Nexus 7000系列交换机ACL捕获示例

下载选项

  • PDF     (186.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (81.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (64.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2013 年 4 月 29 日
文档 ID:116044

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

访问控制列表(ACL)捕获提供选择性捕获接口或虚拟局域网(VLAN)上的流量的能力。为ACL规则启用捕获选项时,会根据指定的允许或拒绝操作转发或丢弃与此规则匹配的数据包,并且还可以复制到备用目标端口进行进一步分析。可应用带捕获选项的ACL规则:

  1. 在VLAN中,
  2. 在所有接口的入口方向上,
  3. 在所有第3层接口的出口方向。

Nexus 7000 NX-OS版本5.2及更高版本支持此功能。本文档提供了一个示例,作为有关如何配置此功能的快速参考指南。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 带5.2.x及更高版本的Nexus 7000。
  • M1系列线卡。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的信息,请参阅 Cisco 技术提示规则。

ACL配置示例

以下是应用于VLAN的ACL捕获的示例配置,也称为虚拟LAN访问控制列表(VACL)捕获。指定的10千兆位剪刀可能不适用于所有场景。选择性流量捕获在这种场景中非常有用,特别是在流量较大时进行故障排除时。

!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture
 
              monitor session 1 type acl-capture
              destination interface ethernet 2/1
              no shut
              exit
!!
ip access-list TEST_ACL  
  10 permit ip 216.113.153.0/27 any capture session 1
  20 permit ip 198.113.153.0/24 any capture session 1
  30 permit ip 47.113.0.0/16 any capture session 1
  40 permit ip any any  
!! 
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
        match ip address TEST_ACL
        action forward
        statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500

您还可以检查访问列表的三重内容可寻址存储器(TCAM)编程。此输出适用于模块1的VLAN 500。

N7k2-VPC1# show system internal access-list vlan 500 input statistics
 
slot  1
=======
 
INSTANCE 0x0
---------------
 
  Tcam 1 resource usage:
  ----------------------
  Label_b = 0x802
   Bank 0
   ------
     IPv4 Class
       Policies: VACL(VACL_TEST)
       Netflow profile: 0
       Netflow deny profile: 0
       Entries:
         [Index] Entry [Stats]   
         ---------------------
  [0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0  capture [0]
  [0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0  capture [0]
  [000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0  capture [0]
  [000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0   [0]
  [000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0   [0]

注意事项

  1. 在系统中的任意给定时间,在虚拟设备环境(VDC)中,只能有一个ACL捕获会话处于活动状态。
  2. Nexus 7000 F1系列模块不支持ACL捕获。
  3. Nexus 7000 F2系列模块目前不支持ACL捕获,但这可能已在规划图中。
  4. Cisco NX-OS 6.1(1)版及更高版本支持Nexus 7000 M2系列模块上的ACL捕获。
  5. Cisco NX-OS版本5.2(1)及更高版本支持Nexus 7000 M1系列模块上的ACL捕获。
  6. ACL捕获与ACL日志记录不兼容。  因此,如果您有带有log关键字的ACL,则在您全局输入硬件访问列表捕获后,这些ACL将无法运行
  7. 由于Bug CSCug20139,本文档中的示例在解决Bug之前,记录为每个ACE(而不是每个ACL)捕获会话。

相关信息

修订历史记录

版本 发布日期 备注
1.0
29-Apr-2013
初始版本
TAC Authored

由思科工程师提供

  •  Rajesh Gatti, Geovany Gonzalez, and Andy Gossett
    Cisco TAC Engineers.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品