例 1、例 2、および例 3は、個別の IP フィルター規則を示しています。 完全な IP フィルター・ポリシーには任意の数の IP フィルター規則が入っており、非常に類似した方法で構成されています。注意すべきことは、IP フィルター・ポリシー内の IP フィルター規則は、リストされている順序で検索されるという点です。あるパケットが複数の規則に一致する可能性があります。このため、一致するフィルター規則の検索は最初に一致した規則検出後に停止し、そのリストの後の方に別の一致があってもそれは検索されません。IP パケットがどの IP フィルター規則に一致するかを判別するには、ipsec コマンドのトラフィック・テスト・オプション (ipsec -t) が役立ちます。
ipsec -t コマンドへのコマンド行引数は、特定の IP パケットを記述する特性のセットです。既存のフィルター規則セットが検索されて、一致が検出されます。 通常のフィルター操作は、一致が 1 つ検出された時点で停止しますが、ipsec -t コマンドは、一致するフィルター規則をすべて表示します。ipsec -t コマンドへの入力では、IP パケットからの可能なすべてのフィルター操作基準を指定する必要はありません。ipsec -t コマンドの出力を検査して、戻された規則のどれが所定のケースに一致するかを判別する必要があります。
例えば、ICMP に関する IP フィルター規則を特定のタイプとコード値として構成できますが、一方、トラフィック・テストは ICMP タイプおよびコードは入力として提供しません。ICMP プロトコルで複数の IP フィルター規則が一致した場合は、それらがすべて表示されます。ユーザーは、これらのリストから、特定の IP パケットにどの規則が適用されるかを判別する必要があります。
ipsec -t オプションも含めて、ipsec コマンドの詳細説明については、「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。