FortiGateでIPoEを使うときの注意点 │ ブレーンアシストオンライン

1. IPoEって何？
2. FortigateでIPoE方式は使えるの？
3. いざ設定開始
4. まとめ

IPoEって何？

今までインターネット回線で接続をする方式はPPPoE方式というものがメインでした。
しかし、PPPoE方式はユーザ認証が必要で行われるため複数の認証が同時に発生すると
回線終端装置に負荷がかかり通信が遅延現象が発生します。
もともとPPPoE方式は電話回線での利用がメインであったときの方式であるため
現在の主流、光回線では本領が発揮できない古い方式です。

そこで従来のPPPoE方式に代わるものとして開発されたものがIPoE方式です。
IPoEではユーザ認証が発生しないため回線終端装置に負荷がかからず通信速度が
落ちる可能性が低くなっています。

ただし、IPoE方式は従来のIPv4ではなくIPv6であるため
利用する端末もIPv6の設定にする必要がありますが、
IPv4 over IPv6などの機能を使うことで従来のIPv4にも
問題なく通信することが可能です。

FortigateでIPoE方式は使えるの？

今回の目的、FortigateでIPoE方式は使えるのか？

FortiOS Ver6.4.9以降であれば設定可能になります。

ただし、GUIでの操作が基本のFortigateですがIPoEでの設定はCUIのみになっています。
またプロバイダーによってはIPoEの接続方式がことなります。
しっかりプロバイダーに接続方式を確認しましょう。

いざ設定開始

IPoEの設定はGUI上からはできません。
まずCLIを使用します。コンソールケーブルからアクセスするか、
GUI上からCLIの操作画面に移動するかの2通りがあります。
どちらを使っても問題ありません。
今回はGUI上からCLIの操作画面を開いて実施します。

1）wanポートの設定

config system interface
edit wan1
config ipv6
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
set mtu 1454
end

IPoEは基本設定を自動取得します。
プロバイダーの方式によっては
set interface-identifier xxx:yyy:zzz:XXX:YYY:ZZZ
のようにインターフェースＩＤも必要となります。
適宜プロバイダーから提供される情報を確認してください。

2)トンネルインタフェース有効化

VNEトンネルインターフェースを作成します。

config system vne-tunnel
set status enable
set interface wan1
end

こちらもプロバイダー情報によっては下記を追加します。

set ipv4-address XXX.XXX.XXX.XXX 255.255.255.255
set br aaaa:bbbb:cccc:dddd:eeee:ffff
set update-url “http://xxxx.xxxx.xxxx”
set mode fixed-ip

3)DNSサーバ設定

DNSサーバ設定も基本自動で取得になるため既存の設定を消しておきます。

config system dns
unset primary
unset secondary
end

LAN側インターフェースにDNSサーバ recursiveモードの設定します。

config system dns-server
edit port1
end

LAN側のDHCPサーバのDNSサーバがシステムDNSと同じ場合にはインターフェースIPと同じに変更します。

config system dhcp server
edit 1
set dns-service local
end

4)デフォルトルート設定

デフォルトルートをVNEインタフェースにします。

config router static
edit 1
set device “vne.root”
next
end

5)接続確認

設定完了後にWANインタフェースにケーブルを接続します。

IPv6アドレス確認

IPv6アドレスが付与されていることを確認。

# diagnose ipv6 address listdev=6 devname=wan1 flag=P scope=0 prefix=128 addr=[アドレス1] preferred=4294967295 valid=4294967295 cstamp=676703 tstamp=676703

dev=6 devname=wan1 flag= scope=0 prefix=64 addr=[アドレス2] preferred=604588 valid=2591788 cstamp=13465 tstamp=2387174

[アドレス1] ：マップルールにて生成されたIPv6アドレス
[アドレス2] ：RAにて取得したPrefixにて生成されたIPv6アドレス

IPv6トンネル確認

# diagnose ipv6 ipv6-tunnel listdevname=vne.root devindex=6 ifindex=31 vfid=0000 rpdb=0 ref=0 laddr=[IPv6アドレス：ポート] raddr=[IPv4アドレス：ポート]
RX bytes:435341350636 (415173.8 Mb) TX bytes:188725594937 (179982.7 Mb);
RX packets:507060598, TX packets:351886133, TX carrier_err:0 collisions:0 npu-info: asic_offload=1, enc4/dec4=1/1, enc6/dec6=0/0,
enc4_bk=1/4/65/0, dec4_bk=1/2/65/2, enc6_bk=0/0/0/0, dec6_bk=0/0/0/0 rpdb-ver: ffffffff rpdb-gwy: :: rpdb-oif: 0 total tunnel = 1

VNEインタフェース IPアドレス確認

VNECインタフェースにIPv4アドレスが付与されていることを確認。

# diagnose ip address list | grep vne
IP=[IPv4アドレス] ->[IPv4アドレス] /0.0.0.0 index=31 devname=vne.root

外部への疎通確認

# excute ping 8.8.8.8

Fortigateからインターネットへ通信できることを確認
応答があればIPoEで接続できている証拠です。

まとめ

IPoEの設定が増えていく中、いまだにGUIに対応していないのでIPoEの設定は難しいと思われますが
CLIでの操作に慣れておくのも一つのステップアップです。
GUIに項目がないから設定できない？なんてことはないので
もしIPoEが使える環境ならどんどん使ってストレスのない通信速度を使っていきましょう。