通过ACL阻止发往环回的CPU流量
简介
本文档介绍通过应用于接口的阻止受CPU限制ACL的流量的Loopback限制。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科软件定义的广域网(SD-WAN)
使用的组件
本文档中的信息基于以下软件和硬件版本:
- C8000V版本17.12.2
- vManage版本20.12.2
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
问:您能否阻止通过IP地址发往接口ICMP的CPU绑定Loopback流量(如Access Control List (ACL))?
注意:此答案适用于控制器、自治和SD路由模式Cisco IOS®路由器。对于控制器模式设备,此答案适用于策略或Cisco IOS配置中的显式ACL。
答:否。应ACLs用到Loopback接口不会阻止发往路由器控制平面的流量,即转发流量。
Loopback这是因为路由器意识到任何发往IP的流量都是发往控制平面的,因此对硬件进行编程,以将流量直接发送到CPU,同时绕过接口,以提高效Loopback率。这意味着应用到接口入口的任何内容(例Loopback如)都不会被触发,因为流量从技术上来说从未进入该接Loopback口ACLs。您可以通过命令验证硬件编Cisco Express Forwarding® (CEF)程。
Edge#show ip route 10.0.0.1
Routing entry for 10.0.0.1/32
Known via "connected", distance 0, metric 0 (connected)
Routing Descriptor Blocks:
* directly connected, via Loopback1
Route metric is 0, traffic share count is 1
Edge#show ip cef exact-route 172.16.0.1 10.0.0.1 protocol 1
172.16.0.1 -> 10.0.0.1 =>receive <<< no mention of Loopback1 如果对ping数据包进行FIA跟踪,我们会看到流量被发送到CPU,ACL甚至未被命中。
Edge#show platform packet-trace packet 0 decode
Packet: 0 CBUG ID: 570
Summary
Input : GigabitEthernet1
Output : internal0/0/rp:0
State : PUNT 11 (For-us data)
Timestamp
Start : 1042490936823469 ns (11/26/2024 16:41:12.259675 UTC)
Stop : 1042490936851807 ns (11/26/2024 16:41:12.259703 UTC)
Path Trace
Feature: IPV4(Input)
Input : GigabitEthernet1
Output :
Source : 172.16.0.1
Destination : 10.0.0.1
Protocol : 1 (ICMP)
<... output omitted ...>
Feature: SDWAN Implicit ACL
Action : ALLOW
Reason : SDWAN_SERV_ALL
<... output omitted ...>
Feature: IPV4_INPUT_LOOKUP_PROCESS_EXT
Entry : Input - 0x814f8e80
Input : GigabitEthernet1
Output : internal0/0/rp:0
Lapsed time : 2135 ns
<... output omitted ...>
Feature: INTERNAL_TRANSMIT_PKT_EXT
Entry : Output - 0x814cb454
Input : GigabitEthernet1
Output : internal0/0/rp:0
Lapsed time : 5339 ns
IOSd Path Flow: Packet: 0 CBUG ID: 570
Feature: INFRA
Pkt Direction: IN
Packet Rcvd From DATAPLANE
Feature: IP
Pkt Direction: IN
Packet Enqueued in IP layer
Source : 172.16.0.1
Destination : 10.0.0.1
Interface : GigabitEthernet1
Feature: IP
Pkt Direction: IN
FORWARDED To transport layer
Source : 172.16.0.1
Destination : 10.0.0.1
Interface : GigabitEthernet1
Edge#show platform packet-trace packet 0 decode | in ACL <<<<< ACL feature never hit
Feature: SDWAN Implicit ACL
Feature: IPV4_SDWAN_IMPLICIT_ACL_EXT
Edge#show platform packet-trace packet 0 decode | in Lo <<<< Loopback1 never mentioned
Edge# 为了阻止与CPU绑定的流量,您需要将ACL应用到数据包首先进入的接口,例如物理接口或port channel。在这里,我们可以看到在物理接口上ACL应用的结果。
Edge1#show platform packet-trace packet 0
Packet: 0 CBUG ID: 24
Summary
Input : GigabitEthernet1
Output : GigabitEthernet1
State : DROP 8 (Ipv4Acl)
Timestamp
Start : 5149395094183 ns (11/27/2024 19:48:55.202545 UTC)
Stop : 5149395114474 ns (11/27/2024 19:48:55.202565 UTC)
Path Trace
Feature: IPV4(Input)
Input : GigabitEthernet1
Output :
Source : 172.16.0.1
Destination : 10.0.0.1
Protocol : 1 (ICMP)
<... output omitted ...>
Feature: IPV4_INPUT_ACL <<<<
Entry : Input - 0x814cc220
Input : GigabitEthernet1
Output :
Lapsed time : 15500 ns 修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
07-May-2025
|
初始版本 |
反馈