Introdução
Este documento descreve uma limitação no bloqueio de tráfego vinculado à CPU por meio de uma ACL
aplicação em uma Loopback
interface.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Rede de longa distância definida por software da Cisco (SD-WAN)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- C8000V versão 17.12.2
- vManage versão 20.12.2
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
P. Você pode bloquear o tráfego vinculado à CPU (como ICMP
) destinado a uma Loopback
interface por meio de um Access Control List (ACL)
?
Note: Esta resposta se aplica aos roteadores Cisco IOS® dos modos controlador, autônomo e roteamento SD. Para dispositivos no modo de controlador, essa resposta se aplica a ACLs explícitas na política ou na configuração do Cisco IOS.
R. Não. ACLs
aplicado a Loopback
interfaces não bloqueiam o tráfego destinado ao plano de controle do roteador, ou seja, o tráfego pontilhado.
Isso ocorre porque o roteador, percebendo que todo o tráfego destinado ao Loopback
IP é destinado ao plano de controle, programa o hardware para enviar o tráfego diretamente para a CPU e ignora a Loopback
interface toda em conjunto para obter eficiência. Isso significa que qualquer coisa aplicada no ingresso da Loopback
interface (por exemplo, ACLs
) não é disparada, já que o tráfego nunca entra tecnicamente na Loopback
interface. Você pode verificar a programação de hardware através de um Cisco Express Forwarding® (CEF)
comando.
Edge#show ip route 10.0.0.1
Routing entry for 10.0.0.1/32
Known via "connected", distance 0, metric 0 (connected)
Routing Descriptor Blocks:
* directly connected, via Loopback1
Route metric is 0, traffic share count is 1
Edge#show ip cef exact-route 172.16.0.1 10.0.0.1 protocol 1
172.16.0.1 -> 10.0.0.1 =>receive <<< no mention of Loopback1
Se pegarmos um FIA Trace em um pacote de ping, veremos que o tráfego é enviado para a CPU e a ACL nem é atingida.
Edge#show platform packet-trace packet 0 decode
Packet: 0 CBUG ID: 570
Summary
Input : GigabitEthernet1
Output : internal0/0/rp:0
State : PUNT 11 (For-us data)
Timestamp
Start : 1042490936823469 ns (11/26/2024 16:41:12.259675 UTC)
Stop : 1042490936851807 ns (11/26/2024 16:41:12.259703 UTC)
Path Trace
Feature: IPV4(Input)
Input : GigabitEthernet1
Output :
Source : 172.16.0.1
Destination : 10.0.0.1
Protocol : 1 (ICMP)
<... output omitted ...>
Feature: SDWAN Implicit ACL
Action : ALLOW
Reason : SDWAN_SERV_ALL
<... output omitted ...>
Feature: IPV4_INPUT_LOOKUP_PROCESS_EXT
Entry : Input - 0x814f8e80
Input : GigabitEthernet1
Output : internal0/0/rp:0
Lapsed time : 2135 ns
<... output omitted ...>
Feature: INTERNAL_TRANSMIT_PKT_EXT
Entry : Output - 0x814cb454
Input : GigabitEthernet1
Output : internal0/0/rp:0
Lapsed time : 5339 ns
IOSd Path Flow: Packet: 0 CBUG ID: 570
Feature: INFRA
Pkt Direction: IN
Packet Rcvd From DATAPLANE
Feature: IP
Pkt Direction: IN
Packet Enqueued in IP layer
Source : 172.16.0.1
Destination : 10.0.0.1
Interface : GigabitEthernet1
Feature: IP
Pkt Direction: IN
FORWARDED To transport layer
Source : 172.16.0.1
Destination : 10.0.0.1
Interface : GigabitEthernet1
Edge#show platform packet-trace packet 0 decode | in ACL <<<<< ACL feature never hit
Feature: SDWAN Implicit ACL
Feature: IPV4_SDWAN_IMPLICIT_ACL_EXT
Edge#show platform packet-trace packet 0 decode | in Lo <<<< Loopback1 never mentioned
Edge#
Para bloquear o tráfego vinculado à CPU, você precisa aplicar a ACL à interface que o pacote recebe primeiro, por exemplo, a interface física ou port channel
. Aqui, podemos ver o resultado da aplicação do ACL
na interface física.
Edge1#show platform packet-trace packet 0
Packet: 0 CBUG ID: 24
Summary
Input : GigabitEthernet1
Output : GigabitEthernet1
State : DROP 8 (Ipv4Acl)
Timestamp
Start : 5149395094183 ns (11/27/2024 19:48:55.202545 UTC)
Stop : 5149395114474 ns (11/27/2024 19:48:55.202565 UTC)
Path Trace
Feature: IPV4(Input)
Input : GigabitEthernet1
Output :
Source : 172.16.0.1
Destination : 10.0.0.1
Protocol : 1 (ICMP)
<... output omitted ...>
Feature: IPV4_INPUT_ACL <<<<
Entry : Input - 0x814cc220
Input : GigabitEthernet1
Output :
Lapsed time : 15500 ns