如何读取 Cisco Catalyst 3560e 交换机上的 ACL 命中计数器?

如何读取 Cisco Catalyst 3560e 交换机上的 ACL 命中计数器?

我有一台 Cisco Catalyst 3560e 交换机,我正在尝试学习如何使用 ACL。我创建了一个简单的 ACL,并通过交换机发送数据包对其进行了测试,它似乎可以正常工作。一些文档表明我可以看到 ACL 被命中的次数。一个典型的例子(取自一本书)是:

PIX# sho access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 1024)
        alert-interval 300
access-list Inbound; 15 elements
access-list Inbound permit tcp any host web1. gad. net eq www (hitcnt=42942)
access-list Inbound permit tcp any host web1. gad. net eq ssh (hitcnt=162)
...

如果我在交换机上做同样的事情,我看不到计数器:

> sho access-list
Standard IP access list 1
    10 deny   10.0.0.2
    20 permit any

此交换机是否支持 ACL 计数器?(如果不支持,我怎么知道?我在发行说明中看不到任何相关信息。)我是否缺少某些配置?

答案1

如果 ACL 被命中,你应该看到计数器sh access-list

sw# sh 运行 | i 访问列表 2
访问列表 2 注释远程管理 acl
访问列表 2 允许 192.168.0.0 0.0.255.255
访问列表 2 允许 10.11.0.0 0.0.255.255

sw# sh ip 访问列表
标准 IP 访问列表 2
    10 允许 192.168.0.0,通配符位 0.0.255.255(79 个匹配)
    20 允许 10.11.0.0,通配符位 0.0.255.255

答案2

该示例来自 PIX 防火墙。我相信在 Cisco IOS 的更高版本中,显示匹配计数器的默认行为已被删除。

您可以尝试通过将“log”附加到 ACL 条目末尾来模仿此行为:

access-list 10 deny 10.1.2.0 0.0.0.255 log

相关内容