连结7000和7700系列交换机优化acl记录配置示例 - cisco.pdf

目录 简介 先决条件 要求 使用的组件 背景信息 配置 网络图 配置 验证 故障排除 配置注释 详细的ACL记录 全局OAL命令描述 logging命令说明 指南和限制 简介 本文描述如何配置记录(OAL)在Cisco连结7000和7700系列交换机的优化访问控制表(ACL)。 先决条件 要求 思科建议您有连结配置知识与基本ACL的，在您尝试在本文描述的配置前。 使用的组件 本文档中的信息基于下列硬件和软件版本： Cisco Nexus 7000系列交换机 Cisco连结7700系列交换机 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 背景信息 当穿程网络或由网络设备，丢弃记录日志启用的ACL提供见解到流量。不幸地， ACL记录强化中央 处理，并且能负影响网络设备的其他功能。为了减少CPU周期， Cisco连结7000系列交换机使用 OALs。 使用OALs为ACL记录提供硬件支持。OAL在硬件里允许或丢弃数据包并且使用一优化惯例为了发送 信息到Supervisor，以便能生成日志消息。例如，当数据包押与启用时的记录日志的ACL，当在硬 件里时转发，数据包的复制在硬件里创建，并且数据包被踢到登陆的符合Supervisor与配置的时间 间隔。 配置 此部分提供您能使用为了配置连结交换机为使用OALs的信息。 在此部分描述，有主机在IP地址10.10.10.1发送流量到另一台主机在IP地址172.16.10.10通过连结 7000系列接口，有与配置的记录日志的ACL的示例中。 网络图 主机和连结7000系列交换机之间的连接根据此拓扑发生： 配置 完成这些步骤为了配置交换机为使用OALs ： 1. 配置这些global命令为了启用OAL ： 示例如下： Nexus-7000# conf t Enter configuration commands, one per line. End with CNTL/Z. Nexus-7000(config)#logging ip access-list cache entries 8000 Nexus-7000(config)#logging ip access-list cache interval 300 Nexus-7000(config)#logging ip access-list cache threshold 0 2. 申请此配置记录： Nexus-7000# conf t Enter configuration commands, one per line. End with CNTL/Z. Nexus-7000(config)#logging ip access-list cache entries 8000 Nexus-7000(config)#logging ip access-list cache interval 300 Nexus-7000(config)#logging ip access-list cache threshold 0示例如下： Nexus-7000(config)# logging level acllog 5 Nexus-7000(config)# acllog match-log-level 5 Nexus-7000(config)# logging logfile acllog 5 3. 配置ACL为了启用日志。必须配置条目与 日志关键字启用，如此示例所显示： Nexus-7000(config)# ip access-list test1 Nexus-7000(config-acl)# 10 permit ip 10.10.10.1/32 172.16.10.10/32 log Nexus-7000(config-acl)# 20 deny ip any any log Nexus-7000(config-acl)# Nexus-7000(config-acl)#show ip access-lists test1 IP access list test1 10 permit ip 10.10.10.1/32 172.16.10.10/32 log 20 deny i