IPsecのセレクタ情報を定義します。
refreshコマンド後に有効になるコマンドです。
IKEv1/IKEv2共通コマンド
Router(config)#ipsec access-list 1 ipsec ip any any
Router(config)#ipsec access-list 1 ipsec ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
Router(config)#ipsec access-list 1 ipsec tcp any any
Router(config)#ipsec access-list 64 bypass ip any any
bypassでlocal指定する場合、下記のようにcrypto mapを設定して、明示的にインタフェースとの紐付けを行う必要があります。
なお、local指定の場合、1つのcrypto mapを複数のインタフェースに紐付けることはできず(ipsec、bypass指定のどちらも)、インタフェースが異なる場合には、別のipsec access-listとcrypto mapにする必要があります。
Router(config)#ipsec access-list 61 bypass ip local any
Router(config)#ipsec access-list 62 bypass ip local any
Router(config)#
Router(config)#interface ewan 1
Router(config-if ewan 1)# crypto map bypass-1
Router(config-if ewan 1)# ip address 192.168.1.254 255.255.255.0
Router(config-if ewan 1)#exit
Router(config)#
Router(config)#interface ewan 2
Router(config-if ewan 1)# crypto map bypass-2
Router(config-if ewan 1)# ip address 192.168.2.254 255.255.255.0
Router(config-if ewan 1)#exit
Router(config)#
Router(config)#crypto map bypass-1 61
Router(config-crypto-map)# match address 61
Router(config-crypto-map)#exit
Router(config)#crypto map bypass-2 62
Router(config-crypto-map)# match address 62
Router(config-crypto-map)#exit
ipsec access-list <ipsec-access-list番号> { ipsec | bypass | discard } <プロトコル番号> { any | local | host <送信元IPアドレス> | <送信元IPアドレス> <送信元Wildcardマスク> } [eq <TCPポート番号>] [eq <UDPポート番号>] { any | peer | host <宛先IPアドレス> | <宛先IPアドレス> <宛先Wildcardマスク> } [eq <TCPポート番号>] [eq <UDPポート番号>]
パラメータ 設定内容 設定範囲 省略時の値 ipsec-access-list番号 それぞれの属性の番号を指定します。また、この番号は、VPNセレクタの優先度としても使用されます(数字が小さいほど優先度が高い) 1〜2000※ 省略不可 ipsec | bypass | discard 暗号化対象とするか、透過(bypass)対象とするか、廃棄対象とするかを指定します。
ipsec 暗号化対象とする bypass 透過対象とする discard 廃棄対象とする ipsec
bypass
discard省略不可 プロトコル番号 プロトコル名もしくは、プロトコル番号を選択します。
icmp ICMP ip IP tcp TCP udp UDP 0〜255 プロトコル番号を指定 icmp
ip
tcp
udp
0〜255省略不可 any 各パラメータ(アドレスやポート番号など)で、「全て」を指定する場合は"any"を入力します。
セレクタ情報として相手に通知する場合は、IPaddr=0.0.0.0 Mask=0.0.0.0で通知します。any - local 自局発信パケットを指定する場合は、"local"を指定します。EWANでアドレスを固定設定している場合のみ使用可能です。 local - host 送信元/宛先アドレスとしてホストアドレスを指定する場合につけます。 host - 送信元IPアドレス 送信元アドレスを指定します。 IPv4アドレス形式 省略不可 送信元Wildcardマスク 送信元アドレスを範囲指定するために、Wildcardマスクを指定します。 IPv4アドレス形式 省略不可 宛先IPアドレス 宛先アドレスを指定します。 IPv4アドレス形式 省略不可 宛先Wildcardマスク 宛先アドレスを範囲指定するために、Wildcardマスクを指定します。 IPv4アドレス形式 省略不可 peer VPNピア宛を指定する場合は、"peer"を指定します。 peer TCPポート番号 プロトコルで"tcp"を指定した場合に、対象とするTCPポート番号を指定します。 TCPポート番号(0〜65535) 省略不可 UDPポート番号 プロトコルで"udp"を指定した場合に、対象とするUDPポート番号を指定します。 UDPポート番号(0〜65535) 省略不可
※ ipsec-access-list番号1〜2000は、v01.13(00)以降サポート。FITELnet
F200 Plusでは全て使用可能、FITELnet F200では設定範囲中、128エントリが使用可能。
IPsec機能を使用することはできません。
基本設定モード