購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
2241
閲覧回数
0
いいね!
0
コメント

Catalyst 9000 ACL ロギング、統計情報について

Hirofumi Nonose
Cisco Employee
Cisco Employee

‎2022-07-29 09:56 AM ‎2022-07-29 09:57 AM 更新

 

 

はじめに

本ドキュメントでは、ACL ロギング、ACL 統計情報の動作を検証結果を踏まえた動作について解説します。

本検証は、以下の環境下にて、C9407R Version 17.3.4 のバージョンを使用し検証を実施しています。

test-topology.jpg

 

 

ACL ロギング

標準 IP アクセス リストのロギング機能は、標準 IP アクセス リストによって許可または拒否されるパケットに関するメッセージをロギングする機能を提供します。
アクセス リストに一致するパケットによって、デバイス コンソールに送信されるパケットに関する情報ロギング メッセージが生成されます。

Configuration

(config)#access-list 100 permit ip host 10.1.1.1 host 10.2.2.2 log

 

ロギングメッセージ

*Jul 27 04:57:00.430: %SEC-6-IPACCESSLOGDP: list 100 denied icmp 10.1.1.1 -> 10.2.2.2 (8/0), 1 packet

 

特徴

  • ACL ロギングは、SVI で使用するL3 インターフェース、もしくは、ルーテッドインターフェースのみでサポートされます
  • コントロールプレーンから生成されたパケットに対し、Egress 方向のACL ログはサポートしていません
  • ルーティングはハードウェアで、ロギングは、ソフトウェアで行われるため、ACL にマッチするパケットが多い場合、ハードウェア処理の処理速度に追いつけず、すべてのパケットのログを残せない場合があります
  • 最初のパケットは、ログメッセージをすぐに表示し、それ以降は、 5分間隔で表示、ロギングされます

 

 

ACL Statistics(統計情報) 

show ip access-lists ログ

#show ip access-lists
Extended IP access list 100
20 deny ip host 10.1.1.1 host 10.2.2.2 log (5 matches)

 

特徴

  • ACE 単位ではなく、集約レベルで収集します
  • ACE やACL の統計情報ごとに許可する機能はありません
  • Deny、Log、CPU転送パケットなどの統計情報を収集します
  • log キーワードが設定されていない場合、Ingress 方向の deny ACL のみ( x matches)の統計情報を収集します
  • MAC、IPv4、IPv6パケットの統計情報は個別に収集されます
  •  " show platform software fed switch active acl counters hardware "にて、集約されたハードウェアマッチの統計情報を表示します
 
Ingress 方向のdeny ACL 設定時のハードウェアマッチカウンターログ
#show platform software fed active acl counters hardware
=========== Cumulative Stats Across All Asics ===========
Unknown Stat Counter (0x49000001): 1460 frames
Ingress IPv4 Forward (0x8d000003): 673 frames
Ingress IPv4 Forward from CPU (0xc2000004): 0 frames
Ingress IPv4 PACL Drop (0x77000005): 0 frames
Ingress IPv4 VACL Drop (0x23000006): 0 frames
Ingress IPv4 RACL Drop (0xed000007): 5 frames
Ingress IPv4 GACL Drop (0x92000008): 0 frames
Ingress IPv4 RACL Drop and Log (0x93000009): 0 frames
Ingress IPv4 VACL Drop and Log (0x6100000a): 0 frames
(snip)
 
ACL 統計情報のクリア
  • ソフトウェアマッチカウンターのクリア
clear ip access-list counters {access-list-number | access-list-name}
  • ハードウェアマッチカウンターのクリア
clear platform software fed active acl counters hardware
 
debug による動作の確認(debug ip packet details)
*Jul 22 02:09:35.536: FIBipv4-packet-proc: route packet from Vlan100 src 10.1.1.1 dst 10.2.2.2
*Jul 22 02:09:35.536: FIBfwd-proc: packet routed by adj to Vlan101 192.168.20.2
*Jul 22 02:09:35.537: FIBipv4-packet-proc: packet routing succeeded
*Jul 22 02:09:35.537: IP: tableid=0, s=10.1.1.1 (Vlan100), d=10.2.2.2 (Vlan101) nexthop=192.168.20.2, routed via FIB
*Jul 22 02:09:35.537: FIBipv4-packet-proc: route packet from (local) src 192.168.10.1 dst 10.1.1.1
*Jul 22 02:09:35.537: FIBfwd-proc: packet routed by adj to Vlan100 192.168.10.2
*Jul 22 02:09:35.537: FIBipv4-packet-proc: packet routing succeeded
*Jul 22 02:09:35.537: IP: tableid=0, s=192.168.10.1 (local), d=10.1.1.1 (Vlan100) nexthop=192.168.10.2, routed via FIB
*Jul 22 02:09:35.537: IP: s=192.168.10.1 (local), d=10.1.1.1 (Vlan100), len 56, sending
*Jul 22 02:09:35.537: ICMP type=3, code=1
※ACL にてフィルタされている場合は、ICMP Type 3 Code 13 (admin prohibited) を返します。

 

参考情報

ラベル:
0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents