Implémenter des listes d’accès sur des routeurs Internet de la gamme 12000

Introduction

Ce document décrit la prise en charge des listes de contrôle d'accès (ACL) sur les routeurs Internet de la gamme Cisco 12000.

Conditions préalables

Conditions requises

Cisco recommande que vous connaissiez les bases du fonctionnement d’une liste de contrôle d’accès sur un routeur Cisco.

Reportez-vous aux documents suivants pour obtenir des informations générales sur les listes de contrôle d’accès et leurs applications :

• Listes de contrôle d'accès : Présentation et directives

• Configuration des services IP : Filtrer les paquets IP

Components Used

Les informations de ce document sont basées sur les routeurs Internet de la gamme Cisco 12000.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Présentation de la prise en charge des listes de contrôle d’accès sur les routeurs Internet de la gamme Cisco 12000

Sur les routeurs Internet de la gamme Cisco 12000, les listes de contrôle d’accès peuvent être traitées au niveau matériel (circuit intégré spécifique à l’application - ASIC), logiciel (processeur d’une carte de ligne) ou en tant que fonctionnalité hybride (traitée au niveau logiciel avec assistance matérielle). Le traitement d’une liste de contrôle d’accès dans le matériel ou le logiciel dépend de l’application de la liste de contrôle d’accès, du type de moteur de la carte de ligne et de l’interaction des listes de contrôle d’accès dans d’autres cartes de ligne.

Les moteurs de cartes de ligne de la gamme Cisco 12000 offrent différentes fonctionnalités de liste de contrôle d’accès. Pour obtenir des informations sur la prise en charge des listes de contrôle d'accès pour un moteur de carte de ligne particulier, reportez-vous à la section correspondante de ce document.

Remarque : les listes de contrôle d'accès multidiffusion IP ne sont pas prises en charge dans le logiciel Cisco IOS® Version 12.0S. La fonctionnalité de limite de multidiffusion IP peut être utilisée lorsque le filtrage de multidiffusion est requis. Référez-vous à Transfert multidiffusion Fast-Path sur les cartes de ligne Cisco 12000 Series Engine 2 et ISE pour plus d'informations.

Listes de contrôle d'accès basées sur ASIC et listes de contrôle d'accès basées sur CPU

Le Cisco 12000 prend en charge toutes les générations de traitement des listes de contrôle d’accès. Une compréhension opérationnelle de la manière dont chacun de ces modes de traitement fonctionne, interagit et se prend en charge est essentielle pour une utilisation efficace des listes de contrôle d’accès sur le Cisco 12000.

Les premières générations de traitement des listes de contrôle d’accès ont utilisé un processeur programmable pour traiter la liste de contrôle d’accès. Au fil du temps, les exigences de traitement des paquets par seconde (PPS) ont dépassé la capacité des nouveaux processeurs à suivre. Les ASIC ont été conçus pour obtenir des débits PPS plus élevés pour le transfert de routeur et les fonctionnalités. Les listes de contrôle d’accès chargées sur le processeur de la carte de ligne (LC) ont ensuite été chargées sur l’ASIC LC. Les ASIC ont continué d'être improvisés pour gérer des taux de PPS plus élevés. Ces circuits ASIC de deuxième génération ont été construits sur le travail de pointe de la génération précédente et offrent davantage de fonctionnalités ASIC. Le Cisco 12000 étant une plate-forme de routage distribué, l’interaction entre les différentes générations de traitement des listes de contrôle d’accès peut créer une certaine confusion opérationnelle.

Des termes tels que ACL basée sur ASIC, ACL basée sur CPU, Fast Path, Slow Path et ASIC Punts sont utilisés tout au long de ce document pour expliquer ce qui se passe avec le traitement ACL. Voici des explications sur ces termes :

• ACL basées sur ASIC (Fast Path) : les ACL sont chargées et traitées dans le matériel ASIC. L'enveloppe de performances de l'ASIC détermine la profondeur, les performances et les capacités des listes de contrôle d'accès. Fast Path a été utilisé dans le chemin pour illustrer la différence entre le traitement basé sur ASIC et le traitement effectué dans le CPU prenant en charge LC. Le terme plus générique, basé sur ASIC, est utilisé dans ce document.

• Listes de contrôle d’accès basées sur le processeur (Slow Path) : les listes de contrôle d’accès sont traitées dans le logiciel sur le processeur de la carte de ligne. Pour les cartes de première génération (Engine 0 et dans certains cas Engine 1), tout le traitement est effectué sur le processeur LC. Les LC basées sur ASIC exécutent le traitement des listes de contrôle d'accès sur les paquets qui sont punis à partir de l'ASIC. Le chemin lent a été utilisé dans le passé pour illustrer comment les pointes vers le processeur LC étaient plus lents que l'ASIC. Le terme plus générique, basé sur le processeur, est utilisé dans ce document.

• ASIC Punts : les ASIC ont des enveloppes de conception stricte. Lorsqu'un paquet dépasse l'enveloppe conçue, il est pointé de l'ASIC pour être traité sur le processeur LC prenant en charge ou envoyé au processeur de routage (RP). Les listes de contrôle d’accès basées sur ASIC pondent les paquets qui ne sont pas conformes à la conception de l’ASIC. Par exemple, une liste de contrôle d'accès possède un ACE avec un mot clé log ou log-input. Les informations requises pour enregistrer le paquet doivent être traitées en dehors de l'ASIC, de sorte que le paquet est automatiquement pointé hors de l'ASIC, dans le processeur LC et traité comme une ACL basée sur le CPU normal.

Remarque : lorsque vous configurez le routage basé sur des stratégies (PBR) avec des instructions de correspondance pour qu'elles correspondent aux listes de contrôle d'accès, les listes de contrôle d'accès ne doivent pas correspondre au port source. Le routeur de commutation gigabit (GSR) ne prend pas en charge la commutation matérielle pour le PBR avec des ACL qui correspondent au port source. Il déclenche la commutation de processus et les performances GSR se dégradent.

Filtrage du plan de contrôle et de gestion

Le processeur de routeur fournit des services de plan de contrôle et de gestion dans l'architecture distribuée de la gamme Cisco 12000. Les listes de contrôle d’accès de réception (rACL) fournissent une fonctionnalité de filtrage distribué simple pour le trafic de contrôle et de gestion destiné au RP. Il peut être considéré logiquement comme une couche de sécurité supplémentaire qui tire parti des atouts d'une architecture distribuée.

