Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

IPv4 ネットワークにおけるファイアウォールフィルターベースの L2TP トンネリングの概要

 

レイヤー2トンネリングプロトコル (L2TP) は、ポイントツーポイントプロトコル (PPP) をネットワーク全体でトンネリングできるようにするクライアントサーバープロトコルです。L2TP は、PPP などのレイヤー2パケットをネットワーク全体に送信してカプセル化します。アクセスデバイス上に構成された LAC (L2TP アクセスコンセントレーター) は、リモートクライアントからパケットを受信し、それをリモートネットワーク上の L2TP ネットワークサーバー (LNS) に転送します。L2TPv3 は、2つの IPv6 ノード間の複数のレイヤー2接続をトンネリングするための基本制御プロトコルとカプセル化を定義しています。L2TPv2 と L2TPv3 の大きな違いは、以下のとおりです。

  • Ppp 関連のすべての AVPs とリファレンスを分離して、PPP のニーズに特化した L2TP データヘッダーの一部を含めることができます。

  • 16ビットセッション ID とトンネル ID から、それぞれの32ビットセッション ID と制御接続 ID への移行を行います。

  • 特定のメッセージの一部だけではなく、制御メッセージ全体をカバーするトンネル認証メカニズムの拡張。

  • L2TPv3 は IPv6 でのみサポートされています。

  • ファイアウォールフィルターでは、データプレーン L2TPv3 カプセル化/カプセル化解除のみがサポートされています。

L2TP は2種類のメッセージ、制御メッセージ、データメッセージ (それぞれ制御パケットとデータパケットと呼ばれることもあります) で構成されています。制御メッセージは、制御接続とセッションの確立、保守、クリアで使用されます。これらのメッセージは、L2TP 内の信頼性の高い制御チャネルを利用して配信を保証します。データメッセージは、L2TP セッションで運ばれる L2 トラフィックをカプセル化するために使用されます。

2つの標準ファイアウォールフィルターアクションによって開始された GRE トンネリングプロトコルメカニズムを使用して、ipv4、IPv6、MPLS 伝送トラフィックを転送するように IPv4 ネットワークを構成できます。この機能は、論理システムでもサポートされています。ファイアウォールフィルターを使用して L2TP トンネリングを構成する場合は、トンネルサービスの物理インターフェイスカード (PICs) または MPC3E モジュラーポートコンセントレーター (MPCs) でトンネルインターフェイスを作成する必要はありません。代わりに、パケット転送エンジンは、イーサネット論理インターフェイス、または MX シリーズ5G ユニバーサルルーティングプラットフォームの Mic (モジュラーインターフェイスカード) または MPCs でホストされるアグリゲート型イーサネットインターフェイスにトンネルサービスを提供します。

2つの MX シリーズルーターをプロバイダエッジ (PE) ルーターとして設置することで、2つの切り離されたネットワーク上で顧客エッジ (CE) ルーターとの接続を提供します。PE ルーター上の MIC または MPC インターフェイスは、L2TP IPv4 カプセル化とペイロードのカプセル化解除を実行します。カプセル化解除の後、パケットは、アクションで指定されたルーティングテーブルのローカルインターフェイスまたはデフォルトのルーティングテーブルに送信されます。これは、L2TP ヘッダーの protocol フィールドをベースにしています。ただし、L2TP パケットは、レイヤー2クロスコネクトを実行するために、出力インターフェイスインデックスと同等のトークンを使用して、ファブリック全体で送信することもできます。decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie階層レベルに[edit firewall family family-name filter filter-name term term-name then]ステートメントを含めることで、L2TP パケットを送信するために使用する出力インターフェイス指定を指定できます。

カプセル化解除では、内部ヘッダーは L2TP トンネル用のイーサネットでなければなりません。デフォルトで転送クラスはファイアウォールの前に適用され、decapsulated パケットに対しては保持さforwarding-class class-nameれません[edit firewall family family-name] (階層レベルのステートメントを使用して非終端フィルター操作を実行します)。ただし、階層レベルのdecapsulate l2tp forwarding-class class-name[edit firewall family family-name filter filter-name term term-name then]ステートメントを使用して decapsulated パケットのフィルタアクションを含めることで、パケットを分類する必要がある転送クラスを指定できます。

以下のフィールド定義は、すべての L2TP セッションヘッダー encapsulations で使用されるように定義されています。

  • セッション ID フィールドは、セッションに対してゼロ以外の識別子を含む32ビットフィールドです。L2TP セッションは、ローカルの意味を持つ識別子によって名前が付けられています。同じ論理セッションには、セッションが継続している間、制御接続の各終端によって異なるセッション Id が割り当てられます。セッションの確立に L2TP 制御接続を使用すると、セッション Id が選択され、セッションの作成時にローカルセッション ID AVPs として交換されるようになります。セッション ID だけを使用して、Cookie のプレゼンス、サイズ、値、L2 固有のサブレイヤーのタイプ、トンネリングされるペイロードのタイプなど、その他すべてのパケット処理に必要なコンテキストを提供します。

  • オプションの Cookie フィールドには可変長値 (最大64ビット) が含まれており、受信したデータメッセージとセッション ID によって識別されたセッションとの関連性をチェックするために使用します。Cookie フィールドは、このセッションの設定済みまたはシグナルされたランダムな値に設定する必要があります。Cookie は、セッション ID によってデータメッセージが適切なセッションに転送されたことを保証する追加レベルを提供します。適切に選択されたクッキーは、最近再利用したセッション Id を使用したり、セッション Id がパケットの破損に影響を受けたりする、ランダムなパケットの misdirection を防ぐことができます。Cookie は、特定の悪意のあるパケット挿入攻撃から保護することもできます。セッションの確立に L2TP 制御接続を使用すると、ランダムな Cookie 値が選択され、セッションの作成時に割り当てられた Cookie AVPs として交換されるようになります。

セッションは、リモートシステムと LNS 間でエンドツーエンドの PPP 接続が確立されたときに、LAC と LNS の間に作成された論理接続です。確立された L2TP セッションとそれに関連する PPP 接続の間には、1対1の関係があります。トンネルとは、1つまたは複数の L2TP セッションのアグリゲーションのことです。

Junos OS リリース15.1 から始めると、標準のファイアウォールフィルタマッチング条件とアクションが指定された L2TP トンネルを介して送信される IP パケットのカプセル化解除は、レイヤー3ルックアップを使用して実行されます。 Junos OS リリース14.2 以前では、レイヤー2インターフェイスのプロパティを使用して、ファイアウォールフィルタアクションが設定された L2TP トンネルでのトラフィックのカプセル化解除を実行しています。

片方向トンネリング

IPv4 ネットワーク全体でフィルターベースの L2TP トンネルを行うのは単一方向です。送信パケットのみを転送し、トンネルインターフェイスは必要ありません。ファイアウォールフィルターをループバックアドレスに適用することもできますが、GRE カプセル化およびカプセル化解除ファイアウォールフィルタアクションは、ルーターループバックインターフェイスではサポートされていません。L2TP パケットのフィルタリングによって行われるカプセル化とカプセル化解除操作は、イーサネット論理インターフェイスと集約型イーサネットインターフェイス用のパケット転送エンジン上で実行されます。この設計により、トンネルインターフェイスを使用した GRE トンネリングに比べて、パケット転送エンジン帯域幅をより効率的に使用できます。ルーティングプロトコルセッションは、ファイアウォールベースのトンネルの上に設定することはできません。

トンネルセキュリティー

IPv4 ネットワーク全体でフィルターベースのトンネリングは暗号化されません。セキュアトンネリングが必要な場合は、MIC または MPC インターフェイスではサポートされていない IP セキュリティ (IPsec) 暗号化を使用する必要があります。ただし、MX240、MX480、および MX960 ルーター上のマルチサービス DPC (MS DPC) インターフェイスは、手動または動的なセキュリティーアソシエーション (SAs) を構成して、データトラフィックの暗号化、およびルーティングエンジンに送信または発信されたトラフィックを行うための IPsec ツールをサポートしています。

転送のパフォーマンス

IPv4 ネットワーク全体でフィルターベースのトンネリングを使用すると、トンネルインターフェイスを使用した L2TP トンネリングと比較して、パケット転送エンジン帯域幅をより効率的に利用できます。カプセル化、非カプセル化、ルートルックアップは、ファイアウォールフィルタベースのトンネリングでは、Junos Trio チップセットベースのパケット転送エンジン上で実行されるパケットヘッダー処理活動です。その結果、encapsulator は、ペイロードパケットを別のトンネルインターフェイスに送信する必要はありません (ペイロードパケットを受信するインターフェイスとは異なるスロットの PIC に存在する場合があります)。

転送の拡張性

トンネルインターフェイスを使用して L2TP トラフィックを転送するには、トンネルインターフェイスをホストするスロットにトラフィックを送信する必要があります。トンネルインターフェイスを使用して GRE トラフィックを転送する場合、この要件によって、GRE トンネルの宛先アドレス当たりに転送可能なトラフィックの量が制限されます。例として、ルーター A からルーター B に 100 Gbps の L2TP トラフィックを送信し、10 gbps のインターフェイスのみを使用するとします。同じボード上のすべてのトラフィックが同じ 10 Gbps インターフェイスにカプセル化されていないことを確認するには、トラフィックを複数のカプセル化ポイントに分散する必要があります。

Release History Table
リリース
説明
Junos OS リリース15.1 から始めると、標準のファイアウォールフィルタマッチング条件とアクションが指定された L2TP トンネルを介して送信される IP パケットのカプセル化解除は、レイヤー3ルックアップを使用して実行されます。
Junos OS リリース14.2 以前では、レイヤー2インターフェイスのプロパティを使用して、ファイアウォールフィルタアクションが設定された L2TP トンネルでのトラフィックのカプセル化解除を実行しています。