2010-10-14 09:17 AM
Catalyst3750にてvlan interface(SVI)にout方向でACLを適用したのですが
show access-listではカウンタが表示されませんでされませんでした。(2台Stack構成)
トラフィック制限その物は有効に機能しているようですが、ACLカウンタの確認方法が
間違っているのでしょうか?
show tcam ・・・・・ コマンドも無い様に見受けられました
(show tでタブ補完しても表示されませんでした。)
以下装置情報です。
IOS Version:12.2(44)SE5
interface vlan 100
ip address xx.xx.xx.xx 255.255.255.0
ip access-group ACL-Permit out
ip access-list extended ACL-Permit
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
permit ip 192.168.3.0 0.0.0.255 any
permit ip host 10.1.1.1 any
どなたかご存知の方いらっしゃたら教えて下さい。
解決済! 解決策の投稿を見る。
2010-10-14 09:30 AM
Catalyst では、ご存じの通り、ACL はハードウェア処理で行います。
show access-list コマンドで表示される ACL のヒットカウンターはスイッチがソフトウェア処理したものだけになります。
ハードウェア処理された ACL のヒット数を表示するには、show access-list hardware counters コマンドになります。
詳細は以下の URL を参照ください。
Hardware and Software Treatment of IP ACLs
2010-10-14 09:30 AM
Catalyst では、ご存じの通り、ACL はハードウェア処理で行います。
show access-list コマンドで表示される ACL のヒットカウンターはスイッチがソフトウェア処理したものだけになります。
ハードウェア処理された ACL のヒット数を表示するには、show access-list hardware counters コマンドになります。
詳細は以下の URL を参照ください。
Hardware and Software Treatment of IP ACLs
2010-10-14 10:01 AM
早速のご返信ありがとうございました。
Cat6500でPBRの時、show tcamで見れていたので、同様かと勘違いしておりました。
失礼致しました。
ありがとうございます。
2010-10-14 10:14 AM
評価ありがとうございます。
補足ですが、log option を使用すると、ACE ごとの(ハードウェア処理した)ヒットカウンターを出力できるみたいです。
ただし、log の処理が software 処理になるため、処理性能の違いにより、すべての log が取得できない可能性があるとのことです。
詳細は以下の URL をご覧ください。
http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_40_se/configuration/guide/swacl.html
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます