Problemen oplossen met toegangslijsten op IE3x00

Downloadopties

PDF (293.8 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (89.1 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (84.5 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:5 oktober 2022

Document-id:218248

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt beschreven hoe u problemen kunt oplossen en toegangscontrolelijsten (Access Control Lists, ACL) en hardwarelimieten kunt controleren voor Industrial Ethernet 3x00-reeksen.

Voorwaarden

Vereisten

Cisco raadt u aan om basiskennis te hebben van de ACL-configuratie.

Gebruikte componenten

De informatie in dit document is gebaseerd op IE-3300 met Cisco IOS® XE softwareversie 16.12.4.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Verwante producten

Dit document kan ook worden gebruikt met deze hardwareversies:

IE-3200 (vast)
IE-3300 (modulair)
IE-3400 (geavanceerd modulair).

Achtergrondinformatie

Access Lists (ACL) op een Layer 3-switch bieden basisbeveiliging voor uw netwerk. Als ACL's niet zijn geconfigureerd, kunnen alle pakketten die door de switch gaan, worden toegestaan op alle delen van het netwerk. ACL's bepalen welke hosts toegang hebben tot verschillende delen van een netwerk of bepalen welke soorten verkeer worden doorgestuurd of geblokkeerd op routerinterfaces. ACL's kunnen worden geconfigureerd om inkomend verkeer, uitgaand verkeer of beide te blokkeren.

Voorbeeld: U kunt toestaan dat e-mailverkeer wordt doorgestuurd, maar niet Telnet-verkeer buiten het netwerk.

IE3x00 Ondersteuning en beperkingen:

VLAN-toegangslijsten (VACL's) worden niet ondersteund op de Switch Virtual Interface (SVI).
Wanneer VACL en Port ACL (PACL) beide van toepassing zijn op een pakket, heeft PACL voorrang op VACL en wordt VACL in een dergelijk geval niet toegepast.
Max. 255 toegangscontrole vermeldingen (ACE) per VACL.
Er is geen expliciete limiet voor het totale aantal VLAN's gedefinieerd, omdat TCAM niet in componenten is uitgehouwen. Wanneer er onvoldoende ruimte in TCAM beschikbaar is om de nieuwe configuratie te accepteren, wordt er een fout gegenereerd met een syslog.
Logging wordt niet ondersteund op ACL-uitgang.
Op laag 3 ACL wordt niet-IP ACL ondersteund.
Layer 4 Operator (L4OP) in ACL's is door de hardware beperkt tot maximaal 8 L4OP voor UDP en 8 L4OP voor TCP, voor een totaal van 16 wereldwijde L4OP.
Houd er rekening mee dat de range operator 2 L4OP verbruikt.

Noot: De L4OP’s omvatten: gt (groter dan), lt (kleiner dan), neq (niet gelijk), eq (gelijk), bereik (inclusief bereik)

Ingress-ACL's worden alleen ondersteund op fysieke interfaces, niet op logische interfaces zoals VLAN, Port-channel, enzovoort.
Poort-ACL's (PACL's) worden ondersteund, en ze kunnen zijn: Niet-IP, IPv4 en IPv6.
Niet-IP- en IPv4-ACL's hebben 1 impliciet filter, terwijl IPv6-ACL's 3 impliciete filters hebben.
Op het tijdsbereik gebaseerde ACL's worden ondersteund.
IPv4 ACL met TTL, op IP-opties gebaseerde overeenkomst niet ondersteund.

Problemen oplossen

Stap 1. Identificeer de ACL waarmee u problemen vermoedt. Op basis van het type ACL zijn deze opdrachten beschikbaar:

show access-list { acl-no | acl-name } show mac access-group interface interface_name show ipv6 access-list acl_name show ip access-list { acl-no | acl-name } show ipv6 access-list acl_name

IE3300#show access-list 103
Extended IP access list 103
    10 permit udp any any eq 2222
    20 permit udp any eq 2222 any
IE3300#show ip access-list 103
Extended IP access list 103
    10 permit udp any any eq 2222
    20 permit udp any eq 2222 any

Het doel van de opdrachtuitvoer is om de huidige ACL-configuratie op Cisco IOS te identificeren.

Stap 2. Controleer of dezelfde ACL aanwezig is in de invoertabel voor de hardware.

show platform hardware acl asic 0 tcam { all | index | interface | static | statistics | usage | vlan-statistics } - Opdrachtopties beschikbaar om de TCAM van de switch te controleren.

IE3300#show platform hardware acl asic 0 tcam interface GigabitEthernet 1/4 ipv4 detail
ACL_KEY_TYPE_v4 - ACL Id 45

Ingress ACL_KEY_TYPE_v4 - 
Index  SIP          DIP          Protocol  DSCP  Frag/Tiny  IGMP type  ICMP type  ICMP code  TCP flags   
Src OP  Src port1  Src port2  Dst OP  Dst port1  Dst port2  Src Port   PCLId
=====  ===========  ===========  ========  ====  ==========  =========  =========  =========  =========   
======  =========  =========  ======  =========  =========  ========   ==== 
  0P   00.00.00.00  00.00.00.00  0x11      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  EQ.     2222       ---------  1     0
  0M   00.00.00.00  00.00.00.00  0xff      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------   0xFF     0xFFFF   --------- 3f   3ff
  0 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
  1P   00.00.00.00  00.00.00.00  0x11      0x00  0/00    ---------  ---------  ---------  ---------  
EQ.     2222       ---------  ------  ---------  ---------  1     0
  1M   00.00.00.00  00.00.00.00  0xff      0x00  0/00    ---------  ---------  ---------  ---------  
 0xFF     0xFFFF   ---------  ------  ---------  --------- 3f   3ff
  1 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
  2P   00.00.00.00  00.00.00.00  0x00      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  ------  ---------  ---------  1     0
  2M   00.00.00.00  00.00.00.00  0x00      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  ------  ---------  --------- 3f   3ff
  2 Action: ASIC_ACL_DENY[0], Match Counter[0]

 pair bind to this ACL:< 0, 1>

Er zijn drie regelparen in de uitvoer van de hardwaretabel waaruit:

P: Staat voor patroon = dit zijn de IP's of subnetten in de ACE.

M: Staat voor masker = dit zijn de wildcard bits in de ACE.

ACE-vermelding	indexeren	NIPPEN	ONDERDOMPELEN	Protocol	DSCP
`permit udp any any eq 2222`	0P, 0M, 0	0.0.0.0 (alle)	0.0.0.0 (alle)	0x11	0x00 (beste inspanning)
`permit udp any eq 2222 any`	1P, 1M, 1	0.0.0.0 (alle)	0.0.0.0 (alle)	0x11	0x00 (beste inspanning)
`deny ip any any (implicit)`	2P, 2M, 2	0.0.0.0 (alle)	0.0.0.0 (alle)	0x00	0x00 (beste inspanning)

ACE-vermelding	SRC OP	SRC-poort1	SRC-poort2	Dst OP	Dst-poort1	Dst-poort2
`permit udp any any eq 2222`	----	------	------	EQ.	2222	------
`permit udp any eq 2222 any`	EQ	2222	------	------	------	------
`deny ip any any (implicit)`	----	------	------	------	------	------

Opmerking: Voorbeelden van maskervermeldingen: host-trefwoord = ff.ff.ff.ff, jokerteken 0.0.0.255 = ff.ff.ff.00, elk trefwoord = 00.00.00.00

Index - het nummer van de regel. We hebben 0, 1 en 2 indexen in het voorbeeld.

SIP - Geeft bron-IP in HEX-indeling aan. Omdat de regels het 'any'-zoekwoord hebben, is de bron-IP alle nullen.

DIP - Geeft IP-bestemming aan in HEX-indeling. Het zoekwoord 'any' in de regel vertaalt naar alle nullen.

Protocol - Geeft het protocol van de ACE's aan. 0x11 gaat voor UDP.

Opmerking: Lijst van bekende protocollen: 0x01 - ICMP, 0x06 - TCP, 0x11 - UDP, 0x29 - IPv6.

DSCP - Differentiated Services Code Point (DSCP) aanwezig in de regel. De waarde indien niet opgegeven is 0x00 (beste inspanning).

IGMP-type - Geeft aan of de ACE IGMP-typen bevat.

ICMP-type - Geeft aan of de ACE ICMP-typen bevat.

ICMP-code - Geeft aan of de ACE ICMP-codetypen bevat.

TCP-vlaggen - Hiermee geeft u aan of de ACE TCP-vlaggen heeft.

SRC OP - Geeft de bron L4OP aan die in de regel wordt gebruikt. Er is er geen in de eerste ACE-vermelding. De tweede ACE-vermelding heeft EQ als operator.

SRC-poort1 - Geeft de eerste bronpoort aan als de ACE op UDP of TCP is gebaseerd.

SRC-poort2 - Geeft de tweede bronpoort aan als de ACE op UDP of TCP is gebaseerd.

Dst OP - Geeft de bestemming L4OP aan die in de regel wordt gebruikt. De eerste ACE-vermelding heeft EQ als exploitant, maar geen in de tweede ACE-vermelding.

Dst-poort1 - Geeft de eerste bestemmingspoort aan als de ACE op UDP of TCP is gebaseerd.

Dst-poort2 - Geeft de tweede bestemmingspoort aan als de ACE op UDP of TCP is gebaseerd.

Regels zijn gebonden aan poort ACL:<0,x> waarin 0 staat voor ASIC = 0, en X wordt toegewezen aan ASIC-poortnummer = 1.

U kunt ook de Actie per ACE-verklaring in de tabel zien.

ACE-index	Actie
0	`ASIC_ACL_PERMIT[1]`
1	`ASIC_ACL_PERMIT[1]`
2	`ASIC_ACL_DENY[0]`

Stap 3. Verifieer dezelfde ACL-items met de volgende opdrachten:

ACL-vermeldingen op een bepaalde index

show platform hardware acl asic 0 tcam index acl_id [ detail ] - Deze opdracht toont u de lijst met regels onder specifieke ACL Id.

IE3300#show platform hardware acl asic 0 tcam index 45 detail
ACL_KEY_TYPE_v4 - ACL Id 45

Ingress ACL_KEY_TYPE_v4 - 
Index  SIP          DIP          Protocol  DSCP  Frag/Tiny  IGMP type  ICMP type  ICMP code  TCP flags   
Src OP  Src port1  Src port2  Dst OP  Dst port1  Dst port2  Src Port   PCLId
=====  ===========  ===========  ========  ====  ==========  =========  =========  =========  =========   
======  =========  =========  ======  =========  =========  ========   ==== 
  0P   00.00.00.00  00.00.00.00  0x11      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  EQ.     2222       ---------  1     0
  0M   00.00.00.00  00.00.00.00  0xff      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------   0xFF     0xFFFF   --------- 3f   3ff
  0 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
  1P   00.00.00.00  00.00.00.00  0x11      0x00  0/00    ---------  ---------  ---------  ---------  
EQ.     2222       ---------  ------  ---------  ---------  1     0
  1M   00.00.00.00  00.00.00.00  0xff      0x00  0/00    ---------  ---------  ---------  ---------  
 0xFF     0xFFFF   ---------  ------  ---------  --------- 3f   3ff
  1 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
  2P   00.00.00.00  00.00.00.00  0x00      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  ------  ---------  ---------  1     0
  2M   00.00.00.00  00.00.00.00  0x00      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  ------  ---------  --------- 3f   3ff
  2 Action: ASIC_ACL_DENY[0], Match Counter[0]

Hierindexis de offset waarop de regel is geprogrammeerd in de TCAM.

Om te controleren welke ACL-index wordt gebruikt, moet u de poort identificeren waar de ACL wordt toegepast en de opdracht show platform hardware acl asic 0 tcam interfaceinterface_name gebruikenipv4 detailom het ACL-ID-nummer te verkrijgen.

Opmerking: houd er rekening mee dat deze opdracht geen ASIC/Port-toewijzing weergeeft. Als u dezelfde ACL toepast op verschillende interfaces, maakt de TCAM ook een andere ACL ID-vermelding. Dit betekent dat er geen indexhergebruik is voor dezelfde ACL toegepast op verschillende interfaces in de TCAM-ruimte.

ACL-items geprogrammeerd in hardware

show platform hardware acl asic 0 tcam all [ detail ] - Toont alle informatie op de TCAM.

