أستكشاف أخطاء قوائم الوصول وإصلاحها على IE3x00
المحتويات
المقدمة
يوضح هذا المستند كيفية أستكشاف أخطاء إدخالات قوائم التحكم في الوصول (ACL) وحدود الأجهزة الخاصة بسلسلة Industrial Ethernet 3x00 وإصلاحها.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة أساسية بتكوين قائمة التحكم في الوصول (ACL).
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى IE-3300 مع برنامج Cisco IOS® XE، الإصدار 16.12.4.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المنتجات ذات الصلة
يمكن أيضا إستخدام هذا المستند مع إصدارات المكونات المادية التالية:
- IE-3200 (ثابت)
- IE-3300 (قياسي)
- IE-3400 (وحدة نمطية متقدمة).
معلومات أساسية
توفر قوائم الوصول (ACL) على محول الطبقة 3 الأمان الأساسي لشبكتك. إذا لم يتم تكوين قوائم التحكم في الوصول، يمكن السماح بجميع الحزم التي تجتاز المحول على جميع أجزاء الشبكة. تتحكم قوائم التحكم في الوصول (ACL) في البيئات المضيفة التي يمكنها الوصول إلى أجزاء مختلفة من الشبكة أو تحديد أنواع حركة المرور التي يتم إعادة توجيهها أو حظرها في واجهات الموجه. يمكن تكوين قوائم التحكم في الوصول (ACL) لحظر حركة المرور الواردة أو حركة المرور الصادرة أو كليهما.
مثال: يمكنك السماح بإعادة توجيه حركة مرور بيانات البريد الإلكتروني ولكن ليس حركة مرور Telnet خارج الشبكة.
دعم وتحديد IE3x00:
-
قوائم الوصول إلى شبكة VLAN (VACL) غير مدعومة على واجهة المحول الظاهرية (SVI).
-
عندما تكون قوائم التحكم في الوصول إلى شبكة VACL وقائمة التحكم في الوصول إلى المنفذ (PACL) قابلة للتطبيق على الحزمة، حينئذ تكون قائمة التحكم في الوصول إلى المنفذ (PACL) لها الأولوية على قائمة التحكم في الوصول إلى المنفذ (VACL) ولا يتم تطبيق قائمة التحكم في الوصول إلى المنفذ في مثل هذه الحالة.
-
الحد الأقصى لعدد إدخالات التحكم في الوصول (ACE) الذي يبلغ 255 إدخالا لكل قائمة تحكم في الوصول إلى شبكة VACL.
-
لا يوجد حد صريح على إجمالي شبكات VLAN المعرفة، لأن TCAM لا ينحت داخل المكونات، كلما لم تتوفر مساحة كافية في TCAM لقبول التكوين الجديد، يتم إلقاء الخطأ باستخدام syslog.
-
Loggingلا يساند على مخرج ACL. -
في قائمة التحكم في الوصول (ACL) من الطبقة 3، لا يتم دعم قائمة التحكم في الوصول (ACL) غير الخاصة ب IP.
-
يكون مشغل الطبقة 4 (L4OP) في قوائم التحكم في الوصول محدودا بواسطة الجهاز بحد أقصى 8 L4OP ل UDP و 8 L4OP ل TCP، لإجمالي 16 Global L4OP.
-
تذكر دائما أن مشغل النطاق يستهلك 2 L4OP.
- يتم دعم قوائم التحكم في الوصول إلى المدخل فقط على الواجهات المادية، غير مدعومة على الواجهات المنطقية مثل VLAN، Port-channel، وما إلى ذلك.
- قوائم التحكم في الوصول للمنفذ (PACLs) مدعومة، ويمكن أن تكون: بخلاف IP و IPv4 و IPv6.
- تحتوي قوائم التحكم في الوصول (ACL) غير الخاصة ب IP و IPv4 على عامل تصفية ضمني واحد بينما تحتوي قوائم التحكم في الوصول (ACL) الخاصة ب IPv6 على 3 عوامل تصفية ضمنية.
- قوائم التحكم في الوصول (ACL) المستندة إلى النطاق الزمني مدعومة.
- قائمة التحكم في الوصول (ACL) ل IPv4 مع مدة البقاء (TTL) وخيارات IP المستندة إلى المطابقة غير مدعومة.
استكشاف الأخطاء وإصلاحها
الخطوة 1. حدد قائمة التحكم في الوصول (ACL) التي تشك في وجود مشاكل بها. استنادا إلى نوع قائمة التحكم في الوصول (ACL)، تتوفر هذه الأوامر:
show access-list { acl-no | acl-name } show mac access-group interface interface_name show ipv6 access-list acl_name show ip access-list { acl-no | acl-name } show ipv6 access-list acl_name
IE3300#show access-list 103
Extended IP access list 103
10 permit udp any any eq 2222
20 permit udp any eq 2222 any
IE3300#show ip access-list 103
Extended IP access list 103
10 permit udp any any eq 2222
20 permit udp any eq 2222 any
الغرض من مخرجات الأمر هو تحديد تكوين قائمة التحكم في الوصول (ACL) الحالية على Cisco IOS.
الخطوة 2. تحقق من وجود قائمة التحكم في الوصول (ACL) نفسها في جدول إدخال الأجهزة.
show platform hardware acl asic 0 tcam { all | index | interface | static | statistics | usage | vlan-statistics } - تتوفر خيارات الأوامر للتحقق من كاميرا المحول.
IE3300#show platform hardware acl asic 0 tcam interface GigabitEthernet 1/4 ipv4 detail
ACL_KEY_TYPE_v4 - ACL Id 45
Ingress ACL_KEY_TYPE_v4 -
Index SIP DIP Protocol DSCP Frag/Tiny IGMP type ICMP type ICMP code TCP flags
Src OP Src port1 Src port2 Dst OP Dst port1 Dst port2 Src Port PCLId
===== =========== =========== ======== ==== ========== ========= ========= ========= =========
====== ========= ========= ====== ========= ========= ======== ====
0P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- ---------
------ --------- --------- EQ. 2222 --------- 1 0
0M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- ---------
------ --------- --------- 0xFF 0xFFFF --------- 3f 3ff
0 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
1P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- ---------
EQ. 2222 --------- ------ --------- --------- 1 0
1M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- ---------
0xFF 0xFFFF --------- ------ --------- --------- 3f 3ff
1 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
2P 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- ---------
------ --------- --------- ------ --------- --------- 1 0
2M 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- ---------
------ --------- --------- ------ --------- --------- 3f 3ff
2 Action: ASIC_ACL_DENY[0], Match Counter[0]
pair bind to this ACL:< 0, 1>
هناك ثلاثة أزواج من القواعد في مخرجات جدول الأجهزة الذي منها:
س: يمثل النمط = هذه هي عناوين IP أو الشبكات الفرعية في ACE.
M: يمثل القناع = هذه وحدات بت حرف البدل في ACE.
| إدخال ACE | فهرس | رشفة | غمس | البروتوكول | DSCP |
permit udp any any eq 2222 |
0p، 0m، 0 | 0.0.0.0 (أي) | 0.0.0.0 (أي) | 0x11 | 0x00 (أفضل الجهود) |
permit udp any eq 2222 any |
1 ف، 1 م، 1 م | 0.0.0.0 (أي) | 0.0.0.0 (أي) | 0x11 | 0x00 (أفضل الجهود) |
deny ip any any (implicit) |
2P و 2M و 2 | 0.0.0.0 (أي) | 0.0.0.0 (أي) | 0x00 | 0x00 (أفضل الجهود) |
| إدخال ACE | SRC OP | Src port1 | منفذ SRC2 | DST OP | المنفذ DST Port1 | منفذ DST2 |
permit udp any any eq 2222 |
— | — | — | معدل الذكاء. | 2222 | — |
permit udp any eq 2222 any |
EQ | 2222 | — | — | — | — |
deny ip any any (implicit) |
— | — | — | — | — | — |
الفهرس - عدد القاعدة. لدينا 0، 1 و 2 فهارس في المثال.
SIP - يشير إلى IP المصدر بتنسيق hex. بما أن القواعد تحتوي على الكلمة الأساسية "any"، فإن المصدر IP هو كل الأصفار.
DIP - يشير إلى IP الوجهة بتنسيق hex. تتم ترجمة الكلمة الأساسية 'any' في القاعدة إلى جميع الأصفار.
البروتوكول - يشير إلى بروتوكول وحدات ACE. يذهب 0x11 إلى UDP.
DSCP - نقطة كود الخدمات المميزة (DSCP) الموجودة في القاعدة. القيمة إن لم يتم تحديدها هي 0x00 (أفضل جهد).
نوع IGMP - يحدد ما إذا كان ACE يحتوي على أنواع IGMP.
نوع ICMP - يحدد ما إذا كان ACE يحتوي على أنواع ICMP.
رمز ICMP - يحدد ما إذا كان ACE يحتوي على أنواع رموز ICMP.
علامات TCP - يحدد ما إذا كان ACE يحتوي على علامات TCP.
SRC OP - يشير إلى المصدر L4OP المستخدم في القاعدة. لا يوجد شيء في إدخال ACE الأول. يحتوي إدخال ACE الثاني على EQ كمشغل.
Src port1 - يشير إلى منفذ المصدر الأول إذا كان ACE يستند إلى UDP أو TCP.
src port2 - يشير إلى منفذ المصدر الثاني إذا كان ACE يستند إلى UDP أو TCP.
DST OP - يشير إلى الوجهة L4OP المستخدمة في القاعدة. يحتوي إدخال ACE الأول على EQ كعامل تشغيل، ولا يوجد شيء في إدخال ACE الثاني.
DST Port1 - يشير إلى منفذ الوجهة الأولى إذا كان ACE يستند إلى UDP أو TCP.
DST Port2 - يشير إلى منفذ الوجهة الثانية إذا كان ACE يستند إلى UDP أو TCP.
القواعد مرتبطة بالمنفذ ACL:<0,x> الذي يمثل 0 ل ASIC = 0، وخرائط X إلى رقم منفذ ASIC = 1.
يمكنك أيضا رؤية الإجراء المتخذ لكل عبارة ACE في الجدول.
| فهرس ACE | الإجراء |
| 0 | ASIC_ACL_PERMIT[1] |
| 1 | ASIC_ACL_PERMIT[1] |
| 2 | ASIC_ACL_DENY[0] |
الخطوة 3. تحقق من إدخالات قائمة التحكم في الوصول (ACL) نفسها باستخدام أوامر مختلفة مسرودة بعد ذلك:
إدخالات قائمة التحكم في الوصول (ACL) في فهرس معين
show platform hardware acl asic 0 tcam index acl_id [ detail ] - يوضح هذا الأمر قائمة القواعد الموجودة تحت معرف قائمة التحكم في الوصول (ACL) المحدد.
IE3300#show platform hardware acl asic 0 tcam index 45 detail ACL_KEY_TYPE_v4 - ACL Id 45 Ingress ACL_KEY_TYPE_v4 - Index SIP DIP Protocol DSCP Frag/Tiny IGMP type ICMP type ICMP code TCP flags Src OP Src port1 Src port2 Dst OP Dst port1 Dst port2 Src Port PCLId ===== =========== =========== ======== ==== ========== ========= ========= ========= ========= ====== ========= ========= ====== ========= ========= ======== ==== 0P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- EQ. 2222 --------- 1 0 0M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- 0xFF 0xFFFF --------- 3f 3ff 0 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 1P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- EQ. 2222 --------- ------ --------- --------- 1 0 1M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- 0xFF 0xFFFF --------- ------ --------- --------- 3f 3ff 1 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 2P 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 1 0 2M 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 3f 3ff 2 Action: ASIC_ACL_DENY[0], Match Counter[0]
هنا index هو المقابل الذي برمجة القاعدة به في TCAM.
للتحقق من فهرس قائمة التحكم في الوصول (ACL) الذي يتم إستخدامه، يلزمك تعريف المنفذ الذي يتم تطبيق قائمة التحكم في الوصول عليه واستخدام الأمر show platform hardware acl asic 0 tcam interface interface_name ipv4 detailللحصول على رقم معرف قائمة التحكم في الوصول (ACL).
إدخالات قائمة التحكم في الوصول (ACL) المبرمجة في الأجهزة
show platform hardware acl asic 0 tcam all [ detail ] - إظهار جميع المعلومات حول TCAM.
IE3300#show platform hardware acl asic 0 tcam all ACL_KEY_TYPE_v4 - ACL Id 45 Ingress ACL_KEY_TYPE_v4 - Index SIP DIP Protocol DSCP Frag/Tiny IGMP type ICMP type ICMP code TCP flags Src OP Src port1 Src port2 Dst OP Dst port1 Dst port2 Src Port PCLId ===== =========== =========== ======== ==== ========== ========= ========= ========= ========= ====== ========= ========= ====== ========= ========= ======== ==== 0P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- EQ. 2222 --------- 1 0 0M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- 0xFF 0xFFFF --------- 3f 3ff 0 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 1P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- EQ. 2222 --------- ------ --------- --------- 1 0 1M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- 0xFF 0xFFFF --------- ------ --------- --------- 3f 3ff 1 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 2P 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 1 0 2M 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 3f 3ff 2 Action: ASIC_ACL_DENY[0], Match Counter[0] ACL_KEY_TYPE_v4 - ACL Id 46 Ingress ACL_KEY_TYPE_v4 - Index SIP DIP Protocol DSCP Frag/Tiny IGMP type ICMP type ICMP code TCP flags Src OP Src port1 Src port2 Dst OP Dst port1 Dst port2 Src Port PCLId ===== =========== =========== ======== ==== ========== ========= ========= ========= ========= ====== ========= ========= ====== ========= ========= ======== ==== 0P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- EQ. 2222 --------- 0 0 0M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- 0xFF 0xFFFF --------- 3f 3ff 0 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 1P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- EQ. 2222 --------- ------ --------- --------- 0 0 1M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- 0xFF 0xFFFF --------- ------ --------- --------- 3f 3ff 1 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 2P 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 0 0 2M 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 3f 3ff 2 Action: ASIC_ACL_DENY[0], Match Counter[12244]
يعرض هذا الإخراج جميع معرفات قوائم التحكم في الوصول (ACL) المخزنة في جدول الأجهزة. هناك معرفات قوائم التحكم في الوصول (ACL) منفصلتان (45، 46)، ومع ذلك فإن هيكل كل كتلة هو نفسه تماما. وهذا يشير إلى أن كلا معرفات قوائم التحكم في الوصول (ACL) ينتميان إلى قائمة التحكم في الوصول (ACL) نفسها التي تم تكوينها في البرنامج:
IE3300#show ip access-list 103
Extended IP access list 103
10 permit udp any any eq 2222
20 permit udp any eq 2222 any
الذي يتم تطبيقه على واجهات مختلفة.
IE3300#show run interface GigabitEthernet 1/4 Building configuration... Current configuration : 60 bytes ! interface GigabitEthernet1/4 ip access-group 103 in end IE3300#show run interface GigabitEthernet 1/5 Building configuration... Current configuration : 60 bytes ! interface GigabitEthernet1/5 ip access-group 103 in end
إستخدام TCAM
show platform hardware acl asic 0 tcam usage - يعرض هذا الأمر إستخدام قائمة التحكم في الوصول (ACL) في ASIC. IE3x00 له ASIC واحد فقط (0)
IE3300#show platform hardware acl asic 0 tcam usage
TCAM Usage For ASIC Num : 0
Static ACEs : 18 (0 %)
Extended ACEs : 0 (0 %)
ULTRA ACEs : 0 (0 %)
STANDARD ACEs : 6 (0 %)
Free Entries : 3048 (100 %)
Total Entries : 3072
يتسم إدخال التحكم في الوصول (ACE) القياسي بأنه عرض يبلغ 24 بايت؛ أما إدخال التحكم في الوصول (ACE) الموسع فيعرض 48 بايت؛ يتسم الطراز Ultra ACE بعرض 72 بايت.
إدخالات ثابتة لقائمة التحكم في الوصول (ACL)
show platform hardware acl asic 0 tcam static [ detail ]- يعرض تكوينات قوائم التحكم في الوصول (ACL) الثابتة (خاصة ببروتوكول التحكم).
IE3300-Petra#show platform hardware acl asic 0 tcam static detail Switch MAC Global Entry: MAC DA: 01:00:0c:00:00:00/ff:ff:ff:00:00:00 4 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[1], Match Counter[6908] Dot1x EAP Global Entry: Ethertype: 0x888e/0xffff 1 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[2], Match Counter[0] CISP Global Entry: Ethertype: 0x0130/0xffff 0 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[2], Match Counter[0] REP Beacon Global Entry: Ethertype: 0x0131/0xffff 2 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[1], Match Counter[0] REP Preferred Global Entry: MAC DA: 00:00:00:00:00:00/00:00:00:00:00:00 14 Action: ASIC_ACL_PERMIT[1], Match Counter[0] REP Preferred Global Entry: Ethertype: 0x0000/0x0000 16 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[1], Match Counter[25702] REP Preferred Global Entry: Ethertype: 0x0129/0xffff 15 Action: ASIC_ACL_PERMIT[1], Match Counter[0] DHCP related entries: None. MLD related entries: None.
يعرض إخراج الأمر هذا إدخالات قائمة التحكم في الوصول (ACL) المبرمجة للنظام لبروتوكولات التحكم المختلفة للمحول.
إحصائيات قائمة التحكم في الوصول (ACL)
show platform hardware acl asic 0 tcam statistics interface_name - عرض إحصائيات قائمة التحكم في الوصول (ACL) في الوقت الفعلي، والعداد ليس تجميعيا. بعد عرض الأمر لأول مرة، يتم إعادة تعيين العدادات إذا توقفت حركة المرور التي تصل إلى قائمة التحكم في الوصول (ACL).
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
TCAM STATISTICS OF ASIC NUM :0
Number Of IPv4 Permits : 0
Number Of IPv4 Drops : 2
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
TCAM STATISTICS OF ASIC NUM :0
Number Of IPv4 Permits : 0
Number Of IPv4 Drops : 1
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
TCAM STATISTICS OF ASIC NUM :0
Number Of IPv4 Permits : 0
Number Of IPv4 Drops : 1
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
TCAM STATISTICS OF ASIC NUM :0
Number Of IPv4 Permits : 0
Number Of IPv4 Drops : 1
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
TCAM STATISTICS OF ASIC NUM :0
Number Of IPv4 Permits : 0
Number Of IPv4 Drops : 0
يخبرك هذا الأمر بعدد مرات الوصول إلى قائمة التحكم في الوصول (ACL) على الواجهة المحددة، وعدد مرات السقوط التي تم الوصول إليها كذلك أثناء دخول حركة المرور بشكل نشط إلى المنفذ. تتم إعادة تعيين العدادات بمجرد عرض الأمر لأول مرة.
تخطيط منفذ إلى ASIC
show platform pm port-map - يعرض ASIC/تخطيط المنفذ لجميع واجهات المحول.
IE3300#show platform pm port-map interface gid gpn asic slot unit gpn-idb ------------------------------------------- Gi1/1 1 1 0/24 1 1 Yes Gi1/2 2 2 0/26 1 2 Yes Gi1/3 3 3 0/0 1 3 Yes Gi1/4 4 4 0/1 1 4 Yes Gi1/5 5 5 0/2 1 5 Yes Gi1/6 6 6 0/3 1 6 Yes Gi1/7 7 7 0/4 1 7 Yes Gi1/8 8 8 0/5 1 8 Yes Gi1/9 9 9 0/6 1 9 Yes Gi1/10 10 10 0/7 1 10 Yes
0/x under asic column indicates = asic/asic_port_number
أوامر التصحيح
debug platform acl all - يتيح هذا الأمر جميع أحداث إدارة قائمة التحكم في الوصول (ACL).
IE3300#debug platform acl all
ACL Manager debugging is on
ACL MAC debugging is on
ACL IPV4 debugging is on
ACL Interface debugging is on
ACL ODM debugging is on
ACL HAL debugging is on
ACL IPV6 debugging is on
ACL ERR debugging is on
ACL VMR debugging is on
ACL Limits debugging is on
ACL VLAN debugging is on
debug platform acl hal - يعرض الأحداث المرتبطة بطبقة تجريد الأجهزة (HAL).
للحصول على حدث إزالة/تطبيق قائمة التحكم في الوصول (ACL) على واجهة، فإنها تعرض ما إذا كان قد تم برمجة القاعدة في الجهاز وطباعة المعلومات في وحدة التحكم.
[IMSP-ACL-HAL] : Direction 0
[IMSP-ACL-HAL] : TCAM: region_type = 1, lookup_stage = 0, key_type = 1, packet_type = 1, acl_type = 1, pcl_id = 0, priority = 1
[IMSP-ACL-HAL] : asic_acl_add_port_access_list programmed rule for asic_num=0, region_type=1, acl_type=1,
port_num=1, lookup stage=0 packet_type=1, key_type=1, pcl_id=0, priority=32, num_aces=3, acl_handle=0x7F8EA6DC58, acl_dir=0, cpu_log_queue=7 with acl_err=0
[IMSP-ACL-HAL] : Dump acl, acl_handle:0x0x7F8EA6DC58
الإتجاه 0 = الوارد (تم تطبيق قائمة التحكم في الوصول (ACL) عند الدخول)
الإتجاه 1 = الصادر (تم تطبيق قائمة التحكم في الوصول في الخروج)
debug platform acl ipv4 - عرض الأحداث المرتبطة ب ACL IPv4.
debug platform acl ipv6- عرض الأحداث ذات الصلة ب ACL IPv6.
debug platform acl mac - عرض الأحداث ذات الصلة ب ACL MAC.
debug platform acl error - عرض الأحداث المتعلقة بخطأ قائمة التحكم في الوصول (ACL).
[IMSP-ACL-ERROR] : asic_acl_delete_access_list successfully deleted rule for asic_num=0, region_type=1 acl_handle=0x7F8EA6DC58, acl_dir=0 atomic_update=0 with acl_err=0
debug platform acl odm - عرض الأحداث المرتبطة بالدمج المعتمد على طلب قائمة التحكم في الوصول (ODM).
[IMSP-ACL-ODM] : ODM: Num. ACEs before collapse - 2
[IMSP-ACL-ODM] : ODM: Num. ACEs after collapse - 2
[IMSP-ACL-ODM] : Number of Aces after ODM Pre Optimization- 2
[IMSP-ACL-ODM] : ODM: ACEs post collapse = 2
[IMSP-ACL-ODM] : Number of Aces after Final ODM Merge- 2
[IMSP-ACL-ODM] : ODM: Num. ACEs before collapse - 2
[IMSP-ACL-ODM] : ODM: Num. ACEs after collapse - 2
<snip>
debug platform acl port-acl - يعرض الأحداث ذات الصلة بقوائم التحكم في الوصول (ACL) للمنفذ.
[IMSP-ACL-PORT] : PACL attach common
[IMSP-ACL-PORT] : Dumping List of ACL-Handle pairs...
[IMSP-ACL-PORT] : ACL:103, Handle: 0x7F8EA6DC64, Asic Num: 0,Use Count: 1, Is overloaded: 0
[IMSP-ACL-PORT] : ACL:103, Handle: 0x7F8EA6DC58, Asic Num: 0,Use Count: 1, Is overloaded: 0
[IMSP-ACL-PORT] : ACL Detached from the port
[IMSP-ACL-PORT] : Acl-port handle info, Idb Entry Found
[IMSP-ACL-PORT] : ACL handle=0x7F8EA6DC58 found for port=Gi1/4
[IMSP-ACL-PORT] : Calling HAL asic_acl_remove_port
[IMSP-ACL-PORT] : asic_acl_remove_port successful for asic_num=0, acl_handle=0x7F8EA6DC58, port_num=1
[IMSP-ACL-PORT] : acl_type: 1, handle: 0x0, dir: 0, acl_name: 0x0, idb: 0x7F4D0AF288
[IMSP-ACL-PORT] : List of HW Programmed Port-ACLs...
[IMSP-ACL-PORT] : Port: Gi1/3
[IMSP-ACL-PORT] : Ingress IPV4: handle = 0x7F8EA6DC64, acl_name = 103, is_acl_overloaded = 0, auth_proxy_vmr = 0x0, overload_vmr_entries = 0
[IMSP-ACL-PORT] : Port: Gi1/4
[IMSP-ACL-PORT] : Ingress IPV4: handle = 0x7F8EA6DC58, acl_name = 103, is_acl_overloaded = 0, auth_proxy_vmr = 0x0, overload_vmr_entries = 0
[IMSP-ACL-PORT] : rc = 1
[IMSP-ACL-PORT] : No more acl on this port!!
[IMSP-ACL-PORT] : Free stored_acl_name=0x0
[IMSP-ACL-PORT] : Update_Pacl_info, Updated entries for idb=0x0
<snip>
debug platform acl vmr - عرض الأحداث ذات الصلة بنتيجة قناع قيمة قائمة التحكم في الوصول (VMR). إذا كانت هناك مشاكل مع VMR، يمكنك رؤيتها هنا.
[IMSP-ACL-VMR] : DstIP Mask=00.00.00.00
[IMSP-ACL-VMR] : Protocol Value/Mask=0011/FFFF
[IMSP-ACL-VMR] : Fragment field set to FALSE
[IMSP-ACL-VMR] : SrcPort1 Value/Mask=D908/FFFF
[IMSP-ACL-VMR] : SrcPort2 Value/Mask=D90F/FFFF
[IMSP-ACL-VMR] : SrcL4Op Value is Range
[IMSP-ACL-VMR] : SrcL4Op Mask is FFFFFFFF
[IMSP-ACL-VMR] : Action is PERMIT
[IMSP-ACL-VMR] : ACE number => 30
[IMSP-ACL-VMR] : vmr_ptr 0x7F51D973B0
[IMSP-ACL-VMR] : vmr_ptr->entry 0x7F51D973B0
<snip>
المشكلات الشائعة
إستهلاك L4OP
يمكن تحديد إستهلاك الخدمة المتخذة أساسا للمقارنة في L4OPs بعد تمكين عمليات تصحيح الأخطاء هذه:
debug platform port-asic hal acl errors debug platform port-asic hal tcam errors
قم بتشغيل الأمر show platform software trace message ios R0 لعرض المعلومات المتعلقة بتصحيح الأخطاء.
show platform software trace message ios R0:
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (ERR): *Aug 17 21:04:47.244: %IMSP_ACLMGR-3-INVALIDACL: Add access-list failed
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): Unable to add access-list
[IMSP-ACL-ERROR]:imsp_acl_program_tcam,2026:
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note):
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note):
asic_acl_add_port_access_list failed for asic_num=0, region_type=1, acl_type=1,
port_num=1, lookup stage=0, packet_type=1, key_type=1, pcl_id=0, priority=32, num_aces=99 acl_handle=0x0, acl_dir=0, cpu_log_queue=7 with acl_err=2
[IMSP-ACL-ERROR]:imsp_acl_add_port_access_list,211:
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note):
ACL ERR:[pc3_add_port_access_list:5471] - not enough available port comparators,asic_num[0], acl_type[1], num_aces[99]
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [IOSRP] [6472]: (note):
ACL ERR:[prv_check_for_available_port_comparators:5282] - Not enough TCP port comparators available: Required[20] > Available[8]
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [IOSRP] [6472]: (note):
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): TCAM: region_type = 1, lookup_stage = 0, key_type = 1,
packet_type = 1, acl_type = 1, pcl_id = 0, priority = 1
[IMSP-ACL-HAL] :
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note):
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): Direction 0
[IMSP-ACL-HAL] :
بالنسبة إلى IE3x00 هناك حد من 8 L4OP ل UDP و 8 L4OP ل TCP، لإجمالي أقصاه 16 L4OP في جميع قوائم التحكم في الوصول التي تم تنفيذها في المحول. (التقييد عمومي، وليس لكل قائمة تحكم في الوصول (ACL).
إذا واجهت هذا إصدار:
- تحقق مع أوامر تصحيح الأخطاء إذا كانت الأخطاء متعلقة بتقييد L4OP.
-
يجب عليك تقليل عدد نقاط الوصول من L4OP المستخدمة في قائمة التحكم في الوصول (ACL). يستهلك كل أمر نطاق 2 منافذ للمقارنة.
-
إن يستطيع أنت استعملت ACEs مع المدى أمر، هذا يستطيع كنت حولت أن يستعمل eq الكلمة المفتاح بدلا من، لذلك هو لن يستهلك L4OP يتوفر ل UDP و TCP، أن يكون:
السطر:permit tcp any any range 55560 55567
يمكن تحويلها إلى:permit tcp any any eq 55560 permit tcp any any eq 55561 permit tcp any any eq 55562 permit tcp any any eq 55563 permit tcp any any eq 55564 permit tcp any any eq 55565 permit tcp any any eq 55566 permit tcp any any eq 55567
أحلت ال cisco بق id CSCvv07745. فقط cisco يسجل مستعمل يستطيع نفذت داخلي خطأ معلومة.
لا يتم تلخيص قوائم التحكم في الوصول (ACL) من الطبقة 4 في TCAM
عند إدخال قوائم التحكم في الوصول (ACL) من المستوى الرابع مع عناوين IP المتتالية و/أو أرقام المنافذ، يتم تلخيصها تلقائيا بواسطة النظام قبل كتابتها في TCAM لتوفير المساحة. يبذل النظام قصارى جهده استنادا إلى إدخالات قائمة التحكم بالوصول (ACL) للتلخيص باستخدام MVR المناسب لتغطية نطاق من الإدخالات حيث يمكن ذلك. يمكن التحقق من هذا الإجراء عند التحقق من TCAM وعدد الخطوط التي تمت برمجتها لقائمة التحكم في الوصول (ACL). يعني:
IE3300#show ip access-list TEST
Extended IP access list TEST
10 permit tcp any any eq 8
20 permit tcp any any eq 9
30 permit tcp any any eq 10
40 permit tcp any any eq 11
IE3300#show platform hardware acl asic 0 tcam interface GigabitEthernet 1/4 ipv4 detail ACL_KEY_TYPE_v4 - ACL Id 45 Ingress ACL_KEY_TYPE_v4 - Index SIP DIP Protocol DSCP Frag/Tiny IGMP type ICMP type ICMP code TCP flags Src OP Src port1 Src port2 Dst OP Dst port1 Dst port2 Src Port PCLId ===== =========== =========== ======== ==== ========== ========= ========= ========= ========= ====== ========= ========= ====== ========= ========= ======== ==== 0P 00.00.00.00 00.00.00.00 0x06 0x00 0/00 --------- --------- --------- 0x00 ------ --------- --------- EQ. 8 --------- 1 0 0M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- 0x00 ------ --------- --------- 0xFF 0xFFFF --------- 3f 3ff 0 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 1P 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 1 0 1M 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 3f 3ff 1 Action: ASIC_ACL_DENY[0], Match Counter[0] <asic,port> pair bind to this ACL:< 0, 1>
المشكلة أن قيمة القناع لا تقرأ بشكل صحيح لذلك المدخل الوحيد الذي يتم برمجته بالفعل (مع قائمة التحكم بالوصول (ACL) في المثال) permit tcp any any eq 8,بما أن هذا هو قائمة التحكم في الوصول (ACL) للتلخيص من المستوى الأعلى. لا يتم رؤية إدخالات أرقام المنافذ 9-11 لأن القناع 0.0.0.3 لا يقرأ بشكل صحيح.
أحلت ال cisco بق id CSCvx66354 . يمكن فقط لمستخدمي Cisco المسجلين الوصول إلى معلومات الخطأ الداخلية.
أوامر التجميع ل TAC
يغطي هذا الدليل المشاكل الأكثر شيوعا المتعلقة بقوائم الوصول في IE3x00، مع خطوات المعالجة المناسبة. ومع ذلك، في حال لم يحل هذا الدليل مشكلتك، يرجى تجميع قائمة الأوامر الموضحة وإرفاقها بطلب خدمة TAC الخاص بك.
show tech-support acl
IE3300#show tech-support acl | redir flash:tech-acl.txt IE3300#dir flash: | i .txt 89249 -rw- 56287 Aug 18 2022 00:50:32 +00:00 tech-acl.txt
انسخ الملف من المحول وتحميله إلى حالة TAC.
يلزم وجود إخراج قائمة التحكم في الوصول (ACL) للدعم الفني كنقطة بداية عندما تقوم باستكشاف المشاكل المتعلقة بقائمة التحكم في الوصول (ACL) وإصلاحها في أنظمة IE3x00 الأساسية.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
05-Oct-2022 |
الإصدار الأولي |
التعليقات