この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
ACL ロギング機能では、ACL フローをモニタし、インターフェイスでドロップされたパケットをログに記録することができます。
ACL ロギング機能を設定すると、システムは ACL のフローをモニタし、ACL エントリの拒否条件に一致する各フローのドロップ パケットと統計情報をログに記録します。
統計情報とドロップパケットのログは、フローごとに生成されます。フローは、送信元インターフェイス、プロトコル、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート値によって定義されます。一致するフローについて維持される統計情報は、指定された時間間隔での ACL エントリによるフローの拒否件数です。
新しいフローが拒否されると(システム上ではすでにアクティブではないフロー)、システムはヒット カウント値 1 の 最初の Syslog メッセージを生成します。次に、フローが拒否されるたびにシステムはフロー エントリを作成し、ヒット カウント値を増やします。
既存のフローが拒否されると、システムは各間隔の終了時に Syslog メッセージを生成し、現在の間隔でのフローに対するヒット カウント値を報告します。Syslog メッセージの生成後、フローのヒット カウント値は次の間隔の間にゼロにリセットされます。この間隔の間に一度もヒットした記録がない場合は、フローが削除され、Syslog メッセージは生成されません。
ACL ロギングには次の設定上の注意事項と制約事項があります。
拒否 ACE 条件のみに一致するシステム ログ パケット。許可 ACE 条件のロギングはサポートしていません。
ロギング オプションは ACL 拒否エントリに適用される可能性があります。ロギング オプションを暗黙的に拒否されたトラフィックに適用するには、特定のすべて拒否 ACL エントリのロギング オプションを設定する必要があります。
ACL ロギングは、ipv6 port traffic-filter コマンドによって設定されたポート ACL(PACL)と、ipv6 traffic-filter コマンドのみによって設定されたルーテッド ACL(RACL)に適用されます。
フローと拒否フローの総数は、DOS 攻撃を避けるためにユーザ定義の最大値に 限定されます。この制限に到達すると、新しいログは既存のフローが終了するまで作成されません。
CPU 使用率に影響を与えずに多数のフローをサポートできるようにするため、システムはハッシュ テーブルを使用してフローの場所を特定します。システムはタイマー キューを使用して、多数のフローのエージング管理を効率よく行います。
ACL ロギング プロセスによって生成される Syslog エントリ数は、ACL ロギング プロセスで設定されたロギング レベルによって制限されています。Syslog エントリの数がこの制限を超えると、ロギング機能が一部のロギング メッセージをドロップする場合があります。したがって、ACL ロギングは課金ツールやアクセス リストとの一致数を正確に把握するための情報源として使用しないでください。
ハードウェアの速度リミッタはパケット単位でトラフィックの速度を制限しますが、コントロール プレーン ポリシング(COPP)は、バイト単位でトラフィックの速度を制限します。パケット サイズとハードウェア速度リミッタの両方の値が大きい場合、COPP のデフォルト値を上回り、システムがパケットをドロップ する可能性があります。この制限を回避するには、デフォルトの CIR 値(64000 バイト)を 2560000 バイトなどの大きな値に増やします。デフォルト CIR を増やすと、通常はパケットのロギングが発生します。
IPv6 ロギングは管理または VTY (端末)ポートではサポートされていません
IPv6 ロギングは入力 RACL ではサポートされません(ASIC の制約事項のため)。
IPv6 ロギングは出力 VACL ではサポートされません(ASIC の制約事項のため)。
ACL ロギング プロセスを設定するには、まずアクセス リストを作成し、指定された ACL を使用してインターフェイスで IPv6 トラフィックのフィルタリングをイネーブルにし、最後に ACL ロギング プロセス パラメータを設定します。
ACL ロギング設定情報を表示するには、次のいずれかの作業を実行します。
コマンド | 目的 |
---|---|
show logging ip access-list status |
拒否フローの最大数、現在の有効なログ間隔と現在の有効なしきい値を表示します。 |
show logging ip access-list cache |
送信元 IP アドレスと宛先 IP アドレス、S ポートおよび D ポート情報などのアクティブ ログ フロー情報を表示します。 |
次に、ACL ロギング プロセスの設定方法の例を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# ipv6 access-list logging-test switch(config-ipv6-acl)# deny ipv6 any 2001:DB8:1::1/64 log switch(config-ipv6-acl)# exit switch(config)# interface ethernet 1/1 switch(config-if)# ipv6 traffic-filter logging-test in switch(config-if)# exit switch(config)# logging ip access-list cache entries 1000 switch(config)# logging ip access-list cache interval 5 switch(config)# logging ip access-list cache threshold 1 switch(config)# hardware rate-limiter access-list-log 200 switch(config)# acllog match-log-level 3 switch(config)# exit switch#
switch(config)# interface ethernet 8/11 switch(config-if)# ipv6 port traffic-filter v6log-pacl in switch(config-if)# switchport access vlan 4064 switch(config-if)# speed 1000 switch(config)# interface Vlan 4064 switch(config-if)# no shutdown switch(config-if)# no ip redirects switch(config-if)# ipv6 address 4064::1/64 Switch# show vlan filter vlan map v6-vaclmap: Configured on VLANs: 4064 Switch# show vlan access-map v6-vaclmap Vlan access-map v6-vaclmap match ipv6: v6-vacl action: drop statistics per-entry