![[目次]](FIGURE/CONTENT.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
コンフィグレーションガイド Vol.2
フィルタのフロー検出を実施するためにはコンフィグレーションでアクセスリストを設定します。フロー検出条件に応じて設定するアクセスリストが異なります。また,フロー検出条件ごとに検出可能なフレーム種別が異なります。フロー検出条件と対応するアクセスリスト,および検出可能なフレーム種別の関係を次に示します。
表1-13 フロー検出条件と対応するアクセスリスト,検出可能なフレーム種別の関係【AX3800S】
設定可能な
フロー検出条件アクセスリスト 対応する
受信側フロー
検出モード対応する
送信側フロー
検出モード検出可能な
フレーム種別非IP IPv4 IPv6 MAC条件 mac access-list layer3-1,
layer3-suppress-1layer3-2-out ○ ○ ○ IPv4条件 access-list
ip access-listlayer3-1,
layer3-2,
layer3-5,
layer3-6,
layer3-dhcp-1,
layer3-suppress-3,
layer3-suppress-4layer3-1-out,
layer3-2-out− ○ − IPv6条件 ipv6 access-list layer3-5,
layer3-6,
layer3-suppress-3,
layer3-suppress-4layer3-2-out − − ○ (凡例)○:検出できる −:検出できない
表1-14 フロー検出条件と対応するアクセスリスト,検出可能なフレーム種別の関係【AX3650S】
設定可能な
フロー検出条件アクセスリスト 対応する
受信側フロー
検出モード対応する
送信側フロー
検出モード検出可能な
フレーム種別非IP IPv4 IPv6 MAC条件 mac access-list layer3-1,
layer3-suppress-1layer3-2-out,
layer3-3-out○ ○ ○ IPv4条件 access-list
ip access-listlayer3-1,
layer3-2,
layer3-5,
layer3-6,
layer3-dhcp-1,
layer3-suppress-2layer3-1-out,
layer3-2-out,
layer3-3-out− ○ − IPv6条件 ipv6 access-list layer3-5,
layer3-6,
layer3-suppress-2layer3-2-out,
layer3-3-out− − ○ (凡例)○:検出できる −:検出できない
フィルタエントリの適用順序は,アクセスリストのパラメータであるシーケンス番号によって決定します。
- <この項の構成>
- (1) 複数のフロー検出条件を同時に設定した場合の動作【AX3800S】
- (2) 複数のフロー検出条件を同時に設定した場合の動作【AX3650S】
- (3) イーサネットインタフェースとVLANインタフェース同時に一致した場合の動作【AX3650S】
- (4) mac access-listとaccess-list/ip access-list/ipv6 access-listに同時に一致した場合の動作【AX3650S】
- (5) 廃棄できないフレーム
(1) 複数のフロー検出条件を同時に設定した場合の動作【AX3800S】
複数のフロー検出条件を設定して該当インタフェースの送受信フレームに対してフィルタを実施した場合,次の表に示す順序でフレームを検出します。複数のフィルタエントリには一致しません。
表1-15 フロー検出順序
フロー検出順序 アクセスリスト インタフェース 1 mac access-list イーサネット 2 VLAN 3 access-list
ip access-listイーサネット 4 VLAN 5 ipv6 access-list イーサネット 6 VLAN
(2) 複数のフロー検出条件を同時に設定した場合の動作【AX3650S】
(a) 受信側インタフェースの場合
複数のフロー検出条件を設定して該当インタフェースの受信フレームに対してフィルタを実施した場合,次の表に示す順序でフレームを検出します。複数のフィルタエントリには一致しません。
表1-16 フロー検出順序
フロー検出順序 アクセスリスト インタフェース 1 access-list
ip access-listイーサネット 2 VLAN 3 ipv6 access-list イーサネット 4 VLAN この条件に該当する受信側フロー検出モードは,layer3-6およびlayer3-suppress-2です。
(b) 送信側インタフェースの場合
この条件に該当する送信側フロー検出モードはありません。
(3) イーサネットインタフェースとVLANインタフェース同時に一致した場合の動作【AX3650S】
(a) 受信側インタフェースの場合
イーサネットインタフェースと,該当するイーサネットインタフェースが属しているVLANインタフェースに対してフィルタエントリを設定し,該当するイーサネットインタフェースからの受信フレームに対してフィルタを実施すると,複数のフィルタエントリに一致する場合があります。この場合,廃棄動作を指定したフィルタエントリ(暗黙の廃棄のエントリを含む)が優先となります。イーサネットインタフェース,およびVLANインタフェース共に中継動作を指定したフィルタエントリに一致する場合はイーサネットインタフェース上のフィルタエントリを優先します。複数のフィルタエントリに一致した場合の動作を次の表に示します。
表1-17 複数のフィルタエントリに一致した場合の動作
複数フィルタエントリ一致となる組み合わせ※ 有効になるフィルタエントリ イーサネット VLAN インタフェース 動作 中継 中継 イーサネット 中継 中継 廃棄 VLAN 廃棄 廃棄 中継 イーサネット 廃棄 廃棄 廃棄 イーサネット 廃棄 注※ 同一のフロー検出条件を設定した場合とします。
この条件に該当する受信側フロー検出モードは,layer3-1,layer3-dhcp-1,およびlayer3-suppress-1です。
(b) 送信側インタフェースの場合
この条件に該当する送信側フロー検出モードはありません。
(4) mac access-listとaccess-list/ip access-list/ipv6 access-listに同時に一致した場合の動作【AX3650S】
(a) 受信側インタフェースの場合
同一インタフェースに対してmac access-listとaccess-list/ip access-listをフロー検出条件としたフィルタエントリを設定して,該当するインタフェースからの受信フレームに対してフィルタを実施すると,複数のフィルタエントリに一致する場合があります。この場合,廃棄動作を指定したフィルタエントリ(暗黙の廃棄のエントリを含む)が優先となります。mac access-list,およびaccess-list/ip access-list共に中継動作を指定したフィルタエントリに一致する場合はmac access-listのフィルタエントリを優先します。複数のフィルタエントリに一致した場合の動作を次の表に示します。
表1-18 複数のフィルタエントリに一致した場合の動作
複数フィルタエントリ一致となる組み合わせ 有効になるフィルタエントリ mac access-list access-list
ip access-listインタフェース 動作 中継 中継 mac access-list 中継 中継 廃棄 access-list
ip access-list廃棄 廃棄 中継 mac access-list 廃棄 廃棄 廃棄 mac access-list 廃棄 この条件に該当する受信側フロー検出モードは,layer3-1およびlayer3-suppress-1です。
(b) 送信側インタフェースの場合
同一インタフェースに対してmac access-listとaccess-list/ip access-list/ipv6 access-listをフロー検出条件としたフィルタエントリを設定しても,送信フレームが複数のフィルタエントリに一致することはありません。この場合,常にmac access-listのフィルタエントリ(暗黙の廃棄のエントリを含む)に一致し,一致したフィルタエントリの指定動作が実施されます。
この条件に該当する送信側フロー検出モードはlayer3-2-outおよびlayer3-3-outです。
(5) 廃棄できないフレーム
受信側インタフェースで次に示すフレームは,フィルタの有無にかかわらず,フレームを廃棄できません。
- 本装置が受信するフレームのうち次のフレーム
- 自装置宛てのMACアドレス学習の移動検出とみなしたフレーム
- 本装置がレイヤ3中継し,本装置が受信するフレームのうち次のパケット/フレーム
- MTUを超えるIPv4,IPv6パケット
- TTLが1のフレーム
- ホップリミットが1のフレーム
- IPオプション付きのフレーム
- IPv6拡張ヘッダ付きのフレーム
- 宛先不明のIPv4,IPv6パケット
All Rights Reserved, Copyright(C), 2011, 2020, ALAXALA Networks, Corp.