حظر حركة المرور المرتبطة بوحدة المعالجة المركزية (CPU) إلى الاسترجاع عبر قائمة التحكم في الوصول (ACL)

المقدمة

يوضح هذا المستند قيدا في حظر حركة مرور البيانات المرتبطة بوحدة المعالجة المركزية (CPU) عبر ACL تطبيق على Loopback واجهة.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• شبكة منطقة واسعة معرفة بالبرامج من Cisco (SD-WAN)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• C8000V، الإصدار 17.12.2
•  vManage الإصدار 20.12.2

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

س. هل يمكنك حظر حركة المرور المرتبطة بوحدة المعالجة المركزية (مثل ICMP ) الموجهة نحو Loopback واجهة عبر Access Control List (ACL) ؟

ملاحظة: تنطبق هذه الإجابة على موجهات جهات Cisco IOS® في وضع وحدة التحكم والاستقلالية وتوجيه SD. بالنسبة لأجهزة وضع وحدة التحكم، تنطبق هذه الإجابة على قوائم التحكم في الوصول (ACL) الصريحة في النهج أو تكوين Cisco IOS.

أ. لا. ACLs يطبق على Loopback الواجهات لا يمنع حركة المرور الموجهة إلى مستوى التحكم بالموجه، أي حركة المرور المثقبة.

وذلك نظرا لأن الموجه، الذي يتحقق من أن أي حركة مرور موجهة إلى Loopback IP يتم توجيهها إلى مستوى التحكم، يعمل على برمجة الأجهزة لإرسال حركة مرور البيانات مباشرة إلى وحدة المعالجة المركزية وتجاوز Loopback الواجهة جميعها معا للحصول على الكفاءة. هذا يعني أن أي شيء يتم تطبيقه على مدخل Loopback الواجهة (على سبيل المثال، ACLs ) لا يتم تشغيله لأن حركة المرور لا تقوم أبدا بإدخال Loopback الواجهة من الناحية التقنية. يمكنك التحقق من برمجة الأجهزة عبر Cisco Express Forwarding® (CEF) أمر.

Edge#show ip route 10.0.0.1 
Routing entry for 10.0.0.1/32
  Known via "connected", distance 0, metric 0 (connected)
  Routing Descriptor Blocks:
  * directly connected, via Loopback1
      Route metric is 0, traffic share count is 1

Edge#show ip cef exact-route 172.16.0.1 10.0.0.1 protocol 1 
172.16.0.1 -> 10.0.0.1 =>receive <<< no mention of Loopback1 

إذا قمنا بأخذ تتبع FIA على حزمة إختبار اتصال، فإننا نرى أن حركة المرور يتم إرسالها إلى وحدة المعالجة المركزية وأن قائمة التحكم في الوصول لا يتم الوصول إليها حتى.

Edge#show platform packet-trace packet 0 decode
Packet: 0           CBUG ID: 570
Summary
  Input     : GigabitEthernet1
  Output    : internal0/0/rp:0
  State     : PUNT 11  (For-us data)
  Timestamp
    Start   : 1042490936823469 ns (11/26/2024 16:41:12.259675 UTC)
    Stop    : 1042490936851807 ns (11/26/2024 16:41:12.259703 UTC)
Path Trace
  Feature: IPV4(Input)
    Input       : GigabitEthernet1
    Output      : 
    Source      : 172.16.0.1
    Destination : 10.0.0.1
    Protocol    : 1 (ICMP)
<... output omitted ...>
  Feature: SDWAN Implicit ACL
    Action : ALLOW
    Reason : SDWAN_SERV_ALL
<... output omitted ...>
  Feature: IPV4_INPUT_LOOKUP_PROCESS_EXT
    Entry       : Input - 0x814f8e80
    Input       : GigabitEthernet1
    Output      : internal0/0/rp:0
    Lapsed time : 2135 ns
<... output omitted ...>
  Feature: INTERNAL_TRANSMIT_PKT_EXT
    Entry       : Output - 0x814cb454
    Input       : GigabitEthernet1
    Output      : internal0/0/rp:0
    Lapsed time : 5339 ns

IOSd Path Flow: Packet: 0    CBUG ID: 570
  Feature: INFRA
  Pkt Direction: IN
    Packet Rcvd From DATAPLANE

  Feature: IP
  Pkt Direction: IN
    Packet Enqueued in IP layer
    Source      : 172.16.0.1
    Destination : 10.0.0.1
    Interface   : GigabitEthernet1

  Feature: IP
  Pkt Direction: IN
  FORWARDED To transport layer 
    Source        : 172.16.0.1 
    Destination   : 10.0.0.1 
    Interface     : GigabitEthernet1

Edge#show platform packet-trace packet 0 decode | in ACL   <<<<< ACL feature never hit                      
  Feature: SDWAN Implicit ACL
  Feature: IPV4_SDWAN_IMPLICIT_ACL_EXT

Edge#show platform packet-trace packet 0 decode | in Lo <<<< Loopback1 never mentioned 
Edge#

لحظر حركة المرور المرتبطة بوحدة المعالجة المركزية (CPU)، يلزمك تطبيق قائمة التحكم في الوصول (ACL) على الواجهة التي تتضمنها الحزمة أولا، على سبيل المثال، الواجهة المادية أو port channel . هنا، يمكن أن نرى نتيجة تطبيق ACL  على الواجهة الظاهرية.

Edge1#show platform packet-trace packet 0
Packet: 0           CBUG ID: 24
Summary
  Input     : GigabitEthernet1
  Output    : GigabitEthernet1
  State     : DROP 8   (Ipv4Acl)
  Timestamp
    Start   : 5149395094183 ns (11/27/2024 19:48:55.202545 UTC)
    Stop    : 5149395114474 ns (11/27/2024 19:48:55.202565 UTC)
Path Trace
  Feature: IPV4(Input)
    Input       : GigabitEthernet1
    Output      : 
    Source      : 172.16.0.1
    Destination : 10.0.0.1
    Protocol    : 1 (ICMP)
<... output omitted ...>
  Feature: IPV4_INPUT_ACL    <<<<
    Entry       : Input - 0x814cc220
    Input       : GigabitEthernet1
    Output      : 
    Lapsed time : 15500 ns