Configuración de las ACL en el módulo de router WS-X4232-L3 para la familia Catalyst 4000

Transcripción

1 Configuración de las ACL en el módulo de router WS-X4232-L3 para la familia Catalyst 4000 Interactivo: Este documento ofrece un análisis personalizado de su dispositivo Cisco. Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Teoría Precedente Restricciones de la lista de control de acceso Lista de control de acceso del plano de datos Configurar Diagrama de la red Configuraciones Verificación Troubleshooting Procedimiento de Troubleshooting Se niega el tráfico incorrecto Tamaño de TCAM Información Relacionada Introducción Este documento describe el Soporte de la Lista de control de acceso (ACL) en el módulo del router WS-X4232-L3 para los switches Catalyst 4003 y Incluida es una descripción de la arquitectura y de una configuración de muestra que emplee los ACL para restringir el tráfico de datos entre los VLAN distintos. Para la información sobre cómo configurar el módulo del router para rutear todo el tráfico sin la aplicación de los ACL, refiera a la configuración y a la descripción del módulo del router para el Catalyst 4000 Family (WS-X4232-L3). Para más información sobre cómo instalar y configurar el módulo del router, refiera a la nota de instalación y configuración para el Módulo de servicios de la capa 3 del Catalyst prerrequisitos Requisitos El Catalyst 4003 con Supervisor I y el Catalyst 4006 con Supervisor II admiten el módulo del router. Los requisitos de software para los Catalyst 4003 y 4006 Switches para soportar el módulo WS-X4232-L3 son como sigue: El Catalyst 4003 Supervisor Engine I (WS-X4012) requiere la versión 5.5(1) o posterior del software de Cisco Catalyst. El Catalyst 4006 Supervisor Engine II (WS-X4013) requiere software Cisco Catalyst versión 5.5(1) o posterior. El Módulo de servicios de la capa 3 del Catalyst 4000 requiere el Software Release 12.0(10)W5(18f) o Posterior de Cisco IOS. Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Dos switches Catalyst 4003 que ejecutan Catalyst OS 6.3(10) Dos Routers del Switch WS-X4232-L3 que funciona con el Software Release 12.0(18)W5(22b) de Cisco IOS Para una descripción general de la arquitectura del módulo del router WS-X4232-L3, refiera sección a la descripción general de la arquitectura

2 "WS-X4232-L3 de la configuración y de la descripción del módulo del router para la familia del Catalyst 4500/4000 (WS-X4232-L3). La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco. Teoría Precedente Los ACL permiten que usted restrinja el uso de la red por los ciertos usuarios o los dispositivos. El flujo de paquetes puede ser las interfaces controlado en o de los con la aplicación de los ACL a las interfaces Gigabit del módulo WS-X4232-L3. Los ACL se pueden configurar para todos los protocolos de red ruteada, tales como IP o Intercambio de paquetes entre redes (IPX) para filtrar los paquetes, pues los paquetes pasan con el CPU o se rutean a través del hardware WS-X4232-L3. Se admiten tanto las ACL de plano de control como las de plano de datos. Las ACL de los planos de control se utilizan para filtrar datos que son procesados por la CPU en el módulo del router. Algunos ejemplos del tráfico de plano de control son distribución de la información de ruteo, el Internet Group Management Protocol (IGMP) se une a, y los protocolos service advertising IPX (savias) y consigue los paquetes más cercanos del servidor (GNS). Los ACL de planos de datos se utilizan para filtrar los datos del usuario que son ruteados por el hardware en el módulo del router. Entre los ejemplos de estos se encuentran el denegado de sesiones TCP entre dos hosts y el control de acceso a dispositivos en una red IPX. Estos ACL se aplican a una interfaz en la dirección de entrada o salida con el comando ip access-group o ipx access-group. Los ACL se crean y se aplican a una interfaz para entrante o el tráfico saliente. Solamente un filtro ACL puede ser aplicado por la dirección, por el protocolo, por la interfaz (sub). Cuando el router recibe los datos, el router decide si remitir o bloquear cada paquete. El router procesa cada paquete en función de si el paquete coincide con los criterios de la lista. Los paquetes que no lo hacen los criterios de concordancia en su lista son bloqueados automáticamente por niegan el enunciado de criterios implícito de todo el tráfico en el final de cada ACL. Para obtener detalles sobre las características del software que soporta el módulo router WS-X4232-L3, consulte la sección características de la nota de configuración e instalación para el módulo de servicios de capa 3 de Catalyst Restricciones de la lista de control de acceso Estas restricciones se aplican cuando usted configura los ACL en el Módulo de servicios de la capa 3 del Catalyst 4000: Los ACL se soportan solamente en los puertos Gigabit Ethernet y las subinterfaces correspondientes de Gigabit Ethernet. Los ACL no se soportan en el (BVI), el Fast EtherChannel (FEC), el Gigabit EtherChannel (GEC), o las interfaces Fast Ethernet del Interfaz Virtual de Bridge-Group. Las ACL dinámicas y reflexivas no son compatibles. La contabilidad de violaciones de acceso no está admitida. El registro de ACL se soporta solamente para los paquetes permitidos dirigidos al CPU. Aunque la CPU procesa las ACL de planos de control, sólo se envían a la CPU los paquetes permitidos. Los ACL programan una negación en el hardware antes del alcance ACL el CPU y por lo tanto no pueden ser registrados. Los paquetes conmutados no admiten el registro de a ACL. Los estilos denominados, extendidos y estándar son ACL admitidas para IP. Lista de control de acceso del plano de datos Este documento se centra en los ACL de planos de datos. Esta lista describe cómo las restricciones se aplican directamente a los ACL de planos de datos en el WS-X4232-L3: Los ACL de planos de datos se soportan solamente en los puertos Gigabit Ethernet y las subinterfaces correspondientes de Gigabit Ethernet. Las interfaces GEC no admiten ACL de plano de datos. Los ACL de planos de datos no se soportan en las subinterfaces GEC. No se admite el registro ACL en aquellos paquetes conmutados que no han sido procesados por la CPU. Los registros de ACL para paquetes permitidos, los contadores de aciertos ACL y la contabilidad de violaciones de accesos no son compatibles. La configuración estándar utilizada para el módulo WS-4243-L3 es configurar GEC en las interfaces gigabit conectadas a la placa de interconexiones. Para más información sobre este tipo de configuración, consulte Configuración y descripción general del módulo del router para la familia Catalyst 4000 (WS-X4232-L3). Sin embargo, según lo expuesto previamente, los ACL no se soportan en las interfaces o las subinterfaces GEC GEC. Aunque el analizador de sintaxis permita que usted configure un ACL en el portchannel, tenga presente que esto no es una configuración admitida y que no lo hace filtrar tráfico. La única configuración soportada es configurar los ACL de plano de datos en el puerto Gigabit Ethernet y sus correspondientes subinterfaces Gigabit Ethernet. Por lo tanto la única opción es configurar cada interfaz Gigabit interno como tronco 802.1q separado o como puertos de la capa 2.

3 Cuando usted configura cada interfaz Gigabit como tronco 802.1q, se agregan las subinterfaces. Esto ocurre porque los trunks se configuran en las subinterfaces, y las subinterfaces determinan qué VLA N se permiten en cada link de troncal. El control del VLA N es posible ahora porque los ACL de planos de datos se pueden aplicar a las subinterfaces del la interfaz principal, pues el ejemplo aquí muestra: Nota: Solamente la encapsulación 802.1q se soporta en el Catalyst 4003 y los 4006 con el Supervisor Engine I y el II respectivamente. interface GigabitEthernet3 --- Subinterface for VLAN 10. interface GigabitEthernet Trunk configuration for 802.1q encapsulation for VLAN 10. encapsulation dot1q IP address for VLAN 10. ip address ACL applied to filter all inbound traffic based on the criteria in --- ACL 101. ip access-group 101 in --- Subinterface for VLAN 20. interface GigabitEthernet Trunk configuration for 802.1q encapsulation for VLAN 20. encapsulation dot1q IP address for VLAN 20. ip address ACL applied to filter all inbound traffic based on the criteria in --- ACL 101. ip access-group 101 in Si su red consiste en solamente dos VLA N, usted puede configurar cada interfaz de Ethernet Gigabite como VLAN distinto. El control del VLA N es posible ahora porque los ACL de planos de datos se pueden aplicar a cada interfaz Gigabit, tal y como se muestra en de este ejemplo. interface GigabitEthernet3 --- VLAN 1 IP address. ip address ACL applied to the interface blocks inbound traffic destined for VLAN ACL applied to filter all inbound traffic based on the criteria in ACL 101. ip access-group 101 in interface GigabitEthernet4 --- VLAN 10 IP address. ip address ACL applied to the interface blocks inbound traffic destined for VLAN ACL applied to filter all inbound traffic based on the criteria in ACL 101. ip access-group 102 in

4 Configurar En esta sección, le presentan con la configuración de muestra de una red simple que utilice los ACL de planos de datos en el módulo WS-X4232- L3 para restringir el tráfico entre dos VLAN distintos. La configuración de ejemplo aplica los ACL en las interfaces gigabit de la placa principal (Gigabit Ethernet 3 y 4) para restringir el tráfico de datos entre VLAN separadas. Las interfaces Gigabit (Gigabit Ethernet 1 y 2) en el panel frontal es interfaces de la capa 3 y se configura lo mismo que cualquier interfaz del router. Por lo tanto, las configuraciones ACL en estos puertos no se cubren. Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados). En esta configuración, estos factores se aplican al Switches: el enlace 802.1q entre dos switches de Catalyst está conectado con los links Fast Ethernet. Los IP Addresses se asignan al Switches para la Administración solamente. Los modos del VLAN Trunk Protocol (VTP) se fijan en el Switches. Segundo VLA N (el VLA N 10) se agrega en el Switches; los puertos se agregan en esos VLA N. El árbol de expansión Portfast está activado en los puertos, donde se conectan las estaciones de trabajo. Según la topología, el árbol de expansión Portfast se habilita en los puertos 2/4 en ambo Switches. La gateway predeterminada ha sido configurada. En esta configuración, estos factores se aplican al router WS-X4232-L3: Los IP Addresses se han asignado a las interfaces Gigabit Ethernet internas. Los ACL ampliados se han configurado para restringir el tráfico de datos entre el VLAN predeterminado 1 y el segundo VLAN10. Los ACL fueron asignados a las interfaces Gigabit Ethernet internas. Diagrama de la red Este documento utiliza la configuración de red que se muestra en este diagrama: Los ACL fueron asignados a las interfaces Gigabit Ethernet internas. Configuraciones Este documento utiliza las configuraciones mostradas aquí: maui-c (Catalyst 4003 de Cisco) maui-4232-l3-01 (router WS-X232-L3 de Cisco) maui-c (4003 de Catalyst de Cisco) maui-4232-l3-02 (router Cisco WS-X232-L3) begin # ***** NON-DEFAULT CONFIGURATION ***** maui-c (Catalyst 4003 de Cisco)

5 #time: Mon Nov , 09:14:34 #version 6.3(10) #system web interface version(s)set prompt maui-c #test #frame distribution methodset port channel all distribution mac both #vtp set vtp domain maui set vlan 1 name default type ethernet mtu 1500 said state active set vlan 10 name VLAN0010 type ethernet mtu 1500 said state active set vlan 1002 name fddi-default type fddi mtu 1500 said state active set vlan 1004 name fddinet-default type fddinet mtu 1500 said state active stp ieee set vlan 1005 name trnet-default type trbrf mtu 1500 said state active stp ibm set vlan 1003 name token-ring-default type trcrf mtu 1500 said state active mode srb aremaxhop 0 stemaxhop 0 backupcrf off #ip --- Assign an IP address to the sc0 interface with the --- set interface sc0 <vlan> <ip_addr>/ <netmask><broadcast> --- command. set interface sc / set interface sl0 downset interface me1 down --- Assign the default gateway with the set ip route default <gateway> --- command. The default gateway is the Gigabit Ethernet 3 interface (VLAN 1 interface) on the --- maui-4232-l3-01. set ip route / #spantree #vlan <VlanId> #set boot command set boot config-register 0x2102 set boot system flash bootflash:cat bin #module 1 : 0-port Switching Supervisor #module 2 : 34-port Router Switch Card --- Ports assigned to VLAN Port 2/2 is the internal gigabit port that connects to the backplane. --- Note that port 2/1 does not appear, this is because it is assigned --- to VLAN 1 by default. set vlan 10 2/2,2/4 set port speed 2/3,2/5 100 set port duplex 2/3,2/5 full --- Enabling portfast for PC interface. set spantree portfast 2/4 enable q trunk link which passes VLAN 1 and VLAN 10 traffic between --- switches. set trunk 2/3 desirable dot1q #module 3 empty end maui-4232-l3-01# show run Building configuration... Current configuration: version 12.0 no service pad service timestamps debug uptime maui-4232-l3-01 (router WS-X232-L3 de Cisco)

6 service timestamps log uptime no service password-encryption hostname maui-4232-l3-01 ip subnet-zero no ip domain-lookup interface FastEthernet1 no ip address shutdown interface GigabitEthernet1 no ip address shutdown interface GigabitEthernet2 no ip address shutdown interface GigabitEthernet3 --- VLAN 1 IP address. ip address ACL applied to the interface blocks inbound traffic destined for VLAN 10. ip access-group 101 in --- Hot Standby Router Protocol (HSRP) is not required for this configuration, but --- is commonly used in this topology. For additional information on HSRP, refer to --- Avoiding HSRP Instability in a Switching Environment with Various Router Platforms. --- The standby priority command specifies the priority for the HSRP interface. --- Increase the priority of at least one interface in the HSRP group to a value greater --- than the default (the default is 100). --- The interface with the highest priority becomes active for that HSRP group. standby priority 110 preempt --- The standby ip command enables HSRP and specifies the --- group and the HSRP IP address. --- If you do not specify a group-number, group 0 is used. standby 1 ip interface GigabitEthernet4 --- VLAN 2 IP address. ip address ACL applied to the interface blocks inbound traffic destined for VLAN 1. ip access-group 102 in --- The standby priority command specifies the priority for the HSRP interface. standby priority 100 preempt --- The standby ip command enables HSRP and specifies the group and the HSRP --- IP address. standby 1 ip ip classless --- The access-list 101 command does not allow any device on network (VLAN 1) --- to send any IP traffic to any device on the network (VLAN 10). access-list 101 deny ip

7 --- Allows all other IP traffic to pass. access-list 101 permit ip any any --- The access-list 102 command does not allow any device on network (VLAN 10) --- to send IP traffic to any device on the network (VLAN 1). access-list 102 deny ip Allows all other IP traffic to pass. access-list 102 permit ip any any line con 0 transport input none line aux 0 line vty 0 4 login end maui-c (4003 de Catalyst de Cisco) begin # ***** NON-DEFAULT CONFIGURATION ***** #time: Mon Nov , 09:39:47 #version 6.3(10) #system web interface version(s) set prompt maui-c #test #frame distribution method set port channel all distribution mac both #vtp set vtp domain maui set vlan 1 name default type ethernet mtu 1500 said state active set vlan 10 name VLAN0010 type ethernet mtu 1500 said state active set vlan 1002 name fddi-default type fddi mtu 1500 said state active set vlan 1004 name fddinet-default type fddinet mtu 1500 said state active stp ieee set vlan 1005 name trnet-default type trbrf mtu 1500 said state active stp ibm set vlan 1003 name token-ring-default type trcrf mtu 1500 said state active mode srb aremaxhop 0 stemaxhop 0 backupcrf off #ip --- Assign an IP address to the sc0 interface with the --- set interface sc0 <vlan> <ip_addr>/<netmask> <broadcast> --- command. set interface sc / set interface sl0 down set interface me1 down --- Assign the default gateway with the set ip route default <gateway> --- command. The default gateway is Gigabit Ethernet 3 interface (VLAN 1 interface) on the --- maui-4232-l3-02. set ip route / #spantree #vlan <VlanId> #syslog set logging level cops 2 default #set boot command set boot config-register 0x2102 set boot system flash bootflash:cat bin #module 1 : 0-port Switching Supervisor

8 #module 2 : 34-port Router Switch Card --- Port assinged to VLAN Port 2/2 is the internal gigabit port that connects to the backplane. --- Note that port 2/1 does not appear here. This is because this port is assigned to VLAN 1 by default. set vlan 10 2/2 set port speed 2/ set port duplex 2/3-4 full --- Enabling portfast for PC interface. set spantree portfast 2/4 enable q trunk link, which passes VLAN 1 and VLAN 10 traffic between switches. set trunk 2/3 desirable dot1q #module 3 empty end maui-4232-l3-02# show run Building configuration... Current configuration: version 12.0 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname maui-4232-l3-02 ip subnet-zero no ip domain-lookup interface FastEthernet1 no ip address shutdown interface GigabitEthernet1 no ip address shutdown interface GigabitEthernet2 no ip address shutdown interface GigabitEthernet3 --- VLAN 1 IP address. ip address maui-4232-l3-02 (router Cisco WS-X232-L3) --- ACL applied to the interface blocks inbound traffic destined for VLAN 10. ip access-group 101 in --- The standby priority command specifies the priority for the HSRP interface. standby priority 100 preempt --- The standby ip command enables HSRP and specifies the group and the HSRP IP address. standby 1 ip interface GigabitEthernet4 --- VLAN 10 IP address.

