OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト OS / 機器ごとの設定例 Cisco ルータでの使用方法

Cisco ルータでの使用方法

Cisco ルータは、本「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービス、および本サービスを利用した拠点間 VPN の構築に対応しています。

このページでは、「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービスを Cisco ルータで使用する方法について、以下の 3 つの節に分けて説明します。

  1. Cisco ルータを本サービスの DDNS ホスト名に関連付ける方法。
    まず、Cisco ルータを本サービスの DDNS ホスト名に関連付け、Cisco ルータがフレッツ回線または IPv6 インターネットに接続されている場合に、自動的に本サービスの DDNS ホスト名に登録されている IPv6 アドレスが更新されるようにする方法を説明します。

  2. Cisco ルータを用いてフレッツ網内で拠点間 L3-VPN (IPv4 over IPv6, IPsec) を構築する設定例。
    次に、Cisco ルータに内蔵されている IPsec VPN 機能を用いて、拠点間で IPv4 over IPv6 VPN トンネルを構築する具体的な設定例を説明します。
    ここに記載されている方法を参考にすれば、どなたでも、Cisco ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、IP ルーティングベースの VPN 接続を構築できます。

  3. Cisco ルータを用いてフレッツ網内で拠点間仮想広域イーサネット VPN (Ethernet over IPv6, L2TPv3, IPsec) を構築する設定例。
    最後に、Cisco ルータに内蔵されている L2TPv3/IPsec VPN 機能を用いて、拠点間で Ethernet over IPv6 トンネルを構築する具体的な設定例を説明します。
    ここに記載されている方法を参考にすれば、どなたでも、Cisco ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、仮想的な広域イーサネットを構築できます。

 

前提条件

  • 一般的に、最新の IOS (例: IOS 15.5 など) が動作する任意の Cisco ルータが、本「OPEN IPv6 DDNS for フレッツ・光ネクスト」サービスおよび本サービスを用いた VPN の構築に対応しています。
  • ここでは、Cisco ルータの例として「Cisco 892」を使用します。
  • WAN 回線としては、すべての拠点で、フレッツ・光ネクスト (IPv6 アドレスおよび DNS サーバー設定が NTT 局内から RA および DHCPv6 により自動的に割り当てられる回線) を利用することを想定しています。
  • Cisco ルータの「GigabitEthernet 0」ポートに WAN 回線を、「FastEthernet 8」ポートに LAN 回線を接続することを想定しています。

 

 

1. Cisco ルータを本サービスの DDNS ホスト名に関連付ける方法

まず、Cisco ルータを本サービスの DDNS ホスト名に関連付け、Cisco ルータがフレッツ回線または IPv6 インターネットに接続されている場合に、自動的に本サービスの DDNS ホスト名に登録されている IPv6 アドレスが更新されるようにする方法を説明します。この方法を習得すると、以下で別途説明するような VPN 構築以外の目的でCisco ルータとフレッツ・光ネクスト回線 (たとえば、IPv6 経由のスイッチの Ping 監視、SNMP 監視、SSH による遠隔ログインなど) の組み合わせが利用できるようになり、大変便利です。

  • すでに DDNS ホスト名は作成されており、以下のようなパラメータとなっているものと仮定します。
    • 「sample1.i.open.ad.jp」という DDNS ホスト名を作成済み。DDNS ホストの新規作成はこちら
    • 専用更新ホスト名として「update-0123456789abcdefff.i.open.ad.jp」が割り当てられているものとする。
      すなわち、この「専用更新ホスト名」に任意の IPv6 パケット (ping でもよい) を一定期間ごとに送出することにより、DDNS ホスト名の IPv6 アドレスを更新することができる。

最初に、インターフェイス「GigabitEthernet 0」にフレッツ回線を接続すると自動的に IPv6 アドレスが NTT 収容ビルから割り当てられるように、下記のような設定をする必要があります。

緑色の文字列は、コメントです。実際に入力する必要はありません。 

! DNS 名前解決を有効にします。
ip domain-lookup
ip domain timeout 1
ip domain retry 5

! IPv6 ユニキャスト・ルーティングを有効にします。
ipv6 unicast-routing

! Gigabit Ethernet 0 のインターフェイスを有効にし、IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。
interface GigabitEthernet 0
    no shutdown
    no ip address
    ipv6 address autoconfig
    ipv6 nd autoconfig default-route
    ipv6 nd ra suppress all
exit

