NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11

[0001 anonymous@fusianasan 2022/06/02(木) 08:32:29.81 ID:???]

NEC UNIVERGE IX2000/IX3000シリーズに関するスレです

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
https://jpn.nec.com/univerge/ix/
https://jpn.nec.com/univerge/ix/Manual/
https://jpn.nec.com/univerge/ix/Support/

前スレ：NEC UNIVERGE IX2000/IX3000 運用構築スレ Part10
https://mao.5ch.net/test/read.cgi/network/1590527255/

[0164 anonymous@fusianasan 2022/07/24(日) 04:30:51.46 ID:???]

>>163
ネームサーバの登録の件ですが、PPPOEの動的IPの契約の場合ですが、
MyDNSやNetmeisterなどのDDNSに共通ですが、グローバルIPとDDNSの紐付けアクセスに、
プロバイダのネームサーバを参照し、DDNSの更新をする様になっていますので、
ご指定のコンフィグでは、Proxy-DNSとname-serverの設定を明示的に設定をされていませんでしたので、
グローバルIPの名称解決のために、name-serverの登録をして、グローバルIPとの
名称解決がスムースに出来るようにイメージしております。

あと、IPV6-IPOEやフレッツV6オプションの件ですが、
NTTギガ回線以上の回線の場合には、フレッツV6オプションが自動加入になっているかと思いますので、
そのフレッツV6オプションのサービスより、割り当てのIPV6グローバルアドレス
を利用して、IPV6-IPSEC・メインモードの接続にするイメージになります。
そのIPV6グローバルアドレスをNetmeister-DDNSにて名称解決させて、
Netmsiter-DDNS同士のIPSECに切替える形が良いかと思います。
以下設定例（IXルーターの上位にNTT光電話ルーターが有る場合）
ipv6 ufs-cache max-entries 65535
ipv6 ufs-cache enable
ipv6 cache-size 25300
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list sequence-mode 100
ipv6 access-list tunnel-list 100 permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
option-request ntp-servers

[0165 anonymous@fusianasan 2022/07/24(日) 04:32:42.08 ID:???]

>>163
>>164

続きです。
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp

interface GigaEthernet0.0
description IPV6
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 mld upstream
ipv6 mld version 2 only
ipv6 traffic-class tos 0
ipv6 nd proxy BVI1
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter tunnel-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter tunnel-list 3 out
ipv6 filter dflt-list 100 out
no shutdown

interface BVI1
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag

[0166 anonymous@fusianasan 2022/07/24(日) 04:33:41.32 ID:???]

>>163
>>165

続きです。
Netmeiste-DDNSをIPV6アドレスを監視させる場合（LAN側インターフェイス、BVI1等）
nm ip enable
nm account （netmeisterのユーザー登録名） password plain (netmeisterの登録パスワード）
nm sitename （netmeisterの登録サイト名称）
nm ddns notify interface BVI1 protocol ipv6

IPV6-IPSECに切替えるポリシー（A拠点側）
ike policy ike-policy peer-fqdn-ipv6 （B拠点側Netmeister-DDNSアドレス） key （事前共有キー） ike-
prop
ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 （B拠点側Netmeister-DDNSアドレス） ipsec-prop


IPV6-IPSECに切替えるポリシー（B拠点側）
ike policy ike-policy peer-fqdn-ipv6 （A拠点側Netmeister-DDNSアドレス） key （事前共有キー） ike-
prop
ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 （A拠点側Netmeister-DDNSアドレス） ipsec-prop

↑　のようなイメージになります。
IPV6アドレスは、LAN側にブリッジ動作のような形になります。