Программное обеспечение Cisco IOS и NX-OS : Программное обеспечение Cisco NX-OS

Перехват Nexus 7000 ACL / Поддержка VACL и часто задаваемые вопросы Ограничений

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Связанные обсуждения сообщества поддержки Cisco

Введение

Этот документ описывает функцию перехвата Списка контроля доступа (ACL), которая использована для выборочного мониторинга трафика на интерфейсе или VLAN. При включении опции перехвата для правила списка прав доступа (ACL) пакеты, которые совпадают с этим правилом, или переданы или отброшены на основе указанного действия и могли бы также быть скопированы к альтернативному порту назначения для дальнейшего анализа.

Внесенный Шэшэнком Сингхом, специалистом службы технической поддержки Cisco.

Вопрос. Каков вариант использования перехвата ACL?

О. Эта функция походит на функцию перехвата Списка контроля доступом VLAN (VACL), поддерживавшую на платформах Коммутатора серии Catalyst 6000. Можно настроить перехват ACL для выборочного мониторинга трафика на интерфейсе или VLAN. При включении опции перехвата для правила списка прав доступа (ACL) пакеты, которые совпадают с этим правилом, или переданы или отброшены на основе указанного, permit or deny действие и мог бы также быть скопирован к альтернативному порту назначения для дальнейшего анализа.

Вопрос. Сколько сеансов перехвата ACL может быть настроено на Коммутаторе Nexus 7000?

О. Только один сеанс перехвата ACL может быть активным в любое заданное время в системе через Контексты Виртуального устройства (VDC). Ternary Content Addressable Memory (TCAM) ACL может иметь столько Механизмов Управления приложениями (ACE) в VACL, сколько может соответствовать.

Вопрос. Модули M1 поддерживают перехват ACL?

Ответ: Да. Перехват ACL на модулях M1 поддерживается в  Выпуске 5.2 (1) Cisco NX-OS и позже.

Вопрос. Модули M2 поддерживают перехват ACL?

Ответ: Да. Перехват ACL на модулях M2 поддерживается в  Выпуске 6.1 (1) Cisco NX-OS и позже.

Вопрос. Модули F1 поддерживают перехват ACL?

О. Модули серии F1 не поддерживают перехват ACL.

Вопрос. Модули F2 поддерживают перехват ACL?

О. Модули серии F2 не поддерживают перехват ACL на данный момент, но это может быть в плане развития. Консультируйтесь со Служебным подразделением (BU) для подтверждения.

Вопрос. На которых интерфейсах и направлениях ACL может перехватить быть примененным?

О. Правило списка прав доступа (ACL) с опцией перехвата может быть применено:

  • На VLAN
  • В направлении доступа на всех интерфейсах
  • В выходном направлении на всех Интерфейсах уровня 3

Вопрос. Есть ли какие-либо известные ограничения с функцией перехвата ACL?

Ответ: Да. Некоторые ограничения с функцией перехвата ACL:

  • Перехват ACL является помогшей с аппаратными средствами функцией и не поддерживается для интерфейса управления или для управляющих пакетов, которые происходят в супервизоре. Это также не поддерживается для программного обеспечения ACL, такого как ACL сообщества SNMP и ACL VTY.
  • Каналы порта и порты для внутренней полосы связи супервизора не поддерживаются как назначение для перехвата ACL.
  • Интерфейсы назначения сеанса перехвата ACL не поддерживают входную передачу и входное Изучение MAC. Если интерфейс назначения настроен с этими опциями, монитор подавляет сеанс перехвата ACL. Используйте show monitor session вся команда, чтобы определить , включены ли входная передача и Изучение MAC.
  • Исходный порт пакета и порта назначения перехвата ACL не может быть частью того же ASIC репликации пакетов. Если оба порта принадлежат тому же ASIC, пакет не перехвачен. Списки команд show monitor session все порты, которые присоединены к тому же ASIC как порт назначения перехвата ACL.
  • При настройке сеанса монитора перехвата ACL перед вводом аппаратной команды перехвата access-list необходимо завершить работу сеанса монитора и принести ему резервное копирование для начала сеанса.
  • Когда перехват ACL включен, способность регистрировать ACL для всех VDC и использовать ограничитель скорости отключена.

Вопрос. Можно ли выполнить перехват ACL и иметь ли определенный трафик, выходят интерфейс назначения X, определенный трафик выходит интерфейс назначения Y, и другой трафик выходит интерфейс назначения Z?

О. Нет. Назначение может только быть одним интерфейсом, настроенным с аппаратной командой перехвата access-list.

Вопрос. Можно ли было примениться к перехвату ACL больше, чем VLAN отдельного источника?

Ответ: Да. Несколько интерфейсов VLAN могут быть заданы в VLAN-list. Пример:

       vlan access-map acl-vlan-first
         match ip address acl-ipv4-first
         match mac address acl-mac-first
         action forward
         statistics per-entry
         vlan filter acl-vlan-first vlan-list 1,2,3

  

Вопрос. Сколько активных VACL L2 может быть настроено на Nexus 7010?

О. Максимальное число поддерживаемых записей списка управления доступом IP 64,000 для устройств без XL линейных карт и 128,000 для устройств с XL линейными картами.

Вопрос. Как перехват VACL работает для маршрутизированного трафика?

О. Перехват VACL происходит после перезаписи, так ingressing VLAN кадров X и egressing  VLAN Y перехвачены в VLAN Y.

Вопрос. Смесь M1 и карт M2 в шасси влияет на использование VACL?

О. Соединение M1 и карт M2 в шасси не должно оказывать влияние на использование VACL.

Вопрос. Каковы некоторые примеры конфигурации для функции перехвата ACL на Nexus 7000?

О. Перехват ACL рекомендации может быть просмотрен в Cisco Nexus Руководство по конфигурации системы безопасности NX-OS серии 7000, Выпуск 6. x .

Данный пример показывает, как включить перехват ACL в VDC по умолчанию и настроить назначение для пакетов перехвата ACL:

hardware access-list capture
    monitor session 1 type acl-capture
    destination interface ethernet 2/1
    no shut
    exit
    show ip access-lists capture session 1

Данный пример показывает, как включить сеанс перехвата для ACE ACL, и затем применить ACL к интерфейсу:

ip access-list acl1
      permit tcp any any capture session 1
      exit
      interface ethernet 1/11
      ip access-group acl1 in
      no shut
      show running-config aclmgr

Данный пример показывает, как применить ACL с ACE сеанса перехвата к VLAN:

vlan access-map acl-vlan-first
      match ip address acl-ipv4-first
      match mac address acl-mac-first
      action foward
      statistics per-entry
      vlan filter acl-vlan-first vlan-list 1
      show running-config vlan 1

 Данный пример показывает, как включить сеанс перехвата для целого ACL и затем применить ACL к интерфейсу:

ip access-list acl2
      capture session 2
      exit
      interface ethernet 7/1
      ip access-group acl1 in
      no shut
      show running-config aclmg

Дополнительные сведения



Document ID: 116107