[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

access-list

モード: IPsecポリシーモード
カテゴリー: IPsec / IPsec基本設定

(config-ipsec-policy)# [no] access-list LISTNAME

対象IPsecポリシーにおける、IPsec処理の適用対象パケットを指定する。
no形式で実行した場合は適用対象パケットの指定を削除する。

IPsec処理の適用対象パケットはアクセスリストで指定する。このアクセスリストは、次の条件を満たす必要がある。

これらの条件を満たさないアクセスリストは存在しないものと見なされ、結果的に「IPsec処理対象なし」の指定になるため注意すること。

なお、アクセスリストでは柔軟なアドレス指定が可能だが、通常は次のようなシンプルな設定にすることを推奨する。

■ トンネルモードの場合

■ トランスポートモードの場合


パラメーター

LISTNAME アクセスリスト名


使用例

■ すべてのパケットをIPsecポリシーipsecvpnの適用対象とする。これがトンネルモードIPsecポリシーの基本設定。

*Router(config)# access-list ip extended ipsecany
*Router(config-acl-ip-ext)# permit ip any any
*Router(config-acl-ip-ext)# exit
*Router(config)# ipsec policy ipsecvpn
*Router(config-ipsec-policy)# access-list ipsecany

トンネルモードのIPsec VPNでは、トンネルインターフェースにルーティングされたパケットをIPsec処理する、すなわち、経路設定によって適用対象パケットを指定するのが基本なので、特別な理由がない限りアクセスリストは「すべて許可」に設定しておくのがよい。
送信元の制限は経路設定だけでは不可能だが、これはトンネルインターフェースにIPフィルターやIPv6フィルターを適用することで実現できる。
なお、「すべて許可」のアクセスリストを使うときは、local-idコマンド、remote-idコマンドで自装置側と対向装置側のサブネットアドレスを明示的に指定すること。

■ 自装置から対向装置へのIPパケットだけをIPsecポリシーethervpnの適用対象とする。トランスポートモードのIPsecポリシーでは、通常自装置と対向装置のアドレスをホストアドレスとして指定する。

*Router(config)# access-list ip extended etherip
*Router(config-acl-ip-ext)# permit ip host 10.1.1.1 host 10.2.2.2
*Router(config-acl-ip-ext)# exit
*Router(config)# ipsec policy ethervpn
*Router(config-ipsec-policy)# access-list etherip


注意・補足事項

■ IPsecポリシーが機能するためには本コマンドの設定が必須。

■ IPsecポリシーには拡張IPアクセスリスト1つと拡張IPv6アクセスリスト1つの合計2つを関連付けることができる。これにより、1つのIPsecポリシーでIPv4とIPv6の両方のトラフィックにIPsec処理を適用することが可能。

local-idコマンド、remote-idコマンドでIDを明示的に設定していない場合、IKEv1(ISAKMP)のフェーズ2ID、IKEv2のトラフィックセレクター(TS)は、アクセスリストで指定した始点アドレスと終点アドレスになる。anyの場合は「0.0.0.0/0」(IPv4)、「::/0」(IPv6)になる。


コマンドツリー

ipsec policy (グローバルコンフィグモード)
    |
    +- access-list(IPsecポリシーモード)


関連コマンド

access-list ip extended(list)(グローバルコンフィグモード)
access-list ipv6 extended(list)(グローバルコンフィグモード)
local-id(IPsecポリシーモード)
remote-id(IPsecポリシーモード)


(C) 2011 - 2014 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.E