网络工程 - 思科 ACL 无计数器 - 吾爱随笔录

思科 ACL 无计数器

网络工程思科安全碎片化

2021-07-31 06:37:46

我们的访问列表很少，并且都显示counter为命中，但一个访问列表没有显示任何内容。

C3850#show access-lists 101
Extended IP access list 101
    5 permit ip 101.142.61.0 0.0.0.255 any (7 matches)
    10 deny ip any any fragments
    20 permit ip any any (202593 matches)

知道为什么上面10 deny ip any any fragments没有计数器吗？我试图发送大数据包，但它掉了，但没有计数器。

1个回答

（最近出现在数码单反相机上。）

它与处理流量的方式有关。由于第一个片段携带完整的第 4 层信息，因此不会作为片段处理。因此，它将匹配规则 20，并将为其创建 NAT/CEF/流条目，并且所有后续片段都不会通过 ACL——它是已建立的流的一部分，并且已经过检查。除非您关闭“路由缓存”——从而使所有数据包进程交换（非常非常糟糕的主意）——每个单独的数据包都不会通过 ACL。

其它你可能感兴趣的问题

上一篇胖树如何保证带宽？下一篇有什么理由不使用交换骨干网吗？