(6)コンフィグ:フレッツVPNワイドでVLANワイヤリング(L2TPv3) お知らせ » エンジニアリング FOLレター FOLニュース Recovery ... 昨日のデザインを元に、L2TPv3を使ったVPNのコンフィグの説明をします。設定の流れは、次の通りです。本店 Router CentrePPPoEダイヤルインターフェイスを作成ルーティングポートでダイヤル接続の設定VPN用の認証クラスを定義L2TPv3用の仮想ワイヤを定義VLAN150に仮想ワイヤを接続拠点 Router Branch(上記と同じ)本店 Switch CentreVLAN150の追加VLAN150用のDHCP設定Routerは、設定項目・手順は一緒となります。違いは、PPPoEアカウント情報、ポート番号くらいです。 今回の設定では、拠点側端末のゲートウェイも本店側になります。そこで、今回は、端末側へのDHCPも一緒にSwitchにやってもらうことにします。【PPPoEダイヤルインターフェイス】今回利用する拠点間ネットワークはインターネットではなく、フレッツVPNワイドを利用します。フレッツVPNワイドは、インターフェースの接続はIP Unnumberedのようですので、まず、IP払出し資料を元に、ループバックインターフェースを作成します。interface Loopback0 ip address 192.160.100.(n) 255.255.255.255(n)=拠点毎の払出しIP、今回は本店=1、拠点=2次にUnnumberedインターフェイスを利用して、ダイヤラーを作成します。interface Dialer1 ip unnumbered Loopback0 ip mtu 1454 (フレッツVPNのMTU設定) encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname (ユーザ名) ppp chap password (パスワード)ユーザ名、パスワードをそれぞれの拠点毎に入力します。【ルーティングポート設定】次は、ルーティングポートにダイヤラーの設定を加えます。今回はどちらもフレッツ光ですので、WANインターフェイスはFastEtherとなりますが、機種によって(n)は確認してから入力します。interface FastEthernet(n) no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1【認証クラスの作成】L2TPv3でのVPN接続に利用する認証方式を設定します。今回は簡単なパスワード認証のみとします。l2tp-class L2TPv3_class authentication password (任意のパスワードA)【仮想ワイヤの作成】pseudowire-class L2TPv3_pwire encapsulation l2tpv3 (ワイヤリングをL2TPv3に指定) protocol l2tpv3 L2TPv3_class (認証クラスを指定) ip local interface Loopback0 (接点IPをループバックにする)【仮想ワイヤの接続】仮想ワイヤを利用するインターフェイス設定を行います。今回は、VLANインターフェイスで接続します。 設定できるインターフェイスとして、ルーティングポートもありますので、ルーティングポートのサブインターフェイスでL2TPv3接続すれば、Router内でのブリッジ構成もできそうなのですが、うまくできませんでした。interface Vlan150 description *** branch network *** no ip address ip tcp adjust-mss 1414 (TCP SYN パケットのMSS調整 xconnect 192.168.100.(n) 150 encapsulation l2tpv3 pw-class L2TPv3_pwire(n)は、それぞれのルータ設定で、対向側のIPアドレスとなります。また、ダイヤラーでMTUが制限されてますので、ここでもL2TPv3用にパケット調整をします。 ルータ内で Vlan150に流れるパケットのIPルーティングはしないですから、これでルータの設定は終了です。【検証】構内LAN接続ですと、あとはpingをたたいて、疎通試験すれば終われるくらいですが、VPNの場合は、通信が多層化されますので、単純なping疎通確認だけでは、万一障害があった場合に、よくわからないことになります。 そこで、中継ネットワークとのネットワーク接続、VPN接続、L2間の疎通確認など層ごとに確認をしてみます。フレッツVPNへの接続確認router centre#show pppoe session 1 client sessionUniq ID PPPoE RemMAC Port Source VA State SID LocMAC VA-st N/A 11000 xxxx.xxxx.xxxx Fa0/0 Di1 Vi2 UP xxxx.xxxx.xxxx UPSource=Dialer1、Statue=UPということでPPPoEは接続できてます。RemoteMac/LocalMacでマックアドレスの確認ができます。XCONNECTの接続確認router centre#sh xconnect allLegend: XC ST=Xconnect State, S1=Segment1 State, S2=Segment2 StateUP=Up, DN=Down, AD=Admin Down, IA=Inactive, NH=No HardwareXC ST Segment 1 S1 Segment 2 S2------ --------------------------------- -- --------------------------------- --UP ac Vl150 150(Eth VLAN) UP l2tp 192.168.100.(n):15 UPVLAN150で相手先にL2TP接続もできてることが確認できました。L2トンネル状態router centre#sh l2tun sessionL2TP Session Information Total tunnels 1 sessions 1LocID RemID TunID Username, Intf/ State Last Chg Uniq ID Vcid, Circuit17000 64000 6000 150, Vl150:150 est 1d20h 16L2トンネルもきちんと接続維持できているようですね。ここで、LocIDとRemIDは以外と重要な項目となります。 このIDですが、Cisco IOSでL2TPv3に関し、いくつかのマイナーバージョンがあるようです。 v12.4 under系ですと、ID管理が16bit幅で、v12.4 overで32bit幅になるようです。手元にあった別のルータv15.0系を利用してみましたら、IDビット幅の問題で、実はトンネルは貼れませんでした。 トンネル接続がうまくできず、RemID=0になる場合や、LocID=32bit幅値になるような場合は相互のIOSバージョンを確認してみると良いようです。【センタスイッチ】ここでは、まず拠点側の端末用の自動払出しができるようにDHCPサーバ設定を行います。留意点として、拠点側IP Phoneも本店の電話機として利用したいので、option 150 でTFTPサーバのIPアドレスにC1861のアドレスを追加しています。ip dhcp excluded-address 192.168.150.1 192.168.150.95ip dhcp pool branch network 192.168.150.0 255.255.255.0 default-router 192.168.150.254 dns-server 192.168.150.254 option 150 ip 192.168.110.253 (VoiceルータIP)続いて、Vlan150の設定です。このSwitchがゲートウェイになりますので、IPアドレスを指定します。また、DHCPサーバ情報を通知したいので、helper-addressを追加してます。interface Vlan150 description *** branch network *** ip address 192.168.150.254 255.255.255.0 ip helper-address 192.168.150.254 (DHCPサーバ通知用)あとは、Vlan150に配置した各端末への疎通試験、各端末側からの疎通やその他のネットワーク通信試験をして、問題がなければ、利用開始となります。 ここまでの設定で、拠点側、本店側間の基本的なネットワーク通信は可能となります。また、IP Phoneの利用も可能となります。 DLNAやストリーミングなどは、どうでしょうか?実は、これだけですと、複数のプロトコルを多重に利用するDLNAや、長大なパケットを連続的に処理するメディア系ネットワーク通信では、一部、正しく通信できないものもあります。 セグメントを超えるDLNA探索はどうするのかということも踏まえ、いずれこの話題も取り上げようと思いますが、このシリーズは、これで完とします。 (2021の1)Skype f... (5)デザイン:フレッツVPN...