Routers : Routers Cisco de la serie 12000

Implementar las Listas de acceso en los Cisco 12000 Series Internet Router

13 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Abril 2015) | Comentarios


Contenido


Introducción

Este documento describe el soporte para el Listas de control de acceso (ACL) en los Cisco 12000 Series Internet Router.

prerrequisitos

Requisitos

Cisco recomienda que usted tiene conocimiento de los fundamentos de cómo un ACL trabaja en un router Cisco.

Refiera a estos documentos para información general sobre los ACL y sus aplicaciones:

Componentes Utilizados

La información en este documento se basa en los Cisco 12000 Series Internet Router.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Información general sobre el soporte de ACL en el router de Internet de la serie Cisco 12000

En el Cisco 12000 Series Internet Router, los ACL se pueden procesar en el soporte físico (circuito específico de la aplicación - ASIC), el software (el CPU de un linecard), o como característica híbrida – procesado en el software con la asistencia por hardware. Si un ACL está procesado en el soporte físico o el software depende de la aplicación de ACL, del tipo de motor del linecard, y de la interacción de los ACL en el otro linecards.

Los motores de la tarjeta de línea de la serie 12000 de Cisco proporcionan capacidades ACL diferentes. Para la información de servicio técnico ACL para un motor determinado del linecard, vaya a la sección correspondiente en este documento.

Nota: El Multicast IP ACL no se soporta en el Software Release 12.0S de Cisco IOS�. La característica del límite del Multicast IP puede ser utilizada donde se requiere el filtrado de multidifusión. Refiera al Reenvío de multicast del trayecto rápido en el motor 2 de las Cisco 12000 Series y al linecards ISE para más información.

ACL basadas en ASIC frente a ACL basadas en CPU

El Cisco 12000 soporta todas las generaciones de procesamiento ACL. Los conocimientos del funcionamiento de cómo cada uno de estos modos de proceso trabaja, obra recíprocamente, y se apoya son esenciales para el uso eficaz ACL en el Cisco 12000.

Primeras generaciones de procesamiento ACL usadas un CPU programable para procesar el ACL. En un cierto plazo, los requisitos de procesamiento del paquete por segundo (PPS) excedieron la capacidad de los nuevos CPU de continuar. Asics fue construido para alcanzar tarifas más altas PPS para la expedición y las capacidades de las características del router. Los ACL que fueron cargados en el line card (LC) CPU entonces fueron cargados sobre el LC ASIC. Asics continuó siendo improvisado para manejar tarifas más altas PPS. Este la segunda generación Asics se ha empleado el trabajo pionero de la generación antes, y ofrece más Capacidades del ASIC. Porque el Cisco 12000 es una plataforma de ruteo distribuida, la interacción entre las diversas generaciones de procesamiento ACL puede crear una cierta confusión operacional.

/image/gif/paws/40742/acl_12000a.gif

Los términos tales como ACL basada en ASIC, ACL basado en la CPU, trayecto rápido, trayectoria lenta, y las bateas de ASIC se utilizan en este documento para ayudar a explicar qué ocurre con procesamiento ACL. Aquí están las explicaciones de estos términos:

  • ACL ASIC basados (trayecto rápido) — Los ACL se cargan y se procesan en el hardware ASIC. El sobre de desempeño de ASIC determina la profundidad de la ALC, el desempeño y las capacidades. El trayecto rápido se ha utilizado en la trayectoria para ilustrar la diferencia entre el proceso ASIC basado y el proceso hecho en el CPU LC-que soportaba. Más el término genérico, ASIC basado, se utiliza en este documento.

  • ACL CPU-basados (trayectoria lenta) — Los ACL se procesan en el software en el linecard CPU. Para los indicadores luminosos LED amarillo de la placa muestra gravedad menor de las primeras generaciones (el motor 0 y en algunos casos el motor 1), procesando todo se hace en el LC CPU. Los LC ASIC basados se realizan procesamiento ACL en los paquetes que se llevan en batea de ASIC. La trayectoria lenta fue utilizada en el pasado para ilustrar cómo las bateas al LC CPU eran más lentas que ASIC. Más el término genérico, CPU-basado, se utiliza en este documento.

  • Bateas de ASIC — Asics tiene sobres de diseño estricto. Cuando un paquete excede el sobre diseñado, consigue llevado en batea de ASIC que se procesará en el LC que soporta el CPU o enviado hasta el (RP) del Route Processor. Los ACL vacían los paquetes ASIC basados que caen fuera del diseño de ASIC. Un ejemplo es un ACL que tiene ACE con un registro o una palabra clave de entrada de registro. La información solicitada para registrar el paquete debe ser procesada fuera del ASIC, para que el paquete sea expulsado automáticamente fuera del ASIC, introducido en la CPU de LC y procesado como una ACL normal basada en CPU.

Nota: Cuando usted configura el Routing basado en políticas (PBR) con las declaraciones de coincidencia para hacer juego los ACL, los ACL no deben hacer juego el puerto de origen. El router de switch Gigabit (GRS) no soporta el Hardware Switching para el PBR con los ACL que hacen juego el puerto de origen. Acciona el process switching y el funcionamiento GSR degrada.

Filtrado de planos de administración y control

El procesador del router proporciona los servicios del control y del plano de administración en la arquitectura distribuida de las Cisco 12000 Series. Reciba la trayectoria ACL (rACLs) proporcionan una capacidad de filtración distribuida simple para el control y el tráfico de administración destinado para el RP. Puede ser visto lógicamente como capa adicional de Seguridad que se aproveche de las fuerzas de una arquitectura distribuida.

Configuración de los ACL de trayecto de recepción de IP

El rACL fue introducido con una exención especial en la válvula reguladora del mantenimiento del Software Release 12.0(21)S2 de Cisco IOS�. Se soporta oficialmente en el Cisco IOS Software Release 12.0(22)S. Refiera al IP reciben el ACL para más información.

El Procesador del router brinda servicios del plano de control en la arquitectura distribuida de la serie Cisco 12000. La recepción ACL proporciona las capacidades de filtración para el tráfico de control destinado para el RP, tal como actualizaciones de ruteo e interrogaciones del Simple Network Management Protocol (SNMP).

El rACL se considera la fase 1 de un esfuerzo polifásico para agregar las nuevas protecciones al control y a la Administración del tráfico del plano. Las nuevas mejoras de la limitación de la tarifa se están agregando a través de las actualizaciones de software.

Soporte de ACL de IPv4 por tipo de tarjeta de línea

Las tarjetas de línea de las series 12000 brindan diferentes capacidades de ACL para cada tipo de motor. Esta sección describe las capacidades de ACL de los motores de la placa de línea diferente. Para la información de servicio técnico ACL para un motor determinado del linecard, vea la sección correspondiente de este documento.

Hay algunas características generales para todos los ACL (ASIC y CPU basados):

  • Sólo puede aplicarse una ACL a una interfaz para cada sentido. Por ejemplo, la interfaz POS 0/0 puede tener solamente una entrada ACL y un ACL de salida.

  • La prueba del paquete contra la ACL se detiene después de que se encontró una coincidencia. Si un ACL que es 300 entradas de largo hace juego el paquete en la entrada de lista de acceso (ACE) #45, después se procesa y procesamiento ACL se para el paquete.

  • Hay un implícito niega toda la entrada en el final de cada ACL. Como consecuencia, si no hay coincidencia en el ACL, el paquete consigue caído. Cisco ACL se crea con la arquitectura de ACL con permisos explícitos. Esto significa que debe haber ACE para hacer juego el paquete para que sea procesado y remiten.

  • los ACE Nuevo-agregados se añaden al final del fichero siempre al final del ACL. Siempre que el ACL requiera las actualizaciones, es una práctica adecuada quitar el ACL (utilice el comando no access-list) y re-agregar el nuevo ACL.

  • Porque los fragmentos NON-iniciales IP no contienen la información sobre protocolo de la capa 4 en el encabezado IP, sólo los criterios de concordancia estándar se soportan para los fragmentos no iniciales. Las profundidades totales en cómo Cisco ACL cumple con la filtración del fragmento IP se pueden encontrar en las listas de control de acceso y los fragmentos IP.

  • Se procesan y se aplican los ACL numerados tan pronto como se ingresen a través del comando line interface(cli). Con los ACL grandes, esto da lugar a veces a pico de la CPU en el RP o el LC CPU.

Motor 0 - Procesamiento de ACL

El motor 0 es el primer linecard entregado para el Cisco 12000. Es todo procesamiento basado en la CPU y expedición. Por lo tanto, linecards ACL de proceso del motor 0 en el LC CPU.

Este linecards se basa en el motor 0:

Tipo del linecard Tipo de interfaz Conectividad
12 x DS3 Coaxial SMB
12 x DS3 Coaxial SMB
12 x E3 Coaxial SMB
1xCHOC12->DS3 IR
1xCHOC12/STM4->OC3/STM1 POS (Packet over SONET) IR
4x0C3c/STM1c POS (Packet over SONET) SR
4x0C3c/STM1c POS (Packet over SONET) LR
4x0C3c/STM1c POS (Packet over SONET) MM
1xOC12c/STM4c POS (Packet over SONET) IR
1xOC12c/STM4c POS (Packet over SONET) MM
6xCT3->DS1 SMB
2xCHOC3/STM1->DS1/E1 IR
4x0C3c/STM1c ATM IR
4x0C3c/STM1c ATM MM
1xOC12c/STM4c ATM IR
1xOC12c/STM4c ATM MM

Criterios de concordancia admitidos

Todo el estándar, ACL ampliado, y Turbo ACL del Cisco IOS Software Release 12.0S se soportan en el motor 0.

Número de ACE soportados

Los tamaños ACL son limitados solamente por los requisitos de rendimiento y los recursos de memoria disponible.

Procesamiento de la ACL de salida

Los ACL de salida son procesados en el trayecto de característica de ingreso de las otras tarjetas de línea en el sistema. Un empuje del ACL de salida al lado del ingreso de los otros LC protege el backplane contra los paquetes de la expedición que van a ser caídos. Esto es una función heredada de la arquitectura distribuida en el Cisco 7500. Una explicación detallada, las razones, y los Guías de consulta operacionales se proporcionan en el ACL de salida del IPv4 - matriz de interfuncionamiento de placa de línea.

Comandos del específico del linecard

Ninguno.

Pautas operacionales e interacciones de la tarjeta en línea

  • Si el Netflow se configura en un linecard del motor 0 y un ACL de salida se configura en una salida Motor 3 o el linecard 4+, el ACL de salida es procesado por el ingreso y el linecards de la salida para permitir que el Netflow explique los paquetes negados por los ACL así como los paquetes remitidos.

Recomendaciones

Cisco recomienda el uso de Turbo ACL en el motor 0 para los ACL grandes. Las ACL lineales pequeñas son más eficaces para ACL más pequeñas ya que la ACL Turbo requiere más memoria.

Motor 1 - Procesamiento de ACL

Información general

El linecard del motor 1 es un Bridge entre procesamiento basado en la CPU encendido el motor 0 y la expedición de la primera generación/la característica ASIC en el linecards ACL de proceso del motor 1 del motor 2. en el software por abandono. Con el Cisco IOS Software Release 12.0(10)S y Posterior, el motor 1 proporciona el hardware ACL para los indicadores luminosos LED amarillo de la placa muestra gravedad menor equipados de las versiones 4 o 5 del Salsa ASIC (véase la referencia de comandos del linecard abajo para determinar con qué versión de Salsa se equipa una placa particular).

Este linecards se basa en el motor 1:

Tipo del linecard Tipo de interfaz Conectividad
8xFE (RJ45) 100BaseT
8xFE (MM) 100BaseF
8xFE (RJ45) 100BaseT
8xFE (MM) 100BaseF
1xGE SX, GBIC:
1xGE SX, GBIC:
2xOC12c/STM4c DPT IR
2xOC12c/STM4c DPT LR
2xOC12c/STM4c DPT XLR
2xOC12c/STM4c DPT MM
2xOC12c/STM4c DPT IR
2xOC12c/STM4c DPT LR
2cOC12c/STM4c DPT XLR
2xOC12c/STM4c DPT MM

Criterios de concordancia admitidos

Todos los estándar soportada Cisco IOS Software Release 12.0S, extendidos, y Turbo ACL se soportan en el LC CPU (trayectoria lenta). Además, el motor 1 puede la entrada del proceso ACL en la salsa ASIC. La salsa ASIC dirige la entrada ACL que procesa junto con las operaciones de búsqueda de la ruta, dando por resultado el mayor rendimiento cuando está comparada a Lineal tradicional procesamiento ACL y a Turbo procesamiento ACL. La salsa ASIC no puede el resultado del proceso ACL o la sub-interfaz ACL.

Número de ACE soportados

Los tamaños ACL son limitados solamente por los requisitos de rendimiento y los recursos de memoria disponible.

Procesamiento de la ACL de salida

Los ACL de salida son procesados en el trayecto de característica de ingreso de las otras tarjetas de línea en el sistema. Vea el ACL de salida del IPv4 - Sección de la matriz de interfuncionamiento de placa de línea para más información.

Comandos del específico del linecard

  • access-list hardware salsa

  • muestre el regulador l3 | incluya ASIC

Pautas operacionales e interacciones de la tarjeta en línea

  • El ASIC Salsa y el ASIC PSA no pueden ser operados al mismo tiempo. El comando access-list hardware acepta sólo PSA (Motor 2) o Salsa (Motor 1) pero no ambos.

  • Si el Netflow se configura en un linecard del motor 1 y un ACL de salida se configura en una salida Motor 3 o el linecard 4+, el ACL de salida es procesado por el ingreso y el linecards de la salida para permitir que el Netflow explique los paquetes negados por los ACL así como los paquetes remitidos.

Recomendaciones

Para el linecards de las versiones del motor 1 que no soporta el hardware ACL, Cisco recomienda el uso de Turbo ACL para los ACL grandes. Las ACL pequeñas (menos de 20 líneas) pueden implementarse como ACL lineales para conservar la memoria.

Motor 2 - Procesamiento de ACL

Información general

Engine 2 fue la primera tarjeta de línea con una ASIC de reenvío/función. Con el Cisco IOS Software Release 12.0(10)S y Posterior, el linecards del motor 2 proporciona las capacidades de hardware ACL en el Packet-Switching ASIC de alto rendimiento (PSA). Como con toda la expedición/característica Asics, sobres de rendimiento estricto limitan en la capacidad de ASIC. El sobre del rendimiento clave en el motor 2 ACL es debido a las limitaciones en la memoria en el PSA ASIC.

El reenvío de paquete en motor 2 es hecho por el PSA ASIC. El PSA tiene tres memorias externas principales:

  • PLU (Trayectoria-operaciones de búsqueda) — Utilizado para salvar los Nodos del mtrie

  • TLU (búsqueda en la tabla) — Utilizado para salvar las hojas de la BOLA y posiblemente las estructuras del loadbalance. También utilizado para llevar a cabo muchas de las estructuras de datos PSA ACL

  • SRAM — La ubicación primaria para las estructuras de la distribución de carga

La característica ACL PSA es una implementación microcódigo-basada de marcar ACL. Un conjunto especial de las instrucciones se carga en el chip PSA que permite marcar básico ACL. Hay varias limitaciones a esta característica que deba ser entendida cuidadosamente antes de desplegar. Una desventaja importante a PSA ACL es una gran cantidad de la memoria del hardware que reenvía requerida.

La característica ACL PSA requiere un bloque grande de la memoria PLU/TLU ser reservada sin importar el número de prefijos, de etc. Porque esta asignación viene sobre todo del área TLU, tiene un impacto significativo en el número de rutas que se puedan mantener en estos indicadores luminosos LED amarillo de la placa muestra gravedad menor cuando se configura el PSA ACL.

Además del gasto inicial de la memoria PLU/TLU, cada prefijo salvado en la memoria TLU requiere significantly more memoria. La cantidad de memoria necesaria para cada prefijo varía, sobre la base de la dirección del ACL aplicado (ingreso contra la salida) y del tipo del linecard. La salida ACL requiere generalmente más memoria que el ingreso, y el linecards con más puertos físicos requiere más memoria esa ésos con menos puertos.

En el caso donde el linecard del motor 2 no utiliza los ACL, las estructuras de datos para el ACL se construyen sin importar los ACL reales configurados. Para cambiar a las estructuras más pequeñas NON-ACL, usted no debe configurar ningún psa del hardware de la lista de acceso en el router. Este comando inhabilita todos procesamiento ACL en todo el linecards Engine2 en todas las direcciones. Recommeds de Cisco para utilizarlas con la precaución extrema.

Información general

Para proporcionar procesamiento ACL el funcionamiento que es independiente de la profundidad de coincidencia, el motor 2 ACL es integrado en la tabla del hardware que reenvía. Vea abajo para las explicaciones en cómo esto puede afectar el scalability del prefijo.

Este linecards se basa en el motor 2:

Tipo del linecard Tipo de interfaz Conectividad
1xOC48c/STM16c POS (Packet over SONET) SR
1xOC48c/STM16c POS (Packet over SONET) LR
1xOC48c/STM16c POS (Packet over SONET) SR
1xOC48c/STM16c POS (Packet over SONET) LR
1xOC192c/STM64c Enabler SR
16xOC3c/STM1c POS (Packet over SONET) IR
16xOC3c/STM1c POS (Packet over SONET) MM
4xOC12c/STM4c POS (Packet over SONET) IR
4xOC12c/STM4c POS (Packet over SONET) MM
4xOC12c/STM4c POS (Packet over SONET) IR
4xOC12c/STM4c POS (Packet over SONET) MM
4xOC12c/STM4c ATM IR
4xOC12c/STM4c ATM MM
8xOC3cSTM1c ATM/TS IR
8xOC3c/STM1c ATM/TS MM
3xGE SX GBIC:
3xGE CWDM GBIC:
1xOC48c/STM16c DPT SR
1xOC48c/STM16c DPT LR
1xOC48c/STM16c DPT SR
1xOC48c/STM16c DPT LR

Criterios de concordancia admitidos

Todos los criterios de concordancia soportados Cisco IOS Software Release 12.0S del estándar y del ACL ampliado, excepto los puertos de origen de la capa 4. Las máscaras, los campos de la Prioridad IP, y los puertos de origen discontinuos de la capa 4 se llevan en batea del PSA ASIC y se procesan en el LC CPU.

Número de ACE soportados

Hasta cinco ACL de entrada de 448 líneas en PSA. Un ACL se puede configurar por el puerto. Los ACL adicionales son administrados por el linecard CPU. Vea la sección de las “restricciones” abajo para las restricciones en los ACL de salidas.

Procesamiento de la ACL de salida

Un ACL de salida configurado en este linecard será realizado en el trayecto de función del ingreso del otro linecards en el sistema. Vea el ACL de salida del IPv4 - Matriz de interfuncionamiento de placa de línea para los detalles.

Comandos del específico del linecard

  • límite de psa del hardware de lista de acceso 128

  • no access-list hardware psa

  • desviación psa

  • show access-list psa detail

  • show access-list psa summary

  • show controller psa feature

Pautas operacionales e interacciones de la tarjeta en línea

  • El trayecto rápido procesamiento ACL requiere estas condiciones ser cumplido:

    • La ACL aplicada se encuentra dentro del límite 128- o 448- ACE.

      • La longitud debe ser menos que 128 ACE si configuran al comando access-list hardware psa limit 128.

      • La longitud debe ser menor a 448 ACE cuando se necesita el conjunto de microcódigos ACL de 448 líneas.

    • La entrada y salida ACL no se configura junta por el indicador luminoso LED amarillo de la placa muestra gravedad menor.

    • Se pueden configurar hasta 5 ACL de salida en el router.

  • Solamente el 128-line ACL se soporta en 8 y el linecards 16-port OC-3/STM-1 POS. Las ACL de 448 líneas son admitidas en los POS OC-12/STM-4 de 4 puertos, en los POS OC-48/STM-16 de 1 puerto y en las tarjetas de línea Gigabit Ethernet de 3 puertos.

  • Las entradas ACL toman la prioridad en el trayecto rápido sobre los ACL de salidas cuando ambos se configuran en paralelo en el mismo indicador luminoso LED amarillo de la placa muestra gravedad menor (el ACL de salida se procesa en la trayectoria lenta).

  • Si un ACL de salida se configura en un indicador luminoso LED amarillo de la placa muestra gravedad menor del motor 2, y el linecard del ingreso es el motor 0/1/2/4, un ACL de salida será procesado en la placa de ingreso. Para otros tipos de motor, el ACL de salida será procesado en el trayecto lento de salida del motor 2.

  • Los ACL de salidas no se soportan para el tráfico IP-a-MPLS (primera escritura de la etiqueta MPLS “que es avanzada” sobre un paquete del IP).

  • Procesamiento ACL la información es integrada en la BOLA del hardware y puede afectar el scalability del prefijo. El agotamiento de la memoria del prefijo es señalado por las fallas de asignación de memoria con la firma “exmem=1” en el mensaje del registro de acompañamiento.

Recomendaciones

  • Procesamiento ACL la información es integrada en la tabla de reenvío CEF, que reduce el scalability del prefijo. Las aplicaciones que no utilizan los ACL pueden inhabilitar el soporte ACL en la tabla CEF y de tal modo aumentar la memoria disponible del prefijo publicando el comando no access-list hardware psa.

  • La configuración del comando no access-list hardware psa inhabilita todos procesamiento ACL por los indicadores luminosos LED amarillo de la placa muestra gravedad menor del motor 2 además de inhabilitar el soporte PSA para los ACL. No fuerza la ejecución del software de los ACL. Esta condición también se aplica si la tarjeta de línea de egreso tiene una ACL de salida configurada.

  • La configuración del comando access-list compiled después de que el comando access-list hardware psa convierta los ACE que exceden la capacidad del PSA en un Turbo ACL. Esto ofrece un rendimiento óptimo de ACL para ACL de 448 ACE de longitud.

    • El microcódigo predeterminado de ACL es 128 (a partir de la versión 12.0(14)S/ST del software del IOS de Cisco. Si ACL más pequeños son funcionando y la capacidad del 448-line no se requiere, configurar el comando access-list hardware psa limit 128 conserva la memoria de la expedición (TLU), que mejora el scalability del prefijo).

    • Turbo procesamiento ACL se debe habilitar con el comando access-list compiled para los ACL más de largo que las líneas 129 junto con el comando access-list hardware psa limit 128. Esta combinación procesa las primeras líneas 128 en el PSA ASIC y las líneas restantes con Turbo ACL, que optimiza el funcionamiento mientras que conserva remitiendo la memoria.

  • El linecard atmósfera 4-port OC12 no soporta las entradas ACL, sino proporciona la detección del ACL de salida en el microcódigo, que permite el proceso de los ACL de salidas en la trayectoria lenta.

  • El linecard atmósfera 8xOC3 soporta la línea ACL del por-VC 128 con el Cisco IOS Software Release 12.0(23)S y Posterior. Un máximo de 16 entradas ACL distintas se puede configurar en el trayecto rápido. 448-input ACL se soporta en a por VC en la trayectoria lenta solamente. Los ACL de salida no son compatibles.

ISE (Motor de servicios IP) Motor 3 – Procesamiento de ACL

Información general

Motor 3 es el primer linecard dual de la expedición de la etapa. El Motor 3 posee reenvío/función ASIC tanto en el trayecto de ingreso como en el de egreso. Esto permite colocar las ACL en el ASIC, tanto en el trayecto de entrada como en el de salida. Además, Motor 3 la estructura de ASIC es un arsenal híbrido de la tubería/del paralelo. La estructura ASIC implementa procesamiento ACL paralelamente el Ternary Content Addressable Memory de alta velocidad (TCAM), que proporciona el procesamiento de velocidad de línea hasta de 20K ACE por el ingreso, y 20K ACE por la salida.

Este linecards se basa encendido Motor 3:

Tipo del linecard Tipo de interfaz Conectividad
4xOC12c/STM4c POS (Packet over SONET) IR
4xOC12c/STM4c POS (Packet over SONET) MM
4xCHOC12/STM4->OC3/STM1->DS3/E3 POS (Packet over SONET) IR
16xOC3c/STM1c POS (Packet over SONET) IR
16xOC3c/STM1c POS (Packet over SONET) MM
8xOC3/STM1c POS (Packet over SONET) IR
8xOC3c/STM1c POS (Packet over SONET) MM
4x0C3c/STM1c POS (Packet over SONET) IR
4x0C3c/STM1c POS (Packet over SONET) MM
4x0C3c/STM1c POS (Packet over SONET) LR
1xOC48c/STM16c POS (Packet over SONET) SR
1xOC48c/STM16c POS (Packet over SONET) LR
1xCHOC48/STM16->STM4->OC3/STM1->DS3/E3 POS (Packet over SONET) SR
4xOC12c/STM4c ATM/IP IR
4xOC12c/STM4c ATM/IP MM
4xGE GE
4xOC12c/STM4c DPT IR
4xOC12c/STM4c DPT XLR

Criterios de concordancia admitidos

Los criterios de concordancia estándar y extendidos de todo el Cisco IOS Software Release 12.0S se soportan en el trayecto rápido a excepción de los aces del registro que son procesados por el linecard CPU.

Número de ACE soportados

  • Alinee la tarifa que procesa en el ingreso y la dirección de salida por el puerto, por el VLA N, por la subinterfaz del Frame Relay, y por la subinterfaz ATM. Se admiten hasta 20,000 ACE extendidas por dirección y por tarjeta.

  • Los criterios de concordancia para la fuente/el puerto destino TCP/UDP “rango”, “lt”, y “gt” son todos dirigidos en hardware usando “los recursos del operador L4”.

  • El número de operandos L4 diferentes está limitado a 32 para la tarjeta de línea completa. Limitan a los operadores del puerto de origen a un máximo de seis.

Procesamiento de la ACL de salida

Soporte nativo del trayecto rápido para el ACL de salida del line tarifa que procesa en el paquete de la transmitir-trayectoria que procesa ASIC. Vea el ACL de salida del IPv4 - Matriz de interfuncionamiento de placa de línea para los detalles.

Comandos del específico del linecard

  • el tcam del <slot-> del módulo del hw compila la ninguna fusión

    ¡! ---12.0(21)S3

  • interfaz de hardware del show-access-list <interface name>

  • muestre el [x/y] del cef int pos | if_number inc.

Pautas operacionales e interacciones de la tarjeta en línea

  • Los paquetes que corresponden con los ACE de registración se procesan en la trayectoria lenta.

  • Las ACE de denegación para la concordancia de paquetes (reguladas como protección ante interrupciones del sistema) se procesan en el trayecto lento.

  • Cuando un ACL incluye un rango de direcciones, el hardware utiliza el “rango llamado los ACE especial ACE” que requieren hasta tres ACE.

  • La fusión de ACL puede conservar a los Recursos TCAM compartiendo los ACE comunes a través de los ACL individuales. Para determinar si una ACL está fusionada, utilice el comando de interfaz de hardware show-access-list.

  • Los contadores ACL no se soportan para los ACL combinados. Con el Cisco IOS Software Release 12.0(21)S3 y Posterior, la fusión de ACL se puede inhabilitar con el comando hw-module <slot -> tcam compile no-merge. Para determinar si un ACL está combinado, utilice el comando show-access-list hardware interface.

  • Si el Netflow se configura en un linecard del motor 0/1 y un ACL de salida se configura en una salida Motor 3 o el linecard 4+, el ACL de salida será procesado por el ingreso y el linecards de la salida para permitir que el Netflow explique los paquetes negados por los ACL así como los paquetes remitidos.

Soporte de contador ACL

            Per-ACE          Per-ACE               Aggregate     
                             (hardware counters)
21S3/ST3                     X
22S                          X                     X
23S         X                X                     X    

Definiciones:

  • POR-ACE — El soporte normal del Cisco IOS Software, el comando show access-list <number> en el RP/LC visualiza el ACL y el contador asociados a cada ACE. Está disponible solamente cuando se inhabilita la fusión antes de que usted configure cualquier ACL. Esto se puede hacer usando este comando configuration:

    Router(config)#hw-module slot <number> tcam compile acl no-merge
    

    Esta opción cuando es habilitada apaga algunas optimizaciones de fusión TCAM y afecta al scalability. El efecto exacto depende de las ACL individuales.

    También observe que los contadores no estarán correctos si el Policy-Based Routing se aplica en esa interfaz. En ese caso, el contador global debe ser utilizado.

  • Por-ACE (TCAM) — Contadores de hardware asociados a cada entrada TCAM. No hay configuración necesaria y no hay impacto en el funcionamiento/el scalability. Disponible solamente en el linecard usando este CLI. Estos contadores no se pueden reiniciar por medio del software.

    LC-Slot4#show contr tofab alpha acl <if-number> vmr2ace
    

    Un nuevo CLI genérico para este comando estará disponible en el Cisco IOS Software Release 22S:

    LC-Slot4#show access-list hardware interface p0:1 in
    

    Como con el contador de por-ACE, los contadores TCAM son válidos solamente cuando el PBR no se utiliza en esa interfaz con el ACL.

  • Agregado — Cada ACL muestra que un permiso sumario/niega al revés. Esta es la suma de todos los contadores ACE individuales. No hay configuración necesaria y no hay impacto en el funcionamiento o el scalability.

Recomendaciones

Ninguno ahora.

Motor 4 (POS) – Procesamiento de ACL

Información general

El motor 4 proporciona este soporte ACL con el Cisco IOS Software Release 12.0(18)S y Posterior:

  • Los ACL de salida son compatibles con las tarjetas de línea E0 si la tarjeta de ingreso es una tarjeta de línea de motor 4. En esta configuración, el ACL de salida es procesado por el linecard CPU de la salida.

Este linecards se basa en el motor 4:

Tipo del linecard Tipo de interfaz Tipo de motor Conectividad
4xOC48c/STM16c POS (Packet over SONET) E4
4xOC48c/STM16c POS (Packet over SONET) E4 LR
1xOC192c/STM64c POS (Packet over SONET) E4 IR
1xOC192c/STM64c POS (Packet over SONET) E4 SR
1xOC192c/STM64c POS (Packet over SONET) E4 VSR-1
10xGE SFP E4  

Motor 4+ (POS y DPT) - Procesamiento de ACL

Información general

El motor 4+ introduce la funcionalidad de ACL a la cartera de las Cisco 12000 Series 10-Gigabit.

En cada uno de los trayectos de ingreso y de egreso, son soportadas hasta 1024 ACE. Ambo la entrada y salida ACL se procesa en la línea tarifa para hasta 96 ACE. El rendimiento para coincidencias más largas varía con el alcance de la coincidencia.

Este linecards POS se basa en el motor 4+:

Tipo del linecard Tipo de interfaz Conectividad
4xOC48c/STM16c POS (Packet over SONET) SR
4xOC48c/STM16c POS (Packet over SONET) LR
1xOC192c/STM64c POS (Packet over SONET) IR
1xOC192c/STM64c POS (Packet over SONET) SR
1xOC192c/STM64c POS (Packet over SONET) VSR-1
1xOC192/STM64c POS (Packet over SONET) LR
4xOC48c/STM16c DPT SFP:
1xOC192c/STM64c DPT IR
1xOC192c/STM64c DPT SR
1xOC192c/STM64c DPT VSR-1
1xOC192c/STM64c DPT LR

Criterios de concordancia admitidos

Todos los criterios soportados Cisco IOS Software Release 12.0S del estándar y del ACL ampliado se soportan en el trayecto rápido a excepción del registro o del fragmento ACE.

Número de ACE soportados

Se admiten hasta 1024 ACE por dirección en el trayecto rápido.

Nota: 1021 de los ACE son configurables. Tres entradas son reservadas para los comandos permit ip any any, deny ip any any, y send to CPU implícitos ACE.

No existe un límite máximo para el número de ACE admitidos. Cualquier ACE más allá del límite 1021 se realiza en la trayectoria lenta del linecard.

Procesamiento de la ACL de salida

Las ACL de salida se procesan en el trayecto rápido de lado de transmisión. Vea el ACL de salida del IPv4 - Matriz de interfuncionamiento de placa de línea para los detalles.

Comandos del específico del linecard

  • muestre el tcam appl [ACL-en | ] tcam ACL-hacia fuera <label-ningún >

  • muestre el tcam appl [ACL-en | ] <port> de la memoria ACL-hacia fuera <number of entries>

Pautas operacionales e interacciones de la tarjeta en línea

  • la Sub-interfaz ACL no se soporta.

  • El funcionamiento varía con la profundidad de la coincidencia.

  • Las entradas de rango utilizan dos reglas ACL (tres si las dos entradas cruzan un límite).

  • Se acepta una ACL por interfaz física.

  • Hasta 1024 ACE (por la dirección) se soportan en el trayecto rápido.

  • 1024 el trayecto rápido un de los ACE se puede compartir a través de los puertos.

  • Los ACE que utilizan la palabra clave del fragmento se filtran en la trayectoria lenta.

  • Los paquetes negados no se cuentan para los ACE que son procesados en la trayectoria lenta.

  • Si el Netflow se configura en un linecard del motor 0 y un ACL de salida se configura en una salida Motor 3 o el linecard 4+, el ACL de salida será procesado por el ingreso y el linecards de la salida para permitir que el Netflow explique los paquetes negados por los ACL así como los paquetes remitidos.

Recomendaciones

Ninguno ahora.

Motor 4 + (Ethernet) -Procesamiento de ACL

Información general

El linecards de los Ethernetes del motor 4+ introduce las funciones de la entrada ACL de por-VLAN en hardware a la cartera de los Ethernet de 10 Gigabit del Cisco 12000. Éstos son algunas de las características:

  • La entrada y salida ACL se puede aplicar simultáneamente en un puerto único sin un impacto del rendimiento.

  • Los ACL pueden ser aplicados por el VLA N o por el puerto.

  • El funcionamiento de la entrada ACL hasta los aces 15K no degrada con la profundidad de la coincidencia.

  • Los ACL de salidas se procesan en la línea tarifa para hasta 96 ACE. El rendimiento para coincidencias más largas varía con el alcance de la coincidencia.

Este linecards de los Ethernetes se basa en el motor 4+:

Tipo del linecard Tipo de interfaz Tipo de motor
10xGE Rev B ("X-B") SFP: E4+
Modular SFP: E4+
1x10GE 10G E4+
1x10GE 10G E4+

Criterios de concordancia admitidos

Todos los criterios soportados Cisco IOS Software Release 12.0S del estándar y del ACL ampliado se soportan en el trayecto rápido a excepción del registro o del fragmento ACE.

Número de ACE soportados

  • Hasta 15,000 entradas ACL que se pueden configurar por el puerto o por el VLA N.

  • 1024 hacen salir los ACE por el indicador luminoso LED amarillo de la placa muestra gravedad menor que se puede aplicar en una basada en cada puerto.

    Nota: 1021 de los ACE son configurables. Tres entradas son reservadas para los comandos permit ip any any, deny ip any any, y send to CPU implícitos ACE.

Procesamiento de la ACL de salida

Las ACL de salida se procesan originariamente en la ruta rápida del lado de transmisión. Vea el ACL de salida del IPv4 - Matriz de interfuncionamiento de placa de línea para más información.

Comandos del específico del linecard

  • fusión acl del IP del <number> del hw-module slot

Pautas operacionales e interacciones de la tarjeta en línea

  • Los ACE que contienen la palabra clave del fragmento se procesan en la trayectoria lenta.

  • Los contadores ACL no se soportan para los ACL combinados con las otras funciones.

  • Los contadores ACL no se soportan para los ACL combinados. Los ACL combinados son configurables con el comando hw-module slot <slot number> ip acl merge.

  • Las operaciones ascendentes to168 L4 se soportan por el linecard. Una vez que se excede esto, el ACL se ejecuta en la trayectoria lenta.

  • Si un linecard del motor 1 tiene Sampled NetFlow habilitado y un ACL de salida se habilita en una salida Motor 3 o el linecard 4+, el ACL de salida es procesado por el ingreso y el linecards de la salida para permitir que el Netflow explique los paquetes negados por los ACL así como los paquetes remitidos.

Recomendaciones

Ninguno ahora.

Registro ACL

Antes del Cisco IOS Software Release 12.0(21)S, la información del registro de ACL fue enviada al RP exclusivamente sobre el BUS de mantenimiento (MBUS). Durante los niveles elevados de actividad del registro de ACL, era posible exceder la capacidad del MBUS. El Cisco IOS Software Release 12.0(21)S introduce varias optimizaciones que prevengan este escenario.

Las situaciones de sobrecarga de MBUS son señaladas por el Cisco IOS Software con estos mensajes de error:

LCLOG-3-INVSTATE

MBUS_SYS-3-SEQUENCE

Con el Cisco IOS Software Release 12.0(21)S y Posterior, los mensajes de registración de la suma gravedad (gravedad 0-4) se entregan al RP con el MBUS mientras que los mensajes del registro de la gravedad inferior (gravedad 5-7) se entregan al RP con el Switching Fabric de mayor capacidad. Los mensajes del registro ACL son suma gravedad, así ahora se entregan al RP con el Switching Fabric.

Estas funciones de registración agregadas son configurables usando estos comandos:

  • [severity] de registración del mbus del método — Determina que los mensajes, por la gravedad, serán enviados al RP usando el MBUS. Los mensajes de mayor gravedad serán enviados a través del Switch Fabric.

  • show logging method: muestra el método de registro actual para todos los niveles de gravedad de los mensajes.

  • secuencia-nums de registración — Este comando habilita el linecard de envío a los mensajes del registro del número de secuencia para poder reordenar correctamente los mensajes por el RP. Sin este comando, los mensajes del registro se pueden entregar al RP en la orden no sequencial.

ACL de salida IPv4 - Matriz de interoperación de la tarjeta de línea

Antes de que la introducción de egreso procesamiento ACL con la versión de Motor 3 y el motor 4+, los ACL de salidas fuera procesada por el linecard del ingreso. Las ACL de salida se han actualizado para tomar ventaja de las capacidades de procesamiento ACL de salida del motor 4+ del motor 3 de alto rendimiento.

Esta carta proporciona un resumen de donde los ACL de salidas se procesan para las combinaciones de la placa de línea diferente:

Linecard de la salida
Linecard del ingreso (ACL de salida aplicado a la interfaz de miembro) E0 E1 E2 E3 E4 E4+
E0 Acceso Acceso Acceso Egress n/a Egress
E1 Acceso Acceso Acceso Egress n/a Egress
E2 Acceso Acceso Acceso Egress n/a Egress
E3 Egress Egress Egress Egress n/a Egress
E4 Egress Egress Egress Egress n/a Egress
E4+ Egress Egress Egress Egress n/a Egress

Soporte IPv6 ACL

Los ACL ampliados del IPv6 se soportan en la trayectoria lenta (ingreso y salida) en el E0, el e1, el E2, el E3, y el E4+ en el Cisco IOS Software Release 12.0(23)S.

En Motor 3, la funcionalidad de ACL del IPv6 se soporta en hardware en el Cisco IOS Software Release 12.0(25)S. Los ACL se aplican a una interfaz específica, con un enunciado de negación implícito en el extremo de cada lista de acceso. El IPv6 ACL se configura usando el comando ipv6 access-list con la negación y permite las palabras claves en el modo de configuración global. Los indicadores luminosos LED amarillo de la placa muestra gravedad menor del motor 3-based soportan la filtración de los encabezados de opción tráfico-basados del IPv6, las escrituras de la etiqueta del flujo, y opcionalmente, información de tipo del Upper-Layer Protocol.

Referencia de Comandos de Cisco 12000 ACL

Comandos 1 del motor

  • access-list hardware salsa

  • muestre el regulador l3 | incluya ASIC

Comandos del motor 2

  • límite de psa del hardware de lista de acceso 128

  • no access-list hardware psa

  • desviación psa

  • show access-list psa detail

  • show access-list psa summary

  • show controller psa feature

Motor 3 comandos

  • el tcam del <slot-> del módulo del hw compila la ninguna fusión

    ¡! --- a partir del Cisco IOS Software Release 12.0(21)S3

  • interfaz de hardware del show-access-list <interface name>

  • muestre el contr [tofab|<int alfa acl del frfab] > vmr2ace

Comandos del motor 4+

  • show access-list gen7 label

  • muestre el tcam appl [ACL-en | ] tcam ACL-hacia fuera <label-ningún >

  • muestre el tcam appl [ACL-en | ] ><number del <port de la memoria ACL-hacia fuera de las entradas >

Comandos ethernet del motor 4+

  • fusión acl del IP del <number> del hw-module slot

Glosario

Esta sección proporciona las definiciones estándar de los términos relevantes:

  • Planes de procesamiento - Un dispositivo de red se puede dividir lógicamente en tres planes de procesamiento:

    • Avión de los datos — Proceso en los paquetes que atraviesan el dispositivo de red.

    • Avión del control — Proceso en los paquetes usados para pegar los dispositivos de red juntos. Esto incluye protocolos de línea (por ejemplo, Point-to-Point Protocol – PPP y High-Level Data Link Control (HDLC), Routing Protocols (Border Gateway Protocol – BGP, Routing Information Protocol versión 2 – RIPv2, Open Shortest Path First – OSPF, etc.) y protocolos de temporización (como el Network Time Protocol – NTP).

    • Plano de administración — Proceso en los paquetes que se utilizan para manejar los dispositivos de red. Esto incluye el telnet, el Secure Shell (SSH), el File Transfer Protocol (FTP), el Trivial File Transfer Protocol (TFTP), el SNMP, y otros protocolos de la Administración.

  • ACL estándar — Filtro estándar ACL exclusivamente en la capa 3.

  • ACL ampliados — Las listas de acceso IP ampliado utilizan las direcciones de origen y de destino para las operaciones que corresponden con así como la información opcional del Tipo de protocolo para la granularidad más fina del control.

  • ACL procesados Lineales — Procesado linear en el software. El rendimiento varía con el alcance de la coincidencia (la cantidad de entradas que deben verificarse antes de que se determine una coincidencia).

  • Turbo ACL (compilado) — Turbo ACL optimiza el software procesamiento ACL compilando un ACL en una serie de tablas de búsqueda alto-optimizada que apresuren el proceso del software. El rendimiento de ACL turbo no varía con la profundidad de coincidencia.

  • Entradas ACL — Un ACL se aplicó para traficar ingresando el puerto al cual es aplicado.

  • ACL de salida - ACL asignada al tráfico que sale del puerto en el que está asignada. Con algunas excepciones, los ACL de salidas son procesados por el linecard de la entrada.

  • ACL del trayecto de recepción - Los ACL del trayecto de recepción proveen filtrado para controlar el tráfico destinado por el router, como por ejemplo las actualizaciones de ruteo y las colas SNMP.

  • Se dobla el linecard de la expedición de la etapa — Linecards que tiene la expedición/característica Asics en el ingreso y el trayecto de salida. Esto permite que el linecard realice las características en ambos el flujo del paquete de ingreso y flujo del paquete de egreso sin los paquetes que despejan al LC CPU. También permite las ondas nuevas de los algoritmos de reenvío duales de la etapa ser utilizada dentro del Cisco 12000. Motor 3 el linecard es un ejemplo de un linecard dual de la expedición de la etapa.

  • Linecard de la expedición de la única etapa — Linecards que tiene la expedición/característica Asics en apenas el trayecto de ingreso. Este linecards realiza solamente el proceso ASIC basado en los paquetes que fluyen en el trayecto de ingreso. El tráfico de salida no se procesa (apenas remitido), es manejado por el ingreso Asics de otros LC, o manejado por el LC CPU. El motor 2, el motor 4, y el motor 4+ son ejemplos del linecards de la expedición de la única etapa.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 40742