 

次に、Cisco ルータに内蔵されているイベントマネージャに、1 分ごとに呼び出されるタスクを追加します。これにより、Cisco ルータが 1 分おきに本 DDNS サービスに対して自己の IPv6 アドレスを更新するためのパケットを送信することができるようになります。

緑色の文字列は、コメントです。実際に入力する必要はありません。 

! イベントマネージャに新しいタスクを追加します。
event manager applet OPEN_DDNS_RENEW_SCRIPT
    event timer cron name OPEN_DDNS_RENEW_SCRIPT_1 cron-entry "* * * * *"
        action 1.0 cli command "enable"
        ! 以下の部分は、実際に作成された DDNS ホスト名の「更新専用ホスト」名に置き換えてください。
        action 1.1 cli command "ping update-0123456789abcdefff.i.open.ad.jp"
    exit
exit

 

上記が完了したら、Gigabit Ethernet 0 インターフェイスにフレッツ・光ネクスト回線を接続することにより、Cisco ルータの IPv6 アドレスが、事前に作成された DDNS ホスト名に対して、1 分間に 1 回の間隔で、自動的に更新されるようになります。

 

2. Cisco ルータを用いてフレッツ網内で拠点間 L3-VPN (IPv4 over IPv6, IPsec) を構築する設定例

次に、Cisco ルータに内蔵されている IPsec VPN 機能を用いて、拠点間で IPv4 over IPv6 VPN トンネルを構築する具体的な設定例を説明します。

ここに記載されている方法を参考にすれば、どなたでも、Cisco ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、IP ルーティングベースの VPN 接続を構築できます。

  • 一般的に、最新の IOS (例: IOS 15.5 など) が動作する任意の Cisco ルータが、本「OPEN IPv6 DDNS for フレッツ・光ネクスト」サービスおよび本サービスを用いた VPN の構築に対応しています。
  • ここでは、Cisco ルータの例として「Cisco 892」を使用します。
  • 以下の設定例では、IPsec VPN での認証方式は、事前共有キー (Pre-shared key) とし、事前共有キーの文字列は「cisco」とします。事前共有キーは、任意のものに変更して使用してください。
  • WAN 回線としては、すべての拠点で、フレッツ・光ネクスト (IPv6 アドレスおよび DNS サーバー設定が NTT 局内から RA および DHCPv6 により自動的に割り当てられる回線) を利用することを想定しています。
  • Cisco ルータの「GigabitEthernet 0」ポートに WAN 回線を、「FastEthernet 8」ポートに LAN 回線を接続することを想定しています。
  • 2 つの拠点で、合計 2 台の Cisco ルータを設置するものとします。
    すでに DDNS ホスト名は作成されており、以下のようなパラメータとなっているものと仮定します。
    • 拠点 1: 「sample1.i.open.ad.jp」という DDNS 名を作成済み。DDNS ホストの新規作成はこちら
      専用更新ホスト名として「update-0123456789abcdefff.i.open.ad.jp」が割り当てられているものとする。
    • 拠点 2: 「sample2.i.open.ad.jp」という DDNS 名を作成済み。DDNS ホストの新規作成はこちら
      (拠点 2 をイニシエータ、拠点 1 をレスポンダとして VPN 接続を行うため、実は拠点 2 の側は DDNS 名を作成しなくても良い。)
  • 2 つの拠点のそれぞれの IPv4 ネットワーク間を、IPsec VPN で接続します。この際、2 つの拠点にはそれぞれ以下のような IPv4 ネットワークが接続されているものとします。
    • 拠点 1: 「192.168.0.0/24」というネットワークがあるものとします。
      本設定例における拠点 1 の Cisco ルータは、拠点 1 のLAN 内では、192.168.0.254 という IP アドレスを持つものとします。本 Cisco ルータがデフォルト・ゲートウェイでない場合は、LAN 内のデフォルト・ゲートウェイとなっている既設ルータ (以下の設定例では、192.168.0.1 がデフォルト・ゲートウェイとなっている既設ルータであることを想定しています) に設定を追加し、拠点 2 の「192.168.10.0/24」という IP サブネットに対して 192.168.0.254 をネクストホップとするスタティック・ルーティング・テーブルを追加するか、または、OSPF や RIP などのダイナミック・ルーティング・プロトコルを使用する必要があります。
    • 拠点 2: 「192.168.10.0/24」というネットワークを作成するものとします。
      本設定例における拠点 2 の Cisco ルータは、拠点 2 の LAN 内では、192.168.10.254 という IP アドレスを持つものとします。また、拠点 2 の LAN 内の DHCP クライアントに対して、拠点 2 の Cisco ルータは、192.168.10.101 - 192.168.10.200 の範囲内の DHCP プールから、DHCP プロトコルにより IP アドレスを自動配布するものとします。本設定例における拠点 2 の Cisco ルータは、イニシエータとして、拠点 1 の Cisco ルータに IPsec VPN 接続を行います。VPN 接続が完了すると、拠点 2 の Cisco ルータは、「192.168.10.0/24」というネットワークを拠点 1 の Cisco ルータのルーティング・ポリシーに挿入します。これにより、拠点 2 と 拠点 1 との VPN 接続が完了し、LAN 内のクライアント同士は、異なる拠点同士であっても互いに VPN 通信をすることができるようになります。

