12000シリーズインターネットルータでのアクセスリストの実装

概要

この文書では、Cisco 12000 シリーズ インターネット ルータでの Access Control List（ACL; アクセス コントロール リスト）のサポートについて説明しています。

前提条件

要件

Ciscoでは、ACLがCiscoルータでどのように動作するかについての基本的な知識があることが推奨されます。

ACLとそのアプリケーションの一般的な情報については、次のドキュメントを参照してください。

• アクセス コントロール リスト:概要とガイドライン

• IP サービスの設定:IPパケットのフィルタ

使用するコンポーネント

このドキュメントの情報は、Cisco 12000シリーズインターネットルータに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Cisco 12000 シリーズ インターネットルータのACL サポートの概要

Cisco 12000シリーズインターネットルータでは、ACLはハードウェア(特定用途向け集積回路(ASIC)、ソフトウェア（ラインカードのCPU）、またはハイブリッド機能としてハードウェアアシスト付きでソフトウェアで処理できます。ACL がハードウェアまたはソフトウェアのどちらで処理されるかは、ACL アプリケーション、ラインカード エンジンのタイプ、および他のラインカードにおける ACL からのインタラクションによって異なります。

Cisco 12000 シリーズのラインカード エンジンには、さまざまな ACL 機能が用意されています。特定のラインカードエンジンのACLサポート情報については、このドキュメントの対応するセクションを参照してください。

注：IPマルチキャストACLは、Cisco IOS®ソフトウェアリリース12.0Sではサポートされていません。IP マルチキャスト境界機能は、マルチキャスト フィルタリングが必要な場合に使用できます。詳細は、『Cisco 12000シリーズエンジン2およびISEラインカードでのファストパスマルチキャスト転送』を参照してください。

ASIC ベースのACLかCPU ベースのACLか

Cisco 12000 では、あらゆる世代の ACL 処理がサポートされています。Cisco 12000でACLを効果的に使用するには、これらの各処理モードがどのように動作し、相互に対話し、サポートしているかを運用上で理解することが不可欠です。

初期の世代のACL処理では、プログラム可能なCPUを使用してACLを処理していました。やがて、パケット/秒（PPS）処理の要件が、新しい CPU の能力を超えるようになりました。ASICは、ルータの転送および機能に対して高いPPSレートを実現するために構築されました。ラインカード(LC)のCPUにロードされたACLは、次にLC ASICにロードされました。ASICは、高いPPSレートを処理するために引き続き即興で処理されます。これらの第2世代のASICは、前世代の先駆的な作業に基づいて構築されており、より多くのASIC機能を提供しています。Cisco 12000は分散ルーティングプラットフォームであるため、さまざまな世代のACL処理の相互作用により、運用上の混乱が生じることがあります。

このドキュメントでは、ASICベースのACL、CPUベースのACL、高速パス、低速パス、ASICパントなどの用語を使用して、ACL処理で何が起こるかを説明しています。次に、これらの用語の説明を示します。

• ASICベースのACL（高速パス）:ACLはASICハードウェアにロードされ、処理されます。ASIC のパフォーマンス エンベロープにより、ACL の深さ、パフォーマンス、およびケイパビリティが決まります。Fast Pathは、ASICベースの処理とLC対応CPUで行われる処理の違いを示すために、パスで使用されています。このドキュメントでは、より一般的なASICベースの用語を使用します。

• CPUベースのACL（低速パス）:ACLは、ラインカードのCPU上でソフトウェアで処理されます。早期生成カード（エンジン0および場合によってはエンジン1）の場合、すべての処理はLC CPUで行われます。ASICベースのLCは、ASICからパントされたパケットに対してACL処理を実行します。低速パスという用語は、以前は、LC の CPU へのパントが ASIC よりもどれだけ低速であるかを示すために使用されていました。このドキュメントでは、より一般的なCPUベースの用語を使用します。

• ASICパント：ASICには厳密なデザインエンベロープがあります。パケットが設計エンベロープを超えた場合、そのパケットは LC をサポートする CPU で処理されるように ASIC からパントされるか、または Route Processor（RP; ルート プロセッサ）に送信されます。ASICベースのACLは、ASICの設計外のパケットをパントします。たとえば、logまたはlog-inputキーワードを持つACEを持つACLです。パケットをログするために必要な情報は ASIC の外部で処理する必要があるため、このパケットは ASIC から LC の CPU に自動的にパントされ、通常の CPU ベースの ACL と同様に処理されます。

注：ACLに一致するmatch文を使用してポリシーベースルーティング(PBR)を設定する場合、ACLは送信元ポートと一致してはなりません。ギガビットスイッチルータ(GSR)は、送信元ポートと一致するACLを持つPBRのハードウェアスイッチングをサポートしていません。プロセススイッチングがトリガーされ、GSRのパフォーマンスが低下します。

コントロールプレーンおよび管理プレーンのフィルタリング

ルータ プロセッサは、Cisco 12000 シリーズの分散アーキテクチャで制御および管理プレーン サービスを提供します。受信パスACL(rACL)は、RPを宛先とする制御および管理トラフィックに対して、単純な分散フィルタリング機能を提供します。これは、分散アーキテクチャの強みを活かしたセキュリティの追加レイヤと論理的に見なすことができます。

IP 受信パスACLの設定

rACLは、Cisco IOS®ソフトウェアリリース12.0(21)S2のメンテナンススロットルの特別免除によって導入されました。Cisco IOSソフトウェアリリース12.0(22)Sで正式にサポートされています。詳細は、『IP受信ACL』を参照してください。

ルータ プロセッサは、Cisco 12000 シリーズの分散アーキテクチャで制御プレーン サービスを提供します。受信ACLは、ルーティングアップデートやSimple Network Management Protocol（SNMP；簡易ネットワーク管理プロトコル）クエリーなど、RP宛ての制御トラフィックに対するフィルタリング機能を提供します。

rACLは、プレーントラフィックの制御と管理に新しい保護を追加するためのマルチフェーズの取り組みのフェーズ1と見なされます。ソフトウェアのアップデートにより、新しいレート制限の強化が追加されています。

ラインカードタイプによるIPv4 ACL サポート

12000 シリーズのラインカードでは、エンジンのタイプごとに異なる ACL 機能を提供しています。このセクションでは、各種ラインカード エンジンの ACL 機能について説明します。特定のラインカードエンジンのACLサポート情報については、このドキュメントの対応するセクションを参照してください。

すべての ACL（ASIC ベースおよび CPU ベース）に関して一般的な特性が、いくつかあります。

• インターフェイスに適用できる ACL は、各方向に対して 1 つだけです。たとえば、インターフェイスPOS 0/0には、入力ACLと出力ACLを1つだけ含めることができます。

• ACL に対するパケットのテストは、一致が見つかると停止します。300エントリの長いACLがアクセスリストエントリ(ACE)#45のパケットと一致する場合、パケットは処理され、ACL処理は停止されます。

• すべての ACL の最後には暗黙的な deny all エントリが存在します。その結果、ACLに一致するものがない場合、パケットはドロップされます。Cisco ACLは、明示的な許可ACLアーキテクチャを使用して作成されます。つまり、パケットを処理して転送するには、パケットと一致するACEが必要です。

• 新しく追加されたACEは、常にACLの最後に追加されます。ACL をアップデートする必要があるたびに、ACL を削除して（no access-list コマンドを使用）、新しい ACL を追加し直すことをお勧めします。

• 先頭以外のIPフラグメントでは、IPヘッダーにレイヤ4プロトコル情報が含まれていないため、先頭以外のフラグメントに対しては、標準の一致基準だけがサポートされます。Cisco ACLがIPフラグメントフィルタリングに準拠する方法の詳細については、「アクセスコントロールリストとIPフラグメント」を参照してください。

• 番号付きACLは、コマンドラインインターフェイス(CLI)で入力するとすぐに処理され、適用されます。 大きなACLでは、RPまたはLCのCPUでCPU使用率が急激に上昇することがあります。

エンジン 0 - ACL 処理

エンジン0は、Cisco 12000用に配布された最初のラインカードです。これは、すべてのCPUベースの処理および転送です。したがって、エンジン0ラインカードはLC CPUでACLを処理します。

次のラインカードは、エンジン0に基づいています。

ラインカードタイプ	インターフェイス タイプ	接続
12 x DS3	同軸	SMB
12 x DS3	同軸	SMB
12 x E3	同軸	SMB
1xCHOC12->DS3		IR
1xCHOC12/STM4->OC3/STM1	POS	IR
4xOC3c/STM1c	POS	SR
4xOC3c/STM1c	POS	LR
4xOC3c/STM1c	POS	MM
1xOC12c/STM4c	POS	IR
1xOC12c/STM4c	POS	MM
6xCT3->DS1		SMB
2xCHOC3/STM1->DS1/E1		IR
4xOC3c/STM1c	ATM	IR
4xOC3c/STM1c	ATM	MM
1xOC12c/STM4c	ATM	IR
1xOC12c/STM4c	ATM	MM

サポートされている一致基準

すべてのCisco IOSソフトウェアリリース12.0S標準、拡張ACL、およびターボACLは、エンジン0でサポートされています。

サポートされるACEの数

ACLサイズは、パフォーマンス要件と使用可能なメモリリソースによってのみ制限されます。

出力 ACL 処理

出力 ACL は、システム内の他のラインカードの入力機能パスで処理されます。出力ACLを他のLCの入力側にプッシュすると、廃棄されるパケットの転送からバックプレーンが保護されます。これは、Cisco 7500 の分散アーキテクチャから継承されている機能です。詳細な説明、理由、および運用ガイドラインについては、『IPv4出力ACL – ラインカードの相互運用マトリックス』を参照してください。

ラインカード固有のコマンド

ありません。

操作に関するガイドラインとラインカード インタラクション

• NetFlowがエンジン0ラインカードに設定され、出力ACLが出力エンジン3または4+ラインカードに設定されている場合、出力ACLは入力と出力の両方のラインカードで処理され、NetFlowがACLによって拒否されたパケットと転送されたパケットを考慮します。

推奨事項

大規模なACLの場合は、エンジン0でターボACLを使用することを推奨します。ターボ ACL では追加のメモリが必要となるため、小さな ACL には小さなリニア ACL を使用する方が効率的です。

エンジン 1 - ACL 処理

概要

エンジン1ラインカードは、エンジン0でのCPUベースの処理と、エンジン2での第一世代のフォワーディング/機能ASICとの間のブリッジです。エンジン1ラインカードは、デフォルトでソフトウェアでACLを処理します。Cisco IOSソフトウェアリリース12.0(10)S以降では、Engine 1はSalsa ASICのバージョン4または5を搭載したカードにハードウェアACLを提供しています（特定のカードが搭載されているSalsaのバージョンは下記の「ラインカードコマンドリファレンス」を参照）。

次のラインカードは、エンジン1に基づいています。

ラインカードタイプ	インターフェイス タイプ	接続
8xFE	(RJ45)	100BaseT
8xFE	(MM)	100BaseF
8xFE	(RJ45)	100BaseT
8xFE	(MM)	100BaseF
1xGE	SX,	GBIC：
1xGE	SX,	GBIC：
2xOC12c/STM4c	DPT	IR
2xOC12c/STM4c	DPT	LR
2xOC12c/STM4 c	DPT	XLR
2xOC12c/STM4c	DPT	MM
2xOC12c/STM4c	DPT	IR
2xOC12c/STM4c	DPT	LR
2cOC12c/STM4c	DPT	XLR
2xOC12c/STM4c	DPT	MM

サポートされている一致基準

Cisco IOSソフトウェアリリース12.0Sでサポートされるすべての標準、拡張、およびターボACLは、LC CPU（低速パス）でサポートされます。 さらに、エンジン1はSalsa ASIC内の入力ACLを処理できます。SALSA ASIC では、ルート ルックアップとともに入力 ACL 処理が行われるため、従来のリニア ACL 処理またはターボ ACL 処理と比較した場合、パフォーマンスが向上することになります。SALSA ASIC では、出力 ACL またはサブインターフェイス ACL の処理はできません。

サポートされるACEの数

ACLサイズは、パフォーマンス要件と使用可能なメモリリソースによってのみ制限されます。

出力 ACL 処理

出力 ACL は、システム内の他のラインカードの入力機能パスで処理されます。詳細は、「IPv4出力ACL – ラインカードの相互運用マトリクス」セクションを参照してください。

ラインカード固有のコマンド

• access-list hardware salsa

• show controller l3 | include ASIC

操作に関するガイドラインとラインカード インタラクション

• Salsa ASIC と PSA ASIC を同時に稼動させることはできません。access-list hardware コマンドは、PSA（Engine 2）または Salsa（Engine 1）のいずれかを受け入れますが、両方は受け入れません。

• エンジン1ラインカードでNetFlowが設定され、出力ACLが出力エンジン3または4+ラインカードで設定されている場合、出力ACLは入力と出力の両方のラインカードで処理され、NetFlowがACLによって拒否されたパケットと転送されたパケットを考慮します。

推奨事項

ハードウェアACLをサポートしていないバージョンのエンジン1ラインカードでは、大規模ACLにターボACLを使用することを推奨します。小さな ACL（20 行未満）は、メモリを節約するために、リニア ACL として実装できます。

エンジン 2 - ACL 処理

概要

Engine 2 は、転送/機能 ASIC が備わった最初のラインカードでした。Cisco IOSソフトウェアリリース12.0(10)S以降では、エンジン2ラインカードは、高性能パケットスイッチングASIC(PSA)にハードウェアACL機能を提供します。 すべての転送/機能ASICと同様に、厳密なパフォーマンスエンベロープはASICの機能に境界を置きます。Engine 2 ACL のキー パフォーマンス エンベロープは、PSA ASIC のメモリ制限によるものです。

エンジン2でのパケット転送は、PSA ASICによって行われます。PSAには3つの主な外部メモリがあります。

• PLU（パスルックアップ）：複数のノードを保存するために使用されます

• TLU(Table Lookup):FIBリーフおよび場合によってはロードバランス構造を保存するために使用されます。また、PSA ACLデータ構造の多くを保持するために使用されます

• SRAM：ロードシェアストラクチャのプライマリロケーション

PSA ACL機能は、ACLチェックのマイクロコードベースの実装です。基本的なACLチェックを可能にする特別な命令セットがPSAチップにロードされます。この機能には、導入する前に慎重に理解しておく必要のある制限がいくつかあります。PSA ACLの主な欠点の1つは、必要な大量のハードウェア転送メモリです。

PSA ACL機能では、プレフィクスの数などに関係なく、PLU/TLUメモリの大きなブロックを事前に割り当てる必要があります。この割り当ては主にTLUエリアから行われるため、PSA ACLが設定されている場合にこれらのカードで維持できるルートの数に大きな影響を与えます。

PLU/TLUメモリの初期出力に加えて、TLUメモリに格納される各プレフィクスには、より多くのメモリが必要です。各プレフィクスに必要なメモリ量は、適用されるACLの方向（入力と出力）とラインカードタイプによって異なります。一般に、出力ACLは入力よりも多くのメモリを必要とし、物理ポートが多いラインカードは少ないポートよりも多くのメモリを必要とします。

エンジン2ラインカードがACLを使用しない場合、ACLのデータ構造は、実際に設定されているACLに関係なく構築されます。より小さい非ACL構造に変更するには、ルータでno access-list hardware psaを設定する必要があります。このコマンドは、すべてのEngine2ラインカードのすべての方向のACL処理を無効にします。シスコでは、これらを慎重に使用することを推奨しています。

概要

照合深度に依存しないACL処理パフォーマンスを提供するために、エンジン2 ACLはハードウェア転送テーブルに統合されます。これがプレフィックスのスケーラビリティに与える影響については、次の説明を参照してください。

次のラインカードは、エンジン2に基づいています。

ラインカードタイプ	インターフェイス タイプ	接続
1xOC48c/STM16c	POS	SR
1xOC48c/STM16c	POS	LR
1xOC48c/STM16c	POS	SR
1xOC48c/STM16c	POS	LR
1xOC192c/STM64c	実現要因	SR
16xOC3c/STM1c	POS	IR
16xOC3c/STM1c	POS	MM
4xOC12c/STM4c	POS	IR
4xOC12c/STM4c	POS	MM
4xOC12c/STM4c	POS	IR
4xOC12c/STM4c	POS	MM
4xOC12c/STM4c	ATM	IR
4xOC12c/STM4c	ATM	MM
8xOC3cSTM1c	ATM/TS	IR
8xOC3c/STM1c	ATM/TS	MM
3xGE	SX	GBIC：
3xGE	CWDM	GBIC：
1xOC48c/STM16c	DPT	SR
1xOC48c/STM16c	DPT	LR
1xOC48c/STM16c	DPT	SR
1xOC48c/STM16c	DPT	LR

サポートされている一致基準

すべてのCisco IOSソフトウェアリリース12.0Sが、レイヤ4送信元ポートを除き、標準および拡張ACL一致基準をサポートしています。不連続マスク、IP優先順位フィールド、およびレイヤ4送信元ポートは、PSA ASICからパントされ、LC CPUで処理されます。

サポートされるACEの数

PSA で最大 5 個の 448 行の入力 ACL。ポートごとに1つのACLを設定できます。追加のACLは、ラインカードのCPUによって管理されます。出力ACLの制限については、次の「制限」セクションを参照してください。

出力 ACL 処理

このラインカードに設定された出力ACLは、システム内の他のラインカードの入力機能パスで実行されます。詳細は、『IPv4出力ACL – ラインカードの相互運用マトリクス』を参照してください。

ラインカード固有のコマンド

• access-list hardware psa limit 128

• no access-list hardware psa

• psa bypass

• show access-list psa detail

• show access-list psa summary

• show controller psa feature

操作に関するガイドラインとラインカード インタラクション

• ファストパスACL処理では、次の条件を満たす必要があります。

  • 適用される ACL は、128 または 448 ACE の制限内である。

    • access-list hardware psa limit 128コマンドが設定されている場合、長さは128 ACE未満である必要があります。

    • 448 行の ACL マイクロコード バンドルが必要な場合、長さは 448 ACE 分未満である必要がある。

  • 入出力ACLは、カードごとに一緒に設定されません。

  • ルータ上で出力 ACL を最大で 5 つ設定できる。

• 8 ポートおよび 16 ポートの OC-3/STM-1 POS ラインカードでサポートされているのは、128 行の ACL だけです。448 行の ACL は、4 ポートの OC-12/STM-4 POS、1 ポートの OC-48/STM-16 POS、および 3 ポートのギガビット イーサネットの各ラインカードでサポートされています。

• 入力ACLは、同じカード上で同時に設定されている場合（出力ACLは低速パスで処理される）、出力ACLよりも高速パスで優先されます。

• 出力ACLがエンジン2カードに設定されていて、入力ラインカードがエンジン0/1/2/4の場合、出力ACLは入力カードで処理されます。他のエンジンタイプでは、出力ACLはエンジン2の出力スローパスで処理されます。

• 出力ACLは、IP-to-MPLSトラフィック（最初のMPLSラベルがIPパケットに「プッシュ」される）ではサポートされません。

• ACL処理情報はハードウェアFIBに統合され、プレフィクスのスケーラビリティに影響を与える可能性があります。プレフィックスメモリの枯渇は、メモリ割り当ての失敗によって報告されます。その際、添付のログメッセージに「exmem=1」シグニチャが含まれています。

推奨事項

• ACL処理情報はCEF転送テーブルに統合されるため、プレフィクスのスケーラビリティが低下します。ACLを使用しないアプリケーションは、CEFテーブルでACLサポートを無効にし、no access-list hardware psaコマンドを発行して使用可能なプレフィックスメモリを増やすことができます。

• no access-list hardware psaコマンドを設定すると、ACLのPSAサポートが無効になるだけでなく、エンジン2カードによるすべてのACL処理が無効になります。ACLのソフトウェア実行は強制されません。出力ラインカードで出力 ACL が設定されている場合にも、この条件があてはまります。

• access-list hardware psaコマンドの後にaccess-list compiledコマンドを設定すると、PSAの容量を超えるACEがターボACLに変換されます。最適な ACL パフォーマンスが得られます。

  • デフォルトの ACL マイクロコードは 128 です（Cisco IOS ソフトウェア リリース 12.0(14)S/ST 以降）。 より小さいACLが使用されていて、448回線機能が必要ない場合は、access-list hardware psa limit 128コマンドを設定すると、転送(TLU)メモリが節約され、プレフィクスのスケーラビリティが向上します。

  • ターボACLの処理は、129行を超えるACLに対してaccess-list compiledコマンドとaccess-list hardware psa limit 128コマンドを使用して有効にする必要があります。この組み合わせでは、PSA ASICの最初の128行とターボACLの残りの行が処理されます。これにより、転送メモリを節約しながらパフォーマンスが最適化されます。

• 4ポートOC12 ATMラインカードは入力ACLをサポートしませんが、マイクロコードで出力ACLを検出するため、低速パスでの出力ACLの処理が可能になります。

• 8xOC3 ATMラインカードは、Cisco IOSソフトウェアリリース12.0(23)S以降で、vc単位の128回線ACLをサポートしています。最大16個の個別の入力ACLを高速パスで設定できます。448 入力 ACL は、低速パスだけで VC 単位でサポートされています。出力 ACL はサポートされていません。

ISE (IPサービス エンジン) エンジン3 - ACL 処理

概要

Engine 3 は、最初のデュアル ステージ転送ラインカードです。Engine 3 では、入力と出力パスに転送/機能 ASIC が備わっています。これにより、入力パスと出力パスの両方で ASIC に ACL を配置できます。また、エンジン3 ASIC構造はハイブリッドパイプライン/パラレルアレイです。ASIC構造は、パラレル高速Ternary Content Addressable Memory(TCAM)でACL処理を実装します。これにより、入力あたり最大20 K ACE、出力あたり最大20 K ACEのラインレート処理が提供されます。

次のラインカードは、エンジン3に基づいています。

ラインカードタイプ	インターフェイス タイプ	接続
4xOC12c/STM4c	POS	IR
4xOC12c/STM4c	POS	MM
4xCHOC12/STM4->OC3/STM1->DS3/E3	POS	IR
16xOC3c/STM1c	POS	IR
16xOC3c/STM1c	POS	MM
8xOC3/STM1c	POS	IR
8xOC3c/STM1c	POS	MM
4xOC3c/STM1c	POS	IR
4xOC3c/STM1c	POS	MM
4xOC3c/STM1c	POS	LR
1xOC48c/STM16c	POS	SR
1xOC48c/STM16c	POS	LR
1xCHOC48/STM16->STM4->OC3/STM1->DS3/E3	POS	SR
4xOC12c/STM4c	ATM/IP	IR
4xOC12c/STM4c	ATM/IP	MM
4xGE	GE
4xOC12c/STM4c	DPT	IR
4xOC12c/STM4c	DPT	XLR

サポートされている一致基準

ラインカードのCPUで処理されるログACEを除き、すべてのCisco IOSソフトウェアリリース12.0S標準および拡張一致基準が高速パスでサポートされます。

サポートされるACEの数

• ポート単位、VLAN単位、フレームリレーサブインターフェイス単位、およびATMサブインターフェイス単位で、入力方向と出力方向の両方でのラインレート処理。各方向および各カードにつき最大 20,000 の拡張 ACE がサポートされています。

• TCP/UDP送信元/宛先ポートの照合基準は、「範囲」、「lt」、「gt」はすべて「L4オペレータ」リソースを使用してハードウェアで処理されます。

• 個別の L4 オペランドの数は、ラインカード全体で 32 に制限されています。送信元ポートのオペレータは、最大 6 に制限されています。

出力 ACL 処理

送信パスパケット処理ASICでのラインレート出力ACL処理のネイティブ高速パスのサポート。詳細は、『IPv4出力ACL – ラインカードの相互運用マトリクス』を参照してください。

ラインカード固有のコマンド

• hw-module <slot # > tcam compile no-merge

  !—12.0(21)S3

• show-access-list hardware interface <interface name>

• show cef int pos[x/y] | inc if_number

操作に関するガイドラインとラインカード インタラクション

• ロギング ACE に照合するパケットは、低速パスで処理されます。

• 拒否 ACE に照合するパケット（システムが中断しないように制限されています）は、低速パスで処理されます。

• ACLにアドレスの範囲が含まれている場合、ハードウェアは最大3つのACEを必要とする「範囲ACE」と呼ばれる特別なACEを使用します。

• ACLマージは、個々のACL間で共通のACEを共有することで、TCAMリソースを節約できます。ACL がマージされているかどうかを判別するには、show-access-list hardware interface コマンドを使用します。

• マージされたACLでは、ACLカウンタはサポートされません。Cisco IOSソフトウェアリリース12.0(21)S3以降では、hw-module <slot #> tcam compile no-mergeコマンドを使用してACLマージを無効にすることができます。ACLがマージされているかどうかを確認するには、show-access-list hardware interfaceコマンドを使用します。

• NetFlowがエンジン0/1ラインカードに設定され、出力ACLが出力エンジン3または4+ラインカードに設定されている場合、出力ACLは入力ラインカードと出力ラインカードの両方で処理され、NetFlowはACLによって拒否されたパケットと転送パケットをします。

ACLカウンタのサポート

            Per-ACE          Per-ACE               Aggregate     
                             (hardware counters)
21S3/ST3                     X
22S                          X                     X
23S         X                X                     X    

定義：

• ACEごと：通常のCisco IOSソフトウェアのサポートでは、RP/LCでshow access-list <number>コマンドを実行すると、各ACEに関連付けられたACLとカウンタが表示されます。これは、ACLを設定する前にマージが無効になっている場合にのみ使用できます。これを行うには、次の設定コマンドを使用します。

  Router(config)#hw-module slot <number> tcam compile acl no-merge
  

  このオプションを有効にすると、一部のTCAMマージ最適化がオフになり、スケーラビリティに影響します。実際の影響は、個々の ACL によって異なります。

  また、ポリシーベースルーティングがそのインターフェイスに適用されている場合は、カウンタが正しくないことにも注意してください。この場合、集約カウンタを使用する必要があります。

• Per-ACE(TCAM)：各TCAMエントリに関連付けられたハードウェアカウンタ。設定は必要なく、パフォーマンスやスケーラビリティに影響はありません。このCLIを使用してラインカードでのみ使用可能。これらのカウンタは、ソフトウェアではクリアできません。

  LC-Slot4#show contr tofab alpha acl <if-number> vmr2ace
  

  このコマンドの新しい汎用CLIは、Cisco IOSソフトウェアリリース22Sで使用できます。

  LC-Slot4#show access-list hardware interface p0:1 in
  

  ACEごとのカウンタと同様に、TCAMカウンタは、ACLを持つインターフェイスでPBRが使用されていない場合にのみ有効です。

• 集約：各ACLには、集約の許可/拒否カウンタが表示されます。これは、個々の ACE カウンタすべての合計です。設定は必要なく、パフォーマンスやスケーラビリティに影響はありません。

推奨事項

現時点ではありません。

エンジン 4 (POS) - ACL 処理

概要

エンジン4は、Cisco IOSソフトウェアリリース12.0(18)S以降でこのACLをサポートします。

• Engine 4 ラインカードが入力カードである場合、出力 ACL は E0/1/2 ラインカードでサポートされています。この設定では、出力ACLは出力ラインカードのCPUによって処理されます。

次のラインカードは、エンジン4に基づいています。

ラインカードタイプ	インターフェイス タイプ	エンジンタイプ	接続
4xOC48c/STM16c	POS	E4
4xOC48c/STM16c	POS	E4	LR
1xOC192c/STM64c	POS	E4	IR
1xOC192c/STM64c	POS	E4	SR
1xOC192c/STM64c	POS	E4	VSR-1
10xGE	SFP	E4

エンジン 4+ (POS およびDPT) - ACL 処理

概要

Engine 4+では、Cisco 12000シリーズ10ギガビットポートフォリオにACL機能が導入されています。

入出力それぞれのパスで、ACE が最大 1024 サポートされています。入力ACLと出力ACLの両方が、最大96のACEのラインレートで処理されます。さらに長い一致でのパフォーマンスは、照合深度によって異なります。

次のPOSラインカードは、エンジン4+に基づいています。

ラインカードタイプ	インターフェイス タイプ	接続
4xOC48c/STM16c	POS	SR
4xOC48c/STM16c	POS	LR
1xOC192c/STM64c	POS	IR
1xOC192c/STM64c	POS	SR
1xOC192c/STM64c	POS	VSR-1
1xOC192/STM64c	POS	LR
4xOC48c/STM16c	DPT	SFP：
1xOC192c/STM64c	DPT	IR
1xOC192c/STM64c	DPT	SR
1xOC192c/STM64c	DPT	VSR-1
1xOC192c/STM64c	DPT	LR

サポートされている一致基準

Cisco IOSソフトウェアリリース12.0Sでサポートされているすべての標準ACL基準と拡張ACL基準は、ログまたはフラグメントACEを除き、高速パスでサポートされます。

サポートされるACEの数

最大 1024 の ACE（1 方向あたり）が、高速パスでサポートされています。

注：ACEの1021は設定可能です。ACEの暗黙のpermit ip any anyコマンドとdeny ip any anyコマンドおよびsend to CPUコマンド用に3つのエントリが予約されています。

サポートされる ACE の数に上限はありません。1021の制限を超えるACEは、ラインカードの低速パスで実行されます。

出力 ACL 処理

出力 ACL は、送信側の高速パスで処理されます。詳細は、『IPv4出力ACL – ラインカードの相互運用マトリクス』を参照してください。

ラインカード固有のコマンド

• show tcam appl [acl-in | acl-out] tcam <label-no>

• show tcam appl [acl-in | acl-out] memory <port> <number of entries>

操作に関するガイドラインとラインカード インタラクション

• サブインターフェイス ACL はサポートされていません。

• パフォーマンスは、照合深度によって異なります。

• 範囲エントリでは、2 つの ACL ルール（2 個のエントリが境界をまたがる場合は 3 つの ACL ルール）が使用されます。

• 物理インターフェイスごとに ACL が 1 つサポートされています。

• 最大 1024 の ACE（1 方向あたり）が、高速パスでサポートされています。

• 任意の1024高速パスACEをポート間で共有できます。

• fragmentキーワードを使用するACEは、低速パスでフィルタリングされます。

• 拒否されたパケットは、低速パスで処理されるACEにはカウントされません。

• エンジン0ラインカードでNetFlowが設定され、出力ACLが出力エンジン3または4+ラインカードで設定されている場合、出力ACLは入力と出力の両方のラインカードで処理され、ACLによって拒否されたパケットと転送されたパケットがNetFlowでで処理されます。

