NAT および PAT Windows クライアント用
L2TP-IPsec サポート
NAT および PAT Windows クライアント用 L2TP-IPsec サポート機能を使用すると、複数の Windows
クライアントを Layer 2 Tunneling Protocol（L2TP; レイヤ 2 トンネリング プロトコル）Network
Server（LNS; ネットワーク サーバ）に、IP Security（IPsec; IP セキュリティ）をイネーブルにし、
Windows クライアントと LNS 間に Network Address Translation（NAT; ネットワーク アドレス変換）
サーバまたは Port Address Translation（PAT; ポート アドレス変換）サーバを使用して、同時に接続で
きます。
現状では、IPsec をイネーブルにした状態で NAT サーバまたは PAT サーバを介して 1 台の Windows ク
ライアントを Cisco IOS LNS ルータに接続した後、別の Windows クライアントが同じ Cisco IOS LNS
ルータに接続すると、最初に接続したクライアントの接続が完全に終了してしまいます。NAT および
PAT Windows クライアント用 L2TP-IPsec サポート機能をイネーブルにすると、この環境で接続した
Windows クライアントの接続が確立され、接続が閉じられるまで維持されます。
NAT および PAT Windows クライアント用 L2TP-IPsec サポート機能の履歴
リリース
変更点
12.3(11)T4
12.4(1)
この機能が追加されました。
この機能は、リリース 12.4(1) に統合されました。
プラットフォーム、および Cisco IOS ソフトウェア イメージの各サポート情報を検索するには
Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco IOS ソフトウェア イメージ
の各サポート情報を検索できます。Cisco Feature Navigator には、
http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。アクセスには、Cisco.com の
アカウントが必要です。アカウントを持っていないか、ユーザ名またはパスワードが不明の場合は、ロ
グイン ダイアログボックスの [Cancel] をクリックし、表示される指示に従ってください。
この章の構成
• 「NAT および PAT Windows クライアント用 L2TP-IPsec サポートの前提条件」（P.2）
• 「NAT および PAT Windows クライアント用 L2TP-IPsec サポートの制約事項」（P.2）
• 「NAT および PAT Windows クライアント用 L2TP-IPsec サポートに関する情報」（P.2）
© 2007 Cisco Systems, Inc. All rights reserved.
Copyright © 2007–2010, シスコシステムズ合同会社 . All rights reserved.
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
NAT および PAT Windows クライアント用 L2TP-IPsec サポートの前提条件
• 「NAT および PAT Windows クライアント用 L2TP-IPsec サポートをイネーブルにする方法」（P.4）
• 「NAT および PAT Windows クライアント用 L2TP-IPsec サポートの設定例」（P.7）
• 「その他の参考資料」（P.9）
• 「コマンド リファレンス」（P.11）
NAT および PAT Windows クライアント用 L2TP-IPsec サ
ポートの前提条件
• Windows クライアントおよび Cisco IOS LNS ルータを使用し、IPsec がイネーブルになっており、
Windows クライアントと LNS ルータ間に NAT サーバまたは PAT サーバが使用されている環境が
ある。
• NAT および PAT Windows クライアント用 L2TP-IPsec サポート機能を持つ IPsec のバージョンを
所有している。
• Windows 2000 の概念と設定要件を理解している。
• Cisco IOS LNS ルータの概念と設定要件を理解している。
• NAT および PAT の概念と設定要件を理解している。
• IPsec の概念と設定要件を理解している。
• L2TP の概念と設定要件を理解している。
NAT および PAT Windows クライアント用 L2TP-IPsec サ
ポートの制約事項
• テストを実行したのは、ホットフィックス 818043 を実行している Windows 2000 L2TP/IPsec ク
ライアントだけ。
• ポート変換は標準のデフォルト動作ではない。ポート変換は、LNS ヘッダーのポート情報を変更
するため、標準の IPsec と互換性がない。
• L2TP を使用するために、クライアントに Microsoft DUN が設定されている必要がある。L2TP が
サポートされているのは Windows 2000 MS-DUN だけ（Windows 95、Windows 98、Windows
NT で未サポート）。
NAT および PAT Windows クライアント用 L2TP-IPsec サ
ポートに関する情報
NAT および PAT Windows クライアント用 L2TP-IPsec サポート機能を使用するには、次の概念を理解
しておく必要があります。
• 「NAT および PAT Windows クライアント用 L2TP-IPsec サポートの機能」（P.3）
2
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
NAT および PAT Windows クライアント用 L2TP-IPsec サポートに関する情報
NAT および PAT Windows クライアント用 L2TP-IPsec サポートの機能
NAT および PAT Windows クライアント用 L2TP-IPsec サポート機能が無効の状態では、IPsec がイ
ネーブルで、Windows クライアントと Cisco IOS LNS ルータ間に NAT サーバまたは PAT サーバがあ
る場合に、別の Windows クライアントが Cisco IOS LNS ルータに対して IPsec で保護された L2TP ト
ンネルを確立すると、それまで接続ができていた Windows クライアントの Cisco IOS LNS ルータへの
接続が失われます。
IPsec がイネーブルでないか、NAT サーバおよび PAT サーバを使用していない場合は、このコマンド
が無効であっても複数の Windows クライアントが LNS に接続できます。
NAT および PAT Windows クライアント用 L2TP-IPsec サポート機能がイネーブルでない場合
次に、NAT または PAT を実行しているルータを使用し、同じ Cisco IOS LNS ルータを介してエンド ホ
ストに接続しようとしている 2 台の Windows 2000 クライアントの例を図 1 に示します。IPsec はイ
ネーブルになっています。
図 1
複数の Windows 2000 クライアント、NAT ルータ、Cisco IOS LNS ルータとそれぞれの IP ア
ドレス
10.0.0.2
Windows 2000
ࠢ࡜ࠗࠕࡦ࠻ #1 10.0.0.1
209.265.200.232
ౝㇱ
ᄖㇱ
NAT
㧔߹ߚߪ PAT㧕
ࠍታⴕߔࠆ࡞࡯࠲
10.0.0.3
Windows 2000
ࠢ࡜ࠗࠕࡦ࠻ #2
209.265.200.231
Cisco IOS ࠛࡦ࠼ ࡎࠬ࠻
LNS ࡞࡯࠲
135045
（注）
Windows 2000 クライアント #1 は、Cisco IOS LNS ルータに対し、IPsec で保護された L2TP トンネ
ルを確立しています。この Windows 2000 クライアントおよび Cisco IOS LNS ルータは、NAT を実行
しているルータが両者の間にあり、IPsec および NAT トラバーサル（NAT-T）がイネーブルになって
いることを認識します。Windows 2000 クライアントは、IPsec Security Association（SA; セキュリ
ティ アソシエーション）の確立を試みた後、10.0.0.2（自分のローカル アドレス）から
209.265.200.231（Cisco IOS LNS ルータのアドレス）へのトランスポート モードをプロキシありで要
求します（デフォルトで実行）。
ルータで稼動しているトランスポート モードの NAT が、すべての発信接続（10.0.0.2 を含む）をルー
タの外側の IP アドレス（209.265.200.232）に変換します。トラフィックはこのアドレスで入ってくる
ことになります。ただし、NAT は L2TP ポートの指定（1701）を変更できません。これは、IPsec 暗
号化エリアで保護されているためです。これで、ローカル アドレス 209.265.200.231、リモート アド
レス 209.265.200.232、リモート ポート 1701 が設定されました。トラフィックはすべて、トンネル
209.265.200.231、ポート 1701 と一致する Windows 2000 クライアント #1 に送信されます。
次に、Windows 2000 クライアント #2 が、同じくトランスポート モードで Cisco IOS LNS ルータに対
し、IPsec で保護された L2TP トンネルを確立します。続いて NAT が、再びすべての発信接続をルー
タの外側の IP アドレス（209.265.200.232）に変換しますが、L2TP ポートの指定（1701）は変更でき
ません。これによって、トラフィックはすべて、トンネル 209.265.200.231、ポート 1701 と一致する
3
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
NAT および PAT Windows クライアント用 L2TP-IPsec サポートをイネーブルにする方法
Windows 2000 クライアント #2 に送信されます。2 台目の Windows クライアントの接続によって、
Cisco IOS LNS ルータへの Windows クライアント #1 の接続は完全に終了しています（Windows クラ
イアント #1 がトラフィックを受信していないため）。
NAT および PAT Windows クライアント用 L2TP-IPsec サポート機能がイネーブルの場合
NAT および PAT Windows クライアント用 L2TP-IPsec サポート機能がイネーブルな場合は、IPsec は
復号化の後に L2TP ポートを変換できます。この機能を使うと、IPsec で別のホストからのトラフィッ
クを別のソース ポートにマップできます。これによって、L2TP は複数の Windows 2000 クライアント
へのトラフィックを区別できます。
したがって今回は、SA を作成すると、変換されたポートが SA に割り当てられます。このポートはク
ライアント固有です。そのクライアントによって SA が新しく作成されても、同じポートが使用されま
す。暗号化された要求が受信されて復号化されると、ソース ポートは標準値 1701 からクライアント固
有の値に変換されます。次に、変換されたポートが設定された要求が L2TP に転送されます。
図 1 の例に示すように、ポート変換がイネーブルになっていると、Windows 2000 クライアント #1 に
