对于流策略而言,可以通过在其流行为中增加一个count动作来对匹配该ACL的报文进行计数。display acl中的matched显示的是对主控CPU匹配的报文进行统计,而不是流策略的统计计数。因此在有大量匹配了该ACL的报文通过时,使用命令display acl统计计数一直是0。而且有些匹配了ACL的报文的不一定匹配主控CPU,因此这些报文没被统计。
解决方法:
需要在traffic behavior下启用statistic enable
在acl条目中,对应的vlan下启用 traffic policy
测试在vlan 315 的acl 的match数:
1、traffic 配置
traffic classifier DB1 operator and
if-match acl DB-permit1
traffic classifier DB2 operator and
if-match acl DB-deny1
traffic classifier DB3 operator and
#
traffic behavior deny
deny
statistic enable
traffic behavior permit
permit
statistic enable
#
---------------------------------------------------------------------------
traffic behavior 上permit与deny的区别.
使用permit表示按照acl DB的规则来进行数据放行,DB中允许那就允许,禁止那就禁止
但是若使用deny,则无论DB规则中的permit或者deny,一律全都丢弃不进行转发.
----------------------------------------------------------------------------
traffic policy DB
classifier DB1 behavior permit
classifier DB2 behavior deny
2、vlan 315 下启用policy
vlan 315
traffic-policy DB outbound
3、查看acl 的 match 数
display traffic policy statistics vlan 315 outbound
关于Huawei 5700 交换机ACL的match数为0问题
原文地址:http://talk1985.blog.51cto.com/1175287/1934184
