![[目次]](FIGURE/CONTENT.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
コンフィグレーションガイド Vol.2
- <この項の構成>
- (1) 本装置が自発的に送信するパケット/フレームに対するフィルタ
- (2) IPv4オプション付きパケットに対するフィルタ
- (3) 拡張ヘッダのあるIPv6パケットに対するフィルタ
- (4) IPv4フラグメントパケットに対するフィルタ
- (5) IPv6フラグメントパケットに対するフィルタ
- (6) マルチキャストフレーム・ブロードキャストフレームに対するフィルタ
- (7) VLAN Tag付きフレームに対するフィルタ
- (8) フィルタエントリ適用時の動作
- (9) フィルタエントリ変更時の動作
- (10) VLANインタフェースの送信側での統計情報
- (11) DHCP snoopingとフィルタの関係
(1) 本装置が自発的に送信するパケット/フレームに対するフィルタ
本装置が自発的に送信するフレームは,フロー検出できないため廃棄できません。
(2) IPv4オプション付きパケットに対するフィルタ
レイヤ2中継するIPv4オプション付きパケットをフロー検出する場合は,フロー検出条件にMACヘッダ,IPv4ヘッダを指定してください。TCP/UDP/ICMP/IGMPヘッダをフロー検出条件に指定しても,指定したフロー検出条件に従ったフロー検出をしません。
また,レイヤ3中継するIPv4オプション付きパケットはフロー検出しません。
(3) 拡張ヘッダのあるIPv6パケットに対するフィルタ
拡張ヘッダのあるIPv6パケットをフロー検出する場合は,フロー検出条件にMACヘッダ,IPv6ヘッダを指定してください。TCP/UDP/ICMPヘッダをフロー検出条件に指定しても,フロー検出しません。
(4) IPv4フラグメントパケットに対するフィルタ
IPv4フラグメントパケットの2番目以降のフラグメントパケットはTCP/UDP/ICMP/IGMPヘッダがパケット内にありません。フラグメントパケットを受信した際のフィルタを次に示します。
表1-7 IPv4フラグメントパケットとフィルタの関係
フロー検出条件 フロー検出条件とパケットの一致/不一致 動作 先頭パケット 2番目以降のパケット IPv4ヘッダだけ IPv4ヘッダ一致※ 中継 中継 中継 廃棄 廃棄 廃棄 IPv4ヘッダ不一致 中継 次のエントリを検索 次のエントリを検索 廃棄 次のエントリを検索 次のエントリを検索 IPv4ヘッダ+TCP/UDP/ICMP/IGMPヘッダ IPv4ヘッダ一致,
TCP/UDP/ICMP/IGMPヘッダ一致中継 中継 − 廃棄 廃棄 − IPv4ヘッダ一致,
TCP/UDP/ICMP/IGMPヘッダ不一致中継 次のエントリを検索 次のエントリを検索 廃棄 次のエントリを検索 次のエントリを検索 IPv4ヘッダ不一致,
TCP/UDP/ICMP/IGMPヘッダ不一致中継 次のエントリを検索 次のエントリを検索 廃棄 次のエントリを検索 次のエントリを検索
- (凡例)
- −:TCP/UDP/ICMP/IGMPヘッダがパケットに無いため,常にTCP/UDP/ICMP/IGMPヘッダ不一致として扱うので該当しない
- 注※
- アクセスリストのパラメータであるfragmentsパラメータを指定することで,2番目以降のフラグメントパケットだけを検出できます。
(5) IPv6フラグメントパケットに対するフィルタ
IPv6フラグメントパケットに対しての2番目以降のフラグメントパケットはTCP/UDP/ICMPヘッダがパケット内にありません。IPv6フラグメントパケットを受信した際のフィルタを次に示します。
表1-8 IPv6フラグメントパケットとフィルタの関係
フロー検出条件 フロー検出条件とパケットの一致/不一致 動作 先頭パケット 2番目以降のパケット IPv6ヘッダだけ※ IPv6ヘッダ一致 中継 中継 中継 廃棄 廃棄 廃棄 IPv6ヘッダ不一致 中継 次のエントリを検索 次のエントリを検索 廃棄 次のエントリを検索 次のエントリを検索 IPv6ヘッダ+TCP/UDP/ICMPヘッダ IPv6ヘッダ一致,
TCP/UDP/ICMPヘッダ一致中継 次のエントリを検索 − 廃棄 次のエントリを検索 − IPv6ヘッダ一致,
TCP/UDP/ICMPヘッダ不一致中継 次のエントリを検索 次のエントリを検索 廃棄 次のエントリを検索 次のエントリを検索 IPv6ヘッダ不一致,
TCP/UDP/ICMPヘッダ不一致中継 次のエントリを検索 次のエントリを検索 廃棄 次のエントリを検索 次のエントリを検索 (凡例)−:TCP/UDP/ICMPヘッダがパケットに無いため該当しない
- 注※
- アクセスリストのパラメータであるipv6パラメータを指定した場合だけ,有効なフィルタエントリです。
(6) マルチキャストフレーム・ブロードキャストフレームに対するフィルタ
マルチキャストフレーム・ブロードキャストフレームは,レイヤ2中継・レイヤ3中継ともに実施されます。マルチキャストフレーム・ブロードキャストフレームをフィルタする場合は,該当するインタフェースに対して,次のどちらかを適用してください。
- レイヤ2中継指定のフィルタエントリおよびレイヤ3中継指定のフィルタエントリ
- Advance条件で,レイヤ2中継およびレイヤ3中継両方指定のフィルタエントリ
この場合,統計情報は2回カウントされます。
(7) VLAN Tag付きフレームに対するフィルタ
本装置では,2段までのVLAN Tagがあるフレームについて,IPv4ヘッダ・IPv6ヘッダをフロー検出条件としたフィルタができます。3段以上のVLAN Tagがあるフレームをフィルタする場合は,MACヘッダをフロー検出条件としたフィルタエントリを適用してください。
(8) フィルタエントリ適用時の動作
本装置では,インタフェースに対してフィルタを適用する※と,設定したフィルタエントリが適用されるまでの間,暗黙の廃棄を含むほかのフィルタエントリで検出される場合があります。その場合,検出した暗黙の廃棄を含むフィルタエントリの統計情報が採られます。
- 注※
- 1エントリ以上を設定したアクセスリストを,アクセスグループコマンドによってインタフェースに適用する場合
- アクセスリストをアクセスグループコマンドによって適用し,エントリを追加する場合
- 装置またはBSU起動時,運用コマンドcopyまたはrestart vlan実行時にフィルタエントリを適用する場合
(9) フィルタエントリ変更時の動作
本装置では,インタフェースに適用済みのフィルタエントリを変更すると,変更が反映されるまでの間,検出の対象となるフレームが検出されなくなります。そのため,一時的にほかのフィルタエントリまたは暗黙の廃棄エントリで検出されます。
(10) VLANインタフェースの送信側での統計情報
本装置でフラッディングされるパケットまたは宛先MACアドレスがマルチキャストアドレスのパケットをレイヤ2中継する場合,次に示す三つの条件をすべて満たすと,VLANインタフェースの送信側に設定したアクセスリストの統計情報が実際の値より65536の倍数分少なくなることがあります。この統計情報とは,運用コマンドshow access-filterおよびMIBの統計情報の両方を指します。
なお,フィルタ動作には影響ありません。
- イーサネットインタフェースまたはVLANインタフェースの受信側に設定したアクセスリストに,レイヤ2中継パケットが一致した場合
- VLANインタフェースの送信側に設定したアクセスリストにレイヤ2中継パケットが一致し,一致する前の統計情報が「(65536の倍数)−2」の場合
- パケットをレイヤ2中継するVLANインタフェースに,三つ以上のイーサネットインタフェースが所属している場合
(11) DHCP snoopingとフィルタの関係
DHCP snoopingとフィルタの関係について次に示します。
- DHCP snoopingが有効な場合,プロトコル名称bootpsおよびbootpcの両方のレイヤ3中継パケットはインタフェースの受信側でフロー検出できません。
- 端末フィルタが有効なポートで受信したIPv4パケットはインタフェースの受信側でフロー検出できません。端末フィルタの動作に従います。
All Rights Reserved, Copyright(C), 2006, 2018, ALAXALA Networks, Corp.