コンフィグレーションガイド Vol.2

1.1.6 アクセスリスト

フィルタのフロー検出を実施するためにはコンフィグレーションでアクセスリストを設定します。フロー検出条件に応じて設定するアクセスリストが異なります。また,フロー検出条件ごとに検出可能なフレーム種別が異なります。フロー検出条件と対応するアクセスリスト,および検出可能なフレーム種別の関係を次に示します。

表1‒9 フロー検出条件と対応するアクセスリスト,検出可能なフレーム種別の関係

設定可能な

フロー検出条件

アクセスリスト

対応する

受信側フロー

検出モード

対応する

送信側フロー

検出モード

検出可能な

フレーム種別

非IP

IPv4

IPv6

MAC条件

mac access-list

layer3-1

layer3-2-out,

layer3-3-out

IPv4条件

access-list

ip access-list

layer3-1,

layer3-2,

layer3-3,

layer3-4,

layer3-5,

layer3-6,

layer3-dhcp-1

layer3-1-out,

layer3-2-out,

layer3-3-out

IPv6条件

ipv6 access-list

layer3-3,

layer3-4,

layer3-5,

layer3-6

layer3-2-out,

layer3-3-out

(凡例)○:検出できる  −:検出できない

フィルタエントリの適用順序は,アクセスリストのパラメータであるシーケンス番号によって決定します。

〈この項の構成〉

(1) イーサネットインタフェースとVLANインタフェース同時に一致した場合の動作

(a) 受信側インタフェースの場合

イーサネットインタフェースと,該当するイーサネットインタフェースが属しているVLANインタフェースに対してフィルタエントリを設定し,該当するイーサネットインタフェースからの受信フレームに対してフィルタを実施すると,複数のフィルタエントリに一致する場合があります。この場合,廃棄動作を指定したフィルタエントリ(暗黙の廃棄のエントリを含む)が優先となります。イーサネットインタフェース,およびVLANインタフェース共に中継動作を指定したフィルタエントリに一致する場合はイーサネットインタフェース上のフィルタエントリを優先します。複数のフィルタエントリに一致した場合の動作を次の表に示します。

表1‒10 複数のフィルタエントリに一致した場合の動作

複数フィルタエントリ一致となる組み合わせ

有効になるフィルタエントリ

イーサネット

VLAN

インタフェース

動作

中継

中継

イーサネット

中継

中継

廃棄

VLAN

廃棄

廃棄

中継

イーサネット

廃棄

廃棄

廃棄

イーサネット

廃棄

注※ 同一のフロー検出条件を設定した場合とします。

この条件に該当する受信側フロー検出モードは,layer3-1およびlayer3-dhcp-1です。

(b) 送信側インタフェースの場合

この条件に該当する送信側フロー検出モードはありません。

(2) mac access-listとaccess-list/ip access-list/ipv6 access-listに同時に一致した場合の動作

(a) 受信側インタフェースの場合

同一インタフェースに対してmac access-listとaccess-list/ip access-listをフロー検出条件としたフィルタエントリを設定して,該当するインタフェースからの受信フレームに対してフィルタを実施すると,複数のフィルタエントリに一致する場合があります。この場合,廃棄動作を指定したフィルタエントリ(暗黙の廃棄のエントリを含む)が優先となります。mac access-list,およびaccess-list/ip access-list共に中継動作を指定したフィルタエントリに一致する場合はmac access-listのフィルタエントリを優先します。複数のフィルタエントリに一致した場合の動作を次の表に示します。

表1‒11 複数のフィルタエントリに一致した場合の動作

複数フィルタエントリ一致となる組み合わせ

有効になるフィルタエントリ

mac access-list

access-list

ip access-list

インタフェース

動作

中継

中継

mac access-list

中継

中継

廃棄

access-list

ip access-list

廃棄

廃棄

中継

mac access-list

廃棄

廃棄

廃棄

mac access-list

廃棄

この条件に該当する受信側フロー検出モードは,layer3-1です。

(b) 送信側インタフェースの場合

同一インタフェースに対してmac access-listとaccess-list/ip access-list/ipv6 access-listをフロー検出条件としたフィルタエントリを設定しても,送信フレームが複数のフィルタエントリに一致することはありません。この場合,常にmac access-listのフィルタエントリ(暗黙の廃棄のエントリを含む)に一致し,一致したフィルタエントリの指定動作が実施されます。

この条件に該当する送信側フロー検出モードはlayer3-2-outおよびlayer3-3-outです。

(3) 廃棄できないフレーム

受信側インタフェースで次に示すフレームは,フィルタの有無にかかわらず,フレームを廃棄できません。

本装置が受信するフレームのうち次のフレーム

  • ARPフレーム

  • 回線テストに使用するフレーム

  • 自装置宛てのMACアドレス学習の移動検出とみなしたフレーム

本装置がレイヤ3中継し,本装置が受信するフレームのうち次のパケット/フレーム

  • MTUを超えるIPv4,IPv6パケット

  • TTLが1のフレーム

  • ホップリミットが1のフレーム

  • IPオプション付きのフレーム

  • IPv6拡張ヘッダ付きのフレーム

  • 宛先不明のIPv4,IPv6パケット

コンフィグレーションコマンドsflow sampling-limit-modeを設定しているときに本装置が受信する次のフレーム/パケット

  • VRRP/VRRPv6のフレーム

  • OSPF/OSPFv3のフレーム

  • NDPのフレーム

  • IGMP/MLDのフレーム

  • IPv4 PIM/IPv6 PIMのフレーム

  • RIP/RIPngのフレーム

[商品名称に関する表示]

All Rights Reserved, Copyright(C), 2005, 2020, ALAXALA Networks, Corp.