FutureNet
NXR,VXRシリーズ
L2TPv3編
2. L2TPv3応用設定
2-4. L2TPv3 over IPsec設定(Policy Based IPsecの利用)
ハブ&スポーク構成のL2TPv3 over IPsec接続設定例です。なお、この例ではIPsecにPolicy Based IPsecを使用します。
【 L2TPv3,IPsec機能対応機種 】NXR-1300シリーズ,NXR-650,NXR-610Xシリーズ,NXR-530,NXR-350/C,NXR-230/C,NXR-160/LW,NXR-G180/L-CA,NXR-G200シリーズ,NXR-G110シリーズ,NXR-G100シリーズ,NXR-G050シリーズ,VXRシリーズ(2023/5現在)
設定例で使用している機能の対応状況は、各製品の更新履歴やユーザーズガイドをご確認ください。
コンテンツ | ||||
構成図 | 設定例 | 設定例解説 | 端末の設定例 | 付録 |
【 構成図 】
- この例で使用しているルータは、NXR_AがNXR-650、NXR_BがNXR-530、NXR_CがNXR-G110/Lです。
- NXR_Aのeth1で接続しているISPのDNSサーバアドレスを以下とします。
プライマリDNSサーバ:203.0.113.253
セカンダリDNSサーバ:203.0.113.254 - NXR_A,NXR_B,NXR_CのWAN側IPアドレスはグローバルアドレスが割り当てられることを想定しています。
- NXR-G180/L-CAはキャリアアグリゲーション対応の内蔵通信モジュールがmobile1(LTE1),キャリアアグリゲーション未対応の内蔵通信モジュールがmobile2(LTE2)となりますので、モバイル設定する場合はmobile1をmobile2に読み替えて設定してください。
- NXR-G050シリーズの内蔵通信モジュールはmobile2となりますので、モバイル設定する場合はmobile1をmobile2に読み替えて設定してください。
【 設定例 】
〔 NXR_Aの設定 〕
nxr650(config)#hostname NXR_A
NXR_A(config)#interface ethernet 0
NXR_A(config-if)#ip address 192.168.10.1/24
NXR_A(config-if)#exit
NXR_A(config)#ip route 0.0.0.0/0 203.0.113.2
NXR_A(config)#ip access-list eth1_IN permit any 203.0.113.1 udp 500 500
NXR_A(config)#ip access-list eth1_IN permit any 203.0.113.1 50
NXR_A(config)#ip access-list eth1_OUT deny 203.0.113.1 192.0.2.1 115
NXR_A(config)#ipsec access-list IPsec_ACL1 ip host host
NXR_A(config)#ipsec access-list IPsec_ACL2 ip host host
NXR_A(config)#ipsec local policy 1
NXR_A(config-ipsec-local)#address ip
NXR_A(config-ipsec-local)#exit
NXR_A(config)#ipsec isakmp policy 1
NXR_A(config-ipsec-isakmp)#description NXR_B
NXR_A(config-ipsec-isakmp)#authentication pre-share IPsecKEY1
NXR_A(config-ipsec-isakmp)#hash sha256
NXR_A(config-ipsec-isakmp)#encryption aes128
NXR_A(config-ipsec-isakmp)#group 5
NXR_A(config-ipsec-isakmp)#lifetime 86400
NXR_A(config-ipsec-isakmp)#isakmp-mode main
NXR_A(config-ipsec-isakmp)#remote address ip 192.0.2.1
NXR_A(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_A(config-ipsec-isakmp)#local policy 1
NXR_A(config-ipsec-isakmp)#exit
NXR_A(config)#ipsec tunnel policy 1
NXR_A(config-ipsec-tunnel)#description NXR_B
NXR_A(config-ipsec-tunnel)#negotiation-mode auto
NXR_A(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A(config-ipsec-tunnel)#set pfs group5
NXR_A(config-ipsec-tunnel)#set sa lifetime 28800
NXR_A(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_A(config-ipsec-tunnel)#match address IPsec_ACL1
NXR_A(config-ipsec-tunnel)#exit
NXR_A(config)#ipsec isakmp policy 2
NXR_A(config-ipsec-isakmp)#description NXR_C
NXR_A(config-ipsec-isakmp)#authentication pre-share IPsecKEY2
NXR_A(config-ipsec-isakmp)#hash sha256
NXR_A(config-ipsec-isakmp)#encryption aes128
NXR_A(config-ipsec-isakmp)#group 5
NXR_A(config-ipsec-isakmp)#lifetime 86400
NXR_A(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_A(config-ipsec-isakmp)#remote address ip any
NXR_A(config-ipsec-isakmp)#remote identity fqdn NXRC
NXR_A(config-ipsec-isakmp)#keepalive 30 3 periodic clear
NXR_A(config-ipsec-isakmp)#local policy 1
NXR_A(config-ipsec-isakmp)#exit
NXR_A(config)#ipsec tunnel policy 2
NXR_A(config-ipsec-tunnel)#description NXR_C
NXR_A(config-ipsec-tunnel)#negotiation-mode responder
NXR_A(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_A(config-ipsec-tunnel)#set pfs group5
NXR_A(config-ipsec-tunnel)#set sa lifetime 28800
NXR_A(config-ipsec-tunnel)#set key-exchange isakmp 2
NXR_A(config-ipsec-tunnel)#match address IPsec_ACL2
NXR_A(config-ipsec-tunnel)#exit
NXR_A(config)#interface ethernet 1
NXR_A(config-if)#ip address 203.0.113.1/30
NXR_A(config-if)#ip masquerade
NXR_A(config-if)#ip spi-filter
NXR_A(config-if)#ip access-group in eth1_IN
NXR_A(config-if)#ip access-group out eth1_OUT
NXR_A(config-if)#ip tcp adjust-mss auto
NXR_A(config-if)#ipsec policy 1
NXR_A(config-if)#exit
NXR_A(config)#l2tpv3 hostname NXRA
NXR_A(config)#l2tpv3 router-id 192.168.10.1
NXR_A(config)#l2tpv3 mac-learning
NXR_A(config)#l2tpv3 mac-aging 300
NXR_A(config)#l2tpv3 path-mtu-discovery enable
NXR_A(config)#l2tpv3 tunnel 1
NXR_A(config-l2tpv3-tunnel)#description NXR_B
NXR_A(config-l2tpv3-tunnel)#tunnel address 192.0.2.1
NXR_A(config-l2tpv3-tunnel)#tunnel hostname NXRB
NXR_A(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.2
NXR_A(config-l2tpv3-tunnel)#tunnel vendor ietf
NXR_A(config-l2tpv3-tunnel)#exit
NXR_A(config)#l2tpv3 xconnect 1
NXR_A(config-l2tpv3-xconnect)#description NXR_B
NXR_A(config-l2tpv3-xconnect)#tunnel 1
NXR_A(config-l2tpv3-xconnect)#xconnect ethernet 0
NXR_A(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_A(config-l2tpv3-xconnect)#retry-interval 30
NXR_A(config-l2tpv3-xconnect)#ip tcp adjust-mss auto
NXR_A(config-l2tpv3-xconnect)#exit
NXR_A(config)#l2tpv3 tunnel 2
NXR_A(config-l2tpv3-tunnel)#description NXR_C
NXR_A(config-l2tpv3-tunnel)#tunnel hostname NXRC
NXR_A(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.3
NXR_A(config-l2tpv3-tunnel)#tunnel vendor ietf
NXR_A(config-l2tpv3-tunnel)#exit
NXR_A(config)#l2tpv3 xconnect 2
NXR_A(config-l2tpv3-xconnect)#description NXR_C
NXR_A(config-l2tpv3-xconnect)#tunnel 2
NXR_A(config-l2tpv3-xconnect)#xconnect ethernet 0
NXR_A(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_A(config-l2tpv3-xconnect)#ip tcp adjust-mss auto
NXR_A(config-l2tpv3-xconnect)#exit
NXR_A(config)#dns
NXR_A(config-dns)#service enable
NXR_A(config-dns)#address 203.0.113.253
NXR_A(config-dns)#address 203.0.113.254
NXR_A(config-dns)#exit
NXR_A(config)#fast-forwarding enable
NXR_A(config)#l2tpv3 fast-forwarding enable
NXR_A(config)#exit
NXR_A#save config
〔 NXR_Bの設定 〕
nxr530(config)#hostname NXR_B
NXR_B(config)#interface ethernet 0
NXR_B(config-if)#ip address 192.168.10.2/24
NXR_B(config-if)#exit
NXR_B(config)#ip route 0.0.0.0/0 ppp 0
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 192.0.2.1 udp 500 500
