概要

NTT系の光回線において
・ 速いけどLAN内サーバーにWANからアクセスできないIPoE(DS-lite)
・ WAN⇒LANアクセスは普通にできるけど時間帯によっては極端に遅いPPPoE(IPv4)
をVLANを使うことで併用できるようにしました、という話。
PCからのインターネット接続はIPoEを使い、公開サーバーはPPPoEを使っています。
似たようなことは沢山の人がやっているので、細かな事は割愛。

条件

• ブロードバンドサービス: IIJmioひかり
• 地域: NTT東日本圏内
• ルーター: RTX810 (Rev.11.01.34)
• VLan1: 192.168.100.0/24
• VLan2: 192.168.110.0/24

コマンド

# デフォルトゲートウェイをtunnel 1(DS-Lite)に設定
ip route default gateway tunnel 1

IPv6のプレフィックスを設定
ipv6 prefix 1 ra-prefix@lan2::/64

# VLANを切る. 今回はポート1-3はvlan1, ポート4がvlan2
lan type lan1 port-based-option=divide-network
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan1
vlan port mapping lan1.4 vlan2

# vlan1にIPv6用の設定
ip vlan1 address 192.168.100.1/24
ipv6 vlan1 address ra-prefix@lan2::1/64
ipv6 vlan1 rtadv send 1 o_flag=on
ipv6 vlan1 dhcp service server

# vlan2にIPv4用の設定. foward filter 100を適用して、vlan2の通信をpp 1に流す
ip vlan2 address 192.168.110.1/24
ip vlan2 forward filter 100

# lan2(WAN)にDS-Lite用のDHCPクライアント設定. フィルタを適用
ipv6 lan2 dhcp service client ir=on
ipv6 lan2 secure filter in 1010 1011 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 106

# プロバイダ名称設定
provider vlan1 name LAN:VLAN-1
provider vlan2 name LAN:VLAN-2
provider lan2 name ipv6 PRV/0/4/0/0/1/1:iij

# PPPoE設定
pp select 1
 pp always-on on
 pppoe use lan2
 pppoe auto disconnect off
 pp auth accept pap chap
 pp auth myname ユーザーID パスワード
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp secure filter in 200000 200001 200002 200003 200008 200009 200010 200011 200012 200013 200014 200015 200016
 ip pp secure filter out 200004 200005 200006 200007 200008 200009 200010 200011 200012 200013 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
 ip pp nat descriptor 1
 pp enable 1

# DS-Lite設定
tunnel select 1
 tunnel name ds-lite
 tunnel encapsulation ipip
 tunnel endpoint address 2404:8e00::feed:100
 tunnel enable 1

# frwardフィルタ設定
ip forward filter 100 1 gateway pp 1 filter 201099

# PPPoE用フィルタ設定
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.100.0/24 * * * *
ip filter 200004 reject * 10.0.0.0/8 * * *
ip filter 200005 reject * 172.16.0.0/12 * * *
ip filter 200006 reject * 192.168.0.0/16 * * *
ip filter 200007 reject * 192.168.110.0/24 * * *
ip filter 200008 reject * * udp,tcp 135 *
ip filter 200009 reject * * udp,tcp * 135
ip filter 200010 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200011 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200012 reject * * udp,tcp 445 *
ip filter 200013 reject * * udp,tcp * 445
ip filter 200014 pass * * icmp * *
ip filter 200015 pass * * established * *
ip filter 200016 pass * * tcp * ident
ip filter 201099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * telnet
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp

# IPv6用フィルタ設定
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 2000 reject * * * * *
ipv6 filter 3000 pass * * * * *
ipv6 filter dynamic 100 * * ftp
ipv6 filter dynamic 101 * * domain
ipv6 filter dynamic 102 * * www
ipv6 filter dynamic 103 * * smtp
ipv6 filter dynamic 104 * * pop3
ipv6 filter dynamic 105 * * tcp
ipv6 filter dynamic 106 * * udp

# NAT ディスクリプタの動作タイプの設定
nat descriptor type 1 masquerade

# DHCP設定
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.20-192.168.100.191/24
dhcp scope 2 192.168.110.20-192.168.110.191/24
dns server dhcp lan2
dns server fallback on

# NTP設定
provider ntpdate ntp.nict.jp
schedule at 1 */Sun 01:11 * ntpdate ntp.nict.jp

# telnet接続をLANからに限定
telnetd host lan

# SDカードの使用
sd use on

フィルタのベストなかけ方は正直良く分かっていない。