Cisco892で, "WANポート"を使わなければL2TP接続した両端の機器間でPing疎通できない

cheb0705 · ‎2018-10-25

お世話になります。

Cisco 892を2台使用してL2TPv3のトンネルリングをしています。

構成は添付図のようになっており、コンフィグは末尾に記載しております。

このとき、lan側のインターフェース（xconnectコマンドを入れるインターフェース）を、
Fa8にすれば、L2TPトンネル確立も確認できて、両端の端末（SW-AとSW-B）がPing疎通可能・OSPFネイバー確立可能です。
しかしFa0を使用した場合、L2TPトンネル確立は確認できますが、両端の端末のPing疎通・OSPFネイバー確立ができません。
L2TP over IPsecにした時も同じ状況でした。

ここで、Fa8はCisco892における"WANポート"扱いのインターフェースであり、Fa0は"lan側"扱いのVLAN対応のインターフェースです。

おそらく、初歩的な質問をしているかと思うのですが、これは仕様上当然のことなのでしょうか？

ルータにおけるレイヤ2扱いのポートは、L2TPv3のlan側に使用することはできないのでしょうか。それとも、設定の不足でしょうか。

知識不足により、調べてもはっきりしたことがわかりませんでした。設定の不足であれば、他にどのような設定を入れれば疎通可能となるか、ご教授いただけると大変助かります。

何卒よろしくお願い致します。

＊＊＊＊

■ show 結果

---------------------------------------------------------------------------

【Fa8を使用した場合】

Ro-B#show l2tun session
→
L2TP Session Information Total tunnels 1 sessions 1

LocID RemID TunID Username, Intf/ 　　　　　State Last Chg Uniq ID
　　　　　　　Vcid, Circuit
960760459 779325145 1368046460 1, Fa8 　　est 00:01:21 1

Ro-B#show xconnect all
→
Legend: XC ST=Xconnect State S1=Segment1 State S2=Segment2 State
UP=Up DN=Down AD=Admin Down IA=Inactive
SB=Standby RV=Recovering NH=No Hardware

XC ST Segment 1 S1 Segment 2 S2
------+---------------------------------+--+--------------------
UP ac Fa8(Ethernet) UP l2tp 1.1.1.1:1 UP

SW-A1#show ip os neighbor
→
Neighbor ID 　　Pri State Dead Time Address Interface
10.0.0.2 　　　　1 FULL/DR 00:00:38 10.0.0.2 FastEthernet1/0/11

SW-A1#ping 10.0.0.2
→
OK

---------------------------------------------------------------------------
【Fa8を使用した場合】

Ro-B#show l2tun session
→
L2TP Session Information Total tunnels 1 sessions 1

LocID RemID TunID Username, Intf/ 　　　　　　State Last Chg Uniq ID
　　　　　　Vcid, Circuit
3364470392 2416804548 2000326468 1, Fa0 　　est 00:01:01 4

Ro-B#show xconnect all
→
Legend: XC ST=Xconnect State S1=Segment1 State S2=Segment2 State
UP=Up DN=Down AD=Admin Down IA=Inactive
SB=Standby RV=Recovering NH=No Hardware

XC ST Segment 1 S1 Segment 2 S2
------+---------------------------------+--+---------------
UP ac Fa0(Ethernet) UP l2tp 1.1.1.1:1 UP

SW-A1#show ip os nei
→
出力なし

SW-A1#ping 10.0.0.2
→
NG

---------------------------------------------------------------------------

どちらの場合でも、L2TPトンネルまでは確立できているという認識でいます。

そのうえで、Fa8を使用した場合だけ、両端のSW-AとSW-Bが疎通をとれています。

■機器情報
ルーター
CISCO892-K9

ios:
C890-UNIVERSALK9-M
Version 15.1(4)M4

■コンフィグ（一部略）

---------------------------------------------------------------------------
【Fa8使用】

Ro-A
!
pseudowire-class L2TP-T
encapsulation l2tpv3
ip local interface Loopback0
!

interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet0
no ip address
shutdown
no keepalive
no cdp enable
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
!
interface FastEthernet5
no ip address
!
interface FastEthernet6
no ip address
!
interface FastEthernet7
no ip address
!
interface FastEthernet8
no ip address
duplex auto
speed auto
xconnect 2.2.2.2 1 encapsulation l2tpv3 pw-class L2TP-T
!
interface GigabitEthernet0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface Vlan1
no ip address
!
router ospf 1
network 1.1.1.1 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
!

Ro-B
!
pseudowire-class L2TP-T
encapsulation l2tpv3
ip local interface Loopback0
!

!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet0
no ip address
shutdown
no keepalive
no cdp enable
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
!
interface FastEthernet5
no ip address
!
interface FastEthernet6
no ip address
!
interface FastEthernet7
no ip address
!
interface FastEthernet8
no ip address
duplex auto
speed auto
xconnect 1.1.1.1 1 encapsulation l2tpv3 pw-class L2TP-T
!
interface GigabitEthernet0
ip address 192.168.1.2 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip address
!
router ospf 1
network 2.2.2.2 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
!

---------------------------------------------------------------------------
【Fa0使用】

Ro-A

interface FastEthernet0
no ip address
no cdp enable
xconnect 2.2.2.2 1 encapsulation l2tpv3 pw-class L2TP-T
!
interface FastEthernet8
no ip address
shutdown
duplex auto
speed auto
no keepalive
!

Ro-B
interface FastEthernet0
no ip address
no cdp enable
xconnect 1.1.1.1 1 encapsulation l2tpv3 pw-class L2TP-T
!
interface FastEthernet8
no ip address
duplex auto
speed auto
no keepalive
!
※この部分以外はFa8使用時と同じです。

---------------------------------------------------------------------------

SW-A
!
ip routing
!
interface FastEthernet1/0/11
no switch
ip address 10.0.0.1 255.255.255.0
!
router ospf 1
network 10.0.0.0 0.0.0.255 area 0

SW-B
!
ip routing
!
interface FastEthernet1/0/11
no switch
ip address 10.0.0.2 255.255.255.0

!
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
!

※以下のようなことを試しても、L2TP確立まではできるが結果は同じ、という状態でした。

・loopbackの代わりにGE0を使う（pseudowire-classでのset文やxconnectコマンド等での指定等）

・SW-AとBのfa1/0/11をswitchportにし、SVIでの疎通を試みる

＊＊＊＊

Ryota Takao · ‎2018-10-25

lan interface(switchport) に xconnect を設定することはサポートされておりません。WAN の interface をご使用ください。

cheb0705 · ‎2018-10-26

Ryota Takao様

ご返信ありがとうございます。

lan interface(switchport) に xconnect を設定することはサポートされておりません。WAN の interface をご使用ください。

そうだったのですか……。

色々と試しても不可だったので、もしかしたらとは思っていたのですが。

もしよろしければ、そのようなことが書いてあるCisco公式のページなどがございましたら教えていただけないでしょうか。
Ciscoの英語のページを辿ってみているのですが、恥ずかしながら、情報をうまく探すことができずにおります…。

大変恐縮ですが

何卒よろしくお願い致します。

cheb0705 · ‎2018-10-29

下記URLによると、lan側ポートでもxconnect設定可能という旨の回答があります。

https://community.cisco.com/t5/%E3%82%A8%E3%82%AD%E3%82%B9%E3%83%91%E3%83%BC%E3%83%88%E3%81%AB%E8%B3%AA%E5%95%8F/wan-%E3%83%AB%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6-ask-the-expert/td-p/2463292

３．xconnectコマンドはFa0/1のようなルーテッドポートでしか設定できないのでしょうか？（SWポートやSVIでも可能？）

上記の設定については、可能となっております。

できる、できないについて、明確な根拠をお持ちの方がいらっしゃいましたら、教えていただけないでしょうか。

よろしくお願い致します。

Ryota Takao · ‎2018-10-30

https://community.cisco.com/t5/%E3%82%A8%E3%82%AD%E3%82%B9%E3%83%91%E3%83%BC%E3%83%88%E3%81%AB%E8%B3%AA%E5%95%8F/wan-%E3%83%AB%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6-ask-the-expert/td-p/2463292

参照先の回答については誤りでしたので、修正してもらいました。

cheb0705 · ‎2018-10-30

Ryota Takao様

ご返信ありがとうございます。

回答の修正、確認致しました。

lanポートでは設定できない、ということで間違いないということですね。

確かに、当方の検証でもlanポートではうまく動作させることができませんでした。また、SVIではxconnectコマンド自体がサポートされていませんでした。

なにかしら別の方法を検討したいと思います。

お付き合いいただき、誠にありがとうございました。