解説書 Vol.1
トンネル機能を使用するときの注意事項を次に示します。
- <この項の構成>
- (1) トンネル機能を使用できない構成
- (2) 6to4トンネル使用時のセキュリティについて
- (3) 多重トンネル
- (4) アドレス変換機能を使用した装置をはさんだ構成
- (5) 同一プロトコルによるトンネル設定
(1) トンネル機能を使用できない構成
トンネル機能を使用する場合,いくつかの禁止構成があります。装置に設定するトンネルの数が多くなると禁止構成の判別が難しくなりますが,次の点に着目して判断します。
- トンネル設定で,別のトンネルの仮想インタフェースをパケット送受信インタフェースに指定しない
トンネルの仮想インタフェースでカプセル化されたパケットの送受信インタフェースを,別のトンネルの仮想インタフェースに指定した場合パケットが多重にカプセル化されることになり,正常に通信ができません。
- 同一装置内で多重にカプセル化を行わない
同一装置内で,トンネルの仮想インタフェースでカプセル化されたパケットが再度別のトンネル仮想インタフェースでカプセル化が行われる場合,パケットが多重にカプセル化されることになり,正常に通信ができません。
- トンネルを設定した装置間にアドレス変換機能(NAT機能など)を使用した装置を置かない
アドレス変換機能でヘッダ情報を書き換えると,カプセル化されたパケットのヘッダの値が異常となる場合があります。
- 同一プロトコルによるトンネル設定
トンネルで設定された仮想インタフェースに設定されたプロトコルと,パケット送受信インタフェースに指定されたプロトコルが同一プロトコルとなるIPv4 over IPv4トンネル,またはIPv6 over IPv6トンネルにはならないようにしてください。
- トンネルインタフェースでのマルチキャストパケット中継
トンネルインタフェースでのマルチキャストパケット中継はサポートしていません。IPv4 over IPv6トンネルを使用しているネットワーク構成では,該当するトンネルインタフェースでIPv4マルチキャストパケットへ中継することはできません。また,IPv6 over IPv4トンネルおよび6to4トンネルでは,該当するトンネルインタフェースでIPv6マルチキャストパケットへ中継することはできません。
- トンネルインタフェースの扱い
トンネルインタフェースは構成定義情報で指定した相手アドレスに対して到達可能かどうかに関係なく,常にUp状態になります。そのため物理インタフェースでの疎通ができなくなった場合に,該当するトンネルインタフェースを使用しているRIPng,OSPFv3,BGP4+などによる経路情報が別のインタフェースを使用するまでにかかる時間は,通常の物理インタフェースを使用した場合の経路変更と比較して長くなる場合があります。
なお,6to4トンネルインタフェースは,対応する物理インタフェースの状態に依存します。このため,対応の物理インタフェースがUp状態であればUp,Down状態であればDownとなります。
- 6to4トンネル経由の経路交換
6to4トンネルのインタフェースには6to4アドレスしか定義できません。また,リンクローカルアドレスも自動設定されません。したがって,リンクローカルアドレスを使ったRIPng,OSPFv3によって経路交換を行うことはできません。また,BGP4+による経路交換もサポートしていません。
- トンネルインタフェースでのフラグメントパケットの扱い
トンネルパス上の経路が安定していない,マルチパス構成上の経路を通るなどの場合,同一インタフェースからすべてのフラグメントパケットを受信できるとは限りません。この場合該当パケットは破棄されますので,フラグメントの発生を避けるようにシステム構築してください。
- VRRP使用時の注意点
- トンネルインタフェースはVRRPのクリティカルインタフェースに使用できません。
- VRRPで設定した仮想インタフェースのIPv4アドレスは6to4トンネルに使用できません。
- 6to4サポート対象外インタフェースについて
次に示すインタフェース上で6to4トンネルは動作しません。このため,これらのインタフェースに定義している(動的割り当ての場合は割り当てられたIPv4アドレス)を,6to4プレフィックスに使用しないでください。
- IPv4アドレスが動的割り当てで決定するインタフェース(DHCP,PPPoE)
- rmEthernet
- unnumberedインタフェース
(2) 6to4トンネル使用時のセキュリティについて
6to4アドレスはインターネットを仮想的に一つのデータリンクとして使用します。そのため,基本的にインターネットと接続しているすべての端末と接続することになります。6to4トンネル経由での通信相手が特定できる場合は,6to4トンネルインタフェースにインバウンドフィルターを行うなどの対策をしてください。
あるトンネルの仮想インタフェースを,別のトンネルの仮想インタフェースでカプセル化されたパケットの送受信インタフェースに指定する多重トンネルは使用できません。
(a) 構成例1
トンネルの仮想インタフェースに設定されているアドレスは,別のトンネルの仮想インタフェース設定時には指定しないでください。多重トンネル禁止構成例を次の図に示します。
- 注意点
