ipsec アクションを伴うフィルターには、アンカー・フィルターとしてフラグが立てられます。アンカー・フィルターは、許可規則でも拒否規則でもなく、フィルター規則の番号付きリスト内での動的フィルターのプレースホルダーです。動的フィルターはアンカー・フィルターの一種の拡張であり、フェーズ 2 セキュリティー・アソシエーション作成時に作成されます。ネゴシエーションされる各フェーズ 2 セキュリティー・アソシエーションは、2 つの動的フィルター (インバウンド・フィルターとアウトバウンド・フィルター) と関連付けられます。 ある IP パケットがアンカー規則の 1 つに一致しているときは、一致する動的フィルター規則があるかどうかを確認するための、2 回目の検索が行われます。一致するものが見つからない場合は、パケットは拒否されます。ただし、パケットがアウトバウンド・パケットで、かつオンデマンド・ネゴシエーションが許されている場合は例外です。その場合は、IKE ネゴシエーションが続行され、セキュリティー・アソシエーションとそれに一致する動的フィルターが作成されます。既に動的フィルターが存在している場合は、IPSec 処理を適用して許可するアクションが取られます。動的フィルター規則は、IPSec 処理の適用時にどのセキュリティー・アソシエーションを使用するかを指示します。その理由は、動的フィルター規則のペア (インバウンドとアウトバウンド) とフェーズ 2 セキュリティー・アソシエーションの間には 1 対 1 の対応関係があるからです。 アンカー・フィルターと動的フィルターのサンプル表示については、ipsec コマンドによるアクティブ・フィルターの表示を参照してください。