9.1.7 フィルタ使用時の注意事項
- 〈この項の構成〉
(1) ESP拡張ヘッダのあるIPv6パケットに対するフィルタ
拡張ヘッダであるESPヘッダのあるIPv6パケットをフロー検出する場合は,フロー検出条件に次の条件を指定してください。
-
コンフィグレーション
-
MACヘッダ
-
VLAN Tagヘッダ
-
IPv6ヘッダ
-
中継種別
上位プロトコルおよびTCP/UDP/ICMPヘッダをフロー検出条件に指定しても,フロー検出しません。
(2) オプションヘッダのあるIPv4パケットに対するフィルタ
Advance条件でレイヤ2中継かつオプションヘッダのあるIPv4パケットをフロー検出する場合は,フロー検出条件に次の条件を指定してください。
-
コンフィグレーション
-
MACヘッダ
-
VLAN Tagヘッダ
-
IPv4ヘッダ
-
中継種別
TCP/UDP/ICMP/IGMPヘッダをフロー検出条件に指定しても,フロー検出しません。
(3) 拡張ヘッダのあるIPv6パケットに対するフィルタ
Advance条件でレイヤ2中継かつ拡張ヘッダのあるIPv6パケットをフロー検出する場合は,フロー検出条件に次の条件を指定してください。
-
コンフィグレーション
-
MACヘッダ
-
VLAN Tagヘッダ
-
IPv6ヘッダ
-
中継種別
上位プロトコルおよびTCP/UDP/ICMPヘッダをフロー検出条件に指定した場合の,フロー検出可否を次に示します。
|
パケット |
フロー検出条件 |
|||||
|---|---|---|---|---|---|---|
|
レイヤ3ヘッダ |
パケット受信時のレイヤ2ヘッダサイズ |
上位プロトコル |
TCP/UDP/ICMPヘッダ |
TCP制御フラグ |
||
|
拡張 ヘッダ 段数 |
拡張 ヘッダ 種別 |
拡張 ヘッダサイズ |
||||
|
2段以上 |
− |
− |
− |
× |
× |
× |
|
1段 |
− |
28byte以上 |
− |
○ |
× |
× |
|
AH |
16byte |
30byte以上 |
○ |
○ |
× |
|
|
20byte |
26byte以上 |
○ |
○ |
× |
||
|
24byte |
22byte以上 |
○ |
○ |
× |
||
|
30byte以上 |
○ |
× |
× |
|||
|
上記以外 |
16byte |
30byte以上 |
○ |
○ |
× |
|
|
24byte |
22byte以上 |
○ |
○ |
× |
||
|
30byte以上 |
○ |
× |
× |
|||
(凡例) ○:検出できる ×:検出できない −:条件によらない
|
パケット |
フロー検出条件 |
|||||
|---|---|---|---|---|---|---|
|
レイヤ3ヘッダ |
パケット受信時のレイヤ2ヘッダサイズ |
上位プロトコル |
TCP/UDP/ICMPヘッダ |
TCP制御フラグ |
||
|
拡張 ヘッダ 段数 |
拡張 ヘッダ 種別 |
拡張 ヘッダサイズ |
||||
|
2段以上 |
− |
− |
− |
× |
× |
× |
|
1段 |
− |
28byte以上 |
− |
○ |
× |
× |
|
AH |
12byte |
30byte以上 |
○ |
○ |
× |
|
|
16byte |
26byte以上 |
○ |
○ |
× |
||
|
20byte |
22byte以上 |
○ |
○ |
× |
||
|
30byte以上 |
○ |
× |
× |
|||
|
24byte |
18byte以上 |
○ |
○ |
× |
||
|
26byte以上 |
○ |
× |
× |
|||
|
上記以外 |
16byte |
26byte以上 |
○ |
○ |
× |
|
|
24byte以上 |
18byte以上 |
○ |
○ |
× |
||
|
26byte以上 |
○ |
× |
× |
|||
(凡例) ○:検出できる ×:検出できない −:条件によらない
(4) 拡張ヘッダが2段以上あるIPv6パケットに対するフィルタ
レイヤ2中継かつ拡張ヘッダが2段以上あるIPv6パケットをフロー検出する場合は,フラグメント条件(FOおよびMF)以外の条件を指定してください。
(5) フラグメントパケットに対するフィルタ
フラグメントパケットの2番目以降のパケットはTCP/UDP/ICMP/IGMPヘッダがパケット内にありません。フラグメントパケットを受信した際のフィルタを次の表に示します。
|
フロー検出条件 |
フロー検出条件とパケットの一致/不一致 |
動作 |
先頭パケット |
2番目以降のパケット |
|---|---|---|---|---|
|
IPヘッダだけ |
IPヘッダ一致 |
中継 |
中継 |
中継 |
|
廃棄 |
廃棄 |
廃棄 |
||
|
IPヘッダ不一致 |
中継 |
次のエントリを検索 |
次のエントリを検索 |
|
|
廃棄 |
次のエントリを検索 |
次のエントリを検索 |
||
|
IPヘッダ+TCP/UDP/ICMP/IGMPヘッダ |
IPヘッダ一致, TCP/UDP/ICMP/IGMPヘッダ一致 |
中継 |
中継 |
− |
|
廃棄 |
廃棄 |
− |
||
|
IPヘッダ一致, TCP/UDP/ICMP/IGMPヘッダ不一致 |
中継 |
次のエントリを検索 |
次のエントリを検索 |
|
|
廃棄 |
次のエントリを検索 |
次のエントリを検索 |
||
|
IPヘッダ不一致, TCP/UDP/ICMP/IGMPヘッダ不一致 |
中継 |
次のエントリを検索 |
次のエントリを検索 |
|
|
廃棄 |
次のエントリを検索 |
次のエントリを検索 |
- (凡例)
-
−:TCP/UDP/ICMP/IGMPヘッダがパケットにないため,常にTCP/UDP/ICMP/IGMPヘッダ不一致として扱うので該当しない
(6) フィルタで検出しないフレーム
本装置では,受信側に設定したフィルタで次に示すフレームをフロー検出しません。
-
uRPFによって廃棄したフレーム
また,送信側に設定したフィルタで次に示すフレームをフロー検出しません。
-
ポートミラーリングでコピーしたフレーム
(7) 自発パケットに対するフィルタ
特定自発パケットを送信側でフロー検出する場合は,検出できるアクセスリスト種別や中継種別で設定してください。
対象となる特定自発IPv4パケットを次に示します。
-
宛先IPアドレスがブロードキャストアドレスのパケット
-
宛先IPアドレスがマルチキャストアドレスのパケット
-
次のプロトコル制御パケット
-
DHCP/BOOTPクライアント宛てのメッセージ
-
スタティック経路のポーリングによるICMPパケット
-
直結経路とのBGP4メッセージ
-
対象となる特定自発IPv6パケットを次に示します。
-
宛先IPアドレスがリンクローカルアドレスのパケット
-
宛先IPアドレスがマルチキャストアドレスのパケット
-
次のプロトコル制御パケット
-
スタティック経路のポーリングによるICMPv6パケット
-
直結経路とのBGP4+メッセージ
-
これらの特定自発パケットに対するフロー検出可否を次の表に示します。
|
フロー検出モード |
アクセスリスト種別 |
検出条件の中継種別 |
検出可否 |
|---|---|---|---|
|
エントリ数重視モード |
MACアクセスリスト |
− |
× |
|
IPv4アクセスリスト |
− |
○ |
|
|
IPv6アクセスリスト |
− |
○ |
|
|
検出条件数重視モード |
MACアクセスリスト |
− |
○ |
|
IPv4アクセスリスト |
− |
× |
|
|
IPv6アクセスリスト |
− |
× |
|
|
Advanceアクセスリスト |
指定なし |
○ |
|
|
レイヤ2中継 |
○ |
||
|
レイヤ3中継 |
× |
(凡例) ○:検出できる ×:検出できない −:指定できない
(8) IPマルチキャストパケットおよびIPブロードキャストパケットに対するフィルタ
IPマルチキャストパケットおよびIPブロードキャストパケットには,レイヤ2中継とレイヤ3中継が共に実施されます。IPマルチキャストパケットおよびIPブロードキャストパケットをフロー検出する場合は,該当するインタフェースに対して次のどちらかの方法を適用してください。
-
次に示す2種類のフィルタエントリを同時に指定する
-
IPv4条件またはIPv6条件のフィルタエントリ
-
MAC条件のフィルタエントリ
-
-
Advance条件で,中継種別を指定しないフィルタエントリを指定する
この場合,統計情報は2回カウントされます。
(9) フィルタエントリ削除時の動作
次に示すコンフィグレーションの変更でフィルタエントリを削除した場合,一時的に暗黙の廃棄エントリによってフレームが廃棄されます。
-
アクセスグループコマンドで1エントリ以上を設定したアクセスリストを,インタフェースから削除する場合
-
アクセスグループコマンドでインタフェースに適用済みのアクセスリストから,最後のフィルタエントリを削除する場合
(10) フィルタエントリ変更時の動作
本装置では,インタフェースに適用済みのフィルタエントリを変更すると,変更が反映されるまでの間,検出の対象となるフレームをほかのフィルタエントリまたは暗黙の廃棄エントリで検出します。
また,変更後のフィルタエントリが複数のエントリを使用するフロー検出条件の場合,すべてのフィルタエントリを装置に反映してから統計情報の採取を開始します。
(11) 自宛パケットを廃棄するフィルタの設定
次に示す条件を満たす場合は,ポリシーベースルーティングを動作に指定しているフィルタエントリのシーケンス番号よりも小さい番号に,自宛パケットを廃棄するフィルタエントリを設定してください。
-
自宛パケットを廃棄するフィルタを設定するインタフェースに,ポリシーベースルーティングを動作に指定しているフィルタを設定している場合
-
廃棄したい自宛パケットのフロー検出条件が,ポリシーベースルーティングを動作に指定しているフィルタのフロー検出条件に含まれる場合