Guest

Exemplo da captação do 7000 Series Switch ACL do nexo

Opções de download

  • PDF     (83.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (77.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (69.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:29 de Abril de 2013
ID do documento:116044
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

A captação do Access Control List (ACL) fornece-lhe a capacidade para capturar seletivamente o tráfego em uma relação ou a rede de área local virtual (VLAN) quando você permite a opção da captação para uma regra ACL, os pacotes que combinam esta regra é enviada ou deixada cair baseado na ação especificada do permit or deny e pode igualmente ser copiada a uma porta do destino alternativa para a análise mais aprofundada. Uma regra ACL com a opção da captação pode ser aplicada:

  1. Em um VLAN,
  2. Na direção de ingresso em todas as relações,
  3. Na direção de saída em todas as relações da camada 3.

Esta característica é apoiada da liberação 5.2 do nexo 7000 NX-OS e mais atrasado. Este documento fornece um exemplo como um guia de referência rápida em como configurar esta característica.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Nexo 7000 com liberação 5.2.x e mais tarde.
  • Placa de linha do M1 Series.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Exemplo da configuração ACL

Está aqui um exemplo de configuração da captação ACL aplicado a um VLAN, igualmente conhecido como a captação do Access Control List do LAN virtual (VACL). Dez snifers do gigabit designados não podem ser praticáveis para todos os scenerios. A captação seletiva do tráfego pode ser muito útil em tais scenerios especialmente durante o Troubleshooting quando os volumes de tráfego são altos.

!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture
 
              monitor session 1 type acl-capture
              destination interface ethernet 2/1
              no shut
              exit
!!
ip access-list TEST_ACL  
  10 permit ip 216.113.153.0/27 any capture session 1
  20 permit ip 198.113.153.0/24 any capture session 1
  30 permit ip 47.113.0.0/16 any capture session 1
  40 permit ip any any  
!! 
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
        match ip address TEST_ACL
        action forward
        statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500

Você pode igualmente verificar a programação do Ternary Content Addressable Memory (TCAM) da lista de acessos. Esta saída é para o VLAN 500 para o módulo 1.

N7k2-VPC1# show system internal access-list vlan 500 input statistics
 
slot  1
=======
 
INSTANCE 0x0
---------------
 
  Tcam 1 resource usage:
  ----------------------
  Label_b = 0x802
   Bank 0
   ------
     IPv4 Class
       Policies: VACL(VACL_TEST)
       Netflow profile: 0
       Netflow deny profile: 0
       Entries:
         [Index] Entry [Stats]   
         ---------------------
  [0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0  capture [0]
  [0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0  capture [0]
  [000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0  capture [0]
  [000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0   [0]
  [000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0   [0]

Caveats

  1. Somente uma sessão da captação ACL pode ser ativa a um momento determinado no sistema através dos contextos do dispositivo virtual (VDC).
  2. Os nexos os módulos de 7000 F1 Series não apoiam a captação ACL.
  3. Os nexos os módulos de 7000 F2 Series não apoiam atualmente a captação ACL, mas este pôde estar no mapa rodoviário.
  4. A captação ACL no nexo 7000 módulos M2-Series é apoiada com liberação do Cisco NX-OS 6.1(1) e mais atrasado.
  5. A captação ACL no nexo 7000 módulos M1-Series é apoiada com liberação do Cisco NX-OS 5.2(1) e mais atrasado.
  6. A captação ACL não é compatível com logging ACL.  Consequentemente, se você tem ACL com uma palavra-chave do log, estes não trabalham depois que você incorporou globalmente a captação da lista de acesso do hardware.
  7. Devido ao erro CSCug20139, o exemplo neste documento está documentado com uma sessão da captação pelo ACE em vez por do ACL, até que o erro esteja resolved.

Informações Relacionadas

TAC Authored

Colaborado por engenheiros da Cisco

  •  Rajesh Gatti, Geovany Gonzalez, and Andy Gossett
    Cisco TAC Engineers.

Este documento lhe foi útil?

Feedback

Deixe-nos ajudar

Este documento se refere a estes produtos