中小企業情シス担当者のための“IPv6対応入門”2021年版第6回
NECのオフィス向け“定番”VPNルーターで快適なオフィスのネット環境を整える
「UNIVERGE IXシリーズ」と「v6プラス」で中小企業/店舗のIPv6対応を行う
中小企業オフィスのネットワークをIPv6対応するための考え方や手順を解説してきた本連載。前回記事の「Aterm Biz SHシリーズ」に続いて、今回はNECの法人向けVPNルーター「UNIVERGE IXシリーズ」におけるIPv6対応のための設定手順を見ていく。
“定番”の小型VPNルーター「UNIVERGE IXシリーズ」とは
UNIVERGE IXは、小規模~中規模オフィス向けの高性能な小型VPNルーターシリーズだ。拠点間VPNとリモートアクセスVPNに対応しており、およそ20年間で累計出荷台数100万台以上という高い実績を持つ。国内法人向けルーター市場では“定番”となっている製品シリーズの1つである。
長い歴史を持つ製品シリーズではあるものの、最新の機能進化も続いている。たとえば今年4月発売の最新モデル「IX2310」では、企業や学校における通信トラフィックの増加に対応すべく10ギガビットのWAN(インターネット)回線/LAN回線に対応。またUNIVERGE IXシリーズ全体でも、ゼロタッチプロビジョニング(ZTP)やURLオフロード(インターネットブレイクアウト)、Web GUIからインターネット接続や拠点間VPNを設定できる「かんたん設定」といった新機能の搭載が進んでいる。
もうひとつ、前回記事で紹介したNECプラットフォームズによるネットワーク機器のクラウド管理サービス「NetMeister」にも対応している。これを活用することで、複数のリモート拠点に分散配置されているUNIVERGE IXルーターを一括で監視/管理することができる。もちろんNetMeisterサービスの利用は無料だ。
IPv6対応設定をコマンドラインから行う
さて、本稿のテーマであるUNIVERGE IXシリーズのIPv6対応に話を進めよう。過去記事で詳しく説明しているとおり、v6対応のための設定は次の3ステップとなる。
○ステップ1:インターネットアクセス回線(WAN)のIPv6対応
○ステップ2:インターネットブレイクアウトへの対応
○ステップ3:LAN内も含めたIPv6対応
なお今回の設定を行ううえでは、通常のv6プラス回線ではなく「v6プラス 固定IPサービス」回線の利用を推奨したい。ステップ2でインターネットブレイクアウトの設定を行うと、IPv4経由で指定したSaaSにアクセスするかたちとなる。その際、SaaS(特にMicrosoft 365)が多くのポートを消費するため、利用できるIPv4ポート数が少ない通常のv6プラス回線ではポート数不足による不具合が生じる可能性があるためだ。v6プラス固定IPサービス回線の場合は、IPv4グローバルアドレスを1つ専有できるので、ある程度大きなオフィス規模(PC台数)でもこうした不具合は生じない。
今回のUNIVERGE IXでは、コマンドラインからの接続設定を行う。都合上、ステップ1とステップ3の設定を先に一括して説明し、その後にステップ2を説明することにしたい。設定時に実行するコマンドラインをコンフィグファイルとして保存し、NetMeisterに登録すれば、リモート拠点に設置されたルーターのゼロタッチプロビジョニングも実行できる。
また、本稿ではすべての設定内容(コンフィグ)を掲載することはできないので、注意すべきポイントだけを紹介することにした。基本的にはNECのWebサイトに掲載されているコンフィグのとおりに設定すればよいが、部分的には最新バージョンで違う内容になっているものもあるので本稿で補足している。両方のページを見ながら設定を進めてほしい。
ステップ1(v6プラス接続)とステップ3(LAN内のIPv6対応)の設定
まずはv6プラスインターネット回線への接続(ステップ1)と、LAN内デバイスへのIPv6アドレスの自動設定(ステップ3)を設定する。コンフィグの全文は、以下のWebページに掲載されている。
●UNIVERGE IXシリーズ技術情報:v6プラス「固定IPサービス」設定ガイド
・準備 PCの設定とインターネット接続方法の確認
・設定例1 v6プラス(固定IP 1個)の設定 - DHCPv6-PD/IPv6 RA自動判別
・設定例2 v6プラス(固定IP 1個)の設定 - IPv6 RA
・設定例3 v6プラス(固定IP 1個)の設定 - DHCPv6-PD
・設定例4 v6プラス(固定IP 1個)の設定 - IPv6 RA
