La captura de la lista de control de acceso (ACL) proporciona la capacidad de capturar selectivamente el tráfico en una interfaz o en una red de área local virtual (VLAN). Cuando habilita la opción de captura para una regla de ACL, los paquetes que coinciden con esta regla se reenvían o se descartan en función de la acción especificada permit o deny y también se pueden copiar en un puerto de destino alternativo para un análisis adicional. Se puede aplicar una regla ACL con la opción de captura:
Esta función es compatible con Nexus 7000 NX-OS versión 5.2 y posteriores. Este documento proporciona un ejemplo como guía de referencia rápida sobre cómo configurar esta función.
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.
A continuación se muestra un ejemplo de configuración de captura de ACL aplicada a una VLAN, también conocida como captura de lista de control de acceso (VACL) de LAN virtual. Los 10 rastreadores gigabit designados pueden no ser factibles para todos los escenarios. La captura selectiva de tráfico puede ser muy útil en tales escenarios, especialmente durante la resolución de problemas cuando los volúmenes de tráfico son altos.
!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture
monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
!!
ip access-list TEST_ACL
10 permit ip 216.113.153.0/27 any capture session 1
20 permit ip 198.113.153.0/24 any capture session 1
30 permit ip 47.113.0.0/16 any capture session 1
40 permit ip any any
!!
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
match ip address TEST_ACL
action forward
statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500
También puede comprobar la programación de memoria direccionable de contenido ternario (TCAM) de la lista de acceso. Este resultado es para la VLAN 500 para el Módulo 1.
N7k2-VPC1# show system internal access-list vlan 500 input statistics
slot 1
=======
INSTANCE 0x0
---------------
Tcam 1 resource usage:
----------------------
Label_b = 0x802
Bank 0
------
IPv4 Class
Policies: VACL(VACL_TEST)
Netflow profile: 0
Netflow deny profile: 0
Entries:
[Index] Entry [Stats]
---------------------
[0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0 capture [0]
[0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0 capture [0]
[000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0 capture [0]
[000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0 [0]
[000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0 [0]
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
29-Apr-2013 |
Versión inicial |