• 締切済み

L2TPトンネルとGREトンネルについて

毎度お世話になります。 この度はトンネリングプロトコルについて皆様のお知恵を拝借したく。 今回、ある拠点間でトンネルをはろうと思っているのですが、L2トンネルの L2TPでカプセル化するか、L3トンネルのGREでカプセル化するかで悩んで います。 なぜ悩んでいるかというと両者の詳細がいまいち調べてもわからないのです。 今回やりたいことは2点です。 ・拠点間をトンネルで結ぶ(回線は閉鎖網) ・拠点間でダイナミックルーティングを使用する(今のところOSPFかEIGRP) ちなみに各トンネルを調べた限りでは下記の通りでした。 ・L2TP UDP ヘッダサイズがGREより小さい L2なのでプロトコルに依存しない ・GRE TCP ヘッダサイズがL2TPより大きい これだけ見るとUDPというのが気になりますが、L2TPのほうが メリットが大きいかと思います。 ダイナミックルーティングを使用するにあたり、両者の決定的な 違いや、ポイントがあれば教えてください。よろしくお願いします。

みんなの回答

  • kmrt
  • ベストアンサー率47% (43/91)
回答No.1

それほど詳しく解説できませんが 確かL2TPだとL2間のトンネルしか張れないので 動的ルーティングを利用の際、ルーティングテーブルの交換できても 実際の通信に関しては出来なかったような気が・・・ おそらくセグメントAとセグメントBをL2TPトンネル張ったとしても セグメントAの先にセグメントCがあったとしたらその通信が出来ない それに対しGREだとL3でのトンネルなのでOKって感じだったと思います。 そんな感じの理由で私は今まで動的ルーティング利用の際はGREトンネル利用しています。

関連するQ&A

  • コンバージェンスの早いルーティングProtocol

    CCNA勉強中の初心者です。調べても判らないので教えてください。 IGRP EIGRP OSPF RIP RIPv2 これらのルーティングプロトコルをコンバージェンスの早い順に並べるとどうなるのでしょうか?

  • IGPルーティングプロトコル 現場でよく使われているは何ですか?

    自律システム内のIPルーティングに使われる様々なIGPプロトコルがあることを知りました。(RIP、OSPF、IGRP、EIGRP、IS-IS、NLSPなど) ネットワーク・サーバ運用の分野で現場でよく使われているルーティングプロトコルはなんでしょうか? 仕様や現場、インフラ周りの環境などによっても様々だと思いますが、一般的な例を教えて頂ければありがたいです。

  • VPNのカプセル化とトンネリングについて

    VPNのカプセル化とトンネリングについて VPNのカプセル化とトンネリングについてよくわかりませんので質問します。 まず、VPNはイントラネットどうしの通信を行うために専用回線を使用せずにインターネットやIP網を使用して専用回線と同じように通信をしようとしていることはわかります。 そこで、転送データのヘッダに別のプロトコル?を設置するのですよね?これは一体何のためなのでしょうか? そして、暗号化してさらにカプセル化を行うといった内容をよく見るのですが、暗号化とカプセル化の違いがよくわかりません。別のプロトコルにしたからといってインターネット上にデータが流れるわけなのでいくらでもデータを盗聴できるような気がします。 カプセル化は一体何のために行っているかを詳しく知りたいです。 そして、トンネリングですが、よく企業間にトンネルを作るように他のユーザに盗聴されなくなるという風に書いているのですが、インターネットを流れている限り盗聴は当たり前のように行われていると思います。 なぜトンネリングすることによってデータの盗聴や改ざんを行えないようになるのかを知りたいです。 この2つについて質問したいと思います。 よろしくお願いします。

  • VPNのカプセル化とトンネリングについて

    VPNのカプセル化とトンネリングについて VPNのカプセル化とトンネリングについてよくわかりませんので質問します。 まず、VPNはイントラネットどうしの通信を行うために専用回線を使用せずにインターネットやIP網を使用して専用回線と同じように通信をしようとしていることはわかります。 そこで、転送データのヘッダに別のプロトコル?を設置するのですよね?これは一体何のためなのでしょうか? そして、暗号化してさらにカプセル化を行うといった内容をよく見るのですが、暗号化とカプセル化の違いがよくわかりません。別のプロトコルにしたからといってインターネット上にデータが流れるわけなのでいくらでもデータを盗聴できるような気がします。 カプセル化は一体何のために行っているかを詳しく知りたいです。 そして、トンネリングですが、よく企業間にトンネルを作るように他のユーザに盗聴されなくなるという風に書いているのですが、インターネットを流れている限り盗聴は当たり前のように行われていると思います。 なぜトンネリングすることによってデータの盗聴や改ざんを行えないようになるのかを知りたいです。 この2つについて質問したいと思います。 よろしくお願いします

  • RTX1200 L2TP/IPSec 見えない

    自宅のPCから、会社にある YAMAHA のルータ RTX1200 に L2TP/IPsec でVPN接続しようとしているのですが、 RTX1200のルータまでは接続できて、 RTX1200 へのpingは通るのですが、 その先のPCにpingが通らず、またtracert コマンドで確認しても RTX1200まではいくのですが、その先はタイムアウトします。 自宅PC ( IP : 192.168.0.51/24) (Win7 の標準のネットワーク接続でVPN設定)    |    |  [ルータ:NEC Aterm]    |    | ( INTERNET )    |    | WAN ( IP : DDNS )  [ルータ:NTT NXSM-4BRU-2]  udp 500,1701,4500 転送。 192.168.1.254    | LAN ( IP : 192.168.1.1/24)    |    | LAN2 ( IP : 192.168.1.254/24)  [ルータ:YAMAHA RTX1200]    | LAN1 ( IP : 192.168.11.1/24 )    | 会社PC ( IP : 192.168.11.100/24 ) RTX1200 CONFIG ファーム REV.10.1.48 ※テストのためフィルタを解除して全通し --------------------------------------------- ip route default gateway 192.168.1.1 ip route 192.168.1.0/24 gateway dhcp lan2 ip route 192.168.11.0/24 gateway dhcp lan1 tunnel 11 ip lan1 address 192.168.11.1/24 ip lan1 ospf area backbone ip lan1 proxyarp on ip lan1 secure filter in 1099 ip lan1 secure filter out 1099 ip lan2 address 192.168.1.254/24 ip lan2 rip send on version 2 ip lan2 ospf area backbone ip lan2 secure filter in 1099 ip lan2 secure filter out 1099 ip lan2 nat descriptor 1 ip lan2 proxyarp on pp disable all pp select anonymous pp bind tunnel11 pp auth request mschap-v2 pp auth username [user-id] [password] ppp ipcp ipaddress on ppp ipcp msext on ip pp remote address pool 192.168.11.51-192.168.11.59 ip pp mtu 1258 pp enable anonymous no tunnel enable all tunnel select 11 tunnel encapsulation l2tp ipsec tunnel 111 ipsec sa policy 111 11 esp aes-cbc sha-hmac ipsec ike keepalive use 11 off ipsec ike local address 11 192.168.11.1 ipsec ike nat-traversal 11 on ipsec ike pre-shared-key 11 text [公開キー] ipsec ike remote address 11 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 11 ip filter 1000 reject * * udp,tcp 135 * ip filter 1001 reject * * udp,tcp * 135 ip filter 1002 reject * * udp,tcp netbios_ns * ip filter 1003 reject * * udp,tcp * netbios_ns ip filter 1004 reject * * udp,tcp netbios_dgm * ip filter 1005 reject * * udp,tcp * netbios_dgm ip filter 1006 reject * * udp,tcp netbios_ssn * ip filter 1007 reject * * udp,tcp * netbios_ssn ip filter 1008 reject * * udp,tcp 445 * ip filter 1009 reject * * udp,tcp * 445 ip filter 1011 reject 192.168.11.0/24 * * * * ip filter 1012 reject * 192.168.11.0/24 * * * ip filter 1021 reject * * tcp * telnet ip filter 1022 reject * * udp * tftp ip filter 1030 pass * * icmp * * ip filter 1031 pass * * established * * ip filter 1032 pass * * tcp * ident ip filter 1033 pass * * tcp ftpdata * ip filter 1034 pass * * tcp,udp * domain ip filter 1035 pass * * udp domain * ip filter 1036 pass * * udp * ntp ip filter 1037 pass * * udp ntp * ip filter 1071 pass * * udp * 500 ip filter 1072 pass * * esp * * ip filter 1073 pass * * udp * 500 ip filter 1074 pass * * esp * * ip filter 1075 pass * * udp * 4500 ip filter 1076 pass * * udp * 4500 ip filter 1077 pass * * udp * 1701 ip filter 1078 pass * * udp * 1701 ip filter 1099 pass * * * * * ip filter 5000 reject * * * * * ip filter dynamic 10080 * * ftp ip filter dynamic 10081 * * domain ip filter dynamic 10082 * * www ip filter dynamic 10083 * * smtp ip filter dynamic 10084 * * pop3 ip filter dynamic 10098 * * tcp ip filter dynamic 10099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 any nat descriptor masquerade static 1 1 192.168.11.1 esp nat descriptor masquerade static 1 2 192.168.11.1 udp 500 nat descriptor masquerade static 1 3 192.168.11.1 udp 1701 nat descriptor masquerade static 1 4 192.168.11.1 udp 4500 rip use on ospf area backbone ipsec auto refresh on ipsec transport 1 111 udp 1701 syslog notice on syslog debug on tftp host any dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.100-192.168.11.179/24 dns server 192.168.1.1 l2tp service on

  • RTX1200とL2TPクライアントの設定について

    こんばんわ。 RTX1200とL2TPクライアントの設定について3点ほど教えていただければと思います。 1.tunnel select行の削除の方法について   普通は頭に「no」を付ければ削除できますが、設定が入っているtunnel select行の   削除はどうすれば良いでしょうか? 2-1.L2TPの設定に関しまして   今「http://jp.yamaha.com/products/network/solution/setup_rtx1200/」   を参考にして設定を行い、無事にスマートフォンからのL2TPが接続できたのですが   こちらのページに「※アドレス不定の複数のL2TPクライアントから接続を受け付ける   場合には、IPsec事前共有鍵が統一されている必要があります。」と記載されておりますが   どういうことでしょうか?   RemotoがAnyでL2TPクライアント情報A/B/Cと3つ設定する場合、その3つの事前共有鍵   を同じにすると言うことでしょうか? 2-2.L2TPの設定に関しまして tunnel select 1 tunnel select 2 tunnel select 3を使用して、事前共有鍵が違う物を3つ 作成しましたが、実際に使えるのが何故かtunnel select 1のみしか使えません。 事前共有鍵に使っている文字は3つとも、小文字8文字。 ------------------------------------------------------ pp select anonymous pp bind tunnel1 tunnel2 tunnel3 pp auth request (認証方式) pp auth username (PPPユーザー名1) (PPPパスワード1) pp auth username (PPPユーザー名2) (PPPパスワード2) pp auth username (PPPユーザー名3) (PPPパスワード3) ppp ipcp ipaddress on ppp ipcp msext on ip pp remote address pool 192.168.170.200-192.168.170.205 ip pp mtu 1258 pp enable anonymous ipsec transport 1 101 udp 1701 ipsec transport 2 102 udp 1701 ipsec transport 3 103 udp 1701 ipsec auto refresh on ----------------------------------------------------- とL2TP接続で使用するトンネルの設定3つ以外に関係しそうな設定は入力済みです。 他に原因として何が考えられますでしょうか? よろしくお願いいたします。

  • L2VPN

    「VPN内ではICMP、UDP、TCP、AppleTalk、IPX/SPXなど様々なプロトコルが使えます」 と説明されているVPNは、L2ネットワークという事ですか? 例えばcorega社の"VPNゲートウェイシステム"や、 NTT Communications社の"OCN-SMF"などは L2ネットワークを利用したVPNサービスといえますか? それと、L2トンネリングを行っていても、 結局はインターネットにデータを通してるという事に変わりないですか?

  • ルーティングプロトコルについて

    現在catalyst2960を利用しています。catalyst2960は、L2スイッチなのでOSPF等のルーティングプロトコルは設定できないのでしょうか。 また、L3スイッチ以上であれば設定できるとの認識で間違いないでしょうか。

  • VPN ポートの許可設定

    今wimaxのHWD15を使用しています。 下記説明のとおりポート開放をしようしたのですが、 UDPはできたのですがESPは項目がありませんでした。 これはルータを変えないとVPNできないのでしょうか。 ほかにやる方法はありますか? http://www.teradas.net/archives/11338/ この他、ルーター・ファイヤーウォールに以下プロトコル・ポートの許可設定が必要です。 UDP 1701(L2TPトンネル用) ESP(プロトコル番号 50)

  • 拠点間の同一セグメント

    ネットワークで離れた拠点間を同一セグメントで接続することを考えております。 構成としては、 192.168.1.0/24⇔L3SW⇔L3SW⇔IP-VPN⇔L3SW⇔192.168.1.0/24 のように 192.168.1.0/24 を2拠点で同一とすることです。 この時、図に記載した通り、 複数のL3SWとIP-VPNを経由することが条件となります。 →既存から存在する構成のため。 調べているとL2TP装置等を L3SWと192.168.1.0/24 の間におけば L2トンネルをはることで実現できるようにも考えておりますが、 L2TPの各事例をみていると 192.168.1.0/24 と 192.168.2.0/24 をつなぐ等、同一セグメントではなく、 別セグメントをつなぐ例ばかりが見受けらえれます。 質問のような構成はL2TPでは実現できないのでしょうか? よろしくお願いいたします。