Switches : Switches Cisco Nexus de la serie 7000

Ejemplo de la captura del 7000 Series Switch ACL del nexo

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

La captura de la lista de control de acceso (ACL) le proporciona la capacidad de capturar selectivamente el tráfico en una interfaz o se remite o se cae la red de área local virtual (VLA N) cuando usted habilita la opción de la captura para una regla ACL, los paquetes que hacen juego esta regla basado en la acción especificada del permit or deny y se puede también copiar a un puerto destino alterno para el análisis adicional. Una regla ACL con la opción de la captura puede ser aplicada:

  1. En un VLA N,
  2. En la dirección de ingreso en todas las interfaces,
  3. En la dirección de salida en todas las interfaces de la capa 3.

Esta característica se soporta de la versión 5.2 del nexo 7000 NX-OS y posterior. Este documento proporciona un ejemplo como guía de referencia rápida en cómo configurar esta característica.

Contribuido por Rajesh Gatti, Geovany Gonzalez, y Andy Gossett, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Nexo 7000 con la versión 5.2.x y posterior.
  • Linecard de las M1 Series.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Ejemplo de la configuración ACL

Aquí está un ejemplo de configuración de la captura ACL aplicado a un VLA N, también conocido como captura de la lista de control de acceso del LAN virtual (VACL). Diez snifers del gigabit señalados pueden no ser posibles para todos los scenerios. La captura selectiva del tráfico puede ser muy útil en tales scenerios especialmente durante el troubleshooting cuando los volúmenes de tráfico son altos.

!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture

monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
!!
ip access-list TEST_ACL
10 permit ip 216.113.153.0/27 any capture session 1
20 permit ip 198.113.153.0/24 any capture session 1
30 permit ip 47.113.0.0/16 any capture session 1
40 permit ip any any
!!
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
match ip address TEST_ACL
action forward
statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500

Usted puede también marcar la programación del Ternary Content Addressable Memory (TCAM) de la lista de acceso. Esta salida está para el VLA N 500 para el módulo 1.

N7k2-VPC1# show system internal access-list vlan 500 input statistics

slot 1
=======

INSTANCE 0x0
---------------

Tcam 1 resource usage:
----------------------
Label_b = 0x802
Bank 0
------
IPv4 Class
Policies: VACL(VACL_TEST)
Netflow profile: 0
Netflow deny profile: 0
Entries:
[Index] Entry [Stats]
---------------------
[0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0 capture [0]
[0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0 capture [0]
[000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0 capture [0]
[000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0 [0]
[000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0 [0]

Advertencias

  1. Solamente una sesión de la captura ACL puede ser activa en cualquier momento en el sistema a través de los contextos del dispositivo virtual (VDC).
  2. Los nexos los módulos de 7000 F1 Series no soportan la captura ACL.
  3. Los nexos los módulos de 7000 F2 Series no soportan actualmente la captura ACL, pero éste pudo estar en el mapa de ruta.
  4. La captura ACL en el nexo 7000 módulos M2-Series se soporta con la versión del Cisco NX-OS 6.1(1) y posterior.
  5. La captura ACL en el nexo 7000 módulos M1-Series se soporta con la versión del Cisco NX-OS 5.2(1) y posterior.
  6. La captura ACL no es compatible con el registro de ACL.  Por lo tanto, si usted tiene ACL con una palabra clave del registro, éstos no trabajan después de que usted global haya ingresado la captura de la lista de acceso del hardware.
  7. Debido al bug CSCug20139, el ejemplo en este documento se documenta con una sesión de la captura por ACE en vez por del ACL, hasta que se resuelva el bug.

Información Relacionada



Document ID: 116044