この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
ACL ロギング機能を使用すれば、ACL フローをモニタして、インターフェイス上でドロップされたパケットをログに記録することができます。
ACL ロギング機能が設定されている場合は、システムが ACL フローをモニタして、ACL エントリの拒否条件と一致するフローごとにドロップされたパケットと統計情報をログに記録します。
統計情報とドロップされたパケットのログはフローごとに生成されます。 フローは、送信元インターフェイス、プロトコル、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、およひ宛先ポート値によって定義されます。 一致したフローに関して保持される統計情報は、指定された時間間隔における ACL エントリ別のフローの拒否数です。
新しいフロー(つまり、システム上でまだアクティブになっていないフロー)が拒否されると、システムは 1 のヒット カウント値で最初の Syslog メッセージを生成します。 その後は、フローが拒否されるたびに、システムはフロー エントリを作成して、ヒット カウント値をインクリメントします。
既存のフローが拒否されると、システムは各間隔の終わりに Syslog メッセージを生成して、そのときの間隔のフローに関するヒット カウント値を報告します。 Syslog メッセージの生成後は、フローのヒット カウント値が次の間隔用に 0 にリセットされます。 間隔中にヒットが記録されなかった場合は、フローが削除され、Syslog メッセージが生成されません。
ACL ロギングには次の設定上の注意事項と制約事項があります。
システムは、拒否 ACE 条件と一致するパケットのみをログに記録します。 許可 ACE 条件に関するロギングはサポートされません。
ロギング オプションはすべての ACL 拒否エントリに適用されます。 ロギング オプションを暗黙的に拒否されたトラフィックに適用するには、特定の全拒否 ACL エントリ用にロギング オプションを設定する必要があります。
ACL ロギングは、ipv6 port traffic-filter コマンドによって設定されたポート ACL(PACL)と、ipv6 traffic-filter コマンドのみによって設定されたルーテッド ACL(RACL)に適用されます。
フローと拒否フローの総数は、DoS 攻撃を避けるために、ユーザ定義の最大値に制限されます。 この制限に到達すると、既存のフローが終了するまで新しいログが作成されません。
システムは、ハッシュ テーブルを使用してフローを特定することにより、CPU 使用率に影響を与えることなく大量のフローをサポートできるようにします。 また、システムは、タイマー キューを使用して大量のフローのエージングを管理します。
ACL ロギング プロセスによって生成される Syslog エントリの数は、ACL ロギング プロセスに設定されたロギング レベルによって制限されます。 Syslog エントリの数がこの制限を超えた場合は、ロギング機能が一部のロギング メッセージをドロップします。 そのため、ACL ロギングは、課金ツールやアクセス リストとの一致数の正確なソースとして使用しないでください。
ハードウェア レート リミッタはパケット単位でトラフィックをレート制限しますが、コントロール プレーン ポリシング(COPP)はバイト単位でトラフィックをレート制限します。 パケット サイズとハードウェア レート リミッタの両方に高い値が設定されている場合は、COPP のデフォルト値を超過して、システムがパケットをドロップする可能性があります。 この制約を克服するには、デフォルト CIR 値(64000 バイト)を 2560000 バイトなどの高い値に増やす必要があります。 デフォルト CIR を増やすと、パケット ロギングが正常に動作します。
IPv6 ロギングは管理または VTY(端末)ポートではサポートされません
IPv6 ロギングは出力 RACL ではサポートされません(ASIC の制限による)。
IPv6 ロギングは出力 VACL ではサポートされません(ASIC の制限による)。
ACL ロギング プロセスを設定するには、最初にアクセス リストを作成してから、指定された ACL を使用してインターフェイス上の IPv6 トラフィックのフィルタリングをイネーブルにし、最後に ACL ロギング プロセス パラメータを設定します。
ACL ログイン設定情報を表示するには、次のいずれかの作業を実行します。
コマンド | 目的 |
---|---|
show logging ip access-list status |
拒否フローの最大数、現在有効なログ間隔、および現在有効なしきい値を表示します。 |
show logging ip access-list cache |
送信元 IP アドレスと宛先 IP アドレスや S ポートと D ポートの情報などのアクティブな記録されたフローに関する情報を表示します。 |
次に、ACL ロギング プロセスを設定する例を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# ipv6 access-list logging-test switch(config-ipv6-acl)# deny ipv6 any 2001:DB8:1::1/64 log switch(config-ipv6-acl)# exit switch(config)# interface ethernet 1/1 switch(config-if)# ipv6 traffic-filter logging-test in switch(config-if)# exit switch(config)# logging ip access-list cache interval 400 switch(config)# logging ip access-list cache entries 100 switch(config)# logging ip access-list cache threshold 900 switch(config)# hardware rate-limiter access-list-log 200 switch(config)# acllog match-log-level 5 switch(config)# exit switch#
switch(config)# interface ethernet 8/11 switch(config-if)# ipv6 port traffic-filter v6log-pacl in switch(config-if)# switchport access vlan 4064 switch(config-if)# speed 1000 switch(config)# interface Vlan 4064 switch(config-if)# no shutdown switch(config-if)# no ip redirects switch(config-if)# ipv6 address 4064::1/64 Switch# show vlan filter vlan map v6-vaclmap: Configured on VLANs: 4064 Switch# show vlan access-map v6-vaclmap Vlan access-map v6-vaclmap match ipv6: v6-vacl action: drop statistics per-entry
