前几天,在公司的出口路由器上面实施了ACL控制,效果是达到了,但是查看了一下ACL的匹配数,发现好像不准确。大家做ACL有没有注意过匹配数,请看下面的ACL如下:
Extended IP access list ext_in_prted
10 permit ospf any any (68585 matches)
20 permit icmp any any (139 matches)
30 permit tcp any any established (6614 matches)
40 permit udp any eq domain any
50 permit tcp any 1.1.1.0 0.0.0.255 eq www (20 matches)
60 deny tcp any 1.1.1.192 0.0.0.63 eq 443
70 permit tcp any 1.1.1.0 0.0.0.255 eq 443 (26 matches)
10 permit ospf any any (68585 matches)
20 permit icmp any any (139 matches)
30 permit tcp any any established (6614 matches)
40 permit udp any eq domain any
50 permit tcp any 1.1.1.0 0.0.0.255 eq www (20 matches)
60 deny tcp any 1.1.1.192 0.0.0.63 eq 443
70 permit tcp any 1.1.1.0 0.0.0.255 eq 443 (26 matches)
根据本公司的实际流量情况可以很明显的看出第50条和第70条匹配数绝对不止这么一些。所以这几天很是研究ACL了一把。觉得一定要清楚cisco的ACL的处理机制原理才能弄明白。
今天又查看了一些文档,终于知道上面的ACL:ext_in_prted那些匹配数是设备软件处理的匹配数,硬件匹配数是用show ip access-lists命令显示不出来的。摘自原文如下:
When you enter the show ip access-list command, the match count displayed does not include
packets processed in hardware.
packets processed in hardware.
但是查看了好久,也没有找到在CISCO7609上面使用什么命令查看ACL的硬件匹配数。看来还有待进一步研究看看。
有任何不对或者有争议之处,还请牛人指正,不胜感激!!!
追加于2008-5-8:
今天阅读CAT6500 switch architecture文章时,发现了查看ACL硬件匹配数的命令:
show tcam int te7/1 acl in ip
但是发现两个问题:
1,不知道为什么在一台交换机上面竟然没有看到你个匹配数,而另一台交换机上面却有很多匹配数;
2,而且这条命令看出来的ACL与"show ip access-lists"看出来的ACL竟然有不同。
看来还有待进一步研究啦,不断学习中......
本文转自 chris_lee 51CTO博客,原文链接:http://blog.51cto.com/ipneter/74624,如需转载请自行联系原作者
