前幾天,在公司的出口路由器上面實施了acl控制,效果是達到了,但是檢視了一下acl的匹配數,發現好像不準確。大家做acl有沒有注意過匹配數,請看下面的acl如下:
extended ip access list ext_in_prted
10 permit ospf any any (68585 matches)
20 permit icmp any any (139 matches)
30 permit tcp any any established (6614 matches)
40 permit udp any eq domain any
50 permit tcp any 1.1.1.0 0.0.0.255 eq www (20 matches)
60 deny tcp any 1.1.1.192 0.0.0.63 eq 443
70 permit tcp any 1.1.1.0 0.0.0.255 eq 443 (26 matches)
根據本公司的實際流量情況可以很明顯的看出第50條和第70條匹配數絕對不止這麼一些。所以這幾天很是研究acl了一把。覺得一定要清楚cisco的acl的處理機制原理才能弄明白。
今天又檢視了一些文件,終於知道上面的acl:ext_in_prted那些匹配數是裝置軟體處理的匹配數,硬體匹配數是用show ip access-lists命令顯示不出來的。摘自原文如下:
when you enter the show ip access-list command, the match count displayed does not include
packets processed in hardware.
但是檢視了好久,也沒有找到在cisco7609上面使用什麼命令檢視acl的硬體匹配數。看來還有待進一步研究看看。
有任何不對或者有爭議之處,還請牛人指正,不勝感激!!!
追加於2008-5-8:
今天閱讀cat6500 switch architecture文章時,發現了檢視acl硬體匹配數的命令:
show tcam int te7/1 acl in ip
但是發現兩個問題:
1,不知道為什麼在一台交換機上面竟然沒有看到你個匹配數,而另一台交換機上面卻有很多匹配數;
2,而且這條命令看出來的acl與"show ip access-lists"看出來的acl竟然有不同。
看來還有待進一步研究啦,不斷學習中......
正則 匹配數字問題
今天遇到個需要用正則進行匹配的問題 輸入年薪,匹配可以為0,可以是正整數,也可以是小數,網上看了很多帖子,沒有能直接同時匹配的,0125 01.125 00.0 這種.總是匹配錯誤 作為正則小白,只能換個方法匹配2次。先去除小數點後多餘的0 public static string removeze...
4 鎖定執行緒匹配數量
為了合理的利用資源1000,必須n 10個執行緒一起執行 bar threading.barrier 3 必須湊一對三個才可以一起執行湊不到三個執行緒就繼續等待 bar.wait 執行緒等待函式 import time import threading 為了合理的利用資源1000,必須n 10個執行...
linux grep多條件匹配資料
1 建立測試資料 root linuxprobe test3 cat a.txt w r t fs 4 66a g g s d g r 4d e w h s f g h 2 root linuxprobe test3 grep e w a h a.txt 提取以w開頭或者以a開頭或者以h結尾的行 a...