コンフィグレーションガイド Vol.2


9.1.5 アクセスリスト

フィルタのフロー検出を実施するためにはコンフィグレーションでアクセスリストを設定します。フロー検出条件に応じて設定するアクセスリストが異なります。また,フロー検出条件ごとに検出できるフレーム種別が異なります。フロー検出条件とアクセスリスト,および検出するフレーム種別の関係を次の表に示します。

表9‒6 フロー検出条件とアクセスリスト,検出するフレーム種別の関係

フロー検出条件

アクセスリスト

検出するフレーム種別

エントリ数重視モード

検出条件数重視モード

非IP

IPv4

IPv6

非IP

IPv4

IPv6

MAC条件

mac access-list

※1

※1

※1

※1

IPv4条件

ip access-list

※2

※2

IPv6条件

ipv6 access-list

※2

※2

Advance条件

advance access-list

※3

※3

※3

※4

※4

(凡例) ○:検出する −:検出しない

注※1

レイヤ2中継するフレームを検出します。

注※2

レイヤ3中継するパケットを検出します。

注※3

エントリ数重視モードの場合,Advance条件をインタフェースに適用できません。

注※4

レイヤ2中継およびレイヤ3中継するフレームの両方を検出します。

アクセスリストのインタフェースへの適用は,アクセスリストグループコマンドおよびIPv6トラフィックフィルタコマンドで設定します。

なお,アクセスリストは設定条件によってフロー検出順序が決まります。設定条件ごとのフロー検出順序を次に示します。

〈この項の構成〉

(1) アクセスリスト内での順序

アクセスリストに複数のフィルタエントリを設定した場合,フィルタエントリのシーケンス番号の昇順でフレームを検出します。

(2) 同一インタフェース内での順序

同一インタフェースに複数のアクセスリストを設定した場合,次の順序でフレームを検出します。

  1. MACアクセスリスト,IPv4アクセスリスト,またはIPv6アクセスリスト

  2. Advanceアクセスリスト

例えば,MACアクセスリストでフロー検出したフレームは,Advanceアクセスリストではフロー検出されません。また,統計情報もカウントされません。

(3) 複数のインタフェースでの順序

イーサネットインタフェースと,該当するイーサネットインタフェースのイーサネットサブインタフェース,ポートチャネルサブインタフェース,またはVLANインタフェースにアクセスリストを設定した場合,次の順序でフレームを検出します。

  1. イーサネットインタフェース

  2. イーサネットサブインタフェース,ポートチャネルサブインタフェース,またはVLANインタフェース