このドキュメントでは、インターフェイスまたは VLAN のトラフィックを選択的にモニタするために使用するアクセス コントロール リスト(ACL)キャプチャ機能について説明します。ACL ルールのキャプチャ オプションを有効にすると、このルールに一致したパケットは、指定されたアクションに基づいて転送またはドロップされます。また、さらに分析するために代替の宛先ポートにコピーされる可能性もあります。
A.この機能は、Catalyst 6000シリーズスイッチプラットフォームでサポートされているVLANアクセスコントロールリスト(VACL)キャプチャ機能に類似しています。インターフェイスまたは VLAN 上のトラフィックを選択的にモニタするために、ACL キャプチャを設定できます。ACL ルールのキャプチャ オプションを有効にすると、このルールに一致したパケットは、指定された permit または deny アクションに基づいて転送またはドロップされます。また、さらに分析するために代替の宛先ポートにコピーされる可能性もあります。
A.仮想デバイス・コンテキスト(VDC)全体で、システム内の任意の時点でアクティブにできるACLキャプチャ・セッションは1つだけです。 ACL TCAM(Ternary Content Addressable Memory)には、容量いっぱいまで VACL のアプリケーション制御エンジン(ACE)を含めることができます。
A.はい。M1 モジュールの ACL キャプチャは、Cisco NX-OS リリース 5.2(1) 以降でサポートされています。
A.はい。M2 モジュールの ACL キャプチャは、Cisco NX-OS リリース 6.1(1) 以降でサポートされています。
A. F1シリーズのモジュールでは、ACLキャプチャはサポートされていません。
A. F2シリーズモジュールは、現時点ではACLキャプチャをサポートしていませんが、これはロードマップに含まれている可能性があります。営業部門(BU)にお問い合わせください。
A. captureオプションを含むACLルールを適用できます。
A.はい。ACL キャプチャ機能には次の制限があります。
A.いいえ。宛先は、hardware access-list captureコマンドで設定されたインターフェイスを1つだけ使用できます。
A.はい。複数の VLAN を VLAN リストに指定できます。以下に、いくつかの例を示します。
vlan access-map acl-vlan-first
match ip address acl-ipv4-first
match mac address acl-mac-first
action forward
statistics per-entry
vlan filter acl-vlan-first vlan-list 1,2,3
A. サポートされる IP ACL エントリの最大数は、XL ライン カードを使用しないデバイスで 64,000、XL ライン カードを使用するデバイスで 128,000 です。
A. VACLキャプチャは書き換え後に発生するため、VLAN Xに入ってVLAN Yに出力するフレームはVLAN Yでキャプチャされます。
A.シャーシ内にM1カードとM2カードが混在しても、VACLの使用に影響はありません。
A. ACL キャプチャ ガイドラインについては、『Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド、リリース 6.x』を参照してください。
次に、デフォルト VDC で ACL キャプチャを有効にして、ACL キャプチャ パケットの宛先を設定する例を示します。
hardware access-list capture
monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
show ip access-lists capture session 1
次に、ACL の ACE のキャプチャ セッションを有効にしてから、その ACL をインターフェイスに適用する例を示します。
ip access-list acl1
permit tcp any any capture session 1
exit
interface ethernet 1/11
ip access-group acl1 in
no shut
show running-config aclmgr
次に、キャプチャ セッションの ACE を含む ACL を VLAN に適用する例を示します。
vlan access-map acl-vlan-first
match ip address acl-ipv4-first
match mac address acl-mac-first
action foward
statistics per-entry
vlan filter acl-vlan-first vlan-list 1
show running-config vlan 1
次に、ACL 全体のキャプチャ セッションを有効にしてから、その ACL をインターフェイスに適用する例を示します。
ip access-list acl2
capture session 2
exit
interface ethernet 7/1
ip access-group acl1 in
no shut
show running-config aclmg
改定 | 発行日 | コメント |
---|---|---|
1.0 |
12-Jun-2013 |
初版 |