購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
5786
閲覧回数
11
いいね!
0
コメント

Cisco SD-WAN IPoE JPIX編

kohyamas
Cisco Employee
Cisco Employee

‎2022-04-22 09:11 AM ‎2024-02-22 11:49 PM 更新

  • はじめに
    日本のフレッツ回線を使用したIPoEによるインターネット速度向上を行うためのCiscoルータの設定について解説していきます。大まかにIPoEと言っても接続方法については複数の種別がありますが、2022年現在ではほとんど全てのIPoE接続方式の基本部分機能としてはIPv4overIPv6トンネリングとよばれる、WAN側インタフェースのIPv6をソースとしたIPIPトンネルをVNE(Virtual Network Enabler)と呼ばれる事業者が提供するインターネット接続サービスの機器と接続する手法が一般的です。今回はさまざまなNVE事業者がある中で、”JPNE編”と題しまして、CiscoSD-WANルータの17.8からサポートされた新機能、”NAT44 IPv4 over IPv6 tunnel”をを応用した設定方法をご紹介します。

スクリーンショット 2022-04-22 8.43.35.png

  • NAT44 IPv4 over IPv6 tunnel機能概要
    IPv6のアドレスのみをサポートするフレッツ網でLAN側のIPv4のトラフィックをインターネットまで運ぶためにBR(BorderRelay)と呼ばれる機器に対してIPv6のトンネル(図中の赤の筒)を設定します。LAN側から受信したトラフィックをこのトンネル内にルーティングさせつつ、そのソースIPアドレスを割り当てられたIPv4に変換しながら通信させることができます。CiscoSD-WANはルータのConfigをGUIからウィザード形式で設定できますが、今回のような特殊ケースの場合はAdd-on-CLIを使って設定をします。ここではAdd-on-CLIで記載する設定部分を抽出して記載します。

  • インタフェース設定 光電話なし
    光電話なしの場合、WANインタフェースにはIPv6 RAを基本としたインタフェース設定を行います。
    interface GigabitEthernet0/0/0
 no shutdown
 ipv6 dhcp client request vendor
 no ipv6 address dhcp
 #RA方式の場合明示的にipv6アドレスをDHCPでは取得しないようにする。
 ipv6 address autoconfig
 ipv6 address fe80::aa:bb:cc:dd link-local
 #JPNEから指定されたIPv6のLinkLocalのアドレス、例えば”aa:bb:cc:dd”が指定されたらfe80::の後ろに記載する
 ipv6 enable
 ipv6 nd autoconfig default-route
 ipv6 nd ra suppress all
 exit
​

 

  • インタフェース設定 光電話あり
    光電話ありの場合はDHCPv6のPD方式での設定を行いますが、一部、デフォルトルートだけはRAを使用します。
    interface GigabitEthernet0/0/0
 no shutdown
 ipv6 address dhcp
 ipv6 dhcp client vendor-class mac-address
 ipv6 dhcp client request vendor
 ipv6 dhcp client pd prefix-from-provider
 ipv6 address prefix-from-provider ::aa:bb:cc:dd/64
 ipv6 nd autoconfig default-route #RAでのデフォルトルートは取得する
 ipv6 nd ra suppress all
exit
  • トンネリング設定
    interface Tunnel1000
 no shutdown
 ip address 106.185.xxx.xxx 255.255.255.255
 #JPNEから指定されたIPv4のアドレス
 ip tcp adjust-mss 1420
 ip mtu 1460
 ip nat outside
 tunnel source GigabitEthernet0/0/0
 tunnel destination 2404:xxx:xxx:xxx::xx
 #JPNEから指定されたBRのIPv6アドレス
 tunnel mode ipv6
 tunnel path-mtu-discovery
 tunnel route-via GigabitEthernet0/0/0 mandatory
 exit
ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel1000 overload
ip nat route vrf 10 0.0.0.0 0.0.0.0 global
#LAN側VRFのNATルート設定、なくてもData-PolicyのNAT VPN0でもDIA動作するので必須ではない
ip route 0.0.0.0 0.0.0.0 Tunnel1000​
  • 開通サーバへの通知設定
    トンネル接続のための開通サーバfcs.enabler.ne.jpへルータのIPv6アドレスを通知するためにIP-SLA機能を使います。update?以降のユーザID及びパスワードはJPNEの開通書類に記載のものを使います。17.8.1リリース時点では宛先のFQDNのDNS名前解決が複数インタフェースがある場合やリンクステータスの変化によって動作しない場合がありますので、ワークアラウンドとして実IPv6アドレス宛のIP-SLA設定をご利用ください。
    ip http client source-interface GigabitEthernet0/0/0
ip sla 100
 http get http://fcs.enabler.ne.jp/update?user=N1141xxxxx&pass=CAF11063xxxxx source-interface GigabitEthernet0/0/0
 !
!
ip sla schedule 100 life forever start-time now​

