Virtual Private Networks(VPNs)

レイヤ2トンネリング プロトコルバージョン3アプリケーション概要

Hierarchical Navigation
Downloads
レイヤ2トンネリング プロトコル
バージョン3アプリケーション概要

アプリケーション ノート

レイヤ2トンネリング プロトコル
バージョン3アプリケーション概要

概要

Layer 2 Tunneling Protocol Version 3(L2TPv3;レイヤ2トンネリング プロトコル バージョン3)を使用することで、ネイティブIPコア ネットワークを有するサービス プロバイダーおよび大企業は、高速なレイヤ2トンネリングまたはレイヤ2 Virtual Private Network(VPN;仮想私設網)サービスを、レイヤ3 VPNと一緒にエンド ユーザ カスタマーに提供できます。L2TPv3 VPNサービスは、Cisco IOSソフトウェアをアップグレードするだけで、設備費用をかけることなく提供することができます。

L2TPv3は、次世代ネットワークのトンネリングおよびVPNテクノロジーにおける主要技術のひとつとなりつつあります。L2TPv3は、フレーム リレーやAsynchronous Transfer Mode(ATM;非同期転送モード)のプライバシー性と共に、IPの柔軟性とスケーラビリティを提供します。L2TPv3の使用により、ネットワーク サービスをルーティングされたIPネットワーク上で配信することができます。サービスの判断はVPNとトンネルのエンドポイントで実行され、中間での前処理なしで切り換えることができるため、高い効率性とスケーラビリティが提供されます。

顧客のネットワーク構築の複雑性やコストを軽減することで、L2TPv3 VPNは、サービス プロバイダーが小規模から中規模の企業まで幅広く、サービスを提供できるようにします。各オフィス間の個々のポイントツーポイントの回線を設定管理することなく、企業はオフィスのルータからサービス プロバイダー末端のルータへの接続を1つ提供するだけで済みます。サービス プロバイダーは、従来のアプリケーションにあった複雑さを伴わない、管理されたインターネット、イントラネット、およびエクストラネットと共にVPNを顧客に提供することで、サービスを拡大し、新しい収入源を生み出すことができます。

マーケットの概要

サービス プロバイダーは、フレーム リレー、ATM、およびポイントツーポイントの回線のように、従来からレイヤ2サービスを構築してきました。これらのサービスは今なお重要な収入源で、サービス プロバイダーがIPベースのコア ネットワークに移行する一方で、レイヤ2ベースの設備やサービスの大規模ネットワークは維持され続けるでしょう。これらのレガシーなレイヤ2サービスでは、プロバイダーは顧客のレイヤ3サービス(ルーティングなど)に関与しません。L2TPv3は、レイヤ2およびレイヤ3の両方を扱うことができるため、レイヤ2およびレイヤ3インフラストラクチャの魅力的な代替策や収束点が提供されます。

次に、他のVPNと比べた場合のL2TPv3の重要な違いをいくつか取り上げます。

  • 簡単な設計と実装 — L2TPv3はIPテクノロジーをベースとしています。そのため、レイヤ2 VPNサービスの展開、維持に関連した管理の総量がIPの簡易性により低減します。

  • 効率性 — L2TPv3のヘッダー コンポーネントは最小限に抑えられており、スイッチングのための素早いルックアップに適したデータ構造と変数が使用されています。

  • スケーラビリティ — L2TPv3は、サービス プロバイダー ネットワーク内で使われている現行テクノロジーに即して、柔軟にトンネル数や帯域幅を調整することができます。

  • インフラストラクチャの再利用性 — L2TPv3 VPNは、基本的なインターネット サービス向けネットワークと同じインフラストラクチャ上でVPNサービスを実装することが可能なため、網構築・運用が容易であることを実感できます。

  • サービスの拡張性 — 擬似回線によるエンドツーエンドのエミュレーションなどの新しい収入源となるサービスを、容易に素早く追加できます。

  • 柔軟性 — L2TPv3は、IPまたはIPとMPLSが混在したコア ネットワーク上で動作します。

トンネリングの概念

IPネットワーク上の一対のルータ上でL2TPv3トンネルをセットアップすることにより、この2つのルータのインターフェイス間で、高速でトランスペアレントなレイヤ2接続を提供することができます。この機能はレイヤ2のVPN構築に使用され、さらにはレガシー ネットワークの移行をサポートするために活用されます。L2TPv3機能は基本的なIPパッケージで利用できます。フレーム リレーのサブインターフェイスは、Cisco IOS® Software Release 12.0(19)ST以上でサポートされています。