は変換されたポート番号 1024 が、Windows 2000 クライアント #2 には変換されたポート番号 1025 が
それぞれ割り当てられます。
L2TP が応答パケットを送信するとき、変換されたポート番号を使って宛先ポートへのパケットを作成
します。IPsec は宛先ポート番号を使い、パケットの暗号化に使用する SA を選択します。パケットを
暗号化する前に、IPsec は宛先ポート番号を Windows 2000 クライアントが標準で使用するポート番号
1701 に戻します。IPsec は、もとの宛先ポートが 1024 のときは Windows 2000 クライアント #1 への
SA を使い、もとの宛先ポートが 1025 のときは Windows 2000 クライアント #2 への SA を使って、パ
ケットを暗号化します。上記の方法ですべてのパケットが適切なクライアントに送信されるため、複数
の Windows クライアントが NAT サーバを使って同時に Cisco IOS LNS ルータに接続できるようにな
ります。
接続は次のいずれかが発生するまで維持されます。
• IPsec が接続を終了する。
• NAT デバイスまたは PAT デバイスがセッションを終了する。
• LNS がセッションを終了する。
• Windows クライアントがセッションを終了する。
NAT および PAT Windows クライアント用 L2TP-IPsec サ
ポートをイネーブルにする方法
ここでは、NAT/PAT ポート変換をイネーブルにする次の手順について説明します。
• 「L2TP-IPsec サポートのイネーブル化」（P.4）
L2TP-IPsec サポートのイネーブル化
次の作業により、IPsec がイネーブルで、複数の Windows クライアント、NAT サーバまたは PAT サー
バ、L2TP、Cisco IOS LNS ルータで構成される環境で、NAT および PAT Windows クライアント用
L2TP-IPsec サポートをイネーブルにします。
手順の概要
1. enable
4
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
NAT および PAT Windows クライアント用 L2TP-IPsec サポートをイネーブルにする方法
2. configure terminal
3. crypto map map-name seq-num [ipsec-isakmp]
または
crypto dynamic-map dynamic-map-name dynamic-seq-num
4. set nat demux
5. exit
6. exit
7. show crypto map [interface interface | tag map-name]
または
show crypto dynamic-map [tag map-name]
8. show crypto ipsec sa
5
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
NAT および PAT Windows クライアント用 L2TP-IPsec サポートをイネーブルにする方法
手順の詳細
コマンドまたはアクション
目的
ステップ 1 enable
特権 EXEC モードをイネーブルにします。
• プロンプトが表示されたら、パスワードを入力します。
例：
Router> enable
ステップ 2 configure terminal
グローバル コンフィギュレーション モードを開始します。
例：
Router# configure terminal
ステップ 3 crypto map map-name seq-num [ipsec-isakmp]
例：
Router(config)# crypto map STATIC_MAP 5
作成（または変更）するスタティック クリプト マップ エ
ントリに名前を付けて、クリプト マップ コンフィギュ
レーション モードを開始します。
または
crypto dynamic-map dynamic-map-name
dynamic-seq-num
例：
Router(config)# crypto dynamic-map DYNAMIC_MAP
10
ステップ 4 set nat demux
または
作成（または変更）するダイナミック クリプト マップ エ
ントリに名前を付けて、クリプト マップ コンフィギュ
レーション モードを開始します。
L2TP-IPsec サポートをイネーブルにします。
例：
Router(config-crypto-map)# set nat demux
ステップ 5 exit
クリプト マップ コンフィギュレーション モードを終了し、
グローバル コンフィギュレーション モードに戻ります。
例：
Router(config-crypto-map)# exit
ステップ 6 exit
グローバル コンフィギュレーション モードを終了し、特
権 EXEC モードに戻ります。
例：
Router(config)# exit
ステップ 7 show crypto map [interface interface | tag
map-name]
（任意）クリプト マップ コンフィギュレーションに関する
情報を表示します。
例：
Router# show crypto map
または
または
show crypto dynamic-map
[tag
map-name]
例：
Router# show crypto dynamic-map
6
（任意）ダイナミック クリプト マップ コンフィギュレー
ションに関する情報を表示します。
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
NAT および PAT Windows クライアント用 L2TP-IPsec サポートの設定例
コマンドまたはアクション
ステップ 8 show crypto ipsec sa
目的
（任意）現行の SA によって使用されている設定を表示しま
す。
例：
Router# show crypto ipsec sa
NAT および PAT Windows クライアント用 L2TP-IPsec サ
ポートの設定例
ここでは、次の設定例について説明します。
• 「ダイナミック マップ コンフィギュレーション：例」（P.7）
ダイナミック マップ コンフィギュレーション：例
次に、ダイナミック クリプト マップの NAT および PAT Windows クライアント用 L2TP-IPsec サポー
ト機能のイネーブル方法の例を示します。
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 72_LNS
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
!
aaa authentication ppp default local
aaa session-id common
ip subnet-zero
!
!
no ip cef
no ip domain lookup
ip domain name cisco.com
ip dhcp excluded-address 20.0.0.8
ip dhcp excluded-address 20.0.0.10
!
!
ip vrf VPN
rd 1:1
!
!Enable virtual private networking.
vpdn enable
vpdn ip udp ignore checksum
!
! Default L2TP VPDN group
vpdn-group L2TP
!
7
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
NAT および PAT Windows クライアント用 L2TP-IPsec サポートの設定例
!Enables the LNS to accept dial in requests; specifies L2TP as the tunneling
!protocol; specifies the number of the virtual templates used to clone
!virtual-access interfaces
accept-dialin
protocol l2tp
virtual-template 1
!Disables L2TP tunnel authentication.
no l2tp tunnel authentication
!
!
crypto keyring L2TP
pre-shared-key address 0.0.0.0 0.0.0.0 key *****
!
!Defines an Internet Key Exchange (IKE) policy and assigns priority 1.
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key cisco hostname w2k01
crypto isakmp keepalive 3600
!
crypto ipsec security-association lifetime seconds 600
!
!Defines a transform set.
crypto ipsec transform-set TS1 esp-3des esp-sha-hmac
mode transport
!
!Names the dynamic crypto map entry and enters crypto map configuration mode; Enables
!L2TP—IPSec support; Specifies which transform sets can be used with the crypto map
!entry
crypto dynamic-map DYN_MAP 10
set nat demux
set transform-set TS1!
!
crypto map CRYP_MAP 6000 ipsec-isakmp dynamic DYN_MAP
!
interface Loopback0
ip address 12.0.0.8 255.255.255.255
!
interface FastEthernet0/0
ip address 11.0.0.8 255.255.255.0
no ip route-cache
duplex full
speed 100
crypto map CRYP_MAP
!
interface FastEthernet0/1
ip address 20.0.0.8 255.255.255.0
duplex full
speed 100
!
interface FastEthernet2/0
ip address 172.19.192.138 255.255.255.0
duplex full
!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address pool POOL
ppp mtu adaptive
ppp authentication chap ms-chap
!
8
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
その他の参考資料
router ospf 1
log-adjacency-changes
redistribute static subnets
network 11.0.0.0 0.0.0.255 area 0
!
ip local pool POOL 20.0.0.100 20.0.0.110
ip classless
ip route 171.0.0.0 255.0.0.0 172.19.192.1
!
no ip http server
no ip http secure-server
!
!
control-plane
!
gatekeeper
shutdown!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
end
その他の参考資料
ここでは、NAT および PAT Windows クライアント用 L2TP-IPsec サポートの関連資料について説明し
ます。
関連資料
内容
IP セキュリティおよび暗号化
参照先
「Security for VPNs with IPsec」
規格
規格
タイトル
なし
–
MIB
MIB
MIB リンク
なし
選択したプラットフォーム、Cisco IOS ソフトウェア リリース、お
よび機能セットの MIB を検索してダウンロードする場合は、次の
URL にある Cisco MIB Locator を使用します。
http://www.cisco.com/go/mibs
9
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
その他の参考資料
RFC
RFC
タイトル
なし
–
シスコのテクニカル サポート
説明
リンク
Cisco Support Web サイトには、豊富なオンライン リ http://www.cisco.com/techsupport
ソースが提供されており、それらに含まれる資料や
ツールを利用して、トラブルシューティングやシスコ
製品およびテクノロジーに関する技術上の問題の解決
に役立てることができます。
以下を含むさまざまな作業にこの Web サイトが役立
ちます。
• テクニカル サポートを受ける
• ソフトウェアをダウンロードする
• セキュリティの脆弱性を報告する、またはシスコ
製品のセキュリティ問題に対する支援を受ける
• ツールおよびリソースへアクセスする
• Product Alert の受信登録
• Field Notice の受信登録
• Bug Toolkit を使用した既知の問題の検索
• Networking Professionals（NetPro）コミュニ
ティで、技術関連のディスカッションに参加する
• トレーニング リソースへアクセスする
• TAC Case Collection ツールを使用して、ハード
ウェアや設定、パフォーマンスに関する一般的な
問題をインタラクティブに特定および解決する
Japan テクニカル サポート Web サイトでは、
Technical Support Web サイト
（http://www.cisco.com/techsupport）の、利用頻度の
高いドキュメントを日本語で提供しています。Japan
テクニカル サポート Web サイトには、次の URL から
アクセスしてください。
http://www.cisco.com/jp/go/tac
10
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
コマンド リファレンス
コマンド リファレンス
次の新しいコマンドがこの機能に関連しています。このコマンドおよびこの機能で使用するその他のコ
マンドのコマンド ページを参照する場合は、『Cisco IOS Master Commands List』にアクセスしてくだ
さい。
• set nat demux
これらのコマンドの詳細については、『Cisco IOS Security Command Reference』
（http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_book.html）を参照してくださ
い。
Cisco IOS の全コマンドを参照する場合は、Command Lookup Tool
（http://tools.cisco.com/Support/CLILookup）にアクセスするか、または『Master Command List』を
参照してください。
CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco IronPort, the Cisco logo, Cisco Nurse Connect, Cisco Pulse,
Cisco SensorBase, Cisco StackPower, Cisco StadiumVision, Cisco TelePresence, Cisco Unified Computing System, Cisco WebEx, DCE,
Flip Channels, Flip for Good, Flip Mino, Flipshare (Design), Flip Ultra, Flip Video, Flip Video (Design), Instant Broadband, and Welcome
to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn, Cisco Capital, Cisco Capital (Design),
Cisco:Financed (Stylized), Cisco Store, Flip Gift Card, and One Million Acts of Green are service marks; and Access Registrar, Aironet,
AllTouch, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the
Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems, Cisco Systems Capital, the
Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, Continuum, EtherFast, EtherSwitch, Event Center, Explorer, Follow
Me Browsing, GainMaker, iLYNX, IOS, iPhone, IronPort, the IronPort logo, Laser Link, LightStream, Linksys, MeetingPlace,
MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, PCNow, PIX, PowerKEY, PowerPanels, PowerTV, PowerTV
(Design), PowerVu, Prisma, ProConnect, ROSA, SenderBase, SMARTnet, Spectrum Expert, StackWise, WebEx, and the WebEx logo are
registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries.
All other trademarks mentioned in this document or website are the property of their respective owners. The use of the word partner does
not imply a partnership relationship between Cisco and any other company. (0910R)
このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および
図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、
偶然の一致によるものです。
© 2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2009–2010, シスコシステムズ合同会社 .
All rights reserved.
11
NAT および PAT Windows クライアント用 L2TP-IPsec サポート
コマンド リファレンス
12