3. Debug list* E9 g, {8 E* q! b* x+ i& i( Y% g8 L
, f7 C; l" p3 F6 u
这事一条比较少用但比较有意思的命令。实际上这条命令什么也不调试。它为你下一条debug命令在你的一个接口上设置一个访问列表。 如:0 G. N, Q9 m8 r8 X7 g' L) [
r6 o5 e6 S, }8 ~; p
debug list 1
' S! g$ Q6 a% b6 { 7 ]) q6 e& Z& }2 Z% c9 g
debug dhcp detail2 `; L+ d0 }5 N& X% \$ \
, Y/ w5 ]" N( E- C' { s
DHCP client activity debugging is on for access list: 1 (detailed)
& E* P! R, V4 c+ W I 8 J! o# K. p" K; W6 X& I6 j* c
2. 记录access list 到system 或syslog
5 `/ b2 L6 M" t; S. f
+ c" w. o3 c2 v6 @ 你可以在一条访问列表的最后使用log 选项来记录被允许或者拒绝的数据包。相当于起到部分防火墙或者访问控制的作用。举例:* c& F/ A% }' {( S: I# I
0 F- `+ \1 t) o
首先,假设你只允许BGP在你的网络中传输然后希望跟踪其它的企图进入某链路的传输。配置例子:" E5 e5 o3 S1 I' S6 s! X8 T
! N' w( T) G# R& z; T
Interface Serial 0/0
: V5 l$ P7 L: O4 j& ~
4 T. q! c' J$ ^5 {5 S* i Access-group 100 in
* ^$ |' \0 j" f2 ~+ m- R3 z ! d8 K5 k; F- U9 {+ o. R1 N( e1 d# g
access-list 100 remark Begin - Allow BGP IN and OUT. v3 _' }! i: y7 r+ K5 a: ]
' t5 ~0 o, c- O; q! G6 _" K
access-list 100 permit tcp host 1.1.1.1 host 2.2.2.2 eq bgp3 e0 w I$ b- g
8 U5 N1 N3 R& A% f4 K. P access-list 100 permit udp any host 2.2.2.2 gt 33000
' U$ V2 U1 X3 t$ _* Q$ Y( C
% a; F7 x# D2 S4 v- w# F# V( o access-list 100 remark End2 H3 t5 q' A5 T1 K
/ y4 V3 N% Y5 t5 W1 K1 s
access-list 100 deny ip any any log
5 r. P& A. C- w
3 b* ~1 l, X! W/ U' o 如果你开启了"logging buffered"或者配置了syslog服务器,所有经过你的路由器的传输会被记录下来。
# O( z9 |$ ~5 l% ~( H2 j2 ]& y1 Q - @! U2 v- A5 X3 A, B3 S
在第二个例子里面,假设你希望建立一条访问列表某一类型的传输通过你的拨号接口。配置如下:2 c# ?, B( z( k/ t/ ]: I0 x0 z
+ a" e& y) E9 F- O& O8 Z Interface BRI 0/0
# \/ Q/ _ i4 E. q
" N& J/ L8 l# G5 }) }4 q) A9 z) V" V Access-group 100 in( q0 r, T8 f5 [. h9 v' f
( V8 q# ?8 ^1 d M/ t! L" W( k Access-group 100 out3 }6 |" p0 Z6 b. G ]! j7 ~3 h
+ K& d: Q) E6 {2 ]0 Z& b; V access-list 100 permit ip any any log
3 W- d1 K; u0 |* b" R
8 S3 e3 x1 j1 j k2 H8 Z+ ^ 如果你查看router的log, 你会发现ICMP packet 和一个TCP packet通过了你的链路:
, R% x$ r- l. r/ A* D. Y' ~
( K& o2 M# ]! F) S( b( R 02:03:43: %SEC-6-IPACCESSLOGDP: list 100 permitted icmp 1.1.1.2 -> 1.1.1.1 (0/0), 1 packet
/ a1 {; N y1 P' B' v, B
, g8 `0 X& D6 q, l' U$ W 02:06:25: %SEC-6-IPACCESSLOGP: list 100 permitted tcp 1.1.1.2(0) -> 1.1.1.1(0), 1 packet |