NTT 光プレミアムのCTUに直アクセス

NTTの光プレミアムのCTUは訳の分らん自前のIPv6網をIPSecを使って通してISPとかに繋いでくれます。

CTUをゲートウェイにしていないと、CTUの設定をするときにアクセスする
https://ctu.fletsnet.com/ 210.247.16.1 [2001:d70:3:1::3:3]
とかにアクセスできなくなります。

210.247.16.1ってのはCTUのアドレスのようなイメージで、ルータとかでPPPoE接続をした際に繋ぐ先もそこになります。
ちなみに、インターネット上で普通にctu.fletsnet.comを正引きすると違うアドレスが出てくるので注意(笑
どっちにしろCTUから先はCTUの中でいろいろやってくれるんではないかと。IPv6はさっぱり分りません。

で、PPPoEで繋ぐ先に設定されるため、CTU以外のルータで210.247.16.1宛の経路を設定するとPPPoEにつながらなくなったり、いろいろおかしくなることがあるようです。

ip route 210.247.16.0/28 CTUのローカルアドレス

IX2015で上記のように設定してもただCTUにつながらないだけな(静的ルートより直接接続の方がデフォルトではmerit値が低い(優先)なため)のですが、そのままだとクライアントからhttps://210.247.16.1に接続できないんで、どうしたもんかといろいろ調べていたら、routemapというのがあるらしいです。
というわけで、

ip access-list rmap-ctu permit ip src ローカルネットワーク dest 210.247.16.0/29
route-map route-ctu permit 10
match ip address access-list rmap-ctu
set ip next-hop CTUのローカルアドレス
interface FastEthernet1/0.0
ip policy route-map route-ctu

とやればIX2015経由でCTUにアクセスできます。
・・・
・・・・・・いえ、ローカルマシン(Win)で普通に
route add 210.247.16.0 MASK 255.255.255.248 CTUのアドレス
ってやれば良いんですが。ええ。

ちなみに、IX2015ってローカルドメイン名の解決ってどうやらせるんでしょう・・・？
IPアドレス直でアクセスすればよいのですが、イマイチです。

ヘッダレベルで認証しようとすると

インターネットVPNの基礎知識 － ＠IT
IPsec - AH・ESP・IKE -


NECのIX2015、IPSec、暗号化はAES256bitでAH認証(sha)を有効にすると速度が半分(帯域幅140Mbps→88Mbps)になる事が判明。ah-md5でも同様(84Mbps)。
まぁ、ipv4ではほとんど使われていないらしいですし、別にESPだけで問題はないのでそちらで行くことにしましょう。

とりあえずIPSecをやってみた

NECのIX2015 8.3.8でローカルでIPSecトンネルを作り、iperfをしてみました。

3DES-CBC で片側で91Mbps、上り下り同時で125Mbps
AES-CBC(256) で片側で91Mbps、上り下り同時で142Mbps

・・・あれ？AES-256の方が軽い？？？
てっきり暗号化強度の高いAESの方が時間がかかるかと思っていたのですが、そういうわけでもないみたいです。
3DESは安易に3回繰り返しているから時間がかかるのでしょうか。
まぁ、急拵えの、過去のアルゴリズムですから・・・。

そんなこんなで、十分な速度が得られそうです。流石H/W処理。
拠点間はIPSecで繋ぎ、出先からはOpenVPNとか、夢がふくらむ今日この頃。
別に出先からもIPSecしても構わないと言えばそんな気もします。

↓こんなんもありました
暗号入門：暗号の2010年問題とは｜SBINS