4つの設定例が紹介されているが、このうち設定例4はLAN内のデバイスにIPv6アドレスを割り当てない設定、つまりステップ3を行わずIPv6インターネットに接続しない設定なので、今回は無視してよい。
また設定例2と3は、NTT東日本/NTT西日本がフレッツ光サービスと共に提供する「ひかり電話」を契約しているかどうかに応じて選択する※注。ただし、UNIVERGE IXシリーズ(ソフトウェアバージョン10.3以上)ではひかり電話環境かどうかの自動判定機能を備えており、これを利用すればどちらの環境でも同じコンフィグが使える(設定例1)。特に、接続環境が異なる複数のUNIVERGE IXルーターを管理しており、一括でゼロタッチプロビジョニングを行いたい場合などに便利だろう。
※注:これは、IPv6 IPoE網からのIPv6ネットワーク識別子(プレフィックス)情報の配布方式が異なるためだ。ひかり電話契約のない環境では「IPv6 RA(Router Advertisement)」方式を、契約がある場合は「DHCPv6-PD」方式を用いる。
以下では、自動判別する設定例1をベースに説明を進める。ソフトウェアバージョンが10.2以下の場合は、バージョンアップを行うか、自身で設定例2または3を選んで設定してほしい。
設定例1※注を見ると、WANインタフェース(設定例では「GigaEthernet0.0」インタフェース)を指定して「ipv6 autoselect enable」「ipv6 autoselect ra-delay 0」と設定されている。これで自動判定が実行され、利用環境に応じた設定が行われる。
※注:ただし後述するステップ2の設定においても、同様の設定を再度行うことになる。インターネットブレイクアウトを利用する場合は、ここでは設定を行わず読み進めて、ステップ2の設定を参照いただきたい。
また、設定例に記載されている「IPv6パケットフィルタの設定」も忘れずに実行していただきたい。前回紹介したAterm Biz SHシリーズは初期状態でIPv6パケットフィルタが設定されていたが、UNIVERGE IXシリーズでは自ら設定する必要がある。設定をせずにIPv6インターネットに接続すると、外部(インターネット)から内部(LAN)へのIPv6アクセスができる状態になってしまうのでセキュリティリスクが生じる。
URLオフロード(インターネットブレイクアウト)機能の設定
ステップ1、3の設定が終わったので、残るステップ2、インターネットブレイクアウトの設定に移ろう。ここでは、NetMeisterが提供するURLオフロード機能を利用してインターネットブレイクアウトを実現する設定を行う。
NetMeisterでは、一般的にインターネットブレイクアウトの対象となる主要なSaaS(Microsoft 365/Office 365、Google Workspace/G Suite、Zoom、Microsoft Teamsなど)のURL/IPアドレスリストを提供しており、対象のSaaSにチェックボックスを入れるだけで簡単に、それらの通信をオフロードすることができる。また、複数のIXルーターをまとめたグループごとにインターネットブレイクアウトの設定を適用できるので、複数拠点に配置したルーターをまとめて管理できるメリットもある。
設定前の準備として、NetMeisterのユーザーアカウント登録が必要となる。NetMeisterは、メールアドレスさえあれば無料で簡単に登録できる。登録方法は以下のページを参照いただきたい。
●NetMeister操作ガイド:ユーザーアカウントを登録する
さらに、未作成であれば、多数/多拠点の機器を一括管理するための「グループ」や「拠点」も作成する。以下のページを参照のうえ「グループID」や「グループパスワード」「拠点」を設定してほしい。
なお、URLオフロードの設定は、ここで作成したグループ単位で(同じグループに属するすべてのIXルーターに)適用されることになる。装置ごとや拠点ごとの設定はできないので、そうした設定が必要な場合は、複数のグループを作成してそれぞれで異なる設定を行う必要がある。
●NetMeister操作ガイド:グループを作成する
●NetMeister操作ガイド:拠点を作成する
続いて、UNIVERGE IXルーターの設定を行う。設定内容の全文は以下のWebページに掲載されている。インターネットブレイクアウトの前提となる、拠点間VPNの設定方法もある。
上記ページで紹介されている「v6プラス(固定IPサービス)の設定」は、先にステップ1/3で設定した内容と似ているが、少し異なる部分(VPN用トンネルインタフェースの追加)があるので、注意して設定してほしい。「IPv6フィルタの設定」も同様だ。
まずはUNIVERGE IXルーターをNetMeisterクラウドに連携させる設定を行う。具体的にはNetMeisterのクライアント機能(IPv6)を有効化し、先ほどNetMeisterに登録したグループIDやグループパスワード、装置を配置する拠点情報を登録する。
次に、URLオフロード(インターネットブレイクアウト)を有効にする設定を行う。この中で「url netmeister」と指定することで、オフロード対象のURLリストをNetMeisterから取得するようになる。つまり、先に触れたNetMeisterの設定画面で指定したSaaS(もしくはユーザーが独自に追加したIPアドレス)がオフロード対象になるわけだ。
また次行の「offload-protocol both」は、オフロード対象のプロトコルを「HTTP」または「HTTPS」と指定するものだ。ただし、UNIVERGE IXのソフトウェアVer.10.5(2021年4月リリース)以降では「offload-protocol any」と設定してほしい。この設定でUDP通信もオフロード対象に含まれるようになり、ZoomやCisco Webexといったアプリケーションの動作改善が期待できる。
最後に拠点間VPNの設定を行う。本稿では説明を割愛するので、Webページを参照のうえ設定していただきたい。
ここまでの設定を終えると、オフロード対象の(指定したSaaSの)トラフィックはv6プラスを設定したトンネルインタフェース(今回の設定例ではTunnel 0.0)から、拠点間VPNのトラフィックはVPNトンネル(Tunnel 1.0)から、それぞれ出力されるようになる。
UNIVERGE IXルーター側の設定が済んだら、あとはNetMeister側で通信をオフロード対象とするSaaSを指定すればよい。参考としてガイドWebページを紹介しておく。
●NetMeister操作ガイド:URLオフロードを利用する
前述したとおり、NetMeisterのURLオフロード設定画面では主要なSaaSがリストアップされており、これにチェックを入れるだけでテンプレートが適用され、オフロードの対象となる。このテンプレートは定期的に更新されるので、SaaS側で新しいURLやIPアドレスを使うようになった場合でも、ユーザー側でそれに応じた設定変更をする必要はない。
また、このリストにないサイトをオフロード対象にしたい場合は「追加URL」欄に、リストでチェックを入れたもののそこから除外したいURLがあれば「除外URL」に入力すればよい。
UTMオプションを使ってセキュリティを強化
インターネットブレイクアウトを設定し、各拠点から一部のURL(SaaS)に直接アクセスするようになると、セキュリティ面の不安が生じる。それ以前は、本社やデータセンターにある各種ネットワークセキュリティ機器を経由したアクセスだったため保護されていたが、そうした保護がなくなってしまう。だからと言って、各拠点でセキュリティ機器を新規導入するというのも、コストや設置スペース、運用管理の手間を考えると難しいかもしれない。
そうした課題に対応するため、UNIVERGE IXシリーズではオプションとしてUTMライセンスを販売している。新たにセキュリティ機器を導入する必要なしで、標準機能のファイアウォールに加えて「アンチウイルス」「IPS(不正侵入防止)」「Webガード」「URLフィルタリング」といった複数のセキュリティ機能による多層防御を実現する。またNetMeisterとの連携により、セキュリティイベントの月次レポートも提供できる。
IX2000シリーズ(IX2106/IX2207/IX2215/IX2235/IX2310の5機種)の場合は、1年間のUTM無償体験サービスが提供されているので、まずはこれを利用してみるのがよいだろう。
* * *
以上今回は、NECのUNIVERGE IXシリーズルーターを利用する場合のIPv6対応設定について、そのポイントを紹介した。ひかり電話環境の自動判定機能を搭載するなど、ルーター側でもv6プラス接続設定を簡素化する機能強化が図られていることがわかる。
冒頭で新製品のIX2310が10ギガビットインターネット回線に対応していることに触れたが、オフィスのインターネット環境もより広帯域化し、より快適に使えることが重要視されるようになっている。ぜひv6プラス回線を活用してそうした環境を整えていただきたい。
(提供:日本ネットワークイネイブラー)