 

拠点 1 の Cisco ルータの設定例は、以下のとおりです。工場出荷時の状態から Cisco ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。

緑色の文字列は、コメントです。実際に入力する必要はありません。

! 設定モードに入ります。
enable
configure terminal

! 初期設定を行います。
no logging console
ip classless
ip subnet-zero
ip domain-lookup
ip domain timeout 1
ip domain retry 5
no bba-group pppoe global
no cdp run
ip routing
ip cef
ipv6 unicast-routing
ipv6 cef

! ホスト名を設定します。
hostname sample1

! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。
interface GigabitEthernet0
    no shutdown
    no ip address
    ipv6 address autoconfig
    ipv6 nd autoconfig default-route
    ipv6 nd ra suppress all
exit

! LAN ポート。IPv4 アドレスを手動設定します。
interface FastEthernet 8
    no shutdown
    no ipv6 address
    no ip address
    ip address 192.168.0.254 255.255.255.0
exit

! 拠点 1 の既設のルータがデフォルト・ゲートウェイとなっていることを想定しています。
ip route 0.0.0.0 0.0.0.0 192.168.0.1 permanent

! ループバックアドレス。
! この 10.255.0.1 というアドレスは、拠点 1 - 2 間で GRE over IPsec トンネルを構築するために仮想的に使用しています。
! 物理ネットワークとは関係性はありません。
interface Loopback0
    ip address 10.255.0.1 255.255.255.255
exit

! ここには、拠点 2 のルータに対してプッシュするルーティングテーブルを設定します。
crypto ikev2 authorization policy default
    route set interface
    route set remote ipv4 0.0.0.0 0.0.0.0
exit

! IPsec VPN 構築時の事前共有キーです。
crypto ikev2 keyring ANY
    peer ANY
        address ::/0
        pre-shared-key cisco
    exit
exit

! IPsec VPN の暗号化の設定です。
crypto ipsec transform-set IPSEC_TRANSFORM esp-aes 128 esp-sha-hmac
    mode transport require
exit

! IKEv2 のプロファイル設定です。
crypto ikev2 profile FLEX_SERVER_PROF
    match identity remote any
    ! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
    identity local fqdn sample1.i.open.ad.jp
    authentication remote pre-share
    authentication local pre-share
    keyring local ANY
    aaa authorization group psk list IKE_LIST default
    virtual-template 1
exit

! IPsec 設定です。
crypto ipsec profile default
    set ikev2-profile FLEX_SERVER_PROF
    set transform-set IPSEC_TRANSFORM
exit

! VPN トンネルが構築される際のトンネルインターフェイスのテンプレートです。
interface Virtual-Template1 type tunnel
    ip unnumbered Loopback0
    tunnel mode gre ipv6
    tunnel source GigabitEthernet0
    tunnel protection ipsec profile default
    ip mtu 1414
    ip tcp adjust-mss 1374
exit

