キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
3027
閲覧回数
10
いいね!
0
コメント
kohyamas
Cisco Employee
Cisco Employee
  • はじめに
    日本のフレッツ回線を使用したIPoEによるインターネット速度向上を行うためのCiscoルータの設定について解説していきます。ここでは"transix編"と題しましてCiscoSD-WANルータの17.8からサポートされた新機能、”NAT44 IPv4 over IPv6 tunnel”を応用した設定方法をご紹介します。

スクリーンショット 2022-07-06 12.23.53.png

  • NAT44 IPv4 over IPv6 tunnel機能概要
    IPv6のアドレスのみをサポートするフレッツ網でLAN側のIPv4のトラフィックをインターネットまで運ぶためにBR(図中ではBR表記ですが正式にはAFTRと呼ばれる)トンネル終端装置に対してIPv6のトンネル(図中の赤の筒)を設定します。LAN側から受信したトラフィックをこのトンネル内にルーティングさせつつ、そのソースIPアドレスを割り当てられたIPv4に変換しながら通信させることができます。CiscoSD-WANはルータのConfigをGUIからウィザード形式で設定できますが、今回のような特殊ケースの場合はAdd-on-CLIを使って設定をします。ここではAdd-on-CLIで記載する設定部分を抽出して記載します。

  • インタフェース設定 RA方式
    光電話なしの場合、WANインタフェースにはIPv6 RAを基本としたインタフェース設定を行います。
    interface GigabitEthernet0/0/0
     no shutdown
     ipv6 dhcp client request vendor
     no ipv6 address dhcp
     #RA方式の場合明示的にipv6アドレスをDHCPで取得しないようにする
     ipv6 address autoconfig
     ipv6 address fe80::aa:bb:cc:dd link-local
     #transixから指定されたIPv6のLinkLocalのアドレス、例えば”aa:bb:cc:dd”が指定されたらfe80::の後ろに記載する
     ipv6 enable
     ipv6 nd autoconfig default-route
     ipv6 nd ra suppress all
     exit

 

  • インタフェース設定 DHCPv6-PD方式
    DHCPv6のPD方式での設定を行いますが、一部、デフォルトルートだけはRAを使用します。
    interface GigabitEthernet0/0/0
     no shutdown
     ipv6 address dhcp
     ipv6 dhcp client vendor-class mac-address
     ipv6 dhcp client request vendor
     ipv6 dhcp client pd prefix-from-provider
     ipv6 address prefix-from-provider ::aa:bb:cc:dd/64
     ipv6 nd autoconfig default-route #RAでのデフォルトルートは取得する
     ipv6 nd ra suppress all
    exit

 

  • 固定IPv4のトンネリング設定(パターン1)
    BRと接続するIPv6トンネル内部のアドレスが固定で払い出されるパターンでの設定例です。
    interface Tunnel1000
     no shutdown
     ip address 217.178.xxx.xxx 255.255.255.255
     #transixから指定されたIPv4のアドレス
     ip tcp adjust-mss 1420
     ip mtu 1460
     ip nat outside
     tunnel source GigabitEthernet0/0/0
     tunnel destination 2404:8e00::xxxx.xxxx
     #transixから指定されたBRのIPv6アドレス
     tunnel mode ipv6
     tunnel path-mtu-discovery
     tunnel route-via GigabitEthernet0/0/0 mandatory
    exit
    ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel1000 overload
    ip nat route vrf 10 0.0.0.0 0.0.0.0 global
    #LAN側VRFのNATルート記載しているが、なくてもData-PolicyのNATVPN0でもDIAが可能なので必須では無い ip route 0.0.0.0 0.0.0.0 Tunnel1000
  • DS-Lite方式(パターン2)
    BRと接続するIPv6トンネル内部のアドレスがなく、BR側でNATオーバーロードされるパターンでの設定例です。
    トンネル内部のアドレスを固定のものから単純に適当なプライベートIPアドレスに変更してください。
    その他の設定は全て同じです。
    interface Tunnel1000
     no shutdown
     ip address 192.168.xxx.xxx 255.255.255.255
  • 開通サーバへの通知設定
    トンネル接続のための開通サーバ"update.transix.jp"へルータのIPv6アドレスを通知するためにIP-SLA機能を使います。ユーザID及びパスワードはtransixの開通書類に記載のものを使います。
    ip http client source-interface GigabitEthernet0/0/0
    ip sla 100
     http get http://update.transix.jp/request?username=userid&password=password source-interface GigabitEthernet0/0/0
     frequency 600
    ! ! ip sla schedule 100 life forever start-time now
    17.8.1リリース時点では宛先のFQDNのDNS名前解決が複数インタフェースがある場合やリンクステータスの変化によって動作しない場合がありますので、ワークアラウンドとして実IPv6アドレス宛のIP-SLA設定をご利用ください。

 

  • SD-WANコントローラ(IPv4)とのトンネリング経由接続
    LAN側のクライアントの通信だけでなくルータ自身のSD-WANコントローラとの接続についてはこのトンネルを経由させて通信する必要があります。ループバックインタフェースでの記載からトンネルINトンネル方式へと記載を変更し、SD-WAN接続を作成する方法を紹介します。
    interface Tunnel1001
     no shutdown
     ip unnumbered Tunnel1000 #IPv6トンネルを指定
     tunnel source Tunnel1000 #IPv6トンネルを指定
     tunnel mode sdwan
     exit
    sdwan
     interface Tunnel1000 #IPv6トンネルを指定
      tunnel-interface
      encapsulation ipsec
      color blue
     exit
    exit  ​

既知の制限と改修について

  • IP-SLAコマンドをコンソールから設定する場合
    "?"という文字列がコマンドの補完機能を呼び出してしまいますので、"?"をタイプする前にキーボードで"Ctrl+v"をタイプした後に"?"を入力することで設定することができます。
    http get http get http://update.transix.jp/request"Ctrl+vをタイプ"?username=userid&password=password

  • IP-SLAコマンドをCLIテンプレートから投入する場合
    Add-on-CLIテンプレートではなくCLIテンプレートから設定を導入する場合も上記と似た事象が発生しますので、CLIテンプレートで投入するコマンド文字列の”?”の前にバックスラッシュ'\'を記入してください。
    http get http get http://update.transix.jp/request\?username=userid&password=password

  • IP-SLAの既知の不具合について
    https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwb37953
    DNS server not reachable, then ip sla does not use local define ip host mapping config
    上記IP-SLAのDNS関連の不具合は同17.8.xリリースの後発バージョン及び17.9では改修を予定しています。
    17.8.1リリースバージョンではIPv6直記載のものをご利用ください。

  • Cisco-SDWAN リリースノート
    https://www.cisco.com/c/en/us/support/routers/sd-wan/products-release-notes-list.html

  • 各種確認コマンド
    show ip nat route-dia
    show ip route vrf 10 nat-route
    show ip nat translations
    show ip nat statistics
    show platform hardware qfp active interface if-name Tunnel1000
    show platform hardware qfp active feature nat datapath stats
    show platform hardware qfp active feature nat datapath map | sess-dump
    show ip sla summary
  • 更新履歴
    2023年8月1日 RA方式のインタフェース設定に「ipv6 address dhcp」コマンドが記載されていたものを、
    「no ipv6 address dhcp」へ変更

    2024年2月22日 Loopback方式からトンネルINトンネル方式に記載を変更
    1台に2回線収容する場合やTloc-ext構成、Service-Side-NATの不具合の回避などに対応
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします