はじめに
「夜 22 時を過ぎると、Web 会議の品質が低下する」「クラウドへのアップロードが遅くなる」といったネットワーク遅延の原因として、PPPoE 接続による網終端装置の輻輳が挙げられることがあります。
PPPoE はインターネット利用者の増加に伴い、プロバイダーとの接続点となる網終端装置で慢性的な輻輳が発生しやすい構造となっています。一方、近年は IPoE(IPv4 over IPv6)が新規回線の標準的な接続方式となりつつあり、NTT 東西のフレッツ光クロス(10Gbps)では PPPoE が非対応となり、IPoE 一本化が進んでいます。
ただし、IPoE は PPPoE と比べると設定の選択肢が多く、「MAP-E」と「DS-Lite」という 2 つの方式の違いや、機種ごとの実装差を理解しておく必要があります。本記事では、IPoE と PPPoE の違いから始めて、MAP-E・DS-Lite の仕組み、プロバイダー別の方式、主要 4 機種(YAMAHA・NEC・Cisco・FortiGate)の対応と選び方までを整理します。具体的な設定コマンドは機種別の記事にまとめています。
- IPoE と PPPoE の違い(網終端装置の有無、認証方式、最大速度)
- MAP-E(v6 プラス等)と DS-Lite(transix 等)のアーキテクチャの違い
- 主要プロバイダー(VNE)別の方式の見分け方
- 主要 4 機種(YAMAHA・NEC・Cisco・FortiGate)の対応と方式の選び方
- IPoE 環境で適切な MTU/MSS の計算根拠と推奨値
- ポート開放制限・ポート枯渇など IPoE 特有の制約事項
なお、PPPoE 接続の設定手順については、関連記事『PPPoE 接続設定の手順|Cisco / FortiGate / YAMAHA / NEC の違い』にまとめていますので、あわせて参照してください。
IPoE と PPPoE の違い
IPoE と PPPoE は、いずれも「フレッツ網などの回線網を経由してインターネットへ接続する方式」ですが、経路上の機器構成・認証方式・対応する最大速度が大きく異なります。
主な違いの比較表
| 項目 | PPPoE(IPv4 PPPoE) | IPoE(IPv6 IPoE + IPv4 over IPv6) |
|---|---|---|
| 経由する機器 | NTE(網終端装置)を必ず経由 | NTE を経由せず VNE のゲートウェイ経由 |
| 認証方式 | ユーザー ID / パスワード認証 | 回線認証(IPv6 アドレスで識別) |
| 対応最大速度(理論値) | 1Gbps | 10Gbps(フレッツ光クロス対応) |
| 混雑時の影響 | 受けやすい(NTE 輻輳) | 受けにくい |
| IPv4 サイトへの接続 | 直接接続可能 | IPv4 over IPv6(MAP-E / DS-Lite)が必要 |
| 設定 | ID/PW 入力のみ | 方式(MAP-E / DS-Lite)と機種に応じた設定が必要 |
| フレッツ光クロスでの対応 | 非対応 | 対応(標準) |
参考: NTT 東日本「IP 通信網サービスのインタフェース」
IP 通信網における PPPoE 接続での IPv6 通信の MTU 値は 1,454 バイトであり、これを超えるサイズのパケットは破棄される、と案内されています。
https://www.ntt-east.co.jp/info-st/katsuyou/h26/temp21-1.pdf
なぜ IPoE は速いのか
PPPoE は、契約者からのトラフィックがすべて NTT 局舎側に設置された網終端装置(NTE)という機器を経由してインターネット側へ抜ける構造になっています。NTE は利用者の ID/パスワード認証を行い、L2TP で各 ISP のゲートウェイへトラフィックを転送する役割を担います。利用者の増加に対して NTE の容量増設が追いつかず、夜間など利用が集中する時間帯に輻輳が発生しやすい点が課題となっています。
一方、IPoE は NTE を経由せず、VNE(Virtual Network Enabler)事業者が提供する大容量のゲートウェイを経由してインターネットへ接続します。VNE は JPNE(v6 プラス)、インターネットマルチフィード(transix)、NTT コミュニケーションズ(OCN バーチャルコネクト)など複数が存在し、各社が独自に NGN(次世代ネットワーク)と接続しています。
IPv4 over IPv6 という技術
IPoE は本来 IPv6 専用の接続方式であり、そのままでは IPv4 のみに対応した Web サイトやサービスへ接続できません。この問題を解決するのが IPv4 over IPv6 という技術です。
ルーターが IPv4 パケットを IPv6 パケットでカプセル化し、IPv6 専用の NGN・VNE 網を経由してインターネットへ抜けます。インターネット側のゲートウェイで IPv6 カプセルを外して元の IPv4 パケットを宛先へ届ける仕組みです。このカプセル化方式には大きく MAP-E と DS-Lite の 2 種類があり、ユーザー側のルーターと VNE 側のどちらで NAT(NAPT)を行うかが異なります。
2 つの方式「MAP-E」と「DS-Lite」
IPoE の設定を行う際にまず確認すべきは、契約しているプロバイダーが採用している通信方式が MAP-E(Mapping of Address and Port with Encapsulation)なのか DS-Lite(Dual-Stack Lite)なのかという点です。
MAP-E 方式
代表的なサービスは、v6 プラス(JPNE)、OCN バーチャルコネクト、IPv6 オプション(BIGLOBE)、ぷらら v6 エクスプレスなどです。
MAP-E は、ユーザー宅のルーター(CE: Customer Edge)が NAPT を行う方式です。1 つのグローバル IPv4 アドレスを複数のユーザーでポート番号単位で分割して共有する点が最大の特徴で、ルーターは自分に割り当てられた「利用可能なポート範囲」だけを使って NAPT を行い、IPv6 でカプセル化して送信します。
接続シーケンスは次のとおりです。
RA(Router Advertisement)または DHCPv6-PD で、まずルーター自身の IPv6 アドレスを取得する。
DHCPv6 Option やルールサーバーから「MAP ルール(使用可能な IPv4 アドレスとポート番号の計算式)」を取得する。
受け取ったルールを計算し、WAN 側 IPv4 アドレスと利用可能なポート範囲を生成して設定を完了する。
割り当てられるポートが限られているため、任意のポート番号を使うサーバー公開には制限があります。
DS-Lite 方式
代表的なサービスは、transix(インターネットマルチフィード)、クロスパス(アルテリア・ネットワークス)、v6 コネクト(朝日ネット)です。
DS-Lite は、ユーザー宅のルーターは IPIP トンネル(IPv4 over IPv6 トンネル)の終端のみを担い、IPv4 パケットをそのまま IPv6 で包んで、プロバイダー側の AFTR(Address Family Transition Router)という集約装置へ送信します。NAPT は AFTR で一括して行われます。NAPT を VNE 側で行うため、ユーザー側でのポート開放(外部からの受信)は原則として行えません。
MAP-E と DS-Lite の比較
| 特徴 | MAP-E(v6 プラス等) | DS-Lite(transix 等) |
|---|---|---|
| NAPT の場所 | ユーザールーター | プロバイダー(AFTR) |
| ルーターの処理負荷 | 高い(NAPT + ポート計算) | 低い(カプセル化のみ) |
| ポート開放 | 一部可能(割当ポートのみ) | 原則不可 |
| 同時セッション数の上限 | 240〜1024 ポート程度 | VNE 側設備に依存 |
| 推奨 MTU | 1460 | 1460 |
| 主な対応国内機種 | YAMAHA、NEC ほか | YAMAHA、NEC、Cisco、FortiGate ほか |
海外製ルーター(Cisco、FortiGate など)では、ポート計算ロジックを必要とする MAP-E は設定難度が高く、トンネル終端のみで済む DS-Lite の方が比較的容易に対応できる傾向がありました。ただし、近年は各社が日本独自仕様への対応を進めており、状況は変化しています(詳細は各機種の記事を参照してください)
主要プロバイダ別 MAP-E / DS-Lite 早見表
自分の回線がどちらの方式かは、契約しているサービス(VNE)で決まります。代表的なサービスと方式の対応は次のとおりです。MAP-E 系はユーザールーターで NAPT を行い、DS-Lite 系は VNE 側の AFTR で NAPT を行います。
| サービス名(VNE) | 方式 | 補足 / AFTR |
|---|---|---|
| v6 プラス(JPNE) | MAP-E | So-net、GMO とくとく BB 等で採用 |
| OCN バーチャルコネクト(NTT Com) | MAP-E | OCN、ぷらら 等で採用 |
| IPv6 オプション(BIGLOBE) | MAP-E | BIGLOBE で採用 |
| transix(インターネットマルチフィード) | DS-Lite | AFTR: gw.transix.jp |
| クロスパス(アルテリア・ネットワークス) | DS-Lite | AFTR: dgw.xpass.jp、楽天ひかり 等で採用 |
| v6 コネクト(朝日ネット) | DS-Lite 系 | 標準プロビジョニング方式 |
同じ ISP でも提供エリアや申込プランによって VNE や方式が異なる場合があります。最終的には、契約中のサービスの案内で方式(MAP-E / DS-Lite)と VNE 名を確認することを推奨します。
参考: アイ・オー・データ機器「手動で IPv6 設定を行う」
サービス名が v6 プラス・OCN バーチャルコネクト・IPv6 オプションの場合は MAP-E を、transix IPv4 接続(DS-Lite)・クロスパスの場合は DS-Lite を選び、transix の AFTR は gw.transix.jp、クロスパスは dgw.xpass.jp を指定する、と案内されています。
https://www.iodata.jp/support/qanda/answer/s32796.htm
主要 4 機種の IPoE 対応(設定の詳細は各機種の記事へ)
主要 4 機種(YAMAHA RTX、NEC UNIVERGE IX、FortiGate、Cisco IOS XE)は、いずれも MAP-E・DS-Lite に対応します。ここでは各機種の対応の要点と選び方を整理します。具体的なコマンド、状態確認、トラブルシューティングは、機種別の記事にまとめています。
YAMAHA RTX
国内の IPoE 環境で定番の機種です。tunnel encapsulation コマンドで MAP-E(map-e)と DS-Lite(ipip)を宣言的に設定できます。MAP-E は対応する機種とファームウェアの確認が必要で、DS-Lite や固定 IP の IPIP トンネルはより広い機種で動作します。割り当てポートの確認やポート枯渇対策(ポートセービング IP マスカレード)まで含めた設定の詳細は、関連記事『YAMAHA RTX の MAP-E / DS-Lite 設定|IPoE の構成と確認コマンド』を参照してください。
NEC UNIVERGE IX
ファームウェアレベルで日本独自サービスに対応し、MAP-E は tunnel mode map-e、DS-Lite は tunnel mode 4-over-6 で設定します。Fast-Forwarding(高速転送)によるスループットの確保と、EIM(Endpoint Independent Mapping)によるポート枯渇・P2P 通信への対処が強みです。MAP-E はソフトウェア ver.10.1 以降で利用できます。設定例と状態確認の詳細は、関連記事『NEC UNIVERGE IX の MAP-E / DS-Lite 設定|IPoE の構成とポート枯渇対策』を参照してください。
FortiGate(FortiOS)
MAP-E・DS-Lite とも VNE トンネル機能で構成します。MAP-E の設定階層は FortiOS 7.4.x 系の vne-tunnel から、7.6.x 系以降の vne-interface へ移行しており、DS-Lite は fixed-ip モードで構成します。「MAP-E 非対応」という認識は旧バージョンのもので、現行バージョンには当てはまりません。バージョン別の対応と手順の詳細は、関連記事『FortiGate の MAP-E / DS-Lite 設定|FortiOS バージョン別の対応と手順』を参照してください。
Cisco(IOS XE)
DS-Lite は tunnel mode ipv6 の標準トンネルで比較的容易に構成できますが、MAP-E は nat64 provisioning と証明書管理を要し、難度は高めです。フレッツ光クロス(DHCPv6-PD)環境では IOS XE 17.10.1a 以降が必須となります。設定難度や運用負荷を踏まえると、SD-WAN や大規模拠点の要件がある環境で選ばれることが多い機種です。設定の詳細は、関連記事『Cisco IOS XE の MAP-E / DS-Lite 設定|IPoE 対応バージョンと手順』を参照してください。
適切な MTU と MSS(IPoE 編)
IPoE 環境において、適切な MTU(Maximum Transmission Unit)と MSS(Maximum Segment Size)の設定は、スループットや通信安定性に大きく影響します。PPPoE 時代の値をそのまま流用すると、IPoE 本来の性能を活かしきれない場合があります。
MTU / MSS とは
MTU は 1 つの IP パケットで送信できる最大サイズ(バイト数)です。MTU を超えるサイズのパケットは経路上で破棄されるか、フラグメント(分割)処理が行われます。フラグメントが発生すると再構成のオーバーヘッドが生じ、通信効率が低下します。MSS は TCP セグメント内のペイロードの最大サイズで、3 way handshake 時にホスト間で合意される値です。
PPPoE と IPoE の MTU が異なる理由
フレッツ網の物理リンク自体の MTU は 1500 バイトですが、PPPoE 接続では網内で PPP over L2TP のカプセル化が行われるため、利用可能な MTU が減少します。
| 接続方式 | カプセル化ヘッダー | 利用可能な MTU |
|---|---|---|
| PPPoE(IPv4) | PPPoE + PPP + L2TP + UDP + IPv4 = 46 バイト | 1454 |
| IPoE(MAP-E / DS-Lite 標準) | IPv6 ヘッダー 40 バイト | 1460 |
| IPoE(DS-Lite、encap-limit 有効時) | IPv6 ヘッダー 40 + encap-limit 8 = 48 バイト | 1452 |
IPoE では網内で追加のヘッダーが付与されないため、トンネルインターフェース(MAP-E / DS-Lite)の MTU は 1500 − IPv6 ヘッダー 40 = 1460 バイトが標準的な値です。
IPoE での MSS 計算
トンネルインターフェースに流れる TCP パケットの MSS は次のように計算します。
MSS = 1460(IPoE トンネル MTU)− IPv4 ヘッダー 20 − TCP ヘッダー 20
= 1420 バイトPPPoE 時代によく使われていた MSS 1414 は IPoE 環境には過小設定であり、IPoE 環境では 1420 が標準値となります。MSS が必要以上に小さいと TCP セグメントが過剰に分割され、スループット低下の要因となります。
各機種での設定方法
各機種での具体的な設定方法(YAMAHA の ip tunnel tcp mss limit、NEC の ip tcp adjust-mss auto、Cisco の ip tcp adjust-mss、FortiGate の tcp-mss など)は、機種別の記事にまとめています。いずれも IPoE トンネルでは MTU 1460 / MSS 1420 を基準とします。
MTU の実測による検証
設定値を投入した後、実際に Path MTU を確認することが推奨されます。Linux / macOS では ping の DF(Don’t Fragment)ビットを立てて段階的にサイズを変えることで、経路の MTU を測定できます。
# Linux
ping -c 1 -s 1432 -M do 8.8.8.8
# macOS
ping -c 1 -s 1432 -D 8.8.8.8ping のパケットサイズには 28 バイト(IPv4 ヘッダー 20 + ICMP ヘッダー 8)が追加されるため、MTU 1460 環境では -s 1432 が成功する最大値となります。これを超えるサイズで応答が返らなくなった値の手前が、経路の Path MTU です。
IPoE の制約事項・ハマりポイント早見表
IPoE は PPPoE よりも速度・安定性の面で優位ですが、運用上の制約も複数存在します。導入前の整理として確認してください。
ポート開放・サーバー公開に関する制約
| 制約事項 | MAP-E | DS-Lite |
|---|---|---|
| 任意ポートでのサーバー公開 | 不可(割当ポート範囲のみ) | 不可(VNE 側で NAPT) |
| 80 / 443 など Well-known ポートの公開 | 不可 | 不可 |
| 割当ポート範囲内でのポート開放 | 可能(要計算) | 不可 |
| 同時セッション数の上限 | 240〜1024 程度(VNE 依存) | VNE 側設備に依存 |
| 解決策(共通) | 固定 IP オプション契約 | 固定 IP オプション契約 |
VPN・IPsec に関する制約
| 機能 | MAP-E | DS-Lite |
|---|---|---|
| IPsec(イニシエーター側) | 利用可能(NAT-T 経由) | 利用可能(条件あり) |
| IPsec(レスポンダー側) | 不可(外部からの受信) | 不可 |
| L2TP / IPsec | 不可 | 不可 |
| L2TPv3 / IPsec | 不可 | 不可 |
| IPv6 IPsec | 利用可能(グローバル IPv6 を活用) | 利用可能 |
参考: ヤマハ「v6 プラス対応機能」
仕組み上、IPsec(レスポンダー)、L2TP/IPsec、L2TPv3/IPsec、L2TPv3 は使用できず、MAP-E で自動的に設定されたグローバル IPv4 アドレスをルーター自身の通信の始点アドレスとして設定しないよう案内されています。
https://www.rtpro.yamaha.co.jp/RT/docs/v6plus/
拠点間 VPN を IPoE 上で構成する場合は、IPv4 IPsec ではなく IPv6 IPsec を使うか、PPPoE セッションを別途確保して固定グローバル IPv4 を確保する構成が推奨されます。
その他の構成上の制約
HGW(ホームゲートウェイ)配下での競合に注意が必要です。ひかり電話契約あり構成では、HGW に NTT から MAP-E ソフトウェア(フレッツジョイント)が配信されます。配下のルーターを MAP-E モードで動作させようとすると競合が発生するため、配下ルーターは PPPoE モードまたは IPv6 ブリッジモードで動作させることが推奨されます。
フレッツ光クロス(10Gbps)では PPPoE 接続が提供されておらず、IPoE 一本化されています。PPPoE 前提の冗長構成(IPoE + PPPoE 併用)が組めない点に留意が必要です。また、DS-Lite の AFTR アドレスは VNE 側の都合で変更される可能性があるため、IPv6 アドレスを直接指定するよりも、FQDN(gw.transix.jp 等)での指定が推奨されます。
IPoE 環境では、LAN 内の端末に IPv6 グローバルアドレスが直接払い出される構成となるため、PPPoE 時代の「ルーターの NAPT で守られている」という前提が成立しません。IPv6 のパケットフィルターを明示的に設定しないと、LAN 内端末が外部から直接到達可能な状態となります。IPv6 ファイアウォールの基本方針は次のとおりです。
- LAN 側からのアウトバウンドは原則許可
- WAN 側からのインバウンドは確立済みセッション(established / related)のみ許可
- ICMPv6 は必要なタイプ(NS / NA / RA / RS / Echo / PMTU 関連)のみ許可
- IPv4-in-IPv6(プロトコル 4)のトンネルパケットを許可
- DHCPv6(UDP 546/547)は必要に応じて許可
各機種での具体的なフィルター設定(YAMAHA の IPv6 フィルター、NEC の動的フィルタリング、Cisco の IPv6 ACL、FortiGate のポリシーなど)は、機種別の記事を参照してください。いずれも、ICMPv6 と IPv4-in-IPv6(プロトコル 4)、確立済みセッションの戻りを許可し、それ以外のインバウンドを破棄する方針は共通です。
接続確認とトラブルシューティング
設定完了後の動作確認方法と、IPoE 環境で頻発する代表的なトラブルへの対処方法をまとめます。
接続確認サイトでのチェック
test-ipv6.com では、IPv4 / IPv6 の到達性とプロバイダー情報を一括で確認できます。スコアが 10/10 となり、IPv4 アドレスの ISP 名が VNE 事業者(OCN、Internet Multifeed、JPNE 等)になっていれば、IPv4 over IPv6 が正常に動作しています。fast.com(Netflix 提供)などの速度測定サイトでは、PPPoE で数 Mbps 程度しか出ていなかった環境でも、IPoE では数百 Mbps〜1Gbps 近い速度が得られるケースがあります。
よくあるトラブル①: ポート開放ができない(MAP-E)
「ルーターでポートマッピング(静的 NAT)を設定したのに、外部から VPN や Web カメラに繋がらない」というケースは、MAP-E 環境で最も多いトラブルです。MAP-E では 1 つのグローバル IPv4 アドレスを複数ユーザーで共有しており、自分に割り当てられたポート番号以外は使えません。一般的な 80(Web)、443(HTTPS)などの Well-known ポートは使用できない仕様です。
対処としては、VPN や Web カメラの待ち受けポートを割り当てられたポート範囲内に変更するか、任意のポート番号を使う必要がある場合は固定 IP オプションを契約します。割り当てポートの確認方法は機種ごとに異なるため、各機種の記事を参照してください。
よくあるトラブル②: Web 会議が途切れる(ポート枯渇)
「スピードテストでは数百 Mbps 出ているのに、Web 会議が途切れる」現象が起きている場合、ポート枯渇(セッション不足)を疑うことが推奨されます。MAP-E は 1 つのグローバル IPv4 アドレスを多数のユーザーで共有するため、1 ユーザーあたりの利用可能ポート数に上限があります(契約により 240 個や 1024 個程度)。現代の Web サイトやクラウドアプリは表示するだけで数十〜数百のセッションを消費するため、複数人の同時利用でポートを使い切るケースがあります。
参考: シグナル IPv6 プロバイダー「FAQ – v6 プラス」
動的 IP アドレスを利用する場合、使用可能なポートは割り当てられたポートに限られ、その数は 240(16 ポート × 15 ブロック)になる、と案内されています。
https://signalnetwork.jp/support/faq-v6/
対処としては、固定 IP オプションの契約(全ポートを占有)や、NAPT を AFTR 側で行う DS-Lite 方式の検討が挙げられます。また、UDP セッションが多い環境では、NEC IX の EIM など機種固有の機能が有効な場合があります(詳細は各機種の記事を参照)。
よくあるトラブル③: IPv6 サイトには繋がるが IPv4 サイトに繋がらない
IPv6 IPoE のフェーズ 1(IPv6 アドレス取得)までは成功しているが、フェーズ 2 のトンネル構築(MAP-E ルール取得 / DS-Lite トンネル確立)に失敗している状態です。次の順で確認します。
- ルーターが IPv6 グローバルアドレスを取得できているかを確認する。
- 機種ごとのトンネル状態確認コマンドで、トンネルが確立しているかを確認する。
- MAP-E の場合は VNE のルールサーバーへの到達性、DS-Lite の場合は AFTR への到達性を確認する。
機種ごとの具体的な確認コマンドは、各機種の記事にまとめています。
機種選定の目安
主要 4 機種のいずれを採用すべきか、選定の目安を示します。
| 用途・要件 | 推奨機種 | 補足 |
|---|---|---|
| SOHO / 個人用途、安定運用優先 | YAMAHA RTX / NEC IX | MAP-E / DS-Lite ともに対応。ファームウェアレベルで日本仕様に追従 |
| 法人小規模、UTM 機能必須 | FortiGate(FortiOS 7.4.x 以降) | MAP-E 動的 IP 対応済。SSL インスペクション等の付加機能あり |
| 大規模拠点、SD-WAN 構成 | Cisco IOS XE 17.10.1a 以降 | 設定難度は高めだが、SD-WAN 環境との統合が可能 |
| HGW 配下で簡易構成 | HGW(フレッツジョイント)+ 任意ブリッジ機 | NTT 配信ソフトで自動構成。配下機器の設定不要 |
| 固定 IP 契約あり、任意ポート公開必要 | YAMAHA RTX / FortiGate(fixed-ip) | 固定 IP オプションでポート枯渇問題を回避 |
機種選定にあたっては、契約予定のプロバイダーが採用している方式(MAP-E / DS-Lite)と、機種の対応バージョンを事前に確認することが推奨されます。
まとめ
IPoE は網終端装置を経由しないため、PPPoE と比較して輻輳の影響を受けにくく、安定した速度が期待できる接続方式です。IPv4 over IPv6 には MAP-E と DS-Lite の 2 方式があり、契約しているサービス(VNE)によってどちらかが決まります。要点は次のとおりです。
- IPoE は網終端装置を経由せず、PPPoE と比べて輻輳の影響を受けにくい
- IPv4 over IPv6 には MAP-E(ユーザールーターで NAPT)と DS-Lite(VNE 側の AFTR で NAPT)の 2 方式がある
- 契約中のサービス(VNE)によって方式が決まり、ポート開放の可否などが変わる
- 主要 4 機種はいずれも MAP-E・DS-Lite に対応し、機種別の設定は各記事にまとめている
- IPoE 環境では MTU 1460 / MSS 1420 が標準的な推奨値となる
- IPoE では LAN 端末に IPv6 グローバルアドレスが付与されるため、IPv6 のフィルター設定が必要となる
以上、最後までお読みいただきありがとうございました。
