Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4 ネットワークにおけるファイアウォール フィルターベース L2TP トンネリングの概要

レイヤー 2 トンネリング プロトコル(L2TP)は、PPP(Point-to-Point Protocol)をネットワーク全体でトンネリングできるクライアント サーバー プロトコルです。L2TP は、PPP などのレイヤー 2 パケットをカプセル化して、ネットワーク全体を伝送します。アクセス デバイス上に設定された L2TP アクセス コンセントレータ(LAC)は、リモート クライアントからパケットを受信し、リモート ネットワーク上の L2TP ネットワーク サーバー(LNS)に転送します。L2TPv3 は、2 つの IPv6 ノード間で複数のレイヤー 2 接続をトンネリングするための基本制御プロトコルとカプセル化を定義します。L2TPv2 と L2TPv3 の大きな違いは、以下のとおりです。

  • PPP 関連の AVP と参照をすべて分離し、PPP のニーズに固有の L2TP データ ヘッダーの一部を含めることを可能にします。

  • 16 ビット セッション ID とトンネル ID から、それぞれ 32 ビット セッション ID と制御接続 ID に移行します。

  • 特定のメッセージの一部ではなく、制御メッセージ全体をカバーするトンネル認証メカニズムの拡張。

  • L2TPv3 は IPv6 でのみサポートされています。

  • ファイアウォール フィルターでは、データ プレーン L2TPv3 のカプセル化/カプセル化解除のみがサポートされます。

L2TP は、2 種類のメッセージ、制御メッセージ、データ メッセージ(それぞれ制御パケットとデータ パケットと呼ばれることもあります)で構成されます。制御メッセージは、制御接続およびセッションの確立、保守、消去に使用されます。これらのメッセージは、L2TP 内の信頼性の高い制御チャネルを利用して配信を保証します。データ メッセージは、L2TP セッションで送信される L2 トラフィックのカプセル化に使用されます。

2 つの標準ファイアウォール フィルター アクションによって開始される GRE トンネリング プロトコル メカニズムを使用して、IPv4、IPv6、MPLS トランジット トラフィックを転送するように IPv4 ネットワークを設定できます。この機能は論理システムでもサポートされています。ファイアウォール フィルターによる L2TP トンネリングを設定する場合、トンネル サービスの PIC(物理インターフェイス カード)または MPC3E MPC3E モジュラー ポート コンセントレータ(MPC)上にトンネル インターフェイスを作成する必要はありません。代わりに、パケット転送エンジンは、MXシリーズ5Gユニバーサルルーティングプラットフォームのモジュラーインターフェイスカード(MIC)またはMPCでホストされているイーサネット論理インターフェイスまたはアグリゲートイーサネットインターフェイスにトンネルサービスを提供します。

プロバイダ エッジ(PE)ルーターとしてインストールされた 2 台の MX シリーズ ルーターは、2 つの分離したネットワーク上の顧客エッジ(CE)ルーターへの接続を提供します。PE ルーター上の MIC または MPC インターフェイスは、ペイロードの L2TP IPv4 カプセル化とカプセル化解除を実行します。カプセル化解除後、パケットは、L2TP ヘッダーのプロトコル フィールドに基づいて、アクションで指定されたルーティング テーブルのローカル インターフェイス、またはデフォルトのルーティング テーブルに送信されます。ただし、レイヤー 2 クロスコネクトを実行するために、出力インターフェイス インデックスと等しいトークンを使用して、L2TP パケットをファブリック全体に送信することもできます。ステートメントを階層レベルに含めて decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie 、送信する L2TP パケットに使用する出力インターフェース指定子を [edit firewall family family-name filter filter-name term term-name then] 指定できます。

カプセル化解除中、内部ヘッダーは L2TP トンネルのイーサネットである必要があります。デフォルトでは、転送クラスはファイアウォールの前に適用され、カプセル化されていないパケットについては保持されません(階層レベルの[edit firewall family family-name]ステートメントを使用forwarding-class class-nameして、終端処理を行わないフィルター アクションです)。ただし、階層レベルでステートメントを使用して decapsulate l2tp forwarding-class class-name カプセル化解除されたパケットのフィルター アクションを含め、パケットを分類する必要がある転送クラスを [edit firewall family family-name filter filter-name term term-name then] 指定できます。

以下のフィールド定義は、すべての L2TP セッション ヘッダー カプセル化で使用するために定義されています。

  • セッションIDフィールドは、セッションのゼロ以外の識別子を含む32ビットフィールドです。L2TP セッションの名前は、ローカル有意性のみを持つ識別子によって指定されます。同じ論理セッションには、セッションの寿命のために、制御接続の各終端ごとに異なるセッションのDが与えられます。セッション確立に L2TP 制御接続を使用すると、セッション ID が選択され、セッションの作成時にローカル セッション ID AVP として交換されます。セッションID単独では、Cookieの存在、サイズ、値、L2-Specificサブレイヤーのタイプ、トンネリングされるペイロードのタイプなど、さらなるパケット処理に必要なコンテキストが提供されます。

