解決済み: Catalyst3750のACLヒットカウンタの確認方法

j.takahashi · ‎2010-10-14

Catalyst3750にてvlan interface(SVI)にout方向でACLを適用したのですが

show access-listではカウンタが表示されませんでされませんでした。(2台Stack構成)

トラフィック制限その物は有効に機能しているようですが、ACLカウンタの確認方法が

間違っているのでしょうか？

show tcam ・・・・・コマンドも無い様に見受けられました

(show tでタブ補完しても表示されませんでした。）

以下装置情報です。

IOS Version:12.2(44)SE5

interface vlan 100

ip address xx.xx.xx.xx 255.255.255.0

ip access-group ACL-Permit out

ip access-list extended ACL-Permit
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
permit ip 192.168.3.0 0.0.0.255 any
permit ip host 10.1.1.1 any

どなたかご存知の方いらっしゃたら教えて下さい。

t-yamashita · ‎2010-10-14

Catalyst では、ご存じの通り、ACL はハードウェア処理で行います。

show access-list コマンドで表示される ACL のヒットカウンターはスイッチがソフトウェア処理したものだけになります。

ハードウェア処理された ACL のヒット数を表示するには、show access-list hardware counters コマンドになります。

詳細は以下の URL を参照ください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_40_se/configuration/guide/swacl.html

Hardware and Software Treatment of IP ACLs

元の投稿で解決策を見る

t-yamashita · ‎2010-10-14

Catalyst では、ご存じの通り、ACL はハードウェア処理で行います。

show access-list コマンドで表示される ACL のヒットカウンターはスイッチがソフトウェア処理したものだけになります。

ハードウェア処理された ACL のヒット数を表示するには、show access-list hardware counters コマンドになります。

詳細は以下の URL を参照ください。

http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_40_se/configuration/guide/swacl.html

Hardware and Software Treatment of IP ACLs

j.takahashi · ‎2010-10-14

早速のご返信ありがとうございました。

Cat6500でPBRの時、show tcamで見れていたので、同様かと勘違いしておりました。

失礼致しました。

ありがとうございます。

t-yamashita · ‎2010-10-14

評価ありがとうございます。

補足ですが、log option を使用すると、ACE ごとの（ハードウェア処理した）ヒットカウンターを出力できるみたいです。

ただし、log の処理が software 処理になるため、処理性能の違いにより、すべての log が取得できない可能性があるとのことです。

詳細は以下の URL をご覧ください。
http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_40_se/configuration/guide/swacl.html