Cisco IOS 和 NX-OS 软件 : Cisco NX-OS 软件

连结7000 ACL捕获VACL支持&限制FAQ

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述访问控制表(ACL)捕获功能,使用为了选择性地监控在接口或VLAN的流量。当您启用ACL规则的时捕获选项,匹配此规则的数据包转发或丢弃基于指定的操作,并且也许也复制到进一步分析的备选目的地目的端口。

贡献用Shashank辛哈, Cisco TAC工程师。

Q. 什么是ACL捕获用例?

A. 是类似于支持此功能Catalyst 6000系列交换机平台VLAN访问控制列表(VACL)捕获功能。您能配置ACL捕获为了选择性地监控在接口或VLAN的流量。当您启用ACL规则的时捕获选项,匹配此规则的数据包转发或丢弃基于指定的permit或拒绝操作,并且也许也复制到进一步分析的备选目的地目的端口。

Q. 多少ACL捕获会话可以配置在连结7000交换机?

A. 仅一ACL捕获会话可以在指定时候是活跃的在虚拟设备上下文(VDCs)间的系统。ACL三重内容可编址存储器能有许多个应用程序控制引擎(ACE)在VACL和能适合。

Q. M1模块技术支持ACL是否捕获?

A. 可以。Cisco NX-OS版本5.2(1)支持在M1模块的ACL捕获及以后。

Q. M2模块技术支持ACL是否捕获?

A. 可以。Cisco NX-OS版本6.1(1)支持在M2模块的ACL捕获及以后。

Q. F1模块技术支持ACL是否捕获?

A. F1-Series模块不支持ACL捕获。

Q. F2模块技术支持ACL是否捕获?

A. F2-Series模块到现在不支持ACL捕获,但是这可能在模式。参见业务部门(BU)确认。

Q. 在ACL捕获能应用哪些接口和方向?

A. 与捕获选项的一个ACL规则可以应用:

  • 在VLAN
  • 在所有接口的入口方向
  • 在所有第3层接口的输出方向

Q. 有没有与ACL捕获功能的任何值得注意的限制?

A.可以。与ACL捕获功能的某些限制是:

  • ACL捕获是一个硬件辅助的功能和不支持为管理接口或为发起于Supervisor的控制数据包。它不为软件ACL也支持例如SNMP团体ACL和VTY ACL。
  • 端口通道和Supervisor在波段之内端口不支持作为ACL捕获的一个目的地。
  • ACL捕获会话目的地接口不支持入口转发和入口MAC学习。如果一目的地接口配置与这些选项,监视器保留ACL捕获会话。请使用all命令的show monitor session确定入口转发和MAC学习是否启用。
  • 数据包和ACL捕获目的地端口的源端口不可以是同一次信息包复制ASIC的一部分。如果两个端口属于同样ASIC,数据包没有捕获。show monitor session命令一览表附加对ASIC和ACL捕获目的地端口一样的所有端口。
  • 如果配置ACL捕获监控会话,在您输入access-list capture命令前的硬件,您必须关闭监控会话和带来它备份为了启动会话。
  • 当ACL捕获启用时,能力记录所有VDCs的ACL和使用速率防幅器禁用。

Q. 可执行ACL捕获并且安排某一流量出去目的地接口x,某一流量出去目的地接口Y,并且其他流量出去目的地接口Z ?

A. 不能。目的地可以只是用硬件配置的一个接口access-list capture命令

Q. 比单一来源VLAN能否有ACL捕获应用对更多?

A. 可以。多个VLAN在a可以指定vlan-list。例如:

       vlan access-map acl-vlan-first
          match ip address acl-ipv4-first
          match mac address acl-mac-first
          action forward
          statistics per-entry
          vlan filter acl-vlan-first vlan-list 1,2,3

  

Q. 多少激活L2 VACL可以配置在连结7010 ?

A. 支持的IP ACL条目最大是64,000设备的没有XL线卡和128,000有XL线卡的设备的。

Q. VACL如何捕获为路由流量工作?

A. VACL捕获在重写以后发生,因此ingressing VLAN x和egressing VLAN Y的帧在VLAN Y.捕获。

Q. M1和M2卡混合物是否在机箱的影响使用VACL ?

A. M1和M2卡的混合在机箱的不应该有在使用的任何影响VACL。

Q. 什么是ACL捕获功能的一些配置示例在连结7000 ?

A. ACL捕获指南在Cisco连结7000系列NX-OS安全配置指南可以查看,版本6.x

此示例显示如何启用在默认VDC的一个ACL捕获和配置ACL捕获数据包的一个目的地:

hardware access-list capture
     monitor session 1 type acl-capture
     destination interface ethernet 2/1
     no shut
     exit
     show ip access-lists capture session 1

此示例显示如何启用ACL ACE的一捕获会话,然后应用ACL对接口:

ip access-list acl1
       permit tcp any any capture session 1
       exit
       interface ethernet 1/11
       ip access-group acl1 in
       no shut
       show running-config aclmgr

此示例显示如何应用与捕获会话ACE的ACL到VLAN :

vlan access-map acl-vlan-first
       match ip address acl-ipv4-first
       match mac address acl-mac-first
       action foward
       statistics per-entry
       vlan filter acl-vlan-first vlan-list 1
       show running-config vlan 1

此示例显示如何启用全部的ACL的一捕获会话然后应用ACL到接口:

ip access-list acl2
       capture session 2
       exit
       interface ethernet 7/1
       ip access-group acl1 in
       no shut
       show running-config aclmg

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116107