Nexus 7000 シリーズ スイッチの ACL キャプチャの例

ダウンロード オプション

  • PDF     (200.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (82.5 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (65.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2013 年 4 月 29 日
Document ID:116044

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

アクセスコントロールリスト(ACL)キャプチャは、インターフェイスまたは仮想ローカルエリアネットワーク(VLAN)上のトラフィックを選択的にキャプチャする機能を提供します。ACLルールのキャプチャオプションを有効にすると、指定した許可または拒否アクションに基づいてパケットが転送または廃棄されます。

  1. VLAN 内、
  2. すべてのインターフェイス上の入力方向、
  3. すべてのレイヤ 3 インターフェイス上の出力方向。

この機能は、Nexus 7000 NX-OSリリース5.2以降でサポートされています。このドキュメントでは、この機能の設定方法に関するクイックリファレンスガイドとして例を示します。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • リリース 5.2 以降の Nexus 7000
  • M1 シリーズ ライン カード

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ACL の設定例

VLAN に適用される ACL キャプチャ(仮想 LAN アクセス コントロール リスト(VACL)キャプチャとも呼ばれる)の設定例を示します。指定された 10 ギガビット スニファは、すべてのシナリオには実行できない場合があります。選択的なトラフィックのキャプチャは、特にトラフィック量が多い場合のトラブルシューティングでのシナリオなどに非常に役立ちます。

!! Global command required to enable ACL-capture feature (on default VDC)
hardware access-list capture
 
              monitor session 1 type acl-capture
              destination interface ethernet 2/1
              no shut
              exit
!!
ip access-list TEST_ACL  
  10 permit ip 216.113.153.0/27 any capture session 1
  20 permit ip 198.113.153.0/24 any capture session 1
  30 permit ip 47.113.0.0/16 any capture session 1
  40 permit ip any any  
!! 
!! Note: Capture session ID matches with the monitor session ID
!!
vlan access-map VACL_TEST 10
        match ip address TEST_ACL
        action forward
        statistics per-entry
!!
vlan filter VACL_TEST vlan-list 500

アクセス リストの Ternary Content Addressable Memory(TCAM)プログラムもチェックできます。この出力はモジュール 1 の VLAN 500 用です。

N7k2-VPC1# show system internal access-list vlan 500 input statistics
 
slot  1
=======
 
INSTANCE 0x0
---------------
 
  Tcam 1 resource usage:
  ----------------------
  Label_b = 0x802
   Bank 0
   ------
     IPv4 Class
       Policies: VACL(VACL_TEST)
       Netflow profile: 0
       Netflow deny profile: 0
       Entries:
         [Index] Entry [Stats]   
         ---------------------
  [0006:0005:0005] permit ip 216.113.153.0/27 0.0.0.0/0  capture [0]
  [0009:0008:0008] permit ip 198.113.153.0/24 0.0.0.0/0  capture [0]
  [000b:000a:000a] permit ip 47.113.0.0/16 0.0.0.0/0  capture [0]
  [000c:000b:000b] permit ip 0.0.0.0/0 0.0.0.0/0   [0]
  [000d:000c:000c] deny ip 0.0.0.0/0 0.0.0.0/0   [0]

警告

  1. 仮想デバイス コンテキスト(VDC)全体でシステムで同時にアクティブにできる ACL キャプチャ セッションは 1 つのみです。
  2. Nexus 7000 F1 シリーズ モジュールは、ACL キャプチャをサポートしていません。
  3. Nexus 7000 F2 シリーズ モジュールは、現在 ACL キャプチャをサポートしていませんが、これがロードマップになる場合もあります。
  4. Nexus 7000 M2 シリーズ モジュールの ACL キャプチャは、Cisco NX-OS リリース 6.1(1) 以降でサポートされています。
  5. Nexus 7000 M1 シリーズ モジュールの ACL キャプチャは、Cisco NX-OS リリース 5.2(1) 以降でサポートされています。
  6. ACL キャプチャは、ACL ロギングと互換性がありません。  そのため、log キーワードが含まれる ACL がある場合、hardware access-list capture をグローバルに入力するとこれらは機能しません。
  7. バグ CSCug20139のため、このドキュメントの例は、バグが解決されるまで ACL ではなく ACE あたりの capture session で記載されます。

関連情報

更新履歴

改定 発行日 コメント
1.0
29-Apr-2013
初版
TAC Authored

シスコ エンジニア提供

  •  Rajesh Gatti, Geovany Gonzalez, and Andy Gossett
    Cisco TAC Engineers.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています