本檔案介紹存取控制清單(ACL)擷取功能,此功能是用來選擇性監控介面或VLAN上的流量。為ACL規則啟用capture選項時,會根據指定的操作轉發或丟棄與此規則匹配的資料包,並且還可能會將其複製到備用目標埠以進行進一步分析。
A.此功能類似Catalyst 6000系列交換器平台支援的VLAN存取控制清單(VACL)擷取功能。您可以設定ACL擷取,以選擇性地監控介面或VLAN上的流量。為ACL規則啟用capture選項時,會根據指定的permit或deny操作轉發或丟棄與此規則匹配的資料包,並且還可能將其複製到備用目標埠以進行進一步分析。
A.在系統中的任意指定時間,只能跨虛擬裝置環境(VDC)啟用一個ACL捕獲會話。 ACL三重內容可定址儲存器(TCAM)在VACL中可具有儘可能多的應用控制引擎(ACE)。
A.是。Cisco NX-OS版本5.2(1)及更高版本支援M1模組上的ACL捕獲。
A.是。Cisco NX-OS版本6.1(1)及更高版本支援M2模組上的ACL捕獲。
A. F1系列模組不支援ACL捕獲。
答:F2系列模組目前不支援ACL捕獲,但可能會在規劃圖中提供此功能。請諮詢業務部門(BU)確認。
A.可以應用帶捕獲選項的ACL規則:
是的。ACL擷取功能有一些限制,如下所示:
答:否。目標只能是使用hardware access-list capture命令配置的一個接口。
A.是。一個VLAN清單中可以指定多個VLAN。例如:
vlan access-map acl-vlan-first
match ip address acl-ipv4-first
match mac address acl-mac-first
action forward
statistics per-entry
vlan filter acl-vlan-first vlan-list 1,2,3
A. 對於沒有XL線卡的裝置,支援的最大IP ACL條目數是64,000,而對於有XL線卡的裝置,則是128,000。
A.重寫後會發生VACL捕獲,因此進入VLAN X和退出VLAN Y的幀會被捕獲到VLAN Y中。
A.機箱中混合使用M1和M2卡不應對VACL的使用產生任何影響。
答:ACL捕獲准則可在Cisco Nexus 7000系列NX-OS安全配置指南6.x版中檢視。
以下示例展示如何在預設VDC中啟用ACL捕獲並為ACL捕獲資料包配置目標:
hardware access-list capture
monitor session 1 type acl-capture
destination interface ethernet 2/1
no shut
exit
show ip access-lists capture session 1
以下範例顯示如何為ACL的ACE啟用捕獲作業階段,然後將ACL套用到介面:
ip access-list acl1
permit tcp any any capture session 1
exit
interface ethernet 1/11
ip access-group acl1 in
no shut
show running-config aclmgr
以下範例顯示如何對具有擷取作業階段ACE的ACL套用到VLAN:
vlan access-map acl-vlan-first
match ip address acl-ipv4-first
match mac address acl-mac-first
action foward
statistics per-entry
vlan filter acl-vlan-first vlan-list 1
show running-config vlan 1
以下範例顯示如何為整個ACL啟用擷取作業階段,然後將ACL套用到介面:
ip access-list acl2
capture session 2
exit
interface ethernet 7/1
ip access-group acl1 in
no shut
show running-config aclmg
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
12-Jun-2013 |
初始版本 |