本マニュアルについて
WAN側接続パラメータを説明した資料となります。本資料は参考であり、パラメータ等詳細を記載した資料は卸契約締結後に個別にお渡しします。
サービス提供内容の詳細は利用規約または卸契約書、サービス仕様書に記載します。
目次
1. IF仕様および設定例
IPv4 over IPv6 IPSEC、DDNS、BGPについてのIF仕様および設定例を記載いたします。
1.1 接続論理図
GWからCPEの内部IFまでの論理接続図と論理接続図内の各パラメータです。
種別 |
西日本 |
東日本 |
---|---|---|
DDNSサーバ FQDN |
|
|
DNSサーバ |
||
TEP FQDN |
|
|
TEP BGPIP |
|
|
CPE FQDN |
|
|
CPE WAN側 |
|
|
CPE LAN側IPと |
|
|
CPE |
|
1.2 技術要素
本書規定の接続を実現するため、以下4つの設定または実装が必要です。
設定 |
詳細説明章 |
---|---|
WAN側IFのIPv6設定 |
2.1 IPv6 について |
DDNS設定 |
2.2 IPv6区間 DNSおよびDDNS |
IPv4 over IPv6 IPSEC設定 |
2.3 IPSEC機能 |
BGP設定 |
2.4 BGP-4 |
1.3 接続設定例
参考資料として別冊を参照してください。
技術仕様書(別冊)
2. 各技術要素
2.1 IPv6 について
VNEおよびNTT東日本・NTT西日本地域区間ではIPv6通信となります。
2.1.1 付与されるアドレス
CPEには次のVNEのPrefixの中から、/64のPrefixが付与されます。変更される場合があります。
■NTT東日本地域
完全表記 |
省略表記 |
|
---|---|---|
Prefix |
|
|
Network start |
|
|
Network end |
|
|
Netmask |
|
|
■NTT西日本地域
|
完全表記 |
省略表記 |
---|---|---|
Prefix |
|
|
Network start |
|
|
Network end |
|
|
Netmask |
|
|
CPEはNDPに基づき、ICMPv6 Type=134 Router Advertisement(以降、RA)メッセージがWAN側IFに送信されることを期待するよう設定します。
RAメッセージのPrefix InformationからWAN側IPv6アドレスのPrefix部分をセットし、Default GatewayもRAメッセージの送信元に自動的にセットするよう設定します。
【参考】InterfaceIDはCPE機種により固定設定も可能な場合があります。故障交換時でもIPv6アドレスを変えないことができます。
2.1.2 フレッツ・光ネクスト IPv6仕様
NGN区間についてはNTT東日本の技術参考資料 「IP通信網サービスのインタフェース」第三分冊 または、NTT西日本の技術参考資料「IP通信網サービス(フレッツシリーズ<光ネクスト、光ライト、光WiFiアクセス編>)」の「フレッツ 光ネクスト」の箇所を参照してください。
https://www.ntt-east.co.jp/gisanshi/
https://www.ntt-west.co.jp/info/gisanshi/
「通信機器はPreferred Lifetimeが0でないアドレスを所持している場合は、Preferred Lifetimeが0ではないアドレスの利用を推奨します。」とあるため、アドレス選択基準をLifetimeが最長の物を利用するようにして、推奨動作を実現してください。
IPv6 PrefixはNTT東日本・NTT西日本の都合により変わる可能性があります。WAN側アドレスがPPPoEのようにIP1固定ではありません。
2.1.3 フレッツ・v6オプション
本サービスはフレッツ・v6オプション契約がないと利用出来ません。具体的には本サービスで採用するVNE事業者のIPv6プレフィックスが付与できません。
http://flets.com/v6option/
NTT東日本はデフォルト有効となっていますが、平成24年5月以前の回線では有効になっていません。
http://www.ntt-east.co.jp/release/detail/20120528_01.html
NTT西日本はデフォルト有効ではありません。工事費は無料となっています。
http://www.ntt-west.co.jp/news/1205/120528a.html
2.1.4 その他注意点
IPv6区間のフィルタはパートナー事業者にて検討ください。NTTPCネットワークからの到達性の担保を行うため、 からのアクセスは許容してください。
ひかり電話を利用する場合、NTT東日本・NTT西日本より貸与されるHome GatewayまたはOffice GatewayがONUとの間に存在するようになります。HGWおよびOGWはONUと一体型である場合もあります。
HGWやOGWを利用する場合には、HGWやOGWの設定が必要になる場合があります。
「IPv6ファイアウォール機能」にて、「無効に変更」または「送信元 の許可」が必要です。
【参考】以下URL等を参考にしてください。
http://ybb.softbank.jp/support/connect/hikari/router/ipv6packet.php
2.2 IPv6区間 DNSおよびDDNS
本サービスではDDNSの仕組みを利用して、CPEのIPv6アドレスをFQDNで疎通可能としています。DDNSサーバアドレスはFQDNで提供されます。DDNSサーバのFQDNを解決するためDNSサーバを提供します。
GWはCPEのDNSレコード情報を利用してIPSEC接続を確立しようとします。DDNSによるCPEのFQDN登録ができていない場合、IPSEC接続が確立しません。
DDNSサーバとDNSサーバは東西分散も行っています。CPEから参照する先のDNSサーバはNTT東日本・NTT西日本で分かれます。
種別 |
西日本 |
東日本 |
---|---|---|
TEP FQDN |
|
|
DDNS FQDN |
|
|
DNSサーバ |
||
CPE FQDN |
|
|
DNSサーバへのDNSクエリーが高頻度であった場合、その接続元をフィルタする場合があります。
DDNSサーバへのアドレス通知が高頻度であった場合、その接続元をフィルタする場合があります。
2.2.1 DDNSサーバへ通知する構文
CPEは自動的にWAN側NGN IPoE区間のIPv6アドレスをDDNSサーバに通知する仕組みを内蔵する必要があります。
DDNSサーバに通知する構文は以下の通り
プロトコル |
HTTP GET |
ポート |
880 |
構文 |
/gw_config.cgi?cmd=add&host=<CPEホスト名>&cpe_env=<シリアル>_kinfo=<拠点通番>&tep1=<TEP1>&tep2=<TEP2> ※<>は可変値です。シリアルは必須ではありませんが、空白にはできません。 |
認証 |
BASIC認証を行います。ID/PWは別途提示されます。 |
応答コード |
200:正常(登録完了) 401:構文エラー 403:BASIC認証エラー |
Full Request URI例 |
以下、東日本の場合。<>は可変値です。 http://open-gw-mng1.srv.customer.ne.jp:880/gw_config.cgi?cmd=add&host=demo0001&cpe_env=S3K99999_kinfo=123456&tep1=one99999-PP1-1.srv.customer.ne.jp&tep2=one99999-PP2-1.srv.customer.ne.jp |
起動時、およびアドレス変更時以外では24時間以上の周期でアドレス通知を行うことを許容します。
BASIC認証、構文および構文内の拠点通番、TEP1、TEP2がすべて正しくないと、200応答(登録完了)とはなりません。
2.3 IPSEC機能
CPEはGWのTEPとFQDN設定でIKE接続する必要があります。将来的にIPv6アドレスが変更される場合があるため、IPv6アドレス設定のIKE設定の場合の接続性は保証しません。
2.3.1 MTU・フラグメント処理
不要なフラグメント処理が発生しないように、以降記載するIPSECパラメータを参考にIPSECIFにMTUを設定してください。IPv4 TCP MSS値をIPSECIF側のMTUに合わせては調整することを推奨します。
上位送出側回線種別とそのパートナー事業者用意CPE設定次第で、GWからはIPv6 Fragmentパケットが送出される場合があります。
CPE側からIPoE区間でIPv6 Fragmentパケットを送出した場合、一部のパケットがGWに到達しない場合があります。
2.3.2 GWとのIPSECパラメータ
SAの管理方式 |
Continuous-channel SA型を推奨 |
利用するSA |
最後に作成された最新のSAを利用すること |
フラグメント処理 |
Pre-Fragmentを推奨 |
Anti-Replay |
OFF |
■Phase-1 |
|
IKE Version |
1 |
Exchange Mode |
Main Mode |
ID Type |
ID_IPV6_ADDR |
Encryption Algorithm |
AES256-CBC |
Hash Algorithm |
HMAC-SHA-1-96 |
Authentication Method |
Preshare (保守番号毎に30文字で用意される) |
Diffie-Hellman方式 |
Group14(2048bit MODP) |
SA life type |
second |
SA life duration |
14400 |
Soft Reke y |
life duration - 540sec以上3600sec以下とすること Initiator、Responderに関わらず、また、Phase-1単体でもRekeyすること |
IKE keepalive |
RFC3706。間隔は10sec以上。通信中は抑制することを推奨。 |
■Phase-2 |
|
Exchange Mode |
Quick Mode |
ID Type |
IP_IPV4_SUBNET |
Local ID |
0.0.0.0/0 |
Remote ID |
0.0.0.0/0 |
Transform |
ESP_AES256-CBC |
Encapsulation Mode |
Tunnel |
Hash Algorithm |
HMAC-SHA-1-96 |
PFS |
Enable |
Diffie-Hellman方式 |
Group14(2048bit MODP) |
SA life type |
second |
SA life duration |
7200 |
Anti-Reply Detect |
off |
Soft Rekey |
life duration - 540sec以上1800sec以下とすること |
2.3.3 Notify Messages
Status TypesではINITIAL-CONTACTをサポートしています。
GWはINITIAL-CONTACTを受信した場合は、自分の持っている全てのIPSEC SAを削除します。
2.3.4 その他IPSEC注意点
全拠点一斉にIKE再接続しても、確立までには数分かかる場合があります。
最終的に確立した最新のSAを利用しますが、IKE折衝が輻輳する状態では、IPSEC通信は確立しても通信できません。
RekeyのIKE衝突しないために、CPE側でSoft Rekey値を変更してCPEからRekeyするよう設定してください。
2.4 BGP-4
確立したMain/Back2つのIPv6 IPSECトンネルの中で、それぞれIPv4 BGP接続を行います。
2.4.1 サポートしているRFC
RFC1771 |
A Border Gateway Protocol 4(BGP4) |
RFC2918 |
Route Refresh Capability for BGP-4 |
2.4.2 BGP-4パラメータ
AS番号 |
|
CPE側ローカルAS番号 |
65100 |
GW-1(Main側)AS番号 |
65001 |
GW-2(Back側)AS番号 |
65002 |
CPEパラメータ |
|
配信経路・属性 |
・配信経路は以下のいずれかになります。サービスにより異なります。 (ア)LAN側のRFC1918プライベートアドレス経路 (イ)当社が払い出したGlobalIP経路 ・Loopbackアドレス経路を配信しないこと ・GW-1受信経路、GW-2受信経路を配信しないこと ・GW-1とGW-2に同一の経路・属性を配信すること ・AS_PATH属性は65100 1つのみにすること |
Router ID |
Loopbackアドレス |
BGP SourceIP |
Loopbackアドレス |
Timer値 |
Keepalive:10秒以上 Hold Timer:30秒以上 TCP再接続Timer:10秒以上 |
Capability |
IPv4 Unicast:必須 Route-refresh:推奨 |
GWパラメータ |
|
GW-1(Main側)配信経路 |
0.0.0.0/0 |
GW-1(Main側)配信Path属性 |
・AS_PATH属性を利用してMain/Back経路をコントールします。 ・装置仕様により以下の2種類のうち、いずれかのAS_PATHの経路を配信します。 ・65001のみ ・GWの保持する0.0.0.0/0のAS_PATHに65001を1個Prependしたもの ・設備都合により上記のAS_PATHからさらにPrepend/Removeする場合があります。 |
GW-1(Main側)受信経路 |
以下のいずれかになります。サービスにより異なります。 (ア) RFC1918プライベートアドレス最大10経路 GWが11以上の経路を受信した場合、そのBGP接続を自動的に切断します。 (イ) 当社が付与したGlobalIPアドレスNW |
GW-2(Back側)配信経路 |
0.0.0.0/0 |
GW-2(Back側)配信Path属性 |
・AS_PATH属性を利用してMain/Back経路をコントールします。 ・装置仕様により以下の2種類のうち、いずれかのAS_PATHの経路を配信します。 ・65002 65002 ・GWの保持する0.0.0.0/0のAS_PATHに65002を2個Prependしたもの ・設備都合により上記のAS_PATHからさらにPrepend/Removeする場合があります。 |
GW-2(Back側)受信経路 |
以下のいずれかになります。サービスにより異なります。 (ア) RFC1918プライベートアドレス最大10経路 GWが11以上の経路を受信した場合、そのBGP接続を自動的に切断します。 (イ) 当社が付与したGlobalIPアドレスNW |
2.4.3 その他BGP注意点
CPE側でCisco社独自のWEIGHT属性やLOCAL_PREF属性を用いてGW-1かGW-2かのPATH選択を変えないでください。PATH選択はGW側のAS PATH属性で決定するように設定してください。
GW-1とGW-2で配信経路を分けて、PATH冗長を実現する構成は組めません。
全拠点一斉にBGP再接続した場合、確立までに数分かかる場合があります。
11以上の経路を受信して切断されたBGP接続は定期的(概ね数回/時間)に回復処置が実施されます(システムメンテナンス/システム障害時を除く)。
回復処置が実施された後に再度11以上の経路を受信した場合、再度BGP接続が切断されます。
3.別紙
コメント
0件のコメント