推奨事項

現時点ではありません。

エンジン 4+ (イーサネット) - ACL 処理

概要

エンジン4+イーサネットラインカードは、Cisco 12000 10ギガビットイーサネットポートフォリオにハードウェアでVLAN単位の入力ACL機能を導入します。次に特徴をいくつか示します。

• 入出力ACLは、パフォーマンスに影響を与えることなく、単一のポートに同時に適用できます。

• ACLは、VLANごとまたはポートごとに適用できます。

• 最大15K ACEまでの入力ACLパフォーマンスは、照合深度によって低下しません。

• 出力 ACL は、最大 96 の ACE に対してライン レートで処理されます。さらに長い一致でのパフォーマンスは、照合深度によって異なります。

次のイーサネットラインカードは、Engine 4+に基づいています。

ラインカードタイプ	インターフェイス タイプ	エンジンタイプ
10xGE Rev B ("X-B")	SFP：	E4+
モジュール	SFP：	E4+
1x10GE	10G	E4+
1x10GE	10G	E4+

サポートされている一致基準

Cisco IOSソフトウェアリリース12.0Sでサポートされているすべての標準ACL基準と拡張ACL基準は、ログまたはフラグメントACEを除き、高速パスでサポートされます。

サポートされるACEの数

• 最大15,000の入力ACLをポート単位またはVLAN単位で設定できます。

• 1024の出力ACEは、カードごとにポート単位で適用できます。

  注：ACEの1021は設定可能です。ACEの暗黙のpermit ip any anyコマンドとdeny ip any anyコマンドおよびsend to CPUコマンド用に3つのエントリが予約されています。

出力 ACL 処理

出力 ACL は、送信側の高速パスでネイティブに処理されます。詳細は、『IPv4出力ACL – ラインカード相互運用マトリックス』を参照してください。

ラインカード固有のコマンド

• hw-module slot <number> ip acl merge

操作に関するガイドラインとラインカード インタラクション

• fragmentキーワードを含むACEは、低速パスで処理されます。

• ACLカウンタは、他の機能と組み合わされたACLではサポートされません。

• マージされたACLでは、ACLカウンタはサポートされません。マージされたACLは、hw-module slot <slot number> ip acl mergeコマンドで設定できます。

• ラインカードあたり最大 168 の L4 操作がサポートされています。これを超えると、ACLは低速パスで実行されます。

• エンジン1ラインカードでNetFlowがサンプリングされ、出力ACLが出力エンジン3または4+ラインカードで有効になっている場合、出力ACLは入力と出力の両方のラインカードで処理され、ACLによって拒否されたパケットと転送されたパケットがNetFlowでで可能になります。

推奨事項

現時点ではありません。

ACL ロギング

Cisco IOSソフトウェアリリース12.0(21)S以前では、ACLロギング情報はメンテナンスバス(MBUS)を介してのみRPに送信されていました。 高レベルのACLロギングアクティビティでは、MBUSのキャパシティを超えることが可能でした。Cisco IOSソフトウェアリリース12.0(21)Sでは、このシナリオを妨げるいくつかの最適化が導入されています。

MBUSオーバーロードの状況は、次のエラーメッセージとともにCisco IOSソフトウェアによって報告されます。

LCLOG-3-INVSTATE

MBUS_SYS-3-SEQUENCE

Cisco IOSソフトウェアリリース12.0(21)S以降では、高重大度（重大度0 ～ 4）のロギングメッセージはMBUSを通じてRPに配信され、低重大度（重大度5 ～ 7）のログメッセージは高容量スイッチングファブリックを通じてRPに配信されます。ACLログメッセージの重大度は高いため、スイッチングファブリックを介してRPに配信されます。

追加されたロギング機能は、次のコマンドを使用して設定できます。

• logging method mbus [severity]:MBUSを使用してRPに送信するメッセージを重大度ごとに決定します。重大度の高いメッセージは、スイッチファブリックを通じて送信されます。

• show logging method：すべてのメッセージ重大度レベルの現在のロギング方法を表示します。

• logging sequence-nums：このコマンドを使用すると、送信側のラインカードでログメッセージのシーケンス番号を設定できるようになり、RPによってメッセージが正しく並べ替えられます。このコマンドを使用しないと、RPに連続しない順序でログメッセージを配信できます。

IPv4 出力ACL - ラインカード相互運用マトリックス

エンジン3およびエンジン4+のリリースで出力ACL処理が導入される前は、出力ACLは入力ラインカードによって処理されていました。出力 ACL は、高性能な Engine 3 および Engine 4+ の出力 ACL 処理機能を利用できるようにアップデートされています。

