アクセスリストに適用されたパケットが、matchesとしてカウントされたりされなかったり

 08, 2010 21:22
今更ながらの疑問。

Catalyst3750にACLを適用していますが、matchesのカウンターが増えるACL行と増えないACL行があったりします。


Extended IP access list 10
10 permit icmp any any
20 permit ip 10.10.1.0 0.0.0.255 10.10.1.0 0.0.0.255 (21 matches)
30 permit udp 10.10.1.48 0.0.0.3 10.20.9.150 0.0.0.1 eq domain
40 deny ip any any log-input (85 matches)

という感じのACLがあり、例えば30行目で許可しているDNS問い合わせを実行すると名前解決が出来るのに、matchesが増えないという現象に遭遇。

ip access-list extendedで30行目を無効にすると、DNSの問い合わせが失敗するのでACLは正常に動作しているはずなんですが…

カウントされるのに、何か条件があったりするのでしょうかね?

ちゃんと通信しているなという確認ができないので、少々不便。

COMMENT 4

ゆたこさん  2010, 11. 09 [Tue] 00:04

No title

こんにちは。ASIC処理されるかどうかではないですかね?
ヒットしないACL行にlogオプションをつけてみたらいかがでしょうか。

Edit | Reply | 

-  2010, 11. 09 [Tue] 12:35

No title

いつも拝見させてもらってます。
CEFで処理されたパケットはカウントされないはずですよ~

Edit | Reply | 

管理人  2010, 11. 18 [Thu] 22:05

No title

>ゆたこさん、名無しさん
情報ありがとうございます。
最初はメモリでも足りないのかな?と考えていました。

調べるとっかかりが出来ました。





Edit | Reply | 

カサハンラ  2012, 03. 28 [Wed] 18:37

No title

HW処理したものはカウントされません

Edit | Reply | 


WHAT'S NEW?