! 拠点 1 の Cisco ルータの DDNS ホスト名に対する IPv6 アドレスの更新。
event manager applet OPEN_DDNS_RENEW_SCRIPT
    event timer cron name OPEN_DDNS_RENEW_SCRIPT_1 cron-entry "* * * * *"
        action 1.0 cli command "enable"
        ! 以下の部分は、実際に作成された DDNS ホスト名の「更新専用ホスト」名に置き換えてください。
        action 1.1 cli command "ping update-0123456789abcdefff.i.open.ad.jp"
    exit
exit

 

拠点 2 の Cisco ルータの設定例は、以下のとおりです。工場出荷時の状態から Cisco ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。

緑色の文字列は、コメントです。実際に入力する必要はありません。

! 設定モードに入ります。
configure terminal

! 初期設定を行います。
no logging console
ip classless
ip subnet-zero
ip domain-lookup
ip domain timeout 1
ip domain retry 5
no bba-group pppoe global
no cdp run
ip routing
ip cef
ipv6 unicast-routing
ipv6 cef

! ホスト名を設定します。
hostname sample2

! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。
interface GigabitEthernet0
    no shutdown
    no ip address
    ipv6 address autoconfig
    ipv6 nd autoconfig default-route
    ipv6 nd ra suppress all
exit

! LAN ポート。IPv4 アドレスを手動設定します。
interface FastEthernet 8
    no shutdown
    no ipv6 address
    no ip address
    ip address 192.168.10.254 255.255.255.0
exit

! 拠点 2 の LAN 上の DHCP クライアントに対して IP アドレスを自動配布する設定をしてみます。
! (不要であれば削除してください。)
ip dhcp pool DHCP1
    default-router 192.168.10.254
    dns-server 8.8.8.8
    network 192.168.10.0 255.255.255.0
exit

! DHCP IP アドレスプールにおける除外範囲を設定します。
ip dhcp excluded-address 192.168.10.0 192.168.10.100
ip dhcp excluded-address 192.168.10.200 192.168.10.254

! ここには、拠点 1 のルータに対してプッシュするルーティングテーブルを設定します。
crypto ikev2 authorization policy default
    route set interface
    route set remote ipv4 192.168.10.0 255.255.255.0
exit

! IPsec VPN 構築時の事前共有キーです。
crypto ikev2 keyring ANY
    peer ANY
        address ::/0
        pre-shared-key cisco
    exit
exit

! IPsec VPN の暗号化の設定です。
crypto ipsec transform-set IPSEC_TRANSFORM esp-aes 128 esp-sha-hmac
    mode transport require
exit

! IKEv2 のプロファイル設定です。
crypto ikev2 profile FLEX_CLIENT_PROF
    match identity remote any
    ! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
    identity local fqdn sample2.i.open.ad.jp
    authentication remote pre-share
    authentication local pre-share
    aaa authorization group psk list IKE_LIST default
    keyring local ANY
exit

! IPsec 設定です。
crypto ipsec profile default
    set ikev2-profile FLEX_CLIENT_PROF
    set transform-set IPSEC_TRANSFORM
exit

! VPN トンネルが構築される際のトンネルインターフェイスの設定です。
! この 10.255.0.2 というアドレスは、拠点 1 - 2 間で GRE over IPsec トンネルを構築するために仮想的に使用しています。
! 物理ネットワークとは関係性はありません。
interface Tunnel1
    ip address 10.255.0.2 255.255.255.255
    tunnel mode gre ipv6
    tunnel source GigabitEthernet0
    tunnel destination dynamic
    tunnel protection ipsec profile default
    ip mtu 1414
    ip tcp adjust-mss 1374
exit

! IKEv2 のプロファイル設定です。
crypto ikev2 client flexvpn IKEV2_CLIENT_PROFILE
    client connect Tunnel1
    ! ここで、接続先である拠点 1 の Cisco ルータの DDNS ホスト名 (FQDN) を指定してください。
    peer 1 fqdn sample1.i.open.ad.jp ipv6
    connect auto
exit

! 拠点 1 の Cisco ルータの DDNS ホスト名に対応する IPv6 アドレスを 1 分に 1 回解決します。
! IPv6 アドレスが変化した場合は、IKEv2 のプロファイル設定を更新し、自動的に再接続を試行します。
event manager applet IKEV2_DESTINATION_DNS_UPDATE
    event timer cron name IKEV2_DESTINATION_DNS_UPDATE_1 cron-entry "* * * * *"
        action 1.0 cli command "enable"
        action 1.1 cli command "configure terminal"
        action 1.2 cli command "crypto ikev2 client flexvpn IKEV2_CLIENT_PROFILE"
        ! ここで、接続先である拠点 1 の Cisco ルータの DDNS ホスト名 (FQDN) を指定してください。
        action 1.3 cli command "peer 1 fqdn sample1.i.open.ad.jp ipv6"
    exit
exit

 

 

 

3. Cisco ルータを用いてフレッツ網内で拠点間仮想広域イーサネット VPN (Ethernet over IPv6, L2TPv3, IPsec) を構築する設定例

最後に、Cisco ルータに内蔵されている L2TPv3/IPsec VPN 機能を用いて、拠点間で Ethernet over IPv6 トンネルを構築する具体的な設定例を説明します。

ここに記載されている方法を参考にすれば、どなたでも、Cisco ルータおよびフレッツ・光ネクスト回線を用いて、拠点間の高速・低遅延で安定した、かつ IPv6 アドレスの変更を自動追従することができる、仮想的な広域イーサネットを構築できます。

  • 一般的に、最新の IOS (例: IOS 15.5 など) が動作する任意の Cisco ルータが、本「OPEN IPv6 DDNS for フレッツ・光ネクスト」サービスおよび本サービスを用いた VPN の構築に対応しています。
  • ここでは、Cisco ルータの例として「Cisco 892」を使用します。
  • 以下の設定例では、IPsec VPN での認証方式は、事前共有キー (Pre-shared key) とし、事前共有キーの文字列は「cisco」とします。事前共有キーは、任意のものに変更して使用してください。
  • WAN 回線としては、すべての拠点で、フレッツ・光ネクスト (IPv6 アドレスおよび DNS サーバー設定が NTT 局内から RA および DHCPv6 により自動的に割り当てられる回線) を利用することを想定しています。
  • Cisco ルータの「GigabitEthernet 0」ポートに WAN 回線を、「FastEthernet 8」ポートに LAN 回線を接続することを想定しています。
  • 2 つの拠点で、合計 2 台の Cisco ルータを設置するものとします。
    すでに DDNS ホスト名は作成されており、以下のようなパラメータとなっているものと仮定します。
    • 拠点 1: 「sample1.i.open.ad.jp」という DDNS 名を作成済み。DDNS ホストの新規作成はこちら
      専用更新ホスト名として「update-0123456789abcdefff.i.open.ad.jp」が割り当てられているものとする。
    • 拠点 2: 「sample2.i.open.ad.jp」という DDNS 名を作成済み。DDNS ホストの新規作成はこちら
      (拠点 2 をイニシエータ、拠点 1 をレスポンダとして VPN 接続を行うため、実は拠点 2 の側は DDNS 名を作成しなくても良い。)
  • 以下の設定が完了すると、拠点 1 の Cisco ルータと拠点 2 の Cisco ルータとは、いずれも、FastEthernet 0 ポート同士が Ethernet でブリッジ接続されたことになり、任意の Ethernet 装置が相互に通信できるようになります。

 

拠点 1 の Cisco ルータの設定例は、以下のとおりです。工場出荷時の状態から Cisco ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。

緑色の文字列は、コメントです。実際に入力する必要はありません。

! 設定モードに入ります。
enable
configure terminal

! 初期設定を行います。
no logging console
ip classless
ip subnet-zero
ip domain-lookup
ip domain timeout 1
ip domain retry 5
no bba-group pppoe global
no cdp run
ip routing
ip cef
ipv6 unicast-routing
ipv6 cef

! ホスト名を設定します。
hostname sample1

! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。
interface GigabitEthernet0
    no shutdown
    no ip address
    ipv6 address autoconfig
    ipv6 nd autoconfig default-route
    ipv6 nd ra suppress all
exit

! LAN ポート。今回はレイヤ 2 Ethernet (拠点間 Ethernet ブリッジ) を構築するため、LAN ポートに IPv4 アドレスの設定は不要です。
interface FastEthernet 8
    no shutdown
    no ipv6 address
    no ip address
exit

! ループバックアドレス。
! この 10.255.0.1 というアドレスは、拠点 1 - 2 間で GRE over IPsec トンネルを構築するために仮想的に使用しています。
! 物理ネットワークとは関係性はありません。
interface Loopback0
    ip address 10.255.0.1 255.255.255.255
exit

! ここには、拠点 2 のルータに対してプッシュするルーティングテーブルを設定します。
! 今回はレイヤ 2 Ethernet (拠点間 Ethernet ブリッジ) を構築するため、
! ルーティングテーブルのプッシュは不要です。
crypto ikev2 authorization policy default
    route set interface
exit

! IPsec VPN 構築時の事前共有キーです。
crypto ikev2 keyring ANY
    peer ANY
        address ::/0
        pre-shared-key cisco
    exit
exit

! IPsec VPN の暗号化の設定です。
crypto ipsec transform-set IPSEC_TRANSFORM esp-aes 128 esp-sha-hmac
    mode transport require
exit

! IKEv2 のプロファイル設定です。
crypto ikev2 profile FLEX_SERVER_PROF
    match identity remote any
    ! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
    identity local fqdn sample1.i.open.ad.jp
    authentication remote pre-share
    authentication local pre-share
    keyring local ANY
    aaa authorization group psk list IKE_LIST default
    virtual-template 1
exit

! IPsec 設定です。
crypto ipsec profile default
    set ikev2-profile FLEX_SERVER_PROF
    set transform-set IPSEC_TRANSFORM
exit

! VPN トンネルが構築される際のトンネルインターフェイスのテンプレートです。
interface Virtual-Template1 type tunnel
    ip unnumbered Loopback0
    tunnel mode gre ipv6
    tunnel source GigabitEthernet0
    tunnel protection ipsec profile default
exit

! L2TPv3 トンネルの設定です。
pseudowire-class L2TPv3
    encapsulation l2tpv3
    ip local interface Virtual-Template 1
exit

! LAN ポートと L2TPv3 トンネルポートとをブリッジ接続します。
! なお、10.255.0.2 という IP アドレスは対向側 Cisco ルータの GRE トンネルを張るための
! 仮想 IPv4 アドレスです。実際の物理ネットワークの通信とは関係ありません。
interface FastEthernet 8
    xconnect 10.255.0.2 1 pw-class L2TPv3
    bridge-group 1
exit

! 拠点 1 の Cisco ルータの DDNS ホスト名に対する IPv6 アドレスの更新。
event manager applet OPEN_DDNS_RENEW_SCRIPT
    event timer cron name OPEN_DDNS_RENEW_SCRIPT_1 cron-entry "* * * * *"
        action 1.0 cli command "enable"
        ! 以下の部分は、実際に作成された DDNS ホスト名の「更新専用ホスト」名に置き換えてください。
        action 1.1 cli command "ping update-0123456789abcdefff.i.open.ad.jp"
    exit
exit

 

拠点 2 の Cisco ルータの設定例は、以下のとおりです。工場出荷時の状態から Cisco ルータの電源を投入し、以下のように入力するだけで、VPN 設定が完了します。

緑色の文字列は、コメントです。実際に入力する必要はありません。

! 設定モードに入ります。
configure terminal

! 初期設定を行います。
no logging console
ip classless
ip subnet-zero
ip domain-lookup
ip domain timeout 1
ip domain retry 5
no bba-group pppoe global
no cdp run
ip routing
ip cef
ipv6 unicast-routing
ipv6 cef

! ホスト名を設定します。
hostname sample2

! WAN ポート。IPv6 アドレスを自動的に NTT フレッツ・光ネクストの局内装置から取得するようにします。
interface GigabitEthernet0
    no shutdown
    no ip address
    ipv6 address autoconfig
    ipv6 nd autoconfig default-route
    ipv6 nd ra suppress all
exit

! LAN ポート。今回はレイヤ 2 Ethernet (拠点間 Ethernet ブリッジ) を構築するため、LAN ポートに IPv4 アドレスの設定は不要です。
interface FastEthernet 8
    no shutdown
    no ipv6 address
    no ip address
exit

