はじめに
PPPoE から IPoE(IPv4 over IPv6)への移行が進む中で、YAMAHA RTX シリーズは国内の IPoE 環境で定番の選択肢となっています。tunnel encapsulation コマンドで MAP-E と DS-Lite を宣言的に切り替えられる点が特徴で、ファームウェアレベルで日本独自のサービスに対応しています。
一方で、MAP-E については対応する機種とファームウェアが限られるため、手元の機種で利用できるかを事前に確認しておく必要があります。また、契約しているプロバイダが MAP-E 系か DS-Lite 系かによって、設定するコマンドが変わります。
IPoE と MAP-E / DS-Lite の仕組みそのものについては、関連記事『IPoE(MAP-E・DS-Lite)の仕組みと PPPoE との違い|方式の選び方と機種対応』で解説しています。本記事は YAMAHA RTX に絞り、方式の選び方から具体的な設定例、状態確認コマンド、運用上の制約までを整理します。
- RTX の MAP-E・DS-Lite 対応と、契約方式に応じた方式の選び方
tunnel encapsulation map-e/ipipによる宣言的な設定の手順- NAT ディスクリプタと MTU / MSS の設定
show系コマンドによる割当ポート・トンネル状態の確認方法- ポート枯渇など IPoE 特有の制約への対処
要点を先に整理すると、次のとおりです。YAMAHA RTX では IPv4 over IPv6 を tunnel encapsulation コマンドで宣言的に設定でき、MAP-E は map-e、DS-Lite は ipip を指定します。
MAP-E は一部の機種と一定以上のファームウェアで利用でき、DS-Lite や固定 IP の IPIP トンネルはより広い機種で動作します。割り当てられたポート範囲やトンネルの状態は、show 系コマンドで確認できます。
YAMAHA RTX の IPoE 対応と方式の選択
RTX シリーズで IPoE を設定する際は、まず手元の機種が目的の方式に対応しているかを確認し、その上で契約方式に合わせて MAP-E か DS-Lite かを選びます。
対応シリーズとファームウェアの考え方
MAP-E(tunnel map-e type を使う方式)は、一部の機種かつ一定以上のファームウェアで利用できます。たとえば RTX1210 は Rev.14.01.34 以降、RTX830 は Rev.15.02.10 以降で tunnel map-e type が利用可能です。RTX1220 や RTX1300 も MAP-E に対応します。一方、RTX1200 のように MAP-E に対応しない機種もあります。
DS-Lite(tunnel encapsulation ipip)や固定 IP の IPIP トンネルは、MAP-E に対応しない機種でも動作する場合があります。利用予定の機種とファームウェアについては、最新の公式情報で確認することを推奨します。
参考: ヤマハ「トンネルインタフェースの MAP-E 種別の設定」
tunnel encapsulation を map-e に設定したときに、どの MAP-E サービスを利用するかを tunnel map-e type で設定する、と説明されています。RTX1210 は Rev.14.01.34 以降、RTX830 は Rev.15.02.10 以降で使用可能と記載されています。
https://www.rtpro.yamaha.co.jp/RT/manual/rt-common/tunneling/tunnel_map_e_type.html
MAP-E と DS-Lite のどちらを設定するか(契約方式の確認)
設定に入る前に、契約しているプロバイダが採用している方式を確認します。MAP-E 系(v6 プラス、OCN バーチャルコネクト等)であれば tunnel encapsulation map-e と tunnel map-e type を、DS-Lite 系(transix、クロスパス等)であれば tunnel encapsulation ipip を使用します。
MAP-E ではユーザー宅の RTX が NAPT を行い、割り当てられたポート範囲だけを使って IPv4 通信を成立させます。DS-Lite では NAPT をプロバイダ側の AFTR が行うため、RTX 側はトンネルの終端のみを担います。この違いがポート開放の可否などに影響します。方式ごとの仕組みや制約の詳細は、関連記事『IPoE(MAP-E・DS-Lite)の仕組みと PPPoE との違い|方式の選び方と機種対応』で解説しています。
参考: ヤマハ「v6 プラス対応機能」
v6 プラスの IPv4 通信は MAP-E という技術で実現されており、設定や状態の表示では map-e の文字を使う、と説明されています。IPv6 通信はフレッツ光ネクストまたはフレッツ光クロスで提供される IPv6 IPoE を利用するとされています。
https://www.rtpro.yamaha.co.jp/RT/docs/v6plus/
共通設定: IPv6 IPoE の有効化
MAP-E でも DS-Lite でも、土台となるのは WAN 側(LAN2)での IPv6 IPoE の有効化です。フレッツ網から IPv6 プレフィックスを取得し、その上に IPv4 over IPv6 のトンネルを構築します。プレフィックスの取得方法は、ひかり電話契約の有無によって変わります。
ひかり電話契約がない構成では、RA(Router Advertisement)でプレフィックスを取得します。
# 経路設定
ip route default gateway tunnel 1
# LAN 設定
ip lan1 address 192.168.100.1/24
# NGN との接続設定(IPv6 IPoE)
ngn type lan2 ntt
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=onひかり電話契約がある構成(フレッツ光クロスを含む)では、DHCPv6-PD でプレフィックスを取得します。NGN との接続設定の部分を次のように置き換えます。
# NGN との接続設定(DHCPv6-PD)
ngn type lan2 ntt
ipv6 route default gateway dhcp lan2
ipv6 prefix 1 dhcp-prefix@lan2::/64
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 address dhcp
ipv6 lan2 dhcp service clientこの時点で、RTX が IPv6 アドレスを取得し、IPv6 通信ができる状態になります。LAN1 配下の機器が IPv4 通信のみを行う場合は、ipv6 prefix、ipv6 lan1 rtadv send、ipv6 lan1 dhcp service server の各行は設定しません。
MAP-E の設定手順(v6 プラス / OCN バーチャルコネクト等)
IPv6 IPoE が有効になったら、その上に MAP-E トンネルを構築します。RTX では tunnel encapsulation map-e でトンネル種別を宣言し、tunnel map-e type で利用する VNE を指定します。
tunnel encapsulation map-e と tunnel map-e type
MAP-E トンネルの設定例です。先の共通設定に続けて投入します。
# MAP-E トンネル
tunnel select 1
tunnel encapsulation map-e
tunnel map-e type v6plus
ip tunnel mtu 1460
ip tunnel nat descriptor 1
tunnel enable 1tunnel map-e type の指定値は VNE ごとに決まっており、v6 プラスは v6plus、OCN バーチャルコネクトは ocn、BIGLOBE IPv6 オプションは ipv6option を指定します。初期値は v6plus のため、v6 プラスを利用する場合はこの行を省略しても動作します。明示しておくと、設定意図が読み取りやすくなります。
参考: ヤマハ「トンネルインタフェースの MAP-E 種別の設定」
tunnel map-e type の設定値として v6plus(v6 プラス)、ocn(OCN バーチャルコネクトサービス)、ipv6option(BIGLOBE IPv6 オプション)が定義されており、初期値は v6plus である、と記載されています。
https://www.rtpro.yamaha.co.jp/RT/manual/rt-common/tunneling/tunnel_map_e_type.html
NAT ディスクリプタの設定(ポートセービング IP マスカレード)
MAP-E では、割り当てられた限られたポート範囲だけを使って NAPT を行うため、ポートセービング IP マスカレードを利用します。MAP-E で自動生成されたグローバル IPv4 アドレスを外側アドレスに指定する点が特徴です。
# NAT ディスクリプタ(ポートセービング IP マスカレード)
nat descriptor type 1 masquerade
nat descriptor address outer 1 map-enat descriptor address outer に map-e を指定することで、MAP-E のマップルールに従って自動的に決まったグローバル IPv4 アドレスが外側アドレスとして使われます。このアドレスやポート範囲を手動で固定することはできません。
なお、RTX5000 / RTX3500 では、ポートセービング IP マスカレードを正しく動作させるために nat descriptor backward-compatibility 2 を追加で設定します。割り当てられたポートの確認方法は、後述の状態確認で扱います。
参考: ヤマハ「v6 プラス対応機能」
ポートセービング IP マスカレード機能を使う必要があり、MAP-E では使用できるポート番号が限定されているため特定のポート番号を使うアプリケーションは動作せず、LAN 側にサーバーを構築して WAN 側からアクセスすることも困難である、と案内されています。
https://www.rtpro.yamaha.co.jp/RT/docs/v6plus/
ここまでで MAP-E の基本的な接続が完了します。ip route default gateway tunnel 1 により、IPv4 通信がこのトンネル経由でインターネットへ抜けます。
DS-Lite の設定手順(transix / クロスパス等)
DS-Lite では、RTX は IPIP トンネル(IPv4 over IPv6 トンネル)の終端のみを担い、NAPT はプロバイダ側の AFTR が行います。MAP-E のようなポート計算や NAT ディスクリプタの設定が不要なため、IPv6 IPoE が有効であれば数行で接続できます。共通設定(IPv6 IPoE の有効化)は MAP-E と同じため、ここではトンネル部分のみを示します。
参考: ヤマハ「transix 接続設定例」
DS-Lite は IPIP トンネリング(IPv4 over IPv6 トンネル接続)を利用し、ルーターが IPv4 パケットを IPv6 でカプセル化して AFTR へ転送、AFTR でカプセル化を解いて IP マスカレード変換を行い IPv4 インターネットへ転送する、と説明されています。
https://www.rtpro.yamaha.co.jp/RT/docs/transix/index.html
tunnel encapsulation ipip と AFTR の指定(FQDN 追従)
transix を例にした DS-Lite トンネルの設定です。AFTR は FQDN で指定すると、アドレス変更に追従できます。
# DS-Lite トンネル(transix の例)
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint name gw.transix.jp fqdn
ip tunnel mtu 1460
ip tunnel tcp mss limit 1420
tunnel enable 1
# IPv4 ルーティング
ip route default gateway tunnel 1tunnel encapsulation ipip で IPIP トンネルを宣言し、tunnel endpoint name gw.transix.jp fqdn で AFTR を FQDN 指定します。クロスパス(アルテリア・ネットワークス)の場合は dgw.xpass.jp を指定します。
ただし、一部の機種・ファームウェアでは FQDN 指定が利用できません。RTX1210 の Rev.14.01.20 より前や NVR510 の一部バージョン、NVR500 などでは、tunnel endpoint name の代わりに tunnel endpoint address で AFTR の IPv6 アドレスを直接指定します。
# FQDN 指定が使えない機種・ファームウェアの場合
tunnel endpoint address 2404:8e00::feed:100transix の AFTR の IPv6 アドレスは、NTT 東日本エリアが 2404:8e00::feed:100/2404:8e00::feed:101、NTT 西日本エリアが 2404:8e01::feed:100/2404:8e01::feed:101 が代表例です。これらは予告なく変更される可能性があるため、FQDN 指定に対応した機種では FQDN 指定を優先することを推奨します。IPv6 アドレスで直接指定している場合に接続できなくなったときは、AFTR アドレスの変更がないかを確認します。
MTU / MSS と IPv6 フィルターの設定
IPoE 環境では、トンネルのカプセル化により利用可能な MTU が減少します。適切な MTU / MSS を設定しないと、パケットの分割や再送が増え、スループット低下の要因となります。
MTU と MSS(ip tunnel mtu / ip tunnel tcp mss limit)
IPoE トンネルの MTU は、物理 MTU 1500 から IPv6 ヘッダー 40 バイトを引いた 1460 バイトが標準的な値です。MSS は、ここからさらに IPv4 ヘッダー 20 バイトと TCP ヘッダー 20 バイトを引いた 1420 バイトとなります。MAP-E・DS-Lite いずれのトンネルでも、次のように設定します。
tunnel select 1
ip tunnel mtu 1460
ip tunnel tcp mss limit 1420ip tunnel tcp mss limit には、固定値(1420)のほか、自動調整の auto も指定できます。auto を指定すると、トンネルの MTU に合わせて MSS が自動で調整されます。MSS 計算の詳細は、関連記事『IPoE(MAP-E・DS-Lite)の仕組みと PPPoE との違い|方式の選び方と機種対応』で解説しています。
IPv6 フィルターの設定
IPoE 環境では、LAN 内の端末に IPv6 グローバルアドレスが直接払い出されます。PPPoE 時代の「NAPT で守られている」という前提が成立しないため、WAN 側(LAN2)に IPv6 のパケットフィルターを明示的に設定することが重要です。次は YAMAHA 公式の設定例に基づく、WAN 側 IPv6 入力フィルターの例です。
# IPv6 フィルター(WAN: LAN2)
ipv6 lan2 secure filter in 200030 200031 200038 200039
ipv6 lan2 secure filter out 200099 dynamic 200080 200081 200082 200083 200084 200098 200099
ipv6 filter 200030 pass * * icmp6 * *
ipv6 filter 200031 pass * * 4
ipv6 filter 200038 pass * * udp * 546
ipv6 filter 200039 reject *
ipv6 filter 200099 pass * * * * *
ipv6 filter dynamic 200080 * * ftp
ipv6 filter dynamic 200081 * * domain
ipv6 filter dynamic 200082 * * www
ipv6 filter dynamic 200083 * * smtp
ipv6 filter dynamic 200084 * * pop3
ipv6 filter dynamic 200098 * * tcp
ipv6 filter dynamic 200099 * * udp各フィルターの役割は次のとおりです。
200030: ICMPv6 を許可する(近隣探索や PMTU 探索に必要)200031: プロトコル番号 4(IPv4-in-IPv6 のカプセル化パケット)を許可する。MAP-E・DS-Lite のトンネルに必要200038: UDP 546(DHCPv6 クライアント)を許可する。200039: 上記以外の入力を破棄する。dynamicフィルター: LAN 側からの通信に対する戻りパケットを動的に許可する。
in 方向は確立済みのセッションに対する戻りのみを動的フィルターで許可し、それ以外は破棄する構成です。プロトコル 4 の許可(200031)を忘れると、IPv4 over IPv6 のトンネルパケットが破棄され、IPv4 通信ができなくなる点に注意します。
状態確認とトラブルシューティング
設定後の動作確認と、IPoE 環境で直面しやすい制約への対処をまとめます。
show 系コマンドによる割当ポート・トンネル状態の確認
接続状態は、show 系コマンドで確認します。
# トンネルの種別と接続状態
show status tunnel 1
# 割り当てられた外側アドレスとポート範囲(MAP-E)
show nat descriptor address
# IPv6 アドレスの取得状況
show ipv6 addressshow status tunnel 1 では、インターフェースの種類(MAP-E など)、トンネルの IPv6 アドレス、接続状態、IPv4 / IPv6 の受信・送信パケット数が表示されます。トンネルが接続されていれば、IPv4 通信が成立する状態です。
MAP-E では、show nat descriptor address で割り当てられた外側アドレスとポート範囲を確認できます。次のような出力になります。
# show nat descriptor address
NAT/IP マスカレード 動作タイプ : 1
Masquerade テーブル
外側アドレス: map-e/203.0.113.1
ポート範囲: 8176-8177, 12272-12273, 16368-16369, 20464-20465, ...ここに表示されるポート範囲が、その回線で利用できるポートです。MAP-E ではこの範囲外のポートを使うサーバー公開ができないため、ポート開放を検討する際の判断材料になります。マップルールを取得できていない場合は、外側アドレスやポート範囲の情報は表示されません。
ポート枯渇への対処(ポートセービング IP マスカレード)
MAP-E は 1 つのグローバル IPv4 アドレスを複数ユーザーで共有するため、1 回線あたりの利用可能ポート数に上限があります。RTX のポートセービング IP マスカレードは TCP セッションでポートを節約できますが、UDP では 1 セッションあたり 1 ポートを専有します。そのため、オンラインゲームや IP 電話など UDP セッションが多い環境では、ポートを使い切る場合があります。
ポート枯渇が疑われる場合の対処としては、固定 IP オプションの契約(全ポートを占有できる)や、NAPT を AFTR 側で行う DS-Lite 方式の検討が現実的です。ポート枯渇の仕組みの詳細は、関連記事『IPoE(MAP-E・DS-Lite)の仕組みと PPPoE との違い|方式の選び方と機種対応』で解説しています。
運用上の制約(IPsec / VPN、IPv6 プレフィックス変更)
MAP-E には、VPN 関連の制約があります。仕組み上、IPsec のレスポンダー、L2TP/IPsec、L2TPv3/IPsec、L2TPv3 は利用できません。また、MAP-E で自動的に設定されたグローバル IPv4 アドレスを、ルーター自身の通信の始点アドレスとして設定しないよう案内されています。拠点間 VPN を IPoE 上で構成する場合は、グローバル IPv6 を活用した IPv6 IPsec を利用するか、PPPoE セッションを別途確保して固定グローバル IPv4 を用意する構成が選択肢となります。
参考: ヤマハ「v6 プラス対応機能」
仕組み上、IPsec(レスポンダー)、L2TP/IPsec、L2TPv3/IPsec、L2TPv3 は使用できず、MAP-E で自動的に設定されたグローバル IPv4 アドレスをルーター自身の通信の始点アドレスとして設定しないよう案内されています。
https://www.rtpro.yamaha.co.jp/RT/docs/v6plus/
また、v6 プラスの固定 IP サービスでは、IPv6 プレフィックスが変更された際にアップデートサーバーへ IPv6 アドレスを通知する必要があり、YAMAHA が提供する Lua スクリプトを利用します。通常の MAP-E(動的 IP)では、トンネル設定時にマップルールを自動取得して追従します。
まとめ
YAMAHA RTX は、tunnel encapsulation コマンドで MAP-E と DS-Lite を宣言的に設定でき、国内の IPoE 環境で扱いやすい選択肢です。MAP-E は対応機種とファームウェアの確認が必要で、DS-Lite はより広い機種で動作します。要点は次のとおりです。
- RTX は tunnel encapsulation で MAP-E(map-e)と DS-Lite(ipip)を宣言的に設定
- MAP-E は対応機種と一定以上のファームウェアが必要、DS-Lite はより広い機種で動作
- MAP-E の VNE は tunnel map-e type で指定(v6plus/ocn/ipv6option、初期値 v6plus)
- DS-Lite の AFTR は FQDN 指定で変更に追従、非対応機種は IPv6 アドレスで指定
- MTU 1460/MSS 1420 が標準値で、MSS は ip tunnel tcp mss limit で設定
- 割当ポートやトンネル状態は show nat descriptor address/show status tunnel で確認
- ポート枯渇時は固定 IP オプションや DS-Lite の検討が現実的
以上、最後までお読みいただきありがとうございました。
