古河電工ネットワーク機器の総合ブランド ファイテルネット
L2TP/IPsecについての機能概要
| 2016年02月29日 | 初版 |
| 2016年06月30日 | 対応機器を追記 |
| 2016年10月28日 | 対応クライアントOSを追記 |
L2TP(Layer Two Tunneling Protocol)はRFC2661に記載されたVPN技術の一つです。
L2TPはPPPを用いた認証機能が備わっており、L2TPクライアントをユーザ単位で認証することが可能です。また、L2TP自体にはデータの暗号化機能は備わっておりませんが、IPsecと併用することでデータの暗号化を行うことが可能です。
FITELnet装置ではL2TP(version 2)単体での機能はサポートしておりません。
また、サーバ機能のみのサポートとなります。
※ 注意事項および制限事項も合わせてご覧ください。
| 対象機種 | ファームウェア |
|---|---|
| FITELnet F60 | V01.11(00) - |
| FITELnet F200 | V01.17(00) - |
| FITELnet F2200 | V01.02(00) - |
| 対応クライアントOS | OSバージョン |
|---|---|
| Android | 4.3 |
| 6.0 | |
| iOS | 7.0.4 |
| 8.1 | |
| 9.3.5 | |
| Windows | 7 |
| 8 | |
| 10 |
※ 上記のOSバージョンを搭載する全ての端末との接続を保証するものではありません。
FITELnet装置がサポートするL2TPコントロールメッセージは以下になります。
※コントロールメッセージの詳細はRFC2661を参照してください。
| コントロールメッセージの種類 | サポート動作 |
|---|---|
| SCCRQ(Start Control Connection Request) | 受信動作 |
| SCCRP(Start Control Connection Reply) | 送信動作 |
| SCCCN(Start Control Connection Connected) | 受信動作 |
| StopCCN(Stop Control Connection Notification) | 送信動作/受信動作 |
| ICRQ(Incoming Call Request) | 受信動作 |
| ICRP(Incoming Call Reply) | 送信動作 |
| ICCN(Incoming Call Connected) | 受信動作 |
| CDN(Call Disconnect Notify) | 送信動作/受信動作 |
| HELLO(Hello) | 送信動作/受信動作 |
L2TPコントロールメッセージには接続相手とネゴシエーションを行うパラメータ値を含んだAVPを持っています。FITELnet装置がサポートするAVPは以下になります。
| AVPの種類 | AVPの値 | 付与されるメッセージ | 備考 |
|---|---|---|---|
| Message Type | 0 | ALL Message | 受信時動作:セットされた値からコントロールメッセージの種類を判別します。 送信時動作:送信するコントロールメッセージに合った値をセットします。 |
| Result Code | 1 | StopCCN、CDN | L2TPの削除通知を行った理由が記載されています。 ※Result Codeの詳細はRFCを参照してください。 FITELnet装置の動作に影響を与えません。 |
| Protocol Version | 2 | SCCRQ、SCCRP | L2TPのバージョン、リビジョンがセットされています。 受信時動作:バージョンが1、リビジョンが0であるかチェックを行い、異なっていた場合L2TPのネゴシエーションを終了します。 送信時動作:バージョンを1、リビジョンを0でセットします。 |
| Framing Capability | 3 | SCCRQ、SCCRP | 受信時動作:FITELnet装置の動作に影響を与えません。 送信時動作:1(Synchronous)をセットします。 |
| Bearer Capability | 4 | SCCRQ、SCCRP | 受信時動作:FITELnet装置の動作に影響を与えません。 送信時動作:送信しません。 |
| Tie Breaker | 5 | SCCRQ | FITELnet装置の動作に影響を与えません。 |
| Firmware Revision | 6 | SCCRQ、SCCRP | 受信時動作:FITELnet装置の動作に影響を与えません。 送信時動作:送信しません。 |
| Hostname | 7 | SCCRQ、SCCRP | L2TPクライント、サーバのHost名がセットされています。 クライアント端末では設定で変更できない場合がありますのでFITELnet装置側の設定をクライアント端末に合わせる必要があります。 受信時動作:FITELnet装置のhostname remote設定に記載されたHost名と比較を行います。 hostname remote設定を行わないことでHost名の比較を行わずL2TPのネゴシエーションを進めることが可能です。 送信時動作:hostname local設定に記載されたHost名をセットします。 ※クライアント端末にサーバ側のHost名の設定項目がある場合 FITELnet装置で設定したhostname localのHost名を設定してください。 |
| Vendor Name | 8 | SCCRQ、SCCRP | L2TPクライアント、サーバのベンダー名がセットされています。 受信時動作:FITELnet装置の動作に影響を与えません。 送信時動作:Furukawa Electric をセットします。 |
| Assigned Tunnel ID | 9 | SCCRQ、SCCRP StopCCN |
