アクセス コントロール リスト(ACL)キャプチャは、インターフェイスまたは仮想ローカル エリア ネットワーク(VLAN)のトラフィックを選択式にキャプチャする機能を提供します。ACL ルールのキャプチャ オプションをイネーブルにすると、このルールに一致したパケットは、指定された許可または拒否アクションに基づいて転送または破棄されます。また、さらに分析するために代替の宛先ポートにコピーされる可能性もあります。 キャプチャ オプションを使用する ACL ルールは、次に適用できます。
この機能は、Nexus 7000 NX-OS Release 5.2 以降でサポートされています。 このドキュメントでは、この機能を設定する方法のクイック リファレンス ガイドとして例を示します。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
VLAN に適用される ACL キャプチャ(仮想 LAN アクセス コントロール リスト(VACL)キャプチャとも呼ばれる)の設定例を示します。 指定された 10 ギガビット スニファは、すべてのシナリオには実行できない場合があります。 選択的なトラフィックのキャプチャは、特にトラフィック量が多い場合のトラブルシューティングでのシナリオなどに非常に役立ちます。
!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture
monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
!!
ip access-list TEST_ACL
10 permit ip 216.113.153.0/27 any capture session 1
20 permit ip 198.113.153.0/24 any capture session 1
30 permit ip 47.113.0.0/16 any capture session 1
40 permit ip any any
!!
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
match ip address TEST_ACL
action forward
statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500
アクセス リストの Ternary Content Addressable Memory(TCAM)プログラムもチェックできます。 この出力はモジュール 1 の VLAN 500 用です。
N7k2-VPC1# show system internal access-list vlan 500 input statistics
slot 1
=======
INSTANCE 0x0
---------------
Tcam 1 resource usage:
----------------------
Label_b = 0x802
Bank 0
------
IPv4 Class
Policies: VACL(VACL_TEST)
Netflow profile: 0
Netflow deny profile: 0
Entries:
[Index] Entry [Stats]
---------------------
[0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0 capture [0]
[0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0 capture [0]
[000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0 capture [0]
[000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0 [0]
[000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0 [0]