購入する または契約更新する
購入する または契約更新する
New! Cisco Secure Access の最新情報をチェック:ソフトウェアリリースノートとアナウンスメントはこちら
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3027
閲覧回数
10
いいね!
0
コメント

Cisco SD-WAN IPoE transix編

kohyamas
Cisco Employee
Cisco Employee

‎2022-07-06 01:35 PM ‎2024-02-22 11:50 PM 更新

  • はじめに
    日本のフレッツ回線を使用したIPoEによるインターネット速度向上を行うためのCiscoルータの設定について解説していきます。ここでは"transix編"と題しましてCiscoSD-WANルータの17.8からサポートされた新機能、”NAT44 IPv4 over IPv6 tunnel”を応用した設定方法をご紹介します。

スクリーンショット 2022-07-06 12.23.53.png

  • NAT44 IPv4 over IPv6 tunnel機能概要
    IPv6のアドレスのみをサポートするフレッツ網でLAN側のIPv4のトラフィックをインターネットまで運ぶためにBR(図中ではBR表記ですが正式にはAFTRと呼ばれる)トンネル終端装置に対してIPv6のトンネル(図中の赤の筒)を設定します。LAN側から受信したトラフィックをこのトンネル内にルーティングさせつつ、そのソースIPアドレスを割り当てられたIPv4に変換しながら通信させることができます。CiscoSD-WANはルータのConfigをGUIからウィザード形式で設定できますが、今回のような特殊ケースの場合はAdd-on-CLIを使って設定をします。ここではAdd-on-CLIで記載する設定部分を抽出して記載します。

  • インタフェース設定 RA方式
    光電話なしの場合、WANインタフェースにはIPv6 RAを基本としたインタフェース設定を行います。
    interface GigabitEthernet0/0/0
 no shutdown
 ipv6 dhcp client request vendor
 no ipv6 address dhcp
 #RA方式の場合明示的にipv6アドレスをDHCPで取得しないようにする
 ipv6 address autoconfig
 ipv6 address fe80::aa:bb:cc:dd link-local
 #transixから指定されたIPv6のLinkLocalのアドレス、例えば”aa:bb:cc:dd”が指定されたらfe80::の後ろに記載する
 ipv6 enable
 ipv6 nd autoconfig default-route
 ipv6 nd ra suppress all
 exit

 

  • インタフェース設定 DHCPv6-PD方式
    DHCPv6のPD方式での設定を行いますが、一部、デフォルトルートだけはRAを使用します。
    interface GigabitEthernet0/0/0
 no shutdown
 ipv6 address dhcp
 ipv6 dhcp client vendor-class mac-address
 ipv6 dhcp client request vendor
 ipv6 dhcp client pd prefix-from-provider
 ipv6 address prefix-from-provider ::aa:bb:cc:dd/64
 ipv6 nd autoconfig default-route #RAでのデフォルトルートは取得する
 ipv6 nd ra suppress all
exit

 

