Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4ネットワークにおけるファイアウォールフィルターベースのL2TPトンネリングの概要

レイヤー 2 トンネリング プロトコル(L2TP)は、ポイントツーポイントプロトコル(PPP)をネットワーク上でトンネリングできるようにするクライアントサーバープロトコルです。L2TP は、ネットワーク経由で送信するために、PPP などのレイヤー 2 パケットをカプセル化します。アクセスデバイスに設定されたL2TPアクセスコンセントレータ(LAC)は、リモートクライアントからパケットを受信し、リモートネットワーク上のL2TPネットワークサーバー(LNS)に転送します。L2TPv3 は、2 つの IPv6 ノード間の複数のレイヤー 2 接続をトンネリングするための基本制御プロトコルとカプセル化を定義します。L2TPv2 と L2TPv3 の大きな違いは次のとおりです。

  • PPP に関連するすべての AVP と参照を分離することで、PPP のニーズに特化した L2TP データ ヘッダーの一部を含めることができます。

  • 16 ビットのセッション ID とトンネル ID から、それぞれ 32 ビットのセッション ID と制御接続 ID に移行します。

  • 特定のメッセージの一部ではなく、制御メッセージ全体を対象とするトンネル認証メカニズムの拡張。

  • L2TPv3 は IPv6 でのみサポートされています。

  • ファイアウォール フィルターでは、データ プレーン L2TPv3 のカプセル化/カプセル化解除のみがサポートされています。

L2TPは、制御メッセージとデータメッセージの2種類のメッセージで構成されています(それぞれ制御パケットとデータパケットと呼ばれることもあります)。制御メッセージは、制御接続およびセッションの確立、保守、およびクリアに使用されます。これらのメッセージは、L2TP内の信頼できる制御チャネルを利用して配信を保証します。データメッセージは、L2TPセッションで伝送されるL2トラフィックをカプセル化するために使用されます。

2 つの標準的なファイアウォール フィルター アクションによって開始される GRE トンネリング プロトコル メカニズムを使用して、IPv4、IPv6、または MPLS トランジット トラフィックを伝送するように IPv4 ネットワークを設定できます。この機能は、論理システムでもサポートされています。ファイアウォール フィルターを使用して L2TP トンネリングを設定する場合、トンネル サービスの PIC(物理インターフェイス カード)や MPC3E MPC(モジュラー ポート コンセントレータ)にトンネル インターフェイスを作成する必要はありません。代わりに、パケット転送エンジンは、MXシリーズ5Gユニバーサルルーティングプラットフォームのモジュラーインターフェイスカード(MIC)またはMPCでホストされているイーサネット論理インターフェイスまたは集約型イーサネットインターフェイスにトンネルサービスを提供します。

プロバイダエッジ(PE)ルーターとして設置された2台のMXシリーズルーターは、2つの切り離されたネットワーク上のカスタマーエッジ(CE)ルーターへの接続を提供します。PE ルーター上の MIC または MPC インターフェイスは、ペイロードの L2TP IPv4 カプセル化とカプセル化解除を実行します。カプセル化解除後、パケットは、L2TPヘッダーのプロトコルフィールドに基づいて、アクションで指定されたルーティングテーブルのローカルインターフェイス、またはデフォルトのルーティングテーブルに送信されます。ただし、オプションで、L2TPパケットを出力インターフェイスインデックスに等しいトークンを使用してファブリックを介して送信し、レイヤー2クロスコネクトを実行できます。階層レベルで ステートメントを含めることで、送信される L2TP パケットに使用する出力インターフェイス指定子を指定できます。decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie[edit firewall family family-name filter filter-name term term-name then]

カプセル化解除中、内部ヘッダーは L2TP トンネル用のイーサネットである必要があります。デフォルトでは、転送クラスはファイアウォールの前に適用され、カプセル化解除されたパケットには保持されません(階層レベルで ステートメントを使用する、非終了フィルターアクション)。forwarding-class class-name[edit firewall family family-name] ただし、 階層レベルで ステートメントを使用して、カプセル化解除されたパケットに対するフィルターアクションを含めることで、パケットを分類する必要がある転送クラスを指定することができます。decapsulate l2tp forwarding-class class-name[edit firewall family family-name filter filter-name term term-name then]

次のフィールド定義は、すべての L2TP セッションヘッダーカプセル化で使用するために定義されています。

  • セッションIDフィールドは、セッションのゼロ以外の識別子を含む32ビットのフィールドです。L2TP セッションは、ローカルでのみ意味を持つ識別子によって名前が付けられます。同じ論理セッションには、セッションの存続期間中、制御接続の両端から異なるセッション ID が与えられます。セッションの確立に L2TP 制御接続を使用すると、セッションの作成時にセッション ID が選択され、ローカル セッション ID AVP として交換されます。セッション ID だけでも、Cookie の存在、サイズ、値、L2 固有サブレイヤーのタイプ、トンネリングされるペイロードのタイプなど、以降のすべてのパケット処理に必要なコンテキストが提供されます。

  • オプションの Cookie フィールドには、受信したデータ メッセージとセッション ID によって識別されるセッションとの関連付けを確認するために使用される可変長値 (最大 64 ビット) が含まれます。Cookieフィールドは、このセッション用に設定された、またはシグナルされたランダム値に設定する必要があります。Cookie は、データ メッセージがセッション ID によって適切なセッションに送信されたという追加の保証レベルを提供します。適切に選択された Cookie は、最近再利用されたセッション ID を持つランダムなパケットや、パケットが破損する可能性のあるセッション ID の不注意による誤った方向付けを防ぐことができます。また、Cookie は、特定の悪意のあるパケット挿入攻撃に対する保護を提供する場合もあります。L2TP 制御接続がセッション確立に使用される場合、ランダムな Cookie 値が選択され、セッションの作成時に割り当てられた Cookie AVP として交換されます。

セッションは、リモートシステムとLNSの間にエンドツーエンドPPP接続が確立されたときに、LACとLNSの間に作成される論理接続です。確立された L2TP セッションとそれに関連する PPP 接続の間には、1 対 1 の関係があります。トンネルは、1つ以上のL2TPセッションの集合体です。

Junos OS Release 15.1以降、標準のファイアウォールフィルターの一致条件とアクションを指定してL2TPトンネルを介して送信されるIPパケットのカプセル化解除は、レイヤー3ルックアップを使用して実行されます。Junos OS リリース 14.2 以前では、ファイアウォール フィルター アクションが設定された L2TP トンネルを介したトラフィックのカプセル化解除は、レイヤー 2 インターフェイス プロパティを使用して実行されます。

単方向トンネリング

IPv4 ネットワーク間のフィルターベースの L2TP トンネルは単方向です。トランジットパケットのみを伝送し、トンネルインターフェイスは必要ありません。ファイアウォールフィルターをループバックアドレスに適用することはできますが、GREのカプセル化およびカプセル化解除のファイアウォールフィルターアクションは、ルーターループバックインターフェイスではサポートされていません。L2TPパケットのフィルタ開始カプセル化およびカプセル化解除操作は、イーサネット論理インターフェイスおよび集合型イーサネットインターフェイスのパケット転送エンジンで実行されます。この設計により、トンネルインターフェイスを使用したGREトンネリングと比較して、パケット転送エンジンの帯域幅をより効率的に使用できます。ルーティングプロトコルセッションは、ファイアウォールベースのトンネルの上には設定できません。

トンネルセキュリティ

IPv4 ネットワーク間のフィルターベーストンネリングは暗号化されません。セキュアトンネリングが必要な場合は、MICまたはMPCインターフェイスでサポートされていないIPセキュリティ(IPsec)暗号化を使用する必要があります。ただし、MX240、MX480、およびMX960ルーター上のマルチサービスDPC(MS-DPC)インターフェイスは、データトラフィックおよびルーティングエンジンを送信元とするトラフィックの暗号化のための手動または動的SA(セキュリティアソシエーション)を設定するためのIPsecツールをサポートしています。

フォワーディング パフォーマンス

IPv4 ネットワーク全体でのフィルターベースのトンネリングでは、トンネル インターフェイスを使用した L2TP トンネリングと比較して、パケット転送エンジンの帯域幅をより効率的に使用できます。カプセル化、カプセル化解除、ルート検索は、ファイアウォールフィルターベースのトンネリングの場合、Junos Trioチップセットベースのパケット転送エンジンで実行されるパケットヘッダー処理アクティビティです。その結果、エンカプスレータは、ペイロードパケットを別のトンネルインターフェイス(ペイロードパケットを受信するインターフェイスとは異なるスロットのPICに存在する可能性がある)に送信する必要がありません。

転送の拡張性

トンネル インターフェイスで L2TP トラフィックを転送するには、トンネル インターフェイスをホストするスロットにトラフィックを送信する必要があります。トンネル インターフェイスを使用して GRE トラフィックを転送する場合、この要件により、GRE トンネルの宛先アドレスごとに転送できるトラフィック量が制限されます。例として、ルーター A からルーター B に 100 Gbps の L2TP トラフィックを送信する際、インターフェイスが 10 Gbps しかないとします。設定で、同じ 10 Gbps インターフェイスに向かう同じボード上のすべてのトラフィックがカプセル化されないようにするには、トラフィックを複数のカプセル化ポイントに分散させる必要があります。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
15.1
Junos OS Release 15.1以降、標準のファイアウォールフィルターの一致条件とアクションを指定してL2TPトンネルを介して送信されるIPパケットのカプセル化解除は、レイヤー3ルックアップを使用して実行されます。
14.2
Junos OS リリース 14.2 以前では、ファイアウォール フィルター アクションが設定された L2TP トンネルを介したトラフィックのカプセル化解除は、レイヤー 2 インターフェイス プロパティを使用して実行されます。