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 192.0.2.1 50
NXR_B(config)#ip access-list ppp0_OUT deny 192.0.2.1 203.0.113.1 115
NXR_B(config)#ipsec access-list IPsec_ACL ip host host
NXR_B(config)#ipsec local policy 1
NXR_B(config-ipsec-local)#address ip
NXR_B(config-ipsec-local)#exit
NXR_B(config)#ipsec isakmp policy 1
NXR_B(config-ipsec-isakmp)#description NXR_A
NXR_B(config-ipsec-isakmp)#authentication pre-share IPsecKEY1
NXR_B(config-ipsec-isakmp)#hash sha256
NXR_B(config-ipsec-isakmp)#encryption aes128
NXR_B(config-ipsec-isakmp)#group 5
NXR_B(config-ipsec-isakmp)#lifetime 86400
NXR_B(config-ipsec-isakmp)#isakmp-mode main
NXR_B(config-ipsec-isakmp)#remote address ip 203.0.113.1
NXR_B(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_B(config-ipsec-isakmp)#local policy 1
NXR_B(config-ipsec-isakmp)#exit
NXR_B(config)#ipsec tunnel policy 1
NXR_B(config-ipsec-tunnel)#description NXR_A
NXR_B(config-ipsec-tunnel)#negotiation-mode auto
NXR_B(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_B(config-ipsec-tunnel)#set pfs group5
NXR_B(config-ipsec-tunnel)#set sa lifetime 28800
NXR_B(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_B(config-ipsec-tunnel)#match address IPsec_ACL
NXR_B(config-ipsec-tunnel)#exit
NXR_B(config)#ppp account username [ISP_B接続用ユーザID] password [ISP_B接続用パスワード]
NXR_B(config)#interface ppp 0
NXR_B(config-ppp)#ip address 192.0.2.1/32
NXR_B(config-ppp)#ip masquerade
NXR_B(config-ppp)#ip spi-filter
NXR_B(config-ppp)#ip access-group in ppp0_IN
NXR_B(config-ppp)#ip access-group out ppp0_OUT
NXR_B(config-ppp)#ip tcp adjust-mss auto
NXR_B(config-ppp)#ppp username [ISP_B接続用ユーザID]
NXR_B(config-ppp)#ipsec policy 1
NXR_B(config-ppp)#exit
NXR_B(config)#interface ethernet 1
NXR_B(config-if)#no ip address
NXR_B(config-if)#pppoe-client ppp 0
NXR_B(config-if)#exit
NXR_B(config)#l2tpv3 hostname NXRB
NXR_B(config)#l2tpv3 router-id 192.168.10.2
NXR_B(config)#l2tpv3 mac-learning
NXR_B(config)#l2tpv3 mac-aging 300
NXR_B(config)#l2tpv3 path-mtu-discovery enable
NXR_B(config)#l2tpv3 tunnel 1
NXR_B(config-l2tpv3-tunnel)#description NXR_A
NXR_B(config-l2tpv3-tunnel)#tunnel address 203.0.113.1
NXR_B(config-l2tpv3-tunnel)#tunnel hostname NXRA
NXR_B(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.1
NXR_B(config-l2tpv3-tunnel)#tunnel vendor ietf
NXR_B(config-l2tpv3-tunnel)#exit
NXR_B(config)#l2tpv3 xconnect 1
NXR_B(config-l2tpv3-xconnect)#description NXR_A
NXR_B(config-l2tpv3-xconnect)#tunnel 1
NXR_B(config-l2tpv3-xconnect)#xconnect ethernet 0
NXR_B(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_B(config-l2tpv3-xconnect)#retry-interval 45
NXR_B(config-l2tpv3-xconnect)#ip tcp adjust-mss auto
NXR_B(config-l2tpv3-xconnect)#exit
NXR_B(config)#dns
NXR_B(config-dns)#service enable
NXR_B(config-dns)#exit
NXR_B(config)#fast-forwarding enable
NXR_B(config)#l2tpv3 fast-forwarding enable
NXR_B(config)#exit
NXR_B#save config
〔 NXR_Cの設定 〕
nxrg110(config)#hostname NXR_C
NXR_C(config)#interface ethernet 0
NXR_C(config-if)#ip address 192.168.10.3/24
NXR_C(config-if)#exit
NXR_C(config)#ip route 0.0.0.0/0 ppp 0
NXR_C(config)#ip access-list ppp0_IN permit 203.0.113.1 any udp 500 500
NXR_C(config)#ip access-list ppp0_IN permit 203.0.113.1 any 50
NXR_C(config)#ip access-list ppp0_OUT deny any 203.0.113.1 115
NXR_C(config)#ipsec access-list IPsec_ACL ip host host
NXR_C(config)#ipsec local policy 1
NXR_C(config-ipsec-local)#address ip
NXR_C(config-ipsec-local)#self-identity fqdn NXRC
NXR_C(config-ipsec-local)#exit
NXR_C(config)#ipsec isakmp policy 1
NXR_C(config-ipsec-isakmp)#description NXR_A
NXR_C(config-ipsec-isakmp)#authentication pre-share IPsecKEY2
NXR_C(config-ipsec-isakmp)#hash sha256
NXR_C(config-ipsec-isakmp)#encryption aes128
NXR_C(config-ipsec-isakmp)#group 5
NXR_C(config-ipsec-isakmp)#lifetime 86400
NXR_C(config-ipsec-isakmp)#isakmp-mode aggressive
NXR_C(config-ipsec-isakmp)#remote address ip 203.0.113.1
NXR_C(config-ipsec-isakmp)#keepalive 30 3 periodic restart
NXR_C(config-ipsec-isakmp)#local policy 1
NXR_C(config-ipsec-isakmp)#exit
NXR_C(config)#ipsec tunnel policy 1
NXR_C(config-ipsec-tunnel)#description NXR_A
NXR_C(config-ipsec-tunnel)#negotiation-mode auto
NXR_C(config-ipsec-tunnel)#set transform esp-aes128 esp-sha256-hmac
NXR_C(config-ipsec-tunnel)#set pfs group5
NXR_C(config-ipsec-tunnel)#set sa lifetime 28800
NXR_C(config-ipsec-tunnel)#set key-exchange isakmp 1
NXR_C(config-ipsec-tunnel)#match address IPsec_ACL
NXR_C(config-ipsec-tunnel)#exit
NXR_C(config)#ppp account username [モバイル(PPP)接続用ユーザID] password [モバイル(PPP)接続用パスワード]
NXR_C(config)#interface ppp 0
NXR_C(config-ppp)#ip address negotiated
NXR_C(config-ppp)#ip masquerade
NXR_C(config-ppp)#ip spi-filter
NXR_C(config-ppp)#ip access-group in ppp0_IN
NXR_C(config-ppp)#ip access-group out ppp0_OUT
NXR_C(config-ppp)#ip tcp adjust-mss auto
NXR_C(config-ppp)#ppp username [モバイル(PPP)接続用ユーザID]
NXR_C(config-ppp)#mobile apn [APN] cid 1 pdp-type ip
NXR_C(config-ppp)#dial-up string *99***1#
NXR_C(config-ppp)#dial-up timeout 30
NXR_C(config-ppp)#ipsec policy 1
NXR_C(config-ppp)#exit
NXR_C(config)#mobile error-recovery-reset
NXR_C(config)#mobile termination-recovery reset
NXR_C(config)#mobile 1 ppp 0
NXR_C(config)#mobile 1 carrier [キャリア]
NXR_C(config)#exit
NXR_C#clear mobile 1
NXR_C#configure terminal
NXR_C(config)#l2tpv3 hostname NXRC
NXR_C(config)#l2tpv3 router-id 192.168.10.3
NXR_C(config)#l2tpv3 mac-learning
NXR_C(config)#l2tpv3 mac-aging 300
NXR_C(config)#l2tpv3 path-mtu-discovery enable
NXR_C(config)#l2tpv3 tunnel 1
NXR_C(config-l2tpv3-tunnel)#description NXR_A
NXR_C(config-l2tpv3-tunnel)#tunnel address 203.0.113.1
NXR_C(config-l2tpv3-tunnel)#tunnel hostname NXRA
NXR_C(config-l2tpv3-tunnel)#tunnel router-id 192.168.10.1
NXR_C(config-l2tpv3-tunnel)#tunnel vendor ietf
NXR_C(config-l2tpv3-tunnel)#exit
NXR_C(config)#l2tpv3 xconnect 1
NXR_C(config-l2tpv3-xconnect)#description NXR_A
NXR_C(config-l2tpv3-xconnect)#tunnel 1
NXR_C(config-l2tpv3-xconnect)#xconnect ethernet 0
NXR_C(config-l2tpv3-xconnect)#xconnect end-id 1
NXR_C(config-l2tpv3-xconnect)#retry-interval 30
NXR_C(config-l2tpv3-xconnect)#ip tcp adjust-mss auto
NXR_C(config-l2tpv3-xconnect)#exit
NXR_C(config)#dns
NXR_C(config-dns)#service enable
NXR_C(config-dns)#exit
NXR_C(config)#exit
NXR_C#save config
【 設定例解説 】
〔 NXR_Aの設定 〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <LAN側(ethernet0)インタフェース設定>
NXR_A(config-if)#ip address 192.168.10.1/24
ethernet0インタフェースのIPアドレスを設定します。
3. <スタティックルート設定>
デフォルトルートを設定します。
4. <IPアクセスリスト設定>
NXR_A(config)#ip access-list eth1_IN permit any 203.0.113.1 50
IPアクセスリストeth1_INを以下のルールで設定します。
- 宛先IPアドレス203.0.113.1、送信元,宛先UDPポート500番を許可
- 宛先IPアドレス203.0.113.1、プロトコル番号50(ESP)を許可
IPアクセスリストeth1_OUTを以下のルールで設定します。
- 送信元IPアドレス203.0.113.1、宛先IPアドレス192.0.2.1、プロトコル番号115(L2TP)を許可
(☞) WAN側インタフェースから出力されるL2TPパケットをフィルタで破棄することで、IPsec SA未確立時にL2TPパケットがWAN側インタフェースから出力されることを防止します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。
5. <IPsecアクセスリスト設定>
NXR_A(config)#ipsec access-list IPsec_ACL2 ip host host
IPsecアクセスリストIPsec_ACL1,IPsec_ACL2を以下のルールで設定します。
- 送信元IPアドレス … host
- 宛先IPアドレス … host
6. <IPsecローカルポリシー設定>
NXR_A(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにipを設定します。
7. <IPsec ISAKMPポリシー1設定>
NXR_A(config-ipsec-isakmp)#description NXR_B
ISAKMPポリシー1の説明文を設定します。
認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_Bのipsec isakmp policy 1と共通の値を設定します。
認証アルゴリズムをsha256に設定します。
暗号化アルゴリズムをaes128に設定します。
Diffie-Hellman(DH)グループをgroup 5に設定します。
ISAKMP SAのライフタイムを設定します。
フェーズ1のネゴシエーションモードをメインモードに設定します。
リモートアドレスにNXR_BのWAN側IPアドレスを設定します。
IKE KeepAlive(DPD)を以下のルールで設定します。
- 監視間隔 … 30秒
- リトライ回数 … 3回
- ダウン検知後の動作 … IKEの再ネゴシエーション
このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。
8. <IPsec トンネルポリシー1設定>
NXR_A(config-ipsec-tunnel)#description NXR_B
IPsecトンネルポリシー1の説明文を設定します。
ネゴシエーションモードをautoに設定します。
暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。
PFSを有効、DHグループをgroup5に設定します。
IPsec SAのライフタイムを設定します。
このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。
IPsecアクセスリストを設定します。
9. <IPsec ISAKMPポリシー2設定>
NXR_A(config-ipsec-isakmp)#description NXR_C
ISAKMPポリシー2の説明文を設定します。
認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_Cのipsec isakmp policy 1と共通の値を設定します。
認証アルゴリズムをsha256に設定します。
暗号化アルゴリズムをaes128に設定します。
DHグループをgroup 5に設定します。
ISAKMP SAのライフタイムを設定します。
フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。
リモートアドレスにanyを設定します。
リモートID(FQDN方式)を設定します。
(☞) NXR_Cのipsec local policy 1のセルフIDと同じIDを設定します。
IKE KeepAlive(DPD)を以下のルールで設定します。
- 監視間隔 … 30秒
- リトライ回数 … 3回
- ダウン検知後の動作 … SA削除
このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。
10. <IPsec トンネルポリシー2設定>
NXR_A(config-ipsec-tunnel)#description NXR_C
IPsecトンネルポリシー2の説明文を設定します。
ネゴシエーションモードをresponderに設定します。
暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。
PFSを有効、DHグループをgroup5に設定します。
IPsec SAのライフタイムを設定します。
このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。
IPsecアクセスリストを設定します。
11. <WAN側(ethernet1)インタフェース設定>
NXR_A(config-if)#ip address 203.0.113.1/30
ethernet1インタフェースのIPアドレスを設定します。
NXR_A(config-if)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
IPアクセスグループのinフィルタにIPアクセスリストeth1_INを設定します。
IPアクセスグループのoutフィルタにIPアクセスリストeth1_OUTを設定します。
TCP MSSの調整機能をオートに設定します。
このインタフェースで使用するIPsecローカルポリシーを設定します。
12. <L2TPv3設定>
L2TPv3のホスト名を設定します。
L2TPv3のルータIDを設定します。
MACアドレス学習機能を有効にします。
MACアドレス学習機能のエージングタイムを設定します。
L2TPv3のPath MTU Discoveryを有効にします。
13. <L2TPv3トンネル1設定>
NXR_A(config-l2tpv3-tunnel)#description NXR_B
L2TPv3トンネル1の説明文を設定します。
トンネルアドレスにNXR_BのWAN側IPアドレスを設定します。
NXR_BのL2TPv3のホスト名を設定します。
(☞) このホスト名はNXR_Bのl2tpv3 hostnameと同一の値を設定します。
NXR_BのL2TPv3のルータIDを設定します。
(☞) このルータIDはNXR_Bのl2tpv3 router-idと同一の値を設定します。
ベンダIDをietfに設定します。
14. <L2TPv3 Xconnect1設定>
NXR_A(config-l2tpv3-xconnect)#description NXR_B
L2TPv3 Xconnect1の説明文を設定します。
このL2TPv3 Xconnectで使用するL2TPv3トンネルを設定します。
Xconnectインタフェースを設定します。
リモートエンドIDを設定します。
(☞) Xconnectインタフェースを識別する際に使用するIDのため、NXR_Bで設定するリモートエンドIDと同じIDを設定します。
リトライインターバルを設定します。
TCP MSSの調整機能をオートに設定します。
15. <L2TPv3トンネル2設定>
NXR_A(config-l2tpv3-tunnel)#description NXR_C
L2TPv3トンネル2の説明文を設定します。
NXR_CのL2TPv3のホスト名を設定します。
(☞) このホスト名はNXR_Cのl2tpv3 hostnameと同一の値を設定します。
NXR_CのL2TPv3のルータIDを設定します。
(☞) このルータIDはNXR_Cのl2tpv3 router-idと同一の値を設定します。
ベンダIDをietfに設定します。
16. <L2TPv3 Xconnect2設定>
NXR_A(config-l2tpv3-xconnect)#description NXR_C
L2TPv3 Xconnect2の説明文を設定します。
このL2TPv3 Xconnectで使用するL2TPv3トンネルを設定します。
Xconnectインタフェースを設定します。
リモートエンドIDを設定します。
TCP MSSの調整機能をオートに設定します。
17. <DNS設定>
NXR_A(config-dns)#service enable
DNSサービスを有効にします。
NXR_A(config-dns)#address 203.0.113.254
DNSサーバアドレスを設定します。
18. <ファストフォワーディング設定>
ファストフォワーディングを有効にします。
L2TPv3ファストフォワーディングを有効にします。
19. <設定の保存>
設定内容を保存します。
〔 NXR_Bの設定 〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <LAN側(ethernet0)インタフェース設定>
NXR_B(config-if)#ip address 192.168.10.2/24
ethernet0インタフェースのIPアドレスを設定します。
3. <スタティックルート設定>
デフォルトルートを設定します。
4. <IPアクセスリスト設定>
NXR_B(config)#ip access-list ppp0_IN permit 203.0.113.1 192.0.2.1 50
IPアクセスリストppp0_INを以下のルールで設定します。
- 送信元IPアドレス203.0.113.1、宛先IPアドレス192.0.2.1、送信元,宛先UDPポート500番を許可
- 送信元IPアドレス203.0.113.1、宛先IPアドレス192.0.2.1、プロトコル番号50(ESP)を許可
IPアクセスリストppp0_OUTを以下のルールで設定します。
- 送信元IPアドレス192.0.2.1、宛先IPアドレス203.0.113.1、プロトコル番号115(L2TP)を許可
5. <IPsecアクセスリスト設定>
IPsecアクセスリストIPsec_ACLを以下のルールで設定します。
- 送信元IPアドレス … host
- 宛先IPアドレス … host
6. <IPsecローカルポリシー設定>
NXR_B(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにipを設定します。
7. <IPsec ISAKMPポリシー設定>
NXR_B(config-ipsec-isakmp)#description NXR_A
ISAKMPポリシー1の説明文を設定します。
認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_Aのipsec isakmp policy 1と共通の値を設定します。
認証アルゴリズムをsha256に設定します。
暗号化アルゴリズムをaes128に設定します。
DHグループをgroup 5に設定します。
ISAKMP SAのライフタイムを設定します。
フェーズ1のネゴシエーションモードをメインモードに設定します。
リモートアドレスにNXR_AのWAN側IPアドレスを設定します。
IKE KeepAlive(DPD)を以下のルールで設定します。
- 監視間隔 … 30秒
- リトライ回数 … 3回
- ダウン検知後の動作 … IKEの再ネゴシエーション
このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。
8. <IPsec トンネルポリシー設定>
NXR_B(config-ipsec-tunnel)#description NXR_A
IPsecトンネルポリシー1の説明文を設定します。
ネゴシエーションモードをautoに設定します。
暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。
PFSを有効、DHグループをgroup5に設定します。
IPsec SAのライフタイムを設定します。
このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。
IPsecアクセスリストを設定します。
9. <PPPアカウント設定>
ISP_B接続用ユーザID,パスワードを設定します。
10. <WAN側(ppp0)インタフェース設定>
NXR_B(config-ppp)#ip address 192.0.2.1/32
ppp0インタフェースのIPアドレスを設定します。
NXR_B(config-ppp)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
IPアクセスグループのinフィルタにIPアクセスリストppp0_INを設定します。
IPアクセスグループのoutフィルタにIPアクセスリストppp0_OUTを設定します。
TCP MSSの調整機能をオートに設定します。
ISP_B接続用ユーザIDを設定します。
このインタフェースで使用するIPsecローカルポリシーを設定します。
11. <ethernet1インタフェース設定>
NXR_B(config-if)#no ip address
NXR_B(config-if)#pppoe-client ppp 0
PPPoEクライアントにppp0を設定します。
12. <L2TPv3設定>
L2TPv3のホスト名を設定します。
L2TPv3のルータIDを設定します。
MACアドレス学習機能を有効にします。
MACアドレス学習機能のエージングタイムを設定します。
L2TPv3のPath MTU Discoveryを有効にします。
13. <L2TPv3トンネル設定>
NXR_B(config-l2tpv3-tunnel)#description NXR_A
L2TPv3トンネル1の説明文を設定します。
トンネルアドレスにNXR_AのWAN側IPアドレスを設定します。
NXR_AのL2TPv3のホスト名を設定します。
(☞) このホスト名はNXR_Aのl2tpv3 hostnameと同一の値を設定します。
NXR_AのL2TPv3のルータIDを設定します。
(☞) このルータIDはNXR_Aのl2tpv3 router-idと同一の値を設定します。
ベンダIDをietfに設定します。
14. <L2TPv3 Xconnect設定>
NXR_B(config-l2tpv3-xconnect)#description NXR_A
L2TPv3 Xconnect1の説明文を設定します。
このL2TPv3 Xconnectで使用するL2TPv3トンネルを設定します。
Xconnectインタフェースを設定します。
リモートエンドIDを設定します。
リトライインターバルを設定します。
TCP MSSの調整機能をオートに設定します。
15. <DNS設定>
NXR_B(config-dns)#service enable
DNSサービスを有効にします。
16. <ファストフォワーディング設定>
ファストフォワーディングを有効にします。
L2TPv3ファストフォワーディングを有効にします。
17. <設定の保存>
設定内容を保存します。
〔 NXR_Cの設定 〕
1. <ホスト名の設定>
ホスト名を設定します。
2. <LAN側(ethernet0)インタフェース設定>
NXR_C(config-if)#ip address 192.168.10.3/24
ethernet0インタフェースのIPアドレスを設定します。
3. <スタティックルート設定>
デフォルトルートを設定します。
4. <IPアクセスリスト設定>
NXR_C(config)#ip access-list ppp0_IN permit 203.0.113.1 any 50
IPアクセスリストppp0_INを以下のルールで設定します。
- 送信元IPアドレス203.0.113.1、送信元,宛先UDPポート500番を許可
- 送信元IPアドレス203.0.113.1、プロトコル番号50(ESP)を許可
IPアクセスリストppp0_OUTを以下のルールで設定します。
- 宛先IPアドレス203.0.113.1、プロトコル番号115(L2TP)を許可
5. <IPsecアクセスリスト設定>
IPsecアクセスリストIPsec_ACLを以下のルールで設定します。
- 送信元IPアドレス … host
- 宛先IPアドレス … host
6. <IPsecローカルポリシー設定>
NXR_C(config-ipsec-local)#address ip
IPsecトンネルの送信元IPアドレスにipを設定します。
セルフID(FQDN方式)を設定します。
(☞) NXR_Aのipsec isakmp policy 2のリモートIDと同じIDを設定します。
7. <IPsec ISAKMPポリシー設定>
NXR_C(config-ipsec-isakmp)#description NXR_A
ISAKMPポリシー1の説明文を設定します。
認証方式としてpre-share(事前共有鍵)を選択し、事前共有鍵を設定します。
(☞) 事前共有鍵はNXR_Aのipsec isakmp policy 2と共通の値を設定します。
認証アルゴリズムをsha256に設定します。
暗号化アルゴリズムをaes128に設定します。
DHグループをgroup 5に設定します。
ISAKMP SAのライフタイムを設定します。
フェーズ1のネゴシエーションモードをアグレッシブモードに設定します。
リモートアドレスにNXR_AのWAN側IPアドレスを設定します。
IKE KeepAlive(DPD)を以下のルールで設定します。
- 監視間隔 … 30秒
- リトライ回数 … 3回
- ダウン検知後の動作 … IKEの再ネゴシエーション
このIPsec ISAKMPポリシーで使用するIPsecローカルポリシーを設定します。
8. <IPsec トンネルポリシー設定>
NXR_C(config-ipsec-tunnel)#description NXR_A
IPsecトンネルポリシー1の説明文を設定します。
ネゴシエーションモードをautoに設定します。
暗号化アルゴリズムをaes128、認証アルゴリズムをsha256に設定します。
PFSを有効、DHグループをgroup5に設定します。
IPsec SAのライフタイムを設定します。
このIPsecトンネルポリシーで使用するIPsec ISAKMPポリシーを設定します。
IPsecアクセスリストを設定します。
9. <PPPアカウント設定>
モバイル(PPP)接続用ユーザID,パスワードを設定します。
10. <WAN側(ppp0)インタフェース設定>
NXR_C(config-ppp)#ip address negotiated
ppp0インタフェースのIPアドレスにnegotiatedを設定します。
NXR_C(config-ppp)#ip spi-filter
IPマスカレード、ステートフルパケットインスペクションを有効にします。
IPアクセスグループのinフィルタにIPアクセスリストppp0_INを設定します。
IPアクセスグループのoutフィルタにIPアクセスリストppp0_OUTを設定します。
TCP MSSの調整機能をオートに設定します。
モバイル(PPP)接続用ユーザIDを設定します。
APN,CID,PDPタイプを設定します。
発信用の電話番号を設定します。
(☞) 電話番号の#の前の数字はCIDを表しています。
ダイアルタイムアウトを設定します。
このインタフェースで使用するIPsecローカルポリシーを設定します。
11. <モバイルエラーリカバリー設定>
内蔵通信モジュールとの通信に重大な問題が発生する可能性が高いと判断した場合、内蔵通信モジュールのリセットを行うように設定します。
12. <モバイルターミネーションリカバリー設定>
PPP接続時に網側から切断された場合、内蔵通信モジュールのリセットを行うように設定します。
13. <モバイル割り当て設定>
mobile1として認識されている内蔵通信モジュールとppp0インタフェースの関連づけを行います。
内蔵通信モジュールをPPPインタフェースで使用する場合は、mobileコマンドによるPPPインタフェースへの関連付けが必要になります。
(☞) mobile1の情報はshow mobile 1コマンドで確認することができます。
14. <モバイルキャリア設定>
mobile1のキャリアを設定します。
(☞) キャリア設定は「clear mobile 1」コマンドによるモバイルリセットを行うことで反映されます。
15. <L2TPv3設定>
L2TPv3のホスト名を設定します。
L2TPv3のルータIDを設定します。
MACアドレス学習機能を有効にします。
MACアドレス学習機能のエージングタイムを設定します。
L2TPv3のPath MTU Discoveryを有効にします。
16. <L2TPv3トンネル設定>
NXR_C(config-l2tpv3-tunnel)#description NXR_A
L2TPv3トンネル1の説明文を設定します。
トンネルアドレスにNXR_AのWAN側IPアドレスを設定します。
NXR_AのL2TPv3のホスト名を設定します。
(☞) このホスト名はNXR_Aのl2tpv3 hostnameと同一の値を設定します。
NXR_AのL2TPv3のルータIDを設定します。
(☞) このルータIDはNXR_Aのl2tpv3 router-idと同一の値を設定します。
ベンダIDをietfに設定します。
17. <L2TPv3 Xconnect設定>
NXR_C(config-l2tpv3-xconnect)#description NXR_A
L2TPv3 Xconnect1の説明文を設定します。
このL2TPv3 Xconnectで使用するL2TPv3トンネルを設定します。
Xconnectインタフェースを設定します。
リモートエンドIDを設定します。
リトライインターバルを設定します。
TCP MSSの調整機能をオートに設定します。
18. <DNS設定>
NXR_C(config-dns)#service enable
DNSサービスを有効にします。
19. <設定の保存>
設定内容を保存します。
【 端末の設定例 】
NXR_A配下 | NXR_B配下 | NXR_C配下 | |
IPアドレス | 192.168.10.101 | 192.168.10.102 | 192.168.10.103 |
サブネットマスク | 255.255.255.0 | ||
デフォルトゲートウェイ | 192.168.10.1 | 192.168.10.2 | 192.168.10.3 |
DNSサーバアドレス |
【 付録 】
目次
- 1. L2TPv3基本設定
- 2. L2TPv3応用設定
- L2TPv3応用設定一覧
- 2-1. L2TPv3接続設定(タグVLANの利用1)
- 2-2. L2TPv3接続設定(タグVLANの利用2)
- 2-3. L2TPv3接続設定(タグVLANの利用3)
- 2-4. L2TPv3 over IPsec設定(Policy Based IPsecの利用)
- 2-5. L2TPv3 over IPsec設定(Route Based IPsecの利用)
- 2-6. L2TPv3 over IPsec設定(DDNSの利用)
- 2-7. L2TPv3フィルタ設定
- 2-8. TAPインタフェースを利用したL2TPv3接続設定(仮想スイッチ機能未対応機種)
- 2-9. TAPインタフェースを利用したL2TPv3接続設定(仮想スイッチ機能対応機種)
- 3. L2TPv3冗長化設定
更新情報
→ 一覧へ- 2024.10.01NXR,VXR
ネットイベント編
3-19. DDNSクライアントの有効/無効化設定 - 2024.10.01NXR,VXR
運用管理編
11-3. センチュリー・テクニカルサポート情報の取得と転送 - 2024.09.18NXR,VXR
REST-API編
2-18. センチュリー・テクニカルサポート情報の取得(maint/century-tech-support) - 2024.09.18NXR,VXR
REST-API編
2-17. デバッグタイマの実行(maint/debug) - 2024.09.18NXR,VXR
REST-API編
12-10. SSHクライアント設定(ssh-client)
カテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN