Catalyst 3850 スイッチのセキュリティ ACL TCAM 枯渇のトラブルシューティング

Similar documents
Catalyst 4500 スイッチでの ACL および QoS TCAM 枯渇の防止

マルチポイント GRE を介したレイヤ 2(L2omGRE)

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

PfRv2 での Learn-List と PfR-Map の設定

ICND2-Road to ICND2- 前提知識 ICND 2では CCEN Tレベルの知識がある方 (ICND 1 試験の合格レベル ) を対象とし それ同等 の知識が必要になってきます 研修に参加されるまでに以下の項目を復習しておくことを お勧めします IP アドレスとサブネットマスク ホスト

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

PIM-SSMマルチキャストネットワーク

URL ACL(Enhanced)導入ガイド

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

ip nat outside source list コマンドを使用した設定例

VRF のデバイスへの設定 Telnet/SSH アクセス

実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

R80.10_FireWall_Config_Guide_Rev1

一般的に使用される IP ACL の設定

untitled

IPv6 ACL の設定

Catalyst 2948G-L3 スイッチの IP アップリンク リダイレクト設定

IPv4 ACL の設定

Nexus 1000V による UCS の MAC アドレスのトレース

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

<4D F736F F F696E74202D C F815B834E95D2836E E9197BF76322E312D8CF68A4A97702E B8CDD8AB B83685D>

VLAN の設定

IPv6 リンクローカル アドレスについて

IPv4 ACL の設定

コントロール プレーン ポリシング(CoPP)

外部ルート向け Cisco IOS と NXOS 間の OSPF ルーティング ループ/最適でないルーティングの設定例

IPv4 ACL の設定

IPv4 ACL の設定

リング型IPカメラ監視ソリューション(マルチキャスト編)

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

acl.dvi

概要

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

ACI でのパケット ドロップ障害の説明

SRX IDP Full IDP Stateful Inspection 8 Detection mechanisms including Stateful Signatures and Protocol Anomalies Reassemble, normalize, eliminate ambi

Maximize the Power of Flexible NetFlow

ルーティング 補足資料

VACL IP IPX 3 MAC VACL VLAN VLAN VACL VLAN VACL VLAN Catalyst 6000 ACL IOS ACL IOS ACL MSFC PFC VACL QoS ACL MSFC PFC VACL QoS ACL QoS Catalyst 6000 F

ACL によるネットワーク セキュリティ の設定

橡ボーダーライン.PDF

SCREENOS NAT ScreenOS J-Series(JUNOS9.5 ) NAT ScreenOS J-Series(JUNOS9.5 ) NAT : Destination NAT Zone NAT Pool DIP IF NAT Pool Egress IF Loopback Grou

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

制御メッセージ

Cisco HyperFlex セットアップ概要

F コマンド

目 次 1 改 訂 履 歴 はじめに L2 ACL 基 本 設 定 L2 ACL の 作 成 L2 ACL のインタフェースまたは VLAN への 適 用 L2 ACL の 設 定 の 確 認 L3 AC

h-hwang11phdthesis-RealizingName.pptx

リング型IPカメラ監視ソリューション

F コマンド

シナリオ:DMZ の設定

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

ユニキャスト RIB および FIB の管理

00.目次_ope

PowerPoint プレゼンテーション

宛先変更のトラブルシューティ ング

パス トレースの実行

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

FQDN を使用した ACL の設定

Implementing Aruba Campus Switching Solutions | Certification and Learning

Łñ“’‘‚2004


プリント

Policy Based Routing:ポリシー ベース ルーティング

Managed Firewall NATユースケース

Juniper Networks Corporate PowerPoint Template

SMTP ルーティングの設定

セキュリティ機能の概要

実習 :VLAN 間ルーティングのトラブルシューティング トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 8 ページ

コア・スイッチAT-SBx908シリーズとデータセンタースイッチAT-DC2552XSシリーズで実現する10Gデータセンターネットワーク

PowerPoint Presentation

Policy Based Routing:ポリシー ベース ルーティング

IPSEC-VPN IPsec(Security Architecture for Internet Protocol) IP SA(Security Association, ) SA IKE IKE 1 1 ISAKMP SA( ) IKE 2 2 IPSec SA( 1 ) IPs

9.pdf

はじめに 注意事項 本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 商標一覧 RSA RSA ロゴ SecurID については RSA Security Inc. の米国およびその他の国における商標

untitled

アライドテレシスコア スイッチ AT-SBx908 シリーズで実現する AMF-SBx908 ソリューション Solution No 主な目的 ネットワークの一元管理 共有化をしたい 既存ネットワークを再構築せずに 簡単に導入したい ネットワーク管理 運用にかかるコストを削減

untitled

割り込みによって CPU 使用率が高くなる場合のトラブルシューティング

IGMPS.dvi

アライドテレシス・コアスイッチ AT-x900 シリーズ で実現するエンタープライズ・VRRPネットワーク

リンク バンドル コマンド

Microsoft Word - ID32.doc

アライドテレシス コア・スイッチ SwitchBlade x908 / x900シリーズとディストリビューションスイッチ x600シリーズで実現するIPv4/v6 デュアルスタック・リングネットワーク

適応型セキュリティ アプライ アンスの設定

untitled

untitled

セキュリティ機能の概要

Cisco ルータと Novell NetWare Server の間の IPX 初期設定およびトラブルシューティング

ASA の脅威検出機能および設定

AN424 Modbus/TCP クイックスタートガイド CIE-H14

AP-700/AP-4000 eazy setup

X.25 PVC 設定

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

BGPルートがアドバタイズされない場合のトラブルシューティング

EtherChannelの設定

TAC Webcast regarding 3rd LAN Switch Book

Openconfigを用いたネットワーク機器操作

RTX830 取扱説明書

Transcription:

Catalyst 3850 スイッチのセキュリティ ACL TCAM 枯渇のトラブルシューティング 目次 概要背景説明問題解決策 Catalyst 3850 スイッチのセキュリティ ACL TCAM のトラブルシューティング 概要 Catalyst 3850 スイッチはハードウェアのセキュリティアクセスコントロールリスト (ACL) がどのように実装されている そしてどのようにセキュリティ Ternary Content Addressable Memory (TCAM) が ACL のさまざまな型間で利用されるかこの資料に説明されています 背景説明 このリストは ACL のさまざまな型に定義を提供します : VLAN Access Control List (VACL) - VACL は VLAN に適用される ACL です それはインターフェイスの VLAN および他の型にしか適用することができません セキュリティ境界は VLAN 内の VLAN と割り当てまたは拒否トラフィック間の移動割り当てまたは拒否トラフィックにあります VLAN ACL はハードウェアでサポートされ パフォーマンスに効果をもたらしません ポートアクセス コントロール リスト (PACL) - PACL はレイヤ2 スイッチポートインターフェイスに適用される ACL です セキュリティ境界は VLAN 内の割り当てまたは拒否トラフィックにあります PACL はハードウェアでサポートされ パフォーマンスに効果をもたらしません ルータ ACL (RACL) - RACL はそれに割り当てられるレイヤ3 アドレスがあるインターフェイスに適用される ACL です それはルーテッドインターフェイス ループバックインターフェイスおよび VLANインターフェイスのような IP アドレスがあるあらゆるポートに適用することができます セキュリティ境界はサブネットかネットワークの間で移動する割り当てまたは拒否トラフィックにあります RACL はハードウェアでサポートされ パフォーマンスに効果をもたらしません グループ ベース ACL (GACL) - GACL は ACL のためのオブジェクトグループで定義されるグループ ベース ACL です 問題

