L2TPv3を用いたL2VPN
$Date: 2023/08/22 10:41:41 $
- 概要
- 注意事項
- 対応機種とファームウェアリビジョン
- 用語の定義
- L2TPv3の詳細
- L2TPv3とブリッジ機能
- L2TPv3でのフィルタリング
- L2TPv3に関連したコマンド
- L2TPv3の設定例
- L2TPv3/IPsecの設定例
- L2TPv3とL2MS
- L2TPv3とタグVLANの併用
- SYSLOGメッセージ一覧
- 関連技術資料
概要
L2TPv3 (Layer 2 Tunneling Protocol version 3) は、データリンク層(L2)でのVPN接続 (L2VPN)を実現するトンネリングプロトコルです。L2フレームをIPパケットとしてカプセル化することでルーター間でのL2フレーム転送を可能にし、複数の拠点で同一セグメントのネットワークを構築することができます。L2TPv3自体は暗号化の仕組みを持ちませんが、IPsecと併用することでデータの機密性や完全性を確保したVPN接続を実現するL2TPv3/IPsecがあります。ヤマハルーターでは、L2TPv3を用いたL2VPNおよびL2TPv3/IPsecを用いたL2VPNを構築することができます。
L2TPv3トンネルは、ユニキャストパケット・マルチキャストパケット・ブロードキャストパケット・エニーキャストパケットなどすべてのイーサネットフレームを通すことができます。また、IEEE802.1Qタグが付加されたイーサネットフレームも通すことができます。
IPIPトンネリング、map-eトンネル環境下においてL2TPv3、L2TPv3/IPsec接続を利用することができます。
対応機種とファームウェアリビジョンについては 関連技術資料 に記載されているドキュメントを参照してください。
注意事項
ヤマハルーターでは、スマートフォンからのリモートアクセスVPNを対象としたL2TP/IPsecに対応しています。
L2TP/IPsecは、L2TPv2ベースの実装であり、拠点間でのL2VPNを実現するL2TPv3とは用途が異なります。
- L2フレームのカプセル化方式として、UDPパケットとしてカプセル化する方法(L2TPv3 over UDP)にのみ対応しています。IPプロトコル番号115を使用してIPパケットとしてカプセル化する方法(L2TPv3 over IP)には対応していません。
- L2TPv3パケットの受信にはUDPのポート番号1701が使用されます。変更することはできません。
- L2TPv3によってトンネリングできるL2フレームは、イーサフレームのみです。
- L2TPv3/IPsecでは、IKEv1のトランスポートモードのみ対応しています。
- LAN分割のインターフェース(vlanN)をブリッジメンバーに収容した場合には、IEEE802.1Q タグ付きパケットはブリッジングされません。
対応機種とファームウェアリビジョン
ヤマハルーターでは以下の機種およびファームウェアで、L2TPv3をサポートしています。
| 機種 | ファームウェア | L2TPv3 | L2TPv3/IPsec | L2TPv3動作可能 最大トンネル数(※1) |
タグVLAN機能との併用 | L2MSのマネージャーとの併用 | トンネルインターフェースのフィルタリング |
|---|---|---|---|---|---|---|---|
| vRX VMware ESXi版 | すべてのリビジョン | ○ | ○ | 99 (通常モード:6000 / コンパクトモード:1000) |
- | - | ○ |
| RTX3510 | ○ | ○ | 29 (1000 (※2)) |
○ | - | ○ | |
| RTX1300 | ○ | ○ | 9 (100) |
○ | ○ | ○ | |
| RTX1220 | ○ | ○ | 9 (100) |
○ | ○ | ○ | |
| RTX830 | Rev.15.02.01以降 | ○ | ○ | 1 (20) |
○ | ○ | - |
| Rev.15.02.03以降 | ○ | ○ | 1 (20) |
○ | ○ | ○ | |
| Rev.15.02.22以降 | ○ | ○ | 1 (20 (※2)) |
○ | ○ | ○ | |
| NVR700W | Rev.15.00.02以降 | ○ | ○ | 1 (6) |
○ | - | - |
| Rev.15.00.10以降 | ○ | ○ | 1 (6) |
○ | ○ | - | |
| Rev.15.00.14以降 | ○ | ○ | 1 (6) |
○ | ○ | ○ | |
| RTX1210 | Rev.14.01.09より前 | ○ | ○ | 9 (100) |
- | - | - |
| Rev.14.01.09以降 | ○ | ○ | 9 (100) |
○ | - | - | |
| Rev.14.01.20以降 | ○ | ○ | 9 (100) |
○ | ○ | - | |
| Rev.14.01.26以降 | ○ | ○ | 9 (100) |
○ | ○ | ○ | |
| RTX5000 | Rev.14.00.12以降 | ○ | ○ | 49 (3000) |
- | - | - |
| Rev.14.00.18以降 | ○ | ○ | 49 (3000) |
○ | - | - | |
| Rev.14.00.26以降 | ○ | ○ | 49 (3000) |
○ | - | ○ | |
| RTX3500 | Rev.14.00.12以降 | ○ | ○ | 29 (1000) |
- | - | - |
| Rev.14.00.18以降 | ○ | ○ | 29 (1000) |
○ | - | - | |
| Rev.14.00.26以降 | ○ | ○ | 29 (1000) |
○ | - | ○ | |
| RTX810 | Rev.11.01.21 | ○ | ○ | 1 (6) |
- | - | - |
| Rev.11.01.25以降 | ○ | ○ | 1 (6) |
○ | - | - | |
| RTX1200 | Rev.10.01.53 Rev.10.01.59 |
○ | ○ | 9 (100) |
- | - | - |
| Rev.10.01.65以降 | ○ | ○ | 9 (100) |
○ | - | - |
| ※1 ... | ()の中の数値は、VPN設定可能最大数です。 IPsec, PPTP, L2TP/IPsecのVPN設定を併用する場合はその合計数になります。 |
| (※2) ... | 拡張ライセンスをインポートすることで拡張可能です。 詳細は拡張ライセンスの技術資料を参照してください。 |
用語の定義
- LAC (L2TP Access Concentrator)
- L2TPトンネルの端点であり、L2TPコネクションの開始を要求する端末。
- LNS (L2TP Network Server)
- L2TPトンネルのLACに対峙する端点であり、L2TPコネクションの開始要求を受け付ける端末。
L2TPv3の詳細
- L2TPv3
L2TPv3は、L2フレームをカプセル化することでルーター間でのL2フレーム転送を可能にし、L2でのVPN接続を実現します。カプセル化する方法には、IPパケットとしてカプセル化するL2TPv3 over IPと、UDPパケットとしてカプセル化するL2TPv3 over UDPがあります。
ヤマハルーターではNATが介在するネットワーク環境での使用が考慮されたL2TPv3 over UDPに対応しています。カプセル化できるL2フレームは、イーサフレームのみです。L2TPv3自体は暗号化の仕組みを持たないため、セキュリティ面からインターネットを介したVPN接続には適しません。ただし、暗号化処理が無いことから閉域網などセキュリティが確保された環境での高速なL2VPNを構築する場合に有効です。
- L2TPv3でのL2フレームのカプセル化方法
- L2TPv3 over UDP
UDPのポート1701番を使用します。パケットフォーマットは以下のようになります。
L2TPv3制御パケット +-------------------+-----------------+--------------+----------------------+ | IPヘッダ | UDPヘッダ | L2TPv3ヘッダ | L2TPv3制御メッセージ | | プロトコル番号:17 | ポート番号:1701 | | | +-------------------+-----------------+--------------+----------------------+L2TPv3データパケット(イーサフレームの中がIPパケットの場合) +-------------------+-----------------+--------------+------------------------------------------+ | IPヘッダ | UDPヘッダ | L2TPv3ヘッダ | L2TPv3ペイロード | | プロトコル番号:17 | ポート番号:1701 | | +-------------+----------+--------------+| | | | | | ETHERヘッダ | IPヘッダ | IPペイロード || | | | | +-------------+----------+--------------+| +-------------------+-----------------+--------------+------------------------------------------+ - L2TPv3 over IP
IANAによって定められたIPプロトコル番号115を使用します。ヤマハルーターでは、L2TPv3 over IPには対応していません。パケットフォーマットは以下のようになります。
L2TPv3制御パケット +--------------------+--------------+----------------------+ | IPヘッダ | L2TPv3ヘッダ | L2TPv3制御メッセージ | | プロトコル番号:115 | | | +--------------------+--------------+----------------------+L2TPv3データパケット(イーサフレームの中がIPパケットの場合) +--------------------+--------------+------------------------------------------+ | IPヘッダ | L2TPv3ヘッダ | L2TPv3ペイロード | | プロトコル番号:115 | | +-------------+----------+--------------+| | | | | ETHERヘッダ | IPヘッダ | IPペイロード || | | | +-------------+----------+--------------+| +--------------------+--------------+------------------------------------------+
- L2TPv3 over UDP
- L2TPv3トンネルの確立
L2TPv3トンネルの確立には、コネクション制御メッセージおよびセッション制御メッセージが用いられます。L2TPv3によるL2VPNが構築される場合には、コネクション制御メッセージによってトンネルが作られたあとにセッション制御メッセージによってセッションが確立されます。
【コネクション制御メッセージ】- SCCRQ (Start-Control-Connection-Request)
- SCCRP (Start-Control-Connection-Reply)
- SCCCN (Start-Control-Connection-Connected)
- StopCCN (Stop-Control-Connection-Notification)
- OCRQ (Outgoing-Call-Request)
- OCRP (Outgoing-Call-Reply)
- OCCN (Outgoing-Call-Connected)
- ICRQ (Incoming-Call-Request)
- ICRP (Incoming-Call-Reply)
- ICCN (Incoming-Call-Connected)
- CDN (Call-Disconnect-Notify)
- HELLO (Hello)
- ACK (Explicit Acknowledgement)
- WEN (WAN-Error-Notify)
- L2TPv3トンネルの確立から切断までのシーケンス
- AVPs (Attribute Value Pairs) の各種パラメータ値
SCCRQやICRQといったL2TP制御メッセージには、メッセージのタイプやプロトコルバージョンなど接続相手に通知するパラメータ値をペイロードに含んでいます。これらの各種パラメータ値を属性とパラメータ値の組みで繋げて一連のメッセージにしたものがAVPsとなります。さらに属性とパラメータ値の1組がAVPとなります。L2TPv2で対応しているAVPに関してはL2TP/IPsecを参照してください。
※すべてのAVPが制御メッセージに含まれるわけではありません。
L2TPv3から追加されたAVPは以下のとおりです。属性番号 属性名 属性番号 属性名 58 Extended Vendor ID 67 - 59 Message Digest 68 Pseudowire Type 60 Router ID 69 L2-Specific Sublayer 61 Assigned Control Connection ID 70 Data Sequencing 62 Pseudowire Capabilities List 71 Circuit Status 63 Local Session ID 72 Preferred Language 64 Remote Session ID 73 Control Message Authentication Nonce 65 Assigned Cookie 74 Tx Connect Speed 66 Remote End ID 75 Rx Connect Speed
- AVPのパラメータ値の暗号化
L2TPには、L2TPパケット全体を暗号化する仕組みはありませんが、各AVPのパラメータ値を暗号化させる仕組みが取り入れられています。ヤマハルーターでは、AVPのパラメータ値の暗号化には対応していません。
- L2TPv3制御メッセージ認証 (L2TPv3トンネル認証)
L2TPv3では、メッセージダイジェストを用いた制御メッセージ認証を行う仕組みがあります。制御メッセージ認証を行いたいLACまたはLNSでは、L2TP制御メッセージを送信する場合に、事前に共有してあるパスワードとControl Message Authentication Nonce AVPとして通知された値と送信するL2TP制御メッセージのIDからメッセージダイジェストを計算し、送信するL2TP制御メッセージにMessage Digest AVPとして付加します。コネクション制御メッセージ・セッション制御メッセージ・キープアライブメッセージ・応答確認メッセージのそれぞれで認証を行うことができます。
ヤマハルーターでは、L2TPv3制御メッセージ認証に対応しています。
L2TPv3制御メッセージ認証で用いるパスワードはl2tp tunnel authコマンドで設定することができます。 - L2TPv3で使用するポート番号
L2TPv3では、SCCRQの送信元ポート番号および送信先ポート番号として1701番が使用されます。変更することはできません。SCCRP以降のメッセージの送信先ポート番号には、1つ前に受信したメッセージの送信元ポート番号が使用されます。ルーター間にNAT機器が存在して送信元ポート番号が途中で変更される場合でもL2TPv3を利用することができます。
S : 送信元ポート番号 D : 送信先ポート番号 +-----+S:1701 D:1701 +-----+S:60000 D:1701 +-----+ | |----------SCCRQ--------->| |------------------------>| | | | | | | | | | S:1701 D:1701| | S:1701 D:60000| | | |<------------------------| |<---------SCCRP----------| | | | | | | | | |S:1701 D:1701 | |S:60000 D:1701 | | | LAC |---------- ・・・ --------->| NAT |------------------------>| LNS | | | | | | | | | S:1701 D:1701| | S:1701 D:60000| | | |<------------------------| |<--------- ・・・ ----------| | | | | | | | | |S:1701 D:1701 | |S:60000 D:1701 | | | |---------StopCCN-------->| |------------------------>| | | | | | | | | | S:1701 D:1701| | S:1701 D:60000| | | |<------------------------| |<----------ACK-----------| | +-----+ +-----+ +-----+
- L2TPv3でのフラグメント
L2TPv3では、L2TPv3トンネルを通して送信するL2フレームに対して、IPヘッダ,UDPヘッダ,L2TPv3ヘッダが付加されます。これらのオーバーヘッドによってカプセル化したあとのパケットが送信インターフェースのMTUを超える場合にはフラグメントが発生します。
ヤマハルーターでは、L2TPv3の処理としてカプセル化の対象となるL2フレームをフラグメントせず、カプセル化後のパケットの送信インターフェースのMTUに応じてIPフラグメントされます。L2TPv3のトンネルインターフェースのMTU設定は無効となります。- 受信したL2フレームをL2TPv3トンネルでトンネリングする場合
1. L2フレームを受信 +--------+------------+ | ETHER | ペイロード | | ヘッダ | | +--------+------------+ <=====================> 受信フレーム長を1514byteとする 2. L2TPv3でカプセル化 +--------+--------+--------+--------+------------+ | IP | UDP | L2TPv3 | ETHER | ペイロード | | ヘッダ | ヘッダ | ヘッダ | ヘッダ | | +--------+--------+--------+--------+------------+ <================================================> カプセル化後のパケット長を1554byteとする 3. MTUが1500byteのインターフェースから送信するときはIPフラグメント +--------+--------+--------+--------+------------+ +--------+------------------+ | IP | UDP | L2TPv3 | ETHER | ペイロード | + | IP | ペイロードの続き | | ヘッダ | ヘッダ | ヘッダ | ヘッダ | | | ヘッダ | | +--------+--------+--------+--------+------------+ +--------+------------------+ <================================================> <===========================> 1500byte 74byte
- 受信したL2フレームをL2TPv3トンネルでトンネリングする場合
- L2TPv3でのL2フレームのカプセル化方法
- L2TPv3/IPsec
L2TPv3自体は暗号化の仕組みを持ちませんが、IPsecと併用することでデータの機密性や完全性を確保したVPN接続を実現するL2TPv3/IPsecがあります。上記のL2TPv3のネゴシエーションの前にIPsecでセキュアな通信路を構築し、その通信路上でL2TPv3によるVPN接続を構築します。L2TPv3のネゴシエーションおよびデータパケットはすべてIPsecトンネルを経由して暗号化されたパケットとして転送されます。インターネットを介したL2VPNの構築に適しています。
- L2TPv3/IPsecトンネルの確立までのシーケンス
- IPsecのプロトコルモード
ヤマハルーターでは、IPsecのプロトコルモードとしてトンネルモードとトランスポートモードの両方が実装されています。
L2TPv3/IPsecでは、トランスポートモードでのみ動作し、トンネルモードでは動作しません。 - L2TPv3とIPsecの連動
IPsecトンネルがダウンした場合には、L2TPv3制御メッセージを安全な経路で送受信できなくなることから、L2TPv3トンネルも連動してダウンします。
IPsecトンネルがアップした状態でL2TPv3トンネルのみがダウンした場合には、L2TPv3制御メッセージを安全な経路で再度送受信が行えることからIPsecトンネルは連動してダウンしません。 - L2TPv3/IPsecでのキープアライブ
L2TPv3では、L2TPv2と同様にコネクション制御メッセージの1つであるHelloメッセージを用いたキープアライブの仕組みがあります。IPsecのキープアライブとは独立しています。
L2TPv3/IPsecでは、L2TPv3トンネルのダウンに伴ってIPsecトンネルが連動してダウンしないため、L2TPv3/IPsecを利用する場合には、IPsecのキープアライブとL2TPのキープアライブの両方を有効にすることを薦めます。
- L2TPv3/IPsecトンネルの確立までのシーケンス
L2TPv3とブリッジ機能
L2TPv3では、ブリッジ機能の拡張によってLANインターフェースとトンネルインターフェース間でL2フレームのブリッジングを行います。L2フレームの出力先インターフェースの選択方法などは、ブリッジ機能の仕様に従うため、L2TPv3を使用する場合はブリッジ機能を理解しておく必要があります。
ブリッジ機能の収容インターフェースとしてLANインターフェースおよびL2TPv3が動作するトンネルインターフェースを指定することで、LANインターフェースとトンネルインターフェースでL2フレームがブリッジされます。
収容インターフェースとして指定したLANインターフェースまたはトンネルインターフェースから受信したL2フレームやブリッジインターフェースから送信するL2フレームは、ブリッジ機能のラーニングテーブルを参照することで宛先のインターフェースが決定します。L2TPv3トンネルへL2フレームが流れる場合には、IP, UDP, L2TPv3の各ヘッダの付加によってカプセル化され、ルーティングテーブルに従って転送されます。ラーニングテーブルで宛先のインターフェースを決定するため、不要なパケットが他のインターフェースに出力されることを抑制することができます。学習したエントリーに一致するものがなかった場合には、受信インターフェースを除くすべての収容インターフェースにパケットが出力されます。
ファストパスに対応した機種であれば、L2TPv3トンネルへ転送されるL2フレームおよびL2TPv3トンネルから受信するL2フレームはファストパスで処理されます。ただし、以下のパケットはノーマルパスで処理されます。
- ブリッジ機能においてノーマルパスで処理する条件に合致するパケット
ファストパスで処理するパケットの条件については、ブリッジ機能を参照してください。 - IEEE802.1Qタグが付加されたパケット (RTX5000/RTX3500 Rev.14.00.26 以降、RTX1210 Rev.14.01.26 以降、NVR700W Rev.15.00.14 以降、RTX830 Rev.15.02.03 以降、RTX1220、RTX1300、RTX3510、およびvRX VMware ESXi版を除く)
ブリッジのラーニングテーブルに登録可能なMACアドレス数は以下の通りです。
| 機種 | 動的エントリ数 | 静的エントリ数 |
|---|---|---|
| vRX VMware ESXi版 | 3000 | 300 |
| RTX3510 | 900 | 90 |
| RTX1300 | 256 | 32 |
| RTX1220 | 256 | 32 |
| RTX830 | 256 | 32 |
| NVR700W | 256 | 32 |
| RTX1210 | 256 | 32 |
| RTX5000 | 1500 | 150 |
| RTX3500 | 900 | 90 |
| RTX810 | 256 | 32 |
| RTX1200 | 256 | 32 |
※静的エントリとは、bridge learning staticコマンドで設定可能なMACアドレス数です。
L2TPv3でのフィルタリング
L2TPv3では、収容インターフェースに以下のフィルターを設定することができます。
- LANインターフェース
- イーサネットフィルター
- 侵入検知(IDS)
- 入力遮断フィルター
- 内部・外部データベース参照型URLフィルター
- ポリシーフィルター(対応機種のみ)
- トンネルインターフェース
- イーサネットフィルター
- IPフィルター
- 侵入検知(IDS)
- 入力遮断フィルター
- 内部・外部データベース参照型URLフィルター
- ポリシーフィルター(対応機種のみ)
一方でブリッジインターフェースには次のフィルターを設定することができます。
- IPフィルター
収容インターフェースにフィルターを適用した場合、ブリッジ機能でのフィルタリングと同様にそれらのフィルターは下図のようにブリッジングの過程で処理されます。言い換えればこれらのフィルターはデータリンク層(L2)で適用されるようになります。(処理自体はL2で行われますが、必要に応じてパケットのIPヘッダ以降をチェックします)
その他のフィルタリングに関する注意点についてはブリッジ機能を参照してください。
ポリシーフィルター対応機種の場合
トンネルインターフェースのフィルタリング対応機種の場合
※1 out方向(送信方向)では、入力遮断フィルターは適用されません。in方向(受信方向)でのみ適用されます。
※2 out方向(送信方向)では、侵入検知機能はポリシーフィルターの後に適用されます。
※3 out方向(送信方向)では、IPフィルターはURLフィルターの前に適用されます。
L2TPv3に関連したコマンド
【新設コマンド】- L2TPv3の常時接続の設定
- [書式]
- l2tp always-on SW
no l2tp always-on [SW] - [設定値及び初期値]
-
- SW
- [設定値]:
設定値 説明 on 常時接続する off 常時接続しない - [初期値]: on
- [設定値]:
- SW
- [説明]
- L2TPv3のコネクションを常時接続するか否かを設定します。
トンネルインターフェースにのみ設定可能です。
- L2TPのホスト名の設定
- [書式]
- l2tp hostname HOSTNAME
no l2tp hostname [HOSTNAME] - [設定値及び初期値]
-
- HOSTNAME
- [設定値]: ホスト名(32文字以内)
- [初期値]: 機種名
- HOSTNAME
- [説明]
- 接続相手に通知するホスト名を設定します。
show status l2tpコマンドで出力されるL2TPトンネル情報に表示されます。
本コマンドを設定しない場合には機種名がホスト名として使用されます。
トンネルインターフェースにのみ設定可能です。
- L2TPv3のLocal Router IDの設定
- [書式]
- l2tp local router-id IPV4_ADDRESS
no l2tp local router-id [IPV4_ADDRESS] - [設定値及び初期値]
-
- IPV4_ADDRESS
- [設定値]: IPv4アドレス
- [初期値]: 0.0.0.0
- IPV4_ADDRESS
- [説明]
- L2TPv3の接続相手に通知するRouter IDを設定します。
接続相手のRemote Router IDと同じIPv4アドレスを設定してください。
ルーターに設定されているIPv4アドレスを使用する必要はありません。
トンネルインターフェースにのみ設定可能です。
- L2TPv3のRemote Router IDの設定
- [書式]
- l2tp remote router-id IPV4_ADDRESS
no l2tp remote router-id [IPV4_ADDRESS] - [設定値及び初期値]
-
- IPV4_ADDRESS
- [設定値]: IPv4アドレス
- [初期値]: 0.0.0.0
- IPV4_ADDRESS
- [説明]
- L2TPv3の接続相手のRouter IDを設定します。
接続相手のLocal Router IDと同じIPv4アドレスを設定してください。
ルーターに設定されているIPv4アドレスを使用する必要はありません。
トンネルインターフェースにのみ設定可能です。
- L2TPv3のRemote End IDの設定
- [書式]
- l2tp remote end-id END_ID
no l2tp remote end-id [END_ID] - [設定値及び初期値]
-
- END_ID
- [設定値]: 任意文字列(32文字以内)
- [初期値]: なし
- END_ID
- [説明]
- L2TPv3のRemote End IDを設定します。
接続相手のRemote End IDと同じ文字列を設定してください。
トンネルインターフェースにのみ設定可能です。
- L2TPトンネル認証に関する設定
- [書式]
- l2tp tunnel auth SW [PASSWORD]
no l2tp tunnel auth [SW [PASSWORD]] - [設定値及び初期値]
-
- SW
- [設定値]:
設定値 説明 on L2TPトンネル認証を行う off L2TPトンネル認証を行わない - [初期値]: off
- [設定値]:
- PASSWORD
- [設定値]: L2TPトンネル認証に用いるパスワード(32文字以内)
- [初期値]: 機種名
- SW
- [説明]
- L2TPトンネル認証を行うか否かを設定します。
PASSWORDを省略した場合には機種名がパスワードとして使用されます。
※RTX1200の場合には "RTX1200" がパスワードとなります。大文字小文字の区別に注意してください。
トンネルインターフェースにのみ設定可能です。
- L2TPキープアライブを使用するか否かの設定
- [書式]
- l2tp keepalive use SW [INTERVAL [COUNT]]
no l2tp keepalive use [SW [INTERVAL [COUNT]]] - [設定値及び設定値]
-
- SW
- [設定値]:
設定値 説明 on L2TPキープアライブを使用する off L2TPキープアライブを使用しない - [初期値]: on
- [設定値]:
- INTERVAL
- [設定値]: キープアライブの送信インターバル (1 .. 600 秒)
- [初期値]: 10
- COUNT
- [設定値]: ダウン検出までのカウント (1 .. 50)
- [初期値]: 6
- SW
- [説明]
- L2TPのHelloメッセージによるキープアライブを設定します。
キープアライブを行う場合はINTERVALとCOUNTの設定値に応じてL2TPのHelloメッセージによるキープアライブが動作します。
トンネルインターフェースにのみ設定可能です。
- L2TPキープアライブのログ設定
- [書式]
- l2tp keepalive log SW
no l2tp keepalive log [SW] - [設定値及び初期値]
-
- SW
- [設定値]:
設定値 説明 on L2TPキープアライブをログに出力する off L2TPキープアライブをログに出力しない - [初期値]: off
- [設定値]:
- SW
- [説明]
- L2TPキープアライブのログを出力するか否かを設定します。
ログはすべて、debugレベルのSYSLOGに出力されます。
トンネルインターフェースにのみ設定可能です。
- L2TPトンネルの切断タイマの設定
- [書式]
- l2tp tunnel disconnect time TIME
no l2tp tunnel disconnect time [TIME] - [設定値及び初期値]
-
- TIME
- [設定値]:
設定値 説明 切断タイマ(1 .. 21474836 秒) L2TPトンネルの切断タイマを設定する off L2TPトンネルの切断タイマを設定しない - [初期値]: 60
- [設定値]:
- TIME
- [説明]
- L2TPトンネルの切断タイマを設定します。
選択されている L2TP トンネルに対して、データパケット無入力・無送信時に、タイムアウトにより L2TP トンネルを切断する時間を設定します。
L2TP制御メッセージ以外はすべてデータパケットとなるため、PPP キープアライブを使用する場合などは切断タイマによる L2TP トンネルの切断は行われない場合があります。
トンネルインターフェースにのみ設定可能です。
- L2TPのSYSLOG出力設定
- [書式]
- l2tp syslog SW
no l2tp syslog [SW] - [設定値及び初期値]
-
- SW
- [設定値]:
設定値 説明 on L2TPのコネクション制御に関するログをSYSLOGに出力する off L2TPのコネクション制御に関するログをSYSLOGに出力しない - [初期値]: off
- [設定値]:
- SW
- [説明]
- L2TPのコネクション制御に関するログをSYSLOGに出力するか否かを設定する。
L2TPのキープアライブに関するログは出力されない。
ログはすべて、debugレベルのSYSLOGに出力されます。
トンネルインターフェースにのみ設定可能です。
- L2TPを動作させるか否かの設定
- [書式]
- l2tp service SW [VERSION [VERSION]]
no l2tp service [SW [VERSION [VERSION]]] - [設定値及び初期値]
-
- SW
- [設定値]:
設定値 説明 on L2TPを有効にする off L2TPを無効にする - [初期値]: off
- [設定値]:
- VERSION
- [設定値]:
設定値 説明 l2tp L2TP/IPsecを有効にする l2tpv3 L2TPv3, L2TPv3/IPsecを有効にする - [初期値]: -
- [設定値]:
- SW
- [説明]
- L2TPを動作させるか否かを設定します。
VERSION によって動作するL2TPのバージョンを指定できます。VERSION を指定しない場合にはL2TPv2とL2TPv3の両方が動作します。
"on"が設定された場合は、UDPのポート番号1701を開き、コネクションが開始されます。
"off"が設定された場合は、UDPのポート番号1701を閉じ、接続中のL2TPおよびL2TPv3のコネクションはすべて切断されます。 - [ノート]
- IPsecを実装していないモデルでは、l2tpキーワードは使用できない。
- トンネルインターフェースの種別の設定
- [書式]
- tunnel encapsulation TYPE
no tunnel encapsulation [TYPE] - [設定値及び初期値]
-
- TYPE
- [設定値]:
設定値 説明 ipsec IPsecトンネル ipip IPv6 over IPv4 トンネル、IPv4 over IPv6 トンネル、
IPv4 over IPv4 トンネルまたは IPv6 over IPv6 トンネルpptp PPTPトンネル l2tp L2TP/IPsecトンネル l2tpv3-raw L2TPv3トンネル l2tpv3 L2TPv3/IPsecトンネル ipudp IPUDPトンネル - [初期値]: ipsec
- [設定値]:
- TYPE
- [説明]
- トンネルインターフェースの種別を設定します。
トンネリングとNATを併用する場合には tunnel endpoint addressコマンドにより始点IPアドレスを設定することが望ましい。
PPTP機能を実装していないモデルでは、pptpキーワードは使用できない。
L2TP/IPsec機能を実装していないモデルでは、l2tpキーワードは使用できない。
L2TPv3機能を実装していないモデルでは、l2tpv3-rawキーワードおよびl2tpv3キーワードは使用できない。
IPsec機能を実装していないモデルでは、l2tpキーワードおよびl2tpv3キーワードは使用できない。
IPUDPトンネルは、NGN網を介したデータ通信時のみ使用できる。
- トンネルインターフェースの端点IPアドレスの設定
- [書式]
- tunnel endpoint address [LOCAL] REMOTE
no tunnel endpoint address [LOCAL [REMOTE]] - [設定値及び初期値]
-
- LOCAL
- [設定値]:自分側のトンネルインターフェース端点のIPアドレス
- REMOTE
- [設定値]:相手側のトンネルインターフェース端点のIPアドレス
- LOCAL
- [説明]
- トンネルインターフェース端点の IP アドレスを設定する。IP アドレスは IPv4/IPv6 いずれのアドレスも設定できるが、local と remote では IPv4/IPv6 の種別が揃っていなくてはいけない。トンネルインターフェース端点として IPv4 アドレスを設定した場合には、IPv4 over IPv4 トンネルと IPv6 over IPv4 トンネルが、IPv6 アドレスを設定した場合には IPv4 over IPv6 トンネルと IPv6 over IPv6 トンネルが利用できる。
local を省略した場合は、適当なインターフェースの IP アドレスが利用される。 - [ノート]
- このコマンドにより設定した IP アドレスが利用されるのは、tunnel encapsulation コマンドの設定値が pptp、 l2tp、l2tpv3-raw, ipip の場合である。IPsec トンネルでは、トンネル端点はipsec ike local address およびipsec ike remote address コマンドにより設定される。
PPTP サーバー、L2TP/IPsec サーバーの Anonymous で受ける場合には設定する必要はない。
- L2TPの状態表示
- [書式]
- show status l2tp
show status l2tp tunnel TUNNEL_NUM - [設定値および初期値]
-
- TUNNEL_NUM
- [設定値]: トンネル番号
- TUNNEL_NUM
- [説明]
- L2TPの状態を表示します。
【表示例】
# show status l2tp ------------------- L2TP INFORMATION ------------------- L2TP情報テーブル L2TPトンネル数: 1, L2TPセッション数: 1 TUNNEL[1]: トンネルの状態: established バージョン: L2TPv3 自機側トンネルID: 37704 相手側トンネルID: 28837 自機側IPアドレス: 192.168.100.1 相手側IPアドレス: 10.0.0.2 自機側送信元ポート: 1701 相手側送信元ポート: 1701 ベンダ名: YAMAHA Corporation ホスト名: RTX1200 Next Transmit sequence(Ns): 436 Next Receive sequence(Nr) : 434 トンネル内のセッション数: 1 session セッション情報: セッションの状態: established 自機側セッションID: 44573 相手側セッションID: 36099 Circuit Status 自機側:UP 相手側:UP 通信時間: 6時間1分55秒 受信: 179 パケット [21056 オクテット] 送信: 44 パケット [3736 オクテット] - [拡張ライセンス対応]
- 拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
- TUNNEL_NUM
ライセンス名 拡張後の上限値( ライセンス本数ごとの値 )1本 2本 3本 4本 YSL-VPN-EX1 100 - - - YSL-VPN-EX3 1500 2000 2500 3000
- ブリッジインターフェースに収容するインターフェースを設定する
- [書式]
- bridge member BRIDGE_INTERFACE INTERFACE INTERFACE [...]
no bridge member BRIDGE_INTERFACE [INTERFACE ...] - [設定値及び初期値]
-
- BRIDGE_INTERFACE
- [設定値]: ブリッジインターフェース名
- INTERFACE
- [設定値]: LANインターフェース名またはトンネルインターフェース名
- BRIDGE_INTERFACE
- [説明]
- 仮想インターフェースであるブリッジインターフェースに収容するインターフェースを指定する。
収容したインターフェース間でブリッジ動作が行われる。
トンネルインターフェースを収容した場合、L2TPv3 トンネルが確立しているトンネルインターフェースでのみブリッジ動作が行われる。
INTERFACE として収容できるインターフェース数および制限事項は以下のとおり。
機種名 インターフェース数 制限事項 vRX VMware ESXi版 100 ブリッジインターフェースに収容できるLANインターフェースは1つのみです。
LAN間のブリッジ機能には対応していません。RTX5000 50 RTX3510 30 RTX3500 30 RTX1300 10 RTX1220 10 RTX1210 10 RTX1200 10 RTX830 2 RTX810 2 FWX120 5 - SRT100 5 - - [ノート]
-
- 収容する LAN インターフェースについて
収容したインターフェースに IPv4,IPv6 アドレスを付与してはならない。
収容したインターフェースの IPv6 リンクローカルアドレスは削除される。
収容する LAN インターフェースの MTU はすべて同一の値でなければならない。
いずれかのブリッジインターフェースに収容したインターフェースは、他のブリッジインターフェースに収容することはできない。
収容するインターフェースがスイッチングハブを持つインターフェースである場合、スイッチングハブのポート間で完結する通信は本機能によるブリッジ動作ではなく、スイッチングハブ LSI 内部で処理される。
- 収容するトンネルインターフェースについて
収容するトンネルインターフェースの MTU は無効となり、トンネルインターフェースでフラグメントは行われず、カプセル化されたパケットの送信インターフェースの MTU に従ってフラグメントが発生する。
いずれかのブリッジインターフェースに収容したインターフェースは、他のブリッジインターフェースに収容することはできない。
収容するインターフェースとしてトンネルインターフェースを設定できるのは L2TPv3 機能が実装されているモデルのみである。
- ブリッジインターフェースについて
ブリッジインターフェースのリンク状態は収容した LAN インターフェースのリンク状態に応じて変化する。
いずれかの収容したインターフェースがアップ状態だった場合、ブリッジインターフェースはアップ状態になる。
すべてのインターフェースがダウン状態だった場合、ブリッジインターフェースもダウン状態になる。
ブリッジインターフェースの MAC アドレスは、収容した LAN インターフェースのうち、インターフェース番号がもっとも小さいインターフェースのアドレスを使用する。
- 収容する LAN インターフェースについて
- [拡張ライセンス対応]
- 拡張ライセンスをインポートすると、、ブリッジインターフェースに収容できるインターフェース (INTERFACE) の最大個数が拡張される。
- INTERFACE
ライセンス名 拡張後の最大個数( ライセンス本数ごとの値 )1本 2本 3本 4本 YSL-VPN-EX1 10 - - - YSL-VPN-EX3 50
- L2TPv3トンネルの接続を開始
- [書式]
- connect INTERFACE
connect PEER_NUM
connect pp PEER_NUM
connect tunnel TUNNEL_NUM - [設定値及び初期値]
-
- INTERFACE
- [設定値]: WANインターフェース名
- PEER_NUM
- [設定値]: 発信相手の相手先情報番号
- TUNNEL_NUM
- [設定値]: NGN網を介したトンネル番号またはL2TPv3トンネル番号
- INTERFACE
- [説明]
- 手動で発信する。
connect tunnel コマンドは、データコネクトを使用した拠点間接続またはL2TPv3トンネル以外のトンネルには使用できない。
データコネクト接続機能を実装していないモデルでは、connect pp コマンドは使用できない。
データコネクト接続機能またはL2TPv3機能を実装していないモデルでは、connect tunnel コマンドは使用できない。
WAN インターフェースは Rev.10.00.60 以降の SRT100、Rev.10.01.32 以降の RTX1200、Rev.11.00.16 以降の NVR500、RTX810、FWX120、RTX1210、RTX830、RTX1220、RTX1300、RTX3510 で指定可能。 - [拡張ライセンス対応]
- 拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
- TUNNEL_NUM
ライセンス名 拡張後の上限値( ライセンス本数ごとの値 )1本 2本 3本 4本 YSL-VPN-EX1 100 - - - YSL-VPN-EX3 1500 2000 2500 3000 - PEER_NUM
ライセンス名 拡張後の上限値 YSL-VPN-EX1 100
- L2TPv3トンネルの接続を切断
- [書式]
- disconnect INTERFACE
disconnect PEER_NUM
disconnect pp PEER_NUM
disconnect tunnel TUNNEL_NUM - [設定値及び初期値]
-
- INTERFACE
- [設定値]: WANインターフェース名
- PEER_NUM
- [設定値]: 発信相手の相手先情報番号
- TUNNEL_NUM
- [設定値]: NGN網を介したトンネル番号またはL2TPv3トンネル番号
- INTERFACE
- [説明]
- 手動で切断する。
disconnect tunnel コマンドは、データコネクトを使用した拠点間接続またはL2TPv3トン ネル以外のトンネルには使用できない。
データコネクト接続機能を実装していないモデルでは、disconnect pp コマンドは使用できない。
データコネクト接続機能およびL2TPv3機能を実装していないモデルでは、disconnect tunnel コマンドは使用できない。
WAN インターフェースは Rev.10.00.60 以降の SRT100、Rev.10.01.32 以降の RTX1200、Rev.11.00.16 以降の NVR500、RTX810、FWX120、RTX1210、RTX830、RTX1220、RTX1300、RTX3510 で指定可能。 - [拡張ライセンス対応]
- 拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
- TUNNEL_NUM
ライセンス名 拡張後の上限値( ライセンス本数ごとの値 )1本 2本 3本 4本 YSL-VPN-EX1 100 - - - YSL-VPN-EX3 1500 2000 2500 3000 - PEER_NUM
ライセンス名 拡張後の上限値 YSL-VPN-EX1 100
- インターフェースのカウンター情報のクリア
- [書式]
- clear status INTERFACE
clear status pp PEER_NUM
clear status tunnel TUNNEL_NUM - [設定値及び初期値]
-
- INTERFACE
- [設定値]: LANインターフェース名
- PEER_NUM
- [設定値]: 相手先情報番号
- TUNNEL_NUM
- [設定値]: トンネルインターフェース番号
- INTERFACE
- [説明]
- 指定したインターフェースのカウンター情報をクリアする。
- [拡張ライセンス対応]
- 拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
- TUNNEL_NUM
ライセンス名 拡張後の上限値( ライセンス本数ごとの値 )1本 2本 3本 4本 YSL-VPN-EX1 100 - - - YSL-VPN-EX3 1500 2000 2500 3000 - PEER_NUM
ライセンス名 拡張後の上限値 YSL-VPN-EX1 100
- イーサネットフィルターのインターフェースへの適用の設定
- [書式]
- ethernet INTERFACE filter DIR LIST
- [設定値及び初期値]
-
- INTERFACE
- [設定値]:LANインターフェース名、トンネルインターフェース名
- [初期値]:-
- DIR
- [設定値]:
設定値 説明 in INTERFACEで指定したインターフェースから
入ってくるパケットのフィルタリングout INTERFACEで指定したインターフェースに
出ていくパケットのフィルタリング - 初期値:-
- [設定値]:
- LIST
- [設定値]:
設定値 説明 空白で区切られた
静的フィルター番号の並び512個以内
(Rev.14.01.16以降のRTX1210、NVR700W、RTX830、RTX1220、RTX1300、RTX3510、およびvRX VMware ESXi版)100個以内 (上記以外) - 初期値:-
- [設定値]:
- INTERFACE
- [説明]
- LAN、および、トンネルインターフェースを通るパケットについて、ethernet filterコマンドによるパケットのフィルターを組み合わせて、通過するパケットの種類を制限する。
- [ノート]
-
LANインターフェース名には、物理LANインターフェースおよびLAN分割機能で使用するインターフェースを指定できる。
INTERFACEにトンネルインターフェースを指定した場合、指定したインターフェースがブリッジインターフェースに収容されているときだけ、フィルターが適用される。
L2TPv3の設定例
【設定例1:2拠点間でのL2TPv3を用いたL2VPNの構築】ヤマハルーター1とヤマハルーター2の間でL2TPv3を用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
- ヤマハルーター1
- LAN2側のIPアドレス : 203.0.113.1
- LAN1側のIPアドレス : 192.168.100.1/24
- L2TPv3のホスト名 : YAMAHA-RT1
- L2TPv3のRouter ID : 192.168.100.1
- ヤマハルーター2
- LAN2側のIPアドレス : 203.0.113.2
- LAN1側のIPアドレス : 192.168.100.2/24
- L2TPv3のホスト名 : YAMAHA-RT2
- L2TPv3のRouter ID : 192.168.100.2
- L2TPv3に関連した設定(両ルーターで共通)
- L2TPv3の自動接続 : 有り
- L2TPv3トンネル認証 : あり (パスワード : yamaha)
- L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
- L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
- L2TPv3キープアライブのログ出力 : 有り
- L2TPv3のコネクション制御に関するログ出力 : 有り
- L2TPv3のRemote End ID : yamaha
- 構成図
IPアドレス: IPアドレス: 203.0.113.1 203.0.113.2 | LAN1+-----------+LAN2 LAN2+-----------+LAN1 | +----+.10 |-----| ヤマハ |------------------------| ヤマハ |-----| .11+----+ | PC |-----| .1| ルーター1 | <====================> | ルーター2 |.2 |----| PC | +----+ | +-----------+ L2VPN +-----------+ | +----+ | | 192.168.100.0/24 192.168.100.0/24 - ヤマハルーター1の設定例
【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.1/24 【LAN設定】 ip lan2 address 203.0.113.1/24 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3-raw tunnel endpoint address 192.168.100.1 203.0.113.2 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT1 l2tp syslog on l2tp local router-id 192.168.100.1 l2tp remote router-id 192.168.100.2 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 203.0.113.1 nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.1 udp 1701 【L2TPv3設定】 l2tp service on l2tpv3
- ヤマハルーター2の設定例
【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.2/24 【LAN設定】 ip lan2 address 203.0.113.2/24 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3-raw tunnel endpoint address 192.168.100.2 203.0.113.1 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT2 l2tp syslog on l2tp local router-id 192.168.100.2 l2tp remote router-id 192.168.100.1 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 203.0.113.2 nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.2 udp 1701 【L2TPv3設定】 l2tp service on l2tpv3
【設定例2:3拠点間でのL2TPv3を用いたL2VPNの構築】
ヤマハルーター1とヤマハルーター2, ヤマハルーター1とヤマハルーター3の間でL2TPv3を用いたL2VPNを構築します。
3ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
※注意点:ヤマハルーター2とヤマハルーター3の間で同じようにL2TPv3を用いたL2VPNを構築してしまうとL2フレームがループします。
- ヤマハルーター1
- LAN2側のIPアドレス : 203.0.113.1
- LAN1側のIPアドレス : 192.168.100.1/24
- L2TPv3のホスト名 : YAMAHA-RT1
- L2TPv3のRouter ID : 192.168.100.1
- ヤマハルーター2
- LAN2側のIPアドレス : 203.0.113.2
- LAN1側のIPアドレス : 192.168.100.2/24
- L2TPv3のホスト名 : YAMAHA-RT2
- L2TPv3のRouter ID : 192.168.100.2
- ヤマハルーター3
- LAN2側のIPアドレス : 203.0.113.3
- LAN1側のIPアドレス : 192.168.100.3/24
- L2TPv3のホスト名 : YAMAHA-RT3
- L2TPv3のRouter ID : 192.168.100.3
- L2TPv3に関連した設定 (3ルーターで共通)
- L2TPv3の自動接続 : 有り
- L2TPv3トンネル認証 : あり (パスワード : yamaha)
- L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
- L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
- L2TPv3キープアライブのログ出力 : 有り
- L2TPv3のコネクション制御に関するログ出力 : 有り
- L2TPv3のRemote End ID : yamaha
- 構成図
IPアドレス: IPアドレス: 203.0.113.1 203.0.113.2 | LAN1+-----------+LAN2 L2VPN1 LAN2+-----------+LAN1 | +----+.10 |-----| ヤマハ |<======================>| ヤマハ |-----| .11+----+ | PC |-----| .1| ルーター1 |------------+-----------| ルーター2 |.2 |----| PC | +----+ | +-----------+<=========+ | +-----------+ | +----+ | || | | 192.168.100.0/24 || | 192.168.100.0/24 || | || | IPアドレス: || | 203.0.113.3 || | LAN2+-----------+LAN1 | || +-----------| ヤマハ |-----| .12+----+ +=============>| ルーター3 |.3 |----| PC | L2VPN2 +-----------+ | +----+ | 192.168.100.0/24 - ヤマハルーター1の設定例
【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 tunnel2 ip bridge1 address 192.168.100.1/24 【LAN設定】 ip lan2 address 203.0.113.1/24 【L2TPv3接続(L2VPN1)で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3-raw tunnel endpoint address 192.168.100.1 203.0.113.2 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT1 l2tp syslog on l2tp local router-id 192.168.100.1 l2tp remote router-id 192.168.100.2 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【L2TPv3接続(L2VPN2)で使用するトンネルの設定】 tunnel select 2 tunnel encapsulation l2tpv3-raw tunnel endpoint address 192.168.100.1 203.0.113.3 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT1 l2tp syslog on l2tp local router-id 192.168.100.1 l2tp remote router-id 192.168.100.3 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 2 【NAT設定】 ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 203.0.113.1 nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.1 udp 1701 【L2TPv3設定】 l2tp service on l2tpv3
- ヤマハルーター2の設定例
【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.2/24 【LAN設定】 ip lan2 address 203.0.113.2/24 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3-raw tunnel endpoint address 192.168.100.2 203.0.113.1 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT2 l2tp syslog on l2tp local router-id 192.168.100.2 l2tp remote router-id 192.168.100.1 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 203.0.113.2 nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.2 udp 1701 【L2TPv3設定】 l2tp service on l2tpv3
- ヤマハルーター3の設定例
【ブリッジ機能】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.3/24 【LAN設定】 ip lan2 address 203.0.113.3/24 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3-raw tunnel endpoint address 192.168.100.3 203.0.113.1 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT3 l2tp syslog on l2tp local router-id 192.168.100.3 l2tp remote router-id 192.168.100.1 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 203.0.113.3 nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.3 udp 1701 【L2TPv3設定】 l2tp service on l2tpv3
【設定例3:2拠点間でのL2TPv3を用いたL2VPNの構築(IPv6ネットワーク上)】
ヤマハルーター1とヤマハルーター2の間でIPv6ネットワーク上でL2TPv3を用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
- ヤマハルーター1
- LAN2側のIPアドレス : 2000::1
- LAN1側のIPアドレス : 192.168.100.1/24
- L2TPv3のホスト名 : YAMAHA-RT1
- L2TPv3のRouter ID : 192.168.100.1
- ヤマハルーター2
- LAN2側のIPアドレス : 2000::2
- LAN1側のIPアドレス : 192.168.100.2/24
- L2TPv3のホスト名 : YAMAHA-RT2
- L2TPv3のRouter ID : 192.168.100.2
- L2TPv3に関連した設定(両ルーターで共通)
- L2TPv3の自動接続 : 有り
- L2TPv3トンネル認証 : あり (パスワード : yamaha)
- L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
- L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
- L2TPv3キープアライブのログ出力 : 有り
- L2TPv3のコネクション制御に関するログ出力 : 有り
- L2TPv3のRemote End ID : yamaha
- 構成図
IPアドレス: IPアドレス: 2000::1/64 2000::2/64 | LAN1+-----------+LAN2 LAN2+-----------+LAN1 | +----+.10 |-----| ヤマハ |------------------------| ヤマハ |-----| .11+----+ | PC |-----| .1| ルーター1 | <====================> | ルーター2 |.2 |----| PC | +----+ | +-----------+ L2VPN +-----------+ | +----+ | | 192.168.100.0/24 192.168.100.0/24 - ヤマハルーター1の設定例
【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.1/24 【LAN設定】 ipv6 lan2 address 2000::1/64 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3-raw tunnel endpoint address 2001::1 2000::2 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT1 l2tp syslog on l2tp local router-id 192.168.100.1 l2tp remote router-id 192.168.100.2 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【L2TPv3設定】 l2tp service on l2tpv3
- ヤマハルーター2の設定例
【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.2/24 【LAN設定】 ipv6 lan2 address 2000::2/64 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3-raw tunnel endpoint address 2000::2 2000::1 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT2 l2tp syslog on l2tp local router-id 192.168.100.2 l2tp remote router-id 192.168.100.1 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【L2TPv3設定】 l2tp service on l2tpv3
L2TPv3/IPsecの設定例
【設定例4:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(両方の拠点が固定アドレス)】ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
- ヤマハルーター1
- プロバイダ接続するPPのIPアドレス : 203.0.113.1
- LAN1側のIPアドレス : 192.168.100.1/24
- L2TPv3のホスト名 : YAMAHA-RT1
- L2TPv3のRouter ID : 192.168.100.1
- ヤマハルーター2
- プロバイダ接続するPPのIPアドレス : 203.0.113.2
- LAN1側のIPアドレス : 192.168.100.2/24
- L2TPv3のホスト名 : YAMAHA-RT2
- L2TPv3のRouter ID : 192.168.100.2
- L2TPv3に関連した設定(両ルーターで共通)
- L2TPv3の自動接続 : 有り
- L2TPv3トンネル認証 : あり (パスワード : yamaha)
- L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
- L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
- L2TPv3キープアライブのログ出力 : 有り
- L2TPv3のコネクション制御に関するログ出力 : 有り
- L2TPv3のRemote End ID : yamaha
- IPsecに関連した設定(両ルーターで共通(mainモード))
- 暗号化アルゴリズム : aes-cbc
- 認証方式 : sha-hmac
- IKEキープアライブ : 使用する
- IKEキープアライブのログ出力 : 有り
- NATトラバーサル : 無効
- 事前共有鍵 : yamaha
- 構成図
IPアドレス: IPアドレス名: 203.0.113.1 203.0.113.2 | LAN1+-----------+LAN2 LAN2+-----------+LAN1 | +----+.10 |-----| ヤマハ |--------Internet--------| ヤマハ |-----| .11+----+ | PC |-----| .1| ルーター1 |PPPoE PPPoE| ルーター2 |.2 |----| PC | +----+ | +-----------+ +-----------+ | +----+ | <======================> | 192.168.100.0/24 L2VPN 192.168.100.0/24 - ヤマハルーター1の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.1/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ccp type none ip pp address 203.0.113.1/24 ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.100.1 203.0.113.2 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.100.1 ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 203.0.113.2 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT1 l2tp syslog on l2tp local router-id 192.168.100.1 l2tp remote router-id 192.168.100.2 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.1 udp 500 nat descriptor masquerade static 1 2 192.168.100.1 esp nat descriptor masquerade static 1 3 192.168.100.1 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3
- ヤマハルーター2の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.2/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ccp type none ip pp address 203.0.113.2/24 ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.100.2 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.100.2 ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 203.0.113.1 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT2 l2tp syslog on l2tp local router-id 192.168.100.2 l2tp remote router-id 192.168.100.1 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.2 udp 500 nat descriptor masquerade static 1 2 192.168.100.2 esp nat descriptor masquerade static 1 3 192.168.100.2 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3
※プロバイダ接続用のPPインターフェースにフィルターを設定している場合には 以下のフィルター設定を追加する必要があります。環境に応じて適切な設定 を追加してください。 pp select 1 ip pp secure filter in ... 200080 200081 200082 200083... ip filter 200080 pass * 192.168.100.X esp * * ip filter 200081 pass * 192.168.100.X udp * 500 ip filter 200082 pass * 192.168.100.X udp * 1701 ip filter 200083 pass * 192.168.100.X udp * 4500
【設定例5:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(片方の拠点が固定アドレス)】
ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
- ヤマハルーター1
- プロバイダ接続するPPのIPアドレス : 203.0.113.1
- LAN1側のIPアドレス : 192.168.100.1/24
- L2TPv3のホスト名 : YAMAHA-RT1
- L2TPv3のRouter ID : 192.168.100.1
- ヤマハルーター2
- プロバイダ接続するPPのIPアドレス : 不定
- LAN1側のIPアドレス : 192.168.100.2/24
- L2TPv3のホスト名 : YAMAHA-RT2
- L2TPv3のRouter ID : 192.168.100.2
- L2TPv3に関連した設定(両ルーターで共通)
- L2TPv3の自動接続 : 有り
- L2TPv3トンネル認証 : あり (パスワード : yamaha)
- L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
- L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
- L2TPv3キープアライブのログ出力 : 有り
- L2TPv3のコネクション制御に関するログ出力 : 有り
- L2TPv3のRemote End ID : yamaha
- IPsecに関連した設定(両ルーターで共通(aggressiveモード))
- 暗号化アルゴリズム : aes-cbc
- 認証方式 : sha-hmac
- IKEキープアライブ : 使用する
- IKEキープアライブのログ出力 : 有り
- NATトラバーサル : 有効
- 事前共有鍵 : yamaha
- local nameおよびremote name : l2tpv3
- 構成図
IPアドレス: IPアドレス: 203.0.113.1 不定 | LAN1+-----------+LAN2 LAN2+-----------+LAN1 | +----+.10 |-----| ヤマハ |---------Internet-------| ヤマハ |-----| .11+----+ | PC |-----| .1| ルーター1 |PPPoE PPPoE| ルーター2 |.2 |----| PC | +----+ | +-----------+ +-----------+ | +----+ | <======================> | 192.168.100.0/24 L2VPN 192.168.100.0/24 - ヤマハルーター1の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.1/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ccp type none ip pp address 203.0.113.1/24 ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.100.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 any ipsec ike remote name 1 l2tpv3 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT1 l2tp syslog on l2tp local router-id 192.168.100.1 l2tp remote router-id 192.168.100.2 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.1 udp 500 nat descriptor masquerade static 1 2 192.168.100.1 esp nat descriptor masquerade static 1 3 192.168.100.1 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3
- ヤマハルーター2の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.2/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.100.2 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.100.2 ipsec ike local name 1 l2tpv3 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 203.0.113.1 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT2 l2tp syslog on l2tp local router-id 192.168.100.2 l2tp remote router-id 192.168.100.1 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.2 udp 500 nat descriptor masquerade static 1 2 192.168.100.2 esp nat descriptor masquerade static 1 3 192.168.100.2 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3
※プロバイダ接続用のPPインターフェースにフィルターを設定している場合には 以下のフィルター設定を追加する必要があります。環境に応じて適切な設定 を追加してください。 pp select 1 ip pp secure filter in ... 200080 200081 200082 200083... ip filter 200080 pass * 192.168.100.X esp * * ip filter 200081 pass * 192.168.100.X udp * 500 ip filter 200082 pass * 192.168.100.X udp * 1701 ip filter 200083 pass * 192.168.100.X udp * 4500
【設定例6:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(両方の拠点が不定アドレス)】
ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
ヤマハルーター1では、ネットボランチDNSサービスを利用します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
- ヤマハルーター1
- プロバイダ接続するPPのIPアドレス : 不定
- LAN2側のホスト名 : XXX.aaX.netvolante.jp
- LAN1側のIPアドレス : 192.168.100.1/24
- L2TPv3のホスト名 : YAMAHA-RT1
- L2TPv3のRouter ID : 192.168.100.1
- ヤマハルーター2
- プロバイダ接続するPPのIPアドレス : 不定
- LAN1側のIPアドレス : 192.168.100.2/24
- L2TPv3のホスト名 : YAMAHA-RT2
- L2TPv3のRouter ID : 192.168.100.2
- L2TPv3に関連した設定(両ルーターで共通)
- L2TPv3の自動接続 : 有り
- L2TPv3トンネル認証 : あり (パスワード : yamaha)
- L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
- L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
- L2TPv3キープアライブのログ出力 : 有り
- L2TPv3のコネクション制御に関するログ出力 : 有り
- L2TPv3のRemote End ID : yamaha
- IPsecに関連した設定(両ルーターで共通(aggressiveモード))
- 暗号化アルゴリズム : aes-cbc
- 認証方式 : sha-hmac
- IKEキープアライブ : 使用する
- IKEキープアライブのログ出力 : 有り
- NATトラバーサル : 有効
- 事前共有鍵 : yamaha
- local nameおよびremote name : l2tpv3
- 構成図
ホスト名: IPアドレス: XXX.aaX.netvolante.jp 不定 | LAN1+-----------+LAN2 LAN2+-----------+LAN1 | +----+.10 |-----| ヤマハ |---------Internet-------| ヤマハ |-----| .11+----+ | PC |-----| .1| ルーター1 |PPPoE PPPoE| ルーター2 |.2 |----| PC | +----+ | +-----------+ +-----------+ | +----+ | <======================> | 192.168.100.0/24 L2VPN 192.168.100.0/24 - ヤマハルーター1の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.1/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns hostname host pp server=1 XXX.aaX.netvolante.jp pp enable 1 【DNSサーバーの設定】 dns server pp 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.100.1 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 any ipsec ike remote name 1 l2tpv3 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT1 l2tp syslog on l2tp local router-id 192.168.100.1 l2tp remote router-id 192.168.100.2 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.1 udp 500 nat descriptor masquerade static 1 2 192.168.100.1 esp nat descriptor masquerade static 1 3 192.168.100.1 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3
- ヤマハルーター2の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.2/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【DNSサーバーの設定】 dns server pp 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint name XXX.aaX.netvolante.jp ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.100.2 ipsec ike local name 1 l2tpv3 ipsec ike nat-traversal 1 on ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 XXX.aaX.netvolante.jp l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT2 l2tp syslog on l2tp local router-id 192.168.100.2 l2tp remote router-id 192.168.100.1 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.2 udp 500 nat descriptor masquerade static 1 2 192.168.100.2 esp nat descriptor masquerade static 1 3 192.168.100.2 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3
※プロバイダ接続用のPPインターフェースにフィルターを設定している場合には 以下のフィルター設定を追加する必要があります。環境に応じて適切な設定 を追加してください。 pp select 1 ip pp secure filter in ... 200080 200081 200082 200083... ip filter 200080 pass * 192.168.100.X esp * * ip filter 200081 pass * 192.168.100.X udp * 500 ip filter 200082 pass * 192.168.100.X udp * 1701 ip filter 200083 pass * 192.168.100.X udp * 4500
【設定例7:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(NGN網内折り返し、フレッツ・v6オプション契約使用)】
ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
NGN網内での折り返し通信をします。
ヤマハルーター1では、フレッツ・v6オプションの「ネーム」サービスを利用します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
- ヤマハルーター1
- LAN2側のIPv6アドレス : 不定
- LAN2側のホスト名 : XXX.p-ns.flets-west.jp (NTT東の場合は XXX.aoi.flets-east.jp となります)
- LAN1側のIPアドレス : 192.168.100.1/24
- L2TPv3のホスト名 : YAMAHA-RT1
- L2TPv3のRouter ID : 192.168.100.1
- ヤマハルーター2
- LAN2側のIPv6アドレス : 不定
- LAN1側のIPアドレス : 192.168.100.2/24
- L2TPv3のホスト名 : YAMAHA-RT2
- L2TPv3のRouter ID : 192.168.100.2
- L2TPv3に関連した設定(両ルーターで共通)
- L2TPv3の自動接続 : 有り
- L2TPv3トンネル認証 : あり (パスワード : yamaha)
- L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
- L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
- L2TPv3キープアライブのログ出力 : 有り
- L2TPv3のコネクション制御に関するログ出力 : 有り
- L2TPv3のRemote End ID : yamaha
- IPsecに関連した設定(両ルーターで共通(aggressiveモード))
- 暗号化アルゴリズム : aes256-cbc
- 認証方式 : sha256-hmac
- IKEキープアライブ : 使用する
- IKEキープアライブのログ出力 : 有り
- NATトラバーサル : 無効
- 事前共有鍵 : yamaha
- local nameおよびremote name : l2tpv3
- 構成図
ホスト名: IPアドレス: XXX.p-ns.flets-west.jp 不定 | LAN1+-----------+LAN2 LAN2+-----------+LAN1 | +----+.10 |-----| ヤマハ |---------- NGN ---------| ヤマハ |-----| .11+----+ | PC |-----| .1| ルーター1 |RA RA| ルーター2 |.2 |----| PC | +----+ | +-----------+ +-----------+ | +----+ | <======================> | 192.168.100.0/24 L2VPN 192.168.100.0/24 - ヤマハルーター1の設定例
【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.1/24 【NGNとの接続設定】 ipv6 lan2 address ra-prefix@lan2::1/64 ipv6 lan2 dhcp service client ir=on 【DNSサーバーの設定】 dns server dhcp lan2 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 ipsec tunnel 101 ipsec sa policy 101 1 esp aes256-cbc sha256-hmac ipsec ike keepalive log 1 on ipsec ike keepalive use 1 on ipsec ike local address 1 ipv6 prefix ra-prefix@lan2::1 on lan2 ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 any ipsec ike remote name 1 l2tpv3 l2tp always-on on l2tp hostname YAMAHA-RT1 l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp syslog on l2tp local router-id 192.168.100.1 l2tp remote router-id 192.168.100.2 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3 【フィルターの設定】 ipv6 lan2 secure filter in 1 2 3 4 5 100 ipv6 lan2 secure filter out 200 dynamic 81 98 99 ipv6 filter 1 pass * * icmp6 * * ipv6 filter 2 pass * * esp * * ipv6 filter 3 pass * * udp * 500 ipv6 filter 4 pass * * udp * 1701 ipv6 filter 5 pass * * udp * 546 ipv6 filter 100 reject * * * * * ipv6 filter 200 pass * * * * * ipv6 filter dynamic 81 * * domain ipv6 filter dynamic 98 * * tcp ipv6 filter dynamic 99 * * udp
- ヤマハルーター2の設定例
【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.2/24 【NGNとの接続設定】 ipv6 lan2 address ra-prefix@lan2::1/64 ipv6 lan2 dhcp service client ir=on 【DNSサーバーの設定】 dns server dhcp lan2 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint name XXX.p-ns.flets-west.jp fqdn ipsec tunnel 101 ipsec sa policy 101 1 esp aes256-cbc sha256-hmac ipsec ike keepalive log 1 on ipsec ike keepalive use 1 on ipsec ike local address 1 ipv6 prefix ra-prefix@lan2::1 on lan2 ipsec ike local name 1 l2tpv3 ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 XXX.p-ns.flets-west.jp l2tp always-on on l2tp hostname YAMAHA-RT2 l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp syslog on l2tp local router-id 192.168.100.2 l2tp remote router-id 192.168.100.1 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3 【フィルターの設定】 ipv6 lan2 secure filter in 1 2 3 4 5 100 ipv6 lan2 secure filter out 200 dynamic 81 98 99 ipv6 filter 1 pass * * icmp6 * * ipv6 filter 2 pass * * esp * * ipv6 filter 3 pass * * udp * 500 ipv6 filter 4 pass * * udp * 1701 ipv6 filter 5 pass * * udp * 546 ipv6 filter 100 reject * * * * * ipv6 filter 200 pass * * * * * ipv6 filter dynamic 81 * * domain ipv6 filter dynamic 98 * * tcp ipv6 filter dynamic 99 * * udp
【設定例8:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(両方の拠点にDHCPサーバーが存在)】
ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
両方の拠点には、DHCPサーバーがそれぞれ存在します。各拠点のDHCPサーバーは、自分の拠点の端末にだけDHCPによるIPアドレスの割り当てを行います。
IPアドレスの衝突を避けるため、各拠点のDHCPサーバーのIPアドレスの割り当て範囲は、重複しないように設定します。
- ヤマハルーター1
- プロバイダ接続するPPのIPアドレス : 203.0.113.1
- LAN1側のIPアドレス : 192.168.100.1/24
- L2TPv3のホスト名 : YAMAHA-RT1
- L2TPv3のRouter ID : 192.168.100.1
- DHCPで割り当てるIPアドレスの範囲:192.168.100.2-192.168.100.127
- ヤマハルーター2
- プロバイダ接続するPPのIPアドレス : 203.0.113.2
- LAN1側のIPアドレス : 192.168.100.254/24
- L2TPv3のホスト名 : YAMAHA-RT2
- L2TPv3のRouter ID : 192.168.100.2
- DHCPで割り当てるIPアドレスの範囲:192.168.100.128-192.168.100.253
- L2TPv3に関連した設定(両ルーターで共通)
- L2TPv3の自動接続 : 有り
- L2TPv3トンネル認証 : あり (パスワード : yamaha)
- L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
- L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
- L2TPv3キープアライブのログ出力 : 有り
- L2TPv3のコネクション制御に関するログ出力 : 有り
- L2TPv3のRemote End ID : yamaha
- IPsecに関連した設定(両ルーターで共通(mainモード))
- 暗号化アルゴリズム : aes-cbc
- 認証方式 : sha-hmac
- IKEキープアライブ : 使用する
- IKEキープアライブのログ出力 : 有り
- NATトラバーサル : 無効
- 事前共有鍵 : yamaha
- 構成図
IPアドレス: IPアドレス: 203.0.113.1 203.0.113.2 | LAN1+-----------+LAN2 LAN2+-----------+LAN1 | +----+.10 |-----| ヤマハ |--------Internet--------| ヤマハ |-----| .140+----+ | PC |-----| .1| ルーター1 |PPPoE PPPoE| ルーター2 |.254 |-----| PC | +----+ | +-----------+ +-----------+ | -+----+ | <======================> | 192.168.100.0/24 L2VPN 192.168.100.0/24 <----------> <---------> ヤマハルーター1のDHCPサーバーが ヤマハルーター2のDHCPサーバーが IP アドレスを割り当てるセグメント IP アドレスを割り当てるセグメント - ヤマハルーター1の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.1/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ccp type none ip pp address 203.0.113.1/24 ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.100.1 203.0.113.2 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.100.1 ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 203.0.113.2 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT1 l2tp syslog on l2tp local router-id 192.168.100.1 l2tp remote router-id 192.168.100.254 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.1 udp 500 nat descriptor masquerade static 1 2 192.168.100.1 esp nat descriptor masquerade static 1 3 192.168.100.1 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3 【フィルターの設定】 tunnel select 1 ip tunnel secure filter in 1 2 ip filter 1 reject * * udp dhcps,dhcpc dhcps,dhcpc ip filter 2 pass * * 【DHCP設定】 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.127/24
- ヤマハルーター2の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.254/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ccp type none ip pp address 203.0.113.2/24 ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.100.254 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.100.254 ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 203.0.113.1 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT2 l2tp syslog on l2tp local router-id 192.168.100.254 l2tp remote router-id 192.168.100.1 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.254 udp 500 nat descriptor masquerade static 1 2 192.168.100.254 esp nat descriptor masquerade static 1 3 192.168.100.254 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3 【フィルターの設定】 tunnel select 1 ip tunnel secure filter in 1 2 ip filter 1 reject * * udp dhcps,dhcpc dhcps,dhcpc ip filter 2 pass * * 【DHCP設定】 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.128-192.168.100.253/24
※プロバイダ接続用のPPインターフェースにフィルターを設定している場合には 以下のフィルター設定を追加する必要があります。環境に応じて適切な設定 を追加してください。 pp select 1 ip pp secure filter in ... 200080 200081 200082 200083... ip filter 200080 pass * 192.168.100.X esp * * ip filter 200081 pass * 192.168.100.X udp * 500 ip filter 200082 pass * 192.168.100.X udp * 1701 ip filter 200083 pass * 192.168.100.X udp * 4500
L2TPv3とL2MS
L2TPv3では、L2MSパケットも他のイーサフレームと同様にカプセル化することができます。遠隔にあるヤマハ製のスイッチやアクセスポイントを1拠点でまとめて管理下におくことができます。
ヤマハ製のルーターをL2MSの管理下に置く場合は、対象のルーターのL2MSの動作モードをエージェントモードにしてください。ヤマハ製のルーターをL2MSの管理下に置かない場合は、対象のルーターのL2MSを無効にしてください。L2MSの動作モードの詳細はL2MSを参照してください。
L2TPv3とL2MSのマネージャーとの併用に対応している場合、L2TPv3トンネルの端点となっているルーターをL2MSのマネージャーにすることができます。L2TPv3とL2MSのマネージャーとの併用が可能な機種およびファームウェアについては、対応機種とファームウェアリビジョンを参照してください。
L2TPv3とL2MSのマネージャーとの併用に対応していない場合、L2TPv3トンネルの端点となっているルーターをL2MSのマネージャーにすることはできません。以下のようにL2TPv3トンネルの端点ではないルーターをL2MSのマネージャーとしてヤマハ製のスイッチやアクセスポイントを管理下におくことができます。この場合は、L2TPv3トンネルの端点となるルーターではL2MSを無効にしてください。
L2TPv3とタグVLANの併用
L2TPv3では、IEEE802.1Qタグが付加されたL2フレームを受信した場合でもタグが付加されたままL2TPv3トンネルへブリッジングすることができます。 L2TPv3の端点となるルーター以外に、タグVLANでネットワークを管理するルーターを設置することで、自拠点と遠隔拠点で同じセグメントのVLANネットワークを構築することができます。 この構成は、L2TPv3に対応したすべての機種およびリビジョンで実現可能です。
上図では、GATEWAYでタグVLANを設定することにより自拠点でVLANネットワークを構築しつつ、RT1-RT2間で構築されたL2TPv3トンネルを経由して遠隔拠点でも自拠点と同じセグメントのVLANネットワークを構築しています。また、GATEWAYでDHCPサーバー機能を有効にすることで遠隔拠点のVLANネットワークにもIPアドレスを配布することができます。このとき、遠隔拠点にある端末のインターネットアクセスはGATEWAY経由となります。
上図の構成での設定例は以下のとおりです。
- GATEWAYの設定例
【経路設定】 ip route default gateway pp 1 ip lan1 address 192.168.100.1/24 【タグVLAN設定】 vlan lan1/1 802.1q vid=100 name=VLAN1 ip lan1/1 address 192.168.1.1/24 vlan lan1/2 802.1q vid=200 name=VLAN2 ip lan1/2 address 192.168.2.1/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.254 udp 500 nat descriptor masquerade static 1 2 192.168.100.254 esp nat descriptor masquerade static 1 3 192.168.100.254 udp 4500 【DHCP設定】 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24 dhcp scope 2 192.168.1.3-192.168.1.191/24 dhcp scope 3 192.168.2.3-192.168.2.191/24 【スイッチ設定】 switch control use lan1 on switch select lan1:1 switch control function set vlan-port-mode 1 hybrid switch control function set vlan-access 3 100 switch control function set vlan-access 4 100 switch control function set vlan-access 5 100 switch control function set vlan-access 6 200 switch control function set vlan-access 7 200 switch control function set vlan-access 8 200 switch control function set vlan-trunk 1 100 join switch control function set vlan-trunk 1 200 join
- RT1の設定例
【経路設定】 ip route default gateway 192.168.100.1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.254/24 【タグVLAN設定】 vlan lan1/1 802.1q vid=100 name=VLAN1 # ※ この設定は、1500バイトのタグ付きパケットを通すために必要な設定です。 # 以下の機種、リビジョンでは仕様変更によりこの設定は不要になります。 # - RTX5000/RTX3500 Rev.14.00.26 以降 # - RTX1210 Rev.14.01.26 以降 # - NVR700W Rev.15.00.14 以降 # - RTX830 Rev.15.02.03 以降 # - RTX1220 すべてのリビジョン # - RTX1300 すべてのリビジョン # - RTX3510 すべてのリビジョン # - vRX VMware ESXi版 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.100.254 203.0.113.2 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 on ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.100.254 ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 203.0.113.2 l2tp always-on on l2tp hostname YAMAHA-RT1 l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp syslog on l2tp local router-id 192.168.100.254 l2tp remote router-id 192.168.100.253 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3
- RT2の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.253/24 【タグVLAN設定】 vlan lan1/1 802.1q vid=100 name=VLAN1 # ※ この設定は、1500バイトのタグ付きパケットを通すために必要な設定です。 # 以下の機種、リビジョンでは仕様変更によりこの設定は不要になります。 # - RTX5000/RTX3500 Rev.14.00.26 以降 # - RTX1210 Rev.14.01.26 以降 # - NVR700W Rev.15.00.14 以降 # - RTX830 Rev.15.02.03 以降 # - RTX1220 すべてのリビジョン # - RTX1300 すべてのリビジョン # - RTX3510 すべてのリビジョン # - vRX VMware ESXi版 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.100.253 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive log 1 on ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.100.253 ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 203.0.113.1 l2tp always-on on l2tp hostname YAMAHA-RT2 l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp syslog on l2tp local router-id 192.168.100.253 l2tp remote router-id 192.168.100.254 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.253 udp 500 nat descriptor masquerade static 1 2 192.168.100.253 esp nat descriptor masquerade static 1 3 192.168.100.253 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3 【スイッチ設定】 switch control mode agent switch select lan1:1 switch control function set vlan-port-mode 1 hybrid switch control function set vlan-access 3 100 switch control function set vlan-access 4 100 switch control function set vlan-access 5 100 switch control function set vlan-access 6 200 switch control function set vlan-access 7 200 switch control function set vlan-access 8 200 switch control function set vlan-trunk 1 100 join switch control function set vlan-trunk 1 200 join
ヤマハルーターでは、上記のような構成は実現可能である一方で、1台のルーター上でタグVLANによってVLANネットワークを管理しつつL2TPv3トンネルを構築することができませんでした。この制限に対して機能追加を行い、L2TPv3とタグVLANを同時に使用できるようになりました。タグVLANでネットワークが構成された拠点で、既存のネットワークを変更することなく、L2TPv3を用いたL2VPNを導入することができます。L2TPv3とタグVLANの併用が可能な機種およびファームウェアについては、対応機種とファームウェアリビジョンを参照してください。
上図では、VLAN1、VLAN2、LAN1(タグ無し)の3つのセグメントが構築された既存のネットワークにおいてL2TPv3を導入することで、遠隔拠点でもLAN1(タグ無し)のセグメントを構築できます。
上図の構成での設定例は以下のとおりです。
- RT1の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.1/24 【タグVLAN設定】 vlan lan1/1 802.1q vid=100 name=VLAN1 ip lan1/1 address 192.168.1.1/24 vlan lan1/2 802.1q vid=200 name=VLAN2 ip lan1/2 address 192.168.2.1/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ccp type none ppp ipcp ipaddress on ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.100.1 203.0.113.2 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.100.1 ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 203.0.113.2 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT1 l2tp syslog on l2tp local router-id 192.168.100.1 l2tp remote router-id 192.168.100.2 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.1 udp 500 nat descriptor masquerade static 1 2 192.168.100.1 esp nat descriptor masquerade static 1 3 192.168.100.1 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3 【DHCP設定】 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.3-192.168.100.191/24 dhcp scope 2 192.168.1.3-192.168.1.191/24 dhcp scope 3 192.168.2.3-192.168.2.191/24 【スイッチ設定】 switch control use lan1 on switch select lan1:1 switch control function set vlan-port-mode 1 hybrid switch control function set vlan-access 3 100 switch control function set vlan-access 4 100 switch control function set vlan-access 5 100 switch control function set vlan-access 6 200 switch control function set vlan-access 7 200 switch control function set vlan-access 8 200 switch control function set vlan-trunk 1 100 join switch control function set vlan-trunk 1 200 join
- RT2の設定例
【経路設定】 ip route default gateway pp 1 【ブリッジ設定】 bridge member bridge1 lan1 tunnel1 ip bridge1 address 192.168.100.2/24 【プロバイダとの接続設定】 pp select 1 pp always-on on pppoe use lan2 pp auth accept (認証方式) pp auth myname (ユーザ名) (パスワード) ppp lcp mru on 1454 ppp ccp type none ppp ipcp ipaddress on ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 【L2TPv3接続で使用するトンネルの設定】 tunnel select 1 tunnel encapsulation l2tpv3 tunnel endpoint address 192.168.100.2 203.0.113.1 ipsec tunnel 101 ipsec sa policy 101 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike keepalive log 1 on ipsec ike local address 1 192.168.100.2 ipsec ike pre-shared-key 1 text yamaha ipsec ike remote address 1 203.0.113.1 l2tp always-on on l2tp tunnel auth on yamaha l2tp tunnel disconnect time off l2tp keepalive use on 60 3 l2tp keepalive log on l2tp hostname YAMAHA-RT2 l2tp syslog on l2tp local router-id 192.168.100.2 l2tp remote router-id 192.168.100.1 l2tp remote end-id yamaha ip tunnel tcp mss limit auto tunnel enable 1 【NAT設定】 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.100.2 udp 500 nat descriptor masquerade static 1 2 192.168.100.2 esp nat descriptor masquerade static 1 3 192.168.100.2 udp 4500 【IPsecのトランスポートモード設定】 ipsec transport 1 101 udp 1701 ipsec auto refresh on 【L2TPv3設定】 l2tp service on l2tpv3
SYSLOGメッセージ一覧
本機能において出力されるSYSLOGメッセージを以下に示します。
| レベル | 出力メッセージ | 意味 |
|---|---|---|
| INFO | [L2TP] opend port 1701/udp | UDPのポート番号1701を開放 |
| [L2TP] closed port 1701/udp | UDPのポート番号1701を閉鎖 | |
| [L2TPv3] TUNNEL[XX] connected from IPアドレス | コネクション確立要求(SCCRQ)を受信 | |
| [L2TPv3] TUNNEL[XX] connect to IPアドレス | コネクション確立要求(SCCRQ)を送信 | |
| [L2TPv3] TUNNEL[XX] tunnel トンネル番号 established | L2TPトンネルが確立 | |
| [L2TPv3] TUNNEL[XX] session セッション番号 established | L2TPセッションが確立 | |
| [L2TPv3] TUNNEL[XX] disconnecting tunnel トンネル番号 | L2TPトンネルの切断処理を実行中 | |
| [L2TPv3] TUNNEL[XX] disconnect tunnel トンネル番号 complete | L2TPトンネルの削除が完了 | |
| [L2TPv3] TUNNEL[XX] disconnect session セッション番号 complete | L2TPセッションの削除が完了 | |
| [L2TPv3] TUNNEL[XX] state timer for waiting L2TP制御メッセージ expired | L2TP制御メッセージの受信待ちタイマーが満了したため、L2TPトンネルの切断処理を開始 | |
| [L2TPv3] TUNNEL[XX] disconnect timer expired tunnel トンネル番号 | L2TP切断タイマーが満了したため、L2TPトンネルの切断処理を開始 | |
| [L2TPv3] TUNNEL[XX] keepalive timer expired tunnel トンネル番号 | L2TPキープアライブで接続先のダウンを検出したため、L2TPトンネルの切断処理を開始 | |
| [L2TPv3] TUNNEL[XX] authentication error tunnel トンネル番号 | L2TPトンネル認証エラーにより、L2TPトンネルの切断処理を開始 | |
| DEBUG | [L2TPv3] can't find tunnel number | 接続を受けるためのトンネルインターフェースがみつからない |
| [L2TPv3] receive wrong header | 不正なL2TPヘッダを含むL2TPメッセージを受信 | |
| [L2TPv3] router-id mismatched tunnel | 受信したRouter ID AVPの内容とl2tp remote route-idコマンドの設定値が不一致 | |
| [L2TPv3] remote end-id not exist | Remote End ID AVPが含まれないICRQメッセージを受信 | |
| [L2TPv3] remote end-id mismatched | Remote End ID AVPの内容とl2tp remote end-idコマンドの設定値が不一致 | |
| [L2TPv3] tunnel state mismatch L2TPメッセージ | L2TPトンネルの確立シーケンスの中で適切でないL2TPメッセージを受信 | |
| [L2TPv3] session state mismatch L2TPメッセージ | L2TPセッションの確立シーケンスの中で適切でないL2TPメッセージを受信 | |
| [L2TPv3] tie breaking tunnel L2TPトンネル番号 | L2TPトンネルの確立シーケンスの中で、タイブレークによりトンネルを切断 | |
| [L2TPv3] tie breaking session L2TPセッション番号 | L2TPセッションの確立シーケンスの中で、タイブレークによりトンネルを切断 | |
| [L2TPv3] AVP attr type illegal | 不正なタイプのAVPが含まれたL2TPメッセージを受信 | |
| [L2TP] wrong version header ver.XX | 未対応のL2TPバージョンのメッセージを受信 | |
| [L2TP] receive too small packet size:XX | 必要な長さを満たさないL2TPメッセージを受信 | |
| [L2TP] AVPs check error | 解析不能なAVPを受信 |