最近，CiscoのASA5500シリーズというファイヤウォールを使う機会があります。ファイヤウォールなのですが，PPPoEのセッションも張れて，これ一台で比較的簡単にインターネット接続ができます。

スループットも充分なので，Bフレッツなどをつなぐのに重宝します。

が，このファイヤウォール，IP unnumbered には対応していません。私が使っているのはASA5520ですが，おそらく5505でも5510でも同じだと思います。そもそもunnumberedアドレスはNTT独自の技術とも聞いたことがあるので，あまり実装には熱心じゃないのかもしれません。具体的に影響受けるのは，OCNの固定IPアドレスを割り当てるタイプの接続です。

解決法は，悲しいことにunnumberedが使えるルータを挟むしかないです。

普通のダイナミックにアドレスが振られる場合は問題ないです(OCN with フレッツとか)

OCN IPv6 トンネルサービス

遅ればせながらIPv6の導入を始めました。

足回りはBフレッツを使い，ISPにはOCNを使います。OCNからIPv4のグローバルを1つ割り当ててもらい，このIPv4の中にIPv6のトンネルを作ります。IPv6のグローバルアドレスももらいました。OCNでIPv6を申し込むと，2001:380:xxxx::/48というアドレスがもらえます。IPv6では128bitのアドレスを使い，通常は前半64bitがネットワーク部，後半64bitがホスト部となるので，ネットワーク部は16bit(64-48)が自由に使える空間となります。まぁv4で言うところのクラスB相当って訳です。

このサービスが月額3150円（Bフレッツの料金は別）でできるのでなかなか安いです。

ルータの設定

IPv6のトンネルをつくるに当たって，今回はCiscoの1812Jというルータを使いました。定価は118000円ですが，実売は結構安くなります。

IPv4接続

IPv6トンネルはIPv4の中につくるので，当たり前にIPv4の接続ができないといけません。Bフレッツとルータの接続は今まで通りでかまわないです。OCNからもらえるフレッツの接続名とパスワードをCHAPで認証しています。接続はルータポートのFastEthernet0を使いました。

interface FastEthernet0
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dialer1
ip address negotiated
ip mtu 1454
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname hogehoge@hoge.ocn.ne.jp
ppp chap password hoge
!
ip route 0.0.0.0 0.0.0.0 Dialer1

抜粋ですが，こんな感じです。

LAN側は適当にVLANきって，dhcpでも動かしておくとよいです。

IPv6トンネル作成

次にv6のトンネルをつくります。

interface Tunnel0
no ip address
ipv6 address 2001:380:xxxx::1/64
tunnel source Dialer1
tunnel destination 61.207.xxx.xxx
tunnel mode ipv6ip
tunnel path-mtu-discovery

アドレスは適当に伏せておきました。IPv6のアドレス設計ってどうやって良いのかよく解りませんが，とりあえず2001:380:xxxx:0::/64をトンネル用に割り当ててみました。識者の方が読んでおられましたらつっこみをお願いします。

tunnel destination はOCNからくる書類に書いてあります。IPv6ルータ情報という名前ですね。

基本的にこれで終わりです。

確認で，pingをOCNに打ってみます。

Router#ping ipv6 2001:380::1053

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:380::1053, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/28/32 ms
Router#

IPv6 LAN側インターフェースの設定

1812Jは8個のスイッチポートがあるので，ここにLANをつくります。

Router(config)#interface range fastEthernet 2 – 9
Router(config-if-range)#switchport access vlan 100

1812JはLANポートが2から始まって9で終わります。ちょっと気持ち悪いです。

VLANの設定は以下のような感じ。

interface Vlan100
ip address 10.64.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1414
ipv6 address 2001:380:xxxx:8000::1/64
ipv6 enable
ipv6 nd prefix 2001:380:xxxx:8000::/64

とりあえず真ん中へんの8000で分けてみました。ホスト部の1は私の趣味です。デフォルトルートは1だとわかりやすい気がするので。

最後の行のipv6 nd はルータアドバタイズ(RA)の設定です。このLANに繋がるホスト(PC)にアドレスを割り当てるための設定です。IPv6ではルータがネットワーク部のアドレスをホストに広報し，ホスト部はMACアドレスから自動生成されます。このホスト部のアドレスがEUI-64といって，0011:22FF:FE33:4455のようにアドレスの真ん中に16進でFFFEがはいっているのですぐわかります。

RAをつかって自動的にアドレスが付与される方式をシスコではステートレスな自動設定と呼んでいるようです。

あとはルーティングさせるために以下の設定も入れます。

ipv6 unicast-routing
ipv6 route ::/0 Tunnel0

クライアントの設定

Windows XP

最初はWindows XP SP2 で検証を開始しました。

XPではSP1からIPv6が使えるようになっています。コマンドプロンプトからipv6 install とするか，インターフェースのプロパティからIPv6プロトコルをインストールできます。

ルータの設定が終わっていればルータアドバタイズの機能で自動的にアドレスが決定するはずなんですが，待てど暮らせどv6のアドレスが降られる様子がありません(ipconfigで確認)。ipv6 renew というコマンドがあるらしいので試してみましたがだめです。EtherealをつかいRAが届いているか確認してみましたが，パケットは到着しています。

結局最後まで接続できませんでした。

Mac OS X

WindowsでうまくいかないのでMacで試しました。

あっけないくらいすぐにできました。そもそもIPv6がデフォルトでenableになっているようなので，すぐに使えました。

自分用メモ

PADI PPPoE Active Discovery Initiation

PADO PPPoE Active Discovery Offer

PADR PPPoE Active Discovery Request

PADS PPPoE Active Discovery Session-Confirmation

PADT PPPoE Active Discovery Terminate

通常はPADI→PADO→PADR→PADSといってPPP確立する

何らかの事情があってPADTがでて切断されることもある。BフレッツやADSLだといきなり切断したりして，セッションが残ってしまったときなどにあり得る。この場合はセッションが消えるまで暫く待つ。噂によると10?20分。

(追記)どうやらLCPを使って1分に1回監視しているようです。5回以上応答がないとセッションをリセットするようです。ということで，6分待てば繋がるようになるはず。