(4) BPDU ガード
8.1 解説
8.1.7 フィルタ使用時の注意事項
(1) ESP 拡張ヘッダのある IPv6 パケットに対するフィルタ
拡張ヘッダである ESP ヘッダのある IPv6 パケットをフロー検出する場合は,フロー検出条件に次の条件 を指定してください。
• コンフィグレーション
8 フィルタ
• MAC ヘッダ
• VLAN Tag ヘッダ
• IPv6 ヘッダ
• 中継種別
上位プロトコルおよび TCP/UDP/ICMP ヘッダをフロー検出条件に指定しても,フロー検出しません。
(2) オプションヘッダのある IPv4 パケットに対するフィルタ
Advance 条件でレイヤ 2 中継かつオプションヘッダのある IPv4 パケットをフロー検出する場合は,フ ロー検出条件に次の条件を指定してください。
• コンフィグレーション
• MAC ヘッダ
• VLAN Tag ヘッダ
• IPv4 ヘッダ
• 中継種別
TCP/UDP/ICMP/IGMP ヘッダをフロー検出条件に指定しても,フロー検出しません。
(3) 拡張ヘッダのある IPv6 パケットに対するフィルタ
Advance 条件でレイヤ 2 中継かつ拡張ヘッダのある IPv6 パケットをフロー検出する場合は,フロー検出 条件に次の条件を指定してください。
• コンフィグレーション
• MAC ヘッダ
• VLAN Tag ヘッダ
• IPv6 ヘッダ
• 中継種別
上位プロトコルおよび TCP/UDP/ICMP ヘッダをフロー検出条件に指定した場合の,フロー検出可否を次 に示します。
表 8‒7 受信側インタフェースでのフロー検出可否
パケット フロー検出条件
レイヤ 3 ヘッダ
パケット受信 時のレイヤ 2 ヘッダサイズ
上位プロトコル TCP/UDP/ICMP ヘッダ
TCP 制御フ 拡張 ラグ
ヘッダ 段数
拡張 ヘッダ
種別
拡張 ヘッダサイズ
2 段以上 − − − × × ×
1 段 − 28byte 以上 − ○ × ×
AH 16byte 30byte 以上 ○ ○ ×
20byte 26byte 以上 ○ ○ ×
8 フィルタ
144
パケット フロー検出条件 レイヤ 3 ヘッダ
パケット受信 時のレイヤ 2 ヘッダサイズ
上位プロトコル TCP/UDP/ICMP ヘッダ
TCP 制御フ 拡張 ラグ
ヘッダ 段数
拡張 ヘッダ
種別
拡張 ヘッダサイズ
24byte 22byte 以上 ○ ○ ×
30byte 以上 ○ × ×
上記以外 16byte 30byte 以上 ○ ○ ×
24byte 22byte 以上 ○ ○ ×
30byte 以上 ○ × ×
(凡例) ○:検出できる ×:検出できない −:条件によらない 表 8‒8 送信側インタフェースでのフロー検出可否
パケット フロー検出条件
レイヤ 3 ヘッダ
パケット受信 時のレイヤ 2 ヘッダサイズ
上位プロトコル TCP/UDP/ICMP ヘッダ
TCP 制御フ 拡張 ラグ
ヘッダ 段数
拡張 ヘッダ
種別
拡張 ヘッダサイズ
2 段以上 − − − × × ×
1 段 − 28byte 以上 − ○ × ×
AH 12byte 30byte 以上 ○ ○ ×
16byte 26byte 以上 ○ ○ ×
20byte 22byte 以上 ○ ○ ×
30byte 以上 ○ × ×
24byte 18byte 以上 ○ ○ ×
26byte 以上 ○ × ×
上記以外 16byte 26byte 以上 ○ ○ ×
24byte 以上 18byte 以上 ○ ○ ×
26byte 以上 ○ × ×
(凡例) ○:検出できる ×:検出できない −:条件によらない
(4) 拡張ヘッダが 2 段以上ある IPv6 パケットに対するフィルタ
レイヤ 2 中継かつ拡張ヘッダが 2 段以上ある IPv6 パケットをフロー検出する場合は,フラグメント条件
(FO および MF)以外の条件を指定してください。
8 フィルタ
(5) フラグメントパケットに対するフィルタ
フラグメントパケットの 2 番目以降のパケットは TCP/UDP/ICMP/IGMP ヘッダがパケット内にありま せん。フラグメントパケットを受信した際のフィルタを次の表に示します。
表 8‒9 フラグメントパケットとフィルタの関係
フロー検出条件 フロー検出条件とパ
ケットの一致/不一致 動作 先頭パケット 2 番目以降のパケット
IP ヘッダだけ IP ヘッダ一致 中継 中継 中継
廃棄 廃棄 廃棄
IP ヘッダ不一致 中継 次のエントリを検索 次のエントリを検索 廃棄 次のエントリを検索 次のエントリを検索 IP ヘッダ+ TCP/UDP/
ICMP/IGMP ヘッダ
IP ヘッダ一致,
TCP/UDP/ICMP/
IGMP ヘッダ一致
中継 中継 −
廃棄 廃棄 −
IP ヘッダ一致,
TCP/UDP/ICMP/
IGMP ヘッダ不一致
中継 次のエントリを検索 次のエントリを検索 廃棄 次のエントリを検索 次のエントリを検索 IP ヘッダ不一致,
TCP/UDP/ICMP/
IGMP ヘッダ不一致
中継 次のエントリを検索 次のエントリを検索 廃棄 次のエントリを検索 次のエントリを検索
(凡例)
−:TCP/UDP/ICMP/IGMP ヘッダがパケットにないため,常に TCP/UDP/ICMP/IGMP ヘッダ不一致として扱 うので該当しない
(6) フィルタエントリ削除時の動作
次に示すコンフィグレーションの変更でフィルタエントリを削除した場合,一時的に暗黙の廃棄エントリに よってフレームが廃棄されます。
• アクセスグループコマンドで 1 エントリ以上を設定したアクセスリストを,インタフェースから削除す る場合
• アクセスグループコマンドでインタフェースに適用済みのアクセスリストから,最後のフィルタエント リを削除する場合
(7) フィルタエントリ変更時の動作
本装置では,インタフェースに適用済みのフィルタエントリを変更すると,変更が反映されるまでの間,検 出の対象となるフレームをほかのフィルタエントリまたは暗黙の廃棄エントリで検出します。
また,変更後のフィルタエントリが複数のエントリを使用するフロー検出条件の場合,すべてのフィルタエ ントリを装置に反映してから統計情報の採取を開始します。
(8) フィルタで検出しないフレーム
本装置では,受信側に設定したフィルタで次に示すフレームをフロー検出しません。
• uRPF によって廃棄したフレーム 8 フィルタ
146
また,送信側に設定したフィルタで次に示すフレームをフロー検出しません。
• ポートミラーリングでコピーしたフレーム
(9) 自宛パケットを廃棄するフィルタの設定
次に示す条件を満たす場合は,ポリシーベースルーティングを動作に指定しているフィルタエントリのシー ケンス番号よりも小さい番号に,自宛パケットを廃棄するフィルタエントリを設定してください。
• 自宛パケットを廃棄するフィルタを設定するインタフェースに,ポリシーベースルーティングを動作に 指定しているフィルタを設定している場合
• 廃棄したい自宛パケットのフロー検出条件が,ポリシーベースルーティングを動作に指定しているフィ ルタのフロー検出条件に含まれる場合
(10) 自発パケットに対するフィルタ
特定自発パケットをフロー検出する場合は,検出できるアクセスリスト種別や中継種別で設定してくださ い。
対象となる特定自発 IPv4 パケットを次に示します。
• 宛先 IP アドレスがブロードキャストアドレスのパケット
• 宛先 IP アドレスが次のアドレスのマルチキャストパケット
• 224.0.0.0/8
• 次のプロトコル制御パケット
• DHCP/BOOTP クライアント宛てのメッセージ
• スタティック経路のポーリングによる ICMP パケット
• BGP4 メッセージ
対象となる特定自発 IPv6 パケットを次に示します。
• 宛先 IP アドレスがリンクローカルアドレスのパケット
• 宛先 IP アドレスが次のアドレスのマルチキャストパケット
• FFx0::/16(x は 0〜F)
• FFx2::/16(x は 0〜F)
• FF05::/16
• 次のプロトコル制御パケット
• スタティック経路のポーリングによる ICMPv6 パケット
• BGP4+メッセージ
これらの特定自発パケットに対するフロー検出可否を次の表に示します。
表 8‒10 特定自発パケットのフロー検出可否
フロー検出モード アクセスリスト種別 検出条件の中継種別 検出可否
エントリ数重視モード MAC アクセスリスト − ×
IPv4 アクセスリスト − ○
8 フィルタ
フロー検出モード アクセスリスト種別 検出条件の中継種別 検出可否
IPv6 アクセスリスト − ○
検出条件数重視モード MAC アクセスリスト − ○
IPv4 アクセスリスト − ×
IPv6 アクセスリスト − ×
Advance アクセスリスト 指定なし ○
レイヤ 2 中継 ○
レイヤ 3 中継 ×
(凡例) ○:検出できる ×:検出できない −:指定できない 8 フィルタ
148