- 本装置AのインタフェースIbをパケット送受信インタフェースとして指定した,本装置Aと本装置B間のIPv4 over IPv6トンネル仮想インタフェースを設定します。その仮想インタフェースを,本装置Aと本装置C間のIPv6 over IPv4トンネルのパケット送受信インタフェースとして指定する設定を行います。このような構成では,本装置Aから本装置Cへ中継されるパケットは本装置A内で二つのトンネルインタフェースで多重にカプセル化が行われる多重トンネル構成になります。
(b) 構成例2
トンネルを設定した装置間の到達経路が複数ある構成で,ある一方の経路が同一装置内を始点とするトンネルを通過するような構成の場合,経路情報の変化によって多重トンネル構成になる場合があるので注意してください。多重トンネル禁止構成例を次の図に示します。
- 注意点
- 本装置Aと本装置C間に設定したIPv6 over IPv4トンネルは経路情報によってトンネル1またはトンネル2のどちらかの経路を通過します。トンネル1の状態となったとき,本装置C向けトンネルの経路は本装置Aと本装置B間に設定されたIPv4 over IPv6トンネルを通過する経路となってしまうため,パケットは本装置A内で二つのトンネルインタフェースで多重にカプセル化が行われる多重トンネル構成になります。
(c) 構成例3
トンネルの仮想インタフェース以外のインタフェースをカプセル化されたパケットの送受信インタフェースに指定する場合は,同一インタフェースに複数指定しても多重トンネル構成にはなりません。多重トンネルにならない構成例を次の図に示します。
- 注意点
- 本装置Aと本装置B,本装置Cそれぞれの間に設定されたIPv4 over IPv6トンネルを中継されるパケットは,本装置A内でカプセル化されるのは1度だけです。また,本装置A内で,各装置への到達経路に別のトンネルが設定されていないため,この構成は多重トンネル構成にはなりません。
(d) 構成例4
トンネルを設定した装置間の,中継経路上の別の装置間でトンネルが設定されている場合は多重トンネル構成にはなりません。多重トンネルにならない構成例を次の図に示します。
- 注意点
- 本装置Aと本装置D間にIPv4 over IPv6トンネルの経路途中に別のトンネルが設定されていますが,各装置内でカプセル化を行うのは1度だけのため,多重トンネル構成にはなりません。本装置Bと本装置C間のIPv4 over IPv6トンネルに本装置Aと本装置D間のIPv4 over IPv6トンネルでカプセル化されたパケットが中継されますが,本装置Bと本装置Cではカプセル化されたパケットとして意識しないで通常のIPv6パケットとしてIPv4でカプセル化を行います。
アドレス変換を行ったアドレスをトンネルの接続先には指定できません。
(a) 構成例1
トンネルを設定している装置間にアドレス機能変換を持つ装置を設置し,アドレス変換を行ったアドレスをトンネルの接続先として指定しないでください。
アドレス変換機能装置によってパケット内のヘッダ情報が書き換えられることでトンネルを設定した装置間で通信ができなくなります。トンネル間にアドレス変換機能装置のある禁止構成例を次の図に示します。
図14-39 トンネル間にアドレス変換機能装置のある禁止構成例
- 注意点
- 本装置Aのトンネル設定で,カプセル化したパケットの送信先アドレスを,アドレス変換機能を使用したプライベートネットワーク内のアドレスとした場合,トンネルの仮想インタフェースでカプセル化されたパケットのヘッダ情報がアドレス変換機能装置によって書き換えられます。このため,本装置Aと本装置B間でのトンネルによる中継ができなくなります。
(5) 同一プロトコルによるトンネル設定
(a) 構成例6
トンネルの仮想インタフェースでカプセル化したパケットのプロトコル種別と,パケット送受信インタフェースに指定されたインタフェースに設定されているプロトコルが同一の場合,パケットを同一のプロトコルでカプセル化することになって,正常に中継できない恐れがあります。IPv6の場合の同一プロトコルによるトンネル禁止構成例を次の図に示します。
図14-40 同一プロトコルによるトンネル禁止構成例(IPv6 over IPv6トンネル)
- 注意点
- 本装置AのIPv6インタフェースIbと本装置BのIPv6インタフェースIcをトンネルの仮想インタフェースでカプセル化されたパケットの送受信インタフェースとして指定します。次に,トンネル仮想インタフェースのアドレス設定でIPv6アドレスを設定すると,パケット送受信インタフェースと同じプロトコルを指定したIPv6 over IPv6トンネル構成となるため,パケットが正常に中継されません。
(b) 構成例7
IPv4の場合の同一プロトコルによるトンネル禁止構成例を次の図に示します。
図14-41 同一プロトコルによるトンネル禁止構成例(IPv4 over IPv4トンネル)
- 注意点
- 本装置AのIPv4インタフェースIbと本装置DのIPv4インタフェースIgをトンネルの仮想インタフェースでカプセル化されたパケットの送受信インタフェースとして指定します。次に,トンネル仮想インタフェースのアドレス設定でIPv4アドレスを設定すると,パケット送受信インタフェースと同じプロトコルを指定したIPv4 over IPv4トンネル構成となるため,パケットが正常に中継されません。
Copyright (c)2005 ALAXALA Networks Corporation. All rights reserved.