Configuration des listes de contrôle d'accès IP Receive Path

La rACL a été introduite par une dérogation spéciale dans la limitation de maintenance du logiciel Cisco IOS® Version 12.0(21)S2. Il est officiellement pris en charge dans le logiciel Cisco IOS Version 12.0(22)S. Référez-vous à ACL de réception IP pour plus d'informations.

Le processeur de routeur fournit des services de plan de contrôle dans l'architecture distribuée de la gamme Cisco 12000. Les listes de contrôle d’accès de réception fournissent des fonctionnalités de filtrage pour contrôler le trafic destiné au RP, telles que les mises à jour de routage et les requêtes SNMP (Simple Network Management Protocol).

La rACL est considérée comme la phase 1 d'un effort multiphase visant à ajouter de nouvelles protections au contrôle et à la gestion du trafic aérien. De nouvelles améliorations de limitation de débit sont ajoutées par le biais de mises à jour logicielles.

Prise en charge des listes de contrôle d'accès IPv4 par type de carte de ligne

Les cartes de ligne de la gamme 12000 offrent différentes fonctionnalités de liste de contrôle d'accès par type de moteur. Cette section décrit les fonctionnalités des listes de contrôle d'accès des différents moteurs de cartes de ligne. Pour obtenir des informations sur la prise en charge des listes de contrôle d'accès pour un moteur de carte de ligne particulier, reportez-vous à la section correspondante de ce document.

Il existe certaines caractéristiques générales pour toutes les listes de contrôle d’accès (ASIC et UC) :

• Une seule liste de contrôle d’accès peut être appliquée à une interface pour chaque direction. Par exemple, l’interface POS 0/0 ne peut avoir qu’une liste de contrôle d’accès d’entrée et une liste de contrôle d’accès de sortie.

• Le test du paquet par rapport à une liste de contrôle d’accès s’arrête après la recherche d’une correspondance. Si une liste de contrôle d’accès de 300 entrées correspond au paquet de l’entrée de liste d’accès (ACE) n° 45, le paquet est traité et le traitement de la liste de contrôle d’accès est arrêté.

• Il existe une entrée deny all implicite à la fin de chaque liste de contrôle d’accès. Par conséquent, s’il n’y a aucune correspondance sur la liste de contrôle d’accès, le paquet est abandonné. Les listes de contrôle d’accès Cisco sont créées avec une architecture de liste de contrôle d’accès d’autorisation explicite. Cela signifie qu'il doit y avoir une ACE qui correspond au paquet pour qu'il soit traité et transféré.

• Les entrées ACE récemment ajoutées sont toujours ajoutées à la fin de la liste de contrôle d’accès. Chaque fois que la liste de contrôle d’accès nécessite des mises à jour, il est recommandé de supprimer la liste de contrôle d’accès (utilisez la commande no access-list) et de réajouter la nouvelle liste de contrôle d’accès.

• Étant donné que les fragments IP non initiaux ne contiennent pas d'informations de protocole de couche 4 dans l'en-tête IP, seuls les critères de correspondance standard sont pris en charge pour les fragments non initiaux. Vous trouverez des détails complets sur la façon dont les listes de contrôle d'accès Cisco se conforment au filtrage des fragments IP dans les listes de contrôle d'accès et les fragments IP.

• Les listes de contrôle d’accès numérotées sont traitées et appliquées dès qu’elles sont entrées via l’interface de ligne de commande (CLI). Avec les grandes listes de contrôle d’accès, cela provoque parfois une pointe de CPU sur le processeur RP ou LC.

Moteur 0 - Traitement des listes de contrôle d'accès

Le moteur 0 est la première carte de ligne livrée pour le Cisco 12000. Il s'agit uniquement du traitement et du transfert basés sur le processeur. Par conséquent, les cartes de ligne du moteur 0 traitent les listes de contrôle d'accès dans le processeur LC.

Ces cartes de ligne sont basées sur le moteur 0 :

Type de carte de ligne	Type d'interface	Connectivité
12 x DS3	Coaxial	PME
12 x DS3	Coaxial	PME
12 x E3	Coaxial	PME
1xCHOC12->DS3		IR
1xCHOC12/STM4->OC3/STM1	POS	IR
4 OC3c/STM1c	POS	SR
4 OC3c/STM1c	POS	LR
4 OC3c/STM1c	POS	MM
1 OC12c/STM4c	POS	IR
1 OC12c/STM4c	POS	MM
6xCT3->DS1		PME
2xCHOC3/STM1->DS1/E1		IR
4 OC3c/STM1c	ATM	IR
4 OC3c/STM1c	ATM	MM
1 OC12c/STM4c	ATM	IR
1 OC12c/STM4c	ATM	MM

Critères de correspondance pris en charge

Toutes les listes de contrôle d'accès standard, étendues et Turbo du logiciel Cisco IOS version 12.0S sont prises en charge sur le moteur 0.

Nombre d'ACE pris en charge

La taille des listes de contrôle d’accès est limitée uniquement par les exigences de performances et les ressources mémoire disponibles.

Traitement ACL de sortie

Les listes de contrôle d’accès de sortie sont traitées dans le chemin de fonction d’entrée des autres cartes de ligne du système. Une pression de la liste de contrôle d'accès de sortie vers le côté d'entrée des autres LC protège le fond de panier contre le transfert de paquets qui vont être abandonnés. Il s'agit d'une fonction héritée de l'architecture distribuée du Cisco 7500. Une explication détaillée, des raisons et des directives opérationnelles sont fournies dans la matrice d'interopérabilité des cartes de ligne IPv4 Output ACL.

Commandes spécifiques à la carte de ligne

Aucune.

Directives opérationnelles et interactions avec les cartes de ligne

• Si NetFlow est configuré sur une carte de ligne Engine 0 et qu'une liste de contrôle d'accès de sortie est configurée sur une carte de ligne du moteur de sortie 3 ou 4+, la liste de contrôle d'accès de sortie est traitée par les cartes de ligne d'entrée et de sortie afin de permettre à NetFlow de comptabiliser les paquets refusés par les listes de contrôle d'accès ainsi que les paquets transférés.

Recommandations

Cisco recommande l'utilisation de listes de contrôle d'accès Turbo sur le moteur 0 pour les listes de contrôle d'accès volumineuses. Les listes de contrôle d’accès linéaires de petite taille sont plus efficaces pour les listes de contrôle d’accès plus petites, car les listes de contrôle d’accès Turbo nécessitent davantage de mémoire.

Moteur 1 - Traitement des listes de contrôle d'accès

Aperçu

La carte de ligne Engine 1 est un pont entre le traitement basé sur le processeur sur le moteur Engine 0 et l'ASIC de transfert/fonctionnalité de première génération sur le moteur Engine 2. Par défaut, les cartes de ligne du moteur 1 traitent les listes de contrôle d’accès dans le logiciel. Avec le logiciel Cisco IOS Version 12.0(10)S et ultérieure, le moteur 1 fournit des listes de contrôle d'accès matérielles pour les cartes équipées des versions 4 ou 5 de l'ASIC Salsa (voir la référence de commande des cartes de ligne ci-dessous pour déterminer avec quelle version de Salsa une carte particulière est équipée).

Ces cartes de ligne sont basées sur le moteur 1 :

Type de carte de ligne	Type d'interface	Connectivité
8 FE	(RJ45)	100BaseT
8 FE	(MM)	100BaseF
8 FE	(RJ45)	100BaseT
8 FE	(MM)	100BaseF
1 GE	SX,	GBIC :
1 GE	SX,	GBIC :
2xOC12c/STM4c	DPT	IR
2xOC12c/STM4c	DPT	LR
2xOC12c/STM4 c	DPT	XLR
2xOC12c/STM4c	DPT	MM
2xOC12c/STM4c	DPT	IR
2xOC12c/STM4c	DPT	LR
2cOC12c/STM4c	DPT	XLR
2xOC12c/STM4c	DPT	MM

Critères de correspondance pris en charge

Toutes les listes de contrôle d'accès standard, étendues et Turbo prises en charge par le logiciel Cisco IOS version 12.0S sont prises en charge dans le processeur LC (Slow Path). En outre, le moteur 1 peut traiter les listes de contrôle d'accès d'entrée dans l'ASIC Salsa. L'ASIC Salsa gère le traitement des listes de contrôle d'accès d'entrée ainsi que la recherche de route, ce qui augmente les performances par rapport au traitement des listes de contrôle d'accès linéaires traditionnelles et au traitement des listes de contrôle d'accès Turbo. L'ASIC Salsa ne peut pas traiter les ACL de sortie ou les ACL de sous-interface.

Nombre d'ACE pris en charge

La taille des listes de contrôle d’accès est limitée uniquement par les exigences de performances et les ressources mémoire disponibles.

Traitement ACL de sortie

Les listes de contrôle d’accès de sortie sont traitées dans le chemin de fonction d’entrée des autres cartes de ligne du système. Pour plus d'informations, reportez-vous à la section Liste de contrôle d'accès de sortie IPv4 - Matrice d'interopérabilité des cartes de ligne.

Commandes spécifiques à la carte de ligne

• access-list hardware salsa

• show controller l3 | inclure ASIC

Directives opérationnelles et interactions avec les cartes de ligne

• L'ASIC Salsa et l'ASIC PSA ne peuvent pas être exploités en même temps. La commande access-list hardware accepte uniquement PSA (Engine 2) ou Salsa (Engine 1) mais pas les deux.

• Si NetFlow est configuré sur une carte de ligne Engine 1 et qu'une liste de contrôle d'accès de sortie est configurée sur une carte de ligne du moteur de sortie 3 ou 4+, la liste de contrôle d'accès de sortie est traitée par les cartes de ligne d'entrée et de sortie afin de permettre à NetFlow de comptabiliser les paquets refusés par les listes de contrôle d'accès ainsi que les paquets transférés.

Recommandations

Pour les versions de cartes de ligne Engine 1 qui ne prennent pas en charge les listes de contrôle d'accès matérielles, Cisco recommande l'utilisation de listes de contrôle d'accès Turbo pour les listes de contrôle d'accès volumineuses. Les listes de contrôle d’accès de petite taille (moins de 20 lignes) peuvent être mises en oeuvre en tant que listes de contrôle d’accès linéaires pour conserver la mémoire.

Moteur 2 - Traitement des listes de contrôle d'accès

Aperçu

Le moteur 2 était la première carte de ligne dotée d'un ASIC de transfert/fonctionnalité. Avec le logiciel Cisco IOS Version 12.0(10)S et ultérieure, les cartes de ligne du moteur 2 fournissent des capacités de liste de contrôle d'accès matérielles dans l'ASIC hautes performances de commutation de paquets (PSA). Comme pour tous les ASIC de transfert/fonctionnalité, les enveloppes de performances strictes limitent la capacité de l'ASIC. L'enveloppe de performance clé sur les listes de contrôle d'accès du moteur 2 est due à des limitations de mémoire dans l'ASIC PSA.

Le transfert de paquets dans le moteur 2 est effectué par l'ASIC PSA. PSA a trois principaux souvenirs externes :

• PLU (Path-lookup) : utilisé pour stocker des noeuds multiples

• TLU (Table Lookup) : utilisé pour stocker les feuilles FIB et éventuellement les structures de balance de charge. Utilisé également pour contenir de nombreuses structures de données de liste de contrôle d’accès PSA

• SRAM : emplacement principal des structures de partage de charge

La fonctionnalité de liste de contrôle d’accès PSA est une implémentation basée sur un microcode de la vérification des listes de contrôle d’accès. Un ensemble spécial d'instructions est chargé dans la puce PSA qui permet la vérification de base des listes de contrôle d'accès. Cette fonctionnalité présente un certain nombre de limitations qu'il convient de bien comprendre avant de la déployer. L’un des principaux inconvénients des listes de contrôle d’accès PSA réside dans la grande quantité de mémoire de transfert matérielle requise.

La fonction de liste de contrôle d’accès PSA nécessite un grand bloc de mémoire PLU/TLU à préallouer, quel que soit le nombre de préfixes, etc. Comme cette allocation provient principalement de la zone TLU, elle a un impact significatif sur le nombre de routes pouvant être conservées sur ces cartes lorsque les listes de contrôle d’accès PSA sont configurées.

Outre la sortie initiale de mémoire PLU/TLU, chaque préfixe stocké dans la mémoire TLU nécessite beaucoup plus de mémoire. La quantité de mémoire requise pour chaque préfixe varie en fonction de la direction de la liste de contrôle d’accès appliquée (entrée/sortie) et du type de carte de ligne. En général, les listes de contrôle d’accès de sortie nécessitent plus de mémoire que d’entrée, et les cartes de ligne avec plus de ports physiques nécessitent plus de mémoire que celles avec moins de ports.

Dans le cas où la carte de ligne du moteur 2 n'utilise pas de listes de contrôle d'accès, les structures de données pour les listes de contrôle d'accès sont construites indépendamment des listes de contrôle d'accès réelles configurées. Pour passer aux structures non ACL plus petites, vous devez configurer no access-list hardware psa sur le routeur. Cette commande désactive tout le traitement des listes de contrôle d'accès sur toutes les cartes de ligne Engine2 dans toutes les directions. Cisco recommande de les utiliser avec une extrême prudence.

Aperçu

Afin de fournir des performances de traitement des listes de contrôle d'accès indépendantes de la profondeur de correspondance, les listes de contrôle d'accès du moteur 2 sont intégrées dans la table de transfert matériel. Reportez-vous à la section ci-dessous pour obtenir des explications sur l'impact que cela peut avoir sur l'évolutivité des préfixes.

Ces cartes de ligne sont basées sur le moteur 2 :

Type de carte de ligne	Type d'interface	Connectivité
1 OC48c/STM16c	POS	SR
1 OC48c/STM16c	POS	LR
1 OC48c/STM16c	POS	SR
1 OC48c/STM16c	POS	LR
1 OC192c/STM64c	Activateur	SR
16xOC3c/STM1c	POS	IR
16xOC3c/STM1c	POS	MM
4xOC12c/STM4c	POS	IR
4xOC12c/STM4c	POS	MM
4xOC12c/STM4c	POS	IR
4xOC12c/STM4c	POS	MM
4xOC12c/STM4c	ATM	IR
4xOC12c/STM4c	ATM	MM
8xOC3cSTM1c	ATM/TS	IR
8 OC3c/STM1c	ATM/TS	MM
3 GE	SX	GBIC :
3 GE	CWDM	GBIC :
1 OC48c/STM16c	DPT	SR
1 OC48c/STM16c	DPT	LR
1 OC48c/STM16c	DPT	SR
1 OC48c/STM16c	DPT	LR

Critères de correspondance pris en charge

Tous les critères de correspondance des listes de contrôle d'accès standard et étendues pris en charge par le logiciel Cisco IOS version 12.0S, à l'exception des ports sources de couche 4. Les masques discontinus, les champs de priorité IP et les ports sources de couche 4 sont pointés à partir de l'ASIC PSA et traités sur le processeur LC.

Nombre d'ACE pris en charge

Jusqu'à cinq listes de contrôle d'accès d'entrée de 448 lignes dans le message d'erreur. Une liste de contrôle d’accès peut être configurée par port. Les listes de contrôle d’accès supplémentaires sont gérées par le processeur de la carte de ligne. Reportez-vous à la section “ Restrictions ” ci-dessous pour connaître les restrictions sur les listes de contrôle d'accès de sortie.

Traitement ACL de sortie

Une liste de contrôle d'accès de sortie configurée sur cette carte de ligne sera exécutée dans le chemin de fonction d'entrée des autres cartes de ligne du système. Pour plus d'informations, reportez-vous à la liste de contrôle d'accès de sortie IPv4 - Line Card Interoperation Matrix.

Commandes spécifiques à la carte de ligne

• access-list hardware psa limit 128

• no access-list hardware psa

• contournement psa

• show access-list psa detail

• show access-list psa summary

• show controller psa feature

Directives opérationnelles et interactions avec les cartes de ligne

• Le traitement des listes de contrôle d’accès FastPath requiert que les conditions suivantes soient remplies :

  • La liste de contrôle d’accès appliquée se situe dans la limite 128 ou 448-ACE.

    • La longueur doit être inférieure à 128 ACE si la commande access-list hardware psa limit 128 est configurée.

    • La longueur doit être inférieure à 448 ACE lorsque l'offre groupée de microcode ACL à 448 lignes est requise.

  • Les listes de contrôle d’accès d’entrée et de sortie ne sont pas configurées ensemble par carte.

  • Jusqu'à cinq listes de contrôle d'accès de sortie peuvent être configurées sur le routeur.

• Seules les listes de contrôle d'accès à 128 lignes sont prises en charge sur les cartes de ligne POS OC-3/STM-1 à 8 et 16 ports. Les listes de contrôle d'accès 448 lignes sont prises en charge sur les cartes de ligne OC-12/STM-4 à 4 ports, OC-48/STM-16 à 1 port et Gigabit Ethernet à 3 ports.

• Les listes de contrôle d’accès d’entrée sont prioritaires dans le chemin rapide par rapport aux listes de contrôle d’accès de sortie lorsque les deux sont configurées simultanément sur la même carte (la liste de contrôle d’accès de sortie est traitée dans le chemin lent).

• Si une liste de contrôle d'accès de sortie est configurée sur une carte du moteur 2 et que la carte de ligne d'entrée est Engine 0/1/2/4, une liste de contrôle d'accès de sortie est traitée dans la carte d'entrée. Pour les autres types de moteur, la liste de contrôle d'accès de sortie sera traitée dans le chemin lent de sortie du moteur 2.

• Les listes de contrôle d’accès de sortie ne sont pas prises en charge pour le trafic IP-MPLS (la première étiquette MPLS étant “ Poussée ” sur un paquet IP).

• Les informations de traitement des listes de contrôle d’accès sont intégrées dans la FIB matérielle et peuvent avoir un impact sur l’évolutivité des préfixes. L'épuisement de la mémoire préfixe est signalé par des échecs d'allocation de mémoire avec la signature “ exmem=1 ” dans le message de journal d'accompagnement.

Recommandations

• Les informations de traitement des listes de contrôle d’accès sont intégrées dans la table de transfert CEF, ce qui réduit l’évolutivité des préfixes. Les applications qui n'utilisent pas de listes de contrôle d'accès peuvent désactiver la prise en charge des listes de contrôle d'accès dans la table CEF et augmenter ainsi la mémoire de préfixe disponible en exécutant la commande no access-list hardware psa.

• La configuration de la commande no access-list hardware psa désactive tout le traitement des listes de contrôle d'accès par les cartes du moteur 2, en plus de désactiver la prise en charge PSA pour les listes de contrôle d'accès. Il ne force pas l’exécution logicielle des listes de contrôle d’accès. Cette condition s'applique également si une liste de contrôle d'accès de sortie est configurée sur la carte de ligne de sortie.

• La configuration de la commande access-list compilée après la commande access-list hardware psa convertit les ACE qui dépassent la capacité du PSA en ACL Turbo. Cela fournit des performances ACL optimales pour les ACL de plus de 448 ACE en longueur.

  • Le microcode de la liste de contrôle d'accès par défaut est 128 (à partir de la version 12.0(14)S/ST du logiciel Cisco IOS). Si des listes de contrôle d’accès plus petites sont utilisées et que la fonctionnalité 448 lignes n’est pas requise, la configuration de la commande access-list hardware psa limit 128 conserve la mémoire de transfert (TLU), ce qui améliore l’évolutivité des préfixes.

  • Le traitement des listes de contrôle d'accès Turbo doit être activé avec la commande access-list compilée pour les listes de contrôle d'accès de plus de 129 lignes, ainsi que la commande access-list hardware psa limit 128. Cette combinaison traite les 128 premières lignes de l'ASIC PSA et les lignes restantes avec les ACL Turbo, ce qui optimise les performances tout en conservant la mémoire de transfert.

• La carte de ligne ATM OC12 à 4 ports ne prend pas en charge les listes de contrôle d’accès d’entrée, mais fournit la détection des listes de contrôle d’accès de sortie en microcode, ce qui permet le processus des listes de contrôle d’accès de sortie dans le chemin lent.

• La carte de ligne ATM 8xOC3 prend en charge les listes de contrôle d'accès de 128 lignes par vc avec le logiciel Cisco IOS version 12.0(23)S et ultérieure. Un maximum de 16 listes de contrôle d’accès d’entrée distinctes peut être configuré en chemin rapide. La liste de contrôle d’accès 448 entrées est prise en charge par circuit virtuel uniquement en chemin lent. Les listes de contrôle d’accès de sortie ne sont pas prises en charge.

ISE (IP Services Engine) Engine 3 - Traitement des listes de contrôle d'accès

Aperçu

Le moteur 3 est la première carte de ligne de transfert à deux étapes. Le moteur 3 dispose de circuits ASIC de transfert/fonctionnalité sur le chemin d'entrée et de sortie. Cela permet de placer les listes de contrôle d’accès dans l’ASIC sur les chemins d’entrée et de sortie. En outre, la structure ASIC du moteur 3 est une matrice hybride pipeline/parallèle. La structure ASIC implémente le traitement des listes de contrôle d'accès dans la mémoire TCAM (High-speed ternary content Addressable Memory) parallèle, qui fournit un traitement de débit de ligne pouvant atteindre 20 000 ACE par entrée et 20 000 ACE par sortie.

Ces cartes de ligne sont basées sur le moteur 3 :

Type de carte de ligne	Type d'interface	Connectivité
4xOC12c/STM4c	POS	IR
4xOC12c/STM4c	POS	MM
4xCHOC12/STM4->OC3/STM1->DS3/E3	POS	IR
16xOC3c/STM1c	POS	IR
16xOC3c/STM1c	POS	MM
8 OC3/STM1c	POS	IR
8 OC3c/STM1c	POS	MM
4 OC3c/STM1c	POS	IR
4 OC3c/STM1c	POS	MM
4 OC3c/STM1c	POS	LR
1 OC48c/STM16c	POS	SR
1 OC48c/STM16c	POS	LR
1xCHOC48/STM16->STM4->OC3/STM1->DS3/E3	POS	SR
4xOC12c/STM4c	ATM/IP	IR
4xOC12c/STM4c	ATM/IP	MM
4 GE	GE
4xOC12c/STM4c	DPT	IR
4xOC12c/STM4c	DPT	XLR

Critères de correspondance pris en charge

Tous les critères de correspondance standard et étendue du logiciel Cisco IOS version 12.0S sont pris en charge dans le chemin rapide, à l'exception des entrées de journal traitées par le processeur de la carte de ligne.

Nombre d'ACE pris en charge

• Traitement du débit de ligne en entrée et en sortie par port, par VLAN, par sous-interface Frame Relay et par sous-interface ATM. Jusqu'à 20 000 entrées ACE étendues par direction et par carte sont prises en charge.

• Les critères de correspondance pour les ” de plage de ports source/de destination TCP/UDP, les ” “ lt et les ” gt ” sont tous gérés dans le matériel à l'aide de “ ressources de de l'opérateur L4.

• Le nombre d'opérandes L4 distinctes est limité à 32 pour l'ensemble de la carte de ligne. Les exploitants de ports sources sont limités à un maximum de six.

Traitement ACL de sortie

Prise en charge native de chemins rapides pour le traitement des listes de contrôle d’accès de sortie de débit de ligne dans l’ASIC de traitement de paquets de chemin de transmission. Pour plus d'informations, reportez-vous à la liste de contrôle d'accès de sortie IPv4 - Line Card Interoperation Matrix.

Commandes spécifiques à la carte de ligne

• hw-module <slot #> tcam compile no-merge

  !—12.0(21)S3

• show-access-list hardware interface <nom de l'interface>

• show cef int pos[x/y] | inc if_number

Directives opérationnelles et interactions avec les cartes de ligne

• Les paquets correspondant aux ACE de journalisation sont traités dans le chemin lent.

• Les paquets correspondant aux ACE de refus (limités pour garantir contre l'interruption du système) sont traités dans le chemin lent.

• Lorsqu’une liste de contrôle d’accès inclut une plage d’adresses, le matériel utilise des entrées de contrôle d’accès spéciales appelées ” de plage de “ qui nécessitent jusqu’à trois entrées de contrôle d’accès.

• La fusion de listes de contrôle d'accès peut conserver les ressources TCAM en partageant des entrées de contrôle d'accès communes sur des listes de contrôle d'accès individuelles. Pour déterminer si une liste de contrôle d’accès est fusionnée, utilisez la commande show-access-list hardware interface.

• Les compteurs de liste de contrôle d’accès ne sont pas pris en charge pour les listes de contrôle d’accès fusionnées. Avec le logiciel Cisco IOS Version 12.0(21)S3 et ultérieure, la fusion des listes de contrôle d'accès peut être désactivée avec la commande hw-module <slot #> tcam compile no-merge. Afin de déterminer si une liste de contrôle d’accès est fusionnée, utilisez la commande show-access-list hardware interface.

• Si NetFlow est configuré sur une carte de ligne Engine 0/1 et qu'une liste de contrôle d'accès de sortie est configurée sur une carte de ligne du moteur de sortie 3 ou 4+, la liste de contrôle d'accès de sortie sera traitée par les cartes de ligne d'entrée et de sortie afin de permettre à NetFlow de comptabiliser les paquets refusés par les listes de contrôle d'accès ainsi que les paquets transférés.

Prise en charge du compteur ACL

            Per-ACE          Per-ACE               Aggregate     
                             (hardware counters)
21S3/ST3                     X
22S                          X                     X
23S         X                X                     X    

Définitions :

• Per-ACE—Prise en charge du logiciel Cisco IOS normal, la commande show access-list <number> sur le RP/LC affiche la liste de contrôle d'accès et le compteur associés à chaque ACE. Elle est disponible uniquement lorsque la fusion est désactivée avant de configurer des listes de contrôle d'accès. Pour ce faire, utilisez la commande de configuration suivante :

  Router(config)#hw-module slot <number> tcam compile acl no-merge
  

  Lorsque cette option est activée, elle désactive certaines optimisations de fusion TCAM et affecte l'évolutivité. L’effet exact dépend des listes de contrôle d’accès individuelles.

  Notez également que les compteurs ne seront pas corrects si le routage basé sur des stratégies est appliqué sur cette interface. Dans ce cas, le compteur agrégé doit être utilisé.

• Per-ACE (TCAM) : compteurs matériels associés à chaque entrée TCAM. Aucune configuration n'est nécessaire et aucune incidence sur les performances/l'évolutivité. Disponible uniquement sur la carte de ligne à l'aide de cette interface de ligne de commande. Ces compteurs ne peuvent pas être effacés par le logiciel.

  LC-Slot4#show contr tofab alpha acl <if-number> vmr2ace
  

  Une nouvelle interface de ligne de commande générique pour cette commande sera disponible dans le logiciel Cisco IOS Version 22S :

  LC-Slot4#show access-list hardware interface p0:1 in
  

  Comme pour le compteur per-ACE, les compteurs TCAM ne sont valides que si PBR n'est pas utilisé sur cette interface avec ACL.

• Aggregate : chaque liste de contrôle d'accès affiche un compteur récapitulatif d'autorisation/de refus. Il s'agit de la somme de tous les compteurs ACE individuels. Aucune configuration n'est nécessaire et aucune incidence sur les performances ou l'évolutivité.

Recommandations

Aucune pour le moment.

Moteur 4 (POS) - Traitement des listes de contrôle d'accès

Aperçu

Le moteur 4 prend en charge cette liste de contrôle d'accès avec le logiciel Cisco IOS Version 12.0(18)S et ultérieure :

• Les listes de contrôle d’accès de sortie sont prises en charge sur les cartes de ligne E0/1/2 si une carte de ligne Engine 4 est la carte d’entrée. Dans cette configuration, la liste de contrôle d’accès de sortie est traitée par le processeur de la carte de ligne de sortie.

Ces cartes de ligne sont basées sur le moteur 4 :

Type de carte de ligne	Type d'interface	Type de moteur	Connectivité
4 OC48c/STM16c	POS	E4
4 OC48c/STM16c	POS	E4	LR
1 OC192c/STM64c	POS	E4	IR
1 OC192c/STM64c	POS	E4	SR
1 OC192c/STM64c	POS	E4	VSR-1
10 GE	SFP	E4

Moteur 4+ (POS et DPT) - Traitement des listes de contrôle d'accès

Aperçu

Le moteur 4+ introduit la fonctionnalité ACL dans la gamme Cisco 10-Gigabit de la gamme 12000.

Jusqu'à 1 024 entrées ACE sont prises en charge dans chaque chemin d'entrée et de sortie. Les listes de contrôle d'accès d'entrée et de sortie sont traitées au débit de ligne pour un maximum de 96 ACE. Les performances des correspondances plus longues varient en fonction de la profondeur de la correspondance.

Ces cartes de ligne POS sont basées sur le moteur 4+ :

Type de carte de ligne	Type d'interface	Connectivité
4 OC48c/STM16c	POS	SR
4 OC48c/STM16c	POS	LR
1 OC192c/STM64c	POS	IR
1 OC192c/STM64c	POS	SR
1 OC192c/STM64c	POS	VSR-1
1 OC192/STM64c	POS	LR
4 OC48c/STM16c	DPT	SFP :
1 OC192c/STM64c	DPT	IR
1 OC192c/STM64c	DPT	SR
1 OC192c/STM64c	DPT	VSR-1
1 OC192c/STM64c	DPT	LR

Critères de correspondance pris en charge

Tous les critères de liste de contrôle d'accès standard et étendue pris en charge par le logiciel Cisco IOS Version 12.0S sont pris en charge dans le chemin rapide, à l'exception des entrées de journal ou de fragment.

Nombre d'ACE pris en charge

Jusqu'à 1 024 ACE sont pris en charge par direction dans le chemin rapide.

Remarque : 1021 des ACE sont configurables. Trois entrées sont réservées aux entrées ACE implicites permit ip any any, deny ip any any any et send to CPU.

Il n'y a pas de limite supérieure au nombre d'ACE pris en charge. Tout ACE au-delà de la limite 1021 est exécuté dans le chemin lent de la carte de ligne.

Traitement ACL de sortie

Les listes de contrôle d’accès de sortie sont traitées dans le chemin rapide côté émission. Pour plus d'informations, reportez-vous à la liste de contrôle d'accès de sortie IPv4 - Line Card Interoperation Matrix.

Commandes spécifiques à la carte de ligne

• show tcam appl [acl-in | acl out] tcam <label-no>

• show tcam appl [acl-in | acl-out] memory <port> <nombre d'entrées>

Directives opérationnelles et interactions avec les cartes de ligne

• Les listes de contrôle d’accès de sous-interface ne sont pas prises en charge.

• Les performances varient en fonction de la profondeur des correspondances.

• Les entrées de plage utilisent deux règles de liste de contrôle d’accès (trois si les deux entrées traversent une frontière).

• Une liste de contrôle d’accès est prise en charge par interface physique.

• Jusqu'à 1 024 ACE (par direction) sont pris en charge dans le chemin rapide.

