التقاط Nexus 7000 ACL/ دعم VACL والقيود المتداولة

المقدمة

يصف هذا المستند ميزة التقاط قائمة التحكم في الوصول (ACL)، والتي يتم إستخدامها لمراقبة حركة مرور البيانات بشكل انتقائي على واجهة أو شبكة VLAN. عند تمكين خيار الالتقاط لقاعدة قائمة التحكم في الوصول، يتم إعادة توجيه الحزم التي تطابق هذه القاعدة أو إسقاطها استنادا إلى الإجراء المحدد وقد يتم نسخها أيضا إلى منفذ وجهة بديل لمزيد من التحليل.

س. ما هي حالة إستخدام التقاط قائمة التحكم في الوصول (ACL)؟

a. هذه الميزة مماثلة لميزة التقاط قائمة التحكم في الوصول إلى شبكة VLAN (VACL) المدعومة على الأنظمة الأساسية لمحول Catalyst 6000 Series. يمكنك تكوين التقاط قائمة التحكم في الوصول (ACL) من أجل مراقبة حركة المرور بشكل انتقائي على واجهة أو شبكة VLAN. عند تمكين خيار الالتقاط لقاعدة قائمة التحكم في الوصول، يتم إعادة توجيه الحزم التي تطابق هذه القاعدة أو إسقاطها استنادا إلى إجراء السماح أو الرفض المحدد وقد يتم نسخها أيضا إلى منفذ وجهة بديل لمزيد من التحليل.

س. كم عدد جلسات عمل التقاط قائمة التحكم في الوصول (ACL) التي يمكن تكوينها على محول Nexus 7000؟

أ. يمكن أن تكون جلسة عمل التقاط قائمة التحكم في الوصول (ACL) واحدة فقط نشطة في أي وقت معين في النظام عبر سياقات الأجهزة الظاهرية (VDCs). يمكن أن تحتوي الذاكرة الثلاثية للتوجيه الخاص بالمحتوى لقائمة التحكم في الوصول (TCAM) على أكبر عدد ممكن من محركات التحكم في التطبيق (ACEs) في قائمة التحكم في الوصول إلى شبكة VACL.

Q. هل تدعم الوحدات النمطية M1 التقاط قائمة التحكم في الوصول (ACL)؟

ج. نعم. يتم دعم التقاط قائمة التحكم في الوصول (ACL) على الوحدات النمطية M1 في الإصدار 5.2(1) من Cisco NX-OS والإصدارات الأحدث.

س. هل تدعم الوحدات النمطية M2 التقاط قائمة التحكم في الوصول (ACL)؟

ج. نعم. يتم دعم التقاط قائمة التحكم في الوصول (ACL) على الوحدات النمطية M2 في الإصدار 6.1(1) من Cisco NX-OS والإصدارات الأحدث.

Q. هل تدعم الوحدات النمطية F1 التقاط قائمة التحكم في الوصول (ACL)؟

a. لا تدعم الوحدات النمطية من السلسلة F1 التقاط قائمة التحكم في الوصول (ACL).

س. هل تدعم وحدات F2 التقاط قائمة التحكم في الوصول (ACL)؟

لا تدعم الوحدات النمطية F2-Series التقاط قائمة التحكم في الوصول (ACL) حتى الآن، ولكن قد يكون ذلك في خريطة الطريق. إستشر وحدة الأعمال (BU) للتأكد.

س. ما هي الواجهات والاتجاهات التي يمكن تطبيق التقاط قائمة التحكم في الوصول عليها؟

أ. يمكن تطبيق قاعدة قائمة التحكم في الوصول (ACL) مع خيار الالتقاط:

• على شبكة VLAN
• في إتجاه الدخول على كل الواجهات
• في إتجاه المخرج على كل واجهات الطبقة 3

س. هل هناك أي قيود ملحوظة على ميزة التقاط قائمة التحكم في الوصول (ACL)؟

ج. نعم. بعض القيود على ميزة التقاط قائمة التحكم في الوصول (ACL) هي:

