A captação do Access Control List (ACL) fornece-lhe a capacidade para capturar seletivamente o tráfego em uma relação ou a rede de área local virtual (VLAN) quando você permite a opção da captação para uma regra ACL, os pacotes que combinam esta regra é enviada ou deixada cair baseado na ação especificada do permit or deny e pode igualmente ser copiada a uma porta do destino alternativa para a análise mais aprofundada. Uma regra ACL com a opção da captação pode ser aplicada:
Esta característica é apoiada da liberação 5.2 do nexo 7000 NX-OS e mais atrasado. Este documento fornece um exemplo como um guia de referência rápida em como configurar esta característica.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.
Está aqui um exemplo de configuração da captação ACL aplicado a um VLAN, igualmente conhecido como a captação do Access Control List do LAN virtual (VACL). Dez snifers do gigabit designados não podem ser praticáveis para todos os scenerios. A captação seletiva do tráfego pode ser muito útil em tais scenerios especialmente durante o Troubleshooting quando os volumes de tráfego são altos.
!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture
monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
!!
ip access-list TEST_ACL
10 permit ip 216.113.153.0/27 any capture session 1
20 permit ip 198.113.153.0/24 any capture session 1
30 permit ip 47.113.0.0/16 any capture session 1
40 permit ip any any
!!
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
match ip address TEST_ACL
action forward
statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500
Você pode igualmente verificar a programação do Ternary Content Addressable Memory (TCAM) da lista de acessos. Esta saída é para o VLAN 500 para o módulo 1.
N7k2-VPC1# show system internal access-list vlan 500 input statistics
slot 1
=======
INSTANCE 0x0
---------------
Tcam 1 resource usage:
----------------------
Label_b = 0x802
Bank 0
------
IPv4 Class
Policies: VACL(VACL_TEST)
Netflow profile: 0
Netflow deny profile: 0
Entries:
[Index] Entry [Stats]
---------------------
[0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0 capture [0]
[0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0 capture [0]
[000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0 capture [0]
[000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0 [0]
[000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0 [0]