遠隔拠点をレイヤ2で繋ぐメリット

例えば、本社とデータセンタをレイヤ2で接続しておくと、本社とデータセンタで同じIPセグメントを使うことができます。

例えば、本社のバックアップシステムがデータセンタにあるとして、本社のシステムに障害が発生した場合、同じセグメント内にバックアップシステムがあれば、さほど手間と時間をかけることなくバックアップシステムに切り替えた上での業務継続が可能です。

Cisco892でのL2TPv3 over IPSEC

CiscoのエントリモデルでL2TP over IPSEC を構築しました。コンフィグの要所をご紹介します。

構成概要

  • 拠点A
    • 上位のルータとイーサネットで接続されている。
    • Cisco892はグローバルIPアドレスを固定で持っている。
    • 上位のルータをNATトラバーサルで通過する。
  • 拠点B
    • 上位のルータとはイーサネットで接続されている。
    • Cisco892は上位のルータからDHCPでIPアドレスを取得する。
    • 上位のルータはグローバルIPアドレス変動するため、拠点B側Cisco892がイニシエータとなり、アグレッシブモードでIPSEC接続する。
    • 上位のルータをNATトラバーサルで通過する。

コンフィグ例 / 拠点A ※要所のみ抜粋

pseudowire-class test-test-l2tpv3
encapsulation l2tpv3
ip local interface Loopback0
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key test-test-ipsec hostname Kyoten-A
crypto isakmp keepalive 30 periodic
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
mode tunnel
!
!
crypto dynamic-map sa1-dynamic 10
set transform-set myset
set pfs group2
match address 100
!
!
crypto map sa1 1 ipsec-isakmp dynamic sa1-dynamic
!
!
interface Loopback0
ip address 192.168.254.251 255.255.255.255
!
interface GigabitEthernet8
crypto map sa1
!
interface GigabitEthernet9
no ip address
duplex auto
speed auto
xconnect 192.168.254.252 1 encapsulation l2tpv3 pw-class test-test-l2tpv3
!
!
access-list 100 permit ip host 192.168.254.251 host 192.168.254.252

コンフィグ例 / 拠点B ※要所のみ抜粋

pseudowire-class test-test-l2tpv3
encapsulation l2tpv3
ip local interface Loopback0
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key test-test-ipsec address xxx.xxx.xxx.xxx
crypto isakmp keepalive 30 periodic
!
crypto isakmp peer address xxx.xxx.xxx.xxx
set aggressive-mode password test-test-ipsec
set aggressive-mode client-endpoint fqdn Kyoten-B
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
mode tunnel
!
!
!
crypto map mymap 1 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set myset
set pfs group2
match address 100
!
!
interface Loopback0
ip address 192.168.254.252 255.255.255.255
!
interface GigabitEthernet8
ip address dhcp
crypto map mymap
!
interface GigabitEthernet9
no ip address
duplex auto
speed auto
xconnect 192.168.254.251 1 encapsulation l2tpv3 pw-class test-test-l2tpv3
!
!
access-list 100 permit ip host 192.168.254.252 host 192.168.254.251
!