У меня есть коммутатор Cisco Catalyst 3560e, и я пытаюсь научиться работать со списками ACL. Я создал простой ACL и протестировал его, отправив пакеты через коммутатор, и, похоже, он работает. В некоторых документах указано, что я могу видеть количество попаданий в ACL. Типичный пример (взятый из книги):
PIX# sho access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 1024)
alert-interval 300
access-list Inbound; 15 elements
access-list Inbound permit tcp any host web1. gad. net eq www (hitcnt=42942)
access-list Inbound permit tcp any host web1. gad. net eq ssh (hitcnt=162)
...
Если я сделаю то же самое на своем коммутаторе, я не вижу счетчиков:
> sho access-list
Standard IP access list 1
10 deny 10.0.0.2
20 permit any
Поддерживаются ли счетчики ACL на этом коммутаторе? (Откуда мне знать, если нет? Я ничего не вижу по этому поводу в примечаниях к выпуску.) Мне не хватает какой-то конфигурации?
Этот пример взят из брандмауэра PIX. Я считаю, что поведение по умолчанию, показывающее счетчик совпадений, было удалено в более поздних версиях Cisco IOS.
Вы можете попытаться сымитировать это поведение, добавив log в конец записей ACL:
access-list 10 deny 10.1.2.0 0.0.0.255 log
Если ACL поражен, вы должны увидеть счетчики в sh access-list
sw# sh run | i access-list 2
access-list 2 remark remote management acl
access-list 2 permit 192.168.0.0 0.0.255.255
access-list 2 permit 10.11.0.0 0.0.255.255
sw# sh ip access-lists
Standard IP access list 2
10 permit 192.168.0.0, wildcard bits 0.0.255.255 (79 matches)
20 permit 10.11.0.0, wildcard bits 0.0.255.255