! ここには、拠点 2 のルータに対してプッシュするルーティングテーブルを設定します。
! 今回はレイヤ 2 Ethernet (拠点間 Ethernet ブリッジ) を構築するため、
! ルーティングテーブルのプッシュは不要です。
crypto ikev2 authorization policy default
    route set interface
exit

! IPsec VPN 構築時の事前共有キーです。
crypto ikev2 keyring ANY
    peer ANY
        address ::/0
        pre-shared-key cisco
    exit
exit

! IPsec VPN の暗号化の設定です。
crypto ipsec transform-set IPSEC_TRANSFORM esp-aes 128 esp-sha-hmac
    mode transport require
exit

! IKEv2 のプロファイル設定です。
crypto ikev2 profile FLEX_CLIENT_PROF
    match identity remote any
    ! 以下の部分の FQDN は、実際に作成された DDNS ホスト名の FQDN に置き換えてください。
    identity local fqdn sample2.i.open.ad.jp
    authentication remote pre-share
    authentication local pre-share
    aaa authorization group psk list IKE_LIST default
    keyring local ANY
exit

! IPsec 設定です。
crypto ipsec profile default
    set ikev2-profile FLEX_CLIENT_PROF
    set transform-set IPSEC_TRANSFORM
exit

! VPN トンネルが構築される際のトンネルインターフェイスの設定です。
! この 10.255.0.2 というアドレスは、拠点 1 - 2 間で GRE over IPsec トンネルを構築するために仮想的に使用しています。
! 物理ネットワークとは関係性はありません。
interface Tunnel1
    ip address 10.255.0.2 255.255.255.255
    tunnel mode gre ipv6
    tunnel source GigabitEthernet0
    tunnel destination dynamic
    tunnel protection ipsec profile default
exit

! L2TPv3 トンネルの設定です。
pseudowire-class L2TPv3
    encapsulation l2tpv3
    ip local interface Tunnel 1
exit

! LAN ポートと L2TPv3 トンネルポートとをブリッジ接続します。
! なお、10.255.0.1 という IP アドレスは対向側 Cisco ルータの GRE トンネルを張るための
! 仮想 IPv4 アドレスです。実際の物理ネットワークの通信とは関係ありません。
interface FastEthernet 8
    xconnect 10.255.0.1 1 pw-class L2TPv3
    bridge-group 1
exit

! IKEv2 のプロファイル設定です。
crypto ikev2 client flexvpn IKEV2_CLIENT_PROFILE
    client connect Tunnel1
    ! ここで、接続先である拠点 1 の Cisco ルータの DDNS ホスト名 (FQDN) を指定してください。
    peer 1 fqdn sample1.i.open.ad.jp ipv6
    connect auto
exit

! 拠点 1 の Cisco ルータの DDNS ホスト名に対応する IPv6 アドレスを 1 分に 1 回解決します。
! IPv6 アドレスが変化した場合は、IKEv2 のプロファイル設定を更新し、自動的に再接続を試行します。
event manager applet IKEV2_DESTINATION_DNS_UPDATE
    event timer cron name IKEV2_DESTINATION_DNS_UPDATE_1 cron-entry "* * * * *"
        action 1.0 cli command "enable"
        action 1.1 cli command "configure terminal"
        action 1.2 cli command "crypto ikev2 client flexvpn IKEV2_CLIENT_PROFILE"
        ! ここで、接続先である拠点 1 の Cisco ルータの DDNS ホスト名 (FQDN) を指定してください。
        action 1.3 cli command "peer 1 fqdn sample1.i.open.ad.jp ipv6"
    exit
exit

 

 

 

 

OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト
Copyright © 2016-2017 SoftEther Corporation. All Rights Reserved. 利用条件 / プライバシー・ポリシー | 本 DDNS サービスの社会的意義 | お問い合わせ
「フレッツ」は、NTT 東日本および NTT 西日本の登録商標です。本サービスは、NTT 東日本のフレッツ・光ネクスト用 DDNS サービスですが、ソフトイーサによって開発・提供されており、NTT 東日本によって提供されているものではありません。