IE3300#show platform hardware acl asic 0 tcam all
ACL_KEY_TYPE_v4 - ACL Id 45

Ingress ACL_KEY_TYPE_v4 - 
Index  SIP          DIP          Protocol  DSCP  Frag/Tiny  IGMP type  ICMP type  ICMP code  TCP flags   
Src OP  Src port1  Src port2  Dst OP  Dst port1  Dst port2  Src Port   PCLId
=====  ===========  ===========  ========  ====  ==========  =========  =========  =========  =========   
======  =========  =========  ======  =========  =========  ========   ==== 
  0P   00.00.00.00  00.00.00.00  0x11      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  EQ.     2222       ---------  1     0
  0M   00.00.00.00  00.00.00.00  0xff      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------   0xFF     0xFFFF   --------- 3f   3ff
  0 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
  1P   00.00.00.00  00.00.00.00  0x11      0x00  0/00    ---------  ---------  ---------  ---------  
EQ.     2222       ---------  ------  ---------  ---------  1     0
  1M   00.00.00.00  00.00.00.00  0xff      0x00  0/00    ---------  ---------  ---------  ---------  
 0xFF     0xFFFF   ---------  ------  ---------  --------- 3f   3ff
  1 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
  2P   00.00.00.00  00.00.00.00  0x00      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  ------  ---------  ---------  1     0
  2M   00.00.00.00  00.00.00.00  0x00      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  ------  ---------  --------- 3f   3ff
  2 Action: ASIC_ACL_DENY[0], Match Counter[0]

ACL_KEY_TYPE_v4 - ACL Id 46

Ingress ACL_KEY_TYPE_v4 - 
Index  SIP          DIP          Protocol  DSCP  Frag/Tiny  IGMP type  ICMP type  ICMP code  TCP flags   
Src OP  Src port1  Src port2  Dst OP  Dst port1  Dst port2  Src Port   PCLId
=====  ===========  ===========  ========  ====  ==========  =========  =========  =========  =========   
======  =========  =========  ======  =========  =========  ========   ==== 
  0P   00.00.00.00  00.00.00.00  0x11      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  EQ.     2222       ---------  0     0
  0M   00.00.00.00  00.00.00.00  0xff      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------   0xFF     0xFFFF   --------- 3f   3ff
  0 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
  1P   00.00.00.00  00.00.00.00  0x11      0x00  0/00    ---------  ---------  ---------  ---------  
EQ.     2222       ---------  ------  ---------  ---------  0     0
  1M   00.00.00.00  00.00.00.00  0xff      0x00  0/00    ---------  ---------  ---------  ---------  
 0xFF     0xFFFF   ---------  ------  ---------  --------- 3f   3ff
  1 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
  2P   00.00.00.00  00.00.00.00  0x00      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  ------  ---------  ---------  0     0
  2M   00.00.00.00  00.00.00.00  0x00      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  ------  ---------  --------- 3f   3ff
  2 Action: ASIC_ACL_DENY[0], Match Counter[12244]

Deze uitvoer geeft alle ACL-ID's weer die zijn opgeslagen in de hardwaretabel. Er zijn twee afzonderlijke ACL ID's (45, 46), maar de structuur van elk blok is precies hetzelfde. Dit geeft aan dat beide ACL-ID's tot dezelfde ACL behoren die in de software is geconfigureerd:

IE3300#show ip access-list 103
Extended IP access list 103
    10 permit udp any any eq 2222
    20 permit udp any eq 2222 any

Dit wordt toegepast op verschillende interfaces.

IE3300#show run interface GigabitEthernet 1/4
Building configuration...

Current configuration : 60 bytes
!
interface GigabitEthernet1/4
 ip access-group 103 in
end

IE3300#show run interface GigabitEthernet 1/5
Building configuration...

Current configuration : 60 bytes
!
interface GigabitEthernet1/5
 ip access-group 103 in
end

TCAM-gebruik

show platform hardware acl asic 0 tcam usage - Deze opdracht geeft het gebruik van ACL weer in de ASIC. IE3x00 heeft slechts één ASIC (0)

IE3300#show platform hardware acl asic 0 tcam usage
        TCAM Usage For ASIC Num : 0

                Static ACEs      : 18   (0   %)
                Extended ACEs    : 0    (0   %)
                ULTRA ACEs        : 0    (0   %)
                STANDARD ACEs    : 6    (0   %)
                Free  Entries     : 3048 (100 %)
                Total Entries   : 3072

Standaard ACE is 24-byte breed; Extended ACE is 48-byte breed; Ultra ACE is 72-byte breed.

Statische ACL-items

show platform hardware acl asic 0 tcam static [ detail ]- Geeft statische ACL-configuraties weer (specifiek controleprotocol).

IE3300-Petra#show platform hardware acl asic 0 tcam static detail
Switch MAC Global Entry:
MAC DA: 01:00:0c:00:00:00/ff:ff:ff:00:00:00
  4 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[1], Match Counter[6908]
Dot1x EAP Global Entry:
Ethertype: 0x888e/0xffff
  1 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[2], Match Counter[0]
CISP Global Entry:
Ethertype: 0x0130/0xffff
  0 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[2], Match Counter[0]
REP Beacon Global Entry:
Ethertype: 0x0131/0xffff
  2 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[1], Match Counter[0]
REP Preferred Global Entry:
MAC DA: 00:00:00:00:00:00/00:00:00:00:00:00
 14 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
REP Preferred Global Entry:
Ethertype: 0x0000/0x0000
 16 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[1], Match Counter[25702]
REP Preferred Global Entry:
Ethertype: 0x0129/0xffff
 15 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
DHCP related entries:
None.
MLD related entries:
None.

Met deze opdrachtuitvoer worden de door het systeem geprogrammeerde ACL-items voor verschillende besturingsprotocollen van de switch weergegeven.

ACL-statistieken

show platform hardware acl asic 0 tcam statistics interface_name - Geeft ACL statistieken in real time weer, teller is niet cumulatief. Nadat u de opdracht de eerste keer hebt weergegeven, worden de tellers opnieuw ingesteld als het verkeer dat de ACL raakt, stopt.

IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
         TCAM STATISTICS OF ASIC NUM  :0
         Number Of IPv4 Permits   : 0
         Number Of IPv4 Drops     : 2
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
         TCAM STATISTICS OF ASIC NUM  :0
         Number Of IPv4 Permits   : 0
         Number Of IPv4 Drops     : 1
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
         TCAM STATISTICS OF ASIC NUM  :0
         Number Of IPv4 Permits   : 0
         Number Of IPv4 Drops     : 1
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
         TCAM STATISTICS OF ASIC NUM  :0
         Number Of IPv4 Permits   : 0
         Number Of IPv4 Drops     : 1
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
         TCAM STATISTICS OF ASIC NUM  :0
         Number Of IPv4 Permits   : 0
         Number Of IPv4 Drops     : 0

Deze opdracht vertelt u hoeveel hits in de vergunningen hebben plaatsgevonden voor de ACL op de opgegeven interface, en hoeveel druppels zijn geraakt ook terwijl het verkeer actief in de poort. De tellers worden opnieuw ingesteld zodra de opdracht voor de eerste keer wordt weergegeven.

Tip: Aangezien de tellers na elke run van de opdracht opnieuw worden ingesteld, wordt aanbevolen dat u de opdracht meerdere keren uitvoert en een record van de vorige uitgangen bijhoudt voor een cumulatieve vergunnings- / dropteller.

Poort naar ASIC-toewijzing

show platform pm port-map - Geeft de ASIC/Port-toewijzing weer voor alle interfaces van de switch.

IE3300#show platform pm port-map 

interface gid  gpn  asic slot unit gpn-idb
-------------------------------------------
Gi1/1     1    1    0/24 1    1    Yes
Gi1/2     2    2    0/26 1    2    Yes
Gi1/3     3    3    0/0  1    3    Yes
Gi1/4     4    4    0/1  1    4    Yes
Gi1/5     5    5    0/2  1    5    Yes
Gi1/6     6    6    0/3  1    6    Yes
Gi1/7     7    7    0/4  1    7    Yes
Gi1/8     8    8    0/5  1    8    Yes
Gi1/9     9    9    0/6  1    9    Yes
Gi1/10    10   10   0/7  1    10   Yes

0/x under asic column indicates = asic/asic_port_number

Opdrachten voor debugging

debug platform acl all - Met deze opdracht kunt u alle ACL-beheergebeurtenissen inschakelen.

IE3300#debug platform acl all 
ACL Manager debugging is on
ACL MAC debugging is on
ACL IPV4 debugging is on
ACL Interface debugging is on
ACL ODM debugging is on
ACL HAL debugging is on
ACL IPV6 debugging is on
ACL ERR debugging is on
ACL VMR debugging is on
ACL Limits debugging is on
ACL VLAN debugging is on

debug platform acl hal - Gebeurtenissen met betrekking tot Hardware Abstraction Layer (HAL) weergeven.

