一旦将 ACL 应用于接口,就要进行一些测试,show access-lists 命令将用于显示每条匹配语句的统计信息。 在图 1 的输出中,注意某些语句已经匹配。 当生成应与 ACL 语句匹配的流量时,show access-lists 命令输出中显示的匹配应该会增加。 例如,在本示例中,如果从 PC1 对 PC3 或 PC4 发出 ping 操作,则输出将会显示 ACL 1 deny 语句匹配项的增加。

permit 和 deny 语句都将跟踪匹配项的统计信息;但是,我们曾学过,每个 ACL 都有一条隐含的 deny any 语句作为最后一条语句。 该语句不会在 show access-lists 命令中显示,因此,该语句的统计信息并不显示。 要查看隐含的 deny any 语句的统计信息,请手动配置该语句,使其显示在输出中。 手动配置 deny any 语句时要特别小心,因为它将匹配所有流量。 如果没有将该语句配置为 ACL 的最后一条语句,则会导致意想不到的结果。

在 ACL 的测试过程中,可以使用 clear access-list counters 命令清除计数。 可单独使用此命令,或将其与特定 ACL 的编号或名称一起使用。 如图 2 所示,该命令将清除 ACL 的统计信息计数。