交换机 : Cisco Nexus 7000 系列交换机

连结7000系列交换机ACL捕获示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

访问控制表(ACL)捕获提供您能力选择性地捕获在接口的流量或虚拟局域网,当您启用ACL规则的时捕获选项,匹配此规则的数据包转发或丢弃基于指定的permit或拒绝操作,并且可能也复制到进一步分析的备选目的地目的端口。 与捕获选项的一个ACL规则可以应用:

  1. 在VLAN中,
  2. 在所有接口的入口方向,
  3. 在所有第3层接口的输出方向。

此功能从连结7000 NX-OS版本5.2及以上版本支持。 本文提供一示例作为快速参考指南关于怎样配置此功能。

贡献用Rajesh Gatti, Geovany冈萨雷斯和安迪Gossett, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 连结7000用版本5.2.x和以后。
  • M1系列线卡。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的信息,请参阅 Cisco 技术提示规则

ACL配置示例

亦称这是ACL捕获配置示例应用对VLAN,虚拟LAN访问控制表(VACL)捕获。选定的十千兆位snifers可能不是可行为所有案例。当流量高时,有选择性的流量捕获可以是非常有用的在这样案例特别是在故障排除期间。

!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture

monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
!!
ip access-list TEST_ACL
10 permit ip 216.113.153.0/27 any capture session 1
20 permit ip 198.113.153.0/24 any capture session 1
30 permit ip 47.113.0.0/16 any capture session 1
40 permit ip any any
!!
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
match ip address TEST_ACL
action forward
statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500

您能也检查三重内容可编址存储器编程访问列表。此输出是为模块的1. VLAN 500。

N7k2-VPC1# show system internal access-list vlan 500 input statistics

slot 1
=======

INSTANCE 0x0
---------------

Tcam 1 resource usage:
----------------------
Label_b = 0x802
Bank 0
------
IPv4 Class
Policies: VACL(VACL_TEST)
Netflow profile: 0
Netflow deny profile: 0
Entries:
[Index] Entry [Stats]
---------------------
[0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0 capture [0]
[0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0 capture [0]
[000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0 capture [0]
[000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0 [0]
[000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0 [0]

警告

  1. 仅一ACL捕获会话可以在指定时候是活跃的在虚拟设备上下文(VDCs)间的系统。
  2. 连结7000个F1系列模块不支持ACL捕获。
  3. 连结7000个F2系列模块当前不支持ACL捕获,但是这也许在模式。
  4. 在连结的ACL捕获7000个M2-Series模块用Cisco NX-OS版本6.1(1)支持及以后。
  5. 在连结的ACL捕获7000个M1-Series模块用Cisco NX-OS版本5.2(1)支持及以后。
  6. ACL捕获不是与ACL记录兼容。 所以,如果有与日志关键字的ACL,这些不工作,在您全局输入了硬件access-list捕获后
  7. 由于bug CSCug20139,在本文的示例描述与一捕获会话每个ACE而不是每个ACL,直到bug是解决的。

相关信息



Document ID: 116044