動作確認環境
- Catalyst 9300 シリーズスイッチ
- IOS XE 17.3.x
ACL の matches カウンタ
Cisco の一般的なルータや L3 スイッチで ACL を設定している場合、show access-lists (show ip access-lists) コマンドの出力として、各ルールが適用された回数が (n matches) のような形で表示されます。
#show access-lists
Extended IP access list 100
10 permit ip 10.1.1.0 0.0.0.255 172.168.100.0 0.0.0.255 (10 matches)このカウンタの表示を見て、ACL が想定通り動作していることを確認することも多いと思います。
C9000 スイッチにおける matches カウンタ
Catalyst 9000 シリーズスイッチにおいても同様に show access-lists の出力で matches カウンタが表示されることを期待すると思いますが、実際の表示を見てみると matches カウンタが表示されていないことに気づくかと思います。
C9000 シリーズスイッチでは原則 matches カウンタは表示されません。
・log キーワードが設定されていない場合、Ingress 方向の deny ACL のみ( x matches)の統計情報を収集します
Catalyst 9000 ACL ロギング、統計情報について
log オプションを付ければ matches カウンタが表示される
上記の引用文を見てわかるように、ACL の個別のルール設定において log オプションを付ければ matches カウンタは機能し、show access-lists の出力にも matches が表示されるようになります。
ip access-list extended 100
permit ip 10.1.1.0 0.0.0.255 172.168.100.0 0.0.0.255 logただし、log オプションを付けると対象 ACL ルールが適用された際にログが出力されるようになる点に注意してください (log オプションの本来の意味)。
試験項目の正常性判断基準の作成時に注意
ネットワーク構築案件において試験項目書を作成する際に、ACL の動作試験項目を作成することがあると思います。その試験項目の正常性判断基準として、C9000 シリーズスイッチに関しては、「show access-lists の matches カウンタがカウントアップしていること」という判断基準は原則使用できないことに注意してください。(設定されている ACL に log オプションが付けられている場合は問題ありません。)
参考資料