  • 固定IPv4のトンネリング設定(パターン1)
    BRと接続するIPv6トンネル内部のアドレスが固定で払い出されるパターンでの設定例です。
    interface Tunnel1000
 no shutdown
 ip address 217.178.xxx.xxx 255.255.255.255
 #transixから指定されたIPv4のアドレス
 ip tcp adjust-mss 1420
 ip mtu 1460
 ip nat outside
 tunnel source GigabitEthernet0/0/0
 tunnel destination 2404:8e00::xxxx.xxxx
 #transixから指定されたBRのIPv6アドレス
 tunnel mode ipv6
 tunnel path-mtu-discovery
 tunnel route-via GigabitEthernet0/0/0 mandatory
exit
ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel1000 overload
ip nat route vrf 10 0.0.0.0 0.0.0.0 global
    #LAN側VRFのNATルート記載しているが、なくてもData-PolicyのNATVPN0でもDIAが可能なので必須では無い
ip route 0.0.0.0 0.0.0.0 Tunnel1000
  • DS-Lite方式(パターン2)
    BRと接続するIPv6トンネル内部のアドレスがなく、BR側でNATオーバーロードされるパターンでの設定例です。
    トンネル内部のアドレスを固定のものから単純に適当なプライベートIPアドレスに変更してください。
    その他の設定は全て同じです。
    interface Tunnel1000
 no shutdown
 ip address 192.168.xxx.xxx 255.255.255.255
  • 開通サーバへの通知設定
    トンネル接続のための開通サーバ"update.transix.jp"へルータのIPv6アドレスを通知するためにIP-SLA機能を使います。ユーザID及びパスワードはtransixの開通書類に記載のものを使います。
    ip http client source-interface GigabitEthernet0/0/0
ip sla 100
 http get http://update.transix.jp/request?username=userid&password=password source-interface GigabitEthernet0/0/0
 frequency 600
     !
!
ip sla schedule 100 life forever start-time now
    17.8.1リリース時点では宛先のFQDNのDNS名前解決が複数インタフェースがある場合やリンクステータスの変化によって動作しない場合がありますので、ワークアラウンドとして実IPv6アドレス宛のIP-SLA設定をご利用ください。

 

  • SD-WANコントローラ(IPv4)とのトンネリング経由接続
    LAN側のクライアントの通信だけでなくルータ自身のSD-WANコントローラとの接続についてはこのトンネルを経由させて通信する必要があります。ループバックインタフェースでの記載からトンネルINトンネル方式へと記載を変更し、SD-WAN接続を作成する方法を紹介します。
    interface Tunnel1001
 no shutdown
 ip unnumbered Tunnel1000 #IPv6トンネルを指定
 tunnel source Tunnel1000 #IPv6トンネルを指定
 tunnel mode sdwan
 exit
sdwan
 interface Tunnel1000 #IPv6トンネルを指定
  tunnel-interface
  encapsulation ipsec
  color blue
 exit
exit  ​

既知の制限と改修について

  • IP-SLAコマンドをコンソールから設定する場合
    "?"という文字列がコマンドの補完機能を呼び出してしまいますので、"?"をタイプする前にキーボードで"Ctrl+v"をタイプした後に"?"を入力することで設定することができます。
    http get http get http://update.transix.jp/request"Ctrl+vをタイプ"?username=userid&password=password

  • IP-SLAコマンドをCLIテンプレートから投入する場合
    Add-on-CLIテンプレートではなくCLIテンプレートから設定を導入する場合も上記と似た事象が発生しますので、CLIテンプレートで投入するコマンド文字列の”?”の前にバックスラッシュ'\'を記入してください。
    http get http get http://update.transix.jp/request\?username=userid&password=password

  • IP-SLAの既知の不具合について
    https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwb37953
    DNS server not reachable, then ip sla does not use local define ip host mapping config
    上記IP-SLAのDNS関連の不具合は同17.8.xリリースの後発バージョン及び17.9では改修を予定しています。
    17.8.1リリースバージョンではIPv6直記載のものをご利用ください。

  • Cisco-SDWAN リリースノート
    https://www.cisco.com/c/en/us/support/routers/sd-wan/products-release-notes-list.html

  • 各種確認コマンド
    show ip nat route-dia
show ip route vrf 10 nat-route
show ip nat translations
show ip nat statistics
show platform hardware qfp active interface if-name Tunnel1000
show platform hardware qfp active feature nat datapath stats
show platform hardware qfp active feature nat datapath map | sess-dump
    show ip sla summary
  • 更新履歴
    2023年8月1日 RA方式のインタフェース設定に「ipv6 address dhcp」コマンドが記載されていたものを、
    「no ipv6 address dhcp」へ変更

    2024年2月22日 Loopback方式からトンネルINトンネル方式に記載を変更
    1台に2回線収容する場合やTloc-ext構成、Service-Side-NATの不具合の回避などに対応
ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents