tunnel remote selector
- モード
- インターフェースモード
- カテゴリー
- VPN / IPsec
構文
(config-if)# tunnel remote selector [<1-65535>] {A.B.C.D/M|X:X::X:X/M}
(config-if)# no tunnel remote selector [<1-65535>]
コマンド説明
IPsec保護(tunnel protection ipsec)が有効な対象トンネルインターフェースにおいて、保護対象とするパケットの終点アドレスを指定する。no形式で実行した場合は保護対象パケットの終点アドレス指定を削除する。
初期設定は、IPv4 IPsecトンネルインターフェース(tunnel mode ipsec ipv4)では「0.0.0.0/0」(すべてのIPv4アドレス)、IPv6 IPsecトンネルインターフェース(tunnel mode ipsec ipv6)では「::/0」(すべてのIPv6アドレス)。
IPsec保護が有効なインターフェースの初期設定では、該当インターフェースを通るすべてのIPv4またはIPv6パケットが保護されるが、tunnel local selectorコマンドとtunnel remote selectorコマンドで保護対象パケットの始点・終点アドレス範囲(トラフィックセレクター)を設定することにより、マッチするパケットだけを保護対象にできる。
また、IPv4 IPsecトンネルインターフェースでは、IPv6アドレスを保護対象とするトラフィックセレクターを明示的に設定することでIPv6 over IPv4 IPsecの実現が可能。同様に、IPv6 IPsecトンネルインターフェースでは、IPv4アドレスを保護対象とするトラフィックセレクターを明示的に設定することでIPv4 over IPv6 IPsecの実現が可能。
トンネルインターフェースにトラフィックセレクターを設定している場合、マッチしないパケットは破棄される。
パラメーター
<1-65535>- ID番号。省略時は1が使われる
A.B.C.D/M- 終点IPアドレスの範囲
X:X::X:X/M- 終点IPv6アドレスの範囲
使用例
トンネルインターフェースtunnel1において、192.168.10.0/24から192.168.20.0/24へのパケットだけをIPsecの保護対象とするトラフィックセレクターを設定する。AT-vFW-app(config)# interface tunnel1 AT-vFW-app(config-if)# tunnel local selector 192.168.10.0/24 AT-vFW-app(config-if)# tunnel remote selector 192.168.20.0/24
注意・補足事項
IPv4 IPsecトンネルインターフェース(tunnel mode ipsec ipv4)にIPv6アドレス(ipv6 address)を設定してIPv6 over IPv4 IPsec VPNを構築するときは、IPv6アドレスのトラフィックセレクター(tunnel local selector、tunnel remote selectorコマンド)を設定して、IPv6パケットを保護対象に指定すること。IPv4 IPsecトンネルインターフェースには、初期状態でIPv4パケットだけを保護対象とするトラフィックセレクター(ID 1、ローカルアドレス 0.0.0.0/0、リモートアドレス 0.0.0.0/0)が設定されているため、IPv6セレクターを明示的に設定しないとIPv6パケットを通すことができないので注意。
IPv6 IPsecトンネルインターフェース(tunnel mode ipsec ipv6)にIPv4アドレス(ip address)を設定してIPv4 over IPv6 IPsec VPNを構築するときは、IPv4アドレスのトラフィックセレクター(tunnel local selector、tunnel remote selectorコマンド)を設定して、IPv4パケットを保護対象に指定すること。
IPv6 IPsecトンネルインターフェースには、初期状態でIPv6パケットだけを保護対象とするトラフィックセレクター(ID 1、ローカルアドレス ::/0、リモートアドレス ::/0)が設定されているため、IPv4セレクターを明示的に設定しないとIPv4パケットを通すことができないので注意。