Назад | Перейти на главную страницу

Как мне узнать, откуда приходят пакеты, которые блокируются ACL?

У меня есть ACL для предотвращения доступа обычных рабочих станций к vlan управления на нашем коммутаторе. Каждые 5 минут мы получаем следующую запись в журнале:

%SEC-6-IPACCESSLOGS: list mgtvlan-acl denied 0.0.0.0 20 packets

Коммутатор представляет собой Cisco 3750G под управлением IOS C3750-IPBASEK9-M, версия 12.2 (52) SE.

ACL:

ip access-list standard mgtvlan-acl
permit [management workstation netowrk]
permit [other management networks]
deny any log

ACL применяется к интерфейсу уровня 3 под названием Vlan50.

interface Vlan50
  description management vlan
  ip address 199.254.98.xx 255.255.255.192
  ip access-group mgtvlan-acl in

Я пробовал различные команды отладки и учет IP-адресов на интерфейсе vlan50. Я также включил монитор терминала, чтобы убедиться, что я все вижу, не полагаясь на сервер системного журнала.

Есть ли способ получить дополнительную информацию о том, что это за пакеты или откуда они приходят (какой физический интерфейс), не прибегая к настройке wirehark?

Если это поможет, это сообщение, которое я ожидал бы, если бы что-то в управляющей vlan пыталось связаться с DHCP-сервером.

Я бы сделал две вещи:

1) преобразовать в расширенный ACL, чтобы вы могли регистрировать IP-адрес назначения

2) посмотрите, поддерживает ли ваш коммутатор аргумент log-input в конце выражения доступа. Вход в журнал записывает Mac-источник кадра, что поможет вам найти виновника.

Как упоминалось выше, dhcp - хорошее предположение, основанное на имеющихся у вас данных.