シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

SNMP community に対する IPv4 と IPv6 のアクセス制御について

2013年4月26日(初版)

TAC SR Collection
主な問題

NX-OS では SNMP community に対して IPv4 と IPv6 access-list 両方を適用することができません。


下記のように設定を実施すると、SNMP_ACL_v6 が SNMP_ACL_v4 を上書きしてしまいます。
また、二つの access-list を一行で設定することはできません。

snmp-server community **** use-acl SNMP_ACL_v4 snmp-server community **** use-acl SNMP_ACL_v6
原因 CSCtn21553 の機能強化が導入されていない NX-OS では access-list の同時適用がサポートされていません。

解決策

CSCtn21553 の機能強化に伴い、IPv4 と IPv6 access-list の同時適用がサポートされる予定です。

Bug Search Tool : CSCtn21553

ワークアラウンド:
同時適用がサポートされていない NX-OS をお使いで、IPv4 と IPv6 のアクセス制御を行う必要がある場合、
下記のように一方の access-list を snmp-server community へ適用し、
もう一方の制御については CoPP を利用してアクセス制御を実現することが可能です。

// IPv4 access-list を snmp community に適用します
N7K(config)# snmp-server community **** use-acl SNMP_ACL_v4

// CoPP で使用する IPv6 access-list を定義します 
N7K(config)# ipv6 access-list V6
N7K(config-ipv6-acl)# 10 per ipv6 any any
N7K(config-ipv6-acl)# exit

// CoPP class を定義します 
N7K(config)# class-map type control-plane V6_CLASS
N7K(config-cmap)# match access-group name V6
N7K(config-cmap)# exit
N7K(config)#

// cir を使い、該当トラフィックをドロップします 
N7K(config)# policy-map type control-plane copp-policy-strict-TEST
N7K(config-pmap)# class V6_CLASS
N7K(config-pmap-c)# police cir 1 1500 conform drop violate drop
N7K(config-pmap-c)# exit
N7K(config-pmap)# exit
N7K(config)# show policy-map type control-plane

  policy-map type control-plane copp-policy-strict-TEST
    class copp-class-critical-TEST
      set cos 7
      police cir 39600 kbps bc 250 ms conform transmit violate drop
    class copp-class-important-TEST
      set cos 6
      police cir 1060 kbps bc 1000 ms conform transmit violate drop
 <省略>
    class copp-class-fcoe-TEST
      set cos 6
      police cir 1060 kbps bc 1000 ms conform transmit violate drop
    class copp-class-l2-default-TEST
      police cir 100 kbps bc 250 ms conform transmit violate drop
    class V6_CLASS
      police cir 1 bps bc 1500 bytes conform drop violate drop <<<
    class class-default
      set cos 0
      police cir 100 kbps bc 250 ms conform transmit violate drop

備考

バージョン履歴
改訂番号
1/1
最終更新:
‎04-26-2013 02:36 PM
更新者:
 
タグ(1)