Cisco交换故障：路由交换机debug故障诊断7

会计考友

3. Debug list
" b' _: K  {3 A8 a  M   
9 [  L  l) {) x( x, I    这事一条比较少用但比较有意思的命令。实际上这条命令什么也不调试。它为你下一条debug命令在你的一个接口上设置一个访问列表。 如：
   
    debug list 1
. p# @# ?" E. q4 I  r" X/ g1 @1 M   
2 d( j" [: s  n; a& p* q    debug dhcp detail
$ u+ p/ @: |6 |- A7 }* Q9 g* M   
    DHCP client activity debugging is on for access list: 1 （detailed）
   
    2. 记录access list 到system 或syslog
' t- q- V) c9 I0 _  K4 Y( Q0 k# {% u   
) y- b! g" [/ p  |    你可以在一条访问列表的最后使用log 选项来记录被允许或者拒绝的数据包。相当于起到部分防火墙或者访问控制的作用。举例：
   
    首先，假设你只允许BGP在你的网络中传输然后希望跟踪其它的企图进入某链路的传输。配置例子：
% z+ I: |- p$ z$ b+ ^1 N/ H) J   
    Interface Serial 0/0
# i2 U$ b; v, l- l2 a   
9 D( o+ U( A5 ]. R" T    Access-group 100 in
   
    access-list 100 remark Begin - Allow BGP IN and OUT
   
    access-list 100 permit tcp host 1.1.1.1 host 2.2.2.2 eq bgp
0 A4 E$ [9 V$ f   
# Q# H. v5 a2 P" A9 K    access-list 100 permit udp any host 2.2.2.2 gt 33000
   
" S8 S* l1 I& ~( o! @, Z6 }    access-list 100 remark End
   
    access-list 100 deny ip any any log
1 s$ u  M- O* C3 s" t7 J- u   
7 A. ~7 v5 e3 I$ l1 _    如果你开启了"logging buffered"或者配置了syslog服务器，所有经过你的路由器的传输会被记录下来。
   
6 T* }9 V" E8 Z6 D: [5 w& [    在第二个例子里面，假设你希望建立一条访问列表某一类型的传输通过你的拨号接口。配置如下：
. J" {5 I# I" ~2 Z' i  k   
    Interface BRI 0/0
   
    Access-group 100 in
   
    Access-group 100 out
   
    access-list 100 permit ip any any log
& \/ A6 z. O: d4 D$ F) _   
  s5 S- y3 g9 d4 E2 ^+ d1 b    如果你查看router的log, 你会发现ICMP packet 和一个TCP packet通过了你的链路：
3 ]2 b4 I- O$ J/ a   
8 F3 y$ `4 `+ o+ V* m' A# Z8 ?- R* g( O    02:03:43: %SEC-6-IPACCESSLOGDP: list 100 permitted icmp 1.1.1.2 -> 1.1.1.1 （0/0）， 1 packet
   
6 D" n( |1 w( y1 D, j4 M    02:06:25: %SEC-6-IPACCESSLOGP: list 100 permitted tcp 1.1.1.2（0） -> 1.1.1.1（0）， 1 packet