2024年3月1日 (初版)
| TAC SR Collection |
| 主な問題 |
フラグメントされたパケットを IP アドレスのみを指定し fragments キーワードを設定した access-list で deny しようとすると、最初のパケットのみ拒否されません。
|
| 原因 |
上記は実装動作です。詳細については下記ドキュメントにて記載されます。
L3 情報だけで ACL 行が拒否され、fragments キーワードが存在する場合、
パケットの L3 情報が ACL 行の L3 情報と一致すると、パケットのフラグメント オフセットがチェックされます。
パケットが FO > 0 の場合、パケットは拒否されます。
パケットが FO = 0 の場合、次の ACL 行が処理されます。
https://www.cisco.com/c/ja_jp/support/docs/ip/generic-routing-encapsulation-gre/8014-acl-wp.html
|
| 解決策 |
実装動作は変更できませんので、必要に応じて fragments キーワードが存在する次の ACL の行にてマッピング情報を追加する必要があります。
|
備考
各製品の TAC SR Collection の一覧は、よくある質問と解決方法 (TAC SR Collection) から確認できます。
