Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

traffic-selector

Syntax

Hierarchy Level

Description

トラフィック セレクターは、トラフィックがローカル IP アドレス範囲、リモート IP アドレス範囲、送信元ポート範囲、宛先ポート範囲、プロトコルの指定ペアと一致する場合に、トンネル経由のトラフィックを許可する IKE ピア間の同意書です。この機能は IKEv2 でのみサポートされています。

21.1R1 以前の Junos OS リリースでは、IPsec トンネルを通過するトラフィック フィルタリング用に、IPsec トンネルごとに 1 ペアのローカル IP プレフィックスとリモート IP プレフィックスがサポートされています。Junos OS リリース 21.1R1 以降では、複数のローカル IP プレフィックス、リモート IP プレフィックス、送信元ポート範囲、宛先ポート範囲、トラフィック選択プロトコルのセットを設定できます。

つまり、複数の IP アドレス範囲、ポート範囲、プロトコルのセットを、RFC 7296 で定義されているのと同じトラフィック セレクターの一部にできるのです。この機能では、トラフィック セレクター内で用語の概念を紹介します。各条件は、一連のローカル IP 範囲、リモート IP 範囲、送信元ポート範囲、宛先ポート範囲、プロトコルを定義します。すべての用語を組み合わせると、単一の IPsec SA に含されます。単一のトラフィック セレクター内の用語には、IPv4 と IPv6 の両方のアドレスを使用できます。そのため、単一の IPsec SA には、ローカルおよびリモートの IP アドレスとして IPv4 と IPv6 の両方が含まれます。各トラフィック セレクターでは、最大 200 語がサポートされています。

複数のトラフィック セレクターを設定すると、各トラフィック セレクターが別々のネゴシエーションにつながるので、複数の IPsec トンネルが作成されます。ただし、1 つのトラフィック セレクターで複数の条件を設定した場合、この設定では、複数の IP プレフィックス、ポート、プロトコルを使用して単一の IPsec SA ネゴシエーションが実行されます。

トラフィック セレクターには、少なくとも 1 つのローカル IP プレフィックスと 1 つのリモート IP プレフィックスを設定する必要があります。その他のパラメータはオプションです。

複数のトラフィック セレクターに重複するルートがある場合は、ルーティング メトリックのタイ ブレーカーが転送の決定に使用されます。

下位互換性を維持するために、階層の下で直接 IP プレフィックスを設定 [edit security ipsec vpn vpn-name traffic-selector traffic-selector-name] できます。

RFC 7296 で定義されているのと同じトラフィック セレクターに対して、IP アドレス範囲、ポート範囲、プロトコルの複数のセットを設定するには、階層レベルを [edit security ipsec vpn vpn-name traffic-selector traffic-selector-name term term-name] 使用します。

同じゲートウェイに対して異なるトラフィック セレクターに同じ値IKEする必要があります。これは有効なトラフィック セレクター設定ではありません。同じ値を持つ複数のトラフィック セレクターを設定した場合、ピアの設定に応じて、意図せず高い CPU 使用率が発生する可能性があります。

Options

local-ip ip-address/netグループ

ローカルの IP アドレスやローカル・サブネットで保護されています。

remote-ip ip-address/net大分

ピア VPN デバイスによって保護されているリモート IP アドレスまたはリモートサブネットワーク。

term term_name

ローカル IP 範囲、リモート IP 範囲、送信元ポート範囲、宛先ポート範囲、プロトコルのセットを定義します。すべての用語を組み合わせると、単一の IPsec SA に含されます。各トラフィック セレクターでは、最大 200 語がサポートされています。このパラメータを設定する場合は必須ではありません。

プロトコル protocol_name/protocol_id

IPsec トンネル用のトラフィック セレクター用トランスポート プロトコル リストこのパラメータを設定する場合は必須ではありません。プロトコルが設定されていない場合は、「any」プロトコルが設定されているとみなされます。

  • プロトコルIDの範囲は0~255です。

ソース ポート ローハイ

送信元ポートの範囲は低から高範囲のポート番号までです。このパラメータを設定する場合は必須ではありません。ポートが設定されていないのにプロトコルのみ設定されている場合は、そのプロトコルの送信元ポート範囲としてポート「any」が想定されます。

  • 1~65535

宛先ポート ローハイ

宛先ポートの範囲は、低から上位の範囲のポート番号までです。このパラメータを設定する場合は必須ではありません。ポートが設定されていないのにプロトコルのみ設定されている場合は、そのプロトコルの宛先ポート範囲としてポート「any」が想定されます。

  • 1~65535

メトリック metric_value

複数のトラフィック セレクターに重複するルートがある場合にブレーカーを結び、最も推奨されるパスを決定します。このパラメータを設定する場合は必須ではありません。

説明 description_value

トラフィック セレクターの説明。このパラメータを設定する場合は必須ではありません。このパラメータを設定する場合は必須ではありません。

  • 0~80 文字

Required Privilege Level

セキュリティ — このステートメントを設定で表示するには。

security-control—このステートメントを設定に追加します。

Release Information

Junos OS のリリース 12.1 X46 で導入されたステートメントです。

termprotocol、、 source-portdestination-port 、 、 、 metric 、および のオプション(Junos OS description リリース 21.1R1 で導入されています。