Cisco 9300スイッチでACL(アクセスリスト)のdenyルールが適用され、通信がブロックされた場合に、そのdenyのmatch数を確認する方法について解説します。通常、`show access-lists`コマンドで確認できるのはpermitルールのmatch数ですが、denyルールに関してはデフォルトで表示されないことがあります。
1. Cisco 9300スイッチにおけるACLのmatch数とは
ACL(アクセスリスト)は、ネットワークトラフィックをフィルタリングするために使用されます。ACLのルールはpermit(許可)またはdeny(拒否)で構成され、これらのルールに基づいてパケットの通過が決定されます。各ACLエントリには、トラフィックがそのルールに一致した回数、つまりmatch数がカウントされます。
通常、`show access-lists`コマンドを使用すると、各エントリに対するpermitのmatch数が表示されますが、denyに関するmatch数は表示されないという現象があります。この挙動は、Ciscoスイッチの仕様に起因しています。
2. Cisco 9300でdeny match数が表示されない理由
Cisco 9300スイッチにおいて、`show access-lists`コマンドを実行すると、permitルールに関するmatch数は表示されますが、denyルールに関しては表示されないことが多いです。これは、denyルールに対するmatch数がデフォルトで表示されないためです。
この動作は、ACLにおけるdenyルールが通信をブロックするだけであり、一般的にトラフィックの統計において重要視されるのはpermitルールの方だからです。したがって、denyルールに関するmatch数を確認するためには、別の方法を使用する必要があります。
3. deny match数を確認する方法
denyルールのmatch数を確認するためには、以下の方法を試してみてください。
3.1 `show ip traffic`コマンドを使用
一つ目の方法は、`show ip traffic`コマンドを使用することです。このコマンドは、ルーターやスイッチで処理されたIPパケットに関する統計を表示します。これにより、denyルールがどれだけ適用されたかを確認できます。
show ip traffic出力例では、denyされたパケット数を確認することができますが、これはACL単位でのmatch数ではなく、全体的なパケットの統計となります。
3.2 デバッグ機能を使用する
次に、デバッグ機能を使用してdenyルールのmatch数をリアルタイムで確認する方法があります。`debug ip packet`コマンドを使用すると、パケットがdenyされた理由を含め、パケットごとの詳細な情報を確認することができます。
debug ip packetこの方法では、トラフィックがdenyされるたびにデバッグ出力に表示されますが、システムのパフォーマンスに影響を与える可能性があるため、運用環境での使用は注意が必要です。
3.3 ACLのロギング機能を使用する
もう一つの方法は、ACLにロギング機能を追加して、denyルールに一致したパケットをログとして記録することです。この方法を使用すると、後からログを確認してdenyルールのmatch数を特定することができます。
ACLにロギングを追加するには、以下のように設定します。
access-list 100 deny ip any any logこの設定を行うと、denyされたパケットがロギングされ、`show logging`コマンドで確認できるようになります。ただし、ログの量が増えるため、ログの管理には注意が必要です。
4. まとめ
Cisco 9300スイッチでACLのdenyルールのmatch数を確認する方法にはいくつかのアプローチがあります。`show access-lists`コマンドではpermitルールのmatch数しか表示されませんが、`show ip traffic`コマンドやデバッグ機能、ACLロギング機能を使うことで、denyルールの適用状況を把握することが可能です。これらの方法を適切に組み合わせて、ネットワークのトラフィック状況をより正確に監視しましょう。
コメント