1.1.6 アクセスリスト
フィルタのフロー検出を実施するためにはコンフィグレーションでアクセスリストを設定します。フロー検出条件に応じて設定するアクセスリストが異なります。また,フロー検出条件ごとに検出可能なフレーム種別が異なります。フロー検出条件と対応するアクセスリスト,および検出可能なフレーム種別の関係を次に示します。
|
設定可能な フロー検出条件 |
アクセスリスト |
対応する 受信側フロー 検出モード |
対応する 送信側フロー 検出モード |
検出可能な フレーム種別 |
||
|---|---|---|---|---|---|---|
|
非IP |
IPv4 |
IPv6 |
||||
|
MAC条件 |
mac access-list |
layer3-1, layer3-mirror-1, layer3-mirror-3, layer3-mirror-5 |
layer3-2-out |
○ |
○ |
○ |
|
IPv4条件 |
access-list ip access-list |
layer3-1, layer3-2, layer3-5, layer3-6, layer3-dhcp-1, layer3-mirror-1, layer3-mirror-2, layer3-mirror-3, layer3-mirror-4, layer3-mirror-5 |
layer3-1-out, layer3-2-out |
− |
○ |
− |
|
IPv6条件 |
ipv6 access-list |
layer3-5, layer3-6, layer3-mirror-3, layer3-mirror-4, layer3-mirror-5 |
layer3-2-out |
− |
− |
○ |
(凡例)○:検出できる −:検出できない
フィルタエントリの適用順序は,アクセスリストのパラメータであるシーケンス番号によって決定します。
(1) 複数のフロー検出条件を同時に設定した場合の動作
複数のフロー検出条件を設定して該当インタフェースの送受信フレームに対してフィルタを実施した場合,次の表に示す順序でフレームを検出します。複数のフィルタエントリには一致しません。
|
フロー検出順序 |
アクセスリスト |
インタフェース |
|---|---|---|
|
1 |
mac access-list |
イーサネット |
|
2 |
VLAN |
|
|
3 |
access-list ip access-list |
イーサネット |
|
4 |
VLAN |
|
|
5 |
ipv6 access-list |
イーサネット |
|
6 |
VLAN |
(2) 廃棄できないフレーム
受信側インタフェースで次に示すフレームは,フィルタの有無にかかわらず,フレームを廃棄できません。
- 本装置が受信するフレームのうち次のフレーム
-
-
自装置宛てのMACアドレス学習の移動検出とみなしたフレーム
-
- 本装置がレイヤ3中継し,本装置が受信するフレームのうち次のパケット/フレーム
-
-
MTUを超えるIPv4,IPv6パケット
-
TTLが1のフレーム
-
ホップリミットが1のフレーム
-
IPオプション付きのフレーム
-
IPv6拡張ヘッダ付きのフレーム
-
宛先不明のIPv4,IPv6パケット
-