查看思科IOS ACL统计信息全攻略

ZDNet网络频道原创翻译 转载请以文字链形式注明出处

作者：戴维·戴维斯

在本文中，戴维·戴维斯将告诉你如何在思科网际操作系统的一项新功能的帮助下，查看访问控制列表的统计，以及怎么选择使用统计界面。
-------------------------------------------------------------------------------------------

只要你用过访问控制列表，就会知道正在使用的访问控制列表的重要性。更不用说访问控制列表通道的情况了。

如果访问控制列表和访问控制列表通道从来没有被启用的话，那简直就是在浪费路由器的内存空间。如果访问控制列表和访问控制列表通道没有统计数据的话，那可能说明路由器的设置是错误的，如果不是你关闭的统计功能的话。一个错误的设置可能导致安全漏洞的出现。

我是怎么查看访问控制列表（ACL）的使用统计？

请记住，在思科网际操作系统中任何时间都可以选择使用“？”命令。举例来说，下面就是一个用来显示进入名单命令的可供选择的方案：

Router# show access-lists ?

  <1-2699>           ACL number

  WORD               ACL name

  compiled           Compiled access-list statistics

  rate-limit         Show rate-limit access lists

  |                  Output modifiers

  <cr>

就象你看到的一样，查看访问控制列表和它们的使用统计有很多种不同的方式。但是如果没有思科网际操作系统12.4版本中提供的访问控制列表管理的新特性，摸只能以全局统计的方式查看访问控制列表和访问控制列表通道。换句话说，也就是如果你查看的是位于很多方向的各个地方的不同应用，看到的只能是总额。因此，你没有办法知道，访问控制列表是不是让接口F0/1超负荷工作，而接口F0/2却处于闲置的状态。

通过数字查看访问控制列表的统计

Router# show access-list 158

Extended IP access list 158

    10 deny ip any any time-range denytime (active) (65951975 matches)

从这个例子中你可以看到，在符合特定要求的访问控制列表中，有六千五百九十五万一千九百七十五个数据包。

通过名称查看访问控制列表的统计

Router# show access-list MyACL

Extended IP access list MyACL

    10 permit tcp host 21.35.80.22 eq telnet host 21.23.77.101

    20 permit tcp host 21.35.80.25 eq 16100 host 21.23.77.101 (149407

matches)

    30 permit tcp host 21.35.80.25 eq 17600 host 21.23.77.101 (80592

matches)

    40 permit tcp host 21.35.80.27 eq 10701 host 21.23.77.101 (26008

matches)

从这个例子中，你可以看到访问控制列表起了很大的作用。

如果象了解更多的显示访问列表命令的资料，可以访问思科网际操作系统访问控制列表的“显示访问列表”的文件。

思科网际操作系统访问控制列表的管理功能

此前， 访问控制列表只能在全局模式下对每个访问控制列表接入的访问控制列表通道提供统计数字。而在网际操作系统12.4版本中，则提供了一项新功能，可以用来显示访问控制列表通道的统计数字，可以选择百分比率界面，以及单独的输入或者输出。如果你的访问控制列表和访问控制列表通道位于不同的地方和方向的话，这个功能是非常有用的。

下面是两个例子，用来说明如何利用百分比率界面来显示访问列表：

输入的访问控制列表

Router# show ip access-list interface FastEthernet 0/1 in

Extended IP access list 150 in

   10 permit ip host 10.1.1.1 any (3 matches)

   30 permit ip host 10.2.2.2 any (12 matches)

输出的访问控制列表

Router# show ip access-list interface FastEthernet 0/0 out

Extended IP access list myacl out

    5 deny ip any 10.1.0.0 0.0.255.255

    10 permit udp any any eq snmp (6 matches)

请注意，如果没有指明方向，所有输入和输出的访问控制列表都将被显示出来。如果希望了解更多思科网际操作系统访问控制列表新管理功能的相关信息，请参阅思科访问控制列表管理新功能的文件。

结论

在本文中，你了解了可以从访问列表中获得详细统计数字的各种命令，还认识了思科网际操作系统访问控制列表的新管理功能，可以让你检索访问控制列表的具体数据；对所有接口的每个数据包进行了解，对于网络保护来说，有极大的价值。

关于思科控制列表的官方文档，可以在思科的存取控制列表：概况和指导方针里找到。