يصف هذا المستند ميزة التقاط قائمة التحكم في الوصول (ACL)، والتي يتم إستخدامها لمراقبة حركة مرور البيانات بشكل انتقائي على واجهة أو شبكة VLAN. عند تمكين خيار الالتقاط لقاعدة قائمة التحكم في الوصول، يتم إعادة توجيه الحزم التي تطابق هذه القاعدة أو إسقاطها استنادا إلى الإجراء المحدد وقد يتم نسخها أيضا إلى منفذ وجهة بديل لمزيد من التحليل.
a. هذه الميزة مماثلة لميزة التقاط قائمة التحكم في الوصول إلى شبكة VLAN (VACL) المدعومة على الأنظمة الأساسية لمحول Catalyst 6000 Series. يمكنك تكوين التقاط قائمة التحكم في الوصول (ACL) من أجل مراقبة حركة المرور بشكل انتقائي على واجهة أو شبكة VLAN. عند تمكين خيار الالتقاط لقاعدة قائمة التحكم في الوصول، يتم إعادة توجيه الحزم التي تطابق هذه القاعدة أو إسقاطها استنادا إلى إجراء السماح أو الرفض المحدد وقد يتم نسخها أيضا إلى منفذ وجهة بديل لمزيد من التحليل.
أ. يمكن أن تكون جلسة عمل التقاط قائمة التحكم في الوصول (ACL) واحدة فقط نشطة في أي وقت معين في النظام عبر سياقات الأجهزة الظاهرية (VDCs). يمكن أن تحتوي الذاكرة الثلاثية للتوجيه الخاص بالمحتوى لقائمة التحكم في الوصول (TCAM) على أكبر عدد ممكن من محركات التحكم في التطبيق (ACEs) في قائمة التحكم في الوصول إلى شبكة VACL.
ج. نعم. يتم دعم التقاط قائمة التحكم في الوصول (ACL) على الوحدات النمطية M1 في الإصدار 5.2(1) من Cisco NX-OS والإصدارات الأحدث.
ج. نعم. يتم دعم التقاط قائمة التحكم في الوصول (ACL) على الوحدات النمطية M2 في الإصدار 6.1(1) من Cisco NX-OS والإصدارات الأحدث.
a. لا تدعم الوحدات النمطية من السلسلة F1 التقاط قائمة التحكم في الوصول (ACL).
لا تدعم الوحدات النمطية F2-Series التقاط قائمة التحكم في الوصول (ACL) حتى الآن، ولكن قد يكون ذلك في خريطة الطريق. إستشر وحدة الأعمال (BU) للتأكد.
أ. يمكن تطبيق قاعدة قائمة التحكم في الوصول (ACL) مع خيار الالتقاط:
ج. نعم. بعض القيود على ميزة التقاط قائمة التحكم في الوصول (ACL) هي:
أ. لا. يمكن أن تكون الوجهة واجهة واحدة فقط تم تكوينها باستخدام الأمر hardware access-list capture.
ج. نعم. يمكن تحديد شبكات VLAN متعددة في vlan-list. على سبيل المثال:
vlan access-map acl-vlan-first
match ip address acl-ipv4-first
match mac address acl-mac-first
action forward
statistics per-entry
vlan filter acl-vlan-first vlan-list 1,2,3
ج. الحد الأقصى لعدد إدخالات قوائم التحكم في الوصول (ACL) إلى IP المدعومة هو 64000 لأجهزة بدون بطاقة خط XL و 128000 لأجهزة باستخدام بطاقة خط XL.
A. VACL يقع التقاط بعد إعادة كتابة، لذلك إطار يطرد VLAN X و مخرج VLAN Y التقط في VLAN Y.
ألف - ينبغي ألا يكون لمزيج من بطاقات M1 و M2 في الهيكل أي تأثير على إستخدام قوائم التحكم في الوصول إلى شبكة VLAN.
ج. يمكن عرض إرشادات التقاط قائمة التحكم في الوصول (ACL) في دليل تكوين أمان Cisco Nexus 7000 Series NX-OS، الإصدار 6.x.
يوضح هذا المثال كيفية تمكين التقاط قائمة التحكم في الوصول في VDC الافتراضي وتكوين وجهة لحزم التقاط قائمة التحكم في الوصول:
hardware access-list capture
monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
show ip access-lists capture session 1
يوضح هذا المثال كيفية تمكين جلسة عمل الالتقاط لقوائم التحكم في الوصول (ACL) ل ACEs، ثم تطبيق قائمة التحكم في الوصول (ACL) على واجهة:
ip access-list acl1
permit tcp any any capture session 1
exit
interface ethernet 1/11
ip access-group acl1 in
no shut
show running-config aclmgr
يوضح هذا المثال كيفية تطبيق قائمة التحكم في الوصول (ACL) مع إدخالات التحكم في الوصول (ACEs) إلى شبكة VLAN:
vlan access-map acl-vlan-first
match ip address acl-ipv4-first
match mac address acl-mac-first
action foward
statistics per-entry
vlan filter acl-vlan-first vlan-list 1
show running-config vlan 1
يوضح هذا المثال كيفية تمكين جلسة عمل الالتقاط لقائمة التحكم في الوصول (ACL) بالكامل ثم تطبيق قائمة التحكم في الوصول (ACL) على واجهة:
ip access-list acl2
capture session 2
exit
interface ethernet 7/1
ip access-group acl1 in
no shut
show running-config aclmg
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
12-Jun-2013 |
الإصدار الأولي |