• Tous les ACE de chemin rapide 1024 peuvent être partagés entre les ports.

• Les ACE qui utilisent le mot clé fragment sont filtrées dans le chemin lent.

• Les paquets refusés ne sont pas comptés pour les ACE traités dans le chemin lent.

• Si NetFlow est configuré sur une carte de ligne Engine 0 et qu'une liste de contrôle d'accès de sortie est configurée sur une carte de ligne du moteur de sortie 3 ou 4+, la liste de contrôle d'accès de sortie sera traitée par les cartes de ligne d'entrée et de sortie pour permettre à NetFlow de comptabiliser les paquets refusés par les listes de contrôle d'accès ainsi que les paquets transférés.

Recommandations

Aucune pour le moment.

Moteur 4+ (Ethernet) - Traitement des listes de contrôle d'accès

Aperçu

Les cartes de ligne Ethernet 4+ du moteur introduisent la fonctionnalité ACL d'entrée par VLAN dans le matériel de la gamme Cisco 12000 10-Gigabit Ethernet. Voici quelques caractéristiques :

• Les listes de contrôle d’accès d’entrée et de sortie peuvent être appliquées simultanément sur un seul port sans impact sur les performances.

• Les listes de contrôle d’accès peuvent être appliquées par VLAN ou par port.

• Les performances des listes de contrôle d’accès d’entrée (ACL) jusqu’à 15 000 entrées ne se dégradent pas avec la profondeur de correspondance.

• Les listes de contrôle d’accès de sortie sont traitées au débit de ligne pour un maximum de 96 ACE. Les performances des correspondances plus longues varient en fonction de la profondeur de la correspondance.

Ces cartes de ligne Ethernet sont basées sur le moteur 4+ :

Type de carte de ligne	Type d'interface	Type de moteur
10xGE Rev B (« X-B »)	SFP :	E4+
Modulaire	SFP :	E4+
1 x 10 GE	10 G	E4+
1 x 10 GE	10 G	E4+

Critères de correspondance pris en charge

Tous les critères de liste de contrôle d'accès standard et étendue pris en charge par le logiciel Cisco IOS Version 12.0S sont pris en charge dans le chemin rapide, à l'exception des entrées de journal ou de fragment.

Nombre d'ACE pris en charge

• Jusqu'à 15 000 listes de contrôle d'accès d'entrée pouvant être configurées par port ou par VLAN.

• 1024 entrées ACE de sortie par carte pouvant être appliquées par port.

  Remarque : 1021 des ACE sont configurables. Trois entrées sont réservées aux entrées ACE implicites permit ip any any, deny ip any any any et send to CPU.

Traitement ACL de sortie

Les listes de contrôle d’accès de sortie sont traitées nativement dans le chemin rapide côté émission. Pour plus d'informations, reportez-vous à la liste de contrôle d'accès de sortie IPv4 - Line Card Interoperation Matrix.

Commandes spécifiques à la carte de ligne

• hw-module slot <number> ip acl merge

Directives opérationnelles et interactions avec les cartes de ligne

• Les ACE qui contiennent le mot clé fragment sont traités dans le chemin lent.

• Les compteurs de liste de contrôle d’accès ne sont pas pris en charge pour les listes de contrôle d’accès combinées à d’autres fonctionnalités.

• Les compteurs de liste de contrôle d’accès ne sont pas pris en charge pour les listes de contrôle d’accès fusionnées. Les listes de contrôle d’accès fusionnées peuvent être configurées à l’aide de la commande hw-module slot <slot number> ip acl merge.

• Jusqu'à 168 opérations de couche 4 sont prises en charge par carte de ligne. Une fois cette valeur dépassée, la liste de contrôle d’accès est exécutée dans le chemin lent.

• Si une carte de ligne du moteur 1 a échantillonné NetFlow activé et qu'une liste de contrôle d'accès de sortie est activée sur une carte de ligne du moteur de sortie 3 ou 4+, la liste de contrôle d'accès de sortie est traitée par les cartes de ligne d'entrée et de sortie afin de permettre à NetFlow de comptabiliser les paquets refusés par les listes de contrôle d'accès ainsi que les paquets transférés.

Recommandations

Aucune pour le moment.

Journalisation ACL

Avant la version 12.0(21)S du logiciel Cisco IOS, les informations de journalisation des listes de contrôle d'accès étaient envoyées au RP exclusivement via le bus de maintenance (MBUS). Lors de niveaux élevés d'activité de journalisation des listes de contrôle d'accès, il était possible de dépasser la capacité du MBUS. Le logiciel Cisco IOS Version 12.0(21)S introduit plusieurs optimisations qui empêchent ce scénario.

Les situations de surcharge MBUS sont signalées par le logiciel Cisco IOS avec les messages d'erreur suivants :

LCLOG-3-INVSTATE

MBUS_SYS-3-SEQUENCE

Avec le logiciel Cisco IOS Version 12.0(21)S et ultérieure, les messages de journalisation de gravité élevée (gravité 0-4) sont transmis au RP via le MBUS, tandis que les messages de journalisation de gravité inférieure (gravité 5-7) sont transmis au RP via le fabric de commutation de capacité supérieure. Les messages du journal des listes de contrôle d'accès sont de grande gravité, et sont donc maintenant transmis au RP via la matrice de commutation.

Cette fonctionnalité de journalisation supplémentaire peut être configurée à l'aide des commandes suivantes :

• logging method mbus [gravité] : détermine quels messages, par gravité, seront envoyés au RP à l'aide du MBUS. Les messages de gravité supérieure seront envoyés via la matrice de commutation.

• show logging method : affiche la méthode de journalisation actuelle pour tous les niveaux de gravité des messages.

• logging sequence-number - Cette commande active la carte de ligne d'envoi pour séquencer les messages du journal de numéros de séquence afin que les messages puissent être correctement réordonnés par le RP. Sans cette commande, les messages du journal peuvent être remis au RP dans l'ordre non séquentiel.

Liste de contrôle d'accès de sortie IPv4 - Matrice d'interopérabilité des cartes de ligne

Avant l'introduction du traitement des listes de contrôle d'accès de sortie avec la version des moteurs 3 et 4+, les listes de contrôle d'accès de sortie étaient traitées par la carte de ligne d'entrée. Les listes de contrôle d'accès de sortie ont été mises à jour pour tirer parti des capacités de traitement des listes de contrôle d'accès de sortie hautes performances des moteurs 3 et 4+.

