ルートベースの Vpn でのトラフィックセレクター
トラフィックの選択は、トラフィックがローカルおよびリモートアドレスの指定されたペアと一致する場合に、VPN トンネルを通過するトラフィックを許可する IKE ピア間の合意です。関連するセキュリティーアソシエーション (SA) では、トラフィックセレクターに準拠しているトラフィックのみが許可されます。
ルートベースの Vpn でのトラフィックセレクターの理解
トラフィックの選択は、トラフィックがローカルおよびリモートアドレスの指定されたペアと一致する場合に、トンネルを通過するトラフィックを許可する IKE ピア間の取り決めです。この機能を使用すると、特定のルートベースの VPN 内でトラフィックセレクターを定義できます。これにより、複数フェーズ2の IPsec セキュリティーアソシエーション (Sa) が生成されます。関連する SA では、トラフィックセレクターに準拠しているトラフィックのみが許可されています。
Junos OS リリース 12.1 X46 ~ D10 および Junos OS Release 17.3 R1 をはじめ、トラフィックセレクターは、IKEv1 サイトツーサイト Vpn で設定できます。 Junos OS リリース 15.1 X49-D100 では、IKEv2 のサイトツーサイト Vpn を使用してトラフィックセレクターを設定できます。
トラフィックセレクターの設定
トラフィックセレクターを構成するには、 traffic-selector [edit security ipsec vpn vpn-name] 階層レベルで構成ステートメントを使用します。トラフィックセレクターは、必須local-ip ip-address/netmaskおよびremote-ip ip-address/netmaskステートメントで定義されています。CLI の運用コマンドshow security ipsec security-association detailにより、sa のトラフィックセレクター情報が表示されます。CLI show security ipsec security-association traffic-selector traffic-selector-nameコマンドは、指定されたトラフィックセレクターの情報を表示します。
特定のトラフィックセレクターで、ローカルおよびリモートアドレスに対して、単一のアドレスとネットマスクが指定されています。トラフィックセレクターは、IPv4 または IPv6 アドレスで設定できます。アドレスブックを使用してローカルまたはリモートアドレスを指定することはできません。
同じ VPN に対して複数のトラフィックセレクターを設定できます。最大で200のトラフィックセレクターを VPN ごとに設定できます。トラフィックセレクターは、IPv4 イン ipv4、ipv4/ipv6、ipv6 イン ipv6、または IPv6 イン IPv4 トンネルモードで使用できます。
以下の機能は、トラフィックセレクターではサポートされていません。
VPN 監視
トラフィックセレクターのローカルおよびリモート IP アドレス用に構成されている異なるアドレスファミリ
リモートアドレス 0.0.0.0/0 (IPv4) または0::0(IPv6) サイトツーサイト Vpn
Junos OS Release 15.1 X49-D140 のすべての SRX シリーズデバイスおよび vSRX インスタンスで、リモートアドレス0::0 を使用してトラフィックセレクターを設定すると(IPv6)、以下 “error: configuration check-out failed”コミットの実行時にメッセージが表示され、構成のチェックアウトが失敗します。
ポイントツーマルチポイントインターフェイス
St0 インターフェイス上で構成された動的ルーティングプロトコル
ルートベース VPN に対して複数のトラフィックセレクターが設定されている場合、IKE ゲートウェイの外部インターフェイスが別の仮想ルーター (VR) に移動された場合、トラフィックの選択に一致せずに、クリアなトラフィックが VPN トンネルに入ることがあります。ソフトウェアは、IKE ゲートウェイの外部インターフェイスを別の VR に移動したときに生成される複数の非同期インターフェイスイベントを処理しません。この回避策として、まず IPsec VPN トンネルを非アクティブ化し、そのトンネルを使用せずに構成をコミットしてから、IKE ゲートウェイの外部インターフェイスを別の VR に移動します。
自動ルート挿入について
自動ルート挿入 (ARI)は、リモートネットワークおよびリモートトンネルエンドポイントによって保護されるホストの静的ルートを自動的に挿入します。トラフィックセレクターに構成されているリモート IP アドレスに基づいてルートが作成されます。トラフィックセレクターの場合、設定されたリモートアドレスは、VPN にバインドされた st0 インターフェイスに関連付けられたルーティングインスタンスにルートとして挿入されます。
ルーティングプロトコルとトラフィックセレクターの設定は相互に排他的なため、トンネルへのトラフィックをステアリングできます。ARI ルートは、ルーティングプロトコルによって設定されたルートと競合することがあります。そのため、トラフィックセレクターが設定されている VPN にバインドされている st0 インターフェイスでは、ルーティングプロトコルを設定しないでください。
また、ルートのリバース挿入 (RRI) としても知られています。ARI ルートは、以下のようにルーティングテーブルに挿入されます。
このestablish-tunnels immediatelyオプションが [edit security ipsec vpn vpn-name] 階層レベルで設定されている場合は、phase 1 と phase 2 ネゴシエーションが完了した後に、ARI ルートが追加されます。Sa が確立されるまでルートが追加されないため、ネゴシエーションが失敗しても、トラフィックは停止している st0 インターフェイスにルーティングされることはありません。代わりに代わりまたはバックアップトンネルが使用されます。
このestablish-tunnels immediatelyオプションが [edit security ipsec vpn vpn-name] 階層レベルで設定されていない場合は、設定のコミット時に ARI ルートが追加されます。
トラフィックセレクターに設定またはネゴシエートされたリモートアドレスが 0.0.0.0/0 または0::0 の場合、ARI ルートは追加されません。
静的な ARI ルートの優先度は5です。この値は、ルーティングプロトコルプロセスによって追加される可能性のある類似のルートとの競合を回避するために必要です。静的な ARI ルートのメトリックを設定することはできません。
静的な ARI ルートは、 rib-groups構成を使用して他のルーティングインスタンスにリークすることはできません。構成をimport-policy使用して、静的な ARI ルートをリークします。
トラフィックセレクターと重複した IP アドレスについて
ここでは、トラフィックセレクターの構成における重複した IP アドレスについて説明します。
同一の st0 インターフェイスにバインドされている異なる Vpn に重複した IP アドレス
このシナリオは、トラフィックセレクターではサポートされていません。次の例に示すように、同じポイントツーマルチポイント st0 インターフェイスにバインドされているさまざまな Vpn 上に、トラフィックセレクターを設定することはできません。
同一の st0 インターフェイスにバインドされている同じ VPN に重複する IP アドレスがある
重複する IP アドレスが同じ VPN の複数のトラフィックセレクターに設定されている場合、パケットに一致する最初に設定されたトラフィックセレクターが、パケットの暗号化に使用されるトンネルを決定します。
次の例では、ポイントツーポイントの st 0.1 インターフェイスにバインドされている VPN (vpn) 用に、4つのトラフィックセレクター (ts-1、ts-2、ts-3、および ts-4) が設定されています。
送信元アドレス192.168.5.5 と宛先アドレス10.1.5.10 を持つパケットが、トラフィックセレクターとして ts-1 と ts-2 と一致します。ただし、トラフィックセレクター ts は最初に設定された対戦であり、ts に関連付けられたトンネルはパケットの暗号化に使用されます。
送信元アドレス172.16.5.5 と宛先アドレス10.2.5.10 を持つパケットは、トラフィックセレクター ts および ts-4 と一致します。ただし、トラフィックセレクター ts は最初に設定された対戦であり、トラフィックセレクターに関連付けられたトンネルはパケットの暗号化に使用されます。
さまざまな st0 インターフェイスにバインドされたさまざまな Vpn に重複した IP アドレス
異なる Vpn で複数のトラフィックセレクターに重複した IP アドレスが設定されていて、ポイントツーポイントの st0 インターフェイスが異なっている場合、特定のパケットに対して最も長いプレフィックスの一致によって st0 のインターフェイスが最初に選択されます。選択した st0 インターフェイスにバインドされている VPN 内では、パケットに対して最初に設定された一致に基づいてトラフィックセレクターが選択されます。
次の例では、2つの Vpn のそれぞれでトラフィックセレクターを設定しています。トラフィックセレクターは、同じローカルサブネットワークで構成されていますが、リモートサブネットが異なります。
各トラフィックセレクターに異なるリモートサブネットワークが設定されているため、2つの異なるルートがルーティングテーブルに追加されます。ルートルックアップは、適切な VPN にバインドされた st0 インターフェイスを使用します。
次の例では、2つの Vpn のそれぞれでトラフィックセレクターを設定しています。トラフィックセレクターは、さまざまなリモートサブネットワークで構成されています。各トラフィックセレクターに同じローカルサブネットワークが設定されていますが、異なるネットマスク値が指定されています。
各トラフィックセレクターに異なるリモートサブネットワークが設定されているため、2つの異なるルートがルーティングテーブルに追加されます。ルートルックアップは、適切な VPN にバインドされた st0 インターフェイスを使用します。
次の例では、トラフィックセレクターが2つの Vpn のそれぞれに設定されています。トラフィックセレクターは、異なるローカルサブネットワークとリモートサブネットワークで構成されています。
この場合、トラフィックセレクターは重複しません。トラフィックセレクターに設定されているリモートサブネットワークが異なるため、ルーティングテーブルには2つの異なるルートが追加されます。ルートルックアップは、適切な VPN にバインドされた st0 インターフェイスを使用します。
次の例では、2つの Vpn のそれぞれでトラフィックセレクターを設定しています。トラフィックセレクターは、同じローカルサブネットワークで構成されています。各トラフィックセレクターに同じリモートサブネットワークが設定されていますが、異なるネットマスク値が指定されています。
Ts-1 remote-ip用に設定された 10.1.1.0/24 remote-ipは、ts-2 用に設定されていますが、10.1.0.0/16 です。パケットの宛先が10.1.1.1 であれば、ルートルックアップでは、長いプレフィックスが一致する st 0.1 インターフェイスが選択されます。パケットは、st 0.1 インターフェイスに対応するトンネルに基づいて暗号化されます。
場合によっては、有効なパケットがトラフィックセレクタートラフィックの適用によって破棄されることがあります。次の例では、トラフィックセレクターが2つの Vpn のそれぞれに設定されています。トラフィックセレクターは、異なるローカルサブネットワークで構成されています。各トラフィックセレクターに同じリモートサブネットワークが設定されていますが、異なるネットマスク値が指定されています。
10.1.1.0 への2つのルート (インターフェイスセント0.1 を介して 10.1.1.0/24、インターフェイスセント0.2 経由で 10.1.0.0/16) がルーティングテーブルに追加されています。ソース172.16.1.1 から宛先10.1.1.1 に送信されるパケットは、インターフェイスセント0.1 経由で 10.1.1.0/24 のルーティングテーブルエントリと一致します。しかし、パケットは、トラフィックセレクター ts によって指定されたトラフィックと一致せず、破棄されます。
複数のトラフィックセレクターが同じリモートサブネットワークとネットマスクで設定されている場合は、均等コストのルートがルーティングテーブルに追加されます。選択したルートが予測できないため、このケースはトラフィックセレクターではサポートされていません。
例:ルートベース VPN でのトラフィックセレクターの構成
この例では、ルートベース VPN のトラフィックセレクターを構成する方法について説明します。
要件
開始する前に、Understanding Traffic Selectors in Route-Based VPNsしておくことをお読みください。
概要
この例では、トラフィックセレクターを設定して、SRX_B 上の SRX_A およびサブネットワーク間でトラフィックを送受信できます。
表 1は、この例のトラフィックセレクターを示しています。トラフィックセレクターは、フェーズ2オプションで構成されています。
表 1: トラフィックセレクターの設定
SRX_A | SRX_B | ||||
|---|---|---|---|---|---|
トラフィックセレクター名 | ローカル IP | リモート IP | トラフィックセレクター名 | ローカル IP | リモート IP |
TS1-ipv6 | 2001:db8:10::0/64 | 2001:db8:20::0/64 | TS1-ipv6 | 2001:db8:20::0/64 | 2001:db8:10::0/64 |
TS2-ipv4 | 192.168.10.0/24 | 192.168.0.0/16 | TS2-ipv4 | 192.168.0.0/16 | 192.168.10.0/24 |
[ mode flow-basededit security forwarding-options family inet6] 階層レベルの設定オプションで、IPv6 トラフィックのフローベースの処理を有効にする必要があります。
Topology
で図 1は、IPv6 VPN トンネルは、SRX_A と SRX_B のデバイス間で IPv4 と IPv6 の両方のトラフィックを伝送しています。つまり、トンネルは IPv4/ipv6 と ipv6 イン IPv6 の両方のトンネルモードで動作します。
構成
SRX_A の構成
CLI 簡単構成
この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。
ステップごとの手順
次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeのCLI ユーザーガイドするを参照してください。
トラフィックセレクターを構成するには、次のようにします。
- 外部インターフェイスを構成します。[edit interfaces]user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64
- セキュアトンネルインターフェイスを構成します。[edit interfaces]user@host# set st0 unit 1 family inetuser@host# set st0 unit 1 family inet6
- 内部インターフェイスを構成します。[edit interfaces]user@host# set ge-1/0/1 unit 0 family inet address 192.168.10.1/24user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:10::0/64
- フェーズ1のオプションを構成します。[edit security ike proposal PSK-DH14-AES256-SHA256]user@host# set authentication-method pre-shared-keysuser@host# set dh-group group14user@host# set authentication-algorithm sha-256user@host# set encryption-algorithm aes-256-cbc[edit security ike policy site-2-site]user@host# set mode mainuser@host# set proposals PSK-DH14-AES256-SHA256user@host# set pre-shared-key ascii-text "$ABC123"[edit security ike gateway SRX_A-to-SRX_B]user@host# set ike-policy site-2-siteuser@host# set address 192.168.20.2user@host# set external-interface ge-0/0/1.0user@host# set local-address 192.168.10.1
- フェーズ2オプションを構成します。[edit security ipsec proposal ESP-AES256-SHA256]user@host# set protocol espuser@host# set authentication-algorithm hmac-sha-256-128user@host# set encryption-algorithm aes-256-cbc[edit security ipsec policy site-2-site]user@host# set perfect-forward-secrecy keys group14user@host# set proposals ESP-AES256-SHA256[edit security ipsec vpn SRX_A-to-SRX_B]user@host# set bind-interface st0.1user@host# set ike gateway SRX_A-to-SRX_Buser@host# set ike ipsec-policy site-2-siteuser@host# set traffic-selector TS1-ipv6 local-ip 2001:db8:10::0/64 remote-ip 2001:db8:20::0/64user@host# set traffic-selector TS2-ipv4 local-ip 192.168.10.0/24 remote-ip 192.168.0.0/16
- IPv6 のフローベースの転送を有効にします。[edit security forwarding-options]user@host# set family inet6 mode flow-based
- セキュリティーゾーンとセキュリティーポリシーを設定します。[edit security zones security-zone trust]user@host# set host-inbound-traffic system-services alluser@host# set host-inbound-traffic protocols alluser@host# set interfaces ge-1/0/1.0[edit security zones security-zone untrust]user@host# set host-inbound-traffic system-services ikeuser@host# set interfaces ge-0/0/1.0[edit security zones security-zone VPN]user@host# set interfaces st0.1[edit security policies from-zone VPN to-zone trust ]user@host# set policy 1 match source-address anyuser@host# set policy 1 match destination-address anyuser@host# set policy 1 match application anyuser@host# set policy 1 then permit[edit security policies from-zone trust to-zone VPN ]user@host# set policy 1 match source-address anyuser@host# set policy 1 match destination-address anyuser@host# set policy 1 match application anyuser@host# set policy 1 then permit[edit security policies]user@host# set default-policy deny-all
結果
設定show interfacesモードから、、、、、およびshow security ikeshow security ipsecshow security forwarding-optionsshow security zonesshow security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。
デバイスの設定が完了したら、設定commitモードから入力します。
