Software Cisco IOS e NX-OS : Software Cisco NX-OS

Apoio da captação VACL do nexo 7000 ACL & limitações FAQ

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve a característica da captação do Access Control List (ACL), que é usada monitora seletivamente o tráfego em uma relação ou em um VLAN. Quando você permite a opção da captação para uma regra ACL, os pacotes que combinam esta regra estão enviados ou deixados cair baseado na ação especificada e puderam igualmente ser copiados a uma porta do destino alternativa para a análise mais aprofundada.

Contribuído por Shashank Singh, engenheiro de TAC da Cisco.

Q. Que é o exemplo do uso da captação ACL?

A. Esta característica é análoga à característica da captação do VLAN Access Control List (VACL) apoiada em Plataformas do Catalyst 6000 Series Switch. Você pode configurar uma captação ACL monitora seletivamente o tráfego em uma relação ou em um VLAN. Quando você permite a opção da captação para uma regra ACL, os pacotes que combinam esta regra estão enviados ou deixados cair baseado na ação especificada do permit or deny e puderam igualmente ser copiados a uma porta do destino alternativa para a análise mais aprofundada.

Q. Quantas sessões da captação ACL podem ser configuradas em um 7000 Switch do nexo?

A. Somente uma sessão da captação ACL pode ser ativa a um momento determinado no sistema através dos contextos do dispositivo virtual (VDC). O Ternary Content Addressable Memory ACL (TCAM) pode ter tantos como motores do controle de aplicativo (ACE) no VACL como pode caber.

Q. O apoio ACL dos módulos M1 captura?

A. Sim. A captação ACL nos módulos M1 é apoiada na liberação do Cisco NX-OS 5.2(1) e mais atrasado.

Q. O apoio ACL dos módulos M2 captura?

A. Sim. A captação ACL nos módulos M2 é apoiada na liberação do Cisco NX-OS 6.1(1) e mais atrasado.

Q. O apoio ACL dos módulos F1 captura?

A. Os módulos F1-Series não apoiam a captação ACL.

Q. O apoio ACL dos módulos F2 captura?

A. Os módulos F2-Series não apoiam a captação ACL a partir de agora, mas este pode estar no mapa rodoviário. Consulte a unidade de negócio (BU) para confirmar.

Q. Em que relações e sentidos pode uma captação ACL ser aplicada?

A. Uma regra ACL com a opção da captação pode ser aplicada:

  • Em um VLAN
  • Na direção de ingresso em todas as relações
  • Na direção de saída em todas as relações da camada 3

Q. Há alguma limitação notável com a característica da captação ACL?

R. Sim. Algumas limitações com a característica da captação ACL são:

  • Uma captação ACL é uma característica hardware-ajudada e não é apoiada para a interface de gerenciamento ou para os pacotes de controle que originam no supervisor. Não é apoiada igualmente para o software ACL tais como a comunidade SNMP ACL e ACL vty.
  • Os Canais de porta e as portas da em-faixa do supervisor não são apoiados como um destino para a captação ACL.
  • As interfaces de destino da sessão da captação ACL não apoiam a transmissão do ingresso e a aprendizagem MAC do ingresso. Se uma interface de destino é configurada com estas opções, o monitor mantém a sessão da captação ACL para baixo. Use o comando all da sessão de monitor da mostra determinar se a transmissão e a aprendizagem MAC do ingresso são permitidas.
  • A porta de origem do pacote e da porta do destino da captação ACL não pode ser parte da mesma replicação ASIC do pacote. Se ambas as portas pertencem ao mesmo ASIC, o pacote não está capturado. As lista de comando monitor session da mostra todas as portas que são anexadas ao mesmo ASIC que a porta do destino da captação ACL.
  • Se você configura uma sessão de monitor da captação ACL antes que você inscreva o comando capture da lista de acesso do hardware, você deve fechar a sessão de monitor e trazer-lhe o apoio a fim começar a sessão.
  • Quando a captação ACL é permitida, a capacidade para registrar o ACL para todos os VDC e para usar o limitador da taxa está desabilitada.

Q. Pode você executar uma captação ACL e manda determinado tráfego sair a interface de destino X, determinado tráfego sai a interface de destino Y, e o outro tráfego sai a interface de destino Z?

A. Não. O destino pode somente ser uma relação configurada com o comando capture da lista de acesso do hardware.

Q. Pode você ter a captação ACL aplicada a mais do que um origem única VLAN?

A. Sim. Os vlan múltiplos podem ser especificados em uma lista de VLANs. Por exemplo:

       vlan access-map acl-vlan-first
          match ip address acl-ipv4-first
          match mac address acl-mac-first
          action forward
          statistics per-entry
          vlan filter acl-vlan-first vlan-list 1,2,3

  

Q. Quanto o L2 ativo VACL pode ser configurado em um nexo 7010?

R.  O número máximo de entradas ACL apoiadas IP é 64,000 para dispositivos sem uma placa de linha XL e 128,000 para dispositivos com uma placa de linha XL.

Q. Como o VACL captura o trabalho para o tráfego roteado?

A. A captação VACL ocorre depois que uma reescrita, assim que molda VLAN ingressing X e o VLAN Y egressing está capturado no VLAN Y.

Q. Faz uma mistura do M1 e do M2 carda no chassi impactam o uso dos VACL?

A. Uma mistura de cartões M1 e M2 no chassi não deve ter nenhum impacto no uso dos VACL.

Q. Que são algumas configurações de amostra para a característica da captação ACL no nexo 7000?

As diretrizes da ACL-captação A. podem ser vistas no guia de configuração de segurança do 7000 Series NX-OS do nexo de Cisco, liberam 6.x.

Este exemplo mostra como permitir uma captação ACL no padrão VDC e configurar um destino para pacotes da captação ACL:

hardware access-list capture
     monitor session 1 type acl-capture
     destination interface ethernet 2/1
     no shut
     exit
     show ip access-lists capture session 1

Este exemplo mostra como permitir uma sessão da captação para os ACE de um ACL, e aplica então o ACL a uma relação:

ip access-list acl1
       permit tcp any any capture session 1
       exit
       interface ethernet 1/11
       ip access-group acl1 in
       no shut
       show running-config aclmgr

Este exemplo mostra como aplicar um ACL com sessão ACE da captação a um VLAN:

vlan access-map acl-vlan-first
       match ip address acl-ipv4-first
       match mac address acl-mac-first
       action foward
       statistics per-entry
       vlan filter acl-vlan-first vlan-list 1
       show running-config vlan 1

Este exemplo mostra como permitir uma sessão da captação para o ACL inteiro e aplicar então o ACL a uma relação:

ip access-list acl2
       capture session 2
       exit
       interface ethernet 7/1
       ip access-group acl1 in
       no shut
       show running-config aclmg

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116107