サポートTOP

このセクションの記事

パートナーCPE 技術仕様書(接続IF仕様書)

NTTPC
  • 更新
フォローする

本マニュアルについて

WAN側接続パラメータを説明した資料となります。本資料は参考であり、パラメータ等詳細を記載した資料は卸契約締結後に個別にお渡しします。
サービス提供内容の詳細は利用規約または卸契約書、サービス仕様書に記載します。

目次

  1. IF仕様および設定例
    1. 接続論理図
    2. 技術要素
    3. 接続設定例
  2. 各技術要素
    1. IPv6 について
      1. 付与されるアドレス
      2. フレッツ・光ネクスト IPv6仕様
      3. フレッツ・v6オプション
      4. その他注意点
    2. IPv6区間 DNSおよびDDNS
      1. DDNSサーバへ通知する構文
    3. IPSEC機能
      1. MTU・フラグメント処理
      2. GWとのIPSECパラメータ
      3. Notify Messages
      4. その他IPSEC注意点
    4. BGP-4
      1. サポートしているRFC
      2. BGP-4パラメータ
      3. その他BGP注意点
  3. 別紙

 

1. IF仕様および設定例

IPv4 over IPv6 IPSEC、DDNS、BGPについてのIF仕様および設定例を記載いたします。

1.1 接続論理図

GWからCPEの内部IFまでの論理接続図と論理接続図内の各パラメータです。

 種別 

 西日本 

 東日本 

 DDNSサーバ FQDN 

 

  

 DNSサーバ
 IPv6アドレス  

    

 TEP FQDN 

 

 TEP BGPIP 

 

 CPE FQDN 

 

 

 CPE WAN側
 IPv6アドレス  

 

 

 CPE LAN側IPと
 NWアドレス 

 

 CPE 
 Loopbackアドレス 

 

 

1.2  技術要素

本書規定の接続を実現するため、以下4つの設定または実装が必要です。

 設定 

 詳細説明章 

 WAN側IFのIPv6設定 

 2.1 IPv6 について  

 DDNS設定 

 2.2 IPv6区間 DNSおよびDDNS 

 IPv4 over IPv6 IPSEC設定 

 2.3 IPSEC機能  

 BGP設定 

 2.4 BGP-4 

 

1.3 接続設定例

参考資料として別冊を参照してください。
  技術仕様書(別冊)

2. 各技術要素

2.1 IPv6 について

VNEおよびNTT東日本・NTT西日本地域区間ではIPv6通信となります。

2.1.1  付与されるアドレス

CPEには次のVNEのPrefixの中から、/64のPrefixが付与されます。変更される場合があります。

■NTT東日本地域

 

完全表記

省略表記

 Prefix 

 

 

 Network start 

 

 

 Network end 

 

 

 Netmask 

 

 

■NTT西日本地域

 

完全表記

省略表記

 Prefix 

 

 

 Network start 

 

 

 Network end 

 

 

 Netmask 

 

 


CPEはNDPに基づき、ICMPv6 Type=134 Router Advertisement(以降、RA)メッセージがWAN側IFに送信されることを期待するよう設定します。

RAメッセージのPrefix InformationからWAN側IPv6アドレスのPrefix部分をセットし、Default GatewayもRAメッセージの送信元に自動的にセットするよう設定します。

【参考】InterfaceIDはCPE機種により固定設定も可能な場合があります。故障交換時でもIPv6アドレスを変えないことができます。

2.1.2 フレッツ・光ネクスト IPv6仕様

NGN区間についてはNTT東日本の技術参考資料 「IP通信網サービスのインタフェース」第三分冊 または、NTT西日本の技術参考資料「IP通信網サービス(フレッツシリーズ<光ネクスト、光ライト、光WiFiアクセス編>)」の「フレッツ 光ネクスト」の箇所を参照してください。

https://www.ntt-east.co.jp/gisanshi/

https://www.ntt-west.co.jp/info/gisanshi/

 「通信機器はPreferred Lifetimeが0でないアドレスを所持している場合は、Preferred Lifetimeが0ではないアドレスの利用を推奨します。」とあるため、アドレス選択基準をLifetimeが最長の物を利用するようにして、推奨動作を実現してください。

IPv6 PrefixはNTT東日本・NTT西日本の都合により変わる可能性があります。WAN側アドレスがPPPoEのようにIP1固定ではありません。

2.1.3 フレッツ・v6オプション

本サービスはフレッツ・v6オプション契約がないと利用出来ません。具体的には本サービスで採用するVNE事業者のIPv6プレフィックスが付与できません。
http://flets.com/v6option/

NTT東日本はデフォルト有効となっていますが、平成24年5月以前の回線では有効になっていません。
http://www.ntt-east.co.jp/release/detail/20120528_01.html

NTT西日本はデフォルト有効ではありません。工事費は無料となっています。
http://www.ntt-west.co.jp/news/1205/120528a.html

 