SRX_B の構成
CLI 簡単構成
この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。
ステップごとの手順
次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeのCLI ユーザーガイドするを参照してください。
トラフィックセレクターを構成するには、次のようにします。
- 外部インターフェイスを構成します。[edit interfaces]user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::2/64
- セキュアトンネルインターフェイスを構成します。[edit interfaces]user@host# set st0 unit 1 family inetuser@host# set st0 unit 1 family inet6
- 内部インターフェイスを構成します。[edit interfaces]user@host# set ge-1/0/1 unit 0 family inet address 192.168.20.1/24user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:20::0/64user@host# set ge-1/1/1 unit 0 family inet address 192.168.0.1/24
- フェーズ1のオプションを構成します。[edit security ike proposal PSK-DH14-AES256-SHA256]user@host# set authentication-method pre-shared-keysuser@host# set dh-group group14user@host# set authentication-algorithm sha-256user@host# set encryption-algorithm aes-256-cbc[edit security ike policy site-2-site]user@host# set mode mainuser@host# set proposals PSK-DH14-AES256-SHA256user@host# set pre-shared-key ascii-text "$ABC123"[edit security ike gateway SRX_B-to-SRX_A]user@host# set ike-policy site-2-siteuser@host# set address 192.168.10.1user@host# set external-interface ge-0/0/1.0user@host# set local-address 192.168.20.2
- フェーズ2オプションを構成します。[edit security ipsec proposal ESP-AES256-SHA256]user@host# set protocol espuser@host# set authentication-algorithm hmac-sha-256-128user@host# set encryption-algorithm aes-256-cbc[edit security ipsec policy site-2-site]user@host# set perfect-forward-secrecy keys group14user@host# set proposals ESP-AES256-SHA256[edit security ipsec vpn SRX_B-to-SRX-A]user@host# set bind-interface st0.1user@host# set ike gateway SRX_B-to-SRX_Auser@host# set ike ipsec-policy site-2-siteuser@host# set traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip 2001:db8:10::0/64user@host# set traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip 192.168.10.0/24
- IPv6 のフローベースの転送を有効にします。[edit security forwarding-options]user@host# set family inet6 mode flow-based
- セキュリティーゾーンとセキュリティーポリシーを設定します。[edit security zones security-zone trust]user@host# set host-inbound-traffic system-services alluser@host# set host-inbound-traffic protocols alluser@host# set interfaces ge-1/0/1.0[edit security zones security-zone untrust]user@host# set host-inbound-traffic system-services ikeuser@host# set interfaces ge-0/0/1.0[edit security zones security-zone VPN]user@host# set interfaces st0.1[edit security policies from-zone VPN to-zone trust ]user@host# set policy 1 match source-address anyuser@host# set policy 1 match destination-address anyuser@host# set policy 1 match application anyuser@host# set policy 1 then permit[edit security policies from-zone trust to-zone VPN ]user@host# set policy 1 match source-address anyuser@host# set policy 1 match destination-address anyuser@host# set policy 1 match application anyuser@host# set policy 1 then permit[edit security policies]user@host# set default-policy deny-all
結果
設定show interfacesモードから、、、、、およびshow security ikeshow security ipsecshow security forwarding-optionsshow security zonesshow security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。
デバイスの設定が完了したら、設定commitモードから入力します。
検証
構成が正常に機能していることを確認します。
この出力例は、SRX A に記載されています。
IPsec フェーズ2の状態を検証しています
目的
IPsec フェーズ2のステータスを確認します。
アクション
動作モードから、 show security ipsec security-associationsコマンドを入力します。
user@host> show security ipsec security-associationsTotal active tunnels: 3 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <268173313 ESP:3des/ sha-256 3d75aeff 2984/ unlim - root 500 2001:db8:2000::2 >268173313 ESP:3des/ sha-256 a468fece 2984/ unlim - root 500 2001:db8:2000::2 <268173316 ESP:3des/ sha-256 417f3cea 3594/ unlim - root 500 2001:db8:2000::2 >268173316 ESP:3des/ sha-256 a4344027 3594/ unlim - root 500 2001:db8:2000::2
動作モードから、 show security ipsec security-associations detailコマンドを入力します。
user@host> show security ipsec security-associations
detail ID: 268173313 Virtual-system: root, VPN Name: SRX_A-to-SRX_B
Local Gateway: 192.168.10.1, Remote Gateway: 2192.168.20.2
Traffic Selector Name: TS1-ipv6
Local Identity: ipv6(2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff)
Remote Identity: ipv6(2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff)
Version: IKEv1
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29
Tunnel Down Reason: SA not initiated
Direction: inbound, SPI: 3d75aeff, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2976 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2354 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: a468fece, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2976 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2354 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
ID: 268173316 Virtual-system: root, VPN Name: SRX_A-to-SRX_B
Local Gateway: 192.168.10.1, Remote Gateway: 192.168.20.2
Traffic Selector Name: TS2-ipv4
Local Identity: ipv4(192.168.10.0-192.168.10.255)
Remote Identity: ipv4(192.168.20.0-192.168.20.255)
Version: IKEv1
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29
Tunnel Down Reason: SA not initiated
Direction: inbound, SPI: 417f3cea, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3586 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2948 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: a4344027, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3586 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2948 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
意味
このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ピアデバイスで一致しなければなりません。
トラフィックのセレクターの確認
目的
セキュアトンネルインターフェイスでネゴシエーションされたトラフィックセレクターを検証します。
アクション
動作モードから、 show security ipsec traffic-selector st0.1コマンドを入力します。
user@host> show security ipsec traffic-selector
st0.1Source IP Destination IP Interface Tunnel-id IKE-ID 2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff 2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff st0.1 268173313 2001:db8:2000::1 192.168.10.0-192.168.10.255 192.168.0.0-192.168.255.255 st0.1 268173316 2001:db8:2000::1 192.168.10.0-192.168.10.255 192.168.20.0-192.168.20.255 st0.1 268173317 2001:db8:2000::1
ルートの確認
目的
アクティブルートの確認
アクション
動作モードから、 show routeコマンドを入力します。
user@host> show routeinet.0: 24 destinations, 24 routes (24 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.0/16 *[Static/5] 00:00:32
> via st0.1
2001:db8:20::0/64 *[Static/5] 00:00:34
> via st0.1意味
このshow routeコマンドは、ルーティングテーブル内のアクティブなエントリーをリストします。各トラフィックセレクターに構成されたリモート IP アドレスへのルートは、適切な st0 インターフェイスを使用して存在する必要があります。