L2TPv3

L2TPv3トンネルを確立し、IPネットワーク上の拠点間でイーサネットフレームを転送する機能を提供します。

1. 仕様概要
項目
L2TPインタフェース数の上限

16対向

暗号アルゴリズム等の調整項目(IPsec/IKE併用の場合) システムにプリセット
2. IPv4/IPv6対応状況
機能 IPv4 IPv6 備考
L2TPv3の接続
L2TPv3インタフェースでの送受信
3. デフォルトの動作状態
機能 状態 備考
L2TPv3インタフェース 無効

L2TPv3とは

L2TPv3 (Layer Two Tunneling Protocol - Version 3) は、Layer2のフレームをIPでトンネル化することを可能にするプロトコルです。 これにより、例えばインターネットに接続されている異なるネットワーク同士の間で、同じイーサネットセグメントに接続されているかのように通信することができます。

例えば、東京拠点-大阪拠点間をL2TPv3で結び、同一のブリッジに所属させることで、それぞれの拠点内のPCがすべて同一のハブに所属しているかのようにLayer2で透過的に通信することができます。

準拠する規格
  • RFC 3931 Layer Two Tunneling Protocol - Version 3 (L2TPv3)
  • RFC 5641 Layer 2 Tunneling Protocol Version 3 (L2TPv3) Extended Circuit Status Values
1. L2TPv3を用いて構成されるネットワーク. この図において、Service Adapter AとService Adapter Bの間に L2TPv3 Tunnelを確立すると、Host Aと Host Bの間で直接イーサネットフレームが送受信可能になります。

本装置での実装について

任意のインタフェース(GE, 無線LAN, L2TPv3)の組み合わせでブリッジを構成し、イーサネット、及び VLANフレームを転送できます。

L2TPトンネルが作成されるタイミング
有効なコンフィグが作成された時点で自動的にトンネルを作成します。何らかの理由でトンネルが切断された場合は一定間隔でリトライを行ない、常にトンネルを維持しようとします。
フレームのカプセル化
本装置のL2TPv3機能はIPによるカプセル化を行い、送受信するL2TPv3パケットは 115/IP を用います。UDPによるカプセル化(1701/UDP)には対応していません。
IPsec NAT Traversalの併用によるUDP化は可能です。

導入イメージ

L2TPv3を導入することが想定されるモデルは、例えば以下のようなものです。
  • 広域イーサネットサービスを利用し複数拠点間を1セグメントとして運用していた環境を、インターネットVPNとして安価にリプレースする
  • 広域イーサネットと併用し、バックアップ網として利用する
注:
STP機能を搭載しないため、ループ状のL2接続を前提とした冗長化構成には対応できません。

VPNの自動設定をサポートするフロートリンク機能

「フロートリンク」とは、VPN自動設定機能の一つです。

サービスアダプタのフロートリンク機能を使用すると、ネームサーバとの連携によってVPN接続を行う対向ノード(サービスアダプタ)のIPアドレスを自動的に設定し、IPアドレスが変更された際に自動追従することができます。SMFv2サービスのサービスホストにフロートリンクのネームサーバが含まれています。

インターネット接続時のグローバルIPアドレスが固定でないPPPoE接続サービスや、NTTフレッツ光ネクストのNGN網内で半固定的に割り当てられる(固定であることが保障されない)IPv6アドレス間でのVPN構築に利用できます。

注:
  • フロートリンクを使用しNGN網内での折り返し通信によるVPNを設定する場合でも、サービスホストとの連携のためにインターネット接続の経路も確保する必要があります。
  • フロートリンクはSMFv2サービス独自の仕様に基づきます。他社サービスの類似機能との相互運用はできません。

TCP MSS調整

インタフェースの入出力パケットのTCP MSS値を調整することができます。詳細は「TCP MSS調整機能」を参照してください。

IPsec NAT Traversal の強制適用

IPsecのESPパケットをUDPでカプセル化する、NAT Traversal 機能を提供します。

L2TPv3の通信をIPsecで保護するとき、利用するネットワークがIPsecのESPパケットを正常に転送できない場合の対処に有効な場合があります。
注:
  • 対向機器がNAT Traversalを使用できる必要があります。
  • ESPパケットをUDPでカプセル化する目的で使用します。
  • IKEの鍵交換モードにアグレッシブモードを使用できないため、NATによるアドレス書換が行われるネットワークではIPsec/IKEを利用できません。

利用上の注意

IPsecで構成されたVPNがルータのように振舞うのに対して、 L2TPv3で構成されたVPNはブリッジ(L2スイッチ)のように振舞います。このためIP-VPNとは異なる注意点があります。

ループ状ネットワーク

L2TPv3によるVPN拠点においては、同一ブロードキャストドメイン上にループ状態を形成すると、下記に示す状態に陥り正常な通信を行うことができません。
ブロードキャストストームの発生

拠点内でのループ状態形成によりブロードキャストストーム(ブロードキャストフレーム,マルチキャストフレームが永遠にループする状態)が発生する恐れがあります。また、ブロードキャストストーム発生によりWAN回線の帯域が圧迫され、必要なフレームの送受信が不能になる恐れがあります。

送信元MACアドレスが重複するフレームの廃棄

本装置が認知しているMACアドレスとインタフェースの組み合わせと異なるインタフェースから認知済みMACアドレスを送信元とするフレームを受信した場合、1つ目の該当フレームを廃棄します。この機構によりブロードキャストストームの発生を抑制します。

MACアドレステーブルの誤登録による転送不能

ループ状ネットワークでは、同一フレームの方向の一意性が保たれなくなる(複数のインタフェースで同じ内容のフレームを受信してしまう)ため、誤ったMACアドレスとインタフェースの組み合わせが登録された状態になります。

これにより一度ループ状態を形成した後にループ状態を解消しても、誤登録により正しい送信先へ転送できない状況が継続します。本来のインタフェースからフレームを受信すると正常な状態に更新されますが、該当ホストからのフレーム受信が無い場合は、誤った登録状態が5分間程度継続します。

マルチキャスト通信

L2TPv3においては、データリンク層のマルチキャストフレームはブロードキャストフレームと同等に扱います。このためネットワーク層のプロトコル(IGMP やPIM 等)を使用した場合でもマルチキャストフレームを全拠点にブロードキャスト送信することにより、回線帯域を圧迫する恐れがあります。

フラッディングの発生

L2TPv3によるブリッジとして構成された装置は、イーサネットインタフェースに接続された機器のMAC アドレスを自動登録し、学習したMACアドレスに従い、該当L2TPv3トンネルや自身のポートへイーサネットフレームをブリッジ転送します。このとき、未登録のMACアドレスを宛先MACアドレスとするフレームは全拠点にフラッディング( = ブロードキャスト)されるため、使用形態によってはマルチキャスト通信と同様に回線帯域を圧迫する恐れがあります。

また、透過型のL2TPv3-VPNにおいてLAN側にVLAN装置を接続した場合、本装置はVLANタグを識別しないため、ブロードキャストフレーム/マルチキャストフレーム/フラッディングされたフレームは、VLANの接続状況によらず全拠点へブロードキャストされます。