У меня есть ACL для предотвращения доступа обычных рабочих станций к vlan управления на нашем коммутаторе. Каждые 5 минут мы получаем следующую запись в журнале:
%SEC-6-IPACCESSLOGS: list mgtvlan-acl denied 0.0.0.0 20 packets
Коммутатор представляет собой Cisco 3750G под управлением IOS C3750-IPBASEK9-M, версия 12.2 (52) SE.
ACL:
ip access-list standard mgtvlan-acl
permit [management workstation netowrk]
permit [other management networks]
deny any log
ACL применяется к интерфейсу уровня 3 под названием Vlan50.
interface Vlan50
description management vlan
ip address 199.254.98.xx 255.255.255.192
ip access-group mgtvlan-acl in
Я пробовал различные команды отладки и учет IP-адресов на интерфейсе vlan50. Я также включил монитор терминала, чтобы убедиться, что я все вижу, не полагаясь на сервер системного журнала.
Есть ли способ получить дополнительную информацию о том, что это за пакеты или откуда они приходят (какой физический интерфейс), не прибегая к настройке wirehark?
Если это поможет, это сообщение, которое я ожидал бы, если бы что-то в управляющей vlan пыталось связаться с DHCP-сервером.
Я бы сделал две вещи:
1) преобразовать в расширенный ACL, чтобы вы могли регистрировать IP-адрес назначения
2) посмотрите, поддерживает ли ваш коммутатор аргумент log-input в конце выражения доступа. Вход в журнал записывает Mac-источник кадра, что поможет вам найти виновника.
Как упоминалось выше, dhcp - хорошее предположение, основанное на имеющихся у вас данных.