interface.l2tp[].ipv4

静的IPv4アドレスを使用してL2TPv3インタフェースを構成する場合のコンフィグパラメータ

L2TPv3インタフェース

L2TPv3プロトコルによりイーサネットフレームを転送する論理インタフェースです。

コンフィグパラメータ
interface.l2tp[]...
設定数とインタフェース名
1. 設定数とインタフェース名
機種 設定上限 インタフェース名
SEIL/X4 256個 l2tp0 - l2tp255
SEIL/x86 Ayame 256個 l2tp0 - l2tp255
SEILアプライアンスシリーズ CA10 256個 l2tp0 - l2tp255

コントロールコネクションの設定

キー バリュー
interface.l2tp[].ipv4.source
自分側のIPv4アドレス
制約事項:
省略不可
<IPv4address>
IPv4アドレス
interface.l2tp[].ipv4.destination
相手側のIPv4アドレス
制約事項:
省略不可
<IPv4address>
IPv4アドレス
interface.l2tp[].local-hostname
自分側のホスト名
制約事項:
省略不可
<String>
文字数 使用できない文字
1-32 ¥ "
interface.l2tp[].remote-hostname
相手側のホスト名
制約事項:
省略不可
<String>
文字数 使用できない文字
1-32 ¥ "
interface.l2tp[].local-router-id
自分側のルータID
制約事項:
省略不可
<IPv4address>
IPv4アドレス形式の文字列
  • 実際に使用するIPv4アドレスと一致する必要はありません。
interface.l2tp[].remote-router-id
相手側のルータID
制約事項:
省略不可
<IPv4address>
IPv4アドレス形式の文字列

セッションの設定

キー バリュー
interface.l2tp[].sharing-control-connection
他のインタフェースのコントロールコネクションを使用
none
使用しない
<Interface>
インタフェース名
  • l2tp[]
デフォルト値
none
interface.l2tp[].remote-end-id
セッションを識別するID
制約事項:
セッションを有効化する場合は必須
<String>
文字数 使用できない文字
1-16 ¥ "

オプションの設定

キー バリュー
interface.l2tp[].hello-interval
Helloパケットの送信
<Interval>
送信間隔
範囲 単位
1-3600
none
送信しない
デフォルト値
60
interface.l2tp[].retry
トンネル制御メッセージの再送回数
<Number>
範囲
1-99
デフォルト値
10
interface.l2tp[].cookie
cookieの使用
enable
有効化
disable
無効化
デフォルト値
disable
interface.l2tp[].password
トンネル接続時の認証パスワード
<String>
文字数 使用できない文字
1-16 ? ¥ "
interface.l2tp[].ipsec-preshared-key
IKEの事前共有鍵
<String>
文字数 使用できない文字
12-128 空白
設定する場合
暗号化する(IPsec/IKE)
設定しない場合
暗号化しない
注:
...sharing-control-connection を設定している場合は無視されます。
interface.l2tp[].ipsec-nat-traversal
IPsec NAT Traversalの使用
enable
有効化
  • アドレス書換を検知するとUDPによるカプセル化を適用します。
force
強制モードで有効化
  • アドレス書換の有無によらずUDPによるカプセル化を適用します。
デフォルト値
enable
注:
  • ESPパケットをUDPでカプセル化する必要がある場合に force を設定してください。
  • L2TPv3インタフェースはNATによるアドレス書換に未対応のため、IPsec NAT Traversalを使用する場合でもNATが適用されるネットワーク間で利用することはできません。
  • ...sharing-control-connection を設定している場合は無視されます。
interface.l2tp[].description
インタフェースの説明
ヒント:
用途等を把握しやすくするための文字列を設定できます。動作に影響しません。
<String>
文字数
0-64
interface.l2tp[].ipv4.tcp-mss
IPv4のTCP MSS調整
<Size>
TCP MSS値
範囲 単位
32-32767 Octet
none
調整しない
デフォルト値
none
interface.l2tp[].ipv6.tcp-mss
IPv6のTCP MSS調整
<Size>
TCP MSS値
範囲 単位
32-32767 Octet
none
調整しない
デフォルト値
none

