3. Debug list
" b' _: K {3 A8 a M
9 [ L l) {) x( x, I 这事一条比较少用但比较有意思的命令。实际上这条命令什么也不调试。它为你下一条debug命令在你的一个接口上设置一个访问列表。 如:- w' a0 p) l ^. G
2 A8 \& b+ G0 S7 N5 K. f9 D
debug list 1
. p# @# ?" E. q4 I r" X/ g1 @1 M
2 d( j" [: s n; a& p* q debug dhcp detail
$ u+ p/ @: |6 |- A7 }* Q9 g* M 3 t2 D) P- d( m _7 m7 l5 v4 V
DHCP client activity debugging is on for access list: 1 (detailed) A) t# p: J/ b6 H4 z9 u
7 T8 L6 G, H& K: p* w
2. 记录access list 到system 或syslog
' t- q- V) c9 I0 _ K4 Y( Q0 k# {% u
) y- b! g" [/ p | 你可以在一条访问列表的最后使用log 选项来记录被允许或者拒绝的数据包。相当于起到部分防火墙或者访问控制的作用。举例:3 @2 y; x% d" k7 G
8 y, u( N9 X% X
首先,假设你只允许BGP在你的网络中传输然后希望跟踪其它的企图进入某链路的传输。配置例子:
% z+ I: |- p$ z$ b+ ^1 N/ H) J 0 W$ z% L2 D# N7 x8 G% K7 n
Interface Serial 0/0
# i2 U$ b; v, l- l2 a
9 D( o+ U( A5 ]. R" T Access-group 100 in8 v3 p5 M* l. K- \, e
- M l: R# P2 t
access-list 100 remark Begin - Allow BGP IN and OUT3 K0 d. k/ {; f( Q' a3 o( @
$ k4 T9 |, B0 P' b& d2 ~, g
access-list 100 permit tcp host 1.1.1.1 host 2.2.2.2 eq bgp
0 A4 E$ [9 V$ f
# Q# H. v5 a2 P" A9 K access-list 100 permit udp any host 2.2.2.2 gt 33000. Z6 ` l1 E+ f
" S8 S* l1 I& ~( o! @, Z6 } access-list 100 remark End4 B2 n: C S7 r" T: C" M+ h
# @, M2 q1 O1 U% x1 y
access-list 100 deny ip any any log
1 s$ u M- O* C3 s" t7 J- u
7 A. ~7 v5 e3 I$ l1 _ 如果你开启了"logging buffered"或者配置了syslog服务器,所有经过你的路由器的传输会被记录下来。- d: K" M& b5 K" `5 V
6 T* }9 V" E8 Z6 D: [5 w& [ 在第二个例子里面,假设你希望建立一条访问列表某一类型的传输通过你的拨号接口。配置如下:
. J" {5 I# I" ~2 Z' i k x5 |5 k# M7 W' v
Interface BRI 0/05 |" V6 y3 O2 y1 h+ P; A
: w( q2 C" c8 C3 l
Access-group 100 in$ |$ U# i/ ?3 b$ y X+ K; _& A
5 h# }1 ` @: U) _$ d
Access-group 100 out. H4 b$ ^. }& ~3 u! S3 |
9 C* g5 z+ `( I. |: c! u/ c) ^0 d
access-list 100 permit ip any any log
& \/ A6 z. O: d4 D$ F) _
s5 S- y3 g9 d4 E2 ^+ d1 b 如果你查看router的log, 你会发现ICMP packet 和一个TCP packet通过了你的链路:
3 ]2 b4 I- O$ J/ a
8 F3 y$ `4 `+ o+ V* m' A# Z8 ?- R* g( O 02:03:43: %SEC-6-IPACCESSLOGDP: list 100 permitted icmp 1.1.1.2 -> 1.1.1.1 (0/0), 1 packet! ?" ?/ ~/ e) ^) A/ ?- ` p! q
6 D" n( |1 w( y1 D, j4 M 02:06:25: %SEC-6-IPACCESSLOGP: list 100 permitted tcp 1.1.1.2(0) -> 1.1.1.1(0), 1 packet |