Cisco IOS と NX-OS ソフトウェア : Cisco NX-OS ソフトウェア

Nexus 7000 ACL キャプチャ VACL サポート及び制限 FAQ

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

関連するシスコ サポート コミュニティ ディスカッション

概要

この資料は選択式にモニタするインターフェイスまたは VLAN のトラフィックを使用される Access Control List (ACL)キャプチャ機能を説明していたものです。 ACLルールのためのキャプチャ オプションを有効に するとき、このルールを一致するパケットは指定されたアクションに基づいてまた更なる分析のための代替 宛先宛先ポートにコピーされるかもしれません転送されか、または廃棄され。

著者:Cisco TAC エンジニア、Shashank Singh

Q. ACL キャプチャの使用例とは何か。

A. この機能は Catalyst 6000 シリーズ スイッチ プラットフォームでサポートされる VLAN Access Control List (VACL)キャプチャ機能に類似しています。 選択式にモニタしますインターフェイスまたは VLAN のトラフィックを ACL キャプチャを設定できます。 ACLルールのためのキャプチャ オプションを有効に するとき、このルールを一致するパケットは規定 された割り当てに基づいてまたは否定しましたり操作をまた更なる分析のための代替 宛先宛先ポートにコピーされるかもしれません転送されか、または廃棄され。

Q. Nexus 7000 スイッチで何 ACL キャプチャ セッションが設定することができますか。

A. 1 ACL キャプチャ セッションだけ仮想デバイス コンテキスト(VDC)を渡るシステムでいつでもアクティブである場合もあります。 ACL Ternary Content Addressable Memory (TCAM)は合うことができる VACL の同様に多くのアプリケーション コントロール エンジン(ACE)がある場合があります。

Q. M1 モジュールサポート ACL はキャプチャ しますか。

A. はい。 M1 モジュールの ACL キャプチャは Cisco NX-OS リリース 5.2(1) およびそれ以降でサポートされます。

Q. M2 モジュールサポート ACL はキャプチャ しますか。

A. はい。 M2 モジュールの ACL キャプチャは Cisco NX-OS リリース 6.1(1) およびそれ以降でサポートされます。

Q. F1 モジュールサポート ACL はキャプチャ しますか。

A. F1-Series モジュールは ACL キャプチャをサポートしません。

Q. F2 モジュールサポート ACL はキャプチャ しますか。

A. F2-Series モジュールは ACL キャプチャを現在サポートしません、これは道路地図にあるかもしれません。 確認するためにビジネスユニット(BU)を参照して下さい。

Q. ACL キャプチャはどのインターフェイスおよび方向で適用しますか。

A. キャプチャ オプションの ACLルールは適用します:

  • VLAN
  • すべてのインターフェイスの入方向
  • すべてのレイヤ3 インターフェイスの出方向

Q. ACL キャプチャ機能とのあらゆる著しい制限がありますか。

A. はい。 ACL キャプチャ機能との制限は次のとおりです:

  • ACL キャプチャはハードウェア援用機能で、マネージメントインターフェイスまたはスーパバイザに起きる制御パケットのためにサポートされません。 それはまた SNMPコミュニティ ACL および VTY ACL のようなソフトウェア ACL のためにサポートされません。
  • ポート チャネルおよびスーパバイザ インバンド ポートは ACL キャプチャのための宛先としてサポートされません。
  • ACL キャプチャ セッション デスティネーションインターフェイスは入力 フォワーディングおよび入力 MAC ラーニングをサポートしません。 デスティネーションインターフェイスがこれらのオプションで設定される場合、モニタは ACL キャプチャ セッションを固定します。 入力 フォワーディングおよび MAC ラーニングが有効に なったかどうか確認するのに show monitor セッションをすべてのコマンド利用して下さい。
  • パケットの送信元ポートおよび ACL キャプチャ宛先ポートは同じパケット複製 ASIC の一部である場合もありません。 ポートが両方とも同じ ASIC に属する場合、パケットはキャプチャ されません。 show monitor session コマンドは ACL キャプチャ宛先ポートと同じ ASIC に接続するすべてのポートをリストします。
  • ハードウェア access-list キャプチャ コマンドを入力する前に ACL キャプチャ モニタ セッションを設定すれば、モニタ セッションをシャットダウンし、セッションを開始するためにそれにバックアップを持って来て下さい。
  • ACL キャプチャが有効に なるとき、すべての VDC のための ACL を記録 し、比率振幅制限器を使用する機能は無効です。

Q. ACL キャプチャを行うことができ、ある特定のトラフィックをデスティネーションインターフェイス X 出かけてもらいますある特定のトラフィックはデスティネーションインターフェイス Y 出かけ、他のトラフィックはデスティネーションインターフェイス Z 出かけますか。

A. いいえ。 宛先はハードウェア access-list キャプチャ コマンドで設定される 1 つのインターフェイスであるただ場合もあります。

Q. 単一 の ソース VLAN より多くに加えられる ACL キャプチャがあることができますか。

A. はい。 複数 の VLAN は VLAN-list で規定 することができます。 次に、例を示します。

       vlan access-map acl-vlan-first
          match ip address acl-ipv4-first
          match mac address acl-mac-first
          action forward
          statistics per-entry
          vlan filter acl-vlan-first vlan-list 1,2,3

  

Q. Nexus 7010 で何アクティブ L2 VACL が設定することができますか。

A.  サポートされた IP ACL エントリの最大数は XL ラインカードなしにデバイスのための 64,000 および XL ラインカードが付いているデバイスのための 128,000 です。

Q. VACL がルーテッドトラフィックのためにはたらきますキャプチャ する仕組み

A. VACL キャプチャは書き直しの後に発生します、従って VLAN X を ingressing、VLAN Y を egressing 帯は VLAN Y.でキャプチャ されます。

Q. シャーシの M1 および M2 カードの組み合わせは VACL の使用に影響を与えますか。

A. シャーシの M1 および M2 カードのミックスは VACL の使用の影響がないはずです。

Q. Nexus 7000 の ACL キャプチャ機能のためのいくつかの設定 例とは何か。

A. ACL キャプチャ ガイドラインは Cisco Nexus 7000 シリーズ NX-OS セキュリティ構成ガイドリリース 6.x 表示することができます。

この例にデフォルト VDC の ACL キャプチャを有効に し ACL キャプチャ パケットのための宛先を設定する方法を示されています:

hardware access-list capture
     monitor session 1 type acl-capture
     destination interface ethernet 2/1
     no shut
     exit
     show ip access-lists capture session 1

この例に ACL の ACE のためのキャプチャ セッションを有効に する方法を示され次にインターフェイスに ACL を適用します:

ip access-list acl1
       permit tcp any any capture session 1
       exit
       interface ethernet 1/11
       ip access-group acl1 in
       no shut
       show running-config aclmgr

この例に VLAN にキャプチャ セッション ACE の ACL を適用する方法を示されています:

vlan access-map acl-vlan-first
       match ip address acl-ipv4-first
       match mac address acl-mac-first
       action foward
       statistics per-entry
       vlan filter acl-vlan-first vlan-list 1
       show running-config vlan 1

この例に全 ACL のためのキャプチャ セッションを有効に し次にインターフェイスに ACL を適用する方法を示されています:

ip access-list acl2
       capture session 2
       exit
       interface ethernet 7/1
       ip access-group acl1 in
       no shut
       show running-config aclmg

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116107