Software Cisco IOS y NX-OS : Software Cisco NX-OS

Soporte y limitaciones FAQ de la captura VACL del nexo 7000 ACL

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe la característica de la captura de la lista de control de acceso (ACL), se utiliza que para monitorea selectivamente el tráfico en una interfaz o un VLA N. Cuando usted habilita la opción de la captura para una regla ACL, se remiten o se caen los paquetes que hacen juego esta regla basado en la acción especificada y se pudieron también copiar a un puerto destino alterno para el análisis adicional.

Contribuido por Shashank Singh, ingeniero de Cisco TAC.

Q. ¿Cuál es el caso del uso de la captura ACL?

A. Esta característica es análoga a la característica de la captura del VLAN Access Control List (VACL) soportada en las Plataformas del Catalyst 6000 Series Switch. Usted puede configurar una captura ACL para monitorea selectivamente el tráfico en una interfaz o un VLA N. Cuando usted habilita la opción de la captura para una regla ACL, se remiten o se caen los paquetes que hacen juego esta regla basado en la acción especificada del permit or deny y se pudieron también copiar a un puerto destino alterno para el análisis adicional.

Q. ¿Cuántas sesiones de la captura ACL se pueden configurar en un 7000 Switch del nexo?

A. Solamente una sesión de la captura ACL puede ser activa en cualquier momento en el sistema a través de los contextos del dispositivo virtual (VDC). El Ternary Content Addressable Memory ACL (TCAM) puede tener tantos motores del control de la aplicación (ACE) en el VACL como puede caber.

Q. ¿El soporte ACL de los módulos M1 captura?

A. Sí. La captura ACL en los módulos M1 se soporta en la versión del Cisco NX-OS 5.2(1) y posterior.

Q. ¿El soporte ACL de los módulos M2 captura?

A. Sí. La captura ACL en los módulos M2 se soporta en la versión del Cisco NX-OS 6.1(1) y posterior.

Q. ¿El soporte ACL de los módulos F1 captura?

A. Los módulos F1-Series no soportan la captura ACL.

Q. ¿El soporte ACL de los módulos F2 captura?

A. Los módulos F2-Series no soportan la captura ACL a partir de ahora, pero éste puede estar en el mapa de ruta. Consulte la unidad comercial (BU) para confirmar.

Q. ¿En qué interfaces y direcciones puede una captura ACL ser aplicada?

A. Una regla ACL con la opción de la captura puede ser aplicada:

  • En un VLA N
  • En la dirección de ingreso en todas las interfaces
  • En la dirección de salida en todas las interfaces de la capa 3

Q. ¿Hay limitaciones notables con la característica de la captura ACL?

R. Sí. Algunas limitaciones con la característica de la captura ACL son:

  • Una captura ACL es una característica asistida por hardware y no se soporta para la interfaz de administración o para los paquetes de control que originan en el supervisor. También no se soporta para el software ACL tales como comunidad SNMP ACL y vty ACL.
  • Los Canales de puerto y los puertos de la en-banda del supervisor no se soportan como destino para la captura ACL.
  • Las interfaces de destino de la sesión de la captura ACL no soportan la expedición del ingreso y el aprendizaje de MAC del ingreso. Si una interfaz de destino se configura con estas opciones, el monitor limita la sesión de la captura ACL. Utilice el comando all de la sesión de monitoreo de la demostración de determinar si se habilitan la expedición y el aprendizaje de MAC del ingreso.
  • El puerto de origen del paquete y del puerto destino de la captura ACL no puede ser parte de la misma replicación ASIC del paquete. Si ambos puertos pertenecen a mismo ASIC, el paquete no se captura. Las listas de comando monitor session de la demostración todos los puertos que se asocian a mismo ASIC que el puerto destino de la captura ACL.
  • Si usted configura a una sesión de monitoreo de la captura ACL antes de que usted ingrese el comando capture de la lista de acceso del hardware, usted debe apagar a la sesión de monitoreo y traerle la salvaguardia para comenzar la sesión.
  • Cuando se habilita la captura ACL, se inhabilita la capacidad de registrar el ACL para todos los VDC y de utilizar el limitador de la tarifa.

Q. ¿Puede usted realizar una captura ACL y hace que cierto tráfico salga la interfaz de destino X, cierto tráfico sale la interfaz de destino Y, y el otro tráfico sale la interfaz de destino Z?

A. No. El destino puede solamente ser una interfaz configurada con el comando capture de la lista de acceso del hardware.

Q. ¿Puede usted tener la captura ACL aplicada más que un VLA N de la fuente única?

A. Sí. Los VLAN múltiples se pueden especificar en un vlan list. Por ejemplo:

       vlan access-map acl-vlan-first
          match ip address acl-ipv4-first
          match mac address acl-mac-first
          action forward
          statistics per-entry
          vlan filter acl-vlan-first vlan-list 1,2,3

  

Q. ¿Cuánto el L2 activo VACL se puede configurar en un nexo 7010?

R.  El número máximo de entradas ACL soportadas IP es 64,000 para los dispositivos sin un linecard XL y 128,000 para los dispositivos con un linecard XL.

Q. ¿Cómo el VACL captura el trabajo para el tráfico ruteado?

A. La captura VACL ocurre después de que una reescritura, así que enmarque el VLA N ingressing X y el VLAN Y egressing se captura en el VLAN Y.

Q. ¿Hace una mezcla de M1 y de M2 carda en el chasis afectaron el uso de los VACL?

A. Una mezcla de indicadores luminosos LED amarillo de la placa muestra gravedad menor M1 y M2 en el chasis no debe tener ningún impacto en el uso de los VACL.

Q. ¿Cuáles son algunas configuraciones de muestra para la característica de la captura ACL en el nexo 7000?

Las guías de consulta de la ACL-captura A. se pueden ver en la guía de configuración de seguridad de las 7000 Series NX-OS del nexo de Cisco, la versión 6.x.

Este ejemplo muestra cómo habilitar una captura ACL en el valor por defecto VDC y configurar un destino para los paquetes de la captura ACL:

hardware access-list capture
     monitor session 1 type acl-capture
     destination interface ethernet 2/1
     no shut
     exit
     show ip access-lists capture session 1

Este ejemplo muestra cómo habilitar una sesión de la captura para los ACE ACL, y después aplica el ACL a una interfaz:

ip access-list acl1
       permit tcp any any capture session 1
       exit
       interface ethernet 1/11
       ip access-group acl1 in
       no shut
       show running-config aclmgr

Este ejemplo muestra cómo aplicar un ACL con la sesión ACE de la captura a un VLA N:

vlan access-map acl-vlan-first
       match ip address acl-ipv4-first
       match mac address acl-mac-first
       action foward
       statistics per-entry
       vlan filter acl-vlan-first vlan-list 1
       show running-config vlan 1

Este ejemplo muestra cómo habilitar una sesión de la captura para el ACL entero y después aplicar el ACL a una interfaz:

ip access-list acl2
       capture session 2
       exit
       interface ethernet 7/1
       ip access-group acl1 in
       no shut
       show running-config aclmg

Información Relacionada



Document ID: 116107