- はじめに
CiscoSD-WAN OSバージョン17.10からサポートされたNAT64_MAP-E機能を使ってSD-WANルータをIPoE環境で構築する基本設定を紹介します。この機能はNTT-COM(OCN)方式のMAP-E環境にて共有IPv4グローバルアドレスを取得し、LAN側のIPv4のVRFからWAN側のIPv4インターネット向けの通信を可能とするものです。 - 制限事項
17.10.1aバージョンのDHCP-PD(光電話ありや10G光クロス)環境でのMAP-E動的はサポートしていません。
またMAP-E動的環境でのIPv4 over IPv6トンネル経由ではIPv4でのSD-WANトンネルが動作しません。
IPv4との他拠点IPsec接続などにはMAP-E固定IPでのご利用をお勧めします。IPv6での接続であれば可能です。
- NAT64 MAP-E機能概要
NAT64_MAP-E機能はエッジルータのWAN側IPv6インタフェースからアドレスサーバにSSL(HTTPを一部含む)アクセスをし、共有IPv4グローバルIPアドレスの情報と利用できるポート番号の情報を取得します。この情報とルータ自身のアドレス変換とを連携させ、共有IPv4の中の指定のポート番号のみを使ってインターネットアクセスを可能にします。なお、MAP-Eでは固定IPアドレスを取得できるものもあり、固定IPの場合はIPv4アドレス取得はMAP-Eを利用しますがこの場合はポート番号の制限はありません。通常のMAP-Eと固定IPのMAP-Eの2つの方式によって設定方法が異なる点に注意してください。 - インタフェース設定 RA方式
光電話なしの場合、WANインタフェースにはIPv6 RAを基本としたインタフェース設定を行います。interface GigabitEthernet0/0/0 no shutdown ipv6 dhcp client request vendor no ipv6 address dhcp #RA方式の場合明示的にIPv6アドレスをDHCPで取得しないようにする ipv6 address autoconfig ipv6 enable ipv6 nd autoconfig default-route ipv6 nd ra suppress all exit
- インタフェース設定 DHCPv6-PD方式
DHCPv6のPD方式での設定を行いますが、一部、デフォルトルートだけはRAを使用します。interface GigabitEthernet0/0/0 no shutdown ipv6 address dhcp ipv6 dhcp client vendor-class mac-address ipv6 dhcp client request vendor ipv6 dhcp client pd prefix-from-provider ipv6 address prefix-from-provider ::aa:bb:cc:dd/64 または /80 ipv6 nd autoconfig default-route #RAでのデフォルトルートは取得する ipv6 nd ra suppress all exit - MAP-E固定IP(パターン1)
MAP-E固定の場合、旧来のIPv4overIPv6トンネルとほぼ同じ設定を行います。
設定はCLIアドオンテンプレートにて行ってください。Tunnel0はMAP-E固定IPで利用できる固定値です。ip route 0.0.0.0 0.0.0.0 Tunnel0 ip nat route vrf 10 0.0.0.0 0.0.0.0 global #簡単のためにNATルートを利用していますが、Data-PolicyのNATでも動作可能です。 #Data-Policyの場合はNATルートを削除 ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel0 overload interface GigabitEthernet0/0/0 no shutdown no ip address ipv6 dhcp client request vendor ipv6 address autoconfig default ipv6 enable ipv6 nd ra suppress all negotiation auto exit ! interface Vlan10 no shutdown vrf forwarding 10 ip address 192.168.1.254 255.255.255.0 exit ! interface Tunnel0 no shutdown ip nat outside !nat64 enable ! nat64の設定は不要でした。 tunnel source GigabitEthernet0/0/0 tunnel mode ipv6 tunnel route-via GigabitEthernet0/0/0 mandatory exit ! #IPv6のSD-WANトンネル interface Tunnel1 no shutdown ip unnumbered GigabitEthernet0/0/0 ipv6 unnumbered GigabitEthernet0/0/0 tunnel source GigabitEthernet0/0/0 tunnel mode sdwan exit ! #IPv4のSD-WANトンネル interface Tunnel1000 no shutdown ip unnumbered Tunnel0 tunnel source Tunnel0 tunnel mode sdwan exit ! sdwan interface GigabitEthernet0/0/0 tunnel-interface encapsulation ipsec #max-control-connections 0 #IPv6コントローラがない場合に入れる color gold exit exit ! interface Tunnel0 tunnel-interface encapsulation ipsec color silver exit exit ! nat64 settings fragmentation header disable nat64 provisioning mode jp01 version draft-ietf-softwire-map-03 address-resolution-server http://<address-server-url> tunnel interface Tunnel0 tunnel source GigabitEthernet0/0/0 !
- MAP-E共有IP(パターン2)
※MAP-Eトンネル上でのIPv4SD-WANトンネルは動作しませんが将来想定Configを記載します。
想定部分は#で弾いてあります。
IPv6でのコントローラ接続、IPv6でのSD-WANトンネル接続では利用可能です。
もしくはホームゲートウェイ配下でのご利用であれば通常通り動作可能です。
MAP-E共有IPの場合は設定項目が少なくなり、NAT設定、トンネルインタフェースの作成、MAP-Eでの指定項目等が少なくなります。ただし、インタフェースに対してnat64変換対象である指定コマンド"nat64 enable"が追加になります。nat64 route 0.0.0.0/0 GigabitEthernet0/0/0 ip nat route vrf 10 0.0.0.0 0.0.0.0 global #NATルートの場合はLoopbackインタフェース及びVRF0にIPv4のアドレスが存在しなくてもDIA通信可能 #Data-Policyを使う場合はNATルートは不要ですが、VRF0に明示的にIPアドレス、この場合はLoopbackインタフェースを持つ必要がある #ip nat insideの設定は不要 interface GigabitEthernet0/0/0 no shutdown no ip address ipv6 dhcp client request vendor ipv6 address autoconfig default ipv6 enable ipv6 nd ra suppress all negotiation auto nat64 enable exit ! interface Vlan10 no shutdown vrf forwarding 10 ip address 192.168.1.254 255.255.255.0 nat64 enable exit ! interface Tunnel1 #IPv6トンネル no shutdown ip unnumbered GigabitEthernet0/0/0 ipv6 unnumbered GigabitEthernet0/0/0 tunnel source GigabitEthernet0/0/0 tunnel mode sdwan exit ! #interface Tunnel1000 # no shutdown # ip unnumbered Tunnel0 #自動で生成されるMAP-Eトンネルを設定値にできるように改修 # tunnel source Tunnel0 #自動で生成されるMAP-Eトンネルを設定値にできるように改修 # tunnel mode sdwan #exit #! sdwan interface GigabitEthernet0/0/0 tunnel-interface encapsulation ipsec color mpls #IPv6コントローラがない場合に入れる #max-control-connections 0 exit # interface Tunnel0 #自動で生成されるMAP-Eトンネルを設定値にできるように改修 # tunnel-interface # encapsulation ipsec # color public-internet # exit # exit ! nat64 settings fragmentation header disable nat64 provisioning mode jp01 version draft-ietf-softwire-map-03 !
- DNSサーバ設定(パターン共通設定)
ルールサーバや固定アドレスサーバ宛のHTTPアクセスの名前解決のため、以下のDNS設定を行ってください。
IPoE回線単体でのご利用の場合にはDNSサーバはIPv6のものが必要な点にも注意が必要です。
ご利用のDNSサーバのIPはサンプルでGoogleのものを記載します。回線環境に合わせて変更してください。ip domain lookup ip name-server 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 - 既知の制限と改修について
MAP-Eのアドレス情報の取得はルータのHTTPクライアントからSSLで取得します。SSLのエラーを防ぐためルータに対してクロスルート証明書をあらかじめインストールしておく必要があります。ここではSD-WANルータに対してクロスルート証明書をアップロードしルータにインストールする手順を記載します。
2025年2月26日追記
OCN MAPルールの取得に用いている証明書の更新によりOCN MAPルールの取得に影響が出ることから、
ルータで使用する証明書を変更する必要があります。
1.Root証明書ダウンロード
以下のリンクからRoot証明書をダウンロードします。
旧:https://certs.secureserver.net/repository/sf-class2-root.crt
https://www.amazontrust.com/repository/SFSRootCAG2.pem
2.Root証明書をCopyコマンドでルータのBootflashにアップロードしてください。アップロード後のファイル名は
後のコマンドに合わせて”TP.ca"としてください。
3.以下のコマンドを入力
config-transaction
crypto pki trustpoint TP
enrollment url bootflash:
revocation-check none
! 旧 ! fingerprint AD7E1C28B064EF8F6003402014C3D0E3370EB58A
fingerprint 925A8F8D2C6D04E0665F596AFF22D863E8256F3F
commit
end
crypto pki authenticate TP
コマンド出力例
MAP-E-Router#crypto pki authenticate TP
Reading file from bootflash:TP.ca
Certificate has the following attributes:
Fingerprint MD5: 324A4BBB C863699B BE749AC6 DD1D4624
Fingerprint SHA1: AD7E1C28 B064EF8F 60034020 14C3D0E3 370EB58A
Trustpoint Fingerprint: AD7E1C28 B064EF8F 60034020 14C3D0E3 370EB58A
Certificate validated - fingerprints matched.
Trustpoint CA certificate accepted.
MAP-E-Router#- Root証明書配布をvManage20.13.x以降から実施可能となりました。
別回線やIPv6でvManageとルータとの接続性がある状態から遠隔でのインストールとなります。
詳細は以下の手順をご覧ください。
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/sdwan-xe-gs-book/manage-certificates.html#c-fht-ca-certifcates - Cisco-SDWAN リリースノート
https://www.cisco.com/c/en/us/support/routers/sd-wan/products-release-notes-list.htm - 各種確認コマンド
show nat64 map-e show nat64 statistics show ip nat translations show nat64 translations show platform hardware qfp active statistics drop show platform hardware qfp active feature nat datapath statistics show platform hardware qfp active feature nat datapath sess-dump debug ip nat 1 detailed debug nat64 detail debug platform hardware qfp active feature nat64 data detail - 更新履歴
2023年8月1日 RA方式のインタフェース設定に「ipv6 address dhcp」コマンドが記載されていたものを、
「no ipv6 address dhcp」へ変更
2024年2月22日 Loopback方式からトンネルINトンネル方式へ記載を変更
一台に2回線収容やTloc-ext構成、Service-Side-NATの不具合回避などに対応
2024年9月30日 Tunnel0インタフェース内のnat64設定が不要で、手順から削除。
Tunnel0をソースとしたSIG_IPsecを利用する場合に、パケットフォワードのソースインタフェース指定のコマンド
tunnel route-via Tunnel0を入れるとダウンする問題から判明
2025年2月26日 ルータで使用するRoot証明書に関する記事を更新
2025年3月18日 IPv6のDNSサーバに関する設定を追記
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
