SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【Stay Home 特集】 テレワーク中のNWエンジニアのための検証環境を作る その2

ネットワーク
2020.05.18

テレワーク中のネットワークエンジニア向けのブログとして2つ目です。 未だ出社が難しい状況がつづき、自宅で日々とスキルを磨いているネットワークエンジニアも多いのではないでしょうか。

インターネット環境での検証がしたい

前回に引き続き、擬似的なWANを仮想環境に作成し、UTMを使ったWAN部分の検証をするための機器設定についての記事です。

IPv6のIPoE及びIPv6のトンネリング

今回は、最近自宅でも導入されていることが多いと思われる、IPv6を使ったインターネット接続の疑似環境を作ってみます。 というのも、最近パートナーからのお問い合わせで多いものとして、IPv6を使ったWAN接続ができるかどうかの質問も増えてきています。 おそらくですが、IPv4のPPPoEによるNTE(Network Termination Equipment)側の遅さを回避する目的として、IPoE(IPv4 over IPv6)による回避目的が注目されているのかもしれません。

実際にインターネット回線が高速化されるかどうかはユーザーの環境に大きく依存するところが多いですが、プロバイダの契約によってはIPv6のオプションが安価なので、できることなら実装したほうが良いと思います。 また最近のUTM製品の多くに、SD-WANまたはWANの冗長化機能が標準搭載されているため、IPv4のPPPoE回線とIPv6の回線を併用することでより快適なインターネットアクセス環境を提供できる可能性があります。

通勤ができれば会社で契約しているIPv6回線の環境を利用できるかもしれませんが、自宅ではなかなかそのような物理環境を用意できないことも多いので、今回は仮想環境に簡易的なIPv6環境を作ります。

DS-Liteの疑似環境を作る

DS-Lite自体はインターネットで検索するとたくさんのブログや記事が見つかりますのでここでは詳細は記載しません。 手元でDS-Liteの検証をするための準備をします。

検証するために以下のような構成で設定を行います。


図1.png


図を見ていただいた通りですが、UTMのWAN側(疑似WAN)は完全なIPv6環境を用意します。 この中にIPv6トンネル張ることでIPv4のインターネットの世界と接続するという方法です。 通常はvyatta ASAMAPとなる側はプロバイダで用意されている環境ですが、ここを自作することで手持ちのUTMやルーターでIPv6のトンネル検証ができる環境を作ることができます。

AFTR用のルータを入手と作成

AFTR(Address Family Transition Router)は通常プロバイダ側で用意する仕組みのため、一般のユーザーで設定する必要がありません。

AFTRを作るためには調べてみるとVyatta ASAMAPというのが使えるようです。 https://tools.ietf.org/html/draft-janog-softwire-report-01

Vyattaとは前回のブログで紹介したVyOSの前進のOSでブロケードコミュニケーションズに買収される前の名称です。素の状態のVyOSやVyattaではAFTRを作るための設定ができないため、この機能が搭載された、Vyatta ASAMAPというものが必要です。
イメージのダウンロードはこちらからできるようです。
MAP対応Vyatta(ASAMAP)仮置き場
ここから、vyatta-2014-03-07.isoというファイルをダウンロードして仮想マシンを作成してください。

Vyattaの基本設定

前回のブログでVyOSの基本設定と、IPv4環境の疑似PPPoEサーバーの作り方を紹介しました。 VyOSで作るPPPoEサーバーの作り方 ベースはこちらを参考にいただければ問題ありません。

必要最低限の大まかな手順は以下の通りです。

  • ログインはユーザー名/パスワードはvyatta 変更可能
  • eth0は仮想環境のWAN側として、IPv4のIPアドレスを設定
  • eth1は疑似WAN用のIPv6の設定
  • インターフェースにMAP機能を有効化しAFTRの設定を行う
  • NAT(SNAT)の設定は不要

ざっと私の環境での追加した設定情報は以下の通りです。



set interfaces ethernet eth0 address '192.168.101.202/24'
set interfaces ethernet eth0 ip 'enable-proxy-arp'
set interfaces ethernet eth1 address '2001:db8:89ab:0:1::1/64'
set interfaces map map0 br-address '2001:db8::1/64'
set interfaces map map0 default-forwarding-mode 'encapsulation'
set interfaces map map0 default-forwarding-rule 'true'
set interfaces map map0 ipv4-fragment-inner 'true'
set interfaces map map0 ipv6-fragment-size '1500'
set interfaces map map0 pool 1 pool-prefix '192.168.101.203/32'
set interfaces map map0 role 'br'
set protocols static interface-route 192.168.101.203/32 next-hop-interface 'map0'
set protocols static route 0.0.0.0/0 next-hop '192.168.101.254'
set service 'ssh'
set system time-zone 'Asia/Tokyo'

インターフェース設定

Vyattaのインターフェース設定です。 eth0がWAN側でIPv4の固定アドレス設定をしています。合わせてプロキシARPの設定をしています。 eth1が擬似WANでIPv6の設定をしています。今回はIPoEを想定しUTM側も固定IP想定で作ってみます。


set interfaces ethernet eth0 address '192.168.101.202/24'
set interfaces ethernet eth0 ip 'enable-proxy-arp'
set interfaces ethernet eth1 address '2001:db8:89ab:0:1::1/64'

MAP設定

AFTRとなるトンネルを終端しIPv4へ変換する設定です。 AFTRのアドレスを2001:db8::1で受け付けます。UTM側のリモートエンドとして指定させるアドレスです。 またpool-prefix '192.168.101.203/32'はIPv6のアドレスをAFTR側でCGNするための設定です。


set interfaces map map0 br-address '2001:db8::1/64'
set interfaces map map0 default-forwarding-mode 'encapsulation'
set interfaces map map0 default-forwarding-rule 'true'
set interfaces map map0 ipv4-fragment-inner 'true'
set interfaces map map0 ipv6-fragment-size '1500'
set interfaces map map0 pool 1 pool-prefix '192.168.101.203/32'
set interfaces map map0 role 'br'
 

ルート設定

WAN側へのデフォルトルートと、mapへのルートを設定しています。


set protocols static interface-route 192.168.101.203/32 next-hop-interface 'map0'
set protocols static route 0.0.0.0/0 next-hop '192.168.101.254'

概要的なお話をせずに、単純な検証用のAFTRを作るだけなら以外と簡単にできると思います。 ここまで環境が用意できれば、あとはDS-Liteに対応したUTMやルーターを用意して接続検証を行ってください。

DS-Liteの設定編

ここからは、実際にUTMを持ち込んでAFTRとの接続確認を実施してみたいと思います。 用意したのは、仮想環境でも使いやすいSophos XG FirewallとFortiGate VMです。

基本的にはどの製品でも同じような設定を行います。 設定のポイントとしては以下の通りです。

  • WANインターフェースへIPv6アドレスの設定
  • IPv6トンネルを設定(メーカーによって名称が異なる場合があります)
  • IPv4のルートをIPv6トンネルインターフェースをネクストホップインターフェースとする設定
  • ファイアウォールポリシーで許可する設定(NATの設定は不要)

Sophos XG Firewall

今なら90日間無償利用可能なので、UTMの検証をやってみたいユーザーにはおすすめしやすいです。 Sophos XG Firewall 無償評価版 バージョンはSFOS 17.5.12 MR-12で確認

ネットワーク設定

2.png

IPv6トンネル設定

4in6トンネルで設定を行う 3.png

ルーティング設定

必要に応じてIPv4デフォルトルートをIPトンネルへ設定 4.png

ファイアウォール設定

LANからWANへのルールを設定 5.png

通信の確認

ログビューワーを起動して、IPv6トンネルを経由しているか確認します。 6.png

Fortinet FortiGate VM

FortiGate VMを利用する場合トライアル利用であっても評価ライセンスの発行が必要です。 ただし、15日間であればVM00として無償評価です。 バージョンはFortiOS6.0.9で確認

IPv6の機能を有効化

7.png

ネットワーク設定

8.png

IPv6トンネル設定(要CLI設定)

9.png


 config system ipv6-tunnel
 edit "tunnel-interface Name"
 set source "WAN IPv6 address"
 set destination "Tunnel Address"
 set interface "WAN Port"

ルーティング設定

必要に応じてIPv4デフォルトルートをIPv6トンネルへ設定 10.png

ファイアウォール設定

LANからトンネルインターフェースへのルールを設定 11.png

トンネルの確認

12.png

diag ipv6 ipv6-tunnel list

Vyatta 確認

Vyatta側でmapの機能が動作しているか以下のコマンドで確認してみましょう。

show interfaces map map0 napt

出力例:



vyatta@vyatta:~$ sho interfaces map map0 napt
 Proto: 'I' = ICMP, 'T' = TCP, 'U' = UDP.
 Flags: SynOut, SynAckIn, AckOut, FinOut, FinAckIn, FinIn, FinAckOut, Rst.
        '!' = Up, '.' = Down.
 Last used, Local IPv6 address, Local address:port, Mapped address:port, Remote address:port, Proto, Flags.
 12:40:33 2001:db8:89ab:0:1::2                        172.16.16.11:54498 192.168.101.203:(0xea4d)59981   180.42.XX.XX:58907 U ........
 12:40:30 2001:db8:89ab:0:1::2                        172.16.16.11:59005 192.168.101.203:(0xf5fc)62972    216.58.XX.XX:443   T !!!.....
 12:40:28 2001:db8:89ab:0:1::2                        172.16.16.11:54498 192.168.101.203:(0xea4d)59981   74.125.XX.XX:3478  U ........
 12:40:26 2001:db8:89ab:0:1::2                        172.16.16.11:57489 192.168.101.203:(0xcbae)52142   64.233.XX.XX:5228  T !!!.....
 12:40:25 2001:db8:89ab:0:1::2                        172.16.16.11:59089 192.168.101.203:(0xd3c4)54212   52.229.XX.XX:443   T !!!!!!!.

環境とことなるかもしれませんが、上記の変換テーブルを見ると、UTM内のローカルアドレスが変換されていることがわかります。(172.16.16.11) UTMのWAN側にIPv4アドレスを設定せず、更にファイアウォール上でNAPT(IPマスカレード)の設定をしていないので、アドレスが変換されずに通信している状態です。

まとめ

ドキュメントや仕様書で機能上問題なくても、メーカーの製品によっては設定方法や表現が異なる場合があります。 一度設置するとなかなか、設定変更するわけではないので、どうしても設置経験が少なくなり、その結果詳細な設定方法がわからず、不安になることがあります。 社内でしっかり検証ができれば、自信をもって、ユーザー先での導入を進めたり、新しい製品の取り扱いにも使えると思います。 単純なIPoE(DS-Lite)の接続検証だけでなく、IPv4とIPv6の冗長回線を使ったSD-WAN検証や複数の拠点間アクセスにも使えるので、WANを使った新しい提案にご活用できるかと思います。

なお、今回構築した環境はあくまでも疑似環境です。実際のプロバイダが提供するIPoE環境やDS-Liteの環境とは仕様上異なる場合があるのでご注意ください。



参考文献


総務省: IPv4 アドレスの枯渇時に生じる諸課題に適切に対処するための手順書

【Stay Home 特集】 テレワーク中のNWエンジニアのための検証環境を作る

著者紹介

SB C&S株式会社
技術統括部 第3技術部 2課
宮本 世華

釣りが好きです。