使用L2TPv3的L2VPN

概要

L2TPv3 (Layer 2 Tunneling Protocol version 3) 是在数据链接层(L2)实现VPN连接(L2VPN)的隧道协议。通过将L2帧封装为IP数据包,实现在路由器之间传输L2帧,可以在多个据点构筑相同网段的网络。尽管L2TPv3本身没有加密机制,但是和IPsec同时使用时,可以实现L2TPv3/IPsec的VPN连接来确保数据的机密性和完整性。雅马哈路由器可以构筑使用L2TPv3的L2VPN和使用L2TPv3/IPsec的L2VPN。

topology

L2TPv3隧道可以传输所有以太网帧,例如单播数据包,多播数据包,广播数据包和任播数据包。也可以传输带有IEEE802.1Q标签的以太网帧。

注意事项

在雅马哈路由器中,支持从智能手机发起的L2TP/IPsec远程访问VPN。
L2TP / IPsec是基于L2TPv2的实现,其用法不同于在据点之间实现L2VPN的L2TPv3。

雅马哈路由器中支持的L2TPv3有以下的限制。

  • 作为L2帧封装方法,仅支持封装为UDP数据包(L2TPv3 over UDP)的方法。不支持使用IP协议端口号115,封装为IP数据包(L2TPv3 over IP)的方法。
  • 使用UDP端口号1701接收L2TPv3数据包。无法变更。
  • 通过L2TPv3可以隧道化的L2帧只能是以太帧。
  • L2TPv3 / IPsec仅支持IKEv1传输模式。
  • LAN分割的接口(vlanN)收容在桥接成员中时,不会桥接处理付有IEEE802.1Q 标签的数据包。

支持的机型和固件版本

雅马哈路由器在以下的机型和固件版本中,支持L2TPv3。

机型 固件版本 L2TPv3 L2TPv3/IPsec 可以运行L2TPv3
最大隧道数(※1)
和Tag VLAN功能并用 和L2MS的控制器并用 隧道接口的过滤
RTX820 Rev.11.03.28 1
(50)
- -
Rev.11.03.30以降 4
(50)
-

※1 ...()中的数值表示VPN的设置最大数。
是IPsec, PPTP, L2TP/IPsec的VPN设置并用时的总数。

用语的定义

LAC (L2TP Access Concentrator)

L2TP隧道的端点,发起L2TP连接开始请求的端点。

LNS (L2TP Network Server)

和L2TP隧道的LAC相对的端点,接收L2TP连接的开始请求的端点。

L2TPv3的详细

L2TPv3

L2TPv3通过封装L2帧使路由器之间L2帧的传送成为可能,从而在L2实现VPN连接。封装的方法包括:封装为IP数据包的L2TPv3 over IP、封装为UDP数据包的L2TPv3 over UDP。
雅马哈路由器支持了考虑到使用NAT的网络环境的L2TPv3 over UDP。可以封装的L2帧只能是以太帧。

由于L2TPv3本身没有加密机制,因此从安全性角度来看,它不适合通过Internet进行VPN连接。但是,由于不进行加密处理,因此在封闭网络等确保安全性的环境下,可以构建高速L2VPN。

L2TPv3中的L2帧的封装方式

  • L2TPv3 over UDP

    使用UDP的1701号端口。数据包格式如下所示。

    L2TPv3控制数据包
    
    +-------------------+-----------------+--------------+----------------------+
    | IP头          | UDP头       | L2TPv3头 | L2TPv3控制信息 |
    | 协议号:17 | 端口号:1701 |              |                      |
    +-------------------+-----------------+--------------+----------------------+
    
    L2TPv3数据包(以太帧中是IP数据包时)
    
    +-------------------+-----------------+--------------+------------------------------------------+
    | IP头          | UDP头       | L2TPv3头 | L2TPv3有效载荷                         |
    | 协议号:17 | 端口号:1701 |              | +-------------+----------+--------------+|
    |                   |                 |              | | ETHER头 | IP头 | IP有效载荷 ||
    |                   |                 |              | +-------------+----------+--------------+|
    +-------------------+-----------------+--------------+------------------------------------------+
    
  • L2TPv3 over IP

    使用根据IANA指定的IP协议号115。雅马哈路由器不支持L2TPv3 over IP。数据包格式如下所示。

    L2TPv3控制数据包
    
    +--------------------+--------------+----------------------+
    | IP头           | L2TPv3头 | L2TPv3控制信息 |
    | 协议号:115 |              |                      |
    +--------------------+--------------+----------------------+
    
    L2TPv3数据包(以太帧中是IP数据包时)
    
    +--------------------+--------------+------------------------------------------+
    | IP头          | L2TPv3头 | L2TPv3有效载荷                         |
    | 协议号:115 |              | +-------------+----------+--------------+|
    |                    |              | | ETHER头 | IP头 | IP有效载荷 ||
    |                    |              | +-------------+----------+--------------+|
    +--------------------+--------------+------------------------------------------+
    

2TPv3隧道的确立

L2TPv3隧道的确立使用连接控制信息和会话控制信息。构筑基于L2TPv3的L2VPN时,通过连接控制消息创建隧道后,通过会话控制消息建立会话。

  • [连接控制信息]
    • SCCRQ (Start-Control-Connection-Request)
    • SCCRP (Start-Control-Connection-Reply)
    • SCCCN (Start-Control-Connection-Connected)
    • StopCCN (Stop-Control-Connection-Notification)
  • [会话控制信息]
    • OCRQ (Outgoing-Call-Request)
    • OCRP (Outgoing-Call-Reply)
    • OCCN (Outgoing-Call-Connected)
    • ICRQ (Incoming-Call-Request)
    • ICRP (Incoming-Call-Reply)
    • ICCN (Incoming-Call-Connected)
    • CDN (Call-Disconnect-Notify)
  • [Keepalive信息]
    • HELLO (Hello)
  • [确认应答信息]
    • ACK (Explicit Acknowledgement)
  • [错误报告信息]
    • WEN (WAN-Error-Notify)

L2TPv3隧道从建立到切断的顺序

l2tpv3_sequence

AVPs (Attribute Value Pairs) 的各种属性的值

在SCCRQ和ICRQ之类的L2TP控制信息中,有效载荷中包含了信息的类型和协议版本等通知连接对方的参数值。这些将各种属性和参数值的组合联系起来的一系列的信息,称为AVPs。此外,一组属性和参数值称为AVP。在L2TPv2中支持的AVP,请参考L2TP/IPsec
L2TPv3中新增的AVP如下所示。

※并非所有的AVP都包含在控制消息中。

属性编号 属性名 属性编号 属性名
58 Extended Vendor ID AVP 67 -
59 Message Digest 68 Pseudowire Type
60 Router ID 69 L2-Specific Sublayer
61 Assigned Control Connection ID 70 Data Sequencing
62 Pseudowire Capabilities List 71 Circuit Status
63 Local Session ID 72 Preferred Language
64 Remote Session ID 73 Control Message Authentication Nonce
65 Assigned Cookie 74 Tx Connect Speed
66 Remote End ID 75 Rx Connect Speed

AVP的参数值的加密

L2TP没有用于加密整个L2TP数据包的机制,但是有用于加密每个AVP的参数值的机制。雅马哈路由器不支持AVP的参数值的加密。

L2TPv3控制消息认证(L2TPv3隧道认证)

在L2TPv3中,存在一种使用消息摘要进行控制消息身份验证的机制。想要进行控制信息验证的LAC或者LNS中,在发送L2TP控制信息时,根据预共享密码和Control Message Authentication Nonce AVP通知的值和发送的L2TP控制信息的ID计算出消息摘要,在发送的L2TP控制信息中增加为Message Digest AVP。可以进行连接控制信息・会话控制信息・Keepalive信息・应答确认信息的验证。

雅马哈路由器支持L2TPv3控制信息认证。
L2TPv3控制信息认证使用的密码,可以用l2tp tunnel auth命令进行设置。

L2TPv3使用的端口号

L2TPv3中,使用1701端口作为SCCRQ的发送源端口号和发送目的端口号。不能变更。SCCRP之后的信息的发送源端口号,使用使用最后收到的消息的源端口号。即使路由器之间存在NAT设备并且中途更改了源端口号,也可以使用L2TPv3。

 S : 源端口号
 D : 目的端口号
 
 
+-----+S: 1701 D: 1701          +-----+S: 60000 D: 1701         +-----+
|     |----------SCCRQ--------->|     |------------------------>|     |
|     |                         |     |                         |     |
|     |          S: 1701 D: 1701|     |         S: 1701 D: 60000|     |
|     |<------------------------|     |<---------SCCRP----------|     |
|     |                         |     |                         |     |
|     |S: 1701 D: 1701          |     |S: 60000 D: 1701         |     |
| LAC |------------------------>| NAT |------------------------>| LNS |
|     |                         |     |                         |     |
|     |          S: 1701 D: 1701|     |         S: 1701 D: 60000|     |
|     |<------------------------|     |<------------------------|     |
|     |                         |     |                         |     |
|     |S: 1701 D: 1701          |     |S: 60000 D: 1701         |     |
|     |---------StopCCN-------->|     |------------------------>|     |
|     |                         |     |                         |     |
|     |          S: 1701 D: 1701|     |         S: 1701 D: 60000|     |
|     |<------------------------|     |<----------ACK-----------|     |
+-----+                         +-----+                         +-----+

L2TPv3中的分段

在L2TPv3中,将IP头,UDP头和L2TPv3头添加到通过L2TPv3隧道传输的L2帧中。由于这些头部,封装后的数据包超过发送接口的MTU时,就会发生分段。
雅马哈路由器中,L2TPv3的处理,对于封装对象的L2帧不进行分段,根据封装后的数据包的发送接口的MTU进行IP分段。L2TPv3的隧道接口的MTU设置是无效的。

将接收到的L2帧在L2TPv3隧道中进行隧道化时

  1. 接收L2帧
    +--------+------------+
    | ETHER  | 有效载荷 |
    | 头 |            |
    +--------+------------+
    <=====================>
     接收帧长度为1514byte
    
  2. L2TPv3封装
    +--------+--------+--------+--------+------------+
    |   IP   |  UDP   | L2TPv3 | ETHER  | 有效载荷 |
    | 头 | 头 | 头 | 头 |            |
    +--------+--------+--------+--------+------------+
    <================================================>
          封装后的数据包长为1554byte
    
  3. 从MTU为1500byte的接口进行发送时的IP分段
    +--------+--------+--------+--------+------------+     +--------+------------------+
    |   IP   |  UDP   | L2TPv3 | ETHER  | 有效载荷 |  +  |   IP   | 有效载荷剩余部分 |
    | 头 | 头 | 头 | 头 |            |     | 头 |                  |
    +--------+--------+--------+--------+------------+     +--------+------------------+
    <================================================>     <===========================>
                        1500byte                                       74byte
    

L2TPv3/IPsec

尽管L2TPv3本身没有加密机制,但是和IPsec同时使用时,可以实现L2TPv3/IPsec的VPN连接来确保数据的机密性和完整性。在进行上述L2TPv3协商之前,需要使用IPsec建立安全的通信路径,并在该通信路径上建立L2TPv3的VPN连接。L2TPv3的协商数据包和数据数据包全都通过IPsec隧道作为加密后的数据包进行收发。适用于通过因特网构建L2VPN。

L2TPv3/IPsec隧道确立的顺序

l2tpv3_ipsec_sequence

IPsec的协议模式

雅马哈路由器中,将隧道模式和传输模式两种模式都作为IPsec的协议模式。
L2TPv3 / IPsec只能在传输模式下工作,不能在隧道模式下工作。。

L2TPv3和IPsec的联动

如果IPsec隧道断开,因为无法通过安全路由发送和接收L2TPv3控制消息,则L2TPv3隧道也将断开。
如果在IPsec隧道处于连通状态时L2TPv3隧道断开,因为可以通过安全路由再次发送和接收L2TPv3控制消息,所以IPsec隧道不会断开。

L2TPv3/IPsec中的Keepalive

与L2TPv2一样,L2TPv3具有使用连接控制消息之一的Hello消息的Keepalive机制。它独立于IPsec的Keepalive。
2TPv3/IPsec中,为了防止L2TPv3隧道断开引起的IPsec隧道断开,使用L2TPv3/IPsec时,推荐同时设置IPsec的Keepalive和L2TP的Keepalive。

L2TPv3和桥接功能

L2TPv3通过扩展桥接功能在LAN接口和隧道接口之间桥接L2帧。L2帧输出目的接口的选择方法等遵从桥接功能的机制,因此在使用L2TPv3时,有必要理解桥接功能。

通过将指定LAN接口和运行L2TPv3的隧道接口做为桥接接口的容纳接口,可以将LAN接口和隧道接口的L2帧桥接。

从作为容纳接口的LAN接口或隧道接口接收到的L2帧,或者从桥接接口发送的L2帧,参考桥接功能的学习表来决定目标接口。当L2帧流到L2TPv3隧道时,通过添加IP,UDP和L2TPv3包头对其进行封装、遵从路由表进行转发。因为根据学习表决定目标接口,可以防止不必要的数据包从别的接口输出。如果和学习到的条目不匹配,则将数据包输出到除接收接口以外的所有容纳接口。

在支持Fastpath的机型中,传输到L2TPv3隧道的L2帧和从L2TPv3隧道接收的L2帧由Fastpath处理。但是,以下的数据包由Normalpath处理。

  • 桥接功能中,符合Normalpath处理条件的数据包
    关于Fastpath处理数据包的条件,请参考桥接功能
  • 附加了IEEE802.1Q标签的数据包

桥接的学习表可以登录的MAC地址数如下所示。

机型 动态条目数 静态条目数
RTX820 256 32

※静态条目是指可以用bridge learning static命令设置的MAC地址数。

L2TPv3中的过滤

L2TPv3的容纳接口中可以进行以下的过滤设置。

  • LAN接口
    • 以太网过滤
    • 侵入检测(IDS)
    • 入站过滤
    • 内部・外部数据库参考型URL过滤
    • 策略过滤(仅限支持的机型)
  • 隧道接口
    • 以太网过滤
    • IP过滤
    • 侵入検知(IDS)
    • 入站过滤
    • 内部・外部数据库参考型URL过滤
    • 策略过滤(仅限支持的机型)

另一方面,桥接接口可以设置以下的过滤。

  • IP过滤

当将过滤应用于容纳接口时,与使用桥接功能进行过滤的方式相同,这些过滤将在桥接过程中,如下图所示进行处理。换句话说,这些过滤应用于数据链路层(L2)。(该过程本身在L2中执行,但如有必要,也会检查数据包IP报头之后的部分)
其他的关于过滤的注意点,请参考桥接功能

支持策略过滤的机型时

支持隧道接口的过滤的机型时

※1 out方向(发送方向)上,不能适用入站过滤。只能适用在in方向(接收方向)上。
※2 out方向(发送方向)上,侵入检测功能在策略过滤之后适用。
※3 out方向(发送方向)上,IP过滤在URL过滤前适用。

与L2TPv3相关的命令

[新增命令]

L2TPv3的一直连接的设置

[格式]
l2tp always-on SW
no l2tp always-on [SW]
[设置值和默认值]
  • SW
    • [设置值] :
      设置值 说明
      on 一直连接
      off 不一直连接
    • [默认值] : on
[说明]

设置L2TPv3的连接是否一直连接。
只能在隧道接口上设置。

L2TP的Host名的设置

[格式]
l2tp hostname HOSTNAME
no l2tp hostname [HOSTNAME]
[设置值和默认值]
  • HOSTMANE
    • [设置值] : ホスト名(32字符以内)
    • [默认值] : 机型名
[说明]

设置通知给连接对方的host名。
它显示在show status l2tp命令输出的L2TP隧道信息中。
不设置本命令时,使用机型名作为host名。
只能在隧道接口上设置。

L2TPv3的Local Router ID的设置

[格式]
l2tp local router-id IPV4_ADDRESS
no l2tp local router-id [IPV4_ADDRESS]
[设置值和默认值]
  • IPV4_ADDRESS
    • [设置值] : IPv4地址
    • [默认值] : 0.0.0.0
[说明]

设置通知给连接对方的Router ID。
请设置为和连接对方的Remote Router ID相同的IPv4地址。
不一定要使用路由器设置中的IPv4地址。
只能在隧道接口上设置。

L2TPv3的Remote Router ID的设置

[格式]
l2tp remote router-id IPV4_ADDRESS
no l2tp remote router-id [IPV4_ADDRESS]
[设置值和默认值]
  • IPV4_ADDRESS
    • [设置值] : IPv4地址
    • [默认值] : 0.0.0.0
[説明]

设置L2TPv3的连接对方的Router ID。
请设置为和连接对方的Local Router ID相同的IPv4地址。
不一定要使用路由器设置中的IPv4地址。
只能在隧道接口上设置。

L2TPv3的Remote End ID的设置

[格式]
l2tp remote end-id END_ID
no l2tp remote end-id [END_ID]
[设置值和默认值]
  • END_ID
    • [设置值] : 任意字符串(32字符以内)
    • [默认值] : 无
[说明]

设定L2TPv3的Remote End ID。
请设置为和连接对方的Remote End ID相同的字符串。
只能在隧道接口上设置。

[和L2TP/IPsec共通的设置]

L2TP隧道认证相关的设置

[格式]
l2tp tunnel auth SW [PASSWORD]
no l2tp tunnel auth [SW [PASSWORD]]
[设置值和默认值]
  • SW
    • [设置值] :
      设置值 说明
      on 进行L2TP隧道认证
      off 不进行L2TP隧道认证
    • [默认值] : off
  • PASSWORD
    • [设置值] : 用于L2TP隧道认证的密码(32字符以内)
    • [默认值] : 机型名
[说明]

设置是否进行L2TP隧道认证。
PASSWORD省略时,使用机型名作为密码。
只能在隧道接口上设置。

使用使用L2TP Keepalive的设置

[格式]
l2tp keepalive use SW [INTERVAL [COUNT]]
no l2tp keepalive use [SW [INTERVAL [COUNT]]]
[设置值和默认值]
  • SW
    • [设置值] :
      设置值 说明
      on 使用L2TP Keepalive
      off 不使用L2TP Keepalive
    • [默认值] : on
  • INTERVAL
    • [设置值] : 的发送间隔(1 .. 600 秒)
    • [默认值] : 10
  • count
    • [设置值] : ダウン検出までのカウント(1 .. 50)
    • [默认值] : 6
[说明]

置基于L2TP的Hello信息的Keepalive。
进行Keepalive时,根据INTERVAL和COUNT的设置值进行L2TP的Hello信息的发送。
只能在隧道接口上设置。

L2TP Keepalive日志的设置

[格式]
l2tp keepalive log SW
no l2tp keepalive log [SW]
[设置值和默认值]
  • SW
    • [设置值] :
      设置值 说明
      on 输出L2TP Keepalive的日志
      off 不输出L2TP Keepalive的日志
    • [默认值] : off
[说明]

设置是否输出L2TP Keepalive的日志。
全都输出至日志的debug级别。
只能在隧道接口上设置。

L2TP隧道断开计时器的设置

[格式]
l2tp tunnel disconnect time TIME
no l2tp tunnel disconnect time [TIME]
[设置值和默认值]
  • TIME
    • [设置值] :
      设置值 说明
      断开计时器(1 .. 21474836 秒) 设置L2TP隧道的断开计时器
      off 不设置L2TP隧道的断开计时器
    • [默认值] : 60
[说明]

设置L2TP隧道的断开计时器。
对于选择中的L2TP隧道,当数据数据包无输入・无发送时,根据计时器断开L2TP隧道的时间的设置。
因为除了L2TP控制信息全都为数据数据包,所以使用PPP Keepalive时,将不会根据计时器进行L2TP隧道的断开。
只能在隧道接口上设置。

L2TP的SYSLOG输出设置

[格式]
l2tp syslog SW
no l2tp syslog [SW]
[设置值和默认值]
  • SW
    • [设置值] :
      设置值 说明
      on 输出L2TP的连接控制相关的日志至SYSLOG
      off 不输出L2TP的连接控制相关的日志至SYSLOG
    • [默认值] : off
[説明]

设置是否输出L2TP的连接控制相关的日志至SYSLOG。
不输出L2TP的Keepalive相关的日志。
全都输出至日志的debug级别。
只能在隧道接口上设置。

[规格扩展命令]

设置是否运行L2TP

[格式]
l2tp service SW [VERSION [VERSION]]
no l2tp service [SW [VERSION [VERSION]]]
[设置值和默认值]
  • SW
    • [设置值] :
      设置值 说明
      on L2TP有效
      off L2TP无效
    • [默认值] : off
  • VERSION
    • [设置值] :
      设置值 说明
      l2tp L2TP/IPsec有效
      l2tpv3 L2TPv3, L2TPv3/IPsec有效
    • [默认值] : -
[说明]

设置是否运行L2TP。
根据VERSION设置L2TP运行的版本。不设置VERSION时,同时运行L2TPv2和L2TPv3。
设置为"on"时,打开UDP的1701端口号,连接开始。
设置为"off"时,关闭UDP的1701端口号,将断开连接中的L2TP和L2TPv3的连接。

[Note]

不支持IPsec的机型,不能使用l2tp关键字。

设置隧道接口的类型

[格式]
tunnel encapsulation TYPE
no tunnel encapsulation [TYPE]
[设置值和默认值]
  • TYPE
    • [设置值] :
      设置值 说明
      ipsec IPsec隧道
      ipip IPv6 over IPv4 隧道、IPv4 over IPv6 隧道、IPv4 over IPv4 隧道 或 IPv6 over IPv6 隧道
      pptp PPTP隧道
      l2tp L2TP/IPsec隧道
      l2tpv3-raw L2TPv3隧道
      l2tpv3 L2TPv3/IPsec隧道
      ipudp IPUDP隧道
    • [默认值] : ipsec
[说明]

设置隧道接口的类型。

[Note]

当隧道和NAT一起使用时,最好使用tunnel endpoint address命令设置起点IP地址。
不支持PPTP的机型,不能使用pptp关键字。
不支持L2TP/IPsec的机型,不能使用l2tp关键字。
不支持L2TPv3功能的机型,不能使用l2tpv3-raw和l2tpv3关键字。
不支持IPsec的机型,不能使用l2tp和l2tpv3关键字。
IPUDP隧道只能在使用NGN网络进行数据通信时使用。

隧道接口的端点IP地址的设置

[格式]
tunnel endpoint address [LOCAL] REMOTE
no tunnel endpoint address [LOCAL [REMOTE]]
[设置值和默认值]
  • LOCAL
    • [设置值] : 设置本方的隧道接口端点的IP地址
  • REMOTE
    • [设置值] : 设置对方的隧道接口端点的IP地址
[说明]

设置隧道接口端点的IP地址。IP地址可以设置为IPv4/IPv6任意的地址,local和remote的IPv4/IPv6的类型必须相同。隧道接口端点设置为IPv4地址时,可以使用IPv4 over IPv4 隧道和 IPv6 over IPv4 隧道,设置为IPv6地址时,可以使用IPv4 over IPv6 隧道 和 IPv6 over IPv6 隧道。

local 省略时,使用该接口的IP地址。

[Note]

当tunnel encapsulation命令设置为pptp,l2tp,l2tpv3-raw,ipip时,将使用此命令设置的IP地址。IPsec 隧道的隧道端点根据ipsec ike local address 和ipsec ike remote address命令的设置。
当使用PPTP服务器和L2TP / IPsec服务器的Anonymous接收时,没有必要进行设置。

L2TP的状态显示

[格式]
show status l2tp
show status l2tp tunnel TUNNEL_NUMBER
[设置值和默认值]
  • TUNNEL_NUMBER
    • [设置值] : 隧道号
[说明]

L2TP的状态显示。

[显示例]

# show status l2tp
------------------- L2TP INFORMATION -------------------
L2TP信息表
  L2TP隧道数: 1, L2TP会话数: 1
TUNNEL[1]:
  隧道的状态: established
  版本: L2TPv3
  本方隧道ID: 37704
  对方隧道ID: 28837
  本方IP地址: 192.168.100.1
  对方IP地址: 10.0.0.2
  本方发送源端口: 1701
  对方发送源端口: 1701
  厂商名: YAMAHA Corporation
  主机名: RTX1200
  Next Transmit sequence(Ns): 436
  Next Receive sequence(Nr) : 434
  隧道内的会话数: 1 session
  会话信息:
    会话的状态: established
    本方会话ID: 44573
    对方会话ID: 36099
    Circuit Status 本方:UP 对方:UP
    通信时间: 6小时1分钟55秒
    接收: 179 数据包 [21056 八位字节]
    发送: 44 数据包 [3736 八位字节]

设置容纳在桥接接口中的接口

[格式]
bridge member BRIDGE_INTERFACE INTERFACE INTERFACE [...]
no bridge member BRIDGE_INTERFACE [INTERFACE ...]
[设置值和默认值]
  • BRIDGE_INTERFACE
    • [设置值] : 桥接接口名
  • INTERFACE
    • [设置值] : LAN接口名或者隧道接口名
[说明]

指定作为虚拟接口的网桥接口中要容纳的接口。
在容纳的接口之间执行桥接操作。
容纳了隧道接口时,只有建立L2TPv3 隧道的隧道接口可以进行桥接。
作为INTERFACE可以容纳的接口数和限制事项如下所示。

机型名 接口数
RTX820 5
[Note]
  • 关于容纳的LAN接口
    不能将IPv4和IPv6地址分配给容纳的接口。
    所容纳接口的IPv6链接本地地址被删除。
    容纳的LAN接口的所有MTU必须具有相同的值。
    容纳在一个桥接接口中的接口不能容纳在另一个桥接接口中。
    当要容纳的接口是具有交换集线器的接口时,集线器的端口之间完成的通信不是由本功能进行桥接操作,而是在交换集线器LSI内部处理交换。
  • 关于容纳的隧道接口
    容纳的隧道接口的MTU无效,隧道接口不进行分段,封装后的数据包根据发送接口的MTU进行分段。
    容纳在一个桥接接口中的接口不能容纳在另一个桥接接口中。
    只有具有L2TPv3功能的型号才能将隧道接口设置为容纳接口。
  • 关于桥接接口
    桥接接口的链接状态根据所容纳的LAN接口的链接状态而变化。
    如果容纳的任意接口为UP,则桥接接口为UP。
    如果所有接口都为Down,则桥接接口也将为Down。
    桥接接口的MAC地址使用所容纳的LAN接口中接口号最小的接口的地址。

开始L2TPv3隧道的连接

[格式]
connect INTERFACE
connect PEER_NUM
connect pp PEER_NUM
connect tunnel TUNNEL_NUM
[设置值和默认值]
  • INTERFACE
    • [设置值] : WAN接口名
  • PEER_NUM
    • [设置值] : 送信对象的对点信息号
  • TUNNEL_NUM
    • [设置值] : 介由NGN网络的隧道号或L2TPv3隧道号
[说明]

手动发起连接。

[Note]

connect tunnel命令不能用于使用DataConnect的据点间连接或L2TPv3隧道以外的隧道使用。
connect pp命令不能在未实现DataConnect连接功能的型号上使用。
connect tunnel命令不能在未实现DataConnect连接功能或L2TPv3功能的型号上使用。

断开L2TPv3隧道的连接

[格式]
disconnect INTERFACE
disconnect PEER_NUM
disconnect pp PEER_NUM
disconnect tunnel TUNNEL_NUM
[设置值和默认值]
  • INTERFACE
    • [设置值] : WAN接口名
  • PEER_NUM
    • [设置值] : 送信对象的对点信息号
  • TUNNEL_NUM
    • [设置值] : 介由NGN网络的隧道号或L2TPv3隧道号
[说明]

手动发起断开。

[Note]

disconnect tunnel命令不能用于使用DataConnect的据点间连接或L2TPv3隧道以外的隧道使用。
disconnect pp命令不能在未实现DataConnect连接功能的型号上使用。
disconnect tunnel命令不能在未实现DataConnect连接功能或L2TPv3功能的型号上使用。

清除接口的计数信息

[格式]
clear status INTERFACE
clear status pp PEER_NUM
clear status tunnel TUNNEL_NUM
[设置值和默认值]
  • INTERFACE
    • [设置值] : LAN接口名
  • PEER_NUM
    • [设置值] : 连接对点信息号
  • TUNNEL_NUM
    • [设置值] : 隧道接口号
[说明]

清除指定接口的计数信息。

在接口上应用以太网过滤的设置

[格式]
ethernet INTERFACE filter DIR LIST
[设置值和默认值]
  • INTERFACE
    • [设置值] : LAN接口名、隧道接口名
    • [默认值] : -
  • DIR
    • [设置值] :
      设置值 说明
      in 输入到用INTERFACE指定的接口
      的数据包的过滤
      out 从用INTERFACE指定的接口
      输出的数据包的过滤
    • [默认值] : -
  • LIST
    • [设置值] :
      设置值 说明
      由空格分隔的
      静态过滤编号列表
      100个以内
    • [默认值] : -
[说明]

对于通过LAN和隧道接口的数据包,根据ethernet filter命令组合使用数据包的过滤,限制通过的数据包的种类。

[ノート]

可以用物理LAN接口或者使用了LAN分割功能的接口来指定LAN接口名。
Rev.10.01系列中,可以用VLAN接口来指定使用了LAN分割功能的接口。
在INTERFACE中指定隧道接口时,只有当指定的接口容纳在桥接接口时,才应用过滤。

L2TPv3的设置例

设置例1:构筑2据点间的使用L2TPv3的L2VPN

在雅马哈路由器1和雅马哈路由器2之间,使用L2TPv3构筑L2VPN。
两台路由器的LAN1在同一网段,PC间也能通信。

  • 雅马哈路由器1
    • LAN2侧的IP地址 : 203.0.113.1
    • LAN1侧的IP地址 : 192.168.100.1/24
    • L2TPv3的Host名 : YAMAHA-RT1
    • L2TPv3的Router ID : 192.168.100.1
  • 雅马哈路由器2
    • LAN2侧的IP地址 : 203.0.113.2
    • LAN1侧的IP地址 : 192.168.100.2/24
    • L2TPv3的Host名 : YAMAHA-RT2
    • L2TPv3的Router ID : 192.168.100.2
  • L2TPv3相关的设置(两台路由器共通)
    • L2TPv3的自动连接 : 有
    • L2TPv3隧道认证 : 有(密码 : yamaha)
    • L2TPv3隧道的断开计时器 : 不设置断开计时器
    • L2TPv3 Keepalive : 使用 间隔60秒 直到检测到Down计数3次
    • L2TPv3 Keepalive的日志输出 : 有
    • L2TPv3的与连接控制相关的日志输出 : 有
    • L2TPv3的Remote End ID : yamaha

构成图

                               IP地址:        IP地址:
                               203.0.113.1         203.0.113.2
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| 雅马哈    |------------------------| 雅马哈    |-----| .11+----+
 | PC |-----|   .1| 路由器1 | <====================> | 路由器2 |.2   |----| PC |
 +----+     |     +-----------+          L2VPN         +-----------+     |    +----+
            |                                                            |
     192.168.100.0/24                                            192.168.100.0/24

雅马哈路由器1的设置例

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[LAN设置]
 ip lan2 address 203.0.113.1/24

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.1 203.0.113.2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 ip lan2 nat descriptor 1
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 203.0.113.1
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 1701

[L2TPv3设置]
 l2tp service on l2tpv3

雅马哈路由器2的设置例

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[LAN设置]
 ip lan2 address 203.0.113.2/24

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.2 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 ip lan2 nat descriptor 1
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 203.0.113.2
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 1701

[L2TPv3设置]
 l2tp service on l2tpv3

设置例2:构筑3据点间的使用L2TPv3的L2VPN

雅马哈路由器1和雅马哈路由器2, 雅马哈路由器1和雅马哈路由器3之间使用L2TPv3构筑L2VPN。
3台路由器的LAN1在同一网段,PC间也能通信。
※注意点:如果雅马哈路由器2和雅马哈路由器3之间也用L2TPv3构筑L2VPN的话,会发生L2帧环路。

  • 雅马哈路由器1
    • LAN2侧的IP地址 : 203.0.113.1
    • LAN1侧的IP地址 : 192.168.100.1/24
    • L2TPv3的Host名 : YAMAHA-RT1
    • L2TPv3的Router ID : 192.168.100.1
  • 雅马哈路由器2
    • LAN2侧的IP地址 : 203.0.113.2
    • LAN1侧的IP地址 : 192.168.100.2/24
    • L2TPv3的Host名 : YAMAHA-RT2
    • L2TPv3的Router ID : 192.168.100.2
  • 雅马哈路由器3
    • LAN2侧的IP地址 : 203.0.113.3
    • LAN1侧的IP地址 : 192.168.100.3/24
    • L2TPv3的Host名 : YAMAHA-RT3
    • L2TPv3的Router ID : 192.168.100.3
  • L2TPv3相关的设置(3台路由器共通)
    • L2TPv3的自动连接 : 有
    • L2TPv3隧道认证 : 有(密码 : yamaha)
    • L2TPv3隧道的断开计时器 : 不设置断开计时器
    • L2TPv3 Keepalive : 使用 间隔60秒 检测为Down为止的计数3次
    • L2TPv3 Keepalive的日志输出 : 有
    • L2TPv3的与连接控制相关的日志输出 : 有
    • L2TPv3的Remote End ID : yamaha

构成图

                               IP地址:        IP地址:
                               203.0.113.1         203.0.113.2
            | LAN1+-----------+LAN2      L2VPN1    LAN2+-----------+LAN1 |
 +----+.10  |-----| 雅马哈    |<======================>| 雅马哈    |-----| .11+----+
 | PC |-----|   .1| 路由器1 |------------+-----------| 路由器2 |.2   |----| PC |
 +----+     |     +-----------+<=========+ |           +-----------+     |    +----+
            |                           || |                             |
     192.168.100.0/24                   || |                     192.168.100.0/24
                                        || |
                                        || |       IP地址:
                                        || |       203.0.113.3
                                        || |       LAN2+-----------+LAN1 |
                                        || +-----------| 雅马哈    |-----| .12+----+
                                        +=============>| 路由器3 |.3   |----| PC |
                                         L2VPN2        +-----------+     |    +----+
                                                                         |
                                                                 192.168.100.0/24

雅马哈路由器1的设置例

[桥接设置]
 bridge member bridge1 lan1 tunnel1 tunnel2
 ip bridge1 address 192.168.100.1/24

[LAN设置]
 ip lan2 address 203.0.113.1/24

[L2TPv3(L2VPN1)连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.1 203.0.113.2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[L2TPv3(L2VPN2)连接使用的隧道的设置]
 tunnel select 2
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.1 203.0.113.3
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.3
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 2

[NAT设置]
 ip lan2 nat descriptor 1
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 203.0.113.1
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 1701

[L2TPv3设置]
 l2tp service on l2tpv3
 

雅马哈路由器2的设置例

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[LAN设置]
 ip lan2 address 203.0.113.2/24

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.2 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 ip lan2 nat descriptor 1
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 203.0.113.2
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 1701

[L2TPv3设置]
 l2tp service on l2tpv3

雅马哈路由器3的设置例

[桥接功能]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.3/24

[LAN设置]
 ip lan2 address 203.0.113.3/24

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 192.168.100.3 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT3
  l2tp syslog on
  l2tp local router-id 192.168.100.3
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 ip lan2 nat descriptor 1
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 203.0.113.3
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.3 udp 1701

[L2TPv3设置]
 l2tp service on l2tpv3

设置例3:2据点间的使用L2TPv3的L2VPN(IPv6网络上)

雅马哈路由器1和雅马哈路由器2之间在IPv6网络上用L2TPv3构筑L2VPN。
两台路由器的LAN1在同一网段,PC间也能通信。

  • 雅马哈路由器1
    • LAN2侧的IP地址 : 2000::1
    • LAN1侧的IP地址 : 192.168.100.1/24
    • L2TPv3的Host名 : YAMAHA-RT1
    • L2TPv3的Router ID : 192.168.100.1
  • 雅马哈路由器2
    • LAN2侧的IP地址 : 2000::2
    • LAN1侧的IP地址 : 192.168.100.2/24
    • L2TPv3的Host名 : YAMAHA-RT2
    • L2TPv3的Router ID : 192.168.100.2
  • L2TPv3相关的设置(两台路由器共通)
    • L2TPv3的自动连接 : 有
    • L2TPv3隧道认证 : 有 (密码 : yamaha)
    • L2TPv3隧道的断开计时器 : 不设置断开计时器
    • L2TPv3 Keepalive : 使用 间隔60秒 检测为Down为止的计数3次
    • L2TPv3 Keepalive的日志输出 : 有
    • L2TPv3的与连接控制相关的日志输出 : 有
    • L2TPv3的Remote End ID : yamaha

构成图

                               IP地址:        IP地址:
                               2000::1/64          2000::2/64
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| 雅马哈    |------------------------| 雅马哈    |-----| .11+----+
 | PC |-----|   .1| 路由器1 | <====================> | 路由器2 |.2   |----| PC |
 +----+     |     +-----------+          L2VPN         +-----------+     |    +----+
            |                                                            |
     192.168.100.0/24                                            192.168.100.0/24

雅马哈路由器1的设置例

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[LAN设置]
 ipv6 lan2 address 2000::1/64

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 2001::1 2000::2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[L2TPv3设置]
 l2tp service on l2tpv3

雅马哈路由器2的设置例

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[LAN设置]
 ipv6 lan2 address 2000::2/64

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3-raw
  tunnel endpoint address 2000::2 2000::1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[L2TPv3设置]
 l2tp service on l2tpv3
 

L2TPv3/IPsec的设置例

设置例4:构筑2据点间的使用L2TPv3/IPsec的L2VPN(两据点都是固定IP地址)

雅马哈路由器1和雅马哈路由器2之间使用L2TPv3/IPsec构筑L2VPN。
两台路由器的LAN1在同一网段,PC间也能通信。

  • 雅马哈路由器1
    • 连接运营商PP的IP地址 : 203.0.113.1
    • LAN1侧的IP地址 : 192.168.100.1/24
    • L2TPv3的Host名 : YAMAHA-RT1
    • L2TPv3的Router ID : 192.168.100.1
  • 雅马哈路由器2
    • 连接运营商PP的IP地址 : 203.0.113.2
    • LAN1侧的IP地址 : 192.168.100.2/24
    • L2TPv3的Host名 : YAMAHA-RT2
    • L2TPv3的Router ID : 192.168.100.2
  • L2TPv3相关的设置(两台路由器共通)
    • L2TPv3的自动连接 : 有
    • L2TPv3隧道认证 : 有 (密码 : yamaha)
    • L2TPv3隧道的断开计时器 : 不设置断开计时器
    • L2TPv3 Keepalive : 使用 间隔60秒 检测为Down为止的计数3次
    • L2TPv3 Keepalive的日志输出 : 有
    • L2TPv3的与连接控制相关的日志输出 : 有
    • L2TPv3的Remote End ID : yamaha
  • IPsec相关的设置(两台路由器共通(main模式))
    • 加密算法 : aes-cbc
    • 认证方式 : sha-hmac
    • IKE Keepalive : 使用
    • IKE Keepalive的日志输出 : 有
    • NAT穿透 : 无效
    • 预共享秘钥 : yamaha

构成图

                               IP地址:        IP地址名:
                               203.0.113.1         203.0.113.2
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| 雅马哈    |--------Internet--------| 雅马哈    |-----| .11+----+
 | PC |-----|   .1| 路由器1 |PPPoE              PPPoE| 路由器2 |.2   |----| PC |
 +----+     |     +-----------+                        +-----------+     |    +----+
            |                  <======================>                  |
     192.168.100.0/24                   L2VPN                     192.168.100.0/24

雅马哈路由器1的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ccp type none
  ip pp address 203.0.113.1/24
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.1 203.0.113.2
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.1
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 500
 nat descriptor masquerade static 1 2 192.168.100.1 esp
 nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

雅马哈路由器2的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ccp type none
  ip pp address 203.0.113.2/24
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.2 203.0.113.1
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.2
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 500
 nat descriptor masquerade static 1 2 192.168.100.2 esp
 nat descriptor masquerade static 1 3 192.168.100.2 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

※连接运营商的PP接口上设置了过滤时,必须追加以下的过滤设置。请根据环境增加合适的设置。

   pp select 1
    ip pp secure filter in ... 200080 200081 200082 200083...

   ip filter 200080 pass * 192.168.100.X esp * *
   ip filter 200081 pass * 192.168.100.X udp * 500
   ip filter 200082 pass * 192.168.100.X udp * 1701
   ip filter 200083 pass * 192.168.100.X udp * 4500

设置例5:构筑2据点间的使用L2TPv3/IPsec的L2VPN(其中一个据点是固定IP地址)

雅马哈路由器1和雅马哈路由器2之间使用L2TPv3/IPsec构筑L2VPN。
两台路由器的LAN1在同一网段,PC间也能通信。

  • 雅马哈路由器1
    • 连接运营商PP的IP地址 : 203.0.113.1
    • LAN1侧的IP地址 : 192.168.100.1/24
    • L2TPv3的Host名 : YAMAHA-RT1
    • L2TPv3的Router ID : 192.168.100.1
  • 雅马哈路由器2
    • 连接运营商PP的IP地址 : 不定
    • LAN1侧的IP地址 : 192.168.100.2/24
    • L2TPv3的Host名 : YAMAHA-RT2
    • L2TPv3的Router ID : 192.168.100.2
  • L2TPv3相关的设置(两台路由器共通)
    • L2TPv3的自动连接 : 有
    • L2TPv3隧道认证 : 有 (密码 : yamaha)
    • L2TPv3隧道的断开计时器 : 不设置断开计时器
    • L2TPv3 Keepalive : 使用 间隔60秒 检测为Down为止的计数3次
    • L2TPv3 Keepalive的日志输出 : 有
    • L2TPv3的与连接控制相关的日志输出 : 有
    • L2TPv3的Remote End ID : yamaha
  • IPsec相关的设置(两台路由器共通(aggressive模式))
    • 加密算法 : aes-cbc
    • 认证方式 : sha-hmac
    • IKE Keepalive : 使用
    • IKE Keepalive的日志输出 : 有
    • NAT穿透 : 有効
    • 预共享秘钥 : yamaha
    • local name和remote name : l2tpv3

构成图

                               IP地址:        IP地址:
                               203.0.113.1         不定
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| 雅马哈    |---------Internet-------| 雅马哈    |-----| .11+----+
 | PC |-----|   .1| 路由器1 |PPPoE              PPPoE| 路由器2 |.2   |----| PC |
 +----+     |     +-----------+                        +-----------+     |    +----+
            |                  <======================>                  |
     192.168.100.0/24                    L2VPN                   192.168.100.0/24

雅马哈路由器1的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ccp type none
  ip pp address 203.0.113.1/24
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.1
   ipsec ike nat-traversal 1 on
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 any
   ipsec ike remote name 1 l2tpv3
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 500
 nat descriptor masquerade static 1 2 192.168.100.1 esp
 nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

雅马哈路由器2的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ipcp ipaddress on
  ppp ipcp msext on
  ppp ccp type none
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.2 203.0.113.1
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.2
   ipsec ike local name 1 l2tpv3
   ipsec ike nat-traversal 1 on
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 500
 nat descriptor masquerade static 1 2 192.168.100.2 esp
 nat descriptor masquerade static 1 3 192.168.100.2 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

※连接运营商的PP接口上设置了过滤时,必须追加以下的过滤设置。请根据环境增加合适的设置。

   pp select 1
    ip pp secure filter in ... 200080 200081 200082 200083...

   ip filter 200080 pass * 192.168.100.X esp * *
   ip filter 200081 pass * 192.168.100.X udp * 500
   ip filter 200082 pass * 192.168.100.X udp * 1701
   ip filter 200083 pass * 192.168.100.X udp * 4500

设置例6:构筑2据点间的使用L2TPv3/IPsec的L2VPN(两据点都不是固定IP地址)

雅马哈路由器1和雅马哈路由器2之间使用L2TPv3/IPsec构筑L2VPN。
雅马哈路由器1使用Netvolante DNS服务。
两台路由器的LAN1在同一网段,PC间也能通信。

  • 雅马哈路由器1
    • 连接运营商PP的IP地址 : 不定
    • LAN2側的Host名 : XXX.aaX.netvolante.jp
    • LAN1侧的IP地址 : 192.168.100.1/24
    • L2TPv3的Host名 : YAMAHA-RT1
    • L2TPv3的Router ID : 192.168.100.1
  • 雅马哈路由器2
    • 连接运营商PP的IP地址 : 不定
    • LAN1侧的IP地址 : 192.168.100.2/24
    • L2TPv3的Host名 : YAMAHA-RT2
    • L2TPv3的Router ID : 192.168.100.2
  • L2TPv3相关的设置(两台路由器共通)
    • L2TPv3的自动连接 : 有
    • L2TPv3隧道认证 : 有(密码 : yamaha)
    • L2TPv3隧道的断开计时器 : 不设置断开计时器
    • L2TPv3 Keepalive : 使用 间隔60秒 检测为Down为止的计数3次
    • L2TPv3 Keepalive的日志输出 : 有
    • L2TPv3的与连接控制相关的日志输出 : 有
    • L2TPv3的Remote End ID : yamaha
  • IPsec相关的设置(两台路由器共通(aggressive模式))
    • 加密算法 : aes-cbc
    • 认证方式 : sha-hmac
    • IKE Keepalive : 使用
    • IKE Keepalive的日志输出 : 有
    • NAT穿透 : 有効
    • 预共享秘钥 : yamaha
    • local name和remote name : l2tpv3

构成图

                         host名:                IP地址:
                         XXX.aaX.netvolante.jp     不定
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| 雅马哈    |---------Internet-------| 雅马哈    |-----| .11+----+
 | PC |-----|   .1| 路由器1 |PPPoE              PPPoE| 路由器2 |.2   |----| PC |
 +----+     |     +-----------+                        +-----------+     |    +----+
            |                  <======================>                  |
     192.168.100.0/24                    L2VPN                   192.168.100.0/24

雅马哈路由器1的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ipcp ipaddress on
  ppp ipcp msext on
  ppp ccp type none
  ip pp mtu 1454
  ip pp nat descriptor 1
  netvolante-dns hostname host pp server=1 XXX.aaX.netvolante.jp
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.1
   ipsec ike nat-traversal 1 on
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 any
   ipsec ike remote name 1 l2tpv3
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 500
 nat descriptor masquerade static 1 2 192.168.100.1 esp
 nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

雅马哈路由器2的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ipcp ipaddress on
  ppp ipcp msext on
  ppp ccp type none
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint name XXX.aaX.netvolante.jp
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.2
   ipsec ike local name 1 l2tpv3
   ipsec ike nat-traversal 1 on
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 XXX.aaX.netvolante.jp
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 500
 nat descriptor masquerade static 1 2 192.168.100.2 esp
 nat descriptor masquerade static 1 3 192.168.100.2 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

※连接运营商的PP接口上设置了过滤时,必须追加以下的过滤设置。请根据环境增加合适的设置。

   pp select 1
    ip pp secure filter in ... 200080 200081 200082 200083...

   ip filter 200080 pass * 192.168.100.X esp * *
   ip filter 200081 pass * 192.168.100.X udp * 500
   ip filter 200082 pass * 192.168.100.X udp * 1701
   ip filter 200083 pass * 192.168.100.X udp * 4500

设置例7:构筑2据点间的使用L2TPv3/IPsec的L2VPN(NGN网内折返,使用Flets・v6选项合同)

雅马哈路由器1和雅马哈路由器2之间使用L2TPv3/IPsec构筑L2VPN。
在NGN网络中来回通信。
雅马哈路由器1使用Flets・v6选项的「Name」服务。
两台路由器的LAN1在同一网段,PC间也能通信。

  • 雅马哈路由器1
    • LAN2侧的IPv6地址 : 不定
    • LAN2侧的Host名 : XXX.p-ns.flets-west.jp (NTT东为 XXX.aoi.flets-east.jp)
    • LAN1侧的IP地址 : 192.168.100.1/24
    • L2TPv3的Host名 : YAMAHA-RT1
    • L2TPv3的Router ID : 192.168.100.1
  • 雅马哈路由器2
    • LAN2侧的IPv6地址 : 不定
    • LAN1侧的IP地址 : 192.168.100.2/24
    • L2TPv3的Host名 : YAMAHA-RT2
    • L2TPv3的Router ID : 192.168.100.2
  • L2TPv3相关的设置(两台路由器共通)
    • L2TPv3的自动连接 : 有
    • L2TPv3隧道认证 : 有 (密码 : yamaha)
    • L2TPv3隧道的断开计时器 : 不设置断开计时器
    • L2TPv3 Keepalive : 使用 间隔60秒 检测为Down为止的计数3次
    • L2TPv3 Keepalive的日志输出 : 有
    • L2TPv3的与连接控制相关的日志输出 : 有
    • L2TPv3的Remote End ID : yamaha
  • IPsec相关的设置(两台路由器共通(aggressive模式))
    • 加密算法 : aes256-cbc
    • 认证方式 : sha256-hmac
    • IKE Keepalive : 使用
    • IKE Keepalive的日志输出 : 有
    • NAT穿透 : 无效
    • 预共享秘钥 : yamaha
    • local name和remote name : l2tpv3

构成图

                         Host名:                IP地址:
                         XXX.p-ns.flets-west.jp     不定
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| 雅马哈    |---------- NGN ---------| 雅马哈    |-----| .11+----+
 | PC |-----|   .1| 路由器1 |RA                    RA| 路由器2 |.2   |----| PC |
 +----+     |     +-----------+                        +-----------+     |    +----+
            |                  <======================>                  |
     192.168.100.0/24                    L2VPN                   192.168.100.0/24

雅马哈路由器1的设置例

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[连接NGN的设置]
 ipv6 lan2 address ra-prefix@lan2::1/64
 ipv6 lan2 dhcp service client ir=on

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
   ipsec ike keepalive log 1 on
   ipsec ike keepalive use 1 on
   ipsec ike local address 1 ipv6 prefix ra-prefix@lan2::1 on lan2
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 any
   ipsec ike remote name 1 l2tpv3
  l2tp always-on on
  l2tp hostname YAMAHA-RT1
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

[过滤的设置]
 ipv6 lan2 secure filter in 1 2 3 4 5 100
 ipv6 lan2 secure filter out 200 dynamic 81 98 99
 ipv6 filter 1 pass * * icmp6 * *
 ipv6 filter 2 pass * * esp * *
 ipv6 filter 3 pass * * udp * 500
 ipv6 filter 4 pass * * udp * 1701
 ipv6 filter 5 pass * * udp * 546
 ipv6 filter 100 reject * * * * *
 ipv6 filter 200 pass * * * * *
 ipv6 filter dynamic 81 * * domain
 ipv6 filter dynamic 98 * * tcp
 ipv6 filter dynamic 99 * * udp

雅马哈路由器2的设置例

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[连接NGN的设置]
 ipv6 lan2 address ra-prefix@lan2::1/64
 ipv6 lan2 dhcp service client ir=on

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint name XXX.p-ns.flets-west.jp fqdn
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes256-cbc sha256-hmac
   ipsec ike keepalive log 1 on
   ipsec ike keepalive use 1 on
   ipsec ike local address 1 ipv6 prefix ra-prefix@lan2::1 on lan2
   ipsec ike local name 1 l2tpv3
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 XXX.p-ns.flets-west.jp
  l2tp always-on on
  l2tp hostname YAMAHA-RT2
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

[过滤的设置]
 ipv6 lan2 secure filter in 1 2 3 4 5 100
 ipv6 lan2 secure filter out 200 dynamic 81 98 99
 ipv6 filter 1 pass * * icmp6 * *
 ipv6 filter 2 pass * * esp * *
 ipv6 filter 3 pass * * udp * 500
 ipv6 filter 4 pass * * udp * 1701
 ipv6 filter 5 pass * * udp * 546
 ipv6 filter 100 reject * * * * *
 ipv6 filter 200 pass * * * * *
 ipv6 filter dynamic 81 * * domain
 ipv6 filter dynamic 98 * * tcp
 ipv6 filter dynamic 99 * * udp

设置例8:构筑2据点间的使用L2TPv3/IPsec的L2VPN(两据点都存在DHCP服务器)

雅马哈路由器1和雅马哈路由器2之间使用L2TPv3/IPsec构筑L2VPN。
路由器的LAN1同一网段,PC间也能通信。
两边的据点各自存在DHCP服务器。各据点的DHCP服务器只对本据点的终端进行DHCP的IP地址分配。为了避免IP地址的冲突,各据点的DHCP服务器的IP地址分配范围不要设置重复。

  • 雅马哈路由器1
    • 连接运营商PP的IP地址 : 203.0.113.1
    • LAN1侧的IP地址 : 192.168.100.1/24
    • L2TPv3的Host名 : YAMAHA-RT1
    • L2TPv3的Router ID : 192.168.100.1
    • DHCP分配的IP地址的范围:192.168.100.2-192.168.100.127
  • 雅马哈路由器2
    • 连接运营商PP的IP地址 : 203.0.113.2
    • LAN1侧的IP地址 : 192.168.100.254/24
    • L2TPv3的Host名 : YAMAHA-RT2
    • L2TPv3的Router ID : 192.168.100.2
    • DHCP分配的IP地址的范围:192.168.100.128-192.168.100.253
  • L2TPv3相关的设置(两台路由器共通)
    • L2TPv3的自动连接 : 有
    • L2TPv3隧道认证 : 有 (密码 : yamaha)
    • L2TPv3隧道的断开计时器 : 不设置断开计时器
    • L2TPv3 Keepalive : 使用 间隔60秒 检测为Down为止的计数3次
    • L2TPv3 Keepalive的日志输出 : 有
    • L2TPv3的与连接控制相关的日志输出 : 有
    • L2TPv3的Remote End ID : yamaha
  • IPsec相关的设置(两台路由器共通(main模式))
    • 加密算法 : aes-cbc
    • 认证方式 : sha-hmac
    • IKE Keepalive : 使用
    • IKE Keepalive的日志输出 : 有
    • NAT穿透 : 无效
    • 预共享秘钥 : yamaha

构成图

                               IP地址:        IP地址:
                               203.0.113.1         203.0.113.2
            | LAN1+-----------+LAN2                LAN2+-----------+LAN1 |
 +----+.10  |-----| 雅马哈    |--------Internet--------| 雅马哈    |-----| .140+----+
 | PC |-----|   .1| 路由器1 |PPPoE              PPPoE| 路由器2 |.254 |-----| PC |
 +----+     |     +-----------+                        +-----------+     |    -+----+
            |                  <======================>                  |
     192.168.100.0/24                   L2VPN                     192.168.100.0/24
     
       <---------->                                                 <--------->
   雅马哈路由器1的DHCP服务器                              雅马哈路由器2的DHCP服务器
   IP地址的分配网段                                        IP地址的分配网段

雅马哈路由器1的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ccp type none
  ip pp address 203.0.113.1/24
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.1 203.0.113.2
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.1
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.254
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 500
 nat descriptor masquerade static 1 2 192.168.100.1 esp
 nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

[过滤的设置]
 tunnel select 1
  ip tunnel secure filter in 1 2
 ip filter 1 reject * * udp dhcps,dhcpc dhcps,dhcpc
 ip filter 2 pass * *

[DHCP设置]
 dhcp service server
 dhcp server rfc2131 compliant except remain-silent
 dhcp scope 1 192.168.100.2-192.168.100.127/24

雅马哈路由器2的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.254/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ccp type none
  ip pp address 203.0.113.2/24
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.254 203.0.113.1
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.254
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.254
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.254 udp 500
 nat descriptor masquerade static 1 2 192.168.100.254 esp
 nat descriptor masquerade static 1 3 192.168.100.254 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

[过滤的设置]
 tunnel select 1
  ip tunnel secure filter in 1 2
 ip filter 1 reject * * udp dhcps,dhcpc dhcps,dhcpc
 ip filter 2 pass * *

[DHCP设置]
 dhcp service server
 dhcp server rfc2131 compliant except remain-silent
 dhcp scope 1 192.168.100.128-192.168.100.253/24

※连接运营商的PP接口上设置了过滤时,必须追加以下的过滤设置。请根据环境增加合适的设置。

   pp select 1
    ip pp secure filter in ... 200080 200081 200082 200083...

   ip filter 200080 pass * 192.168.100.X esp * *
   ip filter 200081 pass * 192.168.100.X udp * 500
   ip filter 200082 pass * 192.168.100.X udp * 1701
   ip filter 200083 pass * 192.168.100.X udp * 4500

L2TPv3和L2MS

在L2TPv3中,可以按照与其他以太网帧相同的方式封装L2MS数据包。可以在1个据点统一远程管理雅马哈品牌的交换机,AP等设备。

要将雅马哈品牌的路由器置于L2MS的管理下时,请将对象路由器的L2MS的运行模式设置为Slave模式。不想将雅马哈品牌的路由器置于L2MS的管理下时,请将对象路由器的L2MS无效。L2MS的运行模式的详细,请参考L2MS

支持L2TPv3和L2MS的控制器并用时,可以将L2TPv3隧道端点的路由器变为L2MS的控制器。可以将L2TPv3和L2MS的控制器并用的机型以及固件版本,请参考支持的机型和固件版本

不支持L2TPv3和L2MS的控制器并用时,不可以将L2TPv3隧道端点的路由器变为L2MS的控制器。如下所示,将不是L2TPv3隧道端点的路由器作为L2MS的控制器来管理雅马哈品牌的交换机或AP。这时,请将L2TPv3隧道端点的路由器的L2MS无效化。

switch_control

L2TPv3和Tag VLAN并用

在L2TPv3中,即使收到带有IEEE802.1Q标签的L2帧,也可以原封不动的桥接至L2TPv3隧道中。L2TPv3端点路由器以外,通过在管理网络的路由器上设置Tag VLAN,可以在本方和远方构筑相同网段的VLAN网络。这种构成可以在所有支持L2TPv3的机型以及固件版本中实现。

switch_control

在上图中,在GATEWAY上设置Tag VLAN,构筑了本方的VLAN网络,经由RT1-RT2间构筑的L2TPv3隧道,也在远方构筑了和本方相同网段的VLAN网络。另外,GATEWAY上的DHCP服务器功能有效的话,也可以对远方的VLAN网络进行IP地址分配。这时,远方的终端将通过GATEWAY来访问因特网。
以上构成图的设置例如下所示。

GATEWAY的设置例

[路由设置]
 ip route default gateway pp 1
 ip lan1 address 192.168.100.1/24

[Tag VLAN设置]
 vlan lan1/1 802.1q vid=100 name=VLAN1
 ip lan1/1 address 192.168.1.1/24
 vlan lan1/2 802.1q vid=200 name=VLAN2
 ip lan1/2 address 192.168.2.1/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ipcp ipaddress on
  ppp ccp type none
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.254 udp 500
 nat descriptor masquerade static 1 2 192.168.100.254 esp
 nat descriptor masquerade static 1 3 192.168.100.254 udp 4500

[DHCP设置]
 dhcp service server
 dhcp server rfc2131 compliant except remain-silent
 dhcp scope 1 192.168.100.2-192.168.100.191/24
 dhcp scope 2 192.168.1.3-192.168.1.191/24
 dhcp scope 3 192.168.2.3-192.168.2.191/24

[交换机设置]
 switch control use lan1 on
 switch select lan1:1
  switch control function set vlan-port-mode 1 hybrid
  switch control function set vlan-access 3 100
  switch control function set vlan-access 4 100
  switch control function set vlan-access 5 100
  switch control function set vlan-access 6 200
  switch control function set vlan-access 7 200
  switch control function set vlan-access 8 200
  switch control function set vlan-trunk 1 100 join
  switch control function set vlan-trunk 1 200 join

RT1的设置例

[路由设置]
 ip route default gateway 192.168.100.1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.254/24

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.254 203.0.113.2
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive log 1 on
   ipsec ike keepalive use 1 on
   ipsec ike local address 1 192.168.100.254
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.2
  l2tp always-on on
  l2tp hostname YAMAHA-RT1
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp syslog on
  l2tp local router-id 192.168.100.254
  l2tp remote router-id 192.168.100.253
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

