解説書 Vol.1
フィルタ・リストには,フィルタリング項目を任意に組み合わせて設定します。フィルタリング項目を「表14-8 フィルタリング項目」に示します。あるフィルタ・リストの設定項目のすべてを満たした場合(AND条件),そのエントリの条件が満たされたと判定します。条件一致時のパケットの処理として,「中継」,「破棄」,「ポリシールーティング」,「コネクション分岐Index指定」,「DSCP値書き換え」,「拡張ヘッダ追跡+中継」,または「拡張ヘッダ追跡+廃棄」のどれかを指定します。
表14-8 フィルタリング項目
ヘッダ種別 設定項目 項目詳細 IPv6 ユーザデータ長 IPv6ユーザデータの上限値または下限値。 上位プロトコル TCP/UDP/ICMPv6などを示す番号。 送信元IPv6アドレス アドレスを範囲で指定できます。 受信IPv6アドレス アドレスを範囲で指定できます。 TCP 送信元ポート番号 番号を範囲で指定できます。 宛先ポート番号 番号を範囲で指定できます。 ACKフラグ TCPの片方向からの通信を許可します。ACKフラグが1のパケットを対象にします。 SYNフラグ TCPのバーチャルサーキットの確立を許可します。SYNフラグが1のパケットを対象にします。 UDP 送信元ポート番号 番号を範囲で指定できます。 宛先ポート番号 番号を範囲で指定できます。 ICMPv6 ICMPv6タイプ Echo Request/Echo Reply/Destination Unreachableなどを示す番号。 ICMPv6コード Net UnreachableなどICMPv6タイプに対する詳細コードを示す番号。
- <この項の構成>
- (1) 拡張ヘッダ付きパケットに対する4層ヘッダ情報検索時の注意事項
(1) 拡張ヘッダ付きパケットに対する4層ヘッダ情報検索時の注意事項
拡張ヘッダ付きのパケットに対する4層ヘッダ情報の検索処理の違いを,次に示します。なお,IPv6の拡張ヘッダは,特定用途で使われていて4層条件を見る必要性がない,または4層条件が本来見えないパケットで使われており,拡張ヘッダ付きのパケットに対する4層ヘッダ情報の検索条件の違いが問題になることはほとんどありません。
- ソフトウェア処理
拡張ヘッダを追跡し,4層ヘッダの情報を条件一致の対象とします。
- ハードウェア処理
基本ヘッダのすぐ次が4層ヘッダになる場合にだけ,4層ヘッダの情報を条件一致の対象とします。
ハードウェア処理時に,拡張ヘッダ付きのパケットに対し4層ヘッダ情報(TCP,UDPまたはICMPv6)を条件とするフィルタリングを行う方法については,「14.6.2 拡張ヘッダ追跡機能」を参照してください。IPv6の拡張ヘッダの使用方法を次の表に示します。
IPv6拡張ヘッダ 説明 Hop-by-Hop Option Header 特定用途で使用され,Hop-by-Hop Optionオプション付きのパケットに対し4層条件で検索することはほとんどありません。Hop-by-Hop Optionオプション付きのパケットはすべてソフトウェア処理になるので,拡張ヘッダ追跡機能を使用して4層条件の検索を行っても,新しい性能低下は最小に抑えることができます。 Routing Header ほとんど使われていません。 Fragment Header ほとんどのアプリケーション使用されているTCPは,フラグメントが発生しないように制御されます。Fragment Headerが付くことはほとんどありません。 Authentication Header IPsecで使用され,IPsecは通常,暗号化とともに使用されます。 Encapsulating Security Payload Header 暗号化されたパケットで使用されますが,暗号化されたパケットは本来4層ヘッダ情報が見えません。このため,4層ヘッダ情報を条件に入れないでフィルタリングを行うようにする必要があります。 Destination Option Header 現在,使用法が決められていません。
Copyright (c)2005 ALAXALA Networks Corporation. All rights reserved.