9.1.5 アクセスリスト
フィルタのフロー検出を実施するためにはコンフィグレーションでアクセスリストを設定します。フロー検出条件に応じて設定するアクセスリストが異なります。また,フロー検出条件ごとに検出できるフレーム種別が異なります。フロー検出条件とアクセスリスト,および検出するフレーム種別の関係を次の表に示します。
|
フロー検出条件 |
アクセスリスト |
検出するフレーム種別 |
|||||
|---|---|---|---|---|---|---|---|
|
エントリ数重視モード |
検出条件数重視モード |
||||||
|
非IP |
IPv4 |
IPv6 |
非IP |
IPv4 |
IPv6 |
||
|
MAC条件 |
mac access-list |
○ |
○※1 |
○※1 |
○ |
○※1 |
○※1 |
|
IPv4条件 |
ip access-list |
− |
○※2 |
− |
− |
○※2 |
− |
|
IPv6条件 |
ipv6 access-list |
− |
− |
○※2 |
− |
− |
○※2 |
|
Advance条件 |
advance access-list |
−※3 |
−※3 |
−※3 |
○ |
○※4 |
○※4 |
(凡例) ○:検出する −:検出しない
- 注※1
-
レイヤ2中継するフレームを検出します。
- 注※2
-
レイヤ3中継するパケットを検出します。
- 注※3
-
エントリ数重視モードの場合,Advance条件をインタフェースに適用できません。
- 注※4
-
レイヤ2中継およびレイヤ3中継するフレームの両方を検出します。
アクセスリストのインタフェースへの適用は,アクセスリストグループコマンドおよびIPv6トラフィックフィルタコマンドで設定します。
なお,アクセスリストは設定条件によってフロー検出順序が決まります。設定条件ごとのフロー検出順序を次に示します。
(1) アクセスリスト内での順序
アクセスリストに複数のフィルタエントリを設定した場合,フィルタエントリのシーケンス番号の昇順でフレームを検出します。
(2) 同一インタフェース内での順序
同一インタフェースに複数のアクセスリストを設定した場合,次の順序でフレームを検出します。
-
MACアクセスリスト,IPv4アクセスリスト,またはIPv6アクセスリスト
-
Advanceアクセスリスト
例えば,MACアクセスリストでフロー検出したフレームは,Advanceアクセスリストではフロー検出されません。また,統計情報もカウントされません。
(3) 複数のインタフェースでの順序
イーサネットインタフェースと,該当するイーサネットインタフェースのイーサネットサブインタフェース,ポートチャネルサブインタフェース,またはVLANインタフェースにアクセスリストを設定した場合,次の順序でフレームを検出します。
-
イーサネットインタフェース
-
イーサネットサブインタフェース,ポートチャネルサブインタフェース,またはVLANインタフェース