目次
この章の内容は、次のとおりです。
ACL ロギングに関する情報
ACL ロギング機能を使用すれば、ACL フローをモニタして、インターフェイス上でドロップされたパケットをログに記録することができます。
IPv6 ACL ロギングの概要
ACL ロギング機能が設定されている場合は、システムが ACL フローをモニタして、ACL エントリの拒否条件と一致するフローごとにドロップされたパケットと統計情報をログに記録します。
統計情報とドロップされたパケットのログはフローごとに生成されます。 フローは、送信元インターフェイス、プロトコル、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、およひ宛先ポート値によって定義されます。 一致したフローに関して保持される統計情報は、指定された時間間隔における ACL エントリ別のフローの拒否数です。
新しいフロー(つまり、システム上でまだアクティブになっていないフロー)が拒否されると、システムは 1 のヒット カウント値で最初の Syslog メッセージを生成します。 その後は、フローが拒否されるたびに、システムはフロー エントリを作成して、ヒット カウント値をインクリメントします。
既存のフローが拒否されると、システムは各間隔の終わりに Syslog メッセージを生成して、そのときの間隔のフローに関するヒット カウント値を報告します。 Syslog メッセージの生成後は、フローのヒット カウント値が次の間隔用に 0 にリセットされます。 間隔中にヒットが記録されなかった場合は、フローが削除され、Syslog メッセージが生成されません。
ACL ロギングの注意事項と制約事項
ACL ロギングには次の設定上の注意事項と制約事項があります。
システムは、拒否 ACE 条件と一致するパケットのみをログに記録します。 許可 ACE 条件に関するロギングはサポートされません。
ロギング オプションはすべての ACL 拒否エントリに適用されます。 ロギング オプションを暗黙的に拒否されたトラフィックに適用するには、特定の全拒否 ACL エントリ用にロギング オプションを設定する必要があります。
ACL ロギングは、ipv6 port traffic-filter コマンドによって設定されたポート ACL(PACL)と、ipv6 traffic-filter コマンドのみによって設定されたルーテッド ACL(RACL)に適用されます。
フローと拒否フローの総数は、DoS 攻撃を避けるために、ユーザ定義の最大値に制限されます。 この制限に到達すると、既存のフローが終了するまで新しいログが作成されません。
システムは、ハッシュ テーブルを使用してフローを特定することにより、CPU 使用率に影響を与えることなく大量のフローをサポートできるようにします。 また、システムは、タイマー キューを使用して大量のフローのエージングを管理します。
ACL ロギング プロセスによって生成される Syslog エントリの数は、ACL ロギング プロセスに設定されたロギング レベルによって制限されます。 Syslog エントリの数がこの制限を超えた場合は、ロギング機能が一部のロギング メッセージをドロップします。 そのため、ACL ロギングは、課金ツールやアクセス リストとの一致数の正確なソースとして使用しないでください。
ハードウェア レート リミッタはパケット単位でトラフィックをレート制限しますが、コントロール プレーン ポリシング(COPP)はバイト単位でトラフィックをレート制限します。 パケット サイズとハードウェア レート リミッタの両方に高い値が設定されている場合は、COPP のデフォルト値を超過して、システムがパケットをドロップする可能性があります。 この制約を克服するには、デフォルト CIR 値(64000 バイト)を 2560000 バイトなどの高い値に増やす必要があります。 デフォルト CIR を増やすと、パケット ロギングが正常に動作します。
IPv6 ロギングは管理または VTY(端末)ポートではサポートされません
IPv6 ロギングは出力 RACL ではサポートされません(ASIC の制限による)。
IPv6 ロギングは出力 VACL ではサポートされません(ASIC の制限による)。
ACL ロギングの設定
手順ACL ロギング プロセスを設定するには、最初にアクセス リストを作成してから、指定された ACL を使用してインターフェイス上の IPv6 トラフィックのフィルタリングをイネーブルにし、最後に ACL ロギング プロセス パラメータを設定します。
ACL ロギングの設定例
次に、ACL ロギング プロセスを設定する例を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# ipv6 access-list logging-test switch(config-ipv6-acl)# deny ipv6 any 2001:DB8:1::1/64 log switch(config-ipv6-acl)# exit switch(config)# interface ethernet 1/1 switch(config-if)# ipv6 traffic-filter logging-test in switch(config-if)# exit switch(config)# logging ip access-list cache interval 400 switch(config)# logging ip access-list cache entries 100 switch(config)# logging ip access-list cache threshold 900 switch(config)# hardware rate-limiter access-list-log 200 switch(config)# acllog match-log-level 5 switch(config)# exit switch#次に、代表的な PACL ロギング設定例を示します。switch(config)# interface ethernet 8/11 switch(config-if)# ipv6 port traffic-filter v6log-pacl in switch(config-if)# switchport access vlan 4064 switch(config-if)# speed 1000 switch(config)# interface Vlan 4064 switch(config-if)# no shutdown switch(config-if)# no ip redirects switch(config-if)# ipv6 address 4064::1/64 Switch# show vlan filter vlan map v6-vaclmap: Configured on VLANs: 4064 Switch# show vlan access-map v6-vaclmap Vlan access-map v6-vaclmap match ipv6: v6-vacl action: drop statistics per-entry