L2TPヘッダに含まれるTunnel IDをクライアントとサーバは互いに通知し合います。 受信時動作:FITELnet装置が送信するL2TPパケットのL2TPヘッダに含まれるTunnel IDに受信したTunnel IDをセットします。 送信時動作:FITELnet装置内でランダムに生成したIDセットしたAVPをSCCRPに付与し、クライアント端末に送信を行います。 |
| Receive Window Size | 10 | SCCRQ、SCCRP | L2TPクライアント、サーバはお互いにL2TPコントロールメッセージのウィンドウサイズを通知し合います。受信したウィンドウサイズに記載されている値まで対向装置からL2TPの応答メッセージが来るのを待たずに送信することが可能です。 受信時動作:受信したウィンドウサイズに従って上記動作を行います。 送信時動作:ウィンドウサイズを16でセットしてクライアント端末に送信します。 |
| Challenge | 11 | SCCRQ、SCCRP | L2TPクライアント端末のCHAP認証を行う場合に本AVPが付与されます。 CHAP認証を行う場合はFITELnet装置にdigest typeの設定を行ってください。合わせてクライアント端末にFITELnet装置で設定したパスワードを設定してください。 ※アルゴリズムはMD5のみのサポートとなります。 |
| Q.931 Cause Code | 12 | CDN | 受信時動作:FITELnet装置の動作に影響を与えません。 送信時動作:送信しません。 |
| Challenge Response | 13 | SCCRP、SCCCN | Challenge AVPを受信した際の応答として本AVPが送信されます。 FITELnet装置からのChallengeに対し、クライアント端末が本AVPを送信を行い、FITELnet装置はAVPの内容が期待する値であれば認証が成功できたとしてL2TPのネゴシエーションを続けます。 |
| Assigned Session ID | 14 | ICRQ、ICRP OCRQ、OCRP CDN |
L2TPヘッダに含まれるSession IDをクライアントとサーバは互いに通知し合います。 受信時動作:FITELnet装置が送信するL2TPパケットのL2TPヘッダに含まれるSession IDに受信したSession IDをセットします。 送信時動作:FITELnet装置内でランダムに生成したID記載したAVPをSCCRPに付与し、クライアント端末に送信を行います。 |
| Call Serial Number | 15 | ICRQ、OCRP | FITELnet装置の動作に影響を与えません。 |
| Minimum BPS | 16 | OCRQ | 未サポート |
| Maximum BPS | 17 | OCRQ | 未サポート |
| Bearer Type | 18 | ICRQ、OCRQ | FITELnet装置の動作に影響を与えません。 |
| Framing Type | 19 | ICCN、OCRQ OCCN |
FITELnet装置の動作に影響を与えません。 |
| Called Number | 21 | ICRQ、OCRQ | FITELnet装置の動作に影響を与えません。 |
| Calling Number | 22 | ICRQ | FITELnet装置の動作に影響を与えません。 |
| Sub-Address | 23 | ICRQ、OCRQ | FITELnet装置の動作に影響を与えません。 |
| Tx Connect Speed | 24 | ICCN、OCCN | FITELnet装置の動作に影響を与えません。 |
| RX Connect Speed | 38 | ICCN、OCCN | FITELnet装置の動作に影響を与えません。 |
| Physical Channel ID | 25 | ICRQ、OCRP | FITELnet装置の動作に影響を与えません。 |
| Private Group ID | 37 | ICCN | FITELnet装置の動作に影響を与えません。 |
| Sequencing Required | 39 | ICCN、OCCN | FITELnet装置の動作に影響を与えません。 |
| Initial Received LCP CONFREQ | 26 | ICCN | FITELnet装置の動作に影響を与えません。 |
| Last Sent LCP CONFREQ | 27 | ICCN | FITELnet装置の動作に影響を与えません。 |
| Last Received LCP CONFREQ | 28 | ICCN | FITELnet装置の動作に影響を与えません。 |
| Proxy Authen Type | 29 | ICCN | 未サポート |
| Proxy Authen Name | 30 | ICCN | 未サポート |
| Proxy Authen Challenge | 31 | ICCN | 未サポート |
| Proxy Authen ID | 32 | ICCN | 未サポート |
| Proxy Authen Response | 33 | ICCN | 未サポート |
| Call Errors | 34 | WEN | 未サポート |
| ACCM | 35 | SLI | 未サポート |
| Random Vector | 36 | ALL Message | 未サポート |
FITELnet装置がサポートするPPPメッセージは以下になります。
| PPPメッセージの種類 | 参照RFC |
|---|---|
| LCP(Link Control Protocol) | RFC1661 |
| CHAP(Challenge Handshake Authentication Protocol) | RFC1994 |
| PAP(PPP Authentication Protocol) | RFC1334 |
| IPCP(Internet Protocol Control Protocol) | RFC1332 |
FITELnet装置がサポートするLCPパケットのメッセージとオプションは以下になります。
メッセージとオプションにはそれぞれ種類を表すタイプ値が存在します。
| メッセージの種類 | タイプ値 | 備考 |
|---|---|---|
| Configure-Request | 1 | |
| Configure-Ack | 2 | |
| Configure-Nak | 3 | |
| Configure-Reject | 4 | |
| Terminate-Request | 5 | |
| Terminate-Ack | 6 | |
| Code-Reject | 7 | FITELnet装置はサポートしていないコード値のLCPパケットを受信した際にクライアント端末に対しCode-Rejectの送信を行います。 |
| Protocol-Reject | 8 | FITELnet装置はサポートしていないPPPメッセージを受信した際にクライアント端末に対しProtocol-Rejectの送信を行います。 |
| Echo-Request | 9 | FITELnet装置のkeepalive設定で指定されたインターバル、再送回数に従ってクライアント端末に対しEcho-Requestの送信を行います。 |
| Echo-Reply | 10 | |
| Discard-Request | 11 |
| オプションの種類 | タイプ値 | 備考 |
|---|---|---|
| Maximum-Receive-Unit | 1 | 受信時動作:クライアント端末が指定したMRU値に合わせてFITELnet装置のMTUを変更する動作は未サポートです。 したがってクライアント端末のMRUに合わせてFITELnet装置のTunnel Interface設定にてMTU設定の調整を行ってください。 ※詳細は設定例を参照してください。 送信時動作:MRUを1400にセットします。 |
| Authentication-Protocol | 3 | FITELnet装置のppp authentication設定で指定された認証方式の値をセットし、相手に通知を行います。 |
| Quality-Protocol | 4 | |
| Magic-Number | 5 | |
| Protocol-Field-Compression | 7 | FITELnet装置ではProtocol-Fieldの圧縮は行いません。 Protocol-Fieldが圧縮されたパケットの受信は可能です。 |
| Address-and-Control-Field-Compression | 8 | FITELnet装置ではPPPメッセージのAddress-and-Control-Field-Compressionの圧縮は行いますが、ユーザデータのAddress-and-Control-Field-Compressionは圧縮を行いません。 |
FITELnet装置がサポートするCHAPパケットのメッセージは以下になります。
メッセージにはそれぞれ種類を表すタイプ値が存在します。
| メッセージの種類 | タイプ値 | 備考 |
|---|---|---|
| Challenge | 1 | |
| Response | 2 | |
| Success | 3 | |
| Failure | 4 | FITELnet装置は認証失敗と判断した際に送信します。 |
FITELnet装置がサポートするPAPパケットのメッセージは以下になります。
メッセージにはそれぞれ種類を表すタイプ値が存在します。
| メッセージの種類 | タイプ値 | 備考 |
|---|---|---|
| Challenge | 1 | |
| Response | 2 | |
| Success | 3 | |
| Failure | 4 | FITELnet装置は認証失敗と判断した際に送信します。 |
FITELnet装置がサポートするIPCPパケットのメッセージとオプションは以下になります。
メッセージとオプションにはそれぞれ種類を表すタイプ値が存在します。
| メッセージの種類 | タイプ値 | 備考 |
|---|---|---|
| Configure-Request | 1 | |
| Configure-Ack | 2 | |
| Configure-Nak | 3 | |
| Configure-Reject | 4 | FITELnet装置はサポートしていないオプションを受信するとConfigure-Rejectに該当オプションをセットしクライアント端末に送信します。 |
| オプションの種類 | タイプ値 | 備考 |
|---|---|---|
| IP-Address | 3 | クライアント端末が送信してきたConfigure-Requestの本オプションに対し、FITELnet装置のip local poolで設定されたアドレスプールから払い出し可能なアドレスをセットしConfigure-Nakとしてクライアント端末に送信します。 |
| Primary DNS Server Address | 129 | クライアント端末が送信してきたConfigure-Requestの本オプションに対し、FITELnet装置のdns設定に従ってプライマリDNSアドレスをセットしConfigure-Nakとしてクライアント端末に送信します。 |
| Secondary DNS Server Address | 131 | クライアント端末が送信してきたConfigure-Requestの本オプションに対し、FITELnet装置のdns設定に従ってセカンダリDNSアドレスをセットしConfigure-Nakとしてクライアント端末に送信します。 |
キープアライブのインターバル、再送回数はご使用する環境に応じて調整を行ってください。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2016