満を持して IOS XE ルータのフレッツ光クロス対応を語る

IOS XE系のルータにおけるフレッツ光クロス IPoE の対応について従前情報発信が十分ではありませんでしたが、昨今諸々の情勢が変化してきたため、今回を機に設定のポイントや勘所をまとめます。

対応プラットフォーム

IPoEへの接続機能はIOS XEのソフトウェア機能として実装されています。そのため、IPoE は IOS XEが動作する全てのルータプラットフォームで実行可能です。 弊社SEで検証実績があると私が認識するプラットフォームは以下です。

特に10Gbpsのインタフェースを備えて、ファンレスである、Cisco Secure Router C8231-G2, C8235-G2, C8355-G2 は個人的に激アツの新製品です。

• ISR1100 シリーズ (ISR1111, ISR1121, ISR1161, ISR1100-4Gなど)
• ISR4000 シリーズ (ISR4321, ISR4331など)
• Catalyst 8000 シリーズ (C8200-1N-4T, C8300-1N-4T2Xなど)
• Cisco Secure Router 8000 シリーズ G2
  (C8151-G2, C8161-G2, C8231-G2, C8235-G2, C8355-G2, C8375-E-G2など)

NTT東日本で報道発表された「フレッツ 光25G」に関して、UNIインタフェースの詳細は未発表のため接続可否は不明ですが、SFP+で 25Gbps インタフェースを備えた C8455-G2, C8475-G2 もラインナップされています。

機能的にはC8000VのようなソフトウェアルータでもIPoEは動作可能です。ただし、通信回線の収容は技術基準適合認定が必要であるとされており、例えば、NTT東日本の契約約款では技術基準適合認定がある機器以外をつなぐときは申請が必要とされています。接続にあたってはこの条件に抵触しないように慎重に構成を検討してください。

ISR800, ISR900シリーズのようにClassic IOS の機種でもフレッツ回線およびDS-Liteのように設定可能な組み合わせもあります。一方で、IOS XE 以前の IOS では IPv4 over IPv6 は CEF (Cisco Express Forwarding) ではなく Process Switching での転送処理となりスループットが十分に得られないことから、IPoE利用には IOS XE プラットフォームのご利用をおすすめいたします。そもそも10Gbpsのインタフェースを持つ製品を探すのが難しいですが。

対応OS

Autonomous mode （自律モード）と Controller mode (SD-WAN)の両方で対応します。

フレッツ光クロスを前提にすると、「DHCPv6 Solicit Message が無視される」動作仕様を抑止する観点から、IOS XE 17.10.1 以降が必須。長期サポートや今日時点でのサポート期間を考慮すると、 実質 IOS XE 17.12.1、ないしは 17.15.1以降が必要になります。
過去にあった様々な仕様やBugに関しては興味深いブログがありますので参考にしてください。Qiita: IOS XE ルータでフレッツ光クロス(IPoE)接続

物理インタフェース接続

フレッツ光の10G ONUの物理インタフェースはRJ45 (10GBase-T)です。
Cisco IOS XE のルータのラインナップで10GBase-Tがオンボードされている製品は2026年1月時点でありません。そのため、10G SFP+ に SFP-10G-T-X を接続する必要があります。

それ以外の方法として、Cisco Secure Router G2 シリーズには 2.5Gbps、もしくは、5Gbps multigigabit RJ45 を搭載しているモデルがあるので、それらであれば、RJ45にカッパーケーブルで直接接続が可能です。
フレッツ光クロスの実効的なIPoEスループットがNVEや時間帯によりますが、2.5Gbps程度である（みんなのネット回線速度のランキング）ことを考えれば、敢えて 10G SFP+ を使わずに、2.5/5Gbpsにすることもコストを抑えるという観点では有効な選択肢といえます。

インタフェース設定

Cisco ルータを利用する場合、ONUに直結するケースが多いため、フレッツ光クロスのONU直結を前提に記載します。

ipv6 unicast-routing

interface GigabitEthernet0/0/0
 no shutdown
 no ip address
 ipv6 dhcp client request vendor
 ipv6 dhcp client vendor-class mac-address
 ipv6 dhcp client pd hint ::/56
 no ipv6 address dhcp
 ipv6 dhcp client pd prefix-from-provider
 ipv6 address prefix-from-provider ::aa:bb:cc:dd/64
 ipv6 enable
 ipv6 nd autoconfig default-route
 ipv6 nd ra suppress all
 no cdp enable
 no lldp transmit
 exit

各コマンドを解説します

• ipv6 unicast-routing これがないと IPv6が動作しません。
• ipv4 の ip アドレスは ONU直結の場合必要がないので、 no ip address としています。
• no ipv6 address dhcp はフレッツのDHCPv6 server は IA_NA (/128のアドレス)の付与はなく、IA_PD による/56のアドレスレンジ、および、DHCPv6 server のアドレスを付与します。Cisco IOS XE では IA_NA によるアドレス付与が無い場合、DHCPv6 server がインポートできない動作仕様があるため、no ipv6 address dhcp を追記しています。フレッツ光クロスの場合はIA_PDがあるので問題ないように思えますが、確証が持てないため残しています。
• ipv6 dhcp client request vendor と ipv6 dhcp client vendor-class mac-address は、Cisco IOS XE ルータが IPv6 DHCPv6 Solicit Message の中にPIDとserialを送信するため、フレッツのDHCPv6 server がこれをうけつけないため、DHCPv6 Advertise が戻されない不具合に対応するために新規追加されたコマンドです。必ず設定してください。
• ipv6 dhcp client pd hint ::/56 は、2024年のフレッツ光クロスのメンテナンス後に発生した DHCPv6-PDリクエストに失敗する事象に対応するため Juniper社OSで有効だとされていた対応と同じ内容です。このコマンドがなくても繋がるので問題無い認識なのですが、フレッツは地域毎にDHCPv6 server が異なるようなので確信がもてず、念のため記載しています。
• ipv6 dhcp client pd prefix-from-provider と ipv6 address prefix-from-provider ::aa:bb:cc:dd/64 は、IA_PD によるアドレスレンジの付与を要求するコマンドです。フレッツのDHCPv6 server は IA_PD によるアドレスレンジの付与のみを行うため、このコマンドは必須です。多くの固定IP系のIPoEサービスではインタフェースの下部64bitがNVEから指定されます。DS-Liteのように指定がない場合は、::0:0:0:1/64 などを指定すれば問題ありません。
• ipv6 nd autoconfig default-route により IPv6 のデフォルトルートを設定します。フレッツ光クロスでもIPv6 RAは送信されており、その中でデフォルトルートを認識することが可能です（Aビットがないので SLAACによるアドレス取得ができない)
• ipv6 nd ra suppress all は、フレッツ回線の対向機器にRAを送信させないコマンドです。フレッツ機器側ではCPEからのRAは無視するようなので設定しなくても動作すると思われますが、不要な通信を発生させるべきではないので記載しています。
• 同様の理由で、no cdp enable や no lldp transmit もいれています。

対応するNVE

原則、従前のフレッツ光ネクスト(1Gbps)と同等です。

ただし、フレッツ光クロスにおいては、OCNバーチャルコネクトのMAP-E方式(IPアドレス共有型)に現在対応していないので注意が必要です。（ホームゲートウェイ下部に設置することで従来設定を利用して動作する見込み）。

多くの固定IPアドレスのIPoEサービスでは、source ipv6 アドレス128bitのうち、下部64bitがNVEから指定されます。
ipv6 address prefix-from-provider ::aa:bb:cc:dd/64 などのコマンドで正しく設定されているか確認してください。

詳細は Cisco ルータの IPoE (IPv4 over IPv6) サービス設定事例集 を参照してください。

また上記サービス設定事例集でも掲載しておりますが、フレッツ光クロスのOCNバーチャルコネクト向けには専用の Config生成ツールも用意しましたので、あわせてご利用ください。

スループット

Cisco Secure Router G2シリーズでは、ルーティング性能が非常に高く、純粋なIPトラフィックにおいては回線側(フレッツ回線およびNVE)以上の性能が発揮可能です。

また、ベンチマークテストの結果、IPv4よりIPv6のネイティブ通信の方がスループットテスト結果でより高速で、低latencyがでる傾向にあります。

また Microsoft 365 をはじめポート数を多く消費するサービスではIPv6の利用により IPv4 NAT 変換数を削減できるメリットがあるため、LAN側でのIPv6サービスを利用いただくと、より快適な利用が可能であると想定されます。
(IPv6 Army の Common site test で主要サイトのIPv4/IPv6 のサイトパフォーマンスが比較可能です)

そこで、フレッツで取得したDHCPv6-PDを利用して、LAN側にIPv6アドレス配布をする例を以下に示します。

ipv6 dhcp pool STATELESS
　import dns-server
　import domain-name

interface Vlan1
 description ### Client VLAN ###
 ip address 192.168.128.1 255.255.255.0
 ip nat inside
 ipv6 address prefix-from-provider ::1:0:0:0:1/64
 ipv6 enable
 ipv6 dhcp server STATELESS
 ipv6 nd other-config-flag
 ip virtual-reassembly
!

筆者が把握する限りNVEは払い出される /56 の中で、一番最初の /64 を AFTR/BRの接続セグメントとして期待しているケースが多く、LAN側には それ以降（ここでは:1:0:0:0:1/64）とするのが無難です。

LAN側へのIPv6 DNSの配布はここでは IPv6 DHCP server から配布する例としました。IOS XEでは ipv6 nd ra dns server XXXX で 指定のDNS Server をIPv6 RA で配布することも可能です。
andoridやChrome OSではDHCPv6機能をサポートしない、という情報もあるので、そのような場合、IPv6 RAでのDNS server の配布をいただけるとよいと考えます。

また、IOS XE の Zone Based Firewall は IPv6 でも動作しますので、セキュリティを保ちながら安全にIPv6をご利用いただくことが可能です。

複数IPアドレスへの対応 (IP8/IP16など)

以下のようなケースで複数のpublic IPを必要とするケースがあると認識しています

• 拠点内にpublic IPアドレスを直接持たせる機器/サーバ等を設置したい
• 拠点内に複数IPでNATするための IP POOL を設定したい場合

Cisco では IP8/IP16 の検証は案件ベースで実施しております。
JPIX様向けでIP16が動作しており、同様の設定により各社でも動作する見込みです。(ただしOCNバーチャルコネクトは別途検討要)

複数IPを利用する場合は、tunnelに /29などのアドレスを割り当てても複数IPを活用することができませんので、GigabitEthernet0/0/1などのLANインタフェースやLoopbackインタフェースにpublic IPを割り当てて、tunnelは ip address unnumbered で当該インタフェースを指定します。

参考 スループット試験結果

フレッツ光クロス + Cisco Secure Router G2で、スピードテストを行った上でのベスト値を掲載します。ルータの性能的には問題なく、回線や時間帯に非常に大きい影響をうけますので参考程度にしてください。

IPv4

IPv6

MTU

IPoE は IPv4 を IPv6 でエンカプセレーションして送信する機能であり、そのためMTU値は小さくなります。IPv6 のヘッダーは 40byte であるため、IPv4としてMTUサイズは 1460 byteになります。

この問題を解決するためにはPath MTU Discovery (PMTUD), fragmentation, transport-layer negotiation such as the TCP Maximum Segment Size(MSS) option [RFC879] による解決が必要です。

これは RFC6908 Deployment Considerations for Dual-Stack Lite (DS-Lite) や、RFC7597 Mapping of Address and Port with Encapsulation (MAP-E) でも明記されています。

もっとも設定がシンプルな DS-Lite を例に設定例を示します。 経験上、path-mtu-discovery だけでも十分動作するケースが多いですが、一部アプリケーションや環境では path-mtu-discovery だけでは不十分な場合も考えられますので、ip mtu および ip tcp adjust-mss を設定することで万全を期すことが可能です。

interface Tunnel0
 ip address 192.0.0.2 255.255.255.252
 tunnel source TenGigabitEthernet0/0/1
 tunnel mode ipv6
 tunnel destination [AFTR Address]
 tunnel path-mtu-discovery
 ip mtu 1460
 ip tcp adjust-mss 1420

QoS

フレッツ網では、優先トラヒックとして転送するためには、トラヒッククラスフィールドの先頭6ビットに、DSCP値として8(001000)を指定する旨の記載があります。逆説的にいうと、DSCP値が8の通信については、シェーピングないしはポリシングが設定されていると想定されます。

（NTT東日本の技術参考資料、IP通信網サービスのインタフェース 第三分冊より抜粋）

2.4.4 帯域優先に関する仕様
契約帯域の範囲で優先クラスを利用したIPv6(IPoE)通信が可能となるサービスにて、当該サービス契約者の端末機器からIP通信網に送信されるIPv6パケットにおいて、RFC2474に規定される優先度の指定が可能です。当該サービス契約者の端末機器からIP通信網に送信されるIPv6パケッ> ト(IPoE方式）のトラヒッククラスフィールドの先頭6ビットに、DSCP値として8(001000)を指定することで、優先トラヒックとして転送します。
尚、指定された優先度以外が設定されたパケットの転送は保証しません。

「契約帯域の範囲で優先クラスを利用したIPv6(IPoE)通信が可能となるサービス」の具体的な内容を承知していませんが（ひかり電話やフレッツ 光ネクスト プライオ？）、フレッツ光クロスでQoSを使用していないと明確に分かっている場合については、以下の要領でQoSを上書きする設定が有効です。

policy-map FLETS-WAN-policy
 description force-DSCP-value0
 class class-default
  fair-queue
  set dscp default

interface TenGigabitEthernet0/0/0
 description ##WAN I/F to Flet's###
 service-policy output FLETS-WAN-policy

参考としたブログも記載します。

変更履歴

• LAN側での IPv6 DNS 配布の設定について、IPv6 ND Oフラグ (IPv6 ND other configuration flag) がないと DHCPv6 DNS の情報をクライアント端末が正しく取得できないため、 ipv6 nd other-config-flag を追記しました (2026/1/28)
• MTU, OoSの欄を追加しました (2026/1/28)