Switches : Switches Cisco Nexus 7000 Series

Exemplo da captação do 7000 Series Switch ACL do nexo

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

A captação do Access Control List (ACL) fornece-lhe a capacidade para capturar seletivamente o tráfego em uma relação ou a rede de área local virtual (VLAN) quando você permite a opção da captação para uma regra ACL, os pacotes que combinam esta regra é enviada ou deixada cair baseado na ação especificada do permit or deny e pode igualmente ser copiada a uma porta do destino alternativa para a análise mais aprofundada. Uma regra ACL com a opção da captação pode ser aplicada:

  1. Em um VLAN,
  2. Na direção de ingresso em todas as relações,
  3. Na direção de saída em todas as relações da camada 3.

Esta característica é apoiada da liberação 5.2 do nexo 7000 NX-OS e mais atrasado. Este documento fornece um exemplo como um guia de referência rápida em como configurar esta característica.

Contribuído por Rajesh Gatti, por Geovany Gonzalez, e por Andy Gossett, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Nexo 7000 com liberação 5.2.x e mais tarde.
  • Placa de linha do M1 Series.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Exemplo da configuração ACL

Está aqui um exemplo de configuração da captação ACL aplicado a um VLAN, igualmente conhecido como a captação do Access Control List do LAN virtual (VACL). Dez snifers do gigabit designados não podem ser praticáveis para todos os scenerios. A captação seletiva do tráfego pode ser muito útil em tais scenerios especialmente durante o Troubleshooting quando os volumes de tráfego são altos.

!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture

monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
!!
ip access-list TEST_ACL
10 permit ip 216.113.153.0/27 any capture session 1
20 permit ip 198.113.153.0/24 any capture session 1
30 permit ip 47.113.0.0/16 any capture session 1
40 permit ip any any
!!
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
match ip address TEST_ACL
action forward
statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500

Você pode igualmente verificar a programação do Ternary Content Addressable Memory (TCAM) da lista de acessos. Esta saída é para o VLAN 500 para o módulo 1.

N7k2-VPC1# show system internal access-list vlan 500 input statistics

slot 1
=======

INSTANCE 0x0
---------------

Tcam 1 resource usage:
----------------------
Label_b = 0x802
Bank 0
------
IPv4 Class
Policies: VACL(VACL_TEST)
Netflow profile: 0
Netflow deny profile: 0
Entries:
[Index] Entry [Stats]
---------------------
[0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0 capture [0]
[0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0 capture [0]
[000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0 capture [0]
[000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0 [0]
[000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0 [0]

Caveats

  1. Somente uma sessão da captação ACL pode ser ativa a um momento determinado no sistema através dos contextos do dispositivo virtual (VDC).
  2. Os nexos os módulos de 7000 F1 Series não apoiam a captação ACL.
  3. Os nexos os módulos de 7000 F2 Series não apoiam atualmente a captação ACL, mas este pôde estar no mapa rodoviário.
  4. A captação ACL no nexo 7000 módulos M2-Series é apoiada com liberação do Cisco NX-OS 6.1(1) e mais atrasado.
  5. A captação ACL no nexo 7000 módulos M1-Series é apoiada com liberação do Cisco NX-OS 5.2(1) e mais atrasado.
  6. A captação ACL não é compatível com logging ACL.  Consequentemente, se você tem ACL com uma palavra-chave do log, estes não trabalham depois que você incorporou globalmente a captação da lista de acesso do hardware.
  7. Devido ao erro CSCug20139, o exemplo neste documento está documentado com uma sessão da captação pelo ACE em vez por do ACL, até que o erro esteja resolved.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116044