    実際のIPv6アドレスは環境や時期によって変わるのでルータ上でpingして宛先を確かめてください
ip http client source-interface GigabitEthernet0/0/0
ip sla 110
 http get http://[2406:da14:252:af00:a843:fdc4:49b:410b]/update?user=N1141xxxxx&pass=CAF11063xxxxx source-interface GigabitEthernet0/0/0
 !
!
ip sla 120
 http get http://[2406:da14:252:af01:6f45:5a3a:1f0e:2669]/update?user=N1141xxxxx&pass=CAF11063xxxxx source-interface GigabitEthernet0/0/0
 !
!
ip sla schedule 110 life forever start-time now
ip sla schedule 120 life forever start-time now​
  • SD-WANコントローラ(IPv4)とのトンネリング経由接続
    LAN側のクライアントの通信だけでなくルータ自身のSD-WANコントローラとの接続についてはこのトンネルを経由させて通信する必要があります。ループバックインタフェースでの記載からトンネルINトンネル方式へと記載を変更し、SD-WAN接続を作成する方法を紹介します。
    interface Tunnel1001
 no shutdown
 ip unnumbered Tunnel1000 #IPv6 IP-IPトンネルを指定
 tunnel source Tunnel1000 #IPv6 IP-IPトンネルを指定
 tunnel mode sdwan
 exit
sdwan
 interface Tunnel1000 #IPv6 IP-IPトンネルを指定
  tunnel-interface
  encapsulation ipsec
  color blue
 exit
exit

既知の制限と改修について

  • IP-SLAコマンドをコンソールから設定する場合
    "?"という文字列がコマンドの補完機能を呼び出してしまいますので、"?"をタイプする前にキーボードで"Ctrl+v"をタイプした後に"?"を入力することで設定することができます。
    http get http://fcs.enabler.ne.jp/update"Ctrl+vをタイプ"?user=N1141xxxxx&pass=CAF11063xxxxx

  • IP-SLAコマンドをCLIテンプレートから投入する場合
    Add-on-CLIテンプレートではなくCLIテンプレートから設定を導入する場合も上記と似た事象が発生しますので、CLIテンプレートで投入するコマンド文字列の”?”の前にバックスラッシュ'\'を記入してください。
    http get http://fcs.enabler.ne.jp/update\?user=N1141xxxxx&pass=CAF11063xxxxx

  • IP-SLAの既知の不具合について
    https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwb37953
    DNS server not reachable, then ip sla does not use local define ip host mapping config
    上記IP-SLAのDNS関連の不具合は同17.8.xリリースの後発バージョン及び17.9では改修を予定しています。
    17.8.1リリースバージョンではIPv6直記載のものをご利用ください。

  • Cisco-SDWAN リリースノート
    https://www.cisco.com/c/en/us/support/routers/sd-wan/products-release-notes-list.html

  • 各種確認コマンド
    show ip nat route-dia
show ip route vrf 10 nat-route
show ip nat translations
show ip nat statistics
show platform hardware qfp active interface if-name Tunnel1000
show platform hardware qfp active feature nat datapath stats
show platform hardware qfp active feature nat datapath map | sess-dump​
show ip sla summary
  • 更新履歴
    2023年8月1日 RA方式のインタフェース設定に「ipv6 address dhcp」コマンドが記載されていたものを、
    「no ipv6 address dhcp」へ変更

    2024年2月22日 Loopback方式でのSD-WAN接続をトンネルINトンネル方式に変更
    1台のルータに2回線収容するパターン、Tloc-Ext構成、Service-Side-NATの不具合回避等に対応
ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents