Meraki MX でフレッツ IPoE / IPv4 over IPv6 を使う: Dashboard 管理のまま IP-in-IP / DS-Lite を構成する
はじめに
日本のフレッツ回線でインターネット接続を構成する場合、従来の PPPoE に加えて、IPoE 方式による IPv6 接続と IPv4 over IPv6 を組み合わせる構成が広く利用されています。
日本のフレッツ系 IPoE 回線では、IPv6 の払い出し方式、VNE ごとの IPv4 over IPv6 方式、固定 IPv4 か CG-NAT か、といった要素が絡みます。Meraki MX の特徴は、これらをローカル CLI ではなく Meraki Dashboard 管理の延長として扱える点です。
Cisco Meraki MX セキュリティアプライアンスでは、MX 26.2 以降で IPv6 Transition Mechanism をサポートし、Meraki Dashboard から IP-in-IP および DS-Lite の設定ができるようになりました。
この記事では、Cisco Community 向けに整理した以下の設定例を元に、Meraki MX で日本の IPoE / IPv4 over IPv6 を利用する際のポイントを整理します。
- MX JPIX「v6プラス」固定 IP サービス設定例
- MX DS-Lite サービス設定例
- IPv6 Transition Mechanisms Configuration Guide
- IPv6 Support on MX Security & SD-WAN Platforms - WAN
前提条件
IPv6 Transition Mechanism を利用する前提は以下です。
| 項目 | 内容 |
|---|---|
| ライセンス | MX/Z で Enterprise ライセンスが必要 |
| ハードウェア | MX 26.2 を実行できる MX/Z、または Cisco Secure Router 8000 シリーズの MX 型番 |
| ファームウェア | MX 26.2 以降 |
利用するモデルが MX 26.2 以降を実行できるかは、事前に Meraki のファームウェア制限を確認してください。
何がうれしいのか
Meraki MX の IPoE 対応で特に重要なのは、単に IPv4 over IPv6 のトンネルを張れることではありません。
日本のフレッツ回線で使われる IPv6 の払い出し方式を考慮し、MX が IPv6 で Meraki Dashboard に接続でき、その後の IPv4 over IPv6 設定を Dashboard から完結できることが大きなポイントです。
ざっくり言うと、流れは次のようになります。
- MX をフレッツ回線に接続する
- MX が IPv6 アドレスを自動的に取得する
- IPv6 で Meraki Dashboard にオンラインになる
- IPv6 で Dashboard にオンライン化できる状態であれば、Dashboard から MX 26.2 以降へアップデートする
- Dashboard のアップリンク設定から IP-in-IP または DS-Lite を設定する
- IPv4 over IPv6 の接続が確立する
従来のルータ設定に慣れていると、IPv4 接続を作るためにローカルの設定画面や CLI で先に細かい設定を入れるイメージがあるかもしれません。Meraki MX では、IPv6 でクラウド管理に乗せたうえで、その後は Meraki Dashboard から IPv4 over IPv6 の設定を行えます。
これは Meraki らしいポイントです。
WAN IPv6 の考え方
MX の WAN uplink は以下の IPv6 設定方式に対応しています。
- DHCPv6-NA
- SLAAC
- PPPoE
- Manual / Static
また、IPv4 と IPv6 は独立して設定できます。たとえば、IPv4 は static、IPv6 は auto といった組み合わせが可能です。
ここで注意したいのが DHCPv6-PD の扱いです。
DHCPv6-PD はサポートしていますが、DHCPv6-PD prefix からのアドレス割り当ては LAN 側のみで、WAN または Cellular ではサポートしません。WAN または Cellular の IPv6 uplink assignment では、DHCPv6-NA または Static を使います。
そのため、フレッツ系回線での動作を書く場合も、DHCPv6-PD から WAN 側アドレスを自動設定する とは表現せず、WAN 側 IPv6 と LAN 側 prefix delegation の役割を分けて整理します。
この記事では、WAN 側の IPv6 接続は SLAAC / DHCPv6-NA / Static を中心に扱います。一方で、LAN 側クライアントへの IPv6 配布では DHCPv6-PD による prefix 利用が関係します。
MX 26.2 以降で Dashboard から IPoE 設定
MX 26.2 以降にアップデートすると、Meraki Dashboard のアップリンク設定に IPv6 Transition Mechanism という項目が表示されます。
場所は以下です。
Meraki Dashboard
-> セキュリティ & SD-WAN
-> アプライアンスステータス
-> アップリンク
WAN1 または WAN2 の設定画面で IPv6 Transition Mechanism を有効化し、利用する方式に応じて設定を入力します。
設定方式は大きく次の2種類です。
| 方式 | 主な用途 | IPv4 アドレス |
|---|---|---|
| IP-in-IP | 固定 IPv4 サービスなど | 利用者側にグローバル IPv4 アドレスが割り当てられる |
| DS-Lite | 共有 IPv4 / CG-NAT 型サービス | 利用者側にはグローバル IPv4 アドレスは直接割り当てられない |
対応 VNE と Dashboard 上の表記
IPv6 Transition Mechanism では、以下の VNE を対象に IP-in-IP または DS-Lite を設定できます。
| VNE | サービス名 | Dashboard option | 対応方式 |
|---|---|---|---|
| Asahi Net | v6 コネクト | v6 Connect | DS-Lite, IPIP |
| BBIX | OCX Fiber Optic Internet | BBIX | IPIP |
| JPIX | v6プラス 固定IPサービス | v6plus | IPIP |
| INTERNET MULTIFEED | transix | transix | DS-Lite, IPIP |
IP-in-IP は、BBIX、Asahi Net、transix、JPIX の4社に対応しています。
DS-Lite は、Dashboard 上では共通化された DS-Lite の設定モデルで扱われます。DS-Lite は Asahi Net の v6 Connect と INTERNET MULTIFEED の transix に対応しています。
HTTP Authentication の扱い
一部の ISP では、prefix 変更時などのサービス継続性を確保するために、ルータが認証サーバに対して HTTP ベースの認証を行う必要があります。
HTTP Authentication が必要で、かつ本機能でサポートしている ISP は、Dashboard の設定ドロップダウンに選択肢として表示されます。
たとえば、IP-in-IP の固定 IPv4 サービスで Username や Password を入力する構成は、この HTTP Authentication の扱いとあわせて理解できます。
IP-in-IP の設定例
JPIX の「v6プラス」固定 IP サービスのような IP-in-IP 構成では、MX は WAN 側 IPv6 アドレスをソースとして、VNE 側のトンネル終端へ IPv4 over IPv6 トンネルを確立します。
Dashboard では、以下のような項目を設定します。
| 項目 | 設定内容 |
|---|---|
| Transition type | IP-in-IP |
| Service Provider | v6plus など |
| Static IPv4 Address | ISP から指定された固定 IPv4 アドレス |
| Tunnel endpoint address | ISP から指定されたトンネルエンドポイントアドレス |
| IFID | ISP から指定されたインタフェース ID |
| Username | ISP から指定されたユーザー名 |
| Password | ISP から指定されたパスワード |
サービスプロバイダから 64bit のインタフェース ID が指定されている場合は、先頭に :: を付けて入力します。
例:
aabb:ccdd:eeff:1122
を指定された場合、Dashboard では次のように入力します。
::aabb:ccdd:eeff:1122
なお、Meraki Dashboard はグローバルに展開されている製品の UI であるため、日本国内のサービス名や慣用表現に完全には寄せず、バックエンド技術である IP-in-IP という表記になっています。
DS-Lite の設定例
DS-Lite では、利用者側ルータにグローバル IPv4 アドレスを直接割り当てるのではなく、IPv4 パケットを IPv6 でカプセル化して VNE 側の装置へ転送し、VNE 側で CG-NAT を行います。
Dashboard で必要な設定はシンプルです。
| 項目 | 設定内容 |
|---|---|
| IPv6 Transition Type | DS-Lite |
| Border relay address | ISP から指定された AFTR の IPv6 アドレスまたは FQDN、または Auto |
ここで少し用語が変わります。
DS-Lite では一般的に AFTR という用語が使われますが、Meraki Dashboard では Border relay address という表記になっています。また、Meraki では、プロトコルに依存しない表現として Border Router または BR という用語も使います。
これは、Meraki がグローバルベンダーの製品として、国内サービス固有の名前ではなく、IPv6 transition mechanism 全体で通じる用語に寄せているためです。
DS-Lite 利用時の注意点
DS-Lite は CG-NAT 型の接続です。
そのため、固定 IPv4 サービスとは異なり、インターネット側から利用者拠点へのインバウンド接続には制限があります。また、利用できる IPv4 ポート数にも制約があります。
通常の Web アクセスや SaaS 利用では問題になりにくい一方で、拠点側に公開サーバを置く構成、外部から特定ポートで着信させる構成、IPv4 の送信元ポート数を多く消費する構成では注意が必要です。
IPv6 クライアント接続も利用可能
MX では、回線サービスが DHCPv6-PD に対応している場合、LAN 側クライアントに IPv6 アドレスを払い出すこともできます。
Dashboard では、以下のように確認および設定します。
Meraki Dashboard
-> セキュリティ & SD-WAN
-> アプライアンスステータス
-> IPv6 プレフィックス
ここで IPv6 プレフィックスを確認できます。
また、LAN 側への IPv6 配布は以下から有効化します。
Meraki Dashboard
-> セキュリティ & SD-WAN
-> アドレス & VLAN
IPv4 over IPv6 のためだけでなく、クライアント端末の IPv6 インターネット接続も同じ MX で扱える点は、今後の IPv6 利用を考えるうえでも重要です。
複数 WAN と Auto VPN
Meraki MX では、WAN1/WAN2 それぞれのアップリンク設定として扱えるため、構成上は異なる VNE や方式を使い分けられます。
たとえば、次のように使い分けられます。
- WAN1 は IP-in-IP の固定 IPv4 サービス
- WAN2 は DS-Lite
- WAN1 は SLAAC
- WAN2 は DHCPv6-NA
IPoE ではない回線を使う場合と同じように、Dashboard 上でアップリンク状態を確認し、WAN failover の対象として扱えます。
また、IPoE 回線上で Meraki Auto VPN を利用できます。Meraki MX を拠点間 VPN や SD-WAN のエッジとして使っている環境では、IPoE 回線を単なるインターネット出口ではなく、Auto VPN の下回りとして利用できる点が実務上のメリットになります。
DS-Lite のような CG-NAT 型接続では一般的なインバウンド接続に制限がありますが、Auto VPN は Meraki のクラウド調停および NAT traversal の設計に従って利用できます。詳細は Carrier Grade NAT and Meraki Auto VPN も確認してください。
運用上のポイント
IPv6 Transition Mechanism は、設定できるだけでなく、運用面でもいくつか便利なポイントがあります。
MTU の自動調整
IPv4 over IPv6 では、IPv4 パケットを IPv6 でカプセル化するため、MTU を意識する必要があります。
IPv6 transition mechanism が有効な場合、Dashboard が MTU を自動的に設定し、カプセル化方式に応じた調整を行います。
IP-in-IP や DS-Lite を設定するたびに、手作業で MTU 設計を詰める必要が少ないことは、クラウド管理型アプライアンスとしての運用上のメリットです。
Border Router / Border Relay のヘルス確認
Meraki Dashboard では、通常の WAN failover 用の接続監視に加えて、BR 側の状態も確認できます。
BR の状態は、以下のようなステータスとして表示されます。
- Degraded
- Stalled
- High Errors
- Unable to Authenticate service
特に HTTP Authentication を使うサービスでは、認証情報、DNS 解決、到達性の問題が原因で接続できないケースがあります。Dashboard 側でこれらの状態が見えることは、ISP への問い合わせや切り分けを行ううえで助けになります。
パケットキャプチャも通常のアップリンクから取得できる
IPv6 transition mechanism を利用している場合でも、パケットキャプチャは通常どおり対象アップリンクを選択します。
特殊な仮想インタフェースを指定する必要がないため、Meraki Dashboard の運用に慣れている人にとっては自然にトラブルシュートできます。
光クロスサービスへの対応について
フレッツ光クロスは、端末単体で 10Gbps の瞬間最大スループットを狙う場合だけでなく、混雑時の速度低下を緩和する目的でも有効な選択肢です。
実際に 1Gbps の MXをもちいた実回線試験で、はフレッツ光ネクストでは600-700Mbps程度、光クロスでは900Mbps超と、速度差が有意でした。
これはフレッツ光は PON 方式のアクセス回線であり、ONU から局側装置までの区間は複数ユーザで共有されていることが原因の1つだと考えられます。フレッツサービスは最大32分岐の共有型アクセスであるため、契約上の最大速度はユーザーごとに常時確保された帯域ではなく、同一収容内の利用状況や時間帯によって実効速度が変動します。
その観点では、フレッツ光クロスの 10Gbps は、共有区間に対する余裕を増やす意味もあります。MX 側の物理インタフェースが 1Gbps / 2.5Gbps であっても、アクセス回線側の余裕を活かして実効速度の落ち込みを抑えられる可能性があります。
10Gbps モデルだけではなく、1Gbps / 2.5Gbps モデルを利用する場合でも、フレッツ光クロスの採用を検討いただいてもよいと考えられます。
C8111-G2-MX, G8121-G2-MX: 最大 2.5Gbps WANインタフェースに対応
C8235-G2-MX, C8355-G2-MX: 最大 10Gbps WANインタフェースに対応
C8455-G2-MX: 最大 25Gbps WANインタフェースに対応
Cisco 製品全体での IPoE 設定例
Cisco では、IOS XE、Cisco SD-WAN、Meraki MX セキュリティアプライアンスなど、エンタープライズ向け製品での IPoE / IPv4 over IPv6 設定例が Cisco Community にまとめられています。
今後、Cisco 製品で日本国内の IPoE サービスを利用する場合は、以下のページを起点に情報を辿れます。
IOS XE で細かくトンネルや DHCPv6 を設定する構成と、Meraki MX のように Dashboard から設定する構成では、見た目も操作感もかなり違います。
一方で、どちらも同じ IPoE / IPv4 over IPv6 のサービスを扱っているため、背景技術を理解しておくと、製品をまたいだ設計やトラブルシュートがしやすくなります。
まとめ
Meraki MX の IPoE 対応で特に大きいのは、以下の3点です。
- WAN 側 IPv6 を SLAAC / DHCPv6-NA / Static などで扱い、IPv6 で Dashboard に接続できる
- MX 26.2 以降では、Dashboard から IP-in-IP / DS-Lite の IPv4 over IPv6 設定を完結できる
- 複数 WAN、Auto VPN、BR ヘルス確認、MTU 自動調整など、Meraki の運用モデルに統合されている
日本の IPoE サービスは、VNE、ISP、IPv4 over IPv6 方式、固定 IPv4 の有無などで用語が多くなりがちです。
Meraki MX では、それらを IPv6 Transition Mechanism として Dashboard のアップリンク設定にまとめ、IP-in-IP、DS-Lite、Border Router といったグローバルに通じる用語で整理しています。
日本固有の IPoE 環境に対応しつつ、Meraki らしいクラウド管理の操作感で設定できるようになった、というのが今回のポイントです。