スイッチ : Cisco Nexus 7000 シリーズ スイッチ

Nexus 7000 シリーズ スイッチの ACL キャプチャの例

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

Access Control List (ACL)キャプチャは選択式にインターフェイスのトラフィックをキャプチャ する機能を提供しますまたは ACLルールのためのキャプチャ オプションを有効に するとき Virtual Local Area Network (VLAN; バーチャル LAN)は、このルールを一致するパケット規定 された割り当てに基づいてまたは否定しましたり操作をまた更なる分析のための代替 宛先宛先ポートにコピーすることができます転送されか、または廃棄され。 キャプチャ オプションの ACLルールは適用します:

  1. VLAN では、
  2. すべてのインターフェイスの入方向、
  3. すべてのレイヤ3 インターフェイスの出方向。

この機能は Nexus 7000 NX-OS リリース 5.2 と それ以降からサポートされます。 この資料は方法でクイック レファレンス ガイドとして例をこの機能を設定する提供したものです。

Rajesh Gatti、Geovany Gonzalez、およびアンディー Gossett によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • リリース 5.2.x およびそれ以降の Nexus 7000。
  • M1 シリーズ ラインカード。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ACL構成例

VLAN、別名バーチャルLAN アクセス制御リスト(VACL)キャプチャに適用される ACL キャプチャの設定例はここにあります。 指定される 10 ギガビット snifers はすべての scenerios のために実行可能ではないかもしれません。 選択的なトラフィック キャプチャはトラフィック量が高いときトラブルシューティングの間にそのような scenerios で非常に役立ちます特に。

!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture

monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
!!
ip access-list TEST_ACL
10 permit ip 216.113.153.0/27 any capture session 1
20 permit ip 198.113.153.0/24 any capture session 1
30 permit ip 47.113.0.0/16 any capture session 1
40 permit ip any any
!!
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
match ip address TEST_ACL
action forward
statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500

またアクセス リストの Ternary Content Addressable Memory (TCAM)プログラミングをチェックできます。 この出力はモジュール 1.の VLAN 500 のためです。

N7k2-VPC1# show system internal access-list vlan 500 input statistics

slot 1
=======

INSTANCE 0x0
---------------

Tcam 1 resource usage:
----------------------
Label_b = 0x802
Bank 0
------
IPv4 Class
Policies: VACL(VACL_TEST)
Netflow profile: 0
Netflow deny profile: 0
Entries:
[Index] Entry [Stats]
---------------------
[0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0 capture [0]
[0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0 capture [0]
[000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0 capture [0]
[000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0 [0]
[000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0 [0]

警告

  1. 1 ACL キャプチャ セッションだけ仮想デバイス コンテキスト(VDC)を渡るシステムでいつでもアクティブである場合もあります。
  2. Nexus は 7000 の F1 シリーズ モジュール ACL キャプチャをサポートしません。
  3. Nexus は 7000 の F2 シリーズ モジュール 現在 ACL キャプチャをサポートしません、これは道路地図にあるかもしれません。
  4. Nexus 7000 M2-Series モジュールの ACL キャプチャは Cisco NX-OS リリース 6.1(1) およびそれ以降でサポートされます。
  5. Nexus 7000 M1-Series モジュールの ACL キャプチャは Cisco NX-OS リリース 5.2(1) およびそれ以降でサポートされます。
  6. ACL キャプチャは ACLロギングと互換性がありません。  従って、log キーワードの ACL があれば、これらはグローバルに ハードウェア access-list キャプチャを入力した後はたらきません。
  7. 不具合 CSCug20139 が理由で、この資料の例は ACL ごとのの代りに ACE ごとのキャプチャ セッションと不具合が解決されるまで、文書化されています。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116044