• يعد التقاط قائمة التحكم في الوصول (ACL) ميزة مدعومة بالأجهزة ولا يتم دعمها لواجهة الإدارة أو لحزم التحكم التي تنشأ في المشرف. كما لا يتم دعمه لقوائم التحكم في الوصول (ACL) إلى البرامج مثل قوائم التحكم في الوصول (ACLs) إلى مجتمع SNMP وقوائم التحكم في الوصول (ACL) إلى vty.
• لا يتم دعم قنوات المنفذ ومنافذ المشرف داخل النطاق كوجهة لالتقاط قائمة التحكم في الوصول (ACL).
• لا تدعم واجهات وجهة قائمة التحكم في الوصول (ACL) إعادة توجيه الدخول وتعلم MAC المدخل. إذا تم تكوين واجهة وجهة باستخدام هذه الخيارات، فإن الشاشة تحافظ على جلسة عمل التقاط قائمة التحكم في الوصول (ACL) معطلة. أستخدم الأمر show monitor session all لتحديد ما إذا تم تمكين إعادة توجيه الدخول وتعلم MAC.
• لا يمكن أن يكون منفذ المصدر للحزمة ومنفذ وجهة التقاط قائمة التحكم في الوصول (ACL) جزءا من ASIC نفسه لنسخ الحزمة المتماثل. إذا كان كلا المنفذين ينتسبون إلى ASIC نفسه، لا يتم التقاط الحزمة. العرض مدرب جلسة يعدد أمر all the ميناء أن يكون ربطت إلى ال نفسه ASIC بما أن ال ACL التقاط غاية ميناء.
• إذا قمت بتكوين جلسة عمل مراقبة التقاط قائمة التحكم في الوصول (ACL) قبل إدخال الأمر hardware access-list capture، فيجب عليك إيقاف تشغيل جلسة المراقبة وإعادتها مرة أخرى لبدء جلسة العمل.
• عند تمكين التقاط قائمة التحكم في الوصول (ACL)، يتم تعطيل القدرة على تسجيل قائمة التحكم في الوصول (ACL) لجميع وحدات التحكم في الوصول (VDC) واستخدام أدوات تحديد المعدل.

Q. يستطيع أنت أنجزت ACL التقاط ويتلقى مؤكد حركة مرور يذهب خارج غاية قارن X، بعض حركة مرور يذهب خارج غاية قارن Y، وآخر حركة مرور يذهب خارج غاية قارن Z؟

أ. لا. يمكن أن تكون الوجهة واجهة واحدة فقط تم تكوينها باستخدام الأمر hardware access-list capture.

Q. يستطيع أنت يتلقى ال ACL التقاط يطبق إلى أكثر من وحيد مصدر VLAN؟

ج. نعم. يمكن تحديد شبكات VLAN متعددة في vlan-list. على سبيل المثال:

       vlan access-map acl-vlan-first
          match ip address acl-ipv4-first
          match mac address acl-mac-first
          action forward
          statistics per-entry
          vlan filter acl-vlan-first vlan-list 1,2,3

  

س. كم عدد قوائم التحكم في الوصول إلى شبكة L2 النشطة التي يمكن تكوينها على Nexus 7010؟

ج.   الحد الأقصى لعدد إدخالات قوائم التحكم في الوصول (ACL) إلى IP المدعومة هو 64000 لأجهزة بدون بطاقة خط XL و 128000 لأجهزة باستخدام بطاقة خط XL.

س. كيف يعمل التقاط VACL لحركة المرور الموجهة؟

A. VACL يقع التقاط بعد إعادة كتابة، لذلك إطار يطرد VLAN X و مخرج VLAN Y التقط في VLAN Y.

س - هل يؤثر خليط من بطاقات M1 و M2 في الهيكل على إستخدام قوائم التحكم في الوصول إلى شبكة VLAN؟

ألف - ينبغي ألا يكون لمزيج من بطاقات M1 و M2 في الهيكل أي تأثير على إستخدام قوائم التحكم في الوصول إلى شبكة VLAN.

س. ما هي بعض التكوينات العينة لميزة التقاط قائمة التحكم في الوصول (ACL) على Nexus 7000؟

ج.  يمكن عرض إرشادات التقاط قائمة التحكم في الوصول (ACL) في دليل تكوين أمان Cisco Nexus 7000 Series NX-OS، الإصدار 6.x.

يوضح هذا المثال كيفية تمكين التقاط قائمة التحكم في الوصول في VDC الافتراضي وتكوين وجهة لحزم التقاط قائمة التحكم في الوصول:

hardware access-list capture
     monitor session 1 type acl-capture
     destination interface ethernet 2/1
     no shut
     exit
     show ip access-lists capture session 1

يوضح هذا المثال كيفية تمكين جلسة عمل الالتقاط لقوائم التحكم في الوصول (ACL) ل ACEs، ثم تطبيق قائمة التحكم في الوصول (ACL) على واجهة:

ip access-list acl1
       permit tcp any any capture session 1
       exit
       interface ethernet 1/11
       ip access-group acl1 in
       no shut
       show running-config aclmgr

يوضح هذا المثال كيفية تطبيق قائمة التحكم في الوصول (ACL) مع إدخالات التحكم في الوصول (ACEs) إلى شبكة VLAN:

vlan access-map acl-vlan-first
       match ip address acl-ipv4-first
       match mac address acl-mac-first
       action foward
       statistics per-entry
       vlan filter acl-vlan-first vlan-list 1
       show running-config vlan 1

يوضح هذا المثال كيفية تمكين جلسة عمل الالتقاط لقائمة التحكم في الوصول (ACL) بالكامل ثم تطبيق قائمة التحكم في الوصول (ACL) على واجهة:

ip access-list acl2
       capture session 2
       exit
       interface ethernet 7/1
       ip access-group acl1 in
       no shut
       show running-config aclmg

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems