Virtual Private Networks（VPNs）

Downloads レイヤ2トンネリング プロトコル バージョン3技術概要

概要

レイヤ2トンネリング プロトコルバージョン3
技術概要

はじめに

Layer 2 Tunneling Protocol Version 3（L2TPv3;レイヤ2トンネリング プロトコル バージョン3）を使用することで、ネイティブIPコア ネットワークを有するサービス プロバイダーおよび大企業は、高速なレイヤ2トンネリングまたはレイヤ2 Virtual Private Network（VPN;仮想私設網）サービスを、レイヤ3 VPNと一緒にエンド ユーザ カスタマーに提供できます。L2TPv3 VPNサービスは、Cisco IOSソフトウェアをアップグレードするだけで、設備費用をかけることなく提供することができます。

L2TPv3は、次世代ネットワークのトンネリングおよびVPNテクノロジーにおける主要技術のひとつとなりつつあります。L2TPv3は、フレーム リレーやAsynchronous Transfer Mode（ATM;非同期転送モード）のプライバシー性と共に、IPの柔軟性とスケーラビリティを提供します。L2TPv3の使用により、ネットワーク サービスを、ルーティングされたIPネットワーク上で配信することができます。サービスの判断はVPNとトンネルのエンドポイントで実行され、中間での前処理なしで切り換えることができるため、高い効率性とスケーラビリティが提供されます。

顧客のネットワーク構築の複雑化やコストを軽減することで、L2TPv3 VPNは、サービス プロバイダーが小規模から中規模の企業まで幅広く、サービスを提供できるようにします。各オフィス間の個々のポイントツーポイントの回線を設定管理することなく、企業はオフィスのルータからサービス プロバイダーの末端ルータへの物理リンクを1つ提供するだけで済みます。サービス プロバイダーは、従来のアプリケーションにあった複雑さを伴わない、管理されたインターネット、イントラネット、およびエクストラネットと共にVPNを顧客に提供することで、サービスを拡大し、新しい収入源を生み出すことができます。

サービス プロバイダーはL2TPv3を導入することで、次の利点を得ることができます。

• トランスペアレントなLANとIP機能を実装したシンプルなトンネリング メカニズムにより、IP VPNサービスを容易に実現します。
  
  
• サービス プロバイダーのネットワーク間、およびサービス プロバイダーと顧客のネットワーク間の相互運用を簡略にします。
  
  
• パケット コア拡張VPNサポートを構築する一方で、従来からの投資を無駄にしません。
  
  
• 新しいサービスを容易にします。
  
  
• Internetwork Packet Exchange（IPX）やSNAのような非IPプロトコルの、IPネットワーク上における伝送を可能にします。
  
  

企業顧客はL2TPv3を導入することで、次の利点を得ることができます。

• サービス プロバイダーおよび顧客のネットワーク間の相互運用を簡略にします。
  
  
• 顧客は、VPNを展開する手段として、サービス プロバイダーを活用するか、または企業の設備を活用するかを選択できます。
  
  
• IPXやSNAのような非IPプロトコルの、IPネットワーク上における伝送を可能にします。
  
  
• 設定を容易に行うことができます。
  
  
• 拡張VPNサポートは、セキュリティやQuality of Service（QoS;サービス品質）、管理VPNなどのIOS機能により、顧客の要件にあわせてカスタマイズできます。
  
  

技術概要

IPネットワーク上の一対のルータ上でL2TPv3トンネルをセットアップすることにより、この2つのルータのインターフェイス間で、高速でトランスペアレントなレイヤ2接続を提供することができます。この機能は、レイヤ2のVPNの構築に使用され、さらには、従来の（フレーム リレー、ATM、専用線）ネットワークの移行をサポートするために活用されます。L2TPv3のトンネル機能は、IOSの基本IPパッケージで利用できます。

Cisco 7000および12000シリーズ ルータにおけるL2TPv3の動作

ここでは、インターフェイス ベースのL2TPv3について説明します。2つのカスタマー ネットワーク サイト間に流れているトラフィックはIPパケットにカプセル化され、IPネットワークに送信されます。IPネットワークの内部ルータは、他のIPパケットと同じようにこのトラフィックを扱うため、カスタマー ネットワーク側について関知する必要はありません。このプロセスは、レイヤ2トンネリング（図1）として知られています。

L2TPv3の動作

図1では、ルータのR1およびR2がL2TPv3サービスを提供しています。これらのルータは、インターフェイスInt2、IPネットワークおよびインターフェイスInt3から構成されるパスを介して、IPプロトコルを使って互いに通信します。この例では、ルータR3およびR4は、L2TPv3トンネルを使用したPacket Over SONET（POS）インターフェイスで通信します。L2TPv3トンネルTu1は、R1のインターフェイスInt1とR2のインターフェイスInt4の間で構成されます。R1のインターフェイスInt1に着信したパケットはすべてL2TPv3でカプセル化され、トンネル（Tu1）を経由してR2に送信されます。R2はパケットのカプセル化を解除し、それをインターフェイスInt4からR4に転送します。R4がパケットをR3に送信する必要がある場合、同様のパスを使い、これとは逆の順番でパケットが転送されます。

次のL2TPv3の動作について注意してください。

• インターフェイスInt1で受信されるすべてのパケットはR4に転送されます。R3およびR4は、介在するネットワークを見ることはできません。
  
  
• Cisco 12000シリーズ インターネット ルータでは、他のL2TPv3用ではないカードのLANポートには、ルータが接続されている必要があります。CAM（連想メモリ）によって補助されたMAC（メディア アクセス制御）フィルタリングは、L2TPv3を動作させると、すべてのポート上でオフになります。
  
  
• これと同様の方式はイーサネット インターフェイスでも使用されています。イーサネット インターフェイスE1上のR1でLAN1から受信したすべてのパケットは、L2TPv3でカプセル化され、トンネルTu2を経由してR2のインターフェイスE2に送信されます。その後、パケットはLAN2上に転送されます。
  
  
• これと同様の方式はフレーム リレーのサブインターフェイスでも使用されています。サブインターフェイス上のR1でLAN1から受信したすべてのパケットは、L2TPv3でカプセル化され、トンネルを経由してR2サブインターフェイスに送信されます。その後、パケットはLAN2に転送されます。
  
  

L2TPv3のヘッダーの解説

データは、L2TPv3トンネルの入力インターフェイスに入る時、新たにL2TPv3ヘッダーが加わり、カプセル化されます（図2）。追加されるL2TPv3のヘッダーの構成は次のとおりです。

• ペイロードから独立したヘッダー（12バイト）
  
  
• IP配信ヘッダー（20バイト）
  
  

L2TPv3ヘッダーのフォーマットを図2に示します。

L2TPv3のパケット カプセル化

L2TPv3ヘッダーのパラメータは次のとおりです。

• 配信ヘッダー — 配信ネットワーク上でL2TPv3パケットを運ぶための、IPv4のヘッダーです。配信ヘッダーは20バイトです。
  
  
• L2TPv3ヘッダー — カプセル化を解除する地点で、トンネル内容を一意に識別するために必要な情報を保有します。このペイロードから独立したヘッダーは12バイトです。
  
  
• ペイロード — L2TPv3に運ばれます。リンク層のフレーム、またはネットワーク層のパケットです。
  
  
• トンネルID — カプセル化の解除を行うシステム上で、トンネル内容を識別するために使用されます。トンネルIDの値は、カプセル化解除システムにおける内容識別の効率性を最適にするために選択されます。そのために、カプセル化解除の実装は、より小さいトンネルIDのビット フィールドをサポートする場合があります。この実装では、1023のL2TPv3トンネルIDでより上位の値を設定することで選択されます。L2TPv3トンネルIDの値で、0はプロトコルによって使われるため予約されています。
  
  
• トンネル クッキー — L2TPv3トンネルの2つのエンドポイント間で共有される、8ビットのシグニチャです。このトンネル クッキーは、設定にエラーがあるために発生する、カプセル化解除されたトラフィックの障害を抑制します。このシグニチャは、送信元と宛先ルータの両方で設定され、一致している必要があります。一致していない場合、そのデータは廃棄されます。
  
  

rawモードのサポート

rawモードは、運び込まれる情報のタイプに関わらず、任意の物理インターフェイス上に着信する情報をトンネル化する機能です。rawモードでは、L2TPv3トンネルの両端に物理インターフェイスが接続されています。このインターフェイスに着信するすべてのパケットおよびフレームがトンネルを通過します。当該トンネルのエンドポイント両端に関連付けられた物理インターフェイスは、同一のタイプである必要があります（ただし、IOS 12.0(xx)s以降では異なるインターフェイス間でのトンネル設定が可能となっています）。シスコが現在rawモードでサポートしているインターフェイスは、シリアル、POS、およびイーサネット インターフェイスです。

rawモードは、仮想専用線をサポートするために効果的に使うことができます。仮想専用線は、企業に共通の要望で、混雑していないチャネル サービスを介して、複数のリモート サイトをまとめて接続するものです。

図3では、このサービスを提供するL2TPv3の機能を示しています。

L2TPv3の論理トポロジーでの仮想専用線

ここでは、2つのDS-3シリアル インターフェイスが顧客側のネットワークに接続されています（Enterprise A）。Int2およびInt3は、L2TPv3トンネルの入出力ポイントを形成します。サービス プロバイダーは、標準のルーティング プロトコルを使用し、PE AおよびPE B間のIP接続を維持します。これによってレイヤ2 VPNを確立するための構造が形成されます。顧客側のエッジ ルータ（CE A）からDS3上を通過するパケットは、自動的にL2TPv3ヘッダーでカプセル化され、IPネットワークからPE B上の出力インターフェイスに転送、カプセル化が解除されます。そしてオリジナルのHigh-Level Data Link Control（HDLC;ハイレベル データリンク制御）フレーム全体がシリアル インターフェイス（Int3）から、顧客側のエッジ ルータCE Bに転送されます。レイヤ2回線のエミュレーションは、このように行われています。

フレーム リレー サポート

L2TPv3におけるフレーム リレー サポートは、単一の物理インターフェイスに割り当てられている個々のVirtual Circuit（VC;仮想回線）のトンネリングをサポートするよう設計されています。この場合、指定のインターフェイス上に関連したVCは、異なる宛先にトンネリングすることができます。図4では、個々のVCをトンネリングする機能を使い、IPコアでハブアンドスポーク形式のネットワーク トポロジーを展開しています。

L2TPv3のパケット カプセル化

次に、サービス プロバイダーがサポートする可能性があるより高度なサービスの概要を示します。顧客はハブアンドスポーク方式のネットワークのフレーム リレーを使う、従来からの企業です。サービス プロバイダーは、管理されたファイアウォールとマルチメディア サービスを組み込んだインターネット アクセスを提供しようとしています。図5では、このサービス アーキテクチャを示しています。

外部委託されたインターネットおよびファイアウォールのフレーム リレー ハブアンドスポーク アーキテクチャ

企業は、フレーム リレーのカプセル化とポイントツーポイントのサブインターフェイスで構成される従来からのシリアル インターフェイスを使い、サービス プロバイダーと接続しています。このフレーム リレーでは、会社のイントラネットに使用されるサブインターフェイスや、インターネット アクセスを提供するサブインターフェイスが指定されます。この構成は、従来のハブアンドスポーク構成におけるインターネット アクセスの集中化を回避し、ハブ側で必要な帯域幅を軽減します。企業は、固有のルーティング ポリシーを実行したり、高度なセキュリティを実践するためIP Security（IPSec）の暗号化を追加したりすることもできます。

フレーム リレー サブインターフェイスの制限事項

• フレーム リレーのサブインターフェイスがトンネル用に設定されている場合、一意のL2TPv3トンネルにマッピングされている必要があります（各L2TPv3トンネルは、1対1でフレーム リレー サブインターフェイスにマッピングされている必要があります）。
  
  
• 入力ルータにあるData-Link Connection Identifier（DLCI）は、出力ルータと同一のDLCIである必要があります。
  
  
• L2TPv3 フレーム リレー サブインターフェイスは10ビットのDLCIアドレスをサポートします。フレーム リレー拡張アドレス指定はサポートされていません。
  
  
• マルチポイントDLCIはサポートされていません。
  
  

イーサネット サポート

Cisco 10720インターネット ルータにおけるL2TPv3の動作

Cisco 10720インターネット ルータがL2TPv3機能をサポートすることで、サービス プロバイダーは、イーサネットやVLAN（仮想LAN）をL2TPv3トンネルで複数箇所に拡張し、顧客にイーサネット サービスを提供できます。

Cisco 10720インターネット ルータ上でのL2TPv3の動作

図6では、L2TPv3トンネル末端にある2つのルータが、ポイントツーポイントのPOSリンクを介して接続されています。サポートされる機能は、L2TPv3トンネル上のレイヤ2間の拡張です。インターフェイス全体、またはVLANのサブインターフェイスをL2TPv3トンネルにマッピングし、IPネットワークへイーサネットを拡張できます。このメカニズムにより、サービス プロバイダーはイーサネット サービスを広範囲に提供することができます。

IPバックボーンの顧客を接続するためにL2TPv3を使用した場合、顧客側のネットワークに接続している物理インターフェイスがトンネルの入出力インターフェイスになります。Cisco 10720インターネット ルータの入出力インターフェイスとして使用可能なインターフェイスは、イーサネット、または802.1Qカプセル化サブインターフェイスとして使用できます。

通常、インターネット サービス プロバイダーのルータは、IPコア ネットワーク上で設定されたIPルーティング プロトコルを使用して通信します。顧客のルータ（CEルータ）は、設定されたL2TPv3トンネル上で通信します。Cisco 10720インターネット ルータで受信されたデータ パケットは、すべてL2TPv3ヘッダーでカプセル化され、L2TPv3 Tunnel 1またはL2TPv3 Tunnel 2のいずれかのL2TPv3トンネルを経由して送信されます。カスタマー サイトから着信したデータ パケットは、メインのイーサネット インターフェイス上を通過できます。ここでは、パケットはL2TPv3ヘッダーでカプセル化され、他のサイトに送信されています。

顧客のデータ パケットが、802.1Qカプセル化方式のインターフェイス上から来た場合でも、パケットはL2TPv3ヘッダーでカプセル化され、他のCisco 10720インターネット ルータへ送信されます。受信側の末端で、Cisco 10720インターネット ルータはL2TPv3ヘッダーのカプセル化を解除し、他の顧客のCEルータに向けて、802.1Qカプセル化方式のトラフィックを転送します。

L2TPv3上のイーサネット

図7では、L2TPv3トンネルを使用したLAN間接続の動作を示しています。LAN 1から着信するパケットは、Cisco 10720インターネット ルータNo.1のイーサネット インターフェイスに向かいます。顧客からのデータ パケットは、L2TPv3ヘッダーでカプセル化され、IPコア バックボーン上に送信されます。データ パケットは、ここからCisco 10720インターネット ルータNo.2の出力イーサネット インターフェイスに向けてIPルーティングされます。

L2TPv3上のイーサネット

受信側にあるCisco 10720インターネット ルータは、データ パケットのカプセル化を解除し、トラフィックをLAN 2に転送します。トラフィックがLAN 2から発生した場合、これと同様な方法が使用されます。LAN 1およびLAN 2がIPバックボーンのネットワーク上で接続され、Cisco 10720インターネット ルータは、ルーティングや顧客のIPアドレスに関する知識という点で顧客と関わる必要なく、レイヤ2のデータ パケットをリレーできます。2つのカスタマー サイトは、同じ回線に接続しているとみなされます。また、必要であれば、サイトを複数に拡張することも可能です。この事例で大きく異なる点は、カスタマー サイト上にレイヤ3のルータが存在しないことです。そのため、L2TPv3は、サービス プロバイダー上のIP対応コアへレイヤ2接続を拡張します。

L2TPv3 VLANトンネル出力時におけるVLAN IDの上書き

VLAN IDの上書き機能は、Cisco 10720インターネット ルータ上の802.1Q VLANインターフェイスに接続されたL2TPv3のトンネルに適用されます。VLANにマッピングされたL2TPv3トンネルの出力側は、出力802.1QパケットのVLAN IDをローカルVLANのIDに上書きします。

この機能により、L2TPv3トンネルの両側で異なるVLAN IDをVLANインターフェイスに使用できます。このVLAN IDの上書き機能を使用する場合、シスコは、Cisco 10720インターネット ルータのバックボーン インターフェイスとしてSpatial Reuse Protocol（SRP）を使用することを推奨します。

Cisco 12000シリーズ インターネット ルータのトンネル用カード

Cisco 12000シリーズ インターネット ルータでL2TPv3を実行する場合、トンネル用のカードが別途必要になります。このトンネル用のカードはCisco 12000シリーズ専用であり、Cisco 7200または7500シリーズのルータでは不要です。

Cisco 12000シリーズ インターネット ルータで処理されるL2TPv3パケット

カプセル化ルータの動作

図8では、Site 1上の顧客のネットワークからのトラフィックが、プロバイダーのネットワーク エッジ ルータ上の入力インターフェイスに送信されます。インターフェイスがL2TPv3のトンネリング用に設定されている場合、着信するパケットはすべて、トンネル用カードに転送されます。トンネル用カードは、IPとL2TPv3ヘッダー情報を含むカプセル化ヘッダーでパケットをカプセル化します。その後、カプセル化されたパケットは適切な出力カードに送信され、通常のIPパケットとしてIPネットワークに送信されます。

トンネルのカプセル化解除ルータの動作

L2TPv3でカプセル化されたパケットがトンネル用カードに着信すると、パケットのセッションIDおよびL2TPv3キーが有効かどうか照合されます。これらのうち一部でも異なる部分がある場合、パケットはそのまま廃棄されます（ユーザに知らされることはありません）。セッションIDとL2TPv3キーが間違いない場合、トンネル用カードはパケットのカプセル化を解除（IPとL2TPv3ヘッダーを外す）し、パケットを出力カードに送信します。その後、出力カードは顧客側のネットワークにパケットを送信します。この際、新たにレイヤ2のヘッダーが追加されることはありません（レイヤ2のヘッダーはトンネルの最初の時点から保持されています）。

一般的な制限事項

L2TPv3には次の制限事項があります。

• 設定可能なL2TPv3トンネルの最大数は、1022までに制限されています。
  
  
• 顧客側のインターフェイスのMaximum Transmission Unit（MTU;最大伝送ユニット）を設定し、トンネル内で断片化をさせないようにする必要があります。L2TPv3トンネルは断片化をサポートしていないためです（ソリューションは、現在、開発中）。
  
  

IPバックボーンのMTUは、擬似回線上で動作するMTUよりxバイト大きな値にする必要があります。xの値は次のとおりです。

• 802.1Q = 50
  
  
• イーサネット = 46
  
  
• POS = 36
  
  
• フレーム リレー = 34
  
  
• CHDLC = 36
  
  

• 固有のシグナリング、またはキープアライブ メカニズムはありません（現在、開発中）。
  
  

可用性

サポートされるプラットフォームおよびリリース

• Cisco 12000シリーズ インターネット ルータ
  
  
• Cisco 10720メトロ イーサネット ルータ
  
  
• Cisco 7200シリーズ ルータ
  
  
• Cisco 7500シリーズ ルータ
  
  

Cisco IOS Software Release 12.0(18)ST

• rawモード — ポート レベルでのL2TPv3トンネリング（トンネルの各末端のインターフェイスなど）
  
  
• プラットフォーム — Cisco 12000、7500、および7200シリーズ ルータ
  
  

Cisco IOS Software Release 12.0(19)ST

• フレーム リレー — フレーム リレーのポイントツーポイント サブインターフェイス用のL2TPv3トンネリング（各フレーム リレーPermanent Virtual Circuit [PVC;相手先固定接続]は一意のトンネルにマッピングされます）
  
  
• プラットフォーム — Cisco 12000、7500、および7200シリーズ ルータ
  
  

Cisco IOS Software Release 12.0(21)ST

• 802.1Q VLAN — 802.1Qのポイントツーポイント サブインターフェイス用のL2TPv3トンネリング
  
  
• プラットフォーム — Cisco 12000、7500、および7200シリーズ ルータ
  
  

Cisco IOS Software Release 12.0(19)SP

• rawモード — ポート レベルでのL2TPv3トンネリング（トンネルの各末端のインターフェイスなど）
  
  
• 802.1Q VLAN — 802.1Qのポイントツーポイント サブインターフェイス用のL2TPv3トンネリング
  
  
• プラットフォーム — Cisco 10720インターネット ルータ