のクライアントからIPv6インターネットに接続する必要がない場合、以降の設定は必要ございま せん。

config route static edit 1

set device vne.root next

end

config system nd-proxy set status enable

set member wan1 internal end

(12)

12

IPv6 Neighbor Discover Proxy 機能の有効化(オプション)

ICMPv6,DHCPv6を許可させる為にv6マルチキャストポリシーと、IPv6アドレスオブジェクト、v6ポリシーを作 成します。下記にてinternalインターフェースとwan1インターフェース双方向のマルチキャスト通信を許可する IPv6マルチキャストファイアウォールポリシーを設定します。

次に、IPv6ユニキャストファイアウォールポリシーを作成します。

まず、リンクローカルIPv6アドレスオブジェクトを作成します。

config firewall multicast-policy6 edit 1

set srcintf wan1 set dstintf internal set srcaddr all set dstaddr all next

edit 2

set srcintf internal set dstintf wan1 set srcaddr all set dstaddr all next

end

config firewall address6 edit link-local

set ip6 fe80::/64 next

end

(13)

13

internalインターフェースからwan1インターフェース宛の通信を許可するファイアウォールポリシー、wan1イ ンターフェースからinternalインターフェースへのリンクローカルアドレスでの通信を許可するファイアウォー ルポリシーを作成します。wan1インターフェースからinternalインターフェースへのその他の通信(インターネ ットからのアクセス)も許可したい場合は環境に合わせて設定ください。

config firewall policy edit 11

set name internal-to-wan1 set srcintf internal

set dstintf wan1 set srcaddr6 all set dstaddr6 all set action accept set schedule always set service ALL next

edit 12

set name wan1-to-internal set srcintf wan1

set dstintf internal set srcaddr6 link-local set dstaddr6 link-local set action accept set schedule always set service ALL next

end

(14)

14

3. 動作確認方法

3-1. IPv6 アドレスの確認

以下のCLIコマンドでWAN1インターフェースにRAで取得したプレフィックスにて生成されたIPv6アドレスが設定 されていることを確認します。

3-2. IPv6 アドレスの確認

AFTRとIPv6トンネルが確立できていることを確認します。

laddrにFortiGateのIPv6アドレス、raddrにAFTRのIPv6アドレスが記載され、rxやtxのバイト数やパケット数が カウントされていることを確認します。

# diagnose ipv6 address list

dev=5 devname=wan1 flag=P scope=0 prefix=128

addr= XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX preferred=4294967295 valid=4294967295 cstamp=5447388 tstamp=5447388

<以下、省略>

# diagnose ipv6 address list

# diagnose ipv6 ipv6-tunnel list

# diagnose ipv6 ipv6-tunnel list

devname=vne.root devindex=5 ifindex=24 vfid=0000 ref= 0

laddr= XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX raddr=XXXX:XXXX:XXXX::X RX bytes:2865221 (2.7 Mb) TX bytes:348609 (340.4 kb);

RX packets:2294, TX packets:2935, TX carrier_err:0 collisions:0 npu-info: asic_offload=1, enc4/dec4=1/0, enc6/dec6=0/0,

enc4_bk=-1/6/64, dec4_bk=0/0/0, enc6_bk=0/0/0, dec6_bk=0/0/0 rpdb-ver: ffffffff rpdb-gwy: :: rpdb-oif: 0

total tunnel = 1

(15)

15

3-3. IPv4 でのインターネットアクセス確認

IPv4でのインターネットアクセスが可能かIPv4 pingなどで確認します。

# execute ping example.com

PING example.com (X.X.X.X): 56 data bytes

64 bytes from X.X.X.X: icmp_seq=0 ttl=53 time=125.9 ms 64 bytes from X.X.X.X: icmp_seq=1 ttl=53 time=125.2 ms 64 bytes from X.X.X.X: icmp_seq=2 ttl=53 time=125.3 ms 64 bytes from X.X.X.X: icmp_seq=3 ttl=53 time=125.0 ms 64 bytes from X.X.X.X: icmp_seq=4 ttl=53 time=125.4 ms

(16)

16

改定履歴

バージョン リリース日 改定履歴

1.0.0 2021.12 初版発行

参照

今ダウンロードする ( PDF - 16 ページ - 897.53 KB )

関連したドキュメント

Q-in-Q VLAN トンネルの設定

switch(config-if)# switchport mode dot1q-tunnel switch(config-if)# switchport access vlan 10 switch(config-if)# spanning-tree port type edge switch(config-if)# l2protocol

FutureNet NXR,WXR シリーズ設定例集

&lt;WAN 側(ethernet1)インタフェース設定&gt; nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address dhcp ethernet1

MPLS を介した IPv6 プロバイダー エッジ(6PE)の設定

6PE は PE ルータの IPv4 ネットワーク設定の mp-iBGP に基づき、アドバタイズする各 IPv6 アドレ ス プレフィックスの MPLS の他にIPv6

Q-in-Q VLAN トンネルの設定

switch(config-if)# switchport mode dot1q-tunnel switch(config-if)# switchport access vlan 10 switch(config-if)# spanning-tree port type edge switch(config-if)# l2protocol tunnel

FutureNet NXR,WXR シリーズ設定例集

nxrg100(config-if)#ipv6 address dhcpv6pd ::/64 eui-64 ethernet0 インタフェースの IPv6 アドレスを設定します。. (☞) DHCPv6 クライアントで取得した

Auto-MDIX の設定

Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# speed auto. Switch(config-if)# duplex auto Switch(config-if)# mdix auto

IPV6.dvi

■ IPv6 over IPv4 トンネルインターフェースを削除するには DELETE IPV6 TUNNEL コマンド( 57 ペー ジ)を使います。

FutureNet NXR,WXR シリーズ設定例集

&lt;WAN 側(ethernet1)インタフェース設定&gt; nxr120(config)#interface ethernet 1 nxr120(config-if)#ip address 10.10.10.1/30 ethernet1