Commutateurs : Commutateurs Cisco Nexus, s�rie�7000

Exemple de saisie d'ACL de commutateur de gamme de Nexus 7000

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

La capture de liste de contrôle d'accès (ACL) te fournit la capacité de capturer sélectivement le trafic sur une interface ou le réseau local virtuel (VLAN) quand vous activez l'option de capture pour une règle d'ACL, les paquets qui apparient cette règle sont expédiés ou abandonnés basé sur l'autorisation spécifiée ou refusent l'action et peuvent également être copiés sur une destination port alternative pour l'analyse approfondie. Une règle d'ACL avec l'option de capture peut être appliquée :

  1. Dans un VLAN,
  2. Dans la direction d'entrée sur toutes les interfaces,
  3. Dans la direction de sortie sur toute la couche 3 relie.

Cette caractéristique est prise en charge de la version 5.2 et ultérieures du Nexus 7000 NX-OS. Ce document fournit un exemple comme guide de référence rapide sur la façon dont configurer cette caractéristique.

Contribué par Rajesh Gatti, Geovany Gonzalez, et Andy Gossett, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Nexus 7000 avec la version 5.2.x et ultérieures.
  • Linecard de gamme M1.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Exemple de configuration d'ACL

Voici un exemple de configuration de capture d'ACL appliqué à un VLAN, également connu sous le nom de capture virtuelle de la liste de contrôle d'accès de RÉSEAU LOCAL (VACL). Dix snifers de gigabit indiqués peuvent ne pas être faisables pour tous les scenerios. La capture sélective du trafic peut être très utile dans de tels scenerios particulièrement pendant le dépannage quand les volumes de trafic sont élevés.

!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture

monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
!!
ip access-list TEST_ACL
10 permit ip 216.113.153.0/27 any capture session 1
20 permit ip 198.113.153.0/24 any capture session 1
30 permit ip 47.113.0.0/16 any capture session 1
40 permit ip any any
!!
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
match ip address TEST_ACL
action forward
statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500

Vous pouvez également vérifier la programmation associative ternaire de la mémoire (TCAM) de la liste d'accès. Cette sortie est pour le VLAN 500 pour le module 1.

N7k2-VPC1# show system internal access-list vlan 500 input statistics

slot 1
=======

INSTANCE 0x0
---------------

Tcam 1 resource usage:
----------------------
Label_b = 0x802
Bank 0
------
IPv4 Class
Policies: VACL(VACL_TEST)
Netflow profile: 0
Netflow deny profile: 0
Entries:
[Index] Entry [Stats]
---------------------
[0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0 capture [0]
[0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0 capture [0]
[000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0 capture [0]
[000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0 [0]
[000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0 [0]

Mises en garde

  1. Seulement une session de capture d'ACL peut être en activité à un moment donné dans le système à travers des contextes de périphérique virtuel (VDCs).
  2. Les modules de gamme F1 de Nexus 7000 ne prennent en charge pas la saisie d'ACL.
  3. Les modules de gamme F2 de Nexus 7000 ne prennent en charge pas actuellement la saisie d'ACL, mais ceci pourrait être dans la feuille de route.
  4. La saisie d'ACL sur des modules du Nexus 7000 M2-Series est prise en charge avec la version 6.1(1) et ultérieures de Cisco NX-OS.
  5. La saisie d'ACL sur des modules du Nexus 7000 M1-Series est prise en charge avec la version 5.2(1) et ultérieures de Cisco NX-OS.
  6. La capture d'ACL n'est pas compatible avec se connecter d'ACL.  Par conséquent, si vous avez ACLs avec un mot clé de journal, ceux-ci ne fonctionnent pas après que vous ayez globalement présenté la capture de liste d'accès de matériel.
  7. En raison de la bogue CSCug20139, l'exemple dans ce document est documenté avec une session de capture par ACE au lieu de par l'ACL, jusqu'à ce que la bogue soit résolue.

Informations connexes



Document ID: 116044