IPv6ブリッジ
下の図のようにIPv4は細かくセグメントを分けるけど、IPv6は全部一緒にしたいという事が時々あります。
これを1つのルーターで実現できなくもなさそうなのですが、設定がややこしくなるので下記のようにv4とv6それぞれ別のルーターを設置する事にしました。
v6側はルーターというよりただのブリッジですね。IPv4とv6を別々の機器で処理して、最後はv4と混ぜるという感じです。
これを実現するにはIPv6はブリッジするけどv4は一切を拒否するという動きをする機器が必要になります。調べていると手元に余っていたIX2015でこれが実現できそうです。
▲NEC IX2015
イメージ的には下のように、どのポートに接続してもv6はブリッジとして動作するけど、v4は通さないという感じです。ポートにタグが付いていればそのタグとブリッジします。
IX2015にはL2ブリッジの機能があるのですが、このブリッジはIPv4のみ/IPv6のみという設定が可能なので、これが利用可能そうです。しかもVLANを設定した論理インターフェイスでもブリッジが可能です。
IX2015にはFE0/0、FE0/1、FE1/0(4ポート)というポートがありますが、今回はこのうちFE0/0をuntag、FE0/1をタグVLAN、FE1/0の4ポートをポートベースVLANとして設定し、IPv6に関しては全てフラットにブリッジさせるという設定をしていきます。
なお、filterは特に書かなくてもブリッジがv6しか通さないので問題はないのですが、後から特定のポートに対してフィルタ加えたいと行った時に対応しやすいように一応設定しておきます。(できたとしてもL2レベルの事しか書けない気がしますが)
config †
ブリッジとフィルタの定義 †
ブリッジとフィルタの定義。UFSキャッシュは効果があるかわからないですが、一応enableにしておきます。
access-list ipv6only permit src any dest any type ipv6 access-list ipv6only deny src any dest any type ip bridge irb enable no bridge 1 bridge ip ipv6 ufs-cache enable
uplink側(FE0/0)の設定 †
ブリッジに追加してフィルタを加えるだけです。
interface FastEthernet0/0.0 filter ipv6only 1 in no ip address bridge-group 1 no shutdown
tag-VLANポート(FE0/1)の設定 †
このポートはタグVLANとしています。
interface FastEthernet0/1.1 encapsulation dot1q 10 filter ipv6only 1 in no ip address bridge-group 1 no shutdown interface FastEthernet0/1.2 encapsulation dot1q 20 filter ipv6only 1 in no ip address bridge-group 1 no shutdown
ポートベースVLAN(FE1/0)の設定 †
4ポートある方です。ポートベースVLANとして、それぞれのポート同士でv6以外の通信ができないようにしています。
device FastEthernet1/0 vlan-group 1 port 1 vlan-group 2 port 2 vlan-group 3 port 3 vlan-group 4 port 4 interface FastEthernet1/0:1.0 filter ipv6only 1 in no ip address bridge-group 1 no shutdown interface FastEthernet1/0:2.0 filter ipv6only 1 in no ip address bridge-group 1 no shutdown interface FastEthernet1/0:3.0 filter ipv6only 1 in no ip address bridge-group 1 no shutdown interface FastEthernet1/0:4.0 filter ipv6only 1 in no ip address bridge-group 1 no shutdown
設定が完了したらルーターを再起動しましょう。特にencapsulation dot1qを設定した場合再起動は必須です。