9 ip address ACL applied to the interface blocks inbound traffic destined for VLAN 1. ip access-group 102 in --- The standby priority command specifies the priority for the HSRP interface. standby priority 110 preempt --- The standby ip command enables HSRP and specifies the group and the HSRP --- IP address. standby 1 ip ip classless --- The access-list 101 command does not allow any device on the network (VLAN 1) --- to send IP traffic to any device on the network (VLAN 10). access-list 101 deny ip Allows all other IP traffic to pass. access-list 101 permit ip any any --- The access-list 102 command does not allow any device on the network (VLAN 10) --- to send traffic to any device on the network (VLAN 1). access-list 102 deny ip Allows all other IP traffic to pass. access-list 102 permit ip any any line con 0 transport input none line aux 0 line vty 0 4 login end Verificación En esta sección encontrará información que puede utilizar para comprobar que su configuración funcione correctamente. Puesto que el foco de este documento está en la configuración ACL, este documento no cubre la verificación del tronco Ethernet entre el Switches. Para más información sobre el enlace, refiera al enlace entre el Catalyst 4000, 5000, and 6000 family switches usando la encapsulación 802.1q Si usted tiene la salida de un comando show trunk de su dispositivo de Cisco, usted puede utilizar para visualizar los problemas potenciales y los arreglos. Para utilizar, usted debe ser un cliente registrado, se abra una sesión, y hace el Javascript habilitar. Usted puede utilizar el Output Interpreter para visualizar los problemas potenciales y los arreglos. Para usar Output Interpreter, debe estar registrado como cliente, conectado y debe tener permiso para JavaScript. Para verificar que los ACL estén configurados correctamente, primero vea la configuración ACL con el comando show ip access-list. maui-4232-l3-01#show ip access-lists Extended IP access list 101 deny ip permit ip any any Extended IP access list 102 deny ip permit ip any any maui-4232-l3-01# Puesto que la configuración ACL en ambos Switches es idéntica, maui-c y maui-4232-l3-01 se utilizan para verificar si los permisos ACL actualmente o niegan el tráfico correctamente. Para hacer esto, realice una prueba del ping simple del PC (conectado con el puerto 2/4) a las interfaces Gigabit interno maui-4232-l3-01. Puesto

10 que este PC está en el VLAN10, el default gateway debe ser Acordando el ACL se han definido que, el tráfico que viene de este PC se debe bloquear cuando usted intenta hacer ping cualquier dispositivo en el VLAN1 ( ), solamente usted debe poder hacer ping cualquier dispositivo en VLAN10 ( ). Esta salida muestra la prueba de ping de PC ( ) a Gigabit Ethernet 4 ( ): O:\>ping Pinging with 32 bytes of data: Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milliseconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms O:\> El comando show ip access-lists proporciona una cuenta de paquetes que las demostraciones que la entrada ACL se está golpeando. Publique otro comando show ip access-list para ver que los contadores ACL han incrementado, y considerar así que el ACL permite el tráfico, tal y como se muestra en de la salida aquí: maui-4232-l3-01#show ip access-lists Extended IP access list 101 deny ip permit ip any any Extended IP access list 102 deny ip permit ip any any (5 matches) maui-4232-l3-01# Esta salida muestra la prueba de ping de PC ( ) a Gigabit Ethernet 3 ( ): O:\>ping Pinging with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for : Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms O:\> Publique otro comando show ip access-list de ver que el contador ha incrementado para el tráfico que fue negado por el ACL, como se ve en la salida aquí: maui-4232-l3-01#show ip access-lists Extended IP access list 101 deny ip permit ip any any Extended IP access list 102 deny ip (5 matches) permit ip any any (5 matches) maui-4232-l3-01# Troubleshooting En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. Procedimiento de Troubleshooting Estos pasos explican el proceso del debug. Primero verifique que no haya ACL aplicados actualmente. Nota: Tenga mucho cuidado cuando ejecute un debug de un sistema con mucho tráfico. Los ACL pueden utilizar utilizado para hacer el debug del tráfico específico, pero usted debe entender los procesos y el flujo de tráfico para hacer tan. Siempre se recomienda desactivar el registro y ejecutar el comando syslog o show logging en una red de producción en funcionamiento Configure el ACL para aplicarse a su red. El ejemplo proporcionado utiliza los ACL de la configuración en este documento. Comience el proceso del debug con el comando debug ip packet 101 detail.

11 Ésta es la salida de los debugs de un ping que fue publicado del PC ( ) a la interfaz de Gigabit Ethernet 3 ( ) en el router. Usted puede ver de la salida que el tráfico destinado para la red de de la red de está negado, y el tráfico de a la red de está enviado. --- Traffic destined for a device on a different VLAN is denied. 04:16:23: IP: s= (GigabitEthernet4), d= , len 100, access denied 04:16:23: ICMP type=8, code=0 04:16:23: 04:16:23: IP: s= (local), d= (GigabitEthernet4), len 56, sending 04:16:23: ICMP type=3, code=13 04:16:23: 04:16:23: IP: s= (GigabitEthernet4), d= , len 100, access denied 04:16:23: ICMP type=8, code=0 04:16:23:04:16:25: IP: s= (GigabitEthernet4), d= , len 100, access denied 04:16:25: ICMP type=8, code=0 --- Traffic destined for the same VLAN is sent. 04:16:25:04:16:25: IP: s= (local), d= (GigabitEthernet4), len 56, sending 04:16:25: ICMP type=3, code=13 04:16:25: 04:16:25: IP: s= (GigabitEthernet4), d= , len 100, access denied 04:16:25: ICMP type=8, code=0 04:16:25:04:16:27: IP: s= (GigabitEthernet4), d= , len 100, access denied 04:16:27: ICMP type=8, code=0 04:16:27: 04:16:27: IP: s= (local), d= (GigabitEthernet4), len 56, sending 04:16:27: ICMP type=3, code=13 04:16:27: 3. Para parar la salida de los debugs, publique el comando no debug all en el enable mode u o publique la O.N.U todo el comando de acceso directo de inhabilitar los debugs múltiples. Se niega el tráfico incorrecto Si se niega el tráfico deseado, la configuración ACL puede ser demasiado específica. Intente agregar una lista de acceso más amplia además de la que se configura ya. Esto ayuda a determinar si el ACL específico está bloqueando el tráfico que se supone ser permitido pasar. Publique el comando show ip access-lists de ver qué entrada ACL está siendo golpeada por el tráfico. Esto puede sido determinar esto si usted mira el contador individual para cada entrada. Nota: Las palabras claves del registro que se pueden añadir al final del fichero a las entradas ACL para el registro de ACL, los contadores de aciertos ACL, y el considerar de las violaciones de acceso no se soportan en el WS-X4232-L3. Para obtener información adicional acerca de cómo configurar una lista de acceso en el módulo WS-X4232-L3, vea Configuración de listas de control de acceso en el documento Notas sobre la instalación y configuración del módulo de servicios de la Capa 3 del Catalyst Tamaño de TCAM Antes de configurar la región de la lista de acceso en la Memoria direccionable por contenido ternario (TCAM), asegúrese de que la TCAM cuente con espacio suficiente para acomodar la región de la lista de acceso. Usted puede cambiar los tamaños ACL TCAM cuando usted utiliza los comandos del (SDM) del Switching Database Manager. Si usted planea soportar ACL más grandes, usted debe reclamar el espacio TCAM de otras áreas, tales como IPX, IP, o bridging. El módulo de interfaz de Ethernet de Gigabit mejorado admite tamaños de TCAM de entradas de 32K (32 bits). Los tamaños combinados de las regiones de protocolo y de las Listas de acceso no deben exceder su espacio TCAM. El tamaño predeterminado de la ACL en TCAM de 32 K es 512 (128 bits) entradas. Si usted recibe este mensaje de error, usted necesita aumentar el espacio TCAM con el comando del SDM. Warning:Programming TCAM entries failed Please remove last ACL command to re-activate ACL operation. <ACL number or name> <IP or IPX> <INPUT_ACL or OUTPUT_ACL> from TCAM group for <interface> Please see the documentation to see how TCAM space can be increased on this platform to alleviate the problem.

12 Para más información sobre cómo configurar el espacio TCAM con el comando del SDM, refiera a configurar el Switching Database Manager. Información Relacionada Ejemplos de Configuración y Lista de Notas Técnicas Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 13 Agosto