VPN / L2TPv3


基本設定
L2TPv3 over IPv4
IPsecによる保護
L2TPv3 over IPv6
IPsecによる保護
設定と状態の確認


L2TPv3(Layer Two Tunnelling Protocol Version 3)は、L2フレームをIP(UDP)でトンネリングするプロトコルです。
本製品では、Ethernetフレームのトンネリング(L2TPv3 Ethernet Pseudowire)により、固定IP/IPv6アドレスを持つ拠点間のL2接続(ブリッジ接続)に使います。
また、トランスポートモードIPsecを併用した通信内容の暗号化と認証にも対応しています。
Note - L2TPv3は本製品(AT-AR2010V、AT-AR2050V、AT-AR3050S、AT-AR4050S)同士の接続のみをサポートします。

Note - ファームウェアバージョン5.4.5-0.4までの本製品と5.4.5-1.1以降の本製品との間ではIPsec接続ができません。L2TPv3トンネルインターフェースをトランスポートモードIPsecで保護する場合はファームウェアのバージョンを揃えてください。

本製品のL2TPv3トンネルインターフェースの基本仕様は以下のとおりです。

本章ではL2TPv3トンネルインターフェースに特化した説明を行います。

トンネルインターフェース全般については「VPN」/「トンネルインターフェース」を、インターフェース全般については「インターフェース」/「一般設定」を、ブリッジングについては「ブリッジング」/「一般設定」を、IPsecについては「VPN」/「IPsec」をご覧ください。

また、L2TPv3を使用するための具体的かつ全体的な設定については「設定例集」をご覧ください。

基本設定

L2TPv3 over IPv4

IPv4ネットワーク上にL2TPv3トンネルインターフェースを作成し、ルーターA、ルーターB配下のeth2同士をリモートブリッジ接続し、Ethernetフレームのブリッジングを行うには、次の手順にしたがいます。


以下では、上記構成図のルーターAを例に、L2TPv3による拠点間ブリッジ接続の基本的な設定手順を示します。
なお、前提事項として、ルーターA・BはIPv4でインターネットに接続しているものとします。WAN側インターフェースのIPアドレスは固定であり、ルーター間でのIP通信もできているものとします。
  1. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。

    awplus(config)# interface tunnel0
    


  2. トンネリング方式としてl2tp v3(L2TPv3 over IPv4)を指定します。これには、tunnel mode l2tp v3コマンドを使います。

    awplus(config-if)# tunnel mode l2tp v3
    


  3. トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス(自装置と対向装置のIPアドレス)を指定します。これには、tunnel source / tunnel destinationコマンドを使います。

    awplus(config-if)# tunnel source 10.1.1.1
    awplus(config-if)# tunnel destination 10.2.2.2
    


  4. トンネルの自装置IDと対向装置IDを指定します。これには、tunnel local id / tunnel remote idコマンドを使います。
    各IDには任意の値を設定できますが、対向装置との間で、自装置のlocal idと対向装置のremote id、自装置のremote idと対向装置のlocal idを一致させる必要があります。

    awplus(config-if)# tunnel local id 101
    awplus(config-if)# tunnel remote id 102
    awplus(config-if)# exit
    


  5. ソフトウェアブリッジ「1」を作成します。これには、bridgeコマンドを使います。

    awplus(config)# bridge 1
    


  6. ソフトウェアブリッジ「1」にeth2を追加します。これには、bridge-groupコマンドを使います。

    awplus(config)# interface eth2
    awplus(config-if)# bridge-group 1
    awplus(config-if)# exit
    


  7. ソフトウェアブリッジ「1」にtunnel0を追加します。これには、bridge-groupコマンドを使います。

    awplus(config)# interface tunnel0
    awplus(config-if)# mtu 1500
    awplus(config-if)# bridge-group 1
    awplus(config-if)# exit
    

設定は以上です。
ブリッジングについては「ブリッジング」/「一般設定」をご覧ください。

IPsecによる保護

上記設定ではL2TPv3トンネル上を流れるEthernetパケットは平文のままです。トンネル上のトラフィックを暗号化するには、次の手順を追加してIPsec保護を有効にしてください。
  1. ISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。addressパラメーターで指定するのは、IPsecの接続相手(対向装置)、すなわち、ブリッジBのIPアドレスです。

    awplus(config)# crypto isakmp key ouR4ecret address 10.2.2.2
    


  2. L2TPv3トンネルインターフェースtunnel0に対し、IPsecによる保護を適用します。これにはtunnel protection ipsecコマンドを使います。

    awplus(config)# interface tunnel0
    awplus(config-if)# tunnel protection ipsec
    


L2TPv3 over IPv6

IPv6ネットワーク上にL2TPv3トンネルインターフェースを作成し、ルーターA、ルーターB配下のeth2同士をリモートブリッジ接続し、Ethernetフレームのブリッジングを行うには、次の手順にしたがいます。


以下では、上記構成図のルーターAを例に、L2TPv3による拠点間ブリッジ接続の基本的な設定手順を示します。
なお、前提事項として、ルーターA・BはIPv6でインターネットに接続しているものとします。WAN側インターフェースのIPv6アドレスは固定であり、ルーター間でのIPv6通信もできているものとします。
  1. トンネルインターフェースtunnel0を作成します。これにはinterfaceコマンドを使います。

    awplus(config)# interface tunnel0
    


  2. トンネリング方式としてl2tp v3 ipv6(L2TPv3 over IPv6)を指定します。これには、tunnel mode l2tp v3コマンドを使います。

    awplus(config-if)# tunnel mode l2tp v3 ipv6
    


  3. トンネルインターフェースから送信するデリバリーパケットの始点・終点アドレス(自装置と対向装置のIPv6アドレス)を指定します。これには、tunnel source / tunnel destinationコマンドを使います。

    awplus(config-if)# tunnel source 2001:db8:1:1::1
    awplus(config-if)# tunnel destination 2001:db8:2:2::2
    


  4. トンネルの自装置IDと対向装置IDを指定します。これには、tunnel local id / tunnel remote idコマンドを使います。
    各IDには任意の値を設定できますが、対向装置との間で、自装置のlocal idと対向装置のremote id、自装置のremote idと対向装置のlocal idを一致させる必要があります。

    awplus(config-if)# tunnel local id 101
    awplus(config-if)# tunnel remote id 102
    awplus(config-if)# exit
    


  5. ソフトウェアブリッジ「1」を作成します。これには、bridgeコマンドを使います。

    awplus(config)# bridge 1
    


  6. ソフトウェアブリッジ「1」にeth2を追加します。これには、bridge-groupコマンドを使います。

    awplus(config)# interface eth2
    awplus(config-if)# bridge-group 1
    awplus(config-if)# exit
    


  7. ソフトウェアブリッジ「1」にtunnel0を追加します。これには、bridge-groupコマンドを使います。

    awplus(config)# interface tunnel0
    awplus(config-if)# mtu 1500
    awplus(config-if)# bridge-group 1
    awplus(config-if)# exit
    

設定は以上です。
ブリッジングについては「ブリッジング」/「一般設定」をご覧ください。

IPsecによる保護

上記設定ではL2TPv3トンネル上を流れるEthernetパケットは平文のままです。トンネル上のトラフィックを暗号化するには、次の手順を追加してIPsec保護を有効にしてください。
  1. ISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。addressパラメーターで指定するのは、IPsecの接続相手(対向装置)、すなわち、ブリッジBのIPアドレスです。

    awplus(config)# crypto isakmp key ouR4ecret address 2001:db8:2:2::2
    


  2. L2TPv3トンネルインターフェースtunnel0に対し、IPsecによる保護を適用します。これにはtunnel protection ipsecコマンドを使います。

    awplus(config)# interface tunnel0
    awplus(config-if)# tunnel protection ipsec
    


設定と状態の確認

■ L2TPv3トンネルインターフェースの情報はshow interfaceコマンドで確認できます。

awplus> show interface tunnel0
Interface tunnel0
  Link is UP, administrative state is UP
  Hardware is Tunnel
  index 16804709 metric 1 mtu 1488
  Bridge-group 1 (br1)
  <UP,BROADCAST,RUNNING,MULTICAST>
  SNMP link-status traps: Disabled
  Tunnel source 10.1.1.1, destination 10.2.2.2
  Tunnel name local 10.1.1.1, remote 10.2.2.2
  Tunnel ID local 101, remote 102
  Tunnel protocol/transport l2tp v3, key disabled, sequencing disabled
  Tunnel TTL -
  Checksumming of packets disabled, path MTU discovery disabled
    input packets 0, bytes 0, dropped 0, multicast packets 0
    output packets 0, bytes 0, multicast packets 0 broadcast packets 0
  Time since last state change: 0 days 00:01:32


(C) 2016 アライドテレシスホールディングス株式会社

PN: 613-002311 Rev.A