ACE 単位の QoS 統計情報機能は、QoS ポリシーで使用する ACE のヒット カウンタを提供します。この機能を有効にすると、QoS ポリシーに使用された ACE の QoS ヒット カウンタを、その ACE の既存のセキュリティ アクセスリスト
カウンタに追加します。show ip access-lists コマンドを使用すると、次の例に示すように、アクセスリスト カウンタを表示できます。
Device# show ip access-lists
Extended IP access list A1
10 permit ip 10.1.1.0 0.0.0.255 any (129580275 matches)
Extended IP access list A6and7
10 permit ip 10.1.6.0 0.0.0.255 any (341426749 matches)
20 permit ip 10.1.7.0 0.0.0.255 any (398245767 matches)
Extended IP access list source
10 permit ip any host 10.1.1.5 (16147976 matches)
QoS ヒット カウンタ(QoS ポリシーで使用された ACE の数)が、出力例に示したカウンタに追加されます。
ACE 単位の QoS 統計機能を有効にする場合は、次の条件に注意してください。
-
show ip access-lists コマンドは、インターフェイス情報を表示しません。つまり、アクセスリスト カウントはインターフェイス固有ではありません。このカウントは、ACE を使用し、すべてのインターフェイスと方向全体のカウントをサポートするすべての機能のすべてのヒット数の集約カウンタです。
-
show policy-map interface コマンドを使用すると、QoS のフィルタ単位のパケット一致統計情報がイネーブルになっている場合は、インターフェイス固有のカウントを表示できます。ただし、このコマンドは、次の例に示すように、ACE 単位のカウントではなく、フィルタ単位(アクセス制御リスト(ACL)またはアクセス
グループ)のカウントのみを表示します。
Device# show policy-map interface GigabitEthernet0/0/2
GigabitEthernet0/0/2
Service-policy input: test-match-types
Class-map: A1orA2-class (match-any)
482103366 packets, 59780817384 bytes
5 minute offered rate 6702000 bps
Match: access-group name A1
62125633 packets, 7703578368 bytes
5 minute rate 837000 bps
Match: access-group name A2
419977732 packets, 52077238892 bytes
5 minute rate 5865000 bps
-
QoS フィルタ(つまり、クラス マップ内の match ステートメント)に ACE があっても、パケットがその ACE に一致しない場合、ACE カウンタはそのパケットについては増加しません。これは、次の状況で発生する可能性があります。
-
ACE を「deny」ステートメントで使用している。
-
「match-all」クラス マップ定義の他の一致基準(「match ip prec 1」など)がパケットをクラスに一致させないようにしている。
-
「match-any」クラス マップ定義の他の一致基準(「match ip prec 1」など)がパケットと一致し、そのパケットを ACE 一致基準と一致させないようにしている(そのフィルタが ACE フィルタよりも前にあり、そのパケットが両方のステートメントに一致している)。
-
アクセスリスト カウントは、ACE を使用し、ACE 単位のカウントをサポートするすべての機能のその特定の ACE についてのヒット カウントの総計です。つまり、1 つのパケットが同じ ACE を使用している複数の機能にヒットしてカウントされ、それぞれの機能を通過するときに、同じパケットで複数のカウントになる可能性があります。
次に、このような複数のカウントが発生する例を示します。インターフェイスで受信したパケットは 1,000 個のみでしたが、アクセスリストのカウントには、セキュリティ アクセス リストに 1,000、QoS サービス ポリシーに 1,000 で 2,000
のヒット数が表示されます。
Device(config)# ip access-list extended A1
permit ip 32.1.1.0 0.0.0.255 any
class-map match-all A1-class
match access-group name A1
interface GigabitEthernet0/0/2
ip address 10.0.0.1 240.0.0.0
ip access-group A1 in
duplex auto
speed auto
media-type rj45
no negotiation auto
service-policy input simple
end
Device# show access-lists
Extended IP access list A1
10 permit ip 10.1.1.0 0.0.0.255 any (2000 matches)
Device# show policy-map interface GigabitEthernet0/0/2
Service-policy input: simple
Class-map: A1-class (match-all)
1000 packets, 124000 bytes
5 minute offered rate 4000 bps
Match: access-group name A1
Class-map: class-default (match-any)
0 packets, 0 bytes
5 minute offered rate 261000 bps, drop rate 0 bps
Match: any