Catalyst 3850/3650 スイッチで 入力された PACL および出力 PACL アクセス制御エンティティ (ACE) は 2 つの別々の領域 / バンクにインストールされています これらの領域 / バンクは ACL TCAM (TAQs) と問い合わせられます VACL 入出力 ACE は単一領域 (TAQ) で保存されます ドップラーハードウェアの制約が原因で VACL は両方 TAQs を使用できません 従って VACL/vlmap に値マスク結果 (VMR) 領域半分がセキュリティ ACL に利用可能なありますただ これらのログはこれらのハードウェア制限のうちのどれかが超過するとき現われます : %ACL_ERRMSG-4-UNLOADED: 1 fed: Output IPv4 L3 ACL on interface Vl215 for label 19 on asic255 could not be programmed in hardware and traffic will be dropped. %ACL_ERRMSG-4-UNLOADED: 1 fed: Output IPv4 L3 ACL on interface Vl216 for label 20 on asic255 could not be programmed in hardware and traffic will be dropped. %ACL_ERRMSG-4-UNLOADED: 1 fed: Output IPv4 L3 ACL on interface Vl218 for label 22 on asic255 could not be programmed in hardware and traffic will be dropped. ただしこれらのログが現われるとき セキュリティ ACE TCAM は完全ようではないかもしれません 解決策 不正確 1 ACE が 1 VMR を常に消費すると仮定するためにです ある特定の ACE は消費する場合があります : 前の ACE とマージされて得る場合 0 VMRs VCU ビットが範囲を処理して利用できる場合 1 VMR VCU ビットが利用できないのでそれが拡張されて得る場合 3 VMRs Catalyst 3850 データシートは 3,000 のセキュリティ ACL エントリがサポートされることを提案します ただし これらのルールはこの 3,000 ACE がどのように設定することができるか定義します : それらが 2 TAQs の 1 つだけを使用できるように 1.5K エントリの合計 VACL/vlmaps サポート MAC VACL/vlmap は 3 VMR/ACEs を必要とします これは 460 ACE が各方向でサポートする必要があることを意味します IPv4 VACL/vlmap は 2 VMR/ACEs を必要とします これは 690 ACE が各方向でサポートする必要があることを意味します IPv4 PACL RACL および GACL 必要 1 VMR/ACE これは 1,380 ACE が各方向でサポートする必要があることを意味します MAC PACL RACL および GACL 必要 2 VMR/ACEs これは 690 ACE が各方向でサポートする必要があることを意味します IPv6 PACL RACL および GACL 必要 2 VMR/ACEs これは 690 ACE が各方向でサポートする必要があることを意味します Catalyst 3850 スイッチのセキュリティ ACL TCAM のトラブルシューティング セキュリティ TCAM 利用をチェックして下さい : 注 : インストール済みセキュリティ ACE が 3,072 より小さいのに 以前に述べられる制限の 1 つは達するかもしれません たとえば 顧客は入力方向で適用される RACL のほとん

どがあれば 受信 RACL のために利用可能な 1,380 のエントリを使い果すことができます ただし TCAM 枯渇ログは 3,072 のエントリがすべて使用される前に出て来ることができます 3850#show platform tcam utilization asic all CAM Utilization for ASIC# 0 Table Max Values Used Values -------------------------------------------------------------------------------- Unicast MAC addresses 32768/512 85/22 Directly or indirectly connected routes 32768/7680 125/127 IGMP and Multicast groups 8192/512 0/16 QoS Access Control Entries 3072 68 Security Access Control Entries 3072 1648 Netflow ACEs 1024 15 Input Microflow policer ACEs 256 7 Output Microflow policer ACEs 256 7 Flow SPAN ACEs 256 13 Control Plane Entries 512 195 Policy Based Routing ACEs 1024 9 Tunnels 256 12 Input Security Associations 256 4 Output Security Associations and Policies 256 9 SGT_DGT 4096/512 0/0 CLIENT_LE 4096/64 0/0 INPUT_GROUP_LE 6144 0 OUTPUT_GROUP_LE 6144 0 TCAM にインストールされる ACL のハードウェア状態をチェックして下さい : 3850#show platform acl info acltype? all Acl type ipv4 Acl type ipv6 Acl type mac Acl type 3850#show platform acl info acltype all ######## Printing ACL Infos ################# =================================== IPv4 ACL: Guest-ACL aclinfo: 0x52c41030 ASIC255 Input L3 labels: 4 ipv4 Acl: Guest-ACL Version 16 Use Count 0 Clients 0x0 10 permit udp any 8 host 224.0.0.2 eq 1985 20 permit udp any 8 any eq bootps 30 permit ip 10.100.176.0 255.255.255.0 any 3850#show platform acl info switch 1 ######## Printing ACL Infos ################# ===================================

IPv4 ACL: Guest-ACL aclinfo: 0x52c41030 ASIC255 Input L3 labels: 4 ipv4 Acl: Guest-ACL Version 16 Use Count 0 Clients 0x0 10 permit udp any 8 host 224.0.0.2 eq 1985 20 permit udp any 8 any eq bootps 30 permit ip 10.100.176.0 255.255.255.0 any ACL がインストールされていたり / 取除かれる時はいつでも ACL イベントログをチェックして下さい : 3850#show mgmt-infra trace messages acl-events switch 1 [04/22/15 21:35:34.877 UTC 3a8 5692] START Input IPv4 L3 label_id 22 asic3 num_les 1 old_unload 0x0, cur_unloaded 0x0, trid 236 num_vmrs 11 [04/22/15 21:35:34.877 UTC 3a9 5692] Trying L3 iif_id 0x104608000000100 input base FID 14 [04/22/15 21:35:34.878 UTC 3aa 5692] Input IPv4 L3 label_id 22 hwlabel 22 asic3 status 0x0 old_unloaded 0x0 cur_unloaded 0x0 trid 236 [04/22/15 21:35:35.939 UTC 3ab 5692] MAC: 0000.0000.0000 Adding Input IPv4 L3 acl [Postage-Printer] BO 0x1 to leinfo le_id 29on asic 255 [04/22/15 21:35:35.939 UTC 3ac 5692] MAC: 0000.0000.0000 Rsvd label 0 --> New label 23, asic255 [04/22/15 21:35:35.939 UTC 3ad 5692] START Input IPv4 L3 label_id 23 asic3 num_les 1 old_unload 0x0, cur_unloaded 0x0, trid 237 num_vmrs 5 ACL 連想記憶メモリ (CAM) を印刷して下さい : C3850-1#show platform acl cam ======== ACL TCAM (asic 0) ========= Printing entries for region ACL_CONTROL (135) ======================================================== TAQ-4 Index-0 Valid StartF-1 StartA-1 SkipF-0 SkipA-0: Entry allocated in invalidated state Mask1 00f00000:00000000:00000000:00000000:00000000:00000000:00000000:00000000 Key1 00400000:00000000:00000000:00000000:00000000:00000000:00000000:00000000 AD 90220000:2f000000 TAQ-4 Index-1 Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Mask1 00f00000:0f000000:00000000:00000000:00000000:00000000:00000000:00000000 Key1 00400000:01000000:00000000:00000000:00000000:00000000:00000000:00000000 AD 00a00000:00000000 項目別にされた ACL ヒットおよびドロップカウンタを印刷して下さい : C3850-1#show platform acl counters hardware switch 1 ========================================================= Ingress IPv4 Forward (280): 397555328725 frames Ingress IPv4 PACL Drop (281): 147 frames Ingress IPv4 VACL Drop (282): 0 frames Ingress IPv4 RACL Drop (283): 0 frames Ingress IPv4 GACL Drop (284): 0 frames Ingress IPv4 RACL Drop and Log (292): 3567 frames Ingress IPv4 PACL CPU (285): 0 frames

Ingress IPv4 VACL CPU (286): 0 frames Ingress IPv4 RACL CPU (287): 0 frames Ingress IPv4 GACL CPU (288): 0 frames

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック