IX2215 と Ruckus Unleashed で VLAN 生活始めました

要約

　UNIVERGE IX2215 ルーターと Ruckus ZoneFlex R600（Unleashed）アクセスポイントで来客用とインターネット接続性のないローカル用の2つの VLAN を組み、新たな Wi-Fi ネットワークを構築しました。また、インターフェース毎に視認性の良い /64 を割り振ることで、端末は取得したIPv6アドレスを確認すれば IX ルーターのどのインターフェイスに接続されているか簡単にわかるようになりました。

要約
（前書き？）
要件（がんばること）
環境
初期設定（インターネットに接続する）
作業（ IX2215 編）
作業（ Unleashed 編）
諸々
動作確認
後書き
参考・引用

（前書き？）

　少し前、家族から「久しぶりに PC を起動してプリンターを使いたい」と言われました。しかし OS は Windows 7 と Windows 8.1…。*1ということで、インターネットに繋がらないローカル環境を構築する必要があります。IX2215 1台で試行錯誤するも知識不足で VLAN 生活を諦めかけていた時、Ruckus R600 くんが天井から生えてきました。*2 GUI を覗いたら、できてしまった。コーヒーを淹れるよりも速く、あっさりと…。

要件（がんばること）

IPv6 （IPoE/IPv4 over IPv6）接続によりインターネット接続性のある家庭用の LAN（以下、家庭内LANと呼びます。）とそのWi-Fiネットワークの構築
IPv6 （IPoE/IPv4 over IPv6）接続によりインターネット接続性はあるが家庭内 LANにアクセス不能な来客用の LAN（以下、来客用 LAN と呼びます。）とその Wi-Fi ネットワークの構築
インターネット接続性はないが家庭内 LAN にアクセス可能なレガシー用の LAN （以下、レガシー用 LAN と呼びます。）とその Wi-Fi ネットワークの構築
IPv6 アドレスを配布する LAN では、そのアドレスの視認のみでルーターに接続するインターフェースを認識できること。
家庭内 LAN から HGW 上で動作する SIP サーバへアクセスし、内線 / 外線通話ができること。

環境

・東日本

・ひかり電話あり

・楽天ひかり　ファミリータイプ（クロスパス接続、最大 1 Gbps）

・HGW RX-600MI ver. 01.00.0008

・ルーター UNIVERGE IX2215 ver. 10.9.11*3

・アクセスポイント Ruckus ZoneFlex R600 （Unleashed管理） ver. 200.7.10.202.145

・AirPrint 対応のプリンタ

・PC たち

（・DNSサーバー NVR510 Rev.15.01.25：192.168.0.254）

初期設定（インターネットに接続する）

　IX のマニュアルはこちらのページで配布されています。

jpn.nec.com

　この config を土台にしてもりもり肉付けする前に、基本的な設定を投入します。事故防止のため、ユーザー名や host 名の設定を終えてから作業を始めます。

jpn.nec.com

username admin password plain passadmin administrator
# ユーザー名：admin
# パスワード：passadmin のユーザーに管理者権限を与える設定

hostname center
# ホスト名：center を設定

ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip dhcp enable
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
!
proxy-dns ip enable
proxy-dns ip request both
!
no dns fqdn-database roundrobin
!
ip dhcp profile dhcpv4-sv
  dns-server 192.168.10.254
!
ipv6 dhcp client-profile dhcpv6-cl
  option-request dns-servers
　ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
!
ipv6 dhcp server-profile dhcpv6-sv
  dns-server dhcp
!
interface GigaEthernet0.0
  no ip address
  ipv6 enable
  ipv6 dhcp client dhcpv6-cl
  no shutdown
!
interface GigaEthernet2.0
  ip address 192.168.10.254/24
  ip dhcp binding dhcpv4-sv
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag
  no shutdown
!
interface Tunnel0.0
  tunnel mode 4-over-6
  tunnel destination fqdn AFTR-DOMAINNAME
  tunnel source GigaEthernet2.0
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  no shutdown

作業（ IX2215 編）

　見出しの通り、ここから要件に沿って config を書き換えていきます。打消し線を引いた部分は Unleashed 編で行います。VLAN に関する設定の中には再起動しないと適用されないものがあるので、適宜 write memory を取って事故防止に努めます。

IPv6 （IPoE/IPv4 over IPv6）接続によりインターネット接続性のある家庭用の LAN（以下、家庭内 LAN と呼びます。）とそのWi-Fiネットワークの構築

　要件の１つ目に関して、既出の config 内に設定が含まれているためここでの書き換えはありません。

IPv6 （IPoE/IPv4 over IPv6）接続によりインターネット接続性はあるが家庭内 LAN にアクセス不能な来客用の LAN（以下、来客用 LAN と呼びます。）とそのWi-Fiネットワークの構築

　来客用 LAN と後述のレガシー用 LAN は、将来ポートベース VLAN としても使用する予定があるため BVI インターフェースを併用して構築します。*4視認性を高めて事故を防止するため、番号の割り当てに統一性を持たせました。

bridge irb enable
# ブリッジ機能を有効にする

プロファイルを新たに作成します。

ip dhcp profile dhcpv4-sv-3
  dns-server 192.168.3.254

ipv6 dhcp server-profile dhcpv6-sv2
  dns-server dhcp
# Ver.8.9 以降、同一の DHCPv6 サーバプロファイルを複数の ipv6 dhcp server コマンドで指定することはできないため、別にもう一つ作成。

interface GigaEthernet2.3
  description guest-lan
  encapsulation dot1q 3 tpid 8100
  auto-connect
  no ip address
  bridge-group 300
  no shutdown
!
interface BVI3
  ip address 192.168.3.254/24
  ip dhcp binding dhcpv4-sv-3
  ipv6 enable
  ipv6 dhcp server dhcpv6-sv2
  ipv6 nd ra enable
  ipv6 nd ra other-config-flag
  bridge-group 300
  no shutdown

インターネット接続性はないが家庭内 LAN にアクセス可能なレガシー用の LAN（以下、レガシー用 LAN と呼びます。）とそのWi-Fiネットワークの構築

来客用 LAN と同様にレガシー用 LAN を構築します。この LAN では IPv6 を使用しないため、関連する設定を省いて流し込みます。

ip dhcp profile dhcpv4-sv-70
  dns-server 192.168.70.254
!
interface GigaEthernet2.7
  description no-internet
  encapsulation dot1q 7 tpid 8100
  auto-connect
  no ip address
  bridge-group 700
  no shutdown
!
interface BVI7
  ip address 192.168.70.254/24
  ip dhcp binding dhcpv4-sv-70
  bridge-group 700
  no shutdown

IPv6 アドレスを配布する LAN では、そのアドレスの視認のみでルーターに接続するインターフェースを認識できること。

ipv6 dhcp client-profile dhcpv6-cl
  option-request dns-servers
  option-request ntp-servers
  ia-pd subscriber GigaEthernet2.0 0:0:0:20::/64 eui-64
  ia-pd subscriber BVI3 0:0:0:23::/64 eui-64

家庭内 LAN から HGW 上で動作する SIP サーバへアクセスし、内線 / 外線通話ができること。

　HGW（192.168.1.1/24）と直結する GE0.0 に IP アドレスを割り当てます。NAPT を有効にすると HGW で静的ルーティング機能を設定せずに HGW の GUI を確認できますが、IX2215には SIP-NAT がない*5ため通話できません。 HGW をいじることとします。

interface GigaEthernet0.0
  ip address 192.168.1.239/24

作業（ Unleashed 編）

　Unleashed の Web GUI にアクセスして作業を行います。

家庭内 LAN の Wi-Fi ネットワークの構築

　初期化状態の AP からアップされる SSID「Configure.Me-XXXXXX（ AP の MAC アドレス下6桁）」に接続し、Web GUI に沿って設定を行います。先駆者の方々により、詳細な手順は高品質なドキュメントやブログにまとめられています。Google 検索してみてください。*6

来客用 LAN の Wi-Fi ネットワークの構築

　「ゲストアクセス」を使用タイプとして新しい Wi-Fi ネットワークを構築すると、Unleashed が接続されている他のサブネットへのアクセスは自動的にブロックされます。そのため、ACL に関して特に設定することはありません。

　今回 VLAN TAG-ID 3 で来客用 LAN を構築しているので、アクセス VLAN へ「3」を設定します。

レガシー用 LAN の Wi-Fi ネットワークの構築

　同様に、アクセス VLAN: 7 を設定します。この Wi-Fi ネットワークではプリンターが存在する 192.168.10.0/24 以外へのアクセスを禁止するように Layer3/4 ACL を設定します。

設定したACLは次の通りです。

説明	acl7
タイプ	許可
送信元のアドレス	Any
宛先のアドレス	192.168.10.0/24
用途	Any
プロトコル	Any
送信元のポート	Any
宛先のポート	Any

諸々

この記事のメインではないもののメモすべき事柄をまとめます。

NTPサーバ

　しゃろほーや334に参加することがあるため、正確な時刻を入手したいと思いました。ミリ秒の正確さがあるかは検証していません。

　同期をとるNTPサーバーのアドレスは NGN から dhcpv6 で取得するように設定しています。*7 Web GUI の表示が不正確ですが、show ntp で取得を確認できたので気にしないことにしています。

　interval は気分で DNS 分野でよくみる数字にしておきました。指定の時間帯になったら更新頻度を調整する云々の設定が見当たらなかったので…。

ntp ip enable
ntp ipv6 enable
ntp server dhcpv6
ntp interval 3600

UFSキャッシュ

　IX2215 で設定できる上限値を設定しました。

ip ufs-cache max-entries 100000
ip ufs-cache enable
ipv6 ufs-cache max-entries 65535
ipv6 ufs-cache enable

Web GUI

　スマホから手軽にアクセスできる Web GUI は非常に気に入っている機能の一つです。

　ルーターに登録された Administrator 権限をもつユーザーをここへ登録するのを忘れずに。telnet や ssh は使わないのでそのまま無効にしておきます。

http-server username user
http-server ip access-list v4-subnet-list
http-server ip enable

DNS 関連

　UNIVERGE IX シリーズのプロキシ DNS は端末から TCP の DNS クエリー受信に対応しています。（ver. 10.3 以降）なお、IX から上流への名前解決は UDP になります。

　IX ルーター自身にうまく FQDN を設定できなかったので上流の DNS サーバ（192.168.0.254）に IX の IP アドレスと FQDN を登録しました。traceroute するときなどにお気に入りの名前が出てくるのってうきうきしませんか。

dns cache enable
dns cache max-records 2048
no dns fqdn-database roundrobin
!
proxy-dns ip enable
proxy-dns ip request both
proxy-dns ip access-list v4-subnet-list
proxy-dns server 192.168.0.254 priority 90
proxy-dns ipv6 enable
proxy-dns ipv6 request both
proxy-dns ipv6 access-list v6-subnet-list

アクセスリスト関連

　１つ以上のフィルタを登録したインターフェースではパケット検索に一致しないパケットを自動的に破棄するよう設定されるため、受け入れたいパケットはすべて記述しておく必要があります。ここでの方針は以下になります。

外部からの通信は基本的な通信を以外すべて遮断する。
- ICMP は traceroute 下り方向で使用するため通します。
特に IPv6 は筆者が勉強不足のため NEC の資料に従い遮断する。
- 精進します…。

ip access-list icmpv4-list permit icmp src any dest any
ip access-list v4-block-list deny ip src any dest any
ip access-list v4-permit-list permit ip src any dest any
ip access-list v4-subnet-list permit ip src 192.168.0.0/16 dest any
ip access-list dynamic cache 100000
ip access-list dynamic v4-dflt-list access v4-permit-list

　2001:db8::/32 は RFC3849 で定められた例示用の IPv6 アドレスです。

ipv6 ufs-cache max-entries 65535
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list v6-subnet-list permit ip src 2001:db8::/32 dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access permit-list
!

　外部からの通信を受け入れる GE0.0 及び Tunnel0.0 の2つのインターフェイスで、フィルタに関係する config を抜粋してみました。パケットはインターフェースを入退出するタイミングでそれぞれのフィルタにかけられます。

GE0.0 側の上流は HGW（グローバルv4アドレス未割当）のみゆえ、IPv4 の IP スプーフィング対策は投入していません。

interface GigaEthernet0.0
  ipv6 filter dhcpv6-list 1 in
  ipv6 filter icmpv6-list 2 in
  ipv6 filter block-list 100 in
  ipv6 filter dhcpv6-list 1 out
  ipv6 filter icmpv6-list 2 out
  ipv6 filter dflt-list 100 out

interface Tunnel0.0
  ip filter icmpv4-list 2 in
  ip filter v4-block-list 100 in
  ip filter icmpv4-list 2 out
  ip filter v4-dflt-list 100 out

　以下はプロキシ DNS のアクセスリストです。外部からの通信は既に遮断しているため過剰ですが、勉強のため入れています。（オープンリゾルバ回避）

　フレッツ光の IPv6 アドレスは半固定らしいので、変わったらそのときに config を修正すれば良いと考えています。*8

proxy-dns ip access-list v4-subnet-list
proxy-dns ipv6 access-list v6-subnet-list

DHCP プロファイルに関して

　作業では、DHCP プロファイルの設定でデフォルトゲートウェイの記載を省略しています。これはインターフェースの IP アドレスから自動的に設定されることに期待しているためです。

　また、視認性を上げるためプロファイル名を変更したほか、IP の割り当て範囲を設定しました。

ip dhcp profile dhcpv4-sv-10
  assignable-range 192.168.10.101 192.168.10.200
  dns-server 192.168.10.254
!
ip dhcp profile dhcpv4-sv-3
  assignable-range 192.168.3.101 192.168.3.200
  dns-server 192.168.3.254
!
ip dhcp profile dhcpv4-sv-70
  assignable-range 192.168.70.10 192.168.70.20
  dns-server 192.168.70.254

動作確認

要件（がんばること）

IPv6 （IPoE/IPv4 over IPv6）接続によりインターネット接続性のある家庭用のLAN（以下、家庭内 LAN と呼びます。）とその Wi-Fi ネットワークの構築

IPv6 （IPoE/IPv4 over IPv6）接続によりインターネット接続性はあるが家庭内 LAN にアクセス不能な来客用の LAN（以下、来客用 LAN と呼びます。）とそのWi-Fiネットワークの構築

インターネット接続性はないが家庭内LANにアクセス可能なレガシー用の LAN（以下、レガシー用 LAN と呼びます。）とその Wi-Fi ネットワークの構築

IPv6 アドレスを配布する LAN では、そのアドレスの視認のみでルーターに接続するインターフェースを認識できること。

家庭内 LAN から HGW 上で動作する SIP サーバへアクセスし、内線 / 外線通話ができること。

1, 2, 3 は AP に接続することで確認可能。

4は show ipv6 address から確認可能。一部抜粋します。アドレスは乱数生成機をお借りして*9一部書き換えています。

center(config)# show ipv6 address
Interface GigaEthernet0.0 is up, line protocol is up
  Global address(es):
    2001:db8:1111:2220:: prefixlen 60 anycast
!
Interface GigaEthernet2.0 is up, line protocol is up
  Global address(es):
    2001:db8:1111:2220:d1f5:423c:f41d:9994 prefixlen 64
      Valid lifetime 9763, preferred lifetime 9763
    2001:db8:1111:2220:: prefixlen 64 anycast
 
Interface BVI3 is up, line protocol is up
  Global address(es):
    2001:db8:1111:2223:9eb8:ad50:474f:eba7 prefixlen 64
      Valid lifetime 9746, preferred lifetime 9746
    2001:db8:1111:2223:: prefixlen 64 anycast

5 は SIP クライアントからもしもしすることで確認可能。SIPクライアントに AGEPhone を使い、内線電話と090電話それぞれに発呼し、通話と保留の動作を確認しました。

後書き

　当初考えていた IX2215 1台での構築には失敗していますし、この環境では Bonjour の AirPrint をサブネットを越えて利用できません。*10CRM や機能説明書を眺めながら執筆していて、知らない機能や操作がかなりあることを再認識させられました。ネットワークの勉強が進んだらまたチャレンジするつもりです。現状の知識のアウトプットを急いだため随所が雑になっていますが、折を見て改稿していきます。問題点がありましたらご指摘いただけると幸いです。

（追記 2024/03/28 ：初稿でがっつり抜けていました。失礼しました。）

参考・引用

NEC 社のドキュメント

クロスパス（Xpass）「動的IPサービス」設定ガイド : UNIVERGE IXシリーズ | NEC

マニュアル : UNIVERGE IXシリーズ | NEC

（取扱説明書、コマンドリファレンスマニュアル、機能説明書、設定事例集）
ブログ
IPv4 の ACL や記法を参考にさせていただきました。

NECのVPN対応ルータで自宅と実家の間にVPNを張った話 - fetburner.core

プロフェッショナルIPv6 という解説書です。

超凄いIPv6解説書(488ページ)を無料配布します！:Geekなぺーじ

VLAN に関して、とっかかりを得た記事でした。

NEC IXシリーズルーターでポートVLANとタグVLANをVLANスイッチ的に併用する | Aqua Ware つぶやきブログ
その他
例示用アドレス（IPv6）

RFC 3849 - IPv6 Address Prefix Reserved for Documentation

*1:これらのOSは既にセキュリティアップデートが終了しており、ローカル環境以外で使用することは非推奨。https://forest.watch.impress.co.jp/docs/news/1469205.html

*2:以前より Unleashed で運用中。

*3:先日この記事でアプデしたもの

*4:ポートベース VLAN とタグ VLAN を紐づけるには BVI インターフェースに L3 の設定を与えつつ、複数のインターフェイスを bridge-group で結ぶ必要があります。この記事ではポートベース VLAN に関して設定せず今後に向けての前準備程度にとどめます。また、これらの設定に関して非常に参考になった記事をリンクさせていただきます。

aquasoftware.net

*5:SIP-NATはVer. 8.3でサ終。なお、対応している Ver. 7.2～では別途ソフトウェアが必要とのことなので厳しいお話でした…。

スマホでひかり電話を常用する場合、他のルーターで SIP-NAT すべきだと思います。

*6:当方の AP は非常に不安定で、初期化後の設定が非常に厳しいため検証不可とさせてください…。原因を特定できたら記事にしようと思います。

*7:詳細な仕様の記載はこちらにあります。

NTT 東日本及び NTT 西日本．次世代ネットワークインタフェース資料第1.0版（参照 2024-03-26）

https://www.ntt-east.co.jp/info-st/mutial/ngn/ip_uni_1.0.pdf

*8:よく停電させるおちゃめさんはうーん…。

*9:

dainabu.com

*10:

・Unleashed の Bonjour ゲートウェイがうまくいってくれない