У меня есть маршрутизатор Cisco 877. У меня есть список доступа IPv4 и список доступа IPv6, настроенный и настроенный примерно так:
interface Dialer1
...
ip access-group INTERET-IN
ipv6 traffic-filter IPV6-IN
Списки доступа похожи на это:
ip access-list extended INTERNET-IN
remark establishd connections
permit tcp any any established
...
deny ip any any log
И:
ipv6 access-list IPV6-IN
permit esp any any
sequence 30 permit tcp any any established
sequence 50 remark NTP
...
sequence 240 deny ipv6 any any log-input
Каждый из этих списков доступа имеет окончательное правило deny ip/ipv6 any any log. Однако в моем системном журнале я заметил разницу в форматировании между двумя типами записей. IPv4 скажет:
%SEC-6-IPACCESSLOGP: list INTERNET-IN denied udp 88.89.209.63(137) -> 1.2.3.4(137), 1 packet
В то время как список IPv6 скажет
%IPV6_ACL-6-ACCESSLOGNP: list IPV6-IN/240 denied 59 2001:0:5EF5:79FD:14F9:B773:3EBA:3EE3 (Dialer1) -> 2001:800:1000:0::1, 8 packets
Оба имеют в целом одинаковую информацию, но в записи журнала IPv6 отсутствует тип протокола и порт, которые очень полезны, если я пытаюсь устранить неполадки с подключением.
Почему это? Как получить журналы отказов IPv6 для отображения используемого протокола и порта, если таковые имеются?
Не должно быть иначе. В качестве примера с одного из моих роутеров (очевидно, отредактировано):
19 июня 16: 39: 56.440:% IPV6_ACL-6-ACCESSLOGP: list tu0-internet-in / 190 denied udp 2001: x: x: x :: 2 (123) (Tunnel0) -> 2001: x: x: x : x: x: x: x (123), 2 пакета
19 июня 16:41: 04.636:% SEC-6-IPACCESSLOGP: список запрещенных подключений к Интернету tcp x.y.z.q (443) (GigabitEthernet0 / 3 beef.1aa1.beef) -> a.b.c.d (xxxxx), 1 пакет
У вас есть завершающая строка в вашем ACL ipv6 с явным запретом с вводом журнала, например:
ipv6 access-list tu0-internet-in ... последовательность xxx deny ipv6 any any log-input
Добавление образца рассматриваемого ACL в целях сравнения могло бы помочь, но я подозреваю, что это может быть просто явное отрицание, которое должно исправить положение.
Строка журнала, которую вы показываете, отображает протокол 59, который является просто способом для заголовка IPV6 указать, что больше нет данных, следующих за заголовком IPV6 в пакете. Обычно в этом поле отображается номер протокола 6, а затем следует заголовок пакета TCP или протокол 17 для UDP.