メインコンテンツまでスキップ

4.4.1.3. 次層プロトコルに関連するフィールドに関する詳細 (More Regarding Fields Associated with Next Layer Protocols)

追加のセレクタは、多くの場合、次層プロトコルヘッダーのフィールドに関連付けられています。特定の次層プロトコルは、ゼロ、1 つ、または 2 つのセレクタを持つことができます。次層プロトコルに依存するフィールドに対してローカルセレクタとリモートセレクタの両方が存在しない状況がある場合があります。IPv6 モビリティヘッダーには、モビリティヘッダーメッセージタイプのみがあります。AH と ESP には、それ以上のセレクタフィールドはありません。システムは、受信したくない ICMP メッセージタイプとコードを送信することを望む場合があります。

注意:以下の説明では、「ポート」は次層プロトコルに依存するフィールドを意味するために使用されます。

A. ポートセレクタがないプロトコル

次層プロトコルに「ポート」セレクタがない場合、関連する SPD エントリでローカルとリモートの「ポート」セレクタは OPAQUE に設定されます。例えば:

例 - AH プロトコル

ローカル (Local's)
  next layer protocol = AH
  "port" selector     = OPAQUE

リモート (Remote's)
  next layer protocol = AH
  "port" selector     = OPAQUE

B. 1 つのセレクタを持つプロトコル

次層プロトコルに 1 つのセレクタしかない場合でも、たとえばモビリティヘッダータイプの場合、ローカルとリモートの「ポート」セレクタは、システムが指定された「ポート」値でトラフィックを送信および/または受信することを望むかどうかを示すために使用されます。

例 1:送受信

指定されたタイプのモビリティヘッダーを SA 経由で送受信できる場合、関連する SPD エントリは次のように設定されます:

ローカル (Local's)
  next layer protocol = Mobility Header
  "port" selector     = Mobility Header message type

リモート (Remote's)
  next layer protocol = Mobility Header
  "port" selector     = Mobility Header message type

例 2:送信のみ

指定されたタイプのモビリティヘッダーを SA 経由で送信できるが受信できない場合、関連する SPD エントリは次のように設定されます:

ローカル (Local's)
  next layer protocol = Mobility Header
  "port" selector     = Mobility Header message type

リモート (Remote's)
  next layer protocol = Mobility Header
  "port" selector     = OPAQUE

例 3:受信のみ

指定されたタイプのモビリティヘッダーを SA 経由で受信できるが送信できない場合、関連する SPD エントリは次のように設定されます:

ローカル (Local's)
  next layer protocol = Mobility Header
  "port" selector     = OPAQUE

リモート (Remote's)
  next layer protocol = Mobility Header
  "port" selector     = Mobility Header message type

C. 2 つのセレクタを持つプロトコル - 送信のみ

システムが特定の「ポート」値でトラフィックを送信することを望むが、そのようなポート値でトラフィックを受信しない場合、関連する SPD エントリでシステムのトラフィックセレクタは次のように設定されます:

ローカル (Local's)
  next layer protocol = ICMP
  "port" selector     = <specific ICMP type & code>

リモート (Remote's)
  next layer protocol = ICMP
  "port" selector     = OPAQUE

D. 2 つのセレクタを持つプロトコル - 受信のみ

システムが特定の「ポート」値でトラフィックを受信することを望むが、そのようなトラフィックを送信しないことを示すには、関連する SPD エントリでシステムのトラフィックセレクタは次のように設定されます:

ローカル (Local's)
  next layer protocol = ICMP
  "port" selector     = OPAQUE

リモート (Remote's)
  next layer protocol = ICMP
  "port" selector     = <specific ICMP type & code>

実用例:ICMP Traceroute

たとえば、セキュリティゲートウェイがその背後のシステムに ICMP traceroute の送信を許可することを望むが、外部システムがその背後のシステムに ICMP traceroute を実行することを許可しない場合、関連する SPD エントリでセキュリティゲートウェイのトラフィックセレクタは次のように設定されます:

ローカル (Local's)
  next layer protocol = 1 (ICMPv4)
  "port" selector     = 30 (traceroute)

リモート (Remote's)
  next layer protocol = 1 (ICMPv4)
  "port" selector     = OPAQUE
最終更新