どうもです。
先日投稿した構成において、NVR500側のIPv6関連の設定です。
このルータは本来のインターネットゲートウェイ的な機能ではなく、自宅環境を
"事務所"、"サーバー"、"DMZ"、"自宅家電関連"
の四種類のネットワークに分割することを主たる目的としています。
イメージとしては会社の中のコアルータ的なものに近いですね。
所詮個人事務所なので、コアとはいってもNVR500程度のものでOKですし、インターネット接続に関することは全て上位のRTX830で処理しているので、負荷もそれほどかかりません。今の個人事務所が大きくなって、端末が多くなって、とかなれば置き換えですが・・・まあ、それは別の夢ですね。
よって、IPv6的には、
「上記四種類のネットワークをうまく分割して必要なフィルタを施す」
ことが必要要件となります。
つまり、上位から/61や/62で DHCP-PDによるアサインができればうれしかったのですが・・・
うまくいかず。
仕方なく手動で、上位PRS300SEから振られている/60の中で適当に四種類のプリフィックスを設定し、それを各インターフェースにアサインする形にしました。
この場合、RTX830からのルーティングがうまくいかないので、RIPngを有効にして、このNVR500で設定した/64のプリフィックスを上位のRTX830のルーティングに反映させています。
RTX830において、DHCP-PDのサーバー(?)的な機能を実現する設定が見つかればいろんな問題が全て解決して嬉しいのですが・・・うまくいかず、見つからず。(まだ検証不足なだけでしょうけれども)
そんなこんなで、上記を意図したNVR500の設定ですが、以下になります。(関連部分のみ抜粋)
ちなみに、NVR500では、lan1/1,lan1/2,lan1/3,lan1/4と802.1qのタグVLANを活用したネットワーク分割をしています。
(タグ受けは、GS108Eで行う)
当然、今は使えていますが、実際は設定の過不足などはあるかもしれません。
ただ、インターネットの出口は上位のRTX830に絞り、そのフィルタをしっかり意識することでセキュリティ的には維持する、という考え方です。
まあ普段はIPv4も使えますし、今はIPv6に何かあっても、それほど大きな影響はありません。
====<NVR500の設定(抜粋)>====
# show config
# NVR500 Rev.11.00.42 (Tue Jul 21 11:28:20 2020)
.
.
ipv6 routing on
ipv6 prefix 1 ra-prefix@lan1/1::1/64
ipv6 prefix 2 (手動設定プリフィックス)::/64
ipv6 prefix 3 (手動設定プリフィックス)::/64
ipv6 prefix 4 (手動設定プリフィックス)::/64
⇒ この手動設定で、上位RTX830で/60で割り振られている中で適当に設定
なお、lan1/1が DMZ(RTX830に接続)のインターフェースです。ra-prefixでないとうまくいかなかった。
vlan lan1/1 802.1q vid=aaaa name=DMZ
ip lan1/1 address xxx(IPv4関連は省略)
.
.
ipv6 lan1/1 address auto
ipv6 lan1/1 dhcp service client ir=on
⇒ 自動設定が有効になるように。なお、どうやっても "ipv6 lan1/1 address dhcp"だとうまくいかず。
.
.
.
vlan lan1/2 802.1q vid=bbbb name=OFFICE
ip lan1/2 address (IPv4関連は省略)
.
.
ipv6 lan1/2 address (手動設定プリフィックス)::1/64
ipv6 lan1/2 prefix (手動設定プリフィックス)::1/64
ipv6 lan1/2 rtadv send 2 o_flag=on
ipv6 lan1/2 dhcp service server
⇒ こんな感じで設定を有効化。もしPRS300SEから降ってきているIPv6のアドレスが変わったら大変。
.
.
(その他、lan1/3,lan1/4と同じように設定)
.
.
ipv6 rip use on
⇒ RIPngを有効にして、ここに設定した/64を上位のRTX830に伝える。
(RTX830ではOSPFv3が使えたのですが、NVR500では使えないので)
.
.
dns server select 9 dhcp lan1/1 any .
⇒ キャッシュサーバーをDHCPで取得したものに。なんか納得いかない部分はあるけど、これでうまくいった。
.
.
という具合です。
しつこいですが、RTX830から/61とかのプリフィックスで権限移譲される形ができれば、ほぼ最終形なんです。
それでも、そうそう/60のプリフィックスが変わらければ問題ないですし、変わらなそうですし、まあ、様子見です。
必要なフィルタ(DMZ⇔サーバー等)もかけやすいのでそれなりにうまくいった、とは思っています。
これで、とりあえずIPv4/IPv6の環境は整った感じになりました。
ちなみに、家電関連のIPv6対応はまだみたいです。今後に期待ですね。
あと補足です。
上記で記載したNVR500の上位に位置づけられる場所(RTX830と並行)にNVR500をつないで、
ipv6 lan* address dhcp
ipv6 lan* dhcp service client
を設定したところ、やはり
xxxx:xxxx:xxxx:xxAx::/60
といった形でDHCP-PDで権限移譲を受けました。
そこで、この"A"に相当する部分が、RTX830では"1"だったのが、こちらでは"2"になりました。
おそらく、15台まで(1~Fの間)はDHCP-PDによってアドレスアサインできるのでしょう。
(個人で16台以上のルータを持つとは思えませんし、もてません・・・)
これを考えると、IPv6化を考える際、ひかり電話契約しなくとも、「ひかり電話契約あり」一択のような気がします。
まあ、複数のサブネットプリフィックスを用意して、その間で各種制限をかけたい場合、ではありますが。
ではまた。