Cisco 7000および12000シリーズ ルータにおけるL2TPv3の動作

ここでは、インターフェイス ベースのL2TPv3について説明します。2つのカスタマー ネットワーク サイト間に流れているすべてのトラフィックはIPパケットにカプセル化され、IPネットワークに送信されます。IPネットワークの内部ルータは、他のIPパケットと同じようにこのトラフィックを扱うため、カスタマー ネットワーク側について関知する必要はありません。このプロセスは、レイヤ2トンネリング(図1)として知られています。


図1
L2TPv3の動作

図1では、ルータのR1およびR2がL2TPv3サービスを提供しています。これらのルータは、インターフェイスInt2、IPネットワークおよびインターフェイスInt3から構成されるパスを介して、IPプロトコルを使って互いに通信します。

この例では、ルータR3およびR4は、L2TPv3トンネルを使用したPacket Over SONET(POS)インターフェイスで通信します。L2TPv3トンネルTu1は、R1のインターフェイスInt1とR2のインターフェイスInt4の間で構成されます。R1のインターフェイスInt1に着信したパケットはすべてL2TPv3でカプセル化され、トンネル(Tu1)を経由してR2に送信されます。R2はパケットのカプセル化を解除し、それをインターフェイスInt4からR4に転送します。R4がパケットをR3に送信する必要がある場合、同様のパスを使い、これとは逆の順番でパケットが転送されます。

次のL2TPv3の動作について注意してください。

  • インターフェイスInt1で受信されるすべてのパケットはR4に転送されます。R3およびR4は、その間に介在するネットワークを見ることはできません。

  • Cisco 12000シリーズ インターネット ルータでは、L2TPv3対応でないライン カードのLANポートには、ルータが接続されている必要があります。CAM(連想メモリ)によって補助されたMAC(メディア アクセス制御)フィルタリングは、L2TPv3を動作させると、すべてのポート上でオフになります。

  • これと同様の方式はイーサネット インターフェイスでも使用されています。イーサネット インターフェイスE1上のR1LAN1から受信したすべてのパケットは、L2TPv3でカプセル化され、トンネルTu2を経由してR2のインターフェイスE2に送信されます。その後、パケットはLAN2上に転送されます。

  • これと同様の方式はフレーム リレーのサブインターフェイスでも使用されています。サブインターフェイス上のR1LAN1から受信したすべてのパケットは、L2TPv3でカプセル化され、トンネルを経由してR2サブインターフェイスに送信されます。その後、パケットはLAN2に転送されます。

実ネットワークへの適用例

次のシナリオでは、企業やサービス プロバイダーのクライアントが、L2TPv3トンネルとVPNを利用する方法を示します。

シナリオ1 — レイヤ2 VPNフレーム リレー サービス

顧客にとって、コアIPネットワークでトンネリングが必要と思われる場合があります。これはレイヤ2プロトコルを使用する環境で有効な手段ではありますが、IPコアでのブリッジングは望ましい方法ではありません。図2では、フレーム リレーの基本的なモデルを表しています。


図2
フレーム リレーの基本モデル

次に、R3とR4間の個々のフレーム リレーData Link Connection Identifier(DLCI)のトンネリングを実行するコンフィギュレーションを示します。

R3 Configuration
-----
!
interface Serial1/0:1
 no ip address
 encapsulation frame-relay
!
interface Serial1/0:1.200 point-to-point
 ip address 4.4.4.1 255.255.255.252
 
 frame-relay interface-dlci 48   
!
 
R1 Configuration 
-----
 
interface Loopback0
 ip address 172.16.255.1 255.255.255.255
 no ip directed-broadcast
!
interface Tunnel10
 description L2 XConnect to CE3
 ip unnumbered Loopback0
 no ip directed-broadcast
 tunnel source Loopback0
 tunnel destination 172.16.255.4
 tunnel mode l2tp
 tunnel key 1234
 tunnel l2tp local-session 10
 tunnel l2tp remote-session 10
!
interface Serial1/0:1
 no ip address
 no ip directed-broadcast
 encapsulation frame-relay
 frame-relay intf-type dce
!
interface Serial1/0:1.200 point-to-point
 no ip directed-broadcast
 frame-relay interface-dlci 48   
 l2tp-tunnel Tunnel10
 
R2 Configuration 
-----
!
interface Loopback0
 ip address 172.16.255.4 255.255.255.255
 no ip directed-broadcast
!
interface Tunnel10
 description L2 XConnect to CE2
 ip unnumbered Loopback0
 no ip directed-broadcast
 tunnel source Loopback0
 tunnel destination 172.16.255.1
 tunnel mode l2tp
 tunnel key 1234
 tunnel l2tp local-session 10
 tunnel l2tp remote-session 10
 
interface Serial2/0:1
 no ip address
 no ip directed-broadcast
 encapsulation frame-relay
 frame-relay intf-type dce
!
interface Serial2/0:1.200 point-to-point
 no ip directed-broadcast
 frame-relay interface-dlci 48   
 l2tp-tunnel Tunnel10
 
 
R4 Configuration 
-----
!
interface Serial4/0:1
 no ip address
 no ip directed-broadcast
 encapsulation frame-relay
 frame-relay intf-type dce
!
interface Serial4/0:1.200 point-to-point
 no ip directed-broadcast
 frame-relay interface-dlci 48   
 l2tp-tunnel Tunnel10
!

利点

  • サービス プロバイダーは、IPバックボーン上のIPサービスおよびフレーム リレー サービスを統合できます。

  • サービス プロバイダーは、IPコアはありながら従来のWANコア(ATM、フレームリレー)のないようなエリアに対して、従来のWANサービスを提供することができます。

シナリオ2 — イーサネット間

図3で示されている簡単な事例を考えます。カスタマー サイト間では、802.1Qカプセル化対応のイーサネット インターフェイス上でL2TPv3プロトコルを使用した通信が行われています。


図3
IP VPNの基本接続

顧客のルータ構成および実行しているIPルーティングがこの事例で紹介されます。ただし、サービス プロバイダーは、カスタマー サイト間のルーティングの判断には関与していません。

そのため、基本的な接続は2つのカスタマー サイト間で完了します。サービス プロバイダーがルーティングの判断に関与する必要はありません。

シナリオ3 — VPNとインターネット サービス

このシナリオでは、サービス プロバイダーの顧客自身が物理的なリンク上に複数のトンネルを確立させます。これらの各トンネルは、顧客のサイトごとに接続します。このデザインは拡張可能で、リンクを分けることでインターネットへのアクセスとVPNアクセスを同時に利用できます。


図4
VPNとインターネット アクセス

利点

  • 新しいサービスの可用性により、フレーム リレーVirtual Circuit(VC;仮想回線)がサービス プロバイダー ネットワークのエッジで終端し、VPNの企業サイトをリンクするVPN機能やIPコア上のインターネット アクセスをサポートします。

シナリオ4 — IPトランジット サービス

サービス プロバイダーは、L2TPv3プロトコルを使用してIPトランジット サービスを提供できます(図5を参照)。AS300とAS700間のIP接続は、IPトランジット ネットワーク上のL2TPv3トンネルを設定することで実現できます。この事例では、ASやサービス プロバイダーとのBorder Gateway Protocol(BGP)ピアリングを実行する必要はありません。


図5
トランジット サービス — BGP

サービス プロバイダーは、トランジットIP(非MPLS)ネットワークを経由して、個々のMPLSクラウドをリンクする必要がある場合があります。以下のシナリオは、キャリアがネットワークを、断続的なMPLSネットワークを持つクライアント プロバイダーに対するトランジット ネットワークとして使用する場合に該当します。


図6
トランジット サービス — MPLS

利点

  • IPネットワークをトランジット ネットワークとして使用し、顧客とピアの関係を確立することなく個々のMPLSまたはルーティング ネットワークをリンクできます。

  • 法的または技術的な理由から、連続したMPLSサポートは利用できないが、IP接続は提供されているようなシナリオに対するソリューションを提供します。

結論

L2TPv3は、標準化過程にあるソリューションで、IPコア上のレイヤ2 VPNに対し、スタンドアロン ソリューションとして使用できます。また、一方で、IP Security(IPSec)とMPLSのような他のプロトコルを同時に実行させることも可能となり、さまざまな顧客の配備シナリオにおいて重要な、ネットワークの問題に対応します。

お問い合わせ