S7500X SVI接口ACL应用成功,但display显示条目匹配信息为0
- 0关注
- 1收藏,1048浏览
问题描述:
在SVI 接口配置了inbound方向的 ACL
测试的时候在svi接口inbound方向上对某个网段做了deny,然后在加了条规则permit icmp,可以ping通,删除permit icmp后ping不通,说明ACL应用成功了,但是用 display packet-filter statistics interface vlan-interface xx inbound显示出来的匹配信息都是0
Totally 0 packets permitted, 0 packets denied Totally 0% permitted, 0% denied
请问是什么原因?
组网及组网描述:
- 2022-04-28提问
- 举报
-
(0)
display acl config命令用来显示ACL的详细配置信息,包括ACL类型、序号、ACL规则数、ACL规则的内容、该ACL规则匹配数据包的次数。
本命令显示信息中的匹配次数是软件匹配次数,即需要经过交换机CPU处理的ACL匹配次数。traffic-statistic命令统计数据包转发过程中的硬件匹配次数,用户可以使用display qos-interface traffic-statistic命令查看统计结果。关于traffic-statistic和display qos-interface traffic-statistic命令请参见本手册“QoS”模块。
- 2022-04-28回答
- 评论(0)
- 举报
-
(0)
您好,直接看端口,无需再加vlan信息
1.1.8 display packet-filter statistics
display packet-filter statistics命令用来显示ACL在报文过滤中应用的统计信息。
【命令】
display packet-filter statistics interface interface-type interface-number { inbound | outbound } [ [ ipv6 | mac | user-defined ] { acl-number | name acl-name } ] [ brief ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:显示指定接口上的统计信息。interface-type interface-number表示接口类型和接口编号。
inbound:显示入方向上的统计信息。
outbound:显示出方向上的统计信息。
ipv6:指定ACL类型为IPv6 ACL。
mac:指定ACL类型为二层ACL。
user-defined:指定ACL类型为用户自定义ACL。
acl-number:显示指定编号ACL在报文过滤中应用的统计信息。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
· 5000~5999:表示用户自定义ACL。
name acl-name:显示指定名称ACL在报文过滤中应用的统计信息。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
brief:显示简要统计信息。
【使用指导】
如果未指定default、acl-number、name acl-name和ACL类型(ipv6、mac、user-defined)参数,将显示全部ACL在报文过滤中应用的统计信息以及报文过滤缺省动作的统计信息。
如果未指定ipv6、mac或user-defined参数,则表示IPv4 ACL。
【举例】
# 显示接口Ten-GigabitEthernet1/0/1入方向上全部ACL在报文过滤中应用的统计信息。
<Sysname> display packet-filter statistics interface ten-gigabitethernet 1/0/1 inbound
Interface: Ten-GigabitEthernet1/0/1
Inbound policy:
IPv4 ACL 2001, Hardware-count
From 2011-06-04 10:25:21 to 2011-06-04 10:35:57
rule 0 permit source 2.2.2.2 0 (2 packets)
rule 5 permit source 1.1.1.1 0 (Failed)
rule 10 permit vpn-instance test (No resource)
Totally 2 packets permitted, 0 packets denied
Totally 100% permitted, 0% denied
IPv6 ACL 2000
MAC ACL 4000
rule 0 permit
IPv4 default action: Deny, Hardware-count
From 2011-06-04 10:25:21 to 2011-06-04 10:35:57
Totally 7 packets
IPv6 default action: Deny, Hardware-count
From 2011-06-04 10:25:41 to 2011-06-04 10:35:57
Totally 0 packets
MAC default action: Deny, Hardware-count
From 2011-06-04 10:25:34 to 2011-06-04 10:35:57
Totally 0 packets
表1-3 display packet-filter statistics命令显示信息描述表
字段 | 描述 |
Interface | 在指定接口上应用的统计信息 |
Inbound policy | 在入方向上应用的统计信息 |
Outbound policy | 在出方向上应用的统计信息 |
IPv4 ACL 2001 | IPv4基本ACL 2001应用成功 |
IPv4 ACL 2002 (Failed) | IPv4基本ACL 2002应用失败 |
Hardware-count | 规则匹配统计功能应用成功 |
Hardware-count (Failed) | 规则匹配统计功能应用失败 |
From 2011-06-04 10:25:21 to 2011-06-04 10:35:57 | 该统计的起始和终止时间 |
2 packets | 该规则匹配了2个包(当匹配的包个数为0时不显示本字段) |
No resource | 该规则对应的统计资源不足。在显示统计信息时,若该规则的统计资源不足,便会显示本字段 |
rule 5 permit source 1.1.1.1 0 (Failed) | 规则5应用失败 |
Totally 2 packets permitted, 0 packets denied | 该ACL允许和拒绝符合条件报文的个数 |
Totally 100% permitted, 0% denied | 该ACL允许符合条件报文的通过率和拒绝符合条件报文的丢弃率 |
IPv4 default action | 报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed):报文过滤缺省动作统计功能应用失败 |
IPv6 default action | 报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed):报文过滤缺省动作统计功能应用失败 |
MAC default action | 报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed):报文过滤缺省动作统计功能应用失败 |
Totally 7 packets | 报文过滤缺省动作的执行次数 |
- 2022-04-28回答
- 评论(3)
- 举报
-
(0)
为什么vlan不行呢...有点不明白
查到文档了 好像是因为没有开启hardware-count
好的
1、在创建ACL时规则后添加counting参数。
acl Advanced 3888
rule 0 deny icmp counting
2、调用滤策略时添加hardware-count参数。
interface vlan 3888
packet-filter 3888 outbound hardware-count
- 2022-04-28回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明