NXR,WXRシリーズ

2-7. L2TPv3フィルタ設定

L2TPv3フィルタは、L2TPv3によりトンネリングされるフレームをXconnectインタフェース上、またはセッション上でフィルタリングする機能です。これによりMACアドレスやIPv4,IPv6,ARP,802.1Q,TCP/UDPなど、レイヤ2 からレイヤ4での詳細な指定が可能です。この設定例では、特定の端末からサーバへのアクセスは許可するが、それ以外の端末からのアクセスは破棄します。

【 構成図 】

• L2TPv3ファストフォワーディング機能を利用している場合、ファストフォワーディングエントリに登録済みのセッションに対しては、当該セッションが(タイムアウト等によって)エントリから消えるまでフィルタリングは適用されません。

【 設定データ 】

〔NXR_Aの設定〕

〔NXR_Bの設定〕

【 設定例 】

〔NXR_Aの設定〕

〔NXR_Bの設定〕

【 設定例解説 】

〔NXR_Aの設定〕

1. <ホスト名の設定>

ホスト名を設定します。

2. <LAN側(ethernet0)インタフェース設定>

ethernet0インタフェースのIPアドレスを設定します。

3. <スタティックルート設定>

デフォルトルートを設定します。

4. <IPアクセスリスト設定>

IPアクセスリスト名をppp0_inとし、NXR_AのWAN側IPアドレス10.10.10.1宛のL2TPパケット(プロトコル番号115)を許可します。
なお、このIPアクセスリスト設定はppp0インタフェース設定で登録します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングしたいインタフェースでの登録が必要になります。

5. <WAN側(ppp0)インタフェース設定>

ppp0インタフェースのIPアドレスを設定します。

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。また、IPアクセスリストppp0_inをinフィルタに適用します。そして、TCP MSSの調整機能をオート、ICMPリダイレクト機能を無効に設定します。

ISP接続用ユーザIDとパスワードを設定します。

6. <ethernet1インタフェース設定>

PPPoEクライアントとしてppp0インタフェースを使用できるように設定します。

7. <L2TPv3設定>

L2TPv3のホスト名としてnxraを設定します。また、ルータIDを設定します。

MACアドレス学習機能を有効にし、エージングタイムを設定します。また、Path MTU Discoveryを有効にします。

8. <L2TPv3トンネル設定>

L2TPv3トンネル1の説明としてNXR_Bを設定します。なお、NXR_BのWAN側IPアドレスが動的IPアドレスのため、リモートトンネルアドレスは設定しません。

NXR_BのL2TPv3ホスト名およびルータIDを設定します。そして、ベンダIDとしてietfを設定します。
(☞) L2TPv3のホスト名とルータIDはNXR_Bと同一の値を設定します。

9. <L2TPv3 Xconnect設定>

L2TPv3 Xconnect1の説明としてNXR_B、関連づけを行うL2TPv3トンネルとしてL2TPv3トンネル1を設定します。

Xconnectインタフェースとしてethernet0インタフェースおよびリモートエンドIDを設定します。また、TCP MSSの調整機能をオートに設定します。

10. <DNS設定>

DNSサービスを有効にします。

11. <ファストフォワーディングの有効化>

ファストフォワーディングおよびL2TPv3ファストフォワーディングを有効にします。

(☞) ファストフォワーディングおよびL2TPv3ファストフォワーディングの詳細および利用時の制約については、NXR,WXRシリーズのユーザーズガイド(CLI版)に記載されているファストフォワーディングの解説をご参照ください。

〔NXR_Bの設定〕

1. <ホスト名の設定>

ホスト名を設定します。

2. <L2TPv3フィルタ(Extended ACL)設定>

L2TPv3アクセスリスト名をarp_acl、拡張ACLをARPとします。そして、OPコードがRequest(ARP Request),送信元MACアドレス00:80:6D:XX:XX:00,送信元IPアドレス192.168.10.101,宛先IPアドレス192.168.10.100のフレームを許可します。

L2TPv3アクセスリスト名をip_acl、拡張ACLをIPとします。そして、送信元IPアドレス192.168.10.101,宛先IPアドレス192.168.10.100のフレームを許可します。

3. <L2TPv3フィルタ(Layer2 ACL)設定>

L2TPv3アクセスリスト名をl2_acl_arpとするLayer2ACLを設定します。そして、ethernet-typeをARPとする拡張ACL arp_aclを設定します。なお、arp_aclに一致しない場合、フレームを破棄します。

L2TPv3アクセスリスト名をl2_acl_ipとするLayer2ACLを設定します。そして、ethernet-typeをIPとする拡張ACL ip_aclを設定します。なお、ip_aclに一致しない場合、フレームを破棄します。

4. <L2TPv3フィルタ(Root ACL)設定>

L2TPv3アクセスリスト名をl2f-eth0_inとするRootACLを設定します。そして、Layer2ACLとしてl2_acl_arp,l2_acl_ipをそれぞれ設定します。なお、これらACLに一致しない場合、フレームを破棄します。

5. <LAN側(ethernet0)インタフェース設定>

ethernet0インタフェースのIPアドレスを設定します。

L2TPv3フィルタ(Root ACL)設定で設定したl2f-eth0_inをXconnectインタフェースのinフィルタに適用します。これによりXconnectインタフェースからセッション(本装置への入力)方向のフレームに対してL2TPv3フィルタによるチェックが行われます。
(☞) L2TPv3ファストフォワーディング機能を利用している場合、ファストフォワーディングエントリに登録済みのセッションに対しては、当該セッションが(タイムアウト等によって)エントリから消えるまでフィルタリングは適用されません。

6. <スタティックルート設定>

デフォルトルートを設定します。

7. <IPアクセスリスト設定>

IPアクセスリスト名をppp0_inとし、送信元がNXR_AのWAN側IPアドレス10.10.10.1のL2TPパケット(プロトコル番号115)を許可します。
なお、このIPアクセスリスト設定はppp0インタフェース設定で登録します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングしたいインタフェースでの登録が必要になります。

8. <WAN側(ppp0)インタフェース設定>

ppp0インタフェースのIPアドレスが動的IPアドレスの場合は、negotiatedを設定します。

IPマスカレード、ステートフルパケットインスペクションを有効に設定します。また、IPアクセスリストppp0_inをinフィルタに適用します。そして、TCP MSSの調整機能をオート、ICMPリダイレクト機能を無効に設定します。

ISP接続用ユーザIDとパスワードを設定します。

9. <ethernet1インタフェース設定>

PPPoEクライアントとしてppp0インタフェースを使用できるように設定します。

10. <L2TPv3設定>

L2TPv3のホスト名としてnxrbを設定します。また、ルータIDを設定します。

MACアドレス学習機能を有効にし、エージングタイムを設定します。また、Path MTU Discoveryを有効にします。

11. <L2TPv3トンネル設定>

L2TPv3トンネル1の説明としてNXR_A、リモートアドレスにNXR_AのWAN側IPアドレスを設定します。

NXR_AのL2TPv3ホスト名およびルータIDを設定します。そして、ベンダIDとしてietfを設定します。
(☞) L2TPv3のホスト名とルータIDはNXR_Aと同一の値を設定します。

12. <L2TPv3 Xconnect設定>

L2TPv3 Xconnect1の説明としてNXR_A、関連づけを行うL2TPv3トンネルとしてL2TPv3トンネル1を設定します。

Xconnectインタフェースとしてethernet0インタフェースおよびリモートエンドIDを設定します。また、リトライインターバルを設定します。そして、TCP MSSの調整機能をオートに設定します。

13. <DNS設定>

DNSサービスを有効にします。

14. <ファストフォワーディングの有効化>

ファストフォワーディングおよびL2TPv3ファストフォワーディングを有効にします。

【 端末の設定例 】

• 設定例show config形式サンプル(NXR_A)
• 設定例show config形式サンプル(NXR_B)