IPv6でインターネットに接続をする防備録です。
■ インターネット接続ルーターをIPv6に対応する
ちょっと古めですが、NEC製のIXルーターで設定した内容です。現在利用しているのはGigabit対応です。
フレッツ 光ネクスト向け IPv6インターネット接続 設定ガイド(IPv6 PPPoE)を参照して行いました。
■ IPv6インターネット接続の設定は固定IPではなくDHCP取得方式
IPv6用にPPPoEセッションを定義します。
!
ppp profile ipv6
authentication myname [プロバイダ接続用ユーザID]
authentication password [プロバイダ接続用ユーザID] [パスワード]
!
■ DHCPv6の設定
ISPから「IPv6プレフィックス」と「DNSサーバアドレス」の情報を取得して、その情報を基にLAN内のIPv6端末のIPv6アドレスを自動設定するための設定
IPv6のデフォルトゲートウェイ設定とDHCP機能の有効化
ipv6 ufs-cache enable
ipv6 route default FastEthernet0/0.2
ipv6 dhcp enable
■ IPv6 DHCP用プロファイル(ISP側)
!
ipv6 dhcp client-profile dhcp6
option-request dns-servers
option-request ntp-servers
ia-pd subscriber FastEthernet1/0.0
!
■ IPv6 DHCP用プロファイル(LAN側)
!
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
!
■ LAN側インターフェイスにIPv6の定義を追加
IPv4とIPv6のデュアルスタック構成になります。
!
interface FastEthernet1/0.0
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
!
■ WAN側インターフェイスにフィルタリングの定義を追加
外部からの不正アクセスからLANを守るために、動的フィルタの設定を行います。
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport eq 547 dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport eq 546 dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list dynamic dflt-list access permit-list
■ WAN側インターフェイスの設定
!
interface FastEthernet0/0.2
encapsulation pppoe
auto-connect
ppp binding ipv6
ipv6 enable
ipv6 dhcp client dhcp6
ipv6 tcp adjust-mss auto
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter dflt-list 100 out
no shutdown
!
動作確認
# sh ipv6 dhcp client
DHCPv6 client is enabled
System DUID 00:03:00:01:00:XX:XX:XX:XX:XX
Statistics:
Solicit-advertise(reply):
1 send, 11466 seconds ago
1 receive, 0 drops, 11466 seconds ago
Request-reply:
1 send, 11465 seconds ago
1 receive, 0 drops, 11465 seconds ago
Renew-reply:
1 send, 4265 seconds ago
1 receive, 0 drops, 4265 seconds ago
Interface FastEthernet0/0.2 is active
Server address fe80::90:1a00:XXXX:XXXX
Server identifier 00:03:00:01:XX:XX:XX:XX:XX:XX
Uptime 1:11:05
Prefix Delegation:
Renew 2935 seconds, rebind 7255 seconds
IA Prefix:
2001:db8:cc14:c700::/56 vltime 10135 pltime 10135
DNS Servers:
2001:db8:11::c01
2001:db8:11:1::c02
Statistics:
Solicit-advertise(reply):
1 send, 11467 seconds ago
1 receive, 0 drops, 11467 seconds ago
Request-reply:
1 send, 11466 seconds ago
1 receive, 0 drops, 11466 seconds ago
Renew-reply:
1 send, 4266 seconds ago
1 receive, 0 drops, 4266 seconds ago
IA Prefix:2001:db8:cc14:c700::/56 Globalになっています。
IPv6アドレス範囲
2001:db8:cc14:c700:0000:0000:0000:0000 - 2001:db8:cc14:c7ff:ffff:ffff:ffff:ffff
こんなに広くていいのかな??
IPv6のサブネットを計算してくれるサイトがあります。
IPv6 Calculator Online IP Calculator
■ LAN側から試してみます
WindowsクライアントPCのコマンドプロンプトから
C:\>ping ipv6.google.co.jp
ipv6.l.google.com [2404:6800:4004:815::200e]に ping を送信しています 32 バイトのデータ:
2404:6800:4004:815::200e からの応答: 時間 =3ms
2404:6800:4004:815::200e からの応答: 時間 =4ms
2404:6800:4004:815::200e からの応答: 時間 =3ms
2404:6800:4004:815::200e からの応答: 時間 =7ms
2404:6800:4004:815::200e の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 3ms、最大 = 7ms、平均 = 4ms