Voor een ACL-gebeurtenis verwijderen/toepassen op een interface wordt weergegeven of de regel in de hardware is geprogrammeerd en wordt de informatie in de console afgedrukt.

[IMSP-ACL-HAL] : Direction 0 
[IMSP-ACL-HAL] : TCAM: region_type = 1, lookup_stage = 0, key_type = 1, packet_type = 1, acl_type = 1, pcl_id = 0, priority = 1
[IMSP-ACL-HAL] : asic_acl_add_port_access_list programmed rule for asic_num=0, region_type=1, acl_type=1,
 port_num=1, lookup stage=0 packet_type=1, key_type=1, pcl_id=0, priority=32, num_aces=3, acl_handle=0x7F8EA6DC58, acl_dir=0, cpu_log_queue=7 with acl_err=0
[IMSP-ACL-HAL] : Dump acl, acl_handle:0x0x7F8EA6DC58

Richting 0 = Inbound (ACL werd toegepast in ingress)

Richting 1 = Uitgaand (ACL werd toegepast in uitgang)

debug platform acl ipv4 - Geeft ACL IPv4 gerelateerde gebeurtenissen weer.

debug platform acl ipv6- Geeft ACL IPv6 gerelateerde gebeurtenissen weer.

debug platform acl mac - Geeft ACL MAC-gerelateerde gebeurtenissen weer.

debug platform acl error - Geeft ACL-foutgerelateerde gebeurtenissen weer.

[IMSP-ACL-ERROR] : asic_acl_delete_access_list successfully deleted rule for asic_num=0, region_type=1 acl_handle=0x7F8EA6DC58, acl_dir=0 atomic_update=0 with acl_err=0

debug platform acl odm - Geeft ACL Order Dependant Merge (ODM) gerelateerde gebeurtenissen weer.

[IMSP-ACL-ODM] : ODM: Num. ACEs before collapse - 2
[IMSP-ACL-ODM] : ODM: Num. ACEs after collapse - 2
[IMSP-ACL-ODM] : Number of Aces after ODM Pre Optimization- 2
[IMSP-ACL-ODM] : ODM: ACEs post collapse = 2
[IMSP-ACL-ODM] : Number of Aces after Final ODM Merge- 2
[IMSP-ACL-ODM] : ODM: Num. ACEs before collapse - 2
[IMSP-ACL-ODM] : ODM: Num. ACEs after collapse - 2
<snip>

debug platform acl port-acl - Geeft poort ACL gerelateerde gebeurtenissen weer.

[IMSP-ACL-PORT] : PACL attach common
[IMSP-ACL-PORT] : Dumping List of ACL-Handle pairs...
[IMSP-ACL-PORT] : ACL:103, Handle: 0x7F8EA6DC64, Asic Num: 0,Use Count: 1, Is overloaded: 0
[IMSP-ACL-PORT] : ACL:103, Handle: 0x7F8EA6DC58, Asic Num: 0,Use Count: 1, Is overloaded: 0
[IMSP-ACL-PORT] : ACL Detached from the port
[IMSP-ACL-PORT] : Acl-port handle info, Idb Entry Found
[IMSP-ACL-PORT] : ACL handle=0x7F8EA6DC58 found for port=Gi1/4
[IMSP-ACL-PORT] : Calling HAL asic_acl_remove_port
[IMSP-ACL-PORT] : asic_acl_remove_port successful for asic_num=0, acl_handle=0x7F8EA6DC58, port_num=1
[IMSP-ACL-PORT] : acl_type: 1, handle: 0x0, dir: 0, acl_name: 0x0, idb: 0x7F4D0AF288
[IMSP-ACL-PORT] : List of HW Programmed Port-ACLs...
[IMSP-ACL-PORT] : Port: Gi1/3
[IMSP-ACL-PORT] : Ingress IPV4: handle = 0x7F8EA6DC64, acl_name = 103, is_acl_overloaded = 0, auth_proxy_vmr = 0x0, overload_vmr_entries = 0
[IMSP-ACL-PORT] : Port: Gi1/4
[IMSP-ACL-PORT] : Ingress IPV4: handle = 0x7F8EA6DC58, acl_name = 103, is_acl_overloaded = 0, auth_proxy_vmr = 0x0, overload_vmr_entries = 0
[IMSP-ACL-PORT] : rc = 1
[IMSP-ACL-PORT] : No more acl on this port!!
[IMSP-ACL-PORT] : Free stored_acl_name=0x0
[IMSP-ACL-PORT] : Update_Pacl_info, Updated entries for idb=0x0
<snip>

debug platform acl vmr - Geeft ACL Value Mask Result (VMR)-gerelateerde gebeurtenissen weer. Als er problemen zijn met VMR, kunt u ze hier zien.

[IMSP-ACL-VMR] : DstIP Mask=00.00.00.00
[IMSP-ACL-VMR] : Protocol Value/Mask=0011/FFFF
[IMSP-ACL-VMR] : Fragment field set to FALSE
[IMSP-ACL-VMR] : SrcPort1 Value/Mask=D908/FFFF
[IMSP-ACL-VMR] : SrcPort2 Value/Mask=D90F/FFFF
[IMSP-ACL-VMR] : SrcL4Op Value is Range
[IMSP-ACL-VMR] : SrcL4Op Mask is FFFFFFFF
[IMSP-ACL-VMR] : Action is PERMIT
[IMSP-ACL-VMR] : ACE number => 30
[IMSP-ACL-VMR] : vmr_ptr 0x7F51D973B0
[IMSP-ACL-VMR] : vmr_ptr->entry 0x7F51D973B0
<snip>

Veelvoorkomende problemen

L4OP uitputting

L4OPs comparator uitputting kan worden geïdentificeerd nadat u deze debugs inschakelen:

debug platform port-asic hal acl errors debug platform port-asic hal tcam errors

Opmerking: de foutopsporingsopdrachten geven geen informatie weer in de logboekbuffer van de switch. In plaats daarvan wordt de informatie weergegeven in deshow platform software trace message ios R0opdracht.

Voer de opdracht show platform software trace bericht ios R0 om de informatie op de debugs weer te geven.

show platform software trace message ios R0:


2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (ERR): *Aug 17 21:04:47.244: %IMSP_ACLMGR-3-INVALIDACL: Add access-list failed
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): Unable to add access-list
[IMSP-ACL-ERROR]:imsp_acl_program_tcam,2026: 
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): 
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): 
asic_acl_add_port_access_list failed for asic_num=0, region_type=1, acl_type=1, 
port_num=1, lookup stage=0, packet_type=1, key_type=1, pcl_id=0, priority=32, num_aces=99 acl_handle=0x0, acl_dir=0, cpu_log_queue=7 with acl_err=2
[IMSP-ACL-ERROR]:imsp_acl_add_port_access_list,211: 
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): 
ACL ERR:[pc3_add_port_access_list:5471] - not enough available port comparators,asic_num[0], acl_type[1], num_aces[99]
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [IOSRP] [6472]: (note):

ACL ERR:[prv_check_for_available_port_comparators:5282] - Not enough TCP port comparators available: Required[20] > Available[8]
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [IOSRP] [6472]: (note):

2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): TCAM: region_type = 1, lookup_stage = 0, key_type = 1, 
packet_type = 1, acl_type = 1, pcl_id = 0, priority = 1
[IMSP-ACL-HAL] : 
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): 
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): Direction 0
[IMSP-ACL-HAL] :

Voor de IE3x00 is er een limiet van 8 L4OP voor UDP en 8 L4OP voor TCP, voor een maximum totaal van 16 L4OP in alle ACL's geïmplementeerd in de switch. (De beperking is wereldwijd, niet per ACL).

Opmerking: momenteel is er geen opdracht beschikbaar om de hoeveelheid verbruikte/gratis vergelijkers in de CLI te controleren.

Als u dit probleem tegenkomt:

Controleer met foutopsporingsopdrachten of de fouten verband houden met de L4OP-beperking.
U moet het aantal L4OP in gebruik in de ACL verminderen. Elk bereik commando verbruikt 2 poort comparators.
Als u ACE's kunt gebruiken met de opdracht bereik, kunnen deze worden geconverteerd naar eq-trefwoord in plaats daarvan gebruiken, zodat het niet de L4OP die beschikbaar is voor UDP en TCP verbruiken, dat wil zeggen:

Regel:
permit tcp any any range 55560 55567

Kan veranderen in:
permit tcp any any eq 55560 permit tcp any any eq 55561 permit tcp any any eq 55562 permit tcp any any eq 55563 permit tcp any any eq 55564 permit tcp any any eq 55565 permit tcp any any eq 55566 permit tcp any any eq 55567

Raadpleeg de Cisco-bug-ID CSCvv07745. Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne buginformatie.

Layer 4 ACL's zijn niet samengevat in TCAM

Wanneer L4 ACL's met opeenvolgende IP-adressen en/of poortnummers worden ingevoerd, worden deze automatisch door het systeem samengevat voordat ze in TCAM worden geschreven om ruimte te besparen. Het systeem doet zijn best op basis van de ACL-vermeldingen samen te vatten met de juiste MVR om een reeks vermeldingen te bestrijken waar het kan. Dit kan worden geverifieerd wanneer u de TCAM controleert en hoeveel lijnen zijn geprogrammeerd voor de ACL. Dat is:

IE3300#show ip access-list TEST
Extended IP access list TEST
    10 permit tcp any any eq 8
    20 permit tcp any any eq 9
    30 permit tcp any any eq 10
    40 permit tcp any any eq 11

IE3300#show platform hardware acl asic 0 tcam interface GigabitEthernet 1/4 ipv4 detail
ACL_KEY_TYPE_v4 - ACL Id 45

Ingress ACL_KEY_TYPE_v4 - 
Index  SIP          DIP          Protocol  DSCP  Frag/Tiny  IGMP type  ICMP type  ICMP code  TCP flags   
Src OP  Src port1  Src port2  Dst OP  Dst port1  Dst port2  Src Port   PCLId
=====  ===========  ===========  ========  ====  ==========  =========  =========  =========  =========   
======  =========  =========  ======  =========  =========  ========   ==== 
  0P   00.00.00.00  00.00.00.00  0x06      0x00  0/00    ---------  ---------  ---------  0x00       
------  ---------  ---------  EQ.     8          ---------  1     0
  0M   00.00.00.00  00.00.00.00  0xff      0x00  0/00    ---------  ---------  ---------  0x00       
------  ---------  ---------   0xFF     0xFFFF   --------- 3f   3ff
  0 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
  1P   00.00.00.00  00.00.00.00  0x00      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  ------  ---------  ---------  1     0
  1M   00.00.00.00  00.00.00.00  0x00      0x00  0/00    ---------  ---------  ---------  ---------  
------  ---------  ---------  ------  ---------  --------- 3f   3ff
  1 Action: ASIC_ACL_DENY[0], Match Counter[0]

<asic,port> pair bind to this ACL:< 0, 1>

Het probleem is dat de maskerwaarde niet goed wordt gelezen, dus het enige item dat daadwerkelijk wordt geprogrammeerd (met de ACL in het voorbeeld) is permit tcp any any eq 8,omdat dit de samenvatting op het hoogste niveau is ACL. De vermeldingen voor de poortnummers 9-11 worden niet weergegeven omdat het masker van 0.0.0.3 niet correct wordt gelezen.

Raadpleeg de Cisco-bug-ID CSCvx66354. Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne buginformatie.

Opdrachten voor het verzamelen van TAC's

De meest voorkomende problemen met betrekking tot toegangslijsten op IE3x00 worden behandeld in deze handleiding, met de juiste stappen voor het verhelpen. Als deze handleiding uw probleem echter niet heeft opgelost, verzamelt u de weergegeven opdrachtenlijst en voegt u deze toe aan uw TAC-serviceverzoek.

Show tech-support acl

IE3300#show tech-support acl | redir flash:tech-acl.txt
IE3300#dir flash: | i .txt
89249  -rw-            56287  Aug 18 2022 00:50:32 +00:00  tech-acl.txt

Kopieer het bestand uit de switch en upload het naar de TAC-case.

Technische ondersteuning ACL-uitvoer is vereist als startpunt wanneer u problemen met betrekking tot ACL in IE3x00-platforms oplost.

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	05-Oct-2022	Eerste vrijgave

Bijgedragen door Cisco-engineers

Laura Arias Camargo
Technisch consultant van Cisco

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)