tunnel local selector

モード: インターフェースモード
カテゴリー: VPN / IPsec


(config-if)# tunnel local selector [<1-65535>] {A.B.C.D/M|X:X::X:X/M}

(config-if)# no tunnel local selector [<1-65535>]


IPsec保護(tunnel protection ipsec)が有効な対象トンネルインターフェースにおいて、保護対象とするパケットの始点アドレスを指定する。
no形式で実行した場合は保護対象パケットの始点アドレス指定を削除する。
初期設定は、IPv4 IPsecトンネルインターフェース(tunnel mode ipsec ipv4)では「0.0.0.0/0」(すべてのIPv4アドレス)、IPv6 IPsecトンネルインターフェース(tunnel mode ipsec ipv6)では「::/0」(すべてのIPv6アドレス)。

IPsec保護が有効なインターフェースの初期設定では、該当インターフェースを通るすべてのIPv4またはIPv6パケットが保護されるが、tunnel local selectorコマンドとtunnel remote selectorコマンドで保護対象パケットの始点・終点アドレス範囲(トラフィックセレクター)を設定することにより、マッチするパケットだけを保護対象にできる。
また、IPv6 IPsecトンネルインターフェースでは、IPv4アドレスを保護対象とするトラフィックセレクターを明示的に設定することでIPv4 over IPv6 IPsecの実現が可能。

トンネルインターフェースにトラフィックセレクターを設定している場合、マッチしないパケットは破棄される。


パラメーター

<1-65535> ID番号。省略時は1が使われる
A.B.C.D/M 始点IPアドレスの範囲
X:X::X:X/M 始点IPv6アドレスの範囲


使用例

■ トンネルインターフェースtunnel1において、192.168.10.0/24から192.168.20.0/24へのパケットだけをIPsecの保護対象とするトラフィックセレクターを設定する。

awplus(config)# interface tunnel1
awplus(config-if)# tunnel local selector 192.168.10.0/24
awplus(config-if)# tunnel remote selector 192.168.20.0/24


注意・補足事項

■ IPv6 IPsecトンネルインターフェース(tunnel mode ipsec ipv6)にIPv4アドレス(ip address)を設定してIPv4 over IPv6 IPsec VPNを構築するときは、IPv4アドレスのトラフィックセレクター(tunnel local selectortunnel remote selectorコマンド)を設定して、IPv4パケットを保護対象に指定すること。
IPv6 IPsecトンネルインターフェースには、初期状態でIPv6パケットだけを保護対象とするトラフィックセレクター(ID 1、ローカルアドレス ::/0、リモートアドレス ::/0)が設定されているため、IPv4セレクターを明示的に設定しないとIPv4パケットを通すことができないので注意。


コマンドツリー

interface (グローバルコンフィグモード)
    |
    +- tunnel local selector(インターフェースモード)

関連コマンド

show interface(非特権EXECモード)
tunnel mode ipsec(インターフェースモード)
tunnel protection ipsec(インターフェースモード)
tunnel remote selector(インターフェースモード)
tunnel selector paired(インターフェースモード)



(C) 2019 アライドテレシスホールディングス株式会社

PN: 613-002735 Rev.C