2.1.4 その他注意点

IPv6区間のフィルタはパートナー事業者にて検討ください。NTTPCネットワークからの到達性の担保を行うため、               からのアクセスは許容してください。

ひかり電話を利用する場合、NTT東日本・NTT西日本より貸与されるHome GatewayまたはOffice GatewayがONUとの間に存在するようになります。HGWおよびOGWはONUと一体型である場合もあります。

HGWやOGWを利用する場合には、HGWやOGWの設定が必要になる場合があります。

「IPv6ファイアウォール機能」にて、「無効に変更」または「送信元             の許可」が必要です。

【参考】以下URL等を参考にしてください。

http://ybb.softbank.jp/support/connect/hikari/router/ipv6packet.php

2.2 IPv6区間 DNSおよびDDNS

本サービスではDDNSの仕組みを利用して、CPEのIPv6アドレスをFQDNで疎通可能としています。DDNSサーバアドレスはFQDNで提供されます。DDNSサーバのFQDNを解決するためDNSサーバを提供します。

GWはCPEのDNSレコード情報を利用してIPSEC接続を確立しようとします。DDNSによるCPEのFQDN登録ができていない場合、IPSEC接続が確立しません。

DDNSサーバとDNSサーバは東西分散も行っています。CPEから参照する先のDNSサーバはNTT東日本・NTT西日本で分かれます。

種別

西日本

東日本

 TEP FQDN 

 

 DDNS FQDN 

 

  

 DNSサーバ
 IPv6アドレス 

    

 CPE FQDN 

 

 

DNSサーバへのDNSクエリーが高頻度であった場合、その接続元をフィルタする場合があります。
DDNSサーバへのアドレス通知が高頻度であった場合、その接続元をフィルタする場合があります。
 

2.2.1 DDNSサーバへ通知する構文

CPEは自動的にWAN側NGN IPoE区間のIPv6アドレスをDDNSサーバに通知する仕組みを内蔵する必要があります。
DDNSサーバに通知する構文は以下の通り

 プロトコル

 HTTP GET 

 ポート 

 880 

 構文 

 /gw_config.cgi?cmd=add&host=<CPEホスト名>&cpe_env=<シリアル>_kinfo=<拠点通番>&tep1=<TEP1>&tep2=<TEP2>

 ※<>は可変値です。シリアルは必須ではありませんが、空白にはできません。

 認証 

 BASIC認証を行います。ID/PWは別途提示されます。 

 応答コード 

 200:正常(登録完了)

 401:構文エラー

 403:BASIC認証エラー

 Full Request  URI例

 以下、東日本の場合。<>は可変値です。

http://open-gw-mng1.srv.customer.ne.jp:880/gw_config.cgi?cmd=add&host=demo0001&cpe_env=S3K99999_kinfo=123456&tep1=one99999-PP1-1.srv.customer.ne.jp&tep2=one99999-PP2-1.srv.customer.ne.jp

起動時、およびアドレス変更時以外では24時間以上の周期でアドレス通知を行うことを許容します。
BASIC認証、構文および構文内の拠点通番、TEP1、TEP2がすべて正しくないと、200応答(登録完了)とはなりません。

2.3 IPSEC機能

CPEはGWのTEPとFQDN設定でIKE接続する必要があります。将来的にIPv6アドレスが変更される場合があるため、IPv6アドレス設定のIKE設定の場合の接続性は保証しません。

2.3.1 MTU・フラグメント処理

不要なフラグメント処理が発生しないように、以降記載するIPSECパラメータを参考にIPSECIFにMTUを設定してください。IPv4 TCP MSS値をIPSECIF側のMTUに合わせては調整することを推奨します。

上位送出側回線種別とそのパートナー事業者用意CPE設定次第で、GWからはIPv6 Fragmentパケットが送出される場合があります。

CPE側からIPoE区間でIPv6 Fragmentパケットを送出した場合、一部のパケットがGWに到達しない場合があります。
 

2.3.2 GWとのIPSECパラメータ

 SAの管理方式 

 Continuous-channel SA型を推奨 

 利用するSA 

 最後に作成された最新のSAを利用すること 

 フラグメント処理 

 Pre-Fragmentを推奨 

 Anti-Replay 

 OFF 

■Phase-1 

 IKE Version 

 1 

 Exchange Mode 

 Main Mode  

 ID Type 

 ID_IPV6_ADDR 

 Encryption Algorithm 

 AES256-CBC 

 Hash Algorithm 

 HMAC-SHA-1-96 

 Authentication Method 

 Preshare (保守番号毎に30文字で用意される) 

 Diffie-Hellman方式 

 Group14(2048bit MODP) 

 SA life type 

 second 

 SA life duration 

 14400 

 Soft Reke y

 life duration - 540sec以上3600sec以下とすること 

 Initiator、Responderに関わらず、また、Phase-1単体でもRekeyすること 

 IKE keepalive 

 RFC3706。間隔は10sec以上。通信中は抑制することを推奨。
 GWはCPEからのkeepaliveに応答はするが、
 keepalive送付はしない。

■Phase-2 

 Exchange Mode 

 Quick Mode  

 ID Type 

 IP_IPV4_SUBNET  

 Local ID 

 0.0.0.0/0 

 Remote ID 

 0.0.0.0/0  

 Transform 

 ESP_AES256-CBC 

 Encapsulation Mode 

 Tunnel  

 Hash Algorithm 

 HMAC-SHA-1-96 

 PFS 

 Enable  

 Diffie-Hellman方式 

 Group14(2048bit MODP) 

 SA life type 

 second  

 SA life duration 

 7200 

 Anti-Reply Detect 

 off  

 Soft Rekey 

 life duration - 540sec以上1800sec以下とすること 

 

2.3.3 Notify Messages

Status TypesではINITIAL-CONTACTをサポートしています。
GWはINITIAL-CONTACTを受信した場合は、自分の持っている全てのIPSEC SAを削除します。

2.3.4 その他IPSEC注意点

全拠点一斉にIKE再接続しても、確立までには数分かかる場合があります。
最終的に確立した最新のSAを利用しますが、IKE折衝が輻輳する状態では、IPSEC通信は確立しても通信できません。
RekeyのIKE衝突しないために、CPE側でSoft Rekey値を変更してCPEからRekeyするよう設定してください。

2.4 BGP-4

確立したMain/Back2つのIPv6 IPSECトンネルの中で、それぞれIPv4 BGP接続を行います。

2.4.1 サポートしているRFC

 RFC1771 

  A Border Gateway Protocol 4(BGP4) 

 RFC2918

 Route Refresh Capability for BGP-4 

 

2.4.2 BGP-4パラメータ

 AS番号 

 CPE側ローカルAS番号 

 65100 

 GW-1(Main側)AS番号 

 65001 

 GW-2(Back側)AS番号 

 65002 

 CPEパラメータ 

 配信経路・属性 

 ・配信経路は以下のいずれかになります。サービスにより異なります。

  (ア)LAN側のRFC1918プライベートアドレス経路

  (イ)当社が払い出したGlobalIP経路

 ・Loopbackアドレス経路を配信しないこと

 ・GW-1受信経路、GW-2受信経路を配信しないこと

 ・GW-1とGW-2に同一の経路・属性を配信すること

 ・AS_PATH属性は65100 1つのみにすること

 Router ID 

 Loopbackアドレス 

 BGP SourceIP 

 Loopbackアドレス 

 Timer値 

 Keepalive:10秒以上 

 Hold Timer:30秒以上 

 TCP再接続Timer:10秒以上 

 Capability 

 IPv4 Unicast:必須 

 Route-refresh:推奨 

 GWパラメータ 

 GW-1(Main側)配信経路 

 0.0.0.0/0 

 GW-1(Main側)配信Path属性 

 ・AS_PATH属性を利用してMain/Back経路をコントールします。

 ・装置仕様により以下の2種類のうち、いずれかのAS_PATHの経路を配信します。

 ・65001のみ

 ・GWの保持する0.0.0.0/0のAS_PATHに65001を1個Prependしたもの

 ・設備都合により上記のAS_PATHからさらにPrepend/Removeする場合があります。

 GW-1(Main側)受信経路 

 以下のいずれかになります。サービスにより異なります。

  (ア)  RFC1918プライベートアドレス最大10経路

 GWが11以上の経路を受信した場合、そのBGP接続を自動的に切断します。

  (イ) 当社が付与したGlobalIPアドレスNW

 GW-2(Back側)配信経路 

 0.0.0.0/0 

 GW-2(Back側)配信Path属性 

 ・AS_PATH属性を利用してMain/Back経路をコントールします。

 ・装置仕様により以下の2種類のうち、いずれかのAS_PATHの経路を配信します。

 ・65002 65002

 ・GWの保持する0.0.0.0/0のAS_PATHに65002を2個Prependしたもの

 ・設備都合により上記のAS_PATHからさらにPrepend/Removeする場合があります。

 GW-2(Back側)受信経路 

 以下のいずれかになります。サービスにより異なります。

  (ア)  RFC1918プライベートアドレス最大10経路

 GWが11以上の経路を受信した場合、そのBGP接続を自動的に切断します。

  (イ) 当社が付与したGlobalIPアドレスNW

 

2.4.3 その他BGP注意点

CPE側でCisco社独自のWEIGHT属性やLOCAL_PREF属性を用いてGW-1かGW-2かのPATH選択を変えないでください。PATH選択はGW側のAS PATH属性で決定するように設定してください。
GW-1とGW-2で配信経路を分けて、PATH冗長を実現する構成は組めません。
全拠点一斉にBGP再接続した場合、確立までに数分かかる場合があります。
11以上の経路を受信して切断されたBGP接続は定期的(概ね数回/時間)に回復処置が実施されます(システムメンテナンス/システム障害時を除く)。
回復処置が実施された後に再度11以上の経路を受信した場合、再度BGP接続が切断されます

 

3.別紙

 

関連記事

コメント

0件のコメント