L2TPv3を用いたL2VPN

概要

L2TPv3 (Layer 2 Tunneling Protocol version 3) は、データリンク層(L2)でのVPN接続 (L2VPN)を実現するトンネリングプロトコルです。L2フレームをIPパケットとしてカプセル化することでルーター間でのL2フレーム転送を可能にし、複数の拠点で同一セグメントのネットワークを構築することができます。L2TPv3自体は暗号化の仕組みを持ちませんが、IPsecと併用することでデータの機密性や完全性を確保したVPN接続を実現するL2TPv3/IPsecがあります。ヤマハルーターでは、L2TPv3を用いたL2VPNおよびL2TPv3/IPsecを用いたL2VPNを構築することができます。

L2TPv3トンネルは、ユニキャストパケット・マルチキャストパケット・ブロードキャストパケット・エニーキャストパケットなどすべてのイーサネットフレームを通すことができます。また、IEEE802.1Qタグが付加されたイーサネットフレームも通すことができます。

注意事項

ヤマハルーターでは、スマートフォンからのリモートアクセスVPNを対象としたL2TP/IPsecに対応しています。
L2TP/IPsecは、L2TPv2ベースの実装であり、拠点間でのL2VPNを実現するL2TPv3とは用途が異なります。

ヤマハルーターでサポートするL2TPv3には以下の制限があります。

  • L2フレームのカプセル化方式として、UDPパケットとしてカプセル化する方法(L2TPv3 over UDP)にのみ対応しています。IPプロトコル番号115を使用してIPパケットとしてカプセル化する方法(L2TPv3 over IP)には対応していません。
  • L2TPv3パケットの受信にはUDPのポート番号1701が使用されます。変更することはできません。
  • L2TPv3によってトンネリングできるL2フレームは、イーサフレームのみです。
  • L2TPv3/IPsecでは、IKEv1のトランスポートモードのみ対応しています。
  • LAN分割のインターフェース(vlanN)をブリッジメンバーに収容した場合には、IEEE802.1Q タグ付きパケットはブリッジングされません。

対応機種とファームウェアリビジョン

各機能の対応機種およびファームウェアは以下の通りとなります。

機種 ファームウェア L2TPv3 L2TPv3/IPsec L2TPv3動作可能
最大トンネル数(※1)
タグVLAN機能との併用 L2MSのマスターとの併用 トンネルインターフェースのフィルタリング
RTX820 Rev.11.03.28 1
(50)
- -
Rev.11.03.30以降 4
(50)
-

※1 ...()の中の数値は、VPN設定可能最大数です。
IPsec, PPTP, L2TP/IPsecのVPN設定を併用する場合はその合計数になります。

用語の定義

LAC (L2TP Access Concentrator)

L2TPトンネルの端点であり、L2TPコネクションの開始を要求する端末。

LNS (L2TP Network Server)

L2TPトンネルのLACに対峙する端点であり、L2TPコネクションの開始要求を受け付ける端末。

L2TPv3の詳細

L2TPv3

L2TPv3は、L2フレームをカプセル化することでルーター間でのL2フレーム転送を可能にし、L2でのVPN接続を実現します。カプセル化する方法には、IPパケットとしてカプセル化するL2TPv3 over IPと、UDPパケットとしてカプセル化するL2TPv3 over UDPがあります。
ヤマハルーターではNATが介在するネットワーク環境での使用が考慮されたL2TPv3 over UDPに対応しています。カプセル化できるL2フレームは、イーサフレームのみです。

L2TPv3自体は暗号化の仕組みを持たないため、セキュリティ面からインターネットを介したVPN接続には適しません。ただし、暗号化処理が無いことから閉域網などセキュリティが確保された環境での高速なL2VPNを構築する場合に有効です。

L2TPv3でのL2フレームのカプセル化方法

  • L2TPv3 over UDP

    UDPのポート1701番を使用します。パケットフォーマットは以下のようになります。

    L2TPv3 control packets
    
    +-------------------+-----------------+--------------+----------------------+
    | IPヘッダ          | UDPヘッダ       | L2TPv3ヘッダ | L2TPv3制御メッセージ |
    | プロトコル番号:17 | ポート番号:1701 |              |                      |
    +-------------------+-----------------+--------------+----------------------+
    
    L2TPv3データパケット(イーサフレームの中がIPパケットの場合) 
    
    +-------------------+-----------------+--------------+------------------------------------------+
    | IPヘッダ          | UDPヘッダ       | L2TPv3ヘッダ | L2TPv3ペイロード                         |
    | プロトコル番号:17 | ポート番号:1701 |              | +-------------+----------+--------------+|
    |                   |                 |              | | ETHERヘッダ | IPヘッダ | IPペイロード ||
    |                   |                 |              | +-------------+----------+--------------+|
    +-------------------+-----------------+--------------+------------------------------------------+
    
  • L2TPv3 over IP

    IANAによって定められたIPプロトコル番号115を使用します。ヤマハルーターでは、L2TPv3 over IPには対応していません。パケットフォーマットは以下のようになります。

    L2TPv3制御パケット
    
    +--------------------+--------------+----------------------+
    | IPヘッダ           | L2TPv3ヘッダ | L2TPv3制御メッセージ |
    | プロトコル番号:115 |              |                      |
    +--------------------+--------------+----------------------+
    
    L2TPv3データパケット(イーサフレームの中がIPパケットの場合)
    
    +--------------------+--------------+------------------------------------------+
    | IPヘッダ           | L2TPv3ヘッダ | L2TPv3ペイロード                         |
    | プロトコル番号:115 |              | +-------------+----------+--------------+|
    |                    |              | | ETHERヘッダ | IPヘッダ | IPペイロード ||
    |                    |              | +-------------+----------+--------------+|
    +--------------------+--------------+------------------------------------------+
    

L2TPv3トンネルの確立

L2TPv3トンネルの確立には、コネクション制御メッセージおよびセッション制御メッセージが用いられます。L2TPv3によるL2VPNが構築される場合には、コネクション制御メッセージによってトンネルが作られたあとにセッション制御メッセージによってセッションが確立されます。

  • [コネクション制御メッセージ]
    • SCCRQ (Start-Control-Connection-Request)
    • SCCRP (Start-Control-Connection-Reply)
    • SCCCN (Start-Control-Connection-Connected)
    • StopCCN (Stop-Control-Connection-Notification)
  • [セッション制御メッセージ]
    • OCRQ (Outgoing-Call-Request)
    • OCRP (Outgoing-Call-Reply)
    • OCCN (Outgoing-Call-Connected)
    • ICRQ (Incoming-Call-Request)
    • ICRP (Incoming-Call-Reply)
    • ICCN (Incoming-Call-Connected)
    • CDN (Call-Disconnect-Notify)
  • [キープアライブメッセージ]
    • HELLO (Hello)
  • [確認応答メッセージ]
    • ACK (Explicit Acknowledgement)
  • [エラーレポートメッセージ]
    • WEN (WAN-Error-Notify)

L2TPv3トンネルの確立から切断までのシーケンス

l2tpv3_sequence

AVPs (Attribute Value Pairs) の各種パラメータ値

SCCRQやICRQといったL2TP制御メッセージには、メッセージのタイプやプロトコルバージョンなど接続相手に通知するパラメータ値をペイロードに含んでいます。これらの各種パラメータ値を属性とパラメータ値の組みで繋げて一連のメッセージにしたものがAVPsとなります。さらに属性とパラメータ値の1組がAVPとなります。L2TPv2で対応しているAVPに関してはL2TP/IPsecを参照してください。
L2TPv3から追加されたAVPは以下のとおりです。

※すべてのAVPが制御メッセージに含まれるわけではありません。

属性番号 属性名 属性番号 属性名
58 Extended Vendor ID AVP 67 -
59 Message Digest 68 Pseudowire Type
60 Router ID 69 L2-Specific Sublayer
61 Assigned Control Connection ID 70 Data Sequencing
62 Pseudowire Capabilities List 71 Circuit Status
63 Local Session ID 72 Preferred Language
64 Remote Session ID 73 Control Message Authentication Nonce
65 Assigned Cookie 74 Tx Connect Speed
66 Remote End ID 75 Rx Connect Speed

AVPのパラメータ値の暗号化

L2TPには、L2TPパケット全体を暗号化する仕組みはありませんが、各AVPのパラメータ値を暗号化させる仕組みが取り入れられています。ヤマハルーターでは、AVPのパラメータ値の暗号化には対応していません。

L2TPv3制御メッセージ認証 (L2TPv3トンネル認証)

L2TPv3では、メッセージダイジェストを用いた制御メッセージ認証を行う仕組みがあります。制御メッセージ認証を行いたいLACまたはLNSでは、L2TP制御メッセージを送信する場合に、事前に共有してあるパスワードとControl Message Authentication Nonce AVPとして通知された値と送信するL2TP制御メッセージのIDからメッセージダイジェストを計算し、送信するL2TP制御メッセージにMessage Digest AVPとして付加します。コネクション制御メッセージ・セッション制御メッセージ・キープアライブメッセージ・応答確認メッセージのそれぞれで認証を行うことができます。

ヤマハルーターでは、L2TPv3制御メッセージ認証に対応しています。
L2TPv3制御メッセージ認証で用いるパスワードはl2tp tunnel authコマンドで設定することができます。

L2TPv3で使用するポート番号

L2TPv3では、SCCRQの送信元ポート番号および送信先ポート番号として1701番が使用されます。変更することはできません。SCCRP以降のメッセージの送信先ポート番号には、1つ前に受信したメッセージの送信元ポート番号が使用されます。ルーター間にNAT機器が存在して送信元ポート番号が途中で変更される場合でもL2TPv3を利用することができます。

 S : 送信元ポート番号
 D : 送信先ポート番号
 
 
+-----+S: 1701 D: 1701          +-----+S: 60000 D: 1701         +-----+
|     |----------SCCRQ--------->|     |------------------------>|     |
|     |                         |     |                         |     |
|     |          S: 1701 D: 1701|     |         S: 1701 D: 60000|     |
|     |<------------------------|     |<---------SCCRP----------|     |
|     |                         |     |                         |     |
|     |S: 1701 D: 1701          |     |S: 60000 D: 1701         |     |
| LAC |------------------------>| NAT |------------------------>| LNS |
|     |                         |     |                         |     |
|     |          S: 1701 D: 1701|     |         S: 1701 D: 60000|     |
|     |<------------------------|     |<------------------------|     |
|     |                         |     |                         |     |
|     |S: 1701 D: 1701          |     |S: 60000 D: 1701         |     |
|     |---------StopCCN-------->|     |------------------------>|     |
|     |                         |     |                         |     |
|     |          S: 1701 D: 1701|     |         S: 1701 D: 60000|     |
|     |<------------------------|     |<----------ACK-----------|     |
+-----+                         +-----+                         +-----+

L2TPv3でのフラグメント

L2TPv3では、L2TPv3トンネルを通して送信するL2フレームに対して、IPヘッダ,UDPヘッダ,L2TPv3ヘッダが付加されます。これらのオーバーヘッドによってカプセル化したあとのパケットが送信インターフェースのMTUを超える場合にはフラグメントが発生します。
ヤマハルーターでは、L2TPv3の処理としてカプセル化の対象となるL2フレームをフラグメントせず、カプセル化後のパケットの送信インターフェースのMTUに応じてIPフラグメントされます。
L2TPv3のトンネルインターフェースのMTU設定は無効となります。

受信したL2フレームをL2TPv3トンネルでトンネリングする場合

  1. L2フレームを受信
    +--------+------------+
    | ETHER  | ペイロード |
    | ヘッダ |            |
    +--------+------------+
    <=====================>
      受信フレーム長を1514byteとする
    
  2. L2TPv3でカプセル化
    +--------+--------+--------+--------+------------+
    |   IP   |  UDP   | L2TPv3 | ETHER  | ペイロード |
    | ヘッダ | ヘッダ | ヘッダ | ヘッダ |            |
    +--------+--------+--------+--------+------------+
    <================================================>
          カプセル化後のパケット長を1554byteとする
    
  3. MTUが1500byteのインターフェースから送信するときはIPフラグメント
    +--------+--------+--------+--------+------------+     +--------+------------------+
    |   IP   |  UDP   | L2TPv3 | ETHER  | ペイロード |  +  |   IP   | ペイロードの続き |
    | ヘッダ | ヘッダ | ヘッダ | ヘッダ |            |     | ヘッダ |                  |
    +--------+--------+--------+--------+------------+     +--------+------------------+
    <================================================>     <===========================>
                        1500byte                                       74byte
    

L2TPv3/IPsec

L2TPv3自体は暗号化の仕組みを持ちませんが、IPsecと併用することでデータの機密性や完全性を確保したVPN接続を実現するL2TPv3/IPsecがあります。上記のL2TPv3のネゴシエーションの前にIPsecでセキュアな通信路を構築し、その通信路上でL2TPv3によるVPN接続を構築します。L2TPv3のネゴシエーションおよびデータパケットはすべてIPsecトンネルを経由して暗号化されたパケットとして転送されます。インターネットを介したL2VPNの構築に適しています。

L2TPv3/IPsecトンネルの確立までのシーケンス

l2tpv3_ipsec_sequence

IPsecのプロトコルモード

ヤマハルーターでは、IPsecのプロトコルモードとしてトンネルモードとトランスポートモードの両方が実装されています。
L2TPv3/IPsecでは、トランスポートモードでのみ動作し、トンネルモードでは動作しません。

L2TPv3とIPsecの連動

IPsecトンネルがダウンした場合には、L2TPv3制御メッセージを安全な経路で送受信できなくなることから、L2TPv3トンネルも連動してダウンします。
IPsecトンネルがアップした状態でL2TPv3トンネルのみがダウンした場合には、L2TPv3制御メッセージを安全な経路で再度送受信が行えることからIPsecトンネルは連動してダウンしません。

L2TPv3/IPsecでのキープアライブ

2TPv3では、L2TPv2と同様にコネクション制御メッセージの1つであるHelloメッセージを用いたキープアライブの仕組みがあります。IPsecのキープアライブとは独立しています。
L2TPv3/IPsecでは、L2TPv3トンネルのダウンに伴ってIPsecトンネルが連動してダウンしないため、L2TPv3/IPsecを利用する場合には、IPsecのキープアライブとL2TPのキープアライブの両方を有効にすることを薦めます。

L2TPv3とブリッジ機能

L2TPv3では、ブリッジ機能の拡張によってLANインターフェースとトンネルインターフェース間でL2フレームのブリッジングを行います。L2フレームの出力先インターフェースの選択方法などは、ブリッジ機能の仕様に従うため、L2TPv3を使用する場合はブリッジ機能を理解しておく必要があります。

ブリッジ機能の収容インターフェースとしてLANインターフェースおよびL2TPv3が動作するトンネルインターフェースを指定することで、LANインターフェースとトンネルインターフェースでL2フレームがブリッジされます。

収容インターフェースとして指定したLANインターフェースまたはトンネルインターフェースから受信したL2フレームやブリッジインターフェースから送信するL2フレームは、ブリッジ機能のラーニングテーブルを参照することで宛先のインターフェースが決定します。L2TPv3トンネルへL2フレームが流れる場合には、IP, UDP, L2TPv3の各ヘッダの付加によってカプセル化され、ルーティングテーブルに従って転送されます。ラーニングテーブルで宛先のインターフェースを決定するため、不要なパケットが他のインターフェースに出力されることを抑制することができます。学習したエントリーに一致するものがなかった場合には、受信インターフェースを除くすべての収容インターフェースにパケットが出力されます。

ファストパスに対応した機種であれば、L2TPv3トンネルへ転送されるL2フレームおよびL2TPv3トンネルから受信するL2フレームはファストパスで処理されます。ただし、以下のパケットはノーマルパスで処理されます。

  • ブリッジ機能においてノーマルパスで処理する条件に合致するパケット
    ファストパスで処理するパケットの条件については、ブリッジ機能を参照してください。
  • IEEE802.1Qタグが付加されたパケット

ブリッジのラーニングテーブルに登録可能なMACアドレス数は以下の通りです。

機種 動的エントリ数 静的エントリ数
RTX820 256 32

※静的エントリとは、bridge learning staticコマンドで設定可能なMACアドレス数です。

L2TPv3でのフィルタリング

L2TPv3では、収容インターフェースに以下のフィルターを設定することができます。

  • LANインターフェース
    • イーサネットフィルター
    • 侵入検知(IDS)
    • 入力遮断フィルター
    • 内部・外部データベース参照型URLフィルター
    • ポリシーフィルター(対応機種のみ)
  • トンネルインターフェース
    • イーサネットフィルター
    • IPフィルター
    • 侵入検知(IDS)
    • 入力遮断フィルター
    • 内部・外部データベース参照型URLフィルター
    • ポリシーフィルター(対応機種のみ)

一方でブリッジインターフェースには次のフィルターを設定することができます。

  • IPフィルター

収容インターフェースにフィルターを適用した場合、ブリッジ機能でのフィルタリングと同様にそれらのフィルターは下図のようにブリッジングの過程で処理されます。言い換えればこれらのフィルターはデータリンク層(L2)で適用されるようになります。(処理自体はL2で行われますが、必要に応じてパケットのIPヘッダ以降をチェックします)
その他のフィルタリングに関する注意点についてはブリッジ機能を参照してください。

ポリシーフィルター対応機種の場合

トンネルインターフェースのフィルタリング対応機種の場合

※1 out方向(送信方向)では、入力遮断フィルターは適用されません。in方向(受信方向)でのみ適用されます。
※2 out方向(送信方向)では、侵入検知機能はポリシーフィルターの後に適用されます。
※3 out方向(送信方向)では、IPフィルターはURLフィルターの前に適用されます。

L2TPv3に関連したコマンド

[新設コマンド]

L2TPv3の常時接続の設定

[書式]
l2tp always-on SW
no l2tp always-on [SW]
[設定値および初期値]
  • SW
    • [設定値] :
      設定値 説明
      on 常時接続する
      off 常時接続しない
    • [初期値] : on
[説明]

L2TPv3のコネクションを常時接続するか否かを設定します。
トンネルインターフェースにのみ設定可能です。

L2TPのホスト名の設定

[書式]
l2tp hostname HOSTNAME
no l2tp hostname [HOSTNAME]
[設定値および初期値]
  • HOSTMANE
    • [設定値] : ホスト名(32文字以内)
    • [初期値] : 機種名
[説明]

接続相手に通知するホスト名を設定します。
show status l2tpコマンドで出力されるL2TPトンネル情報に表示されます。
本コマンドを設定しない場合には機種名がホスト名として使用されます。
トンネルインターフェースにのみ設定可能です。

L2TPv3のLocal Router IDの設定

[書式]
l2tp local router-id IPV4_ADDRESS
no l2tp local router-id [IPV4_ADDRESS]
[設定値および初期値]
  • IPV4_ADDRESS
    • [設定値] : IPv4アドレス
    • [初期値] : 0.0.0.0
[説明]

L2TPv3の接続相手に通知するRouter IDを設定します。
接続相手のRemote Router IDと同じIPv4アドレスを設定してください。
ルーターに設定されているIPv4アドレスを使用する必要はありません。
トンネルインターフェースにのみ設定可能です。

L2TPv3のRemote Router IDの設定

[書式]
l2tp remote router-id IPV4_ADDRESS
no l2tp remote router-id [IPV4_ADDRESS]
[設定値および初期値]
  • IPV4_ADDRESS
    • [設定値] : IPv4アドレス
    • [初期値] : 0.0.0.0
[説明]

L2TPv3の接続相手のRouter IDを設定します。
接続相手のLocal Router IDと同じIPv4アドレスを設定してください。
ルーターに設定されているIPv4アドレスを使用する必要はありません。
トンネルインターフェースにのみ設定可能です。

L2TPv3のRemote End IDの設定

[書式]
l2tp remote end-id END_ID
no l2tp remote end-id [END_ID]
[初期値および設定値]
  • END_ID
    • [設定値] : 任意文字列(32文字以内)
    • [初期値] : なし
[説明]

L2TPv3のRemote End IDを設定します。
接続相手のRemote End IDと同じ文字列を設定してください。
トンネルインターフェースにのみ設定可能です。

[L2TP/IPsecと共通した設定]

L2TPトンネル認証に関する設定

[書式]
l2tp tunnel auth SW [PASSWORD]
no l2tp tunnel auth [SW [PASSWORD]]
[設定値および初期値]
  • SW
    • [設定値] :
      設定値 説明
      on L2TPトンネル認証を行う
      off L2TPトンネル認証を行わない
    • [初期値] : off
  • PASSWORD
    • [設定値] : L2TPトンネル認証に用いるパスワード(32文字以内)
    • [初期値] : 機種名
[説明]

L2TPトンネル認証を行うか否かを設定します。
PASSWORDを省略した場合には機種名がパスワードとして使用されます。
トンネルインターフェースにのみ設定可能です。

L2TPキープアライブを使用するか否かの設定

[書式]
l2tp keepalive use SW [INTERVAL [COUNT]]
no l2tp keepalive use [SW [INTERVAL [COUNT]]]
[設定値および初期値]
  • SW
    • [設定値] :
      設定値 説明
      on L2TPキープアライブを使用する
      off L2TPキープアライブを使用しない
    • [初期値] : on
  • INTERVAL
    • [設定値] : キープアライブの送信インターバル(1 .. 600 秒)
    • [初期値] : 10
  • count
    • [設定値] : ダウン検出までのカウント(1 .. 50)
    • [初期値] : 6
[説明]

L2TPのHelloメッセージによるキープアライブを設定します。
キープアライブを行う場合はINTERVALとCOUNTの設定値に応じてL2TPのHelloメッセージによるキープアライブが動作します。
トンネルインターフェースにのみ設定可能です。

L2TPキープアライブのログ設定

[書式]
l2tp keepalive log SW
no l2tp keepalive log [SW]
[設定値および初期値]
  • SW
    • [設定値] :
      設定値 説明
      on L2TPキープアライブをログに出力する
      off L2TPキープアライブをログに出力しない
    • [初期値] : off
[説明]

L2TPキープアライブのログを出力するか否かを設定します。
ログはすべて、debugレベルのSYSLOGに出力されます。
トンネルインターフェースにのみ設定可能です。

L2TPトンネルの切断タイマの設定

[書式]
l2tp tunnel disconnect time TIME
no l2tp tunnel disconnect time [TIME]
[設定値および初期値]
  • TIME
    • [設定値] :
      設定値 説明
      切断タイマ(1 .. 21474836 秒) L2TPトンネルの切断タイマを設定する
      off L2TPトンネルの切断タイマを設定しない
    • [初期値] : 60
[説明]

L2TPトンネルの切断タイマを設定します。
選択されている L2TP トンネルに対して、データパケット無入力・無送信時に、タイムアウトにより L2TP トンネルを切断する時間を設定します。
L2TP制御メッセージ以外はすべてデータパケットとなるため、PPP キープアライブを使用する場合などは切断タイマによる L2TP トンネルの切断は行われない場合があります。
トンネルインターフェースにのみ設定可能です。

L2TPのSYSLOG出力設定

[書式]
l2tp syslog SW
no l2tp syslog [SW]
[設定値および初期値]
  • SW
    • [設定値] :
      設定値 説明
      on L2TPのコネクション制御に関するログをSYSLOGに出力する
      off L2TPのコネクション制御に関するログをSYSLOGに出力しない
    • [初期値] : off
[説明]

L2TPのコネクション制御に関するログをSYSLOGに出力するか否かを設定する。
L2TPのキープアライブに関するログは出力されない。
ログはすべて、debugレベルのSYSLOGに出力されます。
トンネルインターフェースにのみ設定可能です。

[仕様拡張コマンド]

L2TPを動作させるか否かの設定

[書式]
l2tp service SW [VERSION [VERSION]]
no l2tp service [SW [VERSION [VERSION]]]
[設定値および初期値]
  • SW
    • [設定値] :
      設定値 説明
      on L2TPを有効にする
      off L2TPを無効にする
    • [初期値] : off
  • VERSION
    • [設定値] :
      設定値 説明
      l2tp L2TP/IPsecを有効にする
      l2tpv3 L2TPv3, L2TPv3/IPsecを有効にする
    • [初期値] : -
[説明]

L2TPを動作させるか否かを設定します。
VERSION によって動作するL2TPのバージョンを指定できます。VERSION を指定しない場合にはL2TPv2とL2TPv3の両方が動作します。
"on"が設定された場合は、UDPのポート番号1701を開き、コネクションが開始されます。
"off"が設定された場合は、UDPのポート番号1701を閉じ、接続中のL2TPおよびL2TPv3のコネクションはすべて切断されます。

[ノート]

IPsecを実装していないモデルでは、l2tpキーワードは使用できない。

トンネルインターフェースの種別の設定

[書式]
tunnel encapsulation TYPE
no tunnel encapsulation [TYPE]
[設定値および初期値]
  • TYPE
    • [設定値] :
      設定値 説明
      ipsec IPsecトンネル
      ipip IPv6 over IPv4 トンネル、IPv4 over IPv6 トンネル、IPv4 over IPv4 トンネルまたは IPv6 over IPv6 トンネル
      pptp PPTPトンネル
      l2tp L2TP/IPsecトンネル
      l2tpv3-raw L2TPv3トンネル
      l2tpv3 L2TPv3/IPsecトンネル
      ipudp IPUDPトンネル
    • [初期値] : ipsec
[説明]

トンネルインターフェースの種別を設定します。

[ノート]

トンネリングとNATを併用する場合には tunnel endpoint addressコマンドにより始点IPアドレスを設定することが望ましい。
PPTP機能を実装していないモデルでは、pptpキーワードは使用できない。
L2TP/IPsec機能を実装していないモデルでは、l2tpキーワードは使用できない。
L2TPv3機能を実装していないモデルでは、l2tpv3-rawキーワードおよびl2tpv3キーワードは使用できない。
IPsec機能を実装していないモデルでは、l2tpキーワードおよびl2tpv3キーワードは使用できない。
IPUDPトンネルは、NGN網を介したデータ通信時のみ使用できる。

トンネルインターフェースの端点IPアドレスの設定

[書式]
tunnel endpoint address [LOCAL] REMOTE
no tunnel endpoint address [LOCAL [REMOTE]]
[設定値および初期値]
  • LOCAL
    • [設定値] : 自分側のトンネルインターフェース端点のIPアドレス
  • REMOTE
    • [設定値] : 相手側のトンネルインターフェース端点のIPアドレス
[説明]

トンネルインターフェース端点の IP アドレスを設定する。IP アドレスは IPv4/IPv6 いずれのアドレスも設定できるが、local と remote では IPv4/IPv6 の種別が揃っていなくてはいけない。トンネルインターフェース端点として IPv4 アドレスを設定した場合には、IPv4 over IPv4 トンネルと IPv6 over IPv4 トンネルが、IPv6 アドレスを設定した場合には IPv4 over IPv6 トンネルと IPv6 over IPv6 トンネルが利用できる。

local を省略した場合は、適当なインターフェースの IP アドレスが利用される。

[ノート]

このコマンドにより設定した IP アドレスが利用されるのは、tunnel encapsulation コマンドの設定値が pptp、 l2tp、l2tpv3-raw, ipip の場合である。IPsec トンネルでは、トンネル端点はipsec ike local address およびipsec ike remote address コマンドにより設定される。
PPTP サーバー、L2TP/IPsec サーバーの Anonymous で受ける場合には設定する必要はない。

L2TPの状態表示

[書式]
show status l2tp
show status l2tp tunnel TUNNEL_NUMBER
[設定値および初期値]
  • TUNNEL_NUMBER
    • [設定値] : トンネル番号
[説明]

L2TPの状態を表示します。

[表示例]

# show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP情報テーブル
  L2TPトンネル数: 1, L2TPセッション数: 1
TUNNEL[1]:
  トンネルの状態: established
  バージョン: L2TPv3
  自機側トンネルID: 37704
  相手側トンネルID: 28837
  自機側IPアドレス: 192.168.100.1
  相手側IPアドレス: 10.0.0.2
  自機側送信元ポート: 1701
  相手側送信元ポート: 1701
  ベンダ名: YAMAHA Corporation
  ホスト名: RTX1200
  Next Transmit sequence(Ns): 436
  Next Receive sequence(Nr) : 434
  トンネル内のセッション数: 1 session
  セッション情報:
    セッションの状態: established
    自機側セッションID: 44573
    相手側セッションID: 36099
    Circuit Status 自機側:UP 相手側:UP
    通信時間: 6時間1分55秒
    受信: 179 パケット [21056 オクテット]
    送信: 44 パケット [3736 オクテット]

ブリッジインターフェースに収容するインターフェースを設定する

[書式]
bridge member BRIDGE_INTERFACE INTERFACE INTERFACE [...]
no bridge member BRIDGE_INTERFACE [INTERFACE ...]
[設定値および初期値]
  • BRIDGE_INTERFACE
    • [設定値] : ブリッジインターフェース名
  • INTERFACE
    • [設定値] : LANインターフェース名またはトンネルインターフェース名
[説明]

仮想インターフェースであるブリッジインターフェースに収容するインターフェースを指定する。
収容したインターフェース間でブリッジ動作が行われる。
トンネルインターフェースを収容した場合、L2TPv3 トンネルが確立しているトンネルインターフェースでのみブリッジ動作が行われる。
INTERFACE として収容できるインターフェース数および制限事項は以下のとおり。

機種名 インターフェース数
RTX820 5
[ノート]
  • 収容する LAN インターフェースについて
    収容したインターフェースに IPv4,IPv6 アドレスを付与してはならない。
    収容したインターフェースの IPv6 リンクローカルアドレスは削除される。
    収容する LAN インターフェースの MTU はすべて同一の値でなければならない。
    いずれかのブリッジインターフェースに収容したインターフェースは、他のブリッジインターフェースに収容することはできない。
    収容するインターフェースがスイッチングハブを持つインターフェースである場合、スイッチングハブのポート間で完結する通信は本機能によるブリッジ動作ではなく、スイッチングハブ LSI 内部で処理される。
  • 収容するトンネルインターフェースについて
    収容するトンネルインターフェースの MTU は無効となり、トンネルインターフェースでフラグメントは行われず、カプセル化されたパケットの送信インターフェースの MTU に従ってフラグメントが発生する。
    いずれかのブリッジインターフェースに収容したインターフェースは、他のブリッジインターフェースに収容することはできない。
    収容するインターフェースとしてトンネルインターフェースを設定できるのは L2TPv3 機能が実装されているモデルのみである。
  • ブリッジインターフェースについて
    ブリッジインターフェースのリンク状態は収容した LAN インターフェースのリンク状態に応じて変化する。
    いずれかの収容したインターフェースがアップ状態だった場合、ブリッジインターフェースはアップ状態になる。
    すべてのインターフェースがダウン状態だった場合、ブリッジインターフェースもダウン状態になる。
    ブリッジインターフェースの MAC アドレスは、収容した LAN インターフェースのうち、インターフェース番号がもっとも小さいインターフェースのアドレスを使用する。

L2TPv3トンネルの接続を開始

[書式]
connect INTERFACE
connect PEER_NUM
connect pp PEER_NUM
connect tunnel TUNNEL_NUM
[設定値および初期値]
  • INTERFACE
    • [設定値] : WANインターフェース名
  • PEER_NUM
    • [設定値] : 発信相手の相手先情報番号
  • TUNNEL_NUM
    • [設定値] : NGN網を介したトンネル番号またはL2TPv3トンネル番号
[説明]

手動で発信する。

[Note]

connect tunnel コマンドは、データコネクトを使用した拠点間接続またはL2TPv3トンネル以外のトンネルには使用できない。
データコネクト接続機能を実装していないモデルでは、connect pp コマンドは使用できない。
データコネクト接続機能またはL2TPv3機能を実装していないモデルでは、connect tunnel コマンドは使用できない。

L2TPv3トンネルの接続を切断

[書式]
disconnect INTERFACE
disconnect PEER_NUM
disconnect pp PEER_NUM
disconnect tunnel TUNNEL_NUM
[設定値および初期値]
  • INTERFACE
    • [設定値] : WANインターフェース名
  • PEER_NUM
    • [設定値] : 発信相手の相手先情報番号
  • TUNNEL_NUM
    • [設定値] : NGN網を介したトンネル番号またはL2TPv3トンネル番号
[説明]

手動で切断する。

[ノート]

disconnect tunnel コマンドは、データコネクトを使用した拠点間接続またはL2TPv3トン ネル以外のトンネルには使用できない。
データコネクト接続機能を実装していないモデルでは、disconnect pp コマンドは使用できない。
データコネクト接続機能およびL2TPv3機能を実装していないモデルでは、disconnect tunnel コマンドは使用できない。

インターフェースのカウンター情報のクリア

[書式]
clear status INTERFACE
clear status pp PEER_NUM
clear status tunnel TUNNEL_NUM
[設定値および初期値]
  • INTERFACE
    • [設定値] : LANインターフェース名
  • PEER_NUM
    • [設定値] : 相手先情報番号
  • TUNNEL_NUM
    • [設定値] : トンネルインターフェース番号
[説明]

指定したインターフェースのカウンター情報をクリアする。

イーサネットフィルターのインターフェースへの適用の設定

[書式]
ethernet INTERFACE filter DIR LIST
[設定値および初期値]
  • INTERFACE
    • [設定値] : LANインターフェース名
    • [初期値] : -
  • DIR
    • [設定値] :
      設定値 説明
      in INTERFACEで指定したインターフェースから
      入ってくるパケットのフィルタリング
      out INTERFACEで指定したインターフェースに
      出ていくパケットのフィルタリング
    • [初期値] : -
  • LIST
    • [設定値] :
      設定値 説明
      空白で区切られた
      静的フィルター番号の並び
      100個以内
    • [初期値] : -
[説明]

LAN、および、トンネルインターフェースを通るパケットについて、ethernet filterコマンドによるパケットのフィルターを組み合わせて、通過するパケットの種類を制限する。

[ノート]

LANインターフェース名には、物理LANインターフェースおよびLAN分割機能で使用するインターフェースを指定できる。
Rev.10.01系では、LAN 分割機能で使用するインターフェースとしてVLANインターフェースを指定できる。
INTERFACEにトンネルインターフェースを指定した場合、指定したインターフェースがブリッジインターフェースに収容されているときだけ、フィルターが適用される。

L2TPv3の設定例

設定例1:2拠点間でのL2TPv3を用いたL2VPNの構築

ヤマハルーター1とヤマハルーター2の間でL2TPv3を用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。

  • ヤマハルーター1
    • LAN2側のIPアドレス : 203.0.113.1
    • LAN1側のIPアドレス : 192.168.100.1/24
    • L2TPv3のホスト名 : YAMAHA-RT1
    • L2TPv3のRouter ID : 192.168.100.1
  • ヤマハルーター2
    • LAN2側のIPアドレス : 203.0.113.2
    • LAN1側のIPアドレス : 192.168.100.2/24
    • L2TPv3のホスト名 : YAMAHA-RT2
    • L2TPv3のRouter ID : 192.168.100.2
  • L2TPv3に関連した設定(両ルーターで共通)
    • L2TPv3の自動接続 : 有り
    • L2TPv3トンネル認証 : あり(パスワード : yamaha)
    • L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
    • L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
    • L2TPv3キープアライブのログ出力 : 有り
    • L2TPv3のコネクション制御に関するログ出力 : 有り
    • L2TPv3のRemote End ID : yamaha

構成図

                               IPアドレス:        IPアドレス:
                               203.0.113.1         203.0.113.2
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| ヤマハ    |------------------------| ヤマハ    |-----| .11+----+
 | PC |-----|   .1| ルーター1 | <====================> | ルーター2 |.2   |----| PC |
 +----+     |     +-----------+          L2VPN         +-----------+     |    +----+
            |                                                            |
     192.168.100.0/24                                            192.168.100.0/24

ヤマハルーター1の設定例

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[LAN設定]
 ip lan2 address 203.0.113.1/24

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.1 203.0.113.2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 ip lan2 nat descriptor 1
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 203.0.113.1
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 1701

[L2TPv3設定]
 l2tp service on l2tpv3

ヤマハルーター2の設定例

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[LAN設定]
 ip lan2 address 203.0.113.2/24

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.2 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 ip lan2 nat descriptor 1
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 203.0.113.2
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 1701

[L2TPv3設定]
 l2tp service on l2tpv3

設定例2:3拠点間でのL2TPv3を用いたL2VPNの構築

ヤマハルーター1とヤマハルーター2, ヤマハルーター1とヤマハルーター3の間でL2TPv3を用いたL2VPNを構築します。
3ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
※注意点:ヤマハルーター2とヤマハルーター3の間で同じようにL2TPv3を用いたL2VPNを構築してしまうとL2フレームがループします。

  • ヤマハルーター1
    • LAN2側のIPアドレス : 203.0.113.1
    • LAN1側のIPアドレス : 192.168.100.1/24
    • L2TPv3のホスト名 : YAMAHA-RT1
    • L2TPv3のRouter ID : 192.168.100.1
  • ヤマハルーター2
    • LAN2側のIPアドレス : 203.0.113.2
    • LAN1側のIPアドレス : 192.168.100.2/24
    • L2TPv3のホスト名 : YAMAHA-RT2
    • L2TPv3のRouter ID : 192.168.100.2
  • ヤマハルーター3
    • LAN2側のIPアドレス : 203.0.113.3
    • LAN1側のIPアドレス : 192.168.100.3/24
    • L2TPv3のホスト名 : YAMAHA-RT3
    • L2TPv3のRouter ID : 192.168.100.3
  • L2TPv3に関連した設定(3ルーターで共通)
    • L2TPv3の自動接続 : 有り
    • L2TPv3トンネル認証 : あり(パスワード : yamaha)
    • L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
    • L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
    • L2TPv3キープアライブのログ出力 : 有り
    • L2TPv3のコネクション制御に関するログ出力 : 有り
    • L2TPv3のRemote End ID : yamaha

構成図

                               IPアドレス:        IPアドレス:
                               203.0.113.1         203.0.113.2
            | LAN1+-----------+LAN2      L2VPN1    LAN2+-----------+LAN1 |
 +----+.10  |-----| ヤマハ    |<======================>| ヤマハ    |-----| .11+----+
 | PC |-----|   .1| ルーター1 |------------+-----------| ルーター2 |.2   |----| PC |
 +----+     |     +-----------+<=========+ |           +-----------+     |    +----+
            |                           || |                             |
     192.168.100.0/24                   || |                     192.168.100.0/24
                                        || |
                                        || |       IPアドレス:
                                        || |       203.0.113.3
                                        || |       LAN2+-----------+LAN1 |
                                        || +-----------| ヤマハ    |-----| .12+----+
                                        +=============>| ルーター3 |.3   |----| PC |
                                         L2VPN2        +-----------+     |    +----+
                                                                         |
                                                                 192.168.100.0/24

ヤマハルーター1の設定例

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1 tunnel2
 ip bridge1 address 192.168.100.1/24

[LAN設定]
 ip lan2 address 203.0.113.1/24

[L2TPv3接続(L2VPN1)で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.1 203.0.113.2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[L2TPv3接続(L2VPN2)で使用するトンネルの設定]
 tunnel select 2
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.1 203.0.113.3
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.3
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 2

[NAT設定]
 ip lan2 nat descriptor 1
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 203.0.113.1
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 1701

[L2TPv3設定]
 l2tp service on l2tpv3
 

ヤマハルーター2の設定例

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[LAN設定]
 ip lan2 address 203.0.113.2/24

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.2 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 ip lan2 nat descriptor 1
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 203.0.113.2
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 1701

[L2TPv3設定]
 l2tp service on l2tpv3

ヤマハルーター3の設定例

[ブリッジ機能]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.3/24

[LAN設定]
 ip lan2 address 203.0.113.3/24

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.3 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT3
  l2tp syslog on
  l2tp local router-id 192.168.100.3
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 ip lan2 nat descriptor 1
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 203.0.113.3
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.3 udp 1701

[L2TPv3設定]
 l2tp service on l2tpv3

設定例3:2拠点間でのL2TPv3を用いたL2VPNの構築(IPv6ネットワーク上)

ヤマハルーター1とヤマハルーター2の間でIPv6ネットワーク上でL2TPv3を用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。

  • ヤマハルーター1
    • LAN2側のIPアドレス : 2000::1
    • LAN1側のIPアドレス : 192.168.100.1/24
    • L2TPv3のホスト名 : YAMAHA-RT1
    • L2TPv3のRouter ID : 192.168.100.1
  • ヤマハルーター2
    • LAN2側のIPアドレス : 2000::2
    • LAN1側のIPアドレス : 192.168.100.2/24
    • L2TPv3のホスト名 : YAMAHA-RT2
    • L2TPv3のRouter ID : 192.168.100.2
  • L2TPv3に関連した設定(両ルーターで共通)
    • L2TPv3の自動接続 : 有り
    • L2TPv3トンネル認証 : あり (パスワード : yamaha)
    • L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
    • L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
    • L2TPv3キープアライブのログ出力 : 有り
    • L2TPv3のコネクション制御に関するログ出力 : 有り
    • L2TPv3のRemote End ID : yamaha

構成図

                               IPアドレス:        IPアドレス:
                               2000::1/64          2000::2/64
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| ヤマハ    |------------------------| ヤマハ    |-----| .11+----+
 | PC |-----|   .1| ルーター1 | <====================> | ルーター2 |.2   |----| PC |
 +----+     |     +-----------+          L2VPN         +-----------+     |    +----+
            |                                                            |
     192.168.100.0/24                                            192.168.100.0/24

ヤマハルーター1の設定例

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[LAN設定]
 ipv6 lan2 address 2000::1/64

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 2001::1 2000::2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[L2TPv3設定]
 l2tp service on l2tpv3

ヤマハルーター2の設定例

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[LAN設定]
 ipv6 lan2 address 2000::2/64

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 2000::2 2000::1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[L2TPv3設定]
 l2tp service on l2tpv3
 

L2TPv3/IPsecの設定例

設定例4:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(両方の拠点が固定アドレス)

ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。

  • ヤマハルーター1
    • プロバイダ接続するPPのIPアドレス : 203.0.113.1
    • LAN1側のIPアドレス : 192.168.100.1/24
    • L2TPv3のホスト名 : YAMAHA-RT1
    • L2TPv3のRouter ID : 192.168.100.1
  • ヤマハルーター2
    • プロバイダ接続するPPのIPアドレス : 203.0.113.2
    • LAN1側のIPアドレス : 192.168.100.2/24
    • L2TPv3のホスト名 : YAMAHA-RT2
    • L2TPv3のRouter ID : 192.168.100.2
  • L2TPv3に関連した設定(両ルーターで共通)
    • L2TPv3の自動接続 : 有り
    • L2TPv3トンネル認証 : あり (パスワード : yamaha)
    • L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
    • L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
    • L2TPv3キープアライブのログ出力 : 有り
    • L2TPv3のコネクション制御に関するログ出力 : 有り
    • L2TPv3のRemote End ID : yamaha
  • IPsecに関連した設定(両ルーターで共通(mainモード))
    • 暗号化アルゴリズム : aes-cbc
    • 認証方式 : sha-hmac
    • IKEキープアライブ : 使用する
    • IKEキープアライブのログ出力 : 有り
    • NATトラバーサル : 無効
    • 事前共有鍵 : yamaha

構成図

                               IPアドレス:        IPアドレス名:
                               203.0.113.1         203.0.113.2
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| ヤマハ    |--------Internet--------| ヤマハ    |-----| .11+----+
 | PC |-----|   .1| ルーター1 |PPPoE              PPPoE| ルーター2 |.2   |----| PC |
 +----+     |     +-----------+                        +-----------+     |    +----+
            |                  <======================>                  |
     192.168.100.0/24                   L2VPN                     192.168.100.0/24

ヤマハルーター1の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ccp type none
  ip pp address 203.0.113.1/24
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.1 203.0.113.2
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.1
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 500
 nat descriptor masquerade static 1 2 192.168.100.1 esp
 nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

ヤマハルーター2の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ccp type none
  ip pp address 203.0.113.2/24
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.2 203.0.113.1
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.2
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 500
 nat descriptor masquerade static 1 2 192.168.100.2 esp
 nat descriptor masquerade static 1 3 192.168.100.2 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

※プロバイダ接続用のPPインターフェースにフィルターを設定している場合には以下のフィルター設定を追加する必要があります。環境に応じて適切な設定を追加してください。

   pp select 1
    ip pp secure filter in ... 200080 200081 200082 200083...

   ip filter 200080 pass * 192.168.100.X esp * *
   ip filter 200081 pass * 192.168.100.X udp * 500
   ip filter 200082 pass * 192.168.100.X udp * 1701
   ip filter 200083 pass * 192.168.100.X udp * 4500

設定例5:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(片方の拠点が固定アドレス)

ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。

  • ヤマハルーター1
    • プロバイダ接続するPPのIPアドレス : 203.0.113.1
    • LAN1側のIPアドレス : 192.168.100.1/24
    • L2TPv3のホスト名 : YAMAHA-RT1
    • L2TPv3のRouter ID : 192.168.100.1
  • ヤマハルーター2
    • プロバイダ接続するPPのIPアドレス : 不定
    • LAN1側のIPアドレス : 192.168.100.2/24
    • L2TPv3のホスト名 : YAMAHA-RT2
    • L2TPv3のRouter ID : 192.168.100.2
  • L2TPv3に関連した設定(両ルーターで共通)
    • L2TPv3の自動接続 : 有り
    • L2TPv3トンネル認証 : あり (パスワード : yamaha)
    • L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
    • L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
    • L2TPv3キープアライブのログ出力 : 有り
    • L2TPv3のコネクション制御に関するログ出力 : 有り
    • L2TPv3のRemote End ID : yamaha
  • IPsecに関連した設定(両ルーターで共通(aggressiveモード))
    • 暗号化アルゴリズム : aes-cbc
    • 認証方式 : sha-hmac
    • IKEキープアライブ : 使用する
    • IKEキープアライブのログ出力 : 有り
    • NATトラバーサル : 有効
    • 事前共有鍵 : yamaha
    • local nameおよびremote name : l2tpv3

構成図

                               IPアドレス:        IPアドレス:
                               203.0.113.1         不定
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| ヤマハ    |---------Internet-------| ヤマハ    |-----| .11+----+
 | PC |-----|   .1| ルーター1 |PPPoE              PPPoE| ルーター2 |.2   |----| PC |
 +----+     |     +-----------+                        +-----------+     |    +----+
            |                  <======================>                  |
     192.168.100.0/24                    L2VPN                   192.168.100.0/24

ヤマハルーター1の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ccp type none
  ip pp address 203.0.113.1/24
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.1
   ipsec ike nat-traversal 1 on
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 any
   ipsec ike remote name 1 l2tpv3
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 500
 nat descriptor masquerade static 1 2 192.168.100.1 esp
 nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

ヤマハルーター2の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ipcp ipaddress on
  ppp ipcp msext on
  ppp ccp type none
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.2 203.0.113.1
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.2
   ipsec ike local name 1 l2tpv3
   ipsec ike nat-traversal 1 on
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 500
 nat descriptor masquerade static 1 2 192.168.100.2 esp
 nat descriptor masquerade static 1 3 192.168.100.2 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

※プロバイダ接続用のPPインターフェースにフィルターを設定している場合には以下のフィルター設定を追加する必要があります。環境に応じて適切な設定を追加してください。

   pp select 1
    ip pp secure filter in ... 200080 200081 200082 200083...

   ip filter 200080 pass * 192.168.100.X esp * *
   ip filter 200081 pass * 192.168.100.X udp * 500
   ip filter 200082 pass * 192.168.100.X udp * 1701
   ip filter 200083 pass * 192.168.100.X udp * 4500

設定例6:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(両方の拠点が不定アドレス)

ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
ヤマハルーター1では、ネットボランチDNSサービスを利用します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。

  • ヤマハルーター1
    • プロバイダ接続するPPのIPアドレス : 不定
    • LAN2側のホスト名 : XXX.aaX.netvolante.jp
    • LAN1側のIPアドレス : 192.168.100.1/24
    • L2TPv3のホスト名 : YAMAHA-RT1
    • L2TPv3のRouter ID : 192.168.100.1
  • ヤマハルーター2
    • プロバイダ接続するPPのIPアドレス : 不定
    • LAN1側のIPアドレス : 192.168.100.2/24
    • L2TPv3のホスト名 : YAMAHA-RT2
    • L2TPv3のRouter ID : 192.168.100.2
  • L2TPv3に関連した設定(両ルーターで共通)
    • L2TPv3の自動接続 : 有り
    • L2TPv3トンネル認証 : あり(パスワード : yamaha)
    • L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
    • L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
    • L2TPv3キープアライブのログ出力 : 有り
    • L2TPv3のコネクション制御に関するログ出力 : 有り
    • L2TPv3のRemote End ID : yamaha
  • IPsecに関連した設定(両ルーターで共通(aggressiveモード))
    • 暗号化アルゴリズム : aes-cbc
    • 認証方式 : sha-hmac
    • IKEキープアライブ : 使用する
    • IKEキープアライブのログ出力 : 有り
    • NATトラバーサル : 有効
    • 事前共有鍵 : yamaha
    • local nameおよびremote name : l2tpv3

構成図

                         ホスト名:                IPアドレス:
                         XXX.aaX.netvolante.jp     不定
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| ヤマハ    |---------Internet-------| ヤマハ    |-----| .11+----+
 | PC |-----|   .1| ルーター1 |PPPoE              PPPoE| ルーター2 |.2   |----| PC |
 +----+     |     +-----------+                        +-----------+     |    +----+
            |                  <======================>                  |
     192.168.100.0/24                    L2VPN                   192.168.100.0/24

ヤマハルーター1の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ipcp ipaddress on
  ppp ipcp msext on
  ppp ccp type none
  ip pp mtu 1454
  ip pp nat descriptor 1
  netvolante-dns hostname host pp server=1 XXX.aaX.netvolante.jp
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.1
   ipsec ike nat-traversal 1 on
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 any
   ipsec ike remote name 1 l2tpv3
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 500
 nat descriptor masquerade static 1 2 192.168.100.1 esp
 nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

ヤマハルーター2の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ipcp ipaddress on
  ppp ipcp msext on
  ppp ccp type none
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint name XXX.aaX.netvolante.jp
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.2
   ipsec ike local name 1 l2tpv3
   ipsec ike nat-traversal 1 on
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 XXX.aaX.netvolante.jp
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 500
 nat descriptor masquerade static 1 2 192.168.100.2 esp
 nat descriptor masquerade static 1 3 192.168.100.2 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

※プロバイダ接続用のPPインターフェースにフィルターを設定している場合には以下のフィルター設定を追加する必要があります。環境に応じて適切な設定を追加してください。

   pp select 1
    ip pp secure filter in ... 200080 200081 200082 200083...

   ip filter 200080 pass * 192.168.100.X esp * *
   ip filter 200081 pass * 192.168.100.X udp * 500
   ip filter 200082 pass * 192.168.100.X udp * 1701
   ip filter 200083 pass * 192.168.100.X udp * 4500

設定例7:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(NGN網内折り返し、フレッツ・v6オプション契約使用)

ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
NGN網内での折り返し通信をします。
ヤマハルーター1では、フレッツ・v6オプションの「ネーム」サービスを利用します。
両ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。

  • ヤマハルーター1
    • LAN2側のIPv6アドレス : 不定
    • LAN2側のホスト名 : XXX.p-ns.flets-west.jp (NTT東の場合は XXX.aoi.flets-east.jp となります)
    • LAN1側のIPアドレス : 192.168.100.1/24
    • L2TPv3のホスト名 : YAMAHA-RT1
    • L2TPv3のRouter ID : 192.168.100.1
  • ヤマハルーター2
    • LAN2側のIPv6アドレス : 不定
    • LAN1側のIPアドレス : 192.168.100.2/24
    • L2TPv3のホスト名 : YAMAHA-RT2
    • L2TPv3のRouter ID : 192.168.100.2
  • L2TPv3に関連した設定(両ルーターで共通)
    • L2TPv3の自動接続 : 有り
    • L2TPv3トンネル認証 : あり (パスワード : yamaha)
    • L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
    • L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
    • L2TPv3キープアライブのログ出力 : 有り
    • L2TPv3のコネクション制御に関するログ出力 : 有り
    • L2TPv3のRemote End ID : yamaha
  • IPsecに関連した設定(両ルーターで共通(aggressiveモード))
    • 暗号化アルゴリズム : aes256-cbc
    • 認証方式 : sha256-hmac
    • IKEキープアライブ : 使用する
    • IKEキープアライブのログ出力 : 有り
    • NATトラバーサル : 無効
    • 事前共有鍵 : yamaha
    • local nameおよびremote name : l2tpv3

構成図

                         ホスト名:                IPアドレス:
                         XXX.p-ns.flets-west.jp     不定
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| ヤマハ    |---------- NGN ---------| ヤマハ    |-----| .11+----+
 | PC |-----|   .1| ルーター1 |RA                    RA| ルーター2 |.2   |----| PC |
 +----+     |     +-----------+                        +-----------+     |    +----+
            |                  <======================>                  |
     192.168.100.0/24                    L2VPN                   192.168.100.0/24

ヤマハルーター1の設定例

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[NGNとの接続設定]
 ipv6 lan2 address ra-prefix@lan2::1/64
 ipv6 lan2 dhcp service client ir=on

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
   ipsec ike keepalive log 1 on
   ipsec ike keepalive use 1 on
   ipsec ike local address 1 ipv6 prefix ra-prefix@lan2::1 on lan2
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 any
   ipsec ike remote name 1 l2tpv3
  l2tp always-on on
  l2tp hostname YAMAHA-RT1
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

[フィルターの設定]
 ipv6 lan2 secure filter in 1 2 3 4 5 100
 ipv6 lan2 secure filter out 200 dynamic 81 98 99
 ipv6 filter 1 pass * * icmp6 * *
 ipv6 filter 2 pass * * esp * *
 ipv6 filter 3 pass * * udp * 500
 ipv6 filter 4 pass * * udp * 1701
 ipv6 filter 5 pass * * udp * 546
 ipv6 filter 100 reject * * * * *
 ipv6 filter 200 pass * * * * *
 ipv6 filter dynamic 81 * * domain
 ipv6 filter dynamic 98 * * tcp
 ipv6 filter dynamic 99 * * udp

ヤマハルーター2の設定例

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[NGNとの接続設定]
 ipv6 lan2 address ra-prefix@lan2::1/64
 ipv6 lan2 dhcp service client ir=on

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint name XXX.p-ns.flets-west.jp fqdn
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
   ipsec ike keepalive log 1 on
   ipsec ike keepalive use 1 on
   ipsec ike local address 1 ipv6 prefix ra-prefix@lan2::1 on lan2
   ipsec ike local name 1 l2tpv3
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 XXX.p-ns.flets-west.jp
  l2tp always-on on
  l2tp hostname YAMAHA-RT2
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

[フィルターの設定]
 ipv6 lan2 secure filter in 1 2 3 4 5 100
 ipv6 lan2 secure filter out 200 dynamic 81 98 99
 ipv6 filter 1 pass * * icmp6 * *
 ipv6 filter 2 pass * * esp * *
 ipv6 filter 3 pass * * udp * 500
 ipv6 filter 4 pass * * udp * 1701
 ipv6 filter 5 pass * * udp * 546
 ipv6 filter 100 reject * * * * *
 ipv6 filter 200 pass * * * * *
 ipv6 filter dynamic 81 * * domain
 ipv6 filter dynamic 98 * * tcp
 ipv6 filter dynamic 99 * * udp

設定例8:2拠点間でのL2TPv3/IPsecを用いたL2VPNの構築(両方の拠点にDHCPサーバーが存在)

ヤマハルーター1とヤマハルーター2の間でL2TPv3/IPsecを用いたL2VPNを構築します。
ルーターのLAN1を同一セグメントとしてPC間での通信が可能です。
両方の拠点には、DHCPサーバーがそれぞれ存在します。各拠点のDHCPサーバーは、自分の拠点の端末にだけDHCPによるIPアドレスの割り当てを行います。 IPアドレスの衝突を避けるため、各拠点のDHCPサーバーのIPアドレスの割り当て範囲は、重複しないように設定します。

  • ヤマハルーター1
    • プロバイダ接続するPPのIPアドレス : 203.0.113.1
    • LAN1側のIPアドレス : 192.168.100.1/24
    • L2TPv3のホスト名 : YAMAHA-RT1
    • L2TPv3のRouter ID : 192.168.100.1
    • DHCPで割り当てるIPアドレスの範囲:192.168.100.2-192.168.100.127
  • ヤマハルーター2
    • プロバイダ接続するPPのIPアドレス : 203.0.113.2
    • LAN1側のIPアドレス : 192.168.100.254/24
    • L2TPv3のホスト名 : YAMAHA-RT2
    • L2TPv3のRouter ID : 192.168.100.2
    • DHCPで割り当てるIPアドレスの範囲:192.168.100.128-192.168.100.253
  • L2TPv3に関連した設定(両ルーターで共通)
    • L2TPv3の自動接続 : 有り
    • L2TPv3トンネル認証 : あり (パスワード : yamaha)
    • L2TPv3トンネルの切断タイマ : 切断タイマを設定しない
    • L2TPv3キープアライブ : 使用する インターバル60秒 ダウン検出までのカウント3回
    • L2TPv3キープアライブのログ出力 : 有り
    • L2TPv3のコネクション制御に関するログ出力 : 有り
    • L2TPv3のRemote End ID : yamaha
  • IPsecに関連した設定(両ルーターで共通(mainモード))
    • 暗号化アルゴリズム : aes-cbc
    • 認証方式 : sha-hmac
    • IKEキープアライブ : 使用する
    • IKEキープアライブのログ出力 : 有り
    • NATトラバーサル : 無効
    • 事前共有鍵 : yamaha

構成図

                               IPアドレス:        IPアドレス:
                               203.0.113.1         203.0.113.2
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| ヤマハ    |--------Internet--------| ヤマハ    |-----| .140+----+
 | PC |-----|   .1| ルーター1 |PPPoE              PPPoE| ルーター2 |.254 |-----| PC |
 +----+     |     +-----------+                        +-----------+     |    -+----+
            |                  <======================>                  |
     192.168.100.0/24                   L2VPN                     192.168.100.0/24
     
       <---------->                                                 <--------->
   ヤマハルーター1のDHCPサーバーが                              ヤマハルーター2のDHCPサーバーが
   IP アドレスを割り当てるセグメント                            IP アドレスを割り当てるセグメント

ヤマハルーター1の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ccp type none
  ip pp address 203.0.113.1/24
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.1 203.0.113.2
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.1
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.254
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 500
 nat descriptor masquerade static 1 2 192.168.100.1 esp
 nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

[フィルターの設定]
 tunnel select 1
  ip tunnel secure filter in 1 2
 ip filter 1 reject * * udp dhcps,dhcpc dhcps,dhcpc
 ip filter 2 pass * *

[DHCP設定]
 dhcp service server
 dhcp server rfc2131 compliant except remain-silent
 dhcp scope 1 192.168.100.2-192.168.100.127/24

ヤマハルーター2の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.254/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ccp type none
  ip pp address 203.0.113.2/24
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.254 203.0.113.1
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.254
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.254
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.254 udp 500
 nat descriptor masquerade static 1 2 192.168.100.254 esp
 nat descriptor masquerade static 1 3 192.168.100.254 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

[フィルターの設定]
 tunnel select 1
  ip tunnel secure filter in 1 2
 ip filter 1 reject * * udp dhcps,dhcpc dhcps,dhcpc
 ip filter 2 pass * *

[DHCP設定]
 dhcp service server
 dhcp server rfc2131 compliant except remain-silent
 dhcp scope 1 192.168.100.128-192.168.100.253/24

※プロバイダ接続用のPPインターフェースにフィルターを設定している場合には以下のフィルター設定を追加する必要があります。環境に応じて適切な設定を追加してください。

   pp select 1
    ip pp secure filter in ... 200080 200081 200082 200083...

   ip filter 200080 pass * 192.168.100.X esp * *
   ip filter 200081 pass * 192.168.100.X udp * 500
   ip filter 200082 pass * 192.168.100.X udp * 1701
   ip filter 200083 pass * 192.168.100.X udp * 4500

L2TPv3とL2MS

L2TPv3では、L2MSパケットも他のイーサフレームと同様にカプセル化することができます。遠隔にあるヤマハ製のスイッチやアクセスポイントを1拠点でまとめて管理下におくことができます。

ヤマハ製のルーターをL2MSの管理下に置く場合は、対象のルーターのL2MSの動作モードをスレーブモードにしてください。ヤマハ製のルーターをL2MSの管理下に置かない場合は、対象のルーターのL2MSを無効にしてください。L2MSの動作モードの詳細はL2MSを参照してください。

L2TPv3とL2MSのマスターとの併用に対応している場合、L2TPv3トンネルの端点となっているルーターをL2MSのマスターにすることができます。L2TPv3とL2MSのマスターとの併用が可能な機種およびファームウェアについては、対応機種とファームウェアリビジョンを参照してください。

L2TPv3とL2MSのマスターとの併用に対応していない場合、L2TPv3トンネルの端点となっているルーターをL2MSのマスターにすることはできません。以下のようにL2TPv3トンネルの端点ではないルーターをL2MSのマスターとしてヤマハ製のスイッチやアクセスポイントを管理下におくことができます。この場合は、L2TPv3トンネルの端点となるルーターではL2MSを無効にしてください。

switch_control

L2TPv3とタグVLANの併用

L2TPv3では、IEEE802.1Qタグが付加されたL2フレームを受信した場合でもタグが付加されたままL2TPv3トンネルへブリッジングすることができます。 L2TPv3の端点となるルーター以外に、タグVLANでネットワークを管理するルーターを設置することで、自拠点と遠隔拠点で同じセグメントのVLANネットワークを構築することができます。この構成は、L2TPv3に対応したすべての機種およびリビジョンで実現可能です。

switch_control

上図では、GATEWAYでタグVLANを設定することにより自拠点でVLANネットワークを構築しつつ、RT1-RT2間で構築されたL2TPv3トンネルを経由して遠隔拠点でも自拠点と同じセグメントのVLANネットワークを構築しています。また、GATEWAYでDHCPサーバー機能を有効にすることで遠隔拠点のVLANネットワークにもIPアドレスを配布することができます。このとき、遠隔拠点にある端末のインターネットアクセスはGATEWAY経由となります。
上図の構成での設定例は以下のとおりです。

GATEWAYの設定例

[経路設定]
 ip route default gateway pp 1
 ip lan1 address 192.168.100.1/24

[タグVLAN設定]
 vlan lan1/1 802.1q vid=100 name=VLAN1
 ip lan1/1 address 192.168.1.1/24
 vlan lan1/2 802.1q vid=200 name=VLAN2
 ip lan1/2 address 192.168.2.1/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ipcp ipaddress on
  ppp ccp type none
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.254 udp 500
 nat descriptor masquerade static 1 2 192.168.100.254 esp
 nat descriptor masquerade static 1 3 192.168.100.254 udp 4500

[DHCP設定]
 dhcp service server
 dhcp server rfc2131 compliant except remain-silent
 dhcp scope 1 192.168.100.2-192.168.100.191/24
 dhcp scope 2 192.168.1.3-192.168.1.191/24
 dhcp scope 3 192.168.2.3-192.168.2.191/24

[スイッチ設定]
 switch control use lan1 on
 switch select lan1:1
  switch control function set vlan-port-mode 1 hybrid
  switch control function set vlan-access 3 100
  switch control function set vlan-access 4 100
  switch control function set vlan-access 5 100
  switch control function set vlan-access 6 200
  switch control function set vlan-access 7 200
  switch control function set vlan-access 8 200
  switch control function set vlan-trunk 1 100 join
  switch control function set vlan-trunk 1 200 join

RT1の設定例

[経路設定]
 ip route default gateway 192.168.100.1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.254/24

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.254 203.0.113.2
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive log 1 on
   ipsec ike keepalive use 1 on
   ipsec ike local address 1 192.168.100.254
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.2
  l2tp always-on on
  l2tp hostname YAMAHA-RT1
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp syslog on
  l2tp local router-id 192.168.100.254
  l2tp remote router-id 192.168.100.253
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

RT2の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.253/24

[タグVLAN設定]
 vlan lan1/1 802.1q vid=100 name=VLAN1
 ip lan1/1 address 192.168.1.2/24
 vlan lan1/2 802.1q vid=200 name=VLAN2
 ip lan1/2 address 192.168.2.2/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ipcp ipaddress on
  ppp ccp type none
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.253 203.0.113.1
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive log 1 on
   ipsec ike keepalive use 1 on
   ipsec ike local address 1 192.168.100.253
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.1
  l2tp always-on on
  l2tp hostname YAMAHA-RT2
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp syslog on
  l2tp local router-id 192.168.100.253
  l2tp remote router-id 192.168.100.254
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.253 udp 500
 nat descriptor masquerade static 1 2 192.168.100.253 esp
 nat descriptor masquerade static 1 3 192.168.100.253 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3

[スイッチ設定]
 switch control mode slave
 switch select lan1:1
  switch control function set vlan-port-mode 1 hybrid
  switch control function set vlan-access 3 100
  switch control function set vlan-access 4 100
  switch control function set vlan-access 5 100
  switch control function set vlan-access 6 200
  switch control function set vlan-access 7 200
  switch control function set vlan-access 8 200
  switch control function set vlan-trunk 1 100 join
  switch control function set vlan-trunk 1 200 join

ヤマハルーターでは、上記のような構成は実現可能である一方で、1台のルーター上でタグVLANによってVLANネットワークを管理しつつL2TPv3トンネルを構築することができませんでした。この制限に対して機能追加を行い、L2TPv3とタグVLANを同時に使用できるようになりました。タグVLANでネットワークが構成された拠点で、既存のネットワークを変更することなく、L2TPv3を用いたL2VPNを導入することができます。L2TPv3とタグVLANの併用が可能な機種およびファームウェアについては、対応機種とファームウェアリビジョンを参照してください。

tagvlan2

上図では、VLAN1、VLAN2、LAN1(タグ無し)の3つのセグメントが構築された既存のネットワークにおいてL2TPv3を導入することで、遠隔拠点でもLAN1(タグ無し)のセグメントを構築できます。
上図の構成での設定例は以下のとおりです。

RT1の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24
 
[タグVLAN設定]
 vlan lan1/1 802.1q vid=100 name=VLAN1
 ip lan1/1 address 192.168.1.1/24
 vlan lan1/2 802.1q vid=200 name=VLAN2
 ip lan1/2 address 192.168.2.1/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ccp type none
  ppp ipcp ipaddress on
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.1 203.0.113.2
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.1
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 500
 nat descriptor masquerade static 1 2 192.168.100.1 esp
 nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
 l2tp service on l2tpv3
 
[DHCP設定]
 dhcp service server
 dhcp server rfc2131 compliant except remain-silent
 dhcp scope 1 192.168.100.3-192.168.100.191/24
 dhcp scope 2 192.168.1.3-192.168.1.191/24
 dhcp scope 3 192.168.2.3-192.168.2.191/24
 
[スイッチ設定]
 switch control use lan1 on
 switch select lan1:1
  switch control function set vlan-port-mode 1 hybrid
  switch control function set vlan-access 3 100
  switch control function set vlan-access 4 100
  switch control function set vlan-access 5 100
  switch control function set vlan-access 6 200
  switch control function set vlan-access 7 200
  switch control function set vlan-access 8 200
  switch control function set vlan-trunk 1 100 join
  switch control function set vlan-trunk 1 200 join

RT2の設定例

[経路設定]
 ip route default gateway pp 1

[ブリッジ設定]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[プロバイダとの接続設定]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (認証方式)
  pp auth myname (ユーザ名) (パスワード)
  ppp lcp mru on 1454
  ppp ccp type none
  ppp ipcp ipaddress on
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3接続で使用するトンネルの設定]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.2 203.0.113.1
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.2
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT設定]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 500
 nat descriptor masquerade static 1 2 192.168.100.2 esp
 nat descriptor masquerade static 1 3 192.168.100.2 udp 4500

[IPsecのトランスポートモード設定]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3設定]
l2tp service on l2tpv3

SYSLOGメッセージ一覧

本機能において出力されるSYSLOGメッセージを以下に示します。

レベル 出力メッセージ 意味
INFO [L2TP] opend port 1701/udp UDPのポート番号1701を開放
[L2TP] closed port 1701/udp UDPのポート番号1701を閉鎖
[L2TPv3] TUNNEL[XX] connected from IPアドレス コネクション確立要求(SCCRQ)を受信
[L2TPv3] TUNNEL[XX] connect to IPアドレス コネクション確立要求(SCCRQ)を送信
[L2TPv3] TUNNEL[XX] tunnel トンネル番号 established L2TPトンネルが確立
[L2TPv3] TUNNEL[XX] session セッション番号 established L2TPセッションが確立
[L2TPv3] TUNNEL[XX] disconnecting tunnel トンネル番号 L2TPトンネルの切断処理を実行中
[L2TPv3] TUNNEL[XX] disconnect tunnel トンネル番号 complete L2TPトンネルの削除が完了
[L2TPv3] TUNNEL[XX] disconnect session セッション番号 complete L2TPセッションの削除が完了
[L2TPv3] TUNNEL[XX] state timer for waiting L2TP制御メッセージ expired L2TP制御メッセージの受信待ちタイマーが満了したため、L2TPトンネルの切断処理を開始
[L2TPv3] TUNNEL[XX] disconnect timer expired tunnel トンネル番号 L2TP切断タイマーが満了したため、L2TPトンネルの切断処理を開始
[L2TPv3] TUNNEL[XX] keepalive timer expired tunnel トンネル番号 L2TPキープアライブで接続先のダウンを検出したため、L2TPトンネルの切断処理を開始
[L2TPv3] TUNNEL[XX] authentication error tunnel トンネル番号 L2TPトンネル認証エラーにより、L2TPトンネルの切断処理を開始
DEBUG [L2TPv3] can't find tunnel number 接続を受けるためのトンネルインターフェースがみつからない
[L2TPv3] receive wrong header 不正なL2TPヘッダを含むL2TPメッセージを受信
[L2TPv3] router-id mismatched tunnel 受信したRouter ID AVPの内容とl2tp remote route-idコマンドの設定値が不一致
[L2TPv3] remote end-id not exist Remote End ID AVPが含まれないICRQメッセージを受信
[L2TPv3] remote end-id mismatched Remote End ID AVPの内容とl2tp remote end-idコマンドの設定値が不一致
[L2TPv3] tunnel state mismatch L2TPメッセージ L2TPトンネルの確立シーケンスの中で適切でないL2TPメッセージを受信
[L2TPv3] session state mismatch L2TPメッセージ L2TPセッションの確立シーケンスの中で適切でないL2TPメッセージを受信
[L2TPv3] tie breaking tunnel L2TPトンネル番号 L2TPトンネルの確立シーケンスの中で、タイブレークによりトンネルを切断
[L2TPv3] tie breaking session L2TPセッション番号 L2TPセッションの確立シーケンスの中で、タイブレークによりトンネルを切断
[L2TPv3] AVP attr type illegal 不正なタイプのAVPが含まれたL2TPメッセージを受信
[L2TP] wrong version header ver.XX 未対応のL2TPバージョンのメッセージを受信
[L2TP] receive too small packet size:XX 必要な長さを満たさないL2TPメッセージを受信
[L2TP] AVPs check error 解析不能なAVPを受信

ページトップへ戻る