スイッチ : Cisco Nexus 7000 シリーズ スイッチ

Nexus 7000 および 7700 シリーズ スイッチは ACLロギング 設定例を最適化しました

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco Nexus 7000 および 7700 シリーズ スイッチで(OAL)記録 する最適化された Access Control List (ACL)を設定する方法を記述されています。

リチャード ミハエルによって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco はこの資料に説明がある設定を試みる前に基本 ACL の Nexus コンフィギュレーションのナレッジがあることを推奨します。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • Cisco Nexus 7000 シリーズ スイッチ
  • Cisco Nexus 7700 シリーズ スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

ロギング有効に された ACL はトラフィックにネットワークを横断するか、またはネットワークデバイスによって廃棄されると同時に把握を提供します。 残念ながら、ACLロギングは CPU 中心であり、否定的にネットワークデバイスの他の機能に影響を与える場合があります。 CPU サイクルを減らすために、Cisco Nexus 7000 シリーズは使用 OALs を切り替えます。

OALs の使用は ACLロギングにハードウェアサポートを提供します。 ロギングメッセージを生成できるようにハードウェアの OAL 許可かドロップ パケットはおよびスーパバイザに情報を送信 するために最適化されたルーチンを使用します。 ハードウェアで転送される間、たとえば、パケットが有効に なるロギングの ACL を押すとき、パケットのコピーはハードウェアで作成され、パケットは設定されるタイムインターバルのログオン調和のためのスーパバイザにパントされます。

設定

このセクションは OALs の使用のための Nexus スイッチを設定するために使用できる情報を提供します。

このセクションに説明がある例、ホストが Nexus 7000 シリーズによってロギングが設定されている ACL がある、IP アドレス 172.16.10.10 で別のホストにトラフィックをインターフェイスする送信 する IP アドレス 10.10.10.1 にある。

ネットワーク図

ホストと Nexus 7000 シリーズ スイッチ間の接続はこのトポロジーによって発生します:

設定

OALs の使用のためのスイッチを設定するためにこれらのステップを完了して下さい:

  1. OAL を有効に するためにこれらのグローバルコマンドを設定して下さい:
    logging ip access-list cache entries 8000
    logging ip access-list cache interval 300
    logging ip access-list cache threshold 0
    次に例を示します。
    Nexus-7000# conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Nexus-7000(config)#logging ip access-list cache entries 8000
    Nexus-7000(config)#logging ip access-list cache interval 300
    Nexus-7000(config)#logging ip access-list cache threshold 0
  2. 記録のためのこの設定を適用して下さい:
    logging level acllog <number> 
    acllog match-log-level <number>
    logging logfile [name] <number>
    次に例を示します。
    Nexus-7000(config)# logging level acllog 5 
    Nexus-7000(config)# acllog match-log-level  5
    Nexus-7000(config)# logging logfile acllog 5
  3. ロギングを有効に するために ACL を設定して下さい。 エントリはこの例に示すように、有効に なる log キーワードで設定する必要があります:
    Nexus-7000(config)# ip access-list test1
    Nexus-7000(config-acl)# 10 permit ip 10.10.10.1/32 172.16.10.10/32 log
    Nexus-7000(config-acl)# 20 deny ip any any log
    Nexus-7000(config-acl)#
    Nexus-7000(config-acl)#show ip access-lists test1 IP access list test1
    10 permit ip 10.10.10.1/32 172.16.10.10/32 log
    20 deny ip any any log
    Nexus-7000(config-acl)#
  4. 必要なインターフェイスに前の手順で設定した ACL を適用して下さい:
    Nexus-7000# conf t
    Enter configuration commands, one per line. End with CNTL/Z.
    Nexus-7000(config)# int ethernet 4/1
    Nexus-7000(config-if)# ip access-group test1 in
    Nexus-7000(config-if)# ip access-group test1 out
    Nexus-7000(config-if)#
    Nexus-7000(config-if)# show run int ethernet 4/1
    !Command: show running-config interface Ethernet4/1
    !Time: Mon Jun 30 16:30:38 2014
    version 6.2(6)
    interface Ethernet4/1
      ip access-group test1 in
      ip access-group test1 out
      ip address 10.10.10.2/24
      no shutdown
    Nexus-7000(config-if)#

確認

情報を使用して下さい設定はきちんと機能することを確認するためにこのセクションで提供される。

この資料で使用する例では、PING は IP アドレス 10.10.10.1 のホストから IP アドレス 172.16.10.1 のホストへの始められます。 トラフィックフローを確認するために CLI に show logging IPアクセスリスト cache コマンドを入力して下さい:

Nexus-7000# show logging ip access-list cache
Src IP Dst IP S-Port D-Port Src Intf Protocol Hits
--------------------------------------------------------------
10.10.10.1 172.16.10.10 0 0 Ethernet4/1 (1)ICMP 368
Number of cache entries: 1
--------------------------------------------------------------
Nexus-7000#
Nexus-7000# show logging ip access-list status Max flow = 8000
Alert interval = 300
Threshold value = 0
Nexus-7000#

これが既定の時刻 間隔であるようにロギングを表示できます 300 秒毎に:

Nexus-7000# show logging logfile
2014 Jun 29 19:19:01 Nexus-7000 %SYSLOG-1-SYSTEM_MSG : Logging logfile (acllog)
cleared by user
2014 Jun 29 19:20:57 Nexus-7000 %VSHD-5-VSHD_SYSLOG_CONFIG_I: Configured from vty by
admin on console0
2014 Jun 29 19:21:18 Nexus-7000 %ACLLOG-5-ACLLOG_FLOW_INTERVAL: Src IP: 10.1 0.10.1,
Dst IP: 172.16.10.10, Src Port: 0, Dst Port: 0, Src Intf: Ethernet4/1, Pro tocol:
"ICMP"(1), Hit-count = 2589
2014 Jun 29 19:26:18 Nexus-7000 %ACLLOG-5-ACLLOG_FLOW_INTERVAL: Src IP: 10.1 0.10.1,
Dst IP: 172.16.10.10, Src Port: 0, Dst Port: 0, Src Intf: Ethernet4/1, Pro tocol:
"ICMP"(1), Hit-count = 4561

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

設定に関する注記

このセクションはこの資料に説明がある設定についてのその他の情報を提供します。

詳しい ACLロギング

Nexus オペレーティング システム(NX-OS)リリース 6.2(6) およびそれ以降では、詳しい ACLロギングは利用できます。 機能はこの情報を記録 します:

  • 送信元および宛先 IP アドレス
  • 送信元ポート および 宛先ポート
  • ソースインターフェイス
  • プロトコル
  • ACL 名前
  • ACLアクション(割り当てか拒否)
  • 応用インターフェイス
  • パケットカウント

詳しいロギングを有効に するために CLI にロギング IPアクセスリストによって詳述されるコマンドを入力して下さい。 次に例を示します。

Nexus-7000(config)# logging ip access-list detailed
ACL Log detailed Logging feature is enabled. Hit-count of existing ACL Flow entry will
be reset to zero and will contain Hit Count per ACL type Flow.
Nexus-7000(config)#

詳しいロギングが有効に なった後ロギング出力例はここにあります:

2014 Jul 18 02:20:38 Nexus7k-1-oal %ACLLOG-6-ACLLOG_FLOW_INTERVAL: Src IP: 10.10.10.1,
Dst IP: 172.16.10.10, Src Port: 0, Dst Port: 0, Src Intf: Ethernet4/5, Protocol:
"ICMP"(1), ACL Name: test1, ACE Action: Permit, Appl Intf: Ethernet4/5, Hit-count: 69

グローバル な OAL コマンドの記述

このセクションは Nexus 7000 シリーズを設定するために OALs の使用のために切り替える使用するグローバル な OAL コマンドを説明します。

コマンド
説明
Switch(config)# ロギング IPアクセスリスト キャッシュ{{エントリ number_of_entries} | {間隔秒} | {レート制限 number_of_packets} | {しきい値 number_of_packets}}このコマンドは OAL グローバル な パラメータを設定 します。
Switch(config)# no logging IPアクセスリスト キャッシュ{エントリ | 間隔 | レート制限 | しきい値}このコマンドはデフォルト設定に OAL グローバル な パラメータを戻します。
エントリ
num_entries
これらのパラメータはソフトウェアでキャッシュされる Log エントリの最大数を規定 します。 範囲は 0 から 1,048,576 です。 デフォルト値は 8,000 のエントリです。
間隔
これらのパラメータはエントリが syslog に送られる前に最大時間 間隔を規定 します。 範囲は 5 から 86,400 です。 デフォルト値は 300 秒です。
しきい値
num_packets
これらのパラメータはエントリが syslog に送られる前にパケット一致(ヒット)の数を規定 します。 範囲は 0 から 1,000,000 です。 デフォルト値は 0 パケット(比率制限は消えています)です、つまりシステムログがパケット マッチの数によって引き起こされないことを意味します。

: これらの CLI コマンドの no 形式はデフォルト設定に変更される場合その時だけパラメータを戻します; それは Nexus 7000 シリーズ スイッチに OAL のオプションがあるただので、設定を取除きません。

Logging コマンド記述

このセクションは Nexus 7000 シリーズを設定するために OALs の使用のために切り替える使用する logging コマンドを記述します。

コマンド
説明
switch(config)# acllog 一致ログ レベル 番号
例: switch(config)# acllog 一致ログ レベル 3
このコマンドはエントリが ACL ログ(acllog)ログオンされる前に一致する必要があるログ レベルを規定 したものです。 範囲は 0 から 7.です。 デフォルトは値です 6.です。
Switch(config)# acllog 一致ログ レベル 番号無し
例: switch(config)# acllog 一致ログ レベル無し 6
このコマンドはデフォルト設定(6)にログ レベルを戻します。
Switch(config)# ログ レベル ファシリティ 重大度
例: switch(config)# ログ レベル acllog 3
このコマンドは規定 された 重大度がまたはより高くある規定 された ファシリティからのロギングメッセージを有効に します。 この資料で使用する例ではデフォルト設定が 2.である一方、acllog レベルは 3 に設定 されます。
水平な Switch(config)# no logging [ファシリティ 重大度]
例: switch(config)# no logging 水平な acllog 3
このコマンドはデフォルトレベルに規定 された ファシリティのロギング重大度をリセットします。 ファシリティおよび重大度を規定 しなければ
、デバイス リセットしますデフォルトレベルにすべてのファシリティを水平にして下さい。 この資料で使用する例では、acllog はデフォルト(2)に戻ります。
Switch(config)# ロギング ログファイル ログファイル名前重大度[サイズ バイト]
例: switch(config)# ロギング ログファイル acllog 3
このコマンドは記録が発生する前にシステムメッセージおよび最小重大度を保存するために使用するログファイルの名前を設定したものです。 オプションで最大ファイルサイズを規定できます。 デフォルト重大度は 5 であり、デフォルトファイル サイズは 10,485,760 です。
Switch(config)# no logging ログファイル[ログファイル名前重大度[サイズ バイト]]
例: switch(config)# no logging ログファイル acllog 3
このコマンドはログファイルにロギングをディセーブルにします。

: ログで入るべきログメッセージのために ACL ログ ファシリティ(acllog)のログ レベルおよびログファイルのロギング重大度は ACL ログ一致ログ レベル設定に等しい、 またはそれ以上である必要があります。

ガイドラインと制限事項

この資料に説明がある設定を適用する前に考慮する必要がある制限およびいくつかの重要なガイドラインはここにあります:

  • Nexus 7000 および 7700 シリーズ スイッチは OAL だけサポートします。

  • ACLロギングは ACL キャプチャ機能を使用しません。

  • 出力 ACL のログ オプションはマルチキャスト パケットのためにサポートされません。

  • 詳しいロギング サポートは IPv6 パケットに利用できません。

  • acllog ファシリティおよびロギング ログファイル重大度のログ レベルはそれらが acllog 一致ログ レベル設定に等しい、 またはそれ以上であることそのような物設定する必要があります。

  • OAL が使用される間、ハードウェア access-list キャプチャ コマンドを使用しないで下さい。 このコマンドが OAL およびあなたの横でイネーブル ACL キャプチャ使用されるとき知らせるために、ACLロギングがすべての仮想デバイス コンテキスト(VDC)のために無効であること警告メッセージが現れます。 ACL キャプチャをディセーブルにするとき、ACLロギングは有効に なります。 きちんとはたらくこのプロセスのためハードウェア access-list キャプチャ コマンド無しの使用のディセーブル。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118907