はじめに
PPPoE から IPoE(IPv4 over IPv6)への移行が進む中で、NEC UNIVERGE IX シリーズは、国内の業務用ルーターとしてファームウェアレベルで日本独自の IPoE サービス(v6 プラス、OCN バーチャルコネクト、transix など)に対応しています。tunnel mode map-e のように宣言的に設定でき、MAP-E のアドレス計算もルーター側で自動的に処理される点が特徴です。
一方で、MAP-E を利用するにはソフトウェアバージョンの確認が必要で、契約しているプロバイダが MAP-E 系か DS-Lite 系かによって設定が変わります。また、MAP-E は割り当てられたポート範囲を共有する仕組みのため、UDP セッションが多い環境ではポート枯渇が課題になりますが、NEC IX には EIM(Endpoint Independent Mapping)という対処手段があります。
IPoE と MAP-E / DS-Lite の仕組みそのものについては、関連記事『IPoE(MAP-E・DS-Lite)の仕組みと PPPoE との違い|方式の選び方と機種対応』で解説しています。本記事は NEC UNIVERGE IX に絞り、方式の選び方から具体的な設定例、状態確認、ポート枯渇対策までを整理します。
- IX シリーズの MAP-E / DS-Lite 対応と、必要なソフトウェアバージョン
tunnel mode map-e/4-over-6による宣言的な設定の手順- Fast-Forwarding(高速転送)によるスループットの確保
show map-e statusによる状態確認- EIM による UDP セッションのポート枯渇対策
要点を先に整理すると、次のとおりです。NEC UNIVERGE IX では MAP-E を tunnel mode map-e、DS-Lite を tunnel mode 4-over-6 で設定し、MAP-E のグローバル IPv4 アドレスとポート範囲は ip address map-e で自動的に割り当てられます。 MAP-E はソフトウェア ver.10.1 以降で利用でき、Fast-Forwarding によりギガビット回線でもスループットを引き出しやすい点が強みです。UDP セッションが多くポートが枯渇しやすい場合は、EIM への切り替えが対処手段となります。
NEC UNIVERGE IX の IPoE 対応とソフトウェアバージョン
IX シリーズで IPoE を設定する際は、まず機種とソフトウェアバージョンが目的の方式に対応しているかを確認し、契約方式に合わせて MAP-E か DS-Lite かを選びます。
対応機種と MAP-E / DS-Lite のソフトウェア要件
MAP-E(tunnel mode map-e)は、ソフトウェア ver.10.1 以降で利用できます。対応機種は IX2105、IX2106、IX2207、IX2215、IX3110、IX3315 など、EoL(販売・サポート終了)となっていないギガビットイーサネット対応機種が中心です。
VNE の指定はトンネルモードのキーワードで行います。v6 プラスは tunnel mode map-e(既定で JPNE)、OCN バーチャルコネクトの動的 IP は tunnel mode map-e ocn、OCN バーチャルコネクトの固定 IP は tunnel mode map-e ocn-fixed を使用します。DS-Lite(transix など)や v6 プラスの固定 IP サービスは、tunnel mode 4-over-6 で BR / AFTR との IPv4 over IPv6 トンネルを構成します(v6 プラスの固定 IP サービスは ver.10.3 以降)。
参考: NEC「v6 プラス(MAP-E 方式)設定ガイド: UNIVERGE IX シリーズ」
v6 プラス(MAP-E 方式)の設定例は interface Tunnel0.0 で tunnel mode map-e、ip address map-e、ip napt enable を設定する構成で、利用には ver.10.1 以降のソフトウェアが必要、と案内されています。
https://jpn.nec.com/univerge/ix/Support/ipv6/v6plus-mape/index.html
Fast-Forwarding(高速転送)の位置づけ
NEC IX は Fast-Forwarding(高速転送機能)を備えており、MAP-E のカプセル化処理や NAPT 処理も高速転送の対象となります。これにより、ギガビット回線でも CPU 負荷を抑えてスループットを引き出しやすい点が特徴です。基本的に既定で有効ですが、動作状況は状態確認コマンドで確認できます(詳細は後述の「状態確認とトラブルシューティング」で扱います)。
共通設定: IPv6 IPoE の有効化
NEC IX の IPoE は、WAN 側(GigaEthernet0.0)で DHCPv6 により IPv6 を取得し、ND プロキシで LAN 側(GigaEthernet1.0)へ IPv6 を中継する構成が基本です。MAP-E でも DS-Lite でも、この共通設定の上にトンネルを構成します。以下は NEC 公式の設定ガイドに基づく共通部分です。
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip dhcp enable
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
!
proxy-dns ip enable
proxy-dns ip request both
!
ip dhcp profile dhcpv4-sv
dns-server 192.168.1.1
!
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
!
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
!
interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet1.0
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.1.1/24
ip dhcp binding dhcpv4-sv
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown設定のポイントは次のとおりです。ip ufs-cache/ipv6 ufs-cache は、Fast-Forwarding(高速転送)の基盤となる転送キャッシュを有効化します。WAN 側(GigaEthernet0.0)では ipv6 dhcp client dhcpv6-cl で DHCPv6 により情報を取得し、ipv6 nd proxy GigaEthernet1.0 で LAN 側へ IPv6 を中継します。LAN 側(GigaEthernet1.0)では ipv6 dhcp server と ipv6 nd ra enable で配下の端末へ IPv6 を配布します。インターフェース番号は構成によって異なるため、利用する機種・構成に合わせて読み替えてください。
MAP-E の設定手順(v6 プラス / OCN バーチャルコネクト等)
MAP-E では、トンネルインターフェースに tunnel mode map-e を設定し、ip address map-e で MAP-E のマップルールに従ったグローバル IPv4 アドレスとポート範囲を自動的に割り当てます。NAPT はルーター側で行うため、ip napt enable を設定します。
tunnel mode map-e と ip address map-e
v6 プラスを例にした MAP-E トンネルの設定です。先の共通設定に続けて投入します。
interface Tunnel0.0
tunnel mode map-e
ip address map-e
ip tcp adjust-mss auto
ip napt enable
no shutdown各設定の意味は次のとおりです。
tunnel mode map-e-
MAP-E トンネルを宣言する。VNE の指定はキーワードで行い、v6 プラスは
map-e(既定で JPNE)、OCN バーチャルコネクトの動的 IP はmap-e ocn、固定 IP はmap-e ocn-fixedを指定する ip address map-e-
MAP-E のマップルールに従って、グローバル IPv4 アドレスと利用可能なポート範囲を自動的に割り当てる。手動で固定することはできない
ip tcp adjust-mss auto-
MSS をトンネルの MTU に合わせて自動調整する
ip napt enable-
割り当てられたポート範囲を使って NAPT を行う
OCN バーチャルコネクトの動的 IP では、tunnel mode map-e ocn に置き換えるだけで、他の構成は同様です。固定 IP(IP8 / IP16)の場合は、トンネルインターフェースに ip unnumbered GigaEthernet1.0 を設定する必要があります。
参考: NEC「v6 プラス(MAP-E 方式)設定ガイド: UNIVERGE IX シリーズ」
interface Tunnel0.0 で tunnel mode map-e、ip address map-e、ip tcp adjust-mss auto、ip napt enable を設定する構成が示されており、本設定例の利用には ver.10.1 以降のソフトウェアが必要、と案内されています。
https://jpn.nec.com/univerge/ix/Support/ipv6/v6plus-mape/index.html
MAP-E では割り当てられたポート範囲だけを使うため、任意ポートでのサーバー公開には制限があります。この仕組みの詳細は、関連記事『IPoE(MAP-E・DS-Lite)の仕組みと PPPoE との違い|方式の選び方と機種対応』で解説しています。
DS-Lite の設定手順(transix / クロスパス等)
NEC IX の DS-Lite は、tunnel mode 4-over-6 で AFTR との IPv4 over IPv6 トンネルを構成します。NAPT はプロバイダ側の AFTR が行うため、ルーター側に NAPT の設定は不要です。共通設定(IPv6 IPoE の有効化)は前章と同じで、ここではトンネル部分を中心に示します。本設定の利用には ver.10.2 以降のソフトウェアが必要です。
tunnel mode 4-over-6 と AFTR の指定
transix を例にした DS-Lite トンネルの設定です(ひかり電話契約なし・RA でプレフィックスを取得する構成)。
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination fqdn gw.transix.jp
tunnel source GigaEthernet1.0
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
no shutdown各設定の意味は次のとおりです。
tunnel mode 4-over-6-
IPv4 over IPv6 のトンネルを宣言する。MAP-E(
tunnel mode map-e)とは異なる tunnel destination fqdn gw.transix.jp-
AFTR を FQDN で指定する。transix は
gw.transix.jp、クロスパス(アルテリア・ネットワークス)はdgw.xpass.jpを指定する。FQDN 指定のため、AFTR アドレスの変更に追従しやすい tunnel source/ip unnumbered-
トンネルの始点とアドレスに LAN 側インターフェース(GigaEthernet1.0)を用いる
ip tcp adjust-mss auto-
MSS をトンネルの MTU に合わせて自動調整する。NAPT は AFTR 側のため
ip naptは設定しない
ひかり電話契約がある構成(DHCPv6-PD)では、共通設定の DHCPv6 クライアントプロファイルに ia-pd subscriber GigaEthernet1.0 ::/64 eui-64 を加え、プレフィックスの委任を受ける形に変更します。方式の仕組みやポート開放の制約は、関連記事『IPoE(MAP-E・DS-Lite)の仕組みと PPPoE との違い|方式の選び方と機種対応』で解説しています。
参考: NEC「transix IPv4 接続(DS-Lite)設定ガイド: UNIVERGE IX シリーズ」
DS-Lite は interface Tunnel0.0 で tunnel mode 4-over-6、tunnel destination fqdn に AFTR のドメイン名、ip tcp adjust-mss auto を設定する構成で、利用には ver.10.2 以降のソフトウェアが必要、と案内されています。
https://jpn.nec.com/univerge/ix/Support/ipv6/ds-lite/index.html
MTU / MSS と IPv6 フィルター
IPoE 環境では、トンネルのカプセル化により利用可能な MTU が減少します。適切な MTU / MSS を設定しないと、パケットの分割や再送が増え、スループット低下の要因となります。
MTU と MSS(ip tcp adjust-mss auto)
IPoE トンネルの MTU は、物理 MTU 1500 から IPv6 ヘッダー 40 バイトを引いた 1460 バイトが標準的な値です。MSS は、ここからさらに IPv4 ヘッダー 20 バイトと TCP ヘッダー 20 バイトを引いた 1420 バイトとなります。NEC IX では、前掲の設定例のとおり ip tcp adjust-mss auto を指定することで、トンネルの MTU に合わせて MSS が自動調整されます。MSS 計算の詳細は、関連記事『IPoE(MAP-E・DS-Lite)の仕組みと PPPoE との違い|方式の選び方と機種対応』で解説しています。
IPv6 フィルターの設定
IPoE 環境では、LAN 内の端末に IPv6 グローバルアドレスが直接払い出されます。PPPoE 時代の「NAPT で守られている」という前提が成立しないため、WAN 側(GigaEthernet0.0)に IPv6 のパケットフィルターを明示的に設定することが重要です。次は NEC 公式の設定例に基づく、動的フィルタリングの構成です。
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access permit-list
!
interface GigaEthernet0.0
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter dflt-list 100 out各リストの役割は次のとおりです。dhcpv6-list は DHCPv6(UDP 546 / 547)を許可し、icmpv6-list は近隣探索や PMTU 探索に必要な ICMPv6 を許可します。block-list は明示的に拒否するリスト、dflt-list(動的フィルター)は LAN 側からの通信に対する戻りパケットを動的に許可します。
なお、MAP-E(tunnel mode map-e)の構成では、上記に加えて IPv4-in-IPv6(プロトコル 4)を許可するリストを追加します。
ipv6 access-list tunnel-list permit 4 src any dest any
!
interface GigaEthernet0.0
ipv6 filter tunnel-list 3 in
ipv6 filter tunnel-list 3 outプロトコル 4 の許可は、IPv4 over IPv6 のトンネルパケットを通すために必要です。
状態確認とトラブルシューティング
設定後の動作確認と、IPoE 環境で直面しやすい制約への対処をまとめます。
show map-e status による状態確認
MAP-E の状態は、show map-e status で確認します。
# show map-e status
Tunnel interface: Tunnel0.0
Vendor Name: JPNE
Status: connectedStatus が connected であれば、MAP ルールを取得しトンネルが確立した状態です。waiting のままの場合は、ルールの取得に失敗しています。あわせて、次のコマンドで各レイヤーの状態を確認します。
# IPv6(DHCPv6-PD)の取得状況
show ipv6 dhcp client
# Fast-Forwarding(UFS キャッシュ)の状況
show ip ufs-cache
# NAPT の変換テーブル
show ip napt translationつながらないときの確認
IPv6 サイトには接続できるのに IPv4 サイトへ接続できない場合、IPv6 アドレスの取得までは成功しているが、トンネルの確立に失敗している状態が考えられます。次の順で切り分けます。
show ipv6 dhcp clientで、WAN 側に IPv6 アドレス(プレフィックス)が取得できているかを確認する。- MAP-E の場合は、
show map-e statusでStatusがconnectedになっているかを確認する。waitingの場合はルール取得に失敗している。 - DS-Lite の場合は、AFTR の FQDN(
gw.transix.jpなど)が名前解決できているか、AFTR へ到達できるかを確認する。 - IPv6 フィルターで、ICMPv6 や IPv4-in-IPv6(プロトコル 4)が破棄されていないかを確認する。
EIM によるポート枯渇対策
MAP-E は 1 つのグローバル IPv4 アドレスを複数ユーザーで共有するため、利用できるポート数に上限があります。とくに UDP を多用するアプリケーション(オンラインゲーム、IP 電話など)や、外部からの到達を伴う P2P 通信では、既定の NAPT 方式だと通信できない場合があります。
この対処として、NEC IX には EIM(Endpoint Independent Mapping)モードがあります。EIM モードでは、同じ変換前アドレス・ポートからの通信であれば、接続先が異なっても同じ変換後ポートを使うため、外部からの到達を伴う通信(ポートパンチング)が可能になります。NAPT を行うインターフェース(MAP-E では Tunnel0.0)に対して設定します。
interface Tunnel0.0
ip napt translation udp endpoint-independent-mappingEIM モードは、変換前アドレス・ポートごとに 1 ポートを消費する方式です。UDP セッションが多い環境での挙動改善に有効ですが、ポート消費の特性が変わるため、利用環境に合わせて適用します。YAMAHA のポートセービング IP マスカレードとの考え方の違いは、関連記事『YAMAHA RTX の MAP-E / DS-Lite 設定|IPoE の構成と確認コマンド』とあわせて比較すると把握しやすくなります。
参考: NEC「IX-R/IX-V 機能説明書 NAT/NAPT の設定」
EIM(Endpoint Independent Mapping)モード NAPT では、同じ変換前アドレス・ポートから異なる接続先への通信を同じポート番号で変換するため、MAP-E(動的 IP)で P2P 通信などのポートパンチングを行う通信が可能になる、と説明されています。
https://support.necplatforms.co.jp/ix-nrv/manual/fd/02_router/13-2_nat.html
まとめ
NEC UNIVERGE IX は、tunnel mode map-e/4-over-6 で MAP-E と DS-Lite を宣言的に設定でき、Fast-Forwarding によるスループットと EIM によるポート枯渇対策が強みです。要点は次のとおりです。
- NEC IX は tunnel mode map-e(MAP-E)と 4-over-6(DS-Lite)で宣言的に設定
- MAP-E は ver.10.1 以降、DS-Lite(transix)は ver.10.2 以降が必要
- VNE 指定は map-e / map-e ocn / map-e ocn-fixed、DS-Lite は AFTR を FQDN 指定
- ip address map-e で IPv4 アドレスとポート範囲を自動割り当て
- Fast-Forwarding によりギガビット回線でもスループットを確保
- ポート枯渇や P2P 通信の制約は EIM モードで緩和
- 状態確認は show map-e status、NAPT は show ip napt translation で確認
以上、最後までお読みいただきありがとうございました。
