我有一台 Cisco Catalyst 3560e 交换机,我正在尝试学习如何使用 ACL。我创建了一个简单的 ACL,并通过交换机发送数据包对其进行了测试,它似乎可以正常工作。一些文档表明我可以看到 ACL 被命中的次数。一个典型的例子(取自一本书)是:
PIX# sho access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 1024)
alert-interval 300
access-list Inbound; 15 elements
access-list Inbound permit tcp any host web1. gad. net eq www (hitcnt=42942)
access-list Inbound permit tcp any host web1. gad. net eq ssh (hitcnt=162)
...
如果我在交换机上做同样的事情,我看不到计数器:
> sho access-list
Standard IP access list 1
10 deny 10.0.0.2
20 permit any
此交换机是否支持 ACL 计数器?(如果不支持,我怎么知道?我在发行说明中看不到任何相关信息。)我是否缺少某些配置?
答案1
如果 ACL 被命中,你应该看到计数器sh access-list
sw# sh 运行 | i 访问列表 2
访问列表 2 注释远程管理 acl
访问列表 2 允许 192.168.0.0 0.0.255.255
访问列表 2 允许 10.11.0.0 0.0.255.255
sw# sh ip 访问列表
标准 IP 访问列表 2
10 允许 192.168.0.0,通配符位 0.0.255.255(79 个匹配)
20 允许 10.11.0.0,通配符位 0.0.255.255
答案2
该示例来自 PIX 防火墙。我相信在 Cisco IOS 的更高版本中,显示匹配计数器的默认行为已被删除。
您可以尝试通过将“log”附加到 ACL 条目末尾来模仿此行为:
access-list 10 deny 10.1.2.0 0.0.0.255 log