次の表に、出力ACLがラインカードのさまざまな組み合わせで処理される場所の概要を示します。

	出力ラインカード
入力ラインカード（メンバーインターフェイスに適用される出力ACL）	E0	E1	E2	E3	E4	E4+
E0	入力	入力	入力	出力	該当なし	出力
E1	入力	入力	入力	出力	該当なし	出力
E2	入力	入力	入力	出力	該当なし	出力
E3	出力	出力	出力	出力	該当なし	出力
E4	出力	出力	出力	出力	該当なし	出力
E4+	出力	出力	出力	出力	該当なし	出力

IPv6 ACL サポート

IPv6拡張ACLは、Cisco IOSソフトウェアリリース12.0(23)SのE0、E1、E2、E3、およびE4+の低速パス（入力および出力）でサポートされます。

エンジン3では、IPv6 ACL機能は、Cisco IOSソフトウェアリリース12.0(25)Sのハードウェアでサポートされています。ACLは特定のインターフェイスに適用され、各アクセスリストの最後に暗黙のdeny文が付けられます。IPv6 ACLは、グローバルコンフィギュレーションモードでipv6 access-listコマンドとdenyおよびpermitキーワードを使用して設定します。エンジン3ベースのカードは、トラフィックベースのIPv6オプションヘッダー、フローラベル、およびオプションで上位層プロトコルタイプ情報のフィルタリングをサポートします。

Cisco 12000 ACL コマンドレファレンス

エンジン1コマンド

• access-list hardware salsa

• show controller l3 | include ASIC

エンジン2コマンド

• access-list hardware psa limit 128

• no access-list hardware psa

• psa bypass

• show access-list psa detail

• show access-list psa summary

• show controller psa feature

エンジン3コマンド

• hw-module <slot # > tcam compile no-merge

  !— Cisco IOSソフトウェアリリース12.0(21)S3以降

• show-access-list hardware interface <interface name>

• show contr [tofab|frfab] alpha acl <int> vmr2ace

Engine 4+コマンド

• show access-list gen7 label

• show tcam appl [acl-in | acl-out] tcam <label-no>

• show tcam appl [acl-in | acl-out] memory <port><number of entries>

Engine 4+イーサネットコマンド

• hw-module slot <number> ip acl merge

用語集

このセクションでは、関連用語の標準的な定義を示します。

• 処理プレーン：ネットワークデバイスは、次の3つの処理プレーンに論理的に分割できます。

  • データプレーン：ネットワークデバイスを通過するパケットの処理。

  • コントロールプレーン：ネットワークデバイスを接着するために使用されるパケットの処理。これには、回線プロトコル（Point-to-Point Protocol - PPP、High-Level Data Link Control - HDLC など）、ルーティング プロトコル（Border Gateway Protocol - BGP、Routing Information Protocol version 2 - RIPv2、Open Shortest Path First - OSPF など）、およびタイミング プロトコル（Network Time Protocol - NTP）が含まれます。

  • 管理プレーン：ネットワークデバイスの管理に使用されるパケットの処理。これには、telnet、セキュアシェル(SSH)、ファイル転送プロトコル(FTP)、トリビアルファイル転送プロトコル(TFTP)、SNMP、およびその他の管理プロトコルが含まれます。

• 標準ACL：標準ACLはレイヤ3でのみフィルタリングします。

• 拡張ACL：拡張IPアクセスリストは、マッチング処理に送信元アドレスと宛先アドレスを使用し、オプションのプロトコルタイプ情報を使用して、より詳細な制御を行います。

• Linear Processed ACLs：ソフトウェアで直線的に処理されます。パフォーマンスは、照合深度（一致が決定される前にチェックする必要があるエントリの数）によって異なります。

• ターボACL（コンパイル）：ターボACLは、ソフトウェア処理を高速化する高度に最適化された一連のルックアップテーブルにACLをコンパイルすることによって、ソフトウェアACL処理を最適化します。ターボ ACL のパフォーマンスは、照合深度には左右されません。

• 入力ACL：適用されるポートに着信するトラフィックに適用されるACL。

• 出力ACL：適用されるポートから出るトラフィックに適用されるACL。出力 ACL は入力ラインカードで処理されます（ただし、例外はあります）。

• 受信パスACL：受信パスACLは、ルーティングアップデートやSNMPクエリーなど、ルータ自体を宛先とする制御トラフィックのフィルタリングを提供します。

• デュアルステージフォワーディングラインカード：入力パスと出力パスの両方にフォワーディング/機能ASICを備えたラインカード。これにより、ラインカードは、パケットをLC CPUにパントすることなく、入力パケットフローと出力パケットフローの両方の機能を実行できます。また、Cisco 12000内でデュアルステージ転送アルゴリズムの新しい波を使用することもできます。Engine 3ラインカードは、デュアルステージ転送ラインカードの一例です。

• Single Stage Forwarding Line Card（SFC；シングルステージ転送ラインカード）：入力パス上に転送/機能ASICがあるラインカード。これらのラインカードは、入力パスを流れるパケットに対してのみASICベースの処理を実行します。出力トラフィックは、処理されない（転送されるだけ）、他のLCの入力ASICによって処理される、またはLC CPUによって管理されます。エンジン2、エンジン4、およびエンジン4+は、シングルステージフォワーディングラインカードの例です。

関連情報

• Cisco 12000 シリーズ インターネット ルータ
• テクニカル サポートとドキュメント – Cisco Systems