NEC UNIVERGE IX2105 を買う「本番設定編」

つづき
設定要件
情報源
基本的な設定
IPv6 のフィルタ設定
DNS 設定
DHCPv6 サーバー/クライアント設定
WAN インターフェース設定
LAN インターフェース設定
IPv4 over IPv6 (DS-Lite) 設定
まとめ
つづく

つづき

　前回の記事は以下リンクの記事。

　Web GUI を有効化するまでを初期設定として作業を行った。
　今回は稼働中の IPv6 用としているルーター Aterm WG2600HP3 と入れ替えてもそのまま変わらずネットワークが稼働するように設定を行っていく。

　尚、設定済みの設定ファイルを Web GUI からダウンロードした物をペタペタ貼り付けていくので、基本的なコマンド入力方法はある程度修得しておく必要はある。

　以下 UNIVERGE IX シリーズのコマンドリファレンスマニュアルはダウンロードして軽く目を通した方が良い。

製品マニュアル・詳細: 製品マニュアル・検索一覧 | NEC

設定要件

IX2105 は IPv6 担当ルーターとする
IPv4 over IPv6 は ASAHI ネットの DS-Lite を使用する。
DHCPv4 は他が担当しているので IX2105 では使用しない。
IPv6 アドレスに関しては RA と DHCPv6 を用いる。
Web サーバーを IPv6 対応としているので TCP/80, TCP/443, UDP/443 を許可する。

　Aterm WG2600HP3 の時、DHCPv6 が有効だと Android 端末が IPv6 アドレスを取得するとき、ルーター自体が勝手に再起動する問題があった。
　なので、同現象が起きたら IPv6 アドレス周りは RA のみに任せようかと考えていた。

情報源

　設定方法に関してはオフィシャルに DS-Lite の設定事例があるので殆どコピペみたいな感じにして変な操作は行わない。

transix IPv4接続（DS-Lite）設定ガイド : UNIVERGE IXシリーズ | NEC

「UNIVERGE IXシリーズ」を使用して、インターネットマルチフィード社が提供するtransix IPv4接続（DS-Lite）によるIPv4インターネット接続の設定例をご紹介します。

　その他細かい用語は「?」と思ったら直ぐにググるなり AI に聞いて薄ら記憶に留めておく。

基本的な設定

　UFS キャッシュという物を有効化しておく。
　IPv4 のパケットはデフォルトで Tunnel (DS-Lite) 経由とする。
　DHCPv6 を有効化。

ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable

IPv6 のフィルタ設定

　IX2105 は基本的に許可されないパケットは全破棄ということなので、ここでまず必要な設定を行っていく。

ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list web-list permit tcp src any dest 2001:db8::beef:cafe/128 dport eq 80
ipv6 access-list web-list permit tcp src any dest 2001:db8::beef:cafe/128 dport eq 443
ipv6 access-list web-list permit udp src any dest 2001:db8::beef:cafe/128 dport eq 443
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access permit-list

　フィルタの内容は以下の通り。フィルタの名前は任意に定義可能。

`block-list`	すべてを破棄する。
`dhcpv6-list`	DHCP サーバーが使用するポートの通信を許可する。
`icmpv6-list`	ICMPv6 のパケットをすべて許可する。
`permit-list`	すべての通信を許可する。
`web-list`	HTTP/HTTPS の通信を許可する。

　dynamic なフィルタは LAN から開始された通信に対する戻りのパケットを許可する。

DNS 設定

no dns fqdn-database roundrobin
proxy-dns ip enable
proxy-dns ip request both

　DNS ラウンドロビンの無効化を行い、IPv4 の Proxy DNS を有効化する。
　IPv4 アドレスからの名前解決要求に対し、問い合わせは IPv4 と IPv6 の両方に投げる設定とする。

DHCPv6 サーバー/クライアント設定

ipv6 dhcp client-profile dhcpv6-cl
  information-request
  option-request dns-servers

ipv6 dhcp server-profile dhcpv6-sv
  dns-server dhcp

　DHCPv6 サーバーは IX2105 側から LAN に対して DNS サーバーアドレスを通知する。
　DHCPv6 クライアントは IX2105 が上位から DNS サーバーアドレスを取得する。

　DHCPv6 サーバー機能を無効化する場合は server-profile の行とその次行を削除する。

WAN インターフェース設定

interface GigaEthernet0.0
  no ip address
  ipv6 enable
  ipv6 dhcp client dhcpv6-cl
  ipv6 nd proxy GigaEthernet1.0
  ipv6 filter dhcpv6-list 1 in
  ipv6 filter icmpv6-list 2 in
  ipv6 filter web-list 10 in
  ipv6 filter block-list 100 in
  ipv6 filter dhcpv6-list 1 out
  ipv6 filter icmpv6-list 2 out
  ipv6 filter dflt-list 100 out
  no shutdown

　GigaEthernet0.0 は WAN の設定とする。
　IPv6 を有効化し、DHCPv6 を用いて DNS サーバー IP アドレスを取得する。
　セキュリティ対策として ND Proxy を用いて GigaEthernet1.0 (LAN 側) と通信を行う。
　それ以下、予め設定しておいたフィルターを in/out 方向に応じて適用する。

LAN インターフェース設定

interface GigaEthernet1.0
  ip address 192.168.1.2/24
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag
  no shutdown

　GigaEthernet1.0 は LAN の設定とする。
　LAN から IX2105 にアクセスする IP は 192.168.1.2/24 とした。DS-Lite 用の Default Gateway アドレスでもある。
　IPv6 を有効化し、DHCPv6 サーバーも有効化する。
　RA は O-Flag を立てた状態で有効化する。M-Flag は未定義なのでフラグ無し。DHCPv6 サーバーと RA によって IPv6 アドレス周りを設定するステートレス設定となる。

IPv4 over IPv6 (DS-Lite) 設定

interface Tunnel0.0
  tunnel mode 4-over-6
  tunnel destination fqdn dslite.v6connect.net
  tunnel source GigaEthernet1.0
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  no shutdown

　Tunnel0.0 インターフェースを IPv4 over IPv6 で使用する。
　トンネルの到達先 AFTR は FQDN で指定する。筆者宅は ASAHI ネットの DS-Lite を使用するので、上記の FQDN を指定した。
　トンネルを使用するのは冒頭で「ip route default Tunnel0.0」としている通り、GigaEthernet1.0 (LAN 側) からくる IPv4 による通信。
　この時、GigaEthernet1.0 は unnumbered 接続を行う。
　TCP 通信時の MSS は自動設定に。

まとめ

　以上で主要な設定を行った。
　これまで設定した物を Web GUI からダウンロードした物がこちら。パスワードと実際の IPv6 GUA は伏せている。

IX2105(config)$ show startup-config
Using 2695 out of 524288 bytes

! NEC Portable Internetwork Core Operating System Software
! IX Series IX2105 (magellan-sec) Software, Version 10.2.42, RELEASE SOFTWARE
! Compiled Sep 09-Fri-2022 13:40:53 JST #2
! Last updated Mar 10-Mon-2025 11:14:05 JST
!
hostname IX2105
timezone +09 00
!
logging buffered 131072
logging subsystem all warn
logging timestamp datetime
!
username admin password hash XXXXXX administrator
!
!
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip access-list web-http-acl permit ip src any dest 192.168.1.2/32
!
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list web-list permit tcp src any dest 2001:db8::beef:cafe/128 dport eq 80
ipv6 access-list web-list permit tcp src any dest 2001:db8::beef:cafe/128 dport eq 443
ipv6 access-list web-list permit udp src any dest 2001:db8::beef:cafe/128 dport eq 443
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access permit-list
!
!
!
!
!
!
!
no dns fqdn-database roundrobin
!
proxy-dns ip enable
proxy-dns ip request both
!
http-server authentication-method digest
http-server username admin secret-password XXXXXX
http-server ip access-list web-http-acl
http-server ip enable
!
!
!
!
ipv6 dhcp client-profile dhcpv6-cl
  information-request
  option-request dns-servers
!
ipv6 dhcp server-profile dhcpv6-sv
  dns-server dhcp
!
device GigaEthernet0
!
device GigaEthernet1
!
interface GigaEthernet0.0
  no ip address
  ipv6 enable
  ipv6 dhcp client dhcpv6-cl
  ipv6 nd proxy GigaEthernet1.0
  ipv6 filter dhcpv6-list 1 in
  ipv6 filter icmpv6-list 2 in
  ipv6 filter web-list 10 in
  ipv6 filter block-list 100 in
  ipv6 filter dhcpv6-list 1 out
  ipv6 filter icmpv6-list 2 out
  ipv6 filter dflt-list 100 out
  no shutdown
!
interface GigaEthernet1.0
  ip address 192.168.1.2/24
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag
  no shutdown
!
interface Loopback0.0
  no ip address
!
interface Null0.0
  no ip address
!
interface Tunnel0.0
  tunnel mode 4-over-6
  tunnel destination fqdn dslite.v6connect.net
  tunnel source GigaEthernet1.0
  ip unnumbered GigaEthernet1.0
  ip tcp adjust-mss auto
  no shutdown
!
web-console system information
  o lan1 GigaEthernet1.0
  o password-changed admin
IX2105(config)$

　こう言うのはなんかやってる感があってとても好き。

つづく

　次回はこの設定を投入した IX2105 を稼働中の Aterm WG2600HP3 と入れ替えましょうという記事の予定。

　しかしまぁ、業務用ルーターの知識は 0 に近い状態からだったので勉強毎が多かった。でもかなり楽しめた。

　続きの記事はこちら。 (2025/03/14 追記)

Cookie	期間	説明
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.