Recovery and restoration service:frontea online,corp.

Recovery and restoration service:frontea online,corp.

(6)コンフィグ:フレッツVPNワイドでVLANワイヤリング(L2TPv3)

昨日のデザインを元に、L2TPv3を使ったVPNのコンフィグの説明をします。設定の流れは、次の通りです。

  • 本店 Router Centre
    • PPPoEダイヤルインターフェイスを作成
    • ルーティングポートでダイヤル接続の設定
    • VPN用の認証クラスを定義
    • L2TPv3用の仮想ワイヤを定義
    • VLAN150に仮想ワイヤを接続
  • 拠点 Router Branch
    • (上記と同じ)
  • 本店 Switch Centre
    • VLAN150の追加
    • VLAN150用のDHCP設定

Routerは、設定項目・手順は一緒となります。違いは、PPPoEアカウント情報、ポート番号くらいです。

今回の設定では、拠点側端末のゲートウェイも本店側になります。そこで、今回は、端末側へのDHCPも一緒にSwitchにやってもらうことにします。

【PPPoEダイヤルインターフェイス】

今回利用する拠点間ネットワークはインターネットではなく、フレッツVPNワイドを利用します。フレッツVPNワイドは、インターフェースの接続はIP Unnumberedのようですので、まず、IP払出し資料を元に、ループバックインターフェースを作成します。

interface Loopback0
 ip address 192.160.100.(n) 255.255.255.255

(n)=拠点毎の払出しIP、今回は本店=1、拠点=2

次にUnnumberedインターフェイスを利用して、ダイヤラーを作成します。

interface Dialer1
 ip unnumbered Loopback0
 ip mtu 1454 (フレッツVPNのMTU設定)
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname (ユーザ名)
 ppp chap password (パスワード)

ユーザ名、パスワードをそれぞれの拠点毎に入力します。

【ルーティングポート設定】

次は、ルーティングポートにダイヤラーの設定を加えます。今回はどちらもフレッツ光ですので、WANインターフェイスはFastEtherとなりますが、機種によって(n)は確認してから入力します。

interface FastEthernet(n)
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1

【認証クラスの作成】

L2TPv3でのVPN接続に利用する認証方式を設定します。今回は簡単なパスワード認証のみとします。

l2tp-class L2TPv3_class
 authentication
 password (任意のパスワードA)

【仮想ワイヤの作成】

pseudowire-class L2TPv3_pwire
 encapsulation l2tpv3 (ワイヤリングをL2TPv3に指定)
 protocol l2tpv3 L2TPv3_class (認証クラスを指定)
 ip local interface Loopback0 (接点IPをループバックにする)

【仮想ワイヤの接続】

仮想ワイヤを利用するインターフェイス設定を行います。今回は、VLANインターフェイスで接続します。

設定できるインターフェイスとして、ルーティングポートもありますので、ルーティングポートのサブインターフェイスでL2TPv3接続すれば、Router内でのブリッジ構成もできそうなのですが、うまくできませんでした。

interface Vlan150
 description *** branch network ***
 no ip address
 ip tcp adjust-mss 1414 (TCP SYN パケットのMSS調整
 xconnect 192.168.100.(n) 150 encapsulation l2tpv3 pw-class L2TPv3_pwire

(n)は、それぞれのルータ設定で、対向側のIPアドレスとなります。また、ダイヤラーでMTUが制限されてますので、ここでもL2TPv3用にパケット調整をします。

ルータ内で Vlan150に流れるパケットのIPルーティングはしないですから、これでルータの設定は終了です。

【検証】

構内LAN接続ですと、あとはpingをたたいて、疎通試験すれば終われるくらいですが、VPNの場合は、通信が多層化されますので、単純なping疎通確認だけでは、万一障害があった場合に、よくわからないことになります。

そこで、中継ネットワークとのネットワーク接続、VPN接続、L2間の疎通確認など層ごとに確認をしてみます。

フレッツVPNへの接続確認

router centre#show pppoe session
     1 client session

Uniq ID  PPPoE  RemMAC          Port                  Source   VA         State
           SID  LocMAC                                         VA-st
    N/A  11000  xxxx.xxxx.xxxx  Fa0/0                 Di1      Vi2        UP    
                xxxx.xxxx.xxxx                                 UP

Source=Dialer1、Statue=UPということでPPPoEは接続できてます。RemoteMac/LocalMacでマックアドレスの確認ができます。

XCONNECTの接続確認

router centre#sh xconnect all
Legend: XC ST=Xconnect State, S1=Segment1 State, S2=Segment2 State
UP=Up, DN=Down, AD=Admin Down, IA=Inactive, NH=No Hardware
XC ST  Segment 1                         S1 Segment 2                         S2
------ --------------------------------- -- --------------------------------- --
UP     ac   Vl150 150(Eth VLAN)            UP l2tp 192.168.100.(n):15             UP

VLAN150で相手先にL2TP接続もできてることが確認できました。

L2トンネル状態

router centre#sh l2tun session
L2TP Session Information Total tunnels 1 sessions 1
LocID      RemID      TunID      Username, Intf/      State  Last Chg Uniq ID
                                 Vcid, Circuit
17000      64000      6000       150, Vl150:150          est    1d20h    16

L2トンネルもきちんと接続維持できているようですね。ここで、LocIDとRemIDは以外と重要な項目となります。

このIDですが、Cisco IOSでL2TPv3に関し、いくつかのマイナーバージョンがあるようです。

v12.4 under系ですと、ID管理が16bit幅で、v12.4 overで32bit幅になるようです。手元にあった別のルータv15.0系を利用してみましたら、IDビット幅の問題で、実はトンネルは貼れませんでした。

トンネル接続がうまくできず、RemID=0になる場合や、LocID=32bit幅値になるような場合は相互のIOSバージョンを確認してみると良いようです。

【センタスイッチ】

ここでは、まず拠点側の端末用の自動払出しができるようにDHCPサーバ設定を行います。留意点として、拠点側IP Phoneも本店の電話機として利用したいので、option 150 でTFTPサーバのIPアドレスにC1861のアドレスを追加しています。

ip dhcp excluded-address 192.168.150.1 192.168.150.95
ip dhcp pool branch
   network 192.168.150.0 255.255.255.0
   default-router 192.168.150.254
   dns-server 192.168.150.254
   option 150 ip 192.168.110.253 (VoiceルータIP)

続いて、Vlan150の設定です。このSwitchがゲートウェイになりますので、IPアドレスを指定します。また、DHCPサーバ情報を通知したいので、helper-addressを追加してます。

interface Vlan150
 description *** branch network ***
 ip address 192.168.150.254 255.255.255.0
 ip helper-address 192.168.150.254 (DHCPサーバ通知用)

あとは、Vlan150に配置した各端末への疎通試験、各端末側からの疎通やその他のネットワーク通信試験をして、問題がなければ、利用開始となります。

ここまでの設定で、拠点側、本店側間の基本的なネットワーク通信は可能となります。また、IP Phoneの利用も可能となります。

DLNAやストリーミングなどは、どうでしょうか?実は、これだけですと、複数のプロトコルを多重に利用するDLNAや、長大なパケットを連続的に処理するメディア系ネットワーク通信では、一部、正しく通信できないものもあります。

セグメントを超えるDLNA探索はどうするのかということも踏まえ、いずれこの話題も取り上げようと思いますが、このシリーズは、これで完とします。