IKEプロポーザルの設定

対向装置とパラメータのすり合わせが必要な場合に設定します。
注:
...sharing-control-connection を設定している場合は無視され、パラメータは共有元コントロールコネクションに依存します。
キー バリュー
interface.l2tp[].ike.proposal.phase1.encryption.[].algorithm
IKE Phase1プロポーザルに含める暗号アルゴリズム
設定上限
4個
<Keyword>
使用可能な暗号アルゴリズム
aes128, aes192, aes256, 3des, des
  • 未指定時はaes256, aes128, 3desをプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.l2tp[].ike.proposal.phase1.hash.[].algorithm
IKE Phase1プロポーザルに含めるハッシュアルゴリズム
設定上限
4個
<Keyword>
使用可能なハッシュアルゴリズム
sha1, sha256, sha384, sha512, md5
  • 未指定時はsha256, sha1をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.l2tp[].ike.proposal.phase1.dh-group
IKE Phase1プロポーザルに含めるISAKMP SAのDHグループ
<Keyword>
使用可能なDHグループ
modp1024, modp1536, modp2048, modp3072, modp4096, mopd6144, modp8192
デフォルト値
modp1536
interface.l2tp[].ike.proposal.phase1.lifetime
IKE Phase1プロポーザルに含めるISAKMP SAのライフタイム
<Time>
範囲 書式
1m-1440h [書式の詳細]
デフォルト値
24h
interface.l2tp[].ike.proposal.phase2.authentication.[].algorithm
IKE Phase2プロポーザルに含める認証アルゴリズム
設定上限
4個
<Keyword>
使用可能な認証アルゴリズム
hmac-sha512, hmac-sha384, hmac-sha256, hmac-sha1, hmac-md5
  • 未指定時はhmac-sha256, hmac-sha1をプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.l2tp[].ike.proposal.phase2.encryption.[].algorithm
IKE Phase2プロポーザルに含める暗号アルゴリズム
設定上限
4個
<Keyword>
使用可能な暗号アルゴリズム
aes128, aes192, aes256, 3des, des
  • 未指定時はaes256, aes128, 3desをプロポーザルに含めます。
  • 優先度はインデックス番号の昇順に従います。
interface.l2tp[].ike.proposal.phase2.pfs-group
IKE Phase2プロポーザルに含めるIPsec SAのPFSグループ
<Keyword>
使用可能なPFSグループ
modp1024, modp1536, modp2048, modp3072, modp4096, mopd6144, modp8192
interface.l2tp[].ike.proposal.phase2.lifetime-of-time
IKE Phase2プロポーザルに含めるIPsec SAのライフタイム
<Time>
範囲 書式
1m-1440h [書式の詳細]
デフォルト値
8h

コントロールコネクションの共有について

一組の装置間(一組のIPアドレス間)には複数のコントロールコネクション(トンネル)を設定できません。

一組の装置間に複数のセッション(データチャネル)を設定する場合は、2個目以降のセッションに...sharing-control-connection を設定し、1個目のセッションのコントロールコネクションを利用する必要があります。

IPsec/IKEによる暗号化は拠点間のIPアドレス(プロトコル番号115)に適用されるため、コントロールコネクションを共有するすべてのセッションの通信に適用されます。

2. コントロールコネクションを共有する設定パターン
設定項目 l2tp0 : 拠点A対Bの1個目 l2tp1 : 拠点A対Bの2個目 l2tp2 : 拠点A対Cの1個目 l2tp3 : 拠点A対Cの2個目
コントロールコネクションの設定 必要 不要(l2tp0を利用) 必要 不要(l2tp2を利用)
オプションの設定 任意 不要(l2tp0を利用) 任意 不要(l2tp2を利用)
セッション(データチャネル)の設定 必要 必要 必要 必要
コントロールコネクション共有の設定例 ...sharing-control-connection : none ...sharing-control-connection : l2tp0 ...sharing-control-connection : none ...sharing-control-connection : l2tp2

IKEのオプション設定

IKEの動作を調整する必要がある場合に設定します。IKEを使用するすべての機能に影響します。

キー バリュー
ike.auto-initiation
IKEセッションの自動始動
enable
有効化
disable
無効化
デフォルト値
enable
ike.nat-keepalive-interval
NAT-Traversal使用時にNATセッションを維持するためのキープアライブパケットの送信間隔
<Time>
範囲 単位
5-3600
none
キープアライブパケットを送信しない
デフォルト値
120
ike.dpd-interval
DPD使用時のDPDメッセージの送信間隔
<Time>
範囲 単位
1-3600
デフォルト値
20
ike.dpd-maxfail
セッション断とみなすDPDメッセージ無応答回数
<Number>
範囲 単位
1-20
デフォルト値
5
ike.phase1-timeout
IKE Phase1 のタイムアウト
<Time>
範囲 単位
1-86400
デフォルト値
30
ike.phase2-timeout
IKE Phase2 のタイムアウト
<Time>
範囲 単位
1-86400
デフォルト値
30
ike.retry
IKEパケットの再送回数
<Number>
範囲 単位
1-60
デフォルト値
5
ike.interval
IKEパケットの再送間隔
<Number>
範囲 単位
1-300
デフォルト値
10
ike.per-send
IKEパケットの送信個数
<Number>
範囲 単位
1-10
デフォルト値
1
ike.randomize-padding-value
IKEパケットのパディング値のランダム化
enable
有効化
disable
無効化
デフォルト値
enable
ike.randomize-padding-length
IKEパケットのパディング長のランダム化
enable
有効化
disable
無効化
デフォルト値
disable
ike.maximum-padding-length
IKEパケットのランダム化したパディング長の最大値
<Size>
範囲 単位
1-1500 Octet
デフォルト値
20
ike.exclusive-tail
IKEパケットのパディング末尾にパディング長を付加する
enable
有効化
disable
無効化
デフォルト値
enable
ike.strict-padding-byte-check
IKEパケットのパディング長の厳密な検査
enable
有効化
disable
無効化
デフォルト値
disable

Note

  • L2TPv3インタフェースのキーの設定が変更されると、下記の例外を除いてL2TPv3トンネル(セッション)を切断し再接続を試みます。
    TCP MSS値(tcp-mss)を変更した場合
    L2TPv3トンネルは維持し、TCP MSSの変更値が適用されます。
    IKE事前共有鍵(ipsec-preshared-key) を変更した場合
    L2TPv3トンネルは維持し、IPsec/IKEセッションを切断し再接続を試みます