L2TPv3を用いたL2VPN

$Date: 2021/04/22 06:20:57 $


概要

L2TPv3 (Layer 2 Tunneling Protocol version 3) は、データリンク層(L2)でのVPN接続 (L2VPN)を実現するトンネリングプロトコルです。L2フレームをIPパケットとしてカプセル化することでルーター間でのL2フレーム転送を可能にし、複数の拠点で同一セグメントのネットワークを構築することができます。L2TPv3自体は暗号化の仕組みを持ちませんが、IPsecと併用することでデータの機密性や完全性を確保したVPN接続を実現するL2TPv3/IPsecがあります。ヤマハルーターでは、L2TPv3を用いたL2VPNおよびL2TPv3/IPsecを用いたL2VPNを構築することができます。

topology

L2TPv3トンネルは、ユニキャストパケット・マルチキャストパケット・ブロードキャストパケット・エニーキャストパケットなどすべてのイーサネットフレームを通すことができます。また、IEEE802.1Qタグが付加されたイーサネットフレームも通すことができます。

IPIPトンネリング、map-eトンネル環境下においてL2TPv3、L2TPv3/IPsec接続を利用することができます。
対応機種とファームウェアリビジョンについては 関連技術資料 に記載されているドキュメントを参照してください。


注意事項

ヤマハルーターでは、スマートフォンからのリモートアクセスVPNを対象としたL2TP/IPsecに対応しています。
L2TP/IPsecは、L2TPv2ベースの実装であり、拠点間でのL2VPNを実現するL2TPv3とは用途が異なります。

ヤマハルーターでサポートするL2TPv3には以下の制限があります。

対応機種とファームウェアリビジョン

ヤマハルーターでは以下の機種およびファームウェアで、L2TPv3をサポートしています。

機種 ファームウェア L2TPv3 L2TPv3/IPsec L2TPv3動作可能
最大トンネル数(※1)
タグVLAN機能との併用 L2MSのマスターとの併用 トンネルインターフェースのフィルタリング
vRX VMware ESXi版 すべてのリビジョン 99
(通常モード:6000 / コンパクトモード:1000)
- -
RTX1220 9
(100)
RTX830 Rev.15.02.01以降 1
(20)
-
Rev.15.02.03以降 1
(20)
NVR700W Rev.15.00.02以降 1
(6)
- -
Rev.15.00.10以降 1
(6)
-
Rev.15.00.14以降 1
(6)
RTX1210 Rev.14.01.09より前 9
(100)
- - -
Rev.14.01.09以降 9
(100)
- -
Rev.14.01.20以降 9
(100)
-
Rev.14.01.26以降 9
(100)
RTX5000 Rev.14.00.12以降 49
(3000)
- - -
Rev.14.00.18以降 49
(3000)
- -
Rev.14.00.26以降 49
(3000)
-
RTX3500 Rev.14.00.12以降 29
(1000)
- - -
Rev.14.00.18以降 29
(1000)
- -
Rev.14.00.26以降 29
(1000)
-
RTX810 Rev.11.01.21 1
(6)
- - -
Rev.11.01.25以降 1
(6)
- -
RTX1200 Rev.10.01.53
Rev.10.01.59
9
(100)
- - -
Rev.10.01.65以降 9
(100)
- -
※1 ... ()の中の数値は、VPN設定可能最大数です。
IPsec, PPTP, L2TP/IPsecのVPN設定を併用する場合はその合計数になります。

用語の定義

LAC (L2TP Access Concentrator)
L2TPトンネルの端点であり、L2TPコネクションの開始を要求する端末。
LNS (L2TP Network Server)
L2TPトンネルのLACに対峙する端点であり、L2TPコネクションの開始要求を受け付ける端末。

L2TPv3の詳細


L2TPv3とブリッジ機能

L2TPv3では、ブリッジ機能の拡張によってLANインターフェースとトンネルインターフェース間でL2フレームのブリッジングを行います。L2フレームの出力先インターフェースの選択方法などは、ブリッジ機能の仕様に従うため、L2TPv3を使用する場合はブリッジ機能を理解しておく必要があります。

ブリッジ機能の収容インターフェースとしてLANインターフェースおよびL2TPv3が動作するトンネルインターフェースを指定することで、LANインターフェースとトンネルインターフェースでL2フレームがブリッジされます。

収容インターフェースとして指定したLANインターフェースまたはトンネルインターフェースから受信したL2フレームやブリッジインターフェースから送信するL2フレームは、ブリッジ機能のラーニングテーブルを参照することで宛先のインターフェースが決定します。L2TPv3トンネルへL2フレームが流れる場合には、IP, UDP, L2TPv3の各ヘッダの付加によってカプセル化され、ルーティングテーブルに従って転送されます。ラーニングテーブルで宛先のインターフェースを決定するため、不要なパケットが他のインターフェースに出力されることを抑制することができます。学習したエントリーに一致するものがなかった場合には、受信インターフェースを除くすべての収容インターフェースにパケットが出力されます。

bridge

ファストパスに対応した機種であれば、L2TPv3トンネルへ転送されるL2フレームおよびL2TPv3トンネルから受信するL2フレームはファストパスで処理されます。ただし、以下のパケットはノーマルパスで処理されます。

ブリッジのラーニングテーブルに登録可能なMACアドレス数は以下の通りです。

機種 動的エントリ数 静的エントリ数
vRX VMware ESXi版 3000 300
RTX1220 256 32
RTX830 256 32
NVR700W 256 32
RTX1210 256 32
RTX5000 1500 150
RTX3500 900 90
RTX810 256 32
RTX1200 256 32

※静的エントリとは、bridge learning staticコマンドで設定可能なMACアドレス数です。


L2TPv3でのフィルタリング

L2TPv3では、収容インターフェースに以下のフィルターを設定することができます。

一方でブリッジインターフェースには次のフィルターを設定することができます。

収容インターフェースにフィルターを適用した場合、ブリッジ機能でのフィルタリングと同様にそれらのフィルターは下図のようにブリッジングの過程で処理されます。言い換えればこれらのフィルターはデータリンク層(L2)で適用されるようになります。(処理自体はL2で行われますが、必要に応じてパケットのIPヘッダ以降をチェックします)
その他のフィルタリングに関する注意点についてはブリッジ機能を参照してください。

filter1

ポリシーフィルター対応機種の場合

filter2

トンネルインターフェースのフィルタリング対応機種の場合

filter3

※1 out方向(送信方向)では、入力遮断フィルターは適用されません。in方向(受信方向)でのみ適用されます。
※2 out方向(送信方向)では、侵入検知機能はポリシーフィルターの後に適用されます。
※3 out方向(送信方向)では、IPフィルターはURLフィルターの前に適用されます。


L2TPv3に関連したコマンド

【新設コマンド】 【L2TP/IPsecと共通した設定】 【仕様拡張コマンド】

L2TPv3の設定例

【設定例1:2拠点間でのL2TPv3を用いたL2VPNの構築】

ヤマハルーター1とヤマハルーター2の間でL2TPv3を用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。


【設定例2:3拠点間でのL2TPv3を用いたL2VPNの構築】

ヤマハルーター1とヤマハルーター2, ヤマハルーター1とヤマハルーター3の間でL2TPv3を用いたL2VPNを構築します。
3ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
※注意点:ヤマハルーター2とヤマハルーター3の間で同じようにL2TPv3を用いたL2VPNを構築してしまうとL2フレームがループします。


【設定例3:2拠点間でのL2TPv3を用いたL2VPNの構築(IPv6ネットワーク上)】

ヤマハルーター1とヤマハルーター2の間でIPv6ネットワーク上でL2TPv3を用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。



L2TPv3/IPsecの設定例

【設定例4:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(両方の拠点が固定アドレス)】

ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。


【設定例5:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(片方の拠点が固定アドレス)】

ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。


【設定例6:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(両方の拠点が不定アドレス)】

ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
ヤマハルーター1では、ネットボランチDNSサービスを利用します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。


【設定例7:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(NGN網内折り返し、フレッツ・v6オプション契約使用)】

ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
NGN網内での折り返し通信をします。
ヤマハルーター1では、フレッツ・v6オプションの「ネーム」サービスを利用します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。


【設定例8:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(両方の拠点にDHCPサーバーが存在)】

ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
両方の拠点には、DHCPサーバーがそれぞれ存在します。各拠点のDHCPサーバーは、自分の拠点の端末にだけDHCPによるIPアドレスの割り当てを行います。 IPアドレスの衝突を避けるため、各拠点のDHCPサーバーのIPアドレスの割り当て範囲は、重複しないように設定します。



L2TPv3とL2MS

L2TPv3では、L2MSパケットも他のイーサフレームと同様にカプセル化することができます。遠隔にあるヤマハ製のスイッチやアクセスポイントを1拠点でまとめて管理下におくことができます。

ヤマハ製のルーターをL2MSの管理下に置く場合は、対象のルーターのL2MSの動作モードをスレーブモードにしてください。ヤマハ製のルーターをL2MSの管理下に置かない場合は、対象のルーターのL2MSを無効にしてください。L2MSの動作モードの詳細はL2MSを参照してください。

L2TPv3とL2MSのマスターとの併用に対応している場合、L2TPv3トンネルの端点となっているルーターをL2MSのマスターにすることができます。L2TPv3とL2MSのマスターとの併用が可能な機種およびファームウェアについては、対応機種とファームウェアリビジョンを参照してください。

L2TPv3とL2MSのマスターとの併用に対応していない場合、L2TPv3トンネルの端点となっているルーターをL2MSのマスターにすることはできません。以下のようにL2TPv3トンネルの端点ではないルーターをL2MSのマスターとしてヤマハ製のスイッチやアクセスポイントを管理下におくことができます。この場合は、L2TPv3トンネルの端点となるルーターではL2MSを無効にしてください。

switch_control

L2TPv3とタグVLANの併用

L2TPv3では、IEEE802.1Qタグが付加されたL2フレームを受信した場合でもタグが付加されたままL2TPv3トンネルへブリッジングすることができます。 L2TPv3の端点となるルーター以外に、タグVLANでネットワークを管理するルーターを設置することで、自拠点と遠隔拠点で同じセグメントのVLANネットワークを構築することができます。 この構成は、L2TPv3に対応したすべての機種およびリビジョンで実現可能です。

tagvlan1

上図では、GATEWAYでタグVLANを設定することにより自拠点でVLANネットワークを構築しつつ、RT1-RT2間で構築されたL2TPv3トンネルを経由して遠隔拠点でも自拠点と同じセグメントのVLANネットワークを構築しています。また、GATEWAYでDHCPサーバー機能を有効にすることで遠隔拠点のVLANネットワークにもIPアドレスを配布することができます。このとき、遠隔拠点にある端末のインターネットアクセスはGATEWAY経由となります。

上図の構成での設定例は以下のとおりです。


ヤマハルーターでは、上記のような構成は実現可能である一方で、1台のルーター上でタグVLANによってVLANネットワークを管理しつつL2TPv3トンネルを構築することができませんでした。この制限に対して機能追加を行い、L2TPv3とタグVLANを同時に使用できるようになりました。タグVLANでネットワークが構成された拠点で、既存のネットワークを変更することなく、L2TPv3を用いたL2VPNを導入することができます。L2TPv3とタグVLANの併用が可能な機種およびファームウェアについては、対応機種とファームウェアリビジョンを参照してください。

tagvlan2

上図では、VLAN1、VLAN2、LAN1(タグ無し)の3つのセグメントが構築された既存のネットワークにおいてL2TPv3を導入することで、遠隔拠点でもLAN1(タグ無し)のセグメントを構築できます。

上図の構成での設定例は以下のとおりです。


SYSLOGメッセージ一覧

本機能において出力されるSYSLOGメッセージを以下に示します。

レベル 出力メッセージ 意味
INFO [L2TP] opend port 1701/udp UDPのポート番号1701を開放
[L2TP] closed port 1701/udp UDPのポート番号1701を閉鎖
[L2TPv3] TUNNEL[XX] connected from IPアドレス コネクション確立要求(SCCRQ)を受信
[L2TPv3] TUNNEL[XX] connect to IPアドレス コネクション確立要求(SCCRQ)を送信
[L2TPv3] TUNNEL[XX] tunnel トンネル番号 established L2TPトンネルが確立
[L2TPv3] TUNNEL[XX] session セッション番号 established L2TPセッションが確立
[L2TPv3] TUNNEL[XX] disconnecting tunnel トンネル番号 L2TPトンネルの切断処理を実行中
[L2TPv3] TUNNEL[XX] disconnect tunnel トンネル番号 complete L2TPトンネルの削除が完了
[L2TPv3] TUNNEL[XX] disconnect session セッション番号 complete L2TPセッションの削除が完了
[L2TPv3] TUNNEL[XX] state timer for waiting L2TP制御メッセージ expired L2TP制御メッセージの受信待ちタイマーが満了したため、L2TPトンネルの切断処理を開始
[L2TPv3] TUNNEL[XX] disconnect timer expired tunnel トンネル番号 L2TP切断タイマーが満了したため、L2TPトンネルの切断処理を開始
[L2TPv3] TUNNEL[XX] keepalive timer expired tunnel トンネル番号 L2TPキープアライブで接続先のダウンを検出したため、L2TPトンネルの切断処理を開始
[L2TPv3] TUNNEL[XX] authentication error tunnel トンネル番号 L2TPトンネル認証エラーにより、L2TPトンネルの切断処理を開始
DEBUG [L2TPv3] can't find tunnel number 接続を受けるためのトンネルインターフェースがみつからない
[L2TPv3] receive wrong header 不正なL2TPヘッダを含むL2TPメッセージを受信
[L2TPv3] router-id mismatched tunnel 受信したRouter ID AVPの内容とl2tp remote route-idコマンドの設定値が不一致
[L2TPv3] remote end-id not exist Remote End ID AVPが含まれないICRQメッセージを受信
[L2TPv3] remote end-id mismatched Remote End ID AVPの内容とl2tp remote end-idコマンドの設定値が不一致
[L2TPv3] tunnel state mismatch L2TPメッセージ L2TPトンネルの確立シーケンスの中で適切でないL2TPメッセージを受信
[L2TPv3] session state mismatch L2TPメッセージ L2TPセッションの確立シーケンスの中で適切でないL2TPメッセージを受信
[L2TPv3] tie breaking tunnel L2TPトンネル番号 L2TPトンネルの確立シーケンスの中で、タイブレークによりトンネルを切断
[L2TPv3] tie breaking session L2TPセッション番号 L2TPセッションの確立シーケンスの中で、タイブレークによりトンネルを切断
[L2TPv3] AVP attr type illegal 不正なタイプのAVPが含まれたL2TPメッセージを受信
[L2TP] wrong version header ver.XX 未対応のL2TPバージョンのメッセージを受信
[L2TP] receive too small packet size:XX 必要な長さを満たさないL2TPメッセージを受信
[L2TP] AVPs check error 解析不能なAVPを受信

関連技術資料