Toegangslijsten voor probleemoplossing op IE3x00
Inhoud
Inleiding
Dit document beschrijft hoe u problemen kunt oplossen en de toegangscontrolelijsten (ACL) en hardwarelimieten op industriële Ethernet 3x00-serie kunt verifiëren.
Voorwaarden
Vereisten
Cisco raadt aan dat u over basiskennis van ACL-configuratie beschikt.
Gebruikte componenten
De informatie in dit document is gebaseerd op IE-3300 met Cisco IOS® XE-softwareversie 16.12.4.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Verwante producten
Dit document kan ook met deze hardwareversies worden gebruikt:
- IE-3200 (vast)
- IE-3300 (modulair)
- IE-3400 (geavanceerde modulair).
Achtergrondinformatie
Toegangslijsten (ACL) op een Layer 3-switch bieden basisbeveiliging voor uw netwerk. Als ACL’s niet zijn geconfigureerd, kunnen alle pakketten die door de switch lopen, op alle delen van het netwerk worden toegestaan. ACL’s bepaalt welke hosts toegang kunnen krijgen tot verschillende delen van een netwerk of welke typen verkeer worden doorgestuurd of geblokkeerd bij routerinterfaces. ACL’s kunnen worden geconfigureerd om inkomend verkeer, uitgaand verkeer of beide te blokkeren.
Voorbeeld: U kunt toestaan dat e-mailverkeer wordt doorgestuurd, maar niet Telnet-verkeer buiten het netwerk.
Ondersteuning en beperkingen van IE3x00:
-
VLAN-toegangslijsten (VACL’s) worden niet ondersteund op Switch Virtual Interface (SVI).
-
Wanneer VACL en Port ACL (PACL) beide van toepassing zijn voor een pakket, krijgt PACL voorrang op VACL en VACL wordt in een dergelijk geval niet toegepast.
-
Max. 255 toegangscontrolevermeldingen (ACE) per VACL.
-
Er is geen expliciete limiet voor het totaal aan VLAN’s gedefinieerd, omdat TCAM niet in componenten is gegraveerd, wanneer er niet genoeg ruimte in TCAM beschikbaar is om de nieuwe configuratie te accepteren, zal de fout met een syslog worden geworpen.
-
Loggingwordt niet ondersteund op uitgaande ACL. -
Op Layer 3 ACL wordt niet-IP ACL niet ondersteund.
-
Layer 4 Operator (L4OP) in ACL’s is door de hardware beperkt tot maximaal 8 L4OP’s voor UDP en 8 L4OP’s voor TCP, voor een totaal van 16 globale L4OP’s.
-
Houd in gedachten dat de range operator 2 L4OP verbruikt.
- Ingress ACL’s worden alleen ondersteund op fysieke interfaces, niet ondersteund op logische interfaces zoals VLAN, poortkanaal, enzovoort.
- PoortACL’s (PACL’s) worden ondersteund en kunnen zijn: Non-IP, IPv4 en IPv6.
- Niet-IP en IPv4 ACL’s hebben 1 impliciete filter, terwijl IPv6 ACL’s 3 impliciete filters hebben.
- Op tijdschaal gebaseerde ACL’s worden ondersteund.
- IPv4 ACL met TTL, op IP-opties gebaseerde match niet ondersteund.
Problemen oplossen
Stap 1. Identificeer de ACL waarmee u problemen vermoedt. Afhankelijk van het type ACL zijn deze opdrachten beschikbaar:
show access-list { acl-no | acl-name } show mac access-group interface interface_name show ipv6 access-list acl_name show ip access-list { acl-no | acl-name } show ipv6 access-list acl_name
IE3300#show access-list 103
Extended IP access list 103
10 permit udp any any eq 2222
20 permit udp any eq 2222 any
IE3300#show ip access-list 103
Extended IP access list 103
10 permit udp any any eq 2222
20 permit udp any eq 2222 any
Het doel van de opdrachtoutput is de huidige ACL-configuratie op Cisco IOS te identificeren.
Stap 2. Controleer of dezelfde ACL aanwezig is in de hardwaretabel.
show platform hardware acl asic 0 tcam { all | index | interface | static | statistics | usage | vlan-statistics } - Opdrachtopties beschikbaar voor het controleren van de TCAM van de switch.
IE3300#show platform hardware acl asic 0 tcam interface GigabitEthernet 1/4 ipv4 detail
ACL_KEY_TYPE_v4 - ACL Id 45
Ingress ACL_KEY_TYPE_v4 -
Index SIP DIP Protocol DSCP Frag/Tiny IGMP type ICMP type ICMP code TCP flags
Src OP Src port1 Src port2 Dst OP Dst port1 Dst port2 Src Port PCLId
===== =========== =========== ======== ==== ========== ========= ========= ========= =========
====== ========= ========= ====== ========= ========= ======== ====
0P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- ---------
------ --------- --------- EQ. 2222 --------- 1 0
0M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- ---------
------ --------- --------- 0xFF 0xFFFF --------- 3f 3ff
0 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
1P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- ---------
EQ. 2222 --------- ------ --------- --------- 1 0
1M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- ---------
0xFF 0xFFFF --------- ------ --------- --------- 3f 3ff
1 Action: ASIC_ACL_PERMIT[1], Match Counter[0]
2P 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- ---------
------ --------- --------- ------ --------- --------- 1 0
2M 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- ---------
------ --------- --------- ------ --------- --------- 3f 3ff
2 Action: ASIC_ACL_DENY[0], Match Counter[0]
pair bind to this ACL:< 0, 1>
Er zijn drie regelparen in de output van de hardwaretabel waaruit:
P: Stands voor patroon = dit zijn de IPs of subnets in ACE.
M: Stands voor masker = dit zijn de wildcard bits in de ACE.
| ACE-ingang | Index | SIP | DIP | Protocol | DSCP |
permit udp any any eq 2222 |
0P, 0M, 0 | 0,0,0,0 (alle) | 0,0,0,0 (alle) | 0x11 | 0x00 (optimale inspanning) |
permit udp any eq 2222 any |
1P, 1M, 1 | 0,0,0,0 (alle) | 0,0,0,0 (alle) | 0x11 | 0x00 (optimale inspanning) |
deny ip any any (implicit) |
2 P, 2 M, 2 | 0,0,0,0 (alle) | 0,0,0,0 (alle) | 0x00 | 0x00 (optimale inspanning) |
| ACE-ingang | SRC OP | SRC-poort1 | SRC-poort 2 | Dst OP | DST-poort1 | DST-poort2 |
permit udp any any eq 2222 |
------ | --------- | --------- | EQ | 2222 | --------- |
permit udp any eq 2222 any |
EQ | 2222 | --------- | --------- | --------- | --------- |
deny ip any any (implicit) |
------ | --------- | --------- | --------- | --------- | --------- |
Index - Aantal regels. We hebben 0, 1 en 2 indexen in het voorbeeld.
SIP - Geeft bron-IP in HEX-indeling aan. Aangezien de regels het 'om het even welk' sleutelwoord hebben, is de bron IP alle nul.
DIP - Geeft bestemming IP in HEX-indeling aan. Het 'enige' sleutelwoord in de regel vertaalt zich naar alle nullen.
Protocol - Geeft het protocol van de ACE's aan. 0x11 gaat voor UDP.
DSCP - Gedifferentieerde services code point (DSCP) aanwezig in de regel. De waarde indien niet opgegeven, is 0x00 (beste inspanning).
IGMP Type - Specificeert als de ACE IGMP-typen bevat.
ICMP-type - Specificeert als de ACE ICMP-typen bevat.
ICMP-code - Specificeert als de ACE ICMP-codetypen bevat.
TCP-vlaggen - geeft aan of de ACE TCP-vlaggen heeft.
Src OP - Geeft de in de regel gebruikte bron L4OP aan. Er is geen in de eerste ACE-ingang. De tweede ACE-ingang heeft EQ als operator.
SRC port1 - Geeft de eerste bronpoort aan als ACE op UDP of TCP is gebaseerd.
SRC port2 - Geeft de tweede bronpoort aan als ACE op UDP of TCP is gebaseerd.
Dst OP - Geeft de bestemming L4OP aan die in de regel wordt gebruikt. De eerste ACE-ingang heeft EQ als operator, er is geen in de tweede ACE-ingang.
Dst port1 - Geeft de eerste bestemmingshaven aan als ACE op UDP of TCP gebaseerd is.
Dst port2 - Geeft de tweede bestemmingshaven aan als ACE op UDP of TCP gebaseerd is.
Regels zijn aan haven gebonden ACL:<0,x> waarin 0 staat voor ASIC = 0 en X toewijst aan ASIC port number = 1.
U kunt de Actie ook zien die per ACE verklaring in de lijst wordt gevoerd.
| ACE-index | Actie |
| 0 | ASIC_ACL_PERMIT[1] |
| 1 | ASIC_ACL_PERMIT[1] |
| 2 | ASIC_ACL_DENY[0] |
Stap 3. Controleer dezelfde ACL-vermeldingen met de volgende opdrachten:
ACL-vermeldingen op een bepaalde index
show platform hardware acl asic 0 tcam index acl_id [ detail ] - Deze opdracht toont u de lijst met regels onder specifieke ACL-id.
IE3300#show platform hardware acl asic 0 tcam index 45 detail ACL_KEY_TYPE_v4 - ACL Id 45 Ingress ACL_KEY_TYPE_v4 - Index SIP DIP Protocol DSCP Frag/Tiny IGMP type ICMP type ICMP code TCP flags Src OP Src port1 Src port2 Dst OP Dst port1 Dst port2 Src Port PCLId ===== =========== =========== ======== ==== ========== ========= ========= ========= ========= ====== ========= ========= ====== ========= ========= ======== ==== 0P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- EQ. 2222 --------- 1 0 0M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- 0xFF 0xFFFF --------- 3f 3ff 0 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 1P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- EQ. 2222 --------- ------ --------- --------- 1 0 1M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- 0xFF 0xFFFF --------- ------ --------- --------- 3f 3ff 1 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 2P 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 1 0 2M 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 3f 3ff 2 Action: ASIC_ACL_DENY[0], Match Counter[0]
Hier index is de offset waarmee de regel in het TCAM wordt geprogrammeerd.
Om te controleren welke ACL-index wordt gebruikt, moet u de poort identificeren waar de ACL wordt toegepast en de opdracht gebruiken show platform hardware acl asic 0 tcam interface interface_naam ipv4 detailom het ACL-id-nummer te verkrijgen.
ACL-vermeldingen geprogrammeerd in hardware
show platform hardware acl asic 0 tcam all [ detail ] - Toont alle informatie op de TCAM.
IE3300#show platform hardware acl asic 0 tcam all ACL_KEY_TYPE_v4 - ACL Id 45 Ingress ACL_KEY_TYPE_v4 - Index SIP DIP Protocol DSCP Frag/Tiny IGMP type ICMP type ICMP code TCP flags Src OP Src port1 Src port2 Dst OP Dst port1 Dst port2 Src Port PCLId ===== =========== =========== ======== ==== ========== ========= ========= ========= ========= ====== ========= ========= ====== ========= ========= ======== ==== 0P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- EQ. 2222 --------- 1 0 0M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- 0xFF 0xFFFF --------- 3f 3ff 0 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 1P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- EQ. 2222 --------- ------ --------- --------- 1 0 1M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- 0xFF 0xFFFF --------- ------ --------- --------- 3f 3ff 1 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 2P 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 1 0 2M 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 3f 3ff 2 Action: ASIC_ACL_DENY[0], Match Counter[0] ACL_KEY_TYPE_v4 - ACL Id 46 Ingress ACL_KEY_TYPE_v4 - Index SIP DIP Protocol DSCP Frag/Tiny IGMP type ICMP type ICMP code TCP flags Src OP Src port1 Src port2 Dst OP Dst port1 Dst port2 Src Port PCLId ===== =========== =========== ======== ==== ========== ========= ========= ========= ========= ====== ========= ========= ====== ========= ========= ======== ==== 0P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- EQ. 2222 --------- 0 0 0M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- 0xFF 0xFFFF --------- 3f 3ff 0 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 1P 00.00.00.00 00.00.00.00 0x11 0x00 0/00 --------- --------- --------- --------- EQ. 2222 --------- ------ --------- --------- 0 0 1M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- --------- 0xFF 0xFFFF --------- ------ --------- --------- 3f 3ff 1 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 2P 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 0 0 2M 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 3f 3ff 2 Action: ASIC_ACL_DENY[0], Match Counter[12244]
Deze uitvoer toont alle ACL-ID’s die in de hardwaretabel zijn opgeslagen. Er zijn twee afzonderlijke ACL-ID’s (45, 46), maar de structuur van elk blok is precies hetzelfde. Dit geeft aan dat beide ACL-id’s tot dezelfde ACL behoren die in software is geconfigureerd:
IE3300#show ip access-list 103
Extended IP access list 103
10 permit udp any any eq 2222
20 permit udp any eq 2222 any
Dit wordt toegepast op verschillende interfaces.
IE3300#show run interface GigabitEthernet 1/4 Building configuration... Current configuration : 60 bytes ! interface GigabitEthernet1/4 ip access-group 103 in end IE3300#show run interface GigabitEthernet 1/5 Building configuration... Current configuration : 60 bytes ! interface GigabitEthernet1/5 ip access-group 103 in end
TCAM-gebruik
show platform hardware acl asic 0 tcam usage - Deze opdracht geeft ACL-gebruik in de ASIC weer. IE3x00 heeft slechts één ASIC (0)
IE3300#show platform hardware acl asic 0 tcam usage
TCAM Usage For ASIC Num : 0
Static ACEs : 18 (0 %)
Extended ACEs : 0 (0 %)
ULTRA ACEs : 0 (0 %)
STANDARD ACEs : 6 (0 %)
Free Entries : 3048 (100 %)
Total Entries : 3072
Standaard ACE is 24 bytes breed; Uitgebreide ACE is 48 bytes breed; Ultra ACE is 72-byte breed.
Statische ACL-vermeldingen
show platform hardware acl asic 0 tcam static [ detail ]- Hier worden statische ACL-configuraties weergegeven (specifiek voor controleprotocol).
IE3300-Petra#show platform hardware acl asic 0 tcam static detail Switch MAC Global Entry: MAC DA: 01:00:0c:00:00:00/ff:ff:ff:00:00:00 4 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[1], Match Counter[6908] Dot1x EAP Global Entry: Ethertype: 0x888e/0xffff 1 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[2], Match Counter[0] CISP Global Entry: Ethertype: 0x0130/0xffff 0 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[2], Match Counter[0] REP Beacon Global Entry: Ethertype: 0x0131/0xffff 2 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[1], Match Counter[0] REP Preferred Global Entry: MAC DA: 00:00:00:00:00:00/00:00:00:00:00:00 14 Action: ASIC_ACL_PERMIT[1], Match Counter[0] REP Preferred Global Entry: Ethertype: 0x0000/0x0000 16 Action: ASIC_ACL_DENY_AND_LOG[2], CPU queue[1], Match Counter[25702] REP Preferred Global Entry: Ethertype: 0x0129/0xffff 15 Action: ASIC_ACL_PERMIT[1], Match Counter[0] DHCP related entries: None. MLD related entries: None.
Deze opdrachtoutput toont de geprogrammeerde ACL-vermeldingen van het systeem voor verschillende controleprotocollen van de switch.
ACL-statistieken
show platform hardware acl asic 0 tcam statistics interface_name - Geeft ACL-statistieken in realtime weer, teller is niet cumulatief. Nadat u het bevel de eerste keer toont, worden de tellers teruggesteld als het verkeer dat ACL tegenhoudt raakt.
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
TCAM STATISTICS OF ASIC NUM :0
Number Of IPv4 Permits : 0
Number Of IPv4 Drops : 2
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
TCAM STATISTICS OF ASIC NUM :0
Number Of IPv4 Permits : 0
Number Of IPv4 Drops : 1
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
TCAM STATISTICS OF ASIC NUM :0
Number Of IPv4 Permits : 0
Number Of IPv4 Drops : 1
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
TCAM STATISTICS OF ASIC NUM :0
Number Of IPv4 Permits : 0
Number Of IPv4 Drops : 1
IE3300#show platform hardware acl asic 0 tcam statistics GigabitEthernet 1/4
TCAM STATISTICS OF ASIC NUM :0
Number Of IPv4 Permits : 0
Number Of IPv4 Drops : 0
Deze opdracht vertelt u hoeveel hits in de Permits zijn opgetreden voor de ACL op de gespecificeerde interface, en hoeveel druppels ook zijn geraakt terwijl het verkeer actief wordt ondervraagd in de poort. De tellers worden opnieuw ingesteld zodra de opdracht voor het eerst is weergegeven.
Toewijzing van poort naar ASIC
show platform pm port-map - Hier wordt de ASIC/Port-toewijzing weergegeven voor alle interfaces van de switch.
IE3300#show platform pm port-map interface gid gpn asic slot unit gpn-idb ------------------------------------------- Gi1/1 1 1 0/24 1 1 Yes Gi1/2 2 2 0/26 1 2 Yes Gi1/3 3 3 0/0 1 3 Yes Gi1/4 4 4 0/1 1 4 Yes Gi1/5 5 5 0/2 1 5 Yes Gi1/6 6 6 0/3 1 6 Yes Gi1/7 7 7 0/4 1 7 Yes Gi1/8 8 8 0/5 1 8 Yes Gi1/9 9 9 0/6 1 9 Yes Gi1/10 10 10 0/7 1 10 Yes
0/x under asic column indicates = asic/asic_port_number
Debug opdrachten
debug platform acl all - Deze opdracht schakelt alle ACL-beheergebeurtenissen in.
IE3300#debug platform acl all
ACL Manager debugging is on
ACL MAC debugging is on
ACL IPV4 debugging is on
ACL Interface debugging is on
ACL ODM debugging is on
ACL HAL debugging is on
ACL IPV6 debugging is on
ACL ERR debugging is on
ACL VMR debugging is on
ACL Limits debugging is on
ACL VLAN debugging is on
debug platform acl hal - Hiermee worden gebeurtenissen die verband houden met Hardware Abstraction Layer (HAL) weergegeven.
Voor een verwijder/pas ACL gebeurtenis op een interface toe, toont het als de regel in hardware geprogrammeerd was en drukt de informatie in console.
[IMSP-ACL-HAL] : Direction 0
[IMSP-ACL-HAL] : TCAM: region_type = 1, lookup_stage = 0, key_type = 1, packet_type = 1, acl_type = 1, pcl_id = 0, priority = 1
[IMSP-ACL-HAL] : asic_acl_add_port_access_list programmed rule for asic_num=0, region_type=1, acl_type=1,
port_num=1, lookup stage=0 packet_type=1, key_type=1, pcl_id=0, priority=32, num_aces=3, acl_handle=0x7F8EA6DC58, acl_dir=0, cpu_log_queue=7 with acl_err=0
[IMSP-ACL-HAL] : Dump acl, acl_handle:0x0x7F8EA6DC58
Richting 0 = inkomend (ACL is toegepast bij toegang)
Richting 1 = Uitgaand (ACL is in uitgang toegepast)
debug platform acl ipv4 - Hiermee worden ACL IPv4-gerelateerde gebeurtenissen weergegeven.
debug platform acl ipv6- Hiermee worden ACL IPv6-gerelateerde gebeurtenissen weergegeven.
debug platform acl mac - Geeft ACL-gerelateerde gebeurtenissen weer.
debug platform acl error - Geeft ACL-fouten gerelateerde gebeurtenissen weer.
[IMSP-ACL-ERROR] : asic_acl_delete_access_list successfully deleted rule for asic_num=0, region_type=1 acl_handle=0x7F8EA6DC58, acl_dir=0 atomic_update=0 with acl_err=0
debug platform acl odm - Hiermee worden aan ACL-volgorde gerelateerde gebeurtenissen weergegeven die samenhangen met samenvoeging (ODM).
[IMSP-ACL-ODM] : ODM: Num. ACEs before collapse - 2
[IMSP-ACL-ODM] : ODM: Num. ACEs after collapse - 2
[IMSP-ACL-ODM] : Number of Aces after ODM Pre Optimization- 2
[IMSP-ACL-ODM] : ODM: ACEs post collapse = 2
[IMSP-ACL-ODM] : Number of Aces after Final ODM Merge- 2
[IMSP-ACL-ODM] : ODM: Num. ACEs before collapse - 2
[IMSP-ACL-ODM] : ODM: Num. ACEs after collapse - 2
<snip>
debug platform acl port-acl - Hiermee worden poortACL-gerelateerde gebeurtenissen weergegeven.
[IMSP-ACL-PORT] : PACL attach common
[IMSP-ACL-PORT] : Dumping List of ACL-Handle pairs...
[IMSP-ACL-PORT] : ACL:103, Handle: 0x7F8EA6DC64, Asic Num: 0,Use Count: 1, Is overloaded: 0
[IMSP-ACL-PORT] : ACL:103, Handle: 0x7F8EA6DC58, Asic Num: 0,Use Count: 1, Is overloaded: 0
[IMSP-ACL-PORT] : ACL Detached from the port
[IMSP-ACL-PORT] : Acl-port handle info, Idb Entry Found
[IMSP-ACL-PORT] : ACL handle=0x7F8EA6DC58 found for port=Gi1/4
[IMSP-ACL-PORT] : Calling HAL asic_acl_remove_port
[IMSP-ACL-PORT] : asic_acl_remove_port successful for asic_num=0, acl_handle=0x7F8EA6DC58, port_num=1
[IMSP-ACL-PORT] : acl_type: 1, handle: 0x0, dir: 0, acl_name: 0x0, idb: 0x7F4D0AF288
[IMSP-ACL-PORT] : List of HW Programmed Port-ACLs...
[IMSP-ACL-PORT] : Port: Gi1/3
[IMSP-ACL-PORT] : Ingress IPV4: handle = 0x7F8EA6DC64, acl_name = 103, is_acl_overloaded = 0, auth_proxy_vmr = 0x0, overload_vmr_entries = 0
[IMSP-ACL-PORT] : Port: Gi1/4
[IMSP-ACL-PORT] : Ingress IPV4: handle = 0x7F8EA6DC58, acl_name = 103, is_acl_overloaded = 0, auth_proxy_vmr = 0x0, overload_vmr_entries = 0
[IMSP-ACL-PORT] : rc = 1
[IMSP-ACL-PORT] : No more acl on this port!!
[IMSP-ACL-PORT] : Free stored_acl_name=0x0
[IMSP-ACL-PORT] : Update_Pacl_info, Updated entries for idb=0x0
<snip>
debug platform acl vmr - hiermee worden gebeurtenissen die verband houden met ACL-waardemasker (VMR) weergegeven. Als er problemen zijn met VMR, kunt u ze hier bekijken.
[IMSP-ACL-VMR] : DstIP Mask=00.00.00.00
[IMSP-ACL-VMR] : Protocol Value/Mask=0011/FFFF
[IMSP-ACL-VMR] : Fragment field set to FALSE
[IMSP-ACL-VMR] : SrcPort1 Value/Mask=D908/FFFF
[IMSP-ACL-VMR] : SrcPort2 Value/Mask=D90F/FFFF
[IMSP-ACL-VMR] : SrcL4Op Value is Range
[IMSP-ACL-VMR] : SrcL4Op Mask is FFFFFFFF
[IMSP-ACL-VMR] : Action is PERMIT
[IMSP-ACL-VMR] : ACE number => 30
[IMSP-ACL-VMR] : vmr_ptr 0x7F51D973B0
[IMSP-ACL-VMR] : vmr_ptr->entry 0x7F51D973B0
<snip>
Veelvoorkomende problemen
L4OP Uitputting
L4OPs comparator uitputting kan worden geïdentificeerd nadat u deze debugs inschakelt:
debug platform port-asic hal acl errors debug platform port-asic hal tcam errors
Voer de opdracht tonen platform software sporenbericht IOS R0 om de informatie over de debugs weer te geven.
show platform software trace message ios R0:
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (ERR): *Aug 17 21:04:47.244: %IMSP_ACLMGR-3-INVALIDACL: Add access-list failed
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): Unable to add access-list
[IMSP-ACL-ERROR]:imsp_acl_program_tcam,2026:
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note):
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note):
asic_acl_add_port_access_list failed for asic_num=0, region_type=1, acl_type=1,
port_num=1, lookup stage=0, packet_type=1, key_type=1, pcl_id=0, priority=32, num_aces=99 acl_handle=0x0, acl_dir=0, cpu_log_queue=7 with acl_err=2
[IMSP-ACL-ERROR]:imsp_acl_add_port_access_list,211:
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note):
ACL ERR:[pc3_add_port_access_list:5471] - not enough available port comparators,asic_num[0], acl_type[1], num_aces[99]
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [IOSRP] [6472]: (note):
ACL ERR:[prv_check_for_available_port_comparators:5282] - Not enough TCP port comparators available: Required[20] > Available[8]
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [IOSRP] [6472]: (note):
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): TCAM: region_type = 1, lookup_stage = 0, key_type = 1,
packet_type = 1, acl_type = 1, pcl_id = 0, priority = 1
[IMSP-ACL-HAL] :
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note):
2022/08/17 21:04:47.244 {IOSRP_R0-0}{1}: [iosrp] [8748]: (note): Direction 0
[IMSP-ACL-HAL] :
Voor IE3x00 is er een limiet van 8 L4OP voor UDP en 8 L4OP voor TCP, voor maximaal 16 L4OP in alle ACL’s die in de switch zijn geïmplementeerd. (De beperking is globaal, niet per ACL).
Als u dit probleem ondervindt:
- Controleer met debug commando's als de fouten gerelateerd zijn aan de L4OP beperking.
-
U moet het aantal L4OP in gebruik in de ACL verminderen. Elk bereik commando verbruikt 2 poortcomparators.
-
Als u ACE's kunt gebruiken met de opdracht range, kunnen deze worden geconverteerd naar eq keyword te gebruiken, zodat het niet de L4OP die beschikbaar is voor UDP en TCP zal verbruiken, namelijk:
Lijn:permit tcp any any range 55560 55567
Kan worden omgezet in:permit tcp any any eq 55560 permit tcp any any eq 55561 permit tcp any any eq 55562 permit tcp any any eq 55563 permit tcp any any eq 55564 permit tcp any any eq 55565 permit tcp any any eq 55566 permit tcp any any eq 55567
Raadpleeg de Cisco bug-id CSCv0745. Alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne bug-informatie.
Layer 4 ACL’s worden niet samengevat in TCAM
Wanneer L4 ACL’s met opeenvolgende IP-adressen en/of poortnummers worden ingevoerd, worden deze automatisch door het systeem samengevat voordat ze in TCAM worden geschreven om ruimte te besparen. Het systeem doet zijn best op basis van de ACL-vermeldingen om samen te vatten met de juiste MVR om een reeks vermeldingen te bestrijken waar het kan. Dit kan worden geverifieerd wanneer u de TCAM controleert en hoeveel lijnen waar geprogrammeerd voor de ACL. Dat wil zeggen:
IE3300#show ip access-list TEST
Extended IP access list TEST
10 permit tcp any any eq 8
20 permit tcp any any eq 9
30 permit tcp any any eq 10
40 permit tcp any any eq 11
IE3300#show platform hardware acl asic 0 tcam interface GigabitEthernet 1/4 ipv4 detail ACL_KEY_TYPE_v4 - ACL Id 45 Ingress ACL_KEY_TYPE_v4 - Index SIP DIP Protocol DSCP Frag/Tiny IGMP type ICMP type ICMP code TCP flags Src OP Src port1 Src port2 Dst OP Dst port1 Dst port2 Src Port PCLId ===== =========== =========== ======== ==== ========== ========= ========= ========= ========= ====== ========= ========= ====== ========= ========= ======== ==== 0P 00.00.00.00 00.00.00.00 0x06 0x00 0/00 --------- --------- --------- 0x00 ------ --------- --------- EQ. 8 --------- 1 0 0M 00.00.00.00 00.00.00.00 0xff 0x00 0/00 --------- --------- --------- 0x00 ------ --------- --------- 0xFF 0xFFFF --------- 3f 3ff 0 Action: ASIC_ACL_PERMIT[1], Match Counter[0] 1P 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 1 0 1M 00.00.00.00 00.00.00.00 0x00 0x00 0/00 --------- --------- --------- --------- ------ --------- --------- ------ --------- --------- 3f 3ff 1 Action: ASIC_ACL_DENY[0], Match Counter[0] <asic,port> pair bind to this ACL:< 0, 1>
Het probleem is dat de maskerwaarde niet goed wordt gelezen, zodat de enige vermelding die eigenlijk geprogrammeerd wordt (met de ACL in het voorbeeld) permit tcp any any eq 8,aangezien dit de samenvatting ACL op het hoogste niveau is. De vermeldingen voor poortnummers 9-11 worden niet gezien omdat het masker van 0.0.0.3 niet correct wordt gelezen.
Raadpleeg de Cisco bug-id CSC6354 . Alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne buginformatie.
Te verzamelen opdrachten voor TAC
De meest voorkomende problemen met betrekking tot toegangslijsten op IE3x00 worden behandeld in deze gids, met aangewezen saneringsstappen. Als uw probleem echter niet met deze handleiding is opgelost, verzamelt u de getoonde opdrachtlijst en voegt u deze toe aan uw TAC-serviceverzoek.
Ohow tech-support acl
IE3300#show tech-support acl | redir flash:tech-acl.txt IE3300#dir flash: | i .txt 89249 -rw- 56287 Aug 18 2022 00:50:32 +00:00 tech-acl.txt
Kopieer het bestand uit de switch en upload het naar de TAC case.
Technische ondersteuning ACL-uitvoer is vereist als startpunt wanneer u problemen met betrekking tot ACL oplost in IE3x00-platforms.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
05-Oct-2022 |
Eerste vrijgave |
Feedback