9.1.7 フィルタ使用時の注意事項
- 〈この項の構成〉
(1) ESP拡張ヘッダのあるIPv6パケットに対するフィルタ
拡張ヘッダであるESPヘッダのあるIPv6パケットをフロー検出する場合は,フロー検出条件に次の条件を指定してください。
-
コンフィグレーション
-
MACヘッダ
-
VLAN Tagヘッダ
-
IPv6ヘッダ
-
中継種別
上位プロトコルおよびTCP/UDP/ICMPヘッダをフロー検出条件に指定しても,フロー検出しません。
(2) オプションヘッダのあるIPv4パケットに対するフィルタ
Advance条件でレイヤ2中継かつオプションヘッダのあるIPv4パケットをフロー検出する場合は,フロー検出条件に次の条件を指定してください。
-
コンフィグレーション
-
MACヘッダ
-
VLAN Tagヘッダ
-
IPv4ヘッダ
-
中継種別
TCP/UDP/ICMP/IGMPヘッダをフロー検出条件に指定しても,フロー検出しません。
(3) 拡張ヘッダのあるIPv6パケットに対するフィルタ
Advance条件でレイヤ2中継かつ拡張ヘッダのあるIPv6パケットをフロー検出する場合は,フロー検出条件に次の条件を指定してください。
-
コンフィグレーション
-
MACヘッダ
-
VLAN Tagヘッダ
-
IPv6ヘッダ
-
中継種別
上位プロトコルおよびTCP/UDP/ICMPヘッダをフロー検出条件に指定した場合の,フロー検出可否を次に示します。
|
パケット |
フロー検出条件 |
|||||
|---|---|---|---|---|---|---|
|
レイヤ3ヘッダ |
パケット受信時のレイヤ2ヘッダサイズ |
上位プロトコル |
TCP/UDP/ICMPヘッダ |
TCP制御フラグ |
||
|
拡張 ヘッダ 段数 |
拡張 ヘッダ 種別 |
拡張 ヘッダサイズ |
||||
|
2段以上 |
− |
− |
− |
× |
× |
× |
|
1段 |
− |
28byte以上 |
− |
○ |
× |
× |
|
AH |
16byte |
30byte以上 |
○ |
○ |
× |
|
|
20byte |
26byte以上 |
○ |
○ |
× |
||
|
24byte |
22byte以上 |
○ |
○ |
× |
||
|
30byte以上 |
○ |
× |
× |
|||
|
上記以外 |
16byte |
30byte以上 |
○ |
○ |
× |
|
|
24byte |
22byte以上 |
○ |
○ |
× |
||
|
30byte以上 |
○ |
× |
× |
|||
(凡例) ○:検出できる ×:検出できない −:条件によらない
|
パケット |
フロー検出条件 |
|||||
|---|---|---|---|---|---|---|
|
レイヤ3ヘッダ |
パケット受信時のレイヤ2ヘッダサイズ |
上位プロトコル |
TCP/UDP/ICMPヘッダ |
TCP制御フラグ |
||
|
拡張 ヘッダ 段数 |
拡張 ヘッダ 種別 |
拡張 ヘッダサイズ |
||||
|
2段以上 |
− |
− |
− |
× |
× |
× |
|
1段 |
− |
28byte以上 |
− |
○ |
× |
× |
|
AH |
12byte |
30byte以上 |
○ |
○ |
× |
|
|
16byte |
26byte以上 |
○ |
○ |
× |
||
|
20byte |
22byte以上 |
○ |
○ |
× |
||
|
30byte以上 |
○ |
× |
× |
|||
|
24byte |
18byte以上 |
○ |
○ |
× |
||
|
26byte以上 |
○ |
× |
× |
|||
|
上記以外 |
16byte |
26byte以上 |
○ |
○ |
× |
|
|
24byte以上 |
18byte以上 |
○ |
○ |
× |
||
|
26byte以上 |
○ |
× |
× |
|||
(凡例) ○:検出できる ×:検出できない −:条件によらない
(4) 拡張ヘッダが2段以上あるIPv6パケットに対するフィルタ
レイヤ2中継かつ拡張ヘッダが2段以上あるIPv6パケットをフロー検出する場合は,フラグメント条件(FOおよびMF)以外の条件を指定してください。
(5) フラグメントパケットに対するフィルタ
フラグメントパケットの2番目以降のパケットはTCP/UDP/ICMP/IGMPヘッダがパケット内にありません。フラグメントパケットを受信した際のフィルタを次の表に示します。
|
フロー検出条件 |
フロー検出条件とパケットの一致/不一致 |
動作 |
先頭パケット |
2番目以降のパケット |
|---|---|---|---|---|
|
IPヘッダだけ |
IPヘッダ一致 |
中継 |
中継 |
中継 |
|
廃棄 |
廃棄 |
廃棄 |
||
|
IPヘッダ不一致 |
中継 |
次のエントリを検索 |
次のエントリを検索 |
|
|
廃棄 |
次のエントリを検索 |
次のエントリを検索 |
||
|
IPヘッダ+TCP/UDP/ICMP/IGMPヘッダ |
IPヘッダ一致, TCP/UDP/ICMP/IGMPヘッダ一致 |
中継 |
中継 |
− |
|
廃棄 |
廃棄 |
− |
||
|
IPヘッダ一致, TCP/UDP/ICMP/IGMPヘッダ不一致 |
中継 |
次のエントリを検索 |
次のエントリを検索 |
|
|
廃棄 |
次のエントリを検索 |
次のエントリを検索 |
||
|
IPヘッダ不一致, TCP/UDP/ICMP/IGMPヘッダ不一致 |
中継 |
次のエントリを検索 |
次のエントリを検索 |
|
|
廃棄 |
次のエントリを検索 |
次のエントリを検索 |
- (凡例)
-
−:TCP/UDP/ICMP/IGMPヘッダがパケットにないため,常にTCP/UDP/ICMP/IGMPヘッダ不一致として扱うので該当しない
(6) フィルタで検出しないフレーム
本装置では,受信側に設定したフィルタで次に示すフレームをフロー検出しません。
-
uRPFによって廃棄したフレーム
また,送信側に設定したフィルタで次に示すフレームをフロー検出しません。
-
ポートミラーリングでコピーしたフレーム
(7) 自発パケットに対するフィルタ
特定の自発IPv4パケットおよび自発IPv6パケットには,送信側でのフロー検出で検出できない,フロー検出条件とAdvance条件での中継種別パラメータの組み合わせがあります。
該当するパケットを次に示します。
-
宛先IPアドレスがブロードキャストであるIPv4パケット
-
宛先IPアドレスがマルチキャストアドレスであるIPv4パケット・IPv6パケット
-
宛先IPアドレスがリンクローカルアドレスであるIPv6パケット
-
トラッキング機能でネクストホップを指定した場合のポーリングパケット
-
RAが送信するパケット
-
DHCP/BOOTPリレーエージェントやDHCPv6リレーエージェントがクライアントへ送信するパケット
-
IPv6スタティックルーティングの動的監視機能で隣接ゲートウェイを監視する場合に送信するICMPv6パケット
-
RIP/RIPngが送信するパケット
-
BGP4/BGP4+の,コンフィグレーションコマンドneighbor ebgp-multihopを設定していない外部ピアが送信するパケット
上記パケットについて,送信側でフロー検出を行う場合は,検出可能なフロー検出条件や中継種別パラメータを設定してください。
特定の自発パケットの,フロー検出モード,フロー検出条件,および中継種別パラメータごとのフロー検出可否を次の表に示します。
|
フロー検出モード |
フロー検出条件 |
検出条件の中継種別 パラメータ |
検出可否 |
|---|---|---|---|
|
エントリ数重視モード |
MAC条件 |
− |
× |
|
IPv4条件 |
− |
○ |
|
|
IPv6条件 |
− |
○ |
|
|
検出条件数重視モード |
MAC条件 |
− |
○ |
|
IPv4条件 |
− |
× |
|
|
IPv6条件 |
− |
× |
|
|
Advance条件 |
指定なし |
○ |
|
|
layer2 |
○ |
||
|
layer3 |
× |
(凡例) ○:検出できる ×:検出できない −:指定できない
(8) IPマルチキャストパケットおよびIPブロードキャストパケットに対するフィルタ
IPマルチキャストパケットおよびIPブロードキャストパケットには,レイヤ2中継とレイヤ3中継が共に実施されます。IPマルチキャストパケットおよびIPブロードキャストパケットをフロー検出する場合は,該当するインタフェースに対して次のどちらかの方法を適用してください。
-
次に示す2種類のフィルタエントリを同時に指定する
-
IPv4条件またはIPv6条件のフィルタエントリ
-
MAC条件のフィルタエントリ
-
-
Advance条件で,中継種別を指定しないフィルタエントリを指定する
この場合,統計情報は2回カウントされます。
(9) フィルタエントリ削除時の動作
次に示すコンフィグレーションの変更でフィルタエントリを削除した場合,一時的に暗黙の廃棄エントリによってフレームが廃棄されます。
-
アクセスグループコマンドで1エントリ以上を設定したアクセスリストを,インタフェースから削除する場合
-
アクセスグループコマンドでインタフェースに適用済みのアクセスリストから,最後のフィルタエントリを削除する場合
(10) フィルタエントリ変更時の動作
本装置では,インタフェースに適用済みのフィルタエントリを変更すると,変更が反映されるまでの間,検出の対象となるフレームをほかのフィルタエントリまたは暗黙の廃棄エントリで検出します。
また,変更後のフィルタエントリが複数のエントリを使用するフロー検出条件の場合,すべてのフィルタエントリを装置に反映してから統計情報の採取を開始します。
(11) 自宛パケットを廃棄するフィルタの設定
次に示す条件を満たす場合は,ポリシーベースルーティングを動作に指定しているフィルタエントリのシーケンス番号よりも小さい番号に,自宛パケットを廃棄するフィルタエントリを設定してください。
-
自宛パケットを廃棄するフィルタを設定するインタフェースに,ポリシーベースルーティングを動作に指定しているフィルタを設定している場合
-
廃棄したい自宛パケットのフロー検出条件が,ポリシーベースルーティングを動作に指定しているフィルタのフロー検出条件に含まれる場合