مثال على التقاط قائمة التحكم في الوصول (ACL) للمحول Nexus 7000 Series
المحتويات
المقدمة
يوفر لك التقاط قائمة التحكم في الوصول (ACL) إمكانية التقاط حركة مرور البيانات بشكل انتقائي على واجهة أو شبكة المنطقة المحلية الظاهرية (VLAN) عند تمكين خيار الالتقاط لقاعدة قائمة التحكم في الوصول، يتم إعادة توجيه الحزم التي تطابق هذه القاعدة أو إسقاطها استنادا إلى إجراء السماح أو الرفض المحدد ويمكن أيضا نسخها إلى منفذ وجهة بديل لمزيد من التحليل. يمكن تطبيق قاعدة قائمة التحكم في الوصول (ACL) مع خيار الالتقاط:
- في شبكة VLAN،
- في إتجاه الدخول على كل الواجهات،
- في إتجاه المخرج على كل واجهات الطبقة 3.
يتم دعم هذه الميزة من الإصدار 5.2 من Nexus 7000 NX-OS والإصدارات الأحدث. يقدم هذا المستند مثالا كدليل مرجع سريع حول كيفية تكوين هذه الميزة.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Nexus 7000 مع الإصدار 5.2.x والإصدارات الأحدث.
- بطاقة الخط M1 Series Line Card.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
أحلت cisco فني طرف إتفاق لمعلومة على وثيقة إتفاق.
مثال تكوين ACL
هنا مثال على تكوين التقاط قائمة التحكم في الوصول (ACL) المطبق على شبكة VLAN، المعروفة أيضا باسم التقاط قائمة التحكم في الوصول إلى شبكة LAN الظاهرية (VACL). قد لا تكون عشرة وحدات من قناصي جيجابت معينة مجدية لجميع البيئات. يمكن أن يكون التقاط حركة المرور الانتقائي مفيدا جدا في مثل هذه المناظر، وخاصة أثناء أستكشاف الأخطاء وإصلاحها عندما تكون أحجام حركة المرور مرتفعة.
!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture
monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
!!
ip access-list TEST_ACL
10 permit ip 216.113.153.0/27 any capture session 1
20 permit ip 198.113.153.0/24 any capture session 1
30 permit ip 47.113.0.0/16 any capture session 1
40 permit ip any any
!!
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
match ip address TEST_ACL
action forward
statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500
يمكنك أيضا التحقق من برمجة الذاكرة القابلة للتوجيه (TCAM) للمحتوى الثالث لقائمة الوصول. هذا إنتاج ل ال VLAN 500 ل وحدة نمطية 1.
N7k2-VPC1# show system internal access-list vlan 500 input statistics
slot 1
=======
INSTANCE 0x0
---------------
Tcam 1 resource usage:
----------------------
Label_b = 0x802
Bank 0
------
IPv4 Class
Policies: VACL(VACL_TEST)
Netflow profile: 0
Netflow deny profile: 0
Entries:
[Index] Entry [Stats]
---------------------
[0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0 capture [0]
[0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0 capture [0]
[000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0 capture [0]
[000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0 [0]
[000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0 [0]
كافيتس
- يمكن أن تكون جلسة عمل التقاط قائمة تحكم في الوصول (ACL) واحدة فقط نشطة في أي وقت معين في النظام عبر سياقات الأجهزة الظاهرية (VDCs).
- لا تدعم الوحدات النمطية Nexus 7000 F1 Series التقاط قائمة التحكم في الوصول (ACL).
- لا تدعم الوحدات النمطية Nexus 7000 F2 Series حاليا التقاط قائمة التحكم في الوصول (ACL)، ولكن قد يكون ذلك في خريطة الطريق.
- يتم دعم التقاط قائمة التحكم في الوصول (ACL) على الوحدات النمطية Nexus 7000 M2-Series مع الإصدار 6.1(1) من Cisco NX-OS والإصدارات الأحدث.
- يتم دعم التقاط قائمة التحكم في الوصول (ACL) على الوحدات النمطية Nexus 7000 M1-Series مع الإصدار 5.2(1) من Cisco NX-OS والإصدارات الأحدث.
- لا يتوافق التقاط قائمة التحكم في الوصول (ACL) مع تسجيل قائمة التحكم في الوصول. لذلك، إذا كانت لديك قوائم التحكم في الوصول باستخدام الكلمة الأساسية log، فإن هذه لا تعمل بعد أن تقوم بإدخال التقاط قائمة الوصول إلى الأجهزة بشكل عام.
- بسبب الخطأ CSCug20139، يتم توثيق المثال في هذا المستند باستخدام جلسة عمل الالتقاط لكل ACE بدلا من كل قائمة تحكم في الوصول، حتى يتم حل الخطأ.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
29-Apr-2013 |
الإصدار الأولي |
التعليقات