Cisco Nexus 5600 シリーズ NX-OS Quality of Service コンフィギュレーション ガイド リリース 7.x
ACL ロギングの設定
ACL ロギングの設定

ACL ロギングの設定

この章の内容は、次のとおりです。

ACL ロギングに関する情報

ACL ロギング機能を使用すれば、ACL フローをモニタして、インターフェイス上でドロップされたパケットをログに記録することができます。

IPv6 ACL ロギングの概要

ACL ロギング機能が設定されている場合は、システムが ACL フローをモニタして、ACL エントリの拒否条件と一致するフローごとにドロップされたパケットと統計情報をログに記録します。

統計情報とドロップされたパケットのログはフローごとに生成されます。 フローは、送信元インターフェイス、プロトコル、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、およひ宛先ポート値によって定義されます。 一致したフローに関して保持される統計情報は、指定された時間間隔における ACL エントリ別のフローの拒否数です。

新しいフロー(つまり、システム上でまだアクティブになっていないフロー)が拒否されると、システムは 1 のヒット カウント値で最初の Syslog メッセージを生成します。 その後は、フローが拒否されるたびに、システムはフロー エントリを作成して、ヒット カウント値をインクリメントします。

既存のフローが拒否されると、システムは各間隔の終わりに Syslog メッセージを生成して、そのときの間隔のフローに関するヒット カウント値を報告します。 Syslog メッセージの生成後は、フローのヒット カウント値が次の間隔用に 0 にリセットされます。 間隔中にヒットが記録されなかった場合は、フローが削除され、Syslog メッセージが生成されません。

ACL ロギングの注意事項と制約事項

ACL ロギングには次の設定上の注意事項と制約事項があります。

  • システムは、拒否 ACE 条件と一致するパケットのみをログに記録します。 許可 ACE 条件に関するロギングはサポートされません。

  • ロギング オプションはすべての ACL 拒否エントリに適用されます。 ロギング オプションを暗黙的に拒否されたトラフィックに適用するには、特定の全拒否 ACL エントリ用にロギング オプションを設定する必要があります。

  • ACL ロギングは、ipv6 port traffic-filter コマンドによって設定されたポート ACL(PACL)と、ipv6 traffic-filter コマンドのみによって設定されたルーテッド ACL(RACL)に適用されます。

  • フローと拒否フローの総数は、DoS 攻撃を避けるために、ユーザ定義の最大値に制限されます。 この制限に到達すると、既存のフローが終了するまで新しいログが作成されません。

  • システムは、ハッシュ テーブルを使用してフローを特定することにより、CPU 使用率に影響を与えることなく大量のフローをサポートできるようにします。 また、システムは、タイマー キューを使用して大量のフローのエージングを管理します。

  • ACL ロギング プロセスによって生成される Syslog エントリの数は、ACL ロギング プロセスに設定されたロギング レベルによって制限されます。 Syslog エントリの数がこの制限を超えた場合は、ロギング機能が一部のロギング メッセージをドロップします。 そのため、ACL ロギングは、課金ツールやアクセス リストとの一致数の正確なソースとして使用しないでください。

  • ハードウェア レート リミッタはパケット単位でトラフィックをレート制限しますが、コントロール プレーン ポリシング(COPP)はバイト単位でトラフィックをレート制限します。 パケット サイズとハードウェア レート リミッタの両方に高い値が設定されている場合は、COPP のデフォルト値を超過して、システムがパケットをドロップする可能性があります。 この制約を克服するには、デフォルト CIR 値(64000 バイト)を 2560000 バイトなどの高い値に増やす必要があります。 デフォルト CIR を増やすと、パケット ロギングが正常に動作します。

  • IPv6 ロギングは管理または VTY(端末)ポートではサポートされません

  • IPv6 ロギングは出力 RACL ではサポートされません(ASIC の制限による)。

  • IPv6 ロギングは出力 VACL ではサポートされません(ASIC の制限による)。

ACL ロギングの設定

ACL ロギング プロセスを設定するには、最初にアクセス リストを作成してから、指定された ACL を使用してインターフェイス上の IPv6 トラフィックのフィルタリングをイネーブルにし、最後に ACL ロギング プロセス パラメータを設定します。

手順
     コマンドまたはアクション目的
    ステップ 1switch# configure terminal  

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2ipv6 access-list name


    例:
    switch(config)# ipv6 access-list logging-test
     

    IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。

     
    ステップ 3deny ipv6 any destination-address log


    例:
    switch(config-ipv6-acl)# deny ipv6 any 2001:DB8:1::1/64 log
     

    IPv6 アクセス リストに拒否条件を設定します。 このエントリとの一致をログに記録するようにシステムを設定するには、拒否条件を設定するときに log キーワードを使用する必要があります。

     
    ステップ 4exit


    例:
    switch(config-ipv6-acl)# exit
     

    設定を更新して、IPv6 アクセス リスト コンフィギュレーション モードを終了します。

     
    ステップ 5interface ethernet slot/port


    例:
    switch(config)# interface ethernet 1/1
     

    インターフェイス コンフィギュレーション モードを開始します。

     
    ステップ 6ipv6 traffic-filter logging-test {in | out}


    例:
    switch(config-if)# ipv6 traffic-filter logging-test in
     

    指定された ACL を使用してインターフェイス上の IPv6 トラフィックのフィルタリングをイネーブルにします。 発信トラフィックまたは着信トラフィックに ACL を適用できます。

     
    ステップ 7exit


    例:
    switch(config-if)# exit
     

    設定を更新して、インターフェイス コンフィギュレーション モードを終了します。

     
    ステップ 8logging ip access-list cache interval interval


    例:
    switch(config)# logging ip access-list cache interval 490
     

    ACL ロギング プロセスのログ更新間隔(秒単位)を設定します。 デフォルト値は 300 秒です。 指定できる範囲は 5 ~ 86400 秒です。

     
    ステップ 9logging ip access-list cache entries number-of-flows


    例:
    switch(config)# logging ip access-list cache entries 8001
     

    ACL ロギング プロセスでモニタするフローの最大数を指定します。 デフォルト値は 8000 です。 サポートされる値の範囲は 0 ~ 1048576 です。

     
    ステップ 10logging ip access-list cache threshold threshold


    例:
    switch(config)# logging ip access-list cache threshold 490
     

    アラート期限が切れる前に、指定されたパケット数がログに記録された段階で、Syslog メッセージが生成されます。

     
    ステップ 11hardware rate-limiter access-list-log packets


    例:
    switch(config)# hardware rate-limiter access-list-log 200
     

    アクセス リスト ロギングのためにスーパーバイザ モジュールにコピーされるパケットのレート制限を pps で設定します。 範囲は 0 ~ 30000 です。

     
    ステップ 12acllog match-log-level severity-level


    例:
    switch(config)# acllog match-log-level 5
     

    ACL の一致を記録する最小重大度レベルを指定します。 デフォルトは 6(情報)です。 範囲は 0(緊急)~ 7(デバッグ)です。

     

    ACL ロギング設定の確認

    ACL ログイン設定情報を表示するには、次のいずれかの作業を実行します。

    コマンド 目的

    show logging ip access-list status

    拒否フローの最大数、現在有効なログ間隔、および現在有効なしきい値を表示します。

    show logging ip access-list cache

    送信元 IP アドレスと宛先 IP アドレスや S ポートと D ポートの情報などのアクティブな記録されたフローに関する情報を表示します。

    ACL ロギングの設定例

    次に、ACL ロギング プロセスを設定する例を示します。

    switch# configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    switch(config)# ipv6 access-list logging-test
    switch(config-ipv6-acl)# deny ipv6 any 2001:DB8:1::1/64 log
    switch(config-ipv6-acl)# exit
    switch(config)# interface ethernet 1/1
    switch(config-if)# ipv6 traffic-filter logging-test in
    switch(config-if)# exit
    switch(config)# logging ip access-list cache interval 400
    switch(config)# logging ip access-list cache entries 100
    switch(config)# logging ip access-list cache threshold 900
    switch(config)# hardware rate-limiter access-list-log 200
    switch(config)# acllog match-log-level 5
    switch(config)# exit
    switch#
    次に、代表的な PACL ロギング設定例を示します。
    switch(config)# interface ethernet 8/11
    switch(config-if)# ipv6 port traffic-filter v6log-pacl in
    switch(config-if)# switchport access vlan 4064
    switch(config-if)# speed 1000
    
    switch(config)# interface Vlan 4064
    switch(config-if)# no shutdown
    switch(config-if)# no ip redirects
    switch(config-if)# ipv6 address 4064::1/64
    
    
    Switch# show vlan filter
    vlan map v6-vaclmap:
    Configured on VLANs: 4064
    
    Switch# show vlan access-map v6-vaclmap
    Vlan access-map v6-vaclmap
    match ipv6: v6-vacl
    action: drop 
    statistics per-entry