tunnel mode ipsec
- モード
- インターフェースモード
- カテゴリー
- VPN / IPsec
構文
(config-if)# [no] tunnel mode ipsec {ipv4|ipv6}
コマンド説明
対象トンネルインターフェースの動作モードをIPsecに設定する。no形式で実行した場合は動作モードを未指定に戻す。
トンネルインターフェース作成直後の初期状態では動作モード未指定。
トンネルインターフェースを作成したら必ず本コマンドで動作モードを指定すること。
IPsecトンネルインターフェースの基本仕様および設定項目は下記のとおり。
- デリバリー(外側)プロトコル:IPv4、IPv6
- ペイロード(内側)プロトコル:IPv4、IPv6
- 上位層モジュール:IPv4、IPv6
- 必須設定パラメーター
- 外側始点IPv4/IPv6アドレス(tunnel sourceコマンド)
- 外側終点IPv4/IPv6アドレス(tunnel destinationコマンド)
- IPsecによる保護(tunnel protection ipsecコマンド)
※別途、ISAKMP事前共有鍵の設定が必要(crypto isakmp keyコマンド)
- 外側始点IPv4/IPv6アドレス(tunnel sourceコマンド)
- オプション設定パラメーター
- ISAKMP自装置ID(tunnel local nameコマンド)
- ISAKMP対向装置ID(tunnel remote nameコマンド)
- 保護対象パケット(トラフィックセレクター)のローカルアドレス(tunnel local selectorコマンド)
- 保護対象パケット(トラフィックセレクター)のリモートアドレス(tunnel remote selectorコマンド)
※IPv6 over IPv4 IPsecの場合はIPv6パケットを保護対象とするトラフィックセレクター、IPv4 over IPv6 IPsecの場合はIPv4パケットを保護対象とするトラフィックセレクターの設定が必要。
- ISAKMP自装置ID(tunnel local nameコマンド)
パラメーター
ipv4- IPsec over IPv4(IPv4 IPsec)トンネル。デリバリー(外側)プロトコルとしてIPv4を使う。対象トンネルインターフェースはIPv4、IPv6ルーティング両対応となり、IPv4アドレス(ip address)、IPv6アドレス(ipv6 address)を設定できる。本パラメーター指定時は、tunnel source/tunnel destinationコマンドでIPv4アドレスを指定する必要がある。
ipv6- IPsec over IPv6(IPv6 IPsec)トンネル。デリバリー(外側)プロトコルとしてIPv6を使う。この場合、対象トンネルインターフェースはIPv4、IPv6ルーティング両対応となり、IPv4アドレス(ip address)、IPv6アドレス(ipv6 address)を設定できる。本パラメーター指定時は、tunnel source/tunnel destinationコマンドでIPv6アドレスを指定する必要がある
使用例
トンネルインターフェースtunnel0を作成し、動作モードをIPsec over IPv4に設定する。awplus(config)# interface tunnel0 awplus(config-if)# tunnel mode ipsec ipv4
トンネルインターフェースtunnel1を作成し、動作モードをIPsec over IPv6に設定する。
awplus(config)# interface tunnel1 awplus(config-if)# tunnel mode ipsec ipv6
注意・補足事項
IPv4 IPsecトンネルインターフェース(tunnel mode ipsec ipv4)にIPv6アドレス(ipv6 address)を設定してIPv6 over IPv4 IPsec VPNを構築するときは、IPv6アドレスのトラフィックセレクター(tunnel local selector、tunnel remote selectorコマンド)を設定して、IPv6パケットを保護対象に指定すること。IPv4 IPsecトンネルインターフェースには、初期状態でIPv4パケットだけを保護対象とするトラフィックセレクター(ID 1、ローカルアドレス 0.0.0.0/0、リモートアドレス 0.0.0.0/0)が設定されているため、IPv6セレクターを明示的に設定しないとIPv6パケットを通すことができないので注意。
IPv6 IPsecトンネルインターフェース(tunnel mode ipsec ipv6)にIPv4アドレス(ip address)を設定してIPv4 over IPv6 IPsec VPNを構築するときは、IPv4アドレスのトラフィックセレクター(tunnel local selector、tunnel remote selectorコマンド)を設定して、IPv4パケットを保護対象に指定すること。
IPv6 IPsecトンネルインターフェースには、初期状態でIPv6パケットだけを保護対象とするトラフィックセレクター(ID 1、ローカルアドレス ::/0、リモートアドレス ::/0)が設定されているため、IPv4セレクターを明示的に設定しないとIPv4パケットを通すことができないので注意。