  • オプションのCookieフィールドには、受信したデータメッセージとセッションIDによって識別されたセッションの関連付けを確認するために使用される可変長値(最大64ビット)が含まれています。Cookieフィールドは、このセッションの設定またはシグナルランダム値に設定する必要があります。このCookieは、セッションIDによってデータメッセージが適切なセッションに送られたことを保証する追加レベルを提供します。適切に選択されたCookieは、最近再利用されたSession IDや、パケット破損の影響を受けるセッションIDを使用して、ランダムパケットの誤った方向転換を防ぐ可能性があります。Cookie は、特定の悪意のあるパケット挿入攻撃に対する保護も提供します。セッション確立に L2TP 制御接続を使用すると、ランダム Cookie 値が選択され、セッションの作成時に割り当てられた Cookie AVP として交換されます。

セッションは、リモート・システムと LNS の間にエンドツーエンドの PPP 接続が確立されたときに、LAC と LNS の間に作成される論理接続です。確立されたL2TPセッションとそれに関連するPPP接続には、1対1の関係があります。トンネルは、1 つ以上の L2TP セッションのアグリゲーションです。

Junos OS リリース 15.1 以降では、標準のファイアウォール フィルターの一致条件と指定されたアクションを使用して L2TP トンネルを介して送信される IP パケットのカプセル化解除は、レイヤー 3 ルックアップを使用して実行されます。Junos OS リリース 14.2 以前では、ファイアウォール フィルター アクションが設定された L2TP トンネル上のトラフィックのカプセル化解除は、レイヤー 2 インターフェイス プロパティを使用して実行されます。

一方向トンネリング

IPv4 ネットワーク全体のフィルターベース L2TP トンネルは、一方向です。転送パケットのみを転送し、トンネル インターフェイスは必要ありません。ファイアウォール フィルターをループバック アドレスに適用することはできますが、GRE のカプセル化とカプセル化解除のファイアウォール フィルター アクションは、ルーター のループバック インターフェイスではサポートされていません。L2TP パケットのフィルターによって開始されるカプセル化およびカプセル化解除操作は、イーサネット論理インターフェイスとアグリゲート イーサネット インターフェイスのパケット転送エンジンで実行されます。この設計では、トンネル インターフェイスを使用した GRE トンネリングと比較して、パケット転送エンジンの帯域幅をより効率的に使用できます。ルーティング プロトコル セッションは、ファイアウォール ベースのトンネル上で設定できません。

トンネル セキュリティ

IPv4 ネットワーク全体のフィルターベースのトンネリングは暗号化されません。セキュアトンネリングが必要な場合は、MICまたはMPCインターフェイスでサポートされていないIPセキュリティ(IPsec)暗号化を使用する必要があります。ただし、MX240、MX480、MX960 ルーター上のマルチサービス DPC(MS-DPC)インターフェイスは、データ トラフィックの暗号化やルーティング エンジンを宛先とするトラフィックまたは送信元のトラフィックに対して、手動または動的セキュリティ アソシエーション(SA)を設定するための IPsec ツールをサポートしています。

転送パフォーマンス

IPv4 ネットワーク全体のフィルターベースのトンネリングにより、トンネル インターフェイスを使用した L2TP トンネリングと比較して、パケット転送エンジンの帯域幅をより効率的に使用できます。カプセル化、カプセル化解除、ルート ルックアップは、ファイアウォール フィルターベースのトンネリング用に Junos Trio チップセットベースのパケット転送エンジンで実行されるパケット ヘッダー処理アクティビティです。その結果、カプセル化器はペイロード パケットを別のトンネル インターフェイスに送信する必要はありません(ペイロード パケットを受信するインターフェイスとは異なるスロットにある PIC に存在する可能性があります)。

転送の拡張性

トンネル インターフェイスを使用して L2TP トラフィックを転送するには、トンネル インターフェイスをホストするスロットにトラフィックを送信する必要があります。トンネル インターフェイスを使用して GRE トラフィックを転送する場合、この要件により、GRE トンネル宛先アドレスごとに転送できるトラフィックの量が制限されます。たとえば、ルーターAからルーターBに100 GbpsのL2TPトラフィックを送信し、インターフェイスが10Gbpsしかないとします。設定が同じ 10 Gbps インターフェイスに向かう同じボード上のすべてのトラフィックをカプセル化しないようにするには、複数のカプセル化ポイントにトラフィックを分散する必要があります。

リリース履歴テーブル
リリース
説明
15.1
Junos OS リリース 15.1 以降では、標準のファイアウォール フィルターの一致条件と指定されたアクションを使用して L2TP トンネルを介して送信される IP パケットのカプセル化解除は、レイヤー 3 ルックアップを使用して実行されます。
14.2
Junos OS リリース 14.2 以前では、ファイアウォール フィルター アクションが設定された L2TP トンネル上のトラフィックのカプセル化解除は、レイヤー 2 インターフェイス プロパティを使用して実行されます。