Bloquear o tráfego vinculado à CPU para loopback via ACL

Opções de download

  • PDF     (256.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (82.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (68.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:5 de maio de 2025
ID do documento:223004

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve uma limitação no bloqueio de tráfego vinculado à CPU por meio de uma ACL aplicação em uma Loopback interface.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Rede de longa distância definida por software da Cisco (SD-WAN)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • C8000V versão 17.12.2
    •  vManage versão 20.12.2

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    P. Você pode bloquear o tráfego vinculado à CPU (como ICMP ) destinado a uma Loopback interface por meio de um Access Control List (ACL) ?

    note-icon

    Note: Esta resposta se aplica aos roteadores Cisco IOS® dos modos controlador, autônomo e roteamento SD. Para dispositivos no modo de controlador, essa resposta se aplica a ACLs explícitas na política ou na configuração do Cisco IOS.

    R. Não. ACLs aplicado a Loopback interfaces não bloqueiam o tráfego destinado ao plano de controle do roteador, ou seja, o tráfego pontilhado.

    Isso ocorre porque o roteador, percebendo que todo o tráfego destinado ao Loopback IP é destinado ao plano de controle, programa o hardware para enviar o tráfego diretamente para a CPU e ignora a Loopback interface toda em conjunto para obter eficiência. Isso significa que qualquer coisa aplicada no ingresso da Loopback interface (por exemplo, ACLs ) não é disparada, já que o tráfego nunca entra tecnicamente na Loopback interface. Você pode verificar a programação de hardware através de um Cisco Express Forwarding® (CEF) comando.

    Edge#show ip route 10.0.0.1 
Routing entry for 10.0.0.1/32
  Known via "connected", distance 0, metric 0 (connected)
  Routing Descriptor Blocks:
  * directly connected, via Loopback1
      Route metric is 0, traffic share count is 1

Edge#show ip cef exact-route 172.16.0.1 10.0.0.1 protocol 1 
172.16.0.1 -> 10.0.0.1 =>receive <<< no mention of Loopback1

    Se pegarmos um FIA Trace em um pacote de ping, veremos que o tráfego é enviado para a CPU e a ACL nem é atingida.

    Edge#show platform packet-trace packet 0 decode
Packet: 0           CBUG ID: 570
Summary
  Input     : GigabitEthernet1
  Output    : internal0/0/rp:0
  State     : PUNT 11  (For-us data)
  Timestamp
    Start   : 1042490936823469 ns (11/26/2024 16:41:12.259675 UTC)
    Stop    : 1042490936851807 ns (11/26/2024 16:41:12.259703 UTC)
Path Trace
  Feature: IPV4(Input)
    Input       : GigabitEthernet1
    Output      : 
    Source      : 172.16.0.1
    Destination : 10.0.0.1
    Protocol    : 1 (ICMP)
<... output omitted ...>
  Feature: SDWAN Implicit ACL
    Action : ALLOW
    Reason : SDWAN_SERV_ALL
<... output omitted ...>
  Feature: IPV4_INPUT_LOOKUP_PROCESS_EXT
    Entry       : Input - 0x814f8e80
    Input       : GigabitEthernet1
    Output      : internal0/0/rp:0
    Lapsed time : 2135 ns
<... output omitted ...>
  Feature: INTERNAL_TRANSMIT_PKT_EXT
    Entry       : Output - 0x814cb454
    Input       : GigabitEthernet1
    Output      : internal0/0/rp:0
    Lapsed time : 5339 ns

IOSd Path Flow: Packet: 0    CBUG ID: 570
  Feature: INFRA
  Pkt Direction: IN
    Packet Rcvd From DATAPLANE

  Feature: IP
  Pkt Direction: IN
    Packet Enqueued in IP layer
    Source      : 172.16.0.1
    Destination : 10.0.0.1
    Interface   : GigabitEthernet1

  Feature: IP
  Pkt Direction: IN
  FORWARDED To transport layer 
    Source        : 172.16.0.1 
    Destination   : 10.0.0.1 
    Interface     : GigabitEthernet1

Edge#show platform packet-trace packet 0 decode | in ACL   <<<<< ACL feature never hit                      
  Feature: SDWAN Implicit ACL
  Feature: IPV4_SDWAN_IMPLICIT_ACL_EXT

Edge#show platform packet-trace packet 0 decode | in Lo <<<< Loopback1 never mentioned 
Edge#

    Para bloquear o tráfego vinculado à CPU, você precisa aplicar a ACL à interface que o pacote recebe primeiro, por exemplo, a interface física ou port channel . Aqui, podemos ver o resultado da aplicação do ACL  na interface física.

    Edge1#show platform packet-trace packet 0
Packet: 0           CBUG ID: 24
Summary
  Input     : GigabitEthernet1
  Output    : GigabitEthernet1
  State     : DROP 8   (Ipv4Acl)
  Timestamp
    Start   : 5149395094183 ns (11/27/2024 19:48:55.202545 UTC)
    Stop    : 5149395114474 ns (11/27/2024 19:48:55.202565 UTC)
Path Trace
  Feature: IPV4(Input)
    Input       : GigabitEthernet1
    Output      : 
    Source      : 172.16.0.1
    Destination : 10.0.0.1
    Protocol    : 1 (ICMP)
<... output omitted ...>
  Feature: IPV4_INPUT_ACL    <<<<
    Entry       : Input - 0x814cc220
    Input       : GigabitEthernet1
    Output      : 
    Lapsed time : 15500 ns

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    07-May-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Connor Szurgot
      Líder técnico de engenharia de entrega ao cliente
    • Amanda Nava Zarate
      Líder técnico de engenharia de entrega ao cliente

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos