我有一个Cisco Catalyst 3560e交换机,我正在尝试学习如何使用ACL。 我创build了一个简单的ACL,并通过交换机发送数据包来testing它,它似乎工作。 一些文档表明,我可以看到ACL被击中的次数。 一个典型的例子(取自一本书)是:
PIX# sho access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 1024) alert-interval 300 access-list Inbound; 15 elements access-list Inbound permit tcp any host web1. gad. net eq www (hitcnt=42942) access-list Inbound permit tcp any host web1. gad. net eq ssh (hitcnt=162) ... 如果我在交换机上做同样的事情,我看不到计数器:
> sho access-list Standard IP access list 1 10 deny 10.0.0.2 20 permit any
此交换机是否支持ACL计数器? (我怎么知道,如果没有?我在发行说明中看不到任何关于这个的内容。)我是否缺less一些configuration?
如果ACL被击中,你应该看到sh access-list计数器
sw#sh run | 我访问列表2
access-list 2注释远程pipe理acl
access-list 2 permit 192.168.0.0 0.0.255.255
访问列表2许可证10.11.0.0 0.0.255.255
sw#sh ip访问列表
标准IP访问列表2
10个许可证192.168.0.0,通配符位0.0.255.255(79个匹配项)
20许可证10.11.0.0,通配符位0.0.255.255
这个例子来自PIX防火墙。 我相信显示匹配计数器的默认行为已被删除在更高版本的Cisco IOS中。
您可以尝试通过将“log”附加到ACL条目的末尾来模仿此行为:
access-list 10 deny 10.1.2.0 0.0.0.255 log