M9006防火墙

在查看IPv4初级ACL 2006的配置和运行情况和查看IPv4高级ACL 3007的配置和运行情况。 

<M9006>DIS acl 2006 

Basic IPv4 ACL 2006, 3 rules, 

ACL's step is 5 

 rule 0 permit source 192.168.161.11 0          //没有显示匹配次数

 rule 5 permit source 192.168.161.12 0 

 rule 10 permit source 192.168.161.180 0 

#

<M9006>DIS acl 3007 

Advanced IPv4 ACL 3007, 164 rules, 

ACL's step is 5 

ACL accelerated

rule 1 permit ip source 10.251.236.128 0.0.0.127

rule 11 permit icmp source 10.153.97.0 0.0.0.255 (971 times matched)       // 971次匹配

#

    如上面两个acl，如果显示没有匹配次数，是不是可以认为这条规则其实在全局配置中是没有生效的（或者认为在域间策略中应用了包过滤acl，但是包过滤没有匹配过acl中的这条规则，所以这个规则其实是没用的）  

    比如acl 3007中的 rule1没有命中一次匹配次数，说明这条规则其实在全局配置中是没应用到的，相当于包中不包含这个地址，即可以删除这条rule1是么