Ce tableau fournit un résumé de l'emplacement de traitement des listes de contrôle d'accès de sortie pour différentes combinaisons de cartes de ligne :

	Carte de ligne de sortie
Carte de ligne d’entrée (ACL de sortie appliquée à l’interface membre)	E0	E1	E2	E3	E4	E4+
E0	Entrée	Entrée	Entrée	Sortie	S/O	Sortie
E1	Entrée	Entrée	Entrée	Sortie	S/O	Sortie
E2	Entrée	Entrée	Entrée	Sortie	S/O	Sortie
E3	Sortie	Sortie	Sortie	Sortie	S/O	Sortie
E4	Sortie	Sortie	Sortie	Sortie	S/O	Sortie
E4+	Sortie	Sortie	Sortie	Sortie	S/O	Sortie

Prise en charge des listes de contrôle d'accès IPv6

Les listes de contrôle d'accès étendues IPv6 sont prises en charge dans le chemin lent (entrée et sortie) sur E0, E1, E2, E3 et E4+ dans le logiciel Cisco IOS Version 12.0(23)S.

Dans le moteur 3, la fonctionnalité de liste de contrôle d'accès IPv6 est prise en charge dans le matériel du logiciel Cisco IOS Version 12.0(25)S. Les listes de contrôle d’accès sont appliquées à une interface spécifique, avec une instruction de refus implicite à la fin de chaque liste d’accès. Les listes de contrôle d'accès IPv6 sont configurées à l'aide de la commande ipv6 access-list avec les mots clés deny et permit en mode de configuration globale. Les cartes basées sur le moteur 3 prennent en charge le filtrage des en-têtes d'option IPv6 basés sur le trafic, des étiquettes de flux et éventuellement des informations de type de protocole de couche supérieure.

Référence des commandes de la liste de contrôle d’accès Cisco 12000

Commandes du moteur 1

• access-list hardware salsa

• show controller l3 | inclure ASIC

Commandes du moteur 2

• access-list hardware psa limit 128

• no access-list hardware psa

• contournement psa

• show access-list psa detail

• show access-list psa summary

• show controller psa feature

Commandes du moteur 3

• hw-module <slot #> tcam compile no-merge

  !— depuis la version 12.0(21)S3 du logiciel Cisco IOS

• show-access-list hardware interface <nom de l'interface>

• show contra [tofab|frfab] alpha acl <int> vmr2ace

Commandes Engine 4+

• show access-list gen7 label

• show tcam appl [acl-in | acl out] tcam <label-no>

• show tcam appl [acl-in | acl-out] memory <port><nombre d'entrées>

Commandes Ethernet du moteur 4+

• hw-module slot <number> ip acl merge

Glossaire

Cette section fournit des définitions standard des termes pertinents :

• Plans de traitement - Un périphérique réseau peut être logiquement divisé en trois plans de traitement :

  • Plan de données : traitement des paquets transitant par le périphérique réseau.

  • Control Plane : traitement des paquets utilisés pour assembler les périphériques réseau. Cela inclut les protocoles de ligne (tels que le protocole point à point PPP et le contrôle de liaison de données de haut niveau HDLC), les protocoles de routage (Border Gateway Protocol - BGP, Routing Information Protocol version 2 - RIPv2, Open Shortest Path First - OSPF, etc.) et les protocoles de synchronisation (tels que le protocole NTP).

  • Plan de gestion : traitement des paquets utilisés pour gérer les périphériques réseau. Cela inclut Telnet, Secure Shell (SSH), FTP (File Transfer Protocol), TFTP (Trivial File Transfer Protocol), SNMP et d'autres protocoles de gestion.

• Listes de contrôle d’accès standard - Les listes de contrôle d’accès standard filtrent exclusivement au niveau de la couche 3.

• Listes de contrôle d’accès étendues - Les listes de contrôle d’accès IP étendues utilisent les adresses source et de destination pour les opérations de correspondance, ainsi que les informations facultatives sur le type de protocole pour une granularité plus fine du contrôle.

• Listes de contrôle d’accès traitées linéairement : traitées linéairement dans le logiciel. Les performances varient en fonction de la profondeur de correspondance (le nombre d'entrées à vérifier avant de déterminer une correspondance).

• Listes de contrôle d’accès Turbo (compilées) - Les listes de contrôle d’accès Turbo optimisent le traitement des listes de contrôle d’accès logicielles en compilant une liste de contrôle d’accès dans une série de tables de recherche hautement optimisées qui accélèrent le traitement des logiciels. Les performances des listes de contrôle d’accès Turbo ne varient pas en fonction de la profondeur de correspondance.

• Input ACLs : liste de contrôle d'accès appliquée au trafic entrant dans le port auquel elle est appliquée.

• ACL de sortie : une ACL appliquée au trafic sortant du port sur lequel elle est appliquée. À quelques exceptions près, les listes de contrôle d’accès de sortie sont traitées par la carte de ligne d’entrée.

• Receive Path ACL—Receive Path ACLs assure du filtrage du trafic de contrôle destiné au routeur lui-même, comme les mises à jour de routage et les requêtes SNMP.

• Carte de ligne de transfert à deux étapes : cartes de ligne dotées de circuits ASIC de transfert/fonctionnalité sur le chemin d'entrée et de sortie. Cela permet à la carte de ligne d'exécuter des fonctions à la fois sur le flux de paquets d'entrée et de sortie sans pondre les paquets au processeur LC. Il permet également l’utilisation de nouvelles vagues d’algorithmes de transfert à deux étapes dans le Cisco 12000. La carte de ligne Engine 3 est un exemple de carte de ligne de transfert à deux étapes.

• Single Stage Forwarding Line Card : cartes de ligne dotées de circuits ASIC de transfert/fonctionnalité sur le seul chemin d'entrée. Ces cartes de ligne exécutent uniquement le traitement ASIC sur les paquets qui circulent sur le chemin d'entrée. Le trafic de sortie n'est pas traité (simplement transféré), géré par les ASIC d'entrée d'autres LC, ou géré par le processeur LC. Les moteurs 2, 4 et 4+ sont des exemples de cartes de ligne de transfert à un stade.

Informations connexes

• Routeurs Internet de la gamme Cisco 12000
• Support et documentation techniques - Cisco Systems