Fortinet商品など
FortiGateのIPOE設定について
IPoEとは — FortiGateでの位置づけ
IPoEの概要
IPoE(IP over Ethernet)は、従来のPPPoE接続のようにPPPセッションを張らず、Ethernet上で直接IPパケットを送受信する方式です。
PPPoEに比べてオーバーヘッドが少なく、高スループット・低遅延で動作できる点が大きな特徴です。
日本国内の多くの光回線(NTTフレッツ、OCN、BBIX、transix、v6プラスなど)では、このIPoE方式(IPv6ネイティブ+IPv4 over IPv6)が標準化しています。
FortiGateもこの構成に対応しており、適切に設定すれば法人回線でも安定したパフォーマンスを発揮できます。
FortiGateにおけるIPoE構成の種類
FortiGateでIPoEを実現する場合、実際には次のような複数方式が考えられます。
| 方式 | 概要 |
|---|---|
| IPv6ネイティブ(Prefix Delegation) | ISPからIPv6プレフィクスを取得し、LAN側に再配布する方式。 |
| IPv4 over IPv6(DS-Lite / MAP-E) | IPv4パケットをIPv6トンネルで伝送する仕組み。 |
| VNEトンネル方式 | 国内プロバイダが採用する仮想ネットワークインターフェース(VNE)経由で通信する方式。 |
| SLAAC + DHCPv6情報要求 | RAでIPv6アドレスを受け取り、DHCPv6でDNSなどを取得するハイブリッド構成。 |
これらはISPの仕様に依存するため、まず自分の回線方式(例:v6プラス=MAP-E、transix=DS-Lite、BBIX=IPv6ネイティブ+VNEなど)を確認してから設定することが重要です。
IPv6 Prefix Delegation構成の設定手順(基本構成)
IPv6ネイティブ回線を前提とした最小構成の例を示します。
目的は、WANでIPv6プレフィクスを取得し、LANに自動で再配布することです。
WANインターフェース設定(PDを有効化)
config system interface
edit "wan1"
set role wan
config ipv6
set ip6-mode dhcp
set autoconf enable # RAによる自動設定を許可
set dhcp6-prefix-delegation enable # プレフィクス委譲を有効化
set ip6-delegated-prefix-iaid 1 # IAPD識別子
config dhcp6-iapd-list
edit 1
set prefix-hint ::/56 # プレフィクスサイズ指定(ISP仕様により変更)
next
end
end
next
end
LANインターフェース設定(委譲プレフィクスを利用)
config system interface
edit "lan"
config ipv6
set ip6-mode delegated # 委譲モードを有効化
set ip6-send-adv enable # RAを送信
set ip6-upstream-interface "wan1" # 上流を指定
set ip6-delegated-prefix-iaid 1
set ip6-subnet ::1/64
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
set delegated-prefix-iaid 1
set subnet 0:0:0:1::/64
next
end
end
next
end
DHCPv6サーバ設定(DNS配布を有効化)
config system dhcp6 server
edit 1
set interface "lan"
set ip-mode delegated
set upstream-interface "wan1"
set delegated-prefix-iaid 1
set dns-service delegated # ← 正確なパラメータ(旧表記rdnss-serviceは誤り)
next
end
この構成により、LAN配下のクライアントへ自動的にIPv6アドレスとDNSが配布されます。
IPv4 over IPv6(DS-Lite / MAP-E / VNE)の設定概要
IPv6ネイティブ構成だけではIPv4通信が行えません。
そのため、国内では次のような「IPv4 over IPv6」技術が用いられます。
| 方式 | 主なプロバイダ | FortiGate設定例 |
|---|---|---|
| DS-Lite | transix、OCNバーチャルコネクトなど | config system vne-tunnel + set mode fixed-ip |
| MAP-E | v6プラス、BBIXなど | config system map 設定によりポートマッピングを実施 |
| VNE | BBIX、OCN等 | config system vne-interface で仮想インターフェースを作成 |
DS-Lite設定例(簡略)
config system vne-tunnel
set status enable
set interface "wan1"
set mode fixed-ip
set ipv4-address <固定IPv4> 255.255.255.255
set br "<ISP指定のBR IPv6アドレス>"
end
config router static
edit 1
set device "vne.root"
next
end
MSS/MTU調整(通信断対策)
config firewall policy
edit 1
set srcintf "lan"
set dstintf "vne.root"
set action accept
set schedule "always"
set service "ALL"
set nat enable
set tcp-mss-sender 1420
set tcp-mss-receiver 1420
next
end
GUIでの設定可否(FortiOS 7.x以降)
| 項目 | GUI対応 | 備考 |
|---|---|---|
| IPv6-PD取得 | 〇 | 7.0以降で「DHCPv6 Prefix Delegation」項目が追加。 |
| IPv6 RA送信 | 〇 | インターフェース設定で有効化可能。 |
| DHCPv6サーバ | 〇 | GUI対応。 |
| DS-Lite / MAP-E / VNE | ×(CLI専用) | 国内向けはCLI設定のみ対応(FortiOS 7.6.1以降で安定)。 |
トラブルシューティングポイント
| チェック項目 | 内容 |
|---|---|
| IPv6が取得できない | RAまたはDHCPv6設定の確認、ISP側認証確認。 |
| DNSが設定されない | dns-service delegated 設定の有無。 |
| IPv4通信ができない | VNE/DS-Lite設定ミス、ルート不整合。 |
| 大きなパケットが通らない | MSSクランプ1420前後を指定。 |
| GUIで設定が反映されない | CLIで show system interface を確認。 |
運用上の注意・補足
- FortiGateはIPv6のRA受信+Information Requestの両方をサポート。ISPがRAのみを送信する場合でもDNS情報を取得可能。
- 複数IPが割り当てられるIPoE(例:2アドレス構成)では、
secondary-IP設定またはIP Poolを活用してポリシーを分離可能。 - バージョン選定の目安:FortiOS 7.0以降でIPv6-PD、7.6.1以降で国内IPoE方式が安定動作。
まとめ
FortiGateでのIPoE構成は、次の三層構造で考えると分かりやすくなります。
- IPv6ネイティブ層:RA/DHCPv6でIPv6を取得しLANへ配布。
- IPv4 over IPv6層:DS-Lite/MAP-E/VNEでIPv4通信を確立。
- ポリシー層:IPv4/IPv6両方に対応したFirewall・NAT・MSS設定を適用。
CLIコマンドを正確に指定し、ISP仕様に従うことで、FortiGateは安定した高速IPoE接続を実現します。
以上、FortiGateのIPOE設定についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
