コンフィグレーションガイド Vol.2
アクセスリストロギングでは,フィルタで廃棄したパケット内のレイヤ2,レイヤ3およびレイヤ4ヘッダを解析して,アクセスリストログに表示します。アクセスリストログの表示内容を次の表に示します。なお,アクセスリストログのフォーマットについては,マニュアル「メッセージ・ログレファレンス」を参照してください。
表2-1 アクセスリストログの表示内容
分類 表示項目 内容 パケット内の情報 <source mac> 送信元MACアドレス <destination mac> 宛先MACアドレス <ethernet type> イーサネットタイプ <protocol no.> 上位プロトコル番号 <next header> 次ヘッダ番号 <source ip address> 送信元IPv4/IPv6アドレス <destination ip address> 宛先IPv4/IPv6アドレス <source port> 送信元ポート番号※1 <destination port> 宛先ポート番号※1 付与情報 <Time> ログ出力時刻※2 <denied filter point> フィルタで廃棄したポイント※3 <received interface> 表示パケットの受信インタフェース※4 <send interface> 表示パケットの送信インタフェース※4 <packets> 出力したログのうち,次の内容が同じフローのパケット数
- パケット内の情報
- フィルタで廃棄したポイント
- 送受信インタフェース
- 注※1
- 上位プロトコルがTCPとUDPの場合だけ表示します。
- 注※2
- 運用コマンドshow access-log flowでは表示しません。
- 注※3
- 受信側インタフェース(IN),または送信側インタフェース(OUT)のどちらで廃棄したかを表示します。
- 注※4
- 送受信インタフェースにはVLAN ID(vlan<vlan id>)およびイーサネットインタフェース(Ethernet<nif no.>/<port no.>)を表示します。なお,フィルタで廃棄したパケットの中継種別および<denied filter point>によって,表示内容が異なります。送受信インタフェースの表示内容を次の表に示します。
表2-2 送受信インタフェースの表示内容
フィルタで廃棄したパケットの中継種別 <denied filter point> 表示項目 <received interface>
の表示内容<send interface>
の表示内容レイヤ2中継 IN vlan<vlan id>と
Ethernet<nif no.>/<port no.>− OUT vlan<vlan id>と
Ethernet<nif no.>/<port no.>レイヤ3中継 IN − OUT vlan<vlan id> 本装置宛 IN − OUT − − (凡例) −:表示しない
フィルタで廃棄したパケット種別によって,表示するアクセスリストログの内容が異なります。アクセスリストログで表示する内容を,パケット種別ごとに次に示します。
表2-3 アクセスリストログの表示内容(非IPパケット)
表示項目 VLAN Tagなし,
またはVLAN Tag1段VLAN Tag2段以上 <source mac> ○ ○ <destination mac> ○ ○ <ethernet type> ○ − <protocol no.> − − <next header> − − <source ip address> − − <destination ip address> − − <source port> − − <destination port> − − <denied filter point> ○ ○ <received interface> ○ ○ <send interface> ○ ○ <packets> ○ ○ (凡例) ○:表示する −:表示しない
表2-4 アクセスリストログの表示内容(IPv4パケット)
表示項目 VLAN Tagなし,またはVLAN Tag1段 VLAN Tag2段以上 IPオプションなし IPオプション付き IPフラグメント以外 IPフラグメント レイヤ4がTCP,UDP レイヤ4なし,またはレイヤ4がTCP,UDP以外 レイヤ4がTCP,UDP レイヤ4なし,またはレイヤ4がTCP,UDP以外 <source mac> − − − − − ○ <destination mac> − − − − − ○ <ethernet type> − − − − − − <protocol no.> ○ ○ ○ ○ ○ − <next header> − − − − − − <source ip address> ○ ○ ○ ○ ○ − <destination ip address> ○ ○ ○ ○ ○ − <source port> ○ − ○※ − − − <destination port> ○ − ○※ − − − <denied filter point> ○ ○ ○ ○ ○ ○ <received interface> ○ ○ ○ ○ ○ ○ <send interface> ○ ○ ○ ○ ○ ○ <packets> ○ ○ ○ ○ ○ ○ (凡例) ○:表示する −:表示しない
- 注
- 本装置でIPフラグメントする場合は,フラグメントする前のパケットの内容でアクセスリストログを表示します。
- 注※
- 本装置でIPフラグメントする場合だけ表示します。本装置でフラグメントしない場合は表示しません。
表2-5 アクセスリストログの表示内容(IPv6パケット)
表示項目 VLAN Tagなし,またはVLAN Tag1段 VLAN Tag
2段以上IPv6拡張ヘッダなし IPv6拡張ヘッダあり レイヤ4がTCP,UDP レイヤ4なし,またはレイヤ4がTCP,UDP以外 <source mac> − − − ○ <destination mac> − − − ○ <ethernet type> − − − − <protocol no.> − − − − <next header> ○ ○ ○ − <source ip address> ○ ○ ○ − <destination ip address> ○ ○ ○ − <source port> ○ − − − <destination port> ○ − − − <denied filter point> ○ ○ ○ ○ <received interface> ○ ○ ○ ○ <send interface> ○ ○ ○ ○ <packets> ○ ○ ○ ○ (凡例) ○:表示する −:表示しない
All Rights Reserved, Copyright(C), 2006, 2018, ALAXALA Networks, Corp.