RT2的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.253/24

[Tag VLAN设置]
 vlan lan1/1 802.1q vid=100 name=VLAN1
 ip lan1/1 address 192.168.1.2/24
 vlan lan1/2 802.1q vid=200 name=VLAN2
 ip lan1/2 address 192.168.2.2/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ipcp ipaddress on
  ppp ccp type none
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.253 203.0.113.1
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive log 1 on
   ipsec ike keepalive use 1 on
   ipsec ike local address 1 192.168.100.253
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.1
  l2tp always-on on
  l2tp hostname YAMAHA-RT2
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp syslog on
  l2tp local router-id 192.168.100.253
  l2tp remote router-id 192.168.100.254
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.253 udp 500
 nat descriptor masquerade static 1 2 192.168.100.253 esp
 nat descriptor masquerade static 1 3 192.168.100.253 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3

[交换机设置]
 switch control mode slave
 switch select lan1:1
  switch control function set vlan-port-mode 1 hybrid
  switch control function set vlan-access 3 100
  switch control function set vlan-access 4 100
  switch control function set vlan-access 5 100
  switch control function set vlan-access 6 200
  switch control function set vlan-access 7 200
  switch control function set vlan-access 8 200
  switch control function set vlan-trunk 1 100 join
  switch control function set vlan-trunk 1 200 join

雅马哈路由器可以实现如上所示的构成,但是在1台路由器上无法实现既用Tag VLAN老管理VLAN网络,又构筑L2TPv3隧道。对于这个限制,进行功能追加,实现L2TPv3和Tag VLAN同时使用。在用Tag VLAN构成网络的据点中,不变更现有的网络,可以导入使用L2TPv3的L2VPN。关于L2TPv3和Tag VLAN可以并用的机型以及固件版本,请参考支持的机型和固件版本

tagvlan2

在上图中,在现有VLAN1、VLAN2、LAN1(无Tag)3个网段构成的网络中,导入L2TPv3,构筑远方的LAN1(无Tag)的网段。
以上构成图的设置例如下所示。

RT1的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.1/24
 
[Tag VLAN设置]
 vlan lan1/1 802.1q vid=100 name=VLAN1
 ip lan1/1 address 192.168.1.1/24
 vlan lan1/2 802.1q vid=200 name=VLAN2
 ip lan1/2 address 192.168.2.1/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ccp type none
  ppp ipcp ipaddress on
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.1 203.0.113.2
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.1
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.2
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT1
  l2tp syslog on
  l2tp local router-id 192.168.100.1
  l2tp remote router-id 192.168.100.2
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.1 udp 500
 nat descriptor masquerade static 1 2 192.168.100.1 esp
 nat descriptor masquerade static 1 3 192.168.100.1 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
 l2tp service on l2tpv3
 
[DHCP设置]
 dhcp service server
 dhcp server rfc2131 compliant except remain-silent
 dhcp scope 1 192.168.100.3-192.168.100.191/24
 dhcp scope 2 192.168.1.3-192.168.1.191/24
 dhcp scope 3 192.168.2.3-192.168.2.191/24
 
[交换机设置]
 switch control use lan1 on
 switch select lan1:1
  switch control function set vlan-port-mode 1 hybrid
  switch control function set vlan-access 3 100
  switch control function set vlan-access 4 100
  switch control function set vlan-access 5 100
  switch control function set vlan-access 6 200
  switch control function set vlan-access 7 200
  switch control function set vlan-access 8 200
  switch control function set vlan-trunk 1 100 join
  switch control function set vlan-trunk 1 200 join

RT2的设置例

[路由设置]
 ip route default gateway pp 1

[桥接设置]
 bridge member bridge1 lan1 tunnel1
 ip bridge1 address 192.168.100.2/24

[与运营商的连接设置]
 pp select 1
  pp always-on on
  pppoe use lan2
  pp auth accept (认证方式)
  pp auth myname (用户名) (密码)
  ppp lcp mru on 1454
  ppp ccp type none
  ppp ipcp ipaddress on
  ip pp mtu 1454
  ip pp nat descriptor 1
  pp enable 1

[L2TPv3连接使用的隧道的设置]
 tunnel select 1
  tunnel encapsulation l2tpv3
  tunnel endpoint address 192.168.100.2 203.0.113.1
  ipsec tunnel 101
   ipsec sa policy 101 1 esp aes-cbc sha-hmac
   ipsec ike keepalive use 1 on
   ipsec ike keepalive log 1 on
   ipsec ike local address 1 192.168.100.2
   ipsec ike pre-shared-key 1 text yamaha
   ipsec ike remote address 1 203.0.113.1
  l2tp always-on on
  l2tp tunnel auth on yamaha
  l2tp tunnel disconnect time off
  l2tp keepalive use on 60 3
  l2tp keepalive log on
  l2tp hostname YAMAHA-RT2
  l2tp syslog on
  l2tp local router-id 192.168.100.2
  l2tp remote router-id 192.168.100.1
  l2tp remote end-id yamaha
  ip tunnel tcp mss limit auto
  tunnel enable 1

[NAT设置]
 nat descriptor type 1 masquerade
 nat descriptor address outer 1 ipcp
 nat descriptor address inner 1 auto
 nat descriptor masquerade static 1 1 192.168.100.2 udp 500
 nat descriptor masquerade static 1 2 192.168.100.2 esp
 nat descriptor masquerade static 1 3 192.168.100.2 udp 4500

[IPsec的传输模式设置]
 ipsec transport 1 101 udp 1701
 ipsec auto refresh on

[L2TPv3设置]
l2tp service on l2tpv3

SYSLOG信息一览

在本功能中输出的SYSLOG信息如下所示。

级别 输出信息 说明
INFO [L2TP] opend port 1701/udp 开放UDP的1701端口号
[L2TP] closed port 1701/udp 关闭UDP的1701端口号
[L2TPv3] TUNNEL[XX] connected from IP地址 接收连接确立请求(SCCRQ)
[L2TPv3] TUNNEL[XX] connect to IP地址 发送连接确立要求(SCCRQ)
[L2TPv3] TUNNEL[XX] tunnel 隧道号 established L2TP隧道確立
[L2TPv3] TUNNEL[XX] session 会话号 established L2TP会话確立
[L2TPv3] TUNNEL[XX] disconnecting tunnel 隧道号 L2TP隧道的断开处理进行中
[L2TPv3] TUNNEL[XX] disconnect tunnel 隧道号 complete L2TP隧道的删除完毕
[L2TPv3] TUNNEL[XX] disconnect session 会话号 complete L2TP会话删除完毕
[L2TPv3] TUNNEL[XX] state timer for waiting L2TP控制信息 expired 由于L2TP控制信息的接收等待计时器超时,开始进行L2TP隧道的断开处理
[L2TPv3] TUNNEL[XX] disconnect timer expired tunnel 隧道号 由于L2TP切断计时器超时,开始进行L2TP隧道的断开处理
[L2TPv3] TUNNEL[XX] keepalive timer expired tunnel 隧道号 由于L2TP Keepalive检测出连接对端Down,开始进行L2TP隧道的断开处理
[L2TPv3] TUNNEL[XX] authentication error tunnel 隧道号 因为L2TP隧道认证错误,开始进行L2TP隧道的断开处理
DEBUG [L2TPv3] can't find tunnel number 找不到接收连接的隧道接口
[L2TPv3] receive wrong header 接收到了包含非法L2TP报头的L2TP信息
[L2TPv3] router-id mismatched tunnel 接收到的Router ID AVP的内容和l2tp remote route-id命令的设置值不一致
[L2TPv3] remote end-id not exist 接收到le不包含Remote End ID AVP的ICRQ信息
[L2TPv3] remote end-id mismatched Remote End ID AVP的内容和l2tp remote end-id命令的设置值不一致
[L2TPv3] tunnel state mismatch L2TP信息 L2TP隧道的建立阶段中,接收到了不合适的L2TP信息
[L2TPv3] session state mismatch L2TP信息 L2TP隧道的建立阶段中,接收到了不合适的L2TP信息
[L2TPv3] tie breaking tunnel L2TP隧道号 L2TP隧道的建立阶段中,由于tie break导致隧道断开
[L2TPv3] tie breaking session L2TP会话号 L2TP会话的建立阶段中,由于tie break导致隧道断开
[L2TPv3] AVP attr type illegal 接收到含有非法类型的AVP的L2TP信息
[L2TP] wrong version header ver.XX 接收到了不支持的L2TP版本的信息
[L2TP] receive too small packet size:XX 收到不符合要求的长度的L2TP消息
[L2TP] AVPs